一种基于联盟链的跨域身份认证与密钥协商方法技术

本发明专利技术公开了一种基于联盟链的跨域身份认证与密钥协商方法，首先建立信任联盟链，实现根节点证书的可信性。然后各个域内节点利用区块链技术进行节点身份与签名的去中心化存储，利用链上访问获取信息并验证签名进行身份认证。从攻击角度出发，该方法可以抵抗各种常见攻击，并且实现认证与密钥协商等安全要求；且该方法通过消息认证码的使用减少了签名的运算量，同时异或、哈希等基础运算都较为快速高效，提高了跨域认证与密钥协商的效率。通过借助区块链跨域认证实现节点间的认证与密钥协商，可在银行、交通、教育、政务、医疗等领域应用，提高跨域访问的安全性和效率。提高跨域访问的安全性和效率。提高跨域访问的安全性和效率。

【技术实现步骤摘要】
一种基于联盟链的跨域身份认证与密钥协商方法


[0001]本专利技术涉及网络空间中的实体身份认证
，特别涉及一种基于联盟链的跨域身份认证与密钥协商方法。

技术介绍

[0002]随着大数据的快速发展，网络环境中的交互不断增加,环境也更加复杂，跨域认证在数据安全共享中发挥着关键的作用。然而传统中心化结构下的跨域认证方案存在过度依赖可信第三方、隐私泄露、证书效率低等问题。
[0003]而区块链作为一项新兴技术，其去中心化的特点可避免传统中心化信任机制的弊端，有效解决跨域认证问题。
[0004]因此，如何将区块链技术应用到跨域认证，实现去中心化的跨越认证，成为同行从业人员亟待解决的问题。

技术实现思路

[0005]本专利技术的目的在于提供一种基于联盟链的跨域身份认证与密钥协商方法，采用基于区块链的根CA建立可信联盟链确保根证书的可信合法性，并通过链上信息与链下签名验证实现身份认证。
[0006]为实现上述目的，本专利技术采取的技术方案为：
[0007]本专利技术提供一种基于联盟链的跨域身份认证与密钥协本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于联盟链的跨域身份认证与密钥协商方法，其特征在于，包括以下步骤：建立信任联盟链步骤：基于N个相对独立的域构建联盟链，在每个域内选出一个根节点作为该域的CA；每个域内具有多个分布式服务器和多个用户；存储步骤：各个域内节点利用区块链技术进行节点身份与签名的去中心化存储；认证步骤：利用链上访问获取信息并验证签名进行身份认证。2.根据权利要求1所述的一种基于联盟链的跨域身份认证与密钥协商方法，其特征在于，所述建立信任联盟链步骤具体包括：在N个相对独立的每个域内选出任一个根节点作为该域的CA；每个域内具有多个分布式服务器和多个用户，每个服务器和用户均视为一个节点；在各域内根节点CA建立信任联盟链，选择椭圆曲线群G,P是群G的生成元；联盟链共识选择哈希函数h(
·
)，{0,1}
*
→
{0,1}
n
；CA公开系统参数：{G,P,q,h(
·
)}，通过共识广播给自己域内节点。3.根据权利要求2所述的一种基于联盟链的跨域身份认证与密钥协商方法，其特征在于，所述存储步骤具体包括：1)获取节点A的输入生物特征，通过模糊提取器进行识别并对比模板数据库存储信息H(σ)；H(
·
)表示哈希函数，{0,1}
*
→
G，σ表示生物特征；比对通过后计算节点虚拟身份，将ID
A
作为节点A真实身份哈希值；节点选择自己的公私钥对，其中Pub＝k
pri
·
P；Pub表示公钥，k
pri
表示私钥；使用私钥计算节点A的签名Sig
A
(ID
A
,Pub
A
)；通过智能设备发送身份创建请求信息：{ID
A
，Pub
A
，H(σ)，Sig
A
(ID
A
,Pub
A
)}；其中，Sig(
·
)表示签名函数；Pub
A
表示节点A的公钥；2)域根节点CA收到节点A创建请求信息，计算h(ID
A
,Pub
A
)；CA查询链上信息，检查有无ID
A
,h(ID
A
,Pub
A
)；若此信息唯一，则批准创建请求，并将H(σ),h(ID
A
,Pub
A
)信息上链存储；CA广播上链信息：{ID
A
，H(σ)，h(ID
A
,Pub
A
)，Sig
A
(ID
A
,Pub
A
)}。4.根据权利要求3所述的一种基于联盟链的跨域身份认证与密钥协商方法，其特征在于，所述认证步骤具体包括：(1)用户每次登录节点，都需要先使用智能设备进行生物特征的读取与识别，再将请求消息发送到对应的服务器；(2)所述对应的服务器通过域内根节点CA请求协助，利用区块链上区块信息验证用户请求消息，实现用户与服务器之间的双向验证与会话密钥协商。5.根据权利要求4所述的一种基于联盟链的跨域身份认证与密钥协商方法，其特征在于，所述步骤(1)包括：(1.1)用户U
A
通过带有模糊识别器模块的智能设备采集生物特征并进行识别，利用模糊提取器恢复函数，如果生物特征与模板数据库内信息的差别小于ε，则成功恢复生物特征，并计算H(σ)∈G；ε表示大于零且趋近于零的误差项；(1.2)用户U
A
选择随机数计算R
A
＝r
A
·
P；用户端计算P；用户端计算和对R
A
的签名的签名表示连续异或操作；
(1.3)用户U
A
向目标服务器S
B
发送请求信息：发送请求信息：其中T表示时间戳。6.根据权利要求5所述的一种基于联盟链的跨域身份认证与密钥协商方法，其特征在于，所述步骤(2)包括：(2.1)服务器S
B
收到用户U
A
发送的请求信息，检查时间戳T是否在可信范围内，然后计算h(ID
A
,Pub
A
)；之后服务器S
B
向自身节点所在域的根节点CA
B
发送协助请求消息：{ID
A
，h(ID
A
,Pub
A
)}；(2.2)根节点CA
B
收到服务器...

【专利技术属性】
技术研发人员：韩超，高嵩，张磊，徐建超，
申请(专利权)人：三未信安科技股份有限公司，
类型：发明
国别省市：