CN117560134A - 一种基于区块链的分布式可信网络接入方法 - Google Patents

Abstract

本发明是一种基于区块链的分布式可信网络接入方法，属于网络安全领域。本发明为设备间认证组网设计一个可信网络连接架构，搭建通信场景中包含网络访问请求者、接收者，基于区块链的网络访问授权者，基于区块链的可信第三方及DID区块链；在设备请求可信接入时，进行身份认证，设备平台的身份认证以及完整性度量，根据收集到的证据通过远程证明确认设备是否可信，若可信设备接入网络；并在之后定期对设备进行行为度量，若不可信对设备进行隔离修补，等待设备重新请求可信接入。本发明使用轻量级的安全解决方案，避免对设备造成过大的负担，引入动态信任级别策略，能更好地适应快速变化的网络拓扑，优化了设备互信认证的流程，提高了部署效率。

Description

一种基于区块链的分布式可信网络接入方法

技术领域

本发明是一种基于区块链的分布式可信网络接入方法，属于网络安全技术领域。

背景技术

身份认证大致分为两类：一类基于生物特征的认证，另一类基于密码学算法的认证。

前者利用用户的指纹、虹膜和声音等生物特征，以及行走姿势、步态等行为特征作为标识进行身份认证。这些标识不易丢失且难以复制，使认证系统克服了密钥管理的难度，但需要提前采集生物特征信息并且需要用户实时参与。此外，这种认证方式无法适用于传感器等硬件设备的认证。

后者使用基于密码学的数学方法设计认证协议，通过密码学算法验证用户身份的合法性。常见的密码学技术包括基于对称加密算法的消息认证码(messageauthentication code,MAC)、基于非对称加密算法的数字签名和群签名、环签名等技术。

TNC(Trusted Network Connect，可信网络连接)是对可信平台应用的扩展，也是可信计算机制与网络接入控制机制的结合。它指在终端接入网络之前对用户的身份进行认证；一旦用户身份认证通过，对终端平台的身份进行认证；如果认证也通过，就对终端平台的可信状态进行度量。如果度量结果满足网络接入的安全策略，则允许终端接入网络；否则，将终端连接到指定的隔离区域，并对其进行安全性修补和升级。TNC的目标是将终端的可信状态延续到网络中，实现信任链从终端扩展到网络。

TNC是网络接入控制的一种实现方式，是一种主动性的防御方法，能够在大部分潜在攻击发生之前进行抑制。通过TNC，网络可以更好地管理和控制终端设备的接入，从而提高整个网络的安全性。

虽然上述的认证和证明方案，在设备接入时一定程度上保护网络不被恶意的节点破坏。

但总的来看，这些方案在安全性和可信性上还存在较大的局限：

(A)集中式的认证方式存在缺陷。集中式的认证方式是指所有用户的身份认证信息和凭证都集中存储在一个中心服务器或认证服务器上。当用户尝试访问资源或系统时，必须向该中心服务器提交认证请求，中心服务器验证用户的身份，并根据验证结果授予或拒绝访问权限。虽然集中式认证方式在一些情况下是有效的，但也存在一些缺陷和潜在风险：(1)单点故障：整个系统的安全性依赖于中心认证服务器的可用性。如果该服务器出现故障或遭受攻击，所有用户将无法访问资源，导致业务中断。(2)安全性风险：由于所有用户的认证信息都存储在同一个地方，一旦攻破中心服务器，攻击者可以获取所有用户的凭证信息，造成严重的安全漏洞。(3)扩展性问题：集中式认证服务器需要处理大量的认证请求，当用户数量增加时，服务器的负载将增大，可能导致性能下降。

(B)物联网场景下的可信度量存在难度。可信计算组(TCG)提出的TNC架构在完整性度量和远程证明方面主要依赖于TPM安全芯片来保证度量数据的真实性。然而，物联网设备由于考虑到成本、算力和体积等问题，通常不会搭载TPM安全芯片。因此，对于物联网设备的完整性度量就存在较大的难度。在物联网设备中，因为缺乏TPM安全芯片的支持，确保数据的完整性和真实性变得复杂。传统的安全解决方案难以直接适用于这些资源受限的设备。为了解决这个问题，需要采用其他创新性的方法来进行完整性度量和远程证明。

(C)存在一次性认证问题及静态信任级别问题。一次性认证是指用户每次接入网络时，只需要进行一次认证，而不会再关心接入网络之后设备的状态是否发生变化。这意味着一旦用户通过了初始认证，网络在其接入期间将不再对其进行进一步的身份验证。然而，这种方法可能导致安全性问题，因为一旦设备在接入后遭受入侵或恶意设备加入网络，网络将无法感知或阻止这些变化，从而使网络容易受到威胁。静态信任级别是指对于系统中的实体，如用户、设备等，在认证和授权方面赋予的固定级别。通常情况下，每个实体被分配一个预定义的信任级别，该级别用于决定其可访问的资源和权限。然而，这种静态信任级别可能会带来安全问题。例如，如果某个实体被授予过高的信任级别，即使其实际需要的权限较少，它仍可以访问更多的敏感资源，增加了遭受攻击的风险。

由此可见，现有的设备互信认证方式，在无人机集群自组网，智能车联网等有即兴组网、高动态特点的分布式动态场景下，存在着很大局限性和安全问题。

发明内容

在面对集中式认证方式存在的缺陷、物联网领域可信度量的难度、一次性认证问题及静态信任级别问题等多重挑战时，本发明设计了一种基于区块链的分布式可信网络接入方法，用于设备接入可信网络时及接入之后检测设备可信性，旨在应对这些问题与挑战，以提升网络的安全性和灵活性。

本发明提供的一种基于区块链的分布式可信网络接入方法，包括如下步骤：

步骤一、搭建基于区块链的分布式可信通信场景，通信场景中包括：ARQ，ARC，B-NAA，B-TTP，DID区块链以及普通节点；其中：

ARQ为网络访问请求者：请求接入可信网络的节点；

ARC为网络访问接收者：可信网络中接收ARQ接入请求消息的节点；

B-NAA为基于区块链的网络访问授权者：由可信网络多个节点组成的基于区块链的访问控制系统，这些节点由共识机制选出，链上存储访问控制策略和访问控制日志；

B-TTP为基于区块链的可信第三方：扮演分布式CA和分布式可信验证者的角色，由几个终端组成的私有链；B-TTP是由终端组成的私有链，链上存储着能证明设备平台身份和完整性的信息；

DID(去中心化身份)区块链：为设备提供身份认证的服务。

步骤二、针对待接入的网络访问请求者ARQ，ARQ在接入网络前，先将自己的身份信息绑定到DID区块链上；并且向指定的发证方提交可验证声明申请，获得自己的DID身份。

步骤三、ARQ发送DID身份验证请求给ARC，ARC查询DID区块链，验证ARQ的身份是否真实，如果是，进入步骤四，否则ARC将直接拒绝ARQ的接入申请，ARC将认证结果记录在日志中后结束接入。

步骤四、ARC查询访问B-NAA，B-NAA通过查询访问控制日志判断是否有ARQ的身份信息与可信网络通信的记录，如果有，则ARC按照查询到的身份信息和相关策略执行访问控制操作，允许ARQ与可信网络建立通信连接，进入步骤十一；否则，启动可信网络连接的身份验证和完整性状态验证，进入步骤五。

步骤五、采用DICE方案对ARQ进行可信度量，得到ARQ的平台身份证据集合和完整性证据集合，ARQ发送终端平台的身份证据集合给ARC。

步骤六、ARC根据ARQ的平台身份证据集合，使用B-TTP的证书服务，验证ARQ的平台身份是否可信，如果可信，进入步骤七，否则ARC认为ARQ的平台被篡改，ARC拒绝ARQ加入可信网络，ARC将认证结果记录在日志中后结束接入。

使用B-TTP的证书服务验证是指：每个DICE内置设备均存储一个UDS(唯一设备秘密)、一个单调增加的计数器CNT和一个固件版本Ver，且都与平台的唯一设备ID绑定；在投入使用之前，UDS、CNT、Ver和相关唯一设备ID与B-TTP共享，并作为背书。验证ARQ平台身份时，ARC将ARQ的平台身份证据集合中数据与背书做比对，如果匹配则说明ARQ的平台身份可信，否则认为ARQ的平台身份被篡改。

步骤七、ARQ发送完整性证据集合给ARC，ARC转发ARQ的身份信息和完整性证据集合到B-NAA，进入步骤八。

步骤八、B-NAA根据ARC转发来的ARQ身份信息和完整性证据集合，调用B-TTP的可信验证服务对完整性证据进行验证，得到验证结果的决策；判断决策结果是否为允许ARQ加入，如果是，执行步骤九，否则B-NAA认为ARQ的设备完整性被破坏，B-NAA将拒绝ARQ接入的策略返回给ARC，ARC将认证结果记录在日志中后结束接入。

步骤九、B-NAA查询与该终端相关的审计日志，追溯该节点是否有恶意行为，得出最终的决策结论；最终决策结论有两种可能：允许ARQ接入可信网络，拒绝ARQ接入可信网络。

步骤十、B-NAA产生新区块并将新区块广播到可信网络的所有节点，更新访问控制策略，将最终的决策结果返回给ARC。

步骤十一、ARC执行访问控制策略，如果最终决策结果为允许ARQ接入可信网络，ARC根据访问控制策略给予ARQ相应访问可信网络的权限，如果拒绝ARQ接入可信网络，ARC会直接告知ARQ其无法访问可信网络；可信网络运行过程中，ARC将为执行访问控制策略记录日志信息。

步骤十二、如果ARQ接入可信网络，B-NAA会定期要求ARQ进行行为度量，度量之后也会得到决策，如果策略为ARQ出现恶意行为，ARC会收回ARQ访问可信网络的权限。

相比现有技术，本发明的优点和积极效果在于：

1)本发明通过利用区块链的不可篡改性、透明性和去中心化等特点，将传统的可信网络连接架构中集中式的认证和远程证明方法去中心化，解决了设备互信认证中存在的集中式缺陷。本发明方法能够通过区块链技术确保认证和证明过程的安全性和可靠性，不再依赖单一的中心机构，而是依靠分布式网络中多个节点的共识来验证和记录数据，这样的架构改进确保了更高的可信度和系统的健壮性。

2)本发明方法采用TCG提出的DICE方案用于完整性度量和远程证明，旨在解决无法支持TPM的物联网设备所面临的挑战。DICE方案的关键在于为物联网设备提供一种轻量级的可信度量和认证方式，以弥补无法搭载TPM芯片所导致的完整性度量困难，适用于低算力的物联网设备。

3)本发明相比传统的可信网络连接框架缺乏加入网络后的实时度量功能，因此无法有效解决认证中的一次性认证和静态信任级别的问题。为了应对这些挑战，本发明在完整性度量层上增加一层行为度量层，以实时度量可信网络中设备的状态，并预防设备在可信网络中出现异常的风险。

附图说明

图1是对设备完整性度量的示意图；

图2是本发明方法的可信接入架构示意图；

图3是本发明的基于区块链的分布式可信网络接入方法的流程示意图；

图4是本发明方法在接入过程中的身份认证部分的流程图；

图5是本发明方法在接入过程中的平台身份认证部分的流程图；

图6是本发明方法在接入过程中的完整性验证部分的流程图；

图7是本发明方法中执行行为度量的流程图；

图8是在可信网络中使用本发明方法的一个整体架构示意图。

具体实施方式

下面结合附图和实施例对本发明的技术方案做详细、清楚的描述。

本发明提供的基于区块链的分布式可信网络接入方法，目标是确保网络中每个节点都经过有效的身份认证和完整性度量，从而降低未经授权设备接入网络和遭受恶意攻击的风险。本发明方法综合了如下方面进行设计：

(1)考虑到物联网领域的特殊性，物联网设备通常受限于成本、算力和资源，因此本发明考虑轻量级的安全解决方案，避免对设备造成过大的负担。

(2)在高动态的分布式场景下，如无人机集群自组网和智能车联网，需要强调方案的灵活性和适应性。本发明通过引入动态信任级别策略，可以根据实体的行为和上下文信息调整权限，确保在不同情境下获得恰当的权限，从而更好地适应快速变化的网络拓扑。

(3)为了降低方案的复杂性，本发明将优化设备互信认证的流程，并采用简化的认证方式，提高部署效率。同时，为了提供更全面的安全保护，本发明支持远程验证功能，使得网络管理员可以在远程位置验证设备的身份和状态，实现对网络的实时监管和管理。

基于上述目的，本发明的基于区块链的分布式可信网络接入方法，实质上是为设备间认证组网设计一个可信网络连接架构，其可以度量设备的可信性，从而决策设备是否可以加入可信网络中。

由现有研究可知，对设备的可信度量方法决定了认证的效率和结果的正确性。其中对设备的完整性度量是整个可信网络连接框架的基础，通过度量设备的完整性和预期的度量值做匹配，从而得到设备是否可信。本发明方案中，对于完整性的度量基于可信计算组(TCG)提供的DICE(Device Identifier Composition Engine)方法。如图1所示，设备启动时，首先加载DICE层作为整个度量过程的信任根，然后开始从每一层加载的组件开始度量，上一层的度量值最为下一层的输入，一层一层形成一个信任链，其中底层为设备的信任根，如果第n层可信，则说明前n-1层都是可信的，从而保证整个设备都是可信的。

首先，本发明的基于区块链的分布式可信网络接入方法设计了完整性度量组件、身份认证组件、远程证明组件和行为度量组件，其中：

(1)完整性度量组件，用于在设备接入阶段对设备的完整性进行度量，生成一个完整性度量值，为后续确定设备是否可信提供基础。为了实现完整性度量组件会使用到可信执行环境(TEE)和DICE(Device Identifier Composition Engine)等技术。

(2)身份认证组件，用于确认设备的唯一身份标识，以防其他不可信的设备冒用身份加入可信网络中造成破坏。

(3)远程证明组件，发送设备的度量值请求可信第三方做出决策，接收可信第三方返回的设备可信性的判断结果。

(4)行为度量组件，在设备加入可信网络之后，实时度量设备的行为从而修改设备的信任值，由信任值判断设备是否应该继续留在可信网络之中。

如图2所示，本发明方法应用的可信接入架构中，包含有网络访问请求者(ARQ)、网络访问接收者(ARC)、基于区块链的网络访问授权者(B-NAA)、基于区块链的可信第三方B-TTP、DID(去中心化身份)区块链、基于区块链的访问控制系统、基于区块链的日志审计系统和可信网络中的普通节点。其中，DID区块链用于提供身份认证的服务。网络访问请求者ARQ是请求接入可信网络的节点。网络访问接收者ARC是可信网络中接收ARQ接入请求消息的节点。基于区块链的网络访问授权者B-NAA是由可信网络多个节点组成的私有链，这些节点由共识机制选出，链上存储访问控制策略和访问控制日志。基于区块链的可信第三方B-TTP扮演分布式CA(Certification Authority，认证授权)和分布式可信验证者的角色，是由几个终端组成的私有链，链上存储着能证明设备平台身份和完整性的信息。普通节点是不参与任何决策的节点。

如图3所示，本发明实施例的基于区块链的分布式可信网络接入方法，包括如下步骤一至步骤十一，下面说明各个步骤。

步骤一、搭建基于区块链的分布式可信通信场景，通信场景中包括如下节点：网络访问请求者ARQ，网络访问接收者ARC，基于区块链的网络访问授权者B-NAA，基于区块链的可信第三方B-TTP，DID身份区块链，以及可信网络中的普通节点。本发明所搭建的一个分布式可信通信场景实例如图2所示。

步骤二、针对待接入的网络访问请求者ARQ，在网络接入之前，ARQ需要先将自己的身份信息绑定到DID区块链上；并且向指定的发证方提交可验证声明申请，并提供相关材料，获得自己的DID身份。访问请求者ARQ的身份信息包括：DID，设备号，用户名，版本等。不同场景下可信网络要求提交的信息不同，根据实际情况提交。

如图3所示，待接入节点ARQ需要：0.a)将自己的身份信息绑定到DID区块链上，根据DID区块链上的信息申请可验证声明；0.b)向指定的发证方lssuer提交可验证声明申请，并提供相关材料，获得自己的DID身份。

步骤三、网络访问请求者ARQ发送身份验证请求给ARC，ARC查询DID区块链，验证其身份是否真实，如果是，进入步骤四，否则ARC将会直接拒绝ARQ的接入申请，ARC将认证结果记录在日志中后结束接入。

如图3所示，在步骤三中，执行：1)ARQ发送身份验证请求给ARC，提供DID、VC(可验证数字凭证)等证明信息；2)ARC查询DID区块链，根据ARQ的身份验证请求提供的信息做匹配，验证其身份的真实性，若身份真实则继续下面的步骤；若身份不真实，ARC直接拒绝ARQ的接入申请。

步骤四、ARC查询访问网络访问授权者B-NAA，判断ARQ的身份是否已经被认可，如果是，将执行步骤十一，ARC根据查询到的身份信息和相关策略执行访问控制操作，建立通信连接；若验证不合法，则将调用完整性度量组件，启动可信网络连接的身份验证和完整性状态验证，进入步骤五执行。

如图3所示，在步骤四中，执行：3.a)ARC查询B-NAA，判断ARQ的身份是否已经被认可，并得到结果。3.b)若验证合法，ARQ的身份已经被认可，则ARC根据验证后的策略执行访问控制操作，建立ARQ与可信网络的通信连接；若验证不合法，未查询到ARQ的身份被认可，则启动可信网络连接的身份验证和完整性状态验证。

如图4所示，本发明方法在接入过程中使用身份认证组件进行身份认证，即执行上述步骤二至四。

步骤五、开始对ARQ进行可信度量，得到终端平台的身份证据集合和完整性证据集合，发送终端平台的身份证据集合给ARC，进入步骤六。

本发明实施例采用TCG提出的DICE方案对设备进行完整性度量，如图1所示，设备启动时，首先加载DICE层作为整个度量过程的信任根，然后开始从每一层加载的组件开始度量，上一层的度量值最为下一层的输入，如果第n层可信，则说明前n-1层都是可信的，从而保证整个设备都是可信的。使用DICE方法对设备进行可信度量的具体实现可参考文献1(王辉,冯伟,秦宇.基于DICE的证明存储方案.计算机系统应用,2023,32(9):53-66)，此处不再赘述。

如图3所示，本步骤执行：4.a)对ARQ进行可信度量，得到平台身份证据集合和完整性证据集合。4.b)ARQ发送终端平台的身份证据集合给ARC。

步骤六、ARC根据ARQ的平台身份证据集合，使用B-TTP的证书服务，以验证ARQ的平台身份是否可信，如果是，则进入步骤七，否则ARC认为ARQ的平台身份被篡改，ARC拒绝ARQ加入可信网络，ARC将认证结果记录在日志中后结束接入。

如图3所示，本步骤执行：5)ARC使用B-TTP的证书服务或零知识证明服务，以验证ARQ平台的身份。本发明中使用B-TTP的证书验证服务如下：

每个DICE内置设备存储一个UDS(唯一设备秘密)、一个单调增加的计数器CNT、一个固件版本Ver。这些值都与ARQ所在的平台设备的唯一设备ID绑定，例如，唯一设备序列号。在投入使用之前，UDS、CNT和相关ID应与B-TTP共享，并作为以后的背书。验证ARQ平台身份时，ARQ在平台身份证据集合中出示这些值，将这些值与背书做比对，如果匹配则说明ARQ的平台身份可信，否则认为ARQ的平台身份被篡改。

如图5所示，本发明方法在接入过程中进行平台身份认证部分，即执行上述步骤五和六。

步骤七、ARQ准备发起完整性证明，发送终端平台的完整性证据集合给ARC，ARC转发ARQ的身份信息和完整性证据集合到B-NAA，进入步骤八。

如图3所示，本步骤执行：6)准备发起完整性证明，ARQ发送终端平台的完整性证据集合给ARC。7)ARC发送ARQ终端平台的身份信息和完整性证据集合给B-NAA。

步骤八、B-NAA根据ARC转发来的ARQ身份信息和完整性证据集合，调用B-TTP的可信验证服务，对完整性证据进行验证，得到验证结果的决策，如果决策结果为允许ARQ加入，进行步骤九执行；否则B-NAA认为ARQ的设备完整性被破坏，B-NAA将拒绝ARQ接入的策略返回给ARC，ARC将验证结果记录在日志中后结束接入。

如图3所示，本步骤执行：8)B-NAA调用B-TTP的可信验证服务，对完整性证据进行验证，得到验证结果的决策结果。本步骤调用远程证明组件，由B-TTP提供可信验证服务包括如下步骤：

(1)B-NAA向B-TTP中的可信验证者发送ARQ的完整性证据集合；

(2)可信验证者访问B-TTP的区块链上的验证策略和ARQ的完整性信息，若链上没有相关信息，则返回ARQ非法，不允许ARQ加入的决策，若有，则更新区块链记录该条日志，继续执行下一步；

(3)可信验证者将收到的ARQ的平台完整性证据与在区块链上查找到的完整性信息进行比对，判断是否被修改，若没有被修改，继续执行下一步；若被修改，则返回ARQ完整性证据验证不通过，不允许ARQ加入的决策；

(4)根据B-TTP的区块链上的验证策略对安全属性信息进行决策，判断待入网的ARQ节点的安全配置是否符合要求并得出结论，若符合要求，输出允许ARQ加入的决策，否则输出ARQ的安全属性验证不通过，不允许ARQ加入的决策；

(5)可信验证者在得出决策结论之后执行两个操作：一是将验证得到的决策结果发送回验证请求点；二是将验证操作和决策结果的结论在B-TTP的区块链上进行共识上链，以供其他验证节点进行审计。

步骤九、B-NAA查询与该终端相关的审计日志，追溯该节点是否有恶意行为，得出最终的结论，进入步骤十。最终决策结论有两种可能：允许ARQ接入可信网络，拒绝ARQ接入可信网络。

如图3所示，本步骤执行：9)B-NAA查询与所请求加入的ARQ终端平台相关的审计日志，追溯该ARQ节点是否有恶意行为。根据是否存在恶意行为及程度，输出决策结论。如，若有恶意行为，得出拒绝ARQ接入可信网络的决策结论，若没有恶意行为，得出允许ARQ接入可信网络的决策结论。

如图6所示，本发明方法在接入过程中调用完整性度量组件进行完整性度量，即执行上述步骤七至九。

步骤十、当B-NAA得到最终决策之后，会产生相应的访问控制日志，B-NAA会将最终决策和访问控制日志作为一条交易放入新区块中，然后定期或当区块足够大时将新的区块广播到可信网络的所有节点，更新访问控制策略；B-NAA将最终的决策结果返回给ARC，进入步骤十一。

如图3所示，本步骤执行：10)B-NAA产生新区块，并将新区块广播到可信网络的所有节点，更新访问控制策略；11)B-NAA将最终的决策结果返回给ARC节点。

步骤十一、ARC执行访问控制策略，如果最终决策策略为允许ARQ接入可信网络，ARC会根据策略给予ARQ相应访问可信网络的权限，如果拒绝ARQ接入可信网络，ARC会直接告知ARQ其无法访问可信网络；可信网络运行过程中，ARC会为执行访问控制策略记录日志信息。

步骤十二、对于接入可信网络的ARQ，B-NAA会定期要求ARQ进行行为度量，度量之后也会得到决策，如果策略为ARQ出现恶意行为，ARC会收回ARQ访问可信网络的权限。

如图7所示，本步骤调用行为度量组件执行行为度量，包括的主要步骤如下：

(0)准备工作：当可信设备通过完整性度量接入可信网络中，则说明设备当前状态是可信的，系统中的行为度量模块也是可信的，开始行为度量，初始化可信设备的信任值。

(1)可信设备的行为度量模块收集设备的网络行为，并定期将行为信息写入到日志审计系统。

(2)B-NAA定期通过日志审计系统检查每个可信设备的行为信息。

(3)B-NAA根据行为度量策略和设备之前的信任值，计算出设备当前的信任值，将信任值低于一定阈值的设备踢出可信网络中。

(4)B-NAA根据可信设备的行为信息做出决策之后，更新访问控制系统中该设备的信任值。

(5)B-NAA将执行访问控制策略的日志信息记录到日志审计系统中。

本发明实施例中，预先设置了可信设备的初始信任值，信任值阈值以及行为度量策略。行为度量策略中记录了设备的行为对设备信任值的影响。具体初始信任值、阈值及行为度量策略可以根据实际应用场景进行设置和调整，本发明并不做限定。

采用本发明方法可以实现动态安全组网。对于对设备和网络环境的安全性和可信性有较高要求的企业和个人，可以使用本发明对可信接入的设备进行可信度量。例如：

在无人集群场景下，无人节点需要经常进出飞行自组网，为确保新加入自组网的无人节点是受集群信任的，可以通过实施本方案对接入的无人节点进行可信度量。

在社交车联网的场景下，车辆之间需要即兴组网，为确保新加入车联网的车辆是受车联网中其他的车辆信任的，可以通过实施本发明方案对接入的车辆进行可信度量。

如图8所示，某设备请求可信接入，可信接入架构会通过身份认证、完整性度量收集相关证据，然后根据收集到的证据通过远程证明确认设备是否可信，如果可信则该设备接入网络中，但是之后仍需要定期对设备进行行为度量，如果不可信就会对设备进行隔离修补，等待设备重新请求可信接入。

如上面所述，本发明实现了基于区块链的去中心化的远程证明。在验证设备的平台身份证据时，采用了分布式的CA验证机制，由B-TTP扮演分布式CA的角色，B-TTP是由几个终端组成的私有链，这样当有终端出现故障或者被攻击时，整个分布式CA仍能够正常运作，这样避免了单点故障的问题。这意味着设备的平台身份可以由多个分布式的认证机构进行验证，增强了系统的鲁棒性和可靠性。同时，在验证设备的完整性证据时，B-TTP扮演分布式的可信验证者的角色，其私有链的特点，使决策结果难以被篡改，从而确保所得到的证明结果是真实可信的。这种设计确保了系统对于设备完整性的判定不受单一可信验证者的影响，减少了潜在的恶意行为或攻击可能对系统安全性造成的影响。

此外，本发明方法还实现了基于区块链的实时行为度量。在可信接入后续的行为度量流程中，关键的一步是对设备进行实时的行为度量，以防止可信网络中的设备可能出现故障或恶意行为，进而对整个可信网络造成潜在伤害。这个行为度量流程旨在持续监测设备在网络中的操作和交互，确保其行为与其预期的可信状态相符。通过实时行为度量，系统能够及时检测到设备的异常行为或状态变化，比如设备的数据传输异常、频繁的身份认证失败、或是可疑的网络请求等。这些异常行为可能暗示设备存在故障、受到攻击、或被篡改，如果不加以处理，可能导致整个可信网络的不稳定性和安全性受损。本发明通过对设备实时行为度量，可以及时反应，防止问题进一步蔓延和恶化。这样的行为度量流程为可信网络提供了主动性的防御措施，确保网络中的设备持续保持在可信状态，保护整个网络免受潜在威胁。

除说明书所述的技术特征外，均为本专业技术人员的已知技术。本发明省略了对公知组件和公知技术的描述，以避免赘述和不必要地限制本发明。上述实施例中所描述的实施方式也并不代表与本申请相一致的所有实施方式，在本发明技术方案的基础上，本领域技术人员不需要付出创造性的劳动即可做出的各种修改或变形仍在本发明的保护范围内。

Claims (5)

1.一种基于区块链的分布式可信网络接入方法，其特征在于，包括如下步骤：

(一)搭建基于区块链的分布式可信通信场景，场景中包含如下节点：网络访问请求者ARQ，网络访问接收者ARC，基于区块链的网络访问授权者B-NAA，基于区块链的可信第三方B-TTP，以及DID区块链；DID为去中心化身份；

其中，B-NAA是由可信网络中多个节点组成的基于区块链的访问控制系统，链上存储访问控制策略和访问控制日志；DID区块链为设备提供身份认证服务；B-TTP是由终端组成的私有链，链上存储着能证明设备平台身份和完整性的信息；

(二)网络访问请求者ARQ在接入网络前，将自己的身份信息绑定到DID区块链上，并从指定的发证方获得自己的DID身份；

(三)ARQ发送身份验证请求给ARC，ARC查询DID区块链，验证ARQ的身份是否真实，若真实，进入下一步骤，否则ARC拒绝ARQ的接入申请，ARC将认证结果记录在日志中后结束接入；

(四)ARC查询B-NAA，判断ARQ的身份是否已经被认可，若是，ARC根据查询到的ARQ的身份执行访问控制策略，允许ARQ与可信网络建立通信连接；否则，启动可信网络连接的身份验证和完整性状态验证，进入下一步执行；

(五)采用DICE方案对ARQ进行可信度量，得到ARQ终端平台的身份证据集合和完整性证据集合，ARQ发送平台的身份证据集合给ARC；

(六)ARC根据ARQ的平台身份证据集合，使用B-TTP的证书服务，验证ARQ的平台身份是否可信，若是，进入下一步骤，否则ARC认为ARQ的平台身份被篡改，拒绝ARQ加入可信网络，ARC将认证结果记录在日志中后结束接入；

(七)ARQ发送平台的完整性证据集合给ARC，ARC转发ARQ的身份信息和完整性证据集合到B-NAA；

(八)B-NAA根据ARC转发来的ARQ身份信息和完整性证据集合，调用B-TTP的可信验证服务对完整性证据进行验证，得到验证结果的决策，如果决策结果为允许ARQ加入，进入下一步骤；否则B-NAA将拒绝ARQ接入的策略返回给ARC，ARC将验证结果记录在日志中后结束接入；

(九)B-NAA查询与ARC终端平台相关的审计日志，追溯该ARC节点是否有恶意行为，然后输出最终决策结果：允许ARQ接入可信网络或者拒绝ARQ接入可信网络；

(十)B-NAA产生新区块并将新区块广播到可信网络的所有节点，更新访问控制策略，将最终的决策结果返回给ARC；

(十一)ARC执行访问控制策略，若最终决策结果是允许ARQ接入可信网络，ARC根据访问控制策略给予ARQ相应访问可信网络的权限，若最终决策结果是拒绝ARQ接入可信网络，ARC告知ARQ无法访问可信网络；在可信网络运行过程中，ARC为执行访问控制策略记录日志；

(十二)B-NAA定期要求接入可信网络的ARQ进行行为度量，如果行为度量决策为ARQ出现恶意行为，ARC收回ARQ访问可信网络的权限。

2.根据权利要求1所述的方法，其特征在于，所述的步骤六中，使用B-TTP的证书服务是指：每个DICE内置设备存储一个唯一设备秘密UDS、一个单调增加的计数器CNT和一个固件版本Ver，将UDS、CNT和Ver与平台的唯一设备ID绑定，并与B-TTP共享作为背书；ARC将ARQ的平台身份证据集合中数据与背书做比对，如果匹配则说明ARQ的平台身份可信，否则认为ARQ的平台身份被篡改。

3.根据权利要求1所述的方法，其特征在于，所述的步骤八中，调用B-TTP的可信验证服务对完整性证据进行验证，包括如下步骤：

(1)B-NAA向B-TTP中可信验证者发送ARQ的平台完整性证据集合；

(2)可信验证者访问B-TTP的区块链上的验证策略和ARQ的平台完整性信息，若该链上没有相关信息，则返回ARQ非法，不允许ARQ加入的决策，若有更新区块链，继续执行下一步；

(3)可信验证者将收到的平台完整性证据与区块链上的完整性信息进行比对，判断是否被修改，若没有被修改，继续执行下一步；若被修改，则返回ARQ完整性证据验证不通过，不允许ARQ加入的决策；

(4)根据所述验证策略判断待入网的ARQ节点的安全配置是否符合要求，若符合要求，输出允许ARQ加入的决策，否则输出ARQ的安全属性验证不通过，不允许ARQ加入的决策；

(5)可信验证者在得出决策后，执行两个操作：一是将决策结果返回验证请求点；二是将验证操作和决策结果在B-TTP的区块链进行共识上链。

4.根据权利要求1所述的方法，其特征在于，所述的步骤十中，在B-NAA输出最终决策结果后，将产生相应的访问控制日志，B-NAA将最终决策结果和访问控制日志作为一条交易放入新区块中，将新区块广播到可信网络的所有节点。

5.根据权利要求1所述的方法，其特征在于，所述的步骤十二中，对接入可信网络的ARQ进行行为度量，包括：

(0)当ARQ接入可信网络时，表示ARQ设备当前状态可信，初始化该设备的信任值；

(1)收集该设备的网络行为并定期写入日志审计系统；

(2)B-NAA定期通过日志审计系统检查每个可信设备的行为信息；

(3)B-NAA根据行为度量策略和设备之前的信任值，计算出设备当前的信任值，将信任值低于设定阈值的设备踢出可信网络；

(4)B-NAA根据可信设备的行为信息做出决策之后，更新访问控制系统中该设备的信任值；

(5)B-NAA将执行访问控制策略的日志信息记录到日志审计系统中。