主從區塊鏈容錯異構跨域身份認證方案

趙 平，王 賾，李 芳，孫士民

天津工業大學 計算機科學與技術學院，天津 300384

數據作為第四次工業革命中的“新時代的石油”，已經成為生產、生活不可或缺的部分。由于數據需求不斷增加，用戶所處的單一信任域難以滿足，需要建立與其他信任域間的聯系，獲取更廣泛的數據。跨域身份認證技術是用戶在多個信任域之間完成一致的身份驗證的過程，能夠保證多域信任關系建立的可信性、高效認證的可用性和認證過程的可靠性，實現多信任域內認證系統對有效用戶及時統一認證和即時管理[1]。因此，研究一種安全、高效的跨域身份認證方案，在不同信任域間建立信任通信關系，從而獲取所需數據，成為相關學者關注的重點。

目前常見的跨域身份認證方案主要在以下三種密碼體制的信任域間，進行認證方案的設計和改進。其中結構最穩定、體系最成熟的是公鑰基礎設施（public key infrastructure，PKI）[2]，用戶使用證書驗證身份的合法性，實現數據的保密性和安全性，但存在證書管理負擔重，計算量、通信開銷大和單點失效等問題[3]。為此，Shamir提出基于身份的公鑰密碼體制（identity based cryptography，IBC）[4]，解決了證書管理開銷大問題，具有易于維護等優點，但仍然存在效率較低、密鑰托管和單點故障問題。Al-Riyami等提出了無證書公鑰密碼系統（certificateless public key cryptography，CL-PKC）[5]，用戶的密鑰分為兩部分，可信的密鑰生成中心（key generation center，KGC）為用戶生成部分密鑰，另一部分密鑰由用戶選擇的秘密值自行生成，KGC無法得知用戶全部私鑰，提高了密鑰安全性。此方法雖然解決了證書管理困難和密鑰托管問題，但仍然存在匿名性等問題。

本文在主從區塊鏈跨域身份認證結構和分層拜占庭容錯算法（hierarchical Byzantine fault tolerance，HBFT）基礎上，在PKI體制和CL-PKC體制的異構信任域間建立了雙向跨域認證方案，主要貢獻如下：

（1）設計了與主從區塊鏈結構匹配的分層拜占庭容錯算法，通過主從鏈分步共識，減少共識參與節點數量，通過算法分階段共識，降低每次共識的計算開銷，保證系統活性，增強算法擴展性。

（2）將PKI體制與CL-PKC體制內特有功能節點與主從鏈節點相對應，在不改變原有信任域節點功能的前提下，采用區塊鏈證書、鏈上鏈下混合存儲、組合加密和分層ID樹等結構實現異構跨域身份認證。

（3）對共識方案進行了攻擊模型分析和消息復雜度分析，對認證方案進行了安全屬性分析、博弈論模型分析、仿真實驗驗證和計算開銷對比分析，結果表明方案在保證較高安全性和容錯性的同時，減少了計算開銷。

1 相關工作

目前進行的跨域身份認證研究對于安全、高效傳遞不同信任域的數據具有重要的意義，但不同的設計方案也有各自的優缺點。文獻[6]使用代理重簽名技術，實現了基于PKI體制的同構跨域認證，但方案無法擺脫體制固有的系統開銷大的問題。并且大型網絡中，難免會遇到不同體制信任域間的認證問題。對此，文獻[7]設計了PKI和IBC體制間異構域間密鑰協商，實現等級信任域之間的跨域認證，但用戶端的計算量較大。文獻[8]基于盲簽名技術實現了PKI和CL-PKC體制異構信任域間的跨域身份認證。文獻[9]使用代理重簽名技術，同樣實現了異構域環境下不同信任域之間的訪問控制。上述方案雖然實現了跨域身份認證，但均無法抵制中心化身份方案存在的因單點崩潰造成的用戶隱私泄露的風險。

隨著區塊鏈技術的發展，其在身份認證領域的應用近年來愈發受到重視，憑借其去中心化、不可篡改等優勢，有效保護了數據隱私，改善了單點失效、主體信任和證書管理等問題。文獻[10]基于區塊鏈技術，設計了身份認證模型，在同構信任域間成功建立連接路徑，但沒有考慮異構信任域之間的跨域訪問問題。文獻[11]結合區塊鏈技術，實現了異構環境下物聯網設備間相互認證，但存在鏈上賬本記錄交易公開造成的隱私泄露問題。文獻[12]利用區塊鏈分布式賬本，實現了網絡環境中用戶的跨域認證，但是認證過程較復雜，計算開銷大。文獻[13]在提出的基于區塊鏈的跨域認證方案中引入了區塊鏈證書，但主要針對的是PKI域同構認證，并且單鏈結構在運行時效率相對較低，計算量較大。文獻[14]在PKI域和IBC域間設計了一種基于多層區塊鏈的異構跨域認證方案，但是認證過程復雜，總體計算開銷相對較大。

基于以上對使用中心化模式和區塊鏈模式的身份認證方案的研究，為提升方案效率和安全性，本文設計了主從區塊鏈結構。跨域認證方案模型中，各信任域內節點組成從鏈，選出執行超時輪換機制的代表節點，起到身份認證、傳遞共識和數據存儲功能；每個代表節點對應的主鏈節點共同組成一條主鏈，通過對區塊鏈進行證書頒發、共識傳遞和驗證，并且進行鏈際信任傳遞和數據存儲，簡化傳統身份認證中信任傳遞過程。針對集中式攻擊風險和整鏈共識效率低等問題，主從區塊鏈結構為異構跨域認證帶來的優化主要表現在以下兩方面：

一方面，將整條區塊鏈拆分為一條主鏈和多條從鏈，把不同體制的信任域內不同功能的節點在主從鏈中進行功能匹配。由于區塊鏈本身去中心化特性，可降低集中式風險，再使用區別于以往整鏈共識的局部共識，僅需在認證相關從鏈和主鏈進行共識即可完成數據共識共享，有效地減少了共識參與節點數量，提高了認證效率。同時主從鏈結構可擴展性更強，任何新的信任域的加入，對其他從鏈信任域無影響，只需將信任域內節點與從鏈節點功能進行匹配，在主鏈增加本信任域的主鏈節點，新加入的信任域會通過主鏈共識，將主鏈原有信任憑證共識到新主鏈節點的本地，至此即獲得了以往共識的全部數據和信任憑證。

另一方面，針對不同體制的分布式異構信任域，在不改變原有信任域內部組織結構和節點功能的前提下，設計了同樣分布式的從鏈模型進行對應，提高了應用的匹配度。主鏈、從鏈在鏈間、鏈際對信任憑證等部分數據進行傳輸時，區別于傳統中心化信任發布和點對點數據傳輸，采用代表節點動態變化的分階段、分層共識，進行數據共享和信任傳遞，既簡化了認證交互流程，又可以有效利用區塊鏈不可篡改和可追溯的特點，結合鏈下存儲原數據、鏈上存儲數據哈希值的方法，所有參與共識的節點共同記錄數據和操作，若出現問題，可以進行有效追溯，對信任憑證進行有效保護，提高了憑證可信度。

2 分層拜占庭容錯算法

2.1 算法說明

如圖1所示，本節設計了與主從鏈結構匹配的分層拜占庭容錯算法（HBFT）。算法整體分為三個步驟：發起鏈共識、主鏈共識和目標鏈共識。每次共識又根據節點安全性不同，分別執行HBFT算法中速度快、開銷小的簡化共識算法（simplified consensus algorithm，SCA）[15]和開銷較大、容錯能力強的拜占庭容錯算法（practical Byzantine fault tolerance，PBFT）。通過采用開銷和容錯能力不同的共識方法，實現共識機制的動態調整，以達到HBFT共識算法效率的最優化，從而為跨域身份認證過程建立可通信基礎。

算法為保證消息傳輸準確性和安全性，消息中包含了數字簽名、消息認證碼等。其中m表示消息，k表示節點序號，傳遞的消息為{Sigskk(H(m))|m}。算法定義共識過程中非共識發起節點總數為N，共識做出正確決策結果需要的最少響應消息數為Q，未響應的節點數為R，錯誤節點數為f，要求滿足N≥3f+1,Q≥2f+1,R≤f。進行如下解釋：

不響應的節點不一定是惡意節點，也有可能是通信問題導致未響應；響應的節點不一定是正確節點，也有可能是惡意節點冒充。系統中至多f個錯誤節點，可能分布在不響應的正確節點和響應的惡意節點中。做極端的假設：這f個不響應的節點都是正確節點，但因通信故障無法響應，則收到響應節點中還有f個錯誤節點是惡意節點，進行了錯誤響應。為了讓共識成立，需要正確節點數大于錯誤節點數，響應的節點中至少需要f+1個正確節點。因此為了保證共識正常進行，需要非共識發起節點數量N≥f+f+(f+1)，即N≥3f+1；Q≥f+(f+1)，即Q≥2f+1。

2.2 算法描述

以共識發起從鏈A向共識目標鏈B進行共識為例，具體流程描述如圖2所示。

2.2.1 發起從鏈共識階段

步驟1Request0階段：共識發起節點UA向代表點SCA發布共識請求{m|SigUA(Request,t,UA,H(m))}，其中t為時間戳，Request為共識請求標識。

步驟2Commit0階段：SCA判斷Request正確性，驗證請求簽名，檢查時間戳t，為請求消息編號，向包括本身在內的N個非共識請求發起節點轉發共識請求。

步驟3Reply0階段：SCA和副本節點Ai收到請求消息后，進行本地處理，對計算的摘要進行簽名，向UA反饋，并進行算法轉換判斷。

若UA收到了N個節點結果相同的響應消息，則說明系統無錯誤節點，共識成功，進入Response0階段。若收到的響應數不足N個，或響應中存在不一致結果，說明系統中存在錯誤節點，則跳轉至Panic0階段，繼續執行共識過程。

步驟4 Response0階段：UA將所有簽名后的響應打包，發給N個非共識發起節點，節點收到消息后驗證，保存共識結果。至此SCA共識階段完成，共識成功。

步驟5 Panic0階段：進入節點超時等待機制，UA對請求作出失敗判斷，嘗試重新發起共識請求。

步驟6 Abort1階段：若重復請求仍失敗，節點執行回滾操作，進行共識算法切換，進入PBFT共識算法。

步驟7 Request1階段：UA向SCA發送新共識請求。

步驟8 Pre-prepare1階段：SCA為請求消息編號n,向N個非共識發起節點廣播一條預準備消息{SigUA(Preprepare,v,n,h(m),m)}。預準備消息作為一種證明手段，明確請求已在視圖v中得到編號n，在因代表節點變更造成視圖轉換時，便于尋找。

步驟9 Prepare1階段：Ai向非共識發起節點廣播準備消息{SigUA(Pre-prepare,v,n,h(m))}，節點接收廣播消息后，檢查簽名、視圖號v正確性。

由于N≥3f+1，除去至多f個未反饋的節點和1個代表節點，剩余2f個節點在步驟9收到至少2f條消息，節點在步驟8收到1條消息，因此兩個階段共計至少2f+1條消息保存到本地。

步驟10 Commit1階段：非共識發起節點相互廣播確認消息SigSCAorAi(Commit,v,n,h(m))，節點驗證簽名和視圖號正確性后，將消息寫入到本地。若節點收到Q條消息，則共識達成。

因為Q≥f+(f+1)，其中錯誤節點數小于f，即非錯誤節點數至少為f+1個，所以可滿足完成正確共識。

步驟11 Reply1階段：N個非共識發起節點將簽名后的響應發送至共識發起節點UA。

步驟12 Response1階段：UA將收到的所有響應打包發給N個非共識發起節點，至此HBFT過程完成。

2.2.2 主鏈共識階段

共識發起從鏈代表節點SCA將共識結果發至對應的主鏈節點MA后，由MA作為主鏈共識發起節點，在主鏈范圍內將消息向其余從鏈代表節點對應的主鏈節點進行共識，流程與從鏈共識大致相同。區別在于主鏈共識中在發現任何節點錯誤時，系統均會指定其對應的從鏈進入代表節點超時輪換機制和延遲逐級增加機制，更換正確代表節點，直至HBFT共識完成，這保證了其他從鏈的代表節點正確性，進而保證了后續傳遞的共識內容正確性。

2.2.3 目標從鏈共識階段

以共識目標從鏈B為例，MB在主鏈共識過程已經獲取了共識數據，即可作為共識發起節點，發布正確的共識請求，在對應從鏈代表節點SCB的協助下完成鏈內HBFT共識，至此完成整個共識過程，數據通過共識進行了正確共享。此階段有較強擴展性，在主鏈達成共識后，任何從鏈接入網絡，查詢主鏈已有共識數據作為目標從鏈共識消息，進行從鏈內共識即可進行跨域通信。

3 基于主從鏈的異構跨域身份認證方案

本文在設計的主從區塊鏈結構和分層拜占庭容錯算法基礎上，實現了基于PKI體制和CL-PKC體制異構信任域間的雙向身份認證方案。所有節點上鏈后將自身公鑰共識公開，方案中傳遞的所有消息均采用對稱加密和非對稱加密結合的方式，使用對稱加密算法快速加密數據，使用非對稱加密算法加密對稱加密的密鑰，因此同時具備了對稱加密的高效性和非對稱加密的安全性。模型由以下4類實體組成，方案中符號含義如表1所示。

表1符號說明Table 1 Symbol description

（1）從鏈節點UN：從鏈中認證發起和目標節點，可以提出域內和跨域身份認證請求。

（2）從鏈代表節點SCN：從鏈內認證節點，由從鏈所有節點選舉產生，履行代表節點超時輪換機制和延遲逐級增加機制，參與節點身份生成、跨域認證和相關數據存儲。代表節點在CL-PKC信任域中具備KGC生成部分密鑰的功能；在PKI信任域中具備RA身份審核和更新證書等功能。

（3）主鏈節點MN：SCN在主鏈的對應節點，當新節點通過訪問控制加入從鏈時，為其生成根證書CertA，并將根證書的哈希值寫入區塊內，通過主鏈共識，傳遞到其他從鏈中，作為身份認證過程中的信任憑證。在PKI信任域中起到CA分發證書的功能。

（4）副本節點Ni：從鏈中的驗證節點，對共識發起者提出的共識進行驗證。

3.1 身份生成

方案根據X.509數字證書[16]設計了區塊鏈證書。節點上鏈后，主鏈節點為其生成根證書，并寫入區塊鏈，作為信任間不可篡改的信任憑證。本方案將鏈上的證書寫入接口定義為write(action,Hash(Cert))，其中參數action定義為根證書當前處理的狀態參數，包括發布issue或撤銷revoke兩種狀態。將鏈上的查詢接口定義為query(Hash(Cert)),使用交易證書的哈希值Hash(Cert)作為用戶查詢的條件，利用證書哈希值，在鏈上高效查詢證書的狀態action[17]。

利用分層ID樹結構能夠較好地解決身份唯一性問題[18]的優點，構造UN的真實身份。分層ID樹結構的根節點是SCN的身份標識DNN，葉子節點是UN的身份標識DNUN,UN的真實身份為IDUN=DNSCN||DNUN。具體密鑰生成過程如下：

（1）UN→SCN:{Req,DNUN,ru,TIDUN,T11}

UN選取隨機值α作為部分私鑰，計算自身公鑰PKUN；根據UN的真實身份IDUN和選取的隨機數ru計算出臨時身份TIDUN=Hash2(IDUN||ru)，讀取時間戳T11，向SCN發送加密后的身份注冊請求消息，Req為身份注冊請求標識。

（2）SCN→UN:{Res,PSKUN,CertUN,T12}

SCN解密消息，根據消息中DNUN和持有的DNSCN計算UN真實身份IDUN，并結合ru驗證TIDUN正確性。若均通過，則計算UN的部分私鑰PSKUN，獲取區塊鏈證書CertUN，讀取T12，生成注冊響應標識Res，向UN返回加密消息。在用戶注冊列表保存{IDUN,TIDUN,CertUN,ru}。

（3）UN解密消息，得到部分私鑰PSKUN，結合自身持有的另一部分私鑰α，共同計算自身完整私鑰SKUN，并在本地保存{CertUN,SKUN}。

3.2 CL-PKC域與PKI域雙向首次跨域認證方案

以信任域A中節點UA請求訪問異構信任域B的資源為例，構造首次異構跨域身份認證方案。方案模型如圖3所示。

（1）UA→SCB:{PKUA,SigSKUA(ReqUA,X′,NUA,CertUA,T21)}

UA向SCB提出跨域訪問請求，加密消息：跨域訪問請求標識ReqUA，根據隨機秘密值x和私鑰SKUA計算的密鑰協商參數X′=gx，隨機參數標識NUA等。

（2）SCB→MB:{PKSCB,SigSKSCB(ReqCertUA,CertUA,unknow,T22)}

SCB解密消息，驗證簽名確認UA身份，明確UA所在信任域，驗證標識ReqUA。若均成功，則向MB提出證書狀態查詢，加密內容：證書狀態查詢請求ReqCertUA，訪問資格未知狀態unknow等。本地保存{CertUA,X′,NUA}。

（3）MB→SCB:{PKMB,SigSKMB(ResCertUA,continue,expireCertUA,T23)}

MB解密消息，驗證簽名確認SCB身份，確認ReqCertUA,檢查T22。若均成功，執行證書狀態查詢，SCB用Hash(CertUA)在主鏈查詢，得到以下可能結果：若無查詢結果，則認定UA無法提供或者提供了錯誤CertUA，認證失敗；若結果為issue和revoke兩種狀態，則CertUA已過期，或已從發布狀態轉為撤銷狀態，認證失敗；若只有狀態issue，則CertUA當前在有效期內，且為已發布狀態，可以進行訪問，訪問資格狀態由未知unknow改為可進行continue。

MA向SCB返回認證成功響應，加密內容包括證書狀態查詢響應標識ResCertUA、節點身份失效時間expireCertUA等。本地保存{CertA,continue,expireCertUA}。

（4）SCB→UA:{PKSCB,SigSKSCB(ResUA,continue,expireCertUA,W′,NUA,T24)}

SCB解密消息，驗證簽名確認MB身份，檢查響應標識ResCertUA、時間戳T23和失效時間expireCertUA，查看證書當前狀態，若為continue，則SCB向UA發送請求成功響應，加密消息包括根據隨機秘密值w計算的密鑰協商參數W′=gw、響應標識ResUA等。本地保存數據{W′,CertUA,continue,expireCertUA}，計算與UA的會話密鑰KSCB→UA=(PKUA)SKSCB(X′)w。

（5）UA解密消息，驗證簽名確認SCB的身份，驗證響應標識ResUA，檢查T24，判斷響應消息中NUA與認證請求消息中的是否一致，若均成功，則將{continue,expireCertUA,W′}保存至本地。計算與SCB會話密鑰KUA→SCB=(PKSCB)SKUA(W′)x。

至此，認證發起從鏈A中節點UA與認證目標從鏈B代表節點SCB間成功建立起資源訪問連接，流程如圖4所示。

3.3 雙向跨域重認證

以A鏈內認證發起節點UA向共識目標鏈B的代表節點SCB發起跨域訪問重認證為例，描述此階段的模型如圖5所示。

UA與SCB在建立首次跨域身份認證連接后，SCB已將UA的身份信息記錄在本地列表中。通過以下三種驗證方式，判斷重認證是否成功：區塊鏈證書認證狀態是否為continue；身份失效時間expireCertUA是否在有效范圍內；注冊列表中是否存在前后一致的會話密鑰，若均通過，則重認證成功。避免了重復完整通信過程，可以高效、安全地進行雙向跨域身份重認證。

4 安全性分析

4.1 共識算法安全性分析

為確保方案的安全性，本文在共識過程中，首先通過SCA共識算法進行錯誤節點查找。若存在錯誤節點，則通過回滾操作進行算法切換，進入PBFT共識過程，當節點滿足N≥3f+1,Q≥2f+1時，確保方案安全性。以下描述了不同節點出現錯誤時的攻擊模型。

（1）若UN為發起惡意共識的攻擊者，對多個數據量巨大的消息或對異常權限變更操作發起共識，造成類似DoS攻擊，惡意消耗攻擊對象資源，達到拒絕其他節點共識服務，或非常規權限變更的目的。由于PBFT算法不能解決因共識發起者失效帶來的影響，需要引入訪問控制方法解決分層權限變更問題。聯盟鏈通過審核共識發起者權限和阻止產生無權操作等方式，降低節點失效造成的風險。任何對權限的操作，所有節點均通過共識可見，起到了節點行為群體監督功能，也提供了一種從失效節點攻擊中恢復的機制。

（2）當SCN是攻擊者時，通過不響應或響應錯誤消息的方式影響共識過程，造成消息出現丟失、延遲或亂序等情況。共識過程第二階段，利用PBFT算法的代表超時輪換機制和延遲逐級增加機制解決此問題。當SCN失效時，進入延遲等待環節，設置閾值限定延遲等待時間，當系統判定等待時間超過閾值，則更換下一個節點為代表節點，同時增加延遲時間。若仍無法達成共識則，則繼續更換代表節點并增加延時，直至網絡響應。因此，可以保證在延遲不是無限的情況下，防止無期限地等待請求執行的情況發生，確保方案保持活性。

（3）當Ni是錯誤節點時，同樣存在不響應或反饋錯誤消息，擾亂共識順序，破壞共識結果。對此，執行容錯共識算法，當滿足N≥3f+1,Q≥2f+1時，排除錯誤節點對共識結果的干擾。

當從鏈完成正確共識，正確的結果經由該鏈代表節點SCN發送至主鏈節點MN，這保證了主鏈共識請求的正確性。由于非共識發起鏈的代表節點的正確性未知，主鏈共識過程仍進行完整HBFT共識算法，一旦發現錯誤節點，則該節點對應的從鏈進入代表超時輪換機制和延遲逐級增加機制，更換節點，增加延時，直至完成共識。

4.2 認證方案安全屬性分析

方案針對跨域身份認證過程中可能存在的攻擊形式進行安全性分析。如表2所示，本文方案對比了近幾年的傳統跨域認證方案和引入區塊鏈結構的跨域認證方案，從雙向實體認證和抗重放攻擊等五方面進行安全屬性比較。結果表明本文方案在抵抗認證過程的攻擊時有較高的安全性。表中“√”表示該方案具備該性能，“×”表示不具備該性能。

4.2.1 雙向實體認證

如圖6雙向實體認證模型所示，本文方案與文獻[7，19]相比，實現了雙向實體認證。實體認證主要經歷了四部分：主鏈節點MA在信任域內向UA分發證書；域內認證改變證書狀態為issue；主鏈共識將證書狀態issue向其他從鏈對應的主鏈節點傳遞共識消息；跨域認證過程改變節點的認證權限。信任傳遞過程分為11個步驟，完成了從證書狀態issue到節點認證權限可執行continue的轉變。方案進行了節點間的雙向認證通信，并且每個步驟節點對應的本地存儲設備均保存了通信相關數據，便于在未來的反向認證過程中高效實現認證。

表2不同方案安全性比較Table 2 Comparison of scheme security attributes

4.2.2 抗重放攻擊

如圖7抗重放攻擊模型所示，如果攻擊者通過竊聽等方式截獲消息，運用非法手段獲取了此條認證消息的功能，則攻擊者無需知道消息具體內容是什么，通過重新發送該消息的方式，非法獲取對應權限。因此，本文節點在通信前，首先進行時間同步，保證時間戳選取有效，然后節點在認證過程傳遞的每條消息均加入了時間戳T，用來保持消息新鮮性。當目標節點收到消息后，會對時間戳T進行驗證，若消息中的時間戳T超出有效期，則認定受到了重放攻擊，認證失敗。因此本方案能有效抵抗重放性攻擊。

4.2.3 抵抗中間人攻擊

如圖8抗中間人攻擊模型所示，本文方案與文獻[13，20]對比，在進行異構資源跨域交互過程中，通信雙方均使用自身私鑰進行簽名，使用對方公鑰對消息進行加密。即使攻擊者成功截獲消息，但只要私鑰安全性得到保障，則加密和簽名即可保證安全。因而，敵手無法通過解密獲取明文，無法偽造簽名，通過接收方的驗證，方案能抵抗中間人攻擊。

4.2.4 身份追蹤

與文獻[7，13，17，19-20]對比，通過以下方式判斷節點合法性：SCN對UN發來的消息解密，得到了{DNUN,ru,TIDUN1}；由公式IDUN=DNSCN||DNUN,SCN，通過自身持有的DNSCN和解密得到的DNUN共同計算，獲取UN的真實身份IDUN；再使用ru通過公式TIDUN=Hash2(IDUN||ru)計算UN的臨時身份TIDUN2，與UN發送的消息中的臨時身份TIDUN1進行對比，若兩個臨時身份不同，則該節點為非法節點。通過計算IDUN追蹤非法節點身份，因此本方案可進行身份追蹤。

4.2.5 抵抗分布式拒絕服務（DDoS）攻擊

與文獻[7，9]相比，本文方案引入區塊鏈結構，利用其分布式架構下無中心、可追溯等特點，即使一個或者多個節點失效，只要有效節點數量支持完成正確的共識算法HBFT，則整體方案最終結果不受影響，因此可以解決DDoS攻擊造成的單點失效問題。

4.3 認證方案安全性證明

以下根據博弈論機制[21]證明方案的安全性。假設X給Y發送消息，CE為通信環境，Z為攻擊者，P代表參與者集合，記作P={X,Y,Z,CE}且P′=P/{CE}。假設Y確定消息發出者是X的概率為α,X確定只有Y獲得消息的概率為β,Z獲得消息的概率為γ。根據博弈論機制，各個參與者理性選擇策略達到自身利益最大化。從圖9中可見，博弈最佳結果(α,β,γ)的納什均衡為q1q2q3q4q5q7q9，顯然安全通信階段的密碼算法直接影響博弈結果。

由表3可知，本文的跨域認證方案同時使用加密算法和簽名算法，滿足安全協議的博弈論機制下對協議的安全性要求。

4.4 分析認證方案AVISPA仿真實驗分析

如圖10所示，本文使用安全協議自動驗證工具AVISPA，對首次跨域認證方案的安全性進行仿真實驗。方案代碼詳細描述了認證發起節點UA、從鏈代表節點SCB和主鏈節點MB的角色規范，同時對協議環境、會話和保密性目標進行了定義。分別在CL-AtSe和OFMC自動后端分析模型下執行仿真實驗，結果均為SAFT。由此證明，本文方案在抗重放攻擊和抗中間人攻擊時有較高安全性。

5 性能分析

5.1 共識算法消息復雜度分析

當系統無錯誤節點，只進行SCA算法進行共識。過程中UN在Request0階段發送1條請求信息，在Response0階段發送N條響應信息。SCN在Commit0階段轉發N次請求，在Reply0階段發送1次響應請求。其他副本節點在Reply0階段反饋N-1條響應信息，因此SCA階段算法一共需要傳遞的消息總數如式（1）所示：

即算法的消息復雜度為線性階O(n)。算法性能接近鏈上性能最弱的節點的消息處理能力上限。因此在系統安全環境下，本方案共識算法較大程度降低了完成正確共識所需要的開銷，高效完成正確共識。

當系統出現錯誤節點，進行共識算法切換的步驟也僅需增加回滾操作產生的至多N條消息，消息復雜度仍為O(n)。

當切換到PBFT容錯算法后，UN在Request1階段發布1條請求消息，在Response1階段發布N條共識消息。SCN在Pre-prepare1和Prepare1階段發布了2N條消息。副本節點在Prepare1階段發送了N(N-R-1)條消息，在Commit1階段發送了N(N-R)條消息，在Reply1階段反饋N-R條消息。因此本階段算法共需要傳遞消息綜述如式（2）所示：

即算法的消息復雜度達到了平方階O(n2)。雖然性能相對SCA較低，并且吞吐量會隨N的增加明顯降低，但PBFT能夠在系統節點滿足N≥3f+1,Q≥2f+1時，忽略錯誤節點對共識結果的影響，提高了系統容錯能力，獲得此階段共識安全性的提高。

在HBFT應用到異構跨域認證方案時，系統有別于傳統區塊鏈所有節點進行數據共識，只在認證發起從鏈、主鏈和認證目標從鏈三條鏈內進行共識，減少了共識過程的資源消耗，因此HPFT的模式更有利于在規模龐大的系統中使用。

5.2 方案性能開銷對比分析

本文與其他跨域認證方案進行了計算開銷的對比，忽略與跨域認證無關的因素影響，從加解密次數、簽名與驗證次數、雙線性運算次數、哈希運算次數和交互消息數五方面進行具體比較，結果如圖11所示。

假設本文方案與文獻[7，14，22]方案中加解密算法、簽名算法計算開銷均相同，則可以通過對比不同類型運算的次數的形式，反映各種方案的計算開銷。本文方案與使用傳統異構跨域方法的文獻[7]對比，引入了區塊鏈證書結構，優化了認證過程，較少了交互消息數，從而在計算開銷較大的加解密運算上，減少為文獻[7]方案的一半；與文獻[14]在物聯網分布式設備間使用區塊鏈技術的身份認證方案對比，雖然在使用加解密次數上沒有明顯優勢，但方案通過減少簽名與驗證次數，省去了多次復雜的雙線性運算過程，計算開銷明顯降低；與同樣使用區塊鏈技術的文獻[22]方案對比，優化了認證過程，減少了加解密運算次數、哈希運算次數和交互消息數，在保證安全性的前提下，降低了方案開銷。

6 結束語

使用區塊鏈技術的優勢解決傳統數據安全問題，是十分具有研究前景的方向。本文遵循此原則，在熟練掌握區塊鏈知識后，對傳統跨域身份認證問題進行了剖析，最終得到了問題解決思路。設計了動態執行的分層拜占庭容錯算法和主從鏈節點相互合作的主從區塊鏈結構，用以改進傳統的異構跨域身份認證問題。研究結果表明，方案在安全性和高效性間尋求了一種平衡，并且在認證過程中起到一定容錯效果。接下來的研究工作，將繼續深入發掘跨域身份認證在實際應用中存在的問題，并使用區塊鏈技術進行解決。