CN114553440B - 基于区块链和属性签名的跨数据中心身份认证方法及系统 - Google Patents

基于区块链和属性签名的跨数据中心身份认证方法及系统 Download PDF

Info

Publication number
CN114553440B
CN114553440B CN202210424241.3A CN202210424241A CN114553440B CN 114553440 B CN114553440 B CN 114553440B CN 202210424241 A CN202210424241 A CN 202210424241A CN 114553440 B CN114553440 B CN 114553440B
Authority
CN
China
Prior art keywords
terminal
authentication
data center
signature
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210424241.3A
Other languages
English (en)
Other versions
CN114553440A (zh
Inventor
徐淑奖
张朝阳
王连海
王英龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Computer Science Center National Super Computing Center in Jinan
Original Assignee
Shandong Computer Science Center National Super Computing Center in Jinan
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Computer Science Center National Super Computing Center in Jinan filed Critical Shandong Computer Science Center National Super Computing Center in Jinan
Priority to CN202210424241.3A priority Critical patent/CN114553440B/zh
Publication of CN114553440A publication Critical patent/CN114553440A/zh
Application granted granted Critical
Publication of CN114553440B publication Critical patent/CN114553440B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明属于数字信息传输技术领域,提供了一种基于区块链和属性签名的跨数据中心身份认证方法及系统。该方法应用于第一数据中心内的第一终端,包括:向第二数据中心的第二终端发送认证请求,接收第二终端产生的第一随机数;使用自己的属性私钥根据签名策略对第一随机数进行签名;向第二终端发送所述签名,接收第一数据中心的第一认证服务器发送的与认证请求对应的跨域认证证书;其中,所述跨域认证证书是由第二数据中心的第二认证服务器根据第二终端发送的第一终端身份认证判定结果产生的,所述第一终端身份认证判定结果是由第二终端根据签名有效发送的第一终端身份验证请求得到的。本发明实现了用户身份隐私保护和监管。

Description

基于区块链和属性签名的跨数据中心身份认证方法及系统
技术领域
本发明属于数字信息传输技术领域,尤其涉及一种基于区块链和属性签名的跨数据中心身份认证方法及系统。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
数字经济时代,作为经济发展的新动能与社会发展的新引擎,数据已成为新的生产要素,也是重要的基础性战略资源。物联网、传感器、云计算存储以及自媒体等技术的发展,导致了海量数据的产生。随着信息技术与各个行业的持续快速深度融合发展,跨数据中心的数据交互共享越来越频繁。政府、科研和商业等机构在使用这些来自于不同数据中的数据时,含有大量工作秘密、商业秘密和个人隐私信息的数据频繁跨数据中心流动面临着严重的数据泄露等安全风险。一旦发生隐私信息泄露,将会给国家、机构和个人造成严重的安全威胁。如何有效的使用匿名身份认证等访问控制技术实现安全可控的数据共享、防止非授权用户的非法接入,是数据安全和隐私保护亟需解决的首要问题。
由于担心隐私信息泄露,数据拥有者往往不愿意共享数据,这对用户跨数据中心身份认证提出了更高的要求。在高效实现用户匿名认证的同时,要切实有效的保护用户的身份隐私信息,防止信息泄露,并抵御关联分析。在实际应用场景中,不仅要考虑用户隐私保护,通常还需要对用户的身份进行监管,以防止用户身份匿名滥用和失信行为的发生。因此,需要构建隐私保护和身份监管兼顾的高效身份认证方案。但是,目前的跨数据中心身份认证方案仍存有中心化、计算复杂度高等缺陷。各数据中心属性语义存在差异,用户进行跨数据中心身份认证时需要二次注册等。
发明内容
为了解决上述背景技术中存在的技术问题,本发明提供一种基于区块链和属性签名的跨数据中心身份认证方法及系统,本发明可在保证跨数据中心身份认证安全可信可追溯的同时,实现用户身份隐私保护和监管。
为了实现上述目的,本发明采用如下技术方案:
本发明的第一个方面提供一种基于区块链和属性签名的跨数据中心身份认证方法。
基于区块链和属性签名的跨数据中心身份认证方法,应用于第一数据中心内的第一终端,包括:
向第二数据中心的第二终端发送认证请求,接收第二终端产生的第一随机数;
使用自己的属性私钥根据签名策略对第一随机数进行签名;
向第二终端发送所述签名,接收第一数据中心的第一认证服务器发送的与认证请求对应的跨域认证证书;
其中,所述跨域认证证书是由第二数据中心的第二认证服务器根据第二终端发送的第一终端身份认证判定结果产生的,所述第一终端身份认证判定结果是由第二终端根据签名有效发送的第一终端身份验证请求得到的。
进一步地,所述第一终端身份认证判定结果是由第二终端根据签名有效发送的第一终端身份验证请求得到的具体包括:
第二终端根据该随机数、签名策略、签名、公共参数和属性私钥基,对所述签名进行验证,验证签名是否有效,若是,则向第二认证服务器发送第一终端的身份验证请求,申请第一终端的跨数据中心身份认证证书,否则认证结束。
进一步地,所述第一终端身份认证判定结果得到的过程包括:
第二认证服务器调用智能合约根据属性凭证查询第一终端的注册信息,判断是否为联盟的注册用户,若是,对第一终端的身份进行认证判定,若认证通过,则生成认证请求对应的跨域认证证书;
其中,属性凭证为第一终端的属性凭证,由第一终端发送给第二终端。
进一步地,所述智能合约根据区块链上的全局属性集对第一终端的身份认证进行判定。
进一步地,在向第二数据中心的第二终端发送认证请求之前包括:
建立包括第一数据中心和第二数据中心的区块链系统,得到数据中心联盟;
基于区块链系统中的数据中心,构造全局属性集;
初始化区块链,生成公共参数和属性私钥基,并在区块链上公布;
进一步地,在向第二数据中心的第二终端发送认证请求之前还包括:
第一认证服务器根据第一终端基本信息为第一终端生成属性子集;
第一认证服务器根据公共参数、属性子集和第一终端基本信息,选择第二随机数为第一终端注册,生成第一终端身份标识和属性凭证;
第一认证服务器根据第一终端身份标识、用户属性凭证和属性私钥基为第一终端生成属性私钥。
本发明的第二个方面提供一种基于区块链和属性签名的跨数据中心身份认证系统。
基于区块链和属性签名的跨数据中心身份认证系统,应用于第一数据中心内的第一终端,包括:
请求模块,其被配置为:向第二数据中心的第二终端发送认证请求,接收第二终端产生的第一随机数;
签名模块,其被配置为:使用自己的属性私钥根据签名策略对第一随机数进行签名;
认证模块,其被配置为:向第二终端发送所述签名,接收第一数据中心的第一认证服务器发送的与认证请求对应的跨域认证证书;
其中,所述跨域认证证书是由第二数据中心的第二认证服务器根据第二终端发送的第一终端身份认证判定结果产生的,所述第一终端身份认证判定结果是由第二终端根据签名有效发送的第一终端身份验证请求得到的。
本发明的第三个方面提供一种基于区块链和属性签名的跨数据中心身份认证方法。
基于区块链和属性签名的跨数据中心身份认证方法,应用于第二数据中心内的第二终端,包括:
接收第一数据中心内的第一终端发送的认证请求,产生第一随机数发送至第一终端;
接收第一终端发送的签名,判定签名有效性,若有效,向第二数据中心的第二认证服务器发送的第一终端身份验证请求,以使第二认证服务器调用智能合约对第一终端身份验证请求进行第一终端身份认证判定,得到跨域认证证书,并将跨域认证证书发送至第一数据中心的第一认证服务器;
其中,所述签名是由第一终端使用自己的属性私钥根据签名策略对第一随机数进行签名得到。
进一步地,所述接收第一终端发送的签名,判断签名有效性,若有效,向第二数据中心的第二认证服务器发送的第一终端身份验证请求具体包括:
第二终端根据第一随机数、签名策略、签名、公共参数和属性私钥基,对所述签名进行验证,验证签名是否有效,若是,则向第二认证服务器发送第一终端的身份验证请求,申请第一终端的跨数据中心身份认证证书,否则认证结束。
进一步地,所述进行第一终端身份认证判定具体包括:
第二认证服务器调用智能合约根据属性凭证查询第一终端的注册信息,判断是否为联盟的注册用户,若是,对第一终端的身份进行认证判定,若是认证通过,则生成认证请求对应的跨域认证证书;
其中,属性凭证为第一终端的属性凭证,由第一终端发送给第二终端。
进一步地,所述智能合约根据区块链上的全局属性集对第一终端的身份认证进行判定。
进一步地,在接收第一数据中心内的第一终端发送的认证请求之前包括:
建立包括第一数据中心和第二数据中心的区块链系统,得到数据中心联盟;
基于区块链系统中的数据中心,构造全局属性集;
初始化区块链,生成公共参数和属性私钥基,并在区块链上公布;
进一步地,在接收第一数据中心内的第一终端发送的认证请求之前还包括:
第一认证服务器根据第一终端基本信息为第一终端生成属性子集;
第一认证服务器根据公共参数、属性子集和第一终端基本信息,选择第二随机数为第一终端注册,生成第一终端身份标识和属性凭证;
第一认证服务器根据第一终端身份标识、用户属性凭证和属性私钥基为第一终端生成属性私钥。
本发明的第四个方面提供一种基于区块链和属性签名的跨数据中心身份认证系统。
基于区块链和属性签名的跨数据中心身份认证方法系统,应用于第二数据中心内的第二终端,包括:
接收模块,其被配置为:接收第一数据中心内的第一终端发送的认证请求,产生第一随机数发送至第一终端;
判定模块,其被配置为:接收第一终端发送的签名,判定签名有效性,若有效,向第二数据中心的第二认证服务器发送的第一终端身份验证请求,以使第二认证服务器调用智能合约对第一终端身份验证请求进行第一终端身份认证判定,得到跨域认证证书,并将跨域认证证书发送至第一数据中心的第一认证服务器;
其中,所述签名是由第一终端使用自己的属性私钥根据签名策略对第一随机数进行签名得到。
与现有技术相比,本发明的有益效果是:
1. 本发明通过设置多方共同维护的全局属性集,解决了属性语义不一致的问题,实现了跨数据中心的身份隐私保护和身份监管兼顾的匿名身份认证;简化了认证流程,用户在进行跨数据中心身份认证时,不需要用户重新注册。
2.与未使用区块链的现有技术对比,本发明基于区块链实现用户跨数据中心匿名身份认证,身份认证由智能合约自动化执行,智能合约由多方背书和维护,保障了跨数据中心匿名身份认证的可信性和安全性,并具有认证、仲裁过程和结果可追溯的特性;避免了中心化身份认证中存在的单点故障等缺陷。
3.与基于区块链的现有技术对比,本发明中基于ABS密码算法的用户属性凭证和属性私钥仅涉及用户的属性信息,并不会暴露用户真实身份,实现用户的身份隐私保护;建立身份映射表,当出现纠纷时,验证者可以申请仲裁,由对应数据中心的服务器恢复出可疑用户的真实身份,实现用户身份监管。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1是本发明实施例一示出的基于区块链和属性签名的跨数据中心身份认证方法的流程图;
图2是本发明实施例二示出的基于区块链和属性签名的跨数据中心身份认证系统的示意图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
需要注意的是,附图中的流程图和框图示出了根据本公开的各种实施例的方法和系统的可能实现的体系架构、功能和操作。应当注意,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分可以包括一个或多个用于实现各个实施例中所规定的逻辑功能的可执行指令。也应当注意,在有些作为备选的实现中,方框中所标注的功能也可以按照不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,或者它们有时也可以按照相反的顺序执行,这取决于所涉及的功能。同样应当注意的是,流程图和/或框图中的每个方框、以及流程图和/或框图中的方框的组合,可以使用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以使用专用硬件与计算机指令的组合来实现。
实施例一
本实施例提供了一种基于区块链和属性签名的跨数据中心身份认证方法,本实施例以该方法应用于服务器进行举例说明,可以理解的是,该方法也可以应用于终端,还可以应用于包括终端和服务器和系统,并通过终端和服务器的交互实现。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务器、云通信、中间件服务、域名服务、安全服务CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本发明在此不做限制。本实施例中,该方法应用于第一数据中心内的第一终端和第一认证服务器,包括:
基于区块链和属性签名的跨数据中心身份认证方法,应用于第一数据中心内的第一终端,包括:
向第二数据中心的第二终端发送认证请求,接收第二终端产生的第一随机数;
使用自己的属性私钥根据签名策略对第一随机数进行签名;
向第二终端发送所述签名,接收第一数据中心的第一认证服务器发送的与认证请求对应的跨域认证证书;
其中,所述跨域认证证书是由第二数据中心的第二认证服务器根据第二终端发送的第一终端身份认证判定结果产生的,所述第一终端身份认证判定结果是由第二终端根据签名有效发送的第一终端身份验证请求得到的。
为了具体的介绍本实施例的技术方案,本实施例将第一终端称为用户A,第二终端称为用户B,如图1所示,本实施例的具体步骤如下:
初始化
1.区块链组建和全局属性集协商
由各个数据中心的认证节点组建区块链系统,形成数据中心联盟;在区块链上建立由各数据中心协商一致、共同维护的全局属性集。
全局属性集是存储在区块链网络上的一个属性集合。它是各数据中心进行属性协商而创建的,由各数据中心共同维护,具有良好的可信性;由于各数据中心都有自己的属性集,而且它们并不完全相同,甚至存在语义差异,通过设置全局属性集,可以解决各个数据中心属性语义不一致的问题,方便用户进行跨数据中心匿名身份认证。
1.1 由各个数据中心的认证节点组建区块链系统,建立数据中心联盟;
1.2 各数据中心进行属性协商,形成满足全部数据中心需求的全局属性集,并在区块链上发布;
1.3 允许新的数据中心加入数据中心联盟。新数据中心在加入区块链系统并同步区块链数据后,查询全局属性集,若其需要的属性存在,则无需更新发布全局属性集,若有不存在属性或存在语义差异,则需要重新协商建立全局属性集,并发布。随着数据中心的不断加入,全局属性集不断趋于完善,后续加入的数据中心需要发布的新属性逐渐减少,全局属性集逐渐满足需要;
1.4 允许数据中心退出数据中心联盟。如果有数据中心退出,全局属性集无需改变。
2.区块链初始化,生成公共参数PK,属性私钥基
Figure 949015DEST_PATH_IMAGE001
,并在链上发布;
3.用户注册
3.1用户
Figure 64739DEST_PATH_IMAGE002
向本地认证服务器
Figure 29153DEST_PATH_IMAGE003
提交基本信息
Figure 634447DEST_PATH_IMAGE004
,发出注册请求
Figure 989204DEST_PATH_IMAGE005
,进行注册;
3.2 本地认证服务器
Figure 970936DEST_PATH_IMAGE003
根据用户基本信息
Figure 789856DEST_PATH_IMAGE004
Figure 503734DEST_PATH_IMAGE002
用户生成一个属性子集
Figure 673684DEST_PATH_IMAGE006
,该子集存储在本地服务器
Figure 193527DEST_PATH_IMAGE003
的私有数据库中,当用户注销时,将其删除。
3.3 本地认证服务器
Figure 804637DEST_PATH_IMAGE003
根据公共参数PK、属性子集
Figure 17313DEST_PATH_IMAGE006
和用户基本信息
Figure 346663DEST_PATH_IMAGE007
,选择随机数
Figure 670197DEST_PATH_IMAGE008
为用户注册,生成用户身份标识
Figure 135813DEST_PATH_IMAGE009
和属性凭证
Figure 355328DEST_PATH_IMAGE010
,将属性凭证上传到区块链上的用户属性凭证库,作为用户在区块链上的身份凭证。
3.4 本地认证服务器
Figure 171974DEST_PATH_IMAGE003
根据用户身份标识
Figure 33620DEST_PATH_IMAGE009
、用户属性凭证
Figure 619322DEST_PATH_IMAGE010
和属性私钥基
Figure 173800DEST_PATH_IMAGE011
为用户
Figure 212163DEST_PATH_IMAGE002
生成属性私钥
Figure 877500DEST_PATH_IMAGE012
,并维护用户真实身份与其属性凭证和属性私钥的身份映射表T,存储在本心的私有数据库中,以便后续的身份追踪。
用户跨域认证
1.数据中心A中的用户
Figure 645604DEST_PATH_IMAGE002
向数据中心B中的用户
Figure 43088DEST_PATH_IMAGE013
,发出认证请求
Figure 834326DEST_PATH_IMAGE014
2.数据中心B中的用户
Figure 37774DEST_PATH_IMAGE013
产生一个随机数
Figure 598069DEST_PATH_IMAGE015
发送给数据中心A中的用户
Figure 228770DEST_PATH_IMAGE002
作为响应;
3.用户
Figure 569622DEST_PATH_IMAGE002
收到随机数
Figure 514444DEST_PATH_IMAGE015
后,使用自己的属性私钥
Figure 991562DEST_PATH_IMAGE016
根据签名策略
Figure 996427DEST_PATH_IMAGE017
对该随机数进行签名,并将自己的属性凭证
Figure 558995DEST_PATH_IMAGE010
和额外的时间戳
Figure 41929DEST_PATH_IMAGE018
组成数组
Figure 639132DEST_PATH_IMAGE019
一块发送给用户
Figure 611637DEST_PATH_IMAGE013
4.用户
Figure 661501DEST_PATH_IMAGE013
对随机数进行验证,输入随机数
Figure 948126DEST_PATH_IMAGE015
,签名策略
Figure 399836DEST_PATH_IMAGE017
,签名
Figure 808820DEST_PATH_IMAGE020
,公共参数PK,属性私钥基
Figure 283664DEST_PATH_IMAGE011
,验证签名是否有效。签名有效则转到下一步,否则返回
Figure 170717DEST_PATH_IMAGE021
,认证结束;
5.用户
Figure 476934DEST_PATH_IMAGE013
向数据中心B的认证服务器
Figure 56820DEST_PATH_IMAGE022
发送用户
Figure 18960DEST_PATH_IMAGE002
的身份验证请求
Figure 709704DEST_PATH_IMAGE023
,并为其申请跨数据中心身份认证证书;
6.数据中心B的认证服务器
Figure 870427DEST_PATH_IMAGE022
调用智能合约根据属性凭证查询用户的注册信息。判断是否为联盟的注册用户,是则转到下一步,否则返回
Figure 621214DEST_PATH_IMAGE024
,认证结束;
7.智能合约根据链上全局属性集自动执行用户身份认证判定;
8.智能合约将判定结果
Figure 132967DEST_PATH_IMAGE025
发送给数据中心B的认证服务器
Figure 299506DEST_PATH_IMAGE022
。如果认证通过则根据认证请求中的信息生成跨域认证证书,转到下一步。否则返回
Figure 580315DEST_PATH_IMAGE021
,认证结束;
9.数据中心B的认证服务器
Figure 502003DEST_PATH_IMAGE022
将用户
Figure 235473DEST_PATH_IMAGE002
的跨数据中心认证证书
Figure 557036DEST_PATH_IMAGE026
发送给数据中心A的认证服务器
Figure 630035DEST_PATH_IMAGE003
10.数据中心A的认证服务器
Figure 722624DEST_PATH_IMAGE003
将跨数据中心认证证书
Figure 943390DEST_PATH_IMAGE027
发给用户
Figure 514049DEST_PATH_IMAGE002
实施例二
本实施例提供了一种基于区块链和属性签名的跨数据中心身份认证系统。
基于区块链和属性签名的跨数据中心身份认证系统,应用于第一数据中心内的第一终端,包括:
请求模块,其被配置为:向第二数据中心的第二终端发送认证请求,接收第二终端产生的第一随机数;
签名模块,其被配置为:使用自己的属性私钥根据签名策略对第一随机数进行签名;
认证模块,其被配置为:向第二终端发送所述签名,接收第一数据中心的第一认证服务器发送的与认证请求对应的跨域认证证书;
其中,所述跨域认证证书是由第二数据中心的第二认证服务器根据第二终端发送的第一终端身份认证判定结果产生的,所述第一终端身份认证判定结果是由第二终端根据签名有效发送的第一终端身份验证请求得到的。
为了具体的介绍本实施例的技术方案,本实施例将第一终端称为本地用户,第二终端称为其他数据中心用户,如图2所示,本实施例包括区块链和多个数据中心模块,每个数据中心既可以是认证请求方也可以是认证服务方。
1.数据中心模块:用于组建区块链网络、建立数据中心联盟、申请区块链部署智能合约、用户注册及注销、存储私有数据、执行认证请求和认证服务等功能。
1.1 各数据中心的认证节点组建区块链系统,建立数据中心联盟,每个数据中心可以有多个服务器加入区块链,避免因为单个服务器宕机而造成损失;
1.2 各数据中心进行属性协商,形成满足全部数据中心需求的全局属性集,并在区块链上发布,解决各个数据中心属性语义不一致的问题,新加入联盟的数据中心有权申请更新协商全局属性集;
1.3 向区块链申请部署智能合约,需各数据中心中的背书节点全部同意,方能部署成功;
1.4 本地用户通过本地服务器进行用户注册
1.4.1 本地用户提供自身基本信息向本地服务器申请注册;
1.4.2 本地服务器为本地用户生成本地属性子集和身份标识,该属性子集保存在本地私有数据库,用户注销时将其删除;
1.4.3 本地服务器为本地用户生成属性凭证,存储在区块链上的注册用户属性凭证库,作为用户在区块链上的身份;
1.4.4 本地服务器为本地用户生成属性私钥,供其在跨数据中心身份认证中签名时使用;
1.4.5 本地服务器生成用户真实身份与其属性凭证和属性私钥的映射关系,形成身份映射表,保存在本地私有数据库,在出现纠纷时,根据仲裁合约判定结果,将可疑用户真实身份返回给申请身份仲裁的服务器;
1.5 作为认证请求方执行认证请求功能
1.5.1 本地用户向其他数据中心用户发送跨数据中心身份认证请求,使用属性私钥对响应和自身相关信息进行签名发送给其他数据中心用户;
1.5.2跨数据中心身份认证结束后,请求端服务器将来自服务端服务器发送的跨数据中心身份认证证书颁发给本地用户;
1.5.3 在出现纠纷时,根据区块链上的身份仲裁合约判定结果,本地服务器将可疑用户的真实身份信息恢复并发送给仲裁请求方的服务器。
1.6 作为认证服务方执行认证服务功能
1.6.1 接收跨数据中心身份认证请求,作出响应,并验证申请认证的用户的签名,签名有效则进行下一步,否则认证失败;
1.6.2被访问用户向本地服务器为其他数据中心的访问用户申请跨数据中心身份认证证书;
1.6.3本地服务器向区块链申请查询用户信息,验证申请是否为联盟合法用户,是则进入下一步,否则认证失败;
1.6.4 本地服务器向区块链发出身份认证判定合约调用请求;
1.6.5 根据身份认证合约的判定结果和申请用户的相关信息,本地服务器为用户生成跨数据中心身份认证证书,并将其发送到认证请求端的服务器;
1.6.6 在出现纠纷时,仲裁请求方服务器调用区块链上的身份仲裁判定合约,接收仲裁服务方返回的可疑用户的真实身份信息。
2.区块链模块:用于系统初始化、存储全局属性集、注册用户属性凭证、部署智能合约、执行身份认证判定和身份仲裁判定
2.1 区块链初始化,生成公共参数,属性私钥基,并在链上发布;
2.2 存储由各数据中心进行属性协商而创建的全局属性集,全局属性集由各数据中心共同维护;
2.3 存储用户注册时由各数据中心本地服务器产生的用户属性凭证;
2.4 按照各数据中心要求部署智能合约,智能合约需要各个数据中心的背书节点通过方能成功部署,具有较好的可信性和安全性,智能合约包括全局属性集的管理及查询合约,属性凭证的查询合约、身份认证合约以及仲裁合约;
2.5接收认证服务端服务器请求,查询用户属性凭证库,判断认证请求者是否为合法用户;
2.6接收认证服务端服务器请求,执行身份认证合约,生成认证结果并转发给认证服务端服务器;
2.7 接收认证服务端服务器请求,执行身份仲裁合约,生成仲裁结果并转发给对应数据中心服务器。
实施例三
本实施例提供了一种基于区块链和属性签名的跨数据中心身份认证方法。
基于区块链和属性签名的跨数据中心身份认证方法,应用于第二数据中心内的第二终端,包括:
接收第一数据中心内的第一终端发送的认证请求,产生第一随机数发送至第一终端;
接收第一终端发送的签名,判定签名有效性,若有效,向第二数据中心的第二认证服务器发送的第一终端身份验证请求,以使第二认证服务器调用智能合约对第一终端身份验证请求进行第一终端身份认证判定,得到跨域认证证书,并将跨域认证证书发送至第一数据中心的第一认证服务器;
其中,所述签名是由第一终端使用自己的属性私钥根据签名策略对第一随机数进行签名得到。
实施例三的具体方案的实现过程与实施例一相同,在此不再赘述。
实施例四
本实施例提供了一种基于区块链和属性签名的跨数据中心身份认证系统。
基于区块链和属性签名的跨数据中心身份认证方法系统,应用于第二数据中心内的第二终端,包括:
接收模块,其被配置为:接收第一数据中心内的第一终端发送的认证请求,产生第一随机数发送至第一终端;
判定模块,其被配置为:接收第一终端发送的签名,判定签名有效性,若有效,向第二数据中心的第二认证服务器发送的第一终端身份验证请求,以使第二认证服务器调用智能合约对第一终端身份验证请求进行第一终端身份认证判定,得到跨域认证证书,并将跨域认证证书发送至第一数据中心的第一认证服务器;
其中,所述签名是由第一终端使用自己的属性私钥根据签名策略对第一随机数进行签名得到。
实施例四的具体方案的实现过程与实施例二相同,在此不再赘述。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.基于区块链和属性签名的跨数据中心身份认证方法,其特征在于,由各个数据中心的认证节点组建区块链系统,形成数据中心联盟;在区块链上建立由各数据中心协商一致、共同维护的全局属性集;应用于第一数据中心内的第一终端,包括:
向第二数据中心的第二终端发送认证请求,接收第二终端产生的第一随机数;
使用自己的属性私钥根据签名策略对第一随机数进行签名;
向第二终端发送所述签名,接收第一数据中心的第一认证服务器发送的与认证请求对应的跨数据中心身份认证证书;
以使第二终端根据该随机数、签名策略、签名、公共参数和属性私钥基,对所述签名进行验证,验证签名是否有效,若是,则向第二认证服务器发送第一终端的身份验证请求,申请第一终端的跨数据中心身份认证证书,否则认证结束;
所述申请第一终端的跨数据中心身份认证证书的过程包括:
第二认证服务器调用智能合约根据属性凭证查询第一终端的注册信息,判断是否为联盟的注册用户,若是,对第一终端的身份进行认证判定,若认证通过,则生成认证请求对应的跨数据中心身份认证证书;
其中,属性凭证为第一终端的属性凭证,由第一终端发送给第二终端。
2.根据权利要求1所述的基于区块链和属性签名的跨数据中心身份认证方法,其特征在于,所述智能合约根据区块链上的全局属性集对第一终端的身份认证进行判定。
3.基于区块链和属性签名的跨数据中心身份认证系统,其特征在于,由各个数据中心的认证节点组建区块链系统,形成数据中心联盟;在区块链上建立由各数据中心协商一致、共同维护的全局属性集;应用于第一数据中心内的第一终端,包括:
请求模块,其被配置为:向第二数据中心的第二终端发送认证请求,接收第二终端产生的第一随机数;
签名模块,其被配置为:使用自己的属性私钥根据签名策略对第一随机数进行签名;
认证模块,其被配置为:向第二终端发送所述签名,接收第一数据中心的第一认证服务器发送的与认证请求对应的跨数据中心身份认证证书;
以使第二终端根据该随机数、签名策略、签名、公共参数和属性私钥基,对所述签名进行验证,验证签名是否有效,若是,则向第二认证服务器发送第一终端的身份验证请求,申请第一终端的跨数据中心身份认证证书,否则认证结束;
所述申请第一终端的跨数据中心身份认证证书的过程包括:
第二认证服务器调用智能合约根据属性凭证查询第一终端的注册信息,判断是否为联盟的注册用户,若是,对第一终端的身份进行认证判定,若认证通过,则生成认证请求对应的跨数据中心身份认证证书;
其中,属性凭证为第一终端的属性凭证,由第一终端发送给第二终端。
4.基于区块链和属性签名的跨数据中心身份认证方法,其特征在于,由各个数据中心的认证节点组建区块链系统,形成数据中心联盟;在区块链上建立由各数据中心协商一致、共同维护的全局属性集;应用于第二数据中心内的第二终端,包括:
接收第一数据中心内的第一终端发送的认证请求,产生第一随机数发送至第一终端;
接收第一终端发送的签名,判定签名有效性,若有效,向第二数据中心的第二认证服务器发送的第一终端身份验证请求,以使第二认证服务器调用智能合约对第一终端身份验证请求进行第一终端身份认证判定,得到跨数据中心身份认证证书,并将跨数据中心身份认证证书发送至第一数据中心的第一认证服务器;
其中,所述签名是由第一终端使用自己的属性私钥根据签名策略对第一随机数进行签名得到;
所述接收第一终端发送的签名,判断签名有效性,若有效,向第二数据中心的第二认证服务器发送的第一终端身份验证请求具体包括:
第二终端根据第一随机数、签名策略、签名、公共参数和属性私钥基,对所述签名进行验证,验证签名是否有效,若是,则向第二认证服务器发送第一终端的身份验证请求,申请第一终端的跨数据中心身份认证证书,否则认证结束;
所述进行第一终端身份认证判定具体包括:
第二认证服务器调用智能合约根据属性凭证查询第一终端的注册信息,判断是否为联盟的注册用户,若是,对第一终端的身份进行认证判定,若是认证通过,则生成认证请求对应的跨数据中心身份认证证书;
其中,属性凭证为第一终端的属性凭证,由第一终端发送给第二终端。
5.根据权利要求4所述的基于区块链和属性签名的跨数据中心身份认证方法,其特征在于,所述智能合约根据区块链上的全局属性集对第一终端的身份认证进行判定。
6.基于区块链和属性签名的跨数据中心身份认证方法系统,其特征在于,由各个数据中心的认证节点组建区块链系统,形成数据中心联盟;在区块链上建立由各数据中心协商一致、共同维护的全局属性集;应用于第二数据中心内的第二终端,包括:
接收模块,其被配置为:接收第一数据中心内的第一终端发送的认证请求,产生第一随机数发送至第一终端;
判定模块,其被配置为:接收第一终端发送的签名,判定签名有效性,若有效,向第二数据中心的第二认证服务器发送的第一终端身份验证请求,以使第二认证服务器调用智能合约对第一终端身份验证请求进行第一终端身份认证判定,得到跨数据中心身份认证证书,并将跨数据中心身份认证证书发送至第一数据中心的第一认证服务器;
其中,所述签名是由第一终端使用自己的属性私钥根据签名策略对第一随机数进行签名得到;
所述接收第一终端发送的签名,判断签名有效性,若有效,向第二数据中心的第二认证服务器发送的第一终端身份验证请求具体包括:
第二终端根据第一随机数、签名策略、签名、公共参数和属性私钥基,对所述签名进行验证,验证签名是否有效,若是,则向第二认证服务器发送第一终端的身份验证请求,申请第一终端的跨数据中心身份认证证书,否则认证结束;
所述进行第一终端身份认证判定具体包括:
第二认证服务器调用智能合约根据属性凭证查询第一终端的注册信息,判断是否为联盟的注册用户,若是,对第一终端的身份进行认证判定,若是认证通过,则生成认证请求对应的跨数据中心身份认证证书;
其中,属性凭证为第一终端的属性凭证,由第一终端发送给第二终端。
CN202210424241.3A 2022-04-22 2022-04-22 基于区块链和属性签名的跨数据中心身份认证方法及系统 Active CN114553440B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210424241.3A CN114553440B (zh) 2022-04-22 2022-04-22 基于区块链和属性签名的跨数据中心身份认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210424241.3A CN114553440B (zh) 2022-04-22 2022-04-22 基于区块链和属性签名的跨数据中心身份认证方法及系统

Publications (2)

Publication Number Publication Date
CN114553440A CN114553440A (zh) 2022-05-27
CN114553440B true CN114553440B (zh) 2022-10-04

Family

ID=81667425

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210424241.3A Active CN114553440B (zh) 2022-04-22 2022-04-22 基于区块链和属性签名的跨数据中心身份认证方法及系统

Country Status (1)

Country Link
CN (1) CN114553440B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113761582B (zh) * 2021-09-29 2023-06-16 山东省计算中心(国家超级计算济南中心) 基于群签名的可监管区块链交易隐私保护方法及系统
CN116321159B (zh) * 2023-01-14 2024-01-02 国网湖北省电力有限公司荆门供电公司 一种基于北斗通信服务的分散场站数据传输方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106713279A (zh) * 2016-11-29 2017-05-24 北京航天爱威电子技术有限公司 一种视频终端身份认证系统
CN111626737A (zh) * 2020-05-29 2020-09-04 兰州理工大学 一种可添加身份属性的高效跨链认证方法
CN112637278A (zh) * 2020-12-09 2021-04-09 云南财经大学 基于区块链和属性基加密的数据共享方法、系统及计算机可读存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11831409B2 (en) * 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
KR102118962B1 (ko) * 2019-03-15 2020-06-05 주식회사 코인플러그 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
CN110061851A (zh) * 2019-04-28 2019-07-26 广州大学 一种去中心化的跨信任域认证方法及系统
CN111835528B (zh) * 2020-07-16 2023-04-07 广州大学 一种去中心化的物联网跨域访问授权方法及系统
CN112637189B (zh) * 2020-12-18 2022-06-24 重庆大学 物联网应用场景下的多层区块链跨域认证方法
CN113127910B (zh) * 2021-04-30 2022-04-12 复旦大学 基于区块链和去中心可追踪属性签名的可控匿名投票系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106713279A (zh) * 2016-11-29 2017-05-24 北京航天爱威电子技术有限公司 一种视频终端身份认证系统
CN111626737A (zh) * 2020-05-29 2020-09-04 兰州理工大学 一种可添加身份属性的高效跨链认证方法
CN112637278A (zh) * 2020-12-09 2021-04-09 云南财经大学 基于区块链和属性基加密的数据共享方法、系统及计算机可读存储介质

Also Published As

Publication number Publication date
CN114553440A (zh) 2022-05-27

Similar Documents

Publication Publication Date Title
CN109918878B (zh) 一种基于区块链的工业物联网设备身份认证及安全交互方法
US11177961B2 (en) Method and system for securely sharing validation information using blockchain technology
US11651109B2 (en) Permission management method, permission verification method, and related apparatus
US10708070B2 (en) System and method for utilizing connected devices to enable secure and anonymous electronic interaction in a decentralized manner
CN110147994B (zh) 一种基于同态加密的区块链的即时执行方法
Lim et al. Blockchain technology the identity management and authentication service disruptor: a survey
US9635000B1 (en) Blockchain identity management system based on public identities ledger
CN108667612B (zh) 一种基于区块链的信任服务架构及方法
WO2019205849A1 (zh) 区块链访问的鉴权方法和装置、存储介质、电子装置
CN111988338B (zh) 基于区块链的权限可控的物联网云平台及数据交互方法
CN110958111B (zh) 一种基于区块链的电力移动终端身份认证机制
CN111144881A (zh) 对资产转移数据的选择性访问
CN112005264A (zh) 实施跨链事务的区块链
CN111191283B (zh) 基于联盟区块链的北斗定位信息安全加密方法及装置
CN114553440B (zh) 基于区块链和属性签名的跨数据中心身份认证方法及系统
Panda et al. A blockchain based decentralized authentication framework for resource constrained iot devices
CN108876669B (zh) 应用于多平台教育资源共享的课程公证系统及方法
CN110177109B (zh) 一种基于标识密码和联盟链的双代理跨域认证系统
CN112702402A (zh) 基于区块链技术实现政务信息资源共享和交换的系统、方法、装置、处理器及其存储介质
CN113271311B (zh) 一种跨链网络中的数字身份管理方法及系统
Abraham et al. Revocable and offline-verifiable self-sovereign identities
CN111881483B (zh) 基于区块链的资源账户绑定方法、装置、设备和介质
Ahmed et al. Blockchain-based identity management system and self-sovereign identity ecosystem: A comprehensive survey
Gong-Guo et al. Blockchain-based IoT security authentication system
Wang et al. An Efficient Data Sharing Scheme for Privacy Protection Based on Blockchain and Edge Intelligence in 6G‐VANET

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant