本發明公開了一種分散自主網絡中基于區塊鏈的多CA跨域認證方法，采用由聯盟鏈和多個域組成的多CA跨域認證架構，每個域有自己的CA服務器、網絡設備、物理設備和MAMS，MAMS能與CA服務器進行認證交互和與聯盟鏈進行跨域認證交互，聯盟鏈的認證節點為每個域中的CA服務器，用于維護加入聯盟鏈的所有設備的證書信息和狀態賬本。區塊賬本中僅記錄證書的Hash值、證書狀態和所屬CA，多個認證交易組成一個區塊，多個區塊鏈接組成區塊鏈。證書由頒布該證書的CA服務器保存在自己的數據庫中，同時每個認證節點維護一個區塊鏈賬本副本和賬本世界狀態數據庫，查詢狀態數據庫能迅速獲取區塊賬本信息。本發明的方法提高了認證效率和安全性，降低存儲開銷。

技術領域

本發明涉及計算機網絡安全技術領域，尤其涉及一種分散自主網絡中基于區塊鏈的多CA跨域認證方法。

背景技術

近年來，5G的商用部署已經在世界主要大國逐步進行，預計到2025年5G的總連接數將達到18億，同時，在網絡時延、移動性、數據速率等方面也有顯著的進步。網絡技術的進步為智能終端的發展帶來了契機，智能終端可以隨時接入網絡，與其他設備互聯通信。我們把各智能終端所組成的網絡空間稱為分散自主網絡。它的一個特點是網絡覆蓋范圍廣，另一個特點是設備的移動性強且互聯需求大。在滿足不同場景的連接需求和業務需求時，需要保障設備跨域訪問的安全性。

常見的跨域認證是基于傳統的PKI(Public Key Infrastructure)認證，該認證能實現的前提是認證中心是受信任的，當認證中心被攻擊或被偽造時就不能保證跨域認證的安全性了。而區塊鏈技術是去中心化的，具有防篡改和數據可追溯的特性，能夠有效解決傳統跨域認證的中心化問題。

為了解現有技術的發展狀況，對已有的論文和專利進行了檢索、比較和分析，篩選出如下與本發明相關度比較高的技術方法：

技術方案1：公開號CN112884476A的專利申請提出了基于區塊鏈的CA跨域認證方法及系統。方法包括：以fabric聯盟鏈框架為基礎構建CA聯盟鏈，其中，將根CA作為主節點，將用戶CA作為從節點；以raft算法作為CA聯盟鏈的共識算法完成CA節點之間的共識流程，其中，根CA節點參與共識流程，用戶CA節點作為分布式數據庫存儲生成的區塊數據；通過智能合約生成三個不同的非對稱的秘鑰對，并將三個密鑰對分別頒發給不同域內的根CA節點、策略CA節點和用戶CA節點，使不同域內的根CA節點、策略CA節點和用戶CA節點分別擁有相同的秘鑰對，以實現不同域內的CA頒發的數字證書相互認證；基于CA聯盟鏈進行跨域認證，實現滿足可信、高效、大規模的CA跨域認證需求。技術方案1通過CA聯盟鏈實現了跨域身份，但該方法需要生成新的身份證明，不能兼容原有證書認證機制，且聯盟鏈需要對接所有接入用戶，增加了認證和管理的復雜度。

技術方案2：公開號CN112883406A的專利申請提出了一種基于聯盟鏈的遠程醫療跨域認證方法，包括如下步驟：各醫療域建立信任中心或使用已有的權威信任中心；在各醫療域中設立區塊鏈服務器，部署開源區塊鏈平臺Hyperledger Fabric，將各醫療域區塊鏈服務器作為聯盟成員加入聯盟鏈；各醫療域的信任中心自生成跨域認證身份證書，并調用智能合約將證書的哈希值寫入聯盟鏈賬本；在各醫療域中設立跨域認證代理服務器，代理本域的醫療設備進行跨域身份認證；跨域認證代理服務器請求區塊鏈服務器調用智能合約查詢分布式賬本中的證書數據，根據查詢結果判斷證書有效性。本發明采用區塊鏈技術避免傳統證書的撤銷狀態在線查詢過程，優化身份證書的驗證方式，有效保證鏈上證書信息的時效性的同時減少證書數據的存儲空間大小。技術方案2通過聯盟鏈實現了遠程醫療設備的跨域認證，但醫院域H的跨域認證代理服務器向區塊鏈發起身份證書查詢前未驗證設備的身份，容易遭遇洪泛攻擊，且每次跨域訪問都需要進行跨域認證，增加了認證開銷。

發明內容

本發明針對上述技術問題，提供一種分散自主網絡中基于區塊鏈的多CA跨域認證方法，目的是在分散自主網絡中為設備的跨域訪問提供可信的身份認證，通過基于區塊鏈的多CA跨域認證方案提高認證效率和安全性，降低存儲開銷。