CN110138560A - 一种基于标识密码和联盟链的双代理跨域认证方法 - Google Patents

一种基于标识密码和联盟链的双代理跨域认证方法 Download PDF

Info

Publication number
CN110138560A
CN110138560A CN201910480375.5A CN201910480375A CN110138560A CN 110138560 A CN110138560 A CN 110138560A CN 201910480375 A CN201910480375 A CN 201910480375A CN 110138560 A CN110138560 A CN 110138560A
Authority
CN
China
Prior art keywords
server
entity
management domain
domain
aas
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910480375.5A
Other languages
English (en)
Other versions
CN110138560B (zh
Inventor
沈蒙
刘惠森
于红波
徐恪
巩毅琛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Priority to CN201910480375.5A priority Critical patent/CN110138560B/zh
Publication of CN110138560A publication Critical patent/CN110138560A/zh
Application granted granted Critical
Publication of CN110138560B publication Critical patent/CN110138560B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于标识密码和联盟链的双代理跨域认证方法,属于物联网信息安全技术领域。包括1)管理域系统初始化:KGC服务器初始化系统参数组,生成系统主密钥,发送信息上链请求并附上管理域标识符、系统参数组和系统主密钥;BCAS服务器将上述信息存储在文件中,并计算文件哈希;调用信息上链智能合约,将文件的URI和哈希信息写入区块链;2)管理域B内实体EB认证管理域A内实体EA的过程。所述方法使用标识签名技术实现实体身份认证,认证过程不依赖于公钥基础设施且不需要数字证书,使系统的部署、维护简便,易于扩展,灵活性高;管理域间的互信构建过程并不依赖于第三方机构;能有效解决标识密码技术公钥的撤销和更新问题。

