【技术实现步骤摘要】
本专利技术涉及计算机技术的领域,尤其涉及一种基于联盟链的跨域认证系统及认证方法。
技术介绍
1、物联网的关键组成部分包括负责数据收集和执行命令的设备,以及对数据进行计算和处理的物联网应用系统。然而,由于设备种类繁多且应用系统异构,物联网处于复杂的多域环境中,这就需要通过跨域认证来消除不同信任域之间的信任壁垒,使多域间设备可以进行信息交互和通信。但这种跨域认证超出了原有系统的安全控制边界,可能对跨域访问的系统构成安全威胁。若没有安全的跨域认证机制,整个系统的安全性将受到威胁。
2、现有的物联网跨域认证方案主要分为中心化和去中心化两种类型,然而现有的物联网跨域认证方案存在以下问题:
3、(1)中心化跨域认证方案依赖可信第三方来进行跨域证书的颁发或密钥的分发,这带来了在多个域中分发大量密钥或证书的压力,并且管理和部署成本高昂。除此之外,集中式架构还使得系统变得更加脆弱,存在单点故障的风险。如果可信第三方遭遇故障或攻击,整个系统的安全性和可用性将受到严重影响。因此,虽然中心化方案在理论上简化了跨域认证过程,但在实际应用中可能带来显著的运维挑战和安全隐患;
4、(2)去中心化跨域认证方案主要采用区块链技术构建跨域信任平台,具备防篡改和可追溯等特性,同时有效解决了中心化方案中的单点故障问题。然而,这种方案仍然面临若干挑战,其中包括隐私保护、身份撤销以及跨域认证操作的高开销等问题。
5、现有的大部分中心化和去中心化方案都不是完全的跨域认证方案,通常需要修改原有物联网域的密码机制,这导致了资源的极
技术实现思路
1、为了保证跨域认证安全性的同时降低认证平台的部署成本,提供一种基于联盟链的跨域认证系统及认证方法。
2、为了实现本专利技术的上述目的,根据本专利技术的第一个方面,本专利技术提供了一种基于联盟链的跨域认证系统。
3、本专利技术提供的一种基于联盟链的跨域认证系统,包括至少两个域,每个域包括身份管理机构、代理服务器和至少一个设备;
4、各域的代理服务器共同构成联盟链,所述联盟链存储有用于跨域认证的智能合约;
5、所述代理服务器用于处理跨域认证请求;
6、所述身份管理机构用于通过rsa累加器管理域中设备的跨域身份,以及通过自身所在域的身份验证算法验证设备的跨域身份。
7、可选地,还包括分配模块,
8、所述分配模块用于为域内设备分配跨域身份,所述跨域身份采用素数表示,同域中不同设备的跨域身份使用不同的素数表示;
9、所述rsa累加器用于对同域中设备的跨域身份进行累加计算,得到域内设备的身份累加值,每个域内设备的身份累加值存储于所述联盟链,通过身份累加值确定各域中设备的数量和身份。
10、第二方面,为了解决上述问题,本专利技术还提供一种物联网完全跨域认证方法,基于第一方面所述的基于联盟链的跨域认证系统,所述方法包括:
11、接收源域的设备da发出的跨域认证信息,所述跨域认证信息包括跨域认证请求和协作请求信息;
12、源域的代理服务器响应所述跨域认证请求生成跨域认证凭证,并将所述跨域认证凭证和协作请求信息发送至分享域的代理服务器;
13、接收分享域的代理服务器对源域设备da跨域身份的验证结果;
14、当所述验证结果为验证通过时,则控制分享域的代理服务器根据协作请求信息确定分享域中可与设备da进行交互的设备,所述设备记为db;
15、控制设备da和设备db进行密钥协商,以实现设备da和设备db的跨域沟通。
16、可选地,所述方法还包括:
17、获取每个域的安全参数κ;
18、基于所述安全参数κ确定域的系统参数pp={g,q,g2,h2,h,h1,h2};
19、其中,g为素数阶q的乘法循环群;h,h1和h2均为哈希函数;g2,h2∈g为生成元;
20、基于安全参数κ确定域的私钥sk=(csk,p′,q′)和公钥pk=(n,g1,h1,cpk);
21、p′和q′为素数,n为rsa算法的模数,n=p′q′;
22、g1,h1∈qrn为生成元;为随机选择的秘密密钥,cpk=csk·p:
23、根据私钥sk=(csk,p′,q′)和公钥pk=(n,g1,h1,cpk)验证设备的跨域身份。
24、可选地,所述方法还包括:
25、为域内设备分配跨域身份yi;所述跨域身份采用素数表示,同域不同设备的跨域身份采用不同的素数表示;每个yi与域设备的身份idi相对应;i为域内设备索引;
26、对同域设备的素数跨域身份yi进行累加计算,得到各域设备的身份累加值accy并储存至区块链;
27、身份累加值accy的计算公式为:为身份的乘积;
28、计算域内设备的素数跨域身份yi的见证值wi并储存至区块链;见证值wi为表征yi合法身份的信息;
29、见证值wi的计算公式为:
30、y为域内全部设备素数跨域身份的集合,“\”表示不包括,j表示域中除yi之外的设备的素数跨域身份的索引。
31、可选地,所述跨域认证请求为为源域的身份标识,为分享域的身份标识,ya为设备da的素数跨域身份;
32、所述方法还包括:
33、在监测到跨域认证请求时,身份管理机构基于源域的身份验证算法对ya进行身份验证;
34、若验证不通过,则跨域认证请求无效;
35、若验证通过,则基于ya确定设备da的承诺信息{u,v,wa,γ,tup,m},并更新源域的身份累加值accy和见证值wa;
36、其中,由身份管理机构随机选择;u和v为计算值,u=g2γ,为返回值,且m由身份管理机构随机生成;wa为ya的见证值,tup表示wa更新至区块链的时间;
37、源域的代理服务器将所述承诺信息、跨域认证凭证和协作请求信息发送至分享域的代理服务器。
38、可选地,所述方法还包括:
39、设备da根据所述承诺信息、公钥信息和时间戳信息生成匿名身份π;
40、源域的代理服务器将所述匿名身份π、承诺信息、跨域认证凭证和协作请求信息发送至分享域的代理服务器;
41、区块链的代理服务器控制分享域的代理服务器验证匿名身份π的合法性,并接收对证匿名身份π的验证结果;
42、若所述验证结果为验证通过,将跨域认证请求发送至与设备da待交互的设备db,设备da与设备db进行密钥协商,以实现设备da与设备db的跨域交互;
43、若所述验证结果为验证不通过,则拒绝跨域认证请求。
44、可选地,所述根据所述承诺信息、公钥信息和时间戳信息生成设备da的匿名身份π的步骤包括:
45、s71:接收承诺信息、公钥信本文档来自技高网...
【技术保护点】
1.一种基于联盟链的跨域认证系统,其特征在于,包括至少两个域,每个域包括身份管理机构、代理服务器和至少一个设备;
2.如权利要求1所述的基于联盟链的跨域认证系统,其特征在于,还包括分配模块,
3.一种物联网完全跨域认证方法,基于权利要求1或权利要求2所述的基于联盟链的跨域认证系统,其特征在于,
4.如权利要求3所述的物联网完全跨域认证方法,其特征在于,所述方法还包括:
5.如权利要求4所述的物联网完全跨域认证方法,其特征在于,所述方法还包括:
6.如权利要求5所述的物联网完全跨域认证方法,其特征在于,
7.如权利要求6所述的物联网完全跨域认证方法,其特征在于,所述方法还包括:
8.如权利要求7所述的物联网完全跨域认证方法,其特征在于,
9.如权利要求8所述的物联网完全跨域认证方法,其特征在于,
10.如权利要求3-9中任意一项所述的物联网完全跨域认证方法,其特征在于,所述方法还包括:
【技术特征摘要】
1.一种基于联盟链的跨域认证系统,其特征在于,包括至少两个域,每个域包括身份管理机构、代理服务器和至少一个设备;
2.如权利要求1所述的基于联盟链的跨域认证系统,其特征在于,还包括分配模块,
3.一种物联网完全跨域认证方法,基于权利要求1或权利要求2所述的基于联盟链的跨域认证系统,其特征在于,
4.如权利要求3所述的物联网完全跨域认证方法,其特征在于,所述方法还包括:
5.如权利要求4所述的物联网完全...
【专利技术属性】
技术研发人员:胡春强,陈希,张今革,邓绍江,蔡斌,桑军,
申请(专利权)人:重庆大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。