CN110430061A - 一种基于区块链技术的车联网设备身份认证方法 - Google Patents
一种基于区块链技术的车联网设备身份认证方法 Download PDFInfo
- Publication number
- CN110430061A CN110430061A CN201910653978.0A CN201910653978A CN110430061A CN 110430061 A CN110430061 A CN 110430061A CN 201910653978 A CN201910653978 A CN 201910653978A CN 110430061 A CN110430061 A CN 110430061A
- Authority
- CN
- China
- Prior art keywords
- block
- node
- authoritative
- chain
- authoritative node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1044—Group management mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Abstract
本发明公开了一种基于区块链技术的车联网设备身份认证方法,该方法基于区块链思想构建分布式区块链CA系统,通过双链、双区块类型混合结构的CA区块链设计完成车联网通信节点的身份认证:双区块为权威节点更新区块和新增证书区块,权威节点更新区块用于更新目前合法有效的权威节点,证书新增区块用于记录新入网的合法车载通信设备、路边基础设施和远程服务器等通信节点;双链为权威节点更新链和普通链,权威节点更新链连接相邻的权威节点,普通链不区分区块类型直接连接相邻的区块。本发明的方法可在不安全网络环境下不依赖第三方完成身份的安全认证。相较于传统的分布式CA系统在时间性能、空间性能和安全性能均具有优势。
Description
技术领域
本发明涉及车联网数据安全领域,具体为一种基于区块链技术的车联网设备身份认证方法。
背景技术
车联网由于通信对象的多样性和不确定性,无法保证提前将所有可能产生通信的节点的公钥提前存储以实现不安全通信网络中的通信双方身份认证,需要CA来完成节点的公钥认证。
目前有三种常用的CA方案:单一中心化CA;共享私钥与公钥的分布式CA;拥有独立公钥与私钥的分布式CA。单一中心化CA一旦遭遇攻击,即使私钥并未泄露,仍然会导致整个网络的瘫痪。共享密钥的分布式CA的优势在于可以抵抗针对单台服务器的攻击且能够负载更多的节点请求,但是由于多台服务器共享私钥,一旦某台服务器遭到攻击者破解获取了私钥,那么整个系统将陷入巨大的风险之中。拥有独立公钥与私钥的分布式CA在一定程度上可以避免该问题。但是一旦某台服务器的私钥泄露,攻击者可以利用该私钥肆意对车辆终端等证书查询节点进行证书伪造攻击,依然无法保证安全性,如果设计成每次查询需要所有CA共同签名,那又会造成通信和服务器负载的巨大压力,而且需要考虑很多严格的时间同步问题。
此外,由于CA对证书的认证是通过CA的密钥签名完成,查询节点需要提前获知CA的公钥,而为了保证系统的安全,公钥也需要定时更新,如何让查询节点安全获知所有CA的最新公钥同样也是拥有独立公钥与私钥的分布式CA需要考虑的问题。
发明内容
为解决上述问题,本发明公开了一种基于区块链技术的车联网设备身份认证方法。
发明目的:实现车辆终端等查询节点对其他车辆和远程服务器切实可行的安全认证,充分考虑车载端嵌入式设备的性能限制,其只需要在设备初始化时手动存储少量认证信息且认证算法不能过于复杂并尽可能的降低身份认证通信中的耗时。
为了达到以上目的,本发明提供如下技术方案:
一种基于区块链技术的车联网设备身份认证方法,
该方法基于区块链思想构建分布式区块链CA系统,通过CA区块链设计完成车联网通信节点的身份认证;区块链中的区块由权威节点更新区块和新增证书区块组成,区块由双链连接,双链为权威节点更新链和普通链,权威节点更新链连接相邻的权威节点,普通链不区分区块类型直接连接相邻的区块;区块链CA系统中所有通信节点均可查询同步CA区块链,权威节点拥有区块产生权限,通过区块链的确认机制在不安全网络环境下不依赖第三方完成身份的安全认证。
