基于区块链应用模式的可信身份认证关键技术研究

◆彭永勇 张晓韬

基于区块链应用模式的可信身份认证关键技术研究

◆彭永勇 张晓韬

(四川中电启明星信息技术有限公司 四川 610225)

为了避免密码及核心数据被挟持攻击等数据安全风险，本文提出了一种新的基于区块链应用模式的身份认证技术实现方案，利用区块链保护存储信息的不可篡改性，作为数字身份认证的原始比对信息提供真实性保障，实现区块链保护的分布式存储、信息维护、安全传输、分布式互信关系建立、及身份安全校验。

安全；可信；身份认证

0 引言

根据Verizon 2016 泄露报告的数据统计，有超过一半的企业网络安全事故和身份认证凭据盗用有关。采用更加高效和安全的身份认证技术也变得越来越重要，传统的账号密码这种单一的认证方式已无法满足企业级统一认证需求，也不再适应未来的需求。如何为应用系统提供方便、安全、快捷的身份认证服务，成为摆在我们面前不得不面对的课题。数据安全始终是每一个信息系统信息交互过程都要面临的一个重要问题。

然而，基于传统的中心化应用构建模式，身份认证方式让我们不得不用大脑或笔记来记住各种各样的密码，甚至会忘记自己的密码，总会担心密码及核心交易数据被安全攻击挟持等风险。

本文提出了一种基于区块链应用模式的可信身份认证技术，使用其存储信息的不可篡改性来实现身份识别及访问控制，以弥补传统方式的不足。

区块链是一个分布式账本，一种通过去中心化、去信任化的方式集体维护一个可靠数据库的技术方案。因此，我们期望能够基于区块链技术方案实现高安全级别的身份认证和访问控制，利用区块链分布式存储信息的不可篡改性，为数字身份认证的原始比对信息提供真实性保障。

1 传统身份认证技术分析

为了实现企业身份认证安全管理，有的企业会用账号密码的限制策略，一些注重账号安全的企业常常会采用OTP（一次性密码）、手机短信等认证方式来替代账号密码或作为二次认证措施。有的企业会为大部分员工配备了一次性动态令牌硬件，以保证安全性。这些方法有一定成效，但也存在种种弊端，比如成本昂贵、使用不便等。

传统的身份认证实现技术五花八门，目前应用比较成体系的解决方案主要有4A和IAM，在国内传统企业来说，大家都认4A，但是在国外使用更多的是IAM方案，IAM算是比4A更先进的企业身份认证解决方案，所有也被称为“大4A”，但其实从本质上看来，两者相差无几，都是把内部的多个系统进行集中授权和管理，配备一个强身份认证手段，根据不同用户的不同身份来分配对应的权限。近年大数据分析兴起，因此在IAM 的方案中，越来越多地开始采用大数据分析进行用户行为审计，判断用户身份的真实性，提供多因素的认证手段，保障企业身份认证的安全性。然而，互联网应用的盛行、云计算普及的今天，身份认证凭据被盗、个人隐私暴露、信息被篡改、应用公信力低下等系列安全性问题始终是困扰用户的一个痛。

2 可信身份认证技术实现原理

本文研究目标是一种基于区块链应用模式的可信身份认证关键技术（简称：“可信身份认证技术”），通过构建基于区块链应用模式的可信身份认证体系，弥补传统应用模式的短板和不足，形成以“区块链技术＋不对称加密技术＋数字身份认证服务＋生物识别技术”为基础的总体解决方案（如图1）。

图1 技术实现原理

可信身份认证技术主要利用区块链技术本身的“单向加密、时间戳、去中心、不可篡改、全网保存、分布式共识等”特性，通过研究“分布式网络协议、Hash单向加密、分布式共识算法”及其相关框架技术，构建具有去中心化的认证逻辑体系和具有分布式公信力的应用端程序。完成身份信息资产化，争取个人信息所有权，提高认证准确程度，保护个人隐私信息，实现了基于区块链模式的存储和身份认证能力，解决了传统中心化方式带来的信息安全问题。

本文主要是利用生物识别技术提高身份识别准确性，利用区块链进行信息存储解决数据存储安全性问题。

应用场景示例如下：

（1）用户通过可以在StarShield IdCardAPP上传他们的相关证明文件进行身份验证，这些文件会在区块链上进行密封和加密生成私钥和公钥，只有用户自己可以更改个人信息，其他人可以通过公钥来查看个人信息。用户在办理其他需要认证手续的业务时，第三方线上应用可以通过扫描二维码或者指纹等数据来确认用户身份。

（2）在登录应用时，代替输入容易被黑和忘记用户名和密码，用户只需要简单扫描一下来自APP上的二维码，然后，会收到APP推送的一个通知，要求提供指纹验证，提供指纹数据之后，用户就会自动登录。

（3）如果因为用户账户问题需要呼叫客服中心，传统方式可能会问用户一些安全问题。这些问题可能是用户之前预设好的，如果用户的账户被黑，这些问题也都可能会被破坏。相反，使用APP，一个通知将被发送到用户的应用程序，同时与运营商通话：通知将要求一个指纹来验证用户是谁。指纹被APP验证之后，运营商就会确定电话的另一端就是用户本人。

3 可信身份认证技术解决方案

图2 典型技术架构

在如图2的典型技术架构中，共提供四个逻辑体系服务：身份服务、策略服务、区块链服务、智能合约服务。上层分别提供第三方应用编程接口、开发工具包以及命令行工具等，实现组件开发的良好扩展性。区块链服务提供一个分布式账本平台，一般地，多个交易被打包进区块中，多个区块构成一条区块链，区块链代表的是账本状态机发生变更的历史过程。

基于此技术架构基础，通过构建本文所述的认证服务组件和应用，实现本文所述的区块链技术＋数字身份认证服务总体方案的核心底层逻辑。

下面将通过此核心底层逻辑，实现基于生物识别技术的分布式可信认证服务（StarShield IdCard APP），如图3所示。

生物识别技术可以提高个人身份认证的准确度，但其中心化的信息存储方式可能会造成信息被篡改，因此我们把采集到的身份信息通过区块链进行信息存储，个人的准确性认证将进一步提升。另外，将不对称加密的个人信息存储于区块链上，生成的私钥存档于用户终端，同一区块链上的应用通过调用该接口实现身份认证。

StarShield IdCard是融合了生物识别技术和区块链技术进行数字身份认证，具体的步骤如下：

（1）APP拍照收集个人身份证或护照信息，将个人身份信封写入到区块链中，将加密的图像信息存放到身份服务器。

（2）APP将身份信息发送给第三方应用代理，在第三方应用代理收到个人身份信息后，根据个人身份信息完成认证令牌颁发，并且发送认证令牌到区块链中。

（3）通过身份信息在区块链当中的共享，当有新的第三方代理应用产生时，将从区块链上获取个人身份信封数据和加密图像及令牌数据。

图3 可信身份认证-StarShield IdCard

（4）新的第三方代理应用会再次采集新的用户生物信息进行验证，以达到正确认证个人的目的。

4 总结

传统方式的身份认证安全性较低，容易受到外部攻击和挟持，并且其中心化的信息存储方式容易造成信息被篡改。另外，通过物理证件进行身份识别则较为麻烦，并且也存在安全漏洞。

利用区块链进行信息存储解决数据存储安全性问题，利用生物识别技术提高身份识别准确性。

（1）提供StarShield IdCard APP完成身份信息的采集和认证；

（2）提供StarShield IdCard API实现第三方认证集成调用；

（3）提供StarShield IdCard SDK实现二次扩展集成开发；

（4）提供StarShield IdCard CLI实现命令行工具集。

[1]Kyle.[EB/OL].http://www.8btc.com/blockchain-identity-management.

[2]http://www.8btc.com/blockchain-tech-mining.

[3]http://www.8btc.com/identity-and-the-blockchain-key-questions-we-need-to-solve.

[4]https://www.okcoin.cn/t-1012232.html.

[5]http://chainb.com/?P=Cont&id=1027.

[6]黎妹红.身份认证技术及应用[J].北京邮电大学，2010.

[7]梁雪梅.数字身份认证技术[M].水利水电出版社，2009.

[8]邱建华.生物特征识别的身份认证革命[J].清华大学，2012.

[9]邹均.区块链技术指南[M].机械工业出版社，2016.

[10]唐文剑.区块链将如何重新定义世界[M].机械工业出版社，2016.

[11]唐塔普斯科特（Don Tapscott）.区块链革命[M].机械工业出版社，2016.