一个基于区块链的物联网设备无证书匿名跨域认证的方法技术

本发明专利技术属于网络安全领域，提供了一个基于区块链的物联网设备无证书匿名跨域认证的方法，主旨在于实现物联网设备无证书匿名跨域认证。主要方案包括在每个区域中，都有密钥生成中心KGC、区块链代理服务器BAS和代理认证服务器PAS，由KGC系统参数并生成主密钥；设备实体公私钥的生成采取无证书方案，解决了密钥第三方托管的问题；当设备实体的假名及公私钥即将到期时，KGC为其更新假名以及部分公私钥，并将更新后的结果以安全的方式返回给设备实体；当区域内的实体信息发生改变时，对区块链及其指向的服务器进行相应的内容更新；当完成了以上配置后，一个区域中的设备实体生成身份认证信息，由本区域的PAS转发给另一个区域的PAS对其进行身份验证。进行身份验证。进行身份验证。

【技术实现步骤摘要】
一个基于区块链的物联网设备无证书匿名跨域认证的方法


[0001]本专利技术属于密码学与网络安全领域，提出了基于区块链的物联网设备无证书匿名跨域认证的方法。

技术介绍

[0002]随着物联网技术的快速发展，传统的信息孤岛模式已不复存在，极大地影响着当今的生产生活。物联网将分布在不同区域的设备联系起来，共同完成一个复杂的任务，这也就催生出了工业物联网系统。为了完成一个复杂的生产活动，分布在不同区域的若干生产设备可建立合作生产关系，相互交换本地数据信息，从而提高生产效率，减小生产开销。
[0003]为了共享各个区域的信息，目前最常见的方法是采用联盟区块链技术。联盟区块链是由多方共同维护的分布式账本，多方形成对等的伙伴关系，区块链中的每一个区块代表一个参与方，多方共同管理整个区块链。因此，可以利用联盟区块链建立物联网中的合作关系。
[0004]但是基于区块链的工业物联网生产模式为生产带来高效率和低开销的同时，也存在诸多安全问题尚未解决：首先是设备实体的身份认证问题，并不是所有的设备实体都是诚实可信的，在互联网环境中存在许多恶意的攻击者冒充合法的实体从而窃取一个区域的隐私数据；其次是设备的隐私保护，两个区域的设备进行信息交互时，往往会由设备的身份信息泄露该设备的其他隐私数据，同时目前许多匿名认证方案采用匿名机制没有达到可追踪性，即当发生争议时无法追踪到设备的真实身份；再其次，采用实体
‑
实体的直接通信，即使实体采用了假名身份，但也极易暴露一个区域的内网结构；最后，关于密钥管理机制，广为应用的一种方法是基于证书的，即部署一个可信第三方管理用户的密钥，该架构存在密钥第三方托管问题，也就是说，当可信第三方被攻破时，整个系统就会变得不安全。
[0005]因此，为了解决上述问题，本专利技术提供了一种基于区块链的物联网设备无证书匿名跨域认证的方法，该方法实现了跨域身份认证、匿名通信条件隐私保护、隐藏区域内网结构的功能以及解决了密钥第三方托管的问题。

技术实现思路

[0006]本专利技术提供了一个基于区块链的物联网设备无证书匿名跨域认证的方法。该方法支持设备实体实现无证书匿名跨域认证，从而在保证设备实体隐私的前提下实施认证方案。为了不将区域的内网结构暴露在互联网中，相较于传统的实体
‑
实体的通信，本专利技术采取了网关代理的方式对认证消息进行转发。同时考虑到签名密钥第三方托管问题，该方法采取无证书签名机制以解决密钥第三方托管所带来的单点故障问题。
[0007]本专利技术为了实现上述目的采用以下技术手段：
[0008]本专利技术提供了一种基于区块链的物联网设备无证书匿名跨域认证的方法，包括以下步骤：
[0009]A.跨域认证系统初始化：在每个物联网区域中，都有密钥生成中心KGC、区块链代
理服务器BAS和代理认证服务器PAS，每一个物联网区域的KGC根据安全参数l，初始化跨域认证系统，生成本物联网区域内的系统参数(I，P,P,e,G1，G2,H1，H2，H3,Y
KGC
)并为设备实体维护一个假名列表{真实身份RID：假名身份PID，部分私钥公钥有效期}，其中e
iA
表示物联网区域A中的设备实体e
i
，G1和G2分别是循环加法群和循环乘法群，素数p是G1和G2的阶，P是G1的生成元，e：G1×
G1→
G2为双线性映射，H1，H2及H3是三个哈希函数，Y
KGC
是KGC的公钥，私钥为x
KGC
∈
R
Z
p*
，其中R表示从p阶的任意整数群Z
p
中随机选取一个元素x
KGC
；
[0010]B.设备实体公私钥生成：设备实体公私钥的生成采取无证书方案，即一个设备实体的公私钥一部分由KGC生成并以安全的方式返回给设备实体，另一部分由设备实体生成，这两部分共同组成一个设备实体的公私钥；
[0011]C.公私钥及假名更新：当设备实体的假名及公私钥即将到期时，KGC为设备实体更新假名以及部分公私钥，并将更新后的结果以安全的方式返回给设备实体；
[0012]D.区块链信息更新：区块链中的区块存储着物联网区域的摘要信息，即区域ID、具体信息哈希以及具体信息存储位置Server，当区域中的设备实体信息发生改变时，KGC就要申请BAS修改Server中存放的对应信息；
[0013]E.设备实体跨域身份认证：一个物联网区域中的设备实体采用无证书签名算法生成身份认证信息，由本区域的PAS转发给另一个区域的PAS对其进行身份验证。
[0014]上述技术方案中，步骤A包括：
[0015]A1.给定安全参数l，KGC
A
初始化跨域认证系统并生成系统参数，其中KGC
A
表示区域A中的KGC；
[0016]A2.KGC
A
选取三个哈希函数H1，H2，H3，其中H1：{0，1}
*
→
G1，H2：{0，1}
*
×
G1→
Z
p*
，H3：{0，1}
*
×
{0，1}
*
→
Z
p*
；
[0017]A3.KGC
A
随机选取作为主私钥，并计算作为公钥；
[0018]A4.KGC
A
为该物联网区域内的设备实体维护一个假名列表{真实身份RID：假名身份PID，部分私钥公钥有效期}；
[0019]A5.KGC
A
在本物联网区域内公布系统参数(l，p，P，e，G1，G2，H1，H2，H3，Y
KGCA
)，并请求BAS
A
对区块链进行本区域的系统参数更新，即将新生成的系统参数写入区块链与区域A相对应的区块中，其中BAS
A
为区域A中的区块链代理服务器BAS；
[0020]上述技术方案中，步骤B包括：KGC
A
为物联网区域A中的设备实体e
iA
生成部分公钥和部分私钥并以安全的方式将部分公私钥返回给设备实体e
iA
，设备实体e
iA
收到后，生成部分公钥和部分私钥并生成初始假名身份以及初始假名的签名，并将初始假名身份初始假名的签名以及公钥返回给KGC
A
，KGC
A
收到后先对初始假名的签名进行验证，验证通过后更新假名列表。
[0021]上述技术方案中，步骤C包括：当设备实体e
iA
的假名身份及私钥到期
时，KGC
A
对设备实体e
iA
的假名身份及部分公私钥进行更新得到新的部分公私钥和假名身份并将更新后的部分公私钥和假名身份以安全的方式返回给设备实体e
iA
，设备实体e
iA
收到后本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于区块链的物联网设备无证书匿名跨域认证的方法，其特征在于，包括以下步骤：A.跨域认证系统初始化：在每个物联网区域中，都有密钥生成中心KGC、区块链代理服务器BAS和代理认证服务器PAS，每一个物联网区域的KGC根据安全参数l，初始化跨域认证系统，生成本物联网区域内的系统参数(I，p，P，e，G1，G2，H1，H2，H3，Y
KGC
)并为设备实体维护一个假名列表{真实身份RID：假名身份PID，部分私钥公钥有效期}，其中e
iA
表示物联网区域A中的设备实体e
i
，G1和G2分别是循环加法群和循环乘法群，素数p是G1和G2的阶，P是G1的生成元，e：G1×
G1→
G2为双线性映射，H1，H2及H3是三个哈希函数，Y
KGC
是KGC的公钥，私钥为x
KGC
∈
R
Z
p*
，其中R表示从p阶的任意整数群Z
p
中随机选取一个元素x
KGC
；B.设备实体公私钥生成：设备实体公私钥的生成采取无证书方案，即一个设备实体的公私钥一部分由KGC生成并以安全的方式返回给设备实体，另一部分由设备实体生成，这两部分共同组成一个设备实体的公私钥；C.公私钥及假名更新：当设备实体的假名及公私钥即将到期时，KGC为设备实体更新假名以及部分公私钥，并将更新后的结果以安全的方式返回给设备实体；D.区块链信息更新：区块链中的区块存储着物联网区域的摘要信息，即区域ID、具体信息哈希以及具体信息存储位置Server，当区域中的设备实体信息发生改变时，KGC就要申请BAS修改Server中存放的对应信息；E.设备实体跨域身份认证：一个物联网区域中的设备实体采用无证书签名算法生成身份认证信息，由本区域的PAS转发给另一个区域的PAS对其进行身份验证。2.如权利要求1所述的物联网设备无证书匿名跨域认证的方法，其特征在于，步骤A包括：A1.给定安全参数l，KGC
A
初始化跨域认证系统并生成系统参数，其中KGC
A
表示区域A中的KGC；A2.KGC
A
选取三个哈希函数H1，H2，H3，其中H1：{0，1}
*
→
G1，H2：{0，1}
*
×
G1→
Z
p*
，H3：{0，1}
*
×
{0，1}
*
→
Z
p*
；A3.KGC
A
随机选取作为主私钥...

【专利技术属性】
技术研发人员：李淋，张小松，汪小芬，桂勋，李雄，王艳平，陈涛，李芳，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：