一种基于区块链的跨CA信任域的身份认证服务系统的制作方法

一种基于区块链的跨ca信任域的身份认证服务系统
技术领域
1.本发明属于区块链技术与身份认证技术领域，具体涉及一种基于区块链的跨ca信任域的身份认证服务系统。


背景技术：

2.随着基于网络的应用数量快速增长，网络应用域间的交互需求也变得更为迫切，目前基于pki(public key infrastructure公钥基础设施)体制下的ca(certification authority证书颁发机构)身份认证仍然是较为安全可靠的身份认证技术。由于pki体制集中管理模式的特点，每个应用域都依赖于独立的ca认证系统(也即属于独立的ca信任域)，实现信任域内用户身份的集中认证，但要满足不同应用域间用户的跨ca信任域身份认证需求，传统的技术方法需要逐一建立ca认证系统间的信任关系，或者在多个ca认证系统之上构建一个大家都共同信任的ca认证系统，这样存在的突出问题是：当参与的ca信任域较多时，两两互信的信任关系易形成复杂的网状关系结构，不适合大规模跨ca信任域的部署应用；同时大家共同信任的ca认证系统需要可信第三方的管理维护，选择众多参与方都信任的第三方通常较为困难，导致跨ca信任域的部署应用难以得到普及。
3.本发明基于区块链去中心化和多方信任的思路，使用区块链作为多个独立ca信任域的互信媒介，建立多个ca信任域间信任互通的信任联盟，为用户提供跨ca信任域的统一信任服务。本发明可广泛应用于金融、医疗、互联网等多信任域网络应用环境的信息安全管理领域。


技术实现要素：

4.针对上述问题，本发明基于区块链去中心化和多方信任的思路，使用区块链作为多个独立ca信任域的互信媒介，实现信任域间的信任互通，为用户提供跨ca信任域的统一信任服务。多个ca信任域基于区块链建立相互间信任互通的信任联盟，使信任联盟中任一ca信任域内注册的用户，在ca信任域间的可信策略控制下，可访问信任联盟中其他ca信任域的应用系统，从而实现用户共享信任联盟内各ca信任域中的应用系统服务。
5.本发明提出的基于区块链的跨ca信任域的身份认证服务系统，包括ca认证子系统、认证服务代理子系统、信任服务子系统、联盟区块链平台。ca认证子系统、认证服务代理子系统与信任服务子系统连接；信任服务子系统包括系统服务接口、信任服务管理模块，ca认证子系统和认证服务代理子系统分别与系统服务接口连接；联盟区块链平台包括节点管理、共识管理、合约管理和安全保护功能模块，信任服务子系统与联盟区块链平台连接。
6.本发明系统框架中各子系统服务功能设计如下：
7.1.ca认证子系统
8.ca认证子系统主要包括ca信任域中的根ca、下级ca和ca认证系统。根ca为所属ca信任域中的下级ca颁发证书，下级ca为所属ca信任域的应用系统、用户颁发证书，ca认证系统为信任域内应用系统和用户提供身份认证服务。
9.2.认证服务代理子系统
10.认证服务代理子系统主要包括用户认证服务代理和应用系统认证服务代理。用户认证服务代理完成用户的证书注册和身份认证的发起，应用系统认证服务代理完成应用系统对用户身份核验的发起。
11.3.信任服务子系统
12.信任服务子系统主要包括系统服务接口、信任服务管理模块。系统服务接口通过通用服务接口封装操作，为ca认证子系统和认证服务代理子系统提供与信任服务子系统连接的服务接口，为用户跨ca信任域认证提供信任数据传递功能；信任服务管理模块主要包括ca信任域管理、ca信任域互信管理、ca证书管理、跨ca信任域认证和跨域认证记录等服务管理功能。其中，ca信任域管理负责管理ca认证系统在联盟区块链上的注册和撤销，并划分ca认证系统信任等级；ca信任域互信管理基于ca认证系统的信任等级，在多个ca认证系统之间建立信任关系；ca证书管理建立连接不同ca信任域的证书管理机制，并向跨ca信任域用户提供证书状态信息；跨ca信任域认证为互信的ca信任域间的用户身份认证提供支持；跨域认证记录实时记录跨ca信任域认证过程，提供信息安全审计支持。
13.4.联盟区块链平台
14.联盟区块链平台主要包括节点管理功能模块、共识管理功能模块、合约管理功能模块和安全保护功能模块。其中，节点管理功能模块使可信任的ca信任域的管理机构加入联盟区块链，并在可信策略控制下建立ca信任域间的信任关系；共识管理功能模块基于pbft(practical byzantine fault tolerance实用拜占庭容错)和rbft(robust byzantine tolerance鲁棒拜占庭容错)等具备拜占庭容错能力的共识算法，保证联盟区块链各节点的可信策略、证书链文件、证书状态等信息的一致；合约管理功能模块实现信息记链、链上验证等智能合约代码的部署与执行；安全保护功能模块通过密码技术保护用户敏感信息，无关方无法获悉用户隐私信息，同时也为联盟区块链平台提供安全防护。
15.本发明提出的一种基于区块链的跨ca信任域的身份认证服务系统，优点主要体现在，目前pki体制下跨ca信任域身份认证方法的实现复杂性和信任第三方认可问题，导致规模化和普及化部署应用困难，本发明基于联盟区块链构建去中心化和多方信任的信任联盟，较为容易达成多个ca信任域间的信任互通，联盟区块链上部署的智能合约对ca信任域间的可信策略进行控制，在原ca认证系统的认证流程中融入联盟区块链上的ca认证令牌记链和双重验证的流程，既能够有效提高跨ca信任域身份认证效率，又使跨ca信任域的身份认证服务系统具有了极强的部署应用扩展性。同时联盟区块链上的信息保护和操作监查，也可以保证跨ca信任域身份认证过程的安全和信息保密。
附图说明
16.图1为基于区块链的跨ca信任域的身份认证服务系统框架图
17.图2为基于区块链的跨ca信任域的身份认证服务系统部署及认证流程图
具体实施方式
18.以下结合附图与附图标记对本发明的实施方式做更详细的说明，使熟悉本领域的技术人员在研读本说明后能据以实施。应当理解本例所描述的实施例仅以解释本发明，并
不用与限定本发明。
19.随着网络应用在众多领域的快速增长，网络应用域间的交互需求也变得更为迫切，不同的应用域对用户的身份管理有一定的范围，也就是信任域。例如，在金融领域中的各大银行、地方银行，医疗领域中的省属医院、市属医院，它们都建立有独立的基于pki体制集中管理模式下ca认证系统，也即形成了相互独立的ca信任域，并实现信任域内用户身份的集中认证。当不同隶属关系的银行间或医院间涉及用户跨隶属关系访问应用系统时，就需要通过跨ca信任域的身份认证服务系统来解决多个ca信任域互信和用户跨ca信任域身份认证问题。
20.如图1所示，一种基于区块链的跨ca信任域的身份认证服务系统，包括ca认证子系统，认证服务代理子系统、信任服务子系统、联盟区块链平台。ca认证子系统、认证服务代理子系统与信任服务子系统连接；信任服务子系统包括系统服务接口、信任服务管理模块，ca认证子系统和认证服务代理子系统分别与系统服务接口连接；联盟区块链平台包括节点管理、共识管理、合约管理和安全保护功能模块，信任服务子系统与联盟区块链平台连接。
21.ca认证子系统主要包括ca信任域中的根ca、下级ca和ca认证系统。根ca为所属ca信任域中的下级ca颁发证书，下级ca为所属ca信任域的应用系统、用户颁发证书，ca认证系统为信任域内应用系统和用户提供身份认证服务。
22.认证服务代理子系统主要包括用户认证服务代理和应用系统认证服务代理。用户认证服务代理完成用户的证书注册和身份认证的发起，应用系统认证服务代理完成应用系统对用户身份核验的发起。
23.信任服务子系统主要包括系统服务接口、信任服务管理模块。系统服务接口通过通用服务接口封装操作，为ca认证子系统和认证服务代理子系统提供与信任服务子系统连接的服务接口，为用户跨ca信任域认证提供信任数据传递功能；信任服务管理模块主要包括ca信任域管理、ca信任域互信管理、ca证书管理、跨ca信任域认证和跨域认证记录等服务管理功能。其中，ca信任域管理负责管理ca认证系统在联盟区块链上的注册和撤销，并划分ca认证系统信任等级；ca信任域互信管理基于ca认证系统的信任等级，在多个ca认证系统之间建立信任关系；ca证书管理建立连接不同ca信任域的证书管理机制，并向跨ca信任域用户提供证书状态信息；跨ca信任域认证为互信的ca信任域间的用户身份认证提供支持；跨域认证记录实时记录跨ca信任域认证过程，提供信息安全审计支持。
24.联盟区块链平台主要包括节点管理、共识管理、合约管理和安全保护功能模块。其中，节点管理功能模块使可信任的ca信任域的管理机构加入联盟区块链，并在可信策略控制下建立ca信任域间的信任关系；共识管理功能模块基于pbft(practical byzantine fault tol erance实用拜占庭容错)和rbft(robust byzantine tolerance鲁棒拜占庭容错)等具备拜占庭容错能力的共识算法，保证联盟区块链各节点的可信策略、证书链文件、证书状态等信息的一致；合约管理功能模块实现信息记链、链上验证等智能合约代码的部署与执行；安全保护功能模块通过密码技术保护用户敏感信息，无关方无法获悉用户隐私信息，同时也为联盟区块链平台提供安全防护。
25.如图2所示，本发明提供的一种基于区块链的跨ca信任域的身份认证服务系统，系统部署包括信任联盟节点、根ca、下级ca、ca认证系统、用户端、应用系统。信任联盟节点部署有信任服务子系统和联盟区块链平台；根ca为所属ca信任域中的下级ca颁发证书，下级
ca为所属ca信任域的应用系统、用户颁发证书，ca认证系统为信任域内应用系统和用户提供身份认证服务；用户端部署有用户认证服务代理，应用系统部署有应用系统认证服务代理。a信任域、b信任域是具有不同隶属关系的银行或医院，分别在基于pki体制下建立了独立的ca认证系统，形成了相互独立的ca信任域。
26.如图2所示，本发明提供的一种基于区块链的跨ca信任域的身份认证服务系统认证流程，具体包括如下步骤：
27.1.两个相互独立的a信任域和b信任域，由各自信任域内的根ca分别向信任联盟节点注册成为联盟区块链平台成员，成为信任服务子系统管理的ca信任域；由联盟区块链平台分别对a信任域和b信任域的可信策略、证书链文件、证书状态等信息进行上链记帐；通过在联盟区块链上部署智能合约，建立a信任域与b信任域间的互信关系。
28.2.a信任域和b信任域的下级ca分别为域内的用户签发证书；
29.3.a信任域内的用户需要访问b信任域内的应用系统时，该用户首先通过用户认证服务代理向a信任域内的ca认证系统发起认证请求，ca认证系统向下级ca核实用户身份后，为用户下发认证令牌，同时将该认证令牌信息上传到联盟区块链平台上记帐。
30.4.a信任域内的用户通过用户认证服务代理向b信任域内的应用系统发起身份认证请求，并将用户身份认证信息(包含用户证书和认证令牌)传递给应用系统。
31.5.b信任域内的应用系统通过应用系统认证服务代理将用户身份认证信息传递上联盟区块链平台进行验证，由联盟区块链平台通过智能合约对a信任域和b信任域之间的互信关系，以及用户持有认证令牌的合法性进行双重验证；验证结果传递给应用系统。
32.6.b信任域内的应用系统通过应用系统认证服务代理将用户身份认证结果传递给a信任域内的用户，当a信任域内的用户通过身份认证后，该用户就可以正常访问b信任域内的应用系统了。
33.以上所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。