该方法基于区块链思想构建分布式区块链CA系统,通过双链、双区块类型混合结构的CA区块链设计完成车联网通信节点的身份认证:双区块为权威节点更新区块和新增证书区块,权威节点更新区块用于更新目前合法有效的权威节点,证书新增区块用于记录新入网的合法车载通信设备、路边基础设施和远程服务器等通信节点;双链为权威节点更新链和普通链,权威节点更新链连接相邻的权威节点,普通链不区分区块类型直接连接相邻的区块。只有权威节点拥有CA区块链的生成权限,而所有通信节点均可完成CA区块链的同步备份,在通信双方都同步了对应区块链的内容时,可在不安全网络环境下不依赖第三方完成身份的安全认证。此外通过双链设计可加速区块生成者的权限确认,通过区块确认机制充分保证区块链CA系统的安全性能。使其相较于传统的分布式CA系统在时间性能、空间性能和安全性能均具有一定优势。
1.权威节点更新区块和新增证书区块的更新设计如下:
1)权威节点更新区块组成包括240字节区块头和可变长度区块体,区块头字段包括4字节当前区块版本号Version、32字节上一区块哈希值PreHash、32字节本区块体内容哈希值ContentHash、8字节区块生成时间戳TimeStamp、64字节本区块生成者公钥AuthorPubkey、64字节区块签名Signature、4字节区块体内新旧权威节点数量NodeNum和32字节上一权威节点区块哈希LastAuthBlock。权威节点更新区块的区块体内容分为两部分,以utf8明文编码表示,区块体中包含新生效的所有权威节点公钥列表、生成时间以及所有旧权威节点对新节点的确认签名。
2)证书新增区块由240字节区块头和可变长度区块体组成,区块头字段包括4字节当前区块版本号Version、32字节上一区块哈希值PreHash、32字节本区块MerkleRoot哈希值MerkleRootHash、8字节区块生成时间戳TimeStamp、64字节本区块生成者公钥AuthorPubkey、64字节区块签名Signature、4字节区块体内证书数量Num和32字节当前最新权威节点区块哈希CurAuth。区块体内容为新增证书记录,由于单个区块可以记录大量证书,而车辆在查询某个节点合法性时并不需要所有的证书内容,因此区块体内容的哈希计算方法通过Merkle树形式组织,从而降低车辆通信节点向CA查询时需要返回的内容大小。
2.CA区块链认证系统架构设计和身份认证机制如下:
权威节点集群和区块链CA同步服务器为云端CA区块链;红绿灯和车载通信节点属于端设备,每个端设备通过OBU经由RSU或基站与云端通讯获取需求的节点证书。云端CA区块链由权威节点集群和区块链CA同步服务器两部分组成,权威节点集群为区块链的区块生产者,只有权威节点拥有新增区块的权限,它们通过分布式一致性算法保持区块链的同步。同步服务器用于接收端节点的证书查询请求并向其返回相关区块内容,同步服务器只有拷贝同步当前区块链的权限,无法新增区块。区块的生效由后续区块的确认产生,所需确认区块的数量要求越多则整体越安全,但同时会导致更高的区块生效延时以及更复杂的身份认证计算。区块的连接方式为拓扑连接,假设区块生效只需要1个后续区块确认,则双方认证机制工作步骤如下:
1)假设某通信节点ComB向节点ComA发送连接请求,同时将本节点证书9所在的区块Block-04的240字节区块头,证书9的具体内容和必须的Merkle树内哈希值内容以及后续Block-05的240字节区块头发送给ComA;
2)ComA在注册使用时已经将创世区块Block-01的内容存储至本地并信任创世区块内容,其接收到ComB的身份证明内容后,根据证书9的哈希值和Merkle树哈希值计算出MerkleRootHash的最终结果,并与收到区块头中的MerkleRootHash值进行比较,相同则进行步骤3,不同则验证失败,拒绝ComB请求并结束通信;
3)MerkleRootHash确认相同,表明证书位于当前区块,检查当前区块的创造公钥PubA是否存储于本地权威区块中,因PubA在创世区块中,检查通过,若区块创造公钥不在本地记录的权威区块中,则需要向CA区块链服务器查询并更新本地存储的权威节点区块;
4)将除区块头中除Signature外的176字节数据作为消息,根据椭圆曲线数字签名验证方法,通过该消息、PubA和Signature字段计算验证本区块签名是否有效,有效则继续步骤5,不同则结束通信;
5)计算Block-04区块头的哈希值并与Block-05的PreHash字段进行比较,相同则继续步骤6,不同则结束通信;
6)检查Block-05的区块创造公钥是否位于本地存储的权威区块中,没有则向CA区块链服务器查询并更新本地存储的权威节点区块,存在则依据步骤4对Block-05进行检查,检查失败则结束通信;
7)上述检查均通过时,ComB的合法性得到ComA认证。
若ComB的证书存在与Block-07,由于ComA没有记录PubD为权威节点,则需要向服务器获取权威节点更新区块,流程如下:
1)根据Block-07的LastAuthBlock字段向服务器发出权威区块更新请求;
2)服务器根据LastAuthBlock找到其对应权威来源区块Block-06,将Block-06的完整区块头与区块体发送至ComA;
3)ComA接收到Block-06后首先对旧权威节点集群名单进行检查,判断是否所有权威节点在本地存在,如果有参与签名的权威节点依然不在本地记录的权威节点名单中,则根据本区块的LastAuthBlock字段跳转到步骤2继续向服务器请求更新权威节点区块,此处Block-06中的签名权威节点集群为PubA、PubB和PubC来自于创世区块,ComA本地存在创世区块,因此不需要继续回溯;
4)ComA对Block-06区块中的所有旧权威节点集群进行签名验证,确认所有签名合法,然后计算区块内容哈希值判断与区块头中的ContentHash是否相同,相同后再计算区块头内签名是否与区块头可验证,确认可验证后证明Block-06未被篡改;
5)ComA将Block-06区块内的新权威节点更新保存至本地,如果步骤3中进行了多次查询,则需再次跳转到步骤4对其他区块进行认证,此处ComA已通过Block-06回溯得到所需节点的权威性来源并完成认证,可结束本次权威节点更新。
通过上述机制,若认证双方拥有完整权威节点区块则不需要CA区块链服务器参与,可以大大降低通信链路的耗时。
本发明的方法可在不安全网络环境下不依赖第三方完成身份的安全认证。相较于传统的分布式CA系统在时间性能、空间性能和安全性能均具有优势。
附图说明
图1为本发明方法的认证系统架构工作场景图;
图2为本发明方法的双链连接拓扑图;
图3为本发明方法的权威节点更新区块的组成结构设计图;
图4为本发明方法的证书新增区块的组成结构设计图。
具体实施方式
下面结合附图和具体实施方式,进一步阐明本发明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
实施例1
如图1-图4所示,一种基于区块链技术的车联网设备身份认证方法,
该方法基于区块链思想构建分布式区块链CA系统,通过CA区块链设计完成车联网通信节点的身份认证;区块链中的区块由权威节点更新区块和新增证书区块组成,区块由双链连接,如图2所示的双链,双链为权威节点更新链和普通链,权威节点更新链连接相邻的权威节点,普通链不区分区块类型直接连接相邻的区块;区块链CA系统中所有通信节点均可查询同步CA区块链,权威节点拥有区块产生权限,通过区块链的确认机制在不安全网络环境下不依赖第三方完成身份的安全认证。
该方法基于区块链思想构建分布式区块链CA系统,通过双链、双区块类型混合结构的CA区块链设计完成车联网通信节点的身份认证:双区块为权威节点更新区块和新增证书区块,权威节点更新区块用于更新目前合法有效的权威节点,证书新增区块用于记录新入网的合法车载通信设备、路边基础设施和远程服务器等通信节点;双链为权威节点更新链和普通链,权威节点更新链连接相邻的权威节点,普通链不区分区块类型直接连接相邻的区块。只有权威节点拥有CA区块链的生成权限,而所有通信节点均可完成CA区块链的同步备份,在通信双方都同步了对应区块链的内容时,可在不安全网络环境下不依赖第三方完成身份的安全认证。此外通过双链设计可加速区块生成者的权限确认,通过区块确认机制充分保证区块链CA系统的安全性能。使其相较于传统的分布式CA系统在时间性能、空间性能和安全性能均具有一定优势。
实施例2
1.权威节点更新区块和新增证书区块的更新设计如下:
1)权威节点更新区块组成包括240字节区块头和可变长度区块体,如图3所示。区块头字段包括4字节当前区块版本号Version、32字节上一区块哈希值PreHash、32字节本区块体内容哈希值ContentHash、8字节区块生成时间戳TimeStamp、64字节本区块生成者公钥AuthorPubkey、64字节区块签名Signature、4字节区块体内新旧权威节点数量NodeNum和32字节上一权威节点区块哈希LastAuthBlock。权威节点更新区块的区块体内容分为两部分,以utf8明文编码表示,区块体中包含新生效的所有权威节点公钥列表、生成时间以及所有旧权威节点对新节点的确认签名。