Description

一种基于标识密码和联盟链的双代理跨域认证方法
技术领域
本发明涉及一种基于标识密码和联盟链的双代理跨域认证方法,用于在实体请求跨域实体服务或者访问跨域实体资源前的身份确认,属于物联网信息安全技术领域。
背景技术
身份认证在物联网场景中是一种非常基础性的技术,通常作为隐私、安全、信任、授权、访问控制等的底层技术,或作为大多数应用的子模块而存在。实体在请求服务、访问网络资源之前,通常需要由相关的身份认证模块进行身份认证,身份确认通过之后才能进入下一步的网络行为。
从身份认证过程中所使用的密钥类型来看,身份认证技术分为两大类:基于对称密钥的身份认证技术和基于公钥的身份认证技术。基于对称密钥的身份认证技术所涉及的计算简单,通常具有较好的性能,但是通常有一个预密钥分配的环节,这使得系统的可扩展性和灵活性收到很大的限制。目前主要被使用的基于公钥的身份认证技术,又进一步分为基于数字证书的身份认证技术和基于身份标识密码技术的身份认证技术。基于公钥的身份认证技术可解决对称密钥所面临的的扩展性和灵活性问题,但是基于数字证书的身份认证技术存在对公钥基础设施的依赖以及数字证书的维护问题,这使得其在物联网领域的应用受到限制。本发明使用基于标识密码的身份认证技术,标识密码不需要使用数字证书将实体的标识和公钥进行绑定,实体标识本身就是公钥或者根据标识计算导出,具有管理简单,扩展性好、灵活性高的特点。
联盟链是一种需要注册许可的区块链,区块链账本仅限于联盟链成员参与维护,区块链上的读写权限、参与记账权限按联盟规则来制定。联盟链平台应提供成员管理、认证、授权、监控、审计等安全管理功能。联盟链虽然去中心化程度不如公有链,但其在交易的确认时间、每秒交易数方面都有很大提升,安全性和性能比公有链高。
发明内容
本发明考虑物联网场景下不同管理域间实体的认证需求,针对所述不同管理域间缺乏互信以及公钥基础设施面临证书维护的问题,结合标识密码技术无数字证书、易于部署和管理的优势,联盟链构建互信以及去中心化特性,提出了一种基于标识密码和联盟链的双代理跨域认证方法。
所述基于标识密码和联盟链的双代理跨域认证方法涉及的名词有:
1)管理域,是指某些设备同属于一个机构或组织,逻辑上被所述机构或组织内的管理服务器所管理,所述设备及设备的管理服务器共同构成了一个独立的逻辑域;
2)实体,即Entity,简称E,对应着物联网场景下的一个物理设备,EA表示属于管理域A内的实体;
3)密钥生成中心服务器,即Key Generation Center,简称KGC,是管理域内的密钥管理服务器,KGCA表示管理域A中的密钥生成中心服务器;
4)认证代理服务器,即Authentication Agent Server,简称AAS,是管理域内实体的认证代理,AASA表示属于管理域A中的认证代理服务器;
5)区块链代理服务器,即Blockchain Agent Server,简称BCAS,是管理域内KGC服务器的区块链代理,BCASA表示属于管理域A中的区块链代理服务器;
6)实体标识,用于唯一标识一个实体,且用来作为实体的公钥或者由标识计算出其公钥;
其中,实体标识由不可变字段和可变字段两个字段构成;
不可变字段由实体名称、管理域标识两个字段,可变字段由共同参考时间构成,例如UTC参考时间;
可变字段的时间根据标识策略决定,标识策略决定实体标识的有效时长,以此来实现实体密钥的撤销和更新;
所述基于标识密码和联盟链的双代理跨域认证方法,包含如下步骤:
步骤1,管理域系统初始化,依次包含以下步骤:
步骤1.1,KGC服务器初始化系统参数组;
步骤1.2,KGC服务器生成系统主密钥;
其中,系统主密钥以成对形式出现,包含系统主公钥和系统主私钥;
步骤1.3,KGC服务器给BCAS服务器发送信息上链请求,并附上管理域标识符、系统参数组和系统主公钥;
步骤1.4,BCAS服务器将管理域标识符、系统参数组和系统主公钥存入文件,并计算文件哈希;通过调用信息上链智能合约,将文件的URI和哈希信息写入区块链;其中,URI表示Uniform Resource Identifier,即统一资源标识符,用于唯一标识网络上的资源,并能通过URI在网络中找到该资源。
步骤2,管理域B内实体EB认证管理域A内实体EA的过程,依次包含以下步骤:
步骤2.1,管理域A内,实体EA验证签名私钥是否存在且仍旧有效,若存在且有效,则进入步骤2.8;若实体EA目前尚无签名私钥或者签名私钥已经失效,则进入步骤2.2;
步骤2.2,管理域A内,实体EA向KGCA服务器请求生成自己的签名私钥,并附上自己的标识;
步骤2.3,管理域A内,KGCA服务器根据实体EA传来的标识和系统的系统主私钥,计算出实体EA的签名私钥;
步骤2.4,管理域A内,KGCA服务器向BCASA服务器请求更新管理域A的系统信息,并附上实体EA的标识;
步骤2.5,管理域A内,BCASA服务器更新管理域A的系统信息对应的文件内容,即更换或者增加实体标识EA,并重新计算文件哈希值,调用信息上链智能合约,往联盟链中写入新的URI和文件哈希值信息;
步骤2.6,管理域A内,BCASA服务器更新管理域A的系统信息后,给KGCA服务器返回系统信息更新成功消息;
步骤2.7,管理域A内,KGCA服务器将EA的签名私钥以安全的方式发送给实体EA
步骤2.8,管理域A内,实体EA生成消息M;
步骤2.9,管理域A内,实体EA向AASA服务器发送签名请求和认证请求,并附上消息M;
步骤2.10,管理域A内,AASA服务器首先查询自己数据库内是否含有实体EA的签名私钥,并验证其有效性;若实体EA的签名私钥有效,则进入步骤2.14;若无或实体EA的签名私钥已经失效,则进入步骤2.11;
步骤2.11,管理域A内,AASA服务器向KGCA服务器请求实体EA的签名私钥;
步骤2.12,管理域A内,KGCA服务器根据AASA服务器的签名私钥请求,从数据库查找实体EA的签名私钥;
步骤2.13,管理域A内,KGCA服务器给AASA服务器回传实体EA的签名私钥;
步骤2.14,管理域A内,AASA服务器使用实体EA的签名私钥对其发来的消息M进行签名,产生数字签名S;
步骤2.15,管理域A内,AASA服务器将从实体EA发来的认证请求转发给管理域B内的AASB服务器,并附上消息M和签名S;
步骤2.16,管理域B内,AASB服务器接收到认证请求、消息M和签名S之后,先在自己的数据库内的查询管理域A中是否包含实体EA的标识;若存在且仍有效,进入步骤2.21;若不存在或者无效,则进入步骤2.17;
步骤2.17,管理域B内,AASB服务器向BCASB服务器请求关于管理域A的最新系统信息;
步骤2.18,管理域B内,BCASB服务器收到AASB服务器的请求之后,调用信息查询智能合约,查询管理域A的最新系统信息纪录;根据返回纪录中的URI字段获取管理域A的最新系统信息;
步骤2.19,管理域B内,BCASB服务器将管理域A的最新系统信息回传给AASB服务器;
步骤2.20,管理域B内,AASB服务器再次查询管理域A中是否包含实体EA;若无实体EA,认证失败,则进入步骤2.22;若存在实体EA,则进入步骤2.21;
步骤2.21,管理域B内,AASB服务器根据消息M、签名S和管理域A的系统信息,开展签名验证;若签名验证成功,则认证成功;若签名验证失败,则认证失败;
步骤2.22,管理域B内,AASB服务器生成认证结果;若认证成功,则认证结果为认证成功消息,进入步骤2.24;若认证失败,则生成认证结果为认证失败消息,进入步骤2.23;
步骤2.23,管理域B内,AASB服务器给管理域A内的AASA服务器回传认证结果,进入步骤2.25;
步骤2.24,管理域B内,AASB服务器给管理域A内的AASA服务器回传认证结果;此外,AASB服务器给实体EB发送认证结果;
步骤2.25,管理域A内,AASA服务器接收到认证结果后,将其转发给实体EA
有益效果
本发明一种基于标识密码和联盟链的双代理跨域认证方法,与现有认证方法相比,具有如下有益效果:
1、使用标识密码技术实现实体身份认证过程,认证过程不依赖于公钥基础设施且不需要数字证书,使得系统的部署、维护简便,易于扩展,灵活性高;
2、利用联盟链构建信任、去中性化特性,解决不同管理域之间缺乏互信的难题,使得不同域间的互信构建过程并不依赖于第三方机构;
