CN111327568B - 身份认证方法和系统 - Google Patents
身份认证方法和系统 Download PDFInfo
- Publication number
- CN111327568B CN111327568B CN201811528633.4A CN201811528633A CN111327568B CN 111327568 B CN111327568 B CN 111327568B CN 201811528633 A CN201811528633 A CN 201811528633A CN 111327568 B CN111327568 B CN 111327568B
- Authority
- CN
- China
- Prior art keywords
- node
- authentication
- access
- token
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种身份认证方法和系统。在身份认证系统中,第一节点在访问第二节点时向认证节点发送第一访问请求,认证节点从区块链事务节点获取第二节点的访问条件,并根据访问条件对第一节点进行合法性验证,在第一节点通过合法性验证后,认证节点将令牌发送给第一节点,第一节点向第二节点发送第二访问请求,其中第二访问请求包括第一节点地址信息和令牌,第二节点请求认证节点验证所述令牌,在所述令牌通过验证后,第二节点向第一节点开放资源,区块链事务节点将本次交易处理写入区块链。本公开通过利用区块链为物联网设备的身份认证提供有效匿名的执行环境,同时也保证了数据的安全和不可篡改。
Description
技术领域
本公开涉及安全技术领域,特别涉及一种身份认证方法和系统。
背景技术
近年来,随着物联网技术的迅速发展,接入网络的设备数量呈爆炸式增长。根据Gartner的统计,2017年物联网的规模已经达到了83.806亿台。预估到2020年,物联网的规模会达到250亿台。随着物联网规模的快速增大,物联网内设备的身份认证问题也愈发明显。
身份认证是实体间信任建立的过程。在单一域中通常借助第三方的权威属性,通过用户所知、用户所有或生物特征来确认用户身份,建立起交互实体之间的信任。但是在单个域中,保护的能见度和范围是有限的。随着物联网中设备数量的增长,如果以传统的中心化网络模式进行管理,将带来巨大的数据中心基础设施建设投入及维护投入。另一方面,物联网是分布式模式,建立用户和分布式计算节点之间的信任是亟待解决的问题,基于中心化的网络模式也会存在安全隐患。首先,中心化服务器容易受到攻击,服务器遭受攻击后宕机、瘫痪,进而造成数据泄露或者服务中断的问题;其次,物联网设备的本身容易遭受攻击,设备的可信度和数据的安全性不能保证,身份认证结果也很容易遭受篡改。
区块链技术是分布式存储、点对点传输、共识机制、加密算法的集成应用。通过区块链分布式节点验证和共识机制,能够实现去中心化系统节点间的信任建立,同时公共账本提供一个共享、确定、不可改变的记录,保证数据一致性、防篡改。基于这些特性区块链被用于支付结算、票据、信用认证和监管等领域。典型的基于区块链技术的分布式PKI(Certcoin),其核心思想是通过公共总账来记录用户证书,以公开的方式将用户身份与证书公钥关联,从而实现去中心化的PKI建设,任何用户都可以查询证书的签发过程,解决了传统的PKI系统中面临的证书的透明度和CA单点故障的问题。由此,区块链的去中心化特性为物联网的自我治理提供了方法,但是这种身份认证需要考虑物联网本身的特性,一方面在物联网环境下,设备具有不同的信任需求,另一方面终端设备硬件资源有限,在上述两种情况下,如何更高效的参与区块链服务。另一方面,面对大规模且具有动态性特征的物联网设备,没有适用于主体信任度不明确情况的动态授权机制,设备之间无法安全的发现对等点。
发明内容
发明人通过研究发现,现有的基于区块链的物联网身份认证技术,一方面,没有考虑物联网环境下设备不同的信任需求,以及本身终端设备由于硬件资源有限的掣肘,如何更高效的参与区块链服务的问题;另一方面在面对大规模且具有动态性的物联网设备认证时,没有可靠的动态授权机制。
本公开提供一种通过利用区块链构建实现物联网设备可信的身份认证的方案。
根据本公开的一个或多个实施例的一个方面,提供一种身份认证方法,包括:第一节点向认证节点发送第一访问请求,其中第一访问请求包括第一节点身份信息、请求事件和第二节点身份信息;认证节点在接收到第一访问请求后,从区块链事务节点获取第二节点的访问条件,并根据访问条件对第一节点进行合法性验证;在第一节点通过合法性验证后,认证节点将令牌发送给第一节点;第一节点向第二节点发送第二访问请求,其中第二访问请求包括第一节点地址信息和所述令牌;第二节点在接收到第二访问请求后,请求认证节点验证所述令牌;在所述令牌通过验证后,第二节点向第一节点开放资源;区块链事务节点将本次交易处理写入区块链。
在一些实施例中,若第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性;若第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性。
在一些实施例中,若第一节点为物联网终端节点,第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性;若第一节点为中继设备或汇聚设备,第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性。
在一些实施例中,在所述令牌未通过验证的情况下,认证节点更新第一节点的信誉值。
在一些实施例中,认证节点对来自第一节点的访问请求进行统计;若在指定时间段内,第一节点请求访问中继设备或汇聚设备的访问请求次数大于访问次数门限,且访问请求均失败,则认证节点更新第一节点的信誉值。
在一些实施例中,认证节点判断第一节点的信誉值是否低于预定门限;若第一节点的信誉值低于预定门限,则认证节点将第一节点列入黑名单,以拒绝全部来自第一节点的请求。
根据本公开的一个或多个实施例的另一个方面,提供一种身份认证系统,包括:第一节点,被配置为向认证节点发送第一访问请求,其中第一访问请求包括第一节点身份信息、请求事件和第二节点身份信息;在接收到认证节点发送的令牌后,向第二节点发送第二访问请求,其中第二访问请求包括第一节点地址信息和所述令牌;认证节点,被配置为在接收到第一访问请求后,从区块链事务节点获取第二节点的访问条件,并根据访问条件对第一节点进行合法性验证,在第一节点通过合法性验证后,将令牌发送给第一节点;第二节点,被配置为在接收到第二访问请求后,请求认证节点验证所述令牌,在所述令牌通过验证后,向第一节点开放资源;区块链事务节点,被配置为将本次交易处理写入区块链。
在一些实施例中,若第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性;若第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性。
在一些实施例中,若第一节点为物联网终端节点,第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性;若第一节点为中继设备或汇聚设备,第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性。
在一些实施例中,认证节点还被配置为在所述令牌未通过验证的情况下,更新第一节点的信誉值。
在一些实施例中,认证节点还被配置为对来自第一节点的访问请求进行统计,若在指定时间段内,第一节点请求访问中继设备或汇聚设备的访问请求次数大于访问次数门限,且访问请求均失败,则更新第一节点的信誉值。
在一些实施例中,认证节点还被配置为判断第一节点的信誉值是否低于预定门限,若第一节点的信誉值低于预定门限,则将第一节点列入黑名单,以拒绝全部来自第一节点的请求。
根据本公开的一个或多个实施例的另一个方面,提供一种身份认证系统,包括:存储器,被配置为存储指令;处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如上述任一实施例涉及的方法。
根据本公开的一个或多个实施例的另一个方面,提供一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上述任一实施例涉及的方法。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个实施例的身份认证方法的示例性流程图;
图2为本公开一个实施例的身份认证系统的示例性框图;
图3为本公开另一个实施例的身份认证系统的示例性框图;
图4为本公开一个实施例的身份认证交互流程图;
图5为本公开另一个实施例的身份认证交互流程图;
图6为本公开又一个实施例的身份认证交互流程图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本公开一个实施例的身份认证方法的示例性流程图。在一些实施例中,该实施例的方法步骤可由身份认证系统执行。
在步骤101,第一节点向认证节点发送第一访问请求,其中第一访问请求包括第一节点身份信息、请求事件和第二节点身份信息。
第一节点在访问第二节点时,向认证节点发送第一访问请求。例如,第一节点利用私钥对第一节点身份信息、请求事件和第二节点身份信息进行加密处理后,将加密信息发送给认证节点。
在步骤102,认证节点在接收到第一访问请求后,从区块链事务节点获取第二节点的访问条件,并根据访问条件对第一节点进行合法性验证。
