CN113194469B

CN113194469B - 基于区块链的5g无人机跨域身份认证方法、***及终端

Info

Publication number: CN113194469B
Application number: CN202110466518.4A
Authority: CN
Inventors: 冯朝胜; 刘彬
Original assignee: Sichuan Normal University
Current assignee: Sichuan Normal University
Priority date: 2021-04-28
Filing date: 2021-04-28
Publication date: 2022-05-13
Anticipated expiration: 2041-04-28
Also published as: CN113194469A

Abstract

本发明公开了基于区块链的5G无人机跨域身份认证方法、***及终端，涉及无人机技术领域，其技术方案要点是：发起附加信息为通信连接请求的转账交易；根据通信连接请求向联盟链发出身份认证请求；联盟链根据身份认证请求调用内置的智能合约查找域A设备的访问控制信息和注册有效期；对账户信息中的身份标识进行哈希处理得到第二哈希值，并将第二哈希值与第一哈希值进行匹配；域B设备根据身份合法信息与域A设备进行会话秘钥协商后建立通信连接。本发明通过使用多重签名智能合约实现分布式环境下的跨域无人机的身份认证，进行一次认证只需要向区块链提交一笔交易，相比于传统使用数字证书的认证方式，以更小的通信开销完成身份认证。

Description

基于区块链的5G无人机跨域身份认证方法、***及终端

技术领域

本发明涉及无人机技术领域，更具体地说，它涉及基于区块链的5G无人机跨域身份认证方法、***及终端。

背景技术

无人机是利用无线电感遥控设备或自备的程序控制装置操控的无人驾驶遥控飞行器，按照应用领域，分为军用和民用，可在科学研究、场地探勘、军事、休闲娱乐用途上使用。近年来无人机在全球市场大幅增长，广泛应用于建筑、石油、天然气、能源、农业、救灾等领域。

随着无线通信技术的发展，5G时代已经到来。5G技术是一种可提供低延迟、高速率、高可靠通信服务的新一代蜂窝移动通信技术，可使无人机数据传输变得更加稳定、延迟更低。然而5G环境是开放式的网络环境，面临多种安全威胁，不可靠的通信链接可能导致敏感数据泄露，因此身份认证尤为重要。鉴于无人机的移动性和无人机网络的异构性，传统的基于口令或用户名的身份认证方式已经不能满足分布式环境下的认证安全需求。同时，单节点身份认证服务器出现故障将面临服务瘫痪。此外，无人机任务可能需要多个企业合作完成，跨企业域的无人机如何安全有效地协作成为一大难题，如何建立安全责任机制也亟待解决。

因此，如何研究设计一种基于区块链的5G无人机跨域身份认证方法、***及终端是我们目前急需解决的问题。

发明内容

为解决现有技术中的不足，本发明的目的是提供基于区块链的5G无人机跨域身份认证方法、***及终端。

本发明的上述技术目的是通过以下技术方案得以实现的：

第一方面，提供了基于区块链的5G无人机跨域身份认证方法，包括以下步骤：

域A设备向域B设备发起附加信息为通信连接请求的转账交易；

服务器B对域A设备的账户信息进行缓存，并根据服务器B的联盟链账号连接联盟链，以及根据通信连接请求向联盟链发出身份认证请求；

联盟链根据身份认证请求调用内置的智能合约查找域A设备的访问控制信息和注册有效期，且完成账本查询后返回查询结果；查询结果显示域A设备在域B设备所属的无人机域B完成注册且时间有效时，查询结果表示域A设备的身份有效；

服务器B接收到身份有效反馈后对账户信息中的身份标识进行哈希处理得到第二哈希值，并将第二哈希值与智能合约返回的第一哈希值进行匹配得到匹配结果，以及在匹配结果显示匹配成功时输出身份合法信息；

域B设备根据身份合法信息与域A设备进行会话秘钥协商后建立通信连接，并在达成共识后将交易添加到新区块中，以及将交易标识返回给域A设备同时更新服务器B的联盟链账号的余额。

