[发明专利]一种基于区块链的跨域身份认证方法

说明书

本发明公开了一种基于区块链的跨域身份认证方法，该方法基于主副双层区块链架构实现，每个应用域维护自身的区块链实现域内身份验证与权限管理，并通过主层区块链接入节点将域内身份验证结果提交到主层区块链中，主层区块链由所有应用域中的接入节点维护，最终借助主层区块链实现跨应用域间的身份认证。本发明提出的细粒度跨域身份访问凭证的生成方法，实现了用户对凭证信息的选择性披露的同时，验证其合法性与有效性；并提出了一种轻量级、可验证凭证有效性机制，实现了去中心化的跨域身份访问凭证有效性验证。

技术领域

本发明属于互联网领域，涉及区块链技术和身份认证技术，具体涉及一种基于区块链的跨域身份认证方法。

背景技术

随着云计算的快速发展，互联网上网络资源的应用域的数量快速增加，客户端与不同应用域及不同应用域之间的交互变得更加频繁，对每一个客户而言，如果在不同的应用域之间都需要单点访问与单点授权将极大的增加用户的使用负担，对每个应用域中PKI认证服务器而言，频繁的身份认证将消耗大量的硬件资源，为了使得用户在不同域之间方便切换和获取硬件资源，我们必须使用跨域的身份认证技术使得在只知道用户部分身份信息下，有效的实现不同域之间的访问控制与权限管理，防止网络资源受到非法访问。

传统基于Cookie和重定向的机制实现的统一身份认证技术的问题在于，所有站点共享一个密钥，并且该方案是基于可信的第三方机构，集中权限管理的应用账号存在单点攻击与隐私泄漏风险。而区块链具备去中心化、高容错和分布式信任的特点为解决传统跨域身份认证问题提供了可能。

发明内容

针对传统跨域身份认证存在的中心化问题、效率问题、安全性问题、证书撤销难问题，提出了一种基于区块链的跨域身份认证方法。该方法通过区块链作为信任传递介质、存储介质，而区块链是由所有参与节点共同维护，实现了去中心化跨域身份认证。

一种基于区块链的跨域身份认证方法，该方法使用主副双层区块链架构实现，每个应用域维护自身的区块链实现域内身份验证与权限管理，并通过主层区块链接入节点将域内身份验证结果提交到主层区块链中，主层区块链由所有应用域中的接入节点维护，最终借助主层区块链实现跨应用域间的身份认证。

所述主副双层区块链架构包括：主层区块链、副层区块链、CA节点、AS主层区块链接入节点。

本发明提出的一种基于区块链的跨域身份认证方法，具体包括如下步骤：

步骤1：首先各应用域根据自身的业务需求分别构建基于联盟链或公链的副层区块链，各副层区块链的本地AS主层区块链接入节点在授权认证后接入主层区块链中。

步骤2：主副双层区块链构建完成后，各应用域通过域间权限协商方法构建各应用域间的角色权限映射表，各应用域可通过角色权限映射表验证跨域访问操作的合法性。

步骤3：用户在执行跨域请求前需要通过域内身份验证方法创建自身全网唯一身份标识信息。

步骤4：用户在获取自身全网唯一身份标识信息后通过跨域身份登录方法，首先向所在应用域的本地CA节点获取跨域身份访问凭证，获取跨域身份访问凭证后将凭证标识号、跨域操作信息发送到授权域，授权域验证跨域身份访问凭证、跨域操作信息的有效性、合法性，验证通过后执行跨域请求并将结果返回给用户。

其中域间权限协商方法包括如下步骤：

步骤1：各应用域CA节点生成所在应用域的角色表、权限表、角色权限映射表并本地存储。

步骤2：请求授权访问的应用域发送授权请求，授权请求时提交本域角色、域信息并等待授权域的授权响应。当响应返回时，请求授权访问的应用域需要将授权结果通过所在副层区块链的AS主层区块链接入节点广播到主层区块链当中进行同步。

其中域内身份验证方法包括如下步骤：