[发明专利]一种基于标识密码和联盟链的双代理跨域认证系统

说明书

本发明涉及一种基于标识密码和联盟链的双代理跨域认证系统，属于物联网信息安全技术领域。所述系统包含实体层、代理层、区块链层和物理存储层；实体层包括若干实体和KGC服务器；KGC服务器包含系统初始化、实体密钥生成、BCAS服务器对接和AAS服务器对接四个模块；代理层包含AAS服务器和BCAS服务器；AAS服务器包含BCAS服务器对接、KGC服务器对接和认证代理三个模块，认证代理模块包括消息签名和签名验证模块；BCAS服务器包含智能合约、KGC服务器对接和AAS服务器对接三个模块。所述认证系统能构建管理域间的互信，缓解认证过程中实体计算开销、KGC服务器工作负载、区块链交易延时以及链上存储空间。

技术领域

本发明涉及一种基于标识密码和联盟链的双代理跨域认证系统，用于在实体请求跨域实体服务或者访问其资源前的身份确认，属于物联网信息安全技术领域。

背景技术

身份认证在物联网场景中是一种非常基础性的技术，通常作为隐私、安全、信任、授权、访问控制等的底层技术，或作为大多数应用的子模块而存在。实体在请求服务、访问网络资源之前，通常需要由相关的身份认证模块进行身份认证，身份确认通过之后才能进入下一步的网络行为。

从身份认证过程中所使用的密钥类型来看，身份认证技术分为两大类：基于对称密钥的身份认证技术和基于公钥的身份认证技术。基于对称密钥的身份认证技术所涉及的计算简单，通常具有较好的性能，但是通常有一个预密钥分配的环节，这使得系统的可扩展性和灵活性收到很大的限制。目前主要被使用的基于公钥的身份认证技术，又进一步分为基于数字证书的身份认证技术和基于身份标识密码技术的身份认证技术。基于公钥的身份认证技术可解决对称密钥所面临的扩展性和灵活性问题，但是基于数字证书的身份认证技术存在对公钥基础设施的依赖以及数字证书的维护问题，这使得其在物联网领域的应用受到限制。本发明使用基于标识密码的身份认证技术，标识密码不需要使用数字证书将实体的标识和公钥进行绑定，实体标识本身就是公钥或者根据标识计算导出，具有管理简单，扩展性好、灵活性高的特点。

联盟链是一种需要注册许可的区块链，区块链账本仅限于联盟链成员参与维护，区块链上的读写权限、参与记账权限按联盟规则来制定。联盟链平台应提供成员管理、认证、授权、监控、审计等安全管理功能。联盟链虽然去中心化程度不如公有链，但其在交易的确认时间、每秒交易数方面都有很大提升，安全性和性能比公有链高。

发明内容

本发明考虑物联网场景下不同管理域间实体的认证需求，针对所述不同管理域间缺乏互信，公钥基础设施面临证书维护的问题，结合标识密码技术无数字证书、易于部署和管理的优势，联盟链构建互信以及去中心化特性，提出一种基于标识密码和联盟链的双代理跨域认证系统。

所述基于标识密码和联盟链的双代理跨域认证系统涉及的名词有：

1)管理域，是指某些设备同属于一个机构或组织，逻辑上被所述机构或组织内的管理服务器所管理，所述设备及设备的管理服务器共同构成了一个独立的逻辑域；

2)实体，即Entity，简称E，对应着物联网场景下的一个物理设备；

3)密钥生成中心服务器，即Key Generation Center，简称KGC，是管理域内的密钥管理服务器；

4)认证代理服务器，即Authentication Agent Server，简称AAS，是管理域内实体的认证代理；

5)区块链代理服务器，即Blockchain Agent Server，简称BCAS，是管理域内KGC服务器的区块链代理；

所述基于标识密码和联盟链的双代理跨域认证系统在一个独立的管理域内包含实体层、代理层、区块链层和物理存储层；

其中，实体层包括若干实体和KGC服务器；

其中，实体和KGC服务器是基于密码标识系统具备的组件；