一种基于标识密码和联盟链的双代理跨域认证方法技术

本发明专利技术涉及一种基于标识密码和联盟链的双代理跨域认证方法，属于物联网信息安全技术领域。包括1)管理域系统初始化：KGC服务器初始化系统参数组，生成系统主密钥，发送信息上链请求并附上管理域标识符、系统参数组和系统主密钥；BCAS服务器将上述信息存储在文件中，并计算文件哈希；调用信息上链智能合约，将文件的URI和哈希信息写入区块链；2)管理域B内实体EB认证管理域A内实体EA的过程。所述方法使用标识签名技术实现实体身份认证，认证过程不依赖于公钥基础设施且不需要数字证书，使系统的部署、维护简便，易于扩展，灵活性高；管理域间的互信构建过程并不依赖于第三方机构；能有效解决标识密码技术公钥的撤销和更新问题。

A Double Agent Cross-Domain Authentication Method Based on Identity Password and Alliance Chain

【技术实现步骤摘要】
一种基于标识密码和联盟链的双代理跨域认证方法
本专利技术涉及一种基于标识密码和联盟链的双代理跨域认证方法，用于在实体请求跨域实体服务或者访问跨域实体资源前的身份确认，属于物联网信息安全

技术介绍
身份认证在物联网场景中是一种非常基础性的技术，通常作为隐私、安全、信任、授权、访问控制等的底层技术，或作为大多数应用的子模块而存在。实体在请求服务、访问网络资源之前，通常需要由相关的身份认证模块进行身份认证，身份确认通过之后才能进入下一步的网络行为。从身份认证过程中所使用的密钥类型来看，身份认证技术分为两大类：基于对称密钥的身份认证技术和基于公钥的身份认证技术。基于对称密钥的身份认证技术所涉及的计算简单，通常具有较好的性能，但是通常有一个预密钥分配的环节，这使得系统的可扩展性和灵活性收到很大的限制。目前主要被使用的基于公钥的身份认证技术，又进一步分为基于数字证书的身份认证技术和基于身份标识密码技术的身份认证技术。基于公钥的身份认证技术可解决对称密钥所面临的的扩展性和灵活性问题，但是基于数字证书的身份认证技术存在对公钥基础设施的依赖以及数字证书的维护问题，这使得其在物联网领域的应用受本文档来自技高网...

【技术保护点】
1.一种基于标识密码和联盟链的双代理跨域认证方法，其特征在于：涉及的名词有：1)管理域，是指某些设备同属于一个机构或组织，逻辑上被所述机构或组织内的管理服务器所管理，所述设备及设备的管理服务器共同构成了一个独立的逻辑域；2)实体，即Entity，简称E，对应着物联网场景下的一个物理设备，EA表示属于管理域A内的实体；3)密钥生成中心服务器，即Key Generation Center，简称KGC，是管理域内的密钥管理服务器，KGCA表示管理域A中的密钥生成中心服务器；4)认证代理服务器，即Authentication Agent Server，简称AAS，是管理域内实体的认证代理，AASA表示...

【技术特征摘要】
1.一种基于标识密码和联盟链的双代理跨域认证方法，其特征在于：涉及的名词有：1)管理域，是指某些设备同属于一个机构或组织，逻辑上被所述机构或组织内的管理服务器所管理，所述设备及设备的管理服务器共同构成了一个独立的逻辑域；2)实体，即Entity，简称E，对应着物联网场景下的一个物理设备，EA表示属于管理域A内的实体；3)密钥生成中心服务器，即KeyGenerationCenter，简称KGC，是管理域内的密钥管理服务器，KGCA表示管理域A中的密钥生成中心服务器；4)认证代理服务器，即AuthenticationAgentServer，简称AAS，是管理域内实体的认证代理，AASA表示属于管理域A中的认证代理服务器；5)区块链代理服务器，即BlockchainAgentServer，简称BCAS，是管理域内KGC服务器的区块链代理，BCASA表示属于管理域A中的区块链代理服务器；6)实体标识，用于唯一标识一个实体，且用来作为实体的公钥或者由标识计算出其公钥；所述基于标识密码和联盟链的双代理跨域认证方法，包含如下步骤：步骤1，管理域系统初始化，依次包含以下步骤：步骤1.1，KGC服务器初始化系统参数组；步骤1.2，KGC服务器生成系统主密钥；其中，系统主密钥包含系统主公钥和系统主私钥；步骤1.3，KGC服务器给BCAS服务器发送信息上链请求，并附上管理域标识符、系统参数组和系统主公钥；步骤1.4，BCAS服务器将管理域标识符、系统参数组和系统主公钥存入文件，并计算文件哈希；通过调用信息上链智能合约，将文件的URI和哈希信息写入区块链；步骤2，管理域B内实体EB认证管理域A内实体EA的过程，依次包含以下步骤：步骤2.1，管理域A内，实体EA验证签名私钥是否存在且仍旧有效，若存在且有效，则进入步骤2.8；若实体EA目前尚无签名私钥或者签名私钥已经失效，则进入步骤2.2；步骤2.2，管理域A内，实体EA向KGCA服务器请求生成自己的签名私钥，并附上自己的标识；步骤2.3，管理域A内，KGCA服务器根据实体EA传来的标识和系统的系统主私钥，计算出实体EA的签名私钥；步骤2.4，管理域A内，KGCA服务器向BCASA服务器请求更新管理域A的系统信息，并附上实体EA的标识；步骤2.5，管理域A内，BCASA服务器更新管理域A的系统信息对应的文件内容，即更换或者增加实体标识EA，并重新计算文件哈希值，调用信息上链智能合约，往联盟链中写入新的URI和文件哈希值信息；步骤2.6，管理域A内，BCASA服务器更新管理域A的系统信息后，给KGCA服务器返回系统信息更新成功消息；步骤2.7，管理域A内，KGCA服务器将EA的签名私钥以安全的方式发送给实体EA；步骤2.8，管理域A内，实体EA生成消息M；步骤2.9，管理域A内，实体EA向AASA服务器发送签名请求和认证请求，并附上消息M；步骤2.10，管理域A内，AASA服务器首先查询自己数据库内是否含有实体EA的签名私钥，并验证其有效性；若实体EA的签名私钥有效，则进入步骤2.14；若无或实体EA的签名私钥已经失效，则进入步骤2.11；步骤2.11，管理域A内，AASA服务器向KGC...

【专利技术属性】
技术研发人员：沈蒙，刘惠森，于红波，徐恪，巩毅琛，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：北京,11