【技术实现步骤摘要】
一种基于区块链的跨域身份认证方法
[0001]本专利技术属于计算机网络信息安全
,更具体地,涉及一种基于区块链的跨域身份认证方法。
技术介绍
[0002]现如今,信息安全已经成为网络安全发展中必不可少的技术基础,身份认证是保证网络信息安全的重要机制,从多个方面为身份验证提供安全服务,证书颁发机构对CA数字证书进行集中管理,CA是证书的签发机构,同时也是PKI系统的核心,在CA中进行证书的签发、更新、撤销等活动,它为每一个在本地注册的用户发放相对应的CA数字证书,传统基于PKI的身份认证体系结构存在单点故障和多CA互信困难等问题,一旦证书颁发机构受到攻击,CA签发的证书将变得不可信,在分布式环境中,不同的组织机构形成不同的独立域,由于域中提供的资源十分有限,用户需要进行跨域申请其他域的服务,因此出现了跨域身份认证问题。
[0003]区块链具有去中心化、不可篡改以及透明开放的特点,将PKI认证体系与区块链技术相结合,能够很好的解决PKI中存在的单点故障问题,各个域的身份认证服务器AS和CA证书服务器作为区块链节点,...
【技术保护点】
【技术特征摘要】
1.一种基于区块链的跨域身份认证方法,其特征在于,包括;S1.初始化阶段,制定证书上传、撤销和查询策略以及用户跨域认证策略,编译部署智能合约;S2.用户证书签发上链,访问用户和被访问用户分别向各自域内证书签发机构申请CA数字证书,生成的CA数字证书进行哈希运算,哈希值通过upCa函数上传到智能合约进行存储;S3.跨域身份认证,域A用户Ua向被访问域B发送跨域请求,域B请求域A跨域用户Ua的CA数字证书并验证证书真实性,验证通过后,该交易信息通过TBFT共识算法共识上链,同步节点同步链上信息;S4.新域加入区块链,新加入区块链的域C,域C的根CA
C
发起申请加入区块链的请求,通过TBFT共识算法对新加入的节点根CA
C
进行投票共识,2/3共识节点成员同意后,即可加入区块链,同时链中其它域生成对域C根CA
C
的交叉认证节点;所述共识节点由各域根CA
X
组成。2.根据权利要求1所述的一种基于区块链的跨域身份认证方法,其特征在于,所述S2.用户证书签发上链具体包括:S2
‑
1、用户将身份信息提交注册,注册生成用户公私密钥对;S2
‑
2、隐私数据通过公私密钥对中的公钥加密存储在区块链中,用户注册生成的公私密钥对中的私钥保存在本地,用于解密存储在区块链中的加密信息,以获取用户身份相关信息;S2
‑
3、用户Ua、Ub分别向各自域内证书签发机构CA
A
、CA
B
申请CA数字证书,生成的CA数字证书进行哈希运算,哈希值通过upCa函数上传到智能合约进行存储。3.根据权利要求1所述的一种基于区块链的跨域身份认证方法,其特征在于,所述S3跨域身份认证具体包括:S3
‑
1、域A用户Ua向域B身份认证服务器AS
B
发送访问域B用户Ub的请求,AS
B
将用户Ua提供的CA数字证书存储至域B的域外证书服务器OAS
B
中,同时根据CA数字证书扩展项中颁发者CA标识符将CA数字证书发送给域A身份认证服务器AS
A
,AS
A
对CA数字证书进行验证;S3
‑
2、域A身份认证服务器AS
A
通过CA数字证书查询函数queryCa查询区块链并返回查询结果,查询结果为已发布则验证通过;S3
‑
3、域B用户Ub重复步骤3
‑
1~3
‑
2完成域B用户Ub到域A用户Ua的反向认证,实现双向认证;S3
‑
4、双向认证完成后,域B身份认证服务器AS
B
作为主节点leader将该交易打包发送给共识节点,通过TBFT算法共识上链。4.根据权利要求3所述的一种基于区块链的跨域身份认证方法,其特征在于,所述S3
‑
1具体包括:S3
‑1‑
1、域A用户Ua向域B身份认证服务器AS
B
发送访问域B用户Ub的请求;S3
‑1‑
2、域B身份认证服务器AS
B
接收到访问请求后生成随机数R1,将R1发送给域A跨域请求用户Ua,同时向跨域请求用户Ua请求用户CA数字证书;S3
‑1‑
3域A用户Ua收到请求后使用自己的私钥将CA数字证书、随机数R1签名,生成SigskUa,并将CA数字证书、R1以及签名SigskUa发送给域B认证服务器AS
B
;
S3
‑1‑
4、域B认证服务器AS
B
收到消息后验证R1是否有效;...
【专利技术属性】
技术研发人员:孔令蕊,王继志,赵悦,隋彤彤,
申请(专利权)人:齐鲁工业大学山东省科学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。