本发明专利技术公开了基于区块链的跨异构域认证系统,该系统是构建的一个原型系统。利用区块链的分布式和不可篡改特性,设计了一种基于区块链的跨异构域认证系统,以保证异构域认证过程中的安全性。在该系统中,信任域包括PKI和IBE信任域。每个信任域中都包括认证系统、数据和应用系统以及人员管理系统。该模型不改变每个认证域的内部信任结构,具有很高的可扩展性。此外,在保证安全的前提下,提出了一种基于区块链的跨域认证协议。该协议对根证书验证签名的过程进行了改进,通过将信任域发送的根证书进行哈希运算后与存储在区块链上的哈希值做比对,以此验证方式确保证书的正确性、安全性,同时提高了系统认证效率。同时提高了系统认证效率。同时提高了系统认证效率。
【技术实现步骤摘要】
基于区块链的跨异构域认证系统
[0001]本专利技术属于认证系统中的跨异构域认证领域,特别设计一种基于区块链的跨域认证系统。
技术介绍
[0002]随着互联网技术的发展,组织或服务提供商拥有越来越多的应用和信息。安全是互联网平台健康发展的前提和保障,而建立可靠安全的网络通信环境是目前需要解决的重要问题。为了防止未经授权的用户访问自己域中的数据及应用,机构或服务商通常通过建立一个认证服务器来形成一个相对独立的信任域,进而管理自己的用户。公钥基础设施(PKI)是最常用的保障网络空间安全的重要身份认证技术,企业、医院、认证域、政府部门等基于PKI实现了大量的身份管理系统。然而,随着基于身份的加密(IBE)技术的发展,越来越多的中小企业使用IBE来部署内部认证系统。这主要是因为IBE系统在很大程度上解决了PKI系统中的证书中心化问题,并且由于不需要管理大量的证书,使得运行成本降低。IBE具有较好的发展趋势,但是就目前国内的网络系统架构,我们无法将IBE系统架构应用于全国范围内,而只能是局部的,因此就会存在PKI与IBE系统架构共存的现象。用户可能希望访问其他认证域中的应用程序以获得更优质的服务和更广泛的数据范围。然而这些基于PKI和IBE系统的组织通常是集中的,并且PKI和IBE域中的认证架构和基础设施不同。此外值得注意的是,信任域是相互隔离的。不同的域通常使用异构的信任系统来提供安全保证。综上所属现状,随着异构认证域协作需求的不断增加,安全有效地进行不同认证系统之间的信息传递是当前网络发展急需解决的问题。
[0003]作为第二代互联网内容的区块链技术正在全球金融领域引发颠覆性变革,并且这一变革也将深刻影响其他所有行业。区块链本质上讲是一个共享数据库,存储于其中的数据或信息具有“不可伪造”“全程留痕”“可以追溯”“公开透明”“集体维护”等特征。区块链的公共分类账中,每个交易都通过了系统中大多数参与者的共识和验证。并且,交易一旦完成信息就一直存在,即区块链中包含的每一条交易都确凿、可验证记录。目前,区块链的分布式特性已经应用到很多领域。
技术实现思路
[0004]为了解决跨异构认证域时出现的问题,保证认证过程的安全性,本专利技术提出利用区块链技术设计可靠的跨域认证系统。利用区块链的分布式和不可篡改特性,设计了一种基于区块链的跨域认证系统,以保证异构认证过程的安全性。该系统不改变每个认证域的内部信任结构,具有很高的可扩展性。此外,在保证安全的前提下,提出了一种基于区块链的跨域认证协议。该协议对根证书签名的验证过程进行了改进,通过验证根证书的哈希值确保证书的正确性,从而提高了认证效率。
[0005]由于不同信任域之间对于传递身份信任的过程没有统一标准,在具体的跨认证域应用中,用户操作具有诸多不便。基于PKI的解决方案使用了第三方服务器解决标识和密钥
的捆绑问题,但是带来了第三方的法律地位过高和认证过程通信量增大的问题。随着区块链技术的发展,许多机构已经开始利用其分布性和不可篡改的特性进行身份认证领域的研究,区块链技术推动了数字证书更多维度的开发和应用。
[0006]本专利技术提出了一种基于区块链技术的适用于跨PKI和IBE的异构域认证方案。采用区块链技术的分布式存储特性来实现多域认证中信任的分布式存储。为了使得我们的专利技术具有更好的可用性,在沿用各认证域内部认证框架和逻辑前提下,各认证域之间利用区块链技术建立信任,达到合作目的的同时降低了系统部署的复杂性,保证了系统安全性、可追溯性,同时具有更好的灵活性。综上,本专利技术针对各异构认证域合作模式和现有跨异构域认证方案的缺陷,基于区块链技术的分布性和不可篡改特性提出了一种适用于跨PKI和IBE异构认证域的认证方案,各认证域通过组织内的域间互联模块,利用区块链技术建立信任连接来构建跨异构域认证系统。在保留原认证域内部架构和认证逻辑的前提下,保证每个认证域的内部逻辑和层次结构清晰和安全性。
[0007]为了达到本专利技术的目的,本专利技术采用的技术方案为基于区块链的跨异构域认证系统,该系统是构建的一个原型系统。系统中包括PKI信任域和IBE信任域两种信任域类型。每个信任域中都包括认证系统、数据和应用系统以及人员管理系统。PKI信任域中包括认证系统、数据和应用系统以及人员管理系统。PKI认证系统包括根CA模块和子CA模块;数据和应用系统包括应用服务模块;人员系统包括认证域内的普通用户U和管理员用户AD。认证系统分别为数据和应用系统以及人员系统颁发设备证书和用户证书。IBE认证系统包括标识管理服务模块、权限管理服务模块和域间互联服务模块;数据和应用系统包括应用服务模块;人员系统包括认证域内的普通用户U和管理员用户AD。区块链是本模型中建立信任的基础,由多个信任域共同维护。PKI系统中的根CA服务模块和IBE系统中的认证服务模块用于完成域间认证服务,在之后的描述中我们统称为域间认证模块。
[0008]本模型跨异构域认证的思路是:域A与域B经过社会性协商后,假设约定域B对域A信任。域B的域间互联模块生成对域A信任的交易发送在区块链上,交易的关键数据为域B对域A所颁发区块链证书的哈希值。当域A用户请求访问域B上的服务时,用户需进行跨域身份认证。首先域A接收用户U的认证请求,然后U将用户证书发送给本域认证模块进行域内认证,若本域认证模块通过了用户的域内认证,将域A域间保存的域B互联模块对域A颁发的区块链证书BCert发送给域B服务模块进行认证,域B服务模块通过域间互联模块的区块链客户端查询区块链上存储的关于BCert的交易记录,查到后解析交易并对交易进行验证,如果验证通过则完成域B应用服务对域A用户的跨域认证,此时域A用户可以访问域B服务。
[0009]与现有技术相比较,本专利技术提出的一种基于区块链的跨异构域认证方案不仅达到了跨域认证的目的,而且可以降低跨异构域认证方案的复杂度,保证系统的安全性和可追溯性,同时提高了系统的灵活性。在延用每个信任域认证框架和内部逻辑的前提下,采用区块链技术在认证域之间建立信任,提高系统的可扩展性。
附图说明
[0010]图1是本专利技术的总体系统模型示意图。
[0011]图2是本专利技术区块链认证证书与X.509证书格式比较图。
[0012]图3是本专利技术跨域认证流程示意图。
[0013]图4是本专利技术节点拓扑结构示意图。
具体实施方式
[0014]以下将结合附图所示的具体实施方式对本专利技术进行详细描述。
[0015]图1是本专利技术基于区块链的跨异构域认证的整体系统架构图,如图1所示,系统模型包括智能合约、区块链账本、实体和域间互联模块。各部分具体说明如下:
[0016]1)智能合约:将每个域遵循的合约写入区块链,这些合约是透明的,并自动执行。智能合约由区块链成员共同监督和维护。
[0017]2)区块链账本:由各个认证域内的域间互联模块共同参与维护的分布式数据库,区块链记录信任域的证书信息,提供公开且不可篡改的证书记录。区块链系统建立在联盟链之上,联盟链只对特定授权的认证域开放,授权的域间互联本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于区块链的跨异构域认证系统,其特征在于:包括信任域、区块链账本、智能合约和域间互联模块四部分组成;信任域包括PKI和IBE系统,每个信任域中都包括认证系统、数据和应用系统以及人员管理系统;在PKI域中,认证系统包括根CA服务模块和子CA服务模块;数据和应用系统包括数据模块和应用服务模块;人员系统包括普通用户U和管理员用户AD;认证系统分别为数据和应用系统以及人员系统颁发设备证书和用户证书;IBE认证系统包括标识管理服务模块、权限管理服务模块和域间互联服务模块;数据和应用系统包括数据模块和应用服务模块;人员系统包括认证域内的普通用户U和管理员用户AD;各信任域之间通过区块链账本建立分布式的信任关系;智能合约将各信任域须遵循的合约写入区块链中,合约透明且自动执行;域间互联模块由各信任域中的认证服务器担任;域间互联模块建立各信任域与区块链之间的通信连接;域间互联模块通过调用智能合约对区块链账本进行操作,在各信任域之间建立连接。2.根据权利要求1所述的基于区块链的跨异构域认证系统,其特征在于:域间互联模块是每个信任域的可信源,发布该信任域对本域内用户及其他信任域的信任策略;域间互联模块为域内的用户和服务模块颁发用户证书和服务模块包含的设备证书,提供域内认证服务,同时管理和认证下级认证服务模块;当服务模块中包含的设备注册时,信任域内的域间互联模块为其颁发设备证书;信任域内的用户通过终端向域间互联模块发送认证请求,域间互联模块实现对用户注册、身份管理、认证(包括域内认证和域间认证)的操作;当用户希望获得跨域服务,需要首先在信任域内通过域间互联模块的域内认证,然后通过域间互联模块向其他域请求域间认证;域间互联模块是本系统中区块链证书的实际颁发者和所有者;区块链账本记录信任域发布的区块链证书信息,并提供公开和防篡改的数据记录;账本中的区块链证书信息记录了一个信任域对另一个信任域的授权,区块链证书的安全性由区块链的防篡改特性保证;智能合约规定各信任域对区块链账本中证书进行存取查询操作时须遵循的合约,合约透明并自动执行;智能合约由区块链成员共同监督和维护。3.根据权利要求1所述的基于区块链的跨异构域认证系统,其特征在于:区块链交易用于建立信任,交易的关键数据是区块链证书的哈希值,区块链平台通过共识机制确保交易的安全性;每个信任域的域间互联模块都可以作为交易的发起方或接收方,在区块链平台...
【专利技术属性】
技术研发人员:柳溢鑫,刘静,赖英旭,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。