CN113162768B - 一种基于区块链的智能物联网设备认证方法及系统 - Google Patents
一种基于区块链的智能物联网设备认证方法及系统 Download PDFInfo
- Publication number
- CN113162768B CN113162768B CN202110206475.6A CN202110206475A CN113162768B CN 113162768 B CN113162768 B CN 113162768B CN 202110206475 A CN202110206475 A CN 202110206475A CN 113162768 B CN113162768 B CN 113162768B
- Authority
- CN
- China
- Prior art keywords
- internet
- things equipment
- identity
- equipment
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 96
- 230000004044 response Effects 0.000 claims description 41
- 230000000977 initiatory effect Effects 0.000 claims description 20
- 238000012795 verification Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 10
- 230000005284 excitation Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 7
- 230000006855 networking Effects 0.000 claims 4
- 238000004364 calculation method Methods 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 26
- 238000003860 storage Methods 0.000 description 9
- 230000015654 memory Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 241000904014 Pappus Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/72—Signcrypting, i.e. digital signing and encrypting simultaneously
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Finance (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种基于区块链的智能物联网设备认证方法及系统,该方法包括:设备基于物理不可克隆函数生成自身的身份标识,并以自身的身份标识作为可搜索加密算法的公钥,生成密文;注册中心基于智能合约和分布式账本数据库,生成设备对应的可搜索加密算法的私钥,并为设备分配组名称和环签名算法的公私钥对,完成设备的注册;认证中心使用智能合约,基于设备的身份标识进行可搜索加密,实现设备的个人登录认证;并基于环签名算法实现设备的组登录认证。本发明可实现对智能物联网设备实施有效组合式认证,智能合约自动执行,减少了资源消耗过大问题,新型密码算法计算效率更高,更能确保系统的安全。
Description
技术领域
本发明涉及物联网领域,特别涉及一种基于区块链的智能物联网设备认证方法及系统。
背景技术
目前,物联网身份认证的常用方案主要有以下三种:
1)基于公钥基础设施(PKI,public key infrastructure)的身份认证方案,在该方案中,证书授权中心为每个设备分配数字证书,该数字证书中包含设备的公钥和证书授权中心的数字签名。设备方利用自身私钥生成消息签名,公钥被接收方用于验证签名,此方案在验证过程中不会泄露设备的真实身份。
2)基于身份的签名(IBS,identity-based signature)方案,该方案通过设置私钥生成器(PKG,private key generator)实现设备私钥的分发,通过这种方式可以解决设备公钥传送问题。另外,可以利用双线性映射实现强指定验证签名,即使在传输过程中消息被泄露,仍可以实现安全、唯一的身份验证。
3)基于无证书签名(CLS,the certificateless signature)的认证方案,在该方案中,密钥生成中心(KGC,the key generation center)根据物联网设备身份标识号(ID,identity document)为其生成对应的部分私钥,设备使用秘密值和部分私钥生成实际的私钥。
物联网设备身份标识号的生成:基于物理实体的内在物理构造来唯一地标识单个物理实体实现有效认证的思路,Pappu等首先正式提出了物理不可克隆函数(PhysicalUnclonable Function,PUF)的概念。PUF是指对一个物理实体输入一个激励,利用其不可避免的内在物理构造的随机差异输出一个不可预测的响应的这样一个物理不可克隆的函数。
