CN110177109B - 一种基于标识密码和联盟链的双代理跨域认证系统 - Google Patents

一种基于标识密码和联盟链的双代理跨域认证系统 Download PDF

Info

Publication number
CN110177109B
CN110177109B CN201910480335.0A CN201910480335A CN110177109B CN 110177109 B CN110177109 B CN 110177109B CN 201910480335 A CN201910480335 A CN 201910480335A CN 110177109 B CN110177109 B CN 110177109B
Authority
CN
China
Prior art keywords
server
module
entity
kgc
aas
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910480335.0A
Other languages
English (en)
Other versions
CN110177109A (zh
Inventor
沈蒙
刘惠森
于红波
徐恪
巩毅琛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Priority to CN201910480335.0A priority Critical patent/CN110177109B/zh
Publication of CN110177109A publication Critical patent/CN110177109A/zh
Application granted granted Critical
Publication of CN110177109B publication Critical patent/CN110177109B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于标识密码和联盟链的双代理跨域认证系统,属于物联网信息安全技术领域。所述系统包含实体层、代理层、区块链层和物理存储层;实体层包括若干实体和KGC服务器;KGC服务器包含系统初始化、实体密钥生成、BCAS服务器对接和AAS服务器对接四个模块;代理层包含AAS服务器和BCAS服务器;AAS服务器包含BCAS服务器对接、KGC服务器对接和认证代理三个模块,认证代理模块包括消息签名和签名验证模块;BCAS服务器包含智能合约、KGC服务器对接和AAS服务器对接三个模块。所述认证系统能构建管理域间的互信,缓解认证过程中实体计算开销、KGC服务器工作负载、区块链交易延时以及链上存储空间。

