本發明涉及一種基于區塊鏈的工業物聯網設備跨域身份認證方案，屬于工業物聯網領域，用于解決工業物聯網設備的跨域身份認證問題。本發明針對現有物聯網設備身份認證方案的證書管理、對可信第三方的依賴等問題，提出了一種基于區塊鏈的工業物聯網設備跨域身份認證方案。通過本方案，位于不同管理域(Domain)的對等工業物聯網設備可以完成雙向的身份認證并共享通信密鑰以完成安全的通信。在本方案中，通過使用區塊鏈在對等域之間建立信任，從而消除了對受信任第三方的依賴；并通過使用無證書公鑰加密(CertificatelessSignature,簡稱CLS)，解決了證書管理問題。

技術領域：

本發明屬于工業物聯網領域，具體涉及一種基于區塊鏈的工業物聯網設備跨域身份認證方案。

背景技術：

隨著工業物聯網(Industrial Internet of Tings,簡稱IIoT)的快速發展，過去獨立生產的工廠正在逐步整合和互連，以提高生產率。一個完整的制造過程通常由跨多個領域的多家工廠和供應商完成。因此，位于不同管理域(Domain)中的IIoT 設備需要互連和共享信息。多個域之間的通信需求導致跨域身份驗證問題。但是，大多數現有的身份驗證方案都依賴于受信任的第三方或具有較高的證書管理成本。本方案基于[1]中提出的無證書簽名算法，提出了一種基于區塊鏈的工業物聯網設備跨域身份認證方案。在本方案中，通過使用區塊鏈在對等域之間建立信任，從而消除了對受信任第三方的依賴；并通過使用無證書公鑰加密(Certificateless Signature,簡稱CLS)，解決了證書管理問題。

發明內容

本發明針對現有物聯網設備身份認證方案的證書管理、對可信第三方的依賴等問題，提出了一種基于區塊鏈的工業物聯網設備跨域身份認證方案。通過本方案，位于不同管理域(Domain)的對等工業物聯網設備可以完成雙向的身份認證并共享通信密鑰以完成安全的通信。具體技術方案如下：

架構總覽

如圖1所示，在身份認證系統架構中，有多個參與身份認證的域(Domain)，每個域中包含的實體包括多個IIoT設備、一個區塊鏈服務節點(BSN)、一個密鑰生成中心(KGC)。此外，還有多個域共同組成的區塊鏈(Blockchain)。

(1)工業物聯網(Industrial Internet of Things,IIoT)設備：

IIoT設備是參與跨域通信的實體，這類設備一般是生產過程的參與者，負責收集數據或執行制造任務。在本方案中，唯一身份標識ID和ECDH公鑰m被預置在各個IIoT設備中。注冊過程和身份認證過程都由IIoT設備發起，通過注冊階段，IIoT與KGC共同完成公私鑰對的生成，在獲得公私鑰對后，IIoT設備可以生成簽名并向域外的設備發送身份認證請求。

(2)密鑰生成中心(Key Generation Center,KGC):

KGC負責管理域中IIoT設備的身份，并為域內的IIoT設備生成部分密鑰。此外，KGC會驗證來自外部域中的IIoT設備的身份驗證請求。KGC存儲了一組來自于IIoT設備的身份標識(ID₁，ID₂，…，ID_i)，它們的臨時身份標識 (TID₁，TID₂，…，TID_i)及其對應的公共密鑰(PK₁，PK₂，…，PK_i)。每個臨時身份都有一個到期時間,設備的身份過期后，KGC將撤消其臨時身份和相應的公共密鑰。此外，KGC還負責響應來自域外IIoT設備的身份認證請求。

(3)區塊鏈服務節點(Blockchain Serve Node,簡稱BSN)：

BSN是啟用了聯盟鏈的節點，負責維護區塊鏈分布式賬本。BSN負責響應來自本域內KGC的請求，將本域內IIoT身份信息寫入區塊鏈分布式賬本或從賬本中獲取域外IIoT設備的身份信息。