现阶段,将区块链和物联网结合是一种发展趋势,区块链的分布式特性可以满足物联网设备在运动场景下的网络接入需求。另外,区块链数据存储的高度安全性为物联网设备接入后的数据共享和协同工作提供了良好保障。有文献提出了一种基于数字证书的认证方案,通过树状存储结构默克尔帕特里树(MPT,Merkle Patricia tree)来扩展区块链数据结构。将物联网设备及其数字证书以键值对形式存储在MPT叶子节点中,MPT随着节点的增加而更新,所有交易及对应更新的MPT根都按时间顺序存储在时序默克尔树(CMT,chronological Merkle tree)中,最终被打包上链。在物联网设备身份认证时,可通过数字证书在MPT中的存储路径查询其有效性。还有文献将区块链与边缘计算结合,利用边缘计算来支持区块链系统中的边缘认证服务。建立了分布可信的接入机制,实现了双向认证,提高了认证效率。另有文献结合区块链及雾计算服务,提出了一种区块链辅助的轻量级匿名认证方案,可以实现灵活的跨数据中心认证并保护设备的隐私,通过区块链及密码学技术减少了通信损耗,认证双方在认证过程中只需发送一次消息,大幅度提高了认证效率。
但现有技术目前还存在以下缺点:
1.认证中有人力口令与证书存储成本支出和人为错误的可能性,且效率较低,认证过程自动化程度不高。
2.传统加密方法对数据的加密存在证书管理困难与资源消耗过大问题。
3.公钥密码的安全性主要基于因式分解和离散对数问题,运算量大且随着量子计算机的发展,公钥密码所依赖的数学难题将得到解决。
发明内容
本发明提供了一种基于区块链的智能物联网设备认证方法及系统,以至少在一定程度上解决现有技术所存在的上述技术问题。
为解决上述技术问题,本发明提供了如下技术方案:
一方面,本发明提供了一种基于区块链的智能物联网设备认证方法,其包括:
物联网设备基于预设的物理不可克隆函数生成自身的身份标识,并以自身的身份标识作为可搜索加密算法的公钥,通过可搜索加密算法生成密文;
注册中心基于区块链的智能合约和分布式账本数据库,结合物联网设备的身份标识和密文,生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对,并完成相应的物联网设备的注册;
当物联网设备发起个人登录认证请求时,认证中心使用所述智能合约,基于物联网设备的身份标识进行可搜索加密,实现物联网设备的个人登录认证;
当物联网设备发起组登录认证请求时,认证中心使用所述智能合约,根据物联网设备的组名称,采用环签名算法,实现对物联网设备的组登录认证。
进一步地,所述物联网设备基于预设的物理不可克隆函数生成自身的身份标识,并以自身的身份标识作为可搜索加密算法的公钥,通过可搜索加密算法生成密文,包括:
物联网设备将预设的标识信息作为激励,通过自身预设的物理不可克隆函数进行运算,并对函数的响应结果进行截取,得到预设长度的响应数据;
物联网设备将所述响应数据进行哈希运算,并将得到的所述响应数据的哈希运算结果与自身的软件标识运算作为自身的身份标识;
物联网设备以身份标识作为可搜索加密算法的公钥,通过身份标识对所述响应数据进行加密,生成密文,并将自身的身份标识和密文发送至注册中心。
进一步地,所述注册中心基于区块链的智能合约和分布式账本数据库,结合物联网设备的身份标识和密文,生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对,并完成相应的物联网设备的注册,包括:
注册中心使用区块链的智能合约,生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对;
注册中心将可搜索加密算法的私钥和环签名算法的公私钥对发送给相应的物联网设备,使用智能合约将物联网设备的身份标识、密文、组名称和环签名算法的公钥存储至分布式账本数据库,并生成物联网设备的身份标识的索引。
进一步地,所述物联网设备发起个人登录认证请求,包括:
物联网设备将预设的标识信息作为激励,通过自身预设的物理不可克隆函数进行运算,并对函数的响应结果进行截取,得到预设长度的响应数据;
物联网设备使用可搜索加密算法的私钥对所述响应数据进行处理,得到一次性陷门,并将自身的身份标识和所述一次性陷门发送至认证中心。
进一步地,所述认证中心使用所述智能合约,基于物联网设备的身份标识进行可搜索加密,实现物联网设备的个人登录认证,包括:
认证中心使用所述智能合约,根据发起个人登录认证请求的物联网设备的身份标识,通过物联网设备的身份标识的索引,查找区块链记录,验证当前发起个人登录认证请求的物联网设备的身份标识是否已注册及陷门是否有存储;
认证中心使用所述智能合约,根据发起个人登录认证请求的物联网设备的身份标识,通过物联网设备的身份标识的索引,查找区块链上的注册信息,使用陷门与查找到的注册信息所存储的密文进行匹配验证,验证通过,则存储本次登录陷门,并返回给当前发起个人登录认证请求的物联网设备登录认证成功。
进一步地,所述认证中心使用所述智能合约,根据物联网设备的组名称,采用环签名算法,实现对物联网设备的组登录认证,包括:
