基于标识的强权限控制模式下联盟链身份认证方式

1.本发明涉及身份认证技术领域，尤其是涉及基于标识的强权限控制模式下联盟链身份认证方式。


背景技术：

2.联盟链是一种将区块链技术应用于企业的相对较新的方式。强权限控制场景下的联盟区块链的群体主要是银行、保险、证券、商业协会、集团企业及上下游企业，这些企业普遍己经it化和互联网化，区块链对于进一步提升这些产业链条中的公证、结算清算业务和价值交换网络的效率很有帮助。
3.联盟链是一种需要身份认证的区块链，只有通过认证的节点或组织才能参与联盟链网络中的交易。现有的身份认证通常采用传统的公钥基础设施(public key infrastructure，pki)认证机制，引入一个可信第三方证书中心(certificate authority，ca)，负责管理pki结构下所有用户的数字证书，通过存储各个用户的身份，以及其所对应的公钥信息，将用户的公钥和身份信息进行绑定，但是数字证书的使用增大了用户使用的复杂度，且资源开销较大。
4.在海量终端设备认证信任场景下，pki认证机制并不适用，一旦网络收到终端请求超过了资源处理能力，容易导致网络服务出现问题，这时第三方服务对用户公钥和身份关系的维护就变得很困难。频繁的公钥检索可能会使得可信第三方服务能力下降，甚至遭受拒绝服务攻击(deny of service，dos)。另外可信第三方本身需要极佳的计算和网络通信能力，才有可能负担得起如此大规模用户的服务请求。
5.shamir首次提出的基于身份标识的密码系统(identity-based cryptograph,ibc)，其中每个实体具有一个有意义的、唯一的标识作为公钥，无需数字证书将身份信息与公钥绑定，能够避免pki中复杂的证书管理难题，具有几个显著的优点：无证书、基于身份的密码机制、密钥使用和管理的便捷性，既保证了强签名的安全特性，又满足了各种应用更灵活的安全需求。然而ibc密码技术中公钥与身份之间的维护过程较为复杂，身份认证过程中传输证书占据的带宽较大，导致身份认证效率较慢，此外ibc密钥更新难题也未得到解决。


技术实现要素：

6.本发明的目的是提供基于标识的强权限控制模式下联盟链身份认证方式，不需要可信第三方的参与，有效抵御中间人的攻击；无需数字证书将身份信息和公钥绑定，减小了身份认证过程中传输证书占据的带宽，提高了身份认证效率；还解决了ibc密钥更新的难题。
7.为实现上述目的，本发明提供了基于标识的强权限控制模式下联盟链身份认证方式，利用椭圆曲线双线性对理论，由用户标识和一组公开的数学参数计算出用户公钥，用户公钥包括用户在联盟链上的用户标识和版本号，其中用户标识用于身份认证，版本号用于密钥更新；和用户公钥相应的用户私钥由用户标识、一组公开的数学参数和一个域范围内
的秘密值计算得出，并由密钥生成中心统一产生下载给用户。
8.优选的，所述一个域范围内的秘密值为用于生成用户私钥的随机数。
9.优选的，所述密钥的生成步骤如下：
10.a、密钥生成中心初始化；
11.b、接收密钥注册请求；
12.c、解析请求参数；
13.d、用户身份校验；
14.e、用户公钥及私钥生成；
15.f、将主公钥封装到用户公钥中；
16.g、返回用户公钥及私钥。
17.优选的，所述密钥更新包括如下步骤：
18.(1)用户因密钥泄露而主动申请密钥更新，密钥更新仅更新版本号，更新后的版本号为原版本号+1，其具体步骤为：密钥生成中心收到节点的密钥更新请求后，对请求方进行身份校验，查询撤销map中是否存在，若不存在，则将用户标识存入撤销map中，value值置为1；若存在，则将用户标识对应的value值+1，并将生成的新用户标识对应的密钥下发给用户；
19.(2)当节点进行通信时，发送方向密钥生成中心发起查询接收方用户标识请求，密钥生成中心查询接收方用户标识是否在撤销map中，若存在，则密钥生成中心返回给发送方最近版本号，发送方将最新版本号与接收方用户标识进行拼接，得出接收方当前最新公钥，若不存在，则返回初始版本号1。
20.优选的，所述身份认证包括如下步骤：
21.s1、生成链配置文件：配置文件中定义了链上资源名称及访问该资源所需权限；
22.s2、密钥生成中心初始化：生成主密钥对，并将主公钥写入链配置文件中；
23.s3、用户注册：用户向密钥生成中心发起注册请求，密钥生成中心返回用户密钥对；
24.s4、链服务初始化：通过配置文件解析主公钥和资源权限并进行链服务初始化；
25.s5、生成交易：发送方向密钥生成中心发起查询接收方用户标识请求，密钥生成中心查询接收方用户标识是否在撤销map中，若存在，则密钥生成中心返回给发送方最近版本号，发送方将最新版本号与接收方用户标识进行拼接，得出接收方当前最新公钥，发送方使用接收方的公钥对消息进行加密并使用自己的签名私钥进行签名生成一笔交易发送至联盟链；
26.s6、对用户公钥进行验证：联盟链共识节点取出交易中的用户公钥，并校验用户公钥封装的主公钥是否与链上主公钥一致，若不一致证明该用户公钥不被信任拒绝该交易，若一致则进行签名校验；
27.s7、签名校验：联盟链共识节点使用用户签名公钥验证签名是否正确，如果错误则拒绝该交易；
28.s8、权限定位：联盟链共识节点取出交易中访问的资源名称，查找链上对应的权限定义；
29.s9、权限校验：联盟链共识节点根据交易中的用户标识，取出用户对应的身份权
限，判断用户所属权限是否与访问资源对应权限一致；
30.s10、共识：共识节点根据对应共识算法对交易进行共识，若达成共识则将交易上链。
31.本发明所述的基于标识的强权限控制模式下联盟链身份认证方式的优点和积极效果是：
32.1、本发明中公钥由身份标识唯一确定，不需要可信第三方(ca)将用户的身份和用户的公钥绑定，简化了维护公钥与身份之间关系的过程，另外由于用户在链上的身份信息就是公钥，攻击者对目标受害者接收到的公钥进行替换后，受害者可以直观的观察到接收的公钥是否被替换，避免了中间人攻击导致的消息泄露。
33.2、本发明中无需数字证书将身份信息与公钥绑定，在身份认证过程中可以只传输公钥，用户所需的身份信息可在公钥中提取，减小了身份认证过程中传输证书占据的带宽，提高了身份认证效率。
34.3、本发明中通过密钥生成中心这个可信第三方用于分发和管理私钥，在用户标识后面附加版本号，并在密钥生成中心中维护一个撤销map，key值为用户标识，value值为版本号，当节点间进行通信时，校验接收方的用户标识是否在撤销map中，若存在，则该密钥已被更新，并将更新后的版本号返回给消息发送方，发送方可通过返回的版本号，拼接接收方新公钥，解决了ibc密钥更新难题。
35.下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
附图说明
36.图1为本发明基于标识的强权限控制模式下联盟链身份认证方式实施例的整体结构图；
37.图2为本发明基于标识的强权限控制模式下联盟链身份认证方式实施例的用户密钥生成流程图；
38.图3为本发明基于标识的强权限控制模式下联盟链身份认证方式实施例的密钥更新流程图。
具体实施方式
39.以下通过附图和实施例对本发明的技术方案作进一步说明。
40.除非另外定义，本发明使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。
41.实施例
42.基于标识的强权限控制模式下联盟链身份认证方式，是基于ibc密码技术的一种公钥密码技术。利用椭圆曲线双线性对理论，由用户标识和一组公开的数学参数计算出用户公钥，用户公钥包括用户在联盟链上的用户标识和版本号，其中用户标识用于身份认证，版本号用于密钥更新；和用户公钥相应的用户私钥由用户标识、一组公开的数学参数和一个域范围内的秘密值计算得出，并由密钥生成中心统一产生下载给用户，其中一个域范围内的秘密值包括系统私钥等参数。本发明申请的整体结构图如图1所示。
43.用户密钥生成的流程图如图2所示，具体的，用户密钥的生成步骤如下：
44.a、密钥生成中心初始化；
45.b、接收密钥注册请求；
46.c、解析请求参数；
47.d、用户身份校验；
48.e、用户公钥及私钥生成；
49.f、将主公钥封装到用户公钥中；
50.g、返回用户公钥及私钥。
51.用户密钥更新流程图如图3所示，具体的，密钥更新包括如下步骤：
52.(1)用户因密钥泄露而主动申请密钥更新，密钥更新仅更新版本号，更新后的版本号为原版本号+1，其具体步骤为：密钥生成中心收到节点的密钥更新请求后，对请求方进行身份校验，查询撤销map中是否存在，若不存在，则将用户标识存入撤销map中，value值置为1；若存在，则将用户标识对应的value值+1，并将生成的新用户标识对应的密钥下发给用户。
53.(2)当节点进行通信时，发送方向密钥生成中心发起查询接收方用户标识请求，密钥生成中心查询接收方用户标识是否在撤销map中，若存在，则密钥生成中心返回给发送方最近版本号，发送方将最新版本号与接收方用户标识进行拼接，得出接收方当前最新公钥，若不存在，则返回初始版本号1。
54.身份认证包括如下步骤：
55.s1、生成链配置文件：配置文件中定义了链上资源名称及访问该资源所需权限；
56.s2、密钥生成中心初始化：生成主密钥对，并将主公钥写入链配置文件中；
57.s3、用户注册：用户向密钥生成中心发起注册请求，密钥生成中心返回用户密钥对；
58.s4、链服务初始化：通过配置文件解析主公钥和资源权限并进行链服务初始化；
59.s5、生成交易：发送方向密钥生成中心发起查询接收方用户标识请求，密钥生成中心查询接收方用户标识是否在撤销map中，若存在，则密钥生成中心返回给发送方最近版本号，发送方将最新版本号与接收方用户标识进行拼接，得出接收方当前最新公钥，发送方使用接收方的公钥对消息进行加密并使用自己的签名私钥进行签名生成一笔交易发送至联盟链；
60.s6、对用户公钥进行验证：联盟链共识节点取出交易中的用户公钥，并校验用户公钥封装的主公钥是否与链上主公钥一致，若不一致证明该用户公钥不被信任拒绝该交易，若一致则进行签名校验；
61.s7、签名校验：联盟链共识节点使用用户签名公钥验证签名是否正确，如果错误则拒绝该交易；
62.s8、权限定位：联盟链共识节点取出交易中访问的资源名称，查找链上对应的权限定义；
63.s9、权限校验：联盟链共识节点根据交易中的用户标识，取出用户对应的身份权限，判断用户所属权限是否与访问资源对应权限一致；
64.s10、共识：共识节点根据对应共识算法对交易进行共识，若达成共识则将交易上链。
65.因此，本发明采用上述的基于标识的强权限控制模式下联盟链身份认证方式，不需要可信第三方的参与，在交易过程中联盟链共识节点取出交易中的用户公钥，并校验用户公钥封装的主公钥是否与链上主公钥一致，若不一致证明该用户公钥不被信任拒绝该交易，若一致则进行签名校验；联盟链共识节点使用用户签名公钥验证签名是否正确，如果错误则拒绝该交易；故接收方能够验证消息的来源和正确性，从而可以有效抵御中间人的攻击；无需数字证书将身份信息和公钥绑定，减小了身份认证过程中传输证书占据的带宽，提高了身份认证效率；还解决了ibc密钥更新的难题。
66.最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。

技术特征：
1.基于标识的强权限控制模式下联盟链身份认证方式，其特征在于：利用椭圆曲线双线性对理论，由用户标识和数学参数计算出用户公钥，用户公钥包括用户在联盟链上的用户标识和版本号，其中用户标识用于身份认证，版本号用于密钥更新；和用户公钥相应的用户私钥由用户标识、数学参数和秘密值计算得出，并由密钥生成中心统一产生下载给用户。2.根据权利要求1所述的基于标识的强权限控制模式下联盟链身份认证方式，其特征在于：所述秘密值为用于生成用户私钥的随机数。3.根据权利要求1所述的基于标识的强权限控制模式下联盟链身份认证方式，其特征在于，所述密钥的生成步骤如下：a、密钥生成中心初始化；b、接收密钥注册请求；c、解析请求参数；d、用户身份校验；e、用户公钥及私钥生成；f、将主公钥封装到用户公钥中；g、返回用户公钥及私钥。4.根据权利要求1所述的基于标识的强权限控制模式下联盟链身份认证方式，其特征在于，所述密钥更新包括如下步骤：(1)用户因密钥泄露而主动申请密钥更新，密钥更新仅更新版本号，更新后的版本号为原版本号+1，其具体步骤为：密钥生成中心收到节点的密钥更新请求后，对请求方进行身份校验，查询撤销map中是否存在，若不存在，则将用户标识存入撤销map中，value值置为1；若存在，则将用户标识对应的value值+1，并将生成的新用户标识对应的密钥下发给用户；(2)当节点进行通信时，发送方向密钥生成中心发起查询接收方用户标识请求，密钥生成中心查询接收方用户标识是否在撤销map中，若存在，则密钥生成中心返回给发送方最近版本号，发送方将最新版本号与接收方用户标识进行拼接，得出接收方当前最新公钥，若不存在，则返回初始版本号1。5.根据权利要求1所述的基于标识的强权限控制模式下联盟链身份认证方式，其特征在于，所述身份认证包括如下步骤：s1、生成链配置文件：配置文件中定义了链上资源名称及访问该资源所需权限；s2、密钥生成中心初始化：生成主密钥对，并将主公钥写入链配置文件中；s3、用户注册：用户向密钥生成中心发起注册请求，密钥生成中心返回用户密钥对；s4、链服务初始化：通过配置文件解析主公钥和资源权限并进行链服务初始化；s5、生成交易：发送方向密钥生成中心发起查询接收方用户标识请求，密钥生成中心查询接收方用户标识是否在撤销map中，若存在，则密钥生成中心返回给发送方最近版本号，发送方将最新版本号与接收方用户标识进行拼接，得出接收方当前最新公钥，发送方使用接收方的公钥对消息进行加密并使用自己的签名私钥进行签名生成一笔交易发送至联盟链；s6、对用户公钥进行验证：联盟链共识节点取出交易中的用户公钥，并校验用户公钥封装的主公钥是否与链上主公钥一致，若不一致证明该用户公钥不被信任拒绝该交易，若一致则进行签名校验；
s7、签名校验：联盟链共识节点使用用户签名公钥验证签名是否正确，如果错误则拒绝该交易；s8、权限定位：联盟链共识节点取出交易中访问的资源名称，查找链上对应的权限定义；s9、权限校验：联盟链共识节点根据交易中的用户标识，取出用户对应的身份权限，判断用户所属权限是否与访问资源对应权限一致；s10、共识：共识节点根据对应共识算法对交易进行共识，若达成共识则将交易上链。

技术总结
本发明公开了基于标识的强权限控制模式下联盟链身份认证方式，利用椭圆曲线双线性对理论，由用户标识和一组公开的数学参数计算出用户公钥，用户公钥包括用户在联盟链上的用户标识和版本号，其中用户标识用于身份认证，版本号用于密钥更新；和用户公钥相应的用户私钥由用户标识、一组公开的数学参数和一个域范围内的秘密值计算得出，并由密钥生成中心统一产生下载给用户。本发明采用上述身份认证方式，不需要可信第三方的参与，有效抵御中间人的攻击；无需数字证书将身份信息和公钥绑定，减小了身份认证过程中传输证书占据的带宽，提高了身份认证效率；还解决了IBC密钥更新的难题。还解决了IBC密钥更新的难题。还解决了IBC密钥更新的难题。


技术研发人员：邱望洁
受保护的技术使用者：北京航空航天大学
技术研发日：2023.04.04
技术公布日：2023/7/7