[发明专利]一种去中心化的物联网跨域访问授权方法及系统

权利要求书

1.一种去中心化的物联网跨域访问授权方法，其特征在于，至少包括如下步骤：

对信任域系统进行初始化后构建区块链网络，并将若干个信任域内的认证服务器均设为区块链节点；通过各个信任域内的认证服务器为对应域内的设备生成对应的私钥，并在区块链中存储各个信任域的系统信息，具体为：

通过认证服务器初始化信任域的系统参数，包括用于初始化系统参数的加法循环群和乘法循环群，以及用于生成身份标识的哈希函数；

通过认证服务器生成系统主密钥,同时生成对应的系统公钥；

通过设备向认证服务器提交其身份标识信息以及私钥生成请求；

在认证服务器响应来自设备的私钥生成请求后，生成其对应的签名私钥，并将设备的身份标识作为对应的公钥；

认证服务器将信任域的系统信息上链，其中，所述信任域的系统信息包括：信任域的标识符、信任域内标识系统初始化时的系统参数、系统主公钥以及信任域域内所有设备的身份标识；

当设备向所在的信任域内的认证服务器发起跨域授权申请时，该设备所在的信任域内的认证服务器通过智能合约对该设备进行授权和门限签名；

当设备进行跨域访问时，通过被访问的信任域内的认证服务器对该设备进行身份验证；若通过身份验证，则通过区块链网络查询该设备的授权信息并验证授权的门限签名，在通过签名验证后允许该设备进行跨域访问；

所述当设备向所在的信任域内的认证服务器发起跨域授权申请时，该设备所在的信任域内的认证服务器通过智能合约对该设备进行授权和门限签名，具体为：

当设备向所在的信任域内的认证服务器请求跨域授权时，通过设备对请求消息附加私钥签名；

通过所述认证服务器验证该设备的签名，如果验证成功，则进入下一步骤；

通过认证服务器调用区块链链上的主合约生成授权合约，指定对应的授权信息，其中，所述授权信息包括：需要授权的信任域、授权时间和授权的设备；

通过授权合约使用其区块链地址作为身份标识，生成对应的私钥；

授权合约将私钥进行秘密共享处理，将生成的部分私钥以及授权信息分发给指定签名的信任域的认证服务器，其中，所述部分私钥通过认证服务器的公钥加密发送；

通过收到授权签名请求的认证服务器对所述授权信息签名，生成部分签名，将部分签名发送给授权合约；

在所述授权合约收集到所述部分签名后，验证所述部分签名的有效性，当验证成功后，将所述部分签名合成为完整的门限签名；

通过所述授权合约将授权信息以及对授权信息的签名打包作为交易发送给存储合约，同时发布到区块链；

所述当设备进行跨域访问时，通过被访问的信任域内的认证服务器对该设备进行身份验证；若通过身份验证，则通过区块链网络查询该设备的授权信息并验证授权的门限签名，在通过签名验证后允许该设备进行跨域访问，具体为：

第一信任域内的设备向第二信任域内的认证服务器发起跨域访问请求；

第二信任域内的认证服务器向第一信任域内的设备发送用于挑战验证的随机数；

第一信任域内的设备向第二信任域内的认证服务器发送所述随机数对应的签名以及随机数;

第二信任域内的认证服务器将第一信任域内的设备的身份标识作为公钥并进行签名验证，若签名验证成功，则判定第一信任域内的设备的身份认证通过；

第二信任域内的认证服务器根据第一信任域内的设备身份标识向区块链查询其授权信息，并对授权信息的签名进行验证，

在授权信息的签名验证成功后，则判定第一信任域内的设备授权用于访问第二信任域内的认证服务器，允许该设备进行访问，发送授权通过信息。