认证中心选择一个消息,使用智能合约,根据发起组登录认证请求的物联网设备的组名称在区块链检索同组成员的环签名算法的公钥发给物联网设备;
物联网设备使用自身的环签名算法的公私钥对和同组成员的环签名算法的公钥,对所述认证中心选择的消息构造环签名,将构造的环签名传给认证中心;
认证中心接收所述环签名,使用智能合约在区块链检索环签名算法的公钥是否同属一组,再验证环签名,若无误则认证成功,并将认证结果返回给设备。
另一方面,本发明还提供了一种基于区块链的智能物联网设备认证系统,所述智能物联网设备认证系统包括物联网设备、注册中心以及认证中心;其中,
所述物联网设备用于基于预设的物理不可克隆函数生成自身的身份标识,并以自身的身份标识作为可搜索加密算法的公钥,通过可搜索加密算法生成密文,并将自身的身份标识和密文发送至所述注册中心;
所述注册中心用于基于区块链的智能合约和分布式账本数据库,结合物联网设备的身份标识和密文生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对,并完成物联网设备的注册;
所述认证中心用于当物联网设备发起个人登录认证请求时,使用所述智能合约,基于物联网设备的身份标识进行可搜索加密,实现物联网设备的个人登录认证;当物联网设备发起组登录认证请求时,使用所述智能合约,根据物联网设备的组名称,采用环签名算法,实现对物联网设备的组登录认证。
进一步地,所述物联网设备具体用于:
将预设的标识信息作为激励,通过自身预设的物理不可克隆函数进行运算,并对函数的响应结果进行截取,得到预设长度的响应数据;
将所述响应数据进行哈希运算,并将得到的所述响应数据的哈希运算结果与自身的软件标识运算作为自身的身份标识;
以身份标识作为可搜索加密算法的公钥,通过身份标识对所述响应数据进行加密,生成密文,并将自身的身份标识和密文发送至所述注册中心。
进一步地,所述注册中心具体用于:
使用区块链的智能合约,生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对;
将可搜索加密算法的私钥和环签名算法的公私钥对发送给相应的物联网设备,使用智能合约将物联网设备的身份标识、密文、组名称和环签名算法的公钥存储至分布式账本数据库,并生成物联网设备的身份标识的索引。
进一步地,所述物联网设备还用于:
将预设的标识信息作为激励,通过自身预设的物理不可克隆函数进行运算,并对函数的响应结果进行截取,得到预设长度的响应数据;
使用可搜索加密算法的私钥对所述响应数据进行处理,得到一次性陷门,并将自身的身份标识和一次性陷门发送至认证中心,以发起个人登录认证请求;
所述认证中心具体用于:
当物联网设备发起个人登录认证请求时,使用所述智能合约,根据发起个人登录认证请求的物联网设备的身份标识,通过物联网设备的身份标识的索引,查找区块链记录,验证当前发起个人登录认证请求的物联网设备的身份标识是否已注册及陷门是否有存储;
使用所述智能合约,根据发起个人登录认证请求的物联网设备的身份标识,通过物联网设备的身份标识的索引,查找区块链上的注册信息,使用陷门与查找到的注册信息所存储的密文进行匹配验证,验证通过,则存储本次登录陷门,并返回给当前发起个人登录认证请求的物联网设备登录认证成功;
当物联网设备发起组登录认证请求时,所述认证中心选择一个消息,使用智能合约,根据发起组登录认证请求的物联网设备的组名称在区块链检索同组成员的环签名算法的公钥发给物联网设备;
物联网设备使用自身的环签名算法的公私钥对和同组成员的环签名算法的公钥,对所述认证中心选择的消息构造环签名,将构造的环签名传给认证中心;
认证中心接收所述环签名,使用智能合约在区块链检索环签名算法的公钥是否同属一组,再验证环签名,若无误则认证成功,并将认证结果返回给设备。
再一方面,本发明还提供了一种电子设备,其包括处理器和存储器;其中,存储器中存储有至少一条指令,所述指令由处理器加载并执行以实现上述方法。
又一方面,本发明还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现上述方法。
本发明提供的技术方案带来的有益效果至少包括:
(1)本发明使用区块链的智能合约和账本数据库进行认证处理,所有交易数据都无法篡改、不可伪造,认证过程自动执行,提升了效率,节约了时间。
(2)本发明使用物理不可克隆函数生成物联网设备标识,提出了基于设备标识进行可搜索加密认证,无证书签名,存储资源消耗小。
(3)本发明采用Rainbow环签名算法,是抗量子攻击的环签名算法,计算量大大减少,计算效率更高,可以在物联网设备上实现强安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的基于区块链的智能物联网设备认证方法的模型原理图;
图2是本发明实施例提供的注册流程图;
图3是本发明实施例提供的个人登录认证流程图;
图4是本发明实施例提供的组登录流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
第一实施例
本实施例提供了一种基于区块链的智能物联网设备认证方法,该方法可以由电子设备实现,该电子设备可以是终端或者服务器。该基于区块链的智能物联网设备认证方法的模型原理如图1所示,具体地,该基于区块链的智能物联网设备认证方法的执行流程包括以下步骤:
