基于区块链的多域无线Mesh网络跨域认证方法及系统.pdf

《基于区块链的多域无线Mesh网络跨域认证方法及系统.pdf》由会员分享，可在线阅读，更多相关《基于区块链的多域无线Mesh网络跨域认证方法及系统.pdf（12页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910685090.5 (22)申请日 2019.07.27 (71)申请人 中国人民解放军战略支援部队信息 工程大学 地址 450000 河南省郑州市高新区科学大 道62号 (72)发明人 李光松张彬广晖王永娟 魏福山王伟杨本朝石雅男 陈熹郑永辉 (74)专利代理机构 郑州大通专利商标代理有限 公司 41111 代理人 张立强 (51)Int.Cl. H04W 12/00(2009.01) H04W 12/04(2009.01) H04W 12/06(2009.01) H。

2、04L 29/08(2006.01) (54)发明名称 基于区块链的多域无线Mesh网络跨域认证 方法及系统 (57)摘要 本发明公开一种基于区块链的多域无线 Mesh网络跨域认证方法及系统， 首先明确基于以 太坊智能合约的公钥管理过程， 基于智能合约的 公钥管理具有方便可扩展性， 避免了对单个信任 中心的过度依赖， 具有防篡改， 去中心化的特点； 其次， 在基于智能合约的公钥管理的前提下， 阐 述具体的移动客户端跨域认证过程， 完成双向认 证、 会话密钥建立等跨域认证应达到的基本目 标。 本发明可快速进行跨域认证， 通信时延和计 算时延都较少， 认证效率高； 每次认证依赖于带 签名的随机数，。

3、 保证了通信的安全性； CA和多个 区域的网关均作为区块链中的记账节点， 消除了 对单个信任中心的依赖， 具有更好的健壮性、 容 错性。 权利要求书2页 说明书6页 附图3页 CN 110572819 A 2019.12.13 CN 110572819 A 1.一种基于区块链的多域无线Mesh网络跨域认证方法， 其特征在于， 包括： 步骤1： 移动客户端向漫游区域D2信号强的Mesh路由节点A发送请求消息D1,IDUser,N1, 1； 其中， D1为移动客户端原属区域， IDUser为移动客户端唯一标识， N1为挑战值， 1为移动客 户端私钥SkUser对IDUser和N1的签名； 步骤2：。

4、 Mesh路由节点A通过系统合约地址Addr_SYS得出IDUser对应的移动客户端公钥 PkUser， 用PkUser验证签名 1， 如果签名验证成功则A向移动客户端发送响应请求消息D2,IDA, N1,N2, 2， 若否拒绝切换认证； 其中， IDA为A唯一标识， N2为挑战值， 2为A的私钥SkA对D2、 IDA、 N1、 N2的签名； 步骤3： 移动客户端通过Addr_SYS得出IDA对应的A的公钥PkA， 用PkA验证签名 2， 如果签 名验证成功则计算移动客户端会话密钥sku， 移动客户端向A发送经过会话密钥sku加密后的 客户端验证确认消息密文； 步骤4： Mesh路由节点A计算。

5、对应会话密钥ska， 用ska解密所述消息密文确认验证成功。 2.根据权利要求1所述的基于区块链的多域无线Mesh网络跨域认证方法， 其特征在于， 所述挑战值为时间戳或随机数。 3.根据权利要求1所述的基于区块链的多域无线Mesh网络跨域认证方法， 其特征在于， 所述Mesh路由节点A通过系统合约地址Addr_SYS得出IDUser对应的移动客户端公钥PkUser包 括： Mesh路由节点A通过系统合约地址Addr_SYS在系统合约查找D1的管理合约地址， 然后通 过D1的管理合约地址在管理合约内查找IDUser对应的移动客户端公钥PkUser。 4.根据权利要求1所述的基于区块链的多域无线M。

6、esh网络跨域认证方法， 其特征在于， 所述移动客户端通过Addr_SYS得出IDA对应的A的公钥PkA包括： 移动客户端通过系统合约地址Addr_SYS在系统合约查找D2的管理合约地址， 然后通过 D2的管理合约地址在管理合约内查找IDA对应的A的公钥PkA。 5.根据权利要求1所述的基于区块链的多域无线Mesh网络跨域认证方法， 其特征在于， 在所述步骤1之前， 还包括： CA为无线Mesh网络中所有节点生成唯一标识ID； CA发布系统合约并返回系统合约地址 Addr_SYS； 所述节点包括各个区域网关、 Mesh路由节点及移动客户端； 各个区域网关选择编译及发布对应管理合约并返回对应管理。

7、合约地址； 基于系统合约及管理合约进行公钥管理。 6.根据权利要求5所述的基于区块链的多域无线Mesh网络跨域认证方法， 其特征在于， 所述基于系统合约及管理合约进行公钥管理包括： a.节点注册 节点接入区块链网络， 生成节点对应区块链账户地址、 公私钥对； 通过节点私钥计算节 点ID及节点公钥的签名； 将节点ID、 公钥及签名提交给网关； 网关验证提交的信息， 确定该 节点未注册后， 调用管理合约将节点对应区块链账户地址、 ID及公钥写入管理合约， 设定过 期时间， 并将节点加入的信息公告全网； b.公钥更新 各节点通过公钥计时器查看公钥是否即将过期， 若是， 则生成新的公私钥对， 调用管理。

8、 合约更新公钥， 并将过期时间更新； 其他节点通过调用管理合约实时查看任意节点是否过 权利要求书 1/2 页 2 CN 110572819 A 2 期； c.公钥撤销 节点通过流量检测确定周围节点是否存在可疑行为， 若存在则进行指控； 设定指控阈 值， 当节点的指控节点数量超过阈值时， 撤销该节点公钥。 7.基于权利要求1-6任一项所述方法的一种基于区块链的多域无线Mesh网络跨域认证 系统， 其特征在于， 包括： 移动客户端、 各个区域网关、 各个区域Mesh路由节点、 CA及智能合 约； 所述移动客户端、 各个区域网关、 各个区域Mesh路由节点及CA组成区块链， 各个区域网 关及CA为区。

9、块链中的记账节点， Mesh路由节点提供查询、 转发服务； 所述智能合约包括系统合约及管理合约； 所述系统合约由CA发布； 所述管理合约由各 个区域网关编译及发布； 所述移动客户端通过智能合约从一个区域的Mesh路由节点向另一个区域的Mesh路由 节点进行多域无线Mesh网络跨域认证。 权利要求书 2/2 页 3 CN 110572819 A 3 基于区块链的多域无线Mesh网络跨域认证方法及系统 技术领域 0001 本发明属于信息安全技术领域， 涉及一种多域无线Mesh网认证方法及系统， 尤其 涉及一种基于区块链的多域无线Mesh网络跨域认证方法及系统。 背景技术 0002 无线Mesh网络。

10、是异构无线网络的一种重要组网方式， 其最大的特点是采用多跳转 发为用户提供高带宽的接入服务。 无线Mesh使用多跳代替传统无线接入网络所采用的单跳 方式， 可以以较小的部署成本大大提高网络覆盖范围。 因此， 为了保证异构无线Mesh网络的 安全， 需要部署诸如安全认证、 访问控制等安全措施， 以应对窃听、 重放、 拒绝服务等攻击方 式。 多种无线接入技术并存是异构无线网络突出的特点， 跨域认证是其最重要的服务之一。 安全跨域认证使移动客户端享受网络服务不受家乡网络覆盖范围的限制成为可能。 移动终 端从家乡网络漫游到远程网络时， 仍然可以通过跨域认证协议完成认证过程， 保持与网络 的连接， 享用。

11、各种网络资源。 跨域认证过程会过滤掉不合法的用户， 拒绝其在远程网络的接 入， 防止访问网络资源。 同时， 允许合法用户接入网络以访问网络资源。 0003 传统的跨域认证技术采用基于身份的认证机制， 用户发生跨域认证时需要用户通 过家乡网络和目标网络可信中心交互完成， 无法实现本地化认证， 这些通信开销势必对整 体认证延迟带来巨大影响。 为了更好的满足漫游用户需求， 减少认证延迟， 需要研究如何实 现本地化双向认证。 另外传统方案网络基于中心服务器， 会有对中心的拒绝服务攻击， 单点 故障的风险。 0004 申请公布号为CN 101977380 A的发明专利申请公开了一种无线Mesh网络认证方。

12、 法， 需要5次握手实现跨域认证， 其中两次握手是与域管理的交互， 目的是让域管理为用户 生成域公私钥以便于域内接入点生成共享秘钥。 该方案在异构的不同参数的域之间实现跨 域认证， 但是方案需要可信第三方， 而且握手次数较多， 认证延迟大。 申请公布号为CN 108810895 A发明专利申请公开了一种身份认证协议， 在该协议中虽然使用了区块链技术， 但没有摆脱第三方可信中心生成证书， 认证需要对消息进行非对称加密， 这也大大提高了 认证时延。 发明内容 0005 本发明的目的在于提出一种基于区块链的多域无线Mesh网络跨域认证方法及系 统， 以解决现有无线Mesh网络认证存在的依赖中心、 安。

13、全通信以及时延问题。 0006 为了实现上述目的， 本发明采用以下技术方案： 0007 一种基于区块链的多域无线Mesh网络跨域认证方法， 包括： 0008 步骤1： 移动客户端向漫游区域D2信号强的Mesh路由节点A发送请求消息D1, IDUser,N1, 1； 其中， D1为移动客户端原属区域， IDUser为移动客户端唯一标识， N1为挑战值， 1为移动客户端私钥SkUser对IDUser和N1的签名； 0009 步骤2： Mesh路由节点A通过系统合约地址Addr_SYS得出IDUser对应的移动客户端 说明书 1/6 页 4 CN 110572819 A 4 公钥PkUser， 用P。

14、kUser验证签名 1， 如果签名验证成功则A向移动客户端发送响应请求消息 D2,IDA,N1,N2, 2， 若否拒绝切换认证； 其中， IDA为A唯一标识， N2为挑战值， 2为A的私钥SkA 对D2、 IDA、 N1、 N2的签名； 0010 步骤3： 移动客户端通过Addr_SYS得出IDA对应的A的公钥PkA， 用PkA验证签名 2， 如 果签名验证成功则计算移动客户端会话密钥sku， 移动客户端向A发送经过会话密钥sku加密 后的客户端验证确认消息密文； 0011 步骤4： Mesh路由节点A计算对应会话密钥ska， 用ska解密所述消息密文确认验证成 功。 0012 进一步地， 所。

15、述挑战值为时间戳或随机数。 0013 进一步地， 所述Mesh路由节点A通过系统合约地址Addr_SYS得出IDUser对应的移动 客户端公钥PkUser包括： 0014 Mesh路由节点A通过系统合约地址Addr_SYS在系统合约查找D1的管理合约地址， 然后通过D1的管理合约地址在管理合约内查找IDUser对应的移动客户端公钥PkUser。 0015 进一步地， 所述移动客户端通过Addr_SYS得出IDA对应的A的公钥PkA包括： 0016 移动客户端通过系统合约地址Addr_SYS在系统合约查找D2的管理合约地址， 然后 通过D2的管理合约地址在管理合约内查找IDA对应的A的公钥PkA。

16、。 0017 进一步地， 在所述步骤1之前， 还包括： 0018 CA为无线Mesh网络中所有节点生成唯一标识ID； CA发布系统合约并返回系统合约 地址Addr_SYS； 所述节点包括各个区域网关、 Mesh路由节点及移动客户端； 0019 各个区域网关选择编译及发布对应管理合约并返回对应管理合约地址； 0020 基于系统合约及管理合约进行公钥管理。 0021 进一步地， 所述基于系统合约及管理合约进行公钥管理包括： 0022 a.节点注册 0023 节点接入区块链网络， 生成节点对应区块链账户地址、 公私钥对； 通过节点私钥计 算节点ID及节点公钥的签名； 将节点ID、 公钥及签名提交给网。

17、关； 网关验证提交的信息， 确 定该节点未注册后， 调用管理合约将节点对应区块链账户地址、 ID及公钥写入管理合约， 设 定过期时间， 并将节点加入的信息公告全网； 0024 b.公钥更新 0025 各节点通过公钥计时器查看公钥是否即将过期， 若是， 则生成新的公私钥对， 调用 管理合约更新公钥， 并将过期时间更新； 其他节点通过调用管理合约实时查看任意节点是 否过期； 0026 c.公钥撤销 0027 节点通过流量检测确定周围节点是否存在可疑行为， 若存在则进行指控； 设定指 控阈值， 当节点的指控节点数量超过阈值时， 撤销该节点公钥。 0028 一种基于区块链的多域无线Mesh网络跨域认证。

18、系统， 包括： 移动客户端、 各个区域 网关、 各个区域Mesh路由节点、 CA及智能合约； 0029 所述移动客户端、 各个区域网关、 各个区域Mesh路由节点及CA组成区块链， 各个区 域网关及CA为区块链中的记账节点， Mesh路由节点提供查询、 转发服务； 0030 所述智能合约包括系统合约及管理合约； 所述系统合约由CA发布； 所述管理合约 说明书 2/6 页 5 CN 110572819 A 5 由各个区域网关编译及发布； 0031 所述移动客户端通过智能合约从一个区域的Mesh路由节点向另一个区域的Mesh 路由节点进行多域无线Mesh网络跨域认证。 0032 与现有技术相比， 。

19、本发明具有的有益效果： 0033 1、 快速跨域认证 0034 本发明认证过程不需要经过CA， 双方通过区块链直接认证， 而区块链副本储存在 本地， 认证中查阅智能合约是即时的。 方案只有三次握手， 双方仅作一次签名耗时操作， 没 有其他双线性运算的复杂耗时操作， 所以本发明的通信时延和计算时延都较少， 认证效率 高。 0035 2、 抗重放攻击和已知密钥安全 0036 每次认证依赖于带签名的随机数， 随机数的新鲜性使得重放消息很容易检测出 来， 随机数的独立性保证了即使过去的会话密钥泄露， 攻击者也无法获知当前会话密钥的 任何信息， 保证了通信的安全性。 0037 3、 分布式账本消除了对信。

20、任中心的依赖 0038 传统的跨域认证方案都需要信任中心， 各实体都无条件相信信任中心， 信任中心 作为系统的核心， 一旦私钥泄露、 被网络攻击等情况发生， 整个系统将处于极度危险之中。 本发明采用区块链的形式， CA和多个区域的网关均作为区块链中的记账节点， 消除了对单 个信任中心的依赖， 具有更好的健壮性、 容错性。 附图说明 0039 图1为本发明实施例1的一种基于区块链的多域无线Mesh网络跨域认证方法基本 流程图； 0040 图2为本发明实施例2的另一种基于区块链的多域无线Mesh网络跨域认证方法流 程示意图； 0041 图3为本发明实施例2的另一种基于区块链的多域无线Mesh网络跨。

21、域认证方法的 基于智能合约的证书发放过程示意图； 0042 图4为本发明实施例2的另一种基于区块链的多域无线Mesh网络跨域认证方法的 基于智能合约的移动用户异构无线网络切换认证过程示意图； 0043 图5为本发明实施例3的一种基于区块链的多域无线Mesh网络跨域认证系统的结 构示意图。 具体实施方式 0044 下面结合附图和具体的实施例对本发明做进一步的解释说明： 0045 如图1所示， 一种基于区块链的多域无线Mesh网络跨域认证方法， 包括： 0046 步骤S101： 移动客户端向漫游区域D2信号强的Mesh路由节点A发送请求消息D1, IDUser,N1, 1； 其中， D1为移动客户。

22、端原属区域， IDUser为移动客户端唯一标识， N1为挑战值， 1为移动客户端私钥SkUser对IDUser和N1的签名； 0047 步骤S102： Mesh路由节点A通过系统合约地址Addr_SYS得出IDUser对应的移动客户 端公钥PkUser， 用PkUser验证签名 1， 如果签名验证成功则A向移动客户端发送响应请求消息 说明书 3/6 页 6 CN 110572819 A 6 D2,IDA,N1,N2, 2， 若否拒绝切换认证； 其中， IDA为A唯一标识， N2为挑战值， 2为A的私钥SkA 对D2、 IDA、 N1、 N2的签名； 0048 步骤S103： 移动客户端通过Ad。

23、dr_SYS得出IDA对应的A的公钥PkA， 用PkA验证签名 2， 如果签名验证成功则计算移动客户端会话密钥sku， 移动客户端向A发送经过会话密钥 sku加密后的客户端验证确认消息密文； 0049 步骤S104： Mesh路由节点A计算对应会话密钥ska， 用ska解密所述消息密文确认验 证成功。 0050 通过上述方案， 本发明达到如下效果： 0051 1、 快速跨域认证 0052 本发明认证过程不需要经过CA， 双方通过区块链直接认证， 而区块链副本储存在 本地， 认证中查阅智能合约是即时的。 方案只有三次握手， 双方仅作一次签名耗时操作， 没 有其他双线性运算的复杂耗时操作， 所以本。

24、发明的通信时延和计算时延都较少， 认证效率 高。 0053 2、 抗重放攻击和已知密钥安全 0054 每次认证依赖于带签名的随机数， 随机数的新鲜性使得重放消息很容易检测出 来， 随机数的独立性保证了即使过去的会话密钥泄露， 攻击者也无法获知当前会话密钥的 任何信息。 0055 3、 分布式账本消除了对信任中心的依赖 0056 传统的跨域认证方案都需要信任中心， 各实体都无条件相信信任中心， 信任中心 作为系统的核心， 一旦私钥泄露、 被网络攻击等情况发生， 整个系统将处于极度危险之中。 本发明采用区块链的形式， CA和多个区域的网关均作为区块链中的记账节点， 消除了对单 个信任中心的依赖， 。

25、具有更好的健壮性、 容错性。 0057 实施例2 0058 如图2所示， 一种基于区块链的多域无线Mesh网络跨域认证方法， 包括： 0059 步骤S201： 基于智能合约的公钥管理； 0060 由于区块链的中心化程度的不同， 区块链分为公有链、 私有链和联盟链。 基于区块 链的无线Mesh网络公钥管理适用于联盟链， 这符合多域环境下的漫游认证需要， 也具有效 率高、 可扩展的优点。 0061 参照附图3， 本发明的基于智能合约的公钥管理主要涉及普通节点(移动客户端和 Mesh路由节点)、 CA、 网关和智能合约。 其中智能合约是存储于区块链的公共账本中， 分为系 统合约和管理合约(内容包含普。

26、通节点公钥信息)。 每个合约都是通过合约地址被实体查 询、 访问、 修改等。 所有节点的公钥首次注册由区域网关验证， 公钥注册， 更新以及查询、 撤 销等操作都是通过智能合约来实现。 CA作为系统全节点可信的根节点， 发布系统合约， 系统 合约地址在其他节点注册ID时发布。 各区域网关部署对应管理合约并将管理合约地址写入 系统合约。 具体描述如下： 0062 选择椭圆曲线加法循环群G， 其阶为素数q， 生成元为P， CA为所有节点生成唯一标 识ID， 未来新加入用户也需向CA注册获取ID。 之后CA发布系统合约返回系统合约地址Addr_ SYS， Addr_SYS随节点标识ID一同发给相应节点。

27、。 联盟链中的各个网关选择自己的公私钥 Pk_GW， Sk_GW以及区块链账户地址Addr_GW， 编译及发布管理合约， 并且将自己的ID和公钥 说明书 4/6 页 7 CN 110572819 A 7 写入合约中， 返回管理合约地址Addr_MGR， 各个网关将自己的ID、 Addr_MGR发送给CA， CA验 证后将ID、 Addr_MGR写入系统合约。 0063 步骤S2011： 节点注册； 0064 节点接入区块链网络， 生成账户地址Addr_Node以及公私钥对Pk、 Sk。 用私钥Sk计 算对节点ID和Pk的签名Sig。 将ID、 公钥Pk、 Sig及身份证明信息提交给网关， 网关。

28、首先审查 提交的信息， 确定该节点未注册过， 然后调用管理合约将Addr_Node、 ID和Pk写入合约， 设定 过期时间， 并将节点加入的信息公告全网。 0065 步骤S2012： 公钥更新； 0066 每个节点都有一个公钥计时器， 当自己的公钥快过期时， 在节点空闲时生成新的 公私钥Pk_new、 Sk_new， 计算签名， 调用管理合约更新公钥， 并将过期时间更新。 其他节点可 以通过调用合约实时查看任意节点是否过期。 0067 步骤S2013： 公钥撤销； 0068 每个路由节点都有检测机制， 可以通过流量检测等手段检测周围节点是否存在可 疑行为。 如果路由节点A检测到一个相邻路由节点。

29、B的可疑行为通过管理合约对B节点 “指 控” 。 当一个节点B被网关指控时， 节点公钥被撤销(网络中其他节点不能查到该节点公钥， 该节点就被孤立， 相当于节点从网络中删除)； 而被A指控时， B被加入可疑节点列表， 在B的 指控节点列表中增加A的地址。 当B受到路由节点 “指控” 数增多， 指控节点数目超过该区域 路由节点总数的1/3时， 就认为该节点 “确实” 可疑， 节点属性被标记为可疑， 其他与之通信 的节点查看其公钥时就会注意到节点可疑情况； 当一个节点的指控节点数量超过节点总数 的2/3时， 即确认该节点不可信， 撤销其公钥。 0069 步骤S2014： 用户使用公钥管理合约； 00。

30、70 用户想要查找系统内其他节点公钥， 首先确认该节点所在的域， 通过Addr_SYS在 系统合约查找系统内此域的管理合约地址， 再通过管理合约地址在管理合约内直接根据ID 查找节点公钥。 0071 步骤S202： 多域无线Mesh网络跨域认证； 0072 参照附图4， 本发明的移动客户端跨域认证过程主要涉及移动客户端、 漫游区域 Mesh路由节点。 具体描述如下： 0073 步骤S2021： 当属于域D1的移动客户端处在无线信号重叠位置时， 选择一个挑战值 N1， 计算移动客户端私钥SkUser对移动客户端唯一标识IDUser和N1的签名 1sig(SkUser, IDUser|N1)， 向。

31、漫游区域D2信号强的Mesh路由节点A发送请求消息D1,IDUser,N1, 1； 0074具体地移动客户端在椭圆曲线加法循环群G中选取挑战值表示1至q-1 的整数； 所述挑战值为时间戳或随机数。 0075 步骤S2022： Mesh路由节点A收到请求消息后， 通过Addr_SYS在系统合约查找D1的 管理合约地址， 再通过D1的管理合约地址在D1的管理合约内查找IDUser对应的A的公钥 PkUser， 用PkUser验证签名 1， 如果签名验证成功则A选择另一个挑战值N2， 计算A的私钥SkA对 D2,IDA,N1,N2的签名 2sig(SkA,D2|IDA|N1|N2)， 随后向客户端发。

32、送响应请求消息D2, IDA,N1,N2, 2， 若否拒绝切换认证； 具体地， 漫游区域Mesh路由节点在椭圆曲线加法循环群 G中选取挑战值 说明书 5/6 页 8 CN 110572819 A 8 0076 步骤S2023： 移动客户端收到响应消息后， 首先通过Addr_SYS在系统合约查找D2的 管理合约地址， 再通过D2的管理合约地址在D2的管理合约内查找A唯一标识IDA对应的客户 端公钥PkA， 用PkA验证签名 2， 如果签名验证成功， 则通过哈希算法计算会话密钥skuH (SkUserPkA,D1,IDUser,D2,IDA,N1,N2)， 随后向客户端发送通过sku加密后的客户端。

33、验证确认 消息密文E(sku,D1|IDUser|D2|IDA|N1|N2)， 若否终止切换认证。 0077 步骤S2024： 路由节点A收到客户端验证确认消息密文后， 通过哈希算法计算A的会 话密钥skaH(SkAPkUser,D1,IDUser,D2,IDA,N1,N2)， 用ska解密消息确认认证成功。 0078 值得说明的是， H(.)表示计算消息的哈希值。 0079 具体地， 方案涉及的签名方法为椭圆曲线数字签名算法ECDSA， 对称加密算法为高 级加密标准AES， 哈希算法为SHA-256。 本发明并不限制算法， 也可以采用国密SM2签名算法， SM4对称加密算法和哈希算法SM3。。

34、 0080 通过上述方案， 本发明带来如下效果： 0081 1、 快速跨域认证 0082 本发明认证过程不需要经过CA， 双方通过区块链直接认证， 而区块链副本储存在 本地， 认证中查阅智能合约是即时的。 方案只有三次握手， 双方仅作一次签名耗时操作， 没 有其他双线性运算的复杂耗时操作， 所以本发明的通信时延和计算时延都较少， 认证效率 高。 0083 2、 抗重放攻击和已知密钥安全 0084 每次认证依赖于带签名的随机数， 随机数的新鲜性使得重放消息很容易检测出 来， 随机数的独立性保证了即使过去的会话密钥泄露， 攻击者也无法获知当前会话密钥的 任何信息。 0085 3、 分布式账本消除了。

35、对信任中心的依赖 0086 传统的跨域认证方案都需要信任中心， 各实体都无条件相信信任中心， 信任中心 作为系统的核心， 一旦私钥泄露、 被网络攻击等情况发生， 整个系统将处于极度危险之中。 本发明采用联盟链的形式， CA和多个区域的网关均作为联盟链中的记账节点， 消除了对单 个信任中心的依赖， 具有更好的健壮性、 容错性。 0087 实施例3 0088 如图5， 一种基于区块链的多域无线Mesh网络跨域认证系统， 包括： 移动客户端、 CA、 各个区域网关、 各个区域Mesh路由节点及智能合约。 其中移动客户端、 各个区域网关、 各 个区域Mesh路由节点及CA共同构成区块链， 各个区域网关。

36、及CA为区块链中的记账节点； 每 个区域除了CA还有各自的Mesh路由节点， Mesh路由节点为非记账节点， 主要负责向区块链 进行查询， 提交交易， 为系统中的实体提供查询服务， 这样有利于释放各个网关的处理能 力， 使其专注于区块链中关键的记账权。 智能合约包括系统合约及管理合约； 所述系统合约 由CA发布； 所述管理合约由各个区域网关编译及发布。 当移动客户端漫游到另一个区域时， 通过智能合约从一个区域的Mesh路由节点向另一个区域的Mesh路由节点进行多域无线 Mesh网络跨域认证。 0089 以上所示仅是本发明的优选实施方式， 应当指出， 对于本技术领域的普通技术人 员来说， 在不脱离本发明原理的前提下， 还可以做出若干改进和润饰， 这些改进和润饰也应 视为本发明的保护范围。 说明书 6/6 页 9 CN 110572819 A 9 图1 说明书附图 1/3 页 10 CN 110572819 A 10 图2 图3 说明书附图 2/3 页 11 CN 110572819 A 11 图4 图5 说明书附图 3/3 页 12 CN 110572819 A 12 。