(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210320479.1 (22)申请日 2022.03.29 (71)申请人 中国科学院信息 工程研究所 地址 100093 北京市海淀区闵庄路甲89号 (72)发明人 张锐　高碧柔　 (74)专利代理 机构 北京君尚知识产权代理有限 公司 11200 专利代理师 余长江 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 67/10(2022.01) (54)发明名称 基于区块链的边缘计算身份认证方法及系 统 (57)摘要 本发明公开了一种基于区块链的边缘计算 身份认证方法及系统， 将所述区块链中的边缘节 点作为认证服务器， 为物联网设备节 点进行身份 的注册、 认 证、 撤销、 更新， 从而解决了传统PKI的 单点故障和多认证中心互信问题， 实现了低延 时、 高可靠的身份认证 。 权利要求书3页 说明书7页 附图6页 CN 114785515 A 2022.07.22 CN 114785515 A 1.一种基于区块链的边缘计算身份注册方法， 应用于边缘节点enode， 所述区块链基于 各边缘节点en ode创建的区块 生成， 所述方法包括： 接收第一物联网设备节点的身份注册请求， 其中， 所述第一物联网设备节点在所述边 缘节点enode的信任域中， 所述身份注册请求包括： 所述第一物联网设备节 点的编号sig、 公 钥tpk和身份材 料证明； 对通过审查的所述身份材料证明， 设置数字证书的有效起始时间与有效截止时间， 并 生成所述数字证书的证书序列号； 基于所述证书序列号、 所述第一物联网设备节点的编号sig与公钥tpk、 所述边缘节点 enode的名称与编号、 所述有效起始时间与有效截止时间， 生成签名tsig； 基于所述证书序列号、 所述第一物联网设备节点的编号sig与公钥tpk、 所述边缘节点 enode的名称与编号、 所述有效起始时间、 有效截止时间及所述签名tsig， 生成并向所述第 一物联网设备节点返回数字证书。 2.如权利要求1所述的方法， 其特征在于， 所述第 一物联网设备节点通过以下步骤生成 身份注册请求： 随机生成整数dt←Zq， 其中， Zq为剩余类集{0， 1， …， q‑1}， q为有限域Fq的规模； 计算椭圆曲线E(Fq}上的点Pt＝dt·G， 其中， G为椭圆曲线E(Fq)上的基点； 获取私钥tsk ＝dt， 公钥tpk ＝Pt； 基于所述第一物联网设备节点的编号stg、 公钥tpk与身份证明材料， 生成身份注册请 求。 3.如权利要求1所述的方法， 其特征在于， 所述基于所述证书序列号、 所述第一物联网 设备节点的编号sig与公钥tpk、 所述边缘节 点enode的名称与编号、 所述有效起始时间与有 效截止时间， 生成签名tsig， 包括： 使用SM3算法计算所述证书序列 号、 所述第一物联网设备节点的编号sig与公钥tpk、 所 述边缘节点en ode的名称与编号、 有效起始时间与有效截止时间的哈希值ht； 随机选取整数kt←Zq， 其中Zq为剩余类集{0， 1， …， q‑1}， q为有限域Fq的规模； 计算椭圆曲线E(Fq)上的点(x2， y2)＝kt·G， 其中， G为椭圆曲线E(Fq)上的基点G； 计算参数rt＝(ht+x2)mod q； 计算参数st＝(1+de)‑1(ke‑rt·de)， 其中de为所述边缘节点en ode的私钥， 整数ke←Zq； 获得签名tsig＝(rt， st)。 4.一种基于区块链的边 缘计算身份认证方法， 应用于边 缘节点en ode， 所述方法包括： 接收第二物联网设备节点的身份认证请求与通过权利要求1 ‑3任一方法生成的数字证 书， 并从区块链下载证书撤销列表， 其中所述第二物联网设备节点在所述区块链的任一信 任域中， 所述身份认证请求包括： 认证请求发起时间和所述第二物联网设备节点的编号 stg′、 公钥tpk ′； 基于所述身份认证请求与所述证书撤销列表， 验证所述数字证书的有效性； 若所述数字证书 有效， 判断所述第二物联网设备节点 合法。 5.如权利要求4所述的方法， 其特征在于， 所述基于所述身份认证请求与所述证书撤销 列表， 验证所述数字证书的有效性， 包括： 提取所述数字证书中的第 二物联网设备节点的编号与公钥， 并与所述身份认证请求中权　利　要　求　书 1/3 页 2 CN 114785515 A 2的所述第二物联网设备节点的编号sig ′与公钥tpk ′进行比对； 和， 提取所述数字证书中的有 效起始时间与有效截止时间， 并判断所述认证请求发起 时间 是否在有效期内； 和， 提取所述数字中的证书序列号， 并结合所述证书撤销列表， 判断所述证书是否已撤销； 和， 提取所述数字中的边缘节点enode ′的名称与编号， 并与所述边缘节点enode的名称与 编号进行比对： 若一致， 则判断证书颁发者有效； 若不一致， 则通过从区块链上下载所述边缘节点enode ′的自签名证书， 以判断证书颁 发者是否有效。 6.如权利要求5所述的方法， 其特征在于， 所述通过从区块链上下载所述边缘节点 enode′的自签名证书， 以判断证书颁发者是否有效， 包括： 从所述自签名证书中提取 所述边缘节点en ode′的公钥epk； 基于所述边缘节点enode ′的公钥epk， 使用SM3算法计算所述数字证书序列号、 编号 sig′、 公钥tpk ′、 边缘节点enode ′的名称与编号、 有效起始时间与有效截止时间的哈希值 ht′； 从所述数字证书中提取签名tsig＝(rt， st)； 计算椭圆曲线E(Fq)上的点(x2′， y2′)＝st·G+(rt+st)·epk， 其中Fq为有限域， G为椭圆 曲线E(Fq)上的基点； 通过验证rt＝(h′t+x2′)mod q是否成立， 以判断证书颁发者是否有效， 其中q为有限域Fq 的规模。 7.一种基于区块链的边 缘计算身份撤销方法， 应用于边 缘节点en ode， 所述方法包括： 接收第二物联网设备节点的身份撤销请求与通过权利要求1 ‑3任一方法生成的数字证 书， 并从区块链下载证书撤销列表， 其中所述第二物联网设备节点在所述区块链的任一信 任域中， 所述身份撤销请求包括： 身份撤销请求 发起时间、 撤销请求标识符与所述第二物联 网设备节点的编号sig ′、 公钥tpk ′； 基于所述身份撤销请求与所述证书撤销列表， 验证所述数字证书的有效性； 若所述数字证书 有效， 则更新并上传所述证书撤销列表。 8.一种基于区块链的边 缘计算身份更新方法， 应用于边 缘节点en ode， 所述方法包括： 接收第二物联网设备节点的身份更新请求与通过权利要求1 ‑3任一方法生成的数字证 书， 并从区块链下载证书撤销列表， 其中所述第二物联网设备节点在所述区块链的任一信 任域中， 所述身份更新请求包括： 身份更新请求 发起时间、 更新请求标识符与所述第二物联 网设备节点的编号sig ′、 公钥tpk ′； 基于所述身份更新请求与所述证书撤销列表， 验证所述数字证书的有效性； 若所述数字证书 有效， 则对所述数字证书 进行更新并返回。 9.一种存储介质， 所述存储介质中存储有计算机程序， 其中， 所述计算机程序被设置为 运行时执 行权利要求1 ‑8中任一所述方法。权　利　要　求　书 2/3 页 3 CN 114785515 A 3