【技术实现步骤摘要】
一种可信身份认证方法、系统、存储介质、云计算终端
本专利技术属于身份认证
,尤其涉及一种可信身份认证方法、系统、存储介质、云计算终端。
技术介绍
目前,当两个用户不归属于同一个信任域,即不信任同一个权威认证机构(CA,CertificateAuthority)时,互相的身份认证就需要跨信任域建立信任关系。传统公钥基础设施(PublicKeyInfrastructure,PKI)的跨域信任关系建立方式是通过两个权威认证机构CA之间事先进行多次互相签名颁发交叉证书,使权威认证机构CA之间相互信任并建立相应的信任模型,通过构建复杂的信任链传递信任关系,完成跨域用户身份的可信认证。现有网络中包含严格层次、网状、桥型和混合型等多种信任模型,不同公钥基础设施PKI之间可能采取相同或不同的信任模型,构建跨域信任关系时需要在不同信任模型的认证机构CA之间互相颁发交叉证书,造成证书信任链路径的搜索十分复杂,无法快速验证证书的有效性和真实性。当参与信任模型的认证机构CA数量增多,可能出现环形信任路径等问题导致无法构建可用信任链,使得跨域身份认证无法正常进行。通过上述分析,现有技术存在的问题及缺陷为:目前多云、多域融合计算中用户身份的跨域可信认证流程复杂、时间开销大。解决以上问题及缺陷的难度为:现有网络中包含信任模型种类繁多,不同PKI之间可能采取不同的信任模型,跨域场景下构建信任关系十分复杂困难。传统区块链中区块结构固定,随链长增加证书所需额外存储资源消耗增加,且线性逐块查询效率低。解决以上问题及缺 ...
【技术保护点】
1.一种可信身份认证方法,其特征在于,所述可信身份认证方法包括:/n多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系,在每一个域中采用分布式可信身份认证系统,当两个域达成跨域互信共识后,在认证机构之间建立跨域认证通道,并将原有的两条区块链合并成一条新的证书链,在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链;/n分布式公钥基础设施系统中将数字证书及其状态通过区块链技术存储,域中认证机构节点写入区块链后,域内每个认证节点都同步有完整的证书链,当用户实体需要跨域身份认证时,认证机构节点提前构建新的认证通道,将两个域的区块链融合成新区块链完成相互授信;/n在构建跨域认证通道时,各认证机构节点将不同域的证书区块链融合成新链交由所有认证节点同步存储,当认证节点加入多条认证通道后存储多个含有重复证书的区块链。/n
【技术特征摘要】
1.一种可信身份认证方法,其特征在于,所述可信身份认证方法包括:
多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系,在每一个域中采用分布式可信身份认证系统,当两个域达成跨域互信共识后,在认证机构之间建立跨域认证通道,并将原有的两条区块链合并成一条新的证书链,在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链;
分布式公钥基础设施系统中将数字证书及其状态通过区块链技术存储,域中认证机构节点写入区块链后,域内每个认证节点都同步有完整的证书链,当用户实体需要跨域身份认证时,认证机构节点提前构建新的认证通道,将两个域的区块链融合成新区块链完成相互授信;
在构建跨域认证通道时,各认证机构节点将不同域的证书区块链融合成新链交由所有认证节点同步存储,当认证节点加入多条认证通道后存储多个含有重复证书的区块链。
2.如权利要求1所述的可信身份认证方法,其特征在于,所述可信身份认证方法包括:
第一步,分布式的公钥基础设施系统中将数字证书及状态通过区块链技术存储,域中认证机构节点完全控制区块链的写入权限,每个认证节点都从其处同步区块链信息,用户实体请求身份认证时认证节点在本地完成对验证数字证书有效性的验证;
第二步,在多域分布式公钥基础设施身份认证架构中,认证节点同样采用双重布谷鸟过滤器加快证书有效性的查询速度;
第三步,在多域分布式公钥基础设施架构中,每个区块由区块头和区块体两部分构成,其中其块头存储该区块的特征信息标识一个唯一的区块,区块体中储存区块所包含的数字证书及操作,区块头中特征信息是区块体的消息摘要。
3.如权利要求2所述的可信身份认证方法,其特征在于,所述可信身份认证方法的跨域认证总体架构,多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系,在每一个域中采用分布式可信身份认证系统,当两个域达成跨域互信共识后,在认证机构机构之间建立起一条新的跨域认证通道,并将原有的两条区块链合并成一条新的证书链,在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链,认证在节点本地完成。
4.如权利要求2所述的可信身份认证方法,其特征在于,所述第二步当用户实体跨域身份认证时,认证机构节点提前构建新的认证通道,将两个域的区块链融合成新区块链完成相互授信,供用户跨域身份认证时验证数字证书的有效性。
5.如权利要求4所述的可信身份认证方法,其特征在于,所述跨域身份为域A和域B,域A和域B之间构建跨域认证通道包括:
(1)认证机构节点A向认证机构节点B提出构建跨域认证通道的请求;
(2)认证机构节点B在本地查询验证域A的权限,若信任域A,则与其建立跨域认证通道,进入下一步;若不与域A相互信任,则拒绝该请求;
(3)认证机构节点B通知认证机构节点A接受其建立跨域认证通道的请求;
(4)认证机构节点A、B相互向对方发送自己域内的区块链上的所有区块;
(5)认证机构节点A、B各自根据接收到的对方区块链和自己的区块链,按照时间顺序将区块重新打包,构建成新的证书区块链;
(6)认证机构节点A、B互相查询对方构建的新区块链,并验证是否与自己构建的链一致,若不一致则删除新认证通道及区块链;
(7)若双方验证一致,则新认证通道构建成功...
【专利技术属性】
技术研发人员:沈玉龙,景玉,何昶辉,张志为,赵迪,王博,崔志浩,何怡,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。