[发明专利]一种基于区块链技术的完全跨域身份认证方法

说明书

本发明公开了一种基于区块链技术的完全跨域身份认证方法，包括：（1）、系统初始化阶段：该阶段主要实现了域实体公私钥初始化、区块链网络的建立以及链码的部署以及域信息存储等过程；（2）、域内认证阶段：该阶段主要实现了用户身份申请、验证、更新和撤销；（3）、跨域认证阶段：通过待认证用户与认证服务器，认证服务器与区块链之间的交互，该阶段安全实现了用户的完全跨域认证；步骤（1）和步骤（2）只执行一次即可。本发明在提高认证效率，保障认证安全性的同时实现了完全跨域的实体身份认证。

技术领域

本发明涉及跨域身份认证领域，具体是一种基于区块链技术的完全跨域身份认证方法。

背景技术

区块链技术：区块链技术结合了分布式存储、点对点通信、共识机制和加密算法等一系列的计算机技术和密码学技术，实现了一个不需要第三方参与但高度可信的节点网络。根据网络是否具有节点准入机制和拥有控制权限的主体是否集中，区块链可以分为三类：公有链、私有链和联盟链。作为联盟链的典型代表-超级账本是Linux基金会发起的区块链技术项目，该项目致力于发展跨行业的商用区块链平台技术。超级账本同时结合了成员管理、区块链技术和智能合约三个功能范畴，适用于机构间的共识范围。

智能合约：智能合约是一种自动化的自我验证和自我执行合同的计算机协议，其允许在没有第三方的情况下不受干扰的进行预先设定逻辑的执行。广泛使用的术语“智能合约”在超级账本中被称为“链码”。和以太坊中的智能合约类似，超级账本中的链码同样具有自我执行的逻辑，但相比较来说，超级账本中的链码支持的功能更多，集成了大量的密码学算法实现，因此在程序开发过程中，对使用者来说会更加友好。

数字签名：数字签名是一种能够确定信息源真实性以及确保数据完整性的技术。一个典型的数字签名方案主要包含以下三个算法：1)密钥生成算法-(pk,sk)←Sig.Gen(1^λ)：传入安全参数λ，生成公钥pk和私钥sk。其中公钥用于验证签名，私钥用于生成签名；2)签名算法-σ←Sig.Sign(sk；m)：使用签名者的私钥sk，为消息m生成签名者对该消息的签名σ；3)签名验证算法-Sig.Verify(pk；m,σ)：使用签名者的公钥pk，验证σ是否为消息m的签名。验证成功则返回“1”，反之返回“0”。

散列算法：密码学上的散列算法是一种将任意长度的输入消息映射为较短的、固定长度的消息摘要的方法，散列算法主要应用在保证数据完整性、单向数据加密和数字签名等场景。散列算法具有两个基本特性：1)单向性：对任何给定的x，Hash(x)相对易于计算。而给定y，寻找满足y＝Hash(x)的x在计算上是不可行的；2)抗碰撞性：给定散列算法Hash()，要找到两个不同的消息x₁≠x₂，使其散列值Hash(x₁)＝Hash(x₂)是计算不可行的。

现有的跨域认证协议大体可以分为三类：基于传统PKI的跨域认证协议、基于IBE(Identity-Based Encryption)技术的跨域认证协议和基于区块链技术的跨域认证协议。基于传统PKI的跨域认证协议能够很好的和现有的PKI拓扑结构兼容，但是存在证书管理的问题，使得跨域过程额外增加了证书管理和传递开销等问题。基于IBE技术的跨域认证协议很好的解决了基于传统PKI认证协议带来的证书管理复杂等问题，但是也在一定程度上增加了认证计算和通信开销。除了上述问题外，因为不同域相同的密码学体制的前提假设，大多数的认证协议都无法实现完全跨域的实体身份认证。现有的基于区块链技术的跨域认证协议在解决证书管理问题的同时能够大程度降低协议的认证计算开销，在一定程度上提高了认证效率，但是也不能实现完全跨域的实体身份认证。

发明内容

本发明所要解决的技术问题是提供一种基于区块链技术的完全跨域身份认证方法，基于联盟链超级账本实现，在保证认证过程安全性、提高跨域认证效率的前提下，实现完全跨域的实体身份认证。

为解决上述技术问题，本发明采用的技术方案是：