(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210381346.5 (22)申请日 2022.04.12 (71)申请人 浙江工业大 学 地址 310014 浙江省杭州市下城区潮王路 18号 (72)发明人 吕明琪　孟博　陈铁明　陈波　 顾国民　朱添田　 (74)专利代理 机构 杭州求是专利事务所有限公 司 33200 专利代理师 忻明年 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于区块链和Handle标识的工业互联 网跨域认证方法 (57)摘要 本发明公开了一种基于区块链和Handle标 识的工业互联网跨域认证方法， 包括： 工业互联 网中的各安全域 分别注册权威Handle标识， 在安 全域内搭建密钥生成中心KGC和代理服务节点， 在安全域外共同搭建联盟链； 各安全域内终端设 备通过HAS节点注册业务Handle标识， 以及通过 密钥生成中心KGC分配密钥； 请求域内终端设备 发起跨域认证请求， 请求域内BAS节点验证终端 设备的身份有效性， 若请求域内BAS节点通过终 端设备的域内身份认证后， 生 成跨域认证签名消 息， 并向目标域内终端设备发起跨域认证请求。 本发明实现各 企业身份标识的统一互通， 实现域 间标识管 理与密钥公开参数共享， 满足工业互联 网服务轻量化需要。 权利要求书2页 说明书6页 附图2页 CN 114629720 A 2022.06.14 CN 114629720 A 1.一种基于区块链和Handle标识的工业互联网跨域认证方法， 其特征在于， 所述基于 区块链和Handle 标识的工业互联网跨 域认证方法， 包括： 步骤1、 工业互联网中的各安全域分别注册权威Handle标识， 在安全域内搭建密钥生成 中心KGC和代理服务节点， 维护标识解析和认证服务； 在安全域外共同搭建联盟链， 共同维 护区块链账本， 通过 联盟自治和智能合约实现数据存证与管理； 步骤2、 各安全域 内终端设备进行身份注册， 通过HAS节点注册业务Handle标识， 以及通 过密钥生成中心KGC分配密钥； 步骤3、 请求域内终端设备发起跨域认证请求， 请求域内BAS节点验证终端设备的身份 有效性， 若验证成功则执 行步骤4； 否则返回执 行步骤2； 步骤4、 请求域 内BAS节点通过终端设备的域内身份认证后， 生成跨域认证签名消息， 并 向目标域内终端设备发起 跨域认证请求。 2.如权利要求1所述的基于区块链和Handle标识的工业互联网跨域认证方法， 其特征 在于， 所述 步骤1具体包 含以下步骤： 步骤1.1、 各安全域 内RAS节点对接工业互联网Handle标识解析体系 注册分配企业前缀 权威Handle 标识， 获取安全域标识； 步骤1.2、 各安全域在云端共同搭建联盟链， 部署存证合约和密钥参数管理合约， 通过 域内BAS节点代理请求访问区块链； 步骤1.3、 各安全域内密钥生成中心KGC通过BAS节点调用密钥参数管理合约分配安全 域的密钥， 产生随机数作为签名主私钥秘密保存， 计算并公开对应 签名主公钥； 步骤1.4、 各安全域内搭建本地存储服务器， 负责将注册通过的终端设备的公钥信息生 成密钥参数文件， 并对密钥参数文件的内容进行哈希运算， 将得到文件列表哈希值存储到 存证合约中， 存证地址通过密钥参数 管理合约进行 数据记录管理。 3.如权利要求1所述的基于区块链和Handle标识的工业互联网跨域认证方法， 其特征 在于， 所述 步骤2具体包 含以下步骤： 步骤2.1、 安全域 内的终端设备向域 内RAS节点发起身份注册请求， RAS节点将身份注册 请求代理转发至 HAS节点； 步骤2.2、 安全域内HAS节点收到身份注册请求后， 向工业互联网Handle标识解析体系 查询终端设备所在安全域本地命名空间， 获取安全域的权威Handle标识， 分配终端设备的 业务Handle 标识并返回给HAS节点； 步骤2.3、 安全域内HAS节点根据分配到的业务Handle标识， 向密钥生成中心KGC注册分 配设备对应 签名私钥， 并将签名私钥回给终端设备， 完成身份注 册。 4.如权利要求1所述的基于区块链和Handle标识的工业互联网跨域认证方法， 其特征 在于， 所述 步骤3具体包 含以下步骤： 步骤3.1、 请求域终端设备通过RAS节点发起跨域认证请求， RAS节点检查终端设备是否 拥有私钥和验证私钥的有效性以对终端设备进行身份有效性验证； 步骤3.2， 如果私钥不存在或过期， 向请求域内密钥生成中心KGC重新申请身份， 即重新 执行步骤2； 否则完成域内终端设备身份认证。 5.如权利要求1所述的基于区块链和Handle标识的工业互联网跨域认证方法， 其特征 在于， 所述 步骤4具体包 含以下步骤：权　利　要　求　书 1/2 页 2 CN 114629720 A 2步骤4.1、 请求域RAS节点认证终端设备身份通过后， 查询密钥参数文件， 根据密钥参数 文件计算文件列表哈希值， 同时根据业 务Handle 标识生成跨 域认证消息 M1； 步骤4.2、 请求域RAS节点利用签名私钥对消息M1进行签名计算得到签名S1， 根据消息M1 和签名S1生成跨域认证消息M2， 然后RAS节点将消 息M2发送给目标域内终端设备， 发起跨域 认证请求； 步骤4.3、 目标域内终端设备收到跨域认证请求消息， 向域内RAS节点发送身份验证请 求； 步骤4.4、 目标域RAS节点检查会话请求随机数N1， 如果存在， 则拒绝请求； 如果不存在， 则缓存随机数N1， 然后向目标域HAS节点发送消息 M1， 请求验证身份标识； 步骤4.5、 目标域HAS节点根据目标域 设备的认证消息M1其中的业务Handle标识， 查询工 业互联网Handle标识解析体系， 获取请求域终端设备所在安全域的权威Handle标识， 然后 向BAS节点获取请求 域密钥参数； 步骤4.6、 目标域RAS节点根据请求域的权威Handle标识， 通过存证合约查询密钥参数 存证， 对消息中文件列 表哈希值进行身份有效性验证， 然后查询请求域密钥椭圆 曲线参数， 如果身份过期， 则验证失败， 即跨域认证失败； 如果身份验证成功， 则将请求域终端设备 的 业务Handle标识作为设备公钥， 使用请求域签名主公钥和设备公钥对消息M2中的S1进行签 名验证， 如果验证成功， 则跨 域认证成功； 否则跨 域认证失败； 步骤4.7、 将跨 域认证结果返回给请求 域终端设备， 跨 域认证结束。权　利　要　求　书 2/2 页 3 CN 114629720 A 3