Description

一种基于标识密码和联盟链的双代理跨域认证系统
技术领域
本发明涉及一种基于标识密码和联盟链的双代理跨域认证系统,用于在实体请求跨域实体服务或者访问其资源前的身份确认,属于物联网信息安全技术领域。
背景技术
身份认证在物联网场景中是一种非常基础性的技术,通常作为隐私、安全、信任、授权、访问控制等的底层技术,或作为大多数应用的子模块而存在。实体在请求服务、访问网络资源之前,通常需要由相关的身份认证模块进行身份认证,身份确认通过之后才能进入下一步的网络行为。
从身份认证过程中所使用的密钥类型来看,身份认证技术分为两大类:基于对称密钥的身份认证技术和基于公钥的身份认证技术。基于对称密钥的身份认证技术所涉及的计算简单,通常具有较好的性能,但是通常有一个预密钥分配的环节,这使得系统的可扩展性和灵活性收到很大的限制。目前主要被使用的基于公钥的身份认证技术,又进一步分为基于数字证书的身份认证技术和基于身份标识密码技术的身份认证技术。基于公钥的身份认证技术可解决对称密钥所面临的扩展性和灵活性问题,但是基于数字证书的身份认证技术存在对公钥基础设施的依赖以及数字证书的维护问题,这使得其在物联网领域的应用受到限制。本发明使用基于标识密码的身份认证技术,标识密码不需要使用数字证书将实体的标识和公钥进行绑定,实体标识本身就是公钥或者根据标识计算导出,具有管理简单,扩展性好、灵活性高的特点。
联盟链是一种需要注册许可的区块链,区块链账本仅限于联盟链成员参与维护,区块链上的读写权限、参与记账权限按联盟规则来制定。联盟链平台应提供成员管理、认证、授权、监控、审计等安全管理功能。联盟链虽然去中心化程度不如公有链,但其在交易的确认时间、每秒交易数方面都有很大提升,安全性和性能比公有链高。
发明内容
本发明考虑物联网场景下不同管理域间实体的认证需求,针对所述不同管理域间缺乏互信,公钥基础设施面临证书维护的问题,结合标识密码技术无数字证书、易于部署和管理的优势,联盟链构建互信以及去中心化特性,提出一种基于标识密码和联盟链的双代理跨域认证系统。
所述基于标识密码和联盟链的双代理跨域认证系统涉及的名词有:
1)管理域,是指某些设备同属于一个机构或组织,逻辑上被所述机构或组织内的管理服务器所管理,所述设备及设备的管理服务器共同构成了一个独立的逻辑域;
2)实体,即Entity,简称E,对应着物联网场景下的一个物理设备;
3)密钥生成中心服务器,即Key Generation Center,简称KGC,是管理域内的密钥管理服务器;
4)认证代理服务器,即Authentication Agent Server,简称AAS,是管理域内实体的认证代理;
5)区块链代理服务器,即Blockchain Agent Server,简称BCAS,是管理域内KGC服务器的区块链代理;
所述基于标识密码和联盟链的双代理跨域认证系统在一个独立的管理域内包含实体层、代理层、区块链层和物理存储层;
其中,实体层包括若干实体和KGC服务器;
其中,实体和KGC服务器是基于密码标识系统具备的组件;
其中,每个实体对应于管理域内的一个物理设备,KGC服务器是管理域内的密钥管理服务器;
其中,KGC服务器包含系统初始化模块、实体密钥生成模块、BCAS服务器对接模块和AAS服务器对接模块;
代理层,包含AAS服务器和BCAS服务器;
其中,BCAS服务器为KGC服务器的区块链代理;AAS服务器为实体的认证代理;
AAS服务器包含BCAS服务器对接模块、KGC服务器对接模块和认证代理模块,认证代理模块包含消息签名模块和签名验证模块;
BCAS服务器包含智能合约模块、KGC服务器对接模块和AAS服务器对接模块;
区块链层,包含一个全局的分布式账本;
其中,所述分布式账本由区块组成,区块内包含多个交易;
分布式账本由代理层的BCAS服务器参与维护;
