CN115733688B - 基于分布式数字身份的物联网设备离线认证方法 - Google Patents

Abstract

本发明涉及物联网设备离线认证领域，具体涉及一种基于分布式数字身份的物联网设备离线认证方法，实现了离线认证中的动态权限的管理，提高了离线认证的效率。本发明基于分布式数字身份的物联网设备离线认证方法，包括：创建设备所有者、物联网设备和设备访问者的DID信息，并将DID信息上传至分布式数字身份基础设施；根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链；信任链构建完成后，完成物联网设备在离线环境下的身份认证。本发明适用于物联网设备的离线认证。

Description

基于分布式数字身份的物联网设备离线认证方法

技术领域

本发明涉及物联网设备离线认证领域，具体涉及一种基于分布式数字身份的物联网设备离线认证方法。

背景技术

随着物联网设备的不断普及，相关应用不断丰富，物联设备也逐渐由谁部署谁使用向一方部署多方使用的方向发展。由于物联网数据采集环境无法排除不友好环境，该环境受到网络覆盖不到、环境干扰、电力受限、费用等因素的影响，往往无法保证所有设备支持在线识别，同时由于缺乏双向认证的机制保证，导致上述环境下设备的部署往往在设备可用性和安全方面大打折扣。

区块链技术是一种分布式存储方案，涉及数学、密码学、计算机等多学科领域知识，具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等特点。区块链技术可以满足物联网数据采集对数据安全、可追溯等方面的需求，但数据的上链和查询都离不开网络，从而难以在不友好环境中部署。不友好环境指设备部署所在的环境不完全满足正常部署的条件，比如环境受到网络覆盖不到、环境干扰、电力受限、费用等因素的影响难以保证设备约物联网进行正常通信。

公开密钥密码体制通过加密密钥和解密密钥分离的方式解决了对称密码中的密钥协商问题。公钥和私钥成对使用，授信方公开自己的公钥，其他用户就可以公开的公钥验证授信方是否持有私钥而确认授信方身份。公开密钥密码体制可解决物联网数据采集中的密钥分发和数据加密，但需要一个信任中心解决采集端和接收端的身份授信问题。

针对不友好环境下的离线认证问题，传统的思路将认证权限下放到设备，即通过设备对用户进行身份认证，比如专利号：CN201811564925公开的单次密码离线认证方法及装置以及专利号：CN201811564699公开的动态密码离线认证方法及装置通过将密码、指纹等身份特征信息存在设备中，从而实现设备的认证；专利号：CN201110230863公开的一种基于USB key的BIOS认证方法通过将认证信息封装到USBKey中实现用户认证。上述认证方式以设备为认证中心，是一种完全基于离线场景的设计思路，该方法不适用于支持云端、边缘端接入等场景下的统一身份认证问题，同时也无法满足用户动态认证和授权的需要。

基于证书的认证方式是目前应用最广泛的认证方式，比如专利号：CN201811383710公开的电子标签离线认证系统及方法将认证数据存储在客户端，专利号：CN201110414819公开的基于云计算可离线的软件许可集中安全认证系统及其方法通过云端产生认证授权文件分发给离线认证服务器，专利号：CN201610704078公开的面向离线认证设备的在线认证系统和方法通过利用移动终端实现设备离线认证操作，上述方案利用证书机制有效解决了离线环境下的统一身份认证问题，但上述方案没有对设备与用户的双向认证提供解决思路，存在中间人攻击等安全风险。

专利号：CN201580025927公开的离线认证采用公私钥体制解决了双向问题，专利号：CN202111158449公开的物联网设备离线会话方法、装置及存储介质利用椭圆曲线算法解决双向认证问题，专利号：CN201710626863公开的一种“可穿戴”设备或手机的离线认证或支付方法和专利号：CN201410373687公开的一种基于PUF的认证方法及设备进一步将设备特征引入到认证环节，大大提升了认证的有效性。此外，专利号：CN201810390666公开的一种基于动态口令进行离线认证的登录方法及系统、专利号：CN202110103480公开的一种可秘密共享的隐藏身份SM2签名私钥产生装置及其方法、专利号：CN202010153579公开的一种嵌入式设备固件离线校验方法及系统、专利号：CN201811298431公开的一种无需重注册并支持离线认证的动态口令认证方法等也纷纷讨论了基于证书的离线认证方案。上述专利为解决不友好环境的下设备离线认证问题提供了解决思路，但是上述方法一方面依赖统一的CA提供证书管理平台，CA组织的安全性、持续性都会设备的认证管理产生影响。

