CN114154125A

CN114154125A - 云计算环境下区块链无证书的身份认证方案

Info

Publication number: CN114154125A
Application number: CN202111239849.0A
Authority: CN
Inventors: 陈志德; 王晓欣; 古亮
Original assignee: Sangfor Technologies Co Ltd; Fujian Normal University
Current assignee: Sangfor Technologies Co Ltd; Fujian Normal University
Priority date: 2021-10-25
Filing date: 2021-10-25
Publication date: 2022-03-08
Anticipated expiration: 2041-10-25
Also published as: CN114154125B

Abstract

本发明涉及区块链的技术领域，特别是涉及一种云计算环境下区块链无证书的身份认证方案，其能够实现用户的匿名性、解决单点故障问题、恶意用户可追溯和跨域认证；包括：系统结构模块，由用户、机构节点、权威节点组成；注册模块，用于对用户和机构的的身份信息核实，然后机构为用户颁发域内的用户身份证明，并将身份证明处理并进行上链处理，机构节点则有权威节点处理，合法机构的信息有权威节点进行上链处理，新机构也加入到所属域的结构节点中共同维护域内的区块链信息；域内认证模块，用于处理域内合法用户的域内认证请求；跨域认证模块：用于处理合法用户跨域注册和跨域认证请求。

Description

云计算环境下区块链无证书的身份认证方案

技术领域

本发明涉及区块链的技术领域，特别是涉及一种云计算环境下区块链无证书的身份认证方案。

背景技术

身份认证在云环境中，是保障用户和云服务平台的第一步；而随着云服务用户大量增加，云环境中的问题也日益凸显；首先，用户的注册信息往往被注册服务器保管，一旦注册服务器被攻击，用户的隐私数据便有可能被泄露或者篡改；再者，用户的密钥信息也往往由KGC生成，然后传送给用户，一旦密钥信息被攻击者截获，便可以冒充合法用户，访问云端数据，用户的云端数据也会被暴露、篡改甚至删除；

传统的身份认证方案基于中心化的平台，在分布式的环境下，一旦中心节点被攻击，就难以保证用户身份信息、密钥信息和系统主密钥的安全性。很多基于区块链的身份认证方案，并未考虑用户都存在密钥托管问题，用户和机构的双向认证问题，此外，大部分的认证方案并未考虑用户对访问服务身份的认证。

发明内容

为解决上述技术问题，本发明提供一种能够实现用户的匿名性、解决单点故障问题、恶意用户可追溯和跨域认证的云计算环境下区块链无证书的身份认证方案。

本发明的云计算环境下区块链无证书的身份认证方案，包括：

系统结构模块，由用户、机构节点、权威节点组成；

注册模块，用于对用户和机构的的身份信息核实，然后机构为用户颁发域内的用户身份证明，并将身份证明处理并进行上链处理，机构节点则有权威节点处理，合法机构的信息有权威节点进行上链处理，新机构也加入到所属域的结构节点中共同维护域内的区块链信息；

域内认证模块，用于处理域内合法用户的域内认证请求；

跨域认证模块：用于处理合法用户跨域注册和跨域认证请求。

进一步地，所述系统结构包含跨域区块链和域内区块链。

进一步地，所述跨域区块链由权威节点维护，所述域内区块链由机构节点维护。

进一步地，采用无证书机制在用户和机构注册阶段为合法用户生成公私钥和签名信息，然后将注册信息用于生成用户身份证明：

当用户的身份信息通过验证的情况下，通过其提交的数据与域内区块链和跨域区块链中的恶意用户进行对比，并且域内也并未注册过，验证通过其注册成功；

机构为用户生成部分公钥和部分私钥，最终由用户生成公钥和私钥，并将公钥信息交由注册的机构节点；

机构从用户提交的身份请求中获取用户的真实身份，为其生成虚拟身份，并与公钥进行绑定，颁发用户身份证明，将公钥与虚拟身份的绑定信息、处理之后的身份证明，进行上链处理。

进一步地，所述用户身份证明包含用户虚拟身份、公钥信息、注册机构、所属域、到期时间和机构签名。

进一步地，还包括以下功能：

用户匿名性：通过用户与注册机构进行哈希处理，为其生成虚拟身份，从而达到用户身份信息不必在跨域访问中泄露；

双向认证：对于用户访问本域或者其他域的服务，支持区块链网络对用户和机构双方的身份认证；

跨域身份认证：通过安全的跨域认证，支持用户访问其他域的机构提供的服务；

恶意用户可追溯：通过智能合约监测到用户恶意行为，在跨域区块链或域内区块链达成共识之后，就允许注册机构公布恶意用户的真实身份，并将其记录到区块链中，防止其再次作恶。

与现有技术相比本发明的有益效果为：

1、在防止单点故障方面，传统的认证方案并未对认证过程中可能面临的单点故障问题，基于区块链与无证书的身份认证方案，通过区块链这种点对点网络，解决了传统认证方法对中心可信机构高依赖的问题；

2、在用户身份信息防篡改方面，基于区块链与无证书的方案，数据是分布式存储的，安全性更好，也能更好地支持可信溯源；

3、在去中心方面，通过利用区块链网络构建去中心化网络架构，避免了中心化的方案容易被攻击，并且对于中心可信机构依赖性太高；

4、在无密钥托管方面，采用无证书密码体制，用户的密钥信息不会被第三方生成和管理，从而保障了用户身份以及隐私完全掌握在自己手中；

5、在双向认证方面，通过将机构节点注册信息也进行上链处理，用户申请访问机构的时候，不仅要通过区块链网络进行查询和验证操作，还需要对机构的身份进行核实和验证，只有对机构和用户二者的身份信息全部都通过验证之后才可以进行访问。

附图说明

图1是基于区块链的多域身份认证模型的逻辑流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

如图1所示，基于区块链认证模型系统的模型图，区块链认证模型由域内区块链和跨域区块链组成，域内区块链由各个云服务平台所属机构节点组成并维护，主要负责用户节点注册、域内用户身份认证和域内恶意节点追溯；跨域区块链由各个域的权威机构组成区块链节点管理和维护，主要负责跨域身份认证和跨域恶意节点追溯；在认证的交互过程中，都添加时间戳保证在规定时间内完成交互过程，时间戳不符合的自动默认认证失败。

本发明的实施中，包括以下步骤：

1.初始化阶段

初始化阶段，选择一个KGC作为全局参数的生成中心，随机选择安全参数k∈Z⁺作为输入，选择一个椭圆曲线上的加法群G，素数q，并且P是G的生成元.再选择三个抗碰撞的哈希函数，生成系统参数params＝{G,q,P,H₁,H₂,H₃}并广播；对于每一个权威节点选择随机数y_i∈Z_q ^*，并计算其公钥PK_i＝y_iP，其为私钥SK_i＝y_i为并广播到跨域区块链上

2.注册阶段

注册阶段包含机构的注册以及用户的注册；当注册完成将会把它们的公钥以及身份信息分别上传到跨域区块链以及及用户所在的域内区块链，并且注册节点会为注册的机构和用户生成身份证明；

表1用户身份证明表

ID

PK

Reg-ID

T-begin

T-end

Area

Sig

a)机构节点的注册

机构节点注册需要经过权威节点对其进行身份验证,验证通过便完成机构节点注册,然后权威节点将注册信息上传到区块链中。

①ID_i向AID_j发送注册申请

机构ID_i先下载权威节点AID_j的公钥,然后生成时间戳T_reg以及随机数N₁向本域的权威节点发送注册请求

②AID_j回复ID_i的注册请求

权威节点AID_j先检查t_reg是否合理.解密消息之后，检验t_reg是否合理，然后查询域间的区块链上是否存在该机构.如果存在则返回reject 拒绝机构的注册申请；如果ID_i不存在则允许机构用户进行注册，并为 ID_i生成部分私钥和部分公钥.首先，权威节点AID_j的KGC为其随机选择随机数

然后计算h_1，i＝H₁(AID_j，ID_i，R_i)，从而为机构ID_i生成部分公钥 R_i＝r_iP和部分私钥d_i＝(r_i+y_jh_1，i)modq.AID_j通过安全通道发送给ID_i带有其部分公私钥允许机构注册的回复

③ID_i生成公私钥并将公钥发送给AID_j

机构用户ID_i接收到消息先检查t_req是否合理，然后验证 H₂(ID_i||AID_j||N₁)的正确性.如果验证不通过则用户返回error，若想需要重新提交信息注册.若验证通过，机构节点ID_i随机选取一个随机数

计算X_i＝x_iP和h_2，i＝H₂(AID_i，ID_i，X_i)，计算部分公钥Q_i＝R_i+X_ih_2，i.随后 ID_i生成计算自己的公钥

和私钥信息

然后ID_i生成自己的签名信息，先随机选择一个

计算U_i＝u_iP和 h_3，i＝H₃(ID_i||PK_i||t)，生成签名

其中t是机构签名时间.然后ID_i向AID_j发送带有签名和其公钥的回复消息

④AID_j为ID_i生成身份证明并将其注册信息上链

AID_j解密消息，提取出

先计算h_3，i＝H₃(ID_i||PK_i||t).验证机构 ID_i的签名是否满足：

等式成立之后即代表对用户身份验证通过，为其生成身份信息.首先获取当前时间t，并计算

然后生成签名

然后为机构注册节点ID_i颁发它的身份证明

最后，ID_i解密消息先时间戳t_temp，之后保存身份证明

权威节

上传到区块链中.

b)普通用户的注册

普通用户的注册需要经过机构节点对其进行身份验证,验证通过之后机构节点将注册信息上传到区块链。为了保护用户的身份信息, 规定用户u_i的身份为id_i＝hash(u_i//ID_i).注册具体过程如下：

①id_i向ID_j发送注册申请

用户id_i先下载注册机构ID_j的公钥

然后生成时间戳t_reg以及随机数N₁.然后向ID_j发送注册申请

②ID_j回复id_i的注册请求

机构节点ID_j先解密消息之后，再检查t_reg是否合理，再查询域间的区块链上是否存在该用户.如果存在该用户则返回reject拒绝该用户的注册申请；如果id_i不存在则允许用户u_i注册，为它生成其部分私钥和部分公钥.首先机构节点先生成随机数

然后计算出用户的部分公钥信息V_i＝v_iP.然后先计算h_1，i＝H₁(ID_j，id_i，V_i)再计算得到用户的部分私钥b_i＝(v_i+x_jh_1，i)modq.然后通过安全信道给用户发送回复

③id_i生成公私钥并将公钥发送给ID_j

机构用户id_i接收到消息先检查t₁是否合理，然后验证H₂(id_i||ID_j||N₁) 的正确性.如果验证不通过则用户返回error，若想继续注册则更换其他机构节点进行注册.验证通过后，用户id_i提取出部分公钥

和部分私钥

然后id_i生成随机数

计算出用户u_i部分公钥O_i＝o_iP，随后计算h_2，i＝H₂(ID_j，id_i，O_i)，然后计算C_i＝V_i+O_ih_2，i，生成公钥

和私钥

然后用户id_i随机选择一个数

并计算E_i＝e_iP和 h_3，i＝H₃(id_i||pk_i||t₂)，生成签名信息

其中t₂是用户签名时间.发送消息

给ID_j.

④ID_j为id_i生成身份证明并将其注册信息上链.

机构ID_j接收到消息m，解密消息得到

然后验证用户id_i签名的有效性.首先，ID_j计算

然后用下面等式验证用户签名

若等式不成立用户公钥有误，要求用户重新发送带有公钥信息的签名消息.若等式成立，则用户注册成功.机构为用户id_i生成身份信息

先随机生成

计算S＝s_iP，再计算

其中T_begin是机构为用户生成身份信息的时间，T_end是失效时间.为用户id_i计算出身份证明中的签名

然后，为id_i生成它的身份证明

最后ID_j将

发送给注册用户id_i，并将该用户注册信息

上传到域间区块链上.用户验证时间戳之后，解密消息并保存身份证明

3.认证阶段

1)域内认证

用户注册成功，就成为了本域的合法用户，可以与其他节点进行通讯.域内进行访问时，只需要通过域内机构节点的参与下完成用户和机构的双向身份认证即可.

当用户a对域内的机构B进行访问时，需要对完成a和B之间的双向认证.首先，a发送访问请求

给机构B.机构B收到请求之后，用自己的私钥解密加密信息，验证id_a的一致性，然后域内区块链来验证身份证明.在机构B发送回复

给用户a，用户用自己的私钥解密加密消息，验证id_a的一致性，然后将身份证明

交由域内区块链验证证明的有效性.对以用户id_a证明验证的流程如下：

(1)首先先查看证明里面的消息m，检查用户a信息；

(2)验证用户a注册的机构节点A签名的正确性；

(3)若全部验证成功，则返回accept，否则返回reject；

对机构B的身份证明验证同上，当双方均收到accept则双方身份验证成功.

算法一：对用户id_a的身份证明进行验证过程如下：

其中在验证用户a的身份证明中的签名时，首先计算

然后检查是否满足以下等式：

2)跨域认证过程

首先在跨域认证过程中，用户提出跨域申请，然后权威节点为用户颁发跨域身份证明。

表2用户跨域身份证明

ID

PK

f-Area

State

T-begin

T-end

Sig

用户跨域的主要包含：用户跨域身份证明的申请、用户申请跨域访问两部分，其中前者主要为用户生成用户跨域证明，而后者主要完成双方的身份认证.

a.用户申请跨域身份证明

①id_a发送跨域申请给AID_A

用户id_a想要请求异域机构时的服务的时候，先下载权威机构AID_A的公钥，再发送给它注册请求

②AID_A为用户生成跨域身份

权威节点AID_A用私钥解密解密消息之后，先检查时间戳T是否合理，若合理将身份证明

发送给域area₁进行验证，否则则返回 reject.

若身份验证成功则为用户生成跨域身份证明

其中，令

然后随机生成随机数

并计算W_a＝w_aP，随后计算用户跨域证明中的签名

其中T是允许访问的时间.然后将消息

给用户id_a.

最后并将用户的跨域信息上传到区块链上

而用户 id_a接收到消息之后，用自己的私钥解密消息之后，保存{crocert_a，W_a}.

b.用户跨域访问

①当用户id_a要访问异域的机构ID_1-B时，先在跨域区块链中下载它的公钥

再给异域机构发送访问请求

②机构ID_1-B收到访问请求后，先用私钥SK_{ID_B}解密消息，检查时间t 和ida是否合理.若一致发送

给id_a，同时将 crocert_a，W_a，id_a}发送给跨域区块链，让跨域区块链验证id_a的身份.身份验证成功，跨域区块链会生成accpet；否则返回false.

③用户id_a收到ID_1-B的消息后，用自己的私钥解密，验证时间戳T是否合理，ID_1-B是否正确.若均通过验证，用户便将

交由跨域区块链对ID_1-B进行身份认证.

④若跨域区块链对id_a的跨域身份证明和ID_1-B的身份均验证成功，则分别向双方返回accpet；若一方身份验证未成功，则分别对应返回 reject.

其中验证的AID_A签名

先计算H₁(AID_A||id_a||T)，验证下列等式是否成立：

若上述认证算法执行完毕，输出accept，则对跨域用户id_a完成了身份认证；否则输出reject，则对id_a身份认证失败.

在跨域认证中，除了验证节点变成了权威节点，对于机构ID_1-B的身份认证算法基本与域内算法一致，这里就不再陈述.

4.恶意用户追溯阶段

对于恶意用户，机构节点无法知道用户的真实身份信息，仅仅知道其“假身份”id_a是恶意的，被访问的机构节点通过查询区块链上的信息

然后各个节点通过达成对id_a真实身份的追溯的共识，然后id_a的注册节点ID_B将在本机构注册的全部用户的u_i带入到式子

其中N为在该机构进行注册的用户数量。直到找到u_a满足上述等式，便找到了恶意用户u_a，各个节点对于结果达成一致共识之后，便可以将恶意用户真实信息上传到区块链中，实现恶意用户的记录。当然对于可能误判的或者可能被窃取的恶意用户，用户可以向权威部门进行申请，然后权威部门将恶意记录进行消除。将恶意节点记录在区块链中一方面可以约束用户的行为，另一方面可以防止恶意用户的再注册，避免浪费计算资源和通信资源。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。

Claims

1.一种云计算环境下区块链无证书的身份认证方案，其特征在于，包括：

系统结构模块，由用户、机构节点、权威节点组成；

域内认证模块，用于处理域内合法用户的域内认证请求；

2.如权利要求1所述的云计算环境下区块链无证书的身份认证方案，其特征在于，所述系统结构包含跨域区块链和域内区块链。

3.如权利要求2所述的云计算环境下区块链无证书的身份认证方案，其特征在于，所述跨域区块链由权威节点维护，所述域内区块链由机构节点维护。

4.如权利要求3所述的云计算环境下区块链无证书的身份认证方案，其特征在于，采用无证书机制在用户和机构注册阶段为合法用户生成公私钥和签名信息，然后将注册信息用于生成用户身份证明：

5.如权利要求4所述的云计算环境下区块链无证书的身份认证方案，其特征在于，所述用户身份证明包含用户虚拟身份、公钥信息、注册机构、所属域、到期时间和机构签名。

6.如权利要求5所述的云计算环境下区块链无证书的身份认证方案，其特征在于，还包括以下功能：