3、实体标识部分的设计,有效解决标识密码技术公钥的撤销和更新问题。
附图说明
图1是本发明一种基于标识密码和联盟链的双代理跨域认证方法的交互流程图。
具体实施方式
下面结合附图及实施例对本发明所述的一种基于标识密码和联盟链的双代理跨域认证方法进行详细阐述。
实施例1
本实施例阐述了所述基于标识密码和联盟链的双代理认证方法的交互流程。
所述基于标识密码和联盟链的双代理认证方法可应用于物联网跨域应用场景。此实施例以智能制造工厂应用场景为例,为了简化描述,以两个智能制造工厂为例。有两个智能制造工厂:智能制造工厂A和智能制造工厂B,它们的管理是相互独立的,但具有商业合作关系。每个智能制造工厂中部署若干个智能制造设备,具有感知、存储、处理、执行能力,等同于一个物联网设备。这些智能制造设备由一个中央管理服务器控制。两个智能制造工厂的智能制造设备在生产某些产品的过程中需要通信协作,协作之前需要进行跨域的相互认证。所述基于标识密码和联盟链的双代理跨域认证方法所用的标识密码技术为SM9签名技术,联盟链为HyperLedger Fabric。
本发明中,实体标识由不可变字段和可变字段两个字段构成。不可变字段由实体名称、管理域标识两个字段,可变字段由共同参考时间构成,例如UTC参考时间。可变字段的时间根据标识策略决定,标识策略决定实体标识的有效时长,以此来实现实体密钥的撤销和更新。
具体实施时,某实体标识实体名称字段为“EntityA”,管理域标识字段为“DomainA”,时间字段为“20190530123030”,其含义为实体标识为“EntityADomainA20190530123030”,其有效时间值至2019年05月12时30分30秒。
所述基于标识表示密码和联盟链的双代理认证方法具体实施时,步骤1,即管理域内的初始化工作,包括以下步骤:
步骤A,确定管理域内的系统参数组,内容包括:曲线识别符cid;椭圆曲线基域Fq的参数q;椭圆曲线方程参数a和b;在cid的低4位为2的情况下的扭曲线参数β;曲线阶的素因子N和相对于N的余因子cf;曲线E(Fq)相对于N的嵌入次数k;的N阶循环子群G1的生成元P1,d1整除k;的N阶循环子群G2的生成元P2,d2整除k;双线性对e的标识符eid,双线性对e:G1×G2→GT,GT的阶为N;可选地,G2到G1的同态映射Ψ。
步骤B,系统主密钥的生成。KGC服务器产生随机数ks∈[1,N-1]作为系统主私钥,计算G2中的元素Ppub-s=[ks]P2作为系统主公钥,则系统的主密钥对为(ks,Ppub-s)。
步骤C,KGC服务器给BCAS服务器发送信息上链请求,并附上管理域标识符、系统参数组和系统主公钥;
步骤D,BCAS服务器将管理域标识符、系统参数组和系统主公钥存入文件,并计算文件哈希;通过调用信息上链智能合约,将文件的URI和哈希信息写入区块链;其中,URI表示Uniform Resource Identifier,即统一资源标识符,用于唯一标识网络上的资源,并能通过URI在网络中找到该资源。
管理域内的实体首先必须先在密钥生成中心注册,成为该管理域合法、有效的一个实体。
步骤2,即:管理域B内实体EB认证管理域A内实体EA的过程如图1所示,依次包含以下步骤:
步骤1),管理域A内,实体EA验证签名私钥是否存在且仍旧有效,若存在且有效,则进入步骤8);若实体EA目前尚无签名私钥或者签名私钥已经失效,则进入步骤2);
步骤2),管理域A内,实体EA向KGCA服务器请求生成自己的签名私钥,并附上自己的标识;
步骤3),管理域A内,KGCA服务器根据实体EA传来的标识和系统的系统主私钥,计算出实体EA的签名私钥;
步骤4),管理域A内,KGCA服务器向BCASA服务器请求更新管理域A的系统信息,并附上实体EA的标识;
其中,系统信息包含:管理域的标识符、系统参数组、系统主公钥以及管理域内所有实体的标识;此处,仅需更新实体标识;
步骤5),管理域A内,BCASA服务器更新管理域A的系统信息对应的文件内容,即更换或者增加实体标识EA,并重新计算文件哈希值,调用信息上链智能合约,往联盟链中写入新的URI和文件哈希值信息;
步骤6),管理域A内,BCASA服务器更新管理域A的系统信息后,给KGCA服务器返回系统信息更新成功消息;
