一种基于云链融合的机载软件安全分发身份认证方法

本发明属于机载软件安全分发，尤其是涉及一种基于云链融合的机载软件安全分发身份认证方法。

背景技术：

1、目前，机载航电系统正朝着分布式、集成化方向发展，云存储架构为航电系统的发展提供了新的思路。云存储可以有效减轻航电系统机载软件物理存储的压力，任务处理效率高。但作为第三方，集中式架构导致了单点故障、数据集中存储等诸多问题，降低了机载软件分发的安全性。不仅如此，目前波音公司使用当代互联网技术（internet）、无线保真技术（wi-fi）和卫星通信技术（satcom）进行机载软件的电子分发和无线传输系统机载软件的电子分发和无线传输，该过程通过pki数字签名技术实现的，依靠ca来分发和管理数字证书，存在一定的安全风险，成本较高。因此，研究一种安全可靠的身份认证机制对机载软件的分发具有重要的理论和现实意义。

2、目前的机载软件安全分发主要存在以下的几个问题：1)机载软件在云端易遭受非法访问；2)缺乏完善的机载软件安全分发身份认证设计；3)机载软件电子分发中pki数字签名算法面临繁重的证书管理问题。

技术实现思路

1、有鉴于此，本发明旨在克服现有技术中上述问题的不足之处，提出基于云链融合的机载软件安全分发身份认证方法，结合云存储、区块链、机载软件供应链以及cls方案，通过双因素认证方案实现对机载软件安全、高效的存储和分发。

2、为达到上述目的，本发明的技术方案是这样实现的：

3、一种基于云链融合的机载软件安全分发身份认证方法，包括构建机载软件云链融合存储架构，并基于机载软件云链融合存储架构进行机载软件安全分发身份认证；其中，

4、所述机载软件云链融合存储架构中包括四类成员：机载软件拥有者、云服务提供商、智能合约和机载软件用户；

5、所述机载软件拥有者包括供应商和航空公司运营中心，用于将其虚拟身份上传到区块链，以获得部分密钥和身份证明，生成并验证合法的密钥对后，机载软件拥有者对机载软件数据进行签名并上传至云服务提供商；

6、所述云服务提供商用于存储机载软件拥有者上传的机载软件数据，以及为合法的机载软件用户提供相应机载软件的分发服务；

7、所述智能合约为部署在区块链节点上的代码，用于生成部分密钥、身份证明的颁发及验证、机载软件身份认证；

8、所述机载软件用户用于向区块链发送机载软件分发请求，身份认证成功则可下载相应的机载软件；

9、基于机载软件云链融合存储架构进行机载软件安全分发身份认证包括：用户注册、用户密钥生成、机载软件数据上传、双因素身份认证及机载软件分发；其中，

10、用户注册：机载软件拥有者选择一个随机数ni,，为阶数为q的整数群，一个时间戳ti,并计算哈希值获得其虚拟身份hi， = ，为第i个用户的虚拟身份，idi为机载软件拥有者的真实身份标识，机载软件拥有者发送注册请求reg_req(hi,ti)给智能合约；

11、用户密钥生成：智能合约验证时间戳ti，查询区块链中是否已经存在该机载软件拥有者，如果该机载软件拥有者已经存在，则返回拒绝，否则，智能合约生成部分密钥并返回，机载软件拥有者验证部分密钥的正确性并生成完整的密钥对，包括公钥和私钥，机载软件拥有者选择随机数，使用私钥生成签名信息，机载软件拥有者将随机数、签名信息和公钥发送给智能合约，智能合约使用公钥验证签名，如果签名正确，智能合约向机载软件拥有者颁发身份证明，将机载软件拥有者的注册信息以及属性信息的摘要块上传到区块链，否则，智能合约将返回拒绝；

12、机载软件数据上传：机载软件拥有者发送机载软件数据上传请求至智能合约，智能合约保存请求至合法的列表中，机载软件数据上传至云服务提供商，云服务提供商返回机载软件数据的存储地址、索引以及机载软件数据的哈希值，智能合约验证云服务提供商返回的机载软件数据的哈希值与机载软件拥有者提供的机载软件数据的哈希值是否相同，如果相同则机载软件数据上传至云服务提供商成功，区块链保存相关的上传日志信息，否则机载软件数据上传至云服务提供商失败，区块链广播错误；

13、双因素身份认证及机载软件分发：双因素身份认证包括机载软件用户身份认证和飞机资格验证，机载软件用户身份认证时，首先，机载软件用户发送机载软件共享请求及其签名信息给智能合约，机载软件共享请求包括机载软件拥有者地址、机载软件用户地址、机载软件用户身份证明、飞机编号、硬件部件号、软件部件号、关键字索引，其次，智能合约验证签名之后，向机载软件拥有者请求获取其身份证明，验证双方身份证明是否合法，如果合法则进行飞机资格验证，否则返回错误；飞机资格验证时，智能合约先根据机载软件拥有者地址和关键字索引获取软件文档，核对软件部件号后查看该软件的适航状态是否达到标准，在航空公司运营中心中，根据关键字索引和硬件部件号获取相应飞机编号的飞机授权配置，使得飞机始终处于正确的软件配置中，至此，双因素身份认证机制结束，机载软件拥有者根据智能合约结果决定是否进行机载软件分发，若返回授权信息，云服务提供商将向该机载软件用户地址提供机载软件下载服务，智能合约保存共享日志至区块链账本中。

14、进一步的，不同类型的机载软件拥有者具有不同的属性，机载软件拥有者的属性信息采用链上-链下存储的方式：链下存储具体属性信息，链上保存机载软件拥有者的属性摘要块信息。

15、进一步的，机载软件应用键值对的存储方式存储在云服务提供商。

16、进一步的，所述用户密钥生成过程中，智能合约通过改进的cls方案生成部分密钥并返回，具体包括：初始化、部分密钥生成、密钥生成、签名生成和签名验证；其中，

17、初始化：管理员选择安全参数k,，获取一个阶数为q的加法群e和群的生成元g，执行智能合约完成系统的初始化，智能合约选择一个随机数s作为系统主密钥,,并计算pkgc=sg，pkgc为系统公钥，主密钥是私有的，智能合约生成系统参数{a,b,q,g,e,pkgc}，a、b 是椭圆曲线方程y2=x3+ax+b的参数，定义三个哈希函数：:, : ,:；

18、部分密钥生成：机载软件拥有者生成虚拟身份标识，用hi表示第i个用户的虚拟身份，并计算, -，发送{，，}给智能合约，智能合约计算得到的参数结果是否与获取的参数hi一致，若一致则智能合约调用部分密钥生成函数产生部分密钥；

19、密钥生成：机载软件拥有者计算，fi是智能合约生成的部分私钥di与虚拟身份hi异或所得，机载软件拥有者接收fi再次异或获取di，通过计算等式是否成立来证明部分密钥的可验证性，fi是中间参数，机载软件拥有者选择随机数xi作为其秘密值并计算，,机载软件拥有者计算其私钥，公钥；

20、签名生成：机载软件拥有者选择随机数ui,,并计算，t为时间戳，机载软件拥有者计算

21、=(|||||||||||||| ||||||||)和，为g点的横坐标， 为g点的纵坐标,xpi为公钥横坐标, ypi为公钥纵坐标，hi为中间参数, ui为随机数；hl为虚拟身份的长度，, 为pkgc的横、纵坐标，asdi为第i个拥有者的机载软件数据；发送给机载软件用户机载软件数据asdi及其签名结果，机载软件用户收到机载软件拥有者发送的信息时，先检查时间戳t的新鲜度，然后验证签名信息；

22、签名验证：机载软件用户首先从区块链中获取系统公共参数和wi,计算

23、=(||||||||||||||||||||||)和=(||||||||||||||||||)，其中，为中间参数wi的横坐标，为中间参数wi的纵坐标，然后，机载软件用户通过等式是否成立来验证生成签名的正确性，其中，=(||||||||||||||||||)，为中间参数。

24、相对于现有技术，本发明所述的基于云链融合的机载软件安全分发身份认证方法具有以下优势：

25、1、本发明采用双因素认证方法，只有当机载软件用户和机载软件拥有者双方身份证明均成功验证且飞机的资格验证通过时才可进行机载软件分发。

26、2、本发明设计的 cls方案用智能合约取代kgc，解决了机载软件分发过程中pki方案在机载软件分发领域繁琐的证书管理难题。

27、3、本发明的方案不仅消除了机载软件对云存储的过度依赖，使机载软件分发可追溯，还提高了机载软件分发的效率，使得抗攻击性更强。