基于身份标识签名的多层级物联网通信监管方法及系统与流程

本发明属于网络安全中的物联网通信安全，尤其涉及基于身份标识签名的多层级物联网通信监管方法及系统。

背景技术：

1、本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

2、近些年来，数字智能设备得到快速普及以及来带万物互联时代。物联网具有多源异构和开放性等特点，但也面临着网络威胁和隐私方面的挑战，其设备的身份信息对个人、家庭、社会乃至国家安全都具有重要意义。物联网的应用涉及多个领域，包括智能电网、智慧城市、智能交通、医疗保健、工业互联网等。

3、随着互联网的到来，大量的终端设备接入网络，传统的云中心会受到数据处理延迟带来的困扰，从而导致云中心认证负担加重。当前，身份认证方法多基于公钥基础设施来实现，并属于集中式认证，身份验证过程需要可信第三方的参与，并且容易出现单点故障问题。这种类型的身份验证安全性依赖于证书颁发机构的稳定性，认证过程中使用机构颁发的数字证书对身份进行认证，一旦颁发机构受到攻击，将导致无法继续进行身份认证。

4、数字证书认证过程中的验证需要通过公钥加密和数字签名来完成，这导致证书验证过程复杂、验证次数和验证时间变长。原始边缘计算环境中身份认证存在多个安全域，认证层次复杂，许多终端设备都需要在不同的安全域下进行跨域认证。

技术实现思路

1、为克服上述现有技术的不足，本发明提供了基于身份标识签名的多层级物联网通信监管方法，可以很好地为不同安全域的物联网设备建立通信通道。

2、为实现上述目的，本发明的一个或多个实施例提供了如下技术方案：

3、第一方面，公开了基于身份标识签名的多层级物联网通信监管方法，包括：

4、本地区块链的物联网终端设备向本地区块链的边缘服务器提交注册请求并加密身份信息，所述边缘服务器检查身份信息是否注册，并颁布数字证书，将所述数字证书的哈希值存储在本地区块链上；

5、本地区块链上的边缘服务器的公钥打包在创世区块，为物联网终端设备的身份注册和证书获取提供可信公钥；

6、其中，同一域中两个物联网终端设备以及不同域的两个物联网终端设备分别进行身份验证和密钥协商，实现物联网通信。

7、作为进一步的技术方案，本地区块链的物联网终端设备向本地区块链的边缘服务器提交注册请求并加密身份信息时，具体包括：

8、属于域x的终端设备dx向边缘服务器esx发送注册请求；

9、当边缘服务器esx接收到注册请求时，用自己的私钥ses解密请求，以获得终端设备dx的身份，检测该身份是否已被注册，如果未注册，则在本地存储身份信息；

10、边缘服务器esx向终端设备dx发生成功注册消息和签名的身份信息。

11、作为进一步的技术方案，本地区块链的物联网终端设备向本地区块链的边缘服务器提交注册请求并加密身份信息时，具体还包括：

12、终端设备dx用自己的私钥对idx进行签名，并向颁发机构ca发送sig(idx)，idx和以请求证书；

13、ca使用私钥对消息进行解密，以获得终端设备dx的身份信息并验证签名，如果验证通过，则身份信息已成功注册；

14、ca向终端设备dx颁布证书并计算证书的散列值再通过一致性算法将证书封装到链，为证书生成累积值和证书证明w，并将其包括在动态累加器中；

15、终端设备dx解密获得本地区块链数字证书，证书累积值a以及证书证明w，dx获得的信息用于之后的身份认证。

16、作为进一步的技术方案，同一域中两个物联网终端设备进行身份验证和密钥协商，具体包括：

17、同一安全域中的终端设备d1向d2发送认证请求

18、终端设备d2利用私钥进行解密以获得证书并检查证书的有效性；

19、d2向ca发送信息以请求证书验证。

20、作为进一步的技术方案，同一域中两个物联网终端设备进行身份验证和密钥协商，具体还包括：

21、在从设备接收到数字证书后，ca首先检查证书是否在有效期内，然后验证证书是否在本地区块链上，如果数字证书哈希值在区块链上，则返回认证成功消息并发送给d2，否则，身份验证失败。

22、作为进一步的技术方案，同一域中两个物联网终端设备进行身份验证和密钥协商，具体还包括：终端设备d2向d1发送认证成功的消息，生成安全随机数并使用私钥s2计算s2·p，随后和s2·p被加密并发送给d1，即d2向d1发送

23、d1解密得到和s2·p，认证成功的终端设备d1生成安全随机数并用私钥s1计算s1·p，然后它们被加密并发送到终端设备d2，即d1向d2发送最后，终端设备d1计算会话密钥用于随后与终端设备d2的安全通信；

24、终端设备d2解密以获得安全随机数和s1·p，同时还计算出会话密钥

25、作为进一步的技术方案，不同域的两个物联网终端设备进行身份验证和密钥协商，具体包括：

26、终端设备dx请求对域y中的边缘服务器esy进行跨域访问；

27、边缘服务器esy在接收到跨域接入请求后，生成随机数r1并发送给终端设备dx；

28、终端设备dx接收到随机数r1后，用私钥对随机数进行签名，并将在本地区块链上获得的数字证书证书累积值a和证书证明w发送给esy，即dx向esy发送

29、边缘服务器esy接收到该消息后，使用私钥进行解密，获得终端设备dx的本地区块链证书证书累积值a和证书证明w，它还验证签名和随机数r1的有效性；边缘服务器esy将数字证书证书累积值a和证书证明w发送到ca以请求证书验证，即esy向ca发送

30、ca获得终端设备dx的数字证书、证书累积值a和证书证明w，并检查证书是否在有效期内。公共区块链中的ca触发动态累加器来查询证书是否存在，如果存在，则验证通过并返回到esy以成功进行身份验证；如果不存在，则返回身份验证失败；

31、在接收到成功的认证消息后，边缘服务器esy请求ca为dx颁布跨域证书

32、ca向终端设备dx生成跨域证书同时还计算出跨域证书的哈希并打包在本地区块链上，这便于后续的跨域身份验证，并且ca向esy发送跨域证书

33、esy向终端设备dx发送跨域证书

34、重复上述步骤，即可实现反向身份验证，dx和dy都获得了跨域证书，并完成双向身份验证。

35、作为进一步的技术方案，不同域的两个物联网终端设备进行身份验证和密钥协商，具体还包括：完成双向跨域认证的终端设备dx和dy执行密钥协商，dx生成安全随机数rx，用私钥sx计算sx·p，并将sx·p发送给dy执行密钥协商，即dx将发送给dy；

36、dy使用密钥解密以获得sx·p和rx·p，并验证随机数rx·p；然后dy生成安全随机数ry，并使用私钥sy计算sy·p，在这个基础上，dy可以计算会话密钥k2＝h(sx·sy·p||sx·ry·p||sy·rx·p||ry·rx·p)；

37、dx使用密钥解密以获得sy·p和ry·p，并计算会话密钥k2＝h(sx·sy·p||sx·ry·p||sy·rx·p||ry·rx·p)。

38、第二方面，公开了基于身份标识签名协议的多层级物联网通信监管系统，包括：物联网终端设备及边缘服务器；

39、物联网终端设备向本地区块链的边缘服务器提交注册请求并加密身份信息，所述边缘服务器检查身份信息是否注册，并颁布数字证书，将所述数字证书的哈希值存储在本地区块链上；

40、边缘服务器的公钥打包在创世区块，为物联网终端设备的身份注册和证书获取提供可信公钥；

41、其中，同一域中两个物联网终端设备以及不同域的两个物联网终端设备分别进行身份验证和密钥协商，实现物联网通信。

42、以上一个或多个技术方案存在以下有益效果：

43、本发明技术方案提出了一种基于身份标识签名协议的多层级物联网通信监管机制，该技术可以很好地为不同安全域的物联网设备建立通信通道，同一域中两个物联网终端设备进行身份验证和密钥协商过程以及不同域的两个物联网终端设备进行身份验证和密钥协商，保证了分布式物联网系统的一致性和安全性。为了解决不同安全域的物联网设备的跨域请求，本发明技术方案提出了基于多层区块链的单域和跨域终端设备的身份标识认证和密钥签名协议方案，其中，多层区块链包括本地区块链和公有区块链，同一安全域的终端设备、边缘服务器和本地证书颁发机构构成本地区块链网络；不同安全域的证书颁发机构构成公共区块链网络。

44、本发明附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。