步骤7),管理域A内,KGCA服务器将EA的签名私钥以安全的方式发送给实体EA
步骤8),管理域A内,实体EA生成消息M;
步骤9),管理域A内,实体EA向AASA服务器发送签名请求和认证请求,并附上消息M;
步骤10),管理域A内,AASA服务器首先查询自己数据库内是否含有实体EA的签名私钥,并验证其有效性;若实体EA的签名私钥有效,则进入步骤14);若无或实体EA的签名私钥已经失效,则进入步骤11);
步骤11),管理域A内,AASA服务器向KGCA服务器请求实体EA的签名私钥;
步骤12),管理域A内,KGCA服务器根据AASA服务器的签名私钥请求,从数据库查找实体EA的签名私钥;
步骤13),管理域A内,KGCA服务器给AASA服务器回传实体EA的签名私钥;
步骤14),管理域A内,AASA服务器使用实体EA的签名私钥对其发来的消息M进行签名,产生数字签名(h,S);数字签名依次包含如下步骤:
步骤14.1),计算群GT中的元素g=e(P1,Ppub-s);
步骤14.2),产生随机数r∈[1,N-1];
步骤14.3),计算群GT中的元素w=gr,将w的数据类型转换为比特串;
步骤14.4),计算整数h=H2(M||w,N);
步骤14.5),计算整数l=(r-h)mod N,若l=0则重新进入步骤14.2);
步骤14.6),计算群G1中的元素
步骤14.7),消息M的签名为(h,S)。
步骤15),管理域A内,AASA服务器将从实体EA发来的认证请求转发给管理域B内的AASB服务器,并附上消息M和签名(h,S);
步骤16),管理域B内,AASB服务器接收到认证请求、消息M和签名(h,S)之后,先在自己的数据库内的查询管理域A中是否包含实体EA的标识;若存在且仍有效,进入步骤21);若不存在或者无效,则进入步骤17);
步骤17),管理域B内,AASB服务器向BCASB服务器请求关于管理域A的最新系统信息;
步骤18),管理域B内,BCASB服务器收到AASB服务器的请求之后,调用信息查询智能合约,查询管理域A的最新系统信息纪录;根据返回纪录中的URI字段获取管理域A的最新系统信息;
步骤19),管理域B内,BCASB服务器将管理域A的最新系统信息回传给AASB服务器;
步骤20),管理域B内,AASB服务器再次查询管理域A中是否包含实体EA;若无实体EA,认证失败,则进入步骤22);若存在实体EA,则进入步骤21);
步骤21),管理域B内,AASB服务器根据消息M、签名(h,S)和管理域A的系统信息,开展签名验证;若签名验证成功,则认证成功;若签名验证失败,则认证失败;签名验证依次包含以下步骤:
步骤21.1),检验h∈[1,N-1]是否成立,若不成立,验证失败;
步骤21.2),将S的数据类型转换为椭圆曲线上的点,检验S∈G1是否成立,若不成立,则验证失败;
步骤21.3),计算群GT中的元素g=e(P1,Ppub-s);
步骤21.4),计算群GT中的元素t=gh
步骤21.5),计算整数
步骤21.6),计算群G2中的元素P=[h1]P2+Ppub-s
步骤21.7),计算群GT中的元素u=e(S,P);
步骤21.8),计算群GT中的元素w=u·t,将w的数据类型转换为比特串;
步骤21.9),计算整数h2=H2(M||w,N),检验h2=h是否成立,若成立则验证成功;否则验证失败;
步骤22),管理域B内,AASB服务器生成认证结果;若认证成功,则认证结果为认证成功消息,进入步骤24);若认证失败,则生成认证结果为认证失败消息,进入步骤23);
步骤23),管理域B内,AASB服务器给管理域A内的AASA服务器回传认证结果,进入步骤25);
步骤24),管理域B内,AASB服务器给管理域A内的AASA服务器回传认证结果;此外,AASB服务器给实体EB发送认证结果;
步骤25),管理域A内,AASA服务器接收到认证结果后,将其转发给实体EA
以上所述结合附图和实施例描述了本发明的实施方式,但是对于本领域技术人员来说,在不脱离本专利原理的前提下,还能够做出若干改进,这些也是为属于本专利的保护范围。

