[发明专利]物联网环境下基于区块链的跨域认证和密钥协商方法

权利要求书

1.一种物联网环境下基于区块链的跨域认证和密钥协商方法，其特征在于，包括以下步骤：

(1)初始化：每个实体、边缘服务器和基于区块链证书授权中心BCCA在初始化阶段生成自己的公私钥对；

(2)用户注册：实体通过边缘服务器向BCCA发起注册请求，合法的实体收到边缘服务器返回的数字证书；

(3)域内认证：已经注册并拥有数字证书的实体向边缘服务器发起在家乡域内的身份认证；

(4)域间认证：一个域的可信实体到另一个域进行的身份认证，记为域间认证；设定信任域A和B，A域的已注册实体E_a需要访问B域，在进行通信之前B域的边缘服务器ES_B对A域的已注册实体E_a进行身份认证，完成身份认证后才可与B域的可信实体E_b进行密钥协商，交互信息。

2.根据权利要求1所述的物联网环境下基于区块链的跨域认证和密钥协商方法，其特征在于，所述步骤(1)中，初始化阶段是指E_a或者A域的边缘服务器ES_A在注册身份前做的准备工作，以E_a的初始化过程为例，首先选择一个随机数d_a∈[1，n-1]作为私钥保存，并根据E(F_p)计算自己的公钥Q_a＝d_a·P；同理，每个实体、边缘服务器和BCCA都在初始化阶段生成自己的公私钥对；

其中E(F_p)为选取有限域F_p上随机生成的一条椭圆曲线，一旦椭圆曲线确定，椭圆曲线上的基点P也随之确定，P的阶数为n，n是一个素数。

3.根据权利要求2所述的物联网环境下基于区块链的跨域认证和密钥协商方法，其特征在于，所述步骤(2)中用户注册的具体过程为：

2-1)E_a→ES_A：{Q_a，ID_a}，E_a向ES_A发送Q_a和ID_a并发起注册请求，其中Q_a、ID_a分别为E_a的公钥和ID；

2-2)ES_A→E_a：ES_A收到来自E_a的注册请求后，首先保存ID_a，为了避免重放攻击，ES_A发送一个用E_a的公钥Q_a进行加密后的随机数N₁给E_a确认注册请求；

2-3)E_a→ES_A：E_a收到来自ES_A的随机数N₁时，返回验证一个用E_a的公钥Q_a进行加密后的消息N₁-1表明白己确认注册信息；

2-4)ES_A→BCCA：{Q_a，ID_a，(N₂)_sig，N₂}，ES_A收到来自E_a的验证消息后确认E_a身份，身份无确认误后发送Q_a、ID_a给BCCA，为其向BCCA申请数字证书，申请过程中ES_A用私钥签名一个随机数N₂用来声明E_a在ES_A管辖范围内；BCCA检查E_a的ID_a是否已经被注册，若已经被注册，则此次注册申请不通过，返回错误信息给ESA，若没有被注册则选择一个随机数N₃然后为E_a计算数字证书并将数字证书的哈希值Hash(ID_a)存储至区块链中，一个完整的数字证书签名由(r_a，s_a)两部分组成，其中r_a＝(d_a·P).x mod n，.x是取坐标的x轴的值，mod是取余操作，s_a＝N₃^-1(e_a+d_CA·r_a)，其中哈希值e_a＝Hash(Q_a.x，ID_a，T_a)，T_a为E_a数字证书签名的有效期，d_CA为BCCA的私钥；

2-5)BCCA→E_a：{Q_CA，ID_a，(r_a，s_a)，T_a}，BCCA将BCCA的公钥Q_CA，E_a的数字证书(r_a，s_a)和E_a数字证书签名的有效期T_a发送给E_a。