具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对实施例中的技术方案进行清楚、完整地描述，以下实施例用于说明本发明。

如图1至图3所示，基于区块链的科技服务平台跨域身份认证方案，

针对科技服务交易跨域联盟链的有效监管问题，研究基于权限管理和授权认证的联盟链交易监控体系。通过区块链体系结构的构建，确保联盟链运行机构基于区块链交易及跨域身份认证的维护与监管；通过授权认证的形式保证各个节点的安全可认证；通过登记中心完成用户身份和交易的对应关系，实现联盟链的全生命周期管理，保证联盟链交易的可追踪，降低KYC与AML成本，提高监管效率；通过认证中心对用户身份进行认证管理，并签发个人数字证书来保证交易安全；通过分级分层的权限管理机制管理各个区块链的访问控制；研究运用大数据、云计算等技术分析客户交易行为，保障联盟链交易安全、规避风险，防范双重支付攻击和欺诈交易等违法行为。

本发明构建了一个基于联盟链的跨域认证系统模型，负责联盟用户的实体的身份统一身份凭证，并提供跨域的信任传递服务机制和用户身份管理系统，为联盟链内的成员提供跨域身份认证信任服务。在该系统中联盟链内成员的身份管理系统相互独立，通过服务器接口进行信息的传递和交互。本系统内由域、认证服务器、用户、和区块链网络组成。区块链使用符合国家标准的数字证书和密码服务，为用户提供证书、密钥、杂凑计算、加解密和签名验证服务。可为不同用户提供提供身份属性校验的同时保护用户隐私。

对于跨域用户访问本发明引入了信任综合评估系统通过对各域不同用户进行信用综合评估，以此来确定用户在进行跨域访问时的访问权限。同时对加入本联盟链的应用安全级别分别通过智能合约进行自动匹配分类，可在一定程度下防止在跨域访问时发生恶意攻击事件。

域：同一域内用户相互信任的信任范围。不同域之间的信任范围相互独立，可采用不同的加密设置。不同域之间用域A和域B标示。

认证服务器：用户对于自己所在域进行访问或对其他域进行访问，经认证服务器进行认证用户身份，并设置用户访问权限。域A和域B的认证服务器用ASA和ASB表示。

用户：拥有某些系统权限的实体，在不同域内用户拥有的资源权限不同。在A域内的用户我们用USA表示，在B域内的用户我们用USB表示。

区块链：经过许可后，不同域之间的用户加入区块链网络，可以与区块链网络进行交互。

在系统进行运行之前，先生成域A和域B中所有用户的公私钥，建立区块链网络，部署链码，并且将各域内采用的密码设置方式信息储存到区块链网络中。

将用户诚实度划分为五个等级，诚实度分为主观评估和客观评估，其中主观评估由用户注册域和其他域进行综合评估占比70％，客观评估由智能合约进行评判占比30％，Honesty∈(0，1)。可根据用户等级设置用户访问权限，对于诚实度较低的用户不允许进行跨域访问。

1.体系结构

步骤1：公私钥生成

域A和域B中所有实体，包括认证服务器和所有用户进行注册，分别采用本域内采用的加密设置初始化它们的公私钥。

步骤2：建立区块链网络和部署链码

在获取许可后认证服务器ASA和ASB加入区块链网络，并且将链码CC部署到区块链中。链码规则由各域协商定制。

步骤3：将域加密设置信息储存到区块链

将域加密设置信息(哈希值、符号、用户属性等)储存到区块链中。

2、域内认证：

步骤1：注册：在初始阶段，域A或域B内的所有用户都需向该域的ASX发送身份认证申请，进行用户注册。加密方式遵循本域内加密方式。

步骤2：验证：在收到并验证用户USX的请求后，ASX向区块链储存或更新用户的身份信息，并在区块链网络中为用户注册或撤销身份。

ASX验证USX用户名和密码

若上述验证失败，ASX向USX报告失败并终止；若验证成功ASX检查用户状态并对用户进行诚实度进行等级划分，由智能合约对用户的权限进行设定。

3、跨域认证

步骤1：A域用户USA请求ASB进行身份验证；

步骤2：ASB接收到用户请求，返回随机数N进行响应；

步骤3：

1)USA计算(σ，h)

σ＝Sign_A(sk_UAi；N)

2)USA将(pkUSA，σ，h)发送到ASB；

步骤4：ASB发送参数元组(Verify，σ，h，N)发送到智能合约端；

步骤5：

1)智能合约接收到(Verify，σ，h，N)，获取域密码设置信息，若CC的返回值是null，则返回结果为“身份验证服务器不存在”，然后终止CC。若CC返回值不是null，CC执行下一步；

2)CC对申请者签名进行验证，即验证ASB交互的用户确实是pkUSA的所有者，Verify函数对输入(N，pkUSA，，σ,SignA)进行签名验证。

3)若签名验证失败，则Verify函数返回“签名不正确”的消息到ASB，然后终止CC。若签名验证成功，则CC继续执行下一步；

4)验证用户身份信息，即确定用户域的真实性，即确认pk用户性对应的用户是否实际上属于域A，在正常情况下可以通过计算HashA(pkUSA)查询相应的用户信息。若CC返回值为null，则证明该用户身份不合法，Verify函数返回“域信息不真实，会话用户不存在”到ASB中，然后终止CC。否则执行下一步。

检查Hash X(pkASX)＝h(从ASB中发送)，若不成立，则Verify函数返回“会话中域信息不真实”到ASB中，然后终止CC。

检查用户状态值：若用户状态＝“false”表明用户身份当前不可用，函数Verify函数返回“会话用户状态不可用”到ASB中，然后终止CC。

否则执行下一步。

CC对申请者的Honesty进行判定，并根据Honesty设置用户跨域访问权限；

5)若验证成功，则CC返回验证信息到ASB，并为USA设置权限，对域B进行跨域访问；

6)若验证失败则CC将验证失败信息返回给USA，并终止CC。

4、相互认证

在USA对B域访问过程中已经完成了单向认证，现在根据用户权限USA已经可以访问B域资源。在某些情况下我们需要考虑到USA和USB等用户之间的一对一相互认证。

在B域用户对A域进行访问资源时，B域用户需要需要经过ASA的认证，在这个过程中类似于上述步骤，通过这种方法可以构建一个信任链USA→ASB→USB和USB→ASA→USA，可以得到两域之间用户相互信任的关系。

5、Honesty信任度计算方法

对于科技服务平台进行跨域服务认证时，对用户的Honesty需要综合多个域综合评价，以保证评价的客观性，本发明采用基于熵的概率加权信任度计算方法采用信任路径合并算法。一个综合信任评价(Comprehensive Trust Evaluation，CTE)CTE(Honesty，Eni，He)需要合并各个信任路径的CTEi，设第i条信任路径的综合评价为CTEi(Honestyi，Eni，Hei)，则有：

具体合并算法如下，每条路径的权重由各域商议进行设定[c1,c2,…cn],0≤ci≤1且c1+c2+…+ci＝1:

信任路径合并算法：

Input:[CTE1,CTE2,…,CTEn],[c1,c2,…cn]

步骤1：

步骤2：路径综合信任熵

步骤3：访问实体超熵

Output：CTE(Honesty,En,He)

对主观综合信任度Honesty，要在m条信任路径的基础上合并每条信任路径的信任度。maximum为应用本身加入联盟区块链时的安全级别。从信息安全的角度，低安全级别的应用不可给出高于本身份系统安全级别的评价值，在本发明设定中，根据设定的相应身份安全等级，max可能的取值为0，0.25，0.5，0.75或1。其中ci(每条信任路径的权重)在[0,1]范围内，由各身份管理域自行设定。低安全级别的信任域通常取高安全级别的应用可根据风险评价值提高风险低的路径的权重，降低风险高的路径的权重。