一种基于联盟链的自主代客泊车用户身份跨域自认证方法

1.本发明涉及自主代客泊车、区块链、身份认证协议设计等领域，尤其涉及基于联盟链的用户身份跨域自认证方案领域。


背景技术：

2.近年来，由于汽车保有量快速上升，城市停车位资源供需矛盾日益突出，寻找停车位费时费油，在空间狭窄的车位泊车时极易发生车辆碰擦事故，“停车难”和“难停车”的问题亟待解决。自主代客泊车是一种先进的智能辅助驾驶技术，在提高停车场利用率、减少停车时间、降低停车时产生的能耗、避免泊车过程中的事故和损失以及改善用户“最后一公里”驾驶体验等方面具有巨大的优势和潜力，受到了社会各界的广泛关注和车辆工程技术人员的重视。
3.目前，国内外产学界对avp的研究集中在：(1)avp系统架构研究，主要由用户端、场端和车端三大部分组成，其服务请求的内容基本一致，区别在于服务请求流程的顺序和请求方的不同；(2)自主代客泊车系统关键技术研究，如路径规划、障碍物检测、车辆室内定位技术、高精地图等。针对avp系统各个部分在信息交互过程中面临的诸多信息安全问题研究较少。


技术实现要素：

4.为解决上述情况，本发明针对多场端服务器的“数据孤岛”问题和用户冗余身份注册问题，提出了一种基于联盟链的自主代客泊车用户身份跨域自认证方案。针对自主代客泊车系统的用户身份跨域认证方案。该方案采用去中心化的双向匿名认证方法，缓解了可信中心的服务压力。同时，为提高用户身份认证的效率，将用户分为两类：针对新用户采用基于认证参数的去中心化身份认证方法，并将其合法的匿名身份和公钥作为联盟区块链的交易记录在服务器之间分布式存储，实现用户身份信息在多场端服务器之间的秘密共享；针老用户通过智能合约进行本地链上信息的查询，以快速验证其身份的合法性。
5.为了实现上述目的，本发明的技术方案为：
6.一种基于联盟链的自主代客泊车用户身份跨域自认证方法，主要包含1)系统初始化，建立基于边缘云计算的自主代客泊车系统模型；2)基于用户身份的联盟链和智能合约的部署；3)用户匿名跨域自认证三大步骤。
7.进一步，所述步骤1)系统初始化中，建立了基于边缘云计算的自主代客泊车系统模型，自顶向下分别为：(1.1)云层：由权威ta和avp服务提供商avpprov组成；(1.2)边缘层：由场端服务器serv组成；(1.3)终端层：由用户user组成；其中，权威负责颁布系统参数和其余实体：avpprov、serv和user的系统注册工作，同时承担事故追责等仲裁工作。
8.进一步，所述步骤2)基于用户身份的联盟链和智能合约的部署中，采用联盟链并将其部署在处于系统边缘的场端服务器之间，用以存储合法用户的临时假名pid和临时公钥pk，实现用户身份信息的秘密共享；同时，设计了用于管理用户匿名身份的智能合约，实
现用户与多场端服务器之间的去中心化、匿名、高效的双向认证。
9.进一步，所述步骤3)用户匿名跨域自认证，包含：(3.1)信息发布、(3.2)服务选择、(3.3)用户身份跨域认证以及(3.4)合法用户的匿名身份信息链上存储与管理。
10.进一步，(3.1)信息发布为serv根据自己的公钥pk、地理位置loc、可用车位信息availplhe证书cert发布停车场相关信息。
11.进一步，(3.2)服务选择为用户根据serv发布的信息选择自己心仪的停车场并验证其证书的真实性，同时生成用于享受车位预定、线上缴费等服务的临时身份pid。
12.进一步，(3.3)用户身份跨域认证：由(3.3.1)基于认证参数的去中心化新用户身份认证和(3.3.2)基于联盟链的跨域老用户身份证认证两部分组成，其中：
13.(3.3.1)基于认证参数的去中心化身份认证包括如下步骤：
14.e)用户基于系统初始化环节中得到的认证参数ap
user
＝sk
ta
·
ap
′
user
·
g和ap'
user
＝h(id
user
)向serv发送首次服务请求firstreq，其中sk
ta
为权威ta的私钥、g为椭圆曲线的基点、h(id
user
)为对用户生成唯一身份标识id
user
的哈希函数；
15.f)serv收到请求firstreq后，首先验证消息的有效性和完整性，然后解密请求消息firstreq并获得对称密钥key、用户的临时身份pid和公钥pk并留存，随后计算参数x
serv
＝αg发送给用户，α为随机数，g为椭圆曲线的基点；
16.g)用户user收到参数x
serv
后，计算x
user
＝βg并使用双线性函数计算用户参数y
user
＝e(β
·
key
·
ap
′
serv
，pk
ta
)e(key
·
ap
user
，x
serv
)，pk
ta
公钥对，e代表双线性映射，β为随机数，其中aps'
erv
＝h(id
serv
)，h(id
serv
)为对场端服务器生成唯一身份标识id
user
的哈希函数；
17.h)serv接收到x
user
和y
user
,并使用双线性函数计算场端服务器参数y
serv
＝e(β
·
key
·
ap'
user
,pk
ta
)e(key
·
ap
serv
,x
user
)，并判断y
user
和y
serv
是否相等，若相等，则用户的身份是合法的，其中ap
serv
＝sk
ta
·
ap'
serv
·
g，sk
ta
为权威ta的私钥、g为椭圆曲线的基点；
18.(3.3.2)基于联盟链的跨域老用户身份证认证包括如下步骤：
19.c)老用户发送服务请求req，请求中包含用户的公钥pk和临时标识pid；
20.d)serv接收req后得到用户的公钥pk和临时标识pid，调用智能合约的查询函数进行链上数据查询，以确定用户身份的合法性，若用户的公钥pk和临时标识pid存在，则该用户为合法用户，进而接收用户的服务请求进行相关服务。
21.进一步，(3.4)合法用户的匿名身份信息链上存储与管理为当serv验证新用户身份是合法的时，服务器将该合法用户的临时假名pid和公钥pk信息作为联盟区块链的交易记录，并定期将多条交易记录打包生成区块，通过共识机制在联盟成员之间(不同服务器)完成区块的审计工作，并更新该区块链。
22.本文提出一种基于联盟链的自主代客泊车用户身份跨域自认证方法，该方法有以下有益效果：
23.1)针对新用户采用基于认证参数的去中心化身份认证方法，并将其合法的匿名身份和公钥作为联盟区块链的交易记录在服务器之间分布式存储，实现用户身份信息在多场端服务器之间的秘密共享；
24.2)针老用户通过智能合约进行本地链上信息的查询，以快速验证其身份的合法性。
25.3)根据上述特点进一步解决了多场端服务器的“数据孤岛”问题和用户冗余身份
注册问题。
附图说明
26.图1为本发明的系统模型图；
27.图2为本发明的用户匿名身份跨域自认证设计图
具体实施方式
28.本发明的方法主要包括以下部分：
29.1)系统初始化
30.本方案中的所有实体(场端服务器和用户)在方案实施之前必须在权威中心ta处进行真实身份信息的注册以成为合法的实体，并获得自己的唯一身份标识、公私钥对以及相应的数字签名和证书等。
31.(1)ta
32.ta选择随机数x
ta
,(非零自然数集)采用ecc椭圆曲线密码算法生成自己的公钥(sk
ta
＝x
ta
)私钥(pk
ta
＝sk
ta
g)，选择两个哈希函数(h:{0,1}
*
→
{g1, }和)，随后生成系统参数para:(p,a,b,g,n,pk
ta
,h(
·
),h(
·
),ecc(
·
))。
33.(2)serv注册
34.ta首先将系统参数para下载至场端服务器，同时为场端服务器生成服务器唯一身份标识id
serv
、私钥sk
serv
＝x
serv
、公钥pk
serv
＝sk
serv
g、服务提所处地理位置loc
serv
、证书以及认证参数ap
′
serv
＝h(id
serv
)和ap
serv
＝sk
ta
·
ap'
serv
·
g，其中h(id
serv
)为对场端服务器生成唯一身份标识id
user
的哈希函数、sk
ta
为权威ta的私钥、g为椭圆曲线的基点。
35.3)user注册
36.ta首先将系统参数para下载至用户端，同时为用户生成唯一身份标识id
user
、临时私钥临时公钥临时匿名身份以及用于首次认证的认证参数ap
user
＝sk
ta
·
ap'
user
·
g和ap'
user
＝h(id
user
)，其中其中sk
ta
为权威ta的私钥、g为椭圆曲线的基点、h(id
user
)为对用户生成唯一身份标识id
user
的哈希函数。
37.表1符号及定义
[0038][0039][0040]
2)基于用户身份的联盟链和智能合约的部署
[0041]
如图1所示，本文基于边缘计算搭建了avp系统模型，使场端服务器能够实时感知停车场内的全部车位状态，同时用户可以弹性预定偏好车位并随时更改已有预定。系统自上而下分别是云层、边缘层和终端层，并在边缘层部署了用户匿名身份联盟链pseidchain与智能合约pseidcontract。
[0042]
a)用户匿名身份区块链pseidchain部署
[0043]
联盟区块链是通过被系统授权的节点来维护分布式共享数据库的特定区块链，只需超过半数的联盟成员达成共识便可生成新的区块，系统开销较小、成本较低，较公有链和私有链而言更加满足avp的场景需求。因此，本文采用联盟并将其部署在处于系统边缘的场端服务器之间，用以存储合法用户的临时假名pid和临时公钥pk，实现了用户身份信息的秘密共享。
[0044]
b)用户匿名身份管理智能合约pseidcontract设计
[0045]
联盟链的部署解决了服务器之间存在的“信息孤岛“问题。在此基础之上，本文设计了用于管理用户匿名身份的智能合约pseidcontract，进而实现了用户与多场端服务器之间的去中心化、匿名、高效的双向认证。pseidcontract包含用户匿名身份信息添加函数pseidadd、查询函数pseidsearch、删除函数pseiddelete和更新函数pseidupdate，并通过interface.getstate、interface.putstate和interface.delstate接口管理pseidchain的链上用户信息。
[0046]
3)用户匿名跨域
[0047]
信息发布
[0048]
serv发布信息
[0049]
服务选择
[0050]
用户按需选择目标停车场并与该停车场的场端服务器进行身份认证，以向服务器提交avp服务请求。
[0051]
a)用户根据消息选目标停车场，然后根据消息中的公钥验证证书cert
serv
(
·
)的有效性，从而保证消息本身的有效性和正确性。
[0052]
b)用户对服务器的身份验证通过后，生成对称密钥key和自己的临时私钥和临时公钥同时基于ta为其颁布的id
user
和ta的公钥pk
ta
生成临时匿名身份
[0053]
用户身份跨域自认证方案
[0054]
本文设计的用户身份跨域自认证方案分为基于认证参数的去中心化身份认证(新用户)以及基于联盟链的跨域身份证认证(老用户)，如图2所示。
[0055]
新用户avp服务请求：基于认证参数的去中心化身份认证
[0056]
(1)用户基于初始化阶段ta为其颁发的身份认证参数ap
serv
和ap'
serv
向serv发送请求
[0057]
(2)serv接收到服务请求后，首先根据时间戳ts验证消息的有效性，然后通过hmac(
·
)验证消息的完整性，随后利用自己的私钥sk
serv
解密消息得到对称密钥key、用户的临时匿名和公钥并留存，选择随机数计算x
serv
＝αg，发送m1:(ts,e
key
(x
serr
,key
·
ap
serr
,hmac(
·
))。
[0058]
(3)用户接收到消息m1后，选择随机数计算x
user
＝βg，并根据公式(1)计算出y
user
，发送消息m2:(ts,e
key
(x
user
,key
·
ap'
user
,y
user
,hmac(
·
))给服务器。
[0059]yuser
＝e(β
·
key
·
ap'
serv
,pk
ta
)e(key
·
ap
user
,x
serv
)
ꢀꢀ
(1)
[0060]
(4)serv接收到m2，根据公式(2)计算y
serv
，并判断y
user
和y
serv
是否相等，若相等则，用户的身份是合法的。
[0061]yserv
＝e(β
·
key
·
ap'
user
,pk
ta
)e(key
·
ap
serv
,x
user
)
ꢀꢀ
(2)
[0062]
合法用户的匿名身份信息链上存储与管理
[0063]
当serv验证新用户身份是合法的时，服务器将该合法用户的临时假名和公
钥信息作为pseidchain的交易记录，并定期将多条交易记录打包生成区块，通过共识机制在联盟成员之间(不同服务器)完成区块的审计工作，并更新pseidchain。
[0064]
为了避免用户长期使用同一假名而受到猜测攻击，用户需要使用不同假名享受不同区域的avp服务，其步骤如下。
[0065]
(1)用户在本次服务结束之后，重新生成自己的临时私钥临时公钥以及临时匿名身份然后发送匿名信息更新请求
[0066]
(2)服务器接收到请求之后，根据原始公钥及假名信息，调用智能合约查询函数进行链上数据查找，然后调用更新函数用对原始信息进行更新。
[0067]
老用户avp服务请求：基于联盟链的跨域身份认证
[0068]
(1)老用户发送avp服务请求
[0069]
(2)serv接收req后，解密得到和调用智能合约的查询函数进行链上数据查询，以确定用户身份的合法性。若和存在，则用户身份合法，接收用户的avp服务请求，进行相关服务。否则，拒绝服务请求。
[0070]
在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0071]
尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。