物联网设备基于预设的物理不可克隆函数生成自身的身份标识,并以自身的身份标识作为可搜索加密算法的公钥,通过可搜索加密算法生成密文;
注册中心基于区块链的智能合约和分布式账本数据库,结合物联网设备的身份标识和密文,生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对,并完成相应的物联网设备的注册;
当物联网设备发起个人登录认证请求时,认证中心使用所述智能合约,基于物联网设备的身份标识进行可搜索加密,实现物联网设备的个人登录认证;
当物联网设备发起组登录认证请求时,认证中心使用所述智能合约,根据物联网设备的组名称,采用环签名算法,实现对物联网设备的组登录认证。
其中,需要说明的是,本实施例所使用的密码算法包括基于物联网设备标识的可搜索加密算法和抗量子攻击的Rainbow环签名算法。
智能物联网设备具有一定的计算和存储能力,内嵌有物理不可克隆函数(Physical Unclonable Functions,PUF)的处理器,PUF选取如下:
定义1:片间汉明距离。指对两个不同PUF实体输入同一个特定的激励后,其产生的两个响应之间的距离。
定义2:片内汉明距离。指对一个单一的PUF重复两次输入一个特定的激励后,其产生的响应之间的距离。
对于二进制数字来说,汉明距离(Hamming Distance,HD)可以表示为两个二进制序列串异或后得到的序列串中“1”的个数。汉明距离比(Fractional Hamming Distance,FHD)等于汉明距离除以二进制序列串长度的值。
本实施例中物联网设备选择合适的PUF,其片间汉明距离比接近理想的50%,片内汉明距离比尽可能小。
基于上述,本实施例的智能物联网设备认证方法可以分为注册、设备个人登录认证、设备组登录认证三部分,下面结合附图一一进行详细说明。
一、注册,如图2所示,其包括以下步骤:
1.设备将特征等标识信息作为激励x,通过自身PUF模块运算,即物理不可克隆函数Γ(x)=y,得到响应y,截取y的一定位数y’;
2.设备将y’通过哈希函数得到的H(y’)与自身软件标识s(软件版本等)运算作为自己的身份标识ID=f(H(y’),s);
3.设备以ID作为可搜索加密公钥,使用ID对y’进行可搜索加密,得到密文C=EncryptID(y’);设备将ID、C传给注册中心。
4.注册中心使用区块链的智能合约依此生成可搜索加密私钥DID=KeyGen(ID),并为设备分配组名称和环签名Rainbow公私钥对(pk,sk);
5.注册中心将DID、(pk,sk)返回给设备,使用智能合约将ID和C对应存入,组名称和pk对应存入区块链,并生成ID索引I。
二、设备个人登录认证,如图3所示,其包括以下步骤:
1.设备将特征等标识信息作为激励x,通过自身PUF模块运算,即物理不可克隆函数Γ(x)=y,得到响应y,截取y的一定位数y’;
2.设备使用可搜索加密私钥DID对y’进行处理得到一次性陷门T=TrapdoorDID(y’),设备将ID、陷门T传给认证中心;
3.认证中心使用智能合约根据设备ID,通过索引I快速查找区块链记录验证ID是否已注册及陷门是否有存储;
4.认证中心使用智能合约根据ID,通过索引I快速查找区块链上的注册信息,使用陷门T与注册信息存储的密文C进行匹配验证Test(T,C),验证通过则存储本次登录陷门T,并返回给设备登录认证成功。
三、设备组登录认证,如图4所示,其包括以下步骤:
1.设备发起组认证请求;
2.认证方选择一个消息m,使用智能合约根据组名称在区块链检索同组成员的Rainbow公钥{pki},1≤i≤r,一起发给设备;
3.设备使用自己的Rainbow公私钥对(pk0,sk0)和{pki},1≤i≤r对m构造环签名σ,将环签名σ传给认证方;
4.认证方接收签名σ,使用智能合约在区块链检索公钥是否同属一组,再验证签名若无误则认证成功,并将认证结果返回给设备。
具体地,以上方案包含的智能合约如下表:
表1智能合约列表
综上,本实施例使用物理不可克隆函数生成物联网设备标识,结合区块链的智能合约和分布式账本数据库,基于物联网设备标识进行可搜索加密实现精确登录认证及采用Rainbow环签名算法实现组登录认证。基于此,本实施例的方法可实现对智能物联网设备实体实施有效组合式认证,智能合约自动执行,减少了资源消耗过大问题,新型密码算法计算效率更高,更能确保系统安全。
第二实施例
本实施例提供了一种基于区块链的智能物联网设备认证系统,所述智能物联网设备认证系统包括物联网设备、注册中心以及认证中心;其中,
所述物联网设备用于基于预设的物理不可克隆函数生成自身的身份标识,并以自身的身份标识作为可搜索加密算法的公钥,通过可搜索加密算法生成密文,并将自身的身份标识和密文发送至所述注册中心;
所述注册中心用于基于区块链的智能合约和分布式账本数据库,结合物联网设备的身份标识和密文生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对,并完成物联网设备的注册;
所述认证中心用于当物联网设备发起个人登录认证请求时,使用所述智能合约,基于物联网设备的身份标识进行可搜索加密,实现物联网设备的个人登录认证;当物联网设备发起组登录认证请求时,使用所述智能合约,根据物联网设备的组名称,采用环签名算法,实现对物联网设备的组登录认证。
本实施例的智能物联网设备认证系统与上述第一实施例的智能物联网设备认证方法相对应;其中,本智能物联网设备认证系统中的功能模块所实现的功能与上述智能物联网设备认证方法中的流程步骤一一对应;故,在此不再赘述。
第三实施例
本实施例提供一种电子设备,其包括处理器和存储器;其中,存储器中存储有至少一条指令,所述指令由处理器加载并执行,以实现第一实施例的方法。
该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)和一个或一个以上的存储器,其中,存储器中存储有至少一条指令,所述指令由处理器加载并执行上述方法。
第四实施例
本实施例提供一种计算机可读存储介质,该存储介质中存储有至少一条指令,所述指令由处理器加载并执行,以实现上述第一实施例的方法。其中,该计算机可读存储介质可以是ROM、随机存取存储器、CD-ROM、磁带、软盘和光数据存储设备等。其内存储的指令可由终端中的处理器加载并执行上述方法。
此外,需要说明的是,本发明可提供为方法、装置或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
还需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
最后需要说明的是,以上所述是本发明优选实施方式,应当指出,尽管已描述了本发明优选实施例,但对于本技术领域的技术人员来说,一旦得知了本发明的基本创造性概念,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
Claims (4)
1.一种基于区块链的智能物联网设备认证方法,其特征在于,包括:
物联网设备基于预设的物理不可克隆函数生成自身的身份标识,并以自身的身份标识作为可搜索加密算法的公钥,通过可搜索加密算法生成密文,并将自身的身份标识和密文发送至注册中心;
注册中心基于区块链的智能合约和分布式账本数据库,结合物联网设备的身份标识和密文,生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对,并完成相应的物联网设备的注册;
当物联网设备发起个人登录认证请求时,认证中心使用所述智能合约,基于物联网设备的身份标识进行可搜索加密,实现物联网设备的个人登录认证;
当物联网设备发起组登录认证请求时,认证中心使用所述智能合约,根据物联网设备的组名称,采用环签名算法,实现对物联网设备的组登录认证;
所述物联网设备基于预设的物理不可克隆函数生成自身的身份标识,并以自身的身份标识作为可搜索加密算法的公钥,通过可搜索加密算法生成密文,包括:
物联网设备将预设的标识信息作为激励,通过自身预设的物理不可克隆函数进行运算,并对函数的响应结果进行截取,得到预设长度的响应数据;
物联网设备将所述响应数据进行哈希运算,并将得到的所述响应数据的哈希运算结果与自身的软件标识运算作为自身的身份标识;
物联网设备以身份标识作为可搜索加密算法的公钥,通过身份标识对所述响应数据进行加密,生成密文,并将自身的身份标识和密文发送至注册中心;
所述注册中心基于区块链的智能合约和分布式账本数据库,结合物联网设备的身份标识和密文,生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对,并完成相应的物联网设备的注册,包括:
注册中心使用区块链的智能合约,生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对;
注册中心将可搜索加密算法的私钥和环签名算法的公私钥对发送给相应的物联网设备,使用智能合约将物联网设备的身份标识、密文、组名称和环签名算法的公钥存储至分布式账本数据库,并生成物联网设备的身份标识的索引;
所述物联网设备发起个人登录认证请求,包括:
物联网设备将预设的标识信息作为激励,通过自身预设的物理不可克隆函数进行运算,并对函数的响应结果进行截取,得到预设长度的响应数据;
物联网设备使用可搜索加密算法的私钥对所述响应数据进行处理,得到一次性陷门,并将自身的身份标识和所述一次性陷门发送至认证中心;
所述认证中心使用所述智能合约,基于物联网设备的身份标识进行可搜索加密,实现物联网设备的个人登录认证,包括:
认证中心使用所述智能合约,根据发起个人登录认证请求的物联网设备的身份标识,通过物联网设备的身份标识的索引,查找区块链记录,验证当前发起个人登录认证请求的物联网设备的身份标识是否已注册及陷门是否有存储;
认证中心使用所述智能合约,根据发起个人登录认证请求的物联网设备的身份标识,通过物联网设备的身份标识的索引,查找区块链上的注册信息,使用陷门与查找到的注册信息所存储的密文进行匹配验证,验证通过,则存储本次登录陷门,并返回给当前发起个人登录认证请求的物联网设备登录认证成功。
2.如权利要求1所述的基于区块链的智能物联网设备认证方法,其特征在于,所述认证中心使用所述智能合约,根据物联网设备的组名称,采用环签名算法,实现对物联网设备的组登录认证,包括:
认证中心选择一个消息,使用智能合约,根据发起组登录认证请求的物联网设备的组名称在区块链检索同组成员的环签名算法的公钥发给物联网设备;
物联网设备使用自身的环签名算法的公私钥对和同组成员的环签名算法的公钥,对所述认证中心选择的消息构造环签名,将构造的环签名传给认证中心;
认证中心接收所述环签名,使用智能合约在区块链检索环签名算法的公钥是否同属一组,再验证环签名,若无误则认证成功,并将认证结果返回给设备。
3.一种基于区块链的智能物联网设备认证系统,其特征在于,所述智能物联网设备认证系统包括物联网设备、注册中心以及认证中心;其中,
所述物联网设备用于基于预设的物理不可克隆函数生成自身的身份标识,并以自身的身份标识作为可搜索加密算法的公钥,通过可搜索加密算法生成密文,并将自身的身份标识和密文发送至所述注册中心;
所述注册中心用于基于区块链的智能合约和分布式账本数据库,结合物联网设备的身份标识和密文生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对,并完成物联网设备的注册;
所述认证中心用于当物联网设备发起个人登录认证请求时,使用所述智能合约,基于物联网设备的身份标识进行可搜索加密,实现物联网设备的个人登录认证;当物联网设备发起组登录认证请求时,使用所述智能合约,根据物联网设备的组名称,采用环签名算法,实现对物联网设备的组登录认证;
所述物联网设备具体用于:
将预设的标识信息作为激励,通过自身预设的物理不可克隆函数进行运算,并对函数的响应结果进行截取,得到预设长度的响应数据;
将所述响应数据进行哈希运算,并将得到的所述响应数据的哈希运算结果与自身的软件标识运算作为自身的身份标识;
以身份标识作为可搜索加密算法的公钥,通过身份标识对所述响应数据进行加密,生成密文,并将自身的身份标识和密文发送至所述注册中心;
所述注册中心具体用于:
使用区块链的智能合约,生成物联网设备对应的可搜索加密算法的私钥,并为物联网设备分配组名称和环签名算法的公私钥对;
将可搜索加密算法的私钥和环签名算法的公私钥对发送给相应的物联网设备,使用智能合约将物联网设备的身份标识、密文、组名称和环签名算法的公钥存储至分布式账本数据库,并生成物联网设备的身份标识的索引;
所述物联网设备还用于:
将预设的标识信息作为激励,通过自身预设的物理不可克隆函数进行运算,并对函数的响应结果进行截取,得到预设长度的响应数据;
使用可搜索加密算法的私钥对所述响应数据进行处理,得到一次性陷门,并将自身的身份标识和一次性陷门发送至认证中心,以发起个人登录认证请求;
所述认证中心具体用于:
当物联网设备发起个人登录认证请求时,使用所述智能合约,根据发起个人登录认证请求的物联网设备的身份标识,通过物联网设备的身份标识的索引,查找区块链记录,验证当前发起个人登录认证请求的物联网设备的身份标识是否已注册及陷门是否有存储;
使用所述智能合约,根据发起个人登录认证请求的物联网设备的身份标识,通过物联网设备的身份标识的索引,查找区块链上的注册信息,使用陷门与查找到的注册信息所存储的密文进行匹配验证,验证通过,则存储本次登录陷门,并返回给当前发起个人登录认证请求的物联网设备登录认证成功。
4.如权利要求3所述的基于区块链的智能物联网设备认证系统,其特征在于,当物联网设备发起组登录认证请求时,所述认证中心选择一个消息,使用智能合约,根据发起组登录认证请求的物联网设备的组名称在区块链检索同组成员的环签名算法的公钥发给物联网设备;
物联网设备使用自身的环签名算法的公私钥对和同组成员的环签名算法的公钥,对所述认证中心选择的消息构造环签名,将构造的环签名传给认证中心;
认证中心接收所述环签名,使用智能合约在区块链检索环签名算法的公钥是否同属一组,再验证环签名,若无误则认证成功,并将认证结果返回给设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110206475.6A CN113162768B (zh) | 2021-02-24 | 2021-02-24 | 一种基于区块链的智能物联网设备认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110206475.6A CN113162768B (zh) | 2021-02-24 | 2021-02-24 | 一种基于区块链的智能物联网设备认证方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113162768A CN113162768A (zh) | 2021-07-23 |
CN113162768B true CN113162768B (zh) | 2022-07-22 |
Family
ID=76883578
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110206475.6A Active CN113162768B (zh) | 2021-02-24 | 2021-02-24 | 一种基于区块链的智能物联网设备认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113162768B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113794565A (zh) * | 2021-08-16 | 2021-12-14 | 上海万向区块链股份公司 | 基于环签名的多方协同权限委派方法及系统 |
