本發明屬于身份認證技術領域，公開了一種可信身份認證方法、系統、存儲介質、云計算終端，使用區塊鏈技術在多CA之間建立信任關系，完成跨域PKI用戶之間分布式身份認證的快速響應。本發明針對多個獨立PKI跨域身份認證信任鏈構建復雜且查詢時間開銷大的問題，多PKI融合證書服務系統構建方法，使多個獨立的PKI系統通過區塊鏈的方式完成交叉認證，實現了跨域用戶身份的可信認證。針對多域PKI證書鏈融合導致區塊鏈長度增加給認證節點帶來的空間開銷壓力，提出基于區塊頭節點的數字證書認證查詢方法，并設計適用于多域PKI證書鏈的區塊結構，減少長鏈逐塊查詢帶來的時間開銷，實現多域場景下的分布式證書驗證。

技術領域

本發明屬于身份認證技術領域，尤其涉及一種可信身份認證方法、系統、存儲介質、云計算終端。

背景技術

目前，當兩個用戶不歸屬于同一個信任域，即不信任同一個權威認證機構(CA,Certificate Authority)時，互相的身份認證就需要跨信任域建立信任關系。傳統公鑰基礎設施(Public Key Infrastructure，PKI)的跨域信任關系建立方式是通過兩個權威認證機構CA之間事先進行多次互相簽名頒發交叉證書，使權威認證機構CA之間相互信任并建立相應的信任模型，通過構建復雜的信任鏈傳遞信任關系，完成跨域用戶身份的可信認證。

現有網絡中包含嚴格層次、網狀、橋型和混合型等多種信任模型，不同公鑰基礎設施PKI之間可能采取相同或不同的信任模型，構建跨域信任關系時需要在不同信任模型的認證機構CA之間互相頒發交叉證書，造成證書信任鏈路徑的搜索十分復雜，無法快速驗證證書的有效性和真實性。當參與信任模型的認證機構CA數量增多，可能出現環形信任路徑等問題導致無法構建可用信任鏈，使得跨域身份認證無法正常進行。

通過上述分析，現有技術存在的問題及缺陷為：目前多云、多域融合計算中用戶身份的跨域可信認證流程復雜、時間開銷大。

解決以上問題及缺陷的難度為：現有網絡中包含信任模型種類繁多，不同PKI之間可能采取不同的信任模型，跨域場景下構建信任關系十分復雜困難。傳統區塊鏈中區塊結構固定，隨鏈長增加證書所需額外存儲資源消耗增加，且線性逐塊查詢效率低。

解決以上問題及缺陷的意義為：

(1)本發明提出了基于區塊鏈的多PKI融合的分布式認證機制，使用區塊鏈技術在多CA之間建立信任關系，可以在本地完成證書的真實性和有效性查詢，簡化信任關系的傳遞流程，完成跨域PKI用戶之間分布式身份認證的快速響應，實現域內、跨域用戶身份的高效可信認證。

(2)本發明提出基于區塊鏈的多域分布式PKI證書鏈融合方法，并對原有區塊結構做出改進，認證節點可以在本地完成對跨域用戶的數字證書真實性和有效性的驗證，保證跨域身份認證的效率。

(3)本發明提出分布式PKI區塊鏈的輕量化方法，降低認證節點中瘦節點的存儲空間壓力，提高查詢效率。

發明內容

針對現有技術存在的問題，本發明提供了一種可信身份認證方法、系統、存儲介質、云計算終端。

本發明是這樣實現的，一種可信身份認證方法，所述可信身份認證方法包括：

多公鑰基礎設施融合的分布式認證機制基于去中心化的公鑰基礎設施證書服務體系，在每一個域中采用分布式可信身份認證系統，當兩個域達成跨域互信共識后，在認證機構之間建立跨域認證通道，并將原有的兩條區塊鏈合并成一條新的證書鏈，在各自信任域內向所有節點廣播新通道的產生并通知節點同步區塊鏈；

分布式公鑰基礎設施系統中將數字證書及其狀態通過區塊鏈技術存儲，域中認證機構節點寫入區塊鏈后，域內每個認證節點都同步有完整的證書鏈。當用戶實體需要跨域身份認證時，認證機構節點提前構建新的認證通道，將兩個域的區塊鏈融合成新區塊鏈完成相互授信；