[发明专利]一种基于区块链的可信身份认证方法

权利要求书

1.一种基于区块链的可信身份认证方法，其特征在于，包括：

步骤1：第一区块链证书服务器BCCA₁接收用户端发起的对跨域信息服务实体的身份认证请求，并与第二区块链证书服务器BCCA₂通过区块链证书完成域间认证，并交换系统公钥；其中，第一区块链证书服务器BCCA₁和第二区块链证书服务器BCCA₂位于不同的IBC域；

步骤2：第一区块链证书服务器BCCA₁生成会话密钥，并基于身份加密后与认证请求一起传递给身份认证服务器；第二区块链证书服务器BCCA₂生成会话密钥，并基于身份加密后与认证请求一起发送给信息服务实体；

步骤3：信息服务实体收到第二区块链证书服务器BCCA₂的消息后，响应认证请求并保存会话密钥，信息服务实体收到认证请求后，向本域的仲裁实体通信服务器请求签名信令，信息服务实体通过仲裁实体通信服务器获得消息的完整签名，信息服务实体将完整签名和加密的消息发送给身份认证服务器；

步骤S4：身份认证服务器收到完整签名和加密的消息后，解密消息，并对完整签名进行验证，验证成功后，将会话密钥及时间戳基于身份加密后发送给用户端，用户端最终获得会话密钥。

2.根据权利要求1所述的一种基于区块链的可信身份认证方法，其特征在于，步骤1具体包括：

用户端选取时间戳T₁向第一区块链证书服务器BCCA₁发起对跨域信息服务实体身份认证请求，并使用私钥对身份认证请求进行基于身份的签名操作；

第一区块链证书服务器BCCA₁确认用户身份合法性及时间戳T₁新鲜后，查询信息服务实体对应的第二区块链证书服务器BCCA₂的有效位置，第一区块链证书服务器BCCA₁选取时间戳T₂、并与信息服务实体的ID_ISE2、区块链证书Cert_BCCA1和认证请求加密后一起发送给第二区块链证书服务器BCCA₂；

第二区块链证书服务器BCCA₂解密第一区块链证书服务器BCCA₁的消息，确认时间戳T₂新鲜，则与身份认证服务器合作查询Cert_BCCA1的合法性，若判断证书状态为有效，则响应认证请求；第二区块链证书服务器BCCA₂将所在域的公钥P_publice2与时间戳T₃加密后发送给第一区块链证书服务器BCCA₁；

第一区块链证书服务器BCCA₁解密来自第二区块链证书服务器BCCA₂的消息，确认时间戳T₃新鲜，保存公钥P_publice2，第一区块链证书服务器BCCA₁将所在域的公钥P_publice1与时间戳T₄加密后发送给第二区块链证书服务器BCCA₂。

3.根据权利要求2所述的一种基于区块链的可信身份认证方法，其特征在于，步骤2具体包括：

第一区块链证书服务器BCCA₁基于下述公式计算会话密钥K，并与认证请求一起发送给身份认证服务器；

其中，H₁(·)代表哈希运算，为用户身份，为信息服务实体的身份，s₁为IBC₁域的系统密钥，||代表或运算，[]代表群运算；

第二区块链证书服务器BCCA₂基于下述公式计算会话密钥K'，并基于身份进行加密后与认证请求一起发送给身份认证服务器信息服务实体；

其中，H₁(·)代表哈希运算，ID_U1为用户身份，ID_ISE2为信息服务实体的身份，s₂为IBC₂域的系统密钥，||代表或运算，[]代表群运算。