认证节点中的智能合约根据第二节点设置的访问策略核对第一节点是否有访问资格。
需要说明的是,本公开将物联网的节点分为机构层设备、中继层设备、终端设备。其中,有限硬件资源的终端设备作为区块链客户端,自行生成密钥(安全凭据),通过API接口将信息上链,并被下发可访问中继设备公开身份信息。中继设备作为区块链的客户端,先提供初始凭据到认证节点,通过智能合约配置特定群公钥和各自私钥凭证。汇聚设备作为区块链的事务节点可信,记录区块链交易事务;同时汇聚设备也通过智能合约配置特定群公钥和各自私钥凭证。
在一些实施例中,若第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性。若第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性。
在另一些实施例中,若第一节点为物联网终端节点,第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性。若第一节点为中继设备或汇聚设备,第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性。
在步骤103,在第一节点通过合法性验证后,认证节点将令牌发送给第一节点。
在一些实施例中,若第一节点未通过合法性验证,则本次交易结束。本次交易被区块链事务节点根据共识机制写入区块链。
在步骤104,第一节点向第二节点发送第二访问请求,其中第二访问请求包括第一节点地址信息和令牌。
例如,第一节点对第一节点地址信息和令牌进行加密,并将加密后的信息发送给第二节点。
在步骤105,第二节点在接收到第二访问请求后,请求认证节点验证令牌。
在步骤106,在令牌通过验证后,第二节点向第一节点开放资源。
在步骤107,区块链事务节点将本次交易处理写入区块链。
在一些实施例中,若令牌验证失败,则本次交易结束,本次交易被区块链事务节点根据共识机制写入区块链。
在一些实施例中,若令牌未通过验证,则认证节点更新第一节点的信誉值。
在一些实施例中,认证节点还会对来自第一节点的访问请求进行统计。若在指定时间段内,第一节点请求访问中继设备或汇聚设备的访问请求次数大于访问次数门限,且访问请求均失败,则认证节点更新第一节点的信誉值。
也就是说,由于第一节点身份不合法,从而导致其访问高信任需求设备连续失败。在这种情况下,认证节点修改并公开第一节点的信誉值。本次交易也被区块链事务节点根据共识机制写入区块链。
在一些实施例中,认证节点还会判断第一节点的信誉值是否低于预定门限。若第一节点的信誉值低于预定门限,则认证节点将第一节点列入黑名单,以拒绝全部来自第一节点的请求。
也就是说,若第一节点的信誉值过低,则认证节点将该第一节点例入黑名单,其所有访问请求将被拒绝。
在本公开上述实施例提供的身份认证方法中,通过利用区块链为物联网设备的身份认证提供有效匿名的执行环境,同时也保证了数据的安全和不可篡改。
本公开通过区块链的智能合约建立群签名,区别物联网信任需求高的设备,分离异构环境中设备的不同信任需求,让物联网中的设备知道不同设备之间的关系,使设备交互时发现合法的对等点,并对设备的信誉保持更新,为物联网实体身份认证提供有效匿名的执行环境,同时,也保证数据的安全和不可篡改。
图2为本公开一个实施例的身份认证系统的示例性框图。如图2所示,身份认证系统包括第一节点21、第二节点22、认证节点23和区块链事务节点24。
第一节点21被配置为向认证节点23发送第一访问请求,其中第一访问请求包括第一节点身份信息、请求事件和第二节点身份信息;在接收到认证节点23发送的令牌后,向第二节点22发送第二访问请求,其中第二访问请求包括第一节点地址信息和令牌。
认证节点23被配置为在接收到第一访问请求后,从区块链事务节点获取第二节点的访问条件,并根据访问条件对第一节点21进行合法性验证,在第一节点21通过合法性验证后,将令牌发送给第一节点21。
第二节点22被配置为在接收到第二访问请求后,请求认证节点23验证令牌,在令牌通过验证后,向第一节点21开放资源。
区块链事务节点24被配置为将本次交易处理写入区块链。
在一些实施例中,认证节点23还被配置为在令牌未通过验证的情况下,更新第一节点的信誉值。
在一些实施例中,认证节点23还被配置为对来自第一节点的访问请求进行统计,若在指定时间段内,第一节点请求访问中继设备或汇聚设备的访问请求次数大于访问次数门限,且访问请求均失败,则更新第一节点的信誉值。
在一些实施例中,认证节点23还被配置为判断第一节点的信誉值是否低于预定门限,若第一节点的信誉值低于预定门限,则将第一节点列入黑名单,以拒绝全部来自第一节点的请求。
需要说明的是,在物联网环境下,各个主体的规模、能力和稳定性不同,将信任体系分为机构层设备、中继层设备、终端设备。机构层设备量少且长期稳定、中继层设备对等交互、终端设备数量庞大且动态维护。汇聚设备为最高信任需求设备,中继设备属于较高信任需求设备,终端设备属于普通级别设备。
例如,可将有限硬件资源的终端设备、中继设备作为区块链客户端;汇聚设备作为区块链的事务节点。每个设备都初始可信,信誉值为良好。有限硬件资源的终端设备自行生成密钥(安全凭据),通过API接口将信息上链,并被下发可访问中继设备公开身份信息。中继设备作为区块链的客户端,先提供初始凭据到认证节点,通过智能合约配置特定群公钥和各自私钥凭证,并被下发可访问汇聚设备公开身份信息。汇聚设备作为区块链的事务节点可信,记录区块链交易事务;同时汇聚设备也通过智能合约配置特定群公钥和各自私钥凭证,并被下发管辖内中继设备公开身份信息。
在一些实施例中,若第二节点22为中继设备或汇聚设备,则通过群签名验证第一节点21的合法性。若第二节点22为物联网终端节点,则通过验证第一节点21的签名来验证第一节点的合法性。
在另一些实施例中,若第一节点21为物联网终端节点,第二节点22为中继设备或汇聚设备,则通过群签名验证第一节点21的合法性。若第一节点21为中继设备或汇聚设备,第二节点22为物联网终端节点,则通过验证第一节点的签名来验证第一节点21的合法性。
图3为本公开另一个实施例的身份认证系统的示例性框图。如图3所示,该身份认证系统包括存储器31和处理器32。
存储器31用于存储指令,处理器32耦合到存储器31,处理器32被配置为基于存储器存储的指令执行实现如图1中任一实施例涉及的方法。
如图3所示,该系统还包括通信接口33,用于与其它设备进行信息交互。同时,该装置还包括总线34,处理器32、通信接口33、以及存储器31通过总线34完成相互间的通信。
存储器31可以包含高速RAM存储器,也可还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。存储器31也可以是存储器阵列。存储器31还可能被分块,并且块可按一定的规则组合成虚拟卷。
此外,处理器32可以是一个中央处理器CPU,或者可以是专用集成电路ASIC,或者是被配置成实施本公开实施例的一个或多个集成电路。
本公开同时还涉及一种计算机可读存储介质,其中计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如图1中任一实施例涉及的方法。
图4为本公开一个实施例的身份认证交互流程图。在该实施例中,第一节点为物联网指定节点。
在步骤401,第一节点向认证节点发送第一访问请求,其中第一访问请求包括第一节点身份信息、请求事件和第二节点身份信息。
例如,第一节点利用私钥对第一节点身份信息、请求事件和第二节点身份信息进行加密处理后,将加密信息发送给认证节点。
在步骤402,认证节点在接收到第一访问请求后,从区块链事务节点获取第二节点的访问条件,并根据访问条件对第一节点进行合法性验证。
认证节点中的智能合约根据第二节点设置的访问策略核对第一节点是否有访问资格。若第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性。若第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性。
在步骤403,在第一节点通过合法性验证后,认证节点将令牌发送给第一节点。
在一些实施例中,若第一节点未通过合法性验证,则本次交易结束。本次交易被区块链事务节点根据共识机制写入区块链。
在步骤404,第一节点向第二节点发送第二访问请求,其中第二访问请求包括第一节点地址信息和令牌。
例如,第一节点对第一节点地址信息和令牌进行加密,并将加密后的信息发送给第二节点。
在步骤405,第二节点在接收到第二访问请求后,将令牌发送给认证节点。
在步骤406,认证节点对接收到的令牌进行验证。
在步骤407,若验证成功,认证节点将验证成功指示发送给第二节点。
在步骤408,第二节点在接收到验证成功指示后,向第一节点发送允许访问指示,并向第一节点开放资源。
接下来,区块链事务节点将本次交易处理写入区块链。
在一些实施例中,若令牌验证失败,则本次交易结束,本次交易被区块链事务节点根据共识机制写入区块链。
图5为本公开另一个实施例的身份认证交互流程图。
在步骤501,第一节点向认证节点发送第一访问请求,其中第一访问请求包括第一节点身份信息、请求事件和第二节点身份信息。
例如,第一节点利用私钥对第一节点身份信息、请求事件和第二节点身份信息进行加密处理后,将加密信息发送给认证节点。
在步骤502,认证节点在接收到第一访问请求后,从区块链事务节点获取第二节点的访问条件,并根据访问条件对第一节点进行合法性验证。
认证节点中的智能合约根据第二节点设置的访问策略核对第一节点是否有访问资格。若第一节点为物联网终端节点,第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性。若第一节点为中继设备或汇聚设备,第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性。
在步骤503,在第一节点通过合法性验证后,认证节点将令牌发送给第一节点。
在一些实施例中,若第一节点未通过合法性验证,则本次交易结束。本次交易被区块链事务节点根据共识机制写入区块链。
在步骤504,第一节点向第二节点发送第二访问请求,其中第二访问请求包括第一节点地址信息和令牌。
例如,第一节点对第一节点地址信息和令牌进行加密,并将加密后的信息发送给第二节点。
在步骤505,第二节点在接收到第二访问请求后,将令牌发送给认证节点。
在步骤506,认证节点对接收到的令牌进行验证。
若验证失败,则执行步骤507a;若验证成功,则执行步骤507b。
在步骤507a,认证节点更新第一节点的信誉值。
本次交易结束,本次交易被区块链事务节点根据共识机制写入区块链。
在步骤507b,认证节点将验证成功指示发送给第二节点。
在步骤508,第二节点在接收到验证成功指示后,向第一节点发送允许访问指示,并向第一节点开放资源。
接下来,区块链事务节点将本次交易处理写入区块链。
图6为本公开又一个实施例的身份认证交互流程图。
在步骤601,第一节点向认证节点发送第一访问请求,其中第一访问请求包括第一节点身份信息、请求事件和第二节点身份信息。
例如,第一节点利用私钥对第一节点身份信息、请求事件和第二节点身份信息进行加密处理后,将加密信息发送给认证节点。
在步骤602,认证节点在接收到第一访问请求后,从区块链事务节点获取第二节点的访问条件,并根据访问条件对第一节点进行合法性验证。
认证节点中的智能合约根据第二节点设置的访问策略核对第一节点是否有访问资格。若第一节点为物联网终端节点,第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性。若第一节点为中继设备或汇聚设备,第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性。
若第一节点未通过合法性验证,则执行步骤603。若第一节点通过合法性验证,则执行步骤604。
在步骤603,认证节点对来自第一节点的访问请求进行统计。
若在指定时间段内,第一节点请求访问中继设备或汇聚设备的访问请求次数大于访问次数门限,且访问请求均失败,则认证节点更新第一节点的信誉值。
在一些实施例中,认证节点还判断第一节点的信誉值是否低于预定门限。若第一节点的信誉值低于预定门限,则认证节点将第一节点列入黑名单,以拒绝全部来自第一节点的请求。
在步骤604,认证节点将令牌发送给第一节点。
在步骤605,第一节点向第二节点发送第二访问请求,其中第二访问请求包括第一节点地址信息和令牌。
例如,第一节点对第一节点地址信息和令牌进行加密,并将加密后的信息发送给第二节点。
在步骤606,第二节点在接收到第二访问请求后,将令牌发送给认证节点。
在步骤607,认证节点对接收到的令牌进行验证。
在步骤608a,若验证失败,认证节点更新第一节点的信誉值。
本次交易结束,本次交易被区块链事务节点根据共识机制写入区块链。
在步骤608b,若验证成功,认证节点将验证成功指示发送给第二节点。
在步骤609,第二节点在接收到验证成功指示后,向第一节点发送允许访问指示,并向第一节点开放资源。
接下来,区块链事务节点将本次交易处理写入区块链。
需要说明的是,区块链可以使用智能合约的功能作为物联网事务安全的助推器。现有的基于区块链的物联网身份认证没有考虑物联网环境下设备不同信任需求,以及终端设备硬件资源有限,如何更高效的参与区块链服务的问题;在面对大规模且具有动态性特征的物联网设备时,没有适用于主体信任度不明确情况的动态授权机制,设备之间无法安全的发现对等点;物联网具有异构性和开放性的特征,其设备的可信度和数据安全性不能保证。
通过实施本公开,可以得到以下有益效果:
1)在设备数量庞大且多源异构性时,通过智能合约区别物联网设备等级,分离异构环境中主体的不同信任需求,以发送授权令牌的形式进行访问控制管理,确保对设备身份的可信、安全、高效的管理。
2)通过群签名机制,分离不安全设备,使设备发现合法的对等点,并通过历史事务对设备的信誉保持更新,建立有效匿名的物联网身份认证执行环境。
在一些实施例中,在上面所描述的功能单元模块可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(Programmable Logic Controller,简称:PLC)、数字信号处理器(Digital Signal Processor,简称:DSP)、专用集成电路(ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(Field-ProgrammableGate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。
Claims (10)
1.一种身份认证方法,包括:
第一节点向认证节点发送第一访问请求,其中第一访问请求包括第一节点身份信息、请求事件和第二节点身份信息;
认证节点在接收到第一访问请求后,从区块链事务节点获取第二节点的访问条件,并根据访问条件对第一节点进行合法性验证;
在第一节点通过合法性验证后,认证节点将令牌发送给第一节点;
第一节点向第二节点发送第二访问请求,其中第二访问请求包括第一节点地址信息和所述令牌;
第二节点在接收到第二访问请求后,请求认证节点验证所述令牌;
在所述令牌通过验证后,第二节点向第一节点开放资源;
区块链事务节点将本次交易处理写入区块链;
其中,所述访问条件包括:
若第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性;
若第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性;
若第一节点为物联网终端节点,第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性;
若第一节点为中继设备或汇聚设备,第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性。
2.根据权利要求1所述的方法,其中,还包括:
在所述令牌未通过验证的情况下,认证节点更新第一节点的信誉值。
3.根据权利要求2所述的方法,其中,还包括:
认证节点对来自第一节点的访问请求进行统计;
若在指定时间段内,第一节点请求访问中继设备或汇聚设备的访问请求次数大于访问次数门限,且访问请求均失败,则认证节点更新第一节点的信誉值。
4.根据权利要求3所述的方法,其中,还包括:
认证节点判断第一节点的信誉值是否低于预定门限;
若第一节点的信誉值低于预定门限,则认证节点将第一节点列入黑名单,以拒绝全部来自第一节点的请求。
5.一种身份认证系统,包括:
第一节点,被配置为向认证节点发送第一访问请求,其中第一访问请求包括第一节点身份信息、请求事件和第二节点身份信息;在接收到认证节点发送的令牌后,向第二节点发送第二访问请求,其中第二访问请求包括第一节点地址信息和所述令牌;
认证节点,被配置为在接收到第一访问请求后,从区块链事务节点获取第二节点的访问条件,并根据访问条件对第一节点进行合法性验证,在第一节点通过合法性验证后,将令牌发送给第一节点,其中所述访问条件包括:若第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性;若第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性;若第一节点为物联网终端节点,第二节点为中继设备或汇聚设备,则通过群签名验证第一节点的合法性;若第一节点为中继设备或汇聚设备,第二节点为物联网终端节点,则通过验证第一节点的签名来验证第一节点的合法性;
第二节点,被配置为在接收到第二访问请求后,请求认证节点验证所述令牌,在所述令牌通过验证后,向第一节点开放资源;
区块链事务节点,被配置为将本次交易处理写入区块链。
6.根据权利要求5所述的系统,其中,
认证节点还被配置为在所述令牌未通过验证的情况下,更新第一节点的信誉值。
7.根据权利要求6所述的系统,其中,
认证节点还被配置为对来自第一节点的访问请求进行统计,若在指定时间段内,第一节点请求访问中继设备或汇聚设备的访问请求次数大于访问次数门限,且访问请求均失败,则更新第一节点的信誉值。
8.根据权利要求7所述的系统,其中,
认证节点还被配置为判断第一节点的信誉值是否低于预定门限,若第一节点的信誉值低于预定门限,则将第一节点列入黑名单,以拒绝全部来自第一节点的请求。
9.一种身份认证系统,包括:
存储器,被配置为存储指令;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如权利要求1-4中任一项所述的方法。
10.一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如权利要求1-4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811528633.4A CN111327568B (zh) | 2018-12-14 | 2018-12-14 | 身份认证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811528633.4A CN111327568B (zh) | 2018-12-14 | 2018-12-14 | 身份认证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111327568A CN111327568A (zh) | 2020-06-23 |
| CN111327568B true CN111327568B (zh) | 2022-04-01 |
Family
ID=71166722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811528633.4A Active CN111327568B (zh) | 2018-12-14 | 2018-12-14 | 身份认证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111327568B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112052434A (zh) * | 2020-07-30 | 2020-12-08 | 中国建设银行股份有限公司 | 电子文件的验证方法、装置、电子设备及可读存储介质 |
| CN112019553B (zh) * | 2020-08-31 | 2021-07-06 | 航天信息股份有限公司 | 一种基于ibe/ibbe数据共享方法 |
| CN114867016A (zh) * | 2021-02-03 | 2022-08-05 | 北京邮电大学 | 一种节点认证方法、系统及装置 |
| CN115438353A (zh) * | 2021-06-04 | 2022-12-06 | 华为技术有限公司 | 一种用户数据管理方法以及相关设备 |
| CN114124428B (zh) * | 2021-07-21 | 2024-01-12 | 远光软件股份有限公司 | 基于区块链的物联网设备的访问方法及装置 |
| CN113839945B (zh) * | 2021-09-23 | 2023-05-19 | 北京交通大学 | 一种基于身份的可信接入控制系统和方法 |
| CN114629727B (zh) * | 2022-04-26 | 2022-09-30 | 深圳嘉业产业发展有限公司 | 一种基于区块链的安全认证方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682331A (zh) * | 2017-09-28 | 2018-02-09 | 复旦大学 | 基于区块链的物联网身份认证方法 |
| WO2018046008A1 (zh) * | 2016-09-12 | 2018-03-15 | 上海鼎利信息科技有限公司 | 一种区块链加密射频芯片存储设计方法 |
| WO2018067974A1 (en) * | 2016-10-07 | 2018-04-12 | Chronicled, Inc. | Open registry for human identification |
| CN108737348A (zh) * | 2017-04-21 | 2018-11-02 | 中国科学院信息工程研究所 | 一种基于区块链的智能合约的物联网设备访问控制方法 |
| US10135835B1 (en) * | 2018-03-19 | 2018-11-20 | Cyberark Software Ltd. | Passwordless and decentralized identity verification |
-
2018
- 2018-12-14 CN CN201811528633.4A patent/CN111327568B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018046008A1 (zh) * | 2016-09-12 | 2018-03-15 | 上海鼎利信息科技有限公司 | 一种区块链加密射频芯片存储设计方法 |
| WO2018067974A1 (en) * | 2016-10-07 | 2018-04-12 | Chronicled, Inc. | Open registry for human identification |
| CN108737348A (zh) * | 2017-04-21 | 2018-11-02 | 中国科学院信息工程研究所 | 一种基于区块链的智能合约的物联网设备访问控制方法 |
| CN107682331A (zh) * | 2017-09-28 | 2018-02-09 | 复旦大学 | 基于区块链的物联网身份认证方法 |
| US10135835B1 (en) * | 2018-03-19 | 2018-11-20 | Cyberark Software Ltd. | Passwordless and decentralized identity verification |
Non-Patent Citations (2)
| Title |
|---|
| 基于物联网的身份认证技术的研究;黄天锋;《科技风》;20180228;全文 * |
| 物联网密钥管理和认证技术研究;徐阳;《中国优秀硕士学位论文全文数据库 信息科技辑》;20160215;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111327568A (zh) | 2020-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111327568B (zh) | 身份认证方法和系统 | |
| US11651109B2 (en) | Permission management method, permission verification method, and related apparatus | |
| US11063928B2 (en) | System and method for transferring device identifying information | |
| US11115418B2 (en) | Registration and authorization method device and system | |
| US10587413B1 (en) | Decentralized identities for cross-enterprise authentication and/or authorization | |
| WO2020207233A1 (zh) | 一种区块链的权限控制方法及装置 | |
| JP6285454B2 (ja) | エンティティ・ネットワーク・トランスレーション(ent) | |
| US20170289134A1 (en) | Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database | |
| Chen et al. | Bidm: a blockchain-enabled cross-domain identity management system | |
| WO2022247359A1 (zh) | 集群访问方法、装置、电子设备和介质 | |
| WO2018222066A1 (en) | Industrial network using a blockchain for access control, and access control method | |
| CN107908979B (zh) | 用于在区块链中进行配置和背书的方法和电子设备 | |
| CN108965342B (zh) | 数据请求方访问数据源的鉴权方法及系统 | |
| CN102223420A (zh) | 一种面向多媒体社交网络的数字内容分发方法 | |
| CN112948842A (zh) | 一种鉴权方法及相关设备 | |
| CN112152778A (zh) | 一种节点管理方法、装置、及电子设备 | |
| CN113901432A (zh) | 区块链身份认证方法、设备、存储介质及计算机程序产品 | |
| Li et al. | Zero trust in edge computing environment: a blockchain based practical scheme | |
| CN112235301A (zh) | 访问权限的验证方法、装置和电子设备 | |
| CN108833334B (zh) | 一种数字家庭网络的设备安全接入系统及方法 | |
| US11271925B1 (en) | Secure access gateway for egress system | |
| CN115460015B (zh) | 一种基于TOTP的Web应用的身份认证方法及系统 | |
| US11855987B1 (en) | Utilizing distributed ledger for cloud service access control | |
| US20220311777A1 (en) | Hardening remote administrator access | |
| CN116436624A (zh) | 存储系统的访问方法、装置、计算机可读介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |