CN111104461A - 一种基于去中心化可信联盟的身份认证系统及认证方法 - Google Patents
一种基于去中心化可信联盟的身份认证系统及认证方法 Download PDFInfo
- Publication number
- CN111104461A CN111104461A CN201911271538.5A CN201911271538A CN111104461A CN 111104461 A CN111104461 A CN 111104461A CN 201911271538 A CN201911271538 A CN 201911271538A CN 111104461 A CN111104461 A CN 111104461A
- Authority
- CN
- China
- Prior art keywords
- trusted
- nodes
- node
- alliance
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 132
- 230000008569 process Effects 0.000 claims abstract description 69
- 230000002457 bidirectional effect Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 9
- 230000001360 synchronised effect Effects 0.000 claims description 5
- 230000015556 catabolic process Effects 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 4
- 238000006731 degradation reaction Methods 0.000 claims description 4
- 230000004927 fusion Effects 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 7
- 238000012790 confirmation Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000013139 quantization Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种基于去中心化可信联盟的身份认证系统及认证方法,解决现有认证架构缺乏分布适应性、认证过程存在安全性缺失的技术问题。系统包括通过关联度一致性形成的可信节点,与所述可信节点建立数据连接并获得安全身份标识的所述普通节点作为在册节点,与所述可信节点未建立所述数据连接或未获得所述安全身份标识的所述普通节点作为游离节点,所述可信节点形成可信联盟。形成由分布式架构‑>去中心化分布架构‑>P2P网络架构的高效演变;构成双层共识存储机制;根据网络节点的社会属性网络结构动态变化;实现安全、高效认证;身份数据全网统一。
Description
本发明要求由申请人提出的,申请日为2019年9月29日,申请号为CN2019109304804,名称为“一种基于去中心化可信联盟的身份认证系统及认证方法”的申请的优先权。上述申请的全部内容通过整体引用结合于此。
技术领域
本发明涉及网络认证技术领域,具体涉及一种基于去中心化可信联盟的身份认证系统及认证方法。
背景技术
在现实生活中可以根据提供个人身份证来向外界证明自己的身份,但在数字网络中却无法有效地向别人证明自己是谁,是否具有合法身份。近几年,因为网络身份冒充、伪造虚假身份和非法身份欺骗等手段导致的网络攻击和网络诈骗事件不计其数,造成的严重后果难以设想。因此,网络身份认证技术是相关领域研究人员重点研究的课题与方向。现有网络身份认证的认证网络架构基本固定,在认证过程中会导致个体隐私信息会在认证实体间暴露。
现有技术中有利用链式数据结构来核实与存储数据的分布式基础架构。分布式记账方式无需依赖中央服务器即可实现安全的身份认证。利用共识过程通过算法实现节点间相互核实,最终数据在各个节点间分享,每个新产生的最终数据严格按照时间线顺序推进。节点认证和数据同步机制可以作为身份认证的技术基础。
发明内容
鉴于上述问题,本发明实施例提供一种基于去中心化可信联盟的身份认证系统及认证方法,解决现有认证架构缺乏分布适应性、认证过程存在安全性缺失的技术问题。
本发明实施例的基于去中心化可信联盟的身份认证系统,包括通过关联度一致性形成的可信节点,与所述可信节点建立数据连接并获得安全身份标识的所述普通节点作为在册节点,与所述可信节点未建立所述数据连接或未获得所述安全身份标识的所述普通节点作为游离节点,所述可信节点形成可信联盟。
本发明一实施例中,与至少两个所述可信联盟间建立数据连接并获得安全身份标识的所述可信节点作为权威节点,所述权威节点权威节点形成权威联盟,所述权威联盟间形成权威联盟生态。
本发明一实施例中,所述可信节点的关联度一致性通过所述网络节点的度中心性聚类划分。