进一步的，所述智能合约采用带门限(t，n)的多重签名部署，n为联盟链成员总数t为有效签名数量；

无人机域中的服务器作为签名参与人员进行多重签名部署，签名参与人员包括消息发送者、签名者、签名收集者和验证者；

无人机域中的服务器作为签名收集者和验证者收集其它联盟链成员的签名并验证，具体步骤如下：消息发送者将待签名消息同时发送给每一位签名者进行签名；签名者将签名消息发送给签名收集者；收集者对签名消息进行整理后发送给签名验证者进行多重签名有效性验证。

进一步的，所述智能合约包括注册合约和注销合约；

注册合约，用于判别签名的合法性，并在签名合法时将设备信息、注册信息写入合约中签名域所在的访问控制表，以及在联盟链完成状态更新；

注销合约，用于在监测到网络中设备出现异常而永久性无法使用时将相应设备的身份信息加入注销合约中进行注销。

进一步的，所述域A设备或域B设备的注册包括本地注册和全局注册；

域设备向所属域的秘钥生成中心发送本地注册请求；秘钥生成中心检验相应的域设备是否在私有链在已存在对应的设备信息，若不存在，则将相应的域设备在私有链进行本地注册并获得私有链账户；

本地注册完成后，秘钥生成中心对域设备进行初始化得到域设备的私有标识；秘钥生成中心根据私有链账户向联盟链发送全局注册请求为相应域设备注册获取联盟链账号，同时对私有标识进行哈希散列处理得到第一哈希值。

进一步的，所述全局注册包括同域注册和跨域注册；

同域注册为域设备向所属域中的秘钥生成中心请求注册；

跨域注册为域设备向其他域中的秘钥生成中心请求注册。

进一步的，通过所述智能合约查找域A设备的访问控制信息和注册有效期的具体过程为：

域A设备发送查询请求查询联盟链账号在无人机域B中是否存在有效注册信息；

若存在注册信息过期，则委托域A设备所属域的秘钥生成中心向无人机域B中的秘钥生成中心提交有效期更新请求；

无人机域B中的秘钥生成中心生成签名发送给域A设备所属域的秘钥生成中心；

域A设备所属域的秘钥生成中心调用身份更新算法完成注册更新。

进一步的，所述会话秘钥协商的过程具体为：

域A设备、域B设备交换各自在联盟链注册后获取的公钥PK_i、PK_j以及秘钥生成中心分配的公钥pk_i、pk_j；

域A设备随机选择随机数r_i，将域B设备的公钥PK_j依据随机数r_i做非对称加密运算得到密文c，并将密文c发送给域B设备；域B设备通过私钥SK_j运行对称解密算法对密文c解密、提取得到随机数r_i和时间戳t_i；

域B设备随机选择随机数r_j，将域A设备的公钥PK_i依据随机数r_j做非对称加密运算得到密文c′，并将密文c′发送给域A设备；域A设备通过私钥SK_i运行对称解密算法对密文c′解密、提取得到随机数r_j和时间戳t_i；

域A设备、域B设备将随机数r_i、随机数r_j作为秘钥生成器的输入，得到会话秘钥。

进一步的，该身份认证方法还包括本地认证，本地认证的具体步骤为：

服务器检测并收集活跃在网络中的域设备的活动信息；

将活动信息与私有链上的设备信息进行身份对比，若身份对比结果显示相应域设备存在异常，则将域设备的身份信息广播给其他域并添加到注销合约中。

第二方面，提供了一种实现如第一方面中任意一项所述的基于区块链的5G无人机跨域身份认证方法的基于区块链的5G无人机跨域身份认证***，包括多个无人机域以及多个无人机域通过部署智能合约形成的联盟链；

每个无人机域均配置有唯一的密钥生成中心、至少一个服务器、私有链以及多个域设备；

域设备之间通过D2D链路网络通信连接，域设备与服务器之间通过D2B链路网络通信连接。

第三方面，提供了一种计算机终端，包含存储器、处理器及存储在存储器并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面中任意一项所述的基于区块链的5G无人机跨域身份认证方法。

与现有技术相比，本发明具有以下有益效果：

1、本发明基于联盟区块链，通过使用多重签名智能合约实现分布式环境下的跨域无人机的身份认证，进行一次认证只需要向区块链提交一笔交易，相比于传统使用数字证书的认证方式，以更小的通信开销完成身份认证。

2、本发明在区块链交易中经过网络节点验证带来的延迟较低，是毫秒级延迟。

3、本发明由于使用了智能合约对无人机进行身份管理，具备很强灵活性，可以提高管理效率，并能有效解决单节点故障和分布式拒绝服务攻击问题。

4、本发明区块链账本是分布式账本，在网络节点中有多个备份，账本数据具备完整性、真实性、不可抵赖性，无人机的行为被记录在区块链上，可建立有效的责任机制，若有无人机作恶，便可通过查阅区块链上的记录进行追溯问责。

5、本发明使用的5G网络具有带宽大、延迟低、可靠性高等优点，将其应用在无人机通信上，可极大地提高数据传输速率。

附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，并不构成对本发明实施例的限定。在附图中：

图1是本发明实施例中的***架构图；

图2是本发明实施例中访问控制表的示意图；

图3是本发明实施例中全局注册的流程图；

图4是本发明实施例中会话秘钥协商的流程图；

图5是本发明实施例中跨域认证的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

实施例1：基于区块链的5G无人机跨域身份认证方法，如图1所示，具体由***初始化、身份管理、会话密钥协商以及身份认证四个步骤整体实现。

需要说明的是，本实施例中的密钥生成中心、边缘服务器均配置为一种服务器，密钥生成中心、边缘服务器协同作用形成域管理员，担任无人机所属企业管理者和联盟链维护者角色，负责本域设备管理及区块链节点搭建和维护工作。

一、***初始化

***初始化包括域初始化、KGC初始化、私有链构建、联盟链构建、部署智能合约。

1、域初始化，每个域的KGC为所属域生成公私钥对

其中私钥

由KGC随机选择，公钥

2、KGC初始化，KGC初始化生成秘钥和身份凭证所需参数。

3、私有链构建，私有链属于区块链的一类，又称许可链，读写权限由单个企业或机构控制，只有被授权节点才能参与并查看数据，由企业内部或机构的不同部门或负责人构建。私有链实现了加密审计，便于进行审核工作，出错后能及时找到源头。

4、联盟链构建，联盟链也属于许可链，只有授权节点才能访问和查看区块数据，属于部分去中心化的分布式账本。每个域部署一个节点用于搭建联盟链网络。

5、部署智能合约，参与到本***的域通过公开选举，选定一个域部署合约，该合约为多重签名合约，由所有参与到***的域共同维护。

二、基于区块链的无人机身份管理

随着5G无人机使用越来越广泛，有效和高效的身份管理至关重要。集中的身份管理可能带来巨大的管理成本，而区块链分布式的特性可以简化身份管理方式并降低管理成本。此外，区块链是防篡改的，具有不可否认性，且区块链用户间是匿名交互，若应用于无人机领域，可保护无人机隐私。基于区块链的无人机身份管理包括私有链身份管理和联盟链身份管理两部分。无人机先在私有链进行注册，然后再由其所属域的管理员为其在联盟链进行注册。

无人机和智能终端设备的身份管理包括注册、注销、更新。

1、带门限的多重签名构造流程。

本发明使用门限为(t，n)的广播多重数字签名，消息发送者将待签名消息同时发送给每一位签名者进行签名，然后签名者将签名消息发送给签名收集者，收集者对签名消息进行整理后发送给签名验证者进行多重签名有效性验证。参与多重签名的成员包括：签名请求发起者同时也是子秘密分发者UI、签名的企业域U_i(i＝1，2，...，n)、签名集收集者UC以及签名验证者UV。每个域拥有自己的域标识GID_i(i＝1，2，...，n)，需要说明的是，本发明中的UC和UV为同一对象，即合约部署者。合约创建请求发起者将合约编译后的字节码σ广播给其它参与签名的域U_i(i＝1，2，...)，σ将作为多重签名对象，多重签名的构建过程如下。

1)初始化，所有参与者U_i将自己的公钥

作为秘钥影子交付给秘密分发者UI，UI必须确认每个参与者的秘密影子不能重复，即

其中i≠j。若发现相同秘钥影子，则需要参与者重新选择私钥

并重新发送秘钥影子给UI。UI随机选择秘密k∈Z_p，公布秘密影子K＝g^k。然后进行秘密多项式的构造，首先选择t-1个整数a₁，...，a_t-1，随机产生一个t-1次多项式f(x)＝k+a₁x+…+a_t-1x^t-1，并根据参与者标识GID_i计算子秘密d_i＝f(GID_i)。UI随机选择一个整数s作为自己的主秘钥，计算公钥P＝g^s，并用s和参与者秘钥影子

做运算得到子秘钥

再通过t个参与者的子秘钥s_i与d_i计算得到R_i：

其中，l、m、j代表参与秘密共享的成员。最后公开(GID_i，R_i)和P，其中i＝1，2，...n。

2)子秘密恢复：若参与者想恢复秘密，进而生成多重签名，则参与者U_i把子秘钥s_i发送给秘密恢复者，秘密恢复者验证等式

是否成立，若不成立则需要重新验证参与者身份；反之，当t个参与者验证完毕后，可以确定各个参与者身份，并根据参与者提供的子秘钥得到每个参与者GID_i对应的d_i,d_i的计算方式如下：

最后将d_i发送给对应的参与者U_i。

3)单签名流程：UI向所有U_i发送待签名信息σ，若U_i接受合约创建请求，则计算

作为U_i对σ的签名，将签名信息(σ，sig_i)发送给UC，并公布子秘密影子

4)单签名验证：UC收到(σ，sig_i)后，首先将有效签名数m置零，再通过以下等式验证签名的正确性：e(g，sig_i)＝e(H(σ)，p_i)。

5)多重签名生成流程：当UC收集的有效签名数m≥t时，计算：

其中，

为拉格朗日系数，最后UC将(σ，S)作为σ的多重签名发送给UV。

6)多重签名验证：UV计算等式e(g，S)＝e(H(σ)，K)是否成立，若等式成立，说明多重签名有效，否则签名无效。当多重签名验证通过后，UV向联盟链提交一笔交易Tx_global(σ，Ｓ，ＧＩＤ_i)，i＝1，2，…，m，交易用于记录多重签名以及参与多重签名的域。

(2)合约创建

合约中的访问控制表结构如图2所示。智能合约的创建包括注册合约和注销合约的创建。联盟链中的任意成员都有权部署合约，为提高***可用性和安全性，提出了(t，n)门限多重签名合约方案，n为联盟链成员总数，合约部署方作为签名收集者和验证者，收集其它联盟链成员的签名并验证，当收集到不少于t个有效签名后，进行合约的部署。

(3)全局注册

全局注册流程如图3所示。在进行全局注册前，

所属域A的管理员需要为其提前注册联盟链账号。联盟链为

生成公私钥对{SK_i，PK_i}，对公钥PK_i进行secp256k1椭圆曲线处理和编码后得到Addr_i。

1)无人机

发送查询请求Qrequest查询账户Addr_i在域N中是否存在有效注册信息。若已注册但注册信息已过期，则委托KGC^A向KGC^N提交有效期更新请求,KGC^N生成签名

发送给KGC^A，接着KGC^A调用算法1完成注册更新，其中T_j为一个时间戳，表示新的有效期；若

未在域N中注册，则进行第2)步操作。

算法1的具体步骤如下：

2)

向KGC^A提交全局注册请求register_global＝(GRrequest||Addr_i||h_i)，其中GRrequest为全局注册请求，h_i＝H(ID_i))。GRrequest为分两类，第一类为

在其所属域A进行注册，第二类为

在其它域N_i(i＝1，2，...，n)进行注册。对于第一类，若KGC^A接受该注册申请则为

生成签名

再跳到第4)步操作；若是第二类则进行第3)步操作。

3)KGC^A向KGC^N提交注册请求，若KGC^N接受该注册申请，则对该设备信息签名，将

返回给KGC^A。

4)KGC^A将设备身份信息及其对应的签名sig作为合约输入，调用注册合约，运行算法2实现注册。

算法2的具体步骤如下：

5)注册合约判别签名的合法性，若签名验证函数Valid(sig)输出为true，则将设备注册信息写入合约中该签名域所在的访问控制表，发起一笔交易Tx在联盟链完成状态更新。

6)注册成功后，联盟链返回合约地址Wsc给

保存。

当需要对

进行注销时，

所属域的KGC^A发起全局注销请求deregister_global＝(GDRrequest||Addr_i||H(ID_i)，)，其中GDRrequest表示全局注销请求。接着将设备身份信息和对其的签名sig作为合约输入，通过Bsc调用注销合约，完成注销操作；同时调用注册合约，将相应的注册状态设为无效。

三、会话秘钥协商

如图4所示，会话秘钥用于保障无人机通信过程中的数据安全。设定有无人机d_i和d_j，它们在建立通信前需要协商会话秘钥，具体步骤如下。

1)d_i，d_j交换各自在联盟链注册后获取的公钥PK_i和PK_j以及KGC为其分配的公钥pk_i和pk_j。

2)d_i随机选择

用公钥PK_j做非对称加密运算得

其中t_i为时间戳，接着将密文c发送给d_j。

3)d_j收到c后，通过私钥SK_j解密得到

提取出r_i和t_i。然后随机选择

运行相同的非对称加密算法用d_i的公钥PK_i加密r_j和t_i得

将c′发给d_i。

4)d_i收到c′后，通过私钥SK_i运行解密算法得

提取出r_j和t_i。

5)d_i和d_j将(r_i，r_j)作为秘钥生成器的输入，最终得到会话秘钥ks＝H(r_i||r_j)。

此外，无人机与企业间的会话秘钥ks^*＝k₁+k₂,其中k₁是由无人机和所属企业保存的安全秘钥；k₂基于椭圆曲线加密算法生成并由企业保存。在建立通信前，企业通过安全信道将k₂发给终端。

四、跨域身份认证

跨域的设备由于通信协议或设备类型的不同，存在通信障碍，传统模式下利用中心机构进行认证会带来巨大通信和存储开销。本发明方案采用去中心化区块链进行跨域设备的认证，假设

想与

通信，

对

进行身份认证的流程如图5所示，具体步骤如下。

1)

调用联盟链合约函数Valid(Addr_i)检查其在域B中的注册时间是否过期，联盟链进行账本查询并返回查询结果Addr_i||T_i，若T_i失效，

则向KGC^A提交更新请求Urequest和设备信息(Addr_i||addr_i||h_i)；若T_i有效，则直接进行第4)步操作。

2)KGC^A调用私有链合约函数valid(addr_i)检查

是否属于A域设备，若属于A域，KGC^A则代理

向KGC^B申请身份更新，获取到B域签名

和新的有效期T_j后调用联盟链注册合约，运行算法1，在联盟链发起更新交易。

3)联盟链节点通过共识机制更新账本数据并向

返回更新结果Uresponse。

4)

将身份标识ID_i通过安全通道发送给

5)

计算

h_i＝H(ID_i),生成连接请求消息op＝(connect||ct||h_i),其中connect表示通信连接请求。随后

发起一笔交易Tx＝(Addr_i，Addr_k，coin_i，op)，付款方为

的账户Addr_i，收款方为

的账户Addr_k，交易额为coin_i，交易的附加信息为op。

6)联盟链节点验证交易，在达成共识后将交易添加到新区块中，接着将该交易标识TxID返回给

并更新账户Addr_k的余额。

7)

收到转账后，缓存付款方账户Addr_i，通过存储在本地的合约地址Wsc调用合约，查询Addr_i在合约里对应域B的访问控制表中的注册状态。

提交的身份验证请求为Vrequest＝(Wsc，Addr_i，GID_B，ks)，其中，ks为联盟链节点与

提前协商好的会话秘钥。

8)联盟链节点运行算法3，得到密文c＝E_ks(Addr_i||status||T_i||h_i)并将c发送给

若

对应的账户Addr_i在域B已注册则status＝true，否则status＝false；T_i为一个时间戳，表示注册的有效期，h_i＝H(ID_i)。

算法3的具体步骤如下：

9)

运行对称解密算法得到m＝D_ks(c)＝(Addr_i||status||T_i||h_i)，若注册状态status＝false则终止操作；若为true则继续判断Addr_i注册有效期T_i。令now表示当前时间戳，若T_i＜now表示注册日期失效，随即终止操作；若T_i＞now表示注册日期有效，接着

对

发来的身份标识ID_i做哈希处理得到h＝H(ID_i)，若h＝h_i成立，则函数Equal(h＝＝h_i)输出true，表示身份合法，认证成功，反之认证失败。需要说明的是，该跨域认证方法同样适用于同域无人机间、无人机与智能终端间的身份认证。

在本实施例中，一个企业即为一个域。

实施例2：基于区块链的5G无人机跨域身份认证***，如图1所示，包括多个无人机域以及多个无人机域通过部署智能合约形成的联盟链。每个无人机域均配置有唯一的密钥生成中心、一个边缘服务器、私有链以及多个域设备。域设备之间通过D2D链路网络通信连接，域设备与服务器之间通过D2B链路网络通信连接。域设备包括但不限于无人机、智能终端等。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.基于区块链的5G无人机跨域身份认证方法，其特征是，包括以下步骤：

域B设备根据身份合法信息与域A设备进行会话秘钥协商后建立通信连接，并在达成共识后将交易添加到新区块中，以及将交易标识返回给域A设备同时更新服务器B的联盟链账号的余额；

所述智能合约采用带门限(t，n)的多重签名部署，n为联盟链成员总数，合约部署方作为签名收集者和验证者，收集其它联盟链成员的签名并验证，当收集到不少于t个有效签名后，进行合约的部署。

2.根据权利要求1所述的基于区块链的5G无人机跨域身份认证方法，其特征是，无人机域中的服务器作为签名参与人员进行多重签名部署，签名参与人员包括消息发送者、签名者、签名收集者和验证者；

3.根据权利要求1所述的基于区块链的5G无人机跨域身份认证方法，其特征是，所述智能合约包括注册合约和注销合约；

4.根据权利要求1所述的基于区块链的5G无人机跨域身份认证方法，其特征是，所述域A设备或域B设备的注册包括本地注册和全局注册；

5.根据权利要求4所述的基于区块链的5G无人机跨域身份认证方法，其特征是，所述全局注册包括同域注册和跨域注册；

同域注册为域设备向所属域中的秘钥生成中心请求注册；

跨域注册为域设备向其他域中的秘钥生成中心请求注册。

6.根据权利要求1所述的基于区块链的5G无人机跨域身份认证方法，其特征是，通过所述智能合约查找域A设备的访问控制信息和注册有效期的具体过程为：

7.根据权利要求1所述的基于区块链的5G无人机跨域身份认证方法，其特征是，所述会话秘钥协商的过程具体为：

8.根据权利要求1所述的基于区块链的5G无人机跨域身份认证方法，其特征是，该身份认证方法还包括本地认证，本地认证的具体步骤为：

服务器检测并收集活跃在网络中的域设备的活动信息；

9.实现如权利要求1-8任意一项所述基于区块链的5G无人机跨域身份认证方法的基于区块链的5G无人机跨域身份认证***，其特征是，包括多个无人机域以及多个无人机域通过部署智能合约形成的联盟链；

10.一种计算机终端，包含存储器、处理器及存储在存储器并可在处理器上运行的计算机程序，其特征是，所述处理器执行所述程序时实现如权利要求1-8中任意一项所述的基于区块链的5G无人机跨域身份认证方法。