区块链跨域身份管理系统的优化

陈立军

(广州软件学院 软件工程系，广东 广州 510990)

0 引 言

集中式身份管理系统的功能依赖于特定的身份服务器节点，导致单点故障问题，一旦这些身份服务器节点失效，网络中所有的身份注册、验证和更新操作都将中断，这一缺陷使得集中式身份系统容易受到分布式拒绝服务(DDoS)攻击[1-2]，给网络安全带来严重隐患。

集中式身份管理问题的另一个方面来自于互联网上的孤立主义趋势，通过隔离，在集中式平台或机构中注册的用户身份和信息只能在特定的信任域[3]中使用，不仅难以建立和维护不同信任域的身份提供者之间的关系，而且难以审计或跟踪数据滥用。为实现用户身份的交叉验证和相互信任，各平台和机构只能重复收集用户身份信息进行识别和管理，造成存储和传输资源的浪费，给业务应用带来不便。因此，跨不同信任域进行实体身份验证和身份管理已经成为一个问题。

近年来，区块链逐渐发展成为一种分布式计算模式，具有去集中化、集体维护、可编程、可跟踪等特点，随着区块链技术研究的逐步深入，基于区块链的应用呈现出爆炸式的增长，并具有与其他领域交叉的广阔前景。

在区块链技术诱人特性的驱动下，该文提出了一种基于区块链的去中心化跨域身份管理系统(DCIMB)，设计了一个基于联盟区块链技术的去中心化标识符(DID)，可以使用一个身份证书(如公钥、密码或指纹)来颁发DID，以确保身份信息不会被篡改，同时，系统中的每个节点都可以参与认证和信任建立，解决了集中式机制的单点故障。

1 相关工作

1.1 国内现状

西安理工大学的左碧露[4]针对传统物联网设备认证方案，提出了一个基于区块链和雾计算的去中心化物联网设备认证方案，利用区块链的不可篡改性来保证票证的真实性，但研究的不是跨域身份管理。

南京邮电大学的徐君泽[5]针对基于区块链交易主体的可信性及多方交易的安全性，提出了新的跨域认证方法，他的方法提高了跨域认证效率，但研究范围局限于融资租赁系统。

同样的，也是南京邮电大学的江淳[6]针对远程医疗系统，提出了一种基于区块链的远程医疗跨域认证模型，作者说他的模型有效提高了系统的通信效率，但作者在文中没有提及是否解决了传统中心服务器单点故障问题。

贵州大学的王琳杰[7]就物联网数据安全及跨域认证提出一个模型，重点研究了物联网的数据安全，但与该文相比，该文的重点是解决传统中心服务器单点故障。

王晓欣、陈志德[8]两作者针对教育资源共享安全性低以及身份认证困难的问题,提出基于区块链技术与无证书签名相结合的可跨域身份认证方案,但基于区块链系统的处理效率还有待提高。

桂林电子科技大学的徐娟娟[9]基于云环境的异构跨域身份认证方案，但他们的重点是满足身份匿名性、抵抗替换性攻击、抵抗重放攻击和中间人攻击。

电子科技大学的王国安[10]提出基于面向知识共享的跨域访问控制技术，提高了资源访问控制的安全性，与该文相比，侧重点还是不同的，该文的重点是研究跨域身份管理系统的优化。

1.2 国外现状

传统的身份管理系统，如OpenId[11]，主要是基于PKI的集中式体系结构，为了防止公共文件被恶意篡改，每个数据都进行了数字签名，这样证书就可以在网络中安全地分发[12]。虽然PKI/CA系统可以实现双向认证，但在通信过程中需要从中心身份仓库获取第三方数字证书，这就要求中心节点具有高性能的响应处理能力，在基于PKI/CA的大规模系统中，随着系统规模的增加，中心节点将成为系统性能的瓶颈，并出现过载现象，除了可扩展性问题外，CA机制还存在单点信任的安全缺陷。

Nayak等人[13]提出的D-FOAF模型通过社区驱动的接入授权机制将CA的权限分配给每个网络社区中的节点，以分散中心验证节点的压力；Pavithran等人[14]考虑到只有基于公钥证书的身份管理机制需要CA等集中式节点来提供服务，提出了基于身份的密码学来替代基于公钥的密码学，然而，Lim的方案针对的是网格计算模型，是一种交互式认证机制，这给它的应用带来了许多限制。

随着比特币的出现，带有分布式账本技术的区块链也被用于实现身份管理系统，因为它去中心化，避免了身份信息被少数组织或个人掌握[15]；在文献[16]中，Mohanty等人开发了高效、轻量级、集成的区块链模型，以满足物联网的需求。然而，大多数基于区块链的身份管理系统并未考虑多个领域的身份识别和融合需求，而这正是该文的核心目标。

在传统的身份管理系统中，用户的身份被限制在信任域内，只有在同一信任域内的身份是可信的，因此，身份管理系统的热点问题主要集中在隐私保护和可扩展性两个方面。目前，无论是集中式云计算网络还是全分布式网络环境，都涉及到不同信任域的认证，跨域认证已成为身份管理系统中亟待解决的问题。

DCIMB在区块链技术的基础上设计了一个DID，解决了单点故障问题，提高了系统的可扩展性，与其他启用区块链的身份管理系统不同，DCIMB引入了单向累加器来验证身份的有效性，将身份验证的时间复杂度优化到恒定水平。此外，DCIMB还使用了联盟区块链系统，通过分布式共识保持了累加器状态的全局一致性和抗篡改性，提高了认证性能，保护了用户的隐私信息。

2 系统设计

2.1 概 述

该文的核心工作是去中心化身份管理和跨域认证系统，设计目标是解决认证中心的单点故障问题，提高跨域认证场景下的认证性能。

单一信任问题使得它不适合跨信任域身份验证场景，DCIMB使用DID来识别身份实体，以消除单点依赖。DID由统一资源标识符(URI)和文档组成，URI用作标识符，文档存储用户的公钥、身份信息和其他数据，当用户发送消息时，接收方可以通过查找DID来验证用户的公钥信息，以确定消息是否被篡改。

PKI系统中的CA还负责确保用户的公钥信息的真实性，在DCIMB中，此功能由认证提供者(IdP)提供。IdP是一个开放和可信的部门，如政府、银行、个人或私人企业，它只负责其领域内的身份发放，PKI/CA系统采用集中式、分层或多组织结构，因此，当CA受到攻击时，会影响整个系统，导致单点故障问题。但是，DCIMB通过区块链技术连接每个信任域中的IdP，当特定信任域中的IdP受到攻击时，其影响范围仅局限于该信任域中的本地区域，相比之下，系统中的其他信任域仍然可以工作，从而避免了全局CA中的单点故障问题。

身份实体通过创建DID来标识自己，DID是一个通用的用户标识符，它不包含任何用来证明身份的信息，所有附加在DID上的身份信息都需要通过IdP颁发身份证书进行认证。因此，在DCIMB中，DID(和DID文件)被称为主身份，而IdP颁发的身份证书被称为影子身份。DCIMB不允许除身份所有者以外的其他各方通过身份证书来追踪身份的实际信息，以保护用户隐私，这种将用户标识符与特定用户标识属性分离的想法称为两级标识体系结构。

在DCIMB中，身份识别和管理涉及两个方面：

(1)准确识别和判断给定的标识符是否与公钥证书匹配;

(2)判断标识符是否可以访问指定的资源，在跨域认证中，跨域认证还涉及到不同信任域之间的相互认证，同时，为了保护用户的隐私和匿名性，有必要在认证过程中尽可能少地公开身份信息，这是最小公开原则。

为了高效判断集合成员，有现成的方案，如环签名和群签名，但是，由于这些方案需要可信的设置阶段，因此不适合部署分布式环境。为了加速认证和公共集合成员的判断，DCIMB引入了单向累加器作为密码原语来构建认证机制，对于大型集合成员的判断问题，单向累加器可以显着降低存储和通信成本，具体来说，对于每个域有m个域和n个账户的系统，集合成员身份识别签名从O(mn)减少到O(m)，这意味着每个域的空间复杂度可以达到一个恒定的水平。

对于大量的主身份账户，必然有大量的累加器状态，如果这些状态需要通过全局数据库或目录(按照PKI的设计)进行保存，则不可避免地会出现单点故障和信任。类似地，跨多个域的累加器状态的同步和认证将难以实现，所以DCIMB选择了区块链技术来维护全局状态并存储和寻址DID文档，DCIMB在联盟区块链系统中维护累加器状态，而用户的影子身份数据(如指纹、公钥等)则存储在链下。

如图1所示，不同信任域中的已识别实体通过单向累加器证明其身份有效性，每个域中的IdP证明了有关其身份的附加信息，不同信任域的IdP基于联盟区块链系统和共识协议对身份有效性、IdP权限和跨域认证达成一致，对于跨域认证，身份依赖方读取被认证方的DID文档，DID URI寻址该文档，它通过被认证方提供的累加器凭证来确认身份的真实性，身份附加属性的真实性可以通过与被认证方域中的IdP通信来确认。

图1 DCIMB系统架构

2.2 单向累加器的设计

DCIMB的核心数据结构是单向累加器，像Merkle树一样，单向累加器提供了集合成员的有效包含证明，大大节省了识别的存储成本。在单向累加器的基础上，DCIMB构造了一系列用于用户身份管理和身份验证的基本组件。

DCIMB中的单向累加器借鉴了参考文献[17]中提出的无碰撞累加器，特别地，下列5种多项式时间算法用于单向累加器。

(1)AccGen(1k)→a0：概率生成算法接受秘密参数k，并为空累加器生成初始累加值a0；

(2)AccAdd(a,y)→(a',w)：接受当前累加值a和要累加的数据y，累加后输出值a'和要见证的元素w；

(3)AccWitAdd(w,y)→w'：输入要累加的数据y和当前见证w，输出新的见证w'；

(4)AccVer(a,y,w)→b∈{0,1}：输入当前累加器的累计值a、要验证的数据y、要见证的w，如果y属于累加器，则返回1，否则，返回0；

(5)AccDel(aux,a,y)→a'：输入trapdoor函数aux，累加值a和要删除的数据y，删除y后输出新的累加值a'。

密码学中的累加器可以快速确定元素是否属于特定集合的一种方式，在DCIMB中，累加器的内容是键值对(did，pk)，其中did是给定的身份标识符，pk是对应的公钥，对于任何有效的识别密钥对(did，pk)，有：

AccVer(a,(did，pk))=1

(1)

式1称为单向累加器的包含证明，a为累加器Acc的累加值。

由于身份必须是可公开验证的，整个区块链网络需要维护一个通用的全局累加器状态来支持所有节点的身份验证，每次创建、更新或撤销公钥时，处理交易的矿工都需要更新累加器并将更新后的累加器值a'添加到累加器的信息中，由于累加器的共同可检查性属性，网络中的任何节点都可以检查更新的累加器a'是否正确包含新值并验证计算的正确性。此外，由于累加器公开存储在区块链中，因此累加器难以破解，避免了对累加器初始化的欺骗。

除了标记和验证主身份的有效性外，单向累加器还用于快速验证影子身份是否属于主要身份，即验证影子身份的合法性。图2显示了DCIMB中的影子身份验证，其中m和n分别是信任域的数量和每个域中的账户数量，sidi,j表示第i个信任域中的第j个影子身份。如图2所示，除了全局累加器状态外，每个主身份都需要一个单向累加器来累加其他身份证书，例如指纹和密码。主身份did拥有的累加器记录为Accs(did)，这个累加器不需要全局可见，由于单个身份的累积数据有限，因此Accs(did)使用Merkle哈希树构建，第i个影子身份累加器的中间状态表示为midi，在全局累加器ACCg中维护。

图2 DCIMB中的影子身份验证

2.3 去中心化标识符

为了更好地表示用户的身份和属性，DCIMB中将用户身份分为主身份idm和影子身份id，分别表示用户的唯一身份和属性身份，主标识用于唯一标识区块链网络中的用户，DID通常与存储与身份信息和认证相关的其他元数据的DID文档相关联。如图3所示，主标识由一个DID(例如，DID: exmp:1234567890abcde)或一个有意义的层次命名标识符(例如，DID: exmp:/cn/guangzhou/pku/2021/chenlijun)唯一确定，在主标识的DID文档中，存储一个主公钥pkm，主公钥密钥用于发布其他身份类型，而与pkm对应的私钥skm用于撤销已发布的身份信息。

图3 DID映射到文档的示意图

DID的机制可以看作是一个分散的键值数据库，通过用户身份提供对DID URIs和DID文档的访问，DID文档的目的是描述公共密钥、身份验证协议和服务端点，以指导与已识别实体的加密和可验证交互，DID文档格式中id字段是与该文档相对应的DID URI，认证字段提供了一组在线主公钥，公钥用于加密和其他加密操作，这些操作是身份验证或与服务端点建立自治愈通信的基础。此外，公钥可能在DID CRUD操作的授权机制中发挥作用，如果在DID文档中不存在公钥，则必须假定该密钥已被撤销或未被验证，包含被撤销密钥的DID文档还必须包含或引用被撤销密钥的信息。

DID文档还提供了一组服务端点，即文档的服务字段，服务端点可以代表身份主体提供的任何服务，包括用于进一步发现、身份验证、授权或交互的分散身份管理服务。

主标识是用户的唯一标识，然而，在许多身份验证场景中，不需要显示真实的身份，此外，由于特定类型的身份凭证(如指纹)的特征，主身份有时不能直接关联，因此，在某些特定的场景下，需要使用影子身份进行身份验证和识别。

影子身份标识可以是钥匙、密码或其他生物特征信息，主标识可以与多个影子标识相关联，这些影子标识可以证明特定的用户属性，如年龄和性别或主标识授予的权限，给定一个影子标识id，它可以确定这些id是否属于一个特定的主标识idm，除了idm所有者之外，其他用户无法根据idm找到相应的id集合(无论是idm还是pkm)，有效保护用户隐私和身份安全。

2.4 身份操作

在DCIMB中，每个物理用户或设备由DID唯一标识，DID可能有多个密钥对，用于发出不同的标识属性，DID标识所有者可以从链外私有存储的文档中读取与该标识关联的所有公钥和文档，但是，不能直接从公钥获取用户的DID身份，身份操作包括系统中的身份注册、身份更新、身份撤销和身份验证，该文将DID的公钥集标记为Gdid，用户为Gdid生成的累加器记录为ACCdid。

2.4.1 身份登记

在身份注册操作中，身份所有人首先将交易发布到链上，其中did为要发布的身份标识符，pkon和pkoff分别为身份所有人的在线和离线公钥，σon和σoff分别是身份所有者的在线私钥pkon和离线私钥pkoff的签名，即:

Treg= ((did, register, online, values)=

(pkon,σon),(did,register, offline, values)=

(pkoff,σoff))

(2)

σon= sig(skon,did)

(3)

σoff= sig(skoff,did)

(4)

挖掘节点验证接收到的交易，如果下列条件没有被占用，均满足，则身份登记视为有效，交易确认，否则，交易操作将被忽略，对于条件(5)，可以通过全局维护的累加器来判断是否有一对(did，pk′)满足pk′ ≠ pk。

(5)

身份登记流程如图4所示。当注册一个标识时，DCIMB首先检查用户的累加器是否存在，如果不存在，将创建一个新的累加器，块矿机执行概率生成算法：

AccGen(1k)→a0

(6)

图4 DCIMB中的身份注册过程

初始值a0被写入创建的块Bk，同时，累加器的秘密参数(如trapdoor函数)被离线密钥安全地存储在链下存储系统中，所有接收到块Bk的节点都将验证创建累加器的正确性，如果验证失败，则直接丢弃该块，否则，累加器a0将被确认保存。

身份注册成功后，用户需要主动更新全局单向累加器值ag，以确认用户身份的合法性：

(7)

此外，用户需要更新链上的身份累加器，并为已注册的用户生成单向累加器：

AccGen(did,1k)→a0

(8)

此步骤用于初始化用户账户状态。

2.4.2 身份更新

随着授权身份的增加，需要不断地向Gdid添加一个键，相应地，累加器的值也需要更新，在用户主动授权pki之后，操作将被执行，其中a'是did的累加器更新后的累加值，pki身份所有者持有w以证明该身份已被did授权。

AccAdd(did,pki) → (a',w)

(9)

当身份所有者希望使用新的公钥pknew而不是旧的公钥pkold时，事务将被发布在如下的表达式中，为使用旧私钥skold的did和pknew的签名，它确保标识所有者不能篡改更新与did相对应的公钥信息。

Tupd= (did, update, values=(pkold, pknew,σ1,

σ2, aux))

(10)

σ1= sign(skold, (did,pknew))

(11)

σ2= sign(sknew,did)

(12)

为使用新的私钥sknew的did签名，证明身份所有者对pknew的所有权，aux字段包含当pk或sk泄漏时撤销密钥对的辅助信息。

当区块链网络中的矿机接收到Tupd时，检查式(13)的条件，如果不满足式(13)的任何条件，事务将被忽略，其他接收到该块的节点也会验证Tupd的有效性，如果检测失败，则丢弃该块。

(13)

2.4.3 身份认证

在传统的基于区块链的身份管理系统中，由于区块的仅追加特性，需要遍历整个链中的所有区块来确定身份的有效性，身份验证的时间复杂度为O(n)，其中n为网络的身份号。为了降低时间复杂度，该文提出了一种基于单向密码累加器的身份验证方案，身份认证函数接受用户提交的参数did、pkm和将要见证的w，判断式(14)条件是否合适，该操作的时间复杂度为O(1)，因为全局累加器的值ag对区块链网络中的所有节点都是可见的，所以任何节点都可以作为身份验证节点。

AccVer(ag,(did,pkm),w)=1

(14)

2.4.4 身份撤销

传统的PKI系统使用证书撤销列表或在线证书状态协议发布身份撤销信息，在DCIMB中，标识符和公钥之间的绑定关系通过发送区块链交易来释放，具体来说，IdP或身份所有者将向区块链发送撤销交易，矿机节点收到撤销交易后，将检查以下条件是否满足，如果不满足这些条件中的任何一个，撤销交易将被忽略，否则，交易是符合的，矿工将删除公钥并更新全局累加器值。

Trevo=((did, revocation,online,values) =

(pkon,σon), did, revocation,offline,values=

(pkoff,σoff))

(15)

(16)

AccDel(aux,ag, (did,pkon))→ag

(17)

2.4.5 跨域身份验证

跨域认证的前提是建立不同域之间的信任关系，不同信任域签发的身份证书具有不同的证明效果，为了鼓励区块链网络中的节点执行诚实认证并惩罚虚假身份证书，这些必须包括控制和管理连接节点的机制，因此，DCIMB采用联合体区块链，财团区块链是一个被许可的区块链，只允许一组预先选定的节点进行计费，而其他节点只能参与交易。

图5给出了跨域认证的总体流程。对于跨域认证，域B的身份依赖方(通常也是认证方)RPb首先将交易Tver(idi,wi)发布到链上，其中idi是请求认证的参与方，wi是验证其身份组的参与方，在域A中的任何可用IdP(记录为IdPA)接收到Tver后，它根据wi验证该交易属于在域A中注册的身份，如果RPB不需要进一步验证idi的公钥，IdPA可以直接向RPB确认身份，否则，IdPA搜索与idi对应的pki并返回公钥信息。

图5 DCIMB中的跨域认证过程

3 实验和评估

在本部分中，从安全、可扩展性和跨域认证三个方面对DCIMB的性能进行了评估，构建了一个基于以太坊的财团区块链，并实现了一个DCIMB原型系统，系统部署在四台高性能服务器上，硬件参数如表1所示。在该文的原型系统中，Docker用于发布以太坊节点的多个应用图像，由此建立了一个简单的20个节点的区块链网络。

表1 原型系统硬件配置

3.1 安 全

由于在DCIMB中，一个实体的标识信息的有效性由单向累加器保存，单向累加器的安全性直接决定了标识的安全性，Camenisch J和Lysyanskaya A在参考文献[17]中提供了单向累加器安全性的证明，由于篇幅的限制，这里就不作进一步的分析了。另一方面，身份实体使用基于非对称加密的会话密钥协商机制与IdP和认证方进行通信，位于认证过程中的公钥是唯一的、防篡改的，可以由双方独立确认，另外，即使在认证会话中协商的密钥被泄露，攻击者也无法获得用户的私钥和累加器凭证，因此，他们不能在保证签名完整性的同时篡改通信数据，该特性使DCIMB能够有效地防止中间人攻击。

为了进一步测试系统的安全性，该文生成了三组身份公钥对，每组10万对，这三个数据组分别对应有效的标识、被篡改的标识和不存在的标识，该文的原型系统对这些公钥对的认证结果如表2所示。所有有效身份的公钥对都能成功通过认证，但是，对于被篡改的身份或不存在的身份，所有身份验证都失败，虽然这个实验不能完全模拟所有的恶意攻击，但足以证明系统的安全性。

表2 不同身份公钥对的认证结果

3.2 可扩展性

对于以比特币为代表的区块链系统来说，可扩展性的主要限制是共识算法效率低，比特币系统需要所有节点对每一笔交易达成一致，以确保网络中的数据一致性，因此，如果采用类似于比特币的公共区块链系统，大量用户身份信息的实时更新将给整个链带来巨大的性能压力；另一方面，如果采用像Certcoin这样的方案，将用户的身份信息保存在链上，整个区块链网络的账簿规模将是巨大的，此外，为特定用户检索和更新身份数据的时间复杂性也很高。

DCIMB在两个方面优化了可扩展性。首先，基于联盟区块链机制，采用随机算法选择共识节点，降低共识形成成本；其次，与现有的Certcoin系统不同，DCIMB中采用了累加器，取代了存储证书、指纹等用户身份数据的顺序块结构，添加新用户标识只需要对单向累加器的内部状态进行访问和简单的模求幂，而且，对于频繁的用户身份验证操作，它更加简单，它只需要两个大整数的模幂，这取决于累加器的比特数，从而大大降低了查找图书数据的时间成本，提高了系统的性能和吞吐量。

为了测试DCIMB的可扩展性，通过GnuPG加密套件生成了大量的密钥对，并随机分配它们来识别系统中的实体，该文以传统的基于UTXO的区块链身份管理系统Certcoin作为评估基准，值得肯定的是，Certcoin是最具代表性的基于区块链的身份管理系统，它不仅具有对认证机构的开放性和适用性，而且具有分散的信任网络和无单点故障的优点。首先，测量了单域认证中认证延迟与身份数量之间的关系，图6为域中节点数为5的实验结果。从图6可以看出，Certcoin的认证延迟是线性增加的，这是因为Certcoin需要遍历所有块来验证用户的公钥的有效性，相比之下，对于DCIMB，身份验证时间不受累积身份数量的影响。

图6 单域场景下不同身份数的认证延迟

3.3 跨域身份验证

在本节中，首先测量随着域数量的增加而跨域身份验证的延迟，逐渐增加域的数量，并在每个域固定1 000(id,pk,w)的条件下测量身份验证所需的延迟，实验结果如图7所示。随着域数量的增加，传统的认证方法需要在不同的域之间达成一致，这导致认证时间呈线性增长，然而，DCIMB将跨域身份验证委托给域中的任何节点(IdP)，确保了大约恒定的时间复杂度。

图7 不同域数量下的认证延迟

对于跨域认证的性能，还有两个重要的指标：

(1)重复跨域认证的延迟，随着身份数量的增加而增加；

(2)重复跨域认证的延迟。

该文使用Docker生成15、20、25、30个不同的信任域，测试每个域中不同证书标识号下的认证延迟变化趋势，实验结果如图8所示。从图8可以看出，无论信任域数量是多少，随着身份号的增加，DCIMB的延迟总是增长非常缓慢。这是因为该文引入了单向累加器作为身份验证的数据结构，DCIMB可以通过单向累加器判断身份数据是否存在于有效集合中，且时间复杂度接近常量，随着信任域的增加，DCIMB的认证延迟总是保持在10秒之内，然而，Certcoin最坏情况下的延迟超过1分钟，这在实时性要求较高的情况下是不可接受的。

图8 对于15个域，不同数量的身份验证延迟

为了测试重复跨域认证的延迟，该文在系统中生成了4万个身份公钥对，并将它们均匀地分布在不同的信任域中，在不同的信任域之间重复执行30次认证操作，对应的延迟如图9所示。对于传统的基于区块链的认证系统，重复跨域认证所需的时间比DCIMB更差，第一次认证后，DCIMB获得了身份证书，其他域的IdP会缓存该证书的有效性，因此，DCIMB支持快速身份验证，而不必每次都检索存储节点。

图9 30次重复认证操作后的认证延迟

4 结束语

传统的集中式认证系统由于过度依赖中心，容易出现单点故障风险和隐私保护问题，为了解决这些问题，设计了一种基于区块链的去中心化跨域身份管理系统(DCIMB)，并对系统性能进行了评估，证明了该系统的可扩展性和跨域认证效率得到了有效提高。