CN112702346B

CN112702346B - 基于联盟链的分布式身份认证方法及***

Info

Publication number: CN112702346B
Application number: CN202011549865.5A
Authority: CN
Inventors: 颜拥; 郭少勇; 孙歆; 熊翱; 姚影; 张旺; 代美玲
Original assignee: Beijing University of Posts and Telecommunications; Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Current assignee: Beijing University of Posts and Telecommunications; Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Priority date: 2020-12-24
Filing date: 2020-12-24
Publication date: 2024-05-10
Anticipated expiration: 2040-12-24
Also published as: CN112702346A

Abstract

本发明涉及身份认证技术领域，提供了基于联盟链的分布式身份认证方法及***，该认证方法包括，S1：用户在向企业申请服务时，提供数字身份DID及公钥；S2：企业将DID与本地备注的DID数据库进行比较；若数据库中有备注，则根据备注分析其权限；否则进入S4；S3：若权限满足，则为该用户提供服务；否则，进入S5：S4：若本地的数据库中没有备注，则与区块链网络共识，查询其权限，返回S3；S5：向用户发布失败报告，并提示用户更新信息；S6：在用户更新信息后，提供服务，并共识到区块链网络上；共识过程中采用动态权重机制，选择权重大于或等于预设值的节点来选择性广播；节点的权重与对应该节点的企业上传用户行为操作的频率呈正比，能降低网络负载。

Description

基于联盟链的分布式身份认证方法及***

技术领域

本发明涉及身份认证技术领域，具体涉及基于联盟链的分布式身份认证方法及***。

背景技术

传统互联网应用的身份认证技术主要以用户名密码为主，注册成功之后再结合现实中真实的身份信息完成实名认证。随着互联网应用越来越多，不同的应用需要重复注册不同的账号，对用户来说十分不友好，并且通常同一个用户的不同账号之间的密码存在关联性，容易造成密码泄露的风险。不同的互联网应用在应用层面并不互通，彼此之间很难相互信任，用户跨业务操作时往往需要到不同业务方开据证明材料，存在大量重复的操作，效率十分低下。

为此出现了专利号为CN109600357A的专利，该专利公示了一种分布式身份认证***、方法及服务器，分布式身份认证***通过密钥特征化存储技术、多角色联合认证技术和多分片随机认证技术解决传统中心化认证方法中存在的安全问题。该发明所述分布式身份认证***由客户端、认证云和管理***组成。客户端主要提供注册和认证两部分功能；认证云由多节点分布式构成，实现大量片段安全信息的有效可靠存储、访问和更新；管理***实现对平台的状态监控，保证数据的安全存储和访问。本发明从访问安全性、认证安全性、存储安全性、连接安全性四个维度实现了去中心化的安全认证体系，同时可以避免传统互联体系中集中控制点可能面临的网络攻击和信息盗取。

该分布式身份认证***使用P2P组网技术构成分布式身份认证网络，各节点之间通过NAT穿透技术实现互联互通，用户身份信息密钥采用散列特征化方式存储，为用户提供随机节点联合认证服务。通过密钥特征化存储技术、多角色联合认证技术和多分片随机认证技术解决传统中心化认证方法中存在的安全问题。由于该分布式身份认证***中通过用户信息分片存储，得到了更高安全性，但是十分依赖稳定的网络环境，***稳定性不高。

发明内容

本发明所要解决的技术问题是克服上述现身份认证***对网络负载要求高的缺陷，提供基于联盟链的分布式身份认证方法及***。

为实现上述目的，本发明在第一方面通过以下技术方案得以实现：基于联盟链的分布式身份认证方法，用于对向企业申请服务的用户进行身份认证；所述联盟链由具有相同目标用户并建立共享数据机制的企业组成，联盟链企业的目标用户在注册并获得所述分布式数字身份的同时用户的分布式数字身份、公钥及用户权限被发布到区块链网络，用以与企业共识；所述分布式身份认证方法包括以下步骤，

S1：所述目标用户在向所述联盟链中任意一企业申请服务时，通过用户终端提供在其注册时产生的分布式数字身份及公钥信息；

S2：企业将用户的分布式数字身份与本地备注的用户分布式数字身份数据库进行比较；若数据库中有备注，则根据备注分析其权限；否则进入S4；

S3：若权限满足，则为该用户提供服务；否则，进入S5：

S4：若本地的数据库中没有备注，则与区块链网络共识，查询其权限，返回S3；

S5：向用户发布失败报告，并提示用户更新服务所需的身份信息证明；

S6：在用户更新身份信息证明后，为该用户提供服务，并将用户有共享价值的行为操作共识到区块链网络上；

所述区块链网络的每一节点对应联盟链中的一个企业，企业与区块链网络的共识过程中采用动态权重机制，选择权重大于或等于预设值的节点来选择性广播；

在所述动态权重机制中，节点的权重与对应该节点的企业上传所述用户有共享价值的行为操作的频率呈正比。

本发明进一步优选方案为：每个共识节点维护一个权重向量表W_T＝{w₁,w₂,...,w_i,…,w_N}，其中权重w_i反映出i节点的动态通信性能和可信度；W_T会随着共识的进行而不断更新，并引入时间衰减函数，在每轮共识结束之后，每个共识节点会根据此次共识的投票和通信情况对自己维护的W_T进行更新。

本发明进一步优选方案为：若在共识过程中，i节点成功参与到commit操作指令阶段，则全网提高i节点的权重值；若共识结束之后，没有参与到commit操作指令的节点，则判断其通信能力较差，根据时间衰减函数，降低其全网的权重值。

本发明进一步优选方案为：在共识流程的广播阶段，节点将在各自的广播域内进行投票消息广播且广播域的大小将随着W_T动态更新。

本发明进一步优选方案为：所述广播域的大小通过动态参数p来表示，p＝n/N，n为选择性广播域中节点的个数。

本发明进一步优选方案为：所述动态权重机制通过动态使用拜占庭容错算法-DPBFT来实现；所述DPBFT算法在一致性协议阶段包括一下步骤：1)PRE-PREPARE阶段：主节点为接收到的客户端发送的请求m赋予一个编号n，并生成PRE-PREPARE消息，将PRE-PREPARE消息全网广播给参与共识的所有节点，消息格式为＜PRE-PREPARE，v，n，d，m＞，其中v为视图编号，d为m的摘要，是经过hash函数运算生成的；2)PREPARE阶段：从节点收到主节点发送的PRE-PREPARE消息后生成PREPARE消息，根据WT和p值去定一个选择性广播域，将PREPARE消息选择性广播给自己的共识域内的节点。其消息格式为＜PREPARE，v，n，d，i＞，i为节点编号。在此阶段，每个节点收到所有其他节点广播的PREPARE消息，节点会验证消息的真实性，主要比较n、v、m字段，如果超过(2f+1)个准备消息是正确的，则会进入COMMIT阶段；3)COMMIT阶段：节点生成COMMIT消息并广播到其他节点，消息格式为＜COMMIT，v，n，d，i＞，其他节点会验证COMMIT消息，主要验证d、v字段，验证通过后，此次请求的共识过程才能完成；4)ADJUST阶段：根据共识结果给每个参与共识节点的情况进行打分。根据各个节点提交commit的时间，为每个节点离散化0-100分数。根据公式其中Q_i为i节点本轮共识的得分，t_i为i节点提交commit的时间，T为第一个commit发生到共识结束总耗时。第一个提交commit的节点得分100分，未参加commit的节点得分为0；并根据公式W_i＝(1-q)*w_i+q*Q_i动态调整每个节点权重，其中q为上一状态权重在新权重中所占比例，wⁱ为上一状态中i节点权重值。

本发明进一步优选方案为：用户在申请服务前先通过注册成为联盟链企业的目标用户；注册过程如下：

1)用户向可信授权中心申请注册分布式数字身份；

2)可信授权中心向用户提供注册接口，发布注册身份相关要求和政策；

3)用户按照要求提供身份信息，并通过用户终端根据椭圆曲线加密算法生成用户公私钥对，私钥用户自己保存，公钥和身份信息发送给可信授权中心；

4)可信授权中心对用户信息进行合法性验证和重复性验证，以防用户伪造个人真实信息注册和防止用户重复注册；

5)验证成功后，可信授权中心根据用户提供的身份信息种类和注册时间戳为用户生成分布式数字身份-DID，DID是由可信授权中心根据自己的私钥对用户权限进行数字签名证明的载体，企业可对此进行验证；

6)可信授权中心将用户DID、用户公钥和用户权限绑定在一起发布到区块链网络上共识；

7)联盟链企业在共识结束后，在本地端对用户DID进行备注；

8)可信授权中心将用户注册结果和为其分配的DID返回给用户，将用户身份信息提取摘要加密保存在本地。

本发明在第二方面提供了基于联盟链的分布式身份认证***，采用了在第一方面所述的基于联盟链的分布式身份认证方法，所述基于联盟链的分布式身份认证***包括，

可信授权中心服务器，负责为用户和区块链网络节点颁发数字证书，同时为用户提供分布式数字身份-DID，将通过验证的用户DID和其公钥绑定发布到区块链网络上共识，并在共识成功后，将用户的数字证书和DID在区块链网络上的位置告知用户；

区块链网络，由若干个区块链节点构成，每个区块链节点由联盟链中的一个企业维护，负责接收可信授权中心发送来的DID和用户公钥绑定信息和用户登录状态信息，以及用户有价值行为记录，将其分类打包生成区块，共识到区块链网络上，将共识结果返回给可信授权中心；

企业终端，为用户提供服务，当有用户通过DID进行身份认证时，在区块链网络上查询其是否是注册的目标用户，并将用户的登录状态和行为信息生成交易共识到区块链网络上；

用户终端，通过椭圆曲线加密算法生成公、私钥对，提供用户个人真实身份信息给可信授权中心验证，保存从可信授权中心收到的DID和存有DID的区块哈希值，用以在企业间进行身份验证。

综上所述，本发明具有以下有益效果：

1.用户只需要在授权中心进行一次身份注册即可。注册成功后，可同时享受联盟链中所有企业的服务，无需重复注册。

2.用户和企业间进行服务交流时，用户的身份是隐藏的，企业不知道用户真实身份，只知道用户的权限。企业想知道用户身份，需要向用户申请，用户同意后授权中心才可向企业公布真实信息。

3.优化PBFT算法，通过引入选择性广播域来减少在共识过程中节点的无效通信次数，提升了共识效率；同时由于在PBFT算法中引入选择性广播域因子p和分数调整衰减因子q，提高了区块链共识效率同时使得区块链更加适用网络波动情况，使区块链网络同时能承受更快的上链信息速度，因此降低了对网络的负载。

附图说明

图1是基于联盟链的分布式身份认证***的结构图。

图2是基于联盟链的分布式身份认证方法流程图。

图3是改进后PBFT算法的流程图。

图4是PBFT算法与算法DPBFT在不同的p值下交易时延的实验结果数据折线图。

具体实施方式

以下结合附图对本发明作进一步详细说明。

本实施例仅仅是对本发明的解释，其并不是对本发明的限制，本领域技术人员在阅读完本说明书后可以根据需要对本实施例做出没有创造性贡献的修改，但只要在本发明的权利要求范围内都受到专利法的保护。

如图1所示，本实施例提供了一种基于联盟链的分布式身份认证***，该***包括可信授权中心(服务器)，区块链网络，企业(终端)和用户(终端)。

可信授权中心服务器，负责为用户和区块链网络节点颁发数字证书，同时为用户提供分布式数字身份-DID(Decentralized Identity)，将通过验证的用户DID和其公钥绑定发布到区块链网络上共识，并在共识成功后，将用户的数字证书和DID在区块链网络上的位置告知用户。

区块链网络，由若干个区块链节点构成，每个区块链节点由联盟链中的一个企业维护，负责接收可信授权中心发送来的DID和用户公钥绑定信息和用户登录状态信息，以及用户有价值行为记录，将其分类打包生成区块，共识到区块链网络上，将共识结果返回给可信授权中心。

企业终端，为用户提供服务，当有用户通过DID进行身份认证时，在区块链网络上查询其是否是注册的目标用户，并将用户的登录状态和行为信息生成交易共识到区块链网络上。

首先由具有相同目标用户和希望共享数据的企业间组成联盟链，共同制定一套用户的分布式身份信息方案(DID)，并交由可信认证中心执行生成。本方案假设可信认证中心完全可信，用户身份信息加密保存在可信认证中心而不是区块链节点上，区块链网络只保存和用户真实身份信息无关的身份权限证明、公钥以及用户行为信息，防止了用户身份信息被非法窃取的问题。

本发明所提供的基于联盟链的分布式身份认证方法，用于对向企业申请服务的用户进行身份认证。所述联盟链由具有相同目标用户并建立共享数据机制的企业组成，联盟链企业的目标用户在注册并获得所述分布式数字身份的同时用户的分布式数字身份、公钥及用户权限被发布到区块链网络，用以与企业共识。用户在申请服务前先通过注册成为联盟链企业的目标用户前，需进行注册。

如图2所示，注册流程如下：

1)用户向可信授权中心申请注册分布式数字身份；

7)联盟链企业在共识结束后，在本地端对用户DID进行备注；

分布式身份认证方法包括以下步骤：

S3：若权限满足，则为该用户提供服务；否则，进入S5：

S6：在用户更新身份信息证明后，为该用户提供服务，并将用户有共享价值的行为操作共识到区块链网络上。

所述区块链网络的每一节点对应联盟链中的一个企业，企业与区块链网络的共识过程中采用动态权重机制，选择权重大于或等于预设值的节点来选择性广播。在所述动态权重机制中，节点的权重与对应该节点的企业上传所述用户有共享价值的行为操作的频率呈正比。

每个共识节点维护一个权重向量表W_T＝{w₁,w₂,...,w_i,…,w_N}，其中权重w_i反映出i节点的动态通信性能和可信度。权重越高表示对应节点的通信性能越好，可信度越高。W_T会随着共识的进行而不断更新，并引入时间衰减函数，在每轮共识结束之后，每个共识节点会根据此次共识的投票和通信情况对自己维护的W_T进行更新。若在共识过程中，i节点成功参与到commit操作指令阶段，则全网提高i节点的权重值；若共识结束之后，没有参与到commit操作指令的节点，则判断其通信能力较差，根据时间衰减函数，降低其全网的权重值。

本实施例中，在共识流程的广播阶段，节点将在各自的广播域内进行投票消息广播且广播域的大小将随着W_T动态更新。选择性广播域的大小通过动态参数p来表示，p＝n/N，n为选择性广播域中节点的个数。

如图3所示，动态权重机制通过动态使用拜占庭容错算法-DPBFT来实现，DPBFT是在PBFT算法的基础进行改进后形成。首先初始化共识节点的投票权重，开始进行一次正常的PBFT投票流程。然后根据每次投票的结果，动态调整权重，构建选择性广播域。DPBFT算法与传统的PBFT算法流程大体相似，只是在一致性协议的广播阶段进行相应改进。这里对改进后的算法一致性协议阶段进行主要功能描述：

1)PRE-PREPARE阶段：主节点为接收到的客户端发送的请求m赋予一个编号n，并生成PRE-PREPARE消息，将PRE-PREPARE消息全网广播给参与共识的所有节点，消息格式为＜PRE-PREPARE，v，n，d，m＞，其中v为视图编号，d为m的摘要，是经过hash函数运算生成的。

2)PREPARE阶段：从节点收到主节点发送的PRE-PREPARE消息后生成PREPARE消息，根据WT和p值去定一个选择性广播域，将PREPARE消息选择性广播给自己的共识域内的节点，其消息格式为＜PREPARE，v，n，d，i＞，i为节点编号，在此阶段，每个节点收到所有其他节点广播的PREPARE消息，节点会验证消息的真实性，主要比较n、v、m字段，如果超过(2f+1)个准备消息是正确的，则会进入COMMIT阶段。

3)COMMIT阶段：节点生成COMMIT消息并广播到其他节点，消息格式为＜COMMIT，v，n，d，i＞，其他节点会验证COMMIT消息，主要验证d、v字段，验证通过后，此次请求的共识过程才能完成。

4)ADJUST阶段：根据共识结果给每个参与共识节点的情况进行打分，根据各个节点提交commit的时间，为每个节点离散化0-100分数，根据公式其中Q_i为i节点本轮共识的得分，t_i为i节点提交commit的时间，T为第一个commit发生到共识结束总耗时，第一个提交commit的节点得分100分，未参加commit的节点得分为0；并根据公式W_i＝(1-q)*w_i+q*Q_i动态调整每个节点权重，其中q为上一状态权重在新权重中所占比例，wⁱ为上一状态中i节点权重值。

算法流程如下：

(1)区块链网络初始化工作。构建好联盟链后，为每一个节点进行编号{0,1,2,…,N-1}。同时为每个节点初始化一个权重表W_T＝{w₁,w₂,...,w_i,…,w_N}，初始权重设置为100，

(2)客户端向主节点发起一次交易请求，主节点在接收请求后对请求消息进行编号，之后主节点执行一致性协议。

(3)所有共识节点执行一致性协议，初次共识时由于所有节点的权重都是100，则先执行PBFT一致性协议算法，向全网广播进行共识。共识结束后根据ADJUST阶段的设定为所有节点就共识表现进行打分。

(4)一致性协议执行结束后，调整每个节点的权重表。进行下一次共识。

通过GO编程语言实现了一个多节点联盟链实验***，用以模拟在本设计方案中用户注册以及用户行为上链共识过程。在该***中对原PBFT算法和本文提出的DPBFT算法进行了性能测试。

实验结果如图4所示，主要分析PBFT与DPBFT在不同的p值的选取上存在的性能差异。在不同节点数量和相同分数调整衰减因子q的情况下，比较了PBFT和DPBFT算法的交易时延，同时引入影响广播域大小的因子p来观察其对交易时延的影响。为了使实验结果数据更加客观，每个数据都是重复测试20次后取的平均值。

图4中，相同q值不同p值的DPBFT算法与PBFT算法的交易时延，从实验结果可以看出，DPBFT算法比正常的PBFT算法所产生的交易时延要小。当区块链网络节点数量和衰减因子q确定时，p的大小决定了节点选择性广播域的大小。从图中还可以看出，p越小，交易时延越小，共识效率越高。

Claims

1.基于联盟链的分布式身份认证方法，用于对向企业申请服务的用户进行身份认证；其特征在于，所述联盟链由具有相同目标用户并建立共享数据机制的企业组成，联盟链企业的目标用户在注册并获得分布式数字身份的同时用户的分布式数字身份、公钥及用户权限被发布到区块链网络，用以与企业共识；所述分布式身份认证方法包括以下步骤：

S1：所述目标用户在向所述联盟链中任意一企业申请服务时，通过用户终端提供在其注册时产生的分布式数字身份-DID及公钥信息；DID是由可信授权中心根据自己的私钥对用户权限进行数字签名证明的载体，企业对此进行验证；

S3：若权限满足，则为该用户提供服务；否则，进入S5：

在所述动态权重机制中，节点的权重与对应该节点的企业上传所述用户有共享价值的行为操作的频率呈正比；

所述动态权重机制通过动态使用拜占庭容错算法-DPBFT来实现；所述DPBFT算法在一致性协议阶段包括一下步骤：

1)PRE-PREPARE阶段：主节点为接收到的客户端发送的请求m赋予一个编号n，并生成PRE-PREPARE消息，将PRE-PREPARE消息全网广播给参与共识的所有节点，消息格式为＜PRE-PREPARE，v，n，d，m＞，其中v为视图编号，d为m的摘要，是经过hash函数运算生成的；

2)PREPARE阶段：从节点收到主节点发送的PRE-PREPARE消息后生成PREPARE消息，根据W_T和p值去定一个选择性广播域，将PREPARE消息选择性广播给自己的共识域内的节点，其消息格式为＜PREPARE，v，n，d，i＞，i为节点编号，在此阶段，每个节点收到所有其他节点广播的PREPARE消息，节点会验证消息的真实性，比较n、v字段，如果超过(2f+1)个准备消息是正确的，则会进入COMMIT阶段；W_T表示权重向量表，p表示动态参数；

3)COMMIT阶段：节点生成COMMIT消息并广播到其他节点，消息格式为＜COMMIT，v，n，d，i＞，其他节点会验证COMMIT消息，验证d、v字段，验证通过后，此次请求的共识过程才能完成；

4)ADJUST阶段：根据共识结果给每个参与共识节点的情况进行打分，根据各个节点提交commit的时间，为每个节点离散化0-100分数，根据公式其中Q_i为i节点本轮共识的得分，t_i为i节点提交commit的时间，T为第一个commit发生到共识结束总耗时，第一个提交commit的节点得分100分，未参加commit的节点得分为0；并根据公式W_i＝(1-q)*w_i+q*Q_i动态调整每个节点权重，其中q为上一状态权重在新权重中所占比例，w_i为上一状态中i节点权重值。

2.根据权利要求1所述的基于联盟链的分布式身份认证方法，其特征在于，每个共识节点维护一个权重向量表W_T＝{w₁,w₂,...,w_i,…,w_N}，其中权重w_i反映出i节点的动态通信性能和可信度；W_T会随着共识的进行而不断更新，并引入时间衰减函数，在每轮共识结束之后，每个共识节点会根据此次共识的投票和通信情况对自己维护的W_T进行更新，N表示共识节点的总数。

3.根据权利要求2所述的基于联盟链的分布式身份认证方法，其特征在于，若在共识过程中，i节点成功参与到commit操作指令阶段，则全网提高i节点的权重值；若共识结束之后，没有参与到commit操作指令的节点，则判断其通信能力较差，根据时间衰减函数，降低其全网的权重值。

4.根据权利要求2所述的基于联盟链的分布式身份认证方法，其特征在于，在共识流程的广播阶段，节点将在各自的广播域内进行投票消息广播且广播域的大小将随着W_T动态更新。

5.根据权利要求4所述的基于联盟链的分布式身份认证方法，其特征在于，所述广播域的大小通过动态参数p来表示，p＝n/N，n为选择性广播域中节点的个数。

6.根据权利要求1所述的基于联盟链的分布式身份认证方法，其特征在于，用户在申请服务前先通过注册成为联盟链企业的目标用户；注册过程如下：

1)用户向可信授权中心申请注册分布式数字身份；

5)验证成功后，可信授权中心根据用户提供的身份信息种类和注册时间戳为用户生成分布式数字身份-DID；

7)联盟链企业在共识结束后，在本地端对用户DID进行备注；

7.基于联盟链的分布式身份认证***，采用了如权利要求1-6中任一项所述的基于联盟链的分布式身份认证方法，其特征在于，所述基于联盟链的分布式身份认证***包括：