CN113747433A

CN113747433A - 一种雾网络中基于区块侧链结构的设备认证方法

Info

Publication number: CN113747433A
Application number: CN202111044965.7A
Authority: CN
Inventors: 黄晓舸; 何勇; 任洋; 陈前斌
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Shenzhen Xinghai IoT Technology Co Ltd
Priority date: 2021-09-07
Filing date: 2021-09-07
Publication date: 2021-12-03
Anticipated expiration: 2041-09-07
Also published as: CN113747433B

Abstract

本发明涉及一种雾网络中基于区块侧链结构的设备认证方法，属于移动通信领域。首先向本地授权服务中心ASC进行认证信息的注册，设备数字证书哈希值会存储在本地侧链中，雾节点集编号会存储在公共主链中，以实现认证信息的共享；其次，设备向距离最近的雾节点FN发送认证请求，FN在主链中查询设备注册时所在的雾节点集编号，根据编号选择认证方式。若属于当前雾节点集，则进入本地认证阶段；否则，进入信息共享认证阶段。由此，通过认证信息共享实现设备的跨域认证。在本方案中，通过可信FN之间通信，减少加密和签名的次数，减少了计算资源的消耗；同时通过分域和认证信息共享，减小了认证时间和存储开销。

Description

一种雾网络中基于区块侧链结构的设备认证方法

技术领域

本发明属于移动通信领域，涉及一种雾网络中基于区块侧链结构的设备认证方法。

背景技术

随着物联网技术的快速发展，物联网已经融入到生活中的各个领域。与此同时，连接到物联网的设备呈指数级增长。大量设备产生的海量数据为以云中心及时有效处理数据带来了更大的负担。因此，计算模型转入到了以边缘计算为中心的新模型，通过拥有计算能力的边缘设备来减轻云中心的计算负担。由于边缘设备和终端设备数量多、层次复杂，因而系统对安全性的要求也更高。设备的身份认证作为接入物联网的第一道屏障，必须做到高效和安全。而传统的身份认证大多数是基于云中心的集中式认证网络架构。但是此架构的容错率和安全性相对较低，因此，迫切地需要一个高效且安全的物联网设备的分布式身份认证系统。

区块链与物联网技术的结合也成为了未来的发展趋势。区块链技术利用加密、认证技术和共识机制维护一个完整的、分布式的、不受篡改的连续账本数据库。目前也已经有利用区块链技术实现物联网设备的认证，大多数是利用一条区块链来存储设备的认证信息，通过信息的匹配来实现设备的认证。这种方式在认证过程中存在大量的加密和验证的步骤，消耗了大量的计算资源。同时，节点存储了整条区块链，当物联网规模很大时，节点会花费大量的存储资源。另外，设备跨域后，设备要想再次接入物联网，需要再一次注册，浪费了设备认证的时间。

为了解决上述问题，在本发明中设计了一种基于区块侧链快速双向锚定协议的物联网移动设备认证方案。首先，按地理位置划分不同的区域，每个区域中的节点维护一条属于自己的侧链，实现新设备的认证信息存储；然后，所有域共同维护一条公共主链，从而实现全网认证信息的共享。本方案通过快速双向锚定协议减少加密和签名时间，降低计算开销，同时通过分域和认证信息共享，减小了认证时间和存储开销。

发明内容

有鉴于此，本发明的目的在于提供一种雾网络中基于区块侧链结构的设备认证方法。

为达到上述目的，本发明提供如下技术方案：

一种雾网络中基于区块侧链结构的设备认证方法，该方法包括以下步骤：

S1：按照FN地理位置，将FN划入不同的FNS中。每一个FNS维护一条基于DPoS共识本地侧链，实现物联网中新设备在本域中注册时认证信息的存储。同时，所有FNS共同维护一条基于PoW共识的公共主连，实现全网设备认证信息的共享。

S2：当新的移动设备有任务卸载等需求时，其向所处域中的ASC发送数字证书注册请求，请求信息需用椭圆曲线加密算法加密并签名。注册成功后，ASC将数字证书的哈希值返回给设备，并分别在本地侧链和主链中发布交易。

其中，椭圆曲线加密算法步骤如下：

1)确定一组参数，将这些参数表示为(CURVE,G,n)，其中CURVE为点域和椭圆曲线的几何方程，G为所有点积运算的基点，n为椭圆曲线的乘法阶，并且nG＝0。

2)接收方将创建一个私钥和一个公钥。其中私钥为范围[1,n-1]内的随机数。

d＝rand(1,n-1)

公钥是私钥与基点的椭圆曲线点积。

Q＝d×G

3)发送方用公钥加密。发送方选择随机数r，将消息M生成密文C，该密文是一个点对，如下：

C＝{rG,M+rQ}

4)接收方接收到点对后用私钥解密，解密得到的结果就是消息M。

M+rQ-drG

椭圆曲线签名算法步骤如下：

1)发送方创建自身的私钥d_A与公钥Q_A。

2)发送方对消息签名。①计算消息M的哈希值，e＝h(m)；②从二进制e的最高L位(最左)计算z，L为上述参数中n的二进制长度；③从[1,n-1]选择一个随机数k；④计算椭圆曲线上的一个点(x₁,y₁)＝k×G；⑤计算r的值，其中r＝x₁modn，如果r＝＝0，返回第③步重新计算；⑥计算s的值，s＝k-1(z+rd_A)modn；⑦生成数字签名(r,s)。

3)接收方用发送方公钥验证签名。①检查r和s是否属于[1,n-1]，若不属于，验证失败；②计算e＝h(m)；③从e的最高L位计算z；④计算w＝s^-1modn；⑤计算u₁＝zwmodn和u₂＝rwmodn；⑥计算点(x₁,y₁)，它应该是椭圆曲线上的一点，(x₁,y₁)＝u₁×G+u₂×Q_A；⑦最后验证公式r≡(x₁modn)是否成立，如不成立，则认证失败。

S3：侧链和主链接收到步骤S2中发布的交易后，根据相应共识机制将交易打包上链。

其中，侧链中的交易内容包括设备ID和数字证书哈希值，主链中的交易内容包括设备ID和注册时所在的FNS编号。

S4：设备接收到步骤S2返回的证书哈希值后，将其存储在本地作为认证凭证。设备需要认证时，向距离最近的FN发送经过加密和签名的认证请求消息。

其中，请求消息包括设备ID、存储的数字证书哈希值和时间戳。FN接收到设备请求消息后，根据设备ID在主链中查询设备相关的交易，从交易中得到设备注册时的FNS编号。

S5：根据步骤S4得到的FNS编号，判断设备是否在当前的FNS中，若在当前FNS中，则开始本地认证；否则，开始认证信息共享。

其中，本地认证过程为步骤S4中FN向本地侧链请求设备认证信息，FN得到返回的设备认证信息后，与设备发送的证书哈希值比较。若一致，则认证成功；否则，认证失败，最后返回认证结果。

其中，认证信息共享过程为：FN向查询到的FNS中的侧链节点请求设备认证信息，节点接收到消息后，查询到相关的交易，并生成一个SPV证明发送给FN所在FNS中的主节点，FNS的主节点验证SPV的有效性，并将验证结果返回给FN，FN将结果加密和签名后返回给设备。

本发明的有益效果在于：该方法针对当前基于区块链认证方案中无法跨域认证、计算资源消耗过多，认证时间长，存储资源消耗大的问题，提出一系列解决方案。

本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。

附图说明

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作优选的详细描述，其中：

图1为基于侧链快速双向peg物联网移动设备认证方案；

图2为物联网移动设备认证流程图。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本发明的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描述中，需要理解的是，若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本发明的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

图1所示为基于侧链快速双向锚定(Two-wayPeg)协议的物联网移动设备认证方案模型。按照雾节点地理位置，将其纳入不同的雾节点集FNSs中。移动设备通过无线链路与FN通信，当设备需要卸载任务到FNSs时，首先需要通过FN进行身份认证。每个FNS维护一条基于DPoS共识的侧链，实现本地注册和认证信息的存储，同时所有FN共同维护一条基于PoW共识的公共主链(称其为主链)，实现认证信息共享，以满足跨域认证需求。每个FNS中有一个ASC，ASC是可信任的边缘服务器，负责给移动设备和雾节点颁发公-私密钥和证书，同时为区块链网络提供注册交易。设备认证过程主要包括本地注册、本地认证和认证信息共享，具体的流程如图2所示。

1.本地注册

当一个新的移动设备首次添加到该系统时，该设备向其所在的雾节点集中的ASC申请数字证书并注册。

设备首先向距离最近的FN发送一个请求消息(设备ID)，当FN接收到请求消息后，根据其ID在公共主链上进行搜索，查看该设备在雾节点集中存储的注册信息。如搜索成功，将开始注册信息共享的认证过程；否则，开始本地注册过程。

移动设备数字证书颁发及注册流程的具体步骤如下：

步骤201：设备D_i生成密钥对(Pu_i,Se_i)，前者为公钥，后者为私钥。设备向授权服务中心发出注册请求消息reg_i如下。

E_ASC表示用ASC的公钥对消息进行椭圆曲线加密，sig_i表示以设备D_i的私钥加密的椭圆曲线数字签名。F_j为设备D_i当前所在雾节点集的编号，t为时间戳。

步骤202：ASC接收到设备D_i请求后，验证消息的可靠性。ASC用私钥将消息解密，验证数字签名有效性V(reg_i)。然后，进入下一步；否则，注册失败。

步骤204：ASC生成设备D_i的数字证书C_i，同时对生成的数字证书进行哈希运算，得到数字证书的哈希值h_i。

C_i＝(Pu_i,T,t,sig_ASC,ID_i,F_j)

h_i＝H(C_i)

T表示证书的有效期；H(C_i)表示对证书进行哈希运算。

步骤205：ASC生成两笔交易，将交易txs_i广播至设备D_i所在FNS的侧链网络中，实现设备认证信息的存储；同时，将交易txp_i广播至主链网络，形成认证信息参考，并将证书哈希值返回给设备D_i。

步骤207：本地侧链和公共主链的节点将各自交易打包成区块，并通过共识算法将区块追加到各自的链上。

2.本地认证

若设备D_i在当前FNS中存在注册记录时，设备直接执行本地认证过程。具体步骤如下：

步骤208：用户向距离最近的FNn发送认证请求，包括设备D_i的ID和证书哈希值h_i'。

步骤212：FN n接收到请求后用私钥解密消息，并向侧链节点请求设备D_i的证书哈希。

步骤213：侧链节点接收到请求后，验证请求的有效性。并根据设备D_i的ID在链上找到对应交易(包含设备证书哈希值)，将交易内容发送给FNn。

reply＝(ID_i,h_i)

步骤214：FNn将接收到的区块链上存储的数字证书哈希值h_i与设备D_i发送的证书哈希h_i'进行比较。若相同，则认证成功，并返回认证成功消息；否则，认证失败。

flag为验证结果标识，1为验证成功，0为验证失败。

3.认证信息共享

在本场景中，移动设备是具有跨域性的，它可以从一个雾节点集移动到另一个雾节点集的覆盖范围中。当设备移动到另一个雾节点集后，如果该设备有任务卸载等需求，必须通过当前雾节点集的认证。传统模式中，通常采用重新注册的方式对设备进行认证，会浪费大量时间和计算资源。在本方案中设备的注册信息可以在不同的雾节点集中共享，从而节约认证时间和计算资源。

通过快速的双向peg协议，可以实现侧链之间信息交互。共享设备认证过程的具体步骤如下：

步骤211：搜寻目标信息。假设设备D_i在FNSj中请求认证，设备D_i的认证信息存储在FNS j'。当该设备D_i在FNSj中向距离最近的FNn发送认证请求

时，FN n会根据其ID在主链上进行搜索，查看认证信息。若获取到该设备认证信息，通过查询到的交易，获取设备D_i之前注册的FNS j'编号，并向FNS j'中侧链网络的任一节点请求设备D_i信息。

步骤218：SPV证明收集。FNS j'中的侧链节点接收到请求后，验证消息有效性，并根据设备ID查找到对应的交易，同时生成一个SPV证明，以证明目标交易存在且被认可。然后，FNS j'中的侧链节点将SPV证明发送给FNSj中的主节点(根据DPoS共识选出的信誉值最高的节点)。

rep_A＝SPV(block,times)

block表示交易所在区块的区块高度，times表示区块被确认的次数。

SPV证明收集过程：

1)根据areq_i计算出待验证交易的哈希；

2)收到请求信息的节点获取最长链所有区块头并存储在本地；

3)通过计算出的待验证交易的哈希值向全节点请求查询这笔交易所在的区块及对应的默克尔树路经；

4)根据上一步中的路径，计算默克尔树根哈希并与本地保存的区块头中的根哈希值进行比较，获取交易存在的区块；

5)获取区块高度，确保其包含在已知最长链中，且已经得到多个确认。

步骤219：FNSj的主节点接收到SPV证明后对其进行验证，验证完毕后，给请求认证信息的雾节点FNn发送验证结果。

rep_r＝(flag)

步骤222：FN接收到验证结果后，将验证结果返回给设备。

4.安全性保障

通过引入区块链和椭圆曲线算法，信息传输安全性，信息管理安全性和抗攻击性可以得到保证。

信息传输安全性：

(1)设备与雾节点之间通信时采用了椭圆曲线加密算法对消息加密，只有拥有私钥才能将消息解密，并且在消息中加入了椭圆数字签名，以签名证明设备或者雾节点是可信的。如此，即可保证设备信息的隐私，也可保证传输信息的安全和准确；

(2)侧链节点与雾节点通信时，侧链的节点通过DPoS共识机制选出，为可信节点，但是雾节点状态不明，因此，在传输的信息中加入雾节点的椭圆曲线数字签名，以证明节点可信；

(3)侧链之间通信时，由于其节点都是通过DPoS共识选取出来的可信节点，可直接传输信息。

信息管理安全性：

(1)设备的认证信息存储在联盟链的侧链中，由于区块链不可篡改特性，以及侧链需要指定节点才能访问的特性，保证了设备认证信息的安全性；

(2)设备的证书存储为其哈希值，由哈希函数的单向性，即使攻击者得到了证书哈希，也无法得到证书的具体内容。

抗攻击性：

由于区块链特性，本系统可抵抗DDoS(DistributedDenial ofService attack，分布式拒绝服务)攻击、女巫攻击等常见攻击。此外，针对重放攻击，即攻击者将窃取到的消息原封不动的使用，本方案在设备发送注册和认证请求时，在消息中加入时间戳t，以保证消息的唯一性。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

Claims

1.一种雾网络中基于区块侧链结构的设备认证方法，其特征在于：该方法包括以下步骤：

S1：按照FN地理位置，将FN划入不同的雾节点集FNS中；每个FNS维护一条侧链，所有FNS共同维护一条公共主链；

S2：当新的移动设备有任务卸载需求时，其向所处域中的ASC发送数字证书注册请求；ASC生成认证凭证并返回给设备，同时发布交易；

S3：侧链和主链接收到发布的交易后，根据相应共识机制将交易打包上链；

S4：设备需要认证时，向距离最近的FN发送经过加密和签名的认证请求消息；FN根据消息内容在主链上查询到设备认证凭证所存储的FNS编号；

S5：根据FNS编号，判断设备是否在当前的FNS中，若在当前FNS中，则开始本地认证；否则，开始认证信息共享；最后返回认证结果。

2.根据权利要求1所述的一种雾网络中基于区块侧链结构的设备认证方法，其特征在于：在所述S1中，每一个FNS维护一条基于代理权益证明DPoS共识本地侧链，实现物联网中新设备在本域中注册时认证信息的存储；所有FNS共同维护一条基于工作量证明PoW共识的公共主连，实现全网设备认证信息的共享。

3.根据权利要求2所述的一种雾网络中基于区块侧链结构的设备认证方法，其特征在于：在所述S2中，请求信息需用椭圆曲线加密算法加密并签名；ASC返回给设备数字证书的哈希值，同时发布两笔交易。

4.根据权利要求3所述的一种雾网络中基于区块侧链结构的设备认证方法，其特征在于：在所述S3中，侧链中的交易内容包括设备ID和数字证书哈希值，主链中的交易内容包括设备ID和注册时所在的FNS编号。

5.根据权利要求4所述的一种雾网络中基于区块侧链结构的设备认证方法，其特征在于：在所述S4中，请求消息内容包括设备ID、存储的数字证书哈希值和时间戳；FN接收到设备请求消息后，根据设备ID在主链中查询设备相关的交易，从交易中得到设备注册时的FNS编号。

6.根据权利要求5所述的一种雾网络中基于区块侧链结构的设备认证方法，其特征在于：在所述S5中，本地认证过程为：步骤S4中FN向本地侧链请求设备认证信息，FN得到返回的设备认证信息后，与设备发送的证书哈希值比较；若一致，则认证成功；否则，认证失败，最后返回认证结果；证信息共享过程为：FN向查询到的FNS中的侧链节点请求设备认证信息，节点接收到消息后，查询到相关的交易，并生成一个简单支付验证SPV证明发送给FN所在FNS中的主节点，FNS的主节点验证SPV的有效性，并将验证结果返回给FN，FN将结果加密和签名后返回给设备。