论文部分内容阅读
随着网络发展,资源受限的移动终端,与多信任域结构模式中的信息服务实体(ISE)交互越来越频繁,目前我国对ISE仅是行业内简单的身份管理与认证,难以满足国家对ISE服务质量的监管需求。信息服务信任域较多应用的基于公开密钥的认证框架有:基于证书的公钥基础设施(PKI)和基于身份的密码体制(IBC),以上两种框架结构日益完善,但仍存在一些问题,如PKI域中证书使用相对复杂、IBC域中密钥托管问题突出、现存方案无法满足PKI与IBC域间对ISE的跨域认证需求等。区块链技术在身份认证领域的应用逐步受到重视,其核心优势是去中心化,且数据安全透明、不可篡改、难伪造,这些优点提供了解决以上问题的一些理想属性,因此本文作了如下工作:首先,对区块链结构和不同PKI信任域模型进行了全面的比较分析,由于节点可控且保留了区块链其他特性,因此选择在联盟链基础上设计适用于信息服务PKI信任域的ISE-BCBM模型,并对模型基础框架进行功能设计。在ISE-BCBM模型上,为了对X.509证书的证书结构和管理机制进行优化,设计了适用于ISE-BCBM模型的区块链证书结构和存储接口,研究了区块链证书的全生命周期管理机制,并分析了区块链证书在本域认证和跨域认证场景中的应用。通过分析比较可知区块链证书在简化证书使用方面具有优势。其次,结合区块链去中心化信任的理想属性对IBC域内密钥托管问题进行优化,参考多PKG的思想,改进了国产SM9算法中的密钥生成算法,在IBC域内增设区块链域代理服务器BCDA,使BCDA与PKG协作完成密钥生成。BCDA节点利用区块链的属性维护信任度,省去额外维护成本,且BCDA生成的部分公私钥拥有全部公私钥的功能,可参与实现后续章节的跨域认证。最后,设置BCDA作为节点加入ISE-BCBM模型,结合区块链证书机制和改进SM9密钥生成算法,生成外域实体的临时身份,并通过ISE-BCBM节点间的双向认证和临时身份的颁发,设计PKI与IBC域间对ISE的跨域认证协议I和II。身份认证完成后,在区块链上保存已完成的认证信息,通过对认证信息的查询过程,设计快速的重认证协议。对方案进行了SOV逻辑证明、安全属性比较分析、通信量和计算量的比较分析,对ISE-BCBM模型的通信负担和存储负担进行了量化分析,以上分析结果表明,本文方案相较于目前相关方案,在信息服务信任域的场景特点下具有良好的实用性。