[发明专利]一种基于区块链的多域证书双向认证方法及系统

说明书

本发明公开了信息安全领域的一种基于区块链的多域证书双向认证方法及系统，包括：响应于系统网络架构接收到新增节点发送的注册信息时；对注册消息进行验证，并且验证通过后生成新增节点对应的证书；根据证书计算新增节点的证书的哈希值，将新增节点的证书的哈希值存储至区块链；将所述新增节点的证书发送至星际文件系统，根据新增节点的证书生成对应的CID，并发送至所述中心节点CA；基于CID生成注册成功消息并回复至所述新增节点；响应于边缘节点EN和终端设备UE之间进行跨域或同域交互获取服务时，对边缘节点EN和终端设备UE之间进行双向认证；削弱了中心节点CA在身份认证中的中心化角色，实现了分布式身份认证。

技术领域

本发明属于信息安全技术领域，具体涉及多域证书双向认证方法及系统。

背景技术

物联网是指通过信息传感设备，按约定的协议，将任何物体与网络相连接，物体通过信息传播媒介进行信息交换和通信，以实现智能化识别、定位、跟踪、监管等功能。随着物联网的发展，随之而来的是物联网中设备和应用的类型及数量不断增长，系统的复杂化导致物联网面临着越来越严重的安全隐患，因此对于物联网设备的身份认证成为了必要。传统的物联网身份认证设备或者应用在加入到物联网中首先需要在数据中心注册，获得凭证，并依靠该凭证在物联网中标识身份，这种身份认证方式需要一个或者多个数据中心，这种中心化管理最大的问题在于，一旦数据中心受到攻击或者劫持，那么设备和应用的身份信息会被泄露，这样就会严重影响物联网中设备和应用的安全。

多域认证是指在不同的网络域中，由各域的证书颁发机构颁发本域的证书，持有证书的用户可在本域进行身份认证后获取网络服务，且可向他域进行跨域认证来访问他域网络。当前多域认证主要通过证书颁发机构来完成身份认证，所带来的主要问题有：1.安全性问题，由于依靠证书颁发机构来完成身份认证，认证系统的中心化严重，可能会出现单点故障或被黑客攻击和盗用用户信息等问题；2.兼容性问题，不同域的认证机制可能不同，需要进行额外的开发和配置。因此，需要设计一个可信的分布式多域认证来解决物联网中的身份认证问题。

发明内容

本发明提供了一种基于区块链的多域证书双向认证方法及系统，解决了传统集中式中心节点CA身份认证管理中的单点故障风险以及遭受数据攻击或劫持时的隐私数据泄露问题，削弱了中心节点CA在身份认证中的中心化角色，实现了分布式身份认证。

为达到上述目的，本发明所采用的技术方案是：

本发明第一方面提供了一种基于区块链的多域证书双向认证方法，包括：

响应于系统网络架构接收到新增节点发送的注册信息时；对注册消息进行验证，并且验证通过后生成新增节点对应的证书；所述系统网络架构包括中心节点CA、边缘节点EN和终端设备UE；

根据证书计算新增节点的证书的哈希值，将新增节点的证书的哈希值存储至区块链；将所述新增节点的证书发送至星际文件系统，根据新增节点的证书生成对应的CID，并发送至所述中心节点CA；基于CID生成注册成功消息并回复至所述新增节点；所述新增节点成为所述系统网络架构中的边缘节点EN或终端设备UE；

获取边缘节点EN和终端设备UE中失效的证书，由中心节点CA生成证书吊销列表CRL并将证书吊销列表CRL发送至星际文件系统；

响应于边缘节点EN和终端设备UE之间进行跨域或同域交互获取服务时，对边缘节点EN和终端设备UE之间进行双向认证。

优选的，所述新增节点发送注册信息的方法包括：

使用椭圆曲线密码生成新增节点的密钥对；所述新增节点的密钥对包括新增节点的公钥PKUE/EN和新增节点的私钥SKUE/EN；

利用新增节点的私钥SKUE/EN和中心节点CA的公钥PKUE/EN生成注册消息，将注册消息发送至系统网络架构的中心节点CA；

注册消息的表达公式为：