基于区块链的分布式可信网络连接方法技术

本发明专利技术公开了一种基于区块链的分布式可信网络连接方法。解决现有可信网络连接中无法提供分布式网络访问控制框架的问题，实现方案是：初始化阶段，终端设备注册信息并发送；可信第三方检验注册信息；终端设备产生初始交易并广播；初始交易存于区块链；可信网络连接阶段，任意两个终端通过区块链双向用户和平台认证；认证通过后，更新交易阶段，终端设备产生更新交易并广播；更新交易存于区块链。本发明专利技术结合区块链和TNC形成整体框架，在无可信第三方参与下，保证终端设备间的用户和平台双向安全认证。有效抵御中间人攻击，阻止恶意节点访问网络，本发明专利技术安全可信，用于分布式网络中的安全可信连接。

Distributed Trusted Network Connection Method Based on Block Chain

【技术实现步骤摘要】
基于区块链的分布式可信网络连接方法
本专利技术属于网络安全
，涉及可信计算领域中的可信网络连接，具体是一种基于区块链的分布式可信网络连接方法。用于分布式网络中终端设备用户和平台的可信安全性连接。
技术介绍
2003年TCG(TrustedComputingGroup)组织以及包括TNC(TrustedNetworkConnect)规范的一系列技术规范的出现标志着可信计算领域进一步的成熟。在TNC规范的指导下，CiscoNAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性；MicrosoftNAP利用名为检疫代理的客户端应用程序将系统信息传输到与受信任的第三方合作的网络策略服务器，以确保在访问网络之前可以检查所有终端设备。然而，由于TNC规范并没有提供分布式的网络访问控制框架，所以上述的可信网络连接方法都是基于C/S(Client/Server)集中式架构进行设计的，它们需要用到可信第三方的集中式服务来检测网络中终端设备的安全状况。因此，CiscoNAC和MicrosoftNAP并没有考虑并提出分布式系统本文档来自技高网...

【技术保护点】
1.一种基于区块链的分布式可信网络连接方法，其特征在于：可信网络连接分为三个阶段进行：第一阶段为初始化阶段，第二阶段为可信网络连接阶段，第三阶段为交易更新阶段，具体包括如下步骤：初始化阶段：(1.1)分配公私密钥对并产生相应签名：可信第三方(TP)为分布式系统中的每一个终端设备分配一副公私密钥对Kpri/Kpub，并由公私密钥对产生相应的椭圆曲线数字签名ECDSA；(1.2)产生并注册基本信息：TDA终端设备用自己的私钥Kpri_a签名并用可信第三方(TP)的公钥Kpub_TP加密以下数据：平台完整性寄存器PCRa值，度量值digest_a，用户密码密文的散列值HMac_a，计数器值CTa，终...

【技术特征摘要】
1.一种基于区块链的分布式可信网络连接方法，其特征在于：可信网络连接分为三个阶段进行：第一阶段为初始化阶段，第二阶段为可信网络连接阶段，第三阶段为交易更新阶段，具体包括如下步骤：初始化阶段：(1.1)分配公私密钥对并产生相应签名：可信第三方(TP)为分布式系统中的每一个终端设备分配一副公私密钥对Kpri/Kpub，并由公私密钥对产生相应的椭圆曲线数字签名ECDSA；(1.2)产生并注册基本信息：TDA终端设备用自己的私钥Kpri_a签名并用可信第三方(TP)的公钥Kpub_TP加密以下数据：平台完整性寄存器PCRa值，度量值digest_a，用户密码密文的散列值HMac_a，计数器值CTa，终端设备识别号IDa，椭圆曲线数字签名ECDSA；然后TDA向可信第三方发起请求并将以上签名加密数据发送给可信第三方，完成初始交易信息的注册；(1.3)检测注册信息：当可信第三方(TP)接收到TDA的请求信息时，可信第三方验证TDA用户密码密文散列值HMac_a的有效性以及检测TDA平台的完整性信息是否符合网络访问策略；(1.4)发送响应信息：若TDA的注册信息验证成功，则可信第三方在TDA的注册数据上用自己的私钥签名并将该数据发送给TDA；若TDA的注册信息验证失败，则可信第三方终止与TDA的连接；(1.5)初始交易的产生与存储：TDA产生并广播初始交易，矿工根据PoW机制验证初始交易的签名信息并将该交易信息存储到区块链上；可信网络连接阶段(2.1)终端设备之间通过区块链进行双向用户认证：双方均查找区块链中初始交易信息是否与对方发送给自己数据的哈希值一致来完成双向用户认证；(2.2)终端设备之间通过区块链进行双向平台认证：双方均通过获取区块链中最近前一个交易中对方平台的完整性信息与对方发送的平台完整性报告中的完整性寄存器值作比较运算，判断对方平台的完整性并完成双向平台认证；交易更新阶段(3)产生新的更新交易：TDA终端设备或TDB终端设备产生并广播新的更新交易，矿工根据PoW机制对更新交易进行检测，若检测通过，则该更新交易被存储到区块链中，完成交易更新；若检测未通过，则该更新交易无法存储到区块链中，以保证区块链中交易信息的安全可信性。2.根据权利要求1所述的基于区块链的分布式可信网络连接方法，其特征在于，步骤(2.1)中所述的终端设备之间通过区块链进行双向用户认证，具体包括有如下步骤：(2.11)在分布式环境下，TDA终端设备向TDB终端设备发送请求信息，其中包括自身的设备识别ID号，随机数Na，TDA所属用户密码的密文值；(2.12)当TDB接收到TDA的请求信息后，TDB向TDA发送响应信息，包括自身的设备识别ID号，随机数Nb，TDB所属用户密码的密文值；然后，TDB访问区块链并获取TDA的初始交易信息并验证其密码散列值的一致性，若一致，TDA被认为是合法授权用户，进行接下来的平台认证；若不一致，TDA被认为是恶意节点并终止与其连接；(2.13)当TDA接收到TDB的响应信息后，TDA访问区块链并获取TDB的初始交易信息并验证其密码散列值的一致性，若一致，则TDB被认为是合法授权用户，进行接下来的平台认证；若不一致，TDB被认为是恶意节点并终止与其连接。3.根据权利要求1所述的基于区块链的分布式可信网络连接方法，其特征在于，步骤(2.2)中所述的终端设备之间通过区块链进行双向平台认证，具体包括如下步骤：(2.21)TDA终端设备根据自身的ECDSA签名计算出特定交易的私钥Kpri_tsa；TDB终端设备根据自身的ECDSA签名计算出特定交易的私钥Kpri_tsb；(2.22)TDA访问区块链并获取TDB初始交易中的ECDSA签名值；TDB访问区块链并获取TDA初始交易中的ECDSA签名...

【专利技术属性】
技术研发人员：商磊，张俊伟，马建峰，卢笛，杨潇涵，李兴华，杨超，姜奇，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西,61