CN113708935B (zh) * | 2021-08-23 | 2022-09-13 | 北京航空航天大学 | 基于区块链和puf的物联网设备统一认证方法及系统 |
CN114615006A (zh) * | 2021-12-01 | 2022-06-10 | 江苏省电力试验研究院有限公司 | 一种面向配电物联网的边缘层数据安全防护方法、系统及存储介质 |
CN114244520B (zh) * | 2021-12-02 | 2024-07-16 | 浙商银行股份有限公司 | 一种基于区块链的物联网设备准入方法、系统、设备 |
CN114205140B (zh) * | 2021-12-09 | 2023-04-11 | 四川启睿克科技有限公司 | 一种基于区块链的物联网设备可信统一标识生成方法 |
CN114584316B (zh) * | 2022-02-28 | 2024-06-21 | 广州世安智慧科技有限公司 | 一种面向物联网的去中心化did身份聚合验证方法及装置 |
CN114710317A (zh) * | 2022-03-02 | 2022-07-05 | 北京邮电大学 | 基于区块链的身份认证方法、装置以及存储介质 |
CN115277240B (zh) * | 2022-08-03 | 2024-06-25 | 河海大学 | 一种物联网设备的认证方法及装置 |
CN117097570B (zh) * | 2023-10-19 | 2023-12-29 | 中国民航大学 | 一种基于云链融合的机载软件安全分发身份认证方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103929745A (zh) * | 2014-04-16 | 2014-07-16 | 东北大学 | 一种基于隐私保护的无线mesh网络接入认证系统及方法 |
CN107147652A (zh) * | 2017-05-18 | 2017-09-08 | 电子科技大学 | 一种基于区块链的用户多形态身份的安全融合认证方法 |
CN110135986A (zh) * | 2019-04-23 | 2019-08-16 | 武汉大学 | 一种基于区块链智能合约实现的可搜索加密文件数据方法 |
CN111914027A (zh) * | 2020-08-05 | 2020-11-10 | 北京科技大学 | 一种区块链交易关键字可搜索加密方法及系统 |
CN112163854A (zh) * | 2020-09-14 | 2021-01-01 | 北京理工大学 | 一种层级化基于区块链公钥可搜索加密方法及系统 |
CN112272094A (zh) * | 2020-10-23 | 2021-01-26 | 国网江苏省电力有限公司信息通信分公司 | 基于puf和cpk算法的物联网设备身份认证方法、系统及存储介质 |
-
2021
- 2021-02-24 CN CN202110206475.6A patent/CN113162768B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103929745A (zh) * | 2014-04-16 | 2014-07-16 | 东北大学 | 一种基于隐私保护的无线mesh网络接入认证系统及方法 |
CN107147652A (zh) * | 2017-05-18 | 2017-09-08 | 电子科技大学 | 一种基于区块链的用户多形态身份的安全融合认证方法 |
CN110135986A (zh) * | 2019-04-23 | 2019-08-16 | 武汉大学 | 一种基于区块链智能合约实现的可搜索加密文件数据方法 |
CN111914027A (zh) * | 2020-08-05 | 2020-11-10 | 北京科技大学 | 一种区块链交易关键字可搜索加密方法及系统 |
CN112163854A (zh) * | 2020-09-14 | 2021-01-01 | 北京理工大学 | 一种层级化基于区块链公钥可搜索加密方法及系统 |
CN112272094A (zh) * | 2020-10-23 | 2021-01-26 | 国网江苏省电力有限公司信息通信分公司 | 基于puf和cpk算法的物联网设备身份认证方法、系统及存储介质 |
Non-Patent Citations (2)
Title |
---|
BC-SABE: Blockchain-Aided Searchable Attribute-Based Encryption for Cloud-IoT;Suhui Liu等;《IEEE INTERNET OF THINGS JOURNAL》;20200930;第7卷(第9期);全文 * |