物理存储层,包含云存储服务商提供的云存储空间,云存储服务不限制服务提供商类型;
其中,云存储空间中存储的数据以文件形式存在,并由区块链层中的交易记录指向其网络存储位置,用统一资源标识符指示,即Uniform Resource Identifier,简称URI;
所述双代理跨域认证系统中各组成部分的连接关系如下:实体层和代理层相连接;代理层和区块链层相连接;区块链层和物理存储层相连接;实体层中的每个实体和KGC服务器之间互联;AAS服务器和BCAS服务器之间互联;AAS服务器和实体层的KGC服务器以及和每个实体互联;BCAS服务器和实体层的KGC服务器互联;
KGC服务器中各模块的连接关系如下:
系统初始化模块与实体密钥生成模块相连,AAS服务器对接模块与实体密钥生成模块相连,BCAS服务器对接模块与系统初始化模块相连,BCAS服务器对接模块与BCAS服务器相连;AAS服务器对接模块与AAS服务器相连;
AAS服务器中各模块的连接关系如下:
BCAS服务器对接模块和认证代理模块相连,KGC服务器对接模块和认证代理模块相连,BCAS服务器对接模块和BCAS服务器相连,KGC服务器对接模块和KGC服务器相连;
BCAS服务器中各模块的连接关系如下:
KGC服务器对接模块和智能合约模块相连,AAS服务器对接模块和智能合约模块相连,KGC服务器对接模块和KGC服务器相连,AAS服务器对接模块和AAS服务器相连;
实体层中实体的工作内容包含:
1)向管理域内的KGC服务器请求生成签名私钥;
2)向管理域内的AAS服务器请求认证代理,包含请求签名生成或者签名验证;若当前实体是被认证方,则向AAS服务器请求签名生成代理;若当前实体是认证方,则AAS服务器的签名验证代理是默认行为。
实体层中KGC服务器的工作内容包含:
(a)初始化密码标识系统;
(b)响应来自实体的签名私钥生成请求,生成其签名私钥;
(c)向BCAS服务器请求将管理域系统信息上链;
(d)响应来自AAS服务器的实体签名私钥请求,为其回传实体签名私钥。
代理层中AAS服务器的工作内容包含:
a)响应来自实体的认证代理请求,代理实体完成签名生成或者签名验证;
b)向KGC服务器请求实体签名私钥;
c)向BCAS服务器请求其他管理域的系统信息。
代理层中BCAS服务器的工作内容包含:
A)响应KGC服务器的系统信息上链请求;
B)响应AAS服务器对于其他管理域的系统信息的请求;
C)调用信息上链智能合约,将本管理域的系统信息写入区块链;
D)调用信息查询智能合约,从区块链网络中查询目标管理域的系统信息;
区块链层的工作内容包含:提供共识服务,对各个管理域的系统信息达成一个全局共识,用以保证跨域实体的相互认证;
物理存储层的工作内容包含:给管理域的系统信息存放提供云存储空间。
有益效果
本发明一种基于标识密码和联盟链的双代理跨域认证系统,与现有认证系统相比,具有如下有益效果:
1、所述双代理跨域认证系统引入的AAS服务器能有效缓解物联网设备认证过程中的计算开销,同时缓解KGC服务器的工作负载;
2、所述双代理跨域认证系统引入的BCAS服务器以及区块链层能够在不引入第三方的情况下,为物联网设备的跨管理域认证提供互信基础,同时缓解KGC服务器的工作负载;
3、所述双代理跨域认证系统引入的物理层有效缓解了区块链的吞吐量瓶颈、交易延时以及链上存储空间受限的问题。
附图说明
图1是本发明一种基于标识密码和联盟链的双代理跨域认证系统在智能制造工厂应用场景下的实施拓扑示意图;
图2是本发明一种基于标识密码和联盟链的双代理跨域认证系统架构图;
图3是本发明一种基于标识密码和联盟链的双代理跨域认证系统中KGC服务器结构图;
图4是本发明一种基于标识密码和联盟链的双代理跨域认证系统中AAS服务器结构图;
图5是本发明一种基于标识密码和联盟链的双代理跨域认证系统中BCAS服务器结构图。
具体实施方式
