[发明专利]基于区块链的分布式可信网络连接方法

权利要求书

1.一种基于区块链的分布式可信网络连接方法，其特征在于：可信网络连接分为三个阶段进行：第一阶段为初始化阶段，第二阶段为可信网络连接阶段，第三阶段为交易更新阶段，具体包括如下步骤：

初始化阶段：

(1.1)分配公私密钥对并产生相应签名：

可信第三方TP为分布式系统中的每一个终端设备分配一副公私密钥对Kpri/Kpub，并由公私密钥对产生相应的椭圆曲线数字签名ECDSA；

(1.2)产生并注册基本信息：

TDA终端设备用自己的私钥Kpri_a签名并用可信第三方TP的公钥Kpub_TP加密以下数据：平台完整性寄存器PCRa值，度量值digest_a，用户密码密文的散列值HMac_a，计数器值CTa，终端设备识别号IDa，椭圆曲线数字签名ECDSA；然后TDA向可信第三方发起请求并将以上签名加密数据发送给可信第三方，完成初始交易信息的注册；

(1.3)检测注册信息：

当可信第三方TP接收到TDA的请求信息时，可信第三方验证TDA用户密码密文散列值HMac_a的有效性以及检测TDA平台的完整性信息即平台完整性寄存器PCRa值是否符合网络访问策略；

(1.4)发送响应信息：

若TDA的注册信息验证成功，则可信第三方在TDA的注册数据上用自己的私钥签名并将该数据发送给TDA；若TDA的注册信息验证失败，则可信第三方终止与TDA的连接；

(1.5)初始交易的产生与存储：

TDA产生并广播初始交易，矿工根据PoW机制验证初始交易的签名信息并将该交易信息存储到区块链上；

可信网络连接阶段

(2.1)终端设备之间通过区块链进行双向用户认证：双方均查找区块链中初始交易信息是否与对方发送给自己数据的哈希值一致来完成双向用户认证；

(2.2)终端设备之间通过区块链进行双向平台认证：双方均通过获取区块链中最近前一个交易中对方平台的完整性信息与对方发送的平台完整性报告中的完整性寄存器值作比较运算，判断对方平台的完整性并完成双向平台认证；

交易更新阶段

(3)产生新的更新交易：TDA终端设备或TDB终端设备产生并广播新的更新交易，矿工根据PoW机制对更新交易进行检测，若检测通过，则该更新交易被存储到区块链中，完成交易更新；若检测未通过，则该更新交易无法存储到区块链中，以保证区块链中交易信息的安全可信性。

2.根据权利要求1所述的基于区块链的分布式可信网络连接方法，其特征在于，步骤(2.1)中所述的终端设备之间通过区块链进行双向用户认证，具体包括有如下步骤：

(2.11)在分布式环境下，TDA终端设备向TDB终端设备发送请求信息，其中包括自身的设备识别ID号，随机数Na，TDA所属用户密码的密文值；

(2.12)当TDB接收到TDA的请求信息后，TDB向TDA发送响应信息，包括自身的设备识别ID号，随机数Nb，TDB所属用户密码的密文值；然后，TDB访问区块链并获取TDA的初始交易信息并验证其密码散列值的一致性，若一致，TDA被认为是合法授权用户，进行接下来的平台认证；若不一致，TDA被认为是恶意节点并终止与其连接；

(2.13)当TDA接收到TDB的响应信息后，TDA访问区块链并获取TDB的初始交易信息并验证其密码散列值的一致性，若一致，则TDB被认为是合法授权用户，进行接下来的平台认证；若不一致，TDB被认为是恶意节点并终止与其连接。