淺析基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案

◆唐曉華 余益民 陳韜偉 傅 威

淺析基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案

◆唐曉華 余益民 陳韜偉 傅 威

（云南財(cái)經(jīng)大學(xué)（昆明）信息學(xué)院 云南 650221）

分布式環(huán)境下跨域認(rèn)證的發(fā)展已經(jīng)引起了業(yè)界與學(xué)術(shù)界的廣泛關(guān)注，傳統(tǒng)的跨域認(rèn)證體系已經(jīng)無法滿足多信任域間高效的信息服務(wù)要求。區(qū)塊鏈技術(shù)的出現(xiàn)很好地解決了傳統(tǒng)跨域認(rèn)證的單點(diǎn)故障、中間人攻擊、證書透明度等問題。本文描述了近年來跨域認(rèn)證方案的研究現(xiàn)狀和進(jìn)展。首先，概述了傳統(tǒng)跨域認(rèn)證方案的特點(diǎn)及其存在的問題；然后，分析了基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案的特點(diǎn)并對(duì)比了其他方案；最后，對(duì)基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案進(jìn)行了展望。

跨域認(rèn)證；區(qū)塊鏈技術(shù)；信任域

實(shí)體間信任的建立是信息安全技術(shù)要解決的關(guān)鍵問題之一，基于可信第三方及身份認(rèn)證是保證信息安全的重要機(jī)制，現(xiàn)有的基于證書公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）[1]和基于身份的密碼體制（Identity-Based Cryptography，IBC）[2]是較為成熟且應(yīng)用廣泛的技術(shù)。在當(dāng)前時(shí)代下，各類組織機(jī)構(gòu)為了方便管理用戶，建立其獨(dú)立的信任域進(jìn)行域內(nèi)用戶的身份管理和認(rèn)證，當(dāng)用戶需要訪問多個(gè)信任域時(shí)，就出現(xiàn)了跨域認(rèn)證問題。

目前，各信任域的基礎(chǔ)認(rèn)證框架應(yīng)用較為廣泛的是PKI體系：基于可信任第三方和基于Web信任模型（Web-of-Trust，WoT），但傳統(tǒng)PKI體系仍然存在證書管理復(fù)雜、單點(diǎn)故障[3]以及構(gòu)建信任網(wǎng)絡(luò)工作量大、進(jìn)入門檻高等問題。因此，如何安全高效地實(shí)現(xiàn)跨域認(rèn)證成為國(guó)內(nèi)外學(xué)者的研究重點(diǎn)。文獻(xiàn)[4]提出了PKI域間的認(rèn)證模，包括層次模型、交叉認(rèn)證的網(wǎng)狀模型、橋CA（Certificate Authority）模型等。文獻(xiàn)[5]構(gòu)建了一個(gè)橋CA認(rèn)證模型，實(shí)現(xiàn)各PKI的域間認(rèn)證，但該認(rèn)證模型要求每個(gè)PKI域都信任這個(gè)可信第三方，因此其實(shí)際應(yīng)用較為困難。文獻(xiàn)[6]以PKI為基礎(chǔ)，提出了一種基于身份的多信任域網(wǎng)格認(rèn)證模型，該模型供了跨信任域的雙向?qū)嶓w認(rèn)證功能，但其無法抵抗偽造攻擊。文獻(xiàn)[7]利用無可信中心橢圓曲線門限簽名和可變多方協(xié)議提出一個(gè)基于虛擬橋CA虛擬企業(yè)跨域認(rèn)證方案，但由于門限簽名造成的交互代價(jià)比較大，使得其可擴(kuò)展性不強(qiáng)。文獻(xiàn)[8]采用橋CA認(rèn)證模型，實(shí)現(xiàn)了PKI和Kerberos異構(gòu)域之間的相互認(rèn)證，但其證書維護(hù)復(fù)雜、橋CA管理難。為解決這類問題，學(xué)者們對(duì)基于身份的密碼體系進(jìn)行了廣泛的研究，文獻(xiàn)[9]基于CK（Canetti-Krawczyk）模型構(gòu)造了一個(gè)基于身份的多信任域認(rèn)證模型，但其需要用戶進(jìn)行多次雙線性運(yùn)算，計(jì)算開銷較大。文獻(xiàn)[10]提出了一種基于證書的無線網(wǎng)狀網(wǎng)絡(luò)跨域認(rèn)證密鑰協(xié)議，實(shí)現(xiàn)用戶之間的相互認(rèn)證及密鑰交換協(xié)議，但使用多次的對(duì)稱加密算法造成過多的計(jì)算和存儲(chǔ)開銷。文獻(xiàn)[11]提出了PKI域和IBC域之間跨異構(gòu)域認(rèn)證的密鑰協(xié)商方案，但仍使得用戶承載了較大的計(jì)算量和通信量。以上研究成果表明，基于證書和身份的跨域認(rèn)證方案仍存在許多亟待解決的問題。

