[发明专利]物联网环境下基于区块链的跨域认证和密钥协商方法

说明书

本发明公开了一种物联网环境下基于区块链的跨域认证和密钥协商方法，包括以下步骤：（1）初始化：每个实体、边缘服务器和基于区块链证书授权中心BCCA在初始化阶段生成自己的公私钥对；（2）用户注册：实体通过边缘服务器向BCCA发起注册请求，合法的实体收到边缘服务器返回的数字证书；（3）域内认证：已经注册并拥有数字证书的实体向边缘服务器发起在家乡域内的身份认证；（4）域间认证：一个域的可信实体到另一个域进行的身份认证，记为域间认证。本发明设计了基于椭圆曲线的物联网实体身份认证和密钥协商协议，保证低性能终端设备的高效通讯，不仅能提供更强的安全性能，而且更适用于性能较低的物联网边缘设备。

技术领域

本发明涉及一种物联网环境下基于区块链的跨域认证和密钥协商方法。

背景技术

由于物联网环境中的异构性以及存在多个不同的安全域，其中以用户为代 表的低性能终端设备计算能力有限，在一些要求实时性和安全性的物联网场景 中，基于传统中心化的“云服务器-终端设备”认证方式难以实现现有的边缘计算 环境下“边缘设备-终端设备”的高效跨域认证和密钥协商通信。基于公钥基础设 施(Public KeyInfrastructure，PKI)认证技术依赖数字证书进行身份认证，通过 加密技术保证信息安全不被泄露，PKI作为安全基础设施，能够提供身份认证、 数据完整性、数据保密性、数据公正性、不可抵赖性和时间戳六种安全服务。 目前基于PKI技术的认证方案虽然能实现跨域认证但需要复杂的证书管理体系， 对于物联网终端设备分布广、数量多并且涉及多个通信域等特性，PKI技术已 经不能很好地解决物联网设备身份认证问题。

边缘计算(Edge Computing)是指数据或任务能够在靠近数据源头的网络边 缘侧进行计算和执行计算的一种新型服务模型。随着物联网技术的快速发展和 广泛应用，大量的终端设备接入网络中将产生海量级的数据，这为云中心及时 有效地处理数据带来了更大的挑战。此时，边缘计算应运而生，与现有的云计 算(Cloud Computing)集中式处理模型相结合，能有效解决云中心和网络边缘 的大数据处理问题。边缘计算的一个优势在于其突破了终端硬件的限制，使移 动终端等便携式设备大量参与到服务计算中来，实现了移动数据存取、智能负 载均衡和低管理成本。

区块链(Blockchain)是一种按照时间顺序将数据区块以链条的方式组合而 成的特定数据结构，并以密码学方式保证的不可篡改不可伪造的去中心化公共 总账。区块链技术的发展主要依赖如下技术：

P2P网络技术

P2P网络技术又称为对等互联网技术或点对点技术，是区块链系统连接各对 等节点的组网技术，是与中心化连接网络相对应的一种构建在互联网上的连接 网络。

非对称加密算法

非对称加密算法是一种基于密钥的信息加解密方法，需要两个密钥：公钥(Public Key)和私钥(Private Key)。由于加密和解密使用的是不同的密钥，因 此这种加密算法被称之为非对称加密算法。常用的非对称加密算法有RSA、ECC 等。

分布式数据库

分布式数据库是一个数据集合，这些数据在逻辑上属于同一个系统，但是 物理上却是分散在计算机网络的若干节点上，并且要求网络上的各个节点都具 有自治的能力，能执行本地的应用。区块链借助分布式数据库的思想，将数据 分散至网络中的各个节点上，使区块链数据难以被篡改，保证了数据的安全性 和稳定性。

默克尔树(Merkle Tree)

默克尔树是区块链的基本组成部分之一，是大量数据聚集成块的形式。假 设目前有很多包含数据的块，将这些数据块两两分组，为每一个组建立一个包 含每个数据块哈希指针的新的数据结构，知道得到一个单一的哈希指针，称之 为根哈希。在这种情况下，可以从根哈希回溯到任意数据块，从而保证数据不 能篡改，因为一旦攻击者篡改了默克尔树底部的数据，就会导致上一层的哈希 指针不匹配，从而使得任意篡改行为都能被检测到。