下面结合附图及实施例对本发明所述的一种基于标识密码和联盟链的双代理跨域认证系统进行详细阐述。
实施例1
本实施例阐述了所述基于标识密码和联盟链的双代理认证系统的实施拓扑、架构、架构中所包含的组件及其功能。
所述基于标识密码和联盟链的双代理认证系统可部署于物联网跨域应用场景。此实施例以智能制造工厂应用场景为例,为了简化描述,以两个智能制造工厂为例。有两个智能制造工厂:智能制造工厂A和智能制造工厂B,它们的管理是相互独立的,但具有商业合作关系。每个智能制造工厂中部署若干个智能制造设备,具有感知、存储、处理、执行能力,等同于一个物联网设备。这些智能制造设备由一个中央管理服务器控制。两个智能制造工厂的智能制造设备在生产某些产品的过程中需要通信协作,协作之前需要进行跨域的相互认证。
所述基于标识密码和联盟链的双代理跨域认证系统在两个智能制造工厂应用场景下的实施拓扑如图1所示,图1中有两个管理域:智能制造工厂A和智能制造工厂B。每个管理域内包含一台KGC服务器、一台BCAS服务器、一台AAS服务器和若干实体,管理域之间通过互联网相连。其中,KGC服务器是此应用场景下的中央管理服务器。实体是此应用场景下的智能制造设备。
所述基于标识密码和联盟链的双代理跨域认证系统所用的标识密码技术为SM9签名技术,联盟链为HyperLedger Fabric。
所述基于标识密码和联盟链的双代理跨域认证系统在一个独立的管理域内包含实体层、代理层、区块链层和物理存储层,如图2所示。图中管理域A、管理域B分别对应于智能制造工厂A和智能制造工厂B;
其中,实体层包括若干实体和KGC服务器;
其中,KGC服务器包含系统初始化模块、实体密钥生成模块、BCAS服务器对接模块和AAS服务器对接模块;
其中,实体和KGC服务器是基于密码标识系统具备的组件;
其中,实体对应于智能制造设备,KGC服务器对应于中央管理服务器;
代理层,包含AAS服务器和BCAS服务器;
其中,BCAS服务器为KGC服务器的区块链代理;AAS服务器为实体的认证代理;
AAS服务器包含BCAS服务器对接模块、KGC服务器对接模块和认证代理模块,认证代理模块由消息签名模块和签名验证模块组成;
BCAS服务器包含智能合约模块、KGC服务器对接模块和AAS服务器对接模块;
区块链层,包含一个全局的分布式账本;
其中,所述分布式账本由区块组成,区块内包含多个交易;
分布式账本由代理层的BCAS服务器参与维护;
物理存储层,包含云存储服务商提供的云存储空间,云存储服务不限制服务提供商类型;
其中,云存储空间中存储的数据以文件形式存在,并由区块链层中的交易记录指向其网络存储位置,用统一资源标识符指示,即Uniform Resource Identifier,简称URI;
所述双代理跨域认证系统中各组成部分的连接关系如下:实体层和代理层相连接;代理层和区块链层相连接;区块链层和物理存储层相连接;实体层中的每个实体和KGC服务器之间互联;AAS服务器和BCAS服务器之间互联;AAS服务器和实体层的KGC服务器以及和每个实体互联;BCAS服务器和实体层的KGC服务器互联;
KGC服务器的结构图如图3所示,其中:
系统初始化模块与实体密钥生成模块相连,AAS服务器对接模块与实体密钥生成模块相连,BCAS服务器对接模块与系统初始化模块相连,BCAS服务器对接模块与BCAS服务器相连;AAS服务器对接模块与AAS服务器相连;
其中,系统初始化模块将本管理域的系统信息写入数据库,实体密钥生成模块将实体签名私钥写入本地数据库;
AAS服务器的结构图如图4所示,其中:
BCAS服务器对接模块和认证代理模块相连,KGC服务器对接模块和认证代理模块相连,BCAS服务器对接模块和BCAS服务器相连,KGC服务器对接模块和KGC服务器相连;
其中,认证代理模块将系统信息和实体签名私钥写入本地数据库,这里的系统信息包含本管理域以及其他管理域的系统信息;
