一种基于区块链的跨域认证方法与电子设备技术

本发明专利技术实施例提供一种基于区块链的跨域认证方法与电子设备，基于给定跨域认证系统实现，给定跨域认证系统包括主认证机构、从认证机构、用户端及验证方，其中所述方法包括：主认证机构生成公共参数、主密钥和主公钥，并基于主密钥生成并分发从认证机构的从密钥给从认证机构；从认证机构根据从密钥签发证书给用户端，用户端若验证其有效则接受；从认证机构对证书承诺并发送给用户端，用户端若验证其有效则接受；从认证机构对承诺签名并广播到区块链系统，其它从认证机构若验证签名有效则存储；用户端将承诺与验证信息发送给验证方，验证方若验证承诺有效则接受用户的身份信息。本发明专利技术实施例能够实现高效的跨域认证并能对从认证机构的严格监管。

A cross domain authentication method and electronic equipment based on blockchain

【技术实现步骤摘要】
一种基于区块链的跨域认证方法与电子设备
本专利技术涉及信息安全
，更具体地，涉及一种基于区块链的跨域认证方法与电子设备。
技术介绍
互联网是一个开放性的系统，其开放性导致其存在许多的安全漏洞、威胁和隐私问题。网络中的各类资源很容易被攻击者非法访问而导致经济损失等问题，因此信息服务商对网络资源访问者的身份进行合法性认证是至关重要的。身份认证是对信息服务实体身份的有效性进行确定的过程，该过程是网络安全的一道基本防线。由于信息服务资源和信息服务种类越来越多，使得用户需要登录到不同的信息服务系统以完成不同的任务。这些信息服务系统由多个不同的信任域构成，每个信任域中均有一个或多个独立的认证机构。当前应用需求需要用户在不同信任域中签发的证书在其他信任域中能够得到认证，即实现跨域认证。公钥基础设施(PublicKeyInfrastructure，PKI)是基于公钥密码技术提供安全信息服务的通用安全基础设施。在基于PKI的跨域认证中，由可信第三方，即认证机构，对证书进行生成、发放、管理与存档等。此外，可信第三方还需要对上述证书相关的工作提供安全服务，如为网络应用提供认证、授权、加密、解密及签名等。但是该认证过程会产生大量的数字证书，证书管理成本巨大。在基于身份的跨域认证技术中，通常用一串具有特征信息的字符串代表用户，且将其作为用户的公钥，通过该身份字符串实现对用户的认证不需要数字证书，因此避免了庞大的证书管理。但是，用户的公钥需要认证机构签名，认证过程需要认证机构的参与。因此，认证需要认证机构、用户、信息服务商同时在线才能完成任务。在5G移动无线网络的发展和普及下，无线互联网迅速发展起来，互联网中绝大多数用户都是移动用户。在当前5G移动互联网应用场景下，网络被分为多个片，当用户在各个片之间迅速移动时，要求用户在不同信任域之间能够快速切换，才能通过无线网络获取互联网系统上的信息服务。但是，由于传统的身份认证技术的上述限制，使得其显然不能满足该新场景下的效率需求，同时认证过程的安全性和公正性也得不到保障。因此，如何设计更加安全、快捷的跨域认证技术是亟待研究的关键问题。
技术实现思路
为了克服上述问题或者至少部分地解决上述问题，本专利技术实施例提供一种基于区块链的跨域认证方法与电子设备，用以有效提高对用户进行跨域认证的处理效率以及安全性。第一方面，本专利技术实施例提供一种基于区块链的跨域认证方法，所述基于区块链的跨域认证方法基于给定跨域认证系统实现，所述给定跨域认证系统包括主认证机构、从认证机构、用户端以及验证方，所述基于区块链的跨域认证方法包括：利用所述主认证机构，选取安全参数依次生成公共参数以及所述主认证机构的主公钥和主密钥，并基于所述主密钥生成所述从认证机构的从密钥，分发给所述从认证机构；利用所述从认证机构，根据所述从密钥生成所述从认证机构的从公钥，并基于所述从公钥生成证书签发给所述用户端，以供所述用户端验证所述证书是否有效，并在验证有效时接受所述证书；利用所述从认证机构，对所述证书进行承诺，并将承诺生成的证书承诺和验证信息发送给所述用户端，以供所述用户端验证所述证书承诺是否有效，并在验证有效时，接受所述证书承诺和所述验证信息；利用所述从认证机构，对所述证书承诺签名，并将签名生成的承诺签名广播到区块链系统中，以供其它从认证机构验证所述承诺签名是否有效，并在验证有效时，将所述承诺签名存储到区块链系统中；利用所述用户端，将所述证书、所述证书承诺和所述验证信息发送给所述验证方，以供所述验证方验证所述证书承诺是否有效，并在验证有效时，接受所述用户端对应的用户的身份信息；利用所述主认证机构，追踪所述从认证机构的身份信息，并分别利用所述主认证机构和所述从认证机构，从所述证书承诺中提取出所述证书实现跨域认证。其中可选的，所述利用所述主认证机构，选取安全参数生成公共参数以及所述主认证机构的主公钥和主密钥，并基于所述主密钥生成所述从认证机构的从密钥，分发给所述从认证机构的步骤具体包括：利用所述主认证机构，依次完成如下处理流程：选择安全参数1λ，并基于安全参数1λ，采用系统参数生成算法SysGen，生成公共参数Param；基于公共参数Param，采用密钥生成算法KGen，生成所述主认证机构的主公钥gmpk和主密钥gmsk，并基于主密钥gmsk，采用密钥生成算法KGen，生成所述从认证机构的从密钥gsk；所述利用所述从认证机构，根据所述从密钥生成所述从认证机构的从公钥的步骤具体包括：利用所述从认证机构，基于所述从认证机构的从密钥gsk，采用密钥生成算法KGen，生成所述从认证机构的从公钥gpk。其中可选的，所述基于所述从公钥生成证书签发给所述用户端，以供所述用户端验证所述证书是否有效，并在验证有效时接受所述证书的步骤具体包括：利用所述从认证机构，基于所述从认证机构的从密钥gsk、所述主认证机构的主公钥gmpk和所述用户端所对应用户的身份信息IDj，采用群签名算法GSig，生成证书Cert签发给所述用户端；利用所述用户端，根据主公钥gmpk、用户的身份信息IDj和证书Cert，采用验证算法GVer，验证证书Cert是否有效；若验证算法GVer的输出为Valid，则确定证书Cert有效并接受证书Cert，若验证算法GVer的输出为Invalid，则确定证书Cert无效并拒绝证书Cert。其中可选的，所述利用所述从认证机构，对所述证书进行承诺，并将承诺生成的证书承诺和验证信息发送给所述用户端，以供所述用户端验证所述证书承诺是否有效，并在验证有效时，接受所述证书承诺和所述验证信息的步骤具体包括：利用所述从认证机构，根据所述主认证机构的主公钥gmpk、所述从认证机构的公钥gpk和证书Cert，采用承诺算法TECom生成证书承诺和验证信息(ψ，π)，并将证书承诺和验证信息(ψ，π)发送给所述用户端；利用所述用户端，根据所述主认证机构的主公钥gmpk、证书Cert、证书承诺和验证信息(ψ，π)，采用验证算法TEVer，验证证书承诺ψ是否有效；若验证算法TEVer的输出为Valid，则确定证书承诺ψ有效并接受证书承诺和验证信息(ψ，π)，若验证算法TEVer的输出为Invalid，则确定证书承诺ψ无效并拒绝证书承诺和验证信息(ψ，π)。其中可选的，所述利用所述从认证机构，对所述证书承诺进行签名，并将签名生成的承诺签名广播到区块链系统中，以供其它从认证机构验证所述承诺签名是否有效，并在验证有效时，将所述承诺签名存储到区块链系统中的步骤具体包括：利用所述从认证机构，根据所述从认证机构的从密钥gsk、所述主认证机构的主公钥gmpk和证书承诺ψ，采用群签名算法GSig，生成承诺签名σ并广播到区块链系统中；利用所述其它从认证机构，根据所述主认证机构的主公钥gmpk、证书承诺ψ和承诺签名σ，采用验证算法GVer，验证承诺签名σ是否有效；若验证算法GVer的输出为Valid，则确定本文档来自技高网...