Claims (6)

1.一种基于标识密码和联盟链的双代理跨域认证方法,其特征在于:涉及的名词有:
1)管理域,是指某些设备同属于一个机构或组织,逻辑上被所述机构或组织内的管理服务器所管理,所述设备及设备的管理服务器共同构成了一个独立的逻辑域;
2)实体,即Entity,简称E,对应着物联网场景下的一个物理设备,EA表示属于管理域A内的实体;
3)密钥生成中心服务器,即Key Generation Center,简称KGC,是管理域内的密钥管理服务器,KGCA表示管理域A中的密钥生成中心服务器;
4)认证代理服务器,即Authentication Agent Server,简称AAS,是管理域内实体的认证代理,AASA表示属于管理域A中的认证代理服务器;
5)区块链代理服务器,即Blockchain Agent Server,简称BCAS,是管理域内KGC服务器的区块链代理,BCASA表示属于管理域A中的区块链代理服务器;
6)实体标识,用于唯一标识一个实体,且用来作为实体的公钥或者由标识计算出其公钥;
所述基于标识密码和联盟链的双代理跨域认证方法,包含如下步骤:
步骤1,管理域系统初始化,依次包含以下步骤:
步骤1.1,KGC服务器初始化系统参数组;
步骤1.2,KGC服务器生成系统主密钥;
其中,系统主密钥包含系统主公钥和系统主私钥;
步骤1.3,KGC服务器给BCAS服务器发送信息上链请求,并附上管理域标识符、系统参数组和系统主公钥;
步骤1.4,BCAS服务器将管理域标识符、系统参数组和系统主公钥存入文件,并计算文件哈希;通过调用信息上链智能合约,将文件的URI和哈希信息写入区块链;
步骤2,管理域B内实体EB认证管理域A内实体EA的过程,依次包含以下步骤:
步骤2.1,管理域A内,实体EA验证签名私钥是否存在且仍旧有效,若存在且有效,则进入步骤2.8;若实体EA目前尚无签名私钥或者签名私钥已经失效,则进入步骤2.2;
步骤2.2,管理域A内,实体EA向KGCA服务器请求生成自己的签名私钥,并附上自己的标识;
步骤2.3,管理域A内,KGCA服务器根据实体EA传来的标识和系统的系统主私钥,计算出实体EA的签名私钥;
步骤2.4,管理域A内,KGCA服务器向BCASA服务器请求更新管理域A的系统信息,并附上实体EA的标识;
步骤2.5,管理域A内,BCASA服务器更新管理域A的系统信息对应的文件内容,即更换或者增加实体标识EA,并重新计算文件哈希值,调用信息上链智能合约,往联盟链中写入新的URI和文件哈希值信息;
步骤2.6,管理域A内,BCASA服务器更新管理域A的系统信息后,给KGCA服务器返回系统信息更新成功消息;
步骤2.7,管理域A内,KGCA服务器将EA的签名私钥以安全的方式发送给实体EA
步骤2.8,管理域A内,实体EA生成消息M;
步骤2.9,管理域A内,实体EA向AASA服务器发送签名请求和认证请求,并附上消息M;
步骤2.10,管理域A内,AASA服务器首先查询自己数据库内是否含有实体EA的签名私钥,并验证其有效性;若实体EA的签名私钥有效,则进入步骤2.14;若无或实体EA的签名私钥已经失效,则进入步骤2.11;
步骤2.11,管理域A内,AASA服务器向KGCA服务器请求实体EA的签名私钥;
步骤2.12,管理域A内,KGCA服务器根据AASA服务器的签名私钥请求,从数据库查找实体EA的签名私钥;
步骤2.13,管理域A内,KGCA服务器给AASA服务器回传实体EA的签名私钥;
步骤2.14,管理域A内,AASA服务器使用实体EA的签名私钥对其发来的消息M进行签名,产生数字签名S;
步骤2.15,管理域A内,AASA服务器将从实体EA发来的认证请求转发给管理域B内的AASB服务器,并附上消息M和签名S;
步骤2.16,管理域B内,AASB服务器接收到认证请求、消息M和签名S之后,先在自己的数据库内的查询管理域A中是否包含实体EA的标识;若存在且仍有效,进入步骤2.20;若不存在或者无效,则进入步骤2.17;
步骤2.17,管理域B内,AASB服务器向BCASB服务器请求关于管理域A的最新系统信息;
步骤2.18,管理域B内,BCASB服务器收到AASB服务器的请求之后,调用信息查询智能合约,查询管理域A的最新系统信息纪录;根据返回纪录中的URI字段获取管理域A的最新系统信息;
步骤2.19,管理域B内,BCASB服务器将管理域A的最新系统信息回传给AASB服务器;
步骤2.20,管理域B内,AASB服务器再次查询管理域A中是否包含实体EA;若无实体EA,认证失败,则进入步骤2.22;若存在实体EA,则进入步骤2.21;
步骤2.21,管理域B内,AASB服务器根据消息M、签名S和管理域A的系统信息,开展签名验证;若签名验证成功,则认证成功;若签名验证失败,则认证失败;
步骤2.22,管理域B内,AASB服务器生成认证结果;若认证成功,则认证结果为认证成功消息,进入步骤2.25;若认证失败,则生成认证结果为认证失败消息,进入步骤2.23;
步骤2.23,管理域B内,若认证结果为认证失败,则AASB服务器给管理域A内的AASA服务器回传认证结果;若认证结果为认证成功,则进入步骤2.24;
步骤2.24,管理域B内,AASB服务器给管理域A内的AASA服务器回传认证结果;此外,AASB服务器给实体EB发送认证结果;
步骤2.25,管理域A内,AASA服务器接收到认证结果后,将其转发给实体EA
2.根据权利要求1中所述的一种基于标识密码和联盟链的双代理跨域认证方法,其特征在于:6)中,实体标识包括不可变字段和可变字段。
3.根据权利要求2中所述的一种基于标识密码和联盟链的双代理跨域认证方法,其特征在于:不可变字段由实体名称、管理域标识两个字段,可变字段由共同参考时间构成。
4.根据权利要求2中所述的一种基于标识密码和联盟链的双代理跨域认证方法,其特征在于:可变字段的时间根据标识策略决定,标识策略决定实体标识的有效时长,以此来实现实体密钥的撤销和更新。
5.根据权利要求1中所述的一种基于标识密码和联盟链的双代理跨域认证方法,其特征在于:步骤1.2中的系统主密钥以成对形式出现。
6.根据权利要求1中所述的一种基于标识密码和联盟链的双代理跨域认证方法,其特征在于:步骤1.4中的URI表示Uniform Resource Identifier,即统一资源标识符,用于唯一标识网络上的资源,并能通过URI在网络中找到该资源。
CN201910480375.5A 2019-06-04 2019-06-04 一种基于标识密码和联盟链的双代理跨域认证方法 Active CN110138560B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910480375.5A CN110138560B (zh) 2019-06-04 2019-06-04 一种基于标识密码和联盟链的双代理跨域认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910480375.5A CN110138560B (zh) 2019-06-04 2019-06-04 一种基于标识密码和联盟链的双代理跨域认证方法

Publications (2)

Publication Number Publication Date
CN110138560A true CN110138560A (zh) 2019-08-16
CN110138560B CN110138560B (zh) 2020-09-11

Family

ID=67580045

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910480375.5A Active CN110138560B (zh) 2019-06-04 2019-06-04 一种基于标识密码和联盟链的双代理跨域认证方法

Country Status (1)

Country Link
CN (1) CN110138560B (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110719163A (zh) * 2019-09-29 2020-01-21 联想(北京)有限公司 一种信息处理方法、设备及存储介质
CN111294202A (zh) * 2020-01-16 2020-06-16 重庆邮电大学 一种面向联盟链的身份认证方法
CN112073187A (zh) * 2020-08-28 2020-12-11 江苏卓易信息科技股份有限公司 一种基于非阻塞方式加速系统可信链构建的方法
CN112131304A (zh) * 2020-02-10 2020-12-25 北京天德科技有限公司 一种基于区块链技术的新型计算及存储架构
CN112637211A (zh) * 2020-12-24 2021-04-09 国网河北省电力有限公司信息通信分公司 一种基于区块链的跨域访问的认证方法及系统
CN112636977A (zh) * 2020-12-23 2021-04-09 四川虹微技术有限公司 物联网设备管理方法、注册方法、装置、系统及电子设备
CN112804356A (zh) * 2021-03-30 2021-05-14 信联科技(南京)有限公司 一种基于区块链的联网设备监管认证方法及系统
CN113158202A (zh) * 2021-03-22 2021-07-23 北京信息科技大学 一种基于标识密码的分布式密钥管理、验证方法及系统
CN113194469A (zh) * 2021-04-28 2021-07-30 四川师范大学 基于区块链的5g无人机跨域身份认证方法、系统及终端
CN113972991A (zh) * 2020-07-23 2022-01-25 南京理工大学 一种基于多级联盟链的跨域身份认证方法
CN114499883A (zh) * 2022-02-09 2022-05-13 浪潮云信息技术股份公司 基于区块链和sm9算法的跨组织身份认证方法及系统
CN114760071A (zh) * 2022-06-13 2022-07-15 深圳市永达电子信息股份有限公司 基于零知识证明的跨域数字证书管理方法、系统和介质
CN115225259A (zh) * 2021-04-19 2022-10-21 中国移动通信有限公司研究院 Id-pkc信息处理方法、装置、节点及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107257340A (zh) * 2017-06-19 2017-10-17 阿里巴巴集团控股有限公司 一种认证方法、基于区块链的认证数据处理方法及设备
CN108737370A (zh) * 2018-04-05 2018-11-02 西安电子科技大学 一种基于区块链的物联网跨域认证系统及方法
CN109039649A (zh) * 2018-08-03 2018-12-18 北京大学深圳研究生院 一种ccn中基于区块链的密钥管理方法、装置及存储介质
US20190058709A1 (en) * 2017-08-16 2019-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Tenant management method and system in a cloud computing environment
CN109743172A (zh) * 2018-12-06 2019-05-10 国网山东省电力公司电力科学研究院 基于联盟区块链v2g网络跨域认证方法、信息数据处理终端
US20190163912A1 (en) * 2017-11-30 2019-05-30 Mocana Corporation System and method for recording device lifecycle transactions as versioned blocks in a blockchain network using a transaction connector and broker service

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107257340A (zh) * 2017-06-19 2017-10-17 阿里巴巴集团控股有限公司 一种认证方法、基于区块链的认证数据处理方法及设备
US20190058709A1 (en) * 2017-08-16 2019-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Tenant management method and system in a cloud computing environment
US20190163912A1 (en) * 2017-11-30 2019-05-30 Mocana Corporation System and method for recording device lifecycle transactions as versioned blocks in a blockchain network using a transaction connector and broker service
CN108737370A (zh) * 2018-04-05 2018-11-02 西安电子科技大学 一种基于区块链的物联网跨域认证系统及方法
CN109039649A (zh) * 2018-08-03 2018-12-18 北京大学深圳研究生院 一种ccn中基于区块链的密钥管理方法、装置及存储介质
CN109743172A (zh) * 2018-12-06 2019-05-10 国网山东省电力公司电力科学研究院 基于联盟区块链v2g网络跨域认证方法、信息数据处理终端

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
MENG SHEN: "Privacy preserving support vector machine training over blockchain-based encrypted iot data in smart", 《INTERNET OF THINGS JOURNAL》 *
刘冬兰等: "基于联盟区块链的V2G网络跨域认证技术研究", 《计算机测量与控制》 *
张昊迪: "基于区块链技术的跨域身份认证机制研究", 《广东通信技术》 *

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110719163A (zh) * 2019-09-29 2020-01-21 联想(北京)有限公司 一种信息处理方法、设备及存储介质
CN111294202A (zh) * 2020-01-16 2020-06-16 重庆邮电大学 一种面向联盟链的身份认证方法
CN112131304A (zh) * 2020-02-10 2020-12-25 北京天德科技有限公司 一种基于区块链技术的新型计算及存储架构
CN113972991A (zh) * 2020-07-23 2022-01-25 南京理工大学 一种基于多级联盟链的跨域身份认证方法
CN113972991B (zh) * 2020-07-23 2024-07-12 南京理工大学 一种基于多级联盟链的跨域身份认证方法
CN112073187A (zh) * 2020-08-28 2020-12-11 江苏卓易信息科技股份有限公司 一种基于非阻塞方式加速系统可信链构建的方法
CN112636977A (zh) * 2020-12-23 2021-04-09 四川虹微技术有限公司 物联网设备管理方法、注册方法、装置、系统及电子设备
CN112636977B (zh) * 2020-12-23 2022-09-27 四川虹微技术有限公司 物联网设备管理方法、注册方法、装置、系统及电子设备
CN112637211B (zh) * 2020-12-24 2022-09-20 国网河北省电力有限公司信息通信分公司 一种基于区块链的跨域访问的认证方法及系统
CN112637211A (zh) * 2020-12-24 2021-04-09 国网河北省电力有限公司信息通信分公司 一种基于区块链的跨域访问的认证方法及系统
CN113158202B (zh) * 2021-03-22 2023-12-15 北京信息科技大学 一种基于标识密码的分布式密钥管理、验证方法及系统
CN113158202A (zh) * 2021-03-22 2021-07-23 北京信息科技大学 一种基于标识密码的分布式密钥管理、验证方法及系统
CN112804356A (zh) * 2021-03-30 2021-05-14 信联科技(南京)有限公司 一种基于区块链的联网设备监管认证方法及系统
CN112804356B (zh) * 2021-03-30 2021-07-23 信联科技(南京)有限公司 一种基于区块链的联网设备监管认证方法及系统
CN115225259A (zh) * 2021-04-19 2022-10-21 中国移动通信有限公司研究院 Id-pkc信息处理方法、装置、节点及存储介质
WO2022222722A1 (zh) * 2021-04-19 2022-10-27 中国移动通信有限公司研究院 Id-pkc信息处理方法、装置、节点及存储介质
CN113194469A (zh) * 2021-04-28 2021-07-30 四川师范大学 基于区块链的5g无人机跨域身份认证方法、系统及终端
CN114499883A (zh) * 2022-02-09 2022-05-13 浪潮云信息技术股份公司 基于区块链和sm9算法的跨组织身份认证方法及系统
CN114760071A (zh) * 2022-06-13 2022-07-15 深圳市永达电子信息股份有限公司 基于零知识证明的跨域数字证书管理方法、系统和介质
CN114760071B (zh) * 2022-06-13 2022-10-28 深圳市永达电子信息股份有限公司 基于零知识证明的跨域数字证书管理方法、系统和介质

Also Published As

Publication number Publication date
CN110138560B (zh) 2020-09-11

Similar Documents

Publication Publication Date Title
CN110138560A (zh) 一种基于标识密码和联盟链的双代理跨域认证方法
Fromknecht et al. A decentralized public key infrastructure with identity retention
Luecking et al. Decentralized identity and trust management framework for Internet of Things
CN110046521A (zh) 去中心化隐私保护方法
CN109743172A (zh) 基于联盟区块链v2g网络跨域认证方法、信息数据处理终端
CN112311530A (zh) 一种基于区块链的联盟信任分布式身份凭证管理认证方法
CN110059503A (zh) 可追溯的社交信息防泄露方法
CN112199726A (zh) 一种基于区块链的联盟信任分布式身份认证方法及系统
CN110177109A (zh) 一种基于标识密码和联盟链的双代理跨域认证系统
CN103842984A (zh) 基于参数的密钥推导
CN111049835A (zh) 分布式公共证书服务网络的统一身份管理系统
Schanzenbach et al. ZKlaims: Privacy-preserving attribute-based credentials using non-interactive zero-knowledge techniques
CN109981287A (zh) 一种代码签名方法及其存储介质
CN113824563A (zh) 一种基于区块链证书的跨域身份认证方法
Gulati et al. Self-sovereign dynamic digital identities based on blockchain technology
CN111586049A (zh) 一种针对移动互联网的轻量级密钥认证方法及装置
CN112565294B (zh) 一种基于区块链电子签名的身份认证方法
Abe et al. Double-trapdoor anonymous tags for traceable signatures
CN109981637B (zh) 一种基于区块链的物联网多源交叉复合认证方法
Buldas et al. Keyless signature infrastructure and PKI: hash-tree signatures in pre-and post-quantum world
Dumas et al. LocalPKI: An interoperable and IoT friendly PKI
Sudarsan et al. A model for signatories in cyber-physical systems
Farouk et al. Authentication mechanisms in grid computing environment: Comparative study
CN114978698B (zh) 网络接入方法、目标终端、凭证管理网元及验证网元
CN114944953B (zh) 一种车联网环境下用于路况监测的无证书匿名认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant