(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210382540.5 (22)申请日 2022.04.12 (71)申请人 西北工业大 学 地址 710072 陕西省西安市友谊西路127号 (72)发明人 姚烨　朱怡安　李联　牛军涛　 (74)专利代理 机构 西安凯多 思知识产权代理事 务所(普通 合伙) 61290 专利代理师 刘新琼 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 基于联盟链的Kerberos与IBC安全域间跨域 认证方法 (57)摘要 本发明涉及一种基于联盟链的Kerberos与 IBC安全域间的跨域认证方法， 该方法中安全域 内的实体节 点在发起跨域认证请求时， 首先通过 协议认证目标域实体身份信息， 然后将实体的身 份信息生 成跨域证书存储到区块链上， 认证信息 在区块链上保证无法被篡改， 且按照共识协议被 多个跨域节 点确认， 实现实体认证信息存储的去 中心化； 安全域中实体节点请求认证一个已经经 过跨域认证的实体节点时， 为了提高认证效率， 可以直接将跨域证书发送至目标 实体节点， 目标 实体节点经过区块链验证合法性之后， 即可完成 实体身份的重认证服务。 解决了Kerberos与IBC 间跨域认证中心化模型复杂、 认证信息管理困难 等技术问题。 权利要求书2页 说明书10页 附图2页 CN 114884698 A 2022.08.09 CN 114884698 A 1.一种基于联盟链的K erberos与IBC安全域间跨 域认证方法， 其特 征在于步骤如下： 步骤1： 构建联盟链 认证环境 基于联盟链的跨域身份认证环境使用联盟链 实现跨域认证场景， Kerberos安全域设定 一个联盟链身份认证服务器BCAS作为联盟链中的认证服务节点， IBC安全域设定一个联盟 链证书服务器BCCA； 在IBC和Kerber os安全域中， 每个安全域节点首先完成在本域中的身份 认证及授权， 安全域内节点认证具备中心化的特点， 由认证服务节点授权节点间的身份认 证； 跨域节点具备去中心化的特点， 由联盟链上各节点共同协商维护联盟链信息作为跨域 身份认证的凭证； 步骤2： 跨 域认证初始化 首先在不同的安全域之间搭建Fabric联盟链网络， 不同安全域为不同智能制造企业或 者组织实体加入； 联盟链网络环境初始 化包括以下内容： 生成系统初始 化的相关配置文件、 启动排序节点、 设置BCCA及BCAS作为记账节点并启动、 创建通道、 安装并实例化链码； 网络 环境建立成功后， 生成KDC及AS的跨域证书并上链存储， Kerberos与IBC安全域的实体初始 化完成； 步骤3： Kerberos到IBC跨 域首次认证方法 Kerberos安全域中的节点首次发起跨域认证请求时， 先向KDC服务器发送请求， KDC确 认请求方身份， 并向BCAS转 发请求； BCAS查询联盟链账本中跨域证书信息， 未找到接收方跨 域证书， 则向IBC域BCCA发起请求； IBC域BCCA接收到认证请求后， 将认证请求转发给认证服 务器AS， AS 验证接收方身份， 生 成跨域证书发送到BCCA， BCCA上传跨域证书至联盟链； KDC服 务器根据跨 域证书验证接收方身份， 分配传输密钥， 完成整个跨 域认证过程； 步骤4： IBC 到Kerberos跨 域首次认证方法 IBC安全域 中的节点首 次发起跨域认证请求时， 先向BCCA服务器发送请求， BCCA服务器 按照跨域协议认证过程向Kerberos域BCAS服务器发送请求， 并将Kerberos域KDC服务器的 跨域证书发送给AS， BCAS转发跨域认证请求， KDC验证请求认证信息后， 为认证接收方生成 跨域证书发送回BCAS， 并存储到联盟链上， KDC生成传输密钥分发给AS和认证接收方， AS转 发传输密钥至认证请求方， 完成整个跨 域认证过程； 步骤5： Kerberos到IBC跨 域重认证方法 Kerberos安全域 中的节点请求认证一个已经经过跨域认证的IBC节点时， 首先向KDC发 起请求， KDC依靠BCAS查询区块链信息获取接收方的跨域证书， 验证跨域证书的有效性后， 分配传输密钥， 即可完成身份认证的重认证过程； 步骤6： IBC 到Kerberos跨 域重认证方法 IBC安全域中的实体节点请求认证一个已经经过跨域认证的Kerberos节点时， 首先向 BCCA请求跨域认证， BCCA查询到接收方跨域证书并检查有效性， 从扩展项中读取KDC跨域证 书号， 直接向Kerberos域中的KDC服务器发起认证请求， KDC确认接收方身份， 生 成传输密钥 并打包数据包分别传送给请求方和接收方， 从而完成整个的跨 域重认证过程； 步骤7： 撤销认证方法 在联盟链中， 区块数据一旦上链， 无法进行更改， 区块数据记录的是对跨域证书进行操 作的过程， 而最新的跨域认证证书存放在世界状态中； 所述的跨域认证证书中， 每一个跨域 证书是否被撤销由证书中Revoke字段值来确定； 若Revoke值为false， 则表 示此跨域证书可权　利　要　求　书 1/2 页 2 CN 114884698 A 2用； 若Revoke值为true， 表示此跨域证书已被撤销； 对于每个域中实体证书的撤销认证， 需 要实体所在域的记账节点提供背书并提交， 才能在整个联盟链中达成共识， 完成整个撤销 过程。权　利　要　求　书 2/2 页 3 CN 114884698 A 3