Memory Leakage-Resilient Searchable Symmetric Encryption;Shuguang Dai等;《Future Generation Computer Systems》;20151231;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113162768A (zh) | 2021-07-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113162768B (zh) | 一种基于区块链的智能物联网设备认证方法及系统 | |
US20220391831A1 (en) | Blockchain-Based Authentication And Authorization | |
CN109829326B (zh) | 基于区块链的跨域认证与公平审计去重云存储系统 | |
CN107196966B (zh) | 基于区块链的多方信任的身份认证方法和系统 | |
US20230208630A1 (en) | Credential generation and distribution method and system for a blockchain network | |
CN111639361A (zh) | 一种区块链密钥管理方法、多人共同签名方法及电子装置 | |
Sun et al. | Outsourced decentralized multi-authority attribute based signature and its application in IoT | |
CN114710275A (zh) | 物联网环境下基于区块链的跨域认证和密钥协商方法 | |
CN115883102B (zh) | 基于身份可信度的跨域身份认证方法、系统及电子设备 | |
CN114584316A (zh) | 一种面向物联网的去中心化did身份聚合验证方法及装置 | |
CN113641975A (zh) | 身份标识注册方法、身份标识验证方法、装置及系统 | |
CN112733179A (zh) | 一种轻量级非交互隐私保护数据聚合方法 | |
Khan et al. | A brief review on cloud computing authentication frameworks | |
Addobea et al. | Secure multi-factor access control mechanism for pairing blockchains | |
CN109302286B (zh) | 一种Fido设备密钥索引的生成方法 | |
Xie et al. | A novel blockchain-based and proxy-oriented public audit scheme for low performance terminal devices | |
Sun et al. | Public data integrity auditing without homomorphic authenticators from indistinguishability obfuscation | |
Yi et al. | Distributed data possession provable in cloud | |
Xia et al. | ID-authentication based on PTPM and certificateless public-key cryptography in cloud | |
Zhang et al. | Genuine and Secure Identity‐Based Public Audit for the Stored Data in Healthcare Cloud | |
Wu et al. | Enhancing Cloud Data Integrity Verification Scheme with User Legitimacy Check | |
Haifeng et al. | A Hierarchical Provable Massive Data Migration Method under Multicloud Storage | |
Tang et al. | IPAPS: An improved public auditing protocol for secure data storage in cloud‐based medical storage system | |
Mohammed | AN ANALYSIS OF THE ROBUST KEY REVEAL MECHANISM USED IN THE PUBLIC AUDIT MODEL FOR SECURE CLOUD STORAGE. | |
Long et al. | Blockchain-assisted full-session key agreement for secure data sharing in cloud computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |