CN112351019B - 一种身份认证系统及方法 - Google Patents
一种身份认证系统及方法 Download PDFInfo
- Publication number
- CN112351019B CN112351019B CN202011179017.XA CN202011179017A CN112351019B CN 112351019 B CN112351019 B CN 112351019B CN 202011179017 A CN202011179017 A CN 202011179017A CN 112351019 B CN112351019 B CN 112351019B
- Authority
- CN
- China
- Prior art keywords
- management domain
- identity
- equipment
- domain
- ncc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种身份认证系统及方法,应用于安全通信领域,包括多个管理域;针对每个管理域,该管理域的设备向另一管理域的设备发送第一身份认证请求;该另一管理域的设备根据第一预设路由策略,从第一区块链同步节点获得该管理域的设备对应的身份信息,根据该身份信息对第一身份认证请求进行验证,当验证成功后,该另一管理域的设备向该管理域的设备发送第二身份认证请求;该管理域的设备根据第二预设路由策略,从第二区块链同步节点获得该另一管理域的设备对应的身份信息,根据该身份信息对第二身份认证请求进行验证,当验证成功则进入会话阶段。能够实现对跨域协同的设备进行身份认证,以保证设备在跨域协同过程中信息交互的安全性。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种身份认证系统及方法。
背景技术
随着网络业务和功能的不断扩展、用户数量爆炸式的增长等,在网络中使用网络中间设备(如安全网关设备)代替传统防火墙网络服务的方案逐渐受到关注,仅依靠单个组织的局域网难以满足用户在各类业务中对网络功能、网络服务覆盖范围等的个性化、动态化需求,跨组织的网间协作显得尤为重要。在安全网关设备的通信安全性方面,由于不同组织间互不信任,通信时不愿泄露组织内的敏感信息,管理者也不允许管理域外未经认证的网络中间设备与域内的网络中间设备进行通信。为了实现在通信过程中可以保证网络中间设备的隐私性以及通信的安全性,则存在跨域网间协作过程中对通信双方进行身份认证的需求。
发明内容
本发明实施例的目的在于提供一种身份认证系统及方法,以实现对跨域协同的设备进行身份认证,以保证设备在跨域协同过程中信息交互的安全性。
具体技术方案如下:
本发明实施例提供了一种身份认证系统,包括:
多个管理域,不同管理域分别从属于不同的组织;
针对每个管理域,所述管理域包括网络控制中心NCC和所述管理域所从属的组织中具有网络连接的设备;
所述管理域的设备向另一管理域的设备发送第一身份认证请求;
所述另一管理域的设备根据第一预设路由策略,从第一区块链同步节点获得所述管理域的设备对应的身份信息,根据所述管理域的设备对应的身份信息对所述第一身份认证请求进行验证,当验证成功后,所述另一管理域的设备向所述管理域的设备发送第二身份认证请求;其中,所述第一区块链数据同步节点包括所述另一管理域的NCC或者所述另一管理域中的轻量区块链存储节点;所述另一管理域中的轻量区块链存储节点包括所述另一管理域中计算和存储资源满足预设条件的设备;
所述管理域的设备根据第二预设路由策略,从第二区块链同步节点获得所述另一管理域的设备对应的身份信息,根据另一管理域的设备对应的身份信息对所述第二身份认证请求进行验证,当验证成功,则进入会话阶段;其中,所述第二区块链同步节点包括所述管理域的NCC或者所述管理域中的轻量区块链存储节点;所述管理域中的轻量区块链存储节点包括所述管理域中计算和存储资源满足预设条件的设备。
可选的,所述管理域的设备在向另一管理域的设备发送第一身份认证请求之前,向所述管理域的NCC发送设备注册信息,其中,所述设备注册信息包括经过永久身份私钥签名的永久身份公钥、临时身份公钥、生成临时身份私钥所使用的加密算法以及临时身份有效时间;
所述管理域的NCC接收所述管理域的设备发送的设备注册信息,所述管理域中的NCC根据自身存储的域内设备信息对所述设备注册信息进行验证,当验证所述设备注册信息真实有效,则对所述设备注册信息进行整理并签名,并将签名后的信息发送至至区块链网络中,以便其他节点对设备信息进行验证,并在到达出块时间节点时,由出块节点打包成区块,并广播给除所述出块节点之外的其他NCC,由其他NCC对所述区块进行验证,并将验证通过的区块存储到本地,且所述管理域中的NCC向所述管理域的设备发送身份注册成功信息;其中,所述出块节点包括多个管理域中的NCC;
所述管理域中的轻量区块链存储节点从所述管理域的NCC中获得所述管理域的NCC中最新同步的区块;其中,轻量区块链存储节点包括所述管理域包括的具有网络连接的设备中计算和存储资源满足预设条件的设备;
区块链用户节点从所述轻量区块链存储节点的区块或所述管理域的NCC中,查询其他管理域的设备的身份信息,其中,所述区块链用户节点包括所述管理域包括的具有网络连接的设备中除所述轻量区块链存储节点之外的设备。
可选的,所述管理域中的NCC根据设备的身份信息生成唯一标识所述设备的永久身份公钥,并根据所述永久身份公钥和预设主密钥生成所述设备的永久身份私钥,所述永久身份公钥和所述永久身份私钥组成所述设备的永久身份标识;所述管理域中的设备的临时身份标识包括临时身份公钥和临时身份私钥,所述临时身份公钥和所述临时身份私钥的生成方式与设备所使用的能够实现数字签名的加密算法保持一致。
可选的,所述管理域中的NCC在根据自身存储的域内设备信息对所述设备注册信息进行验证之后,当验证失败,则向所述管理域中的设备发送失败信息;
所述管理域中的设备接收所述失败信息之后,所述管理域中的设备重新生成临时身份标识。
可选的,所述其他NCC检查所述区块中是否包含所述管理域中的NCC的签名,若所述区块中包含所述管理域中的NCC的签名,则验证通过。
可选的,所述第一身份认证请求包括所述管理域的设备的临时身份公钥和所述管理域的设备所使用的加密算法;
所述另一管理域的设备,基于所述管理域的设备所使用的加密算法,解析所述管理域的设备对应的身份信息,若解析得到的临时身份公钥与所述第一身份认证请求中包括的临时身份公钥相同,则验证成功;
所述第二身份认证请求包括所述另一管理域的设备的临时身份公钥和所述另一管理域的设备所使用的加密算法;
