[发明专利]一种基于标识密码和联盟链的双代理跨域认证方法

摘要

本发明涉及一种基于标识密码和联盟链的双代理跨域认证方法，属于物联网信息安全技术领域。包括1)管理域系统初始化：KGC服务器初始化系统参数组，生成系统主密钥，发送信息上链请求并附上管理域标识符、系统参数组和系统主密钥；BCAS服务器将上述信息存储在文件中，并计算文件哈希；调用信息上链智能合约，将文件的URI和哈希信息写入区块链；2)管理域B内实体EB认证管理域A内实体EA的过程。所述方法使用标识签名技术实现实体身份认证，认证过程不依赖于公钥基础设施且不需要数字证书，使系统的部署、维护简便，易于扩展，灵活性高；管理域间的互信构建过程并不依赖于第三方机构；能有效解决标识密码技术公钥的撤销和更新问题。

主权项

1.一种基于标识密码和联盟链的双代理跨域认证方法，其特征在于：涉及的名词有：1)管理域，是指某些设备同属于一个机构或组织，逻辑上被所述机构或组织内的管理服务器所管理，所述设备及设备的管理服务器共同构成了一个独立的逻辑域；2)实体，即Entity，简称E，对应着物联网场景下的一个物理设备，E_A表示属于管理域A内的实体；3)密钥生成中心服务器，即Key Generation Center，简称KGC，是管理域内的密钥管理服务器，KGC_A表示管理域A中的密钥生成中心服务器；4)认证代理服务器，即Authentication Agent Server，简称AAS，是管理域内实体的认证代理，AAS_A表示属于管理域A中的认证代理服务器；5)区块链代理服务器，即Blockchain Agent Server，简称BCAS，是管理域内KGC服务器的区块链代理，BCAS_A表示属于管理域A中的区块链代理服务器；6)实体标识，用于唯一标识一个实体，且用来作为实体的公钥或者由标识计算出其公钥；所述基于标识密码和联盟链的双代理跨域认证方法，包含如下步骤：步骤1，管理域系统初始化，依次包含以下步骤：步骤1.1，KGC服务器初始化系统参数组；步骤1.2，KGC服务器生成系统主密钥；其中，系统主密钥包含系统主公钥和系统主私钥；步骤1.3，KGC服务器给BCAS服务器发送信息上链请求，并附上管理域标识符、系统参数组和系统主公钥；步骤1.4，BCAS服务器将管理域标识符、系统参数组和系统主公钥存入文件，并计算文件哈希；通过调用信息上链智能合约，将文件的URI和哈希信息写入区块链；步骤2，管理域B内实体E_B认证管理域A内实体E_A的过程，依次包含以下步骤：步骤2.1，管理域A内，实体E_A验证签名私钥是否存在且仍旧有效，若存在且有效，则进入步骤2.8；若实体E_A目前尚无签名私钥或者签名私钥已经失效，则进入步骤2.2；步骤2.2，管理域A内，实体E_A向KGC_A服务器请求生成自己的签名私钥，并附上自己的标识；步骤2.3，管理域A内，KGC_A服务器根据实体E_A传来的标识和系统的系统主私钥，计算出实体E_A的签名私钥；步骤2.4，管理域A内，KGC_A服务器向BCAS_A服务器请求更新管理域A的系统信息，并附上实体E_A的标识；步骤2.5，管理域A内，BCAS_A服务器更新管理域A的系统信息对应的文件内容，即更换或者增加实体标识E_A，并重新计算文件哈希值，调用信息上链智能合约，往联盟链中写入新的URI和文件哈希值信息；步骤2.6，管理域A内，BCAS_A服务器更新管理域A的系统信息后，给KGC_A服务器返回系统信息更新成功消息；步骤2.7，管理域A内，KGC_A服务器将E_A的签名私钥以安全的方式发送给实体E_A；步骤2.8，管理域A内，实体E_A生成消息M；步骤2.9，管理域A内，实体E_A向AAS_A服务器发送签名请求和认证请求，并附上消息M；步骤2.10，管理域A内，AAS_A服务器首先查询自己数据库内是否含有实体E_A的签名私钥，并验证其有效性；若实体E_A的签名私钥有效，则进入步骤2.14；若无或实体E_A的签名私钥已经失效，则进入步骤2.11；步骤2.11，管理域A内，AAS_A服务器向KGC_A服务器请求实体E_A的签名私钥；步骤2.12，管理域A内，KGC_A服务器根据AAS_A服务器的签名私钥请求，从数据库查找实体E_A的签名私钥；步骤2.13，管理域A内，KGC_A服务器给AAS_A服务器回传实体E_A的签名私钥；步骤2.14，管理域A内，AAS_A服务器使用实体E_A的签名私钥对其发来的消息M进行签名，产生数字签名S；步骤2.15，管理域A内，AAS_A服务器将从实体E_A发来的认证请求转发给管理域B内的AAS_B服务器，并附上消息M和签名S；步骤2.16，管理域B内，AAS_B服务器接收到认证请求、消息M和签名S之后，先在自己的数据库内的查询管理域A中是否包含实体E_A的标识；若存在且仍有效，进入步骤2.20；若不存在或者无效，则进入步骤2.17；步骤2.17，管理域B内，AAS_B服务器向BCAS_B服务器请求关于管理域A的最新系统信息；步骤2.18，管理域B内，BCAS_B服务器收到AAS_B服务器的请求之后，调用信息查询智能合约，查询管理域A的最新系统信息纪录；根据返回纪录中的URI字段获取管理域A的最新系统信息；步骤2.19，管理域B内，BCAS_B服务器将管理域A的最新系统信息回传给AAS_B服务器；步骤2.20，管理域B内，AAS_B服务器再次查询管理域A中是否包含实体E_A；若无实体E_A，认证失败，则进入步骤2.22；若存在实体E_A,则进入步骤2.21；步骤2.21，管理域B内，AAS_B服务器根据消息M、签名S和管理域A的系统信息，开展签名验证；若签名验证成功，则认证成功；若签名验证失败，则认证失败；步骤2.22，管理域B内，AAS_B服务器生成认证结果；若认证成功，则认证结果为认证成功消息，进入步骤2.25；若认证失败，则生成认证结果为认证失败消息，进入步骤2.23；步骤2.23，管理域B内，若认证结果为认证失败，则AAS_B服务器给管理域A内的AAS_A服务器回传认证结果；若认证结果为认证成功，则进入步骤2.24；步骤2.24，管理域B内，AAS_B服务器给管理域A内的AAS_A服务器回传认证结果；此外，AAS_B服务器给实体E_B发送认证结果；步骤2.25，管理域A内，AAS_A服务器接收到认证结果后，将其转发给实体E_A。