CN108810895A

CN108810895A - 基于区块链的无线Mesh网络身份认证方法

Info

Publication number: CN108810895A
Application number: CN201810765096.9A
Authority: CN
Inventors: 刘乃安; 周坤; 谢江涛
Original assignee: Xidian University
Current assignee: Xidian University
Priority date: 2018-07-12
Filing date: 2018-07-12
Publication date: 2018-11-13
Anticipated expiration: 2038-07-12
Also published as: CN108810895B

Abstract

本发明提出一种基于区块链的无线Mesh网络身份认证方法,包括：用户向可信第三方认证中心注册并获得数字证书；注册用户作为用户节点加入无线Mesh网络中，并选举出一定数量的分布式验证节点，将数字证书广播至验证节点，并保存在验证节点的区块链上；各验证节点将自身区块链上保存的信息广播至所有用户节点；用户节点之间通过公钥体系加密并传输信息；完成交易后，用户节点向分布式验证节点广播交易数据的HASH值；各分布式验证节点对HASH值加上时间戳，得到交易信息，并将该交易信息保存在各分布式验证节点的区块链上。本发明通过将数字证书及交易信息存储在区块链上，从而有效解决了信息泄露，网络诈骗，保证了数据安全。

Description

基于区块链的无线Mesh网络身份认证方法

技术领域

本发明属于身份认证技术领域，涉及一种无线Mesh网络身份认证方法，具体为一种基于区块链的无线Mesh网络身份认证方法，可用于优化无线Mesh网络中的身份认证的安全性能。

背景技术

身份认证也称为“身份验证”或“身份鉴别”，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。

无线Mesh网络是基于802.1ls标准的新型无线多跳网络，是在802.1la/b/g标准的基础上，结合无线局域网和移动自组织网络的特点发展而来。其核心思想是：网络节点通过相邻的网络节点以无线多跳的方式转发数据包，来增强网络的覆盖能力。

目前，无线Mesh网络身份认证领域，网络中的所有用户节点的信息数据都保存在心化的第三方认证中心，并且交易数据都存储在第三方数据中心，既不属于用户，也不属于操作者。当第三方数据中心遭受攻击时，会造成用户身份信息泄露，从而存在冒名认证的危险。而且无线Mesh网络由于其多跳、自组织的特点，使无线Mesh网络会继承所有电波系统中的安全问题，所以非法攻击在无线Mesh网络中发生的可能性被进一步扩大。

北京交通大学蒋雅兰、魏慧琴在计算机科学第10期上提出了一种基于CPK的分布式Mesh网络认证方法，该方法采用组合算法与映射算法，实现了密钥的生产、存储与分发，在用户节点加入无线Mesh网络时，每个用户节点仅根据自身的认证信息，就可以实现对其他用户节点进行验证，但是其存在的缺陷是无法避免数字证书的维护，且用户节点之间的交易信息容易被篡改，使得用户交易的安全性得不到有效的保护。

区块链技术是指多个参与方之间基于现代密码学、分布式一致性协议、点对点网络通信技术和智能合约编程语言等形成的数据交换、处理和存储的技术组合。它通过建立一个共同维护的链式数据库来记录过去的所有交易记录和历史数据，所有的数据都是分布式存储，具有可追溯，不可篡改的特性。

发明内容

本发明的目的在于克服上述现有技术存在的缺陷，提出一种基于区块链的无线Mesh网络身份认证方法，用于解决现有技术中存在的身份认证安全性较低的技术问题。

为实现上述目的，本发明采取的技术方案包括如下步骤：

(1)用户注册：

用户将自己的个人信息通过移动终端填写在可信第三方认证中心中，实现注册；

(2)移动终端产生密钥对：

移动终端将自身随机序列发生器生成的一对比特串作为密钥对，并将密钥对中的公共密钥发送至可信第三方认证中心；

(3)可信第三方认证中心判断申请数字证书的用户是否为注册用户：

可信第三方认证中心判断申请数字证书的用户是否为注册用户，若是，将自己的签名信息以及注册用户的个人信息和公共密钥整合为符合X.509标准的数字证书，发送至注册用户，并执行步骤(4)，否则，执行步骤(1)；

(4)注册用户加入无线Mesh网络：

注册用户加入到无线Mesh网络，成为该网络中的用户节点；

(5)用户节点向无线Mesh网络的分布式验证节点广播数字证书：

用户节点通过区块链的POW共识机制确定无线Mesh网络的分布式验证节点，并向每个分布式验证节点广播数字证书；

(6)分布式验证节点向所有用户节点广播数字证书：

每个验证节点将接收到的数字证书保存在各自的区块链上，并向所有用户节点广播数字证书；

(7)用户节点对交易数据进行加密和解密：

用户节点A利用公钥体系对由数字摘要MD和原文信息组成的交易数据进行加密，同时对公钥体系中的会话密钥进行非对称加密，并将加密后的交易数据和会话密钥传输给通过数字证书确定的用户节点B，用户节点B利用公钥体系对加密后的交易数据进行解密，得到数字摘要MD1和原文信息；

(8)用户节点判断数字签名的真实性：

用户节点B对解密得到的原文信息进行HASH-256运算，得到数字摘要MD，并根据MD与MD1是否相同判断数字签名是否真实，若是，接收用户节点A发送的交易数据，交易成功,并执行步骤(9)，否则，拒绝接收，交易失败，并执行步骤(1)；

(9)用户节点向分布式验证节点广播HASH值：

用户节点A和用户节点B分别对交易数据进行HASH-256运算，得到HASH值，并向每个分布式验证节点广播HASH值；

(10)分布式验证节点保存交易信息：

各分布式验证节点对HASH值加上时间戳，得到交易信息，并将该交易信息保存在各分布式验证节点的区块链上。

本发明与现有技术相比，具有如下优点：

1、本发明中所有用户的数字证书和交易信息都保存在验证节点的区块链上，而区块链上的数据具有不可篡改的特性，能够有效防止用户身份信息泄露造成的冒名认证，同时保证了交易信息的唯一性、可追溯性和不可抵赖性，不容易被篡改，与现有技术采用的集中式存储数据方式相比，有效提高了身份认证的准确性和交易的安全性。

2、本发明每个用户节点将自己的数字证书经过共识机制选举出的验证节点，广播给其他用户节点，用户节点可以通过验证节点来检验身份，减少了与可信第三方认证中心的交互。与现有技术相比，在确保每次交易的用户的身份都是真实可信的同时提升了认证效率。

附图说明

图1是本发明适用的无线Mesh网络的拓扑结构图；

图2是本发明的实现流程图；

图3是本发明用户节点对交易数据进行加密和解密的实现流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合附图和具体实施例，对本发明进一步详细说明。

参照图1.本发明适用的无线Mesh网络，包括用户节点和验证节点，本实施例中有1个可信第三方认证节点，5个用户节点和3个验证节点。其中所有的用户节点都是可移动的，并且都能动态地保持与其它用户节点的联系，用户节点经过可信第三方认证中心确认后加入该网络，分布式验证节点是所有用户节点通过区块链的POW共识机制确定的，验证节点上存储所有用户节点数字证书，用来对用户节点之间的数据交易做出验证，交易结束后，将所有的交易数据的HASH值和时间戳存储在其区块链上。

参照图2.一种基于区块链的无线Mesh网络身份认证方法，包括如下步骤：

步骤1)用户注册：

用户将自己的姓名、性别、身份证号码、联系方式、邮箱通过移动终端填写在可信第三方认证中心中,实现注册功能，以此来区别于其他的用户；

步骤2)移动终端产生密钥对：

密钥长度越大，对应的密钥空间就越大，攻击者使用穷举猜测密码的难度就越大，移动终端将自身随机序列发生器生成的一对比特串作为密钥对，并将密钥对中的公共密钥发送至可信第三方认证中心，目前用于产生随机比特串的方法主要有两类：一种是通过一定的算法由软件或电路生成随机序列，另一种是通过物理现象,如振荡器的频率不稳定性、放射性衰减期间粒子散发的时间，本实施例选择的是第二种，通过移动终端的振荡器频率不稳定性来产生随机比特串；

步骤3)可信第三方认证中心判断申请数字证书的用户是否为注册用户：

可信第三方认证中心判断申请数字证书的用户是否为注册用户，若是，将自己的签名信息以及注册用户的个人信息和公共密钥整合为符合X.509标准的数字证书，发送至注册用户，并执行步骤4)，否则，执行步骤1)；

步骤4)注册用户加入无线Mesh网络：

只有通过注册并获得数字证书的用户才加入到无线Mesh网络中，并成为该网络中的用户节点；

步骤5)用户节点向无线Mesh网络的分布式验证节点广播数字证书：

用户节点加入到无线Mesh网络中之后，各用户节点之间会通过区块链的POW共识机制，来确定无线Mesh网络的分布式验证节点，并向每个分布式验证节点广播数字证书，将数字证书存放在验证节点的区块链上，确保每个验证节点都能复制获得一份用户节点的完整数据的拷贝，从而验证节点就可以完成对其他用户节点的确认，可以避免频繁的与认证中心的交互，其中，分布式验证节点的数量会随着加入网络中的用户节点的数量的增多而增多，并与用户节点的数量保持一定的比例关系，而且，当有新的验证节点产生时，已存在的验证节点会向新的验证节点广播区块链上保存的信息；

步骤6)分布式验证节点向所有用户节点广播数字证书：

每个验证节点将接收到的数字证书保存在各自的区块链上，并向所有用户节点广播数字证书，至此，无线Mesh网络中的各用户节点上都保存有其他用户节点的公钥信息以及部分用户节点的注册信息，用来区别用户；

步骤7)用户节点对交易数据进行加密和解密：

用户节点A利用公钥体系对由数字摘要MD和原文信息组成的交易数据进行加密，同时对公钥体系中的会话密钥进行非对称加密，并将加密后的交易数据和会话密钥传输给通过数字证书确定的用户节点B，用户节点B利用公钥体系对加密后的交易数据进行解密，得到数字摘要MD1和原文信息；参照图3.用户节点对交易数据进行加密和解密实施的具体方案，具体包括如下步骤：

(7a)用户节点A采用散列算法对原文信息进行HASH-256运算，获得原文的数字摘要MD，并采用非对称加密算法RSA，通过自己的私钥对MD进行加密，获得数字签名DS；RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。是被研究得最广泛的公钥算法，从提出到现今的三十多年里，经历了各种攻击的考验，逐渐为人们接受，截止现在该算法被普遍认为是最优秀的公钥方案之一。由于进行的都是大数计算，使得RSA最快的情况也比DES慢上好几倍，无论是软件还是硬件实现，速度一直是RSA的缺陷。一般来说只用于少量数据加密，因而用RSA对会话密钥进行加密；

(7b)用户节点A采用对称加密算法DES的会话密钥，对原文信息和数字签名DS进行加密，得到密文。DES算法具有效率高，算法简单，系统开销小，适合加密大量数据，明文长度和密文长度相等等优点，缺点是需要以安全方式进行会话秘钥等交换，因此通常用DES算法对交易信息进行加密；

(7c)用户节点A采用非对称加密算法RSA，通过用户节点B的公钥对对称加密算法DES的会话密钥进行加密，得到加密后的会话密钥，并将该加密后的会话密钥和步骤(7c)中得到的密文发送给用户节点B；

(7d)用户节点B通过自己的私钥对加密后的会话密钥进行解密，得到会话密钥，并采用DES算法，通过会话密钥对密文进行对称解密，得到数字签名DS和原文信息；

(7e)用户节点B采用非对称解密算法RSA，通过用户节点A的公钥对数字签名DS进行解密，得到数字摘要MD1；

步骤8)用户节点判断数字签名的真实性：

用户节点B对解密得到的原文信息进行HASH-256运算，得到数字摘要MD，并根据MD与MD1是否相同判断数字签名是否真实，若是，说明信息是用户节点A发送过来的，用户节点B接收该交易数据，交易成功，并执行步骤9)，否则，说明信息不是用户节点A发送过来的，拒绝接收，交易失败，并执行步骤1)；

步骤9)用户节点向分布式验证节点广播HASH值：

步骤10)分布式验证节点保存交易信息：

各分布式验证节点对HASH值加上时间戳，得到交易信息，并将该交易信息保存在各分布式验证节点的区块链上，区块链上的数据是不可摧毁的，所记录信息是与生成时间戳关联并一一对应，具有唯一性，不可篡改性，确保身份的真实性，唯一性。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步的详细说明，所应理解的是，以上所述仅为本发明的较佳的具体实施例而已，并不用于限制本发明，任何熟悉本技术领域的技术人员在本发明揭露的技术范围，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内，因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

1.一种基于区块链的无线Mesh网络身份认证方法，其特征在于，包括如下步骤：