CN113747433B - 一种雾网络中基于区块侧链结构的设备认证方法 - Google Patents

一种雾网络中基于区块侧链结构的设备认证方法 Download PDF

Info

Publication number
CN113747433B
CN113747433B CN202111044965.7A CN202111044965A CN113747433B CN 113747433 B CN113747433 B CN 113747433B CN 202111044965 A CN202111044965 A CN 202111044965A CN 113747433 B CN113747433 B CN 113747433B
Authority
CN
China
Prior art keywords
authentication
fns
equipment
transaction
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111044965.7A
Other languages
English (en)
Other versions
CN113747433A (zh
Inventor
黄晓舸
何勇
任洋
陈前斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Xinghai IoT Technology Co Ltd
Original Assignee
Shenzhen Xinghai IoT Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Xinghai IoT Technology Co Ltd filed Critical Shenzhen Xinghai IoT Technology Co Ltd
Priority to CN202111044965.7A priority Critical patent/CN113747433B/zh
Publication of CN113747433A publication Critical patent/CN113747433A/zh
Application granted granted Critical
Publication of CN113747433B publication Critical patent/CN113747433B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Algebra (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Optimization (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种雾网络中基于区块侧链结构的设备认证方法,属于移动通信领域。首先向本地授权服务中心ASC进行认证信息的注册,设备数字证书哈希值会存储在本地侧链中,雾节点集编号会存储在公共主链中,以实现认证信息的共享;其次,设备向距离最近的雾节点FN发送认证请求,FN在主链中查询设备注册时所在的雾节点集编号,根据编号选择认证方式。若属于当前雾节点集,则进入本地认证阶段;否则,进入信息共享认证阶段。由此,通过认证信息共享实现设备的跨域认证。在本方案中,通过可信FN之间通信,减少加密和签名的次数,减少了计算资源的消耗;同时通过分域和认证信息共享,减小了认证时间和存储开销。

Description

一种雾网络中基于区块侧链结构的设备认证方法
技术领域
本发明属于移动通信领域,涉及一种雾网络中基于区块侧链结构的设备认证方法。
背景技术
随着物联网技术的快速发展,物联网已经融入到生活中的各个领域。与此同时,连接到物联网的设备呈指数级增长。大量设备产生的海量数据为以云中心及时有效处理数据带来了更大的负担。因此,计算模型转入到了以边缘计算为中心的新模型,通过拥有计算能力的边缘设备来减轻云中心的计算负担。由于边缘设备和终端设备数量多、层次复杂,因而系统对安全性的要求也更高。设备的身份认证作为接入物联网的第一道屏障,必须做到高效和安全。而传统的身份认证大多数是基于云中心的集中式认证网络架构。但是此架构的容错率和安全性相对较低,因此,迫切地需要一个高效且安全的物联网设备的分布式身份认证系统。
区块链与物联网技术的结合也成为了未来的发展趋势。区块链技术利用加密、认证技术和共识机制维护一个完整的、分布式的、不受篡改的连续账本数据库。目前也已经有利用区块链技术实现物联网设备的认证,大多数是利用一条区块链来存储设备的认证信息,通过信息的匹配来实现设备的认证。这种方式在认证过程中存在大量的加密和验证的步骤,消耗了大量的计算资源。同时,节点存储了整条区块链,当物联网规模很大时,节点会花费大量的存储资源。另外,设备跨域后,设备要想再次接入物联网,需要再一次注册,浪费了设备认证的时间。
为了解决上述问题,在本发明中设计了一种基于区块侧链快速双向锚定协议的物联网移动设备认证方案。首先,按地理位置划分不同的区域,每个区域中的节点维护一条属于自己的侧链,实现新设备的认证信息存储;然后,所有域共同维护一条公共主链,从而实现全网认证信息的共享。本方案通过快速双向锚定协议减少加密和签名时间,降低计算开销,同时通过分域和认证信息共享,减小了认证时间和存储开销。
发明内容
有鉴于此,本发明的目的在于提供一种雾网络中基于区块侧链结构的设备认证方法。
为达到上述目的,本发明提供如下技术方案:
一种雾网络中基于区块侧链结构的设备认证方法,该方法包括以下步骤:
S1:按照FN地理位置,将FN划入不同的FNS中。每一个FNS维护一条基于DPoS共识本地侧链,实现物联网中新设备在本域中注册时认证信息的存储。同时,所有FNS共同维护一条基于PoW共识的公共主连,实现全网设备认证信息的共享。
S2:当新的移动设备有任务卸载等需求时,其向所处域中的ASC发送数字证书注册请求,请求信息需用椭圆曲线加密算法加密并签名。注册成功后,ASC将数字证书的哈希值返回给设备,并分别在本地侧链和主链中发布交易。
其中,椭圆曲线加密算法步骤如下:
1)确定一组参数,将这些参数表示为(CURVE,G,n),其中CURVE为点域和椭圆曲线的几何方程,G为所有点积运算的基点,n为椭圆曲线的乘法阶,并且nG=0。
2)接收方将创建一个私钥和一个公钥。其中私钥为范围[1,n-1]内的随机数。
d=rand(1,n-1)
公钥是私钥与基点的椭圆曲线点积。
Q=d×G
3)发送方用公钥加密。发送方选择随机数r,将消息M生成密文C,该密文是一个点对,如下:
C={rG,M+rQ}
4)接收方接收到点对后用私钥解密,解密得到的结果就是消息M。
M+rQ-drG
椭圆曲线签名算法步骤如下:
1)发送方创建自身的私钥dA与公钥QA
2)发送方对消息签名。①计算消息M的哈希值,e=h(m);②从二进制e的最高L位(最左)计算z,L为上述参数中n的二进制长度;③从[1,n-1]选择一个随机数k;④计算椭圆曲线上的一个点(x1,y1)=k×G;⑤计算r的值,其中r=x1modn,如果r==0,返回第③步重新计算;⑥计算s的值,s=k-1(z+rdA)modn;⑦生成数字签名(r,s)。
3)接收方用发送方公钥验证签名。①检查r和s是否属于[1,n-1],若不属于,验证失败;②计算e=h(m);③从e的最高L位计算z;④计算w=s-1modn;⑤计算u1=zwmodn和u2=rwmodn;⑥计算点(x1,y1),它应该是椭圆曲线上的一点,(x1,y1)=u1×G+u2×QA;⑦最后验证公式r≡(x1modn)是否成立,如不成立,则认证失败。
S3:侧链和主链接收到步骤S2中发布的交易后,根据相应共识机制将交易打包上链。
其中,侧链中的交易内容包括设备ID和数字证书哈希值,主链中的交易内容包括设备ID和注册时所在的FNS编号。
S4:设备接收到步骤S2返回的证书哈希值后,将其存储在本地作为认证凭证。设备需要认证时,向距离最近的FN发送经过加密和签名的认证请求消息。
其中,请求消息包括设备ID、存储的数字证书哈希值和时间戳。FN接收到设备请求消息后,根据设备ID在主链中查询设备相关的交易,从交易中得到设备注册时的FNS编号。
S5:根据步骤S4得到的FNS编号,判断设备是否在当前的FNS中,若在当前FNS中,则开始本地认证;否则,开始认证信息共享。
其中,本地认证过程为步骤S4中FN向本地侧链请求设备认证信息,FN得到返回的设备认证信息后,与设备发送的证书哈希值比较。若一致,则认证成功;否则,认证失败,最后返回认证结果。
其中,认证信息共享过程为:FN向查询到的FNS中的侧链节点请求设备认证信息,节点接收到消息后,查询到相关的交易,并生成一个SPV证明发送给FN所在FNS中的主节点,FNS的主节点验证SPV的有效性,并将验证结果返回给FN,FN将结果加密和签名后返回给设备。
本发明的有益效果在于:该方法针对当前基于区块链认证方案中无法跨域认证、计算资源消耗过多,认证时间长,存储资源消耗大的问题,提出一系列解决方案。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作优选的详细描述,其中:
图1为基于侧链快速双向peg物联网移动设备认证方案;
图2为物联网移动设备认证流程图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
其中,附图仅用于示例性说明,表示的仅是示意图,而非实物图,不能理解为对本发明的限制;为了更好地说明本发明的实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
本发明实施例的附图中相同或相似的标号对应相同或相似的部件;在本发明的描述中,需要理解的是,若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此附图中描述位置关系的用语仅用于示例性说明,不能理解为对本发明的限制,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
图1所示为基于侧链快速双向锚定(Two-wayPeg)协议的物联网移动设备认证方案模型。按照雾节点地理位置,将其纳入不同的雾节点集FNSs中。移动设备通过无线链路与FN通信,当设备需要卸载任务到FNSs时,首先需要通过FN进行身份认证。每个FNS维护一条基于DPoS共识的侧链,实现本地注册和认证信息的存储,同时所有FN共同维护一条基于PoW共识的公共主链(称其为主链),实现认证信息共享,以满足跨域认证需求。每个FNS中有一个ASC,ASC是可信任的边缘服务器,负责给移动设备和雾节点颁发公-私密钥和证书,同时为区块链网络提供注册交易。设备认证过程主要包括本地注册、本地认证和认证信息共享,具体的流程如图2所示。
1.本地注册
当一个新的移动设备首次添加到该系统时,该设备向其所在的雾节点集中的ASC申请数字证书并注册。
设备首先向距离最近的FN发送一个请求消息(设备ID),当FN接收到请求消息后,根据其ID在公共主链上进行搜索,查看该设备在雾节点集中存储的注册信息。如搜索成功,将开始注册信息共享的认证过程;否则,开始本地注册过程。
移动设备数字证书颁发及注册流程的具体步骤如下:
步骤201:判断是否为新设备,若是,则进入步骤202;若不是,则进入步骤208;
步骤202-203:设备Di生成密钥对(Pui,Sei),前者为公钥,后者为私钥;设备向授权服务中心发出注册请求消息regi如下:
EASC表示用ASC的公钥对消息进行椭圆曲线加密,sigi表示以设备Di的私钥加密的椭圆曲线数字签名;Fj为设备Di当前所在雾节点集的编号,t为时间戳;
ASC接收到设备Di请求后,验证消息的可靠性;ASC用私钥将消息解密,验证数字签名有效性V(regi);然后,进入下一步;否则,注册失败;
步骤204:ASC生成设备Di的数字证书Ci,同时对生成的数字证书进行哈希运算,得到数字证书的哈希值hi
Ci=(Pui,T,t,sigASC,IDi,Fj)
hi=H(Ci)
T表示证书的有效期;H(Ci)表示对证书进行哈希运算。
步骤205:ASC生成两笔交易,将交易txsi广播至设备Di所在FNS的侧链网络中,实现设备认证信息的存储;同时,将交易txpi广播至主链网络,形成认证信息参考,并将证书哈希值返回给设备Di
步骤206-207:本地侧链和公共主链的节点将各自交易打包成区块,并通过共识算法将区块追加到各自的链上。
2.本地认证
若设备Di在当前FNS中存在注册记录时,设备直接执行本地认证过程;具体步骤如下:
