[发明专利]一种基于区块链的安全终端的认证方法和系统

权利要求书

1.一种基于区块链的安全终端的认证方法，其特征在于，包括：

步骤100：初始化系统参数和系统私钥，具体包括：

选择安全参数γ产生任意素数q；

选择两个q阶加法循环群G和一个q阶乘性循环群G_T；

给定q阶加法循环群G的任意生成器P，给定双线性映射e：G×G→G_T；

选择系统私钥s，s∈，并基于所述系统私钥确定系统公钥S_pub：

S_pub=sP；

选择第一哈希函数H₁和第二哈希函数H₂；

所述第一哈希函数H₁为；

所述第二哈希函数H₂为；

其中，表示模为q运算的正整数乘法群；

步骤101：调用智能合约中的注册函数完成安全终端的注册，并依据初始化后的系统参数和系统私钥生成安全终端的注册信息；所述智能合约中植入有初始化后的所述系统参数和所述系统私钥；所述安全终端的注册信息包括：安全终端的临时身份、安全终端的私钥、安全终端的公钥和安全终端的签名信息；该步骤具体包括：

安全终端通过安全通道向第三方信任注册中心发送身份信息ID_i；

所述第三方信任注册中心判断所述区块链中是否存在所述安全终端的注册信息；

如果区块链中存在所述安全终端的注册信息，所述第三方信任注册中心拒绝注册请求；如果区块链中不存在所述安全终端的注册信息，所述第三方信任注册中心调用智能合约中定义的注册函数注册所述安全终端；

第三方信任注册中心基于所述注册函数根据私钥s和身份信息ID_i确定临时身份TID_i、私钥Q_i、公钥PQ_i和签名信息MSig_i，以生成安全终端的注册信息（TID_i，Q_i，PQ_i，MSig_i）；

所述第三方信任注册中心将所述安全终端的注册信息（TID_i，Q_i，PQ_i，MSig_i）发送给所述安全终端，所述安全终端通过公式和验证所述私钥Q_i的正确性；

其中，，

，

，

；

步骤102：调用智能合约中的注册函数完成服务网络的注册，并依据初始化后的系统参数和系统私钥生成服务网络的注册信息；所述服务网络的注册信息包括：服务网络的临时身份、服务网络的私钥、服务网络的公钥和服务网络的签名信息；所述安全终端的注册和所述服务网络的注册均由维护区块链的第三方信任注册中心完成；该步骤具体包括：

所述服务网络通过安全通道向所述第三方信任注册中心发送身份信息SID_i；

所述第三方信任注册中心判断所述区块链中是否存在所述服务网络的注册信息；

如果所述区块链中存在所述服务网络的记录，所述第三方信任注册中心拒绝注册请求；

如果区块链中不存在服务网络的记录，所述第三方信任注册中心调用注册函数计算临时身份TSID_i、计算其私钥W_i、公钥PW_i和签名信息SSig_i，以生成服务网络的注册信息（TSID_i，W_i，PW_i，SSig_i）；

所述第三方信任注册中心将所述注册信息（TSID_i，W_i，PW_i，SSig_i）发送给所述服务网络，所述服务网络通过公式和验证私钥W_i的正确性；

其中，，

，

，

；

步骤103：所述安全终端向所述服务网络发起认证请求时，获取第一时间戳并生成认证请求消息；所述认证请求消息包括：安全终端的临时身份、安全终端的认证私钥、安全终端的认证公钥、安全终端的签名信息和第一时间戳；

步骤104：所述服务网络接收所述认证请求消息，并验证所述第一时间戳是否在规定的时间内，如果所述第一时间戳在规定时间内就调用签名验证函数验证安全终端的签名是否正确；如果所述第一时间戳未在规定时间内或所述安全终端的签名不正确时，则拒绝访问；

步骤105：当所述安全终端的签名正确时，所述服务网络生成认证信息，并将所述认证信息发送给所述安全终端；所述认证信息包括：服务网络的临时身份、服务网络的认证私钥、服务网络的认证公钥、服务网络的签名信息和第二时间戳；

步骤106：所述安全终端接收到所述认证信息后，验证所述第二时间戳是否在规定时间内，如果所述第二时间戳在规定时间内就调用签名验证函数验证所述服务网络的签名是否正确；如果所述服务网络的签名不正确，则拒绝访问；

步骤107：如果所述服务网络的签名正确，则所述安全终端确定第一会话密钥，并依据所述第一会话密钥确定第一哈希值后，将含有所述第一哈希值的消息发送给所述服务网络；

步骤108：所述服务网络接收到含有所述第一哈希值的消息后，确定第二会话密钥，并依据所述第二会话密钥确定第二哈希值，并确定所述第一哈希值与所述第二哈希值是否相同，若所述第一哈希值与所述第二哈希值相等，则所述服务网络使用所述第二会话密钥加密生成认证确认消息反馈给所述安全终端；若所述第一哈希值与所述第二哈希值不相等，则中断通信；

步骤109：所述安全终端接收到所述认证确认消息后，采用所述第一会话密钥解密所述认证确认消息，以完成认证。