[发明专利]一种分布式可信身份认证方法、系统、存储介质、终端

说明书

本发明属于云计算可信身份认证技术领域，公开了一种分布式可信身份认证方法、系统、存储介质、终端，将身份认证系统中的证书管理系统与证书发布系统解耦，使用区块链账本替代证书颁发和吊销列表，分布式的证书有效性查询服务，避免中心化认证服务器单点故障；设计适用于分布式可信身份认证系统区块链结构，在区块中存放数字证书与操作类型，防止恶意节点篡改证书内容及有效性；针对区块链证书有效性快速查询方法，通过采用双重布谷鸟过滤器动态维护过滤器桶，提升证书查询速度，避免区块链逐块查询效率低。本发明将分布式可信身份认证系统的证书发布功能下放至系统每一个参与节点，分布式存储数字证书及有效性，保证了身份认证系统高可用性。

技术领域

本发明属于云计算可信身份认证技术领域，尤其涉及一种分布式可信身份认证方法、系统、存储介质、终端。

背景技术

目前，云计算作为智慧城市、金融军事、医疗教育等国家重点行业的基础支撑，云计算身份认证是云计算服务提供商验证服务使用者身份的过程，在互联网的数字世界中用户拥有的是一组特定数据表达的数字身份，服务商也对这一数字身份进行认证和授权如何在网络中安全可信的认证授权用户身份成为制约其大规模发展的重要瓶颈。

目前，业内常用的现有技术包括：(1)基于秘密信息的身份认证：用户在注册时设定好一个静态的字符串交给云计算服务商作为自己的认证密码。在服务商认证用户身份时，用户提交这个字符串作为认证依据，当提交的密码与预设的密码匹配时，就认为该用户是合法用户。(2)基于信任物体的身份认证：用户在注册时与云计算服务商协商采用某个智能手机号码、数字证书USBKey等物体作为信任凭证。在服务商认证用户身份时，用户提供手机验证码、USBKey中存储的私钥等作为认证，若与服务商当前验证码匹配，就认为该用户是合法用户。(3)基于生物特征的身份认证：用户在注册时提供自己的指纹、虹膜等身体特征信息或语音、步态等行为特征信息作为信任凭证。在用户登录时，云计算服务商认证这些信息与注册提交的是否一致，若一致就认为该用户是合法用户。

通过上述分析，现有技术存在的问题及缺陷为：

(1)用户经常采用电话、生日等弱口令作为自己的静态密码，容易被攻击者所破解，并且静态密码还将面临泄漏、截获、中间人攻击与暴力破解等威胁，安全性较低。

(2)手机验证码以来运营商提供服务，有被黑客盗取的危险；数字证书USBKey依赖于中心化的第三方CA服务器提供服务，若其发生单点故障会导致身份认证服务失效。

(3)生物特征识别方法技术未能完全成熟，且一旦生物特征信息在数据库存储或网络传输中被盗取，攻击者就可以执行某种身份欺骗攻击，并且攻击对象会涉及到所有使用生物特征信息的设备。

解决以上问题及缺陷的难度为：现有的身份认证都是中心化的服务服务提供模式，通过废止列表颁发和吊销数字证书，但此类中心化的证书发布系统容易遭受到攻击导致单点失效的问题，使整个身份认证系统无法正确地验证证书有效性，并且通过互联网查询证书有效性也将带来额外的时间开销和中间人攻击等安全问题。

解决以上问题及缺陷的意义为：将中心化的身份认证扩展为分布式的身份认证服务，中心服务器故障后，系统种任意节点在线均可提供完整的可信身份认证，满足数字证书分散式存储与高效查询验证的需求，避免由系统单点故障导致服务验证服务无法正常使用的问题，保证系统的高可用性。

发明内容

针对现有技术存在的问题，本发明提供了一种分布式可信身份认证方法、系统、存储介质、终端。

本发明是这样实现的，一种分布式可信身份认证方法，所述分布式可信身份认证方法包括：

第一步，终端向分布式可信身份认证系统注册并提供个人信息；

第二步，分布式可信身份认证系统为生成非对称密钥对，将公钥和个人信息生成数字证书，将私钥写入加密设备；