[发明专利]一种基于区块链技术的高效双因子跨域认证方法

说明书

本发明涉及一种基于区块链技术的高效双因子跨域认证方法，其特征在于，包括以下步骤：步骤1：系统整体架构设计；步骤2：系统工作流程；步骤21：用户注册流程；步骤22：用户本地认证；步骤23：用户异地跨域认证。本发明的设备编号与口令双因子跨域认证方案，在提高用户跨域认证的效率的同时，保证用户跨域认证的安全性。

技术领域

本发明属于PKI认证跨域认证领域，尤其涉及一种基于区块链技术的高效双因子跨域认证方法。

背景技术

电动汽车分时租赁共享平台中，要求用户可以跨平台使用车辆，即A电动汽车分时租赁公司的用户可以使用联盟内所有其他B、C、D等公司营运的车辆，这样可以最大程度满足用户日常出行需求，用户不必再用多家电动汽车租赁公司的APP、交多份押金，而B、C、D等公司也不必再花高昂获客成本即可获得A公司用户的租车业务。

然而在分布式环境中，各个公司、部门为了方便管理用户，设置相应的资源访问控制系统，形成相对独立的域，显然为了实现上述用户跨平台使用车辆的目的，单一公司的资源不能提供完整的应用服务，用户在访问其他公司的资源时，需要进行跨域认证。传统PKI跨域认证存在证书管理困难、认证服务器交叉认证等问题，生物认证等新技术由于采用生物特征作为密钥交易造成用户身份隐私泄露等问题，因此如何高效、安全地实现用户跨域认证是本系统首先要解决的关键问题。

当一家公司的用户通过跨域认证实现多家公司可用资源的访问使用的同时，需要保护用户的交易隐私信息。尽管以比特币为代表的交易系统具备“化名性”，但是由于用户反复使用公钥哈希作为交易标识，交易之间显然能建立某种关联，恶攻击者可以通过攻击系统，分析交易信息、监控交易流向来猜测窃取用户隐私。目前已有一些通过密码学技术、混币机制、数据分区来保护用户隐私安全的方案，但本系统的特殊之处在于用户可能存在交通违法责任需要追溯，因此针对本系统设计了基于可授权的双重加密机制。

目前较为成熟的跨域认证一般是借助于PKI认证体系。PKI是基于公钥理论建立的，它具有公钥管理、认证加密、完整性检测、安全时间戳等服务功能。PKI工作过程是围绕数字证书的生命周期展开的，其职责是通过CA(Certificate Authority)认证机构，将用户的公钥信息和用户的标识信息揉合在一起，形成可验证身份的数字证书，用于证明用户是谁。通过数字签名、加密，以及密钥和证书的管理，以保证信息传输安全。

通常，比较主流的PKI认证模型有三种，分别为分级认证模型、网状结构认证模型、桥CA认证模型。

分级结构中所有用户依赖于根CA，这个唯一的信任中心。分级结构认证模型，如图1-1所示，如果根CA出现故障或安全性减弱，那么整个PKI系统将受到威胁。且从联盟系统中难以构建一个所有机构都信任的根CA。

网状结构认证模型，如图1-2所示，与分级结构相比灵活性更强，若单个CA发生故障不会导致整个PKI系统崩溃。但这种双向认证的模型证书路径的构建过于复杂，会导致证书路径发现困难，跨域认证时验证的证书链较长。

桥CA认证模型，如图1-3所示，是在分级认证模型与网状结构认证模型基础上衍生而来，可用于连接不同的PKI体系。与分级结构认证模型的不同之处在于，桥CA不作为整个系统中信任中心和证书路径的根，与网状结构的认证模型相比，证书路径发现较为容易，与分级结构的认证模型相比，证书路径的发现就比较困难。

针对传统认证系统跨域身份认证流程复杂、证书路径复杂管理困难等问题，区块链具有的去中心化、防篡改、可追溯等特性可以有效解决身份认证和管理中面临的密钥管理、信任、安全和隐私等问题，为身份认证和管理提供可信、透明性、分布式存储等支持。目前已有学者对区块链在跨域认证方面进行了研究，如周致成、张昊迪等分别基于模糊提取理论并结合区块链技术，提出了生物特征双因子身份认证机制方案，并分析了方案的安全性和效率性。