一种基于区块链的跨域物联网设备隐私保护认证方法技术

本发明专利技术属于密码学与网络安全领域，提供了一种基于区块链的跨域物联网设备隐私保护认证方法，主旨在于可以支持可靠的身份认证、设备隐私保护、以及高效的密钥更新，主要方案包括根据安全参数，选择哈希函数，生成域主私钥和主公钥，并将与域公钥信息相关的meta信息发布到区块链；为每一个设备生成唯一的公私钥以及证书；设备请求认证代理服务器为其生成一个签名用以身份认证；认证代理服务器和区块链代理服务器相互配合，验证设备的身份，并返回验证结果。设备在验证信息的基础上，建立一个安全的会话密钥。将新的公共信息存储在云服务器，并将相关meta信息更新到区块链。本发明专利技术能够高效的验证跨域匿名设备的身份，并建立安全会话密钥，保障设备间的通信安全。保障设备间的通信安全。保障设备间的通信安全。

【技术实现步骤摘要】
一种基于区块链的跨域物联网设备隐私保护认证方法


[0001]本专利技术提出了一种基于区块链的跨域物联网设备隐私保护认证方法，属于密码学与网络安全领域。

技术介绍

[0002]随着各种传感器以及通信技术的进步，IoT技术得到了蓬勃的发展。IoT有望实现各种制造的智能化、提高生产效率和生活质量，提供多样化的服务。使用IoT技术连接管理域(例如工厂)内的设备自动化完成制造任务已成为一种提高生产力并降低管理成本的趋势。然而，随着制造的产品变得越来越复杂，难以在独立工作域内完成，因此需要构建不同域间的资源请求和数据访问，构建跨域资源生产能力。在这种情况下，位于不同域的设备需要相互通信以交换信息并实现更好的协作。
[0003]虽然不同领域的设备可以通过专用网络进行通信，但在它们之间建立安全可信的数据通信并非易事，存在如身份盗用等安全问题。联盟区块链是一种由多个对等节点协作维护的分布式账本。在联盟链中，节点在加入网络之前必须经过身份认证，且节点间不完全信任彼此，但它们可以在一定的契约下协同工作。因此可以利用联盟区块链来实现跨域通信，其中每个域都有一个代表节点负责维护全局账本。
[0004]然而，基于区块链的跨域物联网设备通信依然存在一些挑战。首先是可靠的身份识别问题。一般情况下，不同的管理域是相对独立的，需要实行身份认证以确保只有被授权域的设备才能访问其他域的相关敏感数据。为了实现安全认证，一个域的设备必要可靠的识别另一个域的设备。其次是身份隐私保护问题。身份可能会泄露实体的隐私。例如，通过拦截实体发送或接收的数据包，攻击者可以很容易地知道该实体访问或通信的设备类型，可能会造成隐私泄露。因此在整个认证和通信过程中应该确保身份的匿名性。最后是域密钥更新问题。域密钥更新往往需要大量的通信和计算成本，给物联网设备带来巨大压力。因此需要设计轻量级的密钥更新方法。
[0005]为了解决以上问题，本专利技术提出了一种基于联盟区块链的隐私保护设备认证方法，其可以支持可靠的身份认证、设备隐私保护、以及高效的密钥更新。

技术实现思路

[0006]本专利技术提供了一种基于区块链的隐私保护认证方法。该方法支持位于不同IoT域的设备的隐私保护认证和安全通信。
[0007]本专利技术主要包含以下内容：
[0008]本专利技术提供了一种基于区块链的跨域物联网设备隐私保护认证和通信方法，包括：
[0009]域初始化：域密钥中心KCC根据安全参数λ，选择三个q阶群G1，G2和G
T
，选择哈希函数H和双线性函数e，然后生成域主密钥对，即主私钥msk和主公钥mpk，域密钥中心将本域的包含域主公钥mpk的公共认证信息存储到云服务器，并将相关meta信息(域标识、存储地址
链接、数据的摘要等)发送给区块链代理BS，由区块链代理BS上传至区块；
[0010]设备密钥生成及注册：每一个设备D
i
∈{D1，D2,
…
,D
m
,
…
,D
n
,
…
}自己选择的设备私/共钥对(dsk
i
,dpk
i
)，然后将公钥发送给域密钥中心KCC，域密钥中心KGC基于哈希函数H、主私钥msk、以及设备的公钥dpk
i
为设备生成证书cert
i
＝{A
i
,B
i
}，并将注册结果返回给设备D
i
；
[0011]签名生成：设备D
m
请求认证代理AS生成部分签名以供认证，认证代理AS用设备D
m
的证书为设备D
m
生成部分签名σ'
m
，认证代理AS将σ'
m
发送给设备D
n
，设备D
m
在σ'
m
的基础上，嵌入设备D
m
自己的私钥dsk
m
，生成关于待签名信息M
m
的完整的代理签名σ
m
，其中，待签名信息M
m
中包含了域标识一次性密钥交换参数X
m
，以及时间戳TS；
[0012]身份验证：设备D
m
将待签名信息M
m
以及代理签名σ
m
发送给跨域设备D
n
进行身份认证，设备D
n
将信息M
m
以及代理签名σ
m
转发给本域的认证代理AS，认证代理AS从本域区块链代理BS处检索设备D
m
所属域的meta信息，然后根据meta信息检索设备D
m
所属域的公共认证信息，用该公共认证信息对设备D
m
进行验证，如果验证不通过，认证代理AS将不通过结果发送给设备D
n
，设备D
n
不做任何处理；如果验证通过，认证代理AS为设备D
n
生成部分代理签名σ'
n
，并将代理签名σ'
n
发送给设备D
n
，然后设备D
n
将自己的私钥dsk
n
嵌入并生成关于待签名信息M
n
的完整的签名σ
n
，设备D
n
将待签名信息M
n
和代理签名σ
n
发送给设备D
m
以完成双向验证，同样，消息M
n
中包含了域标识一次性密钥交换参数X
n
，以及时间戳TS'；
[0013]会话密钥建立：互相验证成功的设备D
m
和D
n
分别利用密钥交换参数待签名信息X
n
和X
m
，建立一个会话密钥K以供安全通信；
[0014]密钥更新：域密钥中心KGC更新域主密钥对，将包含新的主公钥的新公共认证信息存储在云服务器，并将新的meta信息发送给区块链代理BS，由区块链代理BS上传至区块链更新。
[0015]上述技术方案中，签名生成的具体步骤如下：
[0016]2.1.设备D
m
向域认证代理AS
m
发起代理签名请求；
[0017]2.2.AS
m
从域密钥中心处检索设备D
m
的证书cert
i
＝{A
m
,B
m
}，并在群Z
p
＝{1，2
…
,q}中随机选择一个数k,以计算两个值即T1＝k
·
A
m
,T2＝k
·
B
m
，AS
m
将代理部分签名σ'
m
＝{T1,T2}发送给设备D
m
；
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于区块链的跨域物联网设备隐私保护认证方法，其特征在于，包括：域初始化：域密钥中心KCC根据安全参数λ，选择三个q阶群G1，G2和G
T
，选择哈希函数H和双线性函数e，然后生成域主密钥对，即主私钥msk和主公钥mpk，域密钥中心将本域的包含域主公钥mpk的公共认证信息存储到云服务器，并将相关meta信息发送给区块链代理BS，由区块链代理BS上传至区块；设备密钥生成及注册：每一个设备D
i
∈{D1，D2，
…
，D
m
，
…
，D
n
，
…
}自己选择设备私/共钥对(dsk
i
，dpk
i
)，然后将公钥发送给域密钥中心KCC，域密钥中心KGC基于哈希函数H、主私钥msk、以及设备的公钥dpk
i
为设备生成证书cert
i
＝{A
i
，B
i
}，并将注册结果返回给设备D
i
；签名生成：设备D
m
请求认证代理AS生成部分签名以供认证，认证代理AS用设备D
m
的证书为设备D
m
生成部分签名σ
′
m
，认证代理AS将σ
′
m
发送给设备D
n
，设备D
m
在σ
′
m
的基础上，嵌入设备D
m
自己的私钥dsk
m
，生成关于待签名信息M
m
的完整的代理签名σ
m
，其中，待签名信息M
m
中包含了域标识一次性密钥交换参数X
m
，以及时间戳TS；身份验证：设备D
m
将待签名信息M
m
以及代理签名σ
m
发送给跨域设备D
n
进行身份认证，设备D
n
将信息M
m
以及代理签名σ
m
转发给本域的认证代理AS，认证代理AS从本域区块链代理BS处检索设备D
m
所属域的meta信息，然后根据meta信息检索设备D
m
所属域的公共认证信息，用该公共认证信息对设备D
m
进行验证，如果验证不通过，认证代理AS将不通过结果发送给设备D
n
，设备D
n
不做任何处理；如果验证通过，认证代理AS为设备D
n
生成部分代理签名σ
′
n
，并将代理签名σ
′
n
发送给设备D
n
，然后设备D
n
将自己的私钥dsk
n
嵌入并生成关于待签名信息M
n
的完整的签名σ
n
，设备D
n
将待签名信息M
n
和代理签名σ
n
发送给设备D
m
以完成双向验证，同样，消息M
n
中包含了域标识一次性密钥交换参数X
n
，以及时间戳TS
′
；会话密钥建立：互相验证成功的设备D
m
和D
n
分别利用密钥交换参数待签名信息X
n
和X
m
，建立一个会话密钥K以供安全通信；密钥更新：域密钥中心KGC更新域主密钥对，将包含新的域主公钥的新公共认证信息存储在云服务器，并将新的meta信息发送给区块链代理BS，由区块链代理BS上传至区块锛更新。2.根据权利要求1所述的一种基于区块链的跨域物联网设备隐私保护认证方法，其特征在于，签名生成的具体步骤如下：2.1.设备D
m
向域认证代理AS
m
发起代理签名请求；2.2.AS
m
从域密钥中心处检索设备D
m
的证书cert
i
＝{A
m
，B
m
}，并在群Z
p
＝{1，2...，p}中随机选择一个数k，以计算两个值即T1＝k
·
A
m
，T2＝k
·
B
m
，AS
...

【专利技术属性】
技术研发人员：汪小芬，张小松，李雄，王艳平，桂勋，李淋，黄昊，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：