鑒于互聯(lián)網(wǎng)的分布式本質(zhì)，研究者們將具有去信任、分布式存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、加密算法等特點(diǎn)的區(qū)塊鏈技術(shù)與跨域認(rèn)證技術(shù)相結(jié)合，利用區(qū)塊鏈技術(shù)特點(diǎn)解決了傳統(tǒng)跨域認(rèn)證技術(shù)存在的CA不可信、證書透明度、單節(jié)點(diǎn)故障、中間人攻擊、密鑰托管等問題。為分布式環(huán)境下實(shí)現(xiàn)跨域認(rèn)證、建立實(shí)體間信任等問題提供了一種解決方案。本文著重概述了基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案的特點(diǎn)，并與其他跨域認(rèn)證方案相比較，分析了基于區(qū)塊鏈技術(shù)跨域認(rèn)證方案的優(yōu)勢(shì)及對(duì)其發(fā)展的方向展望。

1 基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案

區(qū)塊鏈最早出現(xiàn)于2008年中本聰發(fā)表的《Bitcoin：A peer-to-peer electronic cash system》[12]論文中，且一般將區(qū)塊鏈定義為一種按照時(shí)間順序?qū)?shù)據(jù)區(qū)塊以鏈條的方式組合形成的特定數(shù)據(jù)結(jié)構(gòu)，并以密碼學(xué)方式保證其不可篡改和不可偽造的去中心化、去信任的分布式共享總賬系統(tǒng)。鑒于區(qū)塊鏈獨(dú)特的屬性組合，多個(gè)領(lǐng)域?qū)⑵淞袨槭滓l(fā)展方向，如金融科技[13]、跨境電商[14]、智能制造[15]等領(lǐng)域，也為PKI系統(tǒng)提供了證書的透明度及撤銷、可靠的交易記錄并消除了中心故障節(jié)點(diǎn)等安全屬性?，F(xiàn)階段基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案大致可分為兩類，分別是在區(qū)塊鏈上部署PKI體系的認(rèn)證模型及通過構(gòu)建域間聯(lián)盟鏈模型的跨域認(rèn)證方案。

（1）基于區(qū)塊鏈技術(shù)的PKI認(rèn)證模型

利用區(qū)塊鏈技術(shù)構(gòu)建分散的PKI消除了使用CA所造成的單點(diǎn)故障，如果CA認(rèn)證節(jié)點(diǎn)被破壞，可能會(huì)損害整個(gè)證書鏈[16]。且相對(duì)于基于WoT的PKI，基于區(qū)塊鏈的PKI具有更多優(yōu)勢(shì)，基于WoT的PKI進(jìn)入的門檻高、構(gòu)建信任網(wǎng)絡(luò)所需的工作量大，但其構(gòu)建的網(wǎng)絡(luò)是值得信賴的。在基于區(qū)塊鏈的PKI中，實(shí)體間不需要Web成員的證明，因此消除了作為網(wǎng)絡(luò)成員執(zhí)行所需的工作量。

基于區(qū)塊鏈技術(shù)的PKI體系的核心思想是通過公共總賬來記錄用戶證書，2014年麻省理工學(xué)院學(xué)者Conner首次提出的Certcoin[17，18]，其核心理念是維護(hù)域名及其相關(guān)公鑰的公共分類賬，證書簽發(fā)過程對(duì)每一個(gè)用戶公開可查詢，解決了傳統(tǒng)CA體系存在的單點(diǎn)故障和證書管理維護(hù)等問題。但其操作（注冊(cè)、更新及驗(yàn)證）通過區(qū)塊鏈以交易的形式公開發(fā)布，使用公鑰執(zhí)行的所有動(dòng)作都可以由查看分類賬的任何實(shí)體追蹤到公鑰擁有的身份，因此不適用需要保護(hù)用戶身份隱私的場(chǎng)景?；诖?，Axon[19，20]對(duì)Certcoin模型進(jìn)行了改進(jìn)，提出了一個(gè)基于區(qū)塊鏈的隱私感知PKI模型（Privacy-awareness in Block Chain-based PKI，PB-PKI）。該模型提供不可鏈接的短期密鑰更新和用戶控制機(jī)制，其中用戶的身份和先前使用的公鑰可以由用戶自己或通過網(wǎng)絡(luò)多數(shù)的共識(shí)來公開，通過線下密鑰對(duì)線上密鑰進(jìn)行用戶的隱私保護(hù)，減少了用戶隱私信息泄露的風(fēng)險(xiǎn)。

針對(duì)互聯(lián)網(wǎng)交易架構(gòu)中傳統(tǒng)信用體系存在的可抵賴問題，朱建明，付永貴[21]提出了基于區(qū)塊鏈的 B2B+B2C 供應(yīng)鏈動(dòng)態(tài)多中心協(xié)同認(rèn)證模型。該模型由多個(gè)交易主體作為不同認(rèn)證中心共同來認(rèn)證供應(yīng)鏈的交易行為，消除了傳統(tǒng)單一認(rèn)證中心存在的篡改交易記錄、欺詐客戶及單點(diǎn)故障等問題，提高了交易行為的可證明性和穩(wěn)定性，保證了交易信息的高度透明性、一致性及真實(shí)性。

Zhang F等人[22]提出了Town Crier（TC）系統(tǒng)，該系統(tǒng)通過為智能契約提供一個(gè)經(jīng)過身份驗(yàn)證的數(shù)據(jù)提要（ADF）來解決其數(shù)據(jù)來源的安全認(rèn)證問題。TC作為智能合約和現(xiàn)有web站點(diǎn)之間的橋梁，將區(qū)塊鏈前端與后端的可信硬件（SGX）相結(jié)合，向依賴智能契約的用戶提供經(jīng)過源代碼驗(yàn)證的數(shù)據(jù)，以實(shí)現(xiàn)對(duì)數(shù)據(jù)來源的認(rèn)證。

結(jié)合Web-of-Trust模型與智能合約，Al-Bassam[23]提出了一個(gè)基于分散和透明的PKI系統(tǒng)，使惡意證書在發(fā)布時(shí)較容易被檢測(cè)到，信任網(wǎng)模型的設(shè)計(jì)使系統(tǒng)中的實(shí)體對(duì)另一個(gè)實(shí)體身份的細(xì)粒度屬性（如公司名稱或域名）的驗(yàn)證成為可能，實(shí)現(xiàn)了實(shí)體身份與實(shí)體屬性之間的信任傳遞關(guān)系。

