[发明专利]一种基于区块链的可信身份认证方法

说明书

本发明公开了一种基于区块链的可信身份认证方法，区块链证书服务器通过基于区块链的跨域模型来传递信任，并实现不同信任域内用户端与信息服务实体的认证过程，信息服务实体通过仲裁实体通信服务器获得完整签名，并通过身份认证服务器对完整签名实现认证。信息服务实体中只存储部分密钥，其余部分密钥存储在仲裁实体通信服务器中，信息服务实体通过仲裁实体通信服务器获得消息的完整签名，可以通过仲裁实体通信服务器停止发送信令实现撤销其解密或者签名的能力，解决了IBC系统内实体身份难以撤销的问题，而且还解决了证书查验次数多，以及跨域认证低等问题，保证区块链系统的去中心化和更高的安全性。

技术领域

本发明涉及网络空间安全技术领域，更具体的说是涉及一种基于区块链的可信身份认证方法。

背景技术

在异构网络环境中，对用户而言，由于提供网络资源和服务应用域的持续扩张，导致其在不同应用域间的信息交互变得异常频繁。为了保证用户在访问同一或不同信任域的网络服务资源时，都不会带来额外身份认证开销和负担，同时也能够实现在不同域之间的访问控制和权限管理，那么就必须采用面向全局性的跨域身份认证机制，从根本上防止网络资源非法访问风险的发生。因此，针对一定空间范围内的不同种类信息服务实体所存在的复杂交互关系，研究大规模网络环境下，用户与信息服务实体间的跨域认证机制同样是非常有应用前景的。

跨域认证，具体是指用户跨可信域进行完整的身份认证过程，其不仅要保证信任建立的可靠性、认证速度的高效性及认证过程的安全性等，还要解决不同信任域认证系统对用户的统一认证管理。在分布式服务体系中，目前主要基于3个框架开展跨域认证研究工作，一是基于对称密钥的认证架构；二是基于数字证书的PKI体系认证架构，三是基于IBC体制的认证架构。这三种架构由于认证流程和技术的差异，均体现出了一定的优劣倾向。基于对称密钥架构的认证速度最快，效率最高，但存在密钥泄露的缺陷，鉴于网络空间的攻击和威胁愈加多样化和复杂化的现实状况，相应地，对身份认证的安全性也提出了更高层次的要求，因此其发展也受到了一定的限制。基于PKI体系的认证架构是被最广泛应用的，它解决了对称密钥管理的难题，并且适用于构建大规模的应用环境，且具备良好的扩展性和灵活性，但是该过程需要消耗大量的时间和精力管理数字证书，从而增加了认证过程中通信和计算的负担，因此也存着着一些弊端。目前，基于IBC的跨域认证模型已成为主流，它使得认证过程不再依托于证书机制，而是直接以实体有效标识作为公钥的方式，简化了密钥管理过程，且具有易于维护等优势。然而，基于IBC认证系统的实体私钥是由KGC产生的，存在密钥托管问题，因此其更适用于独立小型信任域网络中。此外，在现有基于IBC认证方案中，实体身份撤销主要是通过定期地终止KGC发送私钥实现，无法实现及时性的身份撤销操作，造成了系统在高安全性要求的应用场景中无法发挥作用。不难发现，现有的跨域认证模型都或多或少受到了一定的限制，并不能充分地满足用户与信息服务实体间的跨域认证的完整需求。

因此，如何解决IBC系统内实体身份难以撤销的问题是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种基于区块链的可信身份认证方法，解决了IBC系统内实体身份难以撤销的问题。

为了实现上述目的，本发明采用如下技术方案：

一种基于区块链的可信身份认证方法，包括：

步骤1：第一区块链证书服务器BCCA₁接收用户端发起的对跨域信息服务实体的身份认证请求，并与第二区块链证书服务器BCCA₂通过区块链证书完成域间认证，并交换系统公钥；其中，第一区块链证书服务器BCCA₁和第二区块链证书服务器BCCA₂位于不同的IBC域；

步骤2：第一区块链证书服务器BCCA₁生成会话密钥，并基于身份加密后与认证请求一起传递给身份认证服务器；第二区块链证书服务器BCCA₂生成会话密钥，并基于身份加密后与认证请求一起发送给信息服务实体；