一种基于白名单和身份区块的身份认证方法及系统

技术领域

本发明属于信息安全技术领域，特别涉及一种应用于工业互联网场景下的基于白名单和身份区块的身份认证方法及系统。

背景技术

随着我国工业互联网的发展，工业现场的自动化、智能化水平不断提高，传统封闭可信的工控环境被打破，工程师们可以利用远程智能终端对工业现场的底层设备直接进行监测和控制，这极大了提升了生产作业的效率，但同时也为工业互联网的安全带来了极大挑战，工业互联网的安全事关经济发展和社会稳定，是国家安全的重要组成部分。

在工业互联网中首要的安全需求就是针对接入设备的合法身份认证，未经授权的智能终端接入工业互联网会带来巨大的安全隐患。并且由于工业互联网中工业现场设备只有有限的计算资源，导致目前传统的身份认证技术大多不适用于工业互联网领域，因此研究一种适用于工业互联网环境下的身份认证方法十分重要。

发明内容

针对现有技术存在的问题，提高工业互联网的安全性，本发明提供了一种基于白名单和身份区块的身份认证方法及系统，利用有限的计算资源就能够对申请接入工业互联网的智能终端设备的身份合法性进行认证，并且能够提升身份认证的效率。

为了实现以上目的，本发明提供了一种基于白名单和身份区块的身份认证方法及系统，具体包括白名单和身份区块的注册以及一种基于白名单和身份区块的身份认证方法。一种基于白名单和身份区块的身份认证方法包括：远程智能终端设备生成认证请求信息，向认证中心发出认证请求；认证中心在白名单内检索所述设备的身份ID；认证中心在身份区块链中检索所述设备对应的身份区块，并对身份区块进行核验，判断该身份区块是否有效；认证中心根据该身份区块头中记录的信息对所述设备的身份进行核验，并根据验证结果判断是否允许所述设备接入工业互联网中。

进一步地，所述基于白名单和身份区块的身份认证方法及系统中白名单与身份区块的注册流程包括：用户向注册中心提供个人信息及一个随机数，注册中心根据身份信息计算生成Merkle根；注册中心将得到的Merkle根、区块号、注册时间、失效时间及父区块哈希值写入区块头中，同时计算本区块的哈希值，写入区块头中；注册中心本地生成一个随机数，所述随机数参与计算生成所述设备的身份起签名信息Hash_auth，并将Hash_auth保存在区块头中；将该身份区块写入身份区块链中，同时提取该身份区块的区块号记入白名单，公布身份区块链及白名单。

附图说明

图1是本发明实施例提供的基于白名单和身份区块的身份认证方法流程图；

图2是本发明实施例提供的白名单和身份区块的注册流程图。

具体实施方式

为使本发明实现的技术手段、达成目的，创作特征易于了解，以下结合附图对本发明的具体实施方式进行详细说明，应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

本发明提供的一种基于白名单和身份区块的身份认证方法，参照图1，包括：

S100，远程智能终端设备记录系统时间

S101，利用Block_num判断所述设备ID是否在白名单内，若所述设备ID在白名单内，转至步骤S102，否则转至步骤S112；

S102，在身份区块链中根据所述设备提供的Block_num找到对应的身份区块；读取区块头部中Hash、Hash_prev、Time_expiry、Hash_auth值；

S103，根据所述设备提供的时间

S104，如果区块在有效期内，转至步骤S105，否则转至步骤S112；

S105，查找该区块的父区块哈希值，记为Last_hash；

S106，判断该区块头中的Hash_prev与Last_hash是否相等，若相等，则转至步骤S107，否则转至步骤S112；

S107，查找该区块的子区块的父区块哈希值，记为Next_hash_prev；

S108，判断该区块头中的Hash字段与Next_hash_prev是否相等，若相等，则转至步骤S109，否则转至步骤S112；

S109，验证Hash_auth字段，认证中心利用Block_num和本地存储的随机数r0计算得到X

S110，若验证通过，即

S112，所述设备身份认证失败，拒绝该设备接入。

根据白名单技术易于实现以及区块链技术中的区块上链后难以被篡改的特点，结合哈希运算以及异或运算这种轻量化运算，将工业互联网中的远程智能终端设备信息以身份区块的形式保存在区块链中，同时生成合法设备的白名单，利用白名单技术和区块链技术对申请访问工业互联网的设备进行双重验证。本方法保证了接入工业互联网设备的身份合法性的同时不占用过多的计算资源，实现了身份认证方法的轻量化，能够满足工业互联网的需求。

图2是根据本发明的实施方式提供的一种白名单和身份区块的注册流程图。

如图2所示，本发明的实施方式提供的一种白名单和身份区块的注册流程，包括：

S200，用户向注册中心提供用户姓名、智能终端的唯一序列号以及一个随机数ri，注册中心对上述信息进行核对，确认无误后再补充一项信息：注册时间；

S201，利用SM3哈希算法对上述四项信息进行计算，将计算结果拼接后再进行一次哈希运算，得到该身份区块的Merkle根；

S202，注册中心在身份区块头中写入区块号Block_num、注册时间Time、失效时间Time_expiry、Merkle根Merkle_root、父区块哈希值Prev_hash；

S203，注册中心利用SM3算法计算本身份区块的哈希值Hash，并写入区块头中，计算公式为：

Hash＝SM3(区块号||注册时间||失效时间||Merkle根||父区块哈希||随机数ri)

S204，注册中心本地生成一个随机数r0，利用SM3算法计算如下参数，其中h()表示SM3哈希算法：

X

Y

hash_auth＝h(Y

S205，计算结果Hash_auth为用户的身份签名信息，将其保存在区块头中，同时将X

S206，将该区块写入身份区块链中，并提取身份区块链中各个区块的区块号生成一个白名单，公布身份区块链以及白名单。

以上所述，仅为本发明的具体实施方式举例，任何基于本发明的技术启示而进行的改进或者变换，同样在本发明的保护范围之内。