CN115580421A - 一种基于互联网的分布式身份验证方法 - Google Patents

Abstract

本发明公开了一种基于互联网的分布式身份验证方法，所述方法包括，建立互联网中心；根据所述互联网中心注册CA平台所述CA平台根据区块链建立虚拟区；根据所述虚拟区对身份进行验证；本发明通过在互联网中心建立虚拟区，使每个设备仅与同区设备通信，并将其它设备视为恶意设备，虚拟区中的成员均可彼此信任，虚拟区中的设备是受保护的，非成员设备不可访问虚拟区，在安全虚拟区中，设备可通过安全方式相互通信，能够满足安全要求，抵御各种安全攻击；在通过公钥设施端和互联网中心对设备做接入认证。

Description

一种基于互联网的分布式身份验证方法

技术领域

本发明涉及身份验证领域，尤其是一种基于互联网的分布式身份验证方法。

背景技术

互联网是网络与网络之间所串连成的网络，这些网络以一组通用的协议相连，形成 逻辑上的单一国际网络；区块链是分布式数据存储，点对点传输，共识机制，加密算法等计算机技术的新型应用模型。

目前区块链与互联网进行集成，在分析区块链并满足互联网安全要求下，在对身份 进行识别较少，而过度依赖中心和的互联网认证中心，一旦互联网中心被黑客攻击，造成密钥泄露，很容易造成设备互联瘫痪。

发明内容

基于此，有必要针对上述技术问题，提供一种基于互联网的分布式身份验证方法。

本发明技术方案如下：

一种基于互联网的分布式身份验证方法,包括：

步骤一、建立互联网中心；

步骤二、根据所述互联网中心注册CA(证书颁发机构)平台；

步骤三、所述CA(证书颁发机构)平台根据区块链建立虚拟区；

步骤四、根据所述虚拟区对身份进行验证。

在进一步实施例中，所述步骤一进一步为，所述互联网中心通过双向认证对设备进 行身份验证；所述互联网中心以加密方式验证证书链的信息，在向设备发出所有权证明质询，若设备返回了所有权证明成功响应，则互联网中心会声明设备是可信的，若无响 应则重新进行身份验证；所述互联网中心的证书匹配流程如下：

步骤21、用户申请证书，并发送给互联网管理中心；

步骤22、互联网管理中心验证申请证书是否有效；否则用户重新申请证书，是则发送给公钥设施端；

步骤23、公钥设施端进行证书的签证和下发；并逐一向互联网管理中心、用户和设备发送证书；

步骤24、所述设备对证书进行保存。

在进一步实施例中，所述设备包括设备A和设备B，所述公钥设施端通过设备A向设备B发送安全传输层协议，具体步骤如下：

步骤25、设备B将保存的证书发送给设备A；

步骤26、设备A对设备B发送的证书进行验证；

步骤27、设备A将保存的证书发送给设备B；

步骤28、设备B对设备A发送的证书进行验证；并将验证的信息反馈给设备A；

步骤29、设备A接收设备B的验证信息，并进行对比，实施双向认证。

在进一步实施例中，所述步骤二进一步为，所述注册CA(证书颁发机构)在设备为证书进行签名，并将证书的验证请求与设备进行连接,通过设备进行身份验证；当CA(证 书颁发机构)签名的设备建立连接时，上传证书链进行验证。

在进一步实施例中，所述互联网中心将设备设为虚拟区主节点，每个连接所述主节 点的设备为从属节点，每个从属节点生成椭圆曲线私钥，然后向每个从属节点进行发放， 并提供票据，所述票据为64字节的轻量级证书，其中包含GrpID(对象所属的虚拟区)、objID(从属节点在虚拟区中的身份标识)和pubAddr(从属节点的公共地址)；在通过 签名结构将虚拟区主节点的私钥生成的椭圆曲线数字签名算法。

在进一步实施例中，所述步骤三进一步为，所述互联网中心在区块链上建立虚拟区， 通过主节点发送主节点标识和组标识符的交易；所述区块链检查GrpID(对象所属的虚拟区)和主节点的objID(从属节点在虚拟区中的身份标识)是否有效，若交易有效， 则创建虚拟区，若无效，则重新建立虚拟区。

在进一步实施例中，所述从属节点发送交易，并与所述虚拟区进行关联，通过区块链验证从属节点GrpID(对象所属的虚拟区)的唯一性，在利用所述虚拟区主节点的公 钥，检查所述从属节点的票据的有效性；若无效，则从属节点不能与虚拟区进行关联， 若有效，则从属节点将不再需要利用票据来认证自身。

在进一步实施例中，所述步骤四进一步为，通过用户发送关联请求，发送的消息以从属节点的私钥进行签名，并包含从属节点的票据；

当区块链接收到交易时，利用从属节点的公钥对签名进行检查，进而验证签名的完 整性，在利用主节点的公钥检查从属节点的票据；

若票据有效，则区块链保存GrpID(对象所属的虚拟区)、objID(从属节点在虚拟区中的身份标识)和公钥的一个关联；若票据无效，则区块链不保存；

若关联被保存有效，设备成功通过身份验证；

最后，已认证设备持有票据者，可加入所属组中，进而完成身份的验证。

有益效果：本发明设计一种基于互联网的分布式身份验证方法，通过在互联网中心建立虚拟区，使每个设备仅与同区设备通信，并将其它设备视为恶意设备，虚拟区中的成员均可彼此信任，虚拟区中的设备是受保护的，非成员设备不可访问虚拟区，在安全虚拟区中，设备可通过安全方式相互通信，能够满足安全要求，抵御各种安全攻击；在通过公钥设施端和互联网中心对设备做接入认证。

附图说明

图1为本发明的流程结构示意图。

图2为本发明的证书匹配流程示意图。

图3为本发明的设备双向认证示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请， 并不用于限定本申请。

如图1至图3所示，一种基于互联网的分布式身份验证方法，包括：

建立互联网中心；

所述互联网中心通过双向认证对设备进行身份验证；所述互联网中心以加密方式验 证证书链的信息，在向设备发出所有权证明质询，若设备返回了所有权证明成功响应，则互联网中心会声明设备是可信的，若无响应则重新进行身份验证；所述互联网中心的 证书匹配流程如下：

用户申请证书，并发送给互联网管理中心；

互联网管理中心验证申请证书是否有效；否则用户重新申请证书，是则发送给公钥 设施端；

公钥设施端进行证书的签证和下发；并逐一向互联网管理中心、用户和设备发送证 书；

所述设备对证书进行保存。

所述设备包括设备A和设备B，所述公钥设施端通过设备A向设备B发送安全传输层协议，具体步骤如下：

设备B将保存的证书发送给设备A；

设备A对设备B发送的证书进行验证；

设备A将保存的证书发送给设备B；

设备B对设备A发送的证书进行验证；并将验证的信息反馈给设备A；

设备A接收设备B的验证信息，并进行对比，实施双向认证。

所述互联网中心将设备设为虚拟区主节点，每个连接所述主节点的设备为从属节点，每个从属节点生成椭圆曲线私钥，然后向每个从属节点进行发放，并提供票据，所 述票据为64字节的轻量级证书，其中包含对象所属的虚拟区、从属节点在虚拟区中的 身份标识和从属节点的公共地址；在通过签名结构将虚拟区主节点的私钥生成的椭圆曲 线数字签名算法。

所述互联网中心在区块链上建立虚拟区，通过主节点发送主节点标识和组标识符的 交易；所述区块链检查对象所属的虚拟区和主节点的从属节点在虚拟区中的身份标识是 否有效，若交易有效，则创建虚拟区，若无效，则重新建立虚拟区。

所述从属节点发送交易，并与所述虚拟区进行关联，通过区块链验证从属节点对象 所属的虚拟区的唯一性，在利用所述虚拟区主节点的公钥，检查所述从属节点的票据的有效性；若无效，则从属节点不能与虚拟区进行关联，若有效，则从属节点将不再需要 利用票据来认证自身。

根据所述互联网中心注册证书颁发机构平台；

所述注册证书颁发机构在设备为证书进行签名，并将证书的验证请求与设备进行连 接,通过设备进行身份验证；当证书颁发机构签名的设备建立连接时，上传证书链进行验证。所述证书颁发机构平台根据区块链建立虚拟区；

根据所述虚拟区对身份进行验证。

用户发送关联请求，发送的消息以从属节点的私钥进行签名，并包含从属节点的票 据；

当区块链接收到交易时，利用从属节点的公钥对签名进行检查，进而验证签名的完 整性，在利用主节点的公钥检查从属节点的票据；

若票据有效，则区块链保存对象所属的虚拟区、从属节点在虚拟区中的身份标识和 公钥的一个关联；若票据无效，则区块链不保存；

若关联被保存有效，设备成功通过身份验证；

最后，已认证设备持有票据者，可加入所属组中，进而完成身份的验证。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中 的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因 此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护 范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (8)

1.一种基于互联网的分布式身份验证方法，其特征在于，所述方法包括：

步骤一、建立互联网中心；

步骤二、根据所述互联网中心注册CA平台；

步骤三、所述CA平台根据区块链建立虚拟区；

步骤四、根据所述虚拟区对身份进行验证。

2.根据权利要求1所述的一种基于互联网的分布式身份验证方法，其特征在于，所述步骤一进一步为，所述互联网中心通过双向认证对设备进行身份验证；所述互联网中心以加密方式验证证书链的信息，在向设备发出所有权证明质询，若设备返回了所有权证明成功响应，则互联网中心会声明设备是可信的，若无响应则重新进行身份验证；所述互联网中心的证书匹配流程如下：

步骤21、用户申请证书，并发送给互联网管理中心；

步骤22、互联网管理中心验证申请证书是否有效；否则用户重新申请证书，是则发送给公钥设施端；

步骤23、公钥设施端进行证书的签证和下发；并逐一向互联网管理中心、用户和设备发送证书；

步骤24、所述设备对证书进行保存。

3.根据权利要求2所述的一种基于互联网的分布式身份验证方法，其特征在于，所述设备包括设备A和设备B，所述公钥设施端通过设备A向设备B发送安全传输层协议，具体步骤如下：

步骤25、设备B将保存的证书发送给设备A；

步骤26、设备A对设备B发送的证书进行验证；

步骤27、设备A将保存的证书发送给设备B；

步骤28、设备B对设备A发送的证书进行验证；并将验证的信息反馈给设备A；

步骤29、设备A接收设备B的验证信息，并进行对比，实施双向认证。

4.根据权利要求3所述的一种基于互联网的分布式身份验证方法，其特征在于，所述步骤二进一步为，所述注册CA在设备为证书进行签名，并将证书的验证请求与设备进行连接,通过设备进行身份验证；当CA签名的设备建立连接时，上传证书链进行验证。

5.根据权利要求4所述的一种基于互联网的分布式身份验证方法，其特征在于，所述互联网中心将设备设为虚拟区主节点，每个连接所述主节点的设备为从属节点，每个从属节点生成椭圆曲线私钥，然后向每个从属节点进行发放，并提供票据，所述票据为64字节的轻量级证书，其中包含GrpID、objID和pubAddr；在通过签名结构将虚拟区主节点的私钥生成的椭圆曲线数字签名算法。

6.根据权利要求1所述的一种基于互联网的分布式身份验证方法，其特征在于，所述步骤三进一步为，所述互联网中心在区块链上建立虚拟区，通过主节点发送主节点标识和组标识符的交易；所述区块链检查grpID和主节点的objID是否有效，若交易有效，则创建虚拟区，若无效，则重新建立虚拟区。

7.根据权利要求5所述的一种基于互联网的分布式身份验证方法，其特征在于，所述从属节点发送交易，并与所述虚拟区进行关联，通过区块链验证从属节点GrpID的唯一性，在利用所述虚拟区主节点的公钥，检查所述从属节点的票据的有效性；若无效，则从属节点不能与虚拟区进行关联，若有效，则从属节点将不再需要利用票据来认证自身。

8.根据权利要求1所述的一种基于互联网的分布式身份验证方法，其特征在于，所述步骤四进一步为，通过用户发送关联请求，发送的消息以从属节点的私钥进行签名，并包含从属节点的票据；

当区块链接收到交易时，利用从属节点的公钥对签名进行检查，进而验证签名的完整性，在利用主节点的公钥检查从属节点的票据；

若票据有效，则区块链保存grpID、objID和公钥的一个关联；若票据无效，则区块链不保存；

若关联被保存有效，设备成功通过身份验证；

最后，已认证设备持有票据者，可加入所属组中，进而完成身份的验证。

Images