BCAS服务器结构图如图5所示,其中:
KGC服务器对接模块和智能合约模块相连,AAS服务器对接模块和智能合约模块相连,KGC服务器对接模块和KGC服务器相连,AAS服务器对接模块和AAS服务器相连;
其中,智能合约模块将系统信息写入本地数据库,这里的系统信息包含本管理域以及其他管理域的系统信息;
实体层中实体的工作内容包含:
1)向管理域内的KGC服务器请求生成签名私钥;
2)向管理域内的AAS服务器请求认证代理,包含请求签名生成或者签名验证;若当前实体是被认证方,则向AAS服务器请求签名生成代理;若当前实体是认证方,则AAS服务器的签名验证代理是默认行为。
实体层中KGC服务器的工作内容包含:
1)初始化密码标识系统,由KGC服务器中的系统初始化模块完成;其中,初始化的内容包含:
a)系统参数组,包含:曲线识别符cid;椭圆曲线基域Fq的参数q;椭圆曲线方程参数a和b;在cid的低4位为2的情况下的扭曲线参数β;曲线阶的素因子N和相对于N的余因子cf;曲线E(Fq)相对于N的嵌入次数k;
Figure GDA0002411587560000101
的N阶循环子群G1的生成元P1,d1整除k;
Figure GDA0002411587560000102
的N阶循环子群G2的生成元P2,d2整除k;双线性对e的标识符eid,双线性对e:G1×G2→GT,GT的阶为N;可选地,G2到G1的同态映射Ψ;
b)系统主密钥。系统主密钥以成对形式存在,由系统主公钥和系统主私钥构成;
2)响应来自实体的签名私钥生成请求,生成其签名私钥,由KGC服务器中的实体私钥生成模块完成;
3)向BCAS服务器请求将管理域系统信息上链,由KGC服务器中的BCAS服务器对接模块完成;
其中,管理域的系统信息包含:管理域的标识符、管理域内标识系统初始化时的系统参数组、系统主公钥以及管理域内所有实体的标识;
4)响应来自AAS服务器的实体签名私钥请求,为其回传实体签名私钥,由KGC服务器中的AAS服务器对接模块完成;
代理层中AAS服务器的工作内容包含:
1)响应来自实体的认证代理请求,代理实体完成签名生成或者签名验证,由AAS服务器中的认证代理模块完成;
其中,AAS服务器在代理签名生成时使用SM9签名生成算法,AAS服务器在代理签名验证时使用SM9签名验证算法;
2)向KGC服务器请求实体签名私钥,由AAS服务器中的KGC服务器对接模块完成;
3)向BCAS服务器请求其他管理域的系统信息,由AAS服务器中的BCAS服务器对接模块完成。
代理层中BCAS服务器的工作内容包含:
1)响应KGC服务器的系统信息上链请求,由BCAS服务器中的KGC服务器对接模块完成;
2)响应AAS服务器对于其他管理域的系统信息的请求,由BCAS服务器中的AAS服务器对接模块完成;
3)调用信息上链智能合约,将本管理域的系统信息写入区块链,由BCAS服务器中的智能合约模块完成;
其中,信息上链智能合约接收管理域标识符、指向管理域系统信息文件的URI以及文件哈希值作为参数,并将这些信息以交易记录形式写入区块链;
4)调用信息查询智能合约,从区块链网络中查询目标管理域的系统信息,由BCAS服务器中的智能合约模块完成;
其中,信息查询智能合约接收管理域标识符作为参数,查询区块链中该管理域的最新的交易记录,返回该管理域对应的系统信息文件URI以及文件哈希值;
区块链层的工作内容包含:提供共识服务,对各个管理域的系统信息达成一个全局共识,用以保证跨域实体的相互认证;
物理存储层的工作内容包含:给管理域的系统信息存放提供云存储空间。
其中,各个管理域确定云存储服务提供商,并将管理域的系统信息存放在单个文件中,由一个唯一的URI标识。
以上所述结合附图和实施例描述了本发明的实施方式,但是对于本领域技术人员来说,在不脱离本发明原理的前提下,还能够做出若干改进,这些也是为属于本发明的保护范围。

Claims (9)

1.一种基于标识密码和联盟链的双代理跨域认证系统,其特征在于:涉及的名词有:
1)管理域,是指某些设备同属于一个机构或组织,逻辑上被所述机构或组织内的管理服务器所管理,所述设备及设备的管理服务器共同构成了一个独立的逻辑域;
2)实体,即Entity,简称E,对应着物联网场景下的一个物理设备;
3)密钥生成中心服务器,即Key Generation Center,简称KGC,是管理域内的密钥管理服务器;
4)认证代理服务器,即Authentication Agent Server,简称AAS,是管理域内实体的认证代理;
5)区块链代理服务器,即Blockchain Agent Server,简称BCAS,是管理域内KGC服务器的区块链代理;
所述基于标识密码和联盟链的双代理跨域认证系统在一个独立的管理域内包含实体层、代理层、区块链层和物理存储层;
其中,实体层包括若干实体和KGC服务器;
其中,实体和KGC服务器是基于密码标识系统具备的组件;
其中,每个实体对应于管理域内的一个物理设备;
其中,KGC服务器包含系统初始化模块、实体密钥生成模块、BCAS服务器对接模块和AAS服务器模块,且KGC服务器是管理域内的密钥管理服务器;
代理层,包含AAS服务器和BCAS服务器;
其中,BCAS服务器为KGC服务器的区块链代理;AAS服务器为实体的认证代理;
AAS服务器包含BCAS服务器对接模块、KGC对接模块和认证代理模块,认证代理模块由消息签名模块和签名验证模块;
BCAS服务器包含智能合约模块、KGC服务器对接模块和AAS服务器对接模块;
物理存储层,包含云存储服务商提供的云存储空间,云存储服务不限制服务提供商类型;
其中,云存储空间中存储的数据以文件形式存在,并由区块链层中的交易记录指向其网络存储位置,用统一资源标识符指示,即Uniform Resource Identifier,简称URI;
所述双代理跨域认证系统中各组成部分的连接关系如下:实体层和代理层相连接;代理层和区块链层相连接;区块链层和物理存储层相连接;实体层中的每个实体和KGC服务器之间互联;AAS服务器和BCAS服务器之间互联;AAS服务器和实体层的KGC服务器以及和每个实体互联;BCAS服务器和实体层的KGC服务器互联;
KGC服务器中各模块的连接关系如下:
系统初始化模块与实体密钥生成模块相连,AAS服务器对接模块与实体密钥生成模块相连,BCAS服务器对接模块与系统初始化模块相连,BCAS服务器对接模块与BCAS服务器相连;AAS服务器对接模块与AAS服务器相连;
AAS服务器中各模块的连接关系如下:
BCAS服务器对接模块和认证代理模块相连,KGC服务器对接模块和认证代理模块相连,BCAS服务器对接模块和BCAS服务器相连,KGC服务器对接模块和KGC服务器相连;
BCAS服务器中各模块的连接关系如下:
KGC服务器对接模块和智能合约模块相连,AAS服务器对接模块和智能合约模块相连,KGC服务器模块和KGC服务器相连,AAS服务器对接模块和AAS服务器相连。
2.根据权利要求1所述的一种基于标识密码和联盟链的双代理跨域认证系统,其特征在于:区块链层,包含一个全局的分布式账本。
3.根据权利要求2所述的一种基于标识密码和联盟链的双代理跨域认证系统,其特征在于:所述分布式账本由区块组成,区块内包含多个交易。
4.根据权利要求2所述的一种基于标识密码和联盟链的双代理跨域认证系统,其特征在于:分布式账本由代理层的BCAS服务器参与维护。
5.根据权利要求1所述的一种基于标识密码和联盟链的双代理跨域认证系统,其特征在于:实体层中实体的工作内容包含:
1)向管理域内的KGC服务器请求生成签名私钥;
2)向管理域内的AAS服务器请求认证代理,包含请求签名生成或者签名验证;若当前实体是被认证方,则向AAS服务器请求签名生成代理;若当前实体是认证方,则AAS服务器的签名验证代理是默认行为。
6.根据权利要求1所述的一种基于标识密码和联盟链的双代理跨域认证系统,其特征在于:实体层中KGC服务器的工作内容包含:
(a)初始化密码标识系统;
(b)响应来自实体的签名私钥生成请求,生成其签名私钥;
(c)向BCAS服务器请求将管理域系统信息上链;
(d)响应来自AAS服务器的实体签名私钥请求,为其回传实体签名私钥。
7.根据权利要求1所述的一种基于标识密码和联盟链的双代理跨域认证系统,其特征在于:代理层中AAS服务器的工作内容包含:
a)响应来自实体的认证代理请求,代理实体完成签名生成或者签名验证;
b)向KGC服务器请求实体签名私钥;
c)向BCAS服务器请求其他管理域的系统信息。
8.根据权利要求1所述的一种基于标识密码和联盟链的双代理跨域认证系统,其特征在于:代理层中BCAS服务器的工作内容包含:
A)响应KGC服务器的系统信息上链请求;
B)响应AAS服务器对于其他管理域的系统信息的请求;
C)调用信息上链智能合约,将本管理域的系统信息写入区块链;
D)调用信息查询智能合约,从区块链网络中查询目标管理域的系统信息;
区块链层的工作内容包含:提供共识服务,对各个管理域的系统信息达成一个全局共识,用以保证跨域实体的相互认证。
9.根据权利要求1所述的一种基于标识密码和联盟链的双代理跨域认证系统,其特征在于:物理存储层的工作内容包含:给管理域的系统信息存放提供云存储空间。
CN201910480335.0A 2019-06-04 2019-06-04 一种基于标识密码和联盟链的双代理跨域认证系统 Active CN110177109B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910480335.0A CN110177109B (zh) 2019-06-04 2019-06-04 一种基于标识密码和联盟链的双代理跨域认证系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910480335.0A CN110177109B (zh) 2019-06-04 2019-06-04 一种基于标识密码和联盟链的双代理跨域认证系统

