一种基于可信联盟的成员身份认证方法

摘要

本发明属于分布式系统技术领域，具体为一种基于可信联盟的成员身份认证方法。本发明包括，根据椭圆算法生成成员公钥，同时生成包含成员公钥的联盟互信协议声明书向所有成员发送；对发送的消息生成电子签名，并将原始消息与电子签名一同发送给链中其它成员；根据发送方的公钥和电子签名计算验证值，并通过比较验证值与电子签名的大小关系，实现成员身份验证。本发明可有效实现联盟链成员之间去中心化的信任机制，解决传统PKI体系中由CA自身安全引起的单点故障以及CA之间存在的兼容性和可信度等问题；在互联网与大数据时代可发挥重要作用。如在反电信诈骗协同链组织中，可保证对电信诈骗行为的挖掘与追踪，提高打击电信诈骗活动工作效率。

说明书

技术领域

本发明属于分布式系统技术领域，具体涉及基于可信联盟的成员身份认证方法。

背景技术

在互联网时代，数据大规模合作过程中如何保证数据隐私、身份确权认证是亟待解决的问题。区块链技术分布式的共识机制以及信息可追溯特性正好解决了关于身份认证、数据共享身份确权的需求。目前以公钥证书的形式将用户公钥和用户身份进行绑定的方法，已成为解决网络安全问题的成熟方案。但是，公钥管理体系（PKI）通过引入可信第三方认证机构（CA）进行身份认证的方法，为证书管理、存储和计算带来了较高的代价。大规模密钥管理的问题一般采用物理上增加CA的方法，而各个CA的用户之间还存在交叉认证和信任管理的问题，并且容易导致提供商的中央服务器崩溃，从而沦为黑客的主要攻击目标。

近几年，基于区块链的网络身份认证技术正在不断发展。有研究者提出基于区块链的ID即服务方法（BIDaaS），旨在提供从BIDaaS提供商到其合作伙伴的身份和身份验证管理基础结构，但其没有防止合作伙伴滥用用户信息的有效机制。还有研究者根据区块链成员身份验证的基本要求，设计了一种可传递封闭无向图认证方案，但该方案存在利用旧证书欺骗用户的风险。此外，其它研究者还提出利用区块链技术来寻找自主权身份，并通过数学模型对自主权身份概念进行严格分析，但未提出具体的实现方案。

本发明提出一种基于可信联盟的成员身份认证方法，通过加密算法实现的电子签名及验证方法，将现实中的主体身份认证模式成功转移到区块链系统上，有效实现了联盟链成员之间去中心化的信任机制，该机制致力于解决传统PKI体系中存在的一些基本问题，如由CA自身安全引起的单点故障以及CA之间存在的兼容性和可信度等问题。

发明内容

本发明要解决的问题是如何在联盟链中实现去中心化的成员信任机制。为此，本发明提出一种基于可信联盟的成员身份认证方法。

本发明提供的基于可信联盟的成员身份认证方法，包括以下步骤。

（1）成员公钥生成及发布，具体包括以下子步骤：

（1.1）选定椭圆曲线E(

（1.2）选择整数

（1.3）生成成员

（2）电子签名生成及消息发送，具体包括以下子步骤：

（2.1）根据SHA256算法对成员

（2.2）选择随机数

（2.3）根据随机数

（2.4）成员

（3）电子签名验证，具体包括以下子步骤：

（3.1）

（3.2）成员

（3.3）根据M的哈希值

（3.4）比较

进一步地，所述步骤（2.1）包括以下子步骤：

（2.1.1）分别对自然数中前8个质数的平方根的小数部分取前32比特位，生成8个哈希初值，以及对自然数中前64个质数的立方根的小数部分取前32比特位，生成64个常量；

（2.1.2）在消息M的末尾补充第1个比特值1，然后持续补充比特值0，直至长度满足对512取模后的余数为448，得到中间消息M

（2.1.3）将M

进一步地，所述步骤（2.1.3）包括以下子步骤：

（2.1.3.1）将消息块分成16个32比特的字，再通过逻辑运算生成48个32比特的字；

（2.1.3.2）初始化消息M的哈希值

本发明的有益效果是：

1、采用非对称加密方法进行签名验证，消息接收方只能利用公钥解密，保证签名验证具有较高的安全性，并且通过联盟互信协议声明书的方式发布公钥，无需第三方CA进行身份认证，极大提高了联盟链的工作效率；

2、采用椭圆加密算法，生成的密钥长度较短，因此具有较高的消息加解密效率，以及较低的CPU开销和带宽要求，并且保证了电子签名具有较小的存储空间；

3、采用SHA256的哈希算法，无法从消息摘要复原信息，即消息摘要生成过程具有不可逆性，可有效保证消息传输的安全性，并且两个不同的消息不会产生同样的消息摘要，因此哈希值具有唯一性，进一步提高了签名验证的可靠性。

本发明将现实中的主体身份认证模式成功转移到区块链系统上，有效实现联盟链成员之间去中心化的信任机制，可解决传统PKI体系中由CA自身安全引起的单点故障以及CA之间存在的兼容性和可信度等问题。在互联网与大数据时代可发挥重要作用，如在反电信诈骗协同链组织中，成员机构之间无需第三方CA的身份认证即可实现敏感数据的互联互通，既保证了对电信诈骗行为的深度挖掘与追踪，又极大地提高了打击电信诈骗活动的工作效率。

附图说明

图1为基于可信联盟的成员身份认证方法流程图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

如图1所示，本发明一种基于可信联盟的成员身份认证方法，包括以下步骤：

（1）成员公钥生成及发布，具体包括以下子步骤：

（1.1）根据公式（1）选定椭圆曲线E(

（1.2）选择整数

（1.3）根据表1所示项目，生成

表1 联盟互信协议声明书项目及内容说明

（2）电子签名生成及消息发送，具体包括以下子步骤：

（2.1）根据SHA256算法对成员

（2.1.1）分别对自然数中前8个质数的平方根的小数部分取前32比特位，生成8个哈希初值H

（2.1.2）在M的末尾补充第1个比特值1，然后持续补充比特值0，直至长度满足对512取模后的余数为448，得到中间消息M

（2.1.3）将M

（2.1.3.1）将信息块M

（2.1.3.2）初始化哈希值H

T

T

Σ

Σ

（2.2）选择随机数

（2.3）根据随机数

（2.4）成员

（3）电子签名验证，具体包括以下子步骤：

（3.1）

（3.2）根据步骤（2.1.1）~（2.1.3），成员

（3.3）根据公式（12），使用

（3.4）比较

本发明针对联盟链成员的身份认证问题，构建了一种去中心化的成员信任机制，可有效解决传统PKI体系中由CA自身安全引起的单点故障以及CA之间存在的兼容性和可信度等问题。不仅可以提高成员之间的协作效率，而且一定程度上满足了互联网和大数据时代对多源异构复杂网络的应用需求，在基于区块链的跨组织、跨领域的联合应用任务中可发挥重要作用。