从现有的技术方案看，针对不友好环境下的设备离线解决方案，从技术层面已经实现了对统一身份认证的支持，也基于证书机制确保了安全性。但现有的方案依然存在几个主要问题。第一，现有的解决方案依然是中心式身份解决方案，用户的认证依赖CA(Certificate Authority，电子认证服务机构)等中心平台，存在中心式认证固有的可用性及安全问题；第二，设备不具备身份信息，现有的认知实质是对用户身份的认证，因此多数方案都不涉及双向认证问题；第三，现有的方案在进行认证身份的添加、权限的动态调整方面需要通过CA重新发放，增加了证书更新的频率，尤其在需要对用户及权限频繁调整的场景下现有方案的易用性大打折扣。

发明内容

本发明的目的是提供一种基于分布式数字身份的物联网设备离线认证方法，通过信任链构建实现了离线认证中的动态权限的管理，提高了离线认证的效率。

本发明采取如下技术方案实现上述目的，基于分布式数字身份的物联网设备离线认证方法，包括：

步骤1、创建设备所有者、物联网设备和设备访问者的DID(Decentralizedidentifiers，分布式数字身份)信息，并将DID信息上传至分布式数字身份基础设施；

步骤2、根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链；

步骤3、信任链构建完成后，完成物联网设备在离线环境下的身份认证。

进一步的是，步骤1中，所述创建设备所有者、物联网设备和设备访问者的DID信息具体包括：

步骤101、创建者自行生成公私钥对，公钥保存在DID信息中，私钥创建者持有；

步骤102、生成创建者的DID信息，所述DID信息中包括物联网设备关键信息的哈希值，当创建者为设备所有者或设备访问者时，DID信息还包括至少一种生物特征；当创建者为物联网设备时，DID信息还包括至少一种设备特征信息。所述生物特征包括指纹特征，所述设备特征包括设备序列号。

通过上述方法，创建者自行生成公私钥对，不再需要通过CA进行密钥创建，可以确保私钥只被创建者持有，解决了当前离线认证方案中高度依赖中心CA进行证书发放的问题；并且DID信息包括有创建者的特征，提高了DID信息的准确识别能力。

进一步的是，步骤2中，所述根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链具体包括：

步骤201、在物联网设备部署至离线环境前，设备所有者下发操作权限认证及应用相关凭据至物联网设备，物联网设备通过分布式数字身份基础设施获取设备所有者DID信息，并校验设备所有者下发的凭据的真实性，校验成功后存储凭据信息、设备所有者DID信息；通过此方法构建了设备所有者与物联网设备之间的信任链；

步骤202、设备所有者获取设备访问者DID信息，并向设备访问者下发授权凭据，授权凭据中包括设备访问者DID信息、授权信息，以及物联网设备的DID信息；通过此方法构建了设备所有者与设备访问者的信任链；

步骤203、设备访问者从分布式数字身份基础设施获取设备所有者DID信息，并验证授权凭据有效性，验证通过后存储到本地，至此完成信任的构建。通过此方法构建了设备访问者与物联网设备之间的信任链。

进一步的是，步骤3中，所述信任链构建完成后，完成物联网设备在离线环境下的身份认证具体包括：

步骤301、设备访问者向物联网设备提交授权凭据；

步骤302、物联网设备基于从设备所有者DID信息中获取设备所有者公钥；

步骤303、利用设备所有者公钥解开设备访问者提交的授权凭据，并从中提取设备访问者DID信息及相应的授权信息；

步骤304、物联网设备通过设备访问者DID信息验证设备所有者身份，确认授权凭据是由设备访问者提交；

步骤305、验证通过后，物联网设备向设备访问者返回自己的信息；

步骤306、设备访问者根据设备所有者提供的物联网设备DID信息验证被访问的物联网设备信息，验证通过后访问设备，并下发操作指令；

步骤307、物联网设备执行设备访问者操作指令。

进一步的是，步骤3中，信任链构建完成后，还包括对物联网设备的离线更新，所述离线更新具体包括：

步骤401、设备所有者将需要更新的策略信息通过设备公钥加密后下以凭据形式下发到设备访问者；

步骤402、设备访问者校验凭据的有效性；

步骤403、校验成功后设备访问者将凭据转发给物联网设备；

步骤404、物联网设备验证凭据是否由设备所有者下发，若是，则物联网设备通过自身的私钥解开所述凭据，获取需要更新的策略信息，并按照该策略信息进行更新。

本发明的有益效果为：

本发明通过采用分布式数字身份技术，不再依赖CA进行证书发放，同时实现了设备身份的标识与双向认证，并且通过设备所有者与物联网设备、设备所有者与设备访问者以及设备访问者与物联网设备之间的信任链构建实现了离线认证中的动态权限管理，例如离线认证以及离线更新中的动态权限管理，提高了离线认证的效率以及安全性。

附图说明

图1为本发明实施例提供的分布式数字身份创建流程图；

图2为本发明实施例提供的信任链创建流程图；

图3为本发明实施例提供的物联网设备离线认证流程图；

图4为本发明实施例提供的物联网设备离线授权更新流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明基于分布式数字身份的物联网设备离线认证方法，应用于基于设备所有者、设备访问者、物联网设备以及分布式数字身份基础设施构成的物联网设备相关使用场景。

设备所有者拥有设备的所有权，可以授权其他用户或者设备对物联网设备进行访问，以及定制相应的访问权限。

设备访问者指对设备进行访问的用户，既可以是设备所有者，也可以是设备所有者授权的其他用户或终端。

物联网设备指被访问者访问的设备，需要对访问者进行身份认证，确认用户是否有权访问设备。

分布式数字身份基础设施用于存放分布式数据身份账号、公钥等对外公开信息。

基于此，本发明提供了一种基于分布式数字身份的物联网设备离线认证方法，包括：

步骤1、创建设备所有者、物联网设备和设备访问者的DID信息，并将DID信息上传至分布式数字身份基础设施；

步骤2、根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链；

步骤3、信任链构建完成后，完成物联网设备在离线环境下的身份认证。

在本发明的一种实施例中，步骤1中，创建设备所有者、物联网设备和设备访问者的DID信息流程如图1所示，具体包括：

创建者自行生成公私钥对，公钥保存在DID信息中，私钥创建者持有；

完成私钥创建后，生成创建者的DID信息，DID信息包括创建者的DID账号及DID文档；所述DID信息中包括物联网设备关键信息的哈希值，当创建者为设备所有者或设备访问者时，DID信息还包括至少一种生物特征；当创建者为物联网设备时，DID信息还包括至少一种设备特征信息。所述生物特征包括指纹特征，所述设备特征包括设备序列号。

本实施例中，创建者自行生成公私钥对，不再需要通过CA进行密钥创建，可以确保私钥只被创建者持有，解决了当前离线认证方案中高度依赖中心CA进行证书发放的问题；并且DID信息包括有创建者的特征，提高了DID信息的准确识别能力。

在本发明的一种实施例中，步骤2中，根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链的流程如图2所示，具体包括：

步骤201、在物联网设备部署至离线环境前，设备所有者下发操作权限认证及应用相关凭据至物联网设备，物联网设备通过分布式数字身份基础设施获取设备所有者DID信息，并校验设备所有者下发的凭据的真实性，校验成功后存储凭据信息、设备所有者DID信息；通过此方法构建了设备所有者与物联网设备之间的信任链；

步骤202、设备所有者获取设备访问者DID信息，并向设备访问者下发授权凭据，授权凭据中包括设备访问者DID信息、授权信息，以及物联网设备的DID信息；通过此方法构建了设备所有者与设备访问者的信任链；

步骤203、设备访问者从分布式数字身份基础设施获取设备所有者DID信息，并验证授权凭据有效性，验证通过后存储到本地，至此完成信任的构建。通过此方法构建了设备访问者与物联网设备之间的信任链。

本实施例中，凭据包括可验证声明(VC，Verifiable Credential)和可验证表达(VP，Verifiable presentation)，均指基于分布式数字身份生成的可验证信息。

在本发明的一种实施例中，步骤3中，信任链构建完成后，完成物联网设备在离线环境下的身份认证的流程如图3所示，具体包括：

步骤301、设备访问者向物联网设备提交访问凭据(即授权凭据)；

步骤302、物联网设备基于从设备所有者DID信息中获取设备所有者公钥；

步骤303、利用设备所有者公钥解开设备访问者提交的授权凭据，并从中提取设备访问者DID信息及相应的授权信息；

步骤304、物联网设备通过设备访问者DID信息验证设备所有者身份，确认授权凭据是由设备访问者提交；

步骤305、验证通过后，物联网设备向设备访问者返回自己的信息；

步骤306、设备访问者根据设备所有者提供的物联网设备DID信息验证被访问的物联网设备信息，验证通过后访问设备，并下发操作指令；

步骤307、物联网设备执行设备访问者操作指令。

在本发明的一种实施例中，步骤3中，信任链构建完成后，还包括对物联网设备的离线更新，所述离线更新流程如图4所示，具体包括：

步骤401、设备所有者将需要更新的策略信息通过设备公钥加密后下以凭据形式下发到设备访问者；

步骤402、设备访问者校验凭据的有效性；

步骤403、校验成功后设备访问者将凭据转发给物联网设备；

步骤404、物联网设备验证凭据是否由设备所有者下发，若是，则物联网设备通过自身的私钥解开所述凭据，获取需要更新的策略信息，并按照该策略信息进行更新。

综上所述，本发明不再依赖CA进行证书发放，同时实现了设备身份的标识与双向认证，并且通过设备所有者与物联网设备、设备所有者与设备访问者以及设备访问者与物联网设备之间的信任链构建实现了离线认证中的动态权限管理，提高了离线认证的效率以及安全性。

Claims (3)

1.基于分布式数字身份的物联网设备离线认证方法，其特征在于，包括：

步骤1、创建设备所有者、物联网设备和设备访问者的DID信息，并将DID信息上传至分布式数字身份基础设施；

步骤2、根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链；

步骤3、信任链构建完成后，完成物联网设备在离线环境下的身份认证；

步骤1中，所述创建设备所有者、物联网设备和设备访问者的DID信息具体包括：

步骤101、创建者自行生成公私钥对，公钥保存在DID信息中，私钥创建者持有；

步骤102、生成创建者的DID信息，所述DID信息中包括物联网设备关键信息的哈希值，当创建者为设备所有者或设备访问者时，DID信息还包括至少一种生物特征；当创建者为物联网设备时，DID信息还包括至少一种设备特征信息；

步骤2中，所述根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链具体包括：

步骤201、在物联网设备部署至离线环境前，设备所有者下发操作权限认证及应用相关凭据至物联网设备，物联网设备通过分布式数字身份基础设施获取设备所有者DID信息，并校验设备所有者下发的凭据的真实性，校验成功后存储凭据信息、设备所有者DID信息；

步骤202、设备所有者获取设备访问者DID信息，并向设备访问者下发授权凭据，授权凭据中包括设备访问者DID信息、授权信息，以及物联网设备的DID信息；

步骤203、设备访问者从分布式数字身份基础设施获取设备所有者DID信息，并验证授权凭据有效性，验证通过后存储到本地，至此完成信任的构建；

步骤3中，所述信任链构建完成后，完成物联网设备在离线环境下的身份认证具体包括：

步骤301、设备访问者向物联网设备提交授权凭据；

步骤302、物联网设备基于从设备所有者DID信息中获取设备所有者公钥；

步骤303、利用设备所有者公钥解开设备访问者提交的授权凭据，并从中提取设备访问者DID信息及相应的授权信息；

步骤304、物联网设备通过设备访问者DID信息验证设备所有者身份，确认授权凭据是由设备访问者提交；

步骤305、验证通过后，物联网设备向设备访问者返回自己的信息；

步骤306、设备访问者根据设备所有者提供的物联网设备DID信息验证被访问的物联网设备信息，验证通过后访问设备，并下发操作指令；

步骤307、物联网设备执行设备访问者操作指令。

2.根据权利要求1所述的基于分布式数字身份的物联网设备离线认证方法，其特征在于，所述生物特征包括指纹特征，所述设备特征包括设备序列号。

3.根据权利要求1所述的基于分布式数字身份的物联网设备离线认证方法，其特征在于，步骤3中，信任链构建完成后，还包括对物联网设备的离线更新，所述离线更新具体包括：

步骤401、设备所有者将需要更新的策略信息通过设备公钥加密后下以凭据形式下发到设备访问者；

步骤402、设备访问者校验凭据的有效性；

步骤403、校验成功后设备访问者将凭据转发给物联网设备；

步骤404、物联网设备验证凭据是否由设备所有者下发，若是，则物联网设备通过自身的私钥解开所述凭据，获取需要更新的策略信息，并按照该策略信息进行更新。