一种基于区块链的无证书物联设备匿名身份认证方法

技术领域

本发明涉及身份识别和区块链技术领域，具体涉及一种基于区块链的无证书物联设备匿名身份认证方法。

背景技术

近年来，随着物联网技术迅速发展，连入网络的设备数量也呈爆炸式增长。据IoTAnalytic数据显示，截至2021年末全球物联网连接数为122亿，同比增速接近8个百分点。同时，根据IoT Analytic的预测，预计到2025年，全球物联网网关连接数将达到270亿左右。随着物联网规模的快速增大，随着物联网规模的快速增大，设备的身份认证问题也越来越受重视。然而，在实际应用中，物联网设备需要跨域交互，这就需要进行跨域身份认证。现在主流的身份认证方法大都是中心化的，服务器攻击后可能会造成服务器瘫痪，数据泄露或身份认证结果被恶意篡改。区块链是用分布式数据库识别、传播和记载信息的去中心化端到端网络，通过密码学、时序机制和共识机制的组合使得区块链能够在维护分布式网络系统数据的一致性的同时保证系统中的数据即时验证、可追溯却难以被篡改和被屏蔽。正因为这些特性，区块链被广泛应用在支付结算、票据、信用认证和监管等领域。区块链上的智能合约执行具有执行公开透明，过程无法被篡改，结果无法被销毁、伪造的优点，因此受到学术界和工业界的广泛关注。

现有解决方案中，在系统安全、隐私保护、认证效率方面仍存在问题。系统安全方面，部分已有身份认证模型和方案往往采用集中式管理的方式对终端用户凭证和身份进行管理，存在单点失效与故障，以及极大的隐私泄露风险。例如，终端用户身份凭证，如口令、生物特征因子等通常存储在服务端，一旦服务端遭受攻击，可能导致系统无法使用，且所有终端用户凭证面临被泄露的风险。隐私保护方，终端的秘密信息，如终端身份、交易数据、位置等信息可能会被身份服务提供方或应用服务方滥用。认证效率方面，现有身份认证方案在实际应用中，随着用户和终端的增加，证书开销不断扩大，导致证书撤销列表过大，发证方批量维护列表周期较长，验证者下载更新列表不及时。同时，由于区块链的追加特性，各类数据的频繁交互、撤销等操作，会造成持续增长的数据存储量，将对身份认证系统造成巨大的存储和计算负担，影响系统的可用性、适用性以及运行性能。

因此，以上现有技术有着极大的隐私泄露风险或者会造成巨大的存储和计算负担，影响系统的可用性、适用性以及运行性能。

发明内容

为解决以上现有问题，本发明采用了一种基于区块链的无证书物联设备匿名身份认证方法，包括：

S1、根据区块链认证服务器BAS、终端边缘节点TE以及终端设备TD构建基于无证书区块链的身份认证系统，在系统上部署四个智能合约，即第一智能合约、第二智能合约、第三智能合约以及第四智能合约；对系统初始化；

S2、终端边缘节点TE和终端设备TD执行第三智能合约完成身份注册；

S3、注册后的终端设备TD接入到注册后的终端边缘节点TE的服务域时，执行第四智能合约完成双向身份认证；

S4、双向认证后的终端设备TD从终端边缘节点TE

S5、终端边缘节点TE或终端设备TD身份失效后，BAS执行第二智能合约注销终端身份信息。

智能合约的作用包括：

第一智能合约用于公开系统公共参数；第二智能合约用于设备身份管理，第三智能合约用于终端身份注册，第四智能合约用于终端身份认证。

系统初始化包括：

S11、选取安全哈希函数H＝(H

S12、随机生成系统主私钥S

S13、执行第一智能合约，公开系统公共参数M

11、根据权利要求1所述的一种基于区块链的无证书物联设备匿名身份认证方法，其特征在于，第一至第四智能合约包括：

第一智能合约为公开系统公共参数合约；第二智能合约为设备身份管理合约，第三智能合约为终端身份注册合约，第四智能合约为终端身份认证合约。

终端边缘节点TE或终端设备TD进行身份注册包括：

S21、终端边缘节点TE或终端设备TD根据椭圆曲线随机选取部分私钥x

S22、终端边缘节点TE或终端设备TD使用公钥P

S23、BAS使用系统主私钥s

S24、BAS使用U

S25、终端边缘节点TE或终端设备TD使用x

S26、终端边缘节点TE或终端设备TD执行第三智能合约将完整公钥P

S27、BAS获取终端边缘节点TE或终端设备TD的注册时间、过期时间和身份合法性，执行第二智能合约将部分公钥U

终端边缘节点TE或终端设备TD计算陷门密钥k

终端边缘节点TE或终端设备TD获取时间戳t，选取随机数m，计算r＝H

其中，G为生成元，H

终端设备TD和终端边缘节点TE

S31、终端设备TD接入到终端边缘节点TE

S32、BAS执行第二智能合约根据身份接入认证请求检查终端设备TD的身份合法性和验证变色龙哈希，若身份合法且变色龙哈希验证成功，则通知终端边缘节点TE

S33、当终端边缘节点TE

S34、BAS执行第二智能合约根据身份接入认证响应检查终端边缘节点TE

S35、当终端设备TD通过终端边缘节点TE

计算A

计算A

其中，U

验证变色龙哈希包括：BAS计算v

其中，G为系统的生成元，H

身份切换认证包括：

S41、终端设备TD从终端边缘节点TE

S42、BAS执行第二智能合约根据身份切换认证请求检查终端设备TD的身份合法性，若合法则通知终端边缘节点TE

S43、当终端边缘节点TE

S44、BAS执行第二智能合约根据上下文交换请求检查终端边缘节点TE

S45、当终端边缘节点TE

S46、终端边缘节点TE

身份注销包括：

BAS检测到终端边缘节点TE和终端设备TD的身份过期或终端边缘节点TE和终端设备TD主动执行第三智能合约发送身份注销请求，BAS执行第二智能合约将终端边缘节点TE和终端设备TD的身份标记为过期状态。

有益效果：

本发明方法通过无证书机制和区块链解决了身份认证过程中的单点故障问题，使用加密了技术保证了身份认证信息不会被恶意获取篡改，使用变色龙哈希为物联网终端提供了兼顾安全性与高效性的匿名跨域身份认证过程。

附图说明

图1为本发明实施例提供的一种基于无证书区块链的物联网设备匿名身份认证方案系统模型图；

图2为本发明实施例提供的一种基于无证书区块链的物联网设备匿名身份认证法流程图；

图3为本发明实施例提供的终端身份注册的数据交互图；

图4为本发明实施例提供的终端身份接入认证的数据交互图；

图5为本发明实施例提供的终端身份切换认证的数据交互图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明提出一种基于无证书区块链的物联网设备匿名身份认证方案系统，该方案包括：系统管理员、区块链认证服务器、终端设备和终端边缘节点。系统管理员负责系统初始化，选取物联网中一组可信设备作为区块链认证服务器和公开系统公共参数。区块链认证服务器负责管理终端的身份信息，验证终端身份和变色龙哈希的合法性。终端边缘节点作为服务提供者在其无线域内提供应用服务，终端设备是服务请求者。

如图2所示，一种基于无证书区块链的物联网设备匿名身份认证方法包括：系统初始化阶段、终端身份注册阶段、终端身份接入认证阶段、终端身份切换认证阶段和终端身份注销阶段，具体包括以下步骤：

S1、根据区块链认证服务器BAS、终端边缘节点TE以及终端设备TD构建基于无证书区块链的身份认证系统，在系统上部署第一至第四智能合约，并进行系统初始化；区块链认证服务器BAS，负责维护区块链分布式账本，提供去中心化服务来存储数据。

S2、终端边缘节点TE和终端设备TD执行第三智能合约完成身份注册；

S3、终端设备TD接入到终端边缘节点TE

S4、终端设备TD从终端边缘节点TE

S5、终端边缘节点TE

进一步，系统初始化阶段具体步骤为：

S11：选取安全哈希函数

S12：随机生成系统主私钥S

S13：执行第一智能合约，链上存储系统公开参数M

S21：终端T随机选取部分私钥x

终端边缘节点TE和终端设备TD表示为T；

进一步，所述步骤S21具体包括以下步骤：

S211：终端T随机选取部分私钥x

S212：终端T计算部分公钥U

S213：终端T生成区块链账户地址ID

S214：终端T生成变色龙哈希CH

S215：终端T计算陷门密钥k

S22：终端T将x

步骤S22具体包括以下步骤：

S221：终端T使用公钥P

S221：终端T执行第三智能合约向BAS发送身份注册请求；

S23：BAS执行第二智能合约方法检查ID

进一步，步骤S23具体包括以下步骤：

S231：BAS执行第二智能合约检查ID

S232：BAS使用系统主私钥s

S233：BAS根据系统主公钥P

S24：BAS使用U

S25：终端T使用x

进一步，步骤S25具体包括以下步骤：

S251：终端T使用x

S252：终端T生成完整私钥S

S253：终端T生成完整公钥P

S26：终端T执行第三智能合约，将完整公钥P

S27：BAS执行第二智能合约，将设备T部分公钥U

如图4所示，步骤S3身份认证阶段中设备身份接入认证的具体步骤为：

S31：终端设备TD接入到终端边缘节点TE

进一步，所述步骤S31具体包括以下步骤：

S311：终端设备TD随机选取随机数

S312：终端设备TD计算A

S313：终端设备TD选取当前时间戳TS

S314：终端设备TD将PID

S32：BAS执行第二智能合约，检查终端设备TD的身份合法和验证变色龙哈希CH

进一步，步骤S32具体包括以下步骤：

S321：BAS执行第二智能合约，检查终端设备TD的身份合法性；

S322：BAS计算v

S323：若身份合法且变色龙哈希验证成功则BAS通知终端边缘节点TE

S33：终端边缘节点TE

S34：BAS执行第二智能合约，检查终端边缘节点TE

S35：终端设备TD对响应进行确认，终端设备TD和终端边缘节点TE

如图5所示，步骤S4设备身份切换认证的具体步骤为：

S41：具备移动性的终端设备TD移动到终端边缘节点TE

S42：BAS执行第二智能合约，检查终端设备TD的身份合法性，若合法则通知终端边缘节点TE

S43：终端边缘节点TE

S44：BAS执行第二智能合约，检查终端边缘节点TE

S45：终端边缘节点TE

S46：终端边缘节点TE

进一步，步骤S5设备身份注销的具体步骤为：

S51：BAS检测到身份信息表中终端T身份过期，或终端T主动执行第三智能合约发送身份注销请求；

S52：BAS执行第二智能合约将终端T身份标记为过期状态；

进一步，四种智能合约为：

第一智能合约用于公开系统公共参数M

第二智能合约为设备身份管理合约，用于BAS维护终端设备身份信息列表，其包含终端设备和终端边缘节点的身份有效期，身份合法性，终端状态和终端公钥等信息。当终端身份信息过期时，BAS执行第二智能合约将其身份信息置为过期状态；

第三智能合约为终端身份注册合约。新的终端设备或终端边缘节点部署到物联网时需要进行注册，生成注册信息并执行第三智能合约的终端注册方法；当终端出现异常无法正常使用后，执行第三智能合约的终端注销方法请求BAS将其身份信息置为异常状态；

第四智能合约为终端身份认证合约，用于终端的身份接入认证，切换认证和会话密钥协商。

以上所举实施例，对本发明的目的、技术方案和优点进行了进一步的详细说明，所应理解的是，以上所举实施例仅为本发明的优选实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。