基于區(qū)塊鏈的泛在電力物聯(lián)網(wǎng)身份認(rèn)證技術(shù)研究

基于區(qū)塊鏈的泛在電力物聯(lián)網(wǎng)身份認(rèn)證技術(shù)研究

劉廷峰周平李江鑫摘

要：為了實(shí)現(xiàn)泛在電力物聯(lián)網(wǎng)中的萬(wàn)物互聯(lián)，安全、便捷的身份可信認(rèn)證是必要的前提。文章借鑒互聯(lián)網(wǎng)企業(yè)在物聯(lián)網(wǎng)領(lǐng)域采用“區(qū)塊鏈+身份認(rèn)證”的成功經(jīng)驗(yàn)，提出在泛在電力物聯(lián)網(wǎng)中引入?yún)^(qū)塊鏈來(lái)構(gòu)造身份認(rèn)證服務(wù)模型，在架構(gòu)上通過(guò)去中心化來(lái)降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)，并促進(jìn)多種信息和方式的融合。首先探索了區(qū)塊鏈的體系架構(gòu)以及關(guān)鍵技術(shù)，確立了技術(shù)基礎(chǔ)，然后研究了基于區(qū)塊鏈分布式信任服務(wù)合約機(jī)制，構(gòu)建通用聯(lián)盟鏈身份認(rèn)證模型。關(guān)鍵詞：區(qū)塊鏈;泛在電力物聯(lián)網(wǎng);身份認(rèn)證;聯(lián)盟鏈;數(shù)據(jù)賬本：TP3-05

：AAbstract：InordertoachievetheinterconnectionofallthingsintheSG-eIoT（electricinternetofThings），secureandconvenientidentityauthenticationisanecessaryprerequisite.ThisarticleusethesuccessfulexperienceofInternetenterprisesinthefieldofInternetofThingsinadoptingblockchain+identityauthenticationforreference，andproposestointroduceblockchaintoconstructidentityauthenticationservicemodelintheSG-EIOT（electricinternetofThings）.Intheframework，theriskofdataleakageisreducedbydecentralization，andtheintegrationofvariousinformationandmodesispromoted.Firstly，thearchitectureandkeytechnologiesofblockchainareexplored，andthetechnicalfoundationisestablished.Then，howtobuildauniversalalliancechainidentityauthenticationmodelbasedonblockchaindistributedtrustservicecontractmechanismisstudied.Keywords：blockchain;SG-eIoT;identityauthentication;alliancechain;dataaccountbook1引言國(guó)家電網(wǎng)公司在2019年“兩會(huì)”報(bào)告以及在多個(gè)場(chǎng)合都提到了“三型兩網(wǎng)”的戰(zhàn)略目標(biāo)，這里所說(shuō)的“兩網(wǎng)”分別是“堅(jiān)強(qiáng)智能電網(wǎng)”和“泛在電力物聯(lián)網(wǎng)”。泛在電力物聯(lián)網(wǎng)覆蓋能源電力“云、網(wǎng)、端”，是與智能電網(wǎng)“共同生存”的公司“第二張網(wǎng)”。所謂“泛在物聯(lián)”是指任何時(shí)間、任何地點(diǎn)、任何人、任何物之間的信息連接和交互?！胺涸陔娏ξ锫?lián)網(wǎng)”將電力用戶及其設(shè)備、電網(wǎng)企業(yè)及其設(shè)備、發(fā)電企業(yè)及其設(shè)備、供應(yīng)商及其設(shè)備以及人和物連接起來(lái)，產(chǎn)生共享數(shù)據(jù)，為用戶、電網(wǎng)、發(fā)電、供應(yīng)商和政府社會(huì)服務(wù)。隨著建設(shè)不斷推進(jìn)，類型復(fù)雜、數(shù)量巨大的物聯(lián)設(shè)備將廣泛接入，設(shè)備的安全身份認(rèn)證及訪問(wèn)授權(quán)將面臨嚴(yán)重的安全風(fēng)險(xiǎn)。在當(dāng)前安全防護(hù)碎片化、物聯(lián)身份認(rèn)證標(biāo)準(zhǔn)缺失、體系化支撐能力不足的情況下，需要建立標(biāo)準(zhǔn)化、體系化、多層次覆蓋的物聯(lián)網(wǎng)身份認(rèn)證體系，支撐泛在電力物聯(lián)網(wǎng)安全落地。傳統(tǒng)身份認(rèn)證采用中心化的身份管理系統(tǒng)，中心化登錄[1]過(guò)程，如圖1所示。中心化管理的缺點(diǎn)也是顯而易見(jiàn)的，一旦身份提供商（IDentityProvider，IDP）不可用或丟失數(shù)據(jù)，所有的用戶和應(yīng)用都將被影響。當(dāng)前，國(guó)內(nèi)外對(duì)于身份認(rèn)證的研究重點(diǎn)是改變目前主流的基于密碼的在線身份驗(yàn)證技術(shù)，保證各廠商開(kāi)發(fā)強(qiáng)認(rèn)證技術(shù)間的互操作性，逐步消除用戶對(duì)密碼的依賴，包括致力于“無(wú)密碼體驗(yàn)”[2]（生物特征）的UAF標(biāo)準(zhǔn)和“雙因子體驗(yàn)”（口令和特定設(shè)備）的U2F標(biāo)準(zhǔn)。同時(shí)，傳統(tǒng)的身份管理機(jī)制在泛在電力物聯(lián)網(wǎng)的應(yīng)用中還面臨著問(wèn)題，例如各個(gè)單位的數(shù)據(jù)孤島不能溝通、中心化管理系統(tǒng)的數(shù)據(jù)泄露風(fēng)險(xiǎn)高、數(shù)據(jù)認(rèn)證格式和安全級(jí)別不同。隨著比特幣近年來(lái)的快速發(fā)展與普及，區(qū)塊鏈技術(shù)的研究與應(yīng)用也呈現(xiàn)出爆發(fā)式增長(zhǎng)態(tài)勢(shì)。目前，區(qū)塊鏈有Ripple、萬(wàn)向區(qū)塊鏈實(shí)驗(yàn)室等應(yīng)用項(xiàng)目，這些項(xiàng)目產(chǎn)品在應(yīng)用中受到了學(xué)術(shù)專家的廣泛關(guān)注，同時(shí)也在不斷地更新和發(fā)展中[3]。2018年5月騰訊TUSI物聯(lián)網(wǎng)聯(lián)合實(shí)驗(yàn)室發(fā)布了身份區(qū)塊鏈產(chǎn)品，為同一用戶不同場(chǎng)景的身份提供交叉認(rèn)證服務(wù)，通過(guò)TUSI可信標(biāo)識(shí)串聯(lián)多個(gè)場(chǎng)景下人與物的關(guān)聯(lián)關(guān)系，將脫敏后的可信身份標(biāo)識(shí)通過(guò)區(qū)塊鏈索引給聯(lián)盟成員，為物聯(lián)網(wǎng)時(shí)代提供更高效可控的用戶身份鑒權(quán)方案與業(yè)務(wù)應(yīng)用接口。安全是身份認(rèn)證場(chǎng)景的前提，在物聯(lián)網(wǎng)領(lǐng)域，讓更多企業(yè)、更多設(shè)備之間建立可信關(guān)系，這也是深度契合萬(wàn)物互聯(lián)的目標(biāo)。借鑒互聯(lián)網(wǎng)企業(yè)在物聯(lián)網(wǎng)領(lǐng)域采用“區(qū)塊鏈+身份認(rèn)證”的實(shí)踐經(jīng)驗(yàn)，本文提出泛在電力物聯(lián)網(wǎng)引入?yún)^(qū)塊鏈來(lái)實(shí)現(xiàn)身份服務(wù)的統(tǒng)一與激勵(lì)[4]，在架構(gòu)上通過(guò)去中心化來(lái)降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)，并促進(jìn)多種信息和方式的融合。從跨域、跨聯(lián)盟身份管理的應(yīng)用種類來(lái)看，采用的區(qū)塊鏈模型不同于比特幣為代表的公有鏈，任何人都可以參與記賬，也不是只能在一個(gè)組織或?qū)嶓w內(nèi)部記賬的私有鏈，而是典型的聯(lián)盟鏈，設(shè)定多個(gè)組織、人、企業(yè)進(jìn)行認(rèn)證等。本文從泛在電力物聯(lián)網(wǎng)的安全身份認(rèn)證需求出發(fā)，以區(qū)塊鏈的原理和架構(gòu)為基礎(chǔ)，提出了基于區(qū)塊鏈的泛在電力物聯(lián)網(wǎng)身份認(rèn)證體系架構(gòu)和設(shè)計(jì)原則，為電力物聯(lián)網(wǎng)系統(tǒng)建設(shè)提供參考。2區(qū)塊鏈體系架構(gòu)及關(guān)鍵技術(shù)區(qū)塊鏈?zhǔn)欠植际酱鎯?chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、加密算法等計(jì)算機(jī)技術(shù)的新型應(yīng)用模式。區(qū)塊連技術(shù)是利用鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)驗(yàn)證與存儲(chǔ)數(shù)據(jù)，利用分布式節(jié)點(diǎn)共識(shí)算法生成和更新數(shù)據(jù)，利用密碼學(xué)的方式保證數(shù)據(jù)傳輸和訪問(wèn)的安全，利用由自動(dòng)化腳本代碼組成的智能合約，編程和操作數(shù)據(jù)全新的分布式基礎(chǔ)架構(gòu)與計(jì)算范式[5]。2.1體系架構(gòu)區(qū)塊鏈技術(shù)的體系架構(gòu)模型如圖2所示。區(qū)塊鏈系統(tǒng)由數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、激勵(lì)層、合約層和應(yīng)用層組成。其中，數(shù)據(jù)層封裝了底層數(shù)據(jù)區(qū)塊以及相關(guān)的數(shù)據(jù)加密和時(shí)間戳等技術(shù);網(wǎng)絡(luò)層則包括分布式組網(wǎng)機(jī)制、數(shù)據(jù)傳播機(jī)制和數(shù)據(jù)驗(yàn)證機(jī)制等;共識(shí)層主要封裝網(wǎng)絡(luò)節(jié)點(diǎn)的各類共識(shí)算法;激勵(lì)層將經(jīng)濟(jì)因素集成到區(qū)塊鏈技術(shù)體系中來(lái)，主要包括經(jīng)濟(jì)激勵(lì)的發(fā)行機(jī)制和分配機(jī)制等;合約層主要封裝各類腳本、算法和智能合約，是區(qū)塊鏈可編程特性的基礎(chǔ);應(yīng)用層則封裝了區(qū)塊鏈的各種應(yīng)用場(chǎng)景和案例。（1）數(shù)據(jù)層區(qū)塊鏈?zhǔn)侨ブ行幕到y(tǒng)各節(jié)點(diǎn)共享的數(shù)據(jù)賬本。每個(gè)分布式節(jié)點(diǎn)都可以通過(guò)特定的哈希算法和Merkle樹(shù)數(shù)據(jù)結(jié)構(gòu)，將一段時(shí)間內(nèi)接收到的交易數(shù)據(jù)和代碼，封裝到一個(gè)帶有時(shí)間戳的數(shù)據(jù)區(qū)塊中，并鏈接到當(dāng)前最長(zhǎng)的主區(qū)塊鏈上，形成最新的區(qū)塊。（2）網(wǎng)絡(luò)層網(wǎng)絡(luò)層封裝了區(qū)塊鏈系統(tǒng)的組網(wǎng)方式、消息傳播協(xié)議和數(shù)據(jù)驗(yàn)證機(jī)制等要素。結(jié)合實(shí)際應(yīng)用需求，通過(guò)設(shè)計(jì)特定的傳播協(xié)議和數(shù)據(jù)驗(yàn)證機(jī)制，可使得區(qū)塊鏈系統(tǒng)中每一個(gè)節(jié)點(diǎn)都能參與區(qū)塊數(shù)據(jù)的校驗(yàn)和記賬過(guò)程，當(dāng)區(qū)塊數(shù)據(jù)通過(guò)全網(wǎng)大部分節(jié)點(diǎn)驗(yàn)證后，才能記入?yún)^(qū)塊鏈。（3）共識(shí)層Pow共識(shí)的核心思想是通過(guò)引入分布式節(jié)點(diǎn)的算力競(jìng)爭(zhēng)，來(lái)保證數(shù)據(jù)一致性和共識(shí)的安全性。在比特幣系統(tǒng)中，各節(jié)點(diǎn)基于各自的計(jì)算機(jī)算力相互競(jìng)爭(zhēng)，來(lái)共同解決一個(gè)求解復(fù)雜但驗(yàn)證容易的SHA256數(shù)學(xué)難題，最快解決該難題的節(jié)點(diǎn)將獲得區(qū)塊記賬權(quán)和系統(tǒng)自動(dòng)生成的比特幣獎(jiǎng)勵(lì)。（4）激勵(lì)層區(qū)塊鏈共識(shí)過(guò)程通過(guò)匯聚大規(guī)模共識(shí)節(jié)點(diǎn)的算力資源，來(lái)實(shí)現(xiàn)共享區(qū)塊鏈賬本的數(shù)據(jù)驗(yàn)證和記賬工作，因而其本質(zhì)上是一種共識(shí)節(jié)點(diǎn)間的任務(wù)眾包過(guò)程。去中心化系統(tǒng)中的共識(shí)節(jié)點(diǎn)本身是自利的，最大化自身收益是其參與數(shù)據(jù)驗(yàn)證和記賬的根本目標(biāo)。因此，必須設(shè)計(jì)激勵(lì)相容的合理眾包機(jī)制，使得共識(shí)節(jié)點(diǎn)最大化自身收益的個(gè)體理性行為與保障去中心化區(qū)塊鏈系統(tǒng)的安全和有效性的整體目標(biāo)相吻合。區(qū)塊鏈系統(tǒng)通過(guò)設(shè)計(jì)適度的經(jīng)濟(jì)激勵(lì)機(jī)制并與共識(shí)過(guò)程相集成，從而匯聚大規(guī)模的節(jié)點(diǎn)參與并形成了對(duì)區(qū)塊鏈歷史的穩(wěn)定共識(shí)。（5）合約層合約層封裝區(qū)塊鏈系統(tǒng)的各類腳本代碼、算法以及由此生成的更為復(fù)雜的智能合約。合約層建立在區(qū)塊鏈虛擬機(jī)之上的商業(yè)邏輯和算法，是實(shí)現(xiàn)區(qū)塊鏈系統(tǒng)靈活編程和操作數(shù)據(jù)的基礎(chǔ)。智能合約無(wú)須彼此信任，因?yàn)橹悄芎霞s不僅是由代碼進(jìn)行定義的，也是由代碼強(qiáng)制執(zhí)行的，完全自動(dòng)且無(wú)法干預(yù)。到了約定時(shí)間，機(jī)器就自動(dòng)執(zhí)行。2.2關(guān)鍵技術(shù)本文主要從區(qū)塊結(jié)構(gòu)、非對(duì)稱加密算法、分布式結(jié)構(gòu)和智能合約四個(gè)部分進(jìn)行闡述。（1）區(qū)塊結(jié)構(gòu)區(qū)塊鏈?zhǔn)怯梢粋€(gè)個(gè)區(qū)塊組成的鏈。每個(gè)區(qū)塊分為區(qū)塊頭和區(qū)塊體（含交易數(shù)據(jù)）兩個(gè)部分。區(qū)塊體保存的是若干條記錄以及由每條記錄的Hash值構(gòu)成的二叉Merkle樹(shù)。區(qū)塊頭一般包括版本號(hào)、前一區(qū)塊的Hash值（Hash指針）、隨機(jī)數(shù)、目標(biāo)Hash值（本區(qū)塊的Hash值）、Merkle根，有時(shí)還會(huì)有用于PoW的計(jì)算困難門限值Difficulty等。根據(jù)不同的應(yīng)用，塊頭和塊身的數(shù)據(jù)項(xiàng)也會(huì)有所不同。（2）非對(duì)稱加密算法非對(duì)稱加密是為滿足安全性需求和所有權(quán)驗(yàn)證需求而集成到區(qū)塊鏈中的加密技術(shù)，常見(jiàn)算法包括RSA、Elgamal、Rabin、D-H、ECC（即橢圓曲線加密算法）等。（3）分布式結(jié)構(gòu)區(qū)塊鏈建立的物理網(wǎng)絡(luò)基礎(chǔ)是點(diǎn)對(duì)點(diǎn)的分布式網(wǎng)絡(luò)，這與中心化的“客戶端/服務(wù)器”網(wǎng)絡(luò)架構(gòu)差別較大，它是一種去中心化的網(wǎng)絡(luò)，這種分布式結(jié)構(gòu)不再讓數(shù)據(jù)集中在服務(wù)器上，而是使數(shù)據(jù)能夠分散地存儲(chǔ)在不同的節(jié)點(diǎn)上。當(dāng)節(jié)點(diǎn)想要寫(xiě)入數(shù)據(jù)時(shí)，需半數(shù)以上其余節(jié)點(diǎn)通過(guò)共識(shí)機(jī)制確認(rèn)該節(jié)點(diǎn)的身份，才能夠?qū)?shù)據(jù)寫(xiě)入到節(jié)點(diǎn)中。這就提高了數(shù)據(jù)傳輸?shù)男剩啾戎行幕木W(wǎng)絡(luò)結(jié)構(gòu)而言也具有更高的安全性。（4）智能合約智能合約是一種特殊協(xié)議，旨在提供、驗(yàn)證及執(zhí)行合約，它在不需要第三方的情況下，執(zhí)行可追溯、不可逆轉(zhuǎn)和安全的交易。在智能合約中封裝了預(yù)先設(shè)定的響應(yīng)條件、觸發(fā)條件等內(nèi)容。各個(gè)節(jié)點(diǎn)就所簽署的合約達(dá)成一致后將合約內(nèi)容以代碼的形式嵌入?yún)^(qū)塊鏈中。一旦有滿足合約中相應(yīng)條件或者觸發(fā)條件時(shí)，自動(dòng)激活并且執(zhí)行智能合約。本質(zhì)上，智能合約是一個(gè)數(shù)字合約，除非滿足要求，否則不會(huì)產(chǎn)生結(jié)果。3基于區(qū)塊鏈的物聯(lián)網(wǎng)身份認(rèn)證服務(wù)模型及優(yōu)勢(shì)3.1身份認(rèn)證服務(wù)模型大數(shù)據(jù)時(shí)代為信任服務(wù)引入了更多的實(shí)體，如何構(gòu)建泛在電力物聯(lián)網(wǎng)下的身份信任體系[6]十分重要，區(qū)塊鏈系統(tǒng)弱中心化、公開(kāi)透明、安全可靠的特點(diǎn)為網(wǎng)絡(luò)空間的信任服務(wù)提供了理論基礎(chǔ)。用戶身份屬敏感信息，用戶和應(yīng)用商對(duì)系統(tǒng)有隱私保護(hù)的需求，而身份管理則要加強(qiáng)權(quán)威。從當(dāng)前中心化管理系統(tǒng)面臨的問(wèn)題出發(fā)，考慮各方需求，系統(tǒng)架構(gòu)不可完全去中心化，也不可完全中心化，因此采用跨域、跨聯(lián)盟的聯(lián)盟鏈框架。該框架可以通過(guò)交易過(guò)程中的密碼學(xué)處理實(shí)現(xiàn)監(jiān)管。區(qū)塊鏈分布式存儲(chǔ)、不可篡改的特點(diǎn)是使用戶獲得數(shù)據(jù)操作主動(dòng)權(quán)的重要手段，能夠在了解身份提供商、監(jiān)管方、應(yīng)用商利益關(guān)系的基礎(chǔ)上設(shè)計(jì)契合多方需求的解決方案。基于區(qū)塊鏈分布式信任服務(wù)合約機(jī)制，對(duì)通用聯(lián)盟鏈模型[7]進(jìn)行分析，如圖3所示。服務(wù)層提供基礎(chǔ)區(qū)塊鏈服務(wù)，包含三類邏輯結(jié)構(gòu)分別為區(qū)塊鏈服務(wù)模塊、智能合約服務(wù)模塊、成員管理模塊。其通過(guò)系統(tǒng)中的時(shí)間或事件觸發(fā)不同的模塊，比如新節(jié)點(diǎn)加入觸發(fā)成員管理模塊的注冊(cè)功能。接口層為上層提供基本區(qū)塊鏈操作接口，并設(shè)定了用戶、應(yīng)用、身份提供商、監(jiān)管機(jī)構(gòu)等幾個(gè)實(shí)體，使得接口層能夠?qū)ν馓峁┗旧矸菡J(rèn)證服務(wù)，包括對(duì)應(yīng)用、用戶提供認(rèn)證接口，對(duì)監(jiān)管機(jī)構(gòu)提供監(jiān)管接口，同時(shí)與身份提供商接口對(duì)接，實(shí)現(xiàn)初始身份鑒別及登記。接口層和服務(wù)層作為信任服務(wù)模型為外部應(yīng)用提供基礎(chǔ)的區(qū)塊鏈服務(wù)，基于該模型將徹底改變現(xiàn)有中心化身份管理體系的現(xiàn)狀，同時(shí)兼顧到用戶隱私保護(hù)需求與監(jiān)管需求。下面以注冊(cè)和認(rèn)證為例進(jìn)行說(shuō)明。用戶注冊(cè)流程如圖4所示，認(rèn)證流程如圖5所示。（1）用戶注冊(cè)流程1）身份提供商接到用戶通過(guò)終端應(yīng)用發(fā)起的注冊(cè)申請(qǐng)。2）身份提供商選擇注冊(cè)要求，并將本次注冊(cè)的相關(guān)政策發(fā)回用戶。3）用戶終端產(chǎn)生一對(duì)新公私鑰，該公私鑰對(duì)用戶、身份提供商、區(qū)塊鏈而言是唯一的。4）用戶按政策要求選擇屬性、本人公鑰及其他自由選擇的屬性等，將其發(fā)回身份提供商，并出示相關(guān)證明材料。5）身份提供商對(duì)用戶證明材料進(jìn)行驗(yàn)證，通過(guò)后保存用戶公鑰及關(guān)聯(lián)用戶，但不在本地保存用戶數(shù)據(jù)，而是對(duì)屬性數(shù)據(jù)進(jìn)行哈希處理和簽名處理，從而得到“證明”。6）將“證明”發(fā)送到區(qū)塊鏈上進(jìn)行加密存儲(chǔ)。7）響應(yīng)用戶注冊(cè)成功。（2）認(rèn)證流程1）應(yīng)用向用戶發(fā)送隨機(jī)數(shù)挑戰(zhàn)，要求用戶按策略認(rèn)證所需的數(shù)據(jù)。2）用戶按照認(rèn)證要求的策略在終端選擇之前注冊(cè)時(shí)身份提供商認(rèn)證過(guò)的數(shù)據(jù)屬性。3）用戶對(duì)挑戰(zhàn)值簽名，用公鑰加密應(yīng)用所需的屬性材料，并提供身份提供商的公鑰及關(guān)聯(lián)信息發(fā)送給應(yīng)用。4）應(yīng)用根據(jù)提供的身份提供商信息，到身份提供商處查找用戶公鑰、關(guān)聯(lián)信息、區(qū)塊鏈“證明”位置信息。5）身份提供商返回應(yīng)用要求的信息。6）應(yīng)用自動(dòng)到區(qū)塊鏈查找“證明”信息。7）應(yīng)用對(duì)用戶提供的認(rèn)證材料進(jìn)行哈希處理，并與用身份提供商公鑰簽名過(guò)的區(qū)塊鏈“證明”材料做比對(duì)，以驗(yàn)證認(rèn)證數(shù)據(jù)的有效性。8）應(yīng)用驗(yàn)證成功后，不在本地存儲(chǔ)用戶數(shù)據(jù)，而是對(duì)用戶提供的有效數(shù)據(jù)進(jìn)行哈希處理并簽名，生成新的“認(rèn)證”材料（帶有時(shí)間戳等元數(shù)據(jù)）并發(fā)送到區(qū)塊鏈做記錄。9）返回用戶認(rèn)證成功信息。在注冊(cè)和認(rèn)證協(xié)議中，用戶、應(yīng)用、身份提供商之間的信息交互都通過(guò)非對(duì)稱加密技術(shù)來(lái)保證價(jià)值傳輸?shù)陌踩?，即發(fā)送方對(duì)信息先用發(fā)送方私鑰簽名，再用接受方公鑰加密，然后發(fā)送給接收方。接收方接收到信息后先用發(fā)送方公鑰驗(yàn)證，再用接收方私鑰解密。認(rèn)證步驟2）體現(xiàn)用戶對(duì)自己數(shù)據(jù)的控制和許可。信任傳遞通過(guò)區(qū)塊鏈的去中心交換來(lái)承諾實(shí)現(xiàn)，體現(xiàn)在認(rèn)證步驟8）中生成本次認(rèn)證的材料被應(yīng)用簽名記錄在區(qū)塊鏈中可供下次其他應(yīng)用對(duì)用戶認(rèn)證時(shí)使用，關(guān)系如圖6所示。3.2基于區(qū)塊鏈服務(wù)模型的優(yōu)勢(shì)由于底層區(qū)塊鏈服務(wù)模型的支持，設(shè)計(jì)兼顧系統(tǒng)各參與方需求的注冊(cè)、認(rèn)證協(xié)議成為可能。借助區(qū)塊服務(wù)模塊增強(qiáng)系統(tǒng)的可靠性、抗攻擊性并實(shí)現(xiàn)分布式用戶數(shù)據(jù)管理。借助智能合約模塊定制特定場(chǎng)景來(lái)符合雙方需求的“合同”，用代碼更好地保證公平性。成員管理模塊維持系統(tǒng)各參與方有序進(jìn)行，增加了系統(tǒng)的可擴(kuò)展性。首先，目前信任服務(wù)機(jī)制還不夠成熟，基于市場(chǎng)需求、身份提供商及身份使用方的利益關(guān)系，以現(xiàn)有信任服務(wù)及身份認(rèn)證為基礎(chǔ)，結(jié)合區(qū)塊鏈的優(yōu)勢(shì)特點(diǎn)，提出基于區(qū)塊鏈的信任服務(wù)模型，使之提供全網(wǎng)統(tǒng)一的信任模型，支持多個(gè)身份提供商的共同接入、多種格式身份的安全認(rèn)證，以及多種身份信息源認(rèn)證方式的融合統(tǒng)一。然后，所有的認(rèn)證都是點(diǎn)對(duì)點(diǎn)發(fā)生的，用戶數(shù)據(jù)存于手機(jī)終端，區(qū)塊鏈只起到驗(yàn)證作用，管理機(jī)構(gòu)則不用維護(hù)中心化數(shù)據(jù)庫(kù)從而節(jié)約了大量成本，因?yàn)檎J(rèn)證的真實(shí)性是由區(qū)塊鏈上所有參與者共同驗(yàn)證和維護(hù)的，所以作為第三方的信用中介失去了價(jià)值。其次，在聯(lián)盟鏈的框架下，系統(tǒng)間的信息交互不再因?yàn)榧嫒菪院突コ庑詫?dǎo)致部署成本高且連接困難，因?yàn)樗邢到y(tǒng)使用相同的技術(shù)協(xié)議，而參與方之間的認(rèn)證規(guī)則也依照協(xié)議共識(shí)寫(xiě)入?yún)^(qū)塊鏈作為標(biāo)準(zhǔn)，不得篡改。最后，區(qū)塊鏈智能合約可編程使得不同場(chǎng)景的管理機(jī)構(gòu)根據(jù)需要使認(rèn)證流程全自動(dòng)化;通過(guò)在區(qū)塊鏈嵌入預(yù)設(shè)好的認(rèn)證