一种基于多级联盟链的跨域身份认证方法与流程

本发明涉及网络身份认证技术领域，特别是涉及一种基于多级联盟链的跨域身份认证方法。

背景技术

身份认证是工业互联网中保障资源访问和数据通信安全的重要因素。现况下，跨域身份认证主要集中在不同信任域实体之间的认证机制，但是该机制尚未形成完善的研究脉络和理论方法。

区块链作为一种分布式存储方式，具有高可靠、不可抵赖、持久化存储等特点，其在访问控制方面有着非常优异的表现。联盟区块链作为一种降低交易成本、节点连接迅速、隐私保护更加良好的模式在现有状况下得到了广泛的应用。其中在HyperledgerFabric方法中，一个区块链表示一个通道、一个分布式账本、该通道的合约和节点的集合。节点类型为order节点和peer节点，其中order节点为排序节点，他们承担着共识和请求排序的工作，peer节点为背书、记账节点；一个通道和一个分布式账本以及一个合约相对应，消息或者说数据只能在一个通道内进行传播，但是一个节点可以加入多个通道。

在区块链 跨域身份认证方面，尤其是联盟链 跨域身份认证方面已经有不少的工作和方法，但大部分方法是构建一个完整的联盟链，这就导致了当成员数量较大时会导致开销成本过高，而且系统冗余，过于复杂。相对于单个域内节点集而言，所有节点都需要上链过于复杂，同时大部分基于跨域身份认证的改进是，增加身份识别码如生物识别码(指纹、虹膜)等物理信息加上区块链不可篡改的特性进行二次验证，可是这些长时有效的物理信息可能会被他人恶意从物品或个人照片等来源获取，从而导致跨域身份认证的安全性降低。

技术实现要素：

本发明的目的在于提供一种基于多级联盟链的跨域身份认证方法，从而降低跨域身份认证系统构建的复杂度和成本并提高身份认证有效性。

实现本发明目的的技术解决方案为：一种基于多级联盟链的跨域身份认证方法，包括以下步骤：

步骤1，创建各域内联盟链并形成域内合约；

步骤2，依照域内合约将各域内节点加入域内联盟链；

步骤3，创建域间联盟链并形成域间合约；

步骤4，依照域间合约将各域代理节点集加入域间联盟链；

步骤5，更新域内合约，实现节点间跨域身份认证。

进一步地，步骤1所述创建各域内联盟链并形成域内合约，具体步骤如下：

(1.1)选择域内部分节点作为域代理节点集；

(1.2)配置相关的域内联盟链域通道信息；

(1.3)形成域内合约，该合约包含：节点入链规则Ji，节点可信度惩罚规则Ci、域内同通信规则Ti和节点惩罚规则Pi；

(1.4)将域内合约通过通道进行分发，将代理节点集作为order类型节点，将剩余节点作为peer类型节点，形成初始的域内联盟链。

进一步地，步骤2所述依照域内合约将各域内节点加入域内联盟链，具体步骤如下：

(2.1)选择域内对应的联盟链中目标通道申请加入；

(2.2)提交可信度证明；

(2.3)审核通过则加入成功、否则失败。

进一步地，步骤3所述创建域间联盟链并形成域间合约，具体步骤如下：

(3.1)选择一个域代理节点集配置相关联盟链与通道信息；

(3.2)形成域间合约，该合约包含：域入链规则Jo，域可信度惩罚规则Co，域内节点证书生成规则R，域内节点命名规则N，跨域通信规则To；

(3.3)将域间合约通过通道分发至代理节点集并生成初始域间联盟链。

进一步地，步骤4所述依照域间合约将各域代理节点集加入域间联盟链，具体步骤如下：

(4.1)代理节点集向联盟链提出加入请求；

(4.2)代理节点集分别提供域内节点可信度信息和域可信度证明；

(4.3)审核通过则加入成功、否则加入失败。

进一步地，步骤5所述更新域内合约，具体步骤如下：

(5.1)将域间合约中的跨域通信规则下载至域内联盟链对应通道，域内联盟链将该规则更新到域内合约中；域内联盟链必须使域间合约的优先度高于域内合约，当相应功能起到冲突时应以域间联盟链的合约为准；

(5.2)检验通信规则的完整性：域间联盟链向域内联盟链发送特定的请求，并检验所有代理节点返回结果是否正确，如果全部正确则表明通信规则完整，否则通信规则不完整。

进一步地，步骤5所述实现节点间跨域身份认证，具体步骤如下：

(6.1)待认证节点A和B均登陆并获取对应的域内和域间证书；

(6.2)节点A将可信度和请求以及每层的解密验证信息逐层按照节点B域内公钥、节点B域间公钥和节点A域间公钥进行加密；

(6.3)代理节点集通过域间私钥进行解密，验证后将信息计入链中，并更新域内可信度；若验证成功，则继续将解密后的信息发送至节点B所在域；

(6.4)通过节点B所在域代理节点集验证后的信息经节点B私钥进行解密，如果验证信息相符则身份验证成功；

(6.5)节点B将节点A请求进行整理并返回给域间通道，进行节点A以及所在域的可信度评估和更新。

进一步地，步骤1形成的域内合约，具体包括如下规则：

①节点上链规则Ji：该规则中需要包含对申请上链节点的可信度审查，该审查要求申请上链的节点提供相应的节点信息和可信数据，再通过可信度评估函数获得该节点的初始可信度，将数据、可信度和对应节点信息记录入区块中；如果申请节点有因为可信度过低而强制下链记录将不予上链；

②域内节点可信度惩罚规则Ci：该规则中需要包含针对节点不同的资源请求进行的相应可信度惩罚，以保证每次节点请求资源后可信度将呈现不规律下降；同时Ci也需要包含依申报可信数据进行相应测试来获取可信度惩罚并对节点进行相应可信度更改的功能；

③域内同通信规则Ti：该规则要求通信双方交换证书并通过指定加密方式验证通信发起方的可信度来完成身份验证；

④节点惩罚规则Pi：该规则包含依据节点的可信度对节点进行撤销代理节点、强制节点下链的功能。

进一步地，步骤3形成的域间合约，具体包括如下部分：

①域入链规则Jo：该规则要求上链的节点必须提供所在域各节点信息、数据和相应可信度；该规则将会对该域进行可信度评估并将域、数据和域可信度记录入区块中；

②域可信度惩罚规则Co：该规则包含了依域申报剋性能数据进行相应测试来获取可信度惩罚并对相应可行度更改的能力；

③域内节点证书生成规则R：该规则包含了各域内节点登录时从域间获得证书的方式、节点证书生成的方式、通过多代理节点发送以及验证的方式和节点登出时证书注销的方式；

④域内节点命名规则N：该规则规定了各域在域间联盟链中的命名、域内节点相应的命名和更名方式；

⑤跨域通信规则To：该规则要求通信双方交换证书并通过指定加密方式验证通信发起方的可信度来完成身份验证。

本发明与现有技术相比，其显著优点为：(1)通过两级联盟链将域间节点进行了逻辑连接，这种多级连接的方式使得上链下链较为简单，降低了跨域身份认证系统构建复杂度和成本；(2)通过使用动态身份识别码增加了身份认证的有效性，能够提供较好的动态身份识别码；(3)通过标志节点自身的可信度为资源访问与交换提供可靠信息，同时再通过合约对节点行为进行可信度评估，进一步增加了节点用户身份认证的安全性和有效性。

附图说明

图1为节点登入行为的流程图。

图2为基于多级联盟链的跨域身份认证方法的逻辑结构图。

图3为身份认证过程示意图。

具体实施方式

结合图1～2，本发明基于多级联盟链的跨域身份认证方法，包括步骤如下：

第一步，创建各域内联盟链并形成域内合约；

构建方法如下：

(1.1)选择域内部分节点作为域代理节点集；

(1.2)配置相关的域内联盟链域通道信息；

(1.3)形成域内合约，该合约必须包含：节点入链规则Ji，节点可信度惩罚规则Ci、域内同通信规则Ti和节点惩罚规则Pi，具体如下：

①节点上链规则Ji：该规则中需要包含对申请上链节点的可信度审查，该审查要求申请上链的节点提供相应的节点信息和可信数据，这些数据可以是可调用计算资源，可使用存储空间等，再通过可信度评估函数获得该节点的初始可信度，将数据、可信度和对应节点信息记录入区块中；如果申请节点有因为可信度过低而强制下链记录将不予上链；

②域内节点可信度惩罚规则Ci：该规则中需要包含针对节点不同的资源请求进行的相应可信度惩罚，以保证每次节点请求资源后可信度将呈现不规律下降；同时Ci也需要包含依申报可信数据进行相应测试来获取可信度惩罚并对节点进行相应可信度更改的功能；

③域内同通信规则Ti：该规则要求通信双方交换证书并通过指定加密方式验证通信发起方的可信度来完成身份验证；

④节点惩罚规则Pi：该规则包含依据节点的可信度对节点进行撤销代理节点、强制节点下链的功能。

(1.4)将该合约通过通道进行分发，将代理节点集作为order类型节点，将剩余节点作为peer类型节点，形成初始的域内联盟链。

第二步，依照域内合约将各域内节点加入域内联盟链；

具体方式如下：

(2.1)选择域内对应的联盟链中目标通道申请加入；

(2.2)提交可信度证明；

(2.3)审核通过则加入成功、否则失败；审核过程具体如下：

节点按照所申请的域内联盟链的要求提供申请加入的节点基本信息(地址、节点类别等)、可信度证明(可用计算和存储资源大小，要求访问资源的级别等)等信息。

域内联盟链通过比对所提供全部信息的全面(要求信息是否全部提供)和正确程度(所提供地址是否正确、可用资源是否和提供相符等)进行加权获取最终的得分。当得分超过阈值(域内联盟链根据实际情况事先设定)，即审核通过，否则失败。

第三步，创建域间联盟链并形成域间合约；

构建方法如下：

(3.1)选择一个域代理节点集配置相关联盟链与通道信息；

(3.2)形成域间合约，该合约必须包含：域入链规则Jo，域可信度惩罚规则Co，域内节点证书生成规则R，域内节点命名规则N，跨域通信规则To，具体如下：

①域入链规则Jo：该规则要求上链的节点必须提供所在域各节点信息、数据和相应可信度；该规则将会对该域进行可信度评估并将域、数据和域可信度记录入区块中；

②域可信度惩罚规则Co：该规则包含了依域申报剋性能数据进行相应测试来获取可信度惩罚并对相应可行度更改的能力；

③域内节点证书生成规则R：该规则包含了各域内节点登录时从域间获得证书的方式、节点证书生成的方式、通过多代理节点发送以及验证的方式和节点登出时证书注销的方式；

④域内节点命名规则N：该规则规定了各域在域间联盟链中的命名和域内节点相应的命名和更名方式；

⑤跨域通信规则To：该规则要求通信双方交换证书并通过指定加密方式验证通信发起方的可信度来完成身份验证。

(3.3)将该合约通过通道分发至代理节点集并生成初始域间联盟链。

第四步，依照域间合约将各域代理节点集加入域间联盟链；

具体方式如下：

(4.1)代理节点集向联盟链提出加入请求；

(4.2)代理节点集分别提供域内节点可信度信息和域可信度证明；

(4.3)审核通过则加入成功、否则加入失败；审核过程具体如下：

代理节点集按照所申请的域间联盟链的要求提供申请加入的域内联盟链的基本信息(地址集、节点类别集合、域内联盟链性质等)、可信度证明(可用计算和存储资源大小，要求访问资源的级别等)等信息。

域间联盟链通过比对所提供信息的全面(要求信息是否全部提供)和正确程度(域内联盟链规模、可使用资源等是否和提供相符)进行加权获取最终的得分。当得分超过阈值(域间联盟链根据实际情况事先设定)，即审核通过，否则失败。

第五步，更新域内合约。

具体方式如下：

(5.1)将域间合约中的跨域通信规则下载至域内联盟链对应通道，具体为：

域间联盟链将通信规则(代码文件)下载到域内联盟链对应通道内，域内联盟链将该规则更新到域内合约中(将代码加入到原合约中)。

域内联盟链必须使域间合约的优先度高于域内合约，及当相应功能起到冲突时应以域间联盟链的合约为准。

(5.2)检验通信规则的完整性，具体如下：

域间联盟链向域内联盟链发送几个特定的请求，并检验所有代理节点返回结果是否正确。如果全部正确则表明通信规则完整，否则通信规则不完整。

第六步，节点间进行跨域身份认证，如图3所示；

具体方式如下：

(6.1)待认证节点A和B均登陆并获取对应的域内和域间证书；

(6.2)节点A将可信度和请求以及每层的解密验证信息逐层按照节点B域内公钥、节点B域间公钥和节点A域间公钥进行加密；

(6.3)代理节点集通过域间私钥进行解密，验证后将信息计入链中，并更新域内可信度；若验证成功，则继续将解密后的信息发送至节点B所在域；

(6.4)通过节点B所在域代理节点集验证后的信息经节点B私钥进行解密，如果验证信息相符则身份验证成功；

(6.5)节点B将节点A请求进行整理并返回给域间通道，进行节点A以及所在域的可信度评估和更新。

本发明通过两级联盟链将域间节点进行了逻辑连接，这种多级连接的方式使得上链下链较为简单，降低了跨域身份认证系统构建复杂度和成本；通过使用动态身份识别码增加了身份认证的有效性，能够提供较好的动态身份识别码；通过标志节点自身的可信度为资源访问与交换提供可靠信息，同时再通过合约对节点行为进行可信度评估，进一步增加了节点用户身份认证的安全性和有效性。