[发明专利]基于区块链和属性签名的跨数据中心身份认证方法及系统

说明书

本发明属于数字信息传输技术领域，提供了一种基于区块链和属性签名的跨数据中心身份认证方法及系统。该方法应用于第一数据中心内的第一终端，包括：向第二数据中心的第二终端发送认证请求，接收第二终端产生的第一随机数；使用自己的属性私钥根据签名策略对第一随机数进行签名；向第二终端发送所述签名，接收第一数据中心的第一认证服务器发送的与认证请求对应的跨域认证证书；其中，所述跨域认证证书是由第二数据中心的第二认证服务器根据第二终端发送的第一终端身份认证判定结果产生的，所述第一终端身份认证判定结果是由第二终端根据签名有效发送的第一终端身份验证请求得到的。本发明实现了用户身份隐私保护和监管。

技术领域

本发明属于数字信息传输技术领域，尤其涉及一种基于区块链和属性签名的跨数据中心身份认证方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

数字经济时代，作为经济发展的新动能与社会发展的新引擎，数据已成为新的生产要素，也是重要的基础性战略资源。物联网、传感器、云计算存储以及自媒体等技术的发展，导致了海量数据的产生。随着信息技术与各个行业的持续快速深度融合发展，跨数据中心的数据交互共享越来越频繁。政府、科研和商业等机构在使用这些来自于不同数据中的数据时，含有大量工作秘密、商业秘密和个人隐私信息的数据频繁跨数据中心流动面临着严重的数据泄露等安全风险。一旦发生隐私信息泄露，将会给国家、机构和个人造成严重的安全威胁。如何有效的使用匿名身份认证等访问控制技术实现安全可控的数据共享、防止非授权用户的非法接入，是数据安全和隐私保护亟需解决的首要问题。

由于担心隐私信息泄露，数据拥有者往往不愿意共享数据，这对用户跨数据中心身份认证提出了更高的要求。在高效实现用户匿名认证的同时，要切实有效的保护用户的身份隐私信息，防止信息泄露，并抵御关联分析。在实际应用场景中，不仅要考虑用户隐私保护，通常还需要对用户的身份进行监管，以防止用户身份匿名滥用和失信行为的发生。因此，需要构建隐私保护和身份监管兼顾的高效身份认证方案。但是，目前的跨数据中心身份认证方案仍存有中心化、计算复杂度高等缺陷。各数据中心属性语义存在差异，用户进行跨数据中心身份认证时需要二次注册等。

发明内容

为了解决上述背景技术中存在的技术问题，本发明提供一种基于区块链和属性签名的跨数据中心身份认证方法及系统，本发明可在保证跨数据中心身份认证安全可信可追溯的同时，实现用户身份隐私保护和监管。

为了实现上述目的，本发明采用如下技术方案：

本发明的第一个方面提供一种基于区块链和属性签名的跨数据中心身份认证方法。

基于区块链和属性签名的跨数据中心身份认证方法，应用于第一数据中心内的第一终端，包括：

向第二数据中心的第二终端发送认证请求，接收第二终端产生的第一随机数；

使用自己的属性私钥根据签名策略对第一随机数进行签名；

向第二终端发送所述签名，接收第一数据中心的第一认证服务器发送的与认证请求对应的跨域认证证书；

其中，所述跨域认证证书是由第二数据中心的第二认证服务器根据第二终端发送的第一终端身份认证判定结果产生的，所述第一终端身份认证判定结果是由第二终端根据签名有效发送的第一终端身份验证请求得到的。

进一步地，所述第一终端身份认证判定结果是由第二终端根据签名有效发送的第一终端身份验证请求得到的具体包括：

第二终端根据该随机数、签名策略、签名、公共参数和属性私钥基，对所述签名进行验证，验证签名是否有效，若是，则向第二认证服务器发送第一终端的身份验证请求，申请第一终端的跨数据中心身份认证证书，否则认证结束。

进一步地，所述第一终端身份认证判定结果得到的过程包括：