所述管理域的设备,基于所述另一管理域的设备所使用的加密算法,解析所述另一管理域的设备对应的身份信息,若解析得到的临时身份公钥与所述第二身份认证请求中包括的临时身份公钥相同,则验证成功。
可选的,所述第一身份认证请求还包括所述管理域的设备对应的会话公钥;所述第二身份认证请求还包括所述另一管理域的设备对应的会话公钥;
所述管理域的设备生成随机数作为所述管理域的设备对应的会话私钥;并利用椭圆曲线算法生成所述管理域的设备对应的会话公钥,并将所述管理域的设备对应的会话公钥添加至所述第一身份认证请求;
所述另一管理域的设备接收到所述第一身份认证请求,解析得到所述第一身份认证请求中包括的会话公钥;并生成所述另一管理域的设备对应的会话私钥,并使用所述椭圆曲线算法生成所述另一管理域的设备对应的会话公钥,并将所述另一管理域的设备对应的会话公钥添加至第二身份认证请求且发送给所述管理域的设备;
所述管理域的设备利用所述管理域的设备对应的会话私钥和所述另一管理域的设备对应的会话公钥生成会话密钥;
所述另一管理域的设备利用所述另一管理域的设备对应的会话私钥和所述管理域的设备对应的会话公钥生成所述会话密钥,所述会话密钥用于所述管理域的设备和所述另一管理域的设备在会话阶段时使用。
可选的,所述组织为自治系统AS。
本发明实施例还提供了一种身份认证方法,应用于身份认证系统,所述身份认证系统包括:多个管理域,不同管理域分别从属于不同的组织;针对各个管理域,该管理域包括网络控制中心NCC和该管理域所从属的组织中具有网络连接的设备,所述身份认证方法包括:
第一管理域的第一设备在接收到所述第一管理域的NCC返回的身份注册成功信息后,所述第一设备向第二管理域的第二设备发送第一身份认证请求;其中,所述第一管理域多个管理域中的任一管理域,所述第二管理域是不同于所述第一管理域的管理域;
所述第二设备根据第一预设路由策略,从第一区块链同步节点获得所述第一设备对应的身份信息,根据所述第一设备对应的身份信息对所述第一身份认证请求进行验证,当验证成功后,所述第二设备向所述第一设备发送第二身份认证请求;其中,所述第一区块链数据同步节点包括所述第二设备所在的管理域中的NCC或者所述第二设备所在的管理域中的轻量区块链存储节点;所述第二设备所在的管理域中的轻量区块链存储节点包括第二设备所在的管理域中计算和存储资源满足预设条件的设备;
所述第一设备根据第二预设路由策略,从第二区块链同步节点获得所述第二设备对应的第二身份信息,根据所述第二设备对应的身份信息对所述第二身份认证请求进行验证,当验证成功,则进入会话阶段;其中,所述第二区块链同步节点包括所述第一设备所在的管理域中的NCC或者所述第一设备所在的管理域中的轻量区块链存储节点;所述第一设备所在的管理域中的轻量区块链存储节点包括第一设备所在的管理域中计算和存储资源满足预设条件的设备。
可选的,在所述第一设备向第二管理域的第二设备发送第一身份认证请求之前,所述方法包括:
所述第一设备向所述第一管理域的NCC发送设备注册信息,其中,所述设备注册信息包括经过永久身份私钥签名的永久身份公钥、临时身份公钥、生成临时身份私钥所使用的加密算法以及临时身份有效时间;
第一管理域的NCC根据自身存储的域内设备信息对设备注册信息进行验证,当验证设备注册信息真实有效,则对设备注册信息进行整理并签名,并将签名后的信息发送至至区块链网络中,以便其他节点对设备信息进行验证;
在到达出块时间节点时,由出块节点打包成区块,并给除出块节点之外的其他NCC,由其他NCC对区块进行验证,并将验证通过的区块存储到本地,且各个NCC向其所在管理域的设备发送身份注册成功信息;其中,出块节点包括多个管理域中的NCC;
所述第一管理域中的轻量区块链存储节点从所述管理域的NCC中获得所述管理域的NCC中最新同步的区块。
本发明实施例有益效果:
本发明实施例提供的身份认证系统和方法,不同管理域分别从属于不同的组织;针对每个管理域,该管理域包括网络控制中心NCC和该管理域所从属的组织中具有网络连接的设备;该管理域的设备向另一管理域的设备发送第一身份认证请求;该另一管理域的设备根据第一预设路由策略,从第一区块链同步节点获得该管理域的设备对应的身份信息,根据该管理域的设备对应的身份信息对该第一身份认证请求进行验证,当验证成功后,该另一管理域的设备向该管理域的设备发送第二身份认证请求;其中,该第一区块链数据同步节点包括该另一管理域的NCC或者该另一管理域中的轻量区块链存储节点;该另一管理域中的轻量区块链存储节点包括该另一管理域中计算和存储资源满足预设条件的设备;该管理域的设备根据第二预设路由策略,从第二区块链同步节点获得该另一管理域的设备对应的身份信息,根据另一管理域的设备对应的身份信息对该第二身份认证请求进行验证,当验证成功,则进入会话阶段;其中,该第二区块链同步节点包括该管理域的NCC或者该管理域中的轻量区块链存储节点;该管理域中的轻量区块链存储节点包括该管理域中计算和存储资源满足预设条件的设备。如此,能够实现对跨域协同的设备进行身份认证,以保证设备在跨域协同过程中信息交互的安全性。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明实施例提供的身份认证系统的一种结构示意图;
图2为本发明实施例提供的身份认证系统的另一种结构示意图;
图3为本发明实施例中区块的具体格式示意图;
图4为本发明实施例中生成会话密钥的示意图;
图5为本发明实施例提供的身份认证方法的一种流程图;
图6为本发明实施例提供的身份认证方法的另一种流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
跨域网间协同的安全通信主要通过接入认证和会话加密来实现。接入认证包括身份认证和授权,通过对通信双方的身份验证以及对访问者访问权限的控制,避免未经授权的访问和恶意节点的攻击。本发明实施例针对不同组织间设备协作时安全、可信、隐私保护的通信需求,提供了一种基于区块链的跨域认证和隐私保护方式。下面进行详细说明。
本发明实施例提供的身份认证系统能够实现对跨域协同的设备进行身份认证,以保证设备在跨域协同过程中信息交互的安全性。且能够避免公钥基础设施中证书授权机构将设备的身份标识信息与其公钥绑定,为用户发布授权证书并验证数字证书持有者身份,而存在的大量的证书和密钥管理开销,且能够避免基于身份的认证技术中可信第三方KGC(Key Generation Center,密钥生成中心)拥有所有设备的私钥而带来的安全隐患,本发明实施例中利用区块链实现设备的身份信息的同步和共识,可以利用区块链作为分布式账本的不可篡改特征,对不同管理域的设备的信息进行存储,保证信息的准确性和可信性,在不同管理域的设备之间通信时可以实现安全通信。
本发明实施例提供了一种身份认证系统,如图1所示,可以包括:
多个管理域100,不同管理域100分别从属于不同的组织。
该管理域的设备120向另一管理域的设备120发送第一身份认证请求。
另一管理域的设备120根据第一预设路由策略,从第一区块链同步节点获得该管理域的设备对应的身份信息,根据该管理域的设备120对应的身份信息对第一身份认证请求进行验证,当验证成功后,另一管理域的设备120向该管理域的设备120发送第二身份认证请求;其中,第一区块链数据同步节点包括另一管理域的NCC或者另一管理域中的轻量区块链存储节点;另一管理域中的轻量区块链存储节点包括另一管理域中计算和存储资源满足预设条件的设备。
该管理域的设备120根据第二预设路由策略,从第二区块链同步节点获得另一管理域的设备120对应的身份信息,根据另一管理域的设备120对应的身份信息对第二身份认证请求进行验证,当验证成功,则进入会话阶段;其中,第二区块链同步节点包括该管理域的NCC或者该管理域中的轻量区块链存储节点;该管理域中的轻量区块链存储节点包括该管理域中计算和存储资源满足预设条件的设备。
如此,能够实现对跨域协同的设备进行身份认证,以保证设备在跨域协同过程中信息交互的安全性。
参考图1,对本发明实施例提供的身份认证系统进行详细说明。
多个管理域,不同管理域分别从属于不同的组织。
组织可以包括存在通信时不能随意泄露的敏感信息,且与其他组织互不信任的系统。组织的管理域不允许管理域外未经认证的设备与管理域域内的进行通信。
一种可选的实施例中,组织为自治系统(Autonomous System,AS)。
针对每个管理域,该管理域包括网络控制中心NCC和该管理域所从属的组织中具有网络连接的设备。
可以理解,管理域包括管理侧和设备侧。管理侧即由NCC组成,负责对设备的管理和区块链的数据同步和共识。具体地可以在NCC中部署KGC功能模块和区块链服务器。KGC功能模块可以提供密钥生成等,区块链服务器可以提供身份注册服务,如可以将设备的身份信息通过区块链方式存储。
图2为本发明实施例提供的身份认证系统的另一种示意图。如图2所示,身份认证系统可以包括管理域A、管理域B和管理域C。管理域A、管理域B和管理域C中分别包括其对应的NCC和设备。设备可以包括各类安全网关设备、路由器、用户终端等等。
每个管理域的设备首先实现身份注册,在完成身份注册后,在不同管理域的设备之间进行通信时,可以根据注册成功的设备的身份信息对设备进行身份认证。本发明实施例中在身份注册过程中结合了区块链方式,使得能够将设备的身份信息存储在区块链的区块中,使得设备的身份信息不易篡改更可信,进而根据该身份信息进行身份认证,可以实现跨域间设备的安全通信。
消息发送方通过向NCC提交设备注册信息,经由NCC验证并写入区块链后,向消息接收方发送信息;消息接收方结合区块链上存储的发送方的身份信息,验证消息发送方身份的合法性。
本发明实施例中身份认证采用身份认证采用数字签名技术来保证消息的完整性和不可抵赖性,数字签名技术需要消息发送方产生一对公钥和私钥,消息通过私钥加密,接收方使用发送方的公钥验证消息。
该管理域的设备向该管理域的NCC发送设备注册信息。其中,设备注册信息包括经过永久身份私钥签名的永久身份公钥、临时身份公钥、生成临时身份私钥所使用的加密算法以及临时身份有效时间。
一种可实现方式中设备注册信息M1格式如下所示:
M1=IDper||IDtemp||timestamp||IDEncry||Valid_time
||skper(IDper||IDtemp||timestamp||IDEncry||Valid_time)
其中,IDper表示永久身份公钥,IDtemp表示临时身份私钥,timestamp表示设备注册信息发送的时间戳,IDEncry表示生成临时身份私钥所使用的加密算法,Valid_time表示临时身份有效时间。skper表示永久身份私钥,skper(IDper||IDtemp||timestamp||IDEncry||Valid_time)表示使用永久身份私钥skper对包含IDper、IDtemp、timestamp、IDEncry和Valid_time的消息进行签名。
设备可以包括两种类型的身份标识,一类是永久身份标识,一类是临时身份标识。设备的永久身份标识是由NCC分配,具体地可以由NCC中的KGC模块负责生成。
具体地,该管理域中的NCC根据设备的身份信息生成唯一标识设备的永久身份公钥,并根据永久身份公钥和预设主密钥生成设备的永久身份私钥,永久身份公钥和永久身份私钥组成设备的永久身份标识。其中,身份信息可以包括设备序列号等。
临时身份标识,可以用于跨域协同过程中的信息交互,以保护通信设备的隐私。设备的临时身份标识由设备独立生成。
该管理域中的设备的临时身份标识包括临时身份公钥和临时身份私钥,临时身份公钥和临时身份私钥的生成方式需要与设备所使用的能够实现数字签名的加密算法保持一致。其中,能够实现数字签名的预设加密算法可以包括数字签名算法,如RSA数字签名算法(根据三位设计者Ron Rivest、Adi Shamir、Leonard Adleman的名字命名)、ElGamal数字签名算法、椭圆曲线数字签名算法ECDSA等。
为避免设备临时身份信息的滥用及恶意节点的攻击等,设备的临时身份信息需要通过设备所在管理域中NCC的认证。
该管理域的NCC接收该管理域的设备发送的设备注册信息,该管理域中的NCC根据自身存储的域内设备信息对设备注册信息进行验证,当验证设备注册信息真实有效,则对设备注册信息进行整理并签名,并将签名后的信息发送至区块链网络中,以便其他节点对设备信息进行验证,并在到达出块时间节点时,由出块节点打包成区块,并广播给除出块节点之外的其他NCC,由其他NCC对区块进行验证,并将验证通过的区块存储到本地,且该管理域中的NCC向该管理域的设备发送身份注册成功信息;其中,出块节点包括多个管理域中的NCC。
该管理域中的NCC在根据自身存储的域内设备信息对设备注册信息进行验证之后,当验证失败,则向该管理域中的设备发送失败信息;该管理域中的设备接收失败信息之后,该管理域中的设备重新生成临时身份标识。
管理域中的NCC自身存储的域内设备信息可以包括设备的永久身份标识。
具体地,可以是在各个出块周期中,每个管理域的NCC校验该管理域内各设备发送的临时身份信息,并对通过校验的临时身份信息进行签名,发送给区块链网络中的其他节点,节点验证通过后将信息存储在待出区块的缓冲区。
当满足出块周期则可以理解为到达出块时间节点。当到达出块时间节点时,出块节点将在出块周期内存放到缓冲区的设备信息打包至区块,并将区块广播给除出块节点之外的其他NCC,其他NCC对区块进行验证,并在验证通过后各个NCC存储区块到本地,也可以理解为将区块添加至区块链。且该管理域中的NCC向该管理域的设备发送身份注册成功信息。
其中,其他NCC检查区块中各条设备信息是否包含该设备所属管理域中的NCC的签名,以及该区块各字段的有效性,若区块中所包含的设备信息具有其所属管理域中的NCC的签名,且区块的各字段有效,则验证通过。
具体地,区块链作为跨域分布式系统的可信数据交互平台,需要支持各管理域内部的临时身份信息交互,同时需要在可能存在不信任风险的各方之间实现分布式共识。本发明实施例中可以采用异步拜占庭容错的共识机制与算法来完成分布式共识,也即身份认证系统中各节点对区块的共识。各个管理域中的NCC可以轮流担当出块节点(也可以理解为完全的区块链出块与共识节点),每个完全的区块链出块与共识节点在生产出新的区块之后,将新产出的区块发送给其余的完全的区块链出块与共识节点,其余完全的区块链出块与共识节点检查该新产生区块中是否每一条临时身份信息都得到了对应域的NCC节点的签名。当所有的完全的区块链出块与共识节点均完成验证之后,出块节点如果其认为新产生的区块中每一条记录都是正确可信的,则在该区块所在的最长链上继续生产区块,否则,出块节点会在该不可信区块之前其认可的最后一个区块后继续生产区块。当一个区块后有个新区块跟随它之后,该区块被认为是不可逆的,其中,N表示区块链网络中参与共识的节点数量。
区块链的区块是存储各个管理域内设备的临时身份信息的载体,每个区块除了包括版本号、区块高度、时间戳、父区块哈希、交易数量和默克尔根数等通用字段以外,还可以记录管理域内所有支持跨域通信的设备的临时身份、使用的加密算法及算法所需要共享的参数。一种可实现方式中,本发明实施例中区块的具体格式可以如图3所示。
可以基于区块链的域间信息共享机制,设计了在不同域间共享的域信息关键数据结构。
利用区块链作为分布式账本的不可篡改特征,对不同管理域的设备的信息进行存储,保证信息的准确性和可信性,在不同管理域的设备之间通信时可以实现安全通信。且利用区块链作为域间信息共享平台,为跨域设备协同建立可信的域信息共享环境。
本发明一种可选的实施例中,可以选取管理域中计算和存储资源相对丰富的部分设备作为区块链中轻量的区块链存储节点,部分设备如计算和存储资源满足预设条件的设备。预设条件可以包括计算资源大于5G,存储资源大于10T等等。
具体地,可以包括:
该管理域中的轻量区块链存储节点从该管理域的NCC中获得该管理域的NCC中最新同步的区块;其中,轻量区块链存储节点包括该管理域包括的具有网络连接的设备中计算和存储资源满足预设条件的设备。
区块链用户节点从轻量区块链存储节点的区块或该管理域的NCC中,查询其他管理域的设备的身份信息,其中,区块链用户节点包括该管理域包括的具有网络连接的设备中除轻量区块链存储节点之外的设备。
如此,轻量的区块链存储节点可以负责同步并存储其他管理域的设备的身份信息,为该轻量的区块链存储节点所在的管理域内其他设备提供查询服务。由部分节点存储部分最新的区块链信息,可以加速区块链访问速度,进一步可以提高身份认证的速度。
本发明实施例中查询的身份信息也即签名后的设备信息。一种可实现方式中,临时身份标识用于跨域协同过程中的信息交互,则可以查询身份信息中的临时身份信息,以对跨域之间的设备进行信息交互,也即通信前,先进行身份认证。
可以基于分布式、设备自定义的身份信息生成模式,通过临时身份实现跨域设备协同时的隐私保护。
一种可选的实施例中,管理域的设备接收到管理域中的NCC发送的身份注册成功信息后,即可确认设备的临时身份生效,在临时身份有效期内设备均可以使用此身份进行跨域协作,本发明实施例中采用双向认证机制,具体通过以下方式来实现:
该管理域的设备向另一管理域的设备发送第一身份认证请求。
另一管理域的设备根据第一预设路由策略,从第一区块链同步节点获得该管理域的设备对应的身份信息,根据该管理域的设备对应的身份信息对第一身份认证请求进行验证,当验证成功后,另一管理域的设备向该管理域的设备发送第二身份认证请求;其中,第一区块链数据同步节点包括另一管理域的NCC或者另一管理域中的轻量区块链存储节点;另一管理域中的轻量区块链存储节点包括另一管理域中计算和存储资源满足预设条件的设备。
其中,第一预设理由策略可以包括与另一管理域的设备的地理距离最近、与另一管理域的设备的通信链路最短等策略。
该管理域的设备根据第二预设路由策略,从第二区块链同步节点获得另一管理域的设备对应的身份信息,根据另一管理域的设备对应的身份信息对第二身份认证请求进行验证,当验证成功,则进入会话阶段;其中,第二区块链同步节点包括该管理域的NCC或者该管理域中的轻量区块链存储节点;该管理域中的轻量区块链存储节点包括该管理域中计算和存储资源满足预设条件的设备。
其中,第二预设理由策略可以包括与管理域的设备的地理距离最近、与管理域的设备的通信链路最短等策略。
本发明一种可选的实施例中,第一身份认证请求包括该管理域的设备的临时身份公钥和该管理域的设备所使用的加密算法。
另一管理域的设备,基于该管理域的设备所使用的加密算法,解析该管理域的设备对应的身份信息,若解析得到的临时身份公钥与第一身份认证请求中包括的临时身份公钥相同,则验证成功。
第二身份认证请求包括另一管理域的设备的临时身份公钥和另一管理域的设备所使用的加密算法。
该管理域的设备,基于另一管理域的设备所使用的加密算法,解析另一管理域的设备对应的身份信息,若解析得到的临时身份公钥与第二身份认证请求中包括的临时身份公钥相同,则验证成功。
一个具体的例子中,设备A向协同设备B发送身份认证请求M,消息格式如下所示:IDtemp表示设备的临时身份公钥,timestamp表示时间戳,用于放置有效身份验证信息的延迟接收或者重放攻击,IDEncry表示设备使用的加密算法,text表示可选传输信息。设备B接收到设备A发送的身份认证请求后,向临近的区块链数据同步节点查询设备A的身份信息,并根据A使用的加密算法选择相应的数字签名算法验证消息,验证通过后,设备B向A发送身份认证请求,流程与设备A向B发送请求的流程一致,设备完成双向认证后进入正常会话阶段。
一种可实现方式中,身份认证请求可以采用M2格式:
M2=IDtemp||timestamp||IDEncry||text
||sktemp(IDtemp||timestamp||IDEncry||text)
其中,sktemp(IDtemp||timestamp||IDEncry||text)表示使用临时身份私钥对包括IDtemp、timestamp、IDEncry、text的消息进行签名。
一种可选的实施例中,第一身份认证请求还可以包括该管理域的设备对应的会话公钥;第二身份认证请求还可以包括另一管理域的设备对应的会话公钥。一种可实现方式中,可以在如M2所示格式的text字段中添加会话公钥。
该管理域的设备生成随机数作为该管理域的设备对应的会话私钥;并利用椭圆曲线算法生成该管理域的设备对应的会话公钥,并将该管理域的设备对应的会话公钥添加至第一身份认证请求。
另一管理域的设备接收到第一身份认证请求,解析得到第一身份认证请求中包括的会话公钥;并生成另一管理域的设备对应的会话私钥,并使用椭圆曲线算法生成另一管理域的设备对应的会话公钥,并将另一管理域的设备对应的会话公钥添加至第二身份认证请求且发送给该管理域的设备;该管理域的设备利用该管理域的设备对应的会话私钥和另一管理域的设备对应的会话公钥生成会话密钥;另一管理域的设备利用另一管理域的设备对应的会话私钥和该管理域的设备对应的会话公钥生成会话密钥,会话密钥用于该管理域的设备和另一管理域的设备在会话阶段时使用。
通信双方在会话前预先协商好密钥,利用密钥对会话内容进行加密,以实现会话加密,会话加密可以保证会话内容仅通信双方可解密,从而保证会话的安全性。
一个具体的例子中,可以采用良好前向保密性的密钥交换算法ECDHE交换方式生成会话密钥,如图4所示。
通信发起方设备A生成随机数rA作为会话私钥,选择一个椭圆曲线算法生成相应的公钥PKA,其中,G为该椭圆曲线算法的基点;并将公钥添加在身份认证请求的text字段发送给通信接收方设备B;设备B收到设备A的公钥后,随机生成自身对应的私钥rB并使用与设备A相同的椭圆曲线参数生成公钥PKB,发给设备A,双方设备利用各自的私钥和对方的公钥生成相同的会话密钥SK=SKA=SKB。
其中,椭圆曲线算法对应的参数可以预先通过区块链公布。
本发明实施例中设备间的公钥交换与身份认证消息合并发送,既能够减少设备间的通信次数,又能验证公钥发送方的身份,有效避免中间人攻击。其中,身份认证信息可以包括设备的临时身份信息,具体可以包括如上身份认证请求中包含的设备的临时身份公钥、加密算法等,
本发明实施例还提供了一种身份认证方法,应用于身份认证系统,身份认证系统包括:多个管理域,不同管理域分别从属于不同的组织;针对各个管理域,该管理域包括网络控制中心NCC和该管理域所从属的组织中具有网络连接的设备,如图5所示,该身份认证方法可以包括:
S501,第一管理域的第一设备在接收到第一管理域的NCC返回的身份注册成功信息后,第一设备向第二管理域的第二设备发送第一身份认证请求;其中,第一管理域多个管理域中的任一管理域,第二管理域是不同于第一管理域的管理域;
S502,第二设备根据第一预设路由策略,从第一区块链同步节点获得第一设备对应的身份信息,根据第一设备对应的身份信息对第一身份认证请求进行验证,当验证成功后,第二设备向第一设备发送第二身份认证请求;其中,第一区块链数据同步节点包括第二设备所在的管理域中的NCC或者第二设备所在的管理域中的轻量区块链存储节点;第二设备所在的管理域中的轻量区块链存储节点包括第二设备所在的管理域中计算和存储资源满足预设条件的设备;
S503,第一设备根据第二预设路由策略,从第二区块链同步节点获得第二设备对应的第二身份信息,根据第二设备对应的身份信息对第二身份认证请求进行验证,当验证成功,则进入会话阶段;其中,第二区块链同步节点包括第一设备所在的管理域中的NCC或者第一设备所在的管理域中的轻量区块链存储节点;第一设备所在的管理域中的轻量区块链存储节点包括第一设备所在的管理域中计算和存储资源满足预设条件的设备。
一种可选的实施例中,在S501之前,如图6所示,本发明实施例提供的身份验证方法可以包括:
S601,第一设备向第一管理域的NCC发送设备注册信息,其中,设备注册信息包括经过永久身份私钥签名的永久身份公钥、临时身份公钥、生成临时身份私钥所使用的加密算法以及临时身份有效时间;
S602,第一管理域的NCC根据自身存储的域内设备信息对设备注册信息进行验证,当验证设备注册信息真实有效,则对设备注册信息进行整理并签名,并将签名后的信息发送至至区块链网络中,以便其他节点对设备信息进行验证;
S603,在到达出块时间节点时,由出块节点打包成区块,并给除出块节点之外的其他NCC,由其他NCC对区块进行验证,并将验证通过的区块存储到本地,且各个NCC向其所在管理域的设备发送身份注册成功信息;其中,出块节点包括多个管理域中的NCC;
S604,第一管理域中的轻量区块链存储节点从该管理域的NCC中获得该管理域的NCC中最新同步的区块。
一种可选的实施例中,S602中该管理域中的NCC在根据自身存储的域内设备信息对设备注册信息进行验证之后,还可以包括当验证失败,则向该管理域中的设备发送失败信息;该管理域中的设备接收失败信息之后,该管理域中的设备重新生成临时身份标识。
一种可选的实施例中,S603中其他NCC对区块进行验证具体包括:其他NCC检查区块中是否包含该管理域中的NCC的签名,若区块中包含该管理域中的NCC的签名,则验证通过。
一种可选的实施例中,第一身份认证请求包括该管理域的设备的临时身份公钥和该管理域的设备所使用的加密算法;第二身份认证请求包括另一管理域的设备的临时身份公钥和另一管理域的设备所使用的加密算法。
S502中另一管理域的设备根据第一预设路由策略,从第一区块链同步节点获得该管理域的设备对应的身份信息,根据该管理域的设备对应的身份信息对第一身份认证请求进行验证具体包括:另一管理域的设备,基于该管理域的设备所使用的加密算法,解析该管理域的设备对应的身份信息,若解析得到的临时身份公钥与第一身份认证请求中包括的临时身份公钥相同,则验证成功;
S503中该管理域的设备根据第二预设路由策略,从第二区块链同步节点获得另一管理域的设备对应的身份信息,根据另一管理域的设备对应的身份信息对第二身份认证请求进行验证具体包括:该管理域的设备,基于另一管理域的设备所使用的加密算法,解析另一管理域的设备对应的身份信息,若解析得到的临时身份公钥与第二身份认证请求中包括的临时身份公钥相同,则验证成功。
一种可选的实施例中,第一身份认证请求还包括该管理域的设备对应的会话公钥;第二身份认证请求还包括另一管理域的设备对应的会话公钥。
在S503中进入会话阶段之前,本发明实施例提供的身份认证方法还可以包括:
该管理域的设备生成随机数作为该管理域的设备对应的会话私钥;并利用椭圆曲线算法生成该管理域的设备对应的会话公钥,并将该管理域的设备对应的会话公钥添加至第一身份认证请求;另一管理域的设备接收到第一身份认证请求,解析得到第一身份认证请求中包括的会话公钥;并生成另一管理域的设备对应的会话私钥,并使用椭圆曲线算法生成另一管理域的设备对应的会话公钥,并将另一管理域的设备对应的会话公钥添加至第二身份认证请求且发送给该管理域的设备;该管理域的设备利用该管理域的设备对应的会话私钥和另一管理域的设备对应的会话公钥生成会话密钥;另一管理域的设备利用另一管理域的设备对应的会话私钥和该管理域的设备对应的会话公钥生成会话密钥,会话密钥用于该管理域的设备和另一管理域的设备在会话阶段时使用。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时实现上述实施例提供的身份认证方法的方法步骤。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例提供的身份认证方法的方法步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于方法、计算机可读存储介质以及计算机程产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见系统实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种身份认证系统,其特征在于,包括:
多个管理域,不同管理域分别从属于不同的组织;
针对每个管理域,所述管理域包括网络控制中心NCC和所述管理域所从属的组织中具有网络连接的设备;
所述管理域的设备向另一管理域的设备发送第一身份认证请求;
所述另一管理域的设备根据第一预设路由策略,从第一区块链同步节点获得所述管理域的设备对应的身份信息,根据所述管理域的设备对应的身份信息对所述第一身份认证请求进行验证,当验证成功后,所述另一管理域的设备向所述管理域的设备发送第二身份认证请求;其中,所述第一区块链数据同步节点包括所述另一管理域的NCC或者所述另一管理域中的轻量区块链存储节点;所述另一管理域中的轻量区块链存储节点包括所述另一管理域中计算和存储资源满足预设条件的设备;
所述管理域的设备根据第二预设路由策略,从第二区块链同步节点获得所述另一管理域的设备对应的身份信息,根据另一管理域的设备对应的身份信息对所述第二身份认证请求进行验证,当验证成功,则进入会话阶段;其中,所述第二区块链同步节点包括所述管理域的NCC或者所述管理域中的轻量区块链存储节点;所述管理域中的轻量区块链存储节点包括所述管理域中计算和存储资源满足预设条件的设备;所述管理域中的轻量区块链存储节点负责同步并存储其他管理域的设备的身份信息。
2.根据权利要求1所述的系统,其特征在于,所述管理域的设备在向另一管理域的设备发送第一身份认证请求之前,向所述管理域的NCC发送设备注册信息,其中,所述设备注册信息包括经过永久身份私钥签名的永久身份公钥、临时身份公钥、生成临时身份私钥所使用的加密算法以及临时身份有效时间;
所述管理域的NCC接收所述管理域的设备发送的设备注册信息,所述管理域中的NCC根据自身存储的域内设备信息对所述设备注册信息进行验证,当验证所述设备注册信息真实有效,则对所述设备注册信息进行整理并签名,并将签名后的信息发送至至区块链网络中,以便其他节点对设备信息进行验证,并在到达出块时间节点时,由出块节点打包成区块,并广播给除所述出块节点之外的其他NCC,由其他NCC对所述区块进行验证,并将验证通过的区块存储到本地,且所述管理域中的NCC向所述管理域的设备发送身份注册成功信息;其中,所述出块节点包括多个管理域中的NCC;
所述管理域中的轻量区块链存储节点从所述管理域的NCC中获得所述管理域的NCC中最新同步的区块;其中,轻量区块链存储节点包括所述管理域包括的具有网络连接的设备中计算和存储资源满足预设条件的设备;
区块链用户节点从所述轻量区块链存储节点的区块或所述管理域的NCC中,查询其他管理域的设备的身份信息,其中,所述区块链用户节点包括所述管理域包括的具有网络连接的设备中除所述轻量区块链存储节点之外的设备。
3.根据权利要求2所述的系统,其特征在于,所述管理域中的NCC根据设备的身份信息生成唯一标识所述设备的永久身份公钥,并根据所述永久身份公钥和预设主密钥生成所述设备的永久身份私钥,所述永久身份公钥和所述永久身份私钥组成所述设备的永久身份标识;所述管理域中的设备的临时身份标识包括临时身份公钥和临时身份私钥,所述临时身份公钥和所述临时身份私钥的生成方式与设备所使用的能够实现数字签名的加密算法保持一致。
4.根据权利要求2所述的系统,其特征在于,所述管理域中的NCC在根据自身存储的域内设备信息对所述设备注册信息进行验证之后,当验证失败,则向所述管理域中的设备发送失败信息;
所述管理域中的设备接收所述失败信息之后,所述管理域中的设备重新生成临时身份标识。
5.根据权利要求2所述的系统,其特征在于,所述其他NCC检查所述区块中是否包含所述管理域中的NCC的签名,若所述区块中包含所述管理域中的NCC的签名,则验证通过。
6.根据权利要求1所述的系统,其特征在于,所述第一身份认证请求包括所述管理域的设备的临时身份公钥和所述管理域的设备所使用的加密算法;
所述另一管理域的设备,基于所述管理域的设备所使用的加密算法,解析所述管理域的设备对应的身份信息,若解析得到的临时身份公钥与所述第一身份认证请求中包括的临时身份公钥相同,则验证成功;
所述第二身份认证请求包括所述另一管理域的设备的临时身份公钥和所述另一管理域的设备所使用的加密算法;
所述管理域的设备,基于所述另一管理域的设备所使用的加密算法,解析所述另一管理域的设备对应的身份信息,若解析得到的临时身份公钥与所述第二身份认证请求中包括的临时身份公钥相同,则验证成功。
7.根据权利要求6所述的系统,其特征在于,所述第一身份认证请求还包括所述管理域的设备对应的会话公钥;所述第二身份认证请求还包括所述另一管理域的设备对应的会话公钥;
所述管理域的设备生成随机数作为所述管理域的设备对应的会话私钥;并利用椭圆曲线算法生成所述管理域的设备对应的会话公钥,并将所述管理域的设备对应的会话公钥添加至所述第一身份认证请求;
所述另一管理域的设备接收到所述第一身份认证请求,解析得到所述第一身份认证请求中包括的会话公钥;并生成所述另一管理域的设备对应的会话私钥,并使用所述椭圆曲线算法生成所述另一管理域的设备对应的会话公钥,并将所述另一管理域的设备对应的会话公钥添加至第二身份认证请求且发送给所述管理域的设备;
所述管理域的设备利用所述管理域的设备对应的会话私钥和所述另一管理域的设备对应的会话公钥生成会话密钥;
所述另一管理域的设备利用所述另一管理域的设备对应的会话私钥和所述管理域的设备对应的会话公钥生成所述会话密钥,所述会话密钥用于所述管理域的设备和所述另一管理域的设备在会话阶段时使用。
8.根据权利要求1至7任一项所述的系统,其特征在于,所述组织为自治系统AS。
9.一种身份认证方法,其特征在于,应用于身份认证系统,所述身份认证系统包括:多个管理域,不同管理域分别从属于不同的组织;针对各个管理域,该管理域包括网络控制中心NCC和该管理域所从属的组织中具有网络连接的设备,所述身份认证方法包括:
第一管理域的第一设备在接收到所述第一管理域的NCC返回的身份注册成功信息后,所述第一设备向第二管理域的第二设备发送第一身份认证请求;其中,所述第一管理域多个管理域中的任一管理域,所述第二管理域是不同于所述第一管理域的管理域;
所述第二设备根据第一预设路由策略,从第一区块链同步节点获得所述第一设备对应的身份信息,根据所述第一设备对应的身份信息对所述第一身份认证请求进行验证,当验证成功后,所述第二设备向所述第一设备发送第二身份认证请求;其中,所述第一区块链数据同步节点包括所述第二设备所在的管理域中的NCC或者所述第二设备所在的管理域中的轻量区块链存储节点;所述第二设备所在的管理域中的轻量区块链存储节点包括第二设备所在的管理域中计算和存储资源满足预设条件的设备;
所述第一设备根据第二预设路由策略,从第二区块链同步节点获得所述第二设备对应的第二身份信息,根据所述第二设备对应的身份信息对所述第二身份认证请求进行验证,当验证成功,则进入会话阶段;其中,所述第二区块链同步节点包括所述第一设备所在的管理域中的NCC或者所述第一设备所在的管理域中的轻量区块链存储节点;所述第一设备所在的管理域中的轻量区块链存储节点包括第一设备所在的管理域中计算和存储资源满足预设条件的设备;所述第一设备所在的管理域中的轻量区块链存储节点负责同步并存储其他管理域的设备的身份信息。
10.根据权利要求9所述的方法,其特征在于,在所述第一设备向第二管理域的第二设备发送第一身份认证请求之前,所述方法包括:
所述第一设备向所述第一管理域的NCC发送设备注册信息,其中,所述设备注册信息包括经过永久身份私钥签名的永久身份公钥、临时身份公钥、生成临时身份私钥所使用的加密算法以及临时身份有效时间;
第一管理域的NCC根据自身存储的域内设备信息对设备注册信息进行验证,当验证设备注册信息真实有效,则对设备注册信息进行整理并签名,并将签名后的信息发送至至区块链网络中,以便其他节点对设备信息进行验证;
在到达出块时间节点时,由出块节点打包成区块,并给除出块节点之外的其他NCC,由其他NCC对区块进行验证,并将验证通过的区块存储到本地,且各个NCC向其所在管理域的设备发送身份注册成功信息;其中,出块节点包括多个管理域中的NCC;
所述第一管理域中的轻量区块链存储节点从所述管理域的NCC中获得所述管理域的NCC中最新同步的区块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011179017.XA CN112351019B (zh) | 2020-10-29 | 2020-10-29 | 一种身份认证系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011179017.XA CN112351019B (zh) | 2020-10-29 | 2020-10-29 | 一种身份认证系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112351019A CN112351019A (zh) | 2021-02-09 |
CN112351019B true CN112351019B (zh) | 2021-08-13 |
Family
ID=74357099
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011179017.XA Active CN112351019B (zh) | 2020-10-29 | 2020-10-29 | 一种身份认证系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112351019B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113114759B (zh) * | 2021-04-09 | 2022-06-10 | 杭州链网科技有限公司 | 一种实现多链互通的跨链方法及系统 |
CN113301520B (zh) * | 2021-05-21 | 2023-02-28 | 国网四川省电力公司电力科学研究院 | 一种无线传感器网络安全通信的方法 |
CN114640475B (zh) * | 2022-05-19 | 2022-09-06 | 广东省绿算技术有限公司 | 去中心化的身份认证方法、装置、计算机设备及存储介质 |
CN115665749B (zh) * | 2022-12-29 | 2023-03-17 | 国家工业信息安全发展研究中心 | 一种海量工业设备安全可信接入方法及系统 |
CN116170158A (zh) * | 2023-02-15 | 2023-05-26 | 北京邮电大学 | 基于多链架构的跨域安全审查方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107730258A (zh) * | 2017-09-01 | 2018-02-23 | 上海点融信息科技有限责任公司 | 基于区块链的资源处理方法、装置及计算机可读存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10419446B2 (en) * | 2017-07-10 | 2019-09-17 | Cisco Technology, Inc. | End-to-end policy management for a chain of administrative domains |
CN109327481B (zh) * | 2018-12-17 | 2021-12-14 | 北京信息科技大学 | 一种基于区块链的全网统一在线认证方法及系统 |
CN109492380B (zh) * | 2019-01-11 | 2021-04-02 | 四川虹微技术有限公司 | 一种设备认证方法、装置及区块链节点 |
US11223473B2 (en) * | 2019-02-01 | 2022-01-11 | EMC IP Holding Company LLC | Client-driven shared secret updates for client authentication |
CN111262724B (zh) * | 2020-01-07 | 2023-03-24 | 中国联合网络通信集团有限公司 | 一种域间信任关系的确认方法和装置 |
CN111683101B (zh) * | 2020-06-16 | 2021-01-22 | 铭数科技(青岛)有限公司 | 一种基于区块链的自主跨域访问控制方法 |
-
2020
- 2020-10-29 CN CN202011179017.XA patent/CN112351019B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107730258A (zh) * | 2017-09-01 | 2018-02-23 | 上海点融信息科技有限责任公司 | 基于区块链的资源处理方法、装置及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112351019A (zh) | 2021-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112351019B (zh) | 一种身份认证系统及方法 | |
Seth et al. | Practical security for disconnected nodes | |
Lou et al. | A blockchain-based key management scheme for named data networking | |
US20090158394A1 (en) | Super peer based peer-to-peer network system and peer authentication method thereof | |
Liu et al. | Bua: A blockchain-based unlinkable authentication in vanets | |
Hamdane et al. | Named-data security scheme for named data networking | |
Li et al. | BDRA: Blockchain and decentralized identifiers assisted secure registration and authentication for VANETs | |
Zhang et al. | A Novel Privacy‐Preserving Authentication Protocol Using Bilinear Pairings for the VANET Environment | |
Yang et al. | Blockchain-based decentralized public key management for named data networking | |
Wei et al. | BAVP: Blockchain‐Based Access Verification Protocol in LEO Constellation Using IBE Keys | |
He et al. | An accountable, privacy-preserving, and efficient authentication framework for wireless access networks | |
CN110945833B (zh) | 一种用于多模标识网络隐私保护与身份管理的方法及系统 | |
Zhang et al. | NDN-MPS: supporting multiparty authentication over named data networking | |
Li et al. | An advanced hierarchical identity-based security mechanism by blockchain in named data networking | |
Li et al. | Blockchain-based portable authenticated data transmission for mobile edge computing: a universally composable secure solution | |
CN102340487B (zh) | 多信任域之间的完整性报告传递方法和系统 | |
Aiash et al. | An integrated authentication and authorization approach for the network of information architecture | |
Khalid et al. | A lightweight and secure online/offline cross-domain authentication scheme for VANET systems in Industrial IoT | |
Yang et al. | Blockchain-based conditional privacy-preserving authentication protocol with implicit certificates for vehicular edge computing | |
Han et al. | A PKI without TTP based on conditional trust in blockchain | |
Patra et al. | Hierarchical identity based cryptography for end-to-end security in DTNs | |
Li et al. | Hierarchical identity-based security mechanism using blockchain in named data networking | |
Mauri et al. | Up-to-date key retrieval for information centric networking | |
CN114301612A (zh) | 信息处理方法、通信设备和加密设备 | |
KR101042834B1 (ko) | 모바일 환경을 위한 자체인증 사인크립션 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |