CN114710275B - 物联网环境下基于区块链的跨域认证和密钥协商方法 - Google Patents

Abstract

本发明公开了一种物联网环境下基于区块链的跨域认证和密钥协商方法，包括以下步骤：（1）初始化：每个实体、边缘服务器和基于区块链证书授权中心BCCA在初始化阶段生成自己的公私钥对；（2）用户注册：实体通过边缘服务器向BCCA发起注册请求，合法的实体收到边缘服务器返回的数字证书；（3）域内认证：已经注册并拥有数字证书的实体向边缘服务器发起在家乡域内的身份认证；（4）域间认证：一个域的可信实体到另一个域进行的身份认证，记为域间认证。本发明设计了基于椭圆曲线的物联网实体身份认证和密钥协商协议，保证低性能终端设备的高效通讯，不仅能提供更强的安全性能，而且更适用于性能较低的物联网边缘设备。

Description

物联网环境下基于区块链的跨域认证和密钥协商方法

技术领域

本发明涉及一种物联网环境下基于区块链的跨域认证和密钥协商方法。

背景技术

由于物联网环境中的异构性以及存在多个不同的安全域，其中以用户为代表的低性能终端设备计算能力有限，在一些要求实时性和安全性的物联网场景中，基于传统中心化的“云服务器-终端设备”认证方式难以实现现有的边缘计算环境下“边缘设备-终端设备”的高效跨域认证和密钥协商通信。基于公钥基础设施(Public Key Infrastructure，PKI)认证技术依赖数字证书进行身份认证，通过加密技术保证信息安全不被泄露，PKI作为安全基础设施，能够提供身份认证、数据完整性、数据保密性、数据公正性、不可抵赖性和时间戳六种安全服务。目前基于PKI技术的认证方案虽然能实现跨域认证但需要复杂的证书管理体系，对于物联网终端设备分布广、数量多并且涉及多个通信域等特性，PKI技术已经不能很好地解决物联网设备身份认证问题。

边缘计算(Edge Computing)是指数据或任务能够在靠近数据源头的网络边缘侧进行计算和执行计算的一种新型服务模型。随着物联网技术的快速发展和广泛应用，大量的终端设备接入网络中将产生海量级的数据，这为云中心及时有效地处理数据带来了更大的挑战。此时，边缘计算应运而生，与现有的云计算(Cloud Computing)集中式处理模型相结合，能有效解决云中心和网络边缘的大数据处理问题。边缘计算的一个优势在于其突破了终端硬件的限制，使移动终端等便携式设备大量参与到服务计算中来，实现了移动数据存取、智能负载均衡和低管理成本。

区块链(Blockchain)是一种按照时间顺序将数据区块以链条的方式组合而成的特定数据结构，并以密码学方式保证的不可篡改不可伪造的去中心化公共总账。区块链技术的发展主要依赖如下技术：

P2P网络技术

P2P网络技术又称为对等互联网技术或点对点技术，是区块链系统连接各对等节点的组网技术，是与中心化连接网络相对应的一种构建在互联网上的连接网络。

非对称加密算法

非对称加密算法是一种基于密钥的信息加解密方法，需要两个密钥：公钥(PublicKey)和私钥(Private Key)。由于加密和解密使用的是不同的密钥，因此这种加密算法被称之为非对称加密算法。常用的非对称加密算法有RSA、ECC等。

分布式数据库

分布式数据库是一个数据集合，这些数据在逻辑上属于同一个系统，但是物理上却是分散在计算机网络的若干节点上，并且要求网络上的各个节点都具有自治的能力，能执行本地的应用。区块链借助分布式数据库的思想，将数据分散至网络中的各个节点上，使区块链数据难以被篡改，保证了数据的安全性和稳定性。

默克尔树(Merkle Tree)

默克尔树是区块链的基本组成部分之一，是大量数据聚集成块的形式。假设目前有很多包含数据的块，将这些数据块两两分组，为每一个组建立一个包含每个数据块哈希指针的新的数据结构，知道得到一个单一的哈希指针，称之为根哈希。在这种情况下，可以从根哈希回溯到任意数据块，从而保证数据不能篡改，因为一旦攻击者篡改了默克尔树底部的数据，就会导致上一层的哈希指针不匹配，从而使得任意篡改行为都能被检测到。

块链式数据结构

块链式数据结构从另一个角度保证了交易数据的防篡改，当每个节点都有一批已经全网广播且已经发生的交易待打包成区块时，节点通过竞争计算随机数来争取记账权。当节点争取到记账权时，需要将新区块的前一个区块的哈希值、当前时间戳、一段时间发生的有效交易及其默克尔树根值等内容打包成一个区块，并全网广播。由于每一个区块都和前一个区块有着密码学链接，当区块达到一定长度之后，要想修改某个历史区块中的交易内容就必须将该区块之后所有区块的交易记录和哈希值进行重构，这是非常困难的，从而有效实现了交易数据的防篡改。

智能合约

智能合约是一套以数字形式定义的承诺，该承诺控制着数字资产并包含了合约参与者约定的权力和义务，由计算机自动执行。智能合约程序不仅仅是一个可以自动执行的计算机程序，它本身是一个系统参与者，对接收到的信息进行回应，可以接受和存储价值，也可以对外发送价值，其体现的是特定应用程序的业务逻辑。

微软公司早在1997年就进行了身份认证研究，这项研究允许用户通过身份联盟以相同的身份登录多个网站。但是，跨域身份验证的概念最早被提出并应用于Kerberos系统。基于PKI体系的物联网跨域认证和密钥协商已有学者做了如下研究：2014年，张文芳等人借助虚拟桥CA建立信任链路，实现虚拟企业级PKI域间认证，该方案采用的是椭圆曲线门限签名方案，签名时需要分割密钥因子，导致较高的通信代价，用户加入和取消的可拓展性也会降低。2018年，周致成等人利用区块链技术设计了基于区块链证书授权中心(BCCA)的信任模型，实现高效的跨域认证，有效减少了公钥算法中签名和验证的次数，但是设计中大量采用明文通信，存在较大的隐私泄露风险。2021年，张金花等人设计了边缘计算环境下基于区块链的跨域认证和密钥协商协议，但是普通的DH协议协商密钥的过程中不能抵抗中间人攻击。

发明内容

为了解决上述技术问题，本发明提供一种算法简单、安全性高的物联网环境下基于区块链的跨域认证和密钥协商方法。

本发明解决上述技术问题的技术方案是：一种物联网环境下基于区块链的跨域认证和密钥协商方法，包括以下步骤：

(1)初始化：每个实体、边缘服务器和基于区块链证书授权中心BCCA在初始化阶段生成自己的公私钥对；

(2)用户注册：实体通过边缘服务器向BCCA发起注册请求，合法的实体收到边缘服务器返回的数字证书；

(3)域内认证：已经注册并拥有数字证书的实体向边缘服务器发起在家乡域内的身份认证；

(4)域间认证：一个域的可信实体到另一个域进行的身份认证，记为域间认证；设定信任域A和B，A域的已注册实体E_a需要访问B域，在进行通信之前B域的边缘服务器ES_B对A域的已注册实体E_a进行身份认证，完成身份认证后才可与B域的可信实体E_b进行密钥协商，交互信息。

上述物联网环境下基于区块链的跨域认证和密钥协商方法，所述步骤(1)中，初始化阶段是指E_a或者A域的边缘服务器ES_A在注册身份前做的准备工作，以E_a的初始化过程为例，首先选择一个随机数d_a∈[1，n-1]作为私钥保存，并根据E(F_p)计算自己的公钥Q_a＝d_a·P；同理，每个实体、边缘服务器和BCCA都在初始化阶段生成自己的公私钥对；

其中E(F_p)为选取有限域F_p上随机生成的一条椭圆曲线，一旦椭圆曲线确定，椭圆曲线上的基点P也随之确定，P的阶数为n，n是一个素数。

上述物联网环境下基于区块链的跨域认证和密钥协商方法，所述步骤(2)中用户注册的具体过程为：

2-1)E_a→ES_A：{Q_a，ID_a}，E_a向ES_A发送Q_a和ID_a并发起注册请求，其中Q_a、ID_a分别为E_a的公钥和ID；

2-2)ES_A收到来自E_a的注册请求后，首先保存ID_a，为了避免重放攻击，ES_A发送一个用E_a的公钥Q_a进行加密后的随机数N₁给E_a确认注册请求；

2-3)E_a收到来自ES_A的随机数N1时，返回验证一个用E_a的公钥Q_a进行加密后的消息N₁-1表明自己确认注册信息；

2-4)ES_A→BCCA：{Q_a，ID_a，(N₂)_sig，N₂}，ES_A收到来自E_a的验证消息后确认E_a身份，身份无确认误后发送Q_a、ID_a给BCCA，为其向BCCA申请数字证书，申请过程中ES_A用私钥签名一个随机数N₂用来声明E_a在ES_A管辖范围内；BCCA检查E_a的ID_a是否已经被注册，若已经被注册，则此次注册申请不通过，返回错误信息给ESA，若没有被注册则选择一个随机数N₃然后为E_a计算数字证书并将数字证书的哈希值Hash(ID_a)存储至区块链中，一个完整的数字证书签名由(r_a，s_a)两部分组成，其中r_a＝(d_a·P).x mod n，.x是取坐标的x轴的值，mod是取余操作，s_a＝N₃ ^-1(e_a+d_CA·r_a)，其中哈希值e_a＝Hash(Q_a.x，ID_a，T_a)，T_a为E_a数字证书签名的有效期，d_CA为BCCA的私钥；

2-5)BCCA→E_a：{Q_CA，ID_a，(r_a，s_a)，T_a}，BCCA将BCCA的公钥Q_CA，E_a的数字证书(r_a，s_a)和E_a数字证书签名的有效期T_a发送给E_a。

上述物联网环境下基于区块链的跨域认证和密钥协商方法，所述步骤(3)中域内认证的具体过程为：

3-1)E_a→ES_A：{ID_a}，E_a发送ID_a向ES_A发起认证请求；

3-2)ES_A→BCCA：{ID_a}，ES_A发送ID_a向BCCA发起查询请求，查询ID_a是否为已经注册过的实体；

3-3)BCCA→ES_A：{Hash(ID_a)}，BCCA到区块链中查找是否存在ID_a的注册记录，并查看证书撤销列表CRL中是否有E_a的被撤销记录，如果出现以下情况会被记入CRL中：a)私钥不安全；b)数字证书不安全；c)数字证书逾期；若存在ID_a的注册记录且并不存在被撤销记录，则说明E_a为可信任的实体，BCCA返回从区块链中查找到的实体E_a的Hash(ID_a)给ES_A，否则返回错误；

3-4)ES_A→E_a：{Q_A，ID_A，(r_A，s_A)，T_A，N₄P，N₅P}，ES_A收到BCCA返回的结果，若返回的结果为错误，即为恶意用户，则认证失败，不返回消息至E_a；若返回的结果说明E_a为可信任的实体，通过认证，则ES_A将自己的公钥Q_A、ID_A、数字证书(r_A，s_A)和数字证书签名的有效期T_A发送给E_a，同时采用椭圆曲线Diffie-Hellman密钥交换方法ECDH通过随机数N₄、N₅生成临时密钥N₄P和公钥N₅P一起发送给E_a；

3-5)E_a→ES_A：{N₆P，N₇P，EN_a1，EN_a2}，E_a收到成功消息则可与ES_A建立会话密钥；E_a选择随机数N₆，N₇计算对称密钥K_a＝Hash(d_aQ_A.x，N₆N₅P.x)来加密(r_a，s_a)、ID_a和N₄P得到密文利用椭圆曲线加密方法ECES计算密文再发送N₆P、N₇P、EN_a1和EN_a2给ES_A，然后计算会话密钥k_aA＝Hash(d_aQ_A.x，N₆N₅P.x，ID_a，ID_A)；

3-6)ES_A→E_a：ES_A解密EN_a2中的Q_a然后才能顺利计算出对称密钥K_A＝Hash(d_A·Q_a.x，N₅N₆P.x)，只有k_A等于k_a才能解密EN_a1检查N₄P.x和(r_a，s_a)的有效期，同时也计算出会话密钥k_Aa＝Hash(d_AQ_a.x，N₅N₆P.x，ID_a，ID_A)。

上述物联网环境下基于区块链的跨域认证和密钥协商方法，所述步骤3-4)中，椭圆曲线Diffie-Hellman密钥交换方法ECDH的过程为：

1.1：Alice选择随机数m_a，计算Q_a＝m_aP发送给Bob；

1.2：Bob选择随机数m_b，计算Q_b＝m_bP发送给Alice；

1.3：Alice计算m_aQ_b；

1.4：Bob计算m_bQ_a；

1.5：Alice和Bob生成会话密钥key＝(m_aQ_b).x＝(m_bQ_a).x。

上述物联网环境下基于区块链的跨域认证和密钥协商方法，所述步骤3-5)中，E_a收到成功消息后，同样E_a也需要查验ES_A的身份信息，检查ES_A发送的T_a是否在有效期内，以及根据椭圆曲线数字签名算法ECDSA验证数字证书的签名信息是否有效，只有在通过验证的情况下才能进行后续的步骤；

椭圆曲线数字签名算法ECDSA的过程为：

2.1：Alice选择随机数m_a作为私钥保存，计算公钥Q_a＝m_aP公开；

2.2：Alice对message签名时选择随机数k，并计算r＝(kP).x mod n和s＝k^-1(Hash(message)+m_ar)mod n，此时对消息的签名是(r，s)；

2.3：Bob收到Alice消息后验证签名时，计算s^-1(Hash(message)P+rQ_a).x mod n是否等于r，若等于说明签名正确。

上述物联网环境下基于区块链的跨域认证和密钥协商方法，所述步骤3-5)中，椭圆曲线加密方法ECES的过程为：

3.1：Alice选择随机数m_a作为私钥保存，计算公钥Q_a＝m_aP公开；

3.2：Bob用Q_a对message加密时选择随机数k并计算kP和密文 一起发送给Alice；

3.3：Alice计算解密即可得到消息。

上述物联网环境下基于区块链的跨域认证和密钥协商方法，所述步骤(4)中域间认证的具体过程为：

4-1)E_a→ES_B：(ID_a，)，E_a向ES_B发起对B域的访问请求；

4-2)ES_B→ES_A：{ID_a}，ES_B收到异域实体的跨域访问请求后向ES_A请求认证E_a；

4-3)ES_A→ES_B：{ID_a，Q_a}，ES_A收到本域实体的跨域请求后，回复确认信息给ES_B；

4-4)ES_B→BCCA：{ID_a}，ES_B向BCCA发起查询请求，查询ID_a是否为已经注册过的实体；

4-5)BCCA→ES_B：{Hash(ID_a)}，BCCA到区块链中查找是否存在ID_a的注册记录，如果存在则返回该实体的数字证书中查询到的Hash(ID_a)，否则返回错误；

4-6)ES_B→E_a：{Q_B}，ES_B确认E_a为可信实体通过认证，将B域的公钥发送给E_a使得E_a能与B域任意设备实现暂时通信；

4-7)E_a→E_b：{Q_a，ID_a，(r_a，s_a)，T_a，N₈P，N₉P}，E_a收到ES_B返回的实体E_b公钥信息后，E_a尝试与E_b建立连接，E_a将自己的公钥Q_a、ID_a、数字证书(r_a，s_a)和数字证书签名的有效期T_a发送给E_b，同时采用椭圆曲线Diffie-Hellman密钥交换方法ECDH通过随机数N₈、N₉生成临时密钥N₈P和公钥N₉P一起发送给E_b；

4-8)E_b→E_a：{N₁₀P，N₁₁P，EN_a3，EN_a4}，E_b收到消息后开始与E_a建立会话密钥；E_b选择随机数N₁₀，N₁₁计算对称密钥K_b＝Hash(d_bQ_a.x，N₁₀N₉P.x)来加密(r_b，s_b)、ID_b和N₈P得到密文(r_b，s_b)为E_b的数字证书，ID_b为E_b的ID，T_b为E_b数字证书签名的有效期；利用椭圆曲线加密方法ECES计算密文再发送N₁₀P、N₁₁P、EN_a3和EN_a4给E_a，然后计算会话密钥k_ba＝Hash(d_bQ_a.x，N₁₀N₉P.x，ID_b，ID_a)；

4-9)E_a→E_b：E_a解密EN_a4中的Q_a并计算出对称密钥K_b＝Hash(d_bQ_a.x，N₁₀N₉P.x)，解密EN_a3检查N8P.x和(r_b，s_b)，计算会话密钥k_ab＝Hash(d_bQ_a.x，N₉N₁₀P.x，ID_b，ID_a)。

本发明的有益效果在于：

1、本发明提出一个在物联网环境下基于区块链的跨域认证方案，解决了多个PKI应用域情况下实体的身份认证的问题。相比传统的单个CA情况下容易发生单点失效，本发明将多个CA节点布置在区块链上，既能有效避免单点失效，还能保证认证过程的安全性。

2、本发明在方案设计过程中基于边缘设备低性能、实时性、安全性等特点，选择具有密钥长度短、数字签名快、计算数据量小等优势的椭圆曲线密码体制，设计了基于椭圆曲线的物联网实体身份认证和密钥协商协议，保证低性能终端设备的高效通讯，不仅能有效抵抗中间人攻击，而且更适用于性能较低的物联网边缘设备。

3、本发明将边缘服务器部署在终端设备附近，通过边缘服务器将终端设备的认证进行本地化处理，减轻了云中心的网络负担，同时也提高了认证效率。结合区块链的运用，更大程度保证了方案在实际运用中的安全性。

附图说明

图1为本发明的整体流程图。

图2为本发明的系统框架图。

图3为本发明的用户注册示意图。

图4为本发明的域内认证示意图。

图5为本发明的域间认证示意图。

具体实施方式

下面结合附图和实施例对本实用新型做进一步的说明。

如图2所示，图2为本发明的系统框架图，ES_A作为一个边缘服务器，是管理可信域A(Domain A)中设备，并且充当终端实体E和区块链认证中心(Blockchain CertificateAuthentication，BCCA)之间沟通的桥梁。BCCA将收到的信息上传至区块链，利用区块链的不可篡改性及可追溯性保证信息的真实准确。边缘实体E_a经过注册后可以与域内的认证后实体进行通信，也可以对跨域设备进行访问。

如图1所示，一种物联网环境下基于区块链的跨域认证和密钥协商方法，包括以下步骤：

(1)初始化：每个实体、边缘服务器和基于区块链证书授权中心BCCA在初始化阶段生成自己的公私钥对。

初始化阶段是指E_a或者A域的边缘服务器ES_A在注册身份前做的准备工作，以E_a的初始化过程为例，首先选择一个随机数d_a∈[1，n-1]作为私钥保存，并根据E(F_p)计算自己的公钥Q_a＝d_a·P；同理，每个实体、边缘服务器和BCCA都在初始化阶段生成自己的公私钥对；

其中E(F_p)为选取有限域F_p上随机生成的一条椭圆曲线，一旦椭圆曲线确定，椭圆曲线上的基点P也随之确定，P的阶数为n，n是一个素数。

(2)用户注册：实体通过边缘服务器向BCCA发起注册请求，合法的实体收到边缘服务器返回的数字证书。

如图3所示，用户注册的具体过程为：

2-1)E_a→ES_A：{Q_a，ID_a}，E_a向ES_A发送Q_a和ID_a并发起注册请求，其中Q_a、ID_a分别为E_a的公钥和ID；

2-2)ES_A收到来自E_a的注册请求后，首先保存ID_a，为了避免重放攻击，ES_A发送一个用E_a的公钥Q_a进行加密后的随机数N₁给E_a确认注册请求；

2-3)E_a收到来自ES_A的随机数N₁时，返回验证一个用E_a的公钥Q_a进行加密后的消息N₁-1表明自己确认注册信息；

2-4)ES_A→BCCA：{Q_a，ID_a，(N₂)_sig，N₂}，ES_A收到来自E_a的验证消息后确认E_a身份，身份无确认误后发送Q_a、ID_a给BCCA，为其向BCCA申请数字证书，申请过程中ES_A用私钥签名一个随机数N₂用来声明E_a在ES_A管辖范围内，(N₂)_sig为ES_A用私钥签名的随机数N₂，但是用私钥签名的随机数任何设备都可以用公钥解密，单独发送随机数N₂的初衷是确保BCCA收到的随机数一定是N₂而不是伪造的随机数，公钥和私钥的关系在于：公钥加密的内容只有私钥可以解密，而私钥签名的内容只有公钥可以解密；BCCA检查E_a的ID_a是否已经被注册，若已经被注册，则此次注册申请不通过，返回错误信息给ESA，若没有被注册则选择一个随机数N₃然后为E_a计算数字证书并将数字证书的哈希值Hash(ID_a)存储至区块链中，一个完整的数字证书签名由(r_a，s_a)两部分组成，其中r_a＝(d_a·P).x mod n，.x是取坐标的x轴的值，mod是取余操作，s_a＝N₃ ^-1(e_a+d_CA·r_a)，其中哈希值e_a＝Hash(Q_a.x，ID_a，T_a)，Hash(Q_a.x，ID_a，T_a)表示对Q_a.x，ID_a，T_a取哈希值，然后将这个哈希值记录为e_a，e_a是签名后部分s_a的一个组成部分，T_a为E_a数字证书签名的有效期，d_CA为BCCA的私钥；

2-5)BCCA→E_a：{Q_CA，ID_a，(r_a，s_a)，T_a}，BCCA将BCCA的公钥Q_CA、分配给E_a的数字证书(r_a，s_a)和HE_a数字证书签名的有效期T_a发送给E_a。

(3)域内认证：已经注册并拥有数字证书的实体向边缘服务器发起在家乡域内的身份认证。

如图4所示，域内认证的具体过程为：

3-1)E_a→ES_A：{ID_a}，E_a发送ID_a向ES_A发起认证请求；

3-2)ES_A→BCCA：{ID_a}，ES_A发送ID_a向BCCA发起查询请求，查询ID_a是否为已经注册过的实体；

3-3)BCCA→ES_A：{Hash(ID_a)}，BCCA到区块链中查找是否存在ID_a的注册记录，并查看证书撤销列表CRL中是否有E_a的被撤销记录，如果出现以下情况会被记入CRL中：a)私钥不安全；b)数字证书不安全；c)数字证书逾期；若存在ID_a的注册记录且并不存在被撤销记录，则说明E_a为可信任的实体，BCCA返回从区块链中查找到的实体E_a的Hash(ID_a)给ES_A，否则返回错误；

3-4)ES_A→E_a：{Q_A，ID_A，(r_A，s_A)，T_A，N₄P，N₅P}，ES_A收到BCCA返回的结果，若返回的结果为错误，即为恶意用户，则认证失败，不返回消息至E_a；若返回的结果说明E_a为可信任的实体，通过认证，则ES_A将自己的公钥Q_A、ID_A、数字证书(r_A，s_A)和数字证书签名的有效期T_A发送给E_a，同时采用椭圆曲线Diffie-Hellman密钥交换方法ECDH通过随机数N₄、N₅生成临时密钥N₄P和公钥N₅P一起发送给E_a；

椭圆曲线Diffie-Hellman密钥交换方法ECDH的过程为：

1.1：Alice选择随机数m_a，计算Q_a＝m_aP发送给Bob；

1.2：Bob选择随机数m_b，计算Q_b＝m_bP发送给Alice；

1.3：Alice计算m_aQ_b；

1.4：Bob计算m_bQ_a；

1.5：Alice和Bob生成会话密钥key＝(m_aQ_b).x＝(m_bQ_a).x。

3-5)E_a→ES_A：{N₆P，N₇P，EN_a1，EN_a2}，E_a收到成功消息则可与ES_A建立会话密钥，E_a收到成功消息后，同样E_a也需要查验ES_A的身份信息，检查ES_A发送的T_a是否在有效期内，以及根据椭圆曲线数字签名算法ECDSA验证数字证书的签名信息是否有效，只有在通过验证的情况下才能进行后续的步骤；

椭圆曲线数字签名算法ECDSA的过程为：

2.1：Alice选择随机数m_a作为私钥保存，计算公钥Q_a＝m_aP公开；

2.2：Alice对message签名时选择随机数k，并计算r＝(kP).x mod n和s＝k^-1(Hash(message)+m_ar)mod n，此时对消息的签名是(r，s)；

2.3：Bob收到Alice消息后验证签名时，计算s^-1(Hash(message)P+rQ_a).x mod n是否等于r，若等于说明签名正确。

E_a选择随机数N₆，N₇计算对称密钥K_a＝Hash(d_aQ_A.x，N₆N₅P.x)来加密(r_a，s_a)、ID_a和N₄P得到密文利用椭圆曲线加密方法ECES计算密文/>再发送N₆P、N₇P、EN_a1和EN_a2给ES_A，然后计算会话密钥k_aA＝Hash(d_aQ_A.x，N₆N₅P.x，ID_a，ID_A)；

椭圆曲线加密方法ECES的过程为：

3.1：Alice选择随机数m_a作为私钥保存，计算公钥Q_a＝m_aP公开；

3.2：Bob用Q_a对message加密时选择随机数k并计算kP和密文 一起发送给Alice；

3.3：Alice计算解密即可得到消息。

3-6)ES_A→E_a：ES_A解密EN_a2中的Q_a然后才能顺利计算出对称密钥K_A＝Hash(d_A·Q_a.x，N₅N₆P.x)，只有k_A等于k_a才能解密EN_a1检查N₄P.x和(r_a，s_a)的有效期，同时也计算出会话密钥k_Aa＝Hash(d_AQ_a.x，N₅N₆P.x，ID_a，ID_A)。

(4)域间认证：一个域的可信实体到另一个域进行的身份认证，记为域间认证；设定信任域A和B，A域的已注册实体E_a需要访问B域，在进行通信之前B域的边缘服务器ES_B对A域的已注册实体E_a进行身份认证，完成身份认证后才可与B域的可信实体E_b进行密钥协商，交互信息。

如图5所示，域间认证的具体过程为：

4-1)E_a→ES_B：(ID_a)，E_a向ES_B发起对B域的访问请求；

4-2)ES_B→ES_A：{ID_a}，ES_B收到异域实体的跨域访问请求后向ES_A请求认证E_a；

4-3)ES_A→ES_B：{ID_a，Q_a}，ES_A收到本域实体的跨域请求后，回复确认信息给ES_B；

4-4)ES_B→BCCA：{ID_a}，ES_B向BCCA发起查询请求，查询ID_a是否为已经注册过的实体；

4-5)BCCA→ES_B：{Hash(ID_a)}，BCCA到区块链中查找是否存在ID_a的注册记录，如果存在则返回该实体的数字证书中查询到的Hash(ID_a)，否则返回错误；

4-6)ES_B→E_a：{Q_B}，ES_B确认E_a为可信实体通过认证，将B域的公钥发送给E_a使得E_a能与B域任意设备实现暂时通信；

4-7)E_a→E_b：{Q_a，ID_a，(r_a，s_a)，T_a，N₈P，N₉P}，E_a收到ES_B返回的实体E_b公钥信息后，E_a尝试与E_b建立连接，E_a将自己的公钥Q_a、ID_a、数字证书(r_a，s_a)和数字证书签名的有效期T_a发送给E_b，同时采用椭圆曲线Diffie-Hellman密钥交换方法ECDH通过随机数N₈、N₉生成临时密钥N₈P和公钥N₉P一起发送给E_b；

4-8)E_b→E_a：{N₁₀P，N₁₁P，EN_a3，EN_a4}，E_b收到消息后开始与E_a建立会话密钥；E_b选择随机数N₁₀，N₁₁计算对称密钥K_b＝Hash(d_bQ_a.x，N₁₀N₉P.x)来加密(r_b，s_b)、ID_b和N₈P得到密文(r_b，s_b)为E_b的数字证书，ID_b为E_b的ID，T_b为E_b数字证书签名的有效期；利用椭圆曲线加密方法ECES计算密文再发送N₁₀P、N₁₁P、EN_a3和EN_a4给E_a，然后计算会话密钥k_ba＝Hash(d_bQ_a.x，N₁₀N₉P.x，ID_b，ID_a)；

4-9)E_a→E_b：E_a解密EN_a4中的Q_a并计算出对称密钥K_b＝Hash(d_bQ_a.x，N₁₀N₉P.x)，解密EN_a3检查N₈P.x和(r_b，s_b)，计算会话密钥k_ab＝Hash(d_bQ_a.x，N₉N₁₀P.x，ID_b，ID_a)。

Claims (5)

1.一种物联网环境下基于区块链的跨域认证和密钥协商方法，其特征在于，包括以下步骤：

(1)初始化：每个实体、边缘服务器和基于区块链证书授权中心BCCA在初始化阶段生成自己的公私钥对；

(2)用户注册：实体通过边缘服务器向BCCA发起注册请求，合法的实体收到边缘服务器返回的数字证书；

(3)域内认证：已经注册并拥有数字证书的实体向边缘服务器发起在家乡域内的身份认证；

(4)域间认证：一个域的可信实体到另一个域进行的身份认证，记为域间认证；设定信任域A和B，A域的已注册实体E_a需要访问B域，在进行通信之前B域的边缘服务器ES_B对A域的已注册实体E_a进行身份认证，完成身份认证后才可与B域的可信实体E_b进行密钥协商，交互信息；

所述步骤(1)中，初始化阶段是指E_a或者A域的边缘服务器ES_A在注册身份前做的准备工作，以E_a的初始化过程为例，首先选择一个随机数d_a∈[1,n-1]作为私钥保存，并根据E(F_p)计算自己的公钥Q_a＝d_a·P；同理，每个实体、边缘服务器和BCCA都在初始化阶段生成自己的公私钥对；

其中E(F_p)为选取有限域F_p上随机生成的一条椭圆曲线，一旦椭圆曲线确定，椭圆曲线上的基点P也随之确定，P的阶数为n，n是一个素数；

所述步骤(2)中用户注册的具体过程为：

2-1)E_a→ES_A:{Q_a,ID_a}，E_a向ES_A发送Q_a和ID_a并发起注册请求，其中Q_a、ID_a分别为E_a的公钥和ID；

2-2)ES_A收到来自E_a的注册请求后，首先保存ID_a，为了避免重放攻击，ES_A发送一个用E_a的公钥Q_a进行加密后的随机数N₁给E_a确认注册请求；

2-3)E_a收到来自ES_A的随机数N₁时，返回验证一个用E_a的公钥Q_a进行加密后的消息N₁-1表明自己确认注册信息；

2-4)ES_A→BCCA:{Q_a,ID_a,(N₂)_sig,N₂}，ES_A收到来自E_a的验证消息后确认E_a身份，身份无确认误后发送Q_a、ID_a给BCCA，为其向BCCA申请数字证书，申请过程中ES_A用私钥签名一个随机数N₂用来声明E_a在ES_A管辖范围内；BCCA检查E_a的ID_a是否已经被注册，若已经被注册，则此次注册申请不通过，返回错误信息给ESA，若没有被注册则选择一个随机数N₃然后为E_a计算数字证书并将数字证书的哈希值Hash(ID_a)存储至区块链中，一个完整的数字证书签名由(r_a,s_a)两部分组成，其中r_a＝(d_a·P).xmod n，.x是取坐标的x轴的值，mod是取余操作，s_a＝N₃ ^-1(e_a+d_CA·r_a)，其中哈希值e_a＝Hash(Q_a.x,ID_a,T_a)，T_a为E_a数字证书签名的有效期，d_CA为BCCA的私钥；

2-5)BCCA→E_a:{Q_CA,ID_a,(r_a,s_a),T_a}，BCCA将BCCA的公钥Q_CA，E_a的数字证书签名(r_a,S_a)和E_a数字证书签名的有效期T_a发送给E_a；

所述步骤(3)中域内认证的具体过程为：

3-1)E_a→ES_A:{ID_a}，E_a发送ID_a向ES_A发起认证请求；

3-2)ES_A→BCCA:{ID_a}，ES_A发送ID_a向BCCA发起查询请求，查询ID_a是否为已经注册过的实体；

3-3)BCCA→ES_A:{Hash(ID_a)}，BCCA到区块链中查找是否存在ID_a的注册记录，并查看证书撤销列表CRL中是否有E_a的被撤销记录，如果出现以下情况会被记入CRL中：a)私钥不安全；b)数字证书不安全；c)数字证书逾期；若存在ID_a的注册记录且并不存在被撤销记录，则说明E_a为可信任的实体，BCCA返回从区块链中查找到的实体E_a的Hash(ID_a)给ES_A，否则返回错误；

3-4)ES_A→E_a:{Q_A,ID_A,(r_A,s_A),T_A,N₄P,N₅P}，ES_A收到BCCA返回的结果，若返回的结果为错误，即为恶意用户，则认证失败，不返回消息至E_a；若返回的结果说明E_a为可信任的实体，通过认证，则ES_A将自己的公钥Q_A、ID_A、数字证书(r_A,s_A)和数字证书签名的有效期T_A发送给E_a，同时采用椭圆曲线Diffie-Hellman密钥交换方法ECDH通过随机数N₄、N₅生成临时密钥N₄P和公钥N₅P一起发送给E_a；

3-5)E_a→ES_A:{N₆P,N₇P,EN_a1,EN_a2}，E_a收到成功消息则可与ES_A建立会话密钥；E_a选择随机数N₆,N₇计算对称密钥K_a＝Hash(d_aQ_A.x,N₆N₅P.x)来加密(r_a,s_a)、ID_a和N₄P得到密文利用椭圆曲线加密方法ECES计算密文再发送N₆P、N₇P、EN_a1和EN_a2给ES_A，然后计算会话密钥k_aA＝Hash(d_aQ_A.x,N₆N₅P.x,ID_a,ID_A)；

3-6)ES_A→E_a:ES_A解密EN_a2中的Q_a然后才能顺利计算出对称密钥K_A＝Hash(d_A·Q_a.x,N₅N₆P.x)，只有k_A等于k_a才能解密EN_a1检查N₄P.x和(r_a,s_a)的有效期，同时也计算出会话密钥k_Aa＝Hash(d_AQ_a.x,N₅N₆P.x,ID_a,ID_A)。

2.根据权利要求1所述的物联网环境下基于区块链的跨域认证和密钥协商方法，其特征在于，所述步骤3-4)中，椭圆曲线Diffie-Hellman密钥交换方法ECDH的过程为：

1.1：Alice选择随机数m_a，计算Q_a＝m_aP发送给Bob；

1.2：Bob选择随机数m_b，计算Q_b＝m_bP发送给Alice；

1.3：Alice计算m_aQ_b；

1.4：Bob计算m_bQ_a；

1.5：Alice和Bob生成会话密钥key＝(m_aQ_b).x＝(m_bQ_a).x。

3.根据权利要求1所述的物联网环境下基于区块链的跨域认证和密钥协商方法，其特征在于，所述步骤3-5)中，E_a收到成功消息后，同样E_a也需要查验ES_A的身份信息，检查ES_A发送的T_a是否在有效期内，以及根据椭圆曲线数字签名算法ECDSA验证数字证书的签名信息是否有效，只有在通过验证的情况下才能进行后续的步骤；

椭圆曲线数字签名算法ECDSA的过程为：

2.1：Alice选择随机数m_a作为私钥保存，计算公钥Q_a＝m_aP公开；

2.2：Alice对message签名时选择随机数k，并计算r＝(kP).x mod n和s＝k^-1(Hash(message)+m_ar)mod n，此时对消息的签名是(r,s)；

2.3：Bob收到Alice消息后验证签名时，计算s^-1(Hash(message)P+rQ_a).x mod n是否等于r，若等于说明签名正确。

4.根据权利要求1所述的物联网环境下基于区块链的跨域认证和密钥协商方法，其特征在于，所述步骤3-5)中，椭圆曲线加密方法ECES的过程为：

3.1：Alice选择随机数m_a作为私钥保存，计算公钥Q_a＝m_aP公开；

3.2：Bob用Q_a对message加密时选择随机数k并计算kP和密文 一起发送给Alice；

3.3：Alice计算解密即可得到消息。

5.根据权利要求1所述的物联网环境下基于区块链的跨域认证和密钥协商方法，其特征在于，所述步骤(4)中域间认证的具体过程为：

4-1)E_a→ES_B:(ID_a,)，E_a向ES_B发起对B域的访问请求；

4-2)ES_B→ES_A:{ID_a}，ES_B收到异域实体的跨域访问请求后向ES_A请求认证E_a；

4-3)ES_A→ES_B:{ID_a,Q_a}，ES_A收到本域实体的跨域请求后，回复确认信息给ES_B；

4-4)ES_B→BCCA:{ID_a}，ES_B向BCCA发起查询请求，查询ID_a是否为已经注册过的实体；

4-5)BCCA→ES_B:{Hash(ID_a)}，BCCA到区块链中查找是否存在ID_a的注册记录，如果存在则返回该实体的数字证书中查询到的Hash(ID_a)，否则返回错误；

4-6)ES_B→E_a:{Q_B}，ES_B确认E_a为可信实体通过认证，将B域的公钥发送给E_a使得E_a能与B域任意设备实现暂时通信；

4-7)E_a→E_b:{Q_a,ID_a,(r_a,s_a),T_a,N₈P,N₉P}，E_a收到ES_B返回的实体E_b公钥信息后，E_a尝试与E_b建立连接，E_a将自己的公钥Q_a、ID_a、数字证书(r_a,s_a)和数字证书签名的有效期T_a发送给E_b，同时采用椭圆曲线Diffie-Hellman密钥交换方法ECDH通过随机数N₈、N₉生成临时密钥N₈P和公钥N₉P一起发送给E_b；

4-8)E_b→E_a:{N₁₀P,N₁₁P,EN_a3,EN_a4}，E_b收到消息后开始与E_a建立会话密钥；E_b选择随机数N₁₀,N₁₁计算对称密钥K_b＝Hash(d_bQ_a.x,N₁₀N₉P.x)来加密(r_b,s_b)、ID_b和N₈P得到密文(r_b,s_b)为E_b的数字证书，ID_b为E_b的ID，T_b为E_b数字证书签名的有效期；利用椭圆曲线加密方法ECES计算密文再发送N₁₀P、N₁₁P、EN_a3和EN_a4给E_a，然后计算会话密钥k_ba＝Hash(d_bQ_a.x,N₁₀N₉P.x,ID_b,ID_a)；

4-9)E_a→E_b:E_a解密EN_a4中的Q_a并计算出对称密钥K_b＝Hash(d_bQ_a.x,N₁₀N₉P.x)，解密EN_a3检查N₈P.x和(r_b,s_b)，计算会话密钥k_ab＝Hash(d_bQ_a.x,N₉N₁₀P.x,ID_b,ID_a)。