CN114629720B - 一种基于区块链和Handle标识的工业互联网跨域认证方法 - Google Patents
一种基于区块链和Handle标识的工业互联网跨域认证方法 Download PDFInfo
- Publication number
- CN114629720B CN114629720B CN202210381346.5A CN202210381346A CN114629720B CN 114629720 B CN114629720 B CN 114629720B CN 202210381346 A CN202210381346 A CN 202210381346A CN 114629720 B CN114629720 B CN 114629720B
- Authority
- CN
- China
- Prior art keywords
- domain
- node
- terminal equipment
- request
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 15
- 230000000977 initiatory effect Effects 0.000 claims abstract description 5
- 238000007726 management method Methods 0.000 claims description 16
- 238000012795 verification Methods 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 12
- 238000003860 storage Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000013523 data management Methods 0.000 claims description 3
- 238000013500 data storage Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 239000013585 weight reducing agent Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于区块链和Handle标识的工业互联网跨域认证方法,包括:工业互联网中的各安全域分别注册权威Handle标识,在安全域内搭建密钥生成中心KGC和代理服务节点,在安全域外共同搭建联盟链;各安全域内终端设备通过HAS节点注册业务Handle标识,以及通过密钥生成中心KGC分配密钥;请求域内终端设备发起跨域认证请求,请求域内BAS节点验证终端设备的身份有效性,若请求域内BAS节点通过终端设备的域内身份认证后,生成跨域认证签名消息,并向目标域内终端设备发起跨域认证请求。本发明实现各企业身份标识的统一互通,实现域间标识管理与密钥公开参数共享,满足工业互联网服务轻量化需要。
Description
技术领域
本发明属于工业互联网通信技术领域,具体涉及一种适用工业互联网场景下,基于Handle标识和区块链的轻量级跨域认证方法。
背景技术
由于不同企业和业务之间建成了独立异构的安全防护体系,因此在涉及到工业互联网数据协同的场景中会存在“数据孤岛”现象,企业用户缺乏认证或权限访问对方数据资源。为了解决这一现象,通信双方之间需要建立一种有效识别和验证对方身份的认证机制,实现临时会话授权和数据加密通信。通过研究跨域认证问题,企业间建立通用身份认证体系与安全密钥管理体系,优化生产资料配置和产业链协同,实现工业控制网络到企业网络互信互通,同时保障企业内外网络安全和数据安全。
随着工业互联网的快速发展,区块链技术和基于身份的密码认证技术开始广泛用于解决跨域认证问题,但是由于工业互联网网络的复杂性、开放性、互通性的特点,传统的认证方式存在着诸多问题。首先,企业设备标识体系种类繁多且不互通,难以分配通用唯一的身份标识。其次,企业网络封闭且异构,缺乏对外开放能力。最后,企业认证方式繁重,计算服务开销较大。
针对上述问题,如何构造设备统一规范的身份标识,建立开放互通的身份认证机制,且满足工业互联网场景服务轻量化需要,是当前亟待解决的问题。
发明内容
针对现有工业互联网认证方式的不足,本发明提供一种基于区块链和Handle标识的工业互联网跨域认证方法。
为实现上述目的,本发明所采取的技术方案为:
一种基于区块链和Handle标识的工业互联网跨域认证方法,所述基于区块链和Handle标识的工业互联网跨域认证方法,包括:
步骤1、工业互联网中的各安全域分别注册权威Handle标识,在安全域内搭建密钥生成中心KGC和代理服务节点,维护标识解析和认证服务;在安全域外共同搭建联盟链,共同维护区块链账本,通过联盟自治和智能合约实现数据存证与管理;
步骤2、各安全域内终端设备进行身份注册,通过HAS节点注册业务Handle标识,以及通过密钥生成中心KGC分配密钥;
步骤3、请求域内终端设备发起跨域认证请求,请求域内BAS节点验证终端设备的身份有效性,若验证成功则执行步骤4;否则返回执行步骤2;
步骤4、请求域内BAS节点通过终端设备的域内身份认证后,生成跨域认证签名消息,并向目标域内终端设备发起跨域认证请求。
以下还提供了若干可选方式,但并不作为对上述总体方案的额外限定,仅仅是进一步的增补或优选,在没有技术或逻辑矛盾的前提下,各可选方式可单独针对上述总体方案进行组合,还可以是多个可选方式之间进行组合。
作为优选,所述步骤1具体包含以下步骤:
步骤1.1、各安全域内RAS节点对接工业互联网Handle标识解析体系注册分配企业前缀权威Handle标识,获取安全域标识;
步骤1.2、各安全域在云端共同搭建联盟链,部署存证合约和密钥参数管理合约,通过域内BAS节点代理请求访问区块链;
步骤1.3、各安全域内密钥生成中心KGC通过BAS节点调用密钥参数管理合约分配安全域的密钥,产生随机数作为签名主私钥秘密保存,计算并公开对应签名主公钥;
步骤1.4、各安全域内搭建本地存储服务器,负责将注册通过的终端设备的公钥信息生成密钥参数文件,并对密钥参数文件的内容进行哈希运算,将得到文件列表哈希值存储到存证合约中,存证地址通过密钥参数管理合约进行数据记录管理。
作为优选,所述步骤2具体包含以下步骤:
步骤2.1、安全域内的终端设备向域内RAS节点发起身份注册请求,RAS节点将身份注册请求代理转发至HAS节点;
步骤2.2、安全域内HAS节点收到身份注册请求后,向工业互联网Handle标识解析体系查询终端设备所在安全域本地命名空间,获取安全域的权威Handle标识,分配终端设备的业务Handle标识并返回给HAS节点;
步骤2.3、安全域内HAS节点根据分配到的业务Handle标识,向密钥生成中心KGC注册分配设备对应签名私钥,并将签名私钥回给终端设备,完成身份注册。
作为优选,所述步骤3具体包含以下步骤:
步骤3.1、请求域终端设备通过RAS节点发起跨域认证请求,RAS节点检查终端设备是否拥有私钥和验证私钥的有效性以对终端设备进行身份有效性验证;
步骤3.2,如果私钥不存在或过期,向请求域内密钥生成中心KGC重新申请身份,即重新执行步骤2;否则完成域内终端设备身份认证。
作为优选,所述步骤4具体包含以下步骤:
步骤4.1、请求域RAS节点认证终端设备身份通过后,查询密钥参数文件,根据密钥参数文件计算文件列表哈希值,同时根据业务Handle标识生成跨域认证消息M1;
步骤4.2、请求域RAS节点利用签名私钥对消息M1进行签名计算得到签名S1,根据消息M1和签名S1生成跨域认证消息M2,然后RAS节点将消息M2发送给目标域内终端设备,发起跨域认证请求;
步骤4.3、目标域内终端设备收到跨域认证请求消息,向域内RAS节点发送身份验证请求;
步骤4.4、目标域RAS节点检查会话请求随机数N1,如果存在,则拒绝请求;如果不存在,则缓存随机数N1,然后向目标域HAS节点发送消息M1,请求验证身份标识;
步骤4.5、目标域HAS节点根据目标域设备的认证消息M1其中的业务Handle标识,查询工业互联网Handle标识解析体系,获取请求域终端设备所在安全域的权威Handle标识,然后向BAS节点获取请求域密钥参数;
步骤4.6、目标域RAS节点根据请求域的权威Handle标识,通过存证合约查询密钥参数存证,对消息中文件列表哈希值进行身份有效性验证,然后查询请求域密钥椭圆曲线参数,如果身份过期,则验证失败,即跨域认证失败;如果身份验证成功,则将请求域终端设备的业务Handle标识作为设备公钥,使用请求域签名主公钥和设备公钥对消息M2中的S1进行签名验证,如果验证成功,则跨域认证成功;否则跨域认证失败;
步骤4.7、将跨域认证结果返回给请求域终端设备,跨域认证结束。
本发明提供的基于区块链和Handle的工业互联网跨域认证方法与现有技术相比具有以下有益效果:
(1)基于Handle为设备注册分配身份标识,并生成对应的私钥,实现各企业身份标识的统一互通。
(2)构建基于区块链的存证模型,实现域间标识管理与密钥公开参数共享。
(3)引入代理机制进行签名、验证计算,构建IBS-SM9身份认证机制,满足工业互联网服务轻量化需要。
附图说明
图1是本发明实施例中的基于区块链和Handle的工业互联网跨域认证模型图;
图2本发明实施例中的构建基于区块链的存证模型图;
图3是本发明实施例中的工业互联网设备跨域认证的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是在于限制本发明。
为了满足跨域认证需求,本实施例提供一种基于区块链和Handle标识的工业互联网跨域认证方法,如图1所示,具体包括以下步骤:
步骤1、系统初始化:工业互联网中的各安全域分别注册权威Handle标识,在安全域内搭建密钥生成中心KGC和代理服务节点,维护标识解析和认证服务;在安全域外共同搭建联盟链,共同维护区块链账本,通过联盟自治和智能合约实现数据存证与管理。
步骤1.1、各安全域内RAS节点对接工业互联网Handle标识解析体系,向二级节点LHS注册分配企业前缀权威Handle标识,获取安全域标识(X为安全域名称);部署HAS节点,用于代理请求标识解析服务。
步骤1.2、各安全域在云端共同搭建联盟链,部署存证合约和密钥参数管理合约,通过BAS节点代理请求访问区块链;
步骤1.3、各安全域内密钥生成中心KGC通过BAS节点调用密钥参数管理合约分配安全域的密钥,产生随机数(X为安全域名称)作为签名主私钥秘密保存,计算并公开对应签名主公钥/>(X为安全域名称)。
具体的以安全域A为例进行说明,在安全域A中,密钥生成中心KGCA节点(为了便于区分本实施例将安全域A中的密钥生成中心KGC表示为KGCA,即本实施例在描述具有所属安全域的节点时以下标方式区分节点所属安全域,在描述无所属安全域的节点时不加下标)通过BASA节点调用密钥参数管理合约,获取一个随机数(/>N为循环群G1、G2和GT的阶,为大于2191的素数)作为签名主私钥,如公式1所示,计算对应的签名主公钥得到签名主密钥对/>KGCA节点秘密保存签名主私钥/>公开签名主公钥/>然后KGCA节点选择并公开用一个字节表示的签名私钥生成函数识别符hid,用于域内设备的身份注册和生成相应私钥,然后通过密钥参数管理合约,发布和管理椭圆曲线公开参数。
式中,P2为群G2的生成元。
步骤1.4、各安全域内搭建本地存储服务器,构建如图2所示的标识存储模型,负责将注册通过的终端设备的公钥信息生成密钥参数文件,对密钥参数文件的内容进行哈希运算,得到文件列表哈希值存储到存证合约中,存证地址通过密钥参数管理合约进行数据记录管理;搭建RAS节点,负责代理终端设备各项服务请求。
步骤2、设备身份注册:各安全域内终端设备通过HAS节点注册业务Handle标识,以及通过密钥生成中心KGC分配密钥,完成身份注册。
步骤2.1、以安全域A为例进行说明,安全域A内的终端设备向域内RASA节点发起身份注册请求,RASA节点将身份注册请求代理转发至HASA节点。
步骤2.2、安全域内HASA节点收到身份注册请求后,向工业互联网Handle标识解析体系查询终端设备所在安全域本地命名空间,获取安全域的权威Handle标识,注册分配终端设备/>的业务Handle标识/>并返回给HASA节点。
步骤2.3、HASA节点根据分配到的业务Handle标识向密钥生成中心KGCA节点注册分配设备对应签名私钥/>并将结果(包含签名私钥)返回给终端设备/>
具体的,HASA节点根据业务Handle标识向KGCA节点请求计算签名私钥/>(如公式2、3、4所示),如果t1=0,则返回步骤1.3重新计算和公开签名主公钥;如果t1≠0,则计算t2,最终得到签名私钥/>然后计算业务Handle标识/>的哈希值Hash/>并更新密钥参数文件内参数,向BASA节点发起密钥参数存证更新请求,并将结果返回给终端设备/>
式中,t1、t2为大整数,H1为密码杂凑函数的派生函数,hid为签名主私钥生成的函数识别符,P1为群G1的生成元。
步骤3、域内终端设备身份认证:如图3所示,以安全域A作为请求域为例进行说明,请求域内终端设备发起跨域认证请求,域内BASA节点检查终端设备/>是否拥有私钥和验证身份有效性。
步骤3.1、终端设备通过域内RASA节点发起跨域认证请求,RASA节点检查终端设备/>是否拥有私钥和验证私钥的有效性。
步骤3.2,如果私钥不存在或过期,向请求域内KGCA节点重新申请身份,即重新执行步骤2;否则完成域内终端设备身份认证,并执行下一步。
步骤4、跨域身份认证:域内BASA节点通过终端设备的域内认证后,生成跨域认证签名消息,并向目标域(本实施例以安全域B为目标域)内终端设备发起跨域认证请求。
步骤4.1、域内RASA节点认证终端设备身份通过后,查询密钥参数文件,根据密钥参数文件计算文件列表哈希值/>根据业务Handle标识/>生成跨域认证消息M1(即请求消息),如公式5所示,其中/>为终端设备的身份标识,N1为随机整数。
步骤4.2、域内RASA节点利用签名私钥对消息M1进行签名计算得到签名S1,如公式6所示,根据消息M1和签名S1生成跨域认证消息M2,然后RASA节点将消息M2发送给目标域内终端设备/>(即目标域B的终端设备j),发起跨域认证请求。
式中,为签名操作,/>为请求域A内密钥参数文件进行哈希运算得到的哈希值。
步骤4.3、目标域终端设备收到跨域认证请求消息,向目标域内RASB节点发送身份验证请求。
步骤4.4、目标域内RASB节点在缓存中先检查会话请求随机数N1,如果存在,则该请求重复,本次会话无效并拒绝请求,跨域认证失败;如果不存在,则表示当前请求有效并缓存随机数N1,然后向目标域内HASB节点发送消息M1,请求验证标识身份。
会话的随机数N1目的是用来标识一个会话请求,来避免会话重复发生,RAS节点缓存所有请求随机数N1,如果存在,表示当前会话重复,不进行处理;不存在,表示一个新的会话请求,进行后续处理。
步骤4.5、目标域内HASB节点根据目标域终端设备的认证消息M1其中的身份标识查询工业互联网Handle标识解析体系,获取请求域终端设备所在安全域的权威Handle标识,然后向目标域内BASB节点发起请求获取请求域密钥参数,并将查询结果发送给RASB节点。
步骤4.6、目标域内RASB节点根据请求域的权威Handle标识,通过存证合约查询密钥参数存证,对消息中进行身份有效性验证,然后查询请求域密钥椭圆曲线参数,如果身份过期,则验证失败,跨域认证失败;如果身份验证成功,将业务Handle标识/>作为设备公钥/>使用/>和/>对消息M2中的S1进行签名验证,如果验证成功,则跨域认证成功;否则跨域认证失败。
步骤4.7、将跨域认证结果返回给请求域终端设备,跨域认证结束。
本发明提供的基于区块链和Handle的工业互联网跨域认证方法,利用区块链技术分布式、不可篡改、可溯源特性,实现了工业互联网场景中多工厂、多领域的信息安全共享,并采用SM9密码算法,构建IBS身份认证服务体系,解决了传统PKI集中式密钥托管问题,构建基于区块链的存证模型,解决了部分IBC的身份更新和撤销问题,减少了服务开销,引入代理服务器和本地存储服务器设计,解决了区块链吞吐量和效率问题,解决了工业互联网设备的轻量化高并发服务的需要。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明的保护范围应以所附权利要求为准。
Claims (1)
1.一种基于区块链和Handle标识的工业互联网跨域认证方法,其特征在于,所述基于区块链和Handle标识的工业互联网跨域认证方法,包括:
步骤1、工业互联网中的各安全域分别注册权威Handle标识,在安全域内搭建密钥生成中心KGC和代理服务节点,维护标识解析和认证服务;在安全域外共同搭建联盟链,共同维护区块链账本,通过联盟自治和智能合约实现数据存证与管理,具体包括以下步骤:
步骤1.1、各安全域内RAS节点对接工业互联网Handle标识解析体系注册分配企业前缀权威Handle标识,获取安全域标识;
步骤1.2、各安全域在云端共同搭建联盟链,部署存证合约和密钥参数管理合约,通过域内BAS节点代理请求访问区块链;
步骤1.3、各安全域内密钥生成中心KGC通过BAS节点调用密钥参数管理合约分配安全域的密钥,产生随机数作为签名主私钥秘密保存,计算并公开对应签名主公钥;
步骤1.4、各安全域内搭建本地存储服务器,负责将注册通过的终端设备的公钥信息生成密钥参数文件,并对密钥参数文件的内容进行哈希运算,将得到文件列表哈希值存储到存证合约中,存证地址通过密钥参数管理合约进行数据记录管理;
步骤2、各安全域内终端设备进行身份注册,通过HAS节点注册业务Handle标识,以及通过密钥生成中心KGC分配密钥,具体包括以下步骤:
步骤2.1、安全域内的终端设备向域内RAS节点发起身份注册请求,RAS节点将身份注册请求代理转发至HAS节点;
步骤2.2、安全域内HAS节点收到身份注册请求后,向工业互联网Handle标识解析体系查询终端设备所在安全域本地命名空间,获取安全域的权威Handle标识,分配终端设备的业务Handle标识并返回给HAS节点;
步骤2.3、安全域内HAS节点根据分配到的业务Handle标识,向密钥生成中心KGC注册分配设备对应签名私钥,并将签名私钥回给终端设备,完成身份注册;
步骤3、请求域内终端设备发起跨域认证请求,请求域内BAS节点验证终端设备的身份有效性,若验证成功则执行步骤4;否则返回执行步骤2,具体包括以下步骤:
步骤3.1、请求域终端设备通过RAS节点发起跨域认证请求,RAS节点检查终端设备是否拥有私钥和验证私钥的有效性以对终端设备进行身份有效性验证;
步骤3.2,如果私钥不存在或过期,向请求域内密钥生成中心KGC重新申请身份,即重新执行步骤2;否则完成域内终端设备身份认证;
步骤4、请求域内BAS节点通过终端设备的域内身份认证后,生成跨域认证签名消息,并向目标域内终端设备发起跨域认证请求,具体包括以下步骤:
步骤4.1、请求域RAS节点认证终端设备身份通过后,查询密钥参数文件,根据密钥参数文件计算文件列表哈希值,同时根据业务Handle标识生成跨域认证消息M1;
步骤4.2、请求域RAS节点利用签名私钥对消息M1进行签名计算得到签名S1,根据消息M1和签名S1生成跨域认证消息M2,然后RAS节点将消息M2发送给目标域内终端设备,发起跨域认证请求;
步骤4.3、目标域内终端设备收到跨域认证请求消息,向域内RAS节点发送身份验证请求;
步骤4.4、目标域RAS节点检查会话请求随机数N1,如果存在,则拒绝请求;如果不存在,则缓存随机数N1,然后向目标域HAS节点发送消息M1,请求验证身份标识;