（2）構(gòu)建聯(lián)盟鏈跨域認(rèn)證模型

周致成等人[24]提出了基于區(qū)塊鏈技術(shù)的PKI域間認(rèn)證方案，設(shè)計(jì)了區(qū)塊鏈證書授權(quán)中心CA（BCCA）的信任模型和系統(tǒng)架構(gòu)。BCCA 信任模型中，加入聯(lián)盟鏈的根CA是可信的，作為VP自生成根CA區(qū)塊鏈證書，并將證書的哈希值記入不易篡改的區(qū)塊鏈內(nèi)，作為各域的信任憑證，以實(shí)現(xiàn)安全高效的跨域認(rèn)證。

針對(duì)信任域信息交互頻繁以及域間不能安全高效認(rèn)證等問題，馬曉婷等人[25]提出一種基于區(qū)塊鏈技術(shù)的跨異構(gòu)域認(rèn)證方案，其中聯(lián)盟鏈模型是由IBC域中的區(qū)塊鏈域代理服務(wù)器和PKI域區(qū)塊鏈證書服務(wù)器等構(gòu)成。該跨域模型如圖1所示，其設(shè)計(jì)了跨域認(rèn)證協(xié)議與重認(rèn)證協(xié)議；降低了用戶終端的計(jì)算量、通信量和存儲(chǔ)負(fù)擔(dān)；簡(jiǎn)化了重認(rèn)證過程；實(shí)現(xiàn)了IBC與PKI異構(gòu)域間的安全且高效地進(jìn)行通信。但此跨域認(rèn)證方案未解決用戶身份及證書的更新和撤銷的問題，區(qū)塊鏈數(shù)據(jù)只增不刪，就會(huì)因存儲(chǔ)數(shù)據(jù)造成整個(gè)系統(tǒng)的開銷浪費(fèi)問題。

圖1 聯(lián)盟鏈模型和跨域模型

以上研究表明，基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案可以有效降低傳統(tǒng)中心PKI體系構(gòu)建的成本，如減少用戶端的計(jì)算量、通信量及簡(jiǎn)化重認(rèn)證的過程；有效解決傳統(tǒng)PKI體系中證書透明度、CA單節(jié)點(diǎn)故障、證書信息管理復(fù)雜等問題；充分實(shí)現(xiàn)對(duì)用戶身份的輕量級(jí)認(rèn)及對(duì)用戶身份的匿名認(rèn)證，降低了用戶隱私信息泄露的風(fēng)險(xiǎn)。將區(qū)塊鏈作為跨域認(rèn)證方案中的中間技術(shù)，設(shè)計(jì)各域中的區(qū)塊鏈證書，頒發(fā)自定義的符合X.509認(rèn)證格式的CA證書，作為各域間認(rèn)證的信任憑證，或設(shè)置各信任域的代理認(rèn)證服務(wù)器，構(gòu)建聯(lián)盟鏈模型，以實(shí)現(xiàn)各域的跨域認(rèn)證。但是，基于區(qū)塊鏈的跨域認(rèn)證方案并沒有很好的解決區(qū)塊鏈本身固有的數(shù)據(jù)冗余問題。在各種跨域認(rèn)證方案中區(qū)塊鏈上的數(shù)據(jù)只添加而沒有刪除，造成了整個(gè)跨域認(rèn)證體系的存儲(chǔ)開銷大，因此用戶身份和證書的更新、撤銷就成為一個(gè)亟待解決的問題。

2 跨域認(rèn)證方案對(duì)比分析

跨域認(rèn)證在任何環(huán)境體系下都是存在的，研究學(xué)者們針對(duì)不同的環(huán)境提出了相應(yīng)的跨域認(rèn)證方案，解決了其存在的單點(diǎn)故障、密鑰托管、證書管理復(fù)雜等問題。

為實(shí)現(xiàn)無線局域網(wǎng)（WLANs）間的安全認(rèn)證，Kim 等人[26]提出了一種移動(dòng)調(diào)整身份驗(yàn)證協(xié)議（MAP）的增強(qiáng)協(xié)議，利用對(duì)稱密鑰加密技術(shù)進(jìn)行跨域認(rèn)證和密鑰分發(fā)。針對(duì)遠(yuǎn)程醫(yī)療所面臨的身份認(rèn)證、機(jī)密性和隱私保護(hù)等重要挑戰(zhàn)，Qikun等人[27]提出了一種動(dòng)態(tài)的跨域認(rèn)證非對(duì)稱組密鑰協(xié)議，該協(xié)議避免了密鑰托管的安全風(fēng)險(xiǎn)和證書管理的復(fù)雜性。在混合網(wǎng)絡(luò)環(huán)境中因各網(wǎng)絡(luò)中的安全策略、密碼體制的不同而導(dǎo)致的節(jié)點(diǎn)間身份認(rèn)證困難的問題，李錚等人[28]提出基于零知識(shí)證明的跨異構(gòu)域認(rèn)證方案，實(shí)現(xiàn)了域間用戶的安全認(rèn)證。云環(huán)境下，針對(duì)單一云間認(rèn)證的效率和瓶頸問題，結(jié)合當(dāng)前混合云環(huán)境，江澤濤等人[29]提出一種基于異構(gòu)域系統(tǒng)的跨域認(rèn)證方案。將時(shí)間戳和保持會(huì)話新鮮性的隨機(jī)數(shù)加入認(rèn)證過程中，能夠有效抵抗重放攻擊。此方雖解決了單一云間認(rèn)證存在的問題，但仍然采用第三方認(rèn)證中心方式，并沒有建立如基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案的去中心化認(rèn)證機(jī)制，那么基于云環(huán)境下無可信中心的跨域認(rèn)證方案將成為下一步的研究方向。

表1 跨域認(rèn)證方案性能對(duì)比

如表1所示，現(xiàn)階段與其他方案相比，基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案最為明顯的優(yōu)勢(shì)，是其支持去中心化信任，這一優(yōu)勢(shì)使得區(qū)塊鏈技術(shù)在跨域認(rèn)證方向有較為廣泛的應(yīng)用，有效解決了傳統(tǒng)的中心化認(rèn)證存在的單點(diǎn)故障、單一認(rèn)證中心等問題。且目前大部分跨域認(rèn)證方案都支持雙向?qū)嶓w認(rèn)證，那么其安全性能的各個(gè)方面還需進(jìn)行更深層次的研究，如中間人攻擊、重放攻擊、仿冒攻擊等。因此，基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案將會(huì)成為分布式去中心化信任環(huán)境的應(yīng)用主流，提高安全性能及認(rèn)證效率、實(shí)現(xiàn)異構(gòu)域間認(rèn)證成為下一個(gè)階段的研究重點(diǎn)。

3 研究挑戰(zhàn)與展望

區(qū)塊鏈技術(shù)為跨域認(rèn)證體系提供的去中心化信任、匿名性、隱私性有效地解決了其單點(diǎn)故障、中間人攻擊、證書透明度等問題。但其面臨的技術(shù)壁壘也阻礙了跨域認(rèn)證體系的發(fā)展，如區(qū)塊鏈技術(shù)操作難、處理交易速度慢、存儲(chǔ)開銷大、區(qū)塊容量有限等導(dǎo)致了區(qū)塊鏈技術(shù)在跨域認(rèn)證方案的實(shí)際應(yīng)用中存在障礙。

以下是對(duì)區(qū)塊鏈技術(shù)與跨域認(rèn)證相結(jié)合的研究方向進(jìn)行展望，以供研究探討。

（1）區(qū)塊鏈上部署PKI體系：如上述研究成果，都是在區(qū)塊鏈這個(gè)平臺(tái)上部署PKI體系或者將PKI體系中的一部分存儲(chǔ)在區(qū)塊鏈上，這類方案會(huì)使得傳統(tǒng)的PKI體系發(fā)生變化，使其應(yīng)用受限。且其存在區(qū)塊鏈體系固有的問題，如針對(duì)區(qū)塊鏈本身存在的存儲(chǔ)開銷等問題，就需要加入新的技術(shù)，如生態(tài)令等新技術(shù)一直都將解決外部存儲(chǔ)效率弊病以及數(shù)據(jù)極大冗余作為發(fā)展方向，把區(qū)塊鏈技術(shù)與生態(tài)令技術(shù)結(jié)合，運(yùn)用到跨域認(rèn)證中，或許能夠解決區(qū)塊鏈因存儲(chǔ)數(shù)據(jù)造成整個(gè)系統(tǒng)的開銷浪費(fèi)問題。

（2）區(qū)塊鏈加入PKI體系：一種在整個(gè)跨域模型中將區(qū)塊鏈網(wǎng)絡(luò)加入PKI體系中去的新思路。這就能夠使得在傳統(tǒng)PKI體系不變的情況下結(jié)合區(qū)塊鏈技術(shù)實(shí)現(xiàn)跨域認(rèn)證成為可能，使其在實(shí)際應(yīng)用過程中各企業(yè)原有的PKI體系不用做太大的改變，即能實(shí)現(xiàn)與其他機(jī)構(gòu)的安全認(rèn)證。因此，將區(qū)塊鏈加入PKI體系中的研究方向具有較大的實(shí)用性價(jià)值。

4 結(jié)束語

本文描述了跨域認(rèn)證近年的研究現(xiàn)狀，分析了基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案的特點(diǎn)，并與其他環(huán)境下的方案相比較，結(jié)果表明基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案具有去中心化信任的絕對(duì)性優(yōu)勢(shì)，結(jié)合其優(yōu)勢(shì)可以實(shí)現(xiàn)各信任域間安全高效的通信。

[1]R Housley， W Ford， et al. IETF ＲFC2459. Internet X.509 public key infrastructure： certificate and CＲL profile［S］.Jan.1999.

[2]A Shamir. Identity-based cryptosystems and signature schemes［J］.Advances in cryptology （Santa Barbara， Calif），1984，21（2）：47-53.

[3]劉敖迪，杜學(xué)繪，王娜，李少卓.區(qū)塊鏈技術(shù)及其在信息安全領(lǐng)域的研究進(jìn)展[J].軟件學(xué)報(bào)，2018，29（07）：2092-2115.

[4]Linn J. Trust Models and Management in Public-Key Infrastructures[J]. Rsa Laboratories， 2000.

[5]Gabriel López Millán， Manuel Gil Pérez， Gregorio Martínez Pérez， et al. PKI-based trust management in inter-domain scenarios[J]. Computers & Security，2010， 29（2）：278-290.

[6]路曉明，馮登國(guó).一種基于身份的多信任域網(wǎng)格認(rèn)證模型[J].電子學(xué)報(bào)，2006（04）：577-582.

[7]張文芳，王小敏，郭偉，等.基于橢圓曲線密碼體制的高效虛擬企業(yè)跨域認(rèn)證方案[J].電子學(xué)報(bào)，2014（6）.

[8]Yao Y，Wang X，Sun X. A cross heterogeneous domain authentication model based on PKI[C]// Fourth International Symposium on Parallel Architectures.IEEE， 2012.

[9]彭華熹.一種基于身份的多信任域認(rèn)證模型[J].計(jì)算機(jī)學(xué)報(bào)，2006（08）：1271-1281.

[10]Cai Z，F(xiàn)ang Y，Chen W，et al. CAKA：a novel certificateless-based cross-domainauthenticated key agreement protocol forwireless mesh networks[J]. Wireless Networks， 2016， 22（8）：1-13.

[11]Yuan C，Zhang W，Wang X . EIMAKP：Heterogeneous Cross-Domain Authenticated Key Agreement Protocols in the EIM System[J]. Arabian Journal for Science and Engineering， 2017.

[12]Nakamoto S. Bitcoin：A peer-to-peer electronic cash system. In：Consulted. 2008.

[13]黃維.區(qū)塊鏈技術(shù)應(yīng)用于衍生品市場(chǎng)的潛在風(fēng)險(xiǎn)與模式構(gòu)建[J].金融監(jiān)管研究，2019（02）：97-111.

[14]余益民，陳韜偉，趙昆.基于區(qū)塊鏈技術(shù)的原產(chǎn)地證明數(shù)據(jù)交換模型及應(yīng)用[J].電子商務(wù)，2018（03）：53-55.

[15]孫柏林.裝備制造業(yè)發(fā)展的新動(dòng)向：區(qū)塊鏈+制造業(yè)[J].自動(dòng)化技術(shù)與應(yīng)用，2018，37（07）：1-7.

[16]C. Ellison and B. Schneier. Ten Risks of PKI：What You’re Not Being Told About Public Key Infrastructure[J]. Computer Security Journal，vol. 16，no.1，2000：1-7.

[17]Fromknecht C，Velicanu D. CertCoin：A NameCoin based decentralized authentication system. Technical Report，6.857 Class Project，Massachusetts Institute of Technology，2014.

[18]Fromknecht C，Velicanu D. A decentralized public key infrastructure with identity retention. Technical Report， 803， Massachusetts Institute of Technology，2014.

[19]Axon L. Privacy-Awareness in blockchain-based PKI. Technical Report，21-15，University of Oxford，2015.

[20]Axon L，Goldsmith M. PB-PKI：A privacy-aware blockchain-based PKI. In：Proc. of the Int’l Conf. on Security and Cryptography. 2017. 311-318.

[21]朱建明，付永貴.基于區(qū)塊鏈的供應(yīng)鏈動(dòng)態(tài)多中心協(xié)同認(rèn)證模型.[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2016，2（01）：27-33.

[22]Zhang F， Cecchetti E， Croman K， et al. Town Crier： An Authenticated Data Feed for Smart Contracts[C]// Acm Conference on Computer & Communications Security. ACM， 2016.

[23]Al-Bassam M. SCPKI： A Smart Contract-based PKI and Identity System[C]//Acm Workshop on Blockchain. ACM， 2017.

[24]周致成，李立新，李作輝.基于區(qū)塊鏈技術(shù)的高效跨域認(rèn)證方案[J].計(jì)算機(jī)應(yīng)用，2018，38（02）：316-320+326.

[25]馬曉婷，馬文平，劉小雪.基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案[J].電子學(xué)報(bào)，2018，46（11）：2571-2579.

[26]Kim H，Shin K G，Dabbous W. Improving Cross-domain Authentication over Wireless Local Area Networks[C]// International Conference on Security & Privacy for Emerging Areas in Communications Networks. IEEE， 2005.

[27]Qikun Z， Yong G， Quanxin Z， et al. A Dynamic and Cross-domain Authentication Asymmetric Group Key Agreement in Telemedicine Application[J]. IEEE Access， 2018：1-1.

[28]李錚，陳澤茂，秦艷琳，等.基于零知識(shí)證明的跨域認(rèn)證方案[J].計(jì)算機(jī)與數(shù)字工程，2014，42（3）：446-449.

[29]江澤濤，時(shí)晨.混合云環(huán)境下基于異構(gòu)系統(tǒng)的跨域認(rèn)證方案[J/OL].計(jì)算機(jī)工程：1-11[2019-04-15].https：//doi.org/10.19678/j.issn.1000-3428.0053469.

電子政務(wù)建模仿真國(guó)家工程實(shí)驗(yàn)室開放課題項(xiàng)目“基于區(qū)塊鏈的區(qū)域國(guó)際貿(mào)易單一窗口數(shù)據(jù)交換模型研究”（MEL-18-03；項(xiàng)目負(fù)責(zé)人：余益民）；國(guó)家自然科學(xué)基金項(xiàng)目（61461051）。