[发明专利]一种基于区块链的工业物联网设备跨域身份认证方案

说明书

本发明涉及一种基于区块链的工业物联网设备跨域身份认证方案，属于工业物联网领域，用于解决工业物联网设备的跨域身份认证问题。本发明针对现有物联网设备身份认证方案的证书管理、对可信第三方的依赖等问题，提出了一种基于区块链的工业物联网设备跨域身份认证方案。通过本方案，位于不同管理域(Domain)的对等工业物联网设备可以完成双向的身份认证并共享通信密钥以完成安全的通信。在本方案中，通过使用区块链在对等域之间建立信任，从而消除了对受信任第三方的依赖；并通过使用无证书公钥加密(CertificatelessSignature,简称CLS)，解决了证书管理问题。

技术领域：

本发明属于工业物联网领域，具体涉及一种基于区块链的工业物联网设备跨域身份认证方案。

背景技术：

随着工业物联网(Industrial Internet of Tings,简称IIoT)的快速发展，过去独立生产的工厂正在逐步整合和互连，以提高生产率。一个完整的制造过程通常由跨多个领域的多家工厂和供应商完成。因此，位于不同管理域(Domain)中的IIoT 设备需要互连和共享信息。多个域之间的通信需求导致跨域身份验证问题。但是，大多数现有的身份验证方案都依赖于受信任的第三方或具有较高的证书管理成本。本方案基于[1]中提出的无证书签名算法，提出了一种基于区块链的工业物联网设备跨域身份认证方案。在本方案中，通过使用区块链在对等域之间建立信任，从而消除了对受信任第三方的依赖；并通过使用无证书公钥加密(Certificateless Signature,简称CLS)，解决了证书管理问题。

发明内容

本发明针对现有物联网设备身份认证方案的证书管理、对可信第三方的依赖等问题，提出了一种基于区块链的工业物联网设备跨域身份认证方案。通过本方案，位于不同管理域(Domain)的对等工业物联网设备可以完成双向的身份认证并共享通信密钥以完成安全的通信。具体技术方案如下：

架构总览

如图1所示，在身份认证系统架构中，有多个参与身份认证的域(Domain)，每个域中包含的实体包括多个IIoT设备、一个区块链服务节点(BSN)、一个密钥生成中心(KGC)。此外，还有多个域共同组成的区块链(Blockchain)。

(1)工业物联网(Industrial Internet of Things,IIoT)设备：

IIoT设备是参与跨域通信的实体，这类设备一般是生产过程的参与者，负责收集数据或执行制造任务。在本方案中，唯一身份标识ID和ECDH公钥m被预置在各个IIoT设备中。注册过程和身份认证过程都由IIoT设备发起，通过注册阶段，IIoT与KGC共同完成公私钥对的生成，在获得公私钥对后，IIoT设备可以生成签名并向域外的设备发送身份认证请求。

(2)密钥生成中心(Key Generation Center,KGC):

KGC负责管理域中IIoT设备的身份，并为域内的IIoT设备生成部分密钥。此外，KGC会验证来自外部域中的IIoT设备的身份验证请求。KGC存储了一组来自于IIoT设备的身份标识(ID₁，ID₂，…，ID_i)，它们的临时身份标识 (TID₁，TID₂，…，TID_i)及其对应的公共密钥(PK₁，PK₂，…，PK_i)。每个临时身份都有一个到期时间,设备的身份过期后，KGC将撤消其临时身份和相应的公共密钥。此外，KGC还负责响应来自域外IIoT设备的身份认证请求。

(3)区块链服务节点(Blockchain Serve Node,简称BSN)：

BSN是启用了联盟链的节点，负责维护区块链分布式账本。BSN负责响应来自本域内KGC的请求，将本域内IIoT身份信息写入区块链分布式账本或从账本中获取域外IIoT设备的身份信息。