步骤4.5、目标域HAS节点根据目标域设备的认证消息M1其中的业务Handle标识,查询工业互联网Handle标识解析体系,获取请求域终端设备所在安全域的权威Handle标识,然后向BAS节点获取请求域密钥参数;
步骤4.6、目标域RAS节点根据请求域的权威Handle标识,通过存证合约查询密钥参数存证,对消息中文件列表哈希值进行身份有效性验证,然后查询请求域密钥椭圆曲线参数,如果身份过期,则验证失败,即跨域认证失败;如果身份验证成功,则将请求域终端设备的业务Handle标识作为设备公钥,使用请求域签名主公钥和设备公钥对消息M2中的S1进行签名验证,如果验证成功,则跨域认证成功;否则跨域认证失败;
步骤4.7、将跨域认证结果返回给请求域终端设备,跨域认证结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210381346.5A CN114629720B (zh) | 2022-04-12 | 2022-04-12 | 一种基于区块链和Handle标识的工业互联网跨域认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210381346.5A CN114629720B (zh) | 2022-04-12 | 2022-04-12 | 一种基于区块链和Handle标识的工业互联网跨域认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114629720A CN114629720A (zh) | 2022-06-14 |
CN114629720B true CN114629720B (zh) | 2024-03-26 |
Family
ID=81905252
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210381346.5A Active CN114629720B (zh) | 2022-04-12 | 2022-04-12 | 一种基于区块链和Handle标识的工业互联网跨域认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114629720B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115589303B (zh) * | 2022-07-11 | 2024-02-27 | 昆明理工大学 | 基于sm9算法和跨链技术的数据共享与隐私保护方法 |
CN115665749B (zh) * | 2022-12-29 | 2023-03-17 | 国家工业信息安全发展研究中心 | 一种海量工业设备安全可信接入方法及系统 |
CN116155514B (zh) * | 2023-03-01 | 2024-06-21 | 电子科技大学 | 一种基于区块链的跨域物联网设备隐私保护认证方法 |
CN116489086B (zh) * | 2023-03-28 | 2023-12-26 | 网根科技(青岛)有限公司 | 一种基于Handle系统的节点可信验证方法和系统 |
CN117669897B (zh) * | 2024-02-01 | 2024-04-16 | 中汽数据(天津)有限公司 | 基于工业互联网标识解析的碳排放清单收集公示方法 |
CN117692151B (zh) * | 2024-02-02 | 2024-05-31 | 杭州天谷信息科技有限公司 | 基于服务网络的通证撤销方法和通信方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111464535A (zh) * | 2020-03-31 | 2020-07-28 | 中国电子科技集团公司第三十研究所 | 一种基于区块链的跨域信任传递方法 |
CN112632064A (zh) * | 2020-12-17 | 2021-04-09 | 北京中数创新科技股份有限公司 | 一种基于handle系统的区块链增强方法及系统 |
CN113194469A (zh) * | 2021-04-28 | 2021-07-30 | 四川师范大学 | 基于区块链的5g无人机跨域身份认证方法、系统及终端 |
-
2022
- 2022-04-12 CN CN202210381346.5A patent/CN114629720B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111464535A (zh) * | 2020-03-31 | 2020-07-28 | 中国电子科技集团公司第三十研究所 | 一种基于区块链的跨域信任传递方法 |
CN112632064A (zh) * | 2020-12-17 | 2021-04-09 | 北京中数创新科技股份有限公司 | 一种基于handle系统的区块链增强方法及系统 |
CN113194469A (zh) * | 2021-04-28 | 2021-07-30 | 四川师范大学 | 基于区块链的5g无人机跨域身份认证方法、系统及终端 |
Also Published As
Publication number | Publication date |
---|---|
CN114629720A (zh) | 2022-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114629720B (zh) | 一种基于区块链和Handle标识的工业互联网跨域认证方法 | |
CN108737436B (zh) | 基于信任联盟区块链的跨域服务器身份认证方法 | |
CN112039872B (zh) | 基于区块链的跨域匿名认证方法及系统 | |
Guo et al. | Blockchain meets edge computing: A distributed and trusted authentication system | |
Lu et al. | DRRS-BC: Decentralized routing registration system based on blockchain | |
Yang et al. | Delegating authentication to edge: A decentralized authentication architecture for vehicular networks | |
CN109687976B (zh) | 基于区块链与pki认证机制的车队组建及管理方法及系统 | |
KR101260188B1 (ko) | 피어투피어 네트워크에 대한 분산 해시 테이블에서의 보안 노드 식별자 할당 | |
US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
CN101193103B (zh) | 一种分配和验证身份标识的方法及系统 | |
US20100154040A1 (en) | Method, apparatus and system for distributed delegation and verification | |
Huang et al. | An efficient signature scheme based on mobile edge computing in the NDN-IoT environment | |
CN109936509B (zh) | 一种基于多元身份的设备群组认证方法及系统 | |
Tesei et al. | IOTA-VPKI: A DLT-based and resource efficient vehicular public key infrastructure | |
CN113824563A (zh) | 一种基于区块链证书的跨域身份认证方法 | |
Moussaoui et al. | A Distributed Blockchain Based PKI (BCPKI) architecture to enhance privacy in VANET | |
WO2020010767A1 (zh) | 一种基于联盟的全网统一信任锚系统及构建方法 | |
CN114036472B (zh) | 基于联盟链的Kerberos及PKI安全域间的跨域认证方法 | |
Liu et al. | Cross-heterogeneous domain authentication scheme based on blockchain | |
Zheng et al. | [Retracted] An Anonymous Authentication Scheme in VANETs of Smart City Based on Certificateless Group Signature | |
Singla et al. | Enhanced security using proxy signcryption technique for wireless mesh networks | |
CN116827584B (zh) | 一个基于区块链的物联网设备无证书匿名跨域认证的方法 | |
WO2011131002A1 (zh) | 身份管理方法及系统 | |
Paliwal et al. | Dynamic private Modulus based password conditional privacy preserving authentication and key-agreement protocol for VANET | |
CN114301604A (zh) | 一种基于区块链和属性签名的分布式公钥基础设施方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |