[发明专利]身份认证方法和系统

说明书

本公开提供一种身份认证方法和系统。在身份认证系统中，第一节点在访问第二节点时向认证节点发送第一访问请求，认证节点从区块链事务节点获取第二节点的访问条件，并根据访问条件对第一节点进行合法性验证，在第一节点通过合法性验证后，认证节点将令牌发送给第一节点，第一节点向第二节点发送第二访问请求，其中第二访问请求包括第一节点地址信息和令牌，第二节点请求认证节点验证所述令牌，在所述令牌通过验证后，第二节点向第一节点开放资源，区块链事务节点将本次交易处理写入区块链。本公开通过利用区块链为物联网设备的身份认证提供有效匿名的执行环境，同时也保证了数据的安全和不可篡改。

技术领域

本公开涉及安全技术领域，特别涉及一种身份认证方法和系统。

背景技术

近年来，随着物联网技术的迅速发展，接入网络的设备数量呈爆炸式增长。根据Gartner的统计，2017年物联网的规模已经达到了83.806亿台。预估到2020年，物联网的规模会达到250亿台。随着物联网规模的快速增大，物联网内设备的身份认证问题也愈发明显。

身份认证是实体间信任建立的过程。在单一域中通常借助第三方的权威属性，通过用户所知、用户所有或生物特征来确认用户身份，建立起交互实体之间的信任。但是在单个域中，保护的能见度和范围是有限的。随着物联网中设备数量的增长，如果以传统的中心化网络模式进行管理，将带来巨大的数据中心基础设施建设投入及维护投入。另一方面，物联网是分布式模式，建立用户和分布式计算节点之间的信任是亟待解决的问题，基于中心化的网络模式也会存在安全隐患。首先，中心化服务器容易受到攻击，服务器遭受攻击后宕机、瘫痪，进而造成数据泄露或者服务中断的问题；其次，物联网设备的本身容易遭受攻击，设备的可信度和数据的安全性不能保证，身份认证结果也很容易遭受篡改。

区块链技术是分布式存储、点对点传输、共识机制、加密算法的集成应用。通过区块链分布式节点验证和共识机制，能够实现去中心化系统节点间的信任建立，同时公共账本提供一个共享、确定、不可改变的记录，保证数据一致性、防篡改。基于这些特性区块链被用于支付结算、票据、信用认证和监管等领域。典型的基于区块链技术的分布式PKI(Certcoin)，其核心思想是通过公共总账来记录用户证书，以公开的方式将用户身份与证书公钥关联，从而实现去中心化的PKI建设，任何用户都可以查询证书的签发过程，解决了传统的PKI系统中面临的证书的透明度和CA单点故障的问题。由此，区块链的去中心化特性为物联网的自我治理提供了方法，但是这种身份认证需要考虑物联网本身的特性，一方面在物联网环境下，设备具有不同的信任需求，另一方面终端设备硬件资源有限，在上述两种情况下，如何更高效的参与区块链服务。另一方面，面对大规模且具有动态性特征的物联网设备，没有适用于主体信任度不明确情况的动态授权机制，设备之间无法安全的发现对等点。

发明内容

发明人通过研究发现，现有的基于区块链的物联网身份认证技术，一方面，没有考虑物联网环境下设备不同的信任需求，以及本身终端设备由于硬件资源有限的掣肘，如何更高效的参与区块链服务的问题；另一方面在面对大规模且具有动态性的物联网设备认证时，没有可靠的动态授权机制。

本公开提供一种通过利用区块链构建实现物联网设备可信的身份认证的方案。

根据本公开的一个或多个实施例的一个方面，提供一种身份认证方法，包括：第一节点向认证节点发送第一访问请求，其中第一访问请求包括第一节点身份信息、请求事件和第二节点身份信息；认证节点在接收到第一访问请求后，从区块链事务节点获取第二节点的访问条件，并根据访问条件对第一节点进行合法性验证；在第一节点通过合法性验证后，认证节点将令牌发送给第一节点；第一节点向第二节点发送第二访问请求，其中第二访问请求包括第一节点地址信息和所述令牌；第二节点在接收到第二访问请求后，请求认证节点验证所述令牌；在所述令牌通过验证后，第二节点向第一节点开放资源；区块链事务节点将本次交易处理写入区块链。

在一些实施例中，若第二节点为中继设备或汇聚设备，则通过群签名验证第一节点的合法性；若第二节点为物联网终端节点，则通过验证第一节点的签名来验证第一节点的合法性。