基于區塊鏈技術的高效跨域認證方案

周致成，李立新，李作輝

(信息工程大學，鄭州 450001)(*通信作者電子郵箱alphalilixin@163.com)

0　引言

信息安全已成為信息化發展中不可缺少的技術基礎[1]。身份認證是保證信息安全的一種重要安全機制,而基于公鑰基礎設施(Public Key Infrastructure， PKI)的身份認證是目前較為成熟并取得普遍應用的認證技術[2]。在分布式環境中,各機構為了方便管理用戶，設置認證服務器形成相對獨立的信任域，然而單個獨立的信任域不能提供多種服務，用戶需要多域訪問，因此出現跨域認證問題。

現有的以傳統PKI為基礎的認證框架，通常以安全套階層身份認證協議(Secure sockets layer Authentication Protocol, SAP)實現雙向身份認證。這種認證框架比基于對稱密鑰的認證框架如Kerberos等有了較大進步[3]，但由于認證雙方通過互發證書或證書鏈進行通信，證書維護過程如證書狀態查詢存在計算與通信開銷較大的問題。因此，如何提高跨域認證的效率受到國內外學者的廣泛關注。文獻[5]直接根據各域已有的PKI結構及拓撲關系構建認證路徑，但存在認證路徑復雜、認證效率較低的問題。文獻[6]采用橋證書授權中心(Certificate Authority， CA)的認證方案，建立一個所有域都信任的橋CA模型，該方案需要各域都信任這個可信第三方，實際應用困難，同時還存在如何跨域獲取證書狀態信息的問題。文獻[7]借助虛擬橋CA模型，采用基于門限方案的橢圓曲線密碼體制構建企業跨域認證體系，但由于門限方案通過拆分密鑰因子造成交互代價比較大，使得成員加入、撤銷的可擴展性不強。基于身份的密碼體系(Identity-Based Cryptography， IBC)可以解決證書管理和傳遞開銷的問題，但由于計算量與通信量過高，跨域認證效率不高。文獻[8]提出一種基于身份的跨域認證方案，用戶需要進行多次雙線性對運算，計算開銷較大，不適用于移動終端。文獻[9]利用橢圓曲線加法群提出基于身份的簽名算法實現跨域認證，避免了復雜的雙線性對運算，計算開銷明顯減小；但方案只分析了實體與認證中心的認證過程，沒有考慮認證中心與本地資源確認對方合法性帶來的額外開銷。文獻[10]提出一種無線網格環境下的跨域認證密鑰交換協議，但使用較多對稱加密造成大量計算開銷。綜合以上研究成果，基于證書和基于身份的跨域認證仍存在諸多問題有待解決。

區塊鏈技術最早由化名為“中本聰”的學者在2008年的密碼學郵件組發表的關于比特幣的論文[11]中提出。作為分布式存儲、點對點傳輸、共識機制、加密算法等技術的集成應用，區塊鏈技術的應用已延伸到物聯網、人工智能、身份認證等多個領域。

區塊鏈技術在身份認證領域的研究受到諸多研究機構的重視。文獻[12]指出，區塊鏈技術的發展對數字證書的發展和應用有極大的促進作用。文獻[13]提出了以比特幣區塊鏈系統為框架的去中心化PKI認證體系，使用Certcoin代替CA提供高效密鑰查詢與身份保留功能，但存在因使用區塊鏈公共總賬直接記錄用戶身份和公鑰的綁定造成用戶隱私泄漏的問題；文獻[14]提出一種改進的Certcoin方案，提出了帶隱私保護的PKI認證系統。文獻[15]提出使用以太坊區塊鏈平臺的基于證書的PKI認證體系，解決了傳統PKI證書管理與使用證書撤銷列表(Certificate Reveocation List， CRL)和在線證書狀態協議(Online Certificate Status Protocol， OCSP)通信量過大的問題。但是這些研究目前均未解決跨域認證問題。

針對以上問題，本文提出基于區塊鏈技術的高效跨域認證方案。在不改變域內PKI認證體系的基礎上，將各域的認證服務器和根CA證書服務器設置為區塊鏈節點，域間跨域認證通過代理認證服務器查詢驗證對方域的根CA證書服務器發布于區塊鏈的無簽名證書的哈希值，代替傳統PKI互發簽名證書并驗證簽名的方式。本文方案能減少簽名驗證次數，提高認證效率，解決使用CRL和OCSP證書管理較復雜的問題；而且系統基于聯盟鏈的設計，可擴展性強。

1　區塊鏈技術

1.1　區塊鏈結構

區塊鏈是一種按照時間順序將數據區塊以鏈條的方式組合而成的特定數據結構，并以密碼學方式保證的不可篡改不可偽造的去中心化公共總賬[16]。在區塊鏈技術中，數據以區塊的形式永久保存。每一個區塊按照時間順序先后生成并通過鏈式結構連接組成區塊鏈。區塊由區塊頭和區塊體組成，如圖1所示。

圖1　區塊鏈結構Fig. 1　Blockchain structure

如圖1所示：區塊頭內主要有版本號、時間戳，前一區塊的哈希值、交易數據總哈希值，以及參與共識機制的有關數據(隨機數等，因為區塊鏈平臺共識機制的不同設計也有所不同，這里不再贅述)。前一區塊的哈希值是對前一區塊頭的各個模塊數據進行哈希運算，區塊之間通過這樣的哈希值環環相扣依次連接。區塊體中記錄了自區塊鏈創建以來到生成本區塊期間所有的交易數據。以比特幣區塊鏈為例，數據通常以Merkle tree的方式，從葉子節點到父節點自下而上兩兩作哈希運算，最終形成這段時間內數據的總哈希值，存儲在區塊頭內。

1.2　區塊鏈特征

本文方案主要用到區塊鏈技術分布式多中心、集體維護、不易篡改的特點。

1)分布式多中心：區塊鏈系統節點基于分布式點對點結構，每個節點都存有系統內所有的交易數據，任意節點的損壞不影響整個系統的運作，系統冗余度高，具有極好的健壯性。

2)集體維護：區塊鏈構建了一套完整的協議機制，系統中的節點不僅參與記錄數據，而且參與驗證其他節點記錄數據的正確性。只有當大部分節點或者多個關鍵節點認可數據的正確性時，數據才能被記入到區塊當中。現行IBM的超級賬本Fabric平臺采用兩種類型節點：

a)驗證節點(Validating Peer，VP)。VP執行數據的讀寫、查詢操作，借助區塊鏈共識算法、一致性協議，維護區塊鏈賬本數據庫。

b)非驗證節點(Nonvalidating Peer，NVP)。NVP用來連接用戶和鄰近的VP，執行查詢驗證操作，不執行記入交易數據操作。

3)不易篡改：區塊鏈技術采用哈希算法對記入區塊的數據進行完整性保護，以鏈式結構連接數據區塊并存儲于系統中的所有節點。如果一個區塊被改變，那么之后的每一個區塊都將被改變。區塊鏈上數據區塊越多，數據越難篡改，因此改變某一區塊及區塊內的數據幾乎是不可能的。以比特幣區塊鏈為例，只有對51%的節點攻擊才能篡改數據。正是由于區塊鏈技術具有不易篡改的特性，為記錄可信憑證提供了可能。

1.3　區塊鏈類型及性能特點

根據區塊鏈的中心化程度的差異，可以將區塊鏈分為公有鏈、聯盟鏈和私有鏈，這三種類型區塊鏈的性能特點如表1所述。綜合各類型區塊鏈特點，本文方案采用聯盟鏈為原型。采用聯盟鏈為方案原型，一方面符合政府、企業等多域間跨域認證需要，另一方面由于區塊鏈共識算法的不同，聯盟鏈效率較高，系統可擴展性強。

2　基于區塊鏈的跨域認證方案

基于證書的傳統PKI跨域認證模型普遍存在認證路徑復雜、簽名驗證次數較多、證書管理困難等問題；而基于身份的密碼體系的計算量與通信量較高，跨域認證效率不高，實際應用困難。本章主要設計了區塊鏈CA(Blockchain Certificate Authority，BCCA)信任模型和系統架構，給出了區塊鏈證書格式，并在此基礎上完成跨域認證協議。

2.1　BCCA信任模型

信任模型用于描述和分析同一CA管理域內部或不同CA管理域之間的信任關系的建立和傳遞過程。為解決多個域的跨域認證問題，本文提出了BCCA信任模型。

BCCA信任模型如圖2所示，其中：矩形框表示VP，即根CA；空心圓表示域內用戶。為實現跨域認證，多個域的信任錨根CA經過許可后，加入聯盟鏈，構成聯盟鏈的VP。在本文方案中，加入聯盟鏈的根CA是可信的，作為VP自生成根CA區塊鏈證書，并將證書的哈希值記入不易篡改的區塊鏈內，作為各域的信任憑證。如果一個域不再有跨域需要，或者該域不再可信，對加入聯盟鏈的許可進行撤銷，實現盟員的退出。

表1　區塊鏈類型及性能特點Tab. 1　Type and performance characteristics of different blockchains

圖2　BCCA信任模型Fig. 2　Trust model of BCCA

2.2　系統架構

如圖3所示，多個域的根CA作為聯盟鏈VP，通過自生成區塊鏈證書，并把證書的哈希值記入區塊鏈作為各域的信任憑證。為了實現多域信任憑證的傳遞與確認，本文方案添加代理認證服務器作為區塊鏈系統的NVP，通過NVP查詢驗證存儲在區塊鏈上的信任憑證，實現跨域認證。加入NVP，一方面可發揮代理認證服務的功能，另一方面也解決了在僅有VP的聯盟鏈框架下用戶與VP交互時因通信量過大造成的阻塞。

圖3　系統架構Fig. 3　System structure

2.3　區塊鏈證書

本文設計一種區塊鏈證書，由許可加入聯盟鏈的多個域的根CA自生成，并記入區塊鏈，作為不可篡改的信任憑證。X.509證書與本文設計的區塊鏈證書如圖4所示。

與傳統X.509數字證書比較，主要有以下改進：

1)本文方案在數字證書中添加了使用者域與生成者域的名稱。該證書不僅作為域間跨域認證的信任憑證，在用戶實現跨域認證之后，認證域的根CA對請求認證的用戶生成跨域證書，傳給用戶，并以哈希值的形式記入區塊鏈，方便用戶再次訪問時提供快速認證。

2)本文方案在數字證書中省去了簽名與簽名算法模塊。傳統PKI通過使用數字簽名判斷證書是否被篡改，使數字證書具有防偽性，保證數字證書中身份和公鑰的綁定值得可信。由于區塊鏈天然的具有不易篡改的特性，可信域的根CA(VP)生成區塊鏈證書并將證書的哈希值記入區塊鏈作為多域信任憑證，代替CA對證書的簽名過程；認證服務器(NVP)通過在區塊鏈內查驗多個域的可信憑證，代替對證書的簽名驗證的過程。

3)本文方案設計的數字證書沒有證書撤銷檢查服務的URL模塊。即在區塊鏈上發布的證書沒有CRL與OCSP管理服務。區塊鏈不能更改已經寫入的數據，只能在寫入時附加數據的狀態。文獻[17]定義寫入區塊鏈的接口為put(action,data)，action表明用戶對數據的處理意圖，可以是create、insert、update或delete。本文方案把證書寫入區塊鏈的接口定義為put(action,Hash(Cert))，參數action定義為本證書當前狀態，分為issue或revoke兩種狀態。區塊鏈查詢接口定義為query(condition)，參數condition表示用戶查詢的條件，可以是交易的哈希值或塊的哈希值[17]，也可以是待查詢有關數據的主鍵。

圖4　X.509數字證書與區塊鏈證書Fig. 4　X.509 digital certificate and blockchain certificate

2.4　基于區塊鏈的跨域認證協議

根據上述信任模型、系統架構和區塊鏈證書，本文提出基于區塊鏈的跨域認證協議。假定經許可加入聯盟鏈的域是可信的，跨域認證協議開始之前，各個域的根CA區塊鏈證書的哈希值和寫入狀態已經保存在區塊鏈的區塊中。

以A域和B域作跨域認證為例，基于區塊鏈的跨域認證方案由用戶、信任錨根CA證書服務器、代理認證服務器組成。信任錨根CA證書服務器、代理認證服務器作為區塊鏈節點，分別執行生成證書并記入區塊鏈和查詢區塊鏈驗證證書的任務。表2為協議中用到的符號說明，協議流程如圖5所示。

表2　協議符號說明Tab. 2　Description of the protocol symbol

圖5　本文協議流程Fig. 5　Flow chart of the proposed protocol

具體協議如下：

1)UA→ASB

A域用戶UA請求訪問B域認證服務器ASB。

2)ASB→UA:{N1}

B域認證服務器ASB收到用戶UA的請求后，響應請求并向A域用戶UA發送隨機數N1。

3)UA→ASB:{CertUA,SignskUA(N1),N1}

(i)A域用戶UA收到B域認證服務器ASB的響應，使用用戶UA的私鑰skUA對隨機數N1簽名生成SignskUA(N1)；

(ii)A域用戶UA響應B域認證服務器ASB的請求，把用戶證書CertUA、簽名SignskUA(N1)、隨機數N1作為消息發送給B域認證服務器ASB。

4)ASB→ASA:{N2}

(i)B域認證服務器ASB收到消息，檢查隨機數N1是否有效；

(ii)使用CertUA、N1驗證SignskUA(N1)是否正確，解析證書，查看證書有效期，通過證書或證書鏈確定A域信任錨CAA；

(iii)B域認證服務器ASB向A域認證服務器ASA發送請求申請得到A域信任錨CAA的區塊鏈證書BCertCAA，并發送隨機數N2。

5)ASA→ASB:{BCertCAA,N2}

A域證書認證服務器ASA收到請求及隨機數N2，將A域信任錨CAA的區塊鏈證書BCertCAA、隨機數N2作為消息發給B域認證服務器ASB。

6)ASB→CAB:CertUA

(i)B域認證服務器ASB收到消息后，檢查隨機數N2是否有效；

(ii)解析BCertCAA查看有效期，根據區塊鏈使用的哈希算法把BCertCAA作哈希運算得到Hash(BCertCAA)；

(iii)B域認證服務器ASB使用Hash(BCertCAA)查詢區塊鏈，得到在區塊鏈上查詢的結果：

(a)若無查詢結果，則由于A域認證服務器提供了不正確的信任錨CAA區塊鏈證書，認證失敗；

(b)若查詢結果為issue和revoke，則由于A域信任錨CAA的區塊鏈證書已為撤銷狀態，認證失敗；

(c)若查詢結果僅有issue，則A域信任錨CAA的區塊鏈證書為已發布狀態，認證成功。

(iv)認證成功后，B域認證服務器ASB向B域信任錨CAB發送用戶UA證書CertUA。

7)CAB→ASB:BCertUA,CAB

B域信任錨CAB收到用戶UA證書CertUA后，解析用戶UA證書，生成跨域區塊鏈證書BCertUA,CAB，并記入區塊鏈，同時反饋給ASB。

8)ASB→UA:BCertUA,CAB

B域證書認證服務器ASB發給用戶UA跨域區塊鏈證書BCertUA,CAB。

9)同理使用1)～8)實現A域對B域的反向認證。

10)由1)～9)實現A、B兩域的雙向認證。

重認證：

再次認證時，A域用戶UA直接把跨域區塊鏈證書BCertUA,CAB發給B域認證服務器ASB，由ASB作哈希運算，并查詢區塊鏈，驗證證書有效性即可。

3　方案分析

3.1　安全性分析

3.1.1證書存在性與所有權

本文方案將各個域與用戶的證書文件進行哈希運算，再將證書的哈希值存入在區塊鏈中。哈希函數具有以下特性：

性質1單向性：給定h，根據hash(m)=h，計算m是不可行的；

性質2抗碰撞性：給定算法hash()，要找到兩個不同的消息x1≠x2，使其哈希值hash(x1)=hash(x2)是計算不可行的。

哈希函數的單向性與抗碰撞性能夠使任何區塊鏈節點匿名和安全地存儲信任憑證。通過在區塊鏈上存放文件的密碼學哈希值，以及提交該文件哈希值至區塊鏈中的時間信息，來證明證書文件的存在性與所有權。

3.1.2雙向實體認證

在每個信任域內，通過域內原有的認證方式實現用戶和認證服務器的認證。在多域間聯盟鏈的框架下，認證服務器通過請求獲得待認證域的根CA區塊鏈證書，作哈希運算后查詢區塊鏈內已保存的信任憑證，確認信任關系，實現用戶與對方域的服務器的認證。憑借本域用戶與對方域服務器的認證，對方域服務器與對方域用戶的認證，實現兩個域間用戶的雙向實體的認證。

3.1.3防止重放攻擊

本協議使用了詢問-應答的握手方式，在傳遞消息的同時添加隨機數。這個隨機數保存在詢問服務器內，驗證反饋信息之前，首先驗證隨機數，通過驗證隨機數和原服務器保存的一樣，起到防止重放攻擊的效果。

3.1.4抵抗分布式拒絕服務(DDoS)攻擊

區塊鏈的分布式架構天然地擁有點對點、多冗余特性，即使一個節點失效，其他節點也不受影響，因此不存在單點失效問題。它對拒絕服務攻擊的方式比中心化系統靈活很多，一旦節點失效，與失效節點連接的用戶即無法進入系統。

3.2　效率分析

如圖3所示，本節對協議的計算開銷進行分析，并與文獻[7]方案和文獻[9]方案作比較。特別說明的是，為保證方案順利實現，又與其他文獻方案處于平等復雜程度，不失一般性，設置本文方案與文獻[7]方案盟員數均為2。表3為三個方案的效率比較，單位為運算次數，其中公鑰加密與解密、數字簽名與驗證兩欄計算的是分步次數的總和。

表3　計算開銷對比Tab. 3　Comparison of computation overhead

與文獻[9]方案相比，本文方案減少了8次數字簽名與驗證次數。文獻[9]基于門限方案，數字簽名與驗證的次數會隨著盟員數量的增加呈倍數增長；而本文方案基于分布式聯盟鏈，不受盟員的增加而導致兩方跨域認證時使用公鑰算法次數的增加，但客觀上會出現由于區塊鏈集體維護賬本導致的哈希運算次數的增加。因此本文方案使用的公鑰算法的次數遠小于文獻[9]方案。由于哈希算法的效率遠高于公鑰算法，因此本文方案在多域聯盟下的跨域認證具有明顯優勢。

與文獻[7]方案相比，本文方案減少了2次公鑰加密與解密，數字簽名與驗證次數相同，因此本文方案使用公鑰算法的次數少于文獻[7]方案。在盟員數為2的情況下，本文方案使用哈希算法次數也少于文獻[7]方案；但隨著盟員數的增長，本文方案使用哈希運算次數隨之增加。在同等配置的機器上測試，RSA-1 024的耗時約為ECDSA-192的1/2，SHA-256的計算耗時約為RSA-1 024的1/10，所以哈希算法的計算速度遠高于公鑰算法，速度甚至超過幾十倍。所以即使在多域聯盟環境下，與僅有兩域相比，本文方案實現跨域認證的效率與承載力還是可觀的。

3.3　可行性分析

在計算方面，方案基于聯盟區塊鏈架構進行設計。目前已知聯盟鏈平臺每秒可并行處理幾千到幾萬筆交易，滿足跨域認證的功能需要。

在存儲方面，因為區塊鏈存儲數據是永久性的，把大量原數據直接存儲在區塊鏈上是不妥的。所以區塊鏈通常采用SHA256哈希函數，將任意長度的交易數據經過哈希運算后轉換為長度為32字節的二進制數，然后通過Merkle樹的記錄方法，計算出一個Merkle根哈希值，作為交易數據的總哈希值存儲在區塊頭內。采用Merkle樹的好處是，如果一個交易數據沒有后續交易產生，可以刪除這個交易數據，只保留Merkle樹中這個交易數據的Hash值即可。這樣，對整個區塊來說，不僅沒有改變它的密碼學安全性和完整性，數據量也可以大大減小。

在部署成本方面，方案不改變原有各域信任體系的認證方式，將各域的信任錨加入區塊鏈社區，即聯盟鏈的環境中，以實現多域間的跨域認證，因此，系統的可擴展性強。

4　結語

本文提出了基于區塊鏈的跨域認證方案。該方案在不改變域內PKI認證模型的前提下，將經過許可的域加入聯盟鏈，實現雙向實體跨域認證，并提供快速重認證。與已有跨域認證方案相比，本文方案在保證安全的基礎上，通過減少簽名與驗證簽名的次數，能有效提升跨域認證的效率；而且系統基于聯盟鏈的設計，可擴展性強。

參考文獻:

[1]荊繼武,林璟鏘,馮登國.PKI技術[M].北京：科學出版社,2008:6. (JING J W, LIN J Q, FENG D G. PKI Technology [M]. Beijing: Science Press, 2008: 6.)

[2]關振勝.公鑰基礎設施PKI及其應用[M].北京：電子工業出版社,2008:14-16. (GUAN Z S. Public Key Infrastructure PKI and Its Application [J]. Beijing: Publishing House of Electronics Industry, 2008: 14-16.)

[3]路曉明,馮登國.一種基于身份的多信任域網格認證模型[J].電子學報,2006,34(4):577-582. (LU X M, FENG D G. An identity-based authentication model for multi-domain grids [J]. Acta Electronica Sinica, 2006, 34(4): 577-582.)

[4]BUTLER R, WELCH V, ENGERT D, et al. A national-scale authentication infrastructure [J]. IEEE Computer, 2000, 33(12): 60-66.

[5]ROUIBAH K, OULD-ALI S. Dynamic data sharing and security in a collaborative product definition management system [J]. Robotics and Computer-Integrated Manufacturing, 2007, 23(2): 217-233.

[7]張文芳,王小敏,郭偉,等.基于橢圓曲線密碼體制的高效虛擬企業跨域認證方案[J].電子學報,2014,42(6):1095-1102. (ZHANG W F, WANG X M, GUO W, et al. An efficient inter-enterprise authentication scheme for VE based on the elliptic curve cryptosystem [J]. Acta Electronica Sinica, 2014, 42(6): 1095-1102.)

[8]彭華熹.一種基于身份的多信任域認證模型[J].計算機學報,2006,29(8):1271-1281. (PENG H X. An identity-based authentication model for multi-domain [J]. Chinese Journal of Computers, 2006, 29(8): 1271-1281.)

[9]羅長遠,霍士偉,邢洪智.普適環境中基于身份的跨域認證方案[J]. 通信學報,2011,32(9):111-115. (LUO C Y, HUO S W, XING H Z. Identity-based cross-domain authentication scheme in pervasive computing environments [J]. Journal on Communications, 2011, 32(9): 111-115.)

[10]LI Y, CHEN W, CAI Z, et al. CAKA: a novel certificateless-based cross-domain authenticated key agreement protocol for wireless mesh networks [J]. Wireless Networks, 2016, 22(8): 2523-2535.

[11]NAKAMOTO S. Bitcoin: a peer-to-peer electronic cash system [EB/OL]. [2017- 03- 22]. http://tmtfree.hd.free.fr/albums/files/TMTisFree/Documents/Economy/Bitcoin.%20A%20Peer-to-Peer%20Electronic%20Cash%20System.pdf.

[12]工信部.中國區塊鏈技術和應用發展白皮書[R]. 北京： 工信部，2016: 23. (Ministry of Industry and Information Technology. White paper for Chinese blockchain technology and application development [R]. Beijing: Ministry of Industry and Information Technology. White paper, 2016: 23.)

[13]FROMKNECHT C, VELICANU D, YAKOUBOV S. CertCoin: a namecoin based decentralized authentication system [R/OL]. (2014- 05- 14) [2017- 05- 08]. http://courses.csail.mit.edu/6.857/2014/files/19-fromknecht-velicann-yakoubov-certcoin.pdf

[14]AXON L. Privacy-awareness in blockchain-based PKI, CDT technical paper series 21/15 [R/OL]. [2017- 05- 08]. https://ora.ox.ac.uk/objects/uuid:f8377b69-599b-4cae-8df0-f0cded53e63b.

[15]LEWISON K, CORELLA F. Backing rich credentials with a blockchain PKI[EB/OL]. [2017- 04- 12]. https://pomcor.com/techreports/BlockchainPKI.pdf.

[16]袁勇,王飛躍.區塊鏈技術發展現狀與展望[J].自動化學報,2016,42(4):481-494. (YUAN Y, WANG F Y. Blockchain: the state of the art and future trends[J]. Acta Automatica Sinica, 2016, 42(4): 481-494.)

[17]蔡維德,郁蓮,王榮,等.基于區塊鏈的應用系統開發方法研究[J].軟件學報,2017,28(6):1474-1487. (CAI W D, YU L, WANG R, et al. Blockchain application development techniques [J]. Journal of Software, 2017, 28(6): 1474-1487.)