【技术保护点】
1.一种基于区块链的跨域认证方法，其特征在于，所述基于区块链的跨域认证方法基于给定跨域认证系统实现，所述给定跨域认证系统包括主认证机构、从认证机构、用户端以及验证方，所述基于区块链的跨域认证方法包括：/n利用所述主认证机构，选取安全参数依次生成公共参数以及所述主认证机构的主公钥和主密钥，并基于所述主密钥生成所述从认证机构的从密钥，分发给所述从认证机构；/n利用所述从认证机构，根据所述从密钥生成所述从认证机构的从公钥，并基于所述从公钥生成证书签发给所述用户端，以供所述用户端验证所述证书是否有效，并在验证有效时接受所述证书；/n利用所述从认证机构，对所述证书进行承诺，并将承诺生成的证书承诺和验证信息发送给所述用户端，以供所述用户端验证所述证书承诺是否有效，并在验证有效时，接受所述证书承诺和所述验证信息；/n利用所述从认证机构，对所述证书承诺进行签名，并将签名生成的承诺签名广播到区块链系统中，以供其它从认证机构验证所述承诺签名是否有效，并在验证有效时，将所述承诺签名存储到区块链系统中；/n利用所述用户端，将所述证书、所述证书承诺和所述验证信息发送给所述验证方，以供所述验证方验证所述证书承诺是否有效，并在验证有效时，接受所述用户端对应的用户的身份信息；/n利用所述主认证机构，追踪所述从认证机构的身份信息，并分别利用所述主认证机构和所述从认证机构，从所述证书承诺中提取出所述证书实现跨域认证。/n...

【技术特征摘要】
1.一种基于区块链的跨域认证方法，其特征在于，所述基于区块链的跨域认证方法基于给定跨域认证系统实现，所述给定跨域认证系统包括主认证机构、从认证机构、用户端以及验证方，所述基于区块链的跨域认证方法包括：
利用所述主认证机构，选取安全参数依次生成公共参数以及所述主认证机构的主公钥和主密钥，并基于所述主密钥生成所述从认证机构的从密钥，分发给所述从认证机构；
利用所述从认证机构，根据所述从密钥生成所述从认证机构的从公钥，并基于所述从公钥生成证书签发给所述用户端，以供所述用户端验证所述证书是否有效，并在验证有效时接受所述证书；
利用所述从认证机构，对所述证书进行承诺，并将承诺生成的证书承诺和验证信息发送给所述用户端，以供所述用户端验证所述证书承诺是否有效，并在验证有效时，接受所述证书承诺和所述验证信息；
利用所述从认证机构，对所述证书承诺进行签名，并将签名生成的承诺签名广播到区块链系统中，以供其它从认证机构验证所述承诺签名是否有效，并在验证有效时，将所述承诺签名存储到区块链系统中；
利用所述用户端，将所述证书、所述证书承诺和所述验证信息发送给所述验证方，以供所述验证方验证所述证书承诺是否有效，并在验证有效时，接受所述用户端对应的用户的身份信息；
利用所述主认证机构，追踪所述从认证机构的身份信息，并分别利用所述主认证机构和所述从认证机构，从所述证书承诺中提取出所述证书实现跨域认证。


2.根据权利要求1所述的基于区块链的跨域认证方法，其特征在于，所述利用所述主认证机构，选取安全参数生成公共参数以及所述主认证机构的主公钥和主密钥，并基于所述主密钥生成所述从认证机构的从密钥，分发给所述从认证机构的步骤具体包括：
利用所述主认证机构，依次完成如下处理流程：
选择安全参数1λ，并基于安全参数1λ，采用系统参数生成算法SysGen，生成公共参数Param；
基于公共参数Param，采用密钥生成算法KGen，生成所述主认证机构的主公钥gmpk和主密钥gmsk，并基于主密钥gmsk，采用密钥生成算法KGen，生成所述从认证机构的从密钥gsk；
所述利用所述从认证机构，根据所述从密钥生成所述从认证机构的从公钥的步骤具体包括：利用所述从认证机构，基于所述从认证机构的从密钥gsk，采用密钥生成算法KGen，生成所述从认证机构的从公钥gpk。


3.根据权利要求1所述的基于区块链的跨域认证方法，其特征在于，所述基于所述从公钥生成证书签发给所述用户端，以供所述用户端验证所述证书是否有效，并在验证有效时接受所述证书的步骤具体包括：
利用所述从认证机构，基于所述从认证机构的从密钥gsk、所述主认证机构的主公钥gmpk和所述用户端所对应用户的身份信息IDj，采用群签名算法GSig，生成证书Cert签发给所述用户端；
利用所述用户端，根据主公钥gmpk、用户的身份信息IDj和证书Cert，采用验证算法GVer，验证证书Cert是否有效；
若验证算法GVer的输出为Valid，则确定证书Cert有效并接受证书Cert，若验证算法GVer的输出为Invalid，则确定证书Cert无效并拒绝证书Cert。


4.根据权利要求1所述的基于区块链的跨域认证方法，其特征在于，所述利用所述从认证机构，对所述证书进行承诺，并将承诺生成的证书承诺和验证信息发送给所述用户端，以供所述用户端验证所述证书承诺是否有效，并在验证有效时，接受所述证书承诺和所述验证信息的步骤具体包括：
利用所述从认证机构，根据所述主认证机构的主公钥gmpk、所述从认证机构的公钥gpk和证书Cert，采用承诺算...

【专利技术属性】
技术研发人员：李桐，吴骏泽，姜勇，钟林，解凯，杨斌，郭静如，
申请(专利权)人：北京印刷学院，北京航空航天大学，
类型：发明
国别省市：北京;11