一种基于区块链的多域证书双向认证方法及系统技术方案

本发明专利技术公开了信息安全领域的一种基于区块链的多域证书双向认证方法及系统，包括：响应于系统网络架构接收到新增节点发送的注册信息时；对注册消息进行验证，并且验证通过后生成新增节点对应的证书；根据证书计算新增节点的证书的哈希值，将新增节点的证书的哈希值存储至区块链；将所述新增节点的证书发送至星际文件系统，根据新增节点的证书生成对应的CID，并发送至所述中心节点CA；基于CID生成注册成功消息并回复至所述新增节点；响应于边缘节点EN和终端设备UE之间进行跨域或同域交互获取服务时，对边缘节点EN和终端设备UE之间进行双向认证；削弱了中心节点CA在身份认证中的中心化角色，实现了分布式身份认证。实现了分布式身份认证。实现了分布式身份认证。

【技术实现步骤摘要】
一种基于区块链的多域证书双向认证方法及系统


[0001]本专利技术属于信息安全
，具体涉及多域证书双向认证方法及系统。

技术介绍

[0002]物联网是指通过信息传感设备，按约定的协议，将任何物体与网络相连接，物体通过信息传播媒介进行信息交换和通信，以实现智能化识别、定位、跟踪、监管等功能。随着物联网的发展，随之而来的是物联网中设备和应用的类型及数量不断增长，系统的复杂化导致物联网面临着越来越严重的安全隐患，因此对于物联网设备的身份认证成为了必要。传统的物联网身份认证设备或者应用在加入到物联网中首先需要在数据中心注册，获得凭证，并依靠该凭证在物联网中标识身份，这种身份认证方式需要一个或者多个数据中心，这种中心化管理最大的问题在于，一旦数据中心受到攻击或者劫持，那么设备和应用的身份信息会被泄露，这样就会严重影响物联网中设备和应用的安全。
[0003]多域认证是指在不同的网络域中，由各域的证书颁发机构颁发本域的证书，持有证书的用户可在本域进行身份认证后获取网络服务，且可向他域进行跨域认证来访问他域网络。当前多域认证主要通过证书颁发机构来本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于区块链的多域证书双向认证方法，其特征在于，包括：响应于系统网络架构接收到新增节点发送的注册信息时；对注册消息进行验证，并且验证通过后生成新增节点对应的证书；所述系统网络架构包括中心节点CA、边缘节点EN和终端设备UE；根据证书计算新增节点的证书的哈希值，将新增节点的证书的哈希值存储至区块链；将所述新增节点的证书发送至星际文件系统，根据新增节点的证书生成对应的CID，并发送至所述中心节点CA；基于CID生成注册成功消息并回复至所述新增节点；所述新增节点成为所述系统网络架构中的边缘节点EN或终端设备UE；获取边缘节点EN和终端设备UE中失效的证书，由中心节点CA生成证书吊销列表CRL并将证书吊销列表CRL发送至星际文件系统；响应于边缘节点EN和终端设备UE之间进行跨域或同域交互获取服务时，对边缘节点EN和终端设备UE之间进行双向认证。2.根据权利要求1所述的一种基于区块链的多域证书双向认证方法，其特征在于，所述新增节点发送注册信息的方法包括：使用椭圆曲线密码生成新增节点的密钥对；所述新增节点的密钥对包括新增节点的公钥PK
UE/EN
和新增节点的私钥SK
UE/EN
；利用新增节点的私钥SK
UE/EN
和中心节点CA的公钥PK
UE/EN
生成注册消息，将注册消息发送至系统网络架构的中心节点CA；注册消息的表达公式为：req1＝Sig
SK(UE/EN)
{E
PK(CA)
(ID
UE/EN
)}公式中，ID
UE/EN
表示为新增节点的身份信息；E
PK(CA)
(ID
UE/EN
)表示为使用中心节点CA的公钥PK
UE/EN
对新增节点的身份信息进行加密后的消息；req1表示注册消息；Sig
SK(UE/EN)
{E
PK(CA)
(ID
UE/EN
)}表示为利用新增节点的私钥SK
UE/EN
对E
PK(CA)
(ID
UE/EN
)进行数字签名后的消息。3.根据权利要求2所述的一种基于区块链的多域证书双向认证方法，其特征在于，对注册消息进行验证的方法包括：首先验证新增节点的身份信息是否有效，若身份信息无效则输出错误信息，若新增节点的身份信息有效则继续验证数字签名；若数字签名无效则输出错误信息，若数字签名有效则输出注册消息验证通过。4.根据权利要求1所述的一种基于区块链的多域证书双向认证方法，其特征在于，基于CID生成注册成功消息，表达公式为：res
re
＝[Cert
UE/EN
，Sig
SK(CA)
{E
PK(UE/EN)
(CID)}]公式中，Cert
UE/EN
表示为新增节点的证书；E
PK(UE/EN)
(CID)表示为使用新增节点的公钥对CID进行加密后的消息；Sig
SK(CA)
{E
PK(UE/EN)
(CID)表示为使用中心节点CA私钥对E
pK(UE/EN)
(CID)进行签名后的消息。5.根据权利要求2所述的一种基于区块链的多域证书双向认证方法，其特征在于，响应于边缘节点EN和终端设备UE之间进行同域交互获取服务时，对边缘节点EN和终端设备UE之间进行双向认证的方法包括：响应于边缘节点EN和终端设备UE之间进行同域交互获取服务时，所述边缘节点EN和所述终端设备UE处于同一域网络，获取并验证边缘节点EN的证书；使用所述边缘节点EN的公钥对所述边缘节点EN的证书中数字签名进行验证，若验证无
效则断开所述边缘节点EN和所述终端设备UE之间的连接；否则则，计算边缘节点EN的证书对应的哈希值H(Cert
EN
)，利用哈希值H(Cert
EN
)在区块链上查询边缘节点EN的证书；若边缘节点EN的证书在区块链上查询成功，利用证书吊销列表CRL查询边缘节点EN的证书是否有效；若边缘节点EN的证书有效，向边缘节点EN发起身份认证请求消息；所述身份认证请求消息的表达公式为：req2＝[Cert
UE
，Sig
SK(UE)
(M2)]公式中，M2表示为随机数；Sig
SK(UE)
(M2)表示为使用终端设备UE的私钥对随机数M2进行数字签名的消息；Cert
UE
表示为终端设备UE的证书；req2表示为终端设备UE向边缘节点EN发起身份认证请求消息；对终端设备UE的身份认证请求消息进行认证的具体过程为：使用所述终端设备UE的公钥对所述终端设备UE的证书中数字签名进行验证，若验证无效则断开所述边缘节点EN和所述终端设备UE之间的连接；否则则，计算终端设备UE的证书对应的哈希值H(Cert
UE
)，利用哈希值H(Cert
UE
)在区块链上查询终端设备UE的证书；若终端设备UE的证书在区块链上查询成功，通过终端设备UE的证书中的CDP获得证书吊销列表CRL的CID，利用该CID向星际文件系统获取证书吊销列表CRL；查询终端设备UE的证书是否在证书吊销列表CRL中；若终端设备UE的证书未在证书吊销列表CRL中，回复认证成功消息至所述终...

【专利技术属性】
技术研发人员：陈美娟，陈加伦，卜洋，单龙波，刘欣然，冯君彦，刘子辕，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：