趙 平，王 賾，李 芳，孫士民

天津工業(yè)大學 計算機科學與技術學院，天津 300384

數據作為第四次工業(yè)革命中的“新時代的石油”，已經成為生產、生活不可或缺的部分。由于數據需求不斷增加，用戶所處的單一信任域難以滿足，需要建立與其他信任域間的聯(lián)系，獲取更廣泛的數據?？缬蛏矸菡J證技術是用戶在多個信任域之間完成一致的身份驗證的過程，能夠保證多域信任關系建立的可信性、高效認證的可用性和認證過程的可靠性，實現多信任域內認證系統(tǒng)對有效用戶及時統(tǒng)一認證和即時管理[1]。因此，研究一種安全、高效的跨域身份認證方案，在不同信任域間建立信任通信關系，從而獲取所需數據，成為相關學者關注的重點。

目前常見的跨域身份認證方案主要在以下三種密碼體制的信任域間，進行認證方案的設計和改進。其中結構最穩(wěn)定、體系最成熟的是公鑰基礎設施（public key infrastructure，PKI）[2]，用戶使用證書驗證身份的合法性，實現數據的保密性和安全性，但存在證書管理負擔重，計算量、通信開銷大和單點失效等問題[3]。為此，Shamir提出基于身份的公鑰密碼體制（identity based cryptography，IBC）[4]，解決了證書管理開銷大問題，具有易于維護等優(yōu)點，但仍然存在效率較低、密鑰托管和單點故障問題。Al-Riyami等提出了無證書公鑰密碼系統(tǒng)（certificateless public key cryptography，CL-PKC）[5]，用戶的密鑰分為兩部分，可信的密鑰生成中心（key generation center，KGC）為用戶生成部分密鑰，另一部分密鑰由用戶選擇的秘密值自行生成，KGC無法得知用戶全部私鑰，提高了密鑰安全性。此方法雖然解決了證書管理困難和密鑰托管問題，但仍然存在匿名性等問題。

本文在主從區(qū)塊鏈跨域身份認證結構和分層拜占庭容錯算法（hierarchical Byzantine fault tolerance，HBFT）基礎上，在PKI體制和CL-PKC體制的異構信任域間建立了雙向跨域認證方案，主要貢獻如下：

（1）設計了與主從區(qū)塊鏈結構匹配的分層拜占庭容錯算法，通過主從鏈分步共識，減少共識參與節(jié)點數量，通過算法分階段共識，降低每次共識的計算開銷，保證系統(tǒng)活性，增強算法擴展性。

（2）將PKI體制與CL-PKC體制內特有功能節(jié)點與主從鏈節(jié)點相對應，在不改變原有信任域節(jié)點功能的前提下，采用區(qū)塊鏈證書、鏈上鏈下混合存儲、組合加密和分層ID樹等結構實現異構跨域身份認證。

（3）對共識方案進行了攻擊模型分析和消息復雜度分析，對認證方案進行了安全屬性分析、博弈論模型分析、仿真實驗驗證和計算開銷對比分析，結果表明方案在保證較高安全性和容錯性的同時，減少了計算開銷。

1 相關工作

目前進行的跨域身份認證研究對于安全、高效傳遞不同信任域的數據具有重要的意義，但不同的設計方案也有各自的優(yōu)缺點。文獻[6]使用代理重簽名技術，實現了基于PKI體制的同構跨域認證，但方案無法擺脫體制固有的系統(tǒng)開銷大的問題。并且大型網絡中，難免會遇到不同體制信任域間的認證問題。對此，文獻[7]設計了PKI和IBC體制間異構域間密鑰協(xié)商，實現等級信任域之間的跨域認證，但用戶端的計算量較大。文獻[8]基于盲簽名技術實現了PKI和CL-PKC體制異構信任域間的跨域身份認證。文獻[9]使用代理重簽名技術，同樣實現了異構域環(huán)境下不同信任域之間的訪問控制。上述方案雖然實現了跨域身份認證，但均無法抵制中心化身份方案存在的因單點崩潰造成的用戶隱私泄露的風險。

隨著區(qū)塊鏈技術的發(fā)展，其在身份認證領域的應用近年來愈發(fā)受到重視，憑借其去中心化、不可篡改等優(yōu)勢，有效保護了數據隱私，改善了單點失效、主體信任和證書管理等問題。文獻[10]基于區(qū)塊鏈技術，設計了身份認證模型，在同構信任域間成功建立連接路徑，但沒有考慮異構信任域之間的跨域訪問問題。文獻[11]結合區(qū)塊鏈技術，實現了異構環(huán)境下物聯(lián)網設備間相互認證，但存在鏈上賬本記錄交易公開造成的隱私泄露問題。文獻[12]利用區(qū)塊鏈分布式賬本，實現了網絡環(huán)境中用戶的跨域認證，但是認證過程較復雜，計算開銷大。文獻[13]在提出的基于區(qū)塊鏈的跨域認證方案中引入了區(qū)塊鏈證書，但主要針對的是PKI域同構認證，并且單鏈結構在運行時效率相對較低，計算量較大。文獻[14]在PKI域和IBC域間設計了一種基于多層區(qū)塊鏈的異構跨域認證方案，但是認證過程復雜，總體計算開銷相對較大。

基于以上對使用中心化模式和區(qū)塊鏈模式的身份認證方案的研究，為提升方案效率和安全性，本文設計了主從區(qū)塊鏈結構?？缬蛘J證方案模型中，各信任域內節(jié)點組成從鏈，選出執(zhí)行超時輪換機制的代表節(jié)點，起到身份認證、傳遞共識和數據存儲功能；每個代表節(jié)點對應的主鏈節(jié)點共同組成一條主鏈，通過對區(qū)塊鏈進行證書頒發(fā)、共識傳遞和驗證，并且進行鏈際信任傳遞和數據存儲，簡化傳統(tǒng)身份認證中信任傳遞過程。針對集中式攻擊風險和整鏈共識效率低等問題，主從區(qū)塊鏈結構為異構跨域認證帶來的優(yōu)化主要表現在以下兩方面：

一方面，將整條區(qū)塊鏈拆分為一條主鏈和多條從鏈，把不同體制的信任域內不同功能的節(jié)點在主從鏈中進行功能匹配。由于區(qū)塊鏈本身去中心化特性，可降低集中式風險，再使用區(qū)別于以往整鏈共識的局部共識，僅需在認證相關從鏈和主鏈進行共識即可完成數據共識共享，有效地減少了共識參與節(jié)點數量，提高了認證效率。同時主從鏈結構可擴展性更強，任何新的信任域的加入，對其他從鏈信任域無影響，只需將信任域內節(jié)點與從鏈節(jié)點功能進行匹配，在主鏈增加本信任域的主鏈節(jié)點，新加入的信任域會通過主鏈共識，將主鏈原有信任憑證共識到新主鏈節(jié)點的本地，至此即獲得了以往共識的全部數據和信任憑證。

另一方面，針對不同體制的分布式異構信任域，在不改變原有信任域內部組織結構和節(jié)點功能的前提下，設計了同樣分布式的從鏈模型進行對應，提高了應用的匹配度。主鏈、從鏈在鏈間、鏈際對信任憑證等部分數據進行傳輸時，區(qū)別于傳統(tǒng)中心化信任發(fā)布和點對點數據傳輸，采用代表節(jié)點動態(tài)變化的分階段、分層共識，進行數據共享和信任傳遞，既簡化了認證交互流程，又可以有效利用區(qū)塊鏈不可篡改和可追溯的特點，結合鏈下存儲原數據、鏈上存儲數據哈希值的方法，所有參與共識的節(jié)點共同記錄數據和操作，若出現問題，可以進行有效追溯，對信任憑證進行有效保護，提高了憑證可信度。

2 分層拜占庭容錯算法

2.1 算法說明

如圖1所示，本節(jié)設計了與主從鏈結構匹配的分層拜占庭容錯算法（HBFT）。算法整體分為三個步驟：發(fā)起鏈共識、主鏈共識和目標鏈共識。每次共識又根據節(jié)點安全性不同，分別執(zhí)行HBFT算法中速度快、開銷小的簡化共識算法（simplified consensus algorithm，SCA）[15]和開銷較大、容錯能力強的拜占庭容錯算法（practical Byzantine fault tolerance，PBFT）。通過采用開銷和容錯能力不同的共識方法，實現共識機制的動態(tài)調整，以達到HBFT共識算法效率的最優(yōu)化，從而為跨域身份認證過程建立可通信基礎。

算法為保證消息傳輸準確性和安全性，消息中包含了數字簽名、消息認證碼等。其中m表示消息，k表示節(jié)點序號，傳遞的消息為{Sigskk(H(m))|m}。算法定義共識過程中非共識發(fā)起節(jié)點總數為N，共識做出正確決策結果需要的最少響應消息數為Q，未響應的節(jié)點數為R，錯誤節(jié)點數為f，要求滿足N≥3f+1,Q≥2f+1,R≤f。進行如下解釋：

不響應的節(jié)點不一定是惡意節(jié)點，也有可能是通信問題導致未響應；響應的節(jié)點不一定是正確節(jié)點，也有可能是惡意節(jié)點冒充。系統(tǒng)中至多f個錯誤節(jié)點，可能分布在不響應的正確節(jié)點和響應的惡意節(jié)點中。做極端的假設：這f個不響應的節(jié)點都是正確節(jié)點，但因通信故障無法響應，則收到響應節(jié)點中還有f個錯誤節(jié)點是惡意節(jié)點，進行了錯誤響應。為了讓共識成立，需要正確節(jié)點數大于錯誤節(jié)點數，響應的節(jié)點中至少需要f+1個正確節(jié)點。因此為了保證共識正常進行，需要非共識發(fā)起節(jié)點數量N≥f+f+(f+1)，即N≥3f+1；Q≥f+(f+1)，即Q≥2f+1。

2.2 算法描述

以共識發(fā)起從鏈A向共識目標鏈B進行共識為例，具體流程描述如圖2所示。

2.2.1 發(fā)起從鏈共識階段

步驟1Request0階段：共識發(fā)起節(jié)點UA向代表點SCA發(fā)布共識請求{m|SigUA(Request,t,UA,H(m))}，其中t為時間戳，Request為共識請求標識。

步驟2Commit0階段：SCA判斷Request正確性，驗證請求簽名，檢查時間戳t，為請求消息編號，向包括本身在內的N個非共識請求發(fā)起節(jié)點轉發(fā)共識請求。

步驟3Reply0階段：SCA和副本節(jié)點Ai收到請求消息后，進行本地處理，對計算的摘要進行簽名，向UA反饋，并進行算法轉換判斷。

若UA收到了N個節(jié)點結果相同的響應消息，則說明系統(tǒng)無錯誤節(jié)點，共識成功，進入Response0階段。若收到的響應數不足N個，或響應中存在不一致結果，說明系統(tǒng)中存在錯誤節(jié)點，則跳轉至Panic0階段，繼續(xù)執(zhí)行共識過程。

步驟4 Response0階段：UA將所有簽名后的響應打包，發(fā)給N個非共識發(fā)起節(jié)點，節(jié)點收到消息后驗證，保存共識結果。至此SCA共識階段完成，共識成功。

步驟5 Panic0階段：進入節(jié)點超時等待機制，UA對請求作出失敗判斷，嘗試重新發(fā)起共識請求。

步驟6 Abort1階段：若重復請求仍失敗，節(jié)點執(zhí)行回滾操作，進行共識算法切換，進入PBFT共識算法。

步驟7 Request1階段：UA向SCA發(fā)送新共識請求。

步驟8 Pre-prepare1階段：SCA為請求消息編號n,向N個非共識發(fā)起節(jié)點廣播一條預準備消息{SigUA(Preprepare,v,n,h(m),m)}。預準備消息作為一種證明手段，明確請求已在視圖v中得到編號n，在因代表節(jié)點變更造成視圖轉換時，便于尋找。

步驟9 Prepare1階段：Ai向非共識發(fā)起節(jié)點廣播準備消息{SigUA(Pre-prepare,v,n,h(m))}，節(jié)點接收廣播消息后，檢查簽名、視圖號v正確性。

由于N≥3f+1，除去至多f個未反饋的節(jié)點和1個代表節(jié)點，剩余2f個節(jié)點在步驟9收到至少2f條消息，節(jié)點在步驟8收到1條消息，因此兩個階段共計至少2f+1條消息保存到本地。

步驟10 Commit1階段：非共識發(fā)起節(jié)點相互廣播確認消息SigSCAorAi(Commit,v,n,h(m))，節(jié)點驗證簽名和視圖號正確性后，將消息寫入到本地。若節(jié)點收到Q條消息，則共識達成。

因為Q≥f+(f+1)，其中錯誤節(jié)點數小于f，即非錯誤節(jié)點數至少為f+1個，所以可滿足完成正確共識。

步驟11 Reply1階段：N個非共識發(fā)起節(jié)點將簽名后的響應發(fā)送至共識發(fā)起節(jié)點UA。

步驟12 Response1階段：UA將收到的所有響應打包發(fā)給N個非共識發(fā)起節(jié)點，至此HBFT過程完成。

2.2.2 主鏈共識階段

共識發(fā)起從鏈代表節(jié)點SCA將共識結果發(fā)至對應的主鏈節(jié)點MA后，由MA作為主鏈共識發(fā)起節(jié)點，在主鏈范圍內將消息向其余從鏈代表節(jié)點對應的主鏈節(jié)點進行共識，流程與從鏈共識大致相同。區(qū)別在于主鏈共識中在發(fā)現任何節(jié)點錯誤時，系統(tǒng)均會指定其對應的從鏈進入代表節(jié)點超時輪換機制和延遲逐級增加機制，更換正確代表節(jié)點，直至HBFT共識完成，這保證了其他從鏈的代表節(jié)點正確性，進而保證了后續(xù)傳遞的共識內容正確性。

2.2.3 目標從鏈共識階段

以共識目標從鏈B為例，MB在主鏈共識過程已經獲取了共識數據，即可作為共識發(fā)起節(jié)點，發(fā)布正確的共識請求，在對應從鏈代表節(jié)點SCB的協(xié)助下完成鏈內HBFT共識，至此完成整個共識過程，數據通過共識進行了正確共享。此階段有較強擴展性，在主鏈達成共識后，任何從鏈接入網絡，查詢主鏈已有共識數據作為目標從鏈共識消息，進行從鏈內共識即可進行跨域通信。

3 基于主從鏈的異構跨域身份認證方案

本文在設計的主從區(qū)塊鏈結構和分層拜占庭容錯算法基礎上，實現了基于PKI體制和CL-PKC體制異構信任域間的雙向身份認證方案。所有節(jié)點上鏈后將自身公鑰共識公開，方案中傳遞的所有消息均采用對稱加密和非對稱加密結合的方式，使用對稱加密算法快速加密數據，使用非對稱加密算法加密對稱加密的密鑰，因此同時具備了對稱加密的高效性和非對稱加密的安全性。模型由以下4類實體組成，方案中符號含義如表1所示。

表1符號說明Table 1 Symbol description

（1）從鏈節(jié)點UN：從鏈中認證發(fā)起和目標節(jié)點，可以提出域內和跨域身份認證請求。

（2）從鏈代表節(jié)點SCN：從鏈內認證節(jié)點，由從鏈所有節(jié)點選舉產生，履行代表節(jié)點超時輪換機制和延遲逐級增加機制，參與節(jié)點身份生成、跨域認證和相關數據存儲。代表節(jié)點在CL-PKC信任域中具備KGC生成部分密鑰的功能；在PKI信任域中具備RA身份審核和更新證書等功能。

（3）主鏈節(jié)點MN：SCN在主鏈的對應節(jié)點，當新節(jié)點通過訪問控制加入從鏈時，為其生成根證書CertA，并將根證書的哈希值寫入區(qū)塊內，通過主鏈共識，傳遞到其他從鏈中，作為身份認證過程中的信任憑證。在PKI信任域中起到CA分發(fā)證書的功能。

（4）副本節(jié)點Ni：從鏈中的驗證節(jié)點，對共識發(fā)起者提出的共識進行驗證。

3.1 身份生成

方案根據X.509數字證書[16]設計了區(qū)塊鏈證書。節(jié)點上鏈后，主鏈節(jié)點為其生成根證書，并寫入區(qū)塊鏈，作為信任間不可篡改的信任憑證。本方案將鏈上的證書寫入接口定義為write(action,Hash(Cert))，其中參數action定義為根證書當前處理的狀態(tài)參數，包括發(fā)布issue或撤銷revoke兩種狀態(tài)。將鏈上的查詢接口定義為query(Hash(Cert)),使用交易證書的哈希值Hash(Cert)作為用戶查詢的條件，利用證書哈希值，在鏈上高效查詢證書的狀態(tài)action[17]。

利用分層ID樹結構能夠較好地解決身份唯一性問題[18]的優(yōu)點，構造UN的真實身份。分層ID樹結構的根節(jié)點是SCN的身份標識DNN，葉子節(jié)點是UN的身份標識DNUN,UN的真實身份為IDUN=DNSCN||DNUN。具體密鑰生成過程如下：

（1）UN→SCN:{Req,DNUN,ru,TIDUN,T11}

UN選取隨機值α作為部分私鑰，計算自身公鑰PKUN；根據UN的真實身份IDUN和選取的隨機數ru計算出臨時身份TIDUN=Hash2(IDUN||ru)，讀取時間戳T11，向SCN發(fā)送加密后的身份注冊請求消息，Req為身份注冊請求標識。

（2）SCN→UN:{Res,PSKUN,CertUN,T12}

SCN解密消息，根據消息中DNUN和持有的DNSCN計算UN真實身份IDUN，并結合ru驗證TIDUN正確性。若均通過，則計算UN的部分私鑰PSKUN，獲取區(qū)塊鏈證書CertUN，讀取T12，生成注冊響應標識Res，向UN返回加密消息。在用戶注冊列表保存{IDUN,TIDUN,CertUN,ru}。

（3）UN解密消息，得到部分私鑰PSKUN，結合自身持有的另一部分私鑰α，共同計算自身完整私鑰SKUN，并在本地保存{CertUN,SKUN}。

3.2 CL-PKC域與PKI域雙向首次跨域認證方案

以信任域A中節(jié)點UA請求訪問異構信任域B的資源為例，構造首次異構跨域身份認證方案。方案模型如圖3所示。

（1）UA→SCB:{PKUA,SigSKUA(ReqUA,X′,NUA,CertUA,T21)}

UA向SCB提出跨域訪問請求，加密消息：跨域訪問請求標識ReqUA，根據隨機秘密值x和私鑰SKUA計算的密鑰協(xié)商參數X′=gx，隨機參數標識NUA等。

（2）SCB→MB:{PKSCB,SigSKSCB(ReqCertUA,CertUA,unknow,T22)}

SCB解密消息，驗證簽名確認UA身份，明確UA所在信任域，驗證標識ReqUA。若均成功，則向MB提出證書狀態(tài)查詢，加密內容：證書狀態(tài)查詢請求ReqCertUA，訪問資格未知狀態(tài)unknow等。本地保存{CertUA,X′,NUA}。

（3）MB→SCB:{PKMB,SigSKMB(ResCertUA,continue,expireCertUA,T23)}

MB解密消息，驗證簽名確認SCB身份，確認ReqCertUA,檢查T22。若均成功，執(zhí)行證書狀態(tài)查詢，SCB用Hash(CertUA)在主鏈查詢，得到以下可能結果：若無查詢結果，則認定UA無法提供或者提供了錯誤CertUA，認證失?。蝗艚Y果為issue和revoke兩種狀態(tài)，則CertUA已過期，或已從發(fā)布狀態(tài)轉為撤銷狀態(tài)，認證失??；若只有狀態(tài)issue，則CertUA當前在有效期內，且為已發(fā)布狀態(tài)，可以進行訪問，訪問資格狀態(tài)由未知unknow改為可進行continue。

MA向SCB返回認證成功響應，加密內容包括證書狀態(tài)查詢響應標識ResCertUA、節(jié)點身份失效時間expireCertUA等。本地保存{CertA,continue,expireCertUA}。

（4）SCB→UA:{PKSCB,SigSKSCB(ResUA,continue,expireCertUA,W′,NUA,T24)}

SCB解密消息，驗證簽名確認MB身份，檢查響應標識ResCertUA、時間戳T23和失效時間expireCertUA，查看證書當前狀態(tài)，若為continue，則SCB向UA發(fā)送請求成功響應，加密消息包括根據隨機秘密值w計算的密鑰協(xié)商參數W′=gw、響應標識ResUA等。本地保存數據{W′,CertUA,continue,expireCertUA}，計算與UA的會話密鑰KSCB→UA=(PKUA)SKSCB(X′)w。

（5）UA解密消息，驗證簽名確認SCB的身份，驗證響應標識ResUA，檢查T24，判斷響應消息中NUA與認證請求消息中的是否一致，若均成功，則將{continue,expireCertUA,W′}保存至本地。計算與SCB會話密鑰KUA→SCB=(PKSCB)SKUA(W′)x。

至此，認證發(fā)起從鏈A中節(jié)點UA與認證目標從鏈B代表節(jié)點SCB間成功建立起資源訪問連接，流程如圖4所示。

3.3 雙向跨域重認證

以A鏈內認證發(fā)起節(jié)點UA向共識目標鏈B的代表節(jié)點SCB發(fā)起跨域訪問重認證為例，描述此階段的模型如圖5所示。

UA與SCB在建立首次跨域身份認證連接后，SCB已將UA的身份信息記錄在本地列表中。通過以下三種驗證方式，判斷重認證是否成功：區(qū)塊鏈證書認證狀態(tài)是否為continue；身份失效時間expireCertUA是否在有效范圍內；注冊列表中是否存在前后一致的會話密鑰，若均通過，則重認證成功。避免了重復完整通信過程，可以高效、安全地進行雙向跨域身份重認證。

4 安全性分析

4.1 共識算法安全性分析

為確保方案的安全性，本文在共識過程中，首先通過SCA共識算法進行錯誤節(jié)點查找。若存在錯誤節(jié)點，則通過回滾操作進行算法切換，進入PBFT共識過程，當節(jié)點滿足N≥3f+1,Q≥2f+1時，確保方案安全性。以下描述了不同節(jié)點出現錯誤時的攻擊模型。

（1）若UN為發(fā)起惡意共識的攻擊者，對多個數據量巨大的消息或對異常權限變更操作發(fā)起共識，造成類似DoS攻擊，惡意消耗攻擊對象資源，達到拒絕其他節(jié)點共識服務，或非常規(guī)權限變更的目的。由于PBFT算法不能解決因共識發(fā)起者失效帶來的影響，需要引入訪問控制方法解決分層權限變更問題。聯(lián)盟鏈通過審核共識發(fā)起者權限和阻止產生無權操作等方式，降低節(jié)點失效造成的風險。任何對權限的操作，所有節(jié)點均通過共識可見，起到了節(jié)點行為群體監(jiān)督功能，也提供了一種從失效節(jié)點攻擊中恢復的機制。

（2）當SCN是攻擊者時，通過不響應或響應錯誤消息的方式影響共識過程，造成消息出現丟失、延遲或亂序等情況。共識過程第二階段，利用PBFT算法的代表超時輪換機制和延遲逐級增加機制解決此問題。當SCN失效時，進入延遲等待環(huán)節(jié)，設置閾值限定延遲等待時間，當系統(tǒng)判定等待時間超過閾值，則更換下一個節(jié)點為代表節(jié)點，同時增加延遲時間。若仍無法達成共識則，則繼續(xù)更換代表節(jié)點并增加延時，直至網絡響應。因此，可以保證在延遲不是無限的情況下，防止無期限地等待請求執(zhí)行的情況發(fā)生，確保方案保持活性。

（3）當Ni是錯誤節(jié)點時，同樣存在不響應或反饋錯誤消息，擾亂共識順序，破壞共識結果。對此，執(zhí)行容錯共識算法，當滿足N≥3f+1,Q≥2f+1時，排除錯誤節(jié)點對共識結果的干擾。

當從鏈完成正確共識，正確的結果經由該鏈代表節(jié)點SCN發(fā)送至主鏈節(jié)點MN，這保證了主鏈共識請求的正確性。由于非共識發(fā)起鏈的代表節(jié)點的正確性未知，主鏈共識過程仍進行完整HBFT共識算法，一旦發(fā)現錯誤節(jié)點，則該節(jié)點對應的從鏈進入代表超時輪換機制和延遲逐級增加機制，更換節(jié)點，增加延時，直至完成共識。

4.2 認證方案安全屬性分析

方案針對跨域身份認證過程中可能存在的攻擊形式進行安全性分析。如表2所示，本文方案對比了近幾年的傳統(tǒng)跨域認證方案和引入區(qū)塊鏈結構的跨域認證方案，從雙向實體認證和抗重放攻擊等五方面進行安全屬性比較。結果表明本文方案在抵抗認證過程的攻擊時有較高的安全性。表中“√”表示該方案具備該性能，“×”表示不具備該性能。

4.2.1 雙向實體認證

如圖6雙向實體認證模型所示，本文方案與文獻[7，19]相比，實現了雙向實體認證。實體認證主要經歷了四部分：主鏈節(jié)點MA在信任域內向UA分發(fā)證書；域內認證改變證書狀態(tài)為issue；主鏈共識將證書狀態(tài)issue向其他從鏈對應的主鏈節(jié)點傳遞共識消息；跨域認證過程改變節(jié)點的認證權限。信任傳遞過程分為11個步驟，完成了從證書狀態(tài)issue到節(jié)點認證權限可執(zhí)行continue的轉變。方案進行了節(jié)點間的雙向認證通信，并且每個步驟節(jié)點對應的本地存儲設備均保存了通信相關數據，便于在未來的反向認證過程中高效實現認證。

表2不同方案安全性比較Table 2 Comparison of scheme security attributes

4.2.2 抗重放攻擊

如圖7抗重放攻擊模型所示，如果攻擊者通過竊聽等方式截獲消息，運用非法手段獲取了此條認證消息的功能，則攻擊者無需知道消息具體內容是什么，通過重新發(fā)送該消息的方式，非法獲取對應權限。因此，本文節(jié)點在通信前，首先進行時間同步，保證時間戳選取有效，然后節(jié)點在認證過程傳遞的每條消息均加入了時間戳T，用來保持消息新鮮性。當目標節(jié)點收到消息后，會對時間戳T進行驗證，若消息中的時間戳T超出有效期，則認定受到了重放攻擊，認證失敗。因此本方案能有效抵抗重放性攻擊。

4.2.3 抵抗中間人攻擊

如圖8抗中間人攻擊模型所示，本文方案與文獻[13，20]對比，在進行異構資源跨域交互過程中，通信雙方均使用自身私鑰進行簽名，使用對方公鑰對消息進行加密。即使攻擊者成功截獲消息，但只要私鑰安全性得到保障，則加密和簽名即可保證安全。因而，敵手無法通過解密獲取明文，無法偽造簽名，通過接收方的驗證，方案能抵抗中間人攻擊。

4.2.4 身份追蹤

與文獻[7，13，17，19-20]對比，通過以下方式判斷節(jié)點合法性：SCN對UN發(fā)來的消息解密，得到了{DNUN,ru,TIDUN1}；由公式IDUN=DNSCN||DNUN,SCN，通過自身持有的DNSCN和解密得到的DNUN共同計算，獲取UN的真實身份IDUN；再使用ru通過公式TIDUN=Hash2(IDUN||ru)計算UN的臨時身份TIDUN2，與UN發(fā)送的消息中的臨時身份TIDUN1進行對比，若兩個臨時身份不同，則該節(jié)點為非法節(jié)點。通過計算IDUN追蹤非法節(jié)點身份，因此本方案可進行身份追蹤。

4.2.5 抵抗分布式拒絕服務（DDoS）攻擊

與文獻[7，9]相比，本文方案引入區(qū)塊鏈結構，利用其分布式架構下無中心、可追溯等特點，即使一個或者多個節(jié)點失效，只要有效節(jié)點數量支持完成正確的共識算法HBFT，則整體方案最終結果不受影響，因此可以解決DDoS攻擊造成的單點失效問題。

4.3 認證方案安全性證明

以下根據博弈論機制[21]證明方案的安全性。假設X給Y發(fā)送消息，CE為通信環(huán)境，Z為攻擊者，P代表參與者集合，記作P={X,Y,Z,CE}且P′=P/{CE}。假設Y確定消息發(fā)出者是X的概率為α,X確定只有Y獲得消息的概率為β,Z獲得消息的概率為γ。根據博弈論機制，各個參與者理性選擇策略達到自身利益最大化。從圖9中可見，博弈最佳結果(α,β,γ)的納什均衡為q1q2q3q4q5q7q9，顯然安全通信階段的密碼算法直接影響博弈結果。

由表3可知，本文的跨域認證方案同時使用加密算法和簽名算法，滿足安全協(xié)議的博弈論機制下對協(xié)議的安全性要求。

4.4 分析認證方案AVISPA仿真實驗分析

如圖10所示，本文使用安全協(xié)議自動驗證工具AVISPA，對首次跨域認證方案的安全性進行仿真實驗。方案代碼詳細描述了認證發(fā)起節(jié)點UA、從鏈代表節(jié)點SCB和主鏈節(jié)點MB的角色規(guī)范，同時對協(xié)議環(huán)境、會話和保密性目標進行了定義。分別在CL-AtSe和OFMC自動后端分析模型下執(zhí)行仿真實驗，結果均為SAFT。由此證明，本文方案在抗重放攻擊和抗中間人攻擊時有較高安全性。

5 性能分析

5.1 共識算法消息復雜度分析

當系統(tǒng)無錯誤節(jié)點，只進行SCA算法進行共識。過程中UN在Request0階段發(fā)送1條請求信息，在Response0階段發(fā)送N條響應信息。SCN在Commit0階段轉發(fā)N次請求，在Reply0階段發(fā)送1次響應請求。其他副本節(jié)點在Reply0階段反饋N-1條響應信息，因此SCA階段算法一共需要傳遞的消息總數如式（1）所示：

即算法的消息復雜度為線性階O(n)。算法性能接近鏈上性能最弱的節(jié)點的消息處理能力上限。因此在系統(tǒng)安全環(huán)境下，本方案共識算法較大程度降低了完成正確共識所需要的開銷，高效完成正確共識。

當系統(tǒng)出現錯誤節(jié)點，進行共識算法切換的步驟也僅需增加回滾操作產生的至多N條消息，消息復雜度仍為O(n)。

當切換到PBFT容錯算法后，UN在Request1階段發(fā)布1條請求消息，在Response1階段發(fā)布N條共識消息。SCN在Pre-prepare1和Prepare1階段發(fā)布了2N條消息。副本節(jié)點在Prepare1階段發(fā)送了N(N-R-1)條消息，在Commit1階段發(fā)送了N(N-R)條消息，在Reply1階段反饋N-R條消息。因此本階段算法共需要傳遞消息綜述如式（2）所示：

即算法的消息復雜度達到了平方階O(n2)。雖然性能相對SCA較低，并且吞吐量會隨N的增加明顯降低，但PBFT能夠在系統(tǒng)節(jié)點滿足N≥3f+1,Q≥2f+1時，忽略錯誤節(jié)點對共識結果的影響，提高了系統(tǒng)容錯能力，獲得此階段共識安全性的提高。

在HBFT應用到異構跨域認證方案時，系統(tǒng)有別于傳統(tǒng)區(qū)塊鏈所有節(jié)點進行數據共識，只在認證發(fā)起從鏈、主鏈和認證目標從鏈三條鏈內進行共識，減少了共識過程的資源消耗，因此HPFT的模式更有利于在規(guī)模龐大的系統(tǒng)中使用。

5.2 方案性能開銷對比分析

本文與其他跨域認證方案進行了計算開銷的對比，忽略與跨域認證無關的因素影響，從加解密次數、簽名與驗證次數、雙線性運算次數、哈希運算次數和交互消息數五方面進行具體比較，結果如圖11所示。

假設本文方案與文獻[7，14，22]方案中加解密算法、簽名算法計算開銷均相同，則可以通過對比不同類型運算的次數的形式，反映各種方案的計算開銷。本文方案與使用傳統(tǒng)異構跨域方法的文獻[7]對比，引入了區(qū)塊鏈證書結構，優(yōu)化了認證過程，較少了交互消息數，從而在計算開銷較大的加解密運算上，減少為文獻[7]方案的一半；與文獻[14]在物聯(lián)網分布式設備間使用區(qū)塊鏈技術的身份認證方案對比，雖然在使用加解密次數上沒有明顯優(yōu)勢，但方案通過減少簽名與驗證次數，省去了多次復雜的雙線性運算過程，計算開銷明顯降低；與同樣使用區(qū)塊鏈技術的文獻[22]方案對比，優(yōu)化了認證過程，減少了加解密運算次數、哈希運算次數和交互消息數，在保證安全性的前提下，降低了方案開銷。

6 結束語

使用區(qū)塊鏈技術的優(yōu)勢解決傳統(tǒng)數據安全問題，是十分具有研究前景的方向。本文遵循此原則，在熟練掌握區(qū)塊鏈知識后，對傳統(tǒng)跨域身份認證問題進行了剖析，最終得到了問題解決思路。設計了動態(tài)執(zhí)行的分層拜占庭容錯算法和主從鏈節(jié)點相互合作的主從區(qū)塊鏈結構，用以改進傳統(tǒng)的異構跨域身份認證問題。研究結果表明，方案在安全性和高效性間尋求了一種平衡，并且在認證過程中起到一定容錯效果。接下來的研究工作，將繼續(xù)深入發(fā)掘跨域身份認證在實際應用中存在的問題，并使用區(qū)塊鏈技術進行解決。