Publications (2)

Publication Number Publication Date
CN110177109A CN110177109A (zh) 2019-08-27
CN110177109B true CN110177109B (zh) 2020-05-12

Family

ID=67697805

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910480335.0A Active CN110177109B (zh) 2019-06-04 2019-06-04 一种基于标识密码和联盟链的双代理跨域认证系统

Country Status (1)

Country Link
CN (1) CN110177109B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111159288B (zh) * 2019-12-16 2023-04-28 郑杰骞 链式结构数据存储、验证、实现方法、系统、装置及介质
CN112738239B (zh) * 2020-12-29 2023-03-31 杭州趣链科技有限公司 基于区块链的跨网安全数据共享方法及其系统
CN112948846B (zh) * 2021-02-02 2023-09-26 浙江泰科数联信息技术有限公司 一种基于区块链的制造业跨域隐私实体安全对齐共享方法
CN113162949A (zh) * 2021-05-13 2021-07-23 北京工业大学 一种基于区块链的工业物联网设备跨域身份认证方案
CN113315768B (zh) * 2021-05-27 2022-07-26 焦作大学 一种基于物联网的数据库访问可信系统
CN114677137A (zh) * 2022-03-30 2022-06-28 网易(杭州)网络有限公司 区块链跨链方法、系统及装置、电子设备、存储介质
CN116155514B (zh) * 2023-03-01 2024-06-21 电子科技大学 一种基于区块链的跨域物联网设备隐私保护认证方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109815657A (zh) * 2018-12-14 2019-05-28 深圳壹账通智能科技有限公司 一种基于联盟链的身份认证方法及终端设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101877345B1 (ko) * 2017-04-18 2018-07-12 주식회사 코인플러그 블록체인 및 이와 연동되는 머클 트리 구조 기반의 토큰 아이디를 이용하여 카드 사용을 승인하는 방법 및 이를 이용한 서버
CN109104396B (zh) * 2017-06-21 2021-03-16 上海钜真金融信息服务有限公司 一种基于代理签名的区块链代理授权方法、介质
KR101925147B1 (ko) * 2018-03-30 2018-12-04 옥타코 주식회사 생체인증형 리모콘을 이용한 블록체인 기반의 홈쇼핑 정보처리 시스템
CN109743172B (zh) * 2018-12-06 2021-10-15 国网山东省电力公司电力科学研究院 基于联盟区块链v2g网络跨域认证方法、信息数据处理终端

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109815657A (zh) * 2018-12-14 2019-05-28 深圳壹账通智能科技有限公司 一种基于联盟链的身份认证方法及终端设备

Also Published As

Publication number Publication date
CN110177109A (zh) 2019-08-27

Similar Documents

Publication Publication Date Title
CN110177109B (zh) 一种基于标识密码和联盟链的双代理跨域认证系统
CN110138560B (zh) 一种基于标识密码和联盟链的双代理跨域认证方法
Zhang et al. Data security sharing and storage based on a consortium blockchain in a vehicular ad-hoc network
Guan et al. Data security and privacy in fog computing
CN109829326B (zh) 基于区块链的跨域认证与公平审计去重云存储系统
CN110958111B (zh) 一种基于区块链的电力移动终端身份认证机制
CN112418860A (zh) 一种基于跨链技术的区块链高效管理架构及工作方法
Chen et al. Bidm: a blockchain-enabled cross-domain identity management system
CN108876669B (zh) 应用于多平台教育资源共享的课程公证系统及方法
CN111294339B (zh) 基于Fabric架构的同构联盟链跨链方法及装置
CN113806699B (zh) 一种云际计算环境中跨区块链身份验证方法及系统
Tesei et al. IOTA-VPKI: A DLT-based and resource efficient vehicular public key infrastructure
Dwivedi et al. Smart contract and IPFS-based trustworthy secure data storage and device authentication scheme in fog computing environment
CN113824563A (zh) 一种基于区块链证书的跨域身份认证方法
CN115174091B (zh) 一种面向分布式数字身份的同态加密隐私保护方法
Schanzenbach et al. ZKlaims: Privacy-preserving attribute-based credentials using non-interactive zero-knowledge techniques
Li et al. Research on Multidomain Authentication of IoT Based on Cross‐Chain Technology
Gulati et al. Self-sovereign dynamic digital identities based on blockchain technology
US11418342B2 (en) System and methods for data exchange using a distributed ledger
CN115086337B (zh) 文件处理方法、装置、存储介质以及电子设备
Wang et al. Achieving fine-grained and flexible access control on blockchain-based data sharing for the Internet of Things
CN114553440B (zh) 基于区块链和属性签名的跨数据中心身份认证方法及系统
Liu et al. Cross-heterogeneous domain authentication scheme based on blockchain
Xiao et al. Bd-sas: Enabling dynamic spectrum sharing in low-trust environment
Das et al. Design of a trust-based authentication scheme for blockchain-enabled iov system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant