基于联盟链的跨域认证方案

针对传统跨域认证易单点失效、过度依赖第三方等安全问题,提出了一种结合基于身份的密码(IBC,identity-based cryptography)体制与联盟链的跨域认证方案.通过设计包括实体层、代理层、区块链层、存储层在内的分层跨域认证架构,在跨域认证场景中引入联盟链,从而能够使两者较好地融合,增加了联盟链在跨域认证场景中的适应性.在存储层,设计摘要数据格式,将其存储于链上,摘要数据对应的完整数据存储于链下的星际文件系统,从而形成一种安全可靠的链上链下分布式存储方案,解决引入区块链后存在的链上存储受到限制的问题.提出一种基于永久自主权身份和临时身份的身份管理方案,解决结合IBC体制后身份难以注销和匿名身份难以监管的问题.在此基础上,设计完整的跨域全认证、重认证以及密钥协商协议以实现跨域认证流程.在安全性方面,使用SVO逻辑对认证协议进行分析,证明了跨域认证协议的安全性.通过仿真对计算负载性能、通信负载以及联盟链性能进行了测试与分析.分析表明,与相关方案相比,协议在满足安全性的同时,在服务端和用户端均有较好的计算负载表现.在通信效率上,相较于其他方案有不错的表现.通过联盟链工具对链上读写时延进行了测试,结果表明所提方案有良好的可用性.