一种可信身份认证方法、系统、存储介质、云计算终端技术方案

本发明专利技术属于身份认证技术领域，公开了一种可信身份认证方法、系统、存储介质、云计算终端，使用区块链技术在多CA之间建立信任关系，完成跨域PKI用户之间分布式身份认证的快速响应。本发明专利技术针对多个独立PKI跨域身份认证信任链构建复杂且查询时间开销大的问题，多PKI融合证书服务系统构建方法，使多个独立的PKI系统通过区块链的方式完成交叉认证，实现了跨域用户身份的可信认证。针对多域PKI证书链融合导致区块链长度增加给认证节点带来的空间开销压力，提出基于区块头节点的数字证书认证查询方法，并设计适用于多域PKI证书链的区块结构，减少长链逐块查询带来的时间开销，实现多域场景下的分布式证书验证。

【技术实现步骤摘要】
一种可信身份认证方法、系统、存储介质、云计算终端
本专利技术属于身份认证
，尤其涉及一种可信身份认证方法、系统、存储介质、云计算终端。
技术介绍
目前，当两个用户不归属于同一个信任域，即不信任同一个权威认证机构(CA,CertificateAuthority)时，互相的身份认证就需要跨信任域建立信任关系。传统公钥基础设施(PublicKeyInfrastructure，PKI)的跨域信任关系建立方式是通过两个权威认证机构CA之间事先进行多次互相签名颁发交叉证书，使权威认证机构CA之间相互信任并建立相应的信任模型，通过构建复杂的信任链传递信任关系，完成跨域用户身份的可信认证。现有网络中包含严格层次、网状、桥型和混合型等多种信任模型，不同公钥基础设施PKI之间可能采取相同或不同的信任模型，构建跨域信任关系时需要在不同信任模型的认证机构CA之间互相颁发交叉证书，造成证书信任链路径的搜索十分复杂，无法快速验证证书的有效性和真实性。当参与信任模型的认证机构CA数量增多，可能出现环形信任路径等问题导致无法构建可用信任链，使得跨域身份认证无法正常进行。通过上述分析，现有技术存在的问题及缺陷为：目前多云、多域融合计算中用户身份的跨域可信认证流程复杂、时间开销大。解决以上问题及缺陷的难度为：现有网络中包含信任模型种类繁多，不同PKI之间可能采取不同的信任模型，跨域场景下构建信任关系十分复杂困难。传统区块链中区块结构固定，随链长增加证书所需额外存储资源消耗增加，且线性逐块查询效率低。解决以上问题及缺陷的意义为：(1)本专利技术提出了基于区块链的多PKI融合的分布式认证机制，使用区块链技术在多CA之间建立信任关系，可以在本地完成证书的真实性和有效性查询，简化信任关系的传递流程，完成跨域PKI用户之间分布式身份认证的快速响应，实现域内、跨域用户身份的高效可信认证。(2)本专利技术提出基于区块链的多域分布式PKI证书链融合方法，并对原有区块结构做出改进，认证节点可以在本地完成对跨域用户的数字证书真实性和有效性的验证，保证跨域身份认证的效率。(3)本专利技术提出分布式PKI区块链的轻量化方法，降低认证节点中瘦节点的存储空间压力，提高查询效率。
技术实现思路
针对现有技术存在的问题，本专利技术提供了一种可信身份认证方法、系统、存储介质、云计算终端。本专利技术是这样实现的，一种可信身份认证方法，所述可信身份认证方法包括：多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系，在每一个域中采用分布式可信身份认证系统，当两个域达成跨域互信共识后，在认证机构之间建立跨域认证通道，并将原有的两条区块链合并成一条新的证书链，在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链；分布式公钥基础设施系统中将数字证书及其状态通过区块链技术存储，域中认证机构节点写入区块链后，域内每个认证节点都同步有完整的证书链。当用户实体需要跨域身份认证时，认证机构节点提前构建新的认证通道，将两个域的区块链融合成新区块链完成相互授信；在构建跨域认证通道时，各认证机构节点将不同域的证书区块链融合成新链交由所有认证节点同步存储，当认证节点加入多条认证通道后存储多个含有重复证书的区块链。进一步，所述可信身份认证方法包括：第一步，分布式的公钥基础设施系统中将数字证书及状态通过区块链技术存储，域中认证机构节点完全控制区块链的写入权限，每个认证节点都从其处同步区块链信息，用户实体请求身份认证时认证节点在本地完成对验证数字证书有效性的验证；第二步，在多域分布式公钥基础设施身份认证架构中，认证节点采用双重布谷鸟过滤器加快证书有效性的查询速度；第三步，在多域分布式公钥基础设施架构中，每个区块由区块头和区块体两部分构成，其中其块头存储该区块的特征信息标识一个唯一的区块，区块体中储存区块所包含的数字证书及操作，区块头中特征信息是区块体的消息摘要。进一步，所述可信身份认证方法的跨域认证总体架构，多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系，在每一个域中采用分布式可信身份认证系统，当两个域达成跨域互信共识后，在认证机构机构之间建立起一条新的跨域认证通道，并将原有的两条区块链合并成一条新的证书链，在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链，认证在节点本地完成。进一步，所述第二步当用户实体跨域身份认证时，认证机构节点提前构建新的认证通道，将两个域的区块链融合成新区块链完成相互授信，供用户跨域身份认证时验证数字证书的有效性。进一步，所述跨域身份为域A和域B，域A和域B之间构建跨域认证通道包括：(1)认证机构节点A向认证机构节点B提出构建跨域认证通道的请求；(2)认证机构节点B在本地查询验证域A的权限，若信任域A，则与其建立跨域认证通道，进入下一步；若不与域A相互信任，则拒绝该请求；(3)认证机构节点B通知认证机构节点A接受其建立跨域认证通道的请求；(4)认证机构节点A、B相互向对方发送自己域内的区块链上的所有区块；(5)认证机构节点A、B各自根据接收到的对方区块链和自己的区块链，按照时间顺序将区块重新打包，构建成新的证书区块链；(6)认证机构节点A、B互相查询对方构建的新区块链，并验证是否与自己构建的链一致，若不一致则删除新认证通道及区块链；(7)若双方验证一致，则新认证通道构建成功，并通知对方启用；(8)通知各自域内节点启用新跨域认证通道并同步新区块链；跨域认证通道建立后，域A中的每个认证节点都维护有至少包含一个域A的域内认证通道和一个域A-域B的跨域认证通道，两个域之间的用户实体凭借原有数字证书进行跨域身份认证时，认证节点在本地完成对跨域用户数字证书的验证。进一步，所述第三步在多域公钥基础设施融合后的跨域认证通道中，数字证书按照时间顺序重新打包构成区块链，链中多个认证机构所颁发的数字证书交替出现，使逐块遍历区块链需花费额外的查询时间，在区块头中增加同认证机构前区块序列号字段，与本区块CA_ID编号相同的、最近区块的序列号，将同一个认证机构所颁发的数字证书连接起来，在查询数字证书有效性时，根据该字段只遍历颁发该证书的认证机构所提交的区块；所述第四步包括三种针对区块体的轻量化方法：(1)冗余删除，多域分布式公钥基础设施系统中认证节点选择的加入数个跨域认证通道，将所有的跨域认证通道区块链中属于本域数字证书区块的区块体删除，只保存区块头用于验证证书有效性；(2)过期删除，删除之前区块链中所有针对该数字证书操作的过期区块体，仅保留针对该证书的最后一个区块的区块体供认证节点查询证书当前状态；(3)全量删除，(1)和(2)满足多链区块的存储时，删除所有区块的区块体。本专利技术的另一目的在于提供一种接收用户输入程序存储介质，所存储的计算机程序使电子设备执行权利要求任意一项所述包括下列步骤：多公钥基础设施融合的分布式认证机本文档来自技高网...

