[发明专利]一种基于区块链的跨域认证方法与电子设备

说明书

本发明实施例提供一种基于区块链的跨域认证方法与电子设备，基于给定跨域认证系统实现，给定跨域认证系统包括主认证机构、从认证机构、用户端及验证方，其中所述方法包括：主认证机构生成公共参数、主密钥和主公钥，并基于主密钥生成并分发从认证机构的从密钥给从认证机构；从认证机构根据从密钥签发证书给用户端，用户端若验证其有效则接受；从认证机构对证书承诺并发送给用户端，用户端若验证其有效则接受；从认证机构对承诺签名并广播到区块链系统，其它从认证机构若验证签名有效则存储；用户端将承诺与验证信息发送给验证方，验证方若验证承诺有效则接受用户的身份信息。本发明实施例能够实现高效的跨域认证并能对从认证机构的严格监管。

技术领域

本发明涉及信息安全技术领域，更具体地，涉及一种基于区块链的跨域认证方法与电子设备。

背景技术

互联网是一个开放性的系统，其开放性导致其存在许多的安全漏洞、威胁和隐私问题。网络中的各类资源很容易被攻击者非法访问而导致经济损失等问题，因此信息服务商对网络资源访问者的身份进行合法性认证是至关重要的。

身份认证是对信息服务实体身份的有效性进行确定的过程，该过程是网络安全的一道基本防线。由于信息服务资源和信息服务种类越来越多，使得用户需要登录到不同的信息服务系统以完成不同的任务。这些信息服务系统由多个不同的信任域构成，每个信任域中均有一个或多个独立的认证机构。当前应用需求需要用户在不同信任域中签发的证书在其他信任域中能够得到认证，即实现跨域认证。

公钥基础设施(Public Key Infrastructure，PKI)是基于公钥密码技术提供安全信息服务的通用安全基础设施。在基于PKI的跨域认证中，由可信第三方，即认证机构，对证书进行生成、发放、管理与存档等。此外，可信第三方还需要对上述证书相关的工作提供安全服务，如为网络应用提供认证、授权、加密、解密及签名等。但是该认证过程会产生大量的数字证书，证书管理成本巨大。

在基于身份的跨域认证技术中，通常用一串具有特征信息的字符串代表用户，且将其作为用户的公钥，通过该身份字符串实现对用户的认证不需要数字证书，因此避免了庞大的证书管理。但是，用户的公钥需要认证机构签名，认证过程需要认证机构的参与。因此，认证需要认证机构、用户、信息服务商同时在线才能完成任务。

在5G移动无线网络的发展和普及下，无线互联网迅速发展起来，互联网中绝大多数用户都是移动用户。在当前5G移动互联网应用场景下，网络被分为多个片，当用户在各个片之间迅速移动时，要求用户在不同信任域之间能够快速切换，才能通过无线网络获取互联网系统上的信息服务。

但是，由于传统的身份认证技术的上述限制，使得其显然不能满足该新场景下的效率需求，同时认证过程的安全性和公正性也得不到保障。因此，如何设计更加安全、快捷的跨域认证技术是亟待研究的关键问题。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明实施例提供一种基于区块链的跨域认证方法与电子设备，用以有效提高对用户进行跨域认证的处理效率以及安全性。

第一方面，本发明实施例提供一种基于区块链的跨域认证方法，所述基于区块链的跨域认证方法基于给定跨域认证系统实现，所述给定跨域认证系统包括主认证机构、从认证机构、用户端以及验证方，所述基于区块链的跨域认证方法包括：

利用所述主认证机构，选取安全参数依次生成公共参数以及所述主认证机构的主公钥和主密钥，并基于所述主密钥生成所述从认证机构的从密钥，分发给所述从认证机构；

利用所述从认证机构，根据所述从密钥生成所述从认证机构的从公钥，并基于所述从公钥生成证书签发给所述用户端，以供所述用户端验证所述证书是否有效，并在验证有效时接受所述证书；

利用所述从认证机构，对所述证书进行承诺，并将承诺生成的证书承诺和验证信息发送给所述用户端，以供所述用户端验证所述证书承诺是否有效，并在验证有效时，接受所述证书承诺和所述验证信息；