一种基于区块链的联盟信任分布式身份凭证管理认证方法技术

本发明专利技术涉及一种基于区块链的联盟信任分布式身份凭证管理认证方法，包括如下步骤：(1)将联盟内能够开具数字身份凭证的网络实体作为凭证颁发者，将联盟内验证数字身份凭证真实性的网络实体作为凭证验证者，将联盟内拥有数字身份凭证的网络实体作为凭证持有者；其中联盟数字身份凭证是与联盟分布式身份标识符关联的分布式网络实体身份属性集合，使分布式网络实体适应联盟内不同应用场景下分布式跨域身份认证；依据联盟数字身份凭证定义，通过属性赋值进而生成联盟数字身份凭证；(2)对联盟数字身份凭证进行颁发、验证、更新、撤消全生命周期进行管理，为联盟内分布式异构网络实体提供在联盟内不同应用场景下统一、安全的跨域身份认证。份认证。份认证。

【技术实现步骤摘要】
一种基于区块链的联盟信任分布式身份凭证管理认证方法


[0001]本专利技术属于信息安全领域的身份认证安全领域，具体涉及到一种基于区块链的联盟信任分布式身份凭证管理认证方法。

技术介绍

[0002]近年来，随着物联网、互联网+、5G、大数据等技术的快速发展，联盟组织中人员、设备等分布式异构网络实体之间信息交互日益增强，各分布式业务应用信息系统之间多方协作、数据融合需求增大。身份认证作为保护分布式应用信息系统安全的第一道关口，通过对各分布式网络实体身份信息的可靠识别实现网络实体间的互信，也变得越来越重要。然而，联盟组织中各分布式业务应用系统由于缺乏身份信息互通，不仅使得跨系统的分布式网络实体需要在各系统频繁注册身份，而且存在多方协作效率低、“数据孤岛”加大、身份被冒用等难题，难满足各业务系统多方协作和身份数据融合的跨域身份认证需求，亟需建立针对分布式异构网络实体的统一、安全、适应新业务发展的跨域身份认证方案。针对上述跨域认证身份需求，传统“中心化、以用户为中心”的身份认证方案有以下的弊端：(1)中心化身份认证方案中，用户的身份数据管理中心化，不为用户所控制，用户隐私数据散落在互联网上难以保护，如果中心认证服务器被攻击成功，整个身份认证系统会崩溃；(2)以用户为中心的身份认证方案中，用户自己完全掌控身份数据，但因双方认证过程缺乏信任，用户无法有效识别身份提供者的欺诈身份，很难防范“网络钓鱼”攻击。因此，利用区块链去中心化、不可篡改等特性，提出了基于区块链的去中心的身份认证方案。
[0003]现有的基于区块链技术的身份认证方案，无法针对联盟组织中人员、设备、企业、组织机构等分布式异构网络实体，实现用户的身份信息自主控制、易扩展的跨域统一联盟信任分布式身份认证。专利《基于区块链技术的身份认证系统及其实现方法》(CN202010372661.2)提出基于区块链身份认证系统架构，及实名注册、身份认证和级联认证等过程实现，但是不同应用场景下的身份认证采用同一数字身份，不能满足不同场景下数字身份的应用需求，同时身份信息容易被归集，造成身份信息的泄露；该专利仅实现了数字身份注册、认证过程，缺少针对联盟内分布式异构网络实体的数字身份全生命周期的管理，分布式异构网络实体无法灵活自主的控制身份信息，防止身份隐私的泄露。专利《一种面向联盟链的身份认证方法》(CN202010046737.2)给出了用户在互不信任的情况下共同参与密钥生成并实现身份认证的方案，但用户不能自主的控制完成身份的生成、注册、更新、撤销；不同应用场景下采用同一私钥表示身份，身份信息也容易被归集，造成用户自身整个身份信息泄露，使其面临安全隐患。

技术实现思路

[0004]为了解决上述技术问题，本专利技术技术解决方案实现，一种基于区块链的联盟信任分布式身份凭证管理认证方法，具体包括：
[0005]对联盟数字身份凭证进行颁发、验证、更新、撤消全生命周期管理，将联盟内能够
开具数字身份凭证的网络实体作为凭证颁发者、联盟内验证数字身份凭证真实性的网络实体作为凭证验证者和联盟内拥有数字身份凭证的网络实体作为凭证持有者三类角色。
[0006]其中联盟数字身份凭证是与联盟分布式身份标识符关联的分布式网络实体身份属性集合，使分布式网络实体适应联盟内不同应用场景下分布式跨域身份认证。依据联盟数字身份凭证定义，通过属性赋值进而生成联盟数字身份凭证，其中联盟数字身份凭证定义的数据结构是由元数据Credential Metadata、属性集合Claims及凭证颁发者签名信息Proofs三部分组成，如：{CredentialMetadata:{credentialName,issuanceDate,expireDate,Issuer},Claims:{claim1,...,claimN},Proofs:{signatureValue,signatureAlgorithm,createdTime}}，其中元数据包含凭证名称credentialName、颁发日期issuanceDate及有效期expireDate、凭证颁发者Issuer等信息；凭证颁发者签名信息包括签名信息signatureValue、签名算法signatureAlgorithm、签名创建时间createdTime等。各凭证颁发者、持有者与验证者分布式身份客户端在进行交互之前，根据(1)完成各自联盟分布式身份标识符生成、注册过程。
[0007](a)联盟数字身份凭证颁发：分布式网络实体通过分布式身份客户端向联盟分布式身份服务节点发送查询凭证颁发者账本上身份信息的请求，以获取凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义。联盟分布式身份服务节点收到该查询请求，查询联盟分布式身份账本，如果查询到凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义，则将查询到的凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义发送回发送查询请求的分布式身份客户端。分布式网络实体分布式身份客户端收到凭证颁发者在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义后，向凭证颁发者分布式身份客户端发送申请颁发凭证的请求，凭证颁发者接收到该申请颁发凭证的请求，对发起该请求的分布式网络实体的联盟分布式身份标识符进行验证，若验证通过，凭证颁发者则基于自身存储的联盟数字身份凭证定义，为该分布式网络实体创建联盟数字身份凭证,并发送给该分布式网络实体分布式身份客户端。申请颁发凭证分布式网络实体分布式身份客户端收到联盟数字身份凭证，通过账本上已获取的联盟数字身份凭证定义对收到联盟数字身份凭证的真实性进行验证，若验证通过，则将其保存在自己的身份钱包中。
[0008](b)联盟数字身份凭证验证：凭证持有者通过分布式身份客户端首先向联盟分布式身份服务节点发送查询凭证验证者在联盟分布式身份账本上的联盟分布式身份标识符验证结果及是否撤销标记请求。联盟分布式身份服务节点收到该查询请求，查询联盟分布式身份账本，如果查询到凭证验证者在联盟分布式身份账本上的联盟分布式身份标识符验证结果及是否撤销标记，则将该查询结果发送给凭证持有者分布式身份客户端。凭证持有者分布式身份客户端如果收到的查询结果显示凭证验证者的联盟分布式身份标识符验证结果是通过且未被撤销，则从内置身份钱包中取出相应联盟数字身份凭证，然后依据联盟数字身份凭证创建联盟数字身份凭证证明，接着向凭证验证者分布式身份客户端发送携带该凭证证明的验证请求。凭证验证者分布式身份客户端接收到该验证请求，首先对该凭证持有者的联盟分布式身份标识符进行验证，如果验证通过，则提取出该验证请求中联盟数字身份凭证证明，同时查询在联盟分布式身份账本中的联盟数字身份凭证的定义；然后依据查询到的联盟数字身份凭证定义对联盟数字身份凭证证明的真实性进行验证，如果验证
也通过，则发送验证请求的凭证持有者为合法用户，给予该发送验证请求的凭证持有者相应访问权限；否则，该发送验证请求的凭证持有者为不合法用户，拒绝提供访问服务。
[0009]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于区块链的联盟信任分布式身份凭证管理认证方法，其特征在于：具体包括如下步骤：(1)将联盟内能够开具数字身份凭证的网络实体作为凭证颁发者，将联盟内验证数字身份凭证真实性的网络实体作为凭证验证者，将联盟内拥有数字身份凭证的网络实体作为凭证持有者；其中联盟数字身份凭证是与联盟分布式身份标识符关联的分布式网络实体身份属性集合，使分布式网络实体适应联盟内不同应用场景下分布式跨域身份认证；依据联盟数字身份凭证定义，通过属性赋值进而生成联盟数字身份凭证；(2)对联盟数字身份凭证进行全生命周期进行管理，具体包括：(2.1)对联盟数字身份凭证进行颁发；(2.2)对联盟数字身份凭证进行验证；(2.3)对联盟数字身份凭证进行更新；(2.4)对联盟数字身份凭证进行撤消。2.根据权利要求1所述的一种基于区块链的联盟信任分布式身份凭证管理认证方法，其特征在于：其中联盟数字身份凭证定义的数据结构包括元数据Credential Metadata、属性集合Claims及凭证颁发者签名信息Proofs三部分：{Credential Metadata:{credentialName,issuanceDate,expireDate,Issuer},Claims:{claim1,...,claimN},Proofs:{signatureValue,signatureAlgorithm,createdTime}}，其中元数据包含凭证名称credentialName、颁发日期issuanceDate及有效期expireDate、凭证颁发者Issuer等信息；凭证颁发者签名信息包括签名信息signatureValue、签名算法signatureAlgorithm、签名创建时间createdTime等；各凭证颁发者、持有者与验证者分布式身份客户端在进行交互之前，首先根据上述身份凭证定义完成各自联盟分布式身份标识符生成、注册过程。3.根据权利要求1所述的一种基于区块链的联盟信任分布式身份凭证管理认证方法，其特征在于，所述的步骤(2.1)对联盟数字身份凭证进行颁发具体包括：(2.1.1)分布式网络实体通过分布式身份客户端向联盟分布式身份服务节点发送查询凭证颁发者账本上身份信息的请求，以获取凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义；(2.1.2)联盟分布式身份服务节点收到该查询请求，查询联盟分布式身份账本，如果查询到凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义，则将查询到的凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义发送回发送查询请求的分布式身份客户端；(2.1.3)分布式网络实体分布式身份客户端收到凭证颁发者在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义后，向凭证颁发者分布式身份客户端发送申请颁发凭证的请求，凭证颁发者接收到该申请颁发凭证的请求，对发起该请求的分布式网络实体的联盟分布式身份标识符进行验证，若验证通过，凭证颁发者则基于自身存储的联盟数字身份凭证定义，为该分布式网络实体创建联盟数字身份凭证,并发送给该分布式网络实体分布式身份客户端；(2.1.4)申请颁发凭证分布式网络实体分布式身份客户端收到联盟数字身份凭证，通
过账本上已获取的联盟数字身份凭证定义对收到联盟数字身份凭证的真实性进行验证，若验证通过，则将其保存在自己的身份钱包中。4.根据权利要求1所述的一种基于区块链的联盟信任分布式身份凭证管理认证方法，其特征在于：所述的步骤(2.2)对联盟数字身份凭证验证具体包括：(2.2.1)凭证持有者通过分布式身份客户端首先向联盟分布式身份服务节点发送查询凭证验证者在联盟分布式身份账本上的联盟分布式身份标识符验证结果及是否撤销标记请求；联盟分布式身份服务节点收到该查询请求，查询联盟分布式身份账本，如果查询到凭证验证者在联盟分布式身份账本上的联盟分布式身份标识符验证结果及是否撤销标记，则将该查询结果发送给凭证持有者分布式身份客户端；(2.2.2)凭证持有者分布式身份客户端如果收到的查询结果显示凭证验证者的联盟分布式身份标识符验证结果是通过且未被撤销，则从内置身份钱包中取出相应联盟数字身份凭证，然后依据联盟数字身份凭证创建联盟数字身份凭证证明，接着向凭证验证者分布式身份客户端发送携带该凭证证明的验证请求；(2.2.3)凭证验证者分布式身份客户端接收到该验证请求，首先对该凭证持有者的联盟分布式身份标识符进行验证，如果验证通过，则提取出该验证请求中联盟数字身份凭证证明，同时查询在联盟分布式身份账本中的联盟数字身份凭证的定义；然后依据查询到的联盟数字身份凭证定义对联盟数字身份凭证证明的真实性进行验证，如果验证也通过，凭证验证者认定发送验证请求的凭证持有者为合法，则给予该发送验证请求的凭证持有者相应访问权限；否则，不合法，拒绝提供访问服务。5.根据权利要求1所述的一种基于区块链的联盟信任分布式身份凭证管理认证方法，其特征在于：所述步骤(2.3)对联盟数字身份凭证更新具体包括：(2.3.1...

【专利技术属性】
技术研发人员：王瑜，吕朋辉，陈亚，田琛，王雅哲，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：