陳盈盈，章峰，蔣文保,，周旭

基于可信聯(lián)盟的P2P網(wǎng)絡(luò)身份認(rèn)證機(jī)制

陳盈盈1，章峰1，蔣文保1,2，周旭2

（1. 北京信息科技大學(xué)信息管理學(xué)院，北京 100089；2. 中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心，北京 100190）

為了有效解決傳統(tǒng)PKI體系中存在的CA交叉認(rèn)證及單點(diǎn)故障等問(wèn)題，提出了一種新的身份認(rèn)證機(jī)制。首先，基于區(qū)塊鏈技術(shù)構(gòu)建基本架構(gòu)，通過(guò)動(dòng)態(tài)生成可信節(jié)點(diǎn)來(lái)構(gòu)建可信聯(lián)盟；其次，提出全網(wǎng)統(tǒng)一的唯一身份標(biāo)識(shí)ID并采用SRT數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)；最后，通過(guò)雙層共識(shí)機(jī)制全網(wǎng)節(jié)點(diǎn)皆能進(jìn)行統(tǒng)一身份標(biāo)識(shí)認(rèn)證。實(shí)驗(yàn)表明，本機(jī)制能夠滿足海量用戶身份信息的查詢和管理，并且能夠保證身份認(rèn)證過(guò)程中的高效與安全。

區(qū)塊鏈；可信聯(lián)盟；身份認(rèn)證；雙層共識(shí)

1 引言

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)用戶的數(shù)量不斷擴(kuò)增，與此同時(shí)，網(wǎng)絡(luò)犯罪的手段不斷升級(jí)。近幾年，網(wǎng)絡(luò)身份冒充、偽造虛假身份和非法身份欺騙等手段導(dǎo)致的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)詐騙事件不計(jì)其數(shù)，造成了嚴(yán)重的后果。網(wǎng)絡(luò)身份是維護(hù)網(wǎng)絡(luò)空間安全的基礎(chǔ)，因此網(wǎng)絡(luò)身份認(rèn)證一直被大眾關(guān)注，也是相關(guān)領(lǐng)域研究人員重點(diǎn)研究的課題與方向。基于研究背景，人們將總是習(xí)慣依附于一個(gè)中心化事物的思想逐漸轉(zhuǎn)變?yōu)槿ブ行幕鴮?duì)網(wǎng)絡(luò)身份認(rèn)證技術(shù)的研究也形成了由基于公鑰基礎(chǔ)設(shè)施（PKI，public key infrastructure）技術(shù)的數(shù)字證書形式到基于區(qū)塊鏈技術(shù)的身份認(rèn)證方案的演變[1]。

但目前基于區(qū)塊鏈技術(shù)的身份認(rèn)證方案仍存在不可控、缺乏安全驗(yàn)證以及用戶信息泄露等問(wèn)題。故在某些問(wèn)題層面，完全去中心化的方式并不利于整體有效的管理，所以本文采用“局部中心化，整體去中心”的思想，結(jié)合區(qū)塊鏈技術(shù)對(duì)P2P（peer to peer）網(wǎng)絡(luò)中節(jié)點(diǎn)的身份進(jìn)行安全有效認(rèn)證。首先，在網(wǎng)絡(luò)中根據(jù)節(jié)點(diǎn)的分布個(gè)體聚焦度確認(rèn)可信節(jié)點(diǎn)，普通節(jié)點(diǎn)通過(guò)可信節(jié)點(diǎn)的安全認(rèn)證得到唯一身份標(biāo)識(shí)ID；其次，同一可信聯(lián)盟中的可信節(jié)點(diǎn)通過(guò)共識(shí)協(xié)議對(duì)全部在冊(cè)節(jié)點(diǎn)數(shù)據(jù)進(jìn)行共享存儲(chǔ)，在冊(cè)節(jié)點(diǎn)可通過(guò)聯(lián)盟內(nèi)任意可信節(jié)點(diǎn)進(jìn)行查詢驗(yàn)證；最后，加入權(quán)威聯(lián)盟生態(tài)的不同可信聯(lián)盟之間通過(guò)共識(shí)協(xié)議對(duì)聯(lián)盟間的在冊(cè)節(jié)點(diǎn)數(shù)據(jù)進(jìn)行共享存儲(chǔ)，最終可達(dá)到認(rèn)證數(shù)據(jù)全網(wǎng)統(tǒng)一，全網(wǎng)節(jié)點(diǎn)皆能通過(guò)全網(wǎng)任意可信節(jié)點(diǎn)互相認(rèn)證身份。

2 相關(guān)工作

目前以公鑰證書的形式將用戶公鑰和用戶身份進(jìn)行綁定，已形成解決網(wǎng)絡(luò)安全問(wèn)題的成熟方案[2]。但是，PKI通過(guò)引入可信第三方CA進(jìn)行身份認(rèn)證，這帶來(lái)了證書的管理、存儲(chǔ)和計(jì)算上的代價(jià)。大規(guī)模密鑰管理的問(wèn)題一般是采用物理上增加CA的方法，而各個(gè)CA的用戶之間還存在交叉認(rèn)證和信任管理的問(wèn)題。并且，導(dǎo)致提供商的中央服務(wù)器崩潰是黑客的主要目標(biāo)，因此用戶數(shù)據(jù)容易受到黑客攻擊。電子身份eID[3]是一種基于PKI技術(shù)的應(yīng)用形式。而區(qū)塊鏈的去中心化結(jié)構(gòu)能夠很好地解決傳統(tǒng)的身份管理機(jī)制中存在的過(guò)分依賴第三方的問(wèn)題，近幾年，基于區(qū)塊鏈的網(wǎng)絡(luò)身份認(rèn)證技術(shù)在不斷探索研發(fā)中。有學(xué)者提出基于區(qū)塊鏈的ID即服務(wù)（BIDaaS）[4]，旨在提供從BIDaaS提供商到其合作伙伴的身份和身份驗(yàn)證管理基礎(chǔ)結(jié)構(gòu)，但其沒(méi)有防止合作伙伴濫用用戶信息的有效機(jī)制。Lin等[5]研究了基于區(qū)塊鏈的身份管理系統(tǒng)（BIMS）中的成員身份驗(yàn)證要求，并為BIMS設(shè)計(jì)了一種新穎的可傳遞封閉無(wú)向圖認(rèn)證方案，但在該方案中存在用舊證書欺騙用戶的風(fēng)險(xiǎn)。Ferdous等[6]提出利用區(qū)塊鏈技術(shù)來(lái)尋找自我主權(quán)身份，并使用數(shù)學(xué)模型對(duì)自主權(quán)身份的概念進(jìn)行了嚴(yán)格的分析，但未提出具體的系統(tǒng)實(shí)現(xiàn)方案。

uPort、ShoCard和Sovrin是3種具有代表性的基于分布式分類賬技術(shù)（DLT，distributed ledger technology）的身份管理方案[7]，它們分別基于以太坊、比特幣區(qū)塊鏈和許可分類賬。uPort是一個(gè)開源的去中心化身份框架，旨在提供“所有人的去中心化身份”。uPort沒(méi)有中央服務(wù)器，并且不對(duì)uPortID的所有者進(jìn)行身份驗(yàn)證，這會(huì)對(duì)未經(jīng)授權(quán)訪問(wèn)用戶移動(dòng)設(shè)備上的本地身份驗(yàn)證造成風(fēng)險(xiǎn)。ShoCard是移動(dòng)設(shè)備上的數(shù)字身份證，通過(guò)存儲(chǔ)在比特幣交易中的加密哈希，將用戶標(biāo)識(shí)符與現(xiàn)有的可信憑證（如護(hù)照或駕駛執(zhí)照），以及其他身份屬性綁定在一起。但ShoCard的中介角色為ShoCardID的縱向存在帶來(lái)了不確定性，如果該公司不復(fù)存在，ShoCard的用戶將無(wú)法使用已獲得認(rèn)證的系統(tǒng)。Sovrin是建立在許可的DLT之上的開放源代碼身份網(wǎng)絡(luò)，用于存儲(chǔ)身份記錄。用戶必須依靠在Sovrin網(wǎng)絡(luò)中代表其行事的代理機(jī)構(gòu)以及維護(hù)分布式分類賬的管理員。根據(jù)代理人的選擇及實(shí)施，很多信息可能會(huì)由代理人掌握。可以看出，目前基于區(qū)塊鏈技術(shù)的身份認(rèn)證方案仍存在一些不足。因?yàn)閰^(qū)塊鏈技術(shù)仍在發(fā)展中，所以不論是其底層技術(shù)還是有關(guān)應(yīng)用層面都可以不斷完善與擴(kuò)充，可以有效利用其核心技術(shù)思想去創(chuàng)新，從而可以解決更多領(lǐng)域面臨的一些問(wèn)題，區(qū)塊鏈技術(shù)具有十分廣闊的應(yīng)用前景[8]。

綜上所述，本文提出一種基于可信聯(lián)盟的網(wǎng)絡(luò)身份認(rèn)證機(jī)制，該機(jī)制致力于解決傳統(tǒng)PKI體系中存在的一些問(wèn)題，如由CA自身安全引起的單點(diǎn)故障問(wèn)題以及CA之間存在的兼容性和可信度等問(wèn)題。同時(shí)與現(xiàn)有基于區(qū)塊鏈技術(shù)的身份認(rèn)證方案進(jìn)行比較，期望能夠在一定程度上避免其不足之處，更好地實(shí)現(xiàn)在功能需求上的目標(biāo)[9]。根據(jù)國(guó)家有關(guān)部門提出的針對(duì)網(wǎng)絡(luò)空間身份管理的相關(guān)意見(jiàn)[10]及發(fā)展思路[11]，本文提出唯一身份標(biāo)識(shí)ID，其能夠?qū)W(wǎng)絡(luò)身份進(jìn)行統(tǒng)一管理[12]，有效解決了各個(gè)不同領(lǐng)域身份認(rèn)證不一致的問(wèn)題。

3 基本架構(gòu)

3.1 可信聯(lián)盟

在P2P網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)都是獨(dú)立的資源庫(kù)，但因?yàn)樵诂F(xiàn)實(shí)生活中，每個(gè)節(jié)點(diǎn)的社會(huì)屬性有所不同，所以網(wǎng)絡(luò)中的節(jié)點(diǎn)也具有不同的屬性。有的節(jié)點(diǎn)與其他節(jié)點(diǎn)的關(guān)聯(lián)度很高，則在社會(huì)中具有一定程度的重要性；有的節(jié)點(diǎn)與其他節(jié)點(diǎn)的關(guān)聯(lián)度正常，那就意味著該節(jié)點(diǎn)屬于社會(huì)中普通的一員。而人們往往對(duì)社會(huì)重要性高的人物具有一定程度的信任，因此本系統(tǒng)通過(guò)計(jì)算網(wǎng)絡(luò)中節(jié)點(diǎn)的重要性來(lái)確定可信節(jié)點(diǎn)，并采用分布個(gè)體聚焦度來(lái)衡量網(wǎng)絡(luò)中節(jié)點(diǎn)的重要性。可信聯(lián)盟由具有相同可信等級(jí)的可信節(jié)點(diǎn)構(gòu)成。去中心化可信聯(lián)盟的基礎(chǔ)架構(gòu)如圖1所示。

每個(gè)可信聯(lián)盟內(nèi)部達(dá)成共識(shí)如下。

1) 普通節(jié)點(diǎn)一旦與可信節(jié)點(diǎn)建立連接，且通過(guò)可信節(jié)點(diǎn)的安全認(rèn)證，可信節(jié)點(diǎn)則賦予普通節(jié)點(diǎn)唯一身份標(biāo)識(shí)ID，該標(biāo)識(shí)被可信聯(lián)盟內(nèi)的所有可信節(jié)點(diǎn)認(rèn)可，此時(shí)普通節(jié)點(diǎn)成為在冊(cè)節(jié)點(diǎn)。

2) 當(dāng)普通節(jié)點(diǎn)與聯(lián)盟內(nèi)另一可信節(jié)點(diǎn)建立連接時(shí)，可信節(jié)點(diǎn)可通過(guò)在自身維護(hù)的區(qū)塊鏈中查詢?cè)撈胀ü?jié)點(diǎn)提供的唯一身份標(biāo)識(shí)ID來(lái)確認(rèn)該普通節(jié)點(diǎn)的身份信息。

3) 普通節(jié)點(diǎn)與普通節(jié)點(diǎn)間建立連接時(shí)，也可通過(guò)提供唯一身份標(biāo)識(shí)ID來(lái)互相認(rèn)證。

4) 普通節(jié)點(diǎn)未與任何可信節(jié)點(diǎn)建立連接或未通過(guò)安全認(rèn)證，則為游離節(jié)點(diǎn)。

5) 考慮到未加入可信聯(lián)盟的可信節(jié)點(diǎn)，如果通過(guò)該可信節(jié)點(diǎn)注冊(cè)的普通節(jié)點(diǎn)長(zhǎng)期無(wú)法與可信聯(lián)盟內(nèi)其他在冊(cè)節(jié)點(diǎn)取得身份認(rèn)證，那么會(huì)選擇可信聯(lián)盟中的可信節(jié)點(diǎn)進(jìn)行重新注冊(cè)成為在冊(cè)節(jié)點(diǎn)，而該可信節(jié)點(diǎn)則會(huì)降級(jí)直至成為普通節(jié)點(diǎn)。

圖1 去中心化可信聯(lián)盟基礎(chǔ)架構(gòu)

Figure 1 Decentralized trusted alliance infrastructure

3.2 權(quán)威聯(lián)盟

不同可信程度的可信聯(lián)盟間可建立連接，構(gòu)成權(quán)威聯(lián)盟生態(tài)。可通過(guò)權(quán)威節(jié)點(diǎn)將不同的可信聯(lián)盟連接起來(lái)，而權(quán)威節(jié)點(diǎn)是通過(guò)可信聯(lián)盟內(nèi)部隨機(jī)選擇某一個(gè)可信節(jié)點(diǎn)得到的，可信聯(lián)盟內(nèi)部的每個(gè)可信節(jié)點(diǎn)都有機(jī)會(huì)成為權(quán)威節(jié)點(diǎn)，但可信聯(lián)盟內(nèi)部同一時(shí)間只能存在一個(gè)權(quán)威節(jié)點(diǎn)。可信聯(lián)盟內(nèi)包含權(quán)威節(jié)點(diǎn)且與其他可信聯(lián)盟建立了連接，則可稱該可信聯(lián)盟為權(quán)威聯(lián)盟，如圖2所示。

圖2 權(quán)威聯(lián)盟生態(tài)架構(gòu)

Figure 2 Ecological architecture of authoritative alliance

權(quán)威聯(lián)盟相互之間達(dá)成共識(shí)如下。

1) 一個(gè)可信聯(lián)盟中的權(quán)威節(jié)點(diǎn)一旦與另一個(gè)可信聯(lián)盟中的權(quán)威節(jié)點(diǎn)建立連接，且雙方互相通過(guò)彼此的安全認(rèn)證，則都將對(duì)方的唯一身份標(biāo)識(shí)ID存儲(chǔ)在自身維護(hù)的區(qū)塊鏈中。

2) 當(dāng)權(quán)威聯(lián)盟與權(quán)威聯(lián)盟生態(tài)中的其他權(quán)威聯(lián)盟建立連接時(shí)，可通過(guò)提供唯一身份標(biāo)識(shí)ID得到聯(lián)盟間的身份認(rèn)證，進(jìn)而確認(rèn)聯(lián)盟中節(jié)點(diǎn)的身份信息。

3) 一個(gè)可信聯(lián)盟沒(méi)有與權(quán)威聯(lián)盟建立連接或未通過(guò)權(quán)威聯(lián)盟的安全認(rèn)證，則為獨(dú)立聯(lián)盟，該聯(lián)盟中的節(jié)點(diǎn)身份無(wú)法得到其他聯(lián)盟的認(rèn)證。

而在Hyperledger Fabric[13]中，默認(rèn)MSP使用符合X.509標(biāo)準(zhǔn)的證書為身份，采用數(shù)字證書機(jī)制來(lái)實(shí)現(xiàn)對(duì)身份的鑒別和權(quán)限控制，CA節(jié)點(diǎn)負(fù)責(zé)對(duì)網(wǎng)絡(luò)中的成員身份進(jìn)行管理，實(shí)現(xiàn)的是傳統(tǒng)的PKI分層架構(gòu)。在MSP中，CA節(jié)點(diǎn)分為根CA（RCA）和中間CA（ICA），客戶端是從CA節(jié)點(diǎn)獲取合法的身份證書來(lái)加入網(wǎng)絡(luò)的應(yīng)用通道，CA節(jié)點(diǎn)在簽發(fā)證書后，自身不參與網(wǎng)絡(luò)中的交易過(guò)程。而本文中的可信節(jié)點(diǎn)具備去中心化特性，是根據(jù)節(jié)點(diǎn)的社會(huì)屬性并結(jié)合實(shí)時(shí)的網(wǎng)絡(luò)數(shù)據(jù)來(lái)動(dòng)態(tài)生成的，且非獨(dú)立于網(wǎng)絡(luò)交易過(guò)程之外。與傳統(tǒng)的CA節(jié)點(diǎn)不同，但皆具備認(rèn)證功能。普通節(jié)點(diǎn)通過(guò)可信節(jié)點(diǎn)的認(rèn)證后，與可信聯(lián)盟內(nèi)的其他在冊(cè)節(jié)點(diǎn)間都可進(jìn)行身份認(rèn)證。為了保證交易的私密性，相互隔離的通道設(shè)計(jì)是Fabric的一個(gè)特點(diǎn)，每個(gè)通道維護(hù)一條私有的區(qū)塊鏈。但本文中的可信聯(lián)盟之間是可以進(jìn)行數(shù)據(jù)共享的，這樣設(shè)計(jì)是為了達(dá)到全網(wǎng)節(jié)點(diǎn)皆能通過(guò)全網(wǎng)任意可信節(jié)點(diǎn)互相認(rèn)證身份。

4 關(guān)鍵技術(shù)

4.1 計(jì)算分布個(gè)體聚焦度

本文采用分布個(gè)體聚焦度來(lái)衡量節(jié)點(diǎn)的可信度。由于網(wǎng)絡(luò)節(jié)點(diǎn)會(huì)因?yàn)閲?guó)家差別、地域差別、個(gè)人偏好等導(dǎo)致分布性不同，而且這種分布性是呈動(dòng)態(tài)變化的。因此，本文提出計(jì)算分布個(gè)體聚焦度的方案：首先計(jì)算出每個(gè)分布區(qū)域的個(gè)體數(shù)量，然后計(jì)算該分布區(qū)域內(nèi)每個(gè)個(gè)體的聚焦度，從而確定區(qū)域內(nèi)核心個(gè)體，達(dá)到分區(qū)計(jì)算、全局管理的目的。計(jì)算步驟如下。

1) 計(jì)算分布區(qū)域及個(gè)體數(shù)量：全網(wǎng)節(jié)點(diǎn)數(shù)量眾多而且數(shù)據(jù)傳播范圍有所不同，因此合理地進(jìn)行分布區(qū)域的劃分，是改善針對(duì)全網(wǎng)個(gè)體管理的有效方法。設(shè)為分布區(qū)域數(shù)，g為第區(qū)域內(nèi)個(gè)體數(shù)，可根據(jù)具體應(yīng)用場(chǎng)景及應(yīng)用范圍進(jìn)行設(shè)置，參考實(shí)際網(wǎng)絡(luò)節(jié)點(diǎn)區(qū)域性分布特點(diǎn)，g則可以根據(jù)動(dòng)態(tài)統(tǒng)計(jì)劃分區(qū)域內(nèi)實(shí)際網(wǎng)絡(luò)在線節(jié)點(diǎn)數(shù)來(lái)確定。

分布區(qū)域內(nèi)進(jìn)行標(biāo)準(zhǔn)化測(cè)量如式(2)所示。

分布個(gè)體聚焦度越大表示在該分布區(qū)域內(nèi)，其他節(jié)點(diǎn)越認(rèn)可該節(jié)點(diǎn)的重要地位，進(jìn)一步表明，該節(jié)點(diǎn)是值得信任和依賴的。

4.2 可信等級(jí)劃分

設(shè)為分界點(diǎn)，的大小可根據(jù)全網(wǎng)節(jié)點(diǎn)的分布個(gè)體聚焦度的計(jì)算結(jié)果進(jìn)行確定，將分布個(gè)體聚焦度值大于的節(jié)點(diǎn)確定為可信節(jié)點(diǎn)，否則為普通節(jié)點(diǎn)。采用-means聚類算法[16]將可信節(jié)點(diǎn)進(jìn)行等級(jí)劃分。

1) 首先確定以哪些可信程度即分布個(gè)體聚焦度的值為等級(jí)標(biāo)準(zhǔn)，確定聚類中心。

2) 計(jì)算每個(gè)節(jié)點(diǎn)的分布個(gè)體聚焦度數(shù)據(jù)點(diǎn)到聚類中心的距離，距離哪個(gè)最近就劃分到哪一類中。

3) 計(jì)算每一類中心點(diǎn)并將其作為新的中心點(diǎn)；

4) 重復(fù)上述步驟，直到每次迭代后類中心點(diǎn)的變化達(dá)到標(biāo)準(zhǔn)。

根據(jù)聚類結(jié)果，確定每個(gè)可信節(jié)點(diǎn)的可信等級(jí)，設(shè)可信等級(jí)為R，即同類中的節(jié)點(diǎn)具有同一個(gè)可信等級(jí)。

4.3 構(gòu)建可信聯(lián)盟

等級(jí)是通過(guò)網(wǎng)絡(luò)計(jì)算得到節(jié)點(diǎn)的自身屬性，節(jié)點(diǎn)本身不可更改。等級(jí)相同的可信節(jié)點(diǎn)間簽訂“共識(shí)協(xié)議”，則表明這些可信節(jié)點(diǎn)屬于同一個(gè)可信聯(lián)盟。

算法1 構(gòu)建可信聯(lián)盟

輸入 關(guān)聯(lián)邊

輸出 可信聯(lián)盟

1) If 仿真時(shí)間運(yùn)行至分布個(gè)體聚焦度計(jì)算階段then

2) For 任意節(jié)點(diǎn)∈do

5) End if

6) End for

7) End if

8) If 仿真時(shí)間運(yùn)行至可信等級(jí)劃分階段then

9) For 任意節(jié)點(diǎn)∈，m為可信閾值do

12) End if

14)，簽訂“共識(shí)協(xié)議”，歸屬同一個(gè)可信聯(lián)盟

15) End if

16) End for

17) End if

4.4 普通節(jié)點(diǎn)-安全認(rèn)證

首先普通節(jié)點(diǎn)通過(guò)RSA算法[17]在本地生成公私鑰對(duì)，然后用私鑰將個(gè)人身份信息進(jìn)行簽名并向可信節(jié)點(diǎn)發(fā)送認(rèn)證請(qǐng)求。可信節(jié)點(diǎn)再用該普通節(jié)點(diǎn)的公鑰對(duì)普通節(jié)點(diǎn)發(fā)送的個(gè)人信息進(jìn)行驗(yàn)證，驗(yàn)證成功則表明該普通節(jié)點(diǎn)認(rèn)證通過(guò)，否則不通過(guò)。認(rèn)證通過(guò)后，可信節(jié)點(diǎn)將該普通節(jié)點(diǎn)的個(gè)人身份信息生成唯一身份標(biāo)識(shí)ID并和該普通節(jié)點(diǎn)的公鑰一一對(duì)應(yīng)在區(qū)塊鏈上進(jìn)行存儲(chǔ)。其他節(jié)點(diǎn)則可通過(guò)向可信節(jié)點(diǎn)提交身份標(biāo)識(shí)查詢請(qǐng)求，來(lái)認(rèn)證節(jié)點(diǎn)身份信息，圖3為具體的安全認(rèn)證過(guò)程。分布式網(wǎng)絡(luò)環(huán)境下密鑰管理較為復(fù)雜[18]，此處采用數(shù)字簽名為節(jié)點(diǎn)安全認(rèn)證過(guò)程增加保障。

圖3 安全認(rèn)證過(guò)程

Figure 3 Safety certification process

另外，可信節(jié)點(diǎn)自身可向聯(lián)盟中的其他可信節(jié)點(diǎn)進(jìn)行安全認(rèn)證，過(guò)程同上述普通節(jié)點(diǎn)認(rèn)證一致，以此獲得自身的唯一身份標(biāo)識(shí)。

普通節(jié)點(diǎn)可以隨時(shí)查詢自己的身份標(biāo)識(shí)和對(duì)應(yīng)的公鑰信息，通過(guò)判斷該可信節(jié)點(diǎn)是否修改過(guò)自己的身份信息進(jìn)而確定該可信節(jié)點(diǎn)是否真實(shí)可信。假設(shè)該可信節(jié)點(diǎn)是一個(gè)惡意節(jié)點(diǎn)并篡改了普通節(jié)點(diǎn)的個(gè)人身份信息，那么當(dāng)普通節(jié)點(diǎn)發(fā)現(xiàn)后可選擇其他可信節(jié)點(diǎn)進(jìn)行重新注冊(cè)。這樣，該可信節(jié)點(diǎn)會(huì)逐漸失去與普通節(jié)點(diǎn)建立的聯(lián)系，從而導(dǎo)致自身分布個(gè)體聚焦度的變化，最終成為普通節(jié)點(diǎn)。因此，在安全認(rèn)證過(guò)程中存在一種隱形的對(duì)可信節(jié)點(diǎn)進(jìn)行監(jiān)督的機(jī)制。

獲得唯一身份標(biāo)識(shí)ID后，任意節(jié)點(diǎn)在向網(wǎng)絡(luò)中其他節(jié)點(diǎn)進(jìn)行簽名驗(yàn)證的時(shí)候可提供此身份標(biāo)識(shí)ID，其他節(jié)點(diǎn)則可通過(guò)可信節(jié)點(diǎn)對(duì)該身份標(biāo)識(shí)ID進(jìn)行查詢驗(yàn)證，從而確定該節(jié)點(diǎn)的身份是否真實(shí)可信。

4.5 數(shù)據(jù)存儲(chǔ)-Struct Radix Tree

為了防止一人申請(qǐng)多個(gè)身份，可信節(jié)點(diǎn)必須對(duì)申請(qǐng)者的個(gè)人身份信息進(jìn)行有效管理，本文采用Struct Radix Tree數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)ID數(shù)據(jù)。Struct Radix Tree是基于Radix Tree（即基數(shù)樹）的構(gòu)造規(guī)則進(jìn)行部分改進(jìn)得到的一種數(shù)據(jù)結(jié)構(gòu)。Radix Tree[19]是以一個(gè)或多個(gè)字符疊加作為一個(gè)分支進(jìn)行查找的。對(duì)于節(jié)點(diǎn)插入：當(dāng)添加新的Key時(shí)，需要拆分原有的公共前綴分支。對(duì)于節(jié)點(diǎn)刪除：當(dāng)刪除一個(gè)現(xiàn)有Key后，發(fā)現(xiàn)其父節(jié)點(diǎn)只有另外一個(gè)子節(jié)點(diǎn)Key，則此子節(jié)點(diǎn)可以和父節(jié)點(diǎn)合并為一個(gè)新的節(jié)點(diǎn)，以此減少樹的比較深度。而本文中的Struct Radix Tree將按照不同的組織進(jìn)行拆分，數(shù)據(jù)結(jié)構(gòu)如圖4所示，借鑒Domain方式進(jìn)行構(gòu)建的層級(jí)式命名方式，方便管理。例如，北京某所大學(xué)的某位學(xué)生X，可以將其ID命名為 cn.bj.bistu.X。

圖4 Struct Radix Tree數(shù)據(jù)結(jié)構(gòu)

Figure 4 Data structure of Struct Radix Tree

由于網(wǎng)絡(luò)節(jié)點(diǎn)用戶所屬國(guó)家及分布區(qū)域的不同，其可以形成不同的Struct Radix Tree，以不同的城市或者組織進(jìn)行分級(jí)，最終的葉子節(jié)點(diǎn)將會(huì)存儲(chǔ)每個(gè)用戶對(duì)應(yīng)的公鑰信息。

可信節(jié)點(diǎn)將普通節(jié)點(diǎn)用戶的ID以及公鑰信息全部存儲(chǔ)到區(qū)塊中，新接入?yún)^(qū)塊的時(shí)候，將可以自動(dòng)讀取區(qū)塊中的數(shù)據(jù)，并存儲(chǔ)到Struct Radix Tree數(shù)據(jù)結(jié)構(gòu)中。區(qū)塊鏈會(huì)記錄數(shù)據(jù)的每一次更改，方便后期對(duì)系統(tǒng)的審計(jì)，也可對(duì)出現(xiàn)的問(wèn)題進(jìn)行追蹤溯源。本文采用Struct Radix Tree數(shù)據(jù)結(jié)構(gòu)可以提高用戶ID及公鑰信息的存儲(chǔ)效率，滿足海量用戶身份信息的查詢和管理。

4.6 一層共識(shí)

Gossip協(xié)議是P2P領(lǐng)域的常見(jiàn)協(xié)議，用于進(jìn)行網(wǎng)絡(luò)內(nèi)多個(gè)節(jié)點(diǎn)之間的數(shù)據(jù)分發(fā)或信息交換。由于其設(shè)計(jì)簡(jiǎn)單、容易實(shí)現(xiàn)，同時(shí)容錯(cuò)性較高，而被廣泛應(yīng)用到分布式系統(tǒng)。本文通過(guò)在每個(gè)可信聯(lián)盟內(nèi)部采用基于Gossip協(xié)議的拜占庭共識(shí)算法（GBC，Gossip protocol-based Byzantine consensus algorithm）[20]來(lái)達(dá)到可信聯(lián)盟內(nèi)的一層共識(shí)。在每個(gè)可信聯(lián)盟內(nèi)部，可信節(jié)點(diǎn)通過(guò)Gossip 協(xié)議將本地存儲(chǔ)在冊(cè)的節(jié)點(diǎn)更新信息發(fā)送給聯(lián)盟中其他可信節(jié)點(diǎn)進(jìn)行存儲(chǔ)備份。具體流程如下。

1) 設(shè)A、B為同一可信聯(lián)盟中的兩個(gè)可信節(jié)點(diǎn)，由于網(wǎng)絡(luò)動(dòng)態(tài)變化，A、B在某一時(shí)刻都會(huì)存在一定程度的數(shù)據(jù)更新，只要有數(shù)據(jù)更新便可發(fā)起信息交換。

2) 假設(shè)A先發(fā)起信息交換，向B發(fā)送自己更新的數(shù)據(jù)，B收到信息后更新比自己新的數(shù)據(jù)。

3) B再將本地比A新的數(shù)據(jù)發(fā)送給A，A更新本地?cái)?shù)據(jù)。

這樣，可信聯(lián)盟中的可信節(jié)點(diǎn)間便可以達(dá)到數(shù)據(jù)狀態(tài)同步。GBC算法是將數(shù)據(jù)共分為3種：本地?cái)?shù)據(jù)（LD）、全局?jǐn)?shù)據(jù)（GD）和共識(shí)數(shù)據(jù)（CD）。本文的LD數(shù)據(jù)指可信節(jié)點(diǎn)自身認(rèn)證通過(guò)的身份認(rèn)證數(shù)據(jù)，GD數(shù)據(jù)指與其他可信節(jié)點(diǎn)Gossip后得到的所有身份認(rèn)證數(shù)據(jù)，CD數(shù)據(jù)則可通過(guò)計(jì)算GD數(shù)據(jù)中超過(guò)半數(shù)的一致元素來(lái)得到。和其他共識(shí)算法不同的是，GBC算法的提案由參與共識(shí)的節(jié)點(diǎn)輪流提出，即由可信聯(lián)盟內(nèi)所有可信節(jié)點(diǎn)輪流提出。那么在可信聯(lián)盟中選取提案節(jié)點(diǎn)的方法為

其中，為提案節(jié)點(diǎn)的編號(hào)，為當(dāng)前區(qū)塊鏈的長(zhǎng)度，為參與共識(shí)的總節(jié)點(diǎn)數(shù)即該可信聯(lián)盟內(nèi)可信節(jié)點(diǎn)總數(shù)，表示當(dāng)前區(qū)塊鏈長(zhǎng)度下共識(shí)過(guò)程中的輪數(shù)，%為求余符號(hào)。當(dāng)有新的區(qū)塊加入時(shí)，將重置為0。提案內(nèi)容包括交易、、和上一個(gè)區(qū)塊提交的GD數(shù)據(jù)。

本文在每個(gè)可信聯(lián)盟內(nèi)部維護(hù)著一條區(qū)塊鏈，每當(dāng)有新的節(jié)點(diǎn)身份認(rèn)證消息時(shí)，可信節(jié)點(diǎn)將該節(jié)點(diǎn)的唯一身份標(biāo)識(shí)ID及公鑰信息全部存儲(chǔ)在區(qū)塊中，簽名后廣播給可信聯(lián)盟內(nèi)其他可信節(jié)點(diǎn)進(jìn)行確認(rèn)，認(rèn)證通過(guò)后便將該消息存入共同維護(hù)的區(qū)塊鏈中。

4.7 權(quán)威節(jié)點(diǎn)-安全認(rèn)證

可信聯(lián)盟中的權(quán)威節(jié)點(diǎn)向其他可信聯(lián)盟中的權(quán)威節(jié)點(diǎn)請(qǐng)求安全認(rèn)證的過(guò)程與上述普通節(jié)點(diǎn)請(qǐng)求安全認(rèn)證的過(guò)程基本一致。不同的是權(quán)威節(jié)點(diǎn)可向另一權(quán)威節(jié)點(diǎn)提供已獲得的唯一身份標(biāo)識(shí)ID，安全認(rèn)證通過(guò)后另一權(quán)威節(jié)點(diǎn)直接將該權(quán)威節(jié)點(diǎn)提供的唯一身份標(biāo)識(shí)ID以及對(duì)應(yīng)的公鑰信息在自身所維護(hù)的區(qū)塊鏈中進(jìn)行存儲(chǔ)。

由于可信聯(lián)盟之間在未互相認(rèn)證之前無(wú)法查詢到彼此的安全身份標(biāo)識(shí)信息，所以當(dāng)一個(gè)可信聯(lián)盟中的可信節(jié)點(diǎn)在自身所處的可信聯(lián)盟中查詢失敗的情況下，該可信聯(lián)盟中的權(quán)威節(jié)點(diǎn)應(yīng)向具有該安全身份標(biāo)識(shí)信息的另一個(gè)可信聯(lián)盟中的權(quán)威節(jié)點(diǎn)先進(jìn)行上述的安全認(rèn)證過(guò)程。且可信聯(lián)盟之間的認(rèn)證必須為雙向認(rèn)證，即被請(qǐng)求安全認(rèn)證的權(quán)威節(jié)點(diǎn)需要向請(qǐng)求安全認(rèn)證的權(quán)威節(jié)點(diǎn)請(qǐng)求安全認(rèn)證。

4.8 二層共識(shí)

各可信聯(lián)盟中的權(quán)威節(jié)點(diǎn)將自身可信聯(lián)盟內(nèi)存儲(chǔ)在區(qū)塊鏈上的數(shù)據(jù)采用Gossip協(xié)議進(jìn)行傳播。在一層共識(shí)的基礎(chǔ)上，分別存儲(chǔ)在各個(gè)可信聯(lián)盟中的權(quán)威節(jié)點(diǎn)之間達(dá)成二層共識(shí)，在權(quán)威節(jié)點(diǎn)之間即在各個(gè)可信聯(lián)盟之間共同維護(hù)著一條新的區(qū)塊鏈，這條鏈上存儲(chǔ)著權(quán)威聯(lián)盟生態(tài)的所有身份認(rèn)證數(shù)據(jù)。聯(lián)盟中及聯(lián)盟間達(dá)成雙層共識(shí)的算法如算法2所示。

算法2 聯(lián)盟中及聯(lián)盟間達(dá)成雙層共識(shí)算法

輸入 提案

輸出 新的區(qū)塊鏈

1) For任意可信節(jié)點(diǎn)∈do

3) 由式(3)選擇提案節(jié)點(diǎn)

4) 提案節(jié)點(diǎn)廣播提案

5) 其他可信節(jié)點(diǎn)驗(yàn)證提案節(jié)點(diǎn)和提案，不通過(guò)，則進(jìn)入+1輪共識(shí)，重復(fù)步驟3)

6) 由Gossip過(guò)程計(jì)算出CD

7) 檢查是否達(dá)成共識(shí)，若達(dá)成且結(jié)果正確，則發(fā)布完整區(qū)塊，否則重復(fù)步驟3)

8) 將區(qū)塊加入?yún)^(qū)塊鏈

9) 輸出新的區(qū)塊鏈

10) End if

12) If節(jié)點(diǎn)∈權(quán)威節(jié)點(diǎn) then

13) 執(zhí)行上述步驟3)~9)

14) End if

15) End if

16) End for

本文構(gòu)建的雙層共識(shí)機(jī)制如圖5所示。

圖5 雙層共識(shí)機(jī)制

Figure 5 Double layer consensus mechanism

5 實(shí)驗(yàn)及分析

5.1 分布個(gè)體聚焦度仿真實(shí)驗(yàn)

本文采用NetLogo仿真實(shí)驗(yàn)軟件對(duì)分布區(qū)域網(wǎng)絡(luò)中的1 004個(gè)節(jié)點(diǎn)進(jìn)行模擬測(cè)試分布個(gè)體聚焦度，得到圖6所示結(jié)果。由于節(jié)點(diǎn)之間存在偏好，故每個(gè)節(jié)點(diǎn)與網(wǎng)絡(luò)中其他節(jié)點(diǎn)的關(guān)聯(lián)邊數(shù)存在差別，圖中節(jié)點(diǎn)的大小會(huì)隨著分布個(gè)體聚焦度的變化而改變，分布個(gè)體聚焦度越高，則節(jié)點(diǎn)越大。上述節(jié)點(diǎn)的顏色是根據(jù)節(jié)點(diǎn)的大小進(jìn)行區(qū)分的，節(jié)點(diǎn)顏色相同，則表明分布個(gè)體聚焦度大致處于同一個(gè)級(jí)別。

圖6 模擬社交網(wǎng)絡(luò)測(cè)量節(jié)點(diǎn)分布個(gè)體聚焦度

Figure 6 Simulate social network to measureof nodes

圖7是采用-means算法對(duì)節(jié)點(diǎn)分布個(gè)體聚焦度進(jìn)行精確劃分的結(jié)果，共分為6個(gè)結(jié)果空間：[0.001 0~0.002 0]、[0.002 0~0.005 0]、[0.005 0~ 0.010 0]、[0.011 0~0.018 9]、[0.018 9~0.041 9]、 [0.041 9~0.054 8]；6個(gè)中心：0.001 2、0.003 3、0.006 5、0.014 9、0.030 4、0.048 4。此處取分界點(diǎn)的值為0.005 0，那么分布個(gè)體聚焦度大于0.005 0的節(jié)點(diǎn)可確定為可信節(jié)點(diǎn)，進(jìn)一步表明，由1 004個(gè)節(jié)點(diǎn)組成的分布區(qū)域網(wǎng)絡(luò)中共存在4個(gè)不同等級(jí)的可信聯(lián)盟。

圖7 可信聯(lián)盟劃分

Figure 7 Trusted alliance division

5.2 數(shù)據(jù)存儲(chǔ)性能分析

將本文采用的Struct Radix Tree數(shù)據(jù)結(jié)構(gòu)與層次化、扁平化的數(shù)據(jù)結(jié)構(gòu)進(jìn)行對(duì)比，數(shù)據(jù)查詢與數(shù)據(jù)更新的實(shí)驗(yàn)結(jié)果分別如圖8、圖9所示。

圖8 數(shù)據(jù)查詢

Figure 8 Data query

其中，HN表示層次化數(shù)據(jù)結(jié)構(gòu)，F(xiàn)N表示扁平化數(shù)據(jù)結(jié)構(gòu)，SRT為本文中的Struct Radix Tree新型數(shù)據(jù)結(jié)構(gòu)。將SRT平均耗時(shí)擴(kuò)大100倍，可以很明顯看出本文采取的Struct Radix Tree數(shù)據(jù)結(jié)構(gòu)在進(jìn)行節(jié)點(diǎn)身份信息的查詢與更新時(shí)，耗時(shí)遠(yuǎn)遠(yuǎn)低于層次化數(shù)據(jù)結(jié)構(gòu)和扁平化數(shù)據(jù)結(jié)構(gòu)所用耗時(shí)，大大提高了數(shù)據(jù)存儲(chǔ)效率。

圖9 數(shù)據(jù)更新

Figure 9 Data update

5.3 消息一致性性能分析

可信聯(lián)盟中節(jié)點(diǎn)間采用的是Gossip 協(xié)議，為了能夠?qū)尚殴?jié)點(diǎn)間消息的一致性進(jìn)行有效分析，作以下假設(shè)：

1) 網(wǎng)絡(luò)中共+1個(gè)節(jié)點(diǎn)均勻分布；

2) 每對(duì)節(jié)點(diǎn)間建立連接發(fā)送消息的概率是，0<<1；

3) 處于網(wǎng)絡(luò)運(yùn)行時(shí)間中某一刻的節(jié)點(diǎn)，接收消息狀態(tài)為1（表示接收）和0（表示未接收）；

4) 節(jié)點(diǎn)由0狀態(tài)轉(zhuǎn)化為1狀態(tài)后，則保持1狀態(tài)。

可得出結(jié)論：在網(wǎng)絡(luò)節(jié)點(diǎn)總量相同的情況下，本文所采取的雙層共識(shí)機(jī)制下的Gossip策略可以提高網(wǎng)絡(luò)節(jié)點(diǎn)達(dá)到數(shù)據(jù)一致性的效率。

5.4 安全分析

對(duì)本文機(jī)制中安全認(rèn)證過(guò)程的安全性分析如下。

(1) 防抵賴

普通節(jié)點(diǎn)向可信節(jié)點(diǎn)請(qǐng)求個(gè)人身份認(rèn)證時(shí)，使用自身的私鑰對(duì)消息進(jìn)行簽名處理，如果在普通節(jié)點(diǎn)與可信節(jié)點(diǎn)間存在攻擊者，即使截獲了該請(qǐng)求消息，也不會(huì)造成任何影響，普通節(jié)點(diǎn)的身份仍可得到驗(yàn)證，無(wú)法抵賴。

(2) 預(yù)防Sybil攻擊

全網(wǎng)節(jié)點(diǎn)進(jìn)行身份認(rèn)證后，每個(gè)節(jié)點(diǎn)有且僅有一個(gè)全網(wǎng)唯一的身份標(biāo)識(shí)ID，無(wú)法被假冒、篡改，因此可以有效防止Sybil攻擊。

(3) 不存在分叉現(xiàn)象

本文機(jī)制可以實(shí)現(xiàn)分布式存儲(chǔ)節(jié)點(diǎn)身份認(rèn)證數(shù)據(jù)，達(dá)到全網(wǎng)節(jié)點(diǎn)身份可統(tǒng)一查詢認(rèn)證的目的，由于確保數(shù)據(jù)最終一致性可避免區(qū)塊鏈技術(shù)中存在的分叉現(xiàn)象，不會(huì)發(fā)生由分叉引起的相關(guān)問(wèn)題。

6 結(jié)束語(yǔ)

本文通過(guò)衡量網(wǎng)絡(luò)中節(jié)點(diǎn)的社會(huì)屬性來(lái)動(dòng)態(tài)生成不同可信等級(jí)的可信節(jié)點(diǎn)，可以消除傳統(tǒng)PKI/CA體系中存在的CA交叉認(rèn)證及單點(diǎn)故障等問(wèn)題，并為網(wǎng)絡(luò)節(jié)點(diǎn)生成全網(wǎng)唯一身份標(biāo)識(shí)ID，有利于網(wǎng)絡(luò)空間身份的安全有效管理。本文通過(guò)采用雙層共識(shí)機(jī)制實(shí)現(xiàn)了全網(wǎng)節(jié)點(diǎn)統(tǒng)一安全身份認(rèn)證，提高了節(jié)點(diǎn)達(dá)到消息最終一致性的效率。采用的SRT新型數(shù)據(jù)結(jié)構(gòu)可以提高用戶ID及公鑰信息的存儲(chǔ)效率，滿足海量用戶身份信息的查詢和管理。在能夠?qū)崿F(xiàn)區(qū)塊鏈技術(shù)的去中心化思想的同時(shí)能有效避免現(xiàn)有基于區(qū)塊鏈技術(shù)的身份認(rèn)證方案中存在的用戶信息泄露、缺乏安全驗(yàn)證以及身份欺騙等問(wèn)題。希望通過(guò)不斷地改進(jìn)，本文機(jī)制能夠最終優(yōu)化為可以應(yīng)用于多種認(rèn)證場(chǎng)景的基礎(chǔ)認(rèn)證架構(gòu)。

[1] 周致成, 李立新, 李作輝. 基于區(qū)塊鏈技術(shù)的高效跨域認(rèn)證方案[J]. 計(jì)算機(jī)應(yīng)用, 2018, 38(2): 316-320.

ZHOU Z C, LI L X, LI Z H. Efficient cross-domain authentication scheme based on blockchain technology[J]. Journal of Computer Applications, 2018, 38 (2): 316-320.

[2] 楊小東, 安發(fā)英, 楊平, 等. 云環(huán)境下基于代理重簽名的跨域身份認(rèn)證方案[J]. 計(jì)算機(jī)學(xué)報(bào), 2019, 42(4): 756-771.

YANG X D, AN F Y, YANG P,et al. Cross-domain authentication scheme based on proxy resignature in cloud environment[J]. Chinese Journal of Computers, 2019, 42 (4): 756-771.

[3] 曹守啟, 孫青, 曹莉凌.動(dòng)態(tài)ID多因素遠(yuǎn)程用戶身份認(rèn)證方案的改進(jìn)[J]. 計(jì)算機(jī)工程與科學(xué), 2019, 41(4): 633-640.

CAO S Q, SUN Q, CAO L L. An improved identity authentication scheme of dynamic ID multifactor remote users[J]. Computer Engineering & Science, 2019, 41(4): 633-640.

[4] LEE J H. BIDaaS: blockchain based ID as a service[J]. IEEE Access, 2018, 6: 2274-2278.

[5] LIN C, HE D, HUANG X,et al. A new transitively closed undirected graph authentication scheme for blockchain-based identity management systems[J]. IEEE Access, 2018, 6: 28203-28212.

[6] FERDOUS M S, CHOWDHURY F, ALASSAFI M O. In search of self-sovereign identity leveraging blockchain technology[J]. IEEE Access, 2019, 7: 103059-103079.

[7] DUNPHY P, PETITCOLAS F A P. A first look at identity management schemes on the blockchain[J]. IEEE Security & Privacy, 2018, 16(4): 20-29.

[8] 章峰, 史博軒, 蔣文保. 區(qū)塊鏈關(guān)鍵技術(shù)及應(yīng)用研究綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2018, 4(4): 22-29.

ZHANG F, SHI B X, JIANG W B. Review of key technology and its application of blockchain[J]. Chinese Journal of Network and Information Security, 2018, 4(4): 22-29.

[9] 董貴山, 陳宇翔, 張兆雷, 等. 基于區(qū)塊鏈的身份管理認(rèn)證研究[J].計(jì)算機(jī)科學(xué), 2018, 45(11): 52-59.

DONG G S, CHEN Y X, ZHANG Z L, et al. Research on identity management authentication based on blockchain[J]. Computer Science, 2018, 45(11): 52-59.

[10] 楊明慧, 鄒翔. 美國(guó)電子身份指南評(píng)析[J]. 計(jì)算機(jī)工程與應(yīng)用, 2019, 55(23): 22-28, 34.

YANG M H, ZOU X. Evaluation of US electronic identity guide[J]. Computer Engineering and Applications, 2019, 55(23): 22-28, 34.

[11] 胡傳平, 陳兵, 方濱興, 等. 全球主要國(guó)家和地區(qū)網(wǎng)絡(luò)電子身份管理發(fā)展與應(yīng)用[J]. 中國(guó)工程科學(xué), 2016, 18(6): 99-103.

HU C P, CHEN B, FANG B X, et al. Development and application of network electronic identity management in major countries and regions around the world[J]. Strategic Study of CAE, 2016, 18(6): 99-103.

[12] 張富友, 王瓊霄, 宋利. 基于生物特征識(shí)別的統(tǒng)一身份認(rèn)證系統(tǒng)研究[J]. 信息網(wǎng)絡(luò)安全, 2019(9): 86-90.

ZHANG F Y, WANG Q X, SONG L. Research on unified identity authentication system based on biometrics[J]. Netinfo Security, 2019(9): 86-90.

[13] ANDOLA N, RAGHAV, GOGOI M, et al. Vulnerabilities on Hyperledger Fabric[J]. Pervasive and Mobile Computing, 2019, 59: 101050.

[14] 閆泓任, 馬國(guó)帥, 錢宇華. 基于節(jié)點(diǎn)度中心性的無(wú)監(jiān)督特征選擇[J].數(shù)據(jù)采集與處理, 2019, 34(2): 312-321.

YAN H R, MA G S, QIAN Y H. Degree centrality based feature selection[J]. Journal of Data Acquisition and Processing, 2019, 34(2): 312-321.

[15] 劉彩虹, 劉強(qiáng), 祁瑞華. 一種鄰近H-index的社會(huì)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)識(shí)別技術(shù)[J]. 中國(guó)科技論文, 2019, 14(3): 296-302.

LIU C H, LIU Q, QI R H. Vital node identification technology of social networks using neighbors' H-index values[J]. China Science Paper, 2019, 14(3): 296-302.

[16] 馬福民, 逯瑞強(qiáng), 張騰飛. 基于局部密度自適應(yīng)度量的粗糙-means聚類算法[J].計(jì)算機(jī)工程與科學(xué), 2018, 40(1): 184-190.

MA F M, LU R Q, ZHANG T F. Rough-means clustering based on local density adaptive measure[J]. Computer Engineering & Science, 2018, 40(1): 184-190.

[17] BHATTACHARJYA A, ZHONG X, LI X. A lightweight and efficient secure hybrid RSA (SHRSA) messaging scheme with four- layered authentication stack[J]. IEEE Access, 2019, 7: 30487- 30506.

[18] 戴千一, 徐開勇, 郭松, 等. 分布式網(wǎng)絡(luò)環(huán)境下基于區(qū)塊鏈的密鑰管理方案[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2018, 4(9): 23-35.

DAI Q Y, XU K Y, GUO S, et al. Blockchain-based key management scheme for distributed networks[J]. Chinese Journal of Network and Information Security, 2018, 4(9): 23-35.

[19] LEIS V, KEMPER A, NEUMANN T. The adaptive radix tree: ARTful indexing for main-memory databases[J]. IEEE Computer Society, 2013, 1: 38-49.

[20] 張仕將, 柴晶, 陳澤華, 等. 基于Gossip協(xié)議的拜占庭共識(shí)算法[J].計(jì)算機(jī)科學(xué), 2018, 45(2): 20-24.

ZHANG S J, CHAI J, CHEN Z H, et al. Byzantine consensus algorithm based on Gossip protocol[J]. Computer Science, 2018, 45(2): 20-24.

P2P network identity authentication mechanism based on trusted alliance

CHEN Yingying1, ZHANG Feng1, JIANG Wenbao1,2, ZHOU Xu2

1.School of Information Management, Beijing Information Science and Technology University, Beijing 100089, China 2. Computer Network Information Center, Chinese Academy of Sciences, Beijing 100190, China

In order to effectively solve the problems of CA's cross certification and single point of failure in traditional PKI system, a new identity authentication mechanism was proposed.Firstly, this mechanism built the basic architecture based on blockchain, and built the trusted alliance by dynamically generating trusted nodes. Secondly, the whole network unified unique identity was proposed and used a new data structure, named SRT, to store. Finally, all nodes in the network could mutual authenticationthrough the double layer consensus mechanism. Experiments show that this mechanism can meet the query and management of massive user identity information, and ensure the efficiency and security in the identity authenticationprocess.

blockchain, trusted alliance,identity authentication,double layer consensus

Capacity Building of Scientific and Technological Innovation Service-Construction of Innovation Platform for Cyberspace Security Discipline (No.77F1910917), The National Key R&D Program of China (No.2018YFB1800100)

TN915.08

A

10.11959/j.issn.2096?109x.2020021

陳盈盈（1994? ），女，河南信陽(yáng)人，北京信息科技大學(xué)碩士生，主要研究方向?yàn)閰^(qū)塊鏈技術(shù)、可信網(wǎng)絡(luò)、信息安全。

章峰（1994? ），男，江蘇宿遷人，北京信息科技大學(xué)碩士生，主要研究方向?yàn)閰^(qū)塊鏈技術(shù)、信息安全。

蔣文保（1969? ），男，湖南永州人，北京信息科技大學(xué)教授，主要研究方向?yàn)榭尚啪W(wǎng)絡(luò)、區(qū)塊鏈、網(wǎng)絡(luò)安全監(jiān)測(cè)。

周旭（1976? ），男，四川成都人，中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心研究員，主要研究方向?yàn)槲磥?lái)網(wǎng)絡(luò)架構(gòu)、5G、區(qū)塊鏈。

2020?01?15；

2020?03?25

蔣文保，jiangwenbao@bistu.edu.cn

科技創(chuàng)新服務(wù)能力建設(shè)-網(wǎng)絡(luò)空間安全學(xué)科創(chuàng)新平臺(tái)建設(shè)基金資助項(xiàng)目（No.77F1910917）；國(guó)家重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.2018YFB1800100）

論文引用格式：陳盈盈, 章峰, 蔣文保, 等. 基于可信聯(lián)盟的P2P網(wǎng)絡(luò)身份認(rèn)證機(jī)制[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2020, 6(2): 77-86.

CHEN Y Y, ZHANG F, JIANG W B, et al. P2P network identity authentication mechanism based on trusted alliance[J]. Chinese Journal of Network and Information Security, 2020, 6(2): 77-86.