【技术保护点】
1.一种可信身份认证方法，其特征在于，所述可信身份认证方法包括：/n多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系，在每一个域中采用分布式可信身份认证系统，当两个域达成跨域互信共识后，在认证机构之间建立跨域认证通道，并将原有的两条区块链合并成一条新的证书链，在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链；/n分布式公钥基础设施系统中将数字证书及其状态通过区块链技术存储，域中认证机构节点写入区块链后，域内每个认证节点都同步有完整的证书链，当用户实体需要跨域身份认证时，认证机构节点提前构建新的认证通道，将两个域的区块链融合成新区块链完成相互授信；/n在构建跨域认证通道时，各认证机构节点将不同域的证书区块链融合成新链交由所有认证节点同步存储，当认证节点加入多条认证通道后存储多个含有重复证书的区块链。/n

【技术特征摘要】
1.一种可信身份认证方法，其特征在于，所述可信身份认证方法包括：
多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系，在每一个域中采用分布式可信身份认证系统，当两个域达成跨域互信共识后，在认证机构之间建立跨域认证通道，并将原有的两条区块链合并成一条新的证书链，在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链；
分布式公钥基础设施系统中将数字证书及其状态通过区块链技术存储，域中认证机构节点写入区块链后，域内每个认证节点都同步有完整的证书链，当用户实体需要跨域身份认证时，认证机构节点提前构建新的认证通道，将两个域的区块链融合成新区块链完成相互授信；
在构建跨域认证通道时，各认证机构节点将不同域的证书区块链融合成新链交由所有认证节点同步存储，当认证节点加入多条认证通道后存储多个含有重复证书的区块链。


2.如权利要求1所述的可信身份认证方法，其特征在于，所述可信身份认证方法包括：
第一步，分布式的公钥基础设施系统中将数字证书及状态通过区块链技术存储，域中认证机构节点完全控制区块链的写入权限，每个认证节点都从其处同步区块链信息，用户实体请求身份认证时认证节点在本地完成对验证数字证书有效性的验证；
第二步，在多域分布式公钥基础设施身份认证架构中，认证节点同样采用双重布谷鸟过滤器加快证书有效性的查询速度；
第三步，在多域分布式公钥基础设施架构中，每个区块由区块头和区块体两部分构成，其中其块头存储该区块的特征信息标识一个唯一的区块，区块体中储存区块所包含的数字证书及操作，区块头中特征信息是区块体的消息摘要。


3.如权利要求2所述的可信身份认证方法，其特征在于，所述可信身份认证方法的跨域认证总体架构，多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系，在每一个域中采用分布式可信身份认证系统，当两个域达成跨域互信共识后，在认证机构机构之间建立起一条新的跨域认证通道，并将原有的两条区块链合并成一条新的证书链，在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链，认证在节点本地完成。


4.如权利要求2所述的可信身份认证方法，其特征在于，所述第二步当用户实体跨域身份认证时，认证机构节点提前构建新的认证通道，将两个域的区块链融合成新区块链完成相互授信，供用户跨域身份认证时验证数字证书的有效性。


5.如权利要求4所述的可信身份认证方法，其特征在于，所述跨域身份为域A和域B，域A和域B之间构建跨域认证通道包括：
(1)认证机构节点A向认证机构节点B提出构建跨域认证通道的请求；
(2)认证机构节点B在本地查询验证域A的权限，若信任域A，则与其建立跨域认证通道，进入下一步；若不与域A相互信任，则拒绝该请求；
(3)认证机构节点B通知认证机构节点A接受其建立跨域认证通道的请求；
(4)认证机构节点A、B相互向对方发送自己域内的区块链上的所有区块；
(5)认证机构节点A、B各自根据接收到的对方区块链和自己的区块链，按照时间顺序将区块重新打包，构建成新的证书区块链；
(6)认证机构节点A、B互相查询对方构建的新区块链，并验证是否与自己构建的链一致，若不一致则删除新认证通道及区块链；
(7)若双方验证一致，则新认证通道构建成功...

【专利技术属性】
技术研发人员：沈玉龙，景玉，何昶辉，张志为，赵迪，王博，崔志浩，何怡，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61