本發明公開了一種在區塊鏈PKI下支持瘦客戶端的隱私保護身份認證方法，屬于信息安全技術領域。本發明所述方法包括以下步驟：系統初始化、生成認證請求、生成查詢請求、查詢階段、檢測階段、確認階段和會話建立。本發明所述方法利用PIR等技術，使得其支持區塊鏈中存儲能力和計算能力有限的瘦客戶端在去中心化的PKI中完成用戶身份認證，同時保護瘦客戶端的查詢隱私。本發明使用基于區塊鏈的PKI技術，解決傳統PKI單點故障和多CA互信難等問題；利用PIR技術，實現去中心化PKI下瘦客戶端的身份認證功能；利用PIR技術，保護瘦客戶端查詢過程中的數據隱私；在認證過程中加入隨機數，防止中間人攻擊，確保認證過程中消息不被偽造篡改。

技術領域

本發明屬于信息安全技術領域，具體涉及一種在區塊鏈PKI下支持瘦客戶端的隱私保護身份認證方法。

背景技術

PKI(Public Key Infrastructure，公鑰基礎設施)是一種使用公鑰密碼技術支持加密、認證、完整性和不可否認服務的安全基礎設施，在互聯網電子認證服務業中得到廣泛應用。傳統PKI體系結構依賴于可信的第三方，即CA中心(Certificate Authority，證書認證機構)，只有信任某個CA，才信任該CA給用戶簽發的數字證書。但在實際應用中，PKI技術存在：(1)單點故障問題，核心CA一旦被攻擊者控制，所有證書均不可信；(2)多CA互信難問題，用戶證書只能由所屬CA的根證書進行驗證，不同CA之間不能相互驗證。

區塊鏈技術(Blockchain)使用分布式數據存儲、共識機制等技術，提供了以去中心化方式建立信任關系的思路與方案，引起了眾多行業的廣泛關注。區塊鏈是一種按照時間順序將數據區塊以鏈條的方式組合成特定數據結構，并以密碼學方式保證的不可篡改和不可偽造的去中心化共享總賬，能夠安全存儲簡單的、有先后關系的、能在系統內驗證的數據。

目前已有Blockstack、CertCoin等基于區塊鏈的PKI技術應用，可實現去中心化的認證方式，但大量的研究工作致力于設計基于區塊鏈的PKI協議，而未考慮區塊鏈中瘦客戶端(例如智能手機用戶)問題。此類用戶的存儲能力和計算能力有限，無法下載整個區塊鏈，難以完成基于區塊鏈的PKI身份認證服務。

發明內容

本發明的目的是克服上述現有技術的缺陷，提供一種在區塊鏈PKI下支持瘦客戶端的隱私保護身份認證方法。

本發明所提出的技術問題是這樣解決的：

一種在區塊鏈PKI下支持瘦客戶端的隱私保護身份認證方法，包括以下步驟：

步驟1.系統初始化：用戶在本地生成公私密鑰對，并將身份信息和公鑰注冊至區塊鏈PKI中；

步驟2.生成認證請求：在用戶雙方建立會話前，需互相驗證對方身份的合法性。待認證用戶將其身份信息和公鑰封裝成認證請求發送給驗證方用戶；

步驟3.生成查詢請求：驗證方用戶隨機選擇出k-1個用戶身份信息，與待認證用戶身份信息一同進行混淆，并利用PIR(Private Information Retrieval，隱私信息檢索)技術生成m個不同的查詢請求，將其分別發送給m個全節點用戶；

步驟4.查詢階段：全節點用戶根據查詢請求遍歷區塊鏈獲取相應的公鑰，并將公鑰異或的結果返回給驗證方用戶；

步驟5.檢測階段：驗證方用戶將全節點用戶返回的數據進行異或后恢復出公鑰，并鑒別待認證用戶身份的合法性；

步驟6.確認階段：待認證用戶需檢測驗證方用戶身份的合法性，通過上述步驟2-5后，即可檢測驗證方用戶身份的合法性；

步驟7.會話建立：若用戶雙方的身份均合法，則用戶雙方可建立會話連接，進行數據交互。

本發明的有益效果是：