[发明专利]基于区块链的跨域匿名认证方法及系统

说明书

本发明提供一种基于区块链的跨域匿名认证方法及系统，设置可信密钥生成中心为注册中心颁发公私钥对，部署区块链智能合约管理通信方的密钥信息；注册中心为普通用户提供注册服务，生成签名实现证书认证服务，并将业务系统相关的通信方标识信息与公钥信息以隐私保护的方式存入区块链智能合约中；通信双方进行相互认证时，通过匿名的方式发送认证信息，并且调用区块链智能合约查询接口查验用户的标识信息，检验认证用户公钥是否注册；智能合约管理标识信息与密钥信息，提供用户标识信息与密钥信息的实时更新，避免引入单点故障攻击和更新不同步及通信开销大等问题，并且支持用户跨域认证服务。该匿名认证技术方案具有很好的安全性、稳定性和可靠性。

技术领域

本发明属于信息安全技术领域，特别是基于区块链的跨域匿名认证方法及系统。

背景技术

匿名认证协议是网络安全通信的重要组成部分。通过执行匿名认证协议，两个参与者间在公共信道上可以相互认证，并协商一个会话密钥，以便实现开放网络中的安全通信。在基于传统公钥密码认证的匿名协议中，通信双方拥有一对公私钥：公钥和私钥，其中私钥用于生成认证信息，公钥来验证信息的合法性。但是对公钥的认证需要证书中心为各用户颁发数字证书，用来实现安全的信息交换建立身份并创建信任。

然而，依赖证书颁发机构定期颁发证书或对证书进行维护，会导致用户端高通信开销和证书更新异步问题。尽管现有基于身份的认证协议可以消除证书管理问题，但在认证过程中必须泄露真实身份给另一个认证通信以进行验证。这对于开放性网络，如自组织网络而言，存在严重的隐私泄露隐患。虽然已有许多密码协议被提出来促进网络系统的安全认证，但现有协议通常不支持条件可控匿名和灵活的密钥管理。此外，现有的技术需要用户在跨域情况下重新执行注册，难以支持高效的移动用户的跨域认证功能。

针对这种情况，本发明设计了一种基于区块链的匿名跨域认证与密钥协商方法，并实现有效的条件可控匿名，并且在认证与密钥协商过程中无需引入额外的密码原语，通过区块链智能合约技术，实现高效的密钥管理，支持用户/设备的动态接入和撤销。

发明内容

本发明的目的是提出一种基于区块链的跨域匿名认证技术方案，具有高效密钥管理，支持物联网设备/用户动态接入和撤销的匿名认证与密钥协商协议。

为了实现上述目的，本发明提出一个基于区块链的跨域匿名认证方法，1.一种基于区块链的跨域匿名认证方法，其特征在于：设置可信密钥生成中心为注册中心颁发公私钥对，并部署区块链智能合约管理通信方的密钥信息；注册中心为普通用户提供注册服务，生成签名实现证书认证服务，并将业务系统相关的通信方标识信息与公钥信息以隐私保护的方式存入区块链智能合约中；通信双方进行相互认证时，通过匿名的方式发送认证信息，并且调用区块链智能合约查询接口查验用户的标识信息，检验认证用户公钥是否注册；同时，智能合约管理身份标识信息与密钥信息，可提供用户标识信息与密钥信息的动态更新和撤销。

而且，跨域匿名认证实现包括以下过程，

系统初始化过程，用于生成系统的公开参数和系统主私钥；

智能合约部署过程，用于安全管理系统内各成员的身份标识信息、公钥证书和密钥信息，为跨域认证提供注册验证服务；

注册过程，用于为系统内各成员提供对应的注册服务，并调用智能合约管理其身份标识信息、公钥证书和密钥信息；

相互认证过程中，用于为系统内需要进行相互认证的成员提供身份认证与密钥协商服务，调用智能合约查询接口验证认证成员的可靠性；

密钥更新过程，用于为系统成员身份信息提供密钥更新服务，并调用智能合约对更新的信息进行管理，防止系统成员的身份可链接攻击，支持安全高效的系统成员动态加入；

密钥撤销过程，用于为系统成员身份信息提供用户服务，调用智能合约删除撤销用户的注册信息，防止密钥泄露，支持安全高效的系统成员动态撤销。