步骤208:用户向距离最近的FNn发送认证请求,包括设备Di的ID和证书哈希值hi';
步骤209:FN验证请求是否有效;
步骤210:若是,则FN在主链上寻找与设备有关交易获得注册时的FNS编号;若否,则返回步骤208;
FN n接收到请求后用私钥解密消息,并向侧链节点请求设备Di的证书哈希;
步骤211:判断编号是否为当前FNS;若是,则进入步骤212;
步骤212:FN向本地侧链节点请求设备证书哈希;
步骤213:侧链节点接收到请求后,验证请求的有效性;并根据设备Di的ID在链上找到对应交易,包含设备证书哈希值,将交易内容发送给FNn;
reply=(IDi,hi)
步骤214:FNn将接收到的区块链上存储的数字证书哈希值hi与设备Di发送的证书哈希hi'进行比较;若相同,则认证成功,并返回认证成功消息;否则,认证失败;
flag为验证结果标识,
步骤215:1为验证成功;
步骤216:0为验证失败;
3.认证信息共享
在本场景中,移动设备是具有跨域性的,它可以从一个雾节点集移动到另一个雾节点集的覆盖范围中。当设备移动到另一个雾节点集后,如果该设备有任务卸载等需求,必须通过当前雾节点集的认证。传统模式中,通常采用重新注册的方式对设备进行认证,会浪费大量时间和计算资源。在本方案中设备的注册信息可以在不同的雾节点集中共享,从而节约认证时间和计算资源。
通过快速的双向peg协议,可以实现侧链之间信息交互。
认证信息共享的步骤具体如下:
判断编号是否为当前FNS;若否,则进入步骤217;
步骤217:搜寻目标信息。假设设备Di在FNSj中请求认证,设备Di的认证信息存储在FNS j'。当该设备Di在FNSj中向距离最近的FN n发送认证请求时,FN n会根据其ID在主链上进行搜索,查看认证信息。若获取到该设备认证信息,通过查询到的交易,获取设备Di之前注册的FNS j'编号,并向FNS j'中侧链网络的任一节点请求设备Di信息。
步骤218:SPV证明收集。FNS j'中的侧链节点接收到请求后,验证消息有效性,并根据设备ID查找到对应的交易,同时生成一个SPV证明,以证明目标交易存在且被认可。然后,FNS j'中的侧链节点将SPV证明发送给FNSj中的主节点(根据DPoS共识选出的信誉值最高的节点)。
repA=SPV(block,times)
block表示交易所在区块的区块高度,times表示区块被确认的次数。
SPV证明收集过程:
1)根据areqi计算出待验证交易的哈希;
2)收到请求信息的节点获取最长链所有区块头并存储在本地;
3)通过计算出的待验证交易的哈希值向全节点请求查询这笔交易所在的区块及对应的默克尔树路经;
4)根据上一步中的路径,计算默克尔树根哈希并与本地保存的区块头中的根哈希值进行比较,获取交易存在的区块;
5)获取区块高度,确保其包含在已知最长链中,且已经得到多个确认。
步骤219-221:FNSj的主节点接收到SPV证明后对其进行验证,验证完毕后,给请求认证信息的雾节点FNn发送验证结果。
repr=(flag)
步骤222:FN接收到验证结果后,将验证结果返回给设备。
4.安全性保障
通过引入区块链和椭圆曲线算法,信息传输安全性,信息管理安全性和抗攻击性可以得到保证。
信息传输安全性:
(1)设备与雾节点之间通信时采用了椭圆曲线加密算法对消息加密,只有拥有私钥才能将消息解密,并且在消息中加入了椭圆数字签名,以签名证明设备或者雾节点是可信的。如此,即可保证设备信息的隐私,也可保证传输信息的安全和准确;
(2)侧链节点与雾节点通信时,侧链的节点通过DPoS共识机制选出,为可信节点,但是雾节点状态不明,因此,在传输的信息中加入雾节点的椭圆曲线数字签名,以证明节点可信;
(3)侧链之间通信时,由于其节点都是通过DPoS共识选取出来的可信节点,可直接传输信息。
信息管理安全性:
(1)设备的认证信息存储在联盟链的侧链中,由于区块链不可篡改特性,以及侧链需要指定节点才能访问的特性,保证了设备认证信息的安全性;
(2)设备的证书存储为其哈希值,由哈希函数的单向性,即使攻击者得到了证书哈希,也无法得到证书的具体内容。
抗攻击性:
由于区块链特性,本系统可抵抗DDoS(Distributed Denial ofService attack,分布式拒绝服务)攻击、女巫攻击等常见攻击。此外,针对重放攻击,即攻击者将窃取到的消息原封不动的使用,本方案在设备发送注册和认证请求时,在消息中加入时间戳t,以保证消息的唯一性。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (6)

1.一种雾网络中基于区块侧链结构的设备认证方法,其特征在于:该方法包括以下步骤:
S1:按照FN地理位置,将FN划入不同的雾节点集FNS中;每个FNS维护一条侧链,所有FNS共同维护一条公共主链;
S2:当新的移动设备有任务卸载需求时,其向所处域中的ASC发送数字证书注册请求;ASC生成认证凭证并返回给设备,同时发布交易;
S3:侧链和主链接收到发布的交易后,根据相应共识机制将交易打包上链;
S4:设备需要认证时,向距离最近的FN发送经过加密和签名的认证请求消息;FN根据消息内容在主链上查询到设备认证凭证所存储的FNS编号;
S5:根据FNS编号,判断设备是否在当前的FNS中,若在当前FNS中,则开始本地认证;否则,开始认证信息共享;最后返回认证结果;
S2具体步骤如下:
步骤201:判断是否为新设备,若是,则进入步骤202;若不是,则进入步骤208;
步骤202-203:设备Di生成密钥对(Pui,Sei),前者为公钥,后者为私钥;设备向授权服务中心发出注册请求消息regi如下:
EASC表示用ASC的公钥对消息进行椭圆曲线加密,sigi表示以设备Di的私钥加密的椭圆曲线数字签名;Fj为设备Di当前所在雾节点集的编号,t为时间戳;
ASC接收到设备Di请求后,验证消息的可靠性;ASC用私钥将消息解密,验证数字签名有效性V(regi);然后,进入下一步;否则,注册失败;
步骤204:ASC生成设备Di的数字证书Ci,同时对生成的数字证书进行哈希运算,得到数字证书的哈希值hi
Ci=(Pui,T,t,sigASC,IDi,Fj)
hi=H(Ci)
T表示证书的有效期;H(Ci)表示对证书进行哈希运算;
步骤205:ASC生成两笔交易,将交易txsi广播至设备Di所在FNS的侧链网络中,实现设备认证信息的存储;同时,将交易txpi广播至主链网络,形成认证信息参考,并将证书哈希值返回给设备Di
步骤206-207:本地侧链和公共主链的节点将各自交易打包成区块,并通过共识算法将区块追加到各自的链上;
本地认证的步骤如下:
若设备Di在当前FNS中存在注册记录时,设备直接执行本地认证过程;具体步骤如下:
步骤208:用户向距离最近的FNn发送认证请求,包括设备Di的ID和证书哈希值hi';
步骤209:FN验证请求是否有效;
步骤210:若是,则FN在主链上寻找与设备有关交易获得注册时的FNS编号;若否,则返回步骤208;
FNn接收到请求后用私钥解密消息,并向侧链节点请求设备Di的证书哈希;
步骤211:判断编号是否为当前FNS;若是,则进入步骤212;
步骤212:FN向本地侧链节点请求设备证书哈希;
步骤213:侧链节点接收到请求后,验证请求的有效性;并根据设备Di的ID在链上找到对应交易,包含设备证书哈希值,将交易内容发送给FNn;
reply=(IDi,hi)
步骤214:FNn将接收到的区块链上存储的数字证书哈希值hi与设备Di发送的证书哈希hi'进行比较;若相同,则认证成功,并返回认证成功消息;否则,认证失败;
flag为验证结果标识;
步骤215:1为验证成功;
步骤216:0为验证失败;
认证信息共享的步骤具体如下:
判断编号是否为当前FNS;若否,则进入步骤217;
步骤217:搜寻目标信息;假设设备Di在FNSj中请求认证,设备Di的认证信息存储在FNSj';当该设备Di在FNS j中向距离最近的FN n发送认证请求时,FN n会根据其ID在主链上进行搜索,查看认证信息;若获取到该设备认证信息,通过查询到的交易,获取设备Di之前注册的FNS j'编号,并向FNS j'中侧链网络的任一节点请求设备Di信息;
步骤218:SPV证明收集;FNS j'中的侧链节点接收到请求后,验证消息有效性,并根据设备ID查找到对应的交易,同时生成一个SPV证明,以证明目标交易存在且被认可;然后,FNS j'中的侧链节点将SPV证明发送给FNSj中的主节点,即根据DPoS共识选出的信誉值最高的节点;
repA=SPV(block,times)
block表示交易所在区块的区块高度,times表示区块被确认的次数;
SPV证明收集过程:
1)根据areqi计算出待验证交易的哈希;
2)收到请求信息的节点获取最长链所有区块头并存储在本地;
3)通过计算出的待验证交易的哈希值向全节点请求查询这笔交易所在的区块及对应的默克尔树路径;
4)根据上一步中的路径,计算默克尔树根哈希并与本地保存的区块头中的根哈希值进行比较,获取交易存在的区块;
5)获取区块高度,确保其包含在已知最长链中,且已经得到多个确认;
步骤219-221:FNSj的主节点接收到SPV证明后对其进行验证,验证完毕后,给请求认证信息的雾节点FNn发送验证结果;
repr=(flag)
步骤222:FN接收到验证结果后,将验证结果返回给设备;
2.根据权利要求1所述的一种雾网络中基于区块侧链结构的设备认证方法,其特征在于:在所述S1中,每一个FNS维护一条基于代理权益证明DPoS共识本地侧链,实现物联网中新设备在本域中注册时认证信息的存储;所有FNS共同维护一条基于工作量证明PoW共识的公共主连,实现全网设备认证信息的共享。
3.根据权利要求2所述的一种雾网络中基于区块侧链结构的设备认证方法,其特征在于:在所述S2中,请求信息需用椭圆曲线加密算法加密并签名;ASC返回给设备数字证书的哈希值,同时发布两笔交易。
4.根据权利要求3所述的一种雾网络中基于区块侧链结构的设备认证方法,其特征在于:在所述S3中,侧链中的交易内容包括设备ID和数字证书哈希值,主链中的交易内容包括设备ID和注册时所在的FNS编号。
5.根据权利要求4所述的一种雾网络中基于区块侧链结构的设备认证方法,其特征在于:在所述S4中,请求消息内容包括设备ID、存储的数字证书哈希值和时间戳;FN接收到设备请求消息后,根据设备ID在主链中查询设备相关的交易,从交易中得到设备注册时的FNS编号。
6.根据权利要求5所述的一种雾网络中基于区块侧链结构的设备认证方法,其特征在于:在所述S5中,本地认证过程为:步骤S4中FN向本地侧链请求设备认证信息,FN得到返回的设备认证信息后,与设备发送的证书哈希值比较;若一致,则认证成功;否则,认证失败,最后返回认证结果;证信息共享过程为:FN向查询到的FNS中的侧链节点请求设备认证信息,节点接收到消息后,查询到相关的交易,并生成一个简单支付验证SPV证明发送给FN所在FNS中的主节点,FNS的主节点验证SPV的有效性,并将验证结果返回给FN,FN将结果加密和签名后返回给设备。
CN202111044965.7A 2021-09-07 2021-09-07 一种雾网络中基于区块侧链结构的设备认证方法 Active CN113747433B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111044965.7A CN113747433B (zh) 2021-09-07 2021-09-07 一种雾网络中基于区块侧链结构的设备认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111044965.7A CN113747433B (zh) 2021-09-07 2021-09-07 一种雾网络中基于区块侧链结构的设备认证方法

Publications (2)

Publication Number Publication Date
CN113747433A CN113747433A (zh) 2021-12-03
CN113747433B true CN113747433B (zh) 2023-12-19

Family

ID=78736690

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111044965.7A Active CN113747433B (zh) 2021-09-07 2021-09-07 一种雾网络中基于区块侧链结构的设备认证方法

Country Status (1)

Country Link
CN (1) CN113747433B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114710275B (zh) * 2022-03-28 2024-03-08 湖南科技大学 物联网环境下基于区块链的跨域认证和密钥协商方法
CN115378604B (zh) * 2022-08-11 2024-05-28 重庆邮电大学 一种基于信誉值机制的边缘计算终端设备的身份认证方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109523243A (zh) * 2018-11-19 2019-03-26 济南浪潮高新科技投资发展有限公司 一种雾计算环境下基于区块链的数据存储方法
CN110993044A (zh) * 2019-11-28 2020-04-10 周口师范学院 一种医疗联盟链轻量级动态自主跨链交互方法
CN113301022A (zh) * 2021-04-27 2021-08-24 西安理工大学 基于区块链和雾计算的物联网设备身份安全认证方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3934203A1 (en) * 2016-12-30 2022-01-05 INTEL Corporation Decentralized data storage and processing for iot devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109523243A (zh) * 2018-11-19 2019-03-26 济南浪潮高新科技投资发展有限公司 一种雾计算环境下基于区块链的数据存储方法
CN110993044A (zh) * 2019-11-28 2020-04-10 周口师范学院 一种医疗联盟链轻量级动态自主跨链交互方法
CN113301022A (zh) * 2021-04-27 2021-08-24 西安理工大学 基于区块链和雾计算的物联网设备身份安全认证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
FogAuthChain:A secure location-based authentication scheme in fog computing environments using Blockchain;Abdullah Al-Noman Patwary;《Computer Communications》;全文 *
面向物联网区块链的共识机制优化研究;宋琪杰;《电信科学》;全文 *

Also Published As

Publication number Publication date
CN113747433A (zh) 2021-12-03

Similar Documents

Publication Publication Date Title
Maria et al. BBAAS: blockchain‐based anonymous authentication scheme for providing secure communication in VANETs
Ying et al. Anonymous and lightweight authentication for secure vehicular networks
Melki et al. Lightweight multi-factor mutual authentication protocol for IoT devices
Xu et al. Efficient certificateless aggregate signature scheme for performing secure routing in VANETs
Horng et al. b-SPECS+: Batch verification for secure pseudonymous authentication in VANET
Liu et al. Bua: A blockchain-based unlinkable authentication in vanets
Xi et al. ZAMA: A ZKP-based anonymous mutual authentication scheme for the IoV
CN111211892A (zh) 基于秘密共享和身份密码学的抗量子计算车联网系统及其认证方法
CN113747433B (zh) 一种雾网络中基于区块侧链结构的设备认证方法
Vasudev et al. A lightweight authentication protocol for V2V communication in VANETs
Rawat et al. A lightweight authentication scheme with privacy preservation for vehicular networks
He et al. An accountable, privacy-preserving, and efficient authentication framework for wireless access networks
Ullah et al. A secure NDN framework for Internet of Things enabled healthcare
Xu et al. Authentication‐Based Vehicle‐to‐Vehicle Secure Communication for VANETs
Nasr Esfahani et al. End-to-end privacy preserving scheme for IoT-based healthcare systems
CN114726583B (zh) 基于区块链分布式标识的可信硬件跨链交易隐私保护系统及方法
Shawky et al. Blockchain-based secret key extraction for efficient and secure authentication in VANETs
Yang et al. A blockchain-based anonymous authentication scheme for Internet of vehicles
Duan et al. Design of anonymous authentication scheme for vehicle fog services using blockchain
Sun et al. Anonymous authentication and key agreement scheme combining the group key for vehicular ad hoc networks
CN117793670A (zh) 一种区块链架构下的车联网安全通信方法
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
CN110752934B (zh) 拓扑结构下网络身份交互认证的方法
Hegde et al. Hash based integrity verification for vehicular cloud environment
Xie et al. A Cross-Trusted Authority Authentication Protocol for Internet of Vehicles Based on Blockchain

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20231117

Address after: 518000 World Trade Plaza 101-1, Funan Community, Futian Street, Futian District, Shenzhen, Guangdong Province

Applicant after: SHENZHEN XINGHAI IOT TECHNOLOGY Co.,Ltd.

Address before: 400065 Chongqing Nan'an District huangjuezhen pass Chongwen Road No. 2

Applicant before: CHONGQING University OF POSTS AND TELECOMMUNICATIONS

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant