异构 环境中基于区块链的跨域认证可信度研究*

董贵山 ，陈宇翔 ，李洪伟 ，白 健 ，郝 尧 ，杨 淳

（1.中国电子科技集团公司第三十研究所，四川 成都 610041；2.电子科技大学 计算机科学与工程学院，四川 成都 611731）

0 引 言

跨域认证是打破信任孤岛的技术。可以为用户提供一次登录，全网通行的便捷服务，用户只需注册并管理一个账号，即可访问其他应用的服务，这些应用原本和当前用户所注册的应用相互独立，甚至具有不同认证机制。跨域认证技术打破了不同信任域隔阂，使用户免受重复注册，管理多个账号等问题的影响。虽然跨域技术沟通了多个不同信任域，但不同信任域存在多种不确定性，让信任传递结果不绝对可信，包括认证机制，的不确定性等，比如：证书跨域认证中中间推荐实体（背书方）过多使构造的证书链过长，使证书用户的可信度存在下降风险，再如：较低安全级别应用的用户（如账户密码方式）通过跨域技术访问较高安全级别的应用（如指纹虹膜等生物特征方式）。

由此可见，单纯的跨域技术存在安全风险，需要量化跨域用户的身份可信度来降低安全风险[1]，合理的可信度评价机制应建立于认证机制（如证书，口令、虹膜等）和协议（如Kerberos、Radius等）基础上，能在统一信任服务层面为各信任域提供跨域认证参考，它关乎统一信任服务的普及，是信息安全的重要组成部分。

1 相关工作及研究背景

1.1 相关研究成果及问题分析

在跨域认证的可信度量方面，业界已提出了一些定义、方法和模型。

在公钥证书方面，Ueli Maurer[2]等定义了谓词逻辑组（auth、trust、cert、rec），最早从用户视角对公钥基础设施（Public Key Infrastructure，PKI）的信任逻辑模型进行定义，设计了PKI信任推理算法，但未能给出谓词的信任度计算方法，也没能考虑时间对身份可信度的影响。证书权威信任管理系统CA-TMS（Certificate Authority-Trust Management System）方案[3]设计了证书权威（Certificate Authority，CA）信任度的评价方法，对不同CA机构给出评价值供依赖方参考，依赖方可根据评价值自定信任权重，综合计算对CA的可信度，只有在可信度满足阈值的条件下，依赖方才会信任该CA。张明德等[4]针对PKI机制，分析了PKI证书及其私钥签发和使用中的安全风险，设计了一种密钥可信度的评价方法。

对Ad hoc网络，George[5-6]等将信任问题定义为有向图，用半环代数理论计算信任值，可客观反映全局信任度，具有良好的动态适应性，并能检测恶意行为。但缺乏安全风险评估，不能能合理初始化信任值，实体随意定义自己的信任值，提高了安全风险。同时没有考虑上下文随时间动态变化因素，可扩展性较差。Sun Y[7]等提出了用熵表示信任关系的模型，该模型可描述关系的不确定性，反应信任关系的动态更新，检测和抵御恶意攻击，但该方法没有给出数学模型，上下文定义单一，参数设置单一，可扩展性也较差。

在普适环境方面，Thomas Beth[1]针对各种开放网络，基于经验值设计了信任度评价方法，但该方法未能考虑不同身份认证的特点及其复杂性。欧洲的安全普适计算（Ubiquitous Security Computing,UBISEC）子项目提出了PTM（Pervasive Trust Management）模型[8-10],该模型针对普适环境定义了概率加权的动态信任评估方法，但该方法针对的模型信任域固定，难以适应不同模型的需求，不能处理新出现的未知实体的不确定性，也未能考虑信任的主观性、模糊性和不确定性。Hassan[11]等针对普适环境设计了基于向量机制的信任模型，综合考虑自信任、时间、历史等因素。但该模型未能考虑利益推荐时的欺骗行为，没有风险分析机制，推荐信任关系只相信邻居节点，信任度不具有全局性。基于云的信任模型（Cloud-based trust model，CBTM）[12]用云的形式将信任值及其不确定性统一，给出了信任链构造和合并算法描述全局信任度。但未能考虑上下文的动态变化，没有说明初始值如何定义，可扩展性较差且模型较为粗糙。在可信度定义方面，汪伦伟[13]等将认证中的不确定性分为3类，包括认证机制、规则和结论的不确定性，在此基础提出可信度思想，设计了认证可信度模型，但该模型未能考虑认证协议、机制和凭证的差异，也未分析跨域用户的不确定性对认证结果的影响。张明德等[14]在身份认证中引入信任分类、不可信因子和安全度，并提出了通用的可信度计算方法，但该方法在计算中的数值取值基于先验概率，在实际应用中不具有说服例，且可扩展性较差。

单纯从算法角度，Melaye D[15]基于贝叶斯方法和Kalman信息过滤设计了动态评价模型，但未能说明值的初始化和使用环境，且过滤器开销大，模型可扩展性较差。

对网格环境，Song SS等[16]提出模糊逻辑的动态模型，包括信任描述、评估和更新。考虑了历史因素可检测和抵御恶意实体。但未能考虑信任的时间变化，计算信任值开销大，且计算收敛性和可扩展性差，缺乏考虑间接信任值，使得信任值难以体现全局性。

1.2 本文研究背景

以上信任评价方案有的单纯研究算法，缺乏应用背景；有的未能考虑推荐信任，模型缺乏可扩展性；有的信任度难以代表全局，让应用服务仅相信自己的邻居节点；有的难以维护动态信任关系等；有的未能考虑时间对信任推荐的影响；还有的对信任关系定位过于模糊，将可信度参与实体简单定义为节点。有的可信度定义过于复杂，包含了实体与应用，实体与实体间的多维度多方向评价，未能结合实际需求。

本文研究背景基于国家重点研发计划，异构身份联盟与监管基础科学问题研究，目前项目已在体系结构方面提出了基于联盟链的异构身份互信互通架构如图1所示。架构由异构身份联盟链（联盟区块链）、 不同身份管理系统（如公民网络电子身份标识（Electronic Identity，eID）、电信、电商等）、基础身份信息库（如提供用户实体身份验证的公安人口库）等组成。图1中，IDA及其公私钥PKA1/SKA1是eID系统内身份，IDA0及其公私钥PKA0/SKA0对应异构联盟身份，标识及公钥等都记入联盟链，形成以用户为中心，各联盟节点分布式运维管理的联盟统一身份信息库，为信任传递时的可信度研究奠定了基础。

当eID身份系统和电信身份系统加入异构身份联盟链后，就都具备了对联盟统一身份认证的支持，eID身份系统的用户A基于统一身份标识和对应公钥PKA1跨域访问，电信身份管理系统的联盟认证服务可基于PKA1（eID系统对应）验证该用户签名，以及eID身份系统对IDA（联盟内用户标识）的签名，用户A跨域行为触发eID和电信域事先签署的互信智能合约，执行智能合约后许可IDA对电信身份系统发起访问，此时电信身份管理系统除验证基本属性字段外，将根据联盟共识的初始值和其他系统的推荐值，自主计算可信度，并实施后续访问控制过程。该认证中，信任传递，跨域访问都基于异构系统间的智能合约，联盟链分布式管理的联盟统一身份信息（包括可信评价）和相应的跨域验证密钥。

在以上研究背景下，本文第2节描述了异构身份联盟环境中的信任角色分类，信任评价相关概念描述和信任传递的运行机制。第3节给出了异构身份联盟的通用跨域认证模型，并在该模型的基础上给出了联盟用户跨域传递时的信任评价方法。第4节将本文信任传递方法与各信任模型进行分类评述，分析了所设计的信任传递可信度的优势与问题。第5章总结并对未来工作进行展望。

图1 异构身份联盟基础架构

2 信任传递关系分析

2.1 信任传递关系

定义1 跨域实体（Cross-domain Entity），跨域实体是请求访问服务的对象，可能是物理或虚拟对象，实体身份验证通过后才可获得相应的域外服务。

定义2凭证和认证机制（Credential and Authentication Mechanism），凭证是访问实体向服务证明自身身份的数字凭证，与跨域实体标识结合使用，且标识与凭证一一对应。认证机制是凭证签发和验证的方法。

定义3 身份管理方（Identity Manager），身份管理方作为功能组件管理认证凭证，可对实体签发或撤销凭证，并支持持有凭证的实体跨域认证。

定义4 身份依赖方（Relying Party），身份依赖方是可以向跨域实体提供相应服务的功能组件，提供服务的前提是获得身份验证方的正确反馈结果。

定义5 身份验证方（Identity Verifier），身份验证方是验证实体凭证的功能组件，基于事先约定的协议验证访问实体凭证。

以上5种要素相互作用（如图2所示）共同组成跨域认证关系，在一些环境中，一个应用可能兼具身份依赖方、身份管理方和身份验证方等角色。跨域认证中的身份验证方可能与跨域实体同域（比如账户口令认证机制下，rp2需要A域验证方对跨域认证结果背书），也可能与跨域实体的访问目标同域（比如公钥证书用户跨域时，B域rp1兼具验证方角色）。

图2 跨域信任传递关系

信任传递通常涉及到不同认证系统，甚至不同认证机制间的交互。研究多域环境下的信任传递可信度具有普遍意义。考虑实际应用中，应用服务对用户的注册认证具有主动性，用户在获取服务时不具有主动性，比如社交软件微信、三大运营商通信服务等。因此本文的跨域认证信任度研究只涉及应用系统对用户的评价，不涉及用户对应用服务的评价。同时对各加入联盟的应用安全级别通过智能合约自动分类匹配，可在一定程度防止恶意评价。

2.2 信任传递相关概念

信任本身是抽象模糊的概念，具有主观性和客观性，因此将信任评价分为声誉度和信任度两种，声誉表示被动信任评价，即其他实体对本实体的信任度评价；信任表示主动信任评价，即本实体对其他实体的信任度评价。两者均可定量描述，且能够相互转换，比如：此次应用服务A对访问实体e的信任评价值，将成为e访问应用服务B时的一个声誉度供B参考。以下给出信任评价的相关描述：

（1）信任度：是对信任的定量描述，又可称为信任值，评价值，可信评价等。本文将信任度（Trust Degree）用符号TD表示TD∈[0,1]，当TD=1时表示绝对信任，TD=0时表示完全不信任。

（2）信任度类型：将信任度分为域内信任度，推荐信任度和域间信任度，域内信任是依赖方（应用服务）对实体可根据直接接触历史记录得出信任值，比如图3中BC之间的信任度TDBC；推荐信任度存在于机构之间，是依赖方对推荐机构（应用）的认证方式、权威性作出判断得出推荐信任值（TDAB）。域间信任度（AC间虚线TDAC）则需要若干第三方逐级推荐，随着推荐环节的增多，主观信任中的模糊性，不确定性随之增大，可信度将会大幅下降，以PKI为例，当两个实体间的推荐中间方达到6时，则实体间的信任度趋近于0（TD≈0）[17]。

以图3为例，AC间包含若干信任路径，虚线代表综合域间信任度（Comprehensive Trust Degree，TDC），TDC由每条信任路径的域间信任度概率加权得到，其权值由依赖方主观设定，即TDAC=c1TDAC1+c2TDAC2，0≤ c1≤ 1,0≤ c2≤ 1。信任路径越多，则域间综合信任度越大。而TDAC1=TDABTDBC，TDAC2=TDADTDDETDEC，每条路径随着域间信任度也随推荐实体增多下降。两个实体间信任路径越多，加权信任度TDC越大，越趋近于1（绝对信任）。当应用服务A对C的综合信任度发布给其他实体（比如应用服务F）参考时，则对于D来说，A对C的主观信任评价是C的一个被动信任度，即声誉。

图3 信任度类型说明

由于信任具有很强的主观性、模糊性和不确定性，简单的划分置信区间和概率加权方式得出的信任度TDC依然具有不确定性，在异构环境下，身份管理系统的加入、退出、认证安全的提升等，都增加了这种不确定性。综合信任度TDC反映了应用系统对跨域用户的定性描述。本文在概率加权基础上引入基于熵的云理论[18]描述信任的模糊性和不确定性，以三元组（TD，En，He）的方式对跨域用户定量描述，以提高跨域认证安全。

熵（Entropy，En）描述了综合信任度的不确定性，反映综合信任度属于空间可被接受的范围大小。超熵（Hyper Entropy，He）描述了熵的不确定性，反映综合信任度样本空间中可能的随机值。

（3）共识评判标准

本文可信度研究主要针对政务惠民服务、社交网络、电信网等组成的异构身份跨域信任传递领域，基于区块链联盟链构建，可信度的初始化标准由智能合约发布，即各信任域在通过接口加入联盟时，会向联盟提交系统本身的身份管理方式，智能合约根据提交认证方式自动匹配各信任域的可信度。考虑异构身份联盟中用户实际需求，考虑身份等级问题，对加入联盟区块链的各应用的身份管理系统评级，分为五级身份，如下所示：

一级身份无要求，申请人自己声称一个身份，无门槛可直接注册静态账户/密码的身份管理系统所辖用户均属一级身份；二级身份要求身份证据来自权威机构，该级别系统所辖用户在注册环节需与用户手机，身份证等有效证件进行绑定，用户身份具有一定的可信性，如微信，淘宝等均属此类身份；三级身份在二级身份的基础上，身份系统在注册环节要求使用现场认证的方式确定申请人和所声称的身份关联性，比如三大运营商所提供的通信服务，政务应用的PKI公钥基础设施等；四级身份在三级身份的基础上，要求提供更多的证据/属性等和执行额外的验证防止身份的冒用或伪造，如生物特征等，比如机场海关安检。五级身份则是应用服务本身与访问实体的直接接触，或其他更加严格的认证措施，比如公安部法人的eID身份等。

从宏观看，通过智能合约设定联盟的共识评价标准，将申请加入区块链的异构身份系统进行划分（如图4所示）。在各异构身份系统加入区块链联盟时，根据各系统身份管理安全级别及其机构的权威性定级，TDC数值自动落入相应身份的置信区间，比如微信身份管理域的注册用户的可信度自动落入（0,0.25]区间，在智能合约的给定区间下，主观将阈值设定为0.2。则所有该应用注册用户通过该应用跨域访问其他应用时都使用该可信度初始值,且各身份管理域对跨域用户给出的安全评价不可高于该域系统本身的安全级别，比如微信（二级身份）对跨域用户给出的可信评价不可高于0.25。

图4 身份等级与安全级别划分

（4）主观信任度量：当一个应用服务利用与访问实体间的直接信任度和若干间接信任度（第三方推荐）计算得到访问实体的综合信任度TDC时，可对综合信任度TDC进行自主划分、评判是否通过，划分标准并不绝对，需结合自身安全需求设定阈值，比如：电信阈值要求跨域用户TDC大于0.4，如公式（2）所示，即使是3级身份也有部分应用不满足阈值，无法认证通过。原则上，安全级别较高的管理域所辖注册用户可直接跨域访问安全级别较低的应用管理域，反之则不可。

以上评价具有主观性，应用服务可根据自身安全需求自行划定置信区间，比如TDC＞0.2，采用账户口令方式即为可信，可通过本应用服务的认证。与此同时应用将自己的主观TDC发布到区块链，TDC变为该访问实体下次跨域认证的声誉度供其他应用参考。

3 异构身份联盟跨域认证可信度研究

3.1 异构身份联盟跨域认证服务

为了解决异构身份联盟不同域用户跨域认证时的可信度问题，需要基于区块链及其智能合约将不同认证机制和安全级别的身份管理系统整合为一个标准跨域认证协议。在用户跨域认证中由智能合约提供联盟层面的共识评价标准提供各信任域参考。基于区块链的异构身份认证模型主要认证流程如图5所示，虚线表示异构身份管理域，主要包含两类：区块链联盟管理域和各种异构身份管理域，其中将异构身份管理域包含eID、电信、微信、淘宝等身份系统管理域。两类管理域的重叠部分是信任互通设备（即联盟区块链节点），提供异构身份联盟基础的区块链及智能合约服务。

图5 异构身份联盟用户跨域认证流程示意图

（1）eID身份系统用户A向本域应用系统发起认证请求，在认证请求中标注了访问目的域（电信身份管理系统）。

（2）eID身份系统认证服务器AS1对本域用户A进行身份认证。

（3）AS1的认证后用户A通过后，将成功结果、访问目的域等相关联盟信息提交智能合约记链。

（4）部分安全需求较高的信任域之间可能会在凭证记链的同时，在信任域的服务器之间采用凭证背书的方式（credEndor主要用于密码二次挑战），防止中间人攻击。

（5）当用户A通过AS1认证且AS1将凭证记链后，用户界面将跳转至AS2。

（6）AS2对用户出示的身份凭证cred1，在区块链联盟节点查询并验证通过后，用户访问应用系统。

在跨域认证中除相同体制的公钥证书认证方式可直接验证身份外（此时可直接验证跨域用户，AS2主观认为跨域用户完全可信），AS2由于认证机制不同，无法用用户在AS1处注册的认证方式进行认证，只能对其注册系统AS1的背书进行信任度主观判断。第（6）步的详细流程如下：

对跨域用户的验证包含密钥验证和联盟凭证属性验证，凭证属性包含以下内容：

1）用户A所属应用系统标识；

2）用户联盟身份标识（在区块链可查）；

3）凭证的有效期；

4）凭证出具机构的标识；

5）凭证出具机构的名称；

6）凭证签发前所采用的认证方式（信任度TD1）；7）凭证出具机构的数字签名。

AS2获取到该跳转链接所出示的凭证cred1后，解析用户联盟标识，并用该标识向区块链查询用户其他联盟成员，应用系统（比如淘宝、微信注册记录的跨域凭证）颁发的跨域凭证cred2，cred3…credN。从查询到的凭证中判定其中的有效凭证（包括凭证是否过期，签发方状态，安全级别是否合规，签发机构是够在本域的信任列表等），解析认证方式声誉度TD2，TD3…TDN. 提取后根据主观设置权重，加权计算综合信任度，判定主观综合信任度是否满足本应用的跨域认证阈值。满足阈值则通过认证，并生成相同格式的上述凭证cred发布到区块链，作为该联盟用户以后跨域认证的一个参考声誉度。如未能满足阈值，则返回用户消息，要求重新在本应用注册身份。

3.2 基于熵的概率加权信任度计算方法

当AS2从区块链获得所有当前用户的跨域历史凭证cred1，cred2…并从合规凭证中解析有效信任度 ｛TD1，TD2，TD3…｝，由于目标域与跨域用户间可能存在若干信任路径，每条信任路径之间可能存在若干推荐实体，故对所有有效信任度进一步分类（式（3）矩阵所示），表示验证方和访问实体间存在m条信任路径，矩阵宽度n取m条路径中，推荐实体最多的信任路径，0≤TDij≤1，0≤i，j≤1，矩阵中短于n的路径超出部分用0代替）：

应用系统对访问实体的评价指标包含信任度、熵和超熵（TDC，En，He）等三方面，TDC的计算具有主观性，En、He则由区块链智能合约推送，具有客观性。用熵的方式描述跨域认证中的不确定性来提高跨域认证的安全，访问实体要通过认证必须在三个评价指标同时满足阈值，当主观信任度满足阈值而E n，He过大时，表示该信任度不可靠，具有较大风险（比如跨域用户所属的系统已注销、用户行为异常等因素被智能合约预设的规则检测到）。

3.2.1 单条信任路径可信度推荐算法

每个认证服务器在本地维护了本应用对联盟其他机构的信任列表（主观设定的黑白名单），在跨域认证时，从区块链查询并得到访问实体的第i条信任路径[TDi1,TDi2,…,TDin]（本文在用户跨域访问时默认信任路径已构造好，路径包含若干机构间信任度和一个域内信任度）。第i条路径中，机构间TDij（2≤j≤n）由于在加入时已被智能合约分类，故具有不同置信区间的信任值（参考图4），域内信任度TDi1在用户所辖系统给出，不超过所辖系统被智能合约分配的上限，即TDi2≤TDi1≤Hi2（Hi2为系统被智能合约划分的最高上限）。同时，认证服务器从本地信任列表提取该第i条路径的信任列表TLi=[e1,e2,…,en],ei=0or1，计算该条路径的可信评价 （TDi,Eni,Hei），如下所示：

单条信任路径计算方法

Output: （TDi,Eni,Hei）

在该计 算方法中，认证服务器本身对联盟其他成员具有主观性（信任为1，不信任为0，用TLi=[e1,e2,…,en]表示）。当一条路径计算得出TDi满 足本应用安全阈值时，判 定熵Eni和超熵Hei的阈值是否超出可接受范围，若Eni和Hei过大，说明信任路径中存在以下问题使使得该路径风险较高：

信任路径中存在不同于本信任域安全级别的其他系统的推荐。比如：安全级别较高的信任域拒绝低安全级别的信任域的推荐。

信任路径过长。

信任路径中存在本认证服务器不信任的管理域（可能存在ei=0）。

以上情况都可能让熵和超熵超出设定阈值（表示路径具有较高风险）。熵描述了信任路径的取值范围，范围越大，模糊性越强；超熵描述了熵的不确定性，反应信任路径评价的随机性，超熵值越大，随机性越强，可信度越低；因此，熵和超熵的取值都不易过大，熵的风险评价机制适应于对安全性要求高的应用和机构，对安全性较低的用户可只参考综合信任度。

3.2.2 信任路径合并算法

一个综合信任评价（Comprehensive Trust Evaluat ion，CTE）CTE（TDC,Eni,He）需合并各个信任路径的CTEi，设第i条信任路径的综合评价为CTEi（TDCi,Eni,Hei），则有：

CTE（TDC,En,He）=CTE1⊗ CTE2......⊗ CTEm（4）

具体合并算法如下所示,每条路径的权重由验证方主观设定 [c1,c2,…,cm]，0≤ci≤ 1且c1+c2+…+cm=1：

信任路径合并算法：

Output：CTE（TDC,En,He）

对主观综合信任度TDC，要在m条信任路径的基础上合并每条信任路径的信任度TDi为第i条信任路径的长度）。maximum为应用本身加入联盟区块链时的安全级别。从信息安全的角度，低安全级别的应用不可给出高于本身份系统安全级别的评价值，在本文设定中，根据设定的相应身份安全等级，max可能的取值为0，0.25，0.5，0.75或1。

其中ci（每条信任路径的权重）在[0,1]范围内，由各身份管理域自行设定，具有主观能动性。低安全级别的信任域通常取c =。高安全级别的应i用可根据风险评价值提高风险低的路径的权重，降低风险高的路径的权重，比如1≤i≤m。

4 信任传递实例分析

A信任域在用户注册时需与手机绑定，在加入联盟时，被智能合约分配的信任值区间为（0,0.25]，属于二级身份，该域可给出的最高评价max1=0.25，信任阈值Tlimit选择0.1,则其所签发的用户身份均为TDorigin=0.1。

B信任域是某银行应用服务，在用户注册时需用户现场核实身份，并在登录时使用动态口令验证。该应用在接入联 盟时，由智能合约分配信任区间为（0.25,0.5],属三级身份，该应用域可给出的最高评价为max3=0.5，该信任域可信阈值选择0.4,则其签发的用户身份也为0.4。

C信任域是公安部管理域，具有最高安全级别，覆盖用户所有重要的身份特征，在接入联盟时，智能合约分配区间为（0.75,1]，属五级身份，该信任域可给出最高评价为max3=1（绝对信任），其所辖的某服务设定可信阈值为0.9。假设以上三个机构间都具有信任ei=1。

4.1 静态口令用户跨域认证动态口令域

（1）假设

A域用户userA通过A域访问控制条件发起 对B域应用的跨域认证，userA执行完A域账户口令认证方式后将跳转至B域应用的认证服务器执行后续访问控制条件，认证服务器通过userA的联盟标识查询得到用户在其他联盟成员的认证记录（该访问用户在A域和C域都有注册认证记录），则推荐关系如图6所示，由于用户本次发起访问只通过了A域认证条件（考虑A域安全性较弱），则其他应用的认证推荐路径必须通过A域。即存在两条信任路径：userA→A域→B域和userA→C域→A域→B域。

图6 静态口令用户跨域关系

（2）跨域认证可信度计算

两条路径可信度：TD1=0.1*0.25=0.025；TD2=0.9*1*0.25=0.225；

综上，由于TDC=0.125＜0.4（0.4为B域跨域认证门限），故B域的访问控制条件由于userA安全级别较低，驳回userA的跨域请求，UserA需从高安全级别的C域进行跨域请求或在B域重新注册身份。

4.2 电信身份用户跨域认证静态口令域

（1）假设

B域用户userB通过B域访问控制条件发起对A域应用的跨域认证，userB执行完B域账户口令认证方式后将跳转至A域应用的认证服务器执行后续访问控制条件，认证服务器通过userA的联盟标识查询得到用户在其他联盟成员的认证记录（该访问用户在B域和C域都有注册认证记录），则推荐关系如图7所示，由于userB本次通过B域发起跨域访问，则其他应用的认证路径（推荐信任度，声誉度）构造必须通过B域。即存在两条信任路径：userB→B域→A域和userB→C域→B域→A域。

图7 动态口令用户跨域认证

综上，由于TDC=0.25＞0.1（A域跨域认证门限），故来自高安全级别的用户userB可直接跨域访问A域，且此次跨域访问的信任度TDC=0.25将作为userB下次跨域认证时的一条推荐路径。

4.3 模型性能比较

与其他信任模型相比，信任度研究背景，维度的不同使得合理评价这些模型间的性能差异较为困难，已有研究大多聚焦算法并通过模拟实验进行比较，缺乏实际应用背景、数据存储、传输访问等方面的说明，会直接影响算法的实用性。部分模型将用户对系统的信任度评价纳入考虑，并衍生出激励机制、恶意评价等研究点，使问题过于复杂。相比之下，本文关注异构身份联盟用户的跨域认证信任度，由于联盟链具有严格的审核措施，同时各信任系统对所辖用户的管理具有主动权，故只需考虑系统对用户的评价，将问题简化。

由于信任度量模型针对不同的问题和应用环境提出，而信任度量又具有主观性、模糊性[18-20]，难以直接用数据比较不同模型方案的优劣，本文根据信任本体论思想[21]从不同输入因子（编号1到10）、算术方法、应用背景、准确性、可扩展性等维度对不同方案进行比较，如表1所示。

表1 各信任度模型指标对比

5 结论与展望

5.1 总结

本文针对异构身份联盟中，跨域认证用户的可信度量问题，按不同系统认证方式的安全级别对所辖用户划分了相应安全级别的身份,根据实际需求对用户身份可信度合理量化并引入熵的风险评价机制，基于异构身份联盟基础架构的可信度量方案具有良好的可扩展性，并充分考虑用户行为、身份在动态变化中的不确定因素，提高多认证机制背景下的系统安全性，促进统一信任服务的普及。

5.2 展望

随着项目原型系统的研发、应用和落地，加入联盟的异构身份管理系统数量逐渐增多，随之带来认证机制、机构权威的差异也逐渐扩大，未来工作包括以下方面：

（1）需要根据差异对身份，应用等级进一步划分，并通过智能合约发布，以提高联盟安全性。

（2）研究综合信任度计算时权重，信任度阈值，熵的风险阈值划分的合理性，使依赖方在验证跨域用户时更好规避风险。

（3）借鉴人工智能、机器学习等其他方向知识，使联盟跨域可信度评价具有更好的动态性、自适应性。

随着跨域认证技术的发展，信任传递可信度研究也逐渐活跃，但依然处于起步阶段，需要学者们继续努力。