本发明一实施例中,所述可信节点和所述游离节点通过所述关联度一致性变化重新划分。
本发明实施例的基于去中心化可信联盟的身份认证方法,包括:
通过可信节点对普通节点进行安全认证,在一致性的所述可信节点间通过共识过程形成可信联盟在所述可信节点间同步普通节点的安全身份标识;
在所述可信联盟间非一致性的可信节点间通过双向安全认证将所述非一致性的可信节点形成权威节点,通过共识过程将所述可信联盟中的所述可信节点形成所述权威节点,共享所述权威节点的安全身份标识,将所述可信联盟形成权威联盟;
通过共识过程在所述权威联盟间形成权威联盟生态,共享权威联盟的安全身份标识。
本发明一实施例中,所述通过可信节点对普通节点进行安全认证,在一致性的所述可信节点间通过共识过程形成可信联盟在所述可信节点间同步普通节点的安全身份标识包括:
根据普通节点间关联度一致性确定所述可信节点,所述可信节点间通过共识过程形成可信联盟;
对所述可信节点安全认证通过的所述普通节点赋予所述可信联盟内唯一安全身份标识,作为在册节点;
在所述可信节点间通过共识过程共享所述在册节点的唯一安全身份标识,所述在册节点通过所述唯一安全身份标识与所述可信节点或其他所述在册节点进行认证;
对关联度一致性缺失的所述可信节点进行降级处理形成所述普通节点。
本发明一实施例中,所述在所述可信联盟间非一致性的可信节点间通过双向安全认证将所述非一致性的可信节点形成权威节点,通过共识过程将所述可信联盟中的所述可信节点形成所述权威节点,共享所述权威节点的安全身份标识,将所述可信联盟形成权威联盟包括:
对通过双向安全认证的两个所述可信联盟的互连可信节点赋予相对所述可信联盟的安全身份标识,所述互连可信节点形成权威节点;
通过共识过程两个所述可信联盟的其他可信节点分享所述权威节点的安全身份标识形成所述权威节点,利用所述权威节点两个所述可信联盟形成两个所述权威联盟。
本发明一实施例中,所述通过共识过程在所述权威联盟间形成权威联盟生态,共享权威联盟的安全身份标识包括:
通过共识过程在存在可靠的互连可信节点的权威联盟间分享权威节点的安全身份标识,形成权威联盟生态结构。
本发明实施例的基于去中心化可信联盟的身份认证系统,包括:
存储器,用于存储如上述的基于去中心化可信联盟的身份认证方法中处理过程对应的程序代码;
处理器,用于执行所述程序代码。
本发明实施例的基于去中心化可信联盟的身份认证系统,包括:
一层共识形成装置,用于通过可信节点对普通节点进行安全认证,在一致性的所述可信节点间通过共识过程形成可信联盟在所述可信节点间同步普通节点的安全身份标识;
二层共识形成装置,用于在所述可信联盟间非一致性的可信节点间通过双向安全认证将所述非一致性的可信节点形成权威节点,通过共识过程将所述可信联盟中的所述可信节点形成所述权威节点,共享所述权威节点的安全身份标识,将所述可信联盟形成权威联盟;
身份认证融合装置,用于通过共识过程在所述权威联盟间形成权威联盟生态,共享权威联盟的安全身份标识。
本发明实施例的基于去中心化可信联盟的身份认证系统及方法实现了以下技术效果:。
1.认证网络结构形成由分布式架构->去中心化分布架构->P2P网络架构的高效演变;
2.构成双层共识存储机制;
3.根据网络节点的社会属性网络结构动态变化;
4.实现安全、高效认证;
5.身份数据全网统一。
最终优化为可以应用于多种认证场景的基础认证架构。
附图说明
图1所示为本发明一实施例基于去中心化可信联盟的身份认证系统的基本网络架构示意图。
图2所示为本发明一实施例基于去中心化可信联盟的身份认证系统的权威联盟生态的网络架构示意图。
图3所示为本发明一实施例基于去中心化可信联盟的身份认证方法中安全认证密钥的分发结构示意图。
图4所示为本发明一实施例基于去中心化可信联盟的身份认证方法中在可信节点间建立共识的数据分发示意图。
图5所示为本发明一实施例基于去中心化可信联盟的身份认证方法中普通节点安全认证流程示意图。
图6所示为本发明一实施例基于去中心化可信联盟的身份认证方法中可信节点安全认证流程示意图。
图7所示为本发明一实施例基于去中心化可信联盟的身份认证方法中统一数据存储流程示意图。
图8所示为本发明一实施例利用基于去中心化可信联盟的身份认证方法进行身份认证查询的流程示意图。
图9所示为本发明一实施例利用基于去中心化可信联盟的身份认证方法的流程示意图。
图10所示为本发明一实施例利用基于去中心化可信联盟的身份认证系统的架构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚、明白,以下结合附图及具体实施方式对本发明作进一步说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的基于去中心化可信联盟的身份认证系统整体分为两层架构:可信联盟与权威联盟。
如图1所示,在本发明一实施例的基于去中心化可信联盟的身份认证系统中,可信联盟中的节点形成P2P网络。在P2P网络中,每个节点都是独立的资源库,但因为在现实生活中每个节点的社会属性会有所不同,所以网络中的节点也具有不同的属性。有的节点与其它节点的关联度很高,则在社会中具有一定程度的重要性;有的节点与其它节点的关联度正常,那就意味着该节点属于社会中普通的一员。而人们往往对社会重要性高的人物具有一定程度的信任,因此本系统通过计算网络中节点的重要性来确定可信节点,采用度中心性来衡量网络中节点的重要性。可信联盟则由具有相同可信等级的可信节点构成。
在本发明一实施例的基于去中心化可信联盟的身份认证系统中,每个可信联盟内部至少形成以下一种共识机制或共识策略:
1)普通节点一旦与可信节点建立连接,且通过可信节点的安全认证,可信节点可赋予普通节点联盟内唯一安全身份标识,该标识被可信联盟内的所有可信节点认可,此时普通节点为在册节点;
2)当普通节点与联盟内另一可信节点建立连接时,可信节点便可通过在自身维护的数据库中查询该普通节点提供的联盟内唯一安全身份标识来确认该普通节点的身份信息;
3)普通节点与普通节点间建立连接时,也可通过提供联盟内唯一安全身份标识来互相认证;
4)普通节点未与任何可信节点建立连接或未通过安全认证,则为游离节点;
如图2所示,在本发明一实施例的基于去中心化可信联盟的身份认证系统中,不同可信程度的可信联盟间可建立连接,构成权威联盟生态,在权威联盟生态中的可信联盟则为权威联盟。
在本发明一实施例的基于去中心化可信联盟的身份认证系统中,权威联盟相互之间达成以下至少一种共识机制或共识策略:
1)一个可信联盟中的可信节点一旦与另一个可信联盟中的可信节点建立连接,且双方互相通过彼此的安全认证,都将对方的安全身份标识存储于自身维护的数据库中,由于数据库中都存在两种等级的安全身份标识则成为权威节点,进而可信联盟成为权威联盟;
2)当权威联盟与权威联盟生态中的其他权威联盟建立连接时,可通过提供联盟内唯一安全身份标识得到联盟间的身份认证,进而确认联盟中节点的身份信息;
3)一个可信联盟没有与权威联盟建立连接或未通过权威联盟的安全认证,则为独立联盟,该联盟中的节点身份无法得到其他联盟的认证。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,具体的普通节点安全认证流程如图5所示。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,可信节点自身可向联盟中的其它可信节点进行安全认证,过程同上述实施例中普通节点认证过程一样,也可获得自身安全身份标识。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,可信联盟中的可信节点向权威联盟中的可信节点(即权威节点)请求安全认证的过程同上述实施例中普通节点请求安全认证的过程基本一致。区别在于是可信节点直接向权威节点提供自身由“等级+加密ID”构成的安全身份标识而不是未加密的个人身份信息,且权威节点直接将该可信节点提供的安全身份标识在自身所维护的数据库中进行存储。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,可信联盟之间在未互相认证之前无法查询到彼此的安全身份标识信息。当一个可信联盟中的可信节点向另一个可信联盟中的可信节点发送查询请求时,在查询失败的情况下,该可信节点需要向其请求查询的可信节点先进行上述实施中的安全认证过程。且可信联盟之间的认证必须为双向认证,即被请求查询的可信节点需要向请求查询的可信节点请求安全认证。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,做如下定义:
权威节点定义:可信节点自身维护数据库中存在两种或以上等级的安全身份标识。
权威联盟定义:可信节点皆为权威节点的可信联盟。
权威联盟生态定义:由权威联盟构成的网络动态环境。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,具体的可信节点安全认证流程如图6所示。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,通过将可信节点本地存储在册节点更新信息发送给联盟中其他可信节点进行存储备份建立一层共识。
如图4所示,在本发明一实施例的基于去中心化可信联盟的身份认证方法中,在可信联盟中的可信节点间建立一层共识的方法包括:
1)设A、B为同一可信联盟中的两个可信节点,由于网络动态变化,A、B在某一时刻都会存在一定程度的数据更新,只要有数据更新则可发起信息交换;
2)假设A先发起信息交换,向B发送自己更新的数据,B收到信息后更新比自己新的数据;
3)B再将本地比A新的数据发送给A,A更新本地数据。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,可信联盟中的可信节点通过Gossip协议将本地存储在册节点更新信息发送给联盟中其他可信节点。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,在威权联盟生态中的权威节点间建立二层共识的方法包括:
网络中的权威节点通过Gossip协议将本地存储在册节点更新信息发送给网络中其它权威节点进行存储备份。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,具体的建立共识的统一数据存储流程如图7所示。
本发明实施例的基于去中心化可信联盟的身份认证系统和方法在实际应用中,记录在册的节点,在获得联盟内唯一安全身份标识后,可以通过提供该标识向其他具有相关合法证书颁发资格的节点请求绑定其他合法身份,即其他节点在自身维护的数据库中将对应的身份信息添加该节点的联盟内唯一安全身份标识,则表明具有该联盟内唯一安全身份标识的节点具有该种合法身份。那么,在接下来的其他身份认证流程中,只需提供联盟内唯一安全身份标识便可查询该节点是否具有某种合法身份。
本发明实施例的基于去中心化可信联盟的身份认证系统和方法采用局部中心化,整体去中心的技术手段对分布式网络中节点的身份进行有效认证。首先,通过在网络中根据节点的“度中心性”确认“可信节点”,普通节点经由可信节点的安全认证得到“联盟内唯一安全身份标识”;其次,由可信节点构成的“可信联盟”通过共识协议对全部“在册节点”数据进行共享存储,在该可信联盟进行身份认证过的普通节点都可通过联盟内任意可信节点进行查询验证;最后,加入“权威联盟生态”的不同可信联盟之间通过共识协议对联盟间的在册节点数据进行共享存储,最终可达到认证数据全网统一,全网节点皆能通过全网任意可信节点互相认证身份。
形成的有益效果包括:
1.认证网络结构形成由分布式架构->去中心化分布架构->P2P网络架构的高效演变;
2.构成双层共识存储机制;
3.根据网络节点的社会属性网络结构动态变化;
4.实现安全、高效认证;
5.身份数据全网统一。
如图8所示,在本发明一实施例中,利用基于去中心化可信联盟的身份认证方法进行身份认证查询流程包括:
主体(例如学生)通过可信节点(例如大学或学信网)获得安全身份标识后,将隐私信息(例如毕业大学将学历证书信息)与安全身份标识进行绑定;
主体提供安全身份标识,其他个体(例如应聘公司)进行认证时直接查询主体的安全身份标识。
本查询流程不会泄露个人信息。而现有查询流程是:他需向公司提供个人身份以及学历等信息,公司则可通过这些信息在学信网上进行查询验证,必然泄露了私人信息。
在本发明一实施例中,利用基于去中心化可信联盟的身份认证方法进行节点间认证包括;
普通节点获得任一可信节点的安全身份标识后成为在册节点;
在册节点向一普通节点提供自身的安全身份标识;
普通节点与可信节点建立连接进行查询验证安全身份标识真假,验证通过后普通节点形成确认随机数提交可信节点,可信节点利用在册节点的公钥加密确认随机数后传送至在册节点;
在册节点通过私钥进行解密形成验证随机数并将验证随机数反馈普通节点,普通节点比对确认随机数和验证随机数确认在册节点身份。
上述过程可证明在册节点所提供的安全身份标识是为自身所拥有。
本发明实施例的节点间认证过程中由于普通节点可以通过私钥对可信节点生成的安全身份标识进行内容验证,所以可以判断该可信节点是否修改过普通节点的身份信息进而确定该可信节点是否真实可信。假设该可信节点是一个恶意节点并篡改了普通节点的个人身份信息,那么当普通节点发现后可选择其它可信节点进行重新注册。这样一来,该可信节点会逐渐失去与普通节点建立的联系,从而导致自身度中心性的变化,最终成为普通节点。因此,在安全认证过程中存在一种隐形的对可信节点进行监督的机制。
本发明一实施例的基于去中心化可信联盟的身份认证方法如图9所示。在图9中,本实施例与上述实施例的基于去中心化可信联盟的身份认证系统对应。本实施例包括:
步骤100:通过可信节点对普通节点进行安全认证,在一致性的可信节点间通过共识过程形成可信联盟在可信节点间同步普通节点的安全身份标识。
本技术领域人员可以理解完成身份认证的认证、服务主体可以作为节点,节点类型可以是认证可信等级较低、认证响应区域较窄或认证反馈较慢的普通节点,也可以是认证可信等级较高、认证响应区域较宽或认证反馈较快的可信节点。
可信节点的一致性是指在衡量量化指标一致的基础上划分可信节点,具有一致的可信等级。具有一致性的可信节点是指量化指标一致,量化值接近,符合量化指标的判断阈值的可信节点。
本领域技术人员可以理解安全认证过程可以采用不对称密码技术认证,也可以形成标识、加密标识或其他密码学技术完成。通过安全认证过程的普通节点形成在册节点,获得安全身份标识。
本领域技术人员可以理解共识过程可以采用分布式数据存储中的节点和节点的存储数据库,将节点间相互认证过得确定区块数据同步至各节点的存储数据库,同时保持区块数据的时序性。
可信联盟由可信节点组成,可信节点间通过共识过程形成节点间安全认证,完成身份认证数据的节点间同步分享。
步骤200:在可信联盟间非一致性的可信节点间通过双向安全认证将非一致性的可信节点形成权威节点,通过共识过程将可信联盟中的可信节点形成权威节点,共享权威节点的安全身份标识,将可信联盟形成权威联盟。
本领域技术人员可以理解一致性存在差异,利用普通节点间的关联度一致性的区域进行可信节点的分计划分组,分级或分组的可信节点间可以具有不同的一致性,即两组可信节点的组内具有一致性,组间具有非一致性。
双向安全认证是指非一致性的两组可信节点间经过相互认证的一对可信节点,这对可信节点获得对方赋予的认证标识(即包括自身认证标识一共两种),受对方信任,接受对方连接和访问。
权威节点是具有至少两种认证标识的可信节点。
权威联盟是由权威节点组成。具有一致性的一组可信节点中的一个形成权威节点后通过共识过程可以将被其他组赋予的认证标识分享本组内的可信节点形成权威节点。
步骤300:通过共识过程在权威联盟间形成权威联盟生态,共享权威联盟的安全身份标识。
权威联盟生态由权威联盟组成。
本发明实施例的基于去中心化可信联盟的身份认证方法保证了身份认证数据的全网统一,实现了可信联盟内和可信联盟间的双重共识机制,强化了身份认证数据分享的稳定性和安全性,利用认证标识替代真实的用户身份数据保证了身份认证过程的隐私。通过确认可信节点使普通节点经过安全认证得到“联盟内唯一安全身份标识,由可信节点构成的可信联盟通过共识协议对全部认证过的普通节点数据进行共享存储,在该可信联盟进行身份认证过的普通节点都可通过联盟内任意可信节点进行查询验证;最后,加入权威联盟生态的不同可信联盟之间通过共识协议对联盟间的在册节点数据进行共享存储,最终可达到认证数据全网统一,全网节点皆能通过全网任意可信节点互相认证身份。
如图9所示,本发明一实施例中,步骤100包括:
步骤110:根据普通节点间关联度一致性确定可信节点,可信节点间通过共识过程形成可信联盟。
本领域技术人员可以理解,度中心性(Degree Centrality)是指在网络中一个节点与其它节点相关联的程度,是一种能够直接描述节点中心性的度量指标。一个节点的节点度即指该节点与其它节点的连边数,节点度越大就意味着这个节点的度中心性越高,该节点在网络中就越重要。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,关联度一致性指标度中心性计算方法如下:设网络节点总数为g,那么节点i的度中心性是i与其它g-1个节点的直接联系总数,可用矩阵表示如下:
考虑到网络规模的变化,标准化测量公式如下:
如果公式(2)中的标准化度中心性越接近1,则表示该节点在全网中越重要。
利用度中心性设置阈值,进行节点可信程度等级划分。可根据全网节点的标准化度中心性计算结果进行确定,设m为阈值分界点,将度中心性值大于m的节点确定为可信节点,否则为普通节点。采用聚类方法可以进行可信节点的等级划分。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,采用K-means聚类算法将可信节点进行等级划分:
首先确定以哪些可信程度即度中心性大小为等级标准,确定聚类中心;
计算每个节点的度中心性数据点到聚类中心的距离,距离哪个最近就划分到哪一类中;
计算每一类中中心点作为新的中心点;
重复上述步骤,直到每次迭代后类中心点的变化达到标准。
根据聚类结果,确定每个可信节点的可信等级,设可信等级为r,r∈N*,同一个类中的节点具有同一个可信等级。
可信等级是通过网络计算得到的节点的自身属性,节点本身不可更改。等级相同的可信节点间签订共识协议,则表明这些可信节点归属于同一个可信联盟。
步骤120:对可信节点安全认证通过的普通节点赋予可信联盟内唯一安全身份标识,作为在册节点。
如图3所示,在本发明一实施例的基于去中心化可信联盟的身份认证方法中,节点的安全认证包括:
首先普通节点通过RSA算法在本地生成公私钥对并将公钥上传到网络中的“公钥寄存器”上;
然后用私钥加密个人信息并向可信节点发送认证请求。可信节点根据接收到的请求消息向公钥寄存器获取该普通节点的公钥;
再用该公钥对普通节点发送的加密个人信息进行解密,解密成功则表明该普通节点是该身份信息的拥有者,认证通过成为在册节点;
认证通过后,可信节点将用该普通节点的公钥加密过的该普通节点的个人身份信息和自身的等级生成该普通节点的联盟内唯一安全身份标识在数据库中进行存储。
步骤130:在可信节点间通过共识过程共享在册节点的唯一安全身份标识,在册节点通过唯一安全身份标识与可信节点或其他在册节点进行认证。
其它节点则可通过向可信节点提交安全身份标识查询请求,来认证在册节点身份信息。由于该安全身份标识是由在册节点的公钥加密而成,所以只有在册节点自身通过拥有的私钥进行解密才可查看具体身份信息,因此能够确保在册节点代表的个人身份信息不被泄露。
步骤140:对关联度一致性缺失的可信节点进行降级处理形成普通节点。未加入可信联盟的可信节点,考虑到如果经该可信节点注册的普通节点长期无法与可信联盟内其他在册节点取得身份认证,则会选择可信联盟中的可信节点进行重新注册成为在册节点,而该可信节点则会降级直至成为普通节点。可信节点长期失效或关联度不符合一致性指标时可信节点降级为在册节点或普通节点。
在本发明一实施例中,对通过降级的可信节点安全认证的在册节点选择其他可信节点重新安全认证。
本发明实施例的基于去中心化可信联盟的身份认证方法将个体的具体身份信息通过安全认证技术手段转变为唯一的安全标识数据并通过共识过程将安全标识数据在可信联盟内分享,对在册节点的身份认证请求获得的是对应的唯一的安全标识数据,满足了身份信息的保护目的。
如图4所示,在本发明一实施例的基于去中心化可信联盟的身份认证方法中,在可信联盟中的可信节点间建立一层共识的方法包括:
1)设A、B为同一可信联盟中的两个可信节点,由于网络动态变化,A、B在某一时刻都会存在一定程度的数据更新,只要有数据更新则可发起信息交换;
2)假设A先发起信息交换,向B发送自己更新的数据,B收到信息后更新比自己新的数据;
3)B再将本地比A新的数据发送给A,A更新本地数据。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,可信联盟中的可信节点通过Gossip协议将本地存储在册节点更新信息发送给联盟中其他可信节点。
如图9所示,本发明一实施例中,步骤200包括:
步骤210:对通过双向安全认证的两个可信联盟的互连可信节点赋予相对可信联盟的安全身份标识,互连可信节点形成权威节点。
步骤220:通过共识过程两个可信联盟的其他可信节点分享权威节点的安全身份标识形成权威节点,利用权威节点两个可信联盟形成两个权威联盟。
具体的,权威联盟相互之间形成以下自动过程:
1)一个可信联盟中的可信节点一旦与另一个可信联盟中的可信节点建立连接,且双方互相通过彼此的安全认证,都将对方的安全身份标识存储于自身维护的数据库中,由于数据库中都存在两种等级的安全身份标识则成为权威节点,进而可信联盟成为权威联盟;
2)当权威联盟与权威联盟生态中的其他权威联盟建立连接时,可通过提供联盟内唯一安全身份标识得到联盟间的身份认证,进而确认联盟中节点的身份信息;
3)一个可信联盟没有与权威联盟建立连接或未通过权威联盟的安全认证,则为独立联盟,该联盟中的节点身份无法得到其他联盟的认证。
本发明实施例的基于去中心化可信联盟的身份认证方法实现了身份认证过程在不同级别或类型的组织机构间的认证过程。通过共识过程形成单一级别安全身份标识的可信节点向多级别安全身份标识的权威节点的转变,使得权威节点可以实现对多种服务机构身份验证请求的响应。
如图9所示,本发明一实施例中,步骤300包括:
步骤310:通过共识过程在存在可靠互连可信节点的权威联盟间分享权威节点的安全身份标识,形成权威联盟生态结构。
在本发明一实施例的基于去中心化可信联盟的身份认证方法中,在威权联盟生态中的权威节点间建立二层共识的方法包括:
网络中的权威节点通过Gossip协议将本地存储在册节点更新信息发送给网络中其它权威节点进行存储备份。
本发明一实施例的基于去中心化可信联盟的身份认证系统包括:
存储器,用于存储上述基于去中心化可信联盟的身份认证方法中处理过程对应的程序代码;
处理器,用于执行上述身份认证方法中处理过程对应的程序代码。
处理器可以采用DSP(Digital Signal Processing)数字信号处理器、FPGA(Field-Programmable Gate Array)现场可编程门阵列、MCU(Microcontroller Unit)系统板、SoC(system on a chip)系统板或包括I/O的PLC(Programmable Logic Controller)最小系统。
本发明一实施例的基于去中心化可信联盟的身份认证系统如图10所示。在图10中,本实施例包括:
一层共识形成装置10,用于通过可信节点对普通节点进行安全认证,在一致性的可信节点间通过共识过程形成可信联盟在可信节点间同步普通节点的安全身份标识;
二层共识形成装置20,用于在可信联盟间非一致性的可信节点间通过双向安全认证将非一致性的可信节点形成权威节点,通过共识过程将可信联盟中的可信节点形成权威节点,共享权威节点的安全身份标识,将可信联盟形成权威联盟;
身份认证融合装置30,用于通过共识过程在权威联盟间形成权威联盟生态,共享权威联盟的安全身份标识。
如图10所示,在本发明一实施例中一层共识形成装置10包括:
可信联盟形成模块11,用于根据普通节点间关联度一致性确定可信节点,可信节点间通过共识过程形成可信联盟;
身份认证模块12,用于对可信节点安全认证通过的普通节点赋予可信联盟内唯一安全身份标识,作为在册节点;
可信共识形成模块13,用于在可信节点间通过共识过程共享在册节点的唯一安全身份标识,在册节点通过唯一安全身份标识与可信节点或其他在册节点进行认证;
可信联盟调整模块14,用于对关联度一致性缺失的可信节点进行降级处理形成普通节点,对通过降级的可信节点安全认证的在册节点选择其他可信节点重新安全认证。
如图10所示,在本发明一实施例中二层共识形成装置20包括:
权威节点形成模块21,用于对通过双向安全认证的两个可信联盟的互连可信节点赋予相对可信联盟的安全身份标识,互连可信节点形成权威节点;
权威共识形成模块22,用于通过共识过程两个可信联盟的其他可信节点分享权威节点的安全身份标识形成权威节点,利用权威节点两个可信联盟形成两个权威联盟。
如图10所示,在本发明一实施例中身份认证融合装置30包括:
权威网络形成模块31,用于通过共识过程在存在可靠互连可信节点的权威联盟间分享权威节点的安全身份标识,形成权威联盟生态结构。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (10)
1.一种基于去中心化可信联盟的身份认证系统,其特征在于,包括通过关联度一致性形成的可信节点,与所述可信节点建立数据连接并获得安全身份标识的所述普通节点作为在册节点,与所述可信节点未建立所述数据连接或未获得所述安全身份标识的所述普通节点作为游离节点,所述可信节点形成可信联盟。
2.如权利要求1所述的基于去中心化可信联盟的身份认证系统,其特征在于,与至少两个所述可信联盟间建立数据连接并获得安全身份标识的所述可信节点作为权威节点,所述权威节点权威节点形成权威联盟,所述权威联盟间形成权威联盟生态。
3.如权利要求1所述的基于去中心化可信联盟的身份认证系统,其特征在于,所述可信节点的关联度一致性通过所述网络节点的度中心性聚类划分。
4.如权利要求1所述的基于去中心化可信联盟的身份认证系统,其特征在于,所述可信节点和所述游离节点通过所述关联度一致性变化重新划分。
5.一种基于去中心化可信联盟的身份认证方法,其特征在于,包括:
通过可信节点对普通节点进行安全认证,在一致性的所述可信节点间通过共识过程形成可信联盟在所述可信节点间同步普通节点的安全身份标识;
在所述可信联盟间非一致性的可信节点间通过双向安全认证将所述非一致性的可信节点形成权威节点,通过共识过程将所述可信联盟中的所述可信节点形成所述权威节点,共享所述权威节点的安全身份标识,将所述可信联盟形成权威联盟;
通过共识过程在所述权威联盟间形成权威联盟生态,共享权威联盟的安全身份标识。
6.如权利要求5所述的基于去中心化可信联盟的身份认证方法,其特征在于,所述通过可信节点对普通节点进行安全认证,在一致性的所述可信节点间通过共识过程形成可信联盟在所述可信节点间同步普通节点的安全身份标识包括:
根据普通节点间关联度一致性确定所述可信节点,所述可信节点间通过共识过程形成可信联盟;
对所述可信节点安全认证通过的所述普通节点赋予所述可信联盟内唯一安全身份标识,作为在册节点;
在所述可信节点间通过共识过程共享所述在册节点的唯一安全身份标识,所述在册节点通过所述唯一安全身份标识与所述可信节点或其他所述在册节点进行认证;
对关联度一致性缺失的所述可信节点进行降级处理形成所述普通节点。
7.如权利要求5所述的基于去中心化可信联盟的身份认证方法,其特征在于,所述在所述可信联盟间非一致性的可信节点间通过双向安全认证将所述非一致性的可信节点形成权威节点,通过共识过程将所述可信联盟中的所述可信节点形成所述权威节点,共享所述权威节点的安全身份标识,将所述可信联盟形成权威联盟包括:
对通过双向安全认证的两个所述可信联盟的互连可信节点赋予相对所述可信联盟的安全身份标识,所述互连可信节点形成权威节点;
通过共识过程两个所述可信联盟的其他可信节点分享所述权威节点的安全身份标识形成所述权威节点,利用所述权威节点两个所述可信联盟形成两个所述权威联盟。
8.如权利要求5所述的基于去中心化可信联盟的身份认证方法,其特征在于,所述通过共识过程在所述权威联盟间形成权威联盟生态,共享权威联盟的安全身份标识包括:
通过共识过程在存在可靠的互连可信节点的权威联盟间分享权威节点的安全身份标识,形成权威联盟生态结构。
9.一种基于去中心化可信联盟的身份认证系统,其特征在于,包括:
存储器,用于存储如权利要求5至8中任一所述的基于去中心化可信联盟的身份认证方法中处理过程对应的程序代码;
处理器,用于执行所述程序代码。
10.一种基于去中心化可信联盟的身份认证系统,其特征在于,包括:
一层共识形成装置,用于通过可信节点对普通节点进行安全认证,在一致性的所述可信节点间通过共识过程形成可信联盟在所述可信节点间同步普通节点的安全身份标识;
二层共识形成装置,用于在所述可信联盟间非一致性的可信节点间通过双向安全认证将所述非一致性的可信节点形成权威节点,通过共识过程将所述可信联盟中的所述可信节点形成所述权威节点,共享所述权威节点的安全身份标识,将所述可信联盟形成权威联盟;
身份认证融合装置,用于通过共识过程在所述权威联盟间形成权威联盟生态,共享权威联盟的安全身份标识。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910930480 | 2019-09-29 | ||
CN2019109304804 | 2019-09-29 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111104461A true CN111104461A (zh) | 2020-05-05 |
CN111104461B CN111104461B (zh) | 2024-04-09 |
Family
ID=70422083
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911271538.5A Active CN111104461B (zh) | 2019-09-29 | 2019-12-12 | 一种基于去中心化可信联盟的身份认证系统及认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111104461B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107888422A (zh) * | 2017-11-27 | 2018-04-06 | 石家庄铁道大学 | 社区网络可信节点层间交互的分析方法 |
US20180212970A1 (en) * | 2017-01-20 | 2018-07-26 | Verizon Patent And Licensing Inc. | Distributed authentication for internet-of-things resources |
CN109727032A (zh) * | 2018-12-29 | 2019-05-07 | 杭州趣链科技有限公司 | 一种基于身份标识密码的联盟区块链访问控制方法 |
CN110287726A (zh) * | 2019-06-13 | 2019-09-27 | 上海交通大学 | 一种基于区块链的多域身份认证管理系统及方法 |
-
2019
- 2019-12-12 CN CN201911271538.5A patent/CN111104461B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180212970A1 (en) * | 2017-01-20 | 2018-07-26 | Verizon Patent And Licensing Inc. | Distributed authentication for internet-of-things resources |
CN107888422A (zh) * | 2017-11-27 | 2018-04-06 | 石家庄铁道大学 | 社区网络可信节点层间交互的分析方法 |
CN109727032A (zh) * | 2018-12-29 | 2019-05-07 | 杭州趣链科技有限公司 | 一种基于身份标识密码的联盟区块链访问控制方法 |
CN110287726A (zh) * | 2019-06-13 | 2019-09-27 | 上海交通大学 | 一种基于区块链的多域身份认证管理系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111104461B (zh) | 2024-04-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110875821B (zh) | 密码学区块链互操作 | |
CN106789090B (zh) | 基于区块链的公钥基础设施系统及半随机联合证书签名方法 | |
CN109327481B (zh) | 一种基于区块链的全网统一在线认证方法及系统 | |
CN110138560B (zh) | 一种基于标识密码和联盟链的双代理跨域认证方法 | |
US6230266B1 (en) | Authentication system and process | |
CN112311735B (zh) | 可信认证方法,网络设备、系统及存储介质 | |
CN110046521A (zh) | 去中心化隐私保护方法 | |
CN111262692B (zh) | 基于区块链的密钥分发系统和方法 | |
Won et al. | Decentralized public key infrastructure for internet-of-things | |
CN112311530A (zh) | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 | |
CN113507458B (zh) | 一种基于区块链的跨域身份认证方法 | |
Chen et al. | BIdM: A blockchain-enabled cross-domain identity management system | |
CN113824563B (zh) | 一种基于区块链证书的跨域身份认证方法 | |
CN113328997B (zh) | 联盟链跨链系统及方法 | |
CN108810007B (zh) | 一种物联网安全架构 | |
CN112199726A (zh) | 一种基于区块链的联盟信任分布式身份认证方法及系统 | |
CN112152778B (zh) | 一种节点管理方法、装置、及电子设备 | |
CN109858259A (zh) | 基于HyperLedger Fabric的社区健康服务联盟数据保护和共享方法 | |
CN112749417A (zh) | 基于区块链的电子学位证照数据保护及共享系统 | |
CN111901432A (zh) | 一种基于区块链的安全数据交换方法 | |
EP3847780A1 (en) | Issuing device and method for issuing and requesting device and method for requesting a digital certificate | |
Maldonado-Ruiz et al. | 3BI-ECC: a decentralized identity framework based on blockchain technology and elliptic curve cryptography | |
CN115664682A (zh) | 基于联盟链主从多链的医疗数据共享的共识方法 | |
CN112132581B (zh) | 基于iota的pki身份认证系统及方法 | |
CN114710370B (zh) | 基于雾区块链和属性加密的细粒度访问控制方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |