CN114091009A - 利用分布式身份标识建立安全链接的方法 - Google Patents

Abstract

本发明提供了一种利用分布式身份标识建立安全链接的方法，包括：一种利用分布式身份标识建立安全链接的方法，包括：各厂商在区块链上注册厂商的分布式身份标识DID；各设备在区块链上注册设备的分布式身份标识DID；各设备接收其所属厂商下发的验证声明VC，所述验证声明VC包括设备的出厂信息、使用信息中的至少一种等步骤，可以实现可以防止中间人的攻击，以免造成信息被窃取和篡改。

Description

利用分布式身份标识建立安全链接的方法

技术领域

本发明涉及区块链技术和一种加密方法技术领域，具体涉及一种利用分布式身份标识建立安全链接的方法及系统。

背景技术

随着物联网技术的发展，在工业互联网场景中，设备之间协同越来越密切，机器和机器之间需要更多的交流和协作，因此设备间的身份认证变得越来越重要。但是工厂中设备往往来自不同品牌、不同厂商，设备之间交流、协作、分享数据都需要跨品牌、跨厂商，所以如何实现设备间跨域身份互相认证是一个很大的问题。

传统的身份认证方法通常是一种中心化的统一认证方法，由同一平台对平台下的设备进行认证，由于不同平台的设备身份(及设备对应的数据)之间是不互通的，通过一个统一平台管理所有不同品牌下设备打通成本较高，且如果统一平台被入侵，平台下的用户隐私将遭到大规模泄漏，历史上网络平台发生用户隐私泄露的事件数不胜数。多数工厂方案是通过采用PKI技术，即通过第三方数字证书颁发平台(CA平台)签发证书使不同品牌的设备能够互相信任以完成身份认证，但是这种依赖第三方证书的PKI技术有一些问题：

1.单点失败问题

CA是PKI技术中的中心信任点,一旦被控制,有可能导致签发虚假的证书,进而导致CA根证书以及该CA已经签发的证书都不再可信。且一旦由于CA机构自身原因或遭受安全攻击等原因不能提供某些服务,将影响使用相应CA机构数字证书的用户。

2.监督审计问题

CA机构是公钥体系中的权威的、可信赖第三方,需要有完善的监督审计措施,一旦缺失,有可能发生外部安全攻击,也有可能发生内部的安全事件,降低CA机构的公信力。

3.证书批量配置效率低

用户在配置和使用证书时,需要首先向CA机构申请证书,CA机构签发证书后,用户需要将签发的证书配置或安装至目标设备或服务器中。传统互联网中,证书的申请和配置都采用人工方式。但是,在移动互联网、物联网、车联网等场景中,由于涉及数量巨大的网络设备和终端设备,批量配置私钥和证书的需求极为迫切。

4.多CA互信难

用户证书只能由所属CA的根证书进行验证,不同CA之间不能相互验证。

发明内容

本发明的目的在于提供一种利用分布式身份标识建立安全链接的方法及系统。以期解决背景技术中存在的技术问题。

为了实现上述目的，本发明采用以下技术方案：

一种利用分布式身份标识建立安全链接的方法，包括：

各厂商在区块链上注册厂商的分布式身份标识DID；

各设备在区块链上注册设备的分布式身份标识DID；

各设备接收其所属厂商下发的验证声明VC，所述验证声明VC包括设备的出厂信息、使用信息中的至少一种；

第一设备向第二设备发送获取第二设备的分布式身份标识DID的请求；

第二设备向第一设备反馈分布式身份标识DID、验证声明VC、由私钥签名的随机数；

第一设备在区块链上基于接收到的分布式身份标识DID，查找对应的DID文档，找到第二设备的分布式身份标识DID对应的公钥PUB_B，并通过公钥PUB_B对第二设备的私钥签名进行签名验签，验证第二设备的身份；

若身份验证通过则进一步验证第二设备的验证声明VC，确认第二设备所属的厂商；

若第二设备所属的厂商为预设厂商，则第一设备生产临时密钥KA，用第二设备的公钥PUB_B加密KA得到C(KA)，并连同第一设备的分布式身份标识DID以及私钥签名的随机数一起发送给第二设备；

第二设备在区块链上基于接收到的分布式身份标识DID，查找对应的DID文档，找到第一设备的分布式身份标识DID对应的公钥PUB_A，并通过公钥PUB_A对第一设备的私钥签名进行签名验签，验证第一设备的身份；

若身份验证通过则进一步验证第一设备的验证声明VC，确认第一设备所属的厂商；

若第一设备所属的厂商为预设厂商，则第二设备生产临时密钥KB，用第一设备的公钥加密KB得到C(KB)，发送C(KB)给第一设备；

第一设备收到C(KB)解密得到KB，将KA与KB进行异或，得到对称会话密钥SessionKey，第二设备通过KA与KB进行异或得到SessionKey；

完成第一设备、第二设备的双向认证和密钥协商。

在一些实施例中，该方法还包括：第一设备、第二设备之间传输内容使用对称密码算法加密通信。

在一些实施例中，一个所述分布式身份标识DID对应一个DID文档。

在一些实施例中，所述DID文档包括DID标识符、公钥、身份验证和服务中至少一种。

在一些实施例中，所述服务包括该分布式身份标识DID对应的设备公告的服务类型，所述服务类型包括用于进一步发现、身份验证、授权或交互的去中心化身份管理服务。

在一些实施例中，所述验证声明VC包含VC元数据、声明和证明。

在一些实施例中，所述VC元数据包含发行厂商、发行日期、声明的类型。

在一些实施例中，所述声明为一个或者多个关于主体的说明，所述声明中包含：设备号、设备类型、生产日期、保质期、设备串号。

在一些实施例中，所述证明为颁发厂商的数字签名。

同时，本发明还公开了一种利用分布式身份标识建立安全链接的装置，所述装置包括处理器以及存储器；所述存储器用于存储指令，所述指令被所述处理器执行时，导致所述装置实现上述任一项所述利用分布式身份标识建立安全链接的方法。

同时，本发明还公开了一种计算机可读存储介质，所述存储介质存储计算机指令，当计算机读取存储介质中的计算机指令后，计算机运行上述任一项所述利用分布式身份标识建立安全链接的方法。

有益效果

本发明与现有技术相比，其显著优点是：

本发明通过这种基于DID和非对称密钥加密手段进行双向身份认证的方式保证了会话密钥协商过程的高安全性，协商过后得到的会话密钥用于后续内容的对称加密传输又保证了传输的效率，同时本发明在认证的过程中又无需CA及数字证书的引入就能保证通信和认证流程的安全性，同样达到了防范中间人攻击、窃取、篡改密钥或信息的效果。

附图说明

图1是本实施例涉及的双向认证及密钥协商流程示意图；

图2是本实施例涉及的利用分布式身份双向认证及密钥协商流程示意图；

图3是本实施例涉及DID文档结构示意图；

图4是本实施例涉及可验证声明VC结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

相反，本申请涵盖任何由权利要求定义的在本申请的精髓和范围上做的替代、修改、等效方法以及方案。进一步，为了使公众对本申请有更好的了解，在下文对本申请的细节描述中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本申请。

以下将结合图1-4对本申请实施例所涉及的一种利用分布式身份标识建立安全链接的方法及系统进行详细说明。值得注意的是，以下实施例仅仅用于解释本申请，并不构成对本申请的限定。

实施例1

如图1所示，一种利用分布式身份标识建立安全链接的方法，包括：

各厂商在区块链上注册厂商的分布式身份标识DID；

各设备在区块链上注册设备的分布式身份标识DID；

各设备接收其所属厂商下发的验证声明VC，所述验证声明VC包括设备的出厂信息、使用信息中的至少一种；

第一设备向第二设备发送获取第二设备的分布式身份标识DID的请求；

第二设备向第一设备反馈分布式身份标识DID、验证声明VC、由私钥签名的随机数；

第一设备在区块链上基于接收到的分布式身份标识DID，查找对应的DID文档，找到第二设备的分布式身份标识DID对应的公钥PUB_B，并通过公钥PUB_B对第二设备的私钥签名进行签名验签，验证第二设备的身份；

若身份验证通过则进一步验证第二设备的验证声明VC，确认第二设备所属的厂商；

若第二设备所属的厂商为预设厂商，则第一设备生产临时密钥KA，用第二设备的公钥PUB_B加密KA得到C(KA)，并连同第一设备的分布式身份标识DID以及私钥签名的随机数一起发送给第二设备；

第二设备在区块链上基于接收到的分布式身份标识DID，查找对应的DID文档，找到第一设备的分布式身份标识DID对应的公钥PUB_A，并通过公钥PUB_A对第一设备的私钥签名进行签名验签，验证第一设备的身份；

若身份验证通过则进一步验证第一设备的验证声明VC，确认第一设备所属的厂商；

若第一设备所属的厂商为预设厂商，则第二设备生产临时密钥KB，用第一设备的公钥加密KB得到C(KB)，发送C(KB)给第一设备；

第一设备收到C(KB)解密得到KB，将KA与KB进行异或，得到对称会话密钥SessionKey，第二设备通过KA与KB进行异或得到SessionKey；

完成第一设备、第二设备的双向认证和密钥协商。

在一些实施例中，该方法还包括：第一设备、第二设备之间传输内容使用对称密码算法加密通信。

在一些实施例中，一个所述分布式身份标识DID对应一个DID文档。

在一些实施例中，如图3所示，所述DID文档包括DID标识符、公钥、身份验证和服务中至少一种。在一些实施例中，所述服务包括该分布式身份标识DID对应的设备公告的服务类型，所述服务类型包括用于进一步发现、身份验证、授权或交互的去中心化身份管理服务。

在一些实施例中，如图4所示，所述验证声明VC(Verifiable Credential)包含VC元数据、声明和证明。在一些实施例中，所述VC元数据包含发行厂商、发行日期、声明的类型。在一些实施例中，所述声明为一个或者多个关于主体的说明，所述声明中包含：设备号、设备类型、生产日期、保质期、设备串号。在一些实施例中，所述证明为颁发厂商的数字签名。

实施例2

如图2所示，一种可以无需CA和证书就可以抵御第三方中间人攻击的流程，主要流程如下：

1.工业设备A是厂商1的设备，工业设备B是厂商2的设备，厂商1和厂商2都在链上注册了自己的DID

2.首先设备A在链上注册DID(包含公钥)，并由厂商1下发给A一个可验证声明VC包含A的出厂信息、使用信息等，设备B同样在链上注册DID，由厂商2下发给B一个可验证声明VC包含B的出厂信息、使用信息等，则设备A、B各自有身份标识did_A、did_B

3.若设备A和设备B想要通信，则设备A向设备B请求设备B的DID

4.设备B向设备A发送自身的DID did_B、下发的VC以及由私钥签名的随机数

5.设备A在链上通过did_B查找设备B的身份标识，查找对应的DID文档，找到身份标识B中的公钥PUB_B，并通过公钥PUB_B对B的私钥签名进行签名验签验证B的身份。身份验证通过则证明了设备B身份属实，再验证设备B的VC，确认设备B是属于厂商2的。

6.若验证都通过，则设备A生产临时密钥KA，用设备B的公钥PUB_B加密KA得到C(KA)，并连同设备A的DID did_A以及私钥签名的随机数一起发送给设备B。

7.设备B在链上通过did_A查找设备A的身份标识，查找对应的DID文档，找到身份标识A中的公钥PUB_A，若匹配再通过公钥PUB_A对设备A的私钥签名进行签名验签验证A的身份。身份验证通过则证明了设备A身份属实，再验证设备A的VC，确认设备A是属于厂商1的。

8.若验证都通过，则设备B生产临时密钥KB，用设备A的公钥加密KB得到C(KB)，发送C(KB)给设备A。

9.设备A收到C(KB)解密得到KB，将KA与KB进行异或，得到对称会话密钥SessionKey，设备B同样通过KA与KB进行异或得到SessionKey.

10.设备A设备B之间的双向认证和密钥协商就完成了，后续设备A、设备B之间传输内容使用对称密码算法加密通信。

具体的，本发明中每一个DID标识都会对应一个DID文档(DID Document)，包含DID标识符、公钥、身份验证和服务：DID标识符即DID文档所描述的该设备的DID。由于DID的全局唯一特性，因此在DID文档中只能有一个DID。公钥用于数字签名及其他加密操作，这些操作是实现身份验证以及与服务端点建立安全通信等目的的基础。身份验证是通过加密方式来证明DID Document与DID相关联。服务可以表示该DID希望公告的任何类型的服务，包括用于进一步发现、身份验证、授权或交互的去中心化身份管理服务。

本发明中可验证声明VC包含VC元数据、声明和证明：VC元数据，主要包含发行厂商、发行日期、声明的类型等信息。声明，一个或者多个关于主体的说明。在这里作为厂商颁发给设备的VC，在声明中会包含：设备号、设备类型、生产日期、保质期、设备串号等信息。证明，就是颁发厂商的数字签名，保证了本VC能够被验证，防止VC内容被篡改以及验证VC的颁发者。

同时，本发明还公开了一种利用分布式身份标识建立安全链接的装置，所述装置包括处理器以及存储器；所述存储器用于存储指令，所述指令被所述处理器执行时，导致所述装置实现上述任一项所述利用分布式身份标识建立安全链接的方法。

同时，本发明还公开了一种计算机可读存储介质，所述存储介质存储计算机指令，当计算机读取存储介质中的计算机指令后，计算机运行上述任一项所述利用分布式身份标识建立安全链接的方法。

综上可知，本发明的技术方案是在工业互联网场景中设计了一种去中心化、分布式的设备认证方式，此认证方法可以不依赖CA和证书，进行设备之间跨厂商的身份认证和密钥协商。本发明引入了分布式身份标识(DID)的技术。通过分布式身份标识(DID)，设备无论属于哪个平台都有统一的身份，且自身的信息由设备自己支配，其他平台可通过签名验签进行验证后使用，有效的保证了认证协商的安全性。每个DID标识会对应一个DID文档(DID Document)，其中包含如下信息：DID主题、公钥、身份验证、授权、服务端点和时间戳。通常情况是把DID标识作为Key，把DID文档作为Value存储到区块链中，利用区块链不可篡改、共享数据访问的特点，实现接下来在验证身份时能快速访问获取可信数据。本发明在分布式身份标识的基础上，提出一种无需第三方参与的端对端安全链接建立的方法，可以防止中间人的攻击，以免造成信息被窃取和篡改。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种利用分布式身份标识建立安全链接的方法，其特征在于，包括：

各厂商在区块链上注册厂商的分布式身份标识DID；

各设备在区块链上注册设备的分布式身份标识DID；

各设备接收其所属厂商下发的验证声明VC，所述验证声明VC包括设备的出厂信息、使用信息中的至少一种；

第一设备向第二设备发送获取第二设备的分布式身份标识DID的请求；

第二设备向第一设备反馈分布式身份标识DID、验证声明VC、由私钥签名的随机数；

第一设备在区块链上基于接收到的分布式身份标识DID，查找对应的DID文档，找到第二设备的分布式身份标识DID对应的公钥PUB_B，并通过公钥PUB_B对第二设备的私钥签名进行签名验签，验证第二设备的身份；

若身份验证通过则进一步验证第二设备的验证声明VC，确认第二设备所属的厂商；

若第二设备所属的厂商为预设厂商，则第一设备生产临时密钥KA，用第二设备的公钥PUB_B加密KA得到C(KA)，并连同第一设备的分布式身份标识DID以及私钥签名的随机数一起发送给第二设备；

第二设备在区块链上基于接收到的分布式身份标识DID，查找对应的DID文档，找到第一设备的分布式身份标识DID对应的公钥PUB_A，并通过公钥PUB_A对第一设备的私钥签名进行签名验签，验证第一设备的身份；

若身份验证通过则进一步验证第一设备的验证声明VC，确认第一设备所属的厂商；

若第一设备所属的厂商为预设厂商，则第二设备生产临时密钥KB，用第一设备的公钥加密KB得到C(KB)，发送C(KB)给第一设备；

第一设备收到C(KB)解密得到KB，将KA与KB进行异或，得到对称会话密钥SessionKey，第二设备通过KA与KB进行异或得到SessionKey；

完成第一设备、第二设备的双向认证和密钥协商。

2.根据权利要求1所述的一种利用分布式身份标识建立安全链接的方法，其特征在于，还包括：第一设备、第二设备之间传输内容使用对称密码算法加密通信。

3.根据权利要求1所述的一种利用分布式身份标识建立安全链接的方法，其特征在于，一个所述分布式身份标识DID对应一个DID文档。

4.根据权利要求3所述的一种利用分布式身份标识建立安全链接的方法，其特征在于，所述DID文档包括DID标识符、公钥、身份验证和服务中至少一种。

5.根据权利要求4所述的一种利用分布式身份标识建立安全链接的方法，其特征在于，所述服务包括该分布式身份标识DID对应的设备公告的服务类型，所述服务类型包括用于进一步发现、身份验证、授权或交互的去中心化身份管理服务。

6.根据权利要求1所述的一种利用分布式身份标识建立安全链接的方法，其特征在于，所述验证声明VC包含VC元数据、声明和证明。

7.根据权利要求6所述的一种利用分布式身份标识建立安全链接的方法，其特征在于，所述VC元数据包含发行厂商、发行日期、声明的类型。

8.根据权利要求6所述的一种利用分布式身份标识建立安全链接的方法，其特征在于，所述声明为一个或者多个关于主体的说明，所述声明中包含：设备号、设备类型、生产日期、保质期、设备串号。

9.根据权利要求6所述的一种利用分布式身份标识建立安全链接的方法，其特征在于，所述证明为颁发厂商的数字签名。

10.一种计算机可读存储介质，所述存储介质存储计算机指令，当计算机读取存储介质中的计算机指令后，计算机运行如权利要求1-9中任一项所述利用分布式身份标识建立安全链接的方法。

Images