2)证书新增区块由240字节区块头和可变长度区块体组成,如图4所示。区块头字段包括4字节当前区块版本号Version、32字节上一区块哈希值PreHash、32字节本区块MerkleRoot哈希值MerkleRootHash、8字节区块生成时间戳TimeStamp、64字节本区块生成者公钥AuthorPubkey、64字节区块签名Signature、4字节区块体内证书数量Num和32字节当前最新权威节点区块哈希CurAuth。区块体内容为新增证书记录,由于单个区块可以记录大量证书,而车辆在查询某个节点合法性时并不需要所有的证书内容,因此区块体内容的哈希计算方法通过Merkle树形式组织,从而降低车辆通信节点向CA查询时需要返回的内容大小。
实施例3
2.CA区块链认证系统架构设计和身份认证机制如下:
分布式CA认证系统架构工作场景如图1所示。图中的权威节点集群和区块链CA同步服务器为云端CA区块链;红绿灯和车载通信节点属于端设备,每个端设备通过OBU经由RSU或基站与云端通讯获取需求的节点证书。图中云端CA区块链由权威节点集群和区块链CA同步服务器两部分组成,权威节点集群为区块链的区块生产者,只有权威节点拥有新增区块的权限,它们通过分布式一致性算法保持区块链的同步。同步服务器用于接收端节点的证书查询请求并向其返回相关区块内容,同步服务器只有拷贝同步当前区块链的权限,无法新增区块。区块的生效由后续区块的确认产生,所需确认区块的数量要求越多则整体越安全,但同时会导致更高的区块生效延时以及更复杂的身份认证计算。以图2所示的拓扑连接为例,假设区块生效只需要1个后续区块确认,则双方认证机制工作步骤如下:
以图2所示的拓扑连接为例,假设区块生效只需要1个后续区块确认,则双方认证机制工作步骤如下:
1)假设某通信节点ComB向节点ComA发送连接请求,同时将本节点证书9所在的区块Block-04的240字节区块头,证书9的具体内容和必须的Merkle树内哈希值(参考4.3.2.2节MerkleRootHash字段的说明)内容以及后续Block-05的240字节区块头发送给ComA;
2)ComA在注册使用时已经将创世区块Block-01的内容存储至本地并信任创世区块内容,其接收到ComB的身份证明内容后,根据证书9的哈希值和Merkle树哈希值计算出MerkleRootHash的最终结果,并与收到区块头中的MerkleRootHash值进行比较,相同则进行步骤3,不同则验证失败,拒绝ComB请求并结束通信;
3)MerkleRootHash确认相同,表明证书位于当前区块,检查当前区块的创造公钥PubA是否存储于本地权威区块中,因PubA在创世区块中,检查通过,若区块创造公钥不在本地记录的权威区块中,则需要向CA区块链服务器查询并更新本地存储的权威节点区块;
4)将除区块头中除Signature外的176字节数据作为消息,根据椭圆曲线数字签名验证方法,通过该消息、PubA和Signature字段计算验证本区块签名是否有效,有效则继续步骤5,不同则结束通信;
5)计算Block-04区块头的哈希值并与Block-05的PreHash字段进行比较,相同则继续步骤6,不同则结束通信;
6)检查Block-05的区块创造公钥是否位于本地存储的权威区块中,没有则向CA区块链服务器查询并更新本地存储的权威节点区块,存在则依据步骤4对Block-05进行检查,检查失败则结束通信;
7)上述检查均通过时,ComB的合法性得到ComA认证。
若ComB的证书存在与Block-07,由于ComA没有记录PubD为权威节点,则需要向服务器获取权威节点更新区块,流程如下:
1)根据Block-07的LastAuthBlock字段向服务器发出权威区块更新请求;
2)服务器根据LastAuthBlock找到其对应权威来源区块Block-06,将Block-06的完整区块头与区块体发送至ComA;
3)ComA接收到Block-06后首先对旧权威节点集群名单进行检查,判断是否所有权威节点在本地存在,如果有参与签名的权威节点依然不在本地记录的权威节点名单中,则根据本区块的LastAuthBlock字段跳转到步骤2继续向服务器请求更新权威节点区块,此处Block-06中的签名权威节点集群为PubA、PubB和PubC来自于创世区块,ComA本地存在创世区块,因此不需要继续回溯;
4)ComA对Block-06区块中的所有旧权威节点集群进行签名验证,确认所有签名合法,然后计算区块内容哈希值判断与区块头中的ContentHash是否相同,相同后再计算区块头内签名是否与区块头可验证,确认可验证后证明Block-06未被篡改;
5)ComA将Block-06区块内的新权威节点更新保存至本地,如果步骤3中进行了多次查询,则需再次跳转到步骤4对其他区块进行认证,此处ComA已通过Block-06回溯得到所需节点的权威性来源并完成认证,可结束本次权威节点更新。
通过上述机制,若认证双方拥有完整权威节点区块则不需要CA区块链服务器参与,可以大大降低通信链路的耗时。
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段,还包括由以上技术特征任意组合所组成的技术方案。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (3)
1.一种基于区块链技术的车联网设备身份认证方法,其特征在于:所述方法基于区块链思想构建分布式区块链CA系统,通过CA区块链设计完成车联网通信节点的身份认证;区块链中的区块由权威节点更新区块和新增证书区块组成,区块由双链连接,双链为权威节点更新链和普通链,权威节点更新链连接相邻的权威节点,普通链不区分区块类型直接连接相邻的区块;区块链CA系统中所有通信节点均可查询同步CA区块链,权威节点拥有区块产生权限,通过区块链的确认机制在不安全网络环境下不依赖第三方完成身份的安全认证。
2.如权利要求1所述的一种基于区块链技术的车联网设备身份认证方法,其特征在于:权威节点更新区块和新增证书区块的更新设计如下:
1)权威节点更新区块由240字节区块头和可变长度区块体组成,本区块的哈希值为区块头240字节按顺序连接后的SHA256计算结果,区块头字段包括4字节当前区块版本号Version、32字节上一区块哈希值PreHash、32字节本区块体内容哈希值ContentHash、8字节区块生成时间戳TimeStamp、64字节本区块生成者公钥AuthorPubkey、64字节区块签名Signature、4字节区块体内新旧权威节点数量NodeNum和32字节上一权威节点区块哈希LastAuthBlock,权威节点更新区块的区块体内容分为两部分,以utf8明文编码表示,区块体中包含新生效的所有权威节点公钥列表、生成时间以及所有旧权威节点对新节点的确认签名;
2)证书新增区块由240字节区块头和可变长度区块体组成,区块头字段包括4字节当前区块版本号Version、32字节上一区块哈希值PreHash、32字节本区块MerkleRoot哈希值MerkleRootHash、8字节区块生成时间戳TimeStamp、64字节本区块生成者公钥AuthorPubkey、64字节区块签名Signature、4字节区块体内证书数量Num和32字节当前最新权威节点区块哈希CurAuth。
3.如权利要求1所述的一种基于区块链技术的车联网设备身份认证方法,其特征在于:CA区块链认证系统架构设计和身份认证机制如下:
权威节点集群和区块链CA同步服务器为云端CA区块链;红绿灯和车载通信节点为端设备,每个端设备通过OBU经由RSU或基站与云端通讯获取需求的节点证书。云端CA区块链由权威节点集群和区块链CA同步服务器两部分组成,权威节点集群为区块链的区块生产者,只有权威节点拥有新增区块的权限,通过分布式一致性算法保持区块链的同步,同步服务器用于接收端节点的证书查询请求并向其返回相关区块内容,同步服务器只有拷贝同步当前区块链的权限,无法新增区块;
区块的生效由后续区块的确认产生,所述区块之间的连接方式为拓扑连接,假设区块生效只需要1个后续区块确认,则双方认证机制工作步骤如下:
1)假设某通信节点ComB向节点ComA发送连接请求,同时将本节点证书9所在的区块Block-04的240字节区块头,证书9的具体内容和必须的Merkle树内哈希值内容以及后续Block-05的240字节区块头发送给ComA;
2)ComA在注册使用时已经将创世区块Block-01的内容存储至本地并信任创世区块内容,其接收到ComB的身份证明内容后,根据证书9的哈希值和Merkle树哈希值计算出MerkleRootHash的最终结果,并与收到区块头中的MerkleRootHash值进行比较,相同则进行步骤3,不同则验证失败,拒绝ComB请求并结束通信;
3)MerkleRootHash确认相同,表明证书位于当前区块,检查当前区块的创造公钥PubA是否存储于本地权威区块中,因PubA在创世区块中,检查通过,若区块创造公钥不在本地记录的权威区块中,则需要向CA区块链服务器查询并更新本地存储的权威节点区块;
4)将除区块头中除Signature外的176字节数据作为消息,根据椭圆曲线数字签名验证方法,通过该消息、PubA和Signature字段计算验证本区块签名是否有效,有效则继续步骤5,不同则结束通信;
5)计算Block-04区块头的哈希值并与Block-05的PreHash字段进行比较,相同则继续步骤6,不同则结束通信;
6)检查Block-05的区块创造公钥是否位于本地存储的权威区块中,没有则向CA区块链服务器查询并更新本地存储的权威节点区块,存在则依据步骤4对Block-05进行检查,检查失败则结束通信;
7)上述检查均通过时,ComB的合法性得到ComA认证;
若ComB的证书存在Block-07,由于ComA没有记录PubD为权威节点,则需要向服务器获取权威节点更新区块,流程如下:
1)根据Block-07的LastAuthBlock字段向服务器发出权威区块更新请求;
2)服务器根据LastAuthBlock找到其对应权威来源区块Block-06,将Block-06的完整区块头与区块体发送至ComA;
3)ComA接收到Block-06后首先对旧权威节点集群名单进行检查,判断是否所有权威节点在本地存在,如果有参与签名的权威节点依然不在本地记录的权威节点名单中,则根据本区块的LastAuthBlock字段跳转到步骤2继续向服务器请求更新权威节点区块,此处Block-06中的签名权威节点集群为PubA、PubB和PubC来自于创世区块,ComA本地存在创世区块,不需要继续回溯,进行下一步;
4)ComA对Block-06区块中的所有旧权威节点集群进行签名验证,确认所有签名合法,然后计算区块内容哈希值判断与区块头中的ContentHash是否相同,相同后再计算区块头内签名是否与区块头可验证,确认可验证后证明Block-06未被篡改;
5)ComA将Block-06区块内的新权威节点更新保存至本地,如果步骤3中进行了多次查询,则需再次跳转到步骤4对其他区块进行认证,此处ComA已通过Block-06回溯得到所需节点的权威性来源并完成认证,可结束本次权威节点更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910653978.0A CN110430061B (zh) | 2019-07-19 | 2019-07-19 | 一种基于区块链技术的车联网设备身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910653978.0A CN110430061B (zh) | 2019-07-19 | 2019-07-19 | 一种基于区块链技术的车联网设备身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110430061A true CN110430061A (zh) | 2019-11-08 |
CN110430061B CN110430061B (zh) | 2021-08-06 |
Family
ID=68410076
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910653978.0A Active CN110430061B (zh) | 2019-07-19 | 2019-07-19 | 一种基于区块链技术的车联网设备身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110430061B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110995413A (zh) * | 2019-12-05 | 2020-04-10 | 杭州趣链科技有限公司 | 一种防止伪节点攻击的联盟链共识节点管理方法 |
CN111371543A (zh) * | 2020-01-08 | 2020-07-03 | 中国科学院重庆绿色智能技术研究院 | 基于双区块链结构的物联网设备访问控制方法 |
CN111479237A (zh) * | 2020-04-06 | 2020-07-31 | 湖南大学 | 一种基于区块链和深度学习的去中心化分布式vanet系统 |
CN111601258A (zh) * | 2020-05-15 | 2020-08-28 | 浙江树人学院(浙江树人大学) | 一种基于区块链的车联网节点数据安全通信方法 |
CN112272377A (zh) * | 2020-11-02 | 2021-01-26 | 桂林电子科技大学 | 一种基于区块链的车辆安全通信方法 |
CN112765137A (zh) * | 2021-04-07 | 2021-05-07 | 暗链科技(深圳)有限公司 | 基于区块分布式区块链的区块同步方法及电子设备 |
CN113115260A (zh) * | 2021-04-23 | 2021-07-13 | 长沙理工大学 | 区块链辅助云边协作车联网通信方法、设备及存储介质 |
CN113596777A (zh) * | 2021-07-26 | 2021-11-02 | 一汽奔腾轿车有限公司 | 一种基于区块链的智能网联汽车匿名身份认证系统及方法 |
CN115567938A (zh) * | 2022-12-02 | 2023-01-03 | 北京中超伟业信息安全技术股份有限公司 | 一种基于区块链认证5g网络中关键设备的方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107181765A (zh) * | 2017-07-25 | 2017-09-19 | 光载无限(北京)科技有限公司 | 基于区块链技术的网络数字身份认证方法 |
CN108171430A (zh) * | 2017-12-29 | 2018-06-15 | 深圳市轱辘车联数据技术有限公司 | 数据处理方法、车载设备以及ubi分析中心服务器 |
CN109068299A (zh) * | 2018-09-26 | 2018-12-21 | 电子科技大学 | 一种基于区块链的车联网架构及其工作方法 |
CN109462836A (zh) * | 2018-11-09 | 2019-03-12 | 长安大学 | 融合区块链共识机制的车联网恶意节点检测系统及方法 |
US20190098602A1 (en) * | 2017-09-26 | 2019-03-28 | Veniam, Inc. | Systems and methods for managing resource utilization in a network of moving things, for example including autonomous vehicles |
-
2019
- 2019-07-19 CN CN201910653978.0A patent/CN110430061B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107181765A (zh) * | 2017-07-25 | 2017-09-19 | 光载无限(北京)科技有限公司 | 基于区块链技术的网络数字身份认证方法 |
US20190098602A1 (en) * | 2017-09-26 | 2019-03-28 | Veniam, Inc. | Systems and methods for managing resource utilization in a network of moving things, for example including autonomous vehicles |
CN108171430A (zh) * | 2017-12-29 | 2018-06-15 | 深圳市轱辘车联数据技术有限公司 | 数据处理方法、车载设备以及ubi分析中心服务器 |
CN109068299A (zh) * | 2018-09-26 | 2018-12-21 | 电子科技大学 | 一种基于区块链的车联网架构及其工作方法 |
CN109462836A (zh) * | 2018-11-09 | 2019-03-12 | 长安大学 | 融合区块链共识机制的车联网恶意节点检测系统及方法 |
Non-Patent Citations (1)
Title |
---|
刘勇: "基于区块链技术的车联网汽车身份认证可行性研究", 《汽车技术》 * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110995413A (zh) * | 2019-12-05 | 2020-04-10 | 杭州趣链科技有限公司 | 一种防止伪节点攻击的联盟链共识节点管理方法 |
CN110995413B (zh) * | 2019-12-05 | 2023-03-31 | 杭州趣链科技有限公司 | 一种防止伪节点攻击的联盟链共识节点管理方法 |
CN111371543A (zh) * | 2020-01-08 | 2020-07-03 | 中国科学院重庆绿色智能技术研究院 | 基于双区块链结构的物联网设备访问控制方法 |
CN111479237A (zh) * | 2020-04-06 | 2020-07-31 | 湖南大学 | 一种基于区块链和深度学习的去中心化分布式vanet系统 |
CN111601258A (zh) * | 2020-05-15 | 2020-08-28 | 浙江树人学院(浙江树人大学) | 一种基于区块链的车联网节点数据安全通信方法 |
CN112272377B (zh) * | 2020-11-02 | 2022-06-14 | 桂林电子科技大学 | 一种基于区块链的车辆安全通信方法 |
CN112272377A (zh) * | 2020-11-02 | 2021-01-26 | 桂林电子科技大学 | 一种基于区块链的车辆安全通信方法 |
CN112765137A (zh) * | 2021-04-07 | 2021-05-07 | 暗链科技(深圳)有限公司 | 基于区块分布式区块链的区块同步方法及电子设备 |
CN113115260A (zh) * | 2021-04-23 | 2021-07-13 | 长沙理工大学 | 区块链辅助云边协作车联网通信方法、设备及存储介质 |
CN113115260B (zh) * | 2021-04-23 | 2022-06-07 | 长沙理工大学 | 区块链辅助云边协作车联网通信方法、设备及存储介质 |
CN113596777A (zh) * | 2021-07-26 | 2021-11-02 | 一汽奔腾轿车有限公司 | 一种基于区块链的智能网联汽车匿名身份认证系统及方法 |
CN115567938A (zh) * | 2022-12-02 | 2023-01-03 | 北京中超伟业信息安全技术股份有限公司 | 一种基于区块链认证5g网络中关键设备的方法 |
CN115567938B (zh) * | 2022-12-02 | 2023-03-10 | 北京中超伟业信息安全技术股份有限公司 | 一种基于区块链认证5g网络中关键设备的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110430061B (zh) | 2021-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110430061A (zh) | 一种基于区块链技术的车联网设备身份认证方法 | |
CN111010376B (zh) | 基于主从链的物联网认证系统及方法 | |
CN106972931B (zh) | 一种pki中证书透明化的方法 | |
CN111107136A (zh) | 一种基于ipfs的区块链跨链中继方法 | |
CN112055025B (zh) | 一种基于区块链的隐私数据保护方法 | |
CN113194469B (zh) | 基于区块链的5g无人机跨域身份认证方法、系统及终端 | |
CN108881169A (zh) | 基于区块链的时间分发和同步方法及系统、数据处理系统 | |
CN113141259B (zh) | 在区块链网络中更换身份证书的方法和装置 | |
CN112929179B (zh) | 基于区块链的车联网设备身份认证及密钥协商方法 | |
CN112436940B (zh) | 一种基于零知识证明的物联网设备可信启动管理方法 | |
CN111163109B (zh) | 区块链去中心式节点防仿冒方法 | |
CN113079215B (zh) | 一种基于区块链的配电物联网无线安全接入方法 | |
CN113055176B (zh) | 终端认证方法和系统、终端设备、p2p验证平台和介质 | |
CN113328997A (zh) | 联盟链跨链系统及方法 | |
CN114338242B (zh) | 一种基于区块链技术的跨域单点登录访问方法及系统 | |
CN111182497A (zh) | V2x匿名认证方法、设备及存储介质 | |
CN112311779B (zh) | 应用于区块链系统的数据访问控制方法及装置 | |
CN115378604A (zh) | 一种基于信誉值机制的边缘计算终端设备的身份认证方法 | |
CN112347188A (zh) | 一种基于私有链的授权及访问审计系统及方法 | |
CN108075895B (zh) | 一种基于区块链的节点许可方法和系统 | |
CN1725685A (zh) | 无线局域网移动终端的安全重认证方法 | |
CN112364387B (zh) | 一种基于区块链网络的身份认证方法及装置、介质和设备 | |
CN112491845B (zh) | 普通节点准入方法、装置、电子设备及可读存储介质 | |
CN111737766B (zh) | 一种在区块链中判断数字证书签名数据合法性的方法 | |
CN116455578A (zh) | 一种基于区块链技术的车辆移动自组网安全认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |