[发明专利]一种基于区块链的工业物联网设备跨域身份认证方案

权利要求书

1.一种基于区块链的工业物联网设备跨域身份认证方案，其特征在于：基于身份认证系统架构，

所述的身份认证系统架构包括多个参与身份认证的域Domain以及多个域共同组成的区块链Blockchain，每个域中包括多个工业物联网IIoT设备、一个区块链服务节点BSN和一个密钥生成中心KGC；

所述的IIoT设备是参与跨域通信的实体，负责收集数据或执行制造任务，各个IIoT设备预置了唯一身份标识ID和ECDH公钥m；

所述的密钥生成中心KGC负责管理域中IIoT设备的身份，并为域内的IIoT设备生成部分密钥；KGC负责验证来自外部域中的IIoT设备的身份认证请求；KGC存储域内IIoT设备的身份标识(ID₁，ID₂，...，ID_i)，域内IIoT设备的临时身份标识(TID₁，TID₂，...，TID_i)及其对应的公共密钥(PK₁，PK₂，...，PK_i)；每个临时身份都有一个到期时间，IIoT设备的身份过期后，KGC将撤消其临时身份和相应的公共密钥；

所述的区块链服务节点BSN是启用了联盟链的节点，负责维护区块链分布式账本；BSN负责响应来自本域内KGC的请求，将本域内IIoT身份信息写入区块链分布式账本或从账本中获取域外IIoT设备的身份信息；

所述的区块链Blockchain用于提供去中心化服务来存储信息，每个域将其域标识符DID，IIoT设备公共密钥(PK₁，PK₂，...，PK_i)、临时身份标识列表(TID₁，TID₂，...，TID_i)和KGC的系统参数params存储到区块链分布式账本中，上述信息将用于跨域身份验证；每个域的BSN维护全局区块链分布式账本，通过从区块链分布式账本中检索数据，用于使每个域都轻松获取其他域的共享信息；

认证方案具体包括：初始化阶段、注册阶段以及身份认证阶段；

初始化阶段：生成每个域的域标识符DID，域内所有IIoT设备的唯一身份标识、临时身份标识符以及系统参数，并将所述这些参数通过区块链分布式账本共享，用于后续的注册和身份认证；

注册阶段：用于将有注册需求的IIoT设备D_i的临时身份标识TID_i、公钥PK_i以及D_i所在域的域标识符DID_A相关联并上传至区块链分布式账本中；

身份认证阶段：用于对来自不同域的两个IIoT设备间的双向身份验证；域A的设备D_i向域B的设备D_k发起身份验证，完成后，自域B的IIoT设备D_k尝试向自域A的设备D_i发起身份验证，最终，两设备间完成了双向认证过程并交换了通信密钥。