CN110008720A

CN110008720A - 基于联盟链的物联网动态数据溯源方法及装置

Info

Publication number: CN110008720A
Application number: CN201910208688.5A
Authority: CN
Inventors: 乔蕊; 秦杰; 王宁; 于来行; 谭永杰
Original assignee: Zhoukou Normal University
Current assignee: Zhoukou Normal University
Priority date: 2019-03-19
Filing date: 2019-03-19
Publication date: 2019-07-12
Anticipated expiration: 2039-03-19
Also published as: CN110008720B

Abstract

本发明属于计算机应用技术领域，特别涉及一种基于联盟链的物联网动态数据溯源方法及装置，该方法包含：构建多维DAG图并建立动态数据安全问题模型；通过分析群体博弈过程中单个结点进行决策诚实行为动机，获取各结点达成共识边界条件；根据边界条件，授权部分信任结点组成验证结点列表，并基于信誉共识激励维护该验证结点列表；依据动态数据、实体间授权关系及用于实体对动态数据授权验证的密钥对，生成实体授权关系，创建实体间多维授权链，作为交易发布到授权关系联盟链网络。本发明实现对物联网动态数据操作过程留痕和追踪溯源，具有较强抵抗双重输出攻击、重放攻击及隐藏攻击能力，有效杜绝攻击者对物联网动态数据篡改、伪造等非授权访问操作。

Description

基于联盟链的物联网动态数据溯源方法及装置

技术领域

本发明属于计算机应用技术领域，特别涉及一种基于联盟链的物联网动态数据溯源方法及装置。

背景技术

动态数据的可追溯性包括动态数据本身及对动态数据的历史操作的可追溯，其目的是确保动态数据的完整性和可靠性，即保证在存储及转移的过程中未发生篡改或伪造。近年来，网络犯罪已经从个人行为转变为有组织的行为，攻击在数据篡改、伪造等方面越来越专业。而现有的数据基础设施最初设计为应用于合法的数据存储场景，通常采用中心数据库与访问控制、接入认证、信息加密、数字水印等传统密码学方法结合的安全手段，将动态数据集中存储和处理，或采用以云计算为基础的数据存储，将各种数据资源抽象成资源池，供用户使用。现有设计方案存在安全隐患，例如，高价值数据集中存储极易被攻击、算法复杂度高等。因此，防止动态数据被篡改和被伪造成为具有挑战性的任务。

围绕对中心数据库和云存储服务安全性及溯源手段进行了大量研究。例如，基于USB对数据库的攻击，提出了一种方法来识别每个攻击的相关和脆弱的USB外围设备和硬件，但这意味着该方法允许攻击发生，存在数据库被破坏的可能性；通过在网站上使用SQL注入，记录入侵者的所有活动来增强数据库的安全性，管理员可以查看详细信息，阻止攻击者向数据库注入恶意代码，窃取、销毁或修改数据库。但单方信任机制无法控制拥有高级访问权限的工作人员对动态数据进行恶意篡改或伪造。由于云端数据允许多授权用户访问，无法对数据信息的去向和各级主体的操作历史提供充分的证据，因此无法满足某些特殊领域(如工业控制系统、溯源系统等)对系统动态数据的整个访问过程进行审计的需求，一旦出现问题难以定责。为解决云平台下不受控制的恶意修改可能破坏共享数据的可用性问题，提出了一种公共审计解决方案，可以同时保护群体成员的身份隐私和身份可追溯性。但在云平台下，用户无法与云服务提供商建立信任，并确保服务协议仅使用web前端接口，为了避免敏感信息被窃取、篡改和伪造，系统需要一个可靠的云平台服务提供商。此外，动态数据多由智能处理终端或现场采样设备采集、编码和存储，这些设备的处理和存储性能有限，加之动态数据的持续性特征导致其随时间增长的数据量较大，因此，复杂度较高的安全算法不适用解决动态数据的防篡改、防伪造问题。目前溯源手段主要基于射频识别(RadioFrequency Identification Devices,RFID)技术，利用基于电子谱系的射频识别技术跟踪、定位物品在被无线传感器网络收集储存和运输过程中的各项指标。基于公钥加密技术的高级数据保护方案能够实现RFID数据的可追溯性和链性活动，与传统的RFID安全方案相比，该方案适用于没有任何加密功能的标准RFID标签，并且不需要中心数据库，但操作的复杂度较高，对标签性能要求较高；能够执行加密操作的RFID标签体系结构增加了标签的成本，并且涉及昂贵的身份验证计算。

传统溯源手段仅适用于对有形资产的追溯，不适用于对物联网动态数据的追溯。而云计算等中心化数据库仅仅实现了动态数据的存储，在抵抗恶意用户(包括具有高级权限的内部人员)篡改、伪造动态数据方面具有固有缺陷。区块链在不引入第三方中介机构的前提下，可以提供去中心化、不可篡改、安全可靠等特性保证。目前，已有研究来创建更具可扩展性的区块链，拜占庭容错Bitcoin-NG区块链协议，共享相同的信任模型，具有较强的鲁棒性；GHOST规则解决了提高块创建速度的问题，这是对比特币结点构建和重新组织区块链的一种改进；通过重组链构建区块的有向非循环图，降低允许交易的授权规则。虽然现有区块链模型显著提高了运算速度，但它们可扩展性较差，并且需要复杂的数据结构或共识机制。根据物联网系统的应用特点和要求，需要采取轻量级安全措施对系统产生的动态数据进行存储和共享，实现动态数据的可追溯。如何分析动态数据面向多机构的区块链应用场景，解决动态数据安全存储及溯源问题，是当前需要研究的重要内容。

发明内容

为此，本发明提供一种基于联盟链的物联网动态数据溯源方法及装置，解决大量物联网设备产生的动态数据安全存储与共享问题，实现对物联网动态数据操作的过程留痕和追踪溯源，具有较强的抵抗双重输出攻击、重放攻击及隐藏攻击的能力，能够有效杜绝攻击者对物联网动态数据的篡改、伪造等非授权访问操作。

按照本发明所提供的设计方案，一种基于联盟链的物联网动态数据溯源方法，包含如下内容：

A)构建用于表示动态数据操作轨迹的动态数据操作授权多维DAG图，并建立演化动态数据及实体间授权关系的动态数据安全问题模型，其中，多维DAG图中依据结点入度和出度确定父结点与子结点多维授权情况，有向边表示动态数据执行操作下的演进轨迹；

B)依据动态数据安全问题模型的群体博弈过程，分析结点诚实行为动机并获取各结点达成共识的边界条件；

C)授权部分信任结点组成验证结点列表，基于信誉共识激励维护该验证结点列表；

D)依据动态数据及实体间授权关系，及用于实体对动态数据授权验证的密钥对，并根据各结点达成共识的边界条件，生成实体授权关系，创建实体间多维授权链，并作为交易发布到授权关系联盟链网络上以区块链形式进行存储，以实现物联网动态数据操作的过程留痕和追踪溯源。

上述的，A)中构建DAG图包含如下内容：

A1)为物联网各子系统生成实体授权关系；

A2)利用动态数据生命周期数据流动过程中所有参与实体及参与实体的授权属性特征创建实体间的多维授权链，获取动态数据操作授权多维DAG图；

A3)依据操作实体失效覆盖范围，对动态数据存储面临的安全威胁问题进行建模，获取动态数据安全问题模型。

上述的，B)中获取各结点达成共识的边界条件，包含如下内容：

B1)提取DAG图中每个参与区块信息验证的结点的策略空间、收益函数，及每个参与结点在策略空间下的冯诺依曼摩根斯坦效用，得到评价结点动作的价值函数；

B2)依据价值函数，分析相邻结点相互作用并达成具有约束力协议的共识过程，得到结点的收益矩阵；

B3)依据收益矩阵分析群体博弈过程中单个节点进行决策的诚实行为动机，使各结点在与环境交互和分布式计算过程中获取最大累积效用，获取动态数据可追溯系统中各结点达成共识的边界条件。

上述的，根据物联网系统规模及吞吐率要求，设定共识过程等待时间间隔，将该等待时间间隔作为每轮共识间隔时间。

上述的，C)中验证结点列表获取及维护过程，包含如下内容：

C1)根据边界条件，估计结点背叛概率，并依据结点背叛概率大小选取部分结点作为验证结点列表；

C2)验证结点列表中每个结点通过为其他结点服务保持信誉，依据每轮共识选取最佳区块打包验证结点，并以设定系数参数降低最坏区块打包验证结点的信誉，当验证结点列表中结点信誉低于设定阈值时，将结点移出验证结点列表，若超过设定比例的结点被移出，则返回并重新授权组建新的验证结点列表。

上述的，D)实体间多维授权链以区块链形式进行存储过程中，授权结点申请发布新的动态数据或对某个动态数据进行操作时，经过验证并获得共识的动态数据及相关信息形成发布摘要信息，存储到动态数据联盟链网络上；每轮共识结束后，验证结点将满足条件的所有交易进行分组哈希运算，将哈希值存储于Merkle树状数据结构中，再利用区块链中的区块生成机制生成数据区块；区块之间利用区块头的哈希指针连接形成链状数据结构；接收方收到动态数据后，在本地计算其哈希值并采用Merkle树支持的简化支付验证协议与区块链上的对应数据进行比较，如果不一致，则判定动态数据文件遭到篡改并向监控中心报警。

优选的，D)中物联网各实例系统中相邻层次实体间通信时，采用二次散列迭代方式，将发送方公钥及消息同时作为哈希函数输入，得到作为特征值的哈希运算消息认证码；用发送方的私钥对消息认证码进行签名。

更进一步，D)新交易通过P2P网络进行广播，区块链中各结点监听网络并收集尚未进入块链的交易列表，生成待验证区块；各结点对接收到的区块进行验证，判断区块中是否存在无效交易，并将验证结果再次通过P2P网络进行广播，按照共识激励机制选出当前共识轮中获得共识的区块。作为新生区块，通过与前一区块头部链接写入账本，新账本为系统中最长区块链，获得记账权的结点将新创建的区块链向全网广播，其他结点收到后，将其与本地区块链进行比较，若长度大于本地区块链则将本地区块链更新，完成操作实体对动态数据的处理过程。

一种基于联盟链的物联网动态数据溯源装置，包含：模型构建模块、条件获取模块、结点维护模块和交易处理模块，其中，

模型构建模块，用于构建用于表示动态数据操作轨迹的动态数据操作授权多维DAG图，并建立演化动态数据及实体间授权关系的动态数据安全问题模型，其中，多维DAG图中依据结点入度和出度确定父结点与子结点多维授权情况，有向边表示动态数据执行操作下的演进轨迹；

条件获取模块，用于依据动态数据安全问题模型的群体博弈过程，分析结点诚实行为动机并获取各结点达成共识的边界条件；

结点维护模块，用于授权部分信任结点组成验证结点列表，基于信誉共识激励机制维护该验证结点列表；

交易处理模块，用于依据动态数据及实体间授权关系，及用于实体对动态数据授权验证的密钥对，并根据各结点达成共识的边界条件，生成实体授权关系，创建实体间多维授权链，并作为交易发布到授权关系联盟链网络上以区块链形式进行存储，以实现物联网动态数据操作的过程留痕和追踪溯源。

上述的装置中，结点维护模块包含：结点列表获取子模块和结点列表更新子模块，其中，结点列表获取子模块，用于根据边界条件，估计结点背叛概率，并依据结点背叛概率大小选取部分结点作为验证结点列表；

结点列表更新子模块，用于依据验证结点列表中每个结点为其他结点服务的信誉，选取每轮共识中最佳区块打包验证结点，并以设定系数参数降低最坏区块打包验证结点的信誉，当验证结点列表中结点信誉低于设定阈值时，将结点移出验证结点列表，若超过设定比例的结点被移出，则返回并重新授权组建新的验证结点列表。

本发明的有益效果：

本发明能够在保证提升物联网点对点价值转递、分布式数据共享、自主设备协调等功能性需求的基础上，确保数据安全、边缘设备认证与授权、自动防御等安全性需求；解决现有技术中不能有效应对非授权用户的篡改实现对物联网动态数据操作的过程留痕和追踪溯源及传统技术采用单方信任机制进行数据存储和处理无法控制拥有高级访问权限的工作人员对动态数据进行恶意篡改或伪造等问题。本发明中动态数据多维操作授权机制和动态验证结点列表生成管理机制，能够在实现动态数据安全和访问控制的基础上兼顾操作审计需求，利用轻量级授权与验证机制提高运行效率和系统达成共识的速度，能够有效杜绝攻击者对物联网动态数据的篡改、伪造等非授权访问操作，具有较好的应用价值。

附图说明：

图1为实施例中动态数据溯源方法流程图；

图2为实施例中DAG图构建流程图；

图3为实施例中边界条件获取流程图；

图4为实施例中验证结点维护流程图；

图5为实施例中动态数据溯源装置示意图；

图6为实施例中结点维护模块示意图；

图7为实施例中动态数据溯源具体实现过程示意图；

图8为实施例中动态数据操作授权示意图；

图9为实施例中动态数据操作授权多维DAG图；

图10为实施例中操作实体间数据交付过程示意图；

图11为实施例中系统可靠性分析示意图；

图12为实施例中双重输出攻击示意图；

图13为实施例中重放攻击示意图；

图14为实施例中ChainSQL平台溯源数据增长对比；

图15为实施例中不同移动终端交易吞吐量对比。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

现有动态数据追溯技术中，不能有效应对非授权用户的篡改，实现对物联网动态数据操作的过程留痕和追踪溯源；传统技术采用单方信任机制进行数据存储和处理，无法控制拥有高级访问权限的工作人员对动态数据进行恶意篡改或伪造；使得动态数据安全存储及溯源应用受限。为此，本发明实施例中，参见图1所示，提供一种基于联盟链的物联网动态数据溯源方法，包含如下内容：

S101)构建用于表示动态数据操作轨迹的动态数据操作授权多维DAG图，并建立演化动态数据及实体间授权关系的动态数据安全问题模型，其中，多维DAG图中依据结点入度和出度确定父结点与子结点多维授权情况，有向边表示动态数据执行操作下的演进轨迹；

S102)依据动态数据安全问题模型的群体博弈过程，分析结点诚实行为动机并获取各结点达成共识的边界条件；

S103)授权部分信任结点组成验证结点列表，基于信誉共识激励维护该验证结点列表；

S104)依据动态数据及实体间授权关系，及用于实体对动态数据授权验证的密钥对，并根据各结点达成共识的边界条件，生成实体授权关系，创建实体间多维授权链，并作为交易发布到授权关系联盟链网络上以区块链形式进行存储，以实现物联网动态数据操作的过程留痕和追踪溯源。

提出动态数据操作授权多维DAG图，对动态数据及实体间授权关系进行形式化描述，建立动态数据安全问题模型；分析群体博弈过程中单个结点进行决策的诚实行为动机，提出特定行业背景下分布式结点合作的本质，进一步分析动态数据可追溯系统中各结点达成共识的边界条件。通过操作实体多维授权与动态数据存储的联盟链结构，并基于验证结点列表的共识，实现基于联盟链的动态数据溯源机制，解决大量物联网设备产生的动态数据安全存储与共享问题，实现对物联网动态数据操作的过程留痕和追踪溯源，确保动态数据的完整性和可靠性。

DAG图是有向无环图，任意一条边有方向，且不存在环路的图。本发明另一个实施例中，参见图2所示，构建DAG图包含如下内容：

a101)为物联网各子系统生成实体授权关系；

a102)利用动态数据生命周期数据流动过程中所有参与实体及参与实体的授权属性特征创建实体间的多维授权链，获取动态数据操作授权多维DAG图；

a103)依据操作实体失效覆盖范围，对动态数据存储面临的安全威胁问题进行建模，获取动态数据安全问题模型。

设动态数据可追溯系统中参与区块信息验证的结点集合为有限集，每个参与区块信息验证结点有策略空间及收益函数，获取每个参与结点在策略空间的冯·诺依曼-摩根斯坦效用，本发明将策略空间下结点预期效用作为评价各动作的价值函数，具体的，本发明另一个实施例，参见图3所示，获取各结点达成共识的边界条件，包含如下内容：

b101)提取DAG图中每个参与区块信息验证的结点的策略空间、收益函数，及每个参与结点在策略空间下的冯诺依曼摩根斯坦效用，得到评价结点动作的价值函数；

b102)依据价值函数，分析相邻结点相互作用并达成具有约束力协议的共识过程，得到结点的收益矩阵；

b103)依据收益矩阵分析群体博弈过程中单个节点进行决策的诚实行为动机，使各结点在与环境交互和分布式计算过程中获取最大累积效用，获取动态数据可追溯系统中各结点达成共识的边界条件。

本发明实施例中，根据物联网系统规模及吞吐率要求，设定共识过程等待时间间隔，将该等待时间间隔作为每轮共识间隔时间。

通过研究使得共识终端最大化自身收益的局部行为与保障动态数据存储安全性和有效性整体目标的关系得出，当所有终端都持有待提交验证的区块，为了让自己的收益最大，任何一方都不会(或者无法)改变自己对其它区块的验证结果。根据本发明实施例中达成共识的边界条件，通过提出基于信誉的共识激励机制来获取及维护验证结点列表，具体地，参见图4所示，包含如下内容：

c101)根据边界条件，估计结点背叛概率，并依据结点背叛概率大小选取部分结点作为验证结点列表；

c102)验证结点列表中每个结点通过为其他结点服务保持信誉，依据每轮共识选取最佳区块打包验证结点，并以设定系数参数降低最坏区块打包验证结点的信誉，当验证结点列表中结点信誉低于设定阈值时，将结点移出验证结点列表，若超过设定比例的结点被移出，则返回并重新授权组建新的验证结点列表。

实体间多维授权链以区块链形式进行存储过程中，本发明实施例汇总，授权结点申请发布新的动态数据或对某个动态数据进行操作时，经过验证并获得共识的动态数据及相关信息形成发布摘要信息，存储到动态数据联盟链网络上；每轮共识结束后，验证结点将满足条件的所有交易进行分组哈希运算，将哈希值存储于Merkle树状数据结构中，再利用区块链中的区块生成机制生成数据区块；区块之间利用区块头的哈希指针连接形成链状数据结构；接收方收到动态数据后，在本地计算其哈希值并采用Merkle树支持的简化支付验证协议与区块链上的对应数据进行比较，如果不一致，则判定动态数据文件遭到篡改并向监控中心报警。物联网各实例系统中相邻层次实体间通信时，采用二次散列迭代方式，将发送方公钥及消息同时作为哈希函数输入，得到作为特征值的哈希运算消息认证码；用发送方的私钥对消息认证码进行签名。新交易通过P2P网络进行广播，区块链中各结点监听网络并收集尚未进入块链的交易列表，生成待验证区块；各结点对接收到的区块进行验证，判断区块中是否存在无效交易，并将验证结果再次通过P2P网络进行广播，按照共识激励机制选出当前共识轮中获得共识的区块。作为新生区块，通过与前一区块头部链接写入账本，新账本为系统中最长区块链，获得记账权的结点将新创建的区块链向全网广播，其他结点收到后，将其与本地区块链进行比较，若长度大于本地区块链则将本地区块链更新，完成操作实体对动态数据的处理过程。

基于上述的方法，本发明实施例还提供一种基于联盟链的物联网动态数据溯源装置，参见图5所示，包含：模型构建模块101、条件获取模块102、结点维护模块103和交易处理模块104，其中，

模型构建模块101，用于构建用于表示动态数据操作轨迹的动态数据操作授权多维DAG图，并建立演化动态数据及实体间授权关系的动态数据安全问题模型，其中，多维DAG图中依据结点入度和出度确定父结点与子结点多维授权情况，有向边表示动态数据执行操作下的演进轨迹；

条件获取模块102，用于依据动态数据安全问题模型的群体博弈过程，分析结点诚实行为动机并获取各结点达成共识的边界条件；

结点维护模块103，用于授权部分信任结点组成验证结点列表，基于信誉共识激励机制维护该验证结点列表；

交易处理模块104，用于依据动态数据及实体间授权关系，及用于实体对动态数据授权验证的密钥对，并根据各结点达成共识的边界条件，生成实体授权关系，创建实体间多维授权链，并作为交易发布到授权关系联盟链网络上以区块链形式进行存储，以实现物联网动态数据操作的过程留痕和追踪溯源。

上述的装置中，参见图6所示，结点维护模块103包含：结点列表获取子模块301和结点列表更新子模块302，其中，

结点列表获取子模块301，用于根据边界条件，估计结点背叛概率，并依据结点背叛概率大小选取部分结点作为验证结点列表；

结点列表更新子模块302，用于依据验证结点列表中每个结点为其他结点服务的信誉，选取每轮共识中最佳区块打包验证结点，并以设定系数参数降低最坏区块打包验证结点的信誉，当验证结点列表中结点信誉低于设定阈值时，将结点移出验证结点列表，若超过设定比例的结点被移出，则返回并重新授权组建新的验证结点列表。

基于上述的方法和装置，可设计如下内容来进一步说明实现本发明实施例技术方案的详细过程，参见图7所示，其中，操作实体(Operation Entity,OE)是指动态数据D生命周期数据流动过程中的所有参与实体，用四元组<ID,FOE,ROE,D>表示，ID是操作实体的标识符，用以对操作实体进行唯一标识，表示对操作实体OE_j授权的操作实体标识ID_i及授权类型X_t的集合，表示操作实体OE_j授权的操作实体标识ID_i及授权类型X_t的集合，表示操作实体OE_j的授权操作执行后得到的动态数据集合。实体OE_i的授权属性特征值用集合l_i表示，H:{0,1}^*→{0,1}^ω，l_ij∈{0,1}^ω，H是理想化的哈希函数，ω为哈希后得到的特征值长度，δ是授权操作DAG图中结点最大入度。

参见图8所示，(a)表示操作授权，(b)表示授权追溯。若操作实体的授权属性集合l_i中存在多个元素，表示存在多个父节点对其授权，为实体OE_i父节点的私钥，从集合l_i中删除某个元素表示某个父节点取消授权，反之亦成立。l_i＝ε表示其拥有根权限，l_i＝φ表示该实体授权为空。

对于DAG图中结点i，入度为δ_i，若δ_i≤1，保持结点不变化；δ_i＞1，结点为每个入度授权的集合，其元素个数|l_i|＝δ_i，这样得到的图称为多维DAG图。δ_i＞1时存在多个父结点对结点i的授权，称为父节点对结点i的多维授权。与图8对应的动态数据操作轨迹用多维DAG图表示，如图9，结点表示动态数据文件授权，其中圆形结点表示对应操作实体仅持有一项操作授权，将产生一份动态数据文件；柱状结点表示对应操作实体持有多项操作授权即多维授权，将产生多份动态数据文件，有向边表示动态数据文件在新操作下的演进轨迹。

原子操作(Atomic Operation,AO)是指操作实体拥有的某项授权操作对动态数据文件的一次实施过程，AO_i∩AO_j＝φ，i≠j。操作实体及其后继结点执行原子操作产生的动态数据文件的集合称为该操作实体的域(Domain)，域中的动态数据文件称为该域的对象(Object)；操作实体的操作授权范围覆盖自身的域；操作实体的域可以包含其后继操作实体的域，被包含的域称为子域(Sub Domain,SD)；域所包含的子域和对象，统称为该域的成员(Member)，子域所包含的成员，称为间接成员。

操作实体受到攻击导致其授权操作的动态数据均不可靠，则该操作实体的域中的对象均不可靠，称为该操作实体的失效覆盖集(Failure Coverage Set,FCS)。除创始结点外的各结点均处于操作实体的多重失效覆盖集。实际工况下，操作实体均存在由恶意攻击导致的数据篡改或伪造的可能性，本发明对动态数据存储面临的安全威胁问题进行如下假设：

每个攻击者单独到来，相互独立；

在时间[0,t]内，系统受到的攻击数量{N(t),t≥0}满足参数为λ的泊松分布；

操作实体第i次受到攻击的损失为L_i，且损失随时间按负指数衰减，损失可累加；

每次攻击到达的时间间隔和造成的破坏相互独立。

t＝0时损失为L，t＝t_i(t_i＞0)时损失为设{L_i,i≥1}独立同分布，且与{N(t),t≥0}独立，那么时间[0,t]内不考虑失效覆盖的损失表示为：

条件期望为：

记Y₁,...,Y_n为[0,t]上独立同均匀分布的随机变量，有：

所以，E{ξ(t)N(t)＝n}＝(n/αt)·(1-e^-αt)EL

即，E{ξ(t)N(t)}＝〔N(t)/αt〕·(1-e^-αt)EL

因此，E{ξ(t)}＝E{E(ξ(t)N(t))}＝(λEL/α)·(1-e^-αt) (3)

考虑失效覆盖的情况，用FCS(i)表示结点i的失效覆盖范围，本发明实施例中动态数据安全问题的优化目标表示为：

设动态数据可追溯系统中参与区块信息验证的结点集合为有限集，对每个参与区块信息验证的结点i有策略空间及收益函数U_i，即每个参与结点i在策略空间S_i＝(s₁,s₂,…,s_n)下的冯·诺依曼-摩根斯坦效用为U(S_i)，本发明实施例中将策略空间S_i下结点预期效用U(S_i)作为评价各动作的价值函数。每个参与结点的目标是最大化自己的收益，因此为了简化问题，除结点i以外的所有其他结点标记为“-i”。通过分析结点i和-i相互作用并达成具有约束力协议的共识过程，得到结点i和-i收益矩阵如表1所示。

表1结点i和-i收益矩阵

表1中C表示某结点合作(Cooperative)，B表示背叛(Betray)，收益函数表达式中第一项为对应策略下结点i的收益(分别为P_iCC,P_iBC,P_iCB,P_iBB)，第二项为对应策略下结点-i的收益(分别为P_-iCC,P_-iBC,P_-iCB,P_-iBB)。溯源系统各结点共识模型的构建基于以下前提条件：

(1)对于结点i，在各种策略组合下的收益满足：

P_iBC＞P_iCC＞P_iBB＞P_iCB (5)

上式表明，在结点行为不一致的情况下，采取背叛策略的一方可以从牺牲其余结点的合作行为中得到比所有结点均合作时更高的收益；在所有结点均合作，即达成共识能够获得比都背叛更高的收益；一方合作，其余结点均背叛将会给合作方带来很大损失，或者说导致最低收益。

(2)结点i估计结点-i背叛的概率为λ，即结点i对结点-i的信任度为1-λ。本发明采用联盟链核准加入的方式，结点由相关溯源系统监管机构、社会团体及志愿者构成，在参与溯源信息验证的n个结点中，诚实结点占多数(比例相当大)，结点-i发生背叛是指除结点i以外的其余结点产生错误共识的情况，由上述分析可知，这种可能性非常小，即λ→0⁺。

(3)根据条件(2)，结点-i发生背叛的可能性很小，在其采取合作的前提下，若结点i采取合作将获得收益P_iCC；若结点i基于投机主义采取不合作策略，其将获得表1中短期最大自身收益P_iBC，但这将导致系统在时间[t,t+Δt]内识别出结点i的背叛，并对其进行惩罚，惩罚代价函数P(S_i)用结点信誉AR_i表示。因此，结点i发生背叛的总体收益为：

U_BC(S_i)＝P_iBC-P(S_i) (6)

根据上面的条件进一步分析得出如下结论：结点i采取合作或背叛策略取决于当前时刻t结点i与结点-i合作所带来的收益期望值E[U(S_i)]与结点i背叛所带来的收益期望值E[U_BC(S_i)]的比较分两种情况：

E[U(S_i)]≥E[U_BC(S_i)] (7)

E[U(S_i)]＜E[U_BC(S_i)] (8)

上式中，若式(7)成立，结点i采取合作策略；若(8)成立，结点i将采取背叛策略。令θ(0＜θ＜1)为结点i的折扣因子，用来调节当前收益对长期收益的影响。λ为结点i估计结点-i在一轮验证过程中采取非合作策略的概率，结点i采取合作策略时收益的期望值可表示为：

由式(9)得：

结点i采取背叛策略时收益的期望值可表示为：

由式(7)、(10)、(11)得结点i采取合作策略的条件为：

由式(12)得：

式(13)即为动态数据可追溯系统中各结点达成共识的边界条件。上式中，θ是结点i长期收益的折扣因子。θ越大，表明相较当前收益，长期收益对结点i的影响越大；θ越小，表明长期收益对结点i的影响越小。在给定结点行为收益的前提下，不等式左边的值取决于系数α₁＝1/(1-λ)和α₂＝λ/(1-λ)²，只有当不等式右边折扣因子θ超过一定值时，式(13)才成立。假设θ为常数，选择非合作策略将导致式(13)左边的值变大；反之亦成立。因此，为了使结点选择合作行为，必须降低不等式左边的值，即降低系数α₁＝1/(1-λ)和α₂＝λ/(1-λ)²。得出如下结论：

(1)结点间相互信任是进行合作的必要非充分条件。式(13)中，若λ→1^-，即结点间几乎不存在信任，不等式左边的取值F(λ)→+∞，结点间不可能产生合作，因此，结点间相互信任是进行合作的必要条件；若λ＝0，不等式左边的值式(13)为非重言式的可满足式，因此，结点间信任不是产生合作的充分条件。

(2)在3中提出的共识算法中，机构优先选择估计结点-i背叛概率λ较低的结点i作为验证结点列表(Verification Nodes List,VNL)中的结点。随着λ的减少，结点i对结点-i的信任度将增大，式(13)中系数α₁和α₂将减少，进而不等式左边的值F(λ)下降，结点i选择合作策略的可能性增大。

通过研究使得共识终端最大化自身收益的局部行为与保障动态数据存储安全性和有效性整体目标的关系得出，当所有终端都持有待提交验证的区块，为了让自己的收益最大，任何一方都不会(或者无法)改变自己对其它区块的验证结果。

根据本发明实施例中达成共识的边界条件，提出基于信誉的共识激励机制：通过授权一部分信任结点组成一个验证结点列表VNL，初始状态下，结点信誉AR_i＝1，每个结点通过为其他结点服务保持信誉，每轮共识选取最佳区块打包验证结点的同时，以系数γ降低最坏区块打包验证结点的信誉，即AR_i＝γAR_i(0＜γ＜1)。为了阻止自私行为并鼓励结点保持其信誉，当VNL列表中验证结点信誉低于某一阈值w时，将该结点移出VNL列表，当超过1/3验证结点被移出，则必须由授权机构重新授权组成新的VNL列表。假设信誉阈值是全局的，即所有结点使用相同的值，关于特殊情况下某些结点定义局部阈值方面的问题，还有待进一步研究。每个参与验证的结点会获取在共识开始之前未被记录的所有有效操作，并且以“候选集”的形式公开他们。然后，每个参与验证的结点合并VNL中所有其他验证结点的候选集合，并对所有操作的真实性进行比对投票。对动态数据的有效操作分为两种情况，一是新数据的发布；二是动态数据在不同实体间的流转。上述两种操作都必须由通过机构授权的结点来实现，且均看作一次交易：新数据的发布可以没有输入，但必须有输出，拥有与输出地址公钥对应私钥的结点即为可对该地址数据进行有效操作的授权结点；动态数据在不同实体间的流转既要有输入，又要有输出，其输入需要通过上一笔输出地址所对应的私钥进行签名验证当前结点是否为授权结点。通过行业顶层管理机构预先颁发根CA证书(Certificate Authority)，构建基于根CA及中间层CA到最底层实体CA的完整的证书信任链来实现上述信任基础。系统中全结点服务器负责维护VNL列表，验证结点在达成共识时只考虑VNL中成员的验证结果完成区块生成，这种共识算法在保证安全性的同时，大幅提高了系统达成共识的效率。同时，由于验证结点是机构授权的结点，一旦其中出现背叛结点便于系统核实身份并追究责任。

区块共识过程的数学形式描述如下：在动态数据存储系统中，T_VNL＝{T₁,T₂,…,T_n}为系统中验证结点集合。验证结点T_i获取的待验证有效操作候选集记为χ(T_i)，合并后的待验证候选集为：

某终端T_i∈T_VNL提交的打包区块B_newi＝{tx₁,…,tx_m}，tx_j∈χ(T_VNL)，获得其他终端验证组合及其收益用集合G_i＝{η_i1,…,η_in:u_i}表示。由某个终端T_i进行打包的区块B_newi组成的各终端验证组合(η_i1,…,η_in)中，任一参与验证方T_k对T_i提交区块B_newi的验证结果表示为η_ik，且满足：

根据物联网系统的规模及对吞吐率的要求，为共识过程设置合适的等时间间隔“轮”，用r表示。在一轮时间内，达成共识的步骤为：

步骤1VNL列表验证结点数大于2n/3，则执行步骤2，否则等待授权机构授权新列表；

步骤2本轮时间未结束，对于最早出现的T_i∈T_VNL，且使u_i(η_i1,…,η_ij,…,η_in)＝n，则选取T_i打包区块为本轮最佳区块，即选取最早通过验证结点列表终端验证的区块，转步骤5，否则执行步骤3；

步骤3本轮时间结束，使得n＞u_i(η_i1,…,η_ij,…,η_in)＞u_j(η_j1,…,η_ji,…,η_jn)，则选取T_i打包区块为本轮最佳区块，即选取经验证结点列表终端验证获得最大收益的区块，转步骤5，否则执行步骤4；

步骤4本轮时间结束，T_j，若n＞u_i(η_i1,…,η_ij,…,η_in)＝u_j(η_j1,…,η_ji,…,η_jn)＞u_k(S_k1,…,S_kj,…,S_kn)，则从T_i，T_j中选取最早达到u_i当前值的验证结点打包区块为最佳区块，即选取最早经验证结点列表终端验证获得最大收益的区块；

步骤5本轮时间结束，若u_i(η_i1,…,η_ij,…,η_in)＜u_j(η_j1,…,η_ji,…,η_jn)，则选取T_i打包区块为本轮最坏区块，并执行AR_i＝γAR_i(0＜γ＜1)，以降低该结点的信誉。设置信誉阈值为w，若AR_i＜w，则认为验证结点T_i不可靠，将其移出VNL列表。

依据本发明提出的操作实体间授权方式将各实体对动态数据的授权及操作类型作为交易发布到授权关系联盟链网络上，不同的应用场景下可以选择以明文或密文方式发送。根据整个行业物联网操作实体间的合作关系，操作授权往往只需限定在较小的子系统内，涉及的操作实体结点数目较少，此外，由于物联网系统具有可靠性高和生存期长的特点，操作实体间授权关系相对稳定，变更较少。鉴于上述调研现状，本发明实施例中采取静态方式为各子系统生成实体授权关系，创建实体间多维授权链，并作为一笔交易发布到授权关系联盟链网络上。各实体操作授权关系示意如图8，若存储一个实体结点的编码需n_c位，存储用于溯源路径链接的实体结点特征值需ω位，实体间授权边的总数为E，实体总数为N，每笔交易的数据量上限为E·ω+N·n_c。当发生操作实体间授权关系变更时，需将授权链作为新的交易在网络上重新发布并记入区块，以便授权追溯。

由密钥分发机构为实例系统中各操作实体ID_i生成密钥对(PK_i,SK_i)，用于操作实体对动态数据的授权验证。授权结点申请发布新的动态数据或对某个动态数据进行操作时需包含自己的实体证书，经过验证并获得共识的动态数据及相关信息(包括发布方及接收方的地址，动态数据文件的哈希值等)形成发布摘要信息存储到动态数据联盟链网络上。每一轮共识结束后，验证结点会将满足条件的所有交易进行分组哈希运算，将哈希值存储于Merkle树状数据结构中，方便实现区块的快速归纳和完整性校验。再利用区块链中的区块生成机制生成数据区块。区块之间利用区块头的哈希指针连接形成链状数据结构。接收方收到动态数据后，在本地计算其哈希值并采用Merkle树支持的“简化支付验证协议”与区块链上的对应数据进行比较，如果不一致，说明文件遭到篡改并向监控中心报警。图10中操作实体对动态数据的授权操作过程，对于任意操作实体OE_i可用ID_i唯一标识，为叙述方便，后面也用ID_i表示操作实体，简称实体。假设操作实体ID_i，ID_i+1需要进行的操作X_t为：ID_i采用加密方式发送数据ST_i，ID_i+1接收数据并对其完整性进行验证。若对完整的动态数据进行签名将导致两方面的缺陷，一方面存储完整消息对应的数字签名往往需要大量的空间，另一方面采用非对称加密技术对完整消息进行加密计算开销较大，处理速度较慢。因此本发明在实例系统中相邻层次实体间通信时，采用二次散列迭代的方式，将发送方公钥及消息ST_i同时作为哈希函数的输入，得到可作为特征值的哈希运算消息认证码。用发送方的私钥对消息认证码进行签名，由于数据量较少，可保证此运算过程较快。动态数据在授权实体间流转的步骤为：

步骤1判断(ID_i,X_t)∈FOE_i，若为True，证明其为授权结点，执行步骤2，否则报错未授权；

步骤2计算ST_i和PK_i的哈希值H_i，减少实体ID_i签名信息量；

步骤3用实体ID_i的私钥SK_i对H_i进行签名，得到M_i；

步骤4实体ID_i用实体ID_i+1的公钥对M_i，ST_i进行加密并发送；

步骤5实体ID_i+1用自己的私钥SK_i+1对接收到的加密信息R′_ii进行解密，得到ST′_i，M′_i；

步骤6实体ID_i+1用实体ID_i的公钥验证签名M′_i，得到H′_i；

步骤7对ST′_i和PK_i进行哈希运算，得到H″_i；

步骤8判断H′_i与H″_i是否相等，若相等，接收数据；不相等，报错数据异常。

采用与比特币系统类似的方法，将操作实体对动态数据的一次处理过程看作一笔交易，操作实例系统的区块形成过程可描述为：各个操作实体的帐户名为其公钥的哈希值，使用自己的私钥对验证过的信息进行签名。新交易TX通过P2P网络进行广播，区块链中各结点都不断地监听网络并收集尚未进入块链的交易TX的列表，生成待验证区块，各结点对接收到的区块进行验证，判断区块中是否存在无效交易，即没有正确签名或重复交易。将验证结果再次通过P2P网络进行广播，并按照本发明提出的共识机制选出本轮获得共识的区块作为新生区块，通过与前一区块头部链接写入账本。此时，新账本为系统中最长区块链，获得记账权的结点将新创建的区块链向全网广播，其他结点收到后，将其与本地区块链进行比较，若长度大于本地区块链则将本地区块链更新。

本发明实施例中还提供区块有效性验证算法，通过如下区块有效性验证算法对区块有效性进行验证。假设创世区块存在且新生区块B非空，区块有效性验证算法可如算法1所示内容：

算法1区块有效性验证算法

输入：区块链C，新生成区块B

输出：若创世区块不存在或新区块B不存在，返回错误提示Error；若新区块B合法，返回加入新区块后的区块链C；若B非法，返回B。

其中，函数v(x)收容当前交易并将其打包成区块B，若创世区块不存在(C＝False)或新区块B不存在(B＝ε)，返回错误提示Error；若B非空且存在创世区块，则依据五元组Num,Type,Code,Len,S>定义的方法对区块B中交易进行验证，在区块链诚实结点为多数的前提下，若区块B中所有交易TX均通过验证且获得本轮共识，则将B作为新生区块链接到区块链C的末尾，返回新生成的当前最长区块链C，否则将B标记为False并返回。并通过部署实验，对物联网动态数据溯源机制性能进行评估，使用不同的配置文件启动应用程序，得到普通结点和验证节点。随机生成初始化测试数据集合，不同轮次的测评实施需基于相同的测试数据以确保测试结果的有效性。测试数据作为新交易相继提交到测试网络，采用多组交易并发激励的方式，以测试较高并发交易场景下系统的性能；能够在实现动态数据安全和访问控制的基础上兼顾操作审计需求，利用轻量级授权与验证机制提高运行效率和系统达成共识的速度，能够有效杜绝攻击者对物联网动态数据的篡改、伪造等非授权访问操作，具有较好的应用价值。

为验证本发明技术方案的有效性，下面通过具体仿真实验做进一步解释说明：

假设操作实体总数为N，其每一个实体编码占用n_c个比特，各实体的操作授权集合对来自诚实或恶意用户的操作请求均需在多维DAG图中至少回溯查询q次才能获得确认，用τ表示从当前提出操作请求的实体向根实体回溯路径上的结点集合，即：

例如,某用户提供自己的授权类型l申请对图8中v₇进行操作，存在多条回溯路径：

τ＝{v₇,v₆,v₃,v₂,v₁}，q＝5；或τ＝{v₇,v₆,v₂,v₁}，q＝4；或τ＝{v₇,v₄,v₂,v₁}，q＝4。由此可见，回溯路径τ不唯一

性质1理想化哈希函数表示为H:{0,1}^*→{0,1}^ω，ω为哈希后得到的特征值长度，操作实体至少在多维DAG图中查询q次才能获得确认(q≤N)，攻击者将动态数据操作权限l伪造成l′，并获得攻击成功，即l≠l′，H(l,ID)＝H(l′,ID)的概率上限为q²/2^ω+1。

证明:第i次查询输出时，前i-1次查询输出相同的概率至多为(i-1)/2^ω，因此，q次查询输出均相同的概率为

在多维DAG图中，由式(18)计算τ，并回溯至τ中根节点r(即该结点无父节点)，重新计算授权路径上各实体授权特征值l′_i，与联盟链上经过VNL验证的实体授权特征值的保存值l_i进行比较，若满足:

则该请求合法，否则拒绝请求。式(19)中，q_i表示为满足安全系数，实体OE_i设定的查询次数，q′_i表示实际执行的查询系数。若某中间层实体撤销对其子结点的授权会造成q′_i＜q_i，此时应拒绝该实体的操作。

由性质1，参考比特网，给定取值ω＝256，q＝6时，攻击者篡改动态数据操作权限并获取成功的概率非常小，理论上存在，但实际很难做到。图11对不同物联网规模下本发明技术方案系统可靠性进行分析，(a)为局部可靠性，(b)为全局可靠性。当物联网子系统规模较小，操作实体授权链深度较小，回溯查询的次数q在较小范围内变动(如取值4,8,16)，授权特征值位数|ω|＝16b时，攻击者成功篡改授权关系的概率P趋近0，如图11(a)；当物联网规模较大，需要更多的比特位对授权特征值ω进行编码，当|ω|＝64b，物联网规模N＝10⁶时，攻击者成功篡改授权关系的概率P＜10^-6，如图11(b)。

鉴于比特币网络中经常出现双重输出攻击、重放攻击和隐藏攻击，下面对本发明技术方案在双重输出攻击、重放攻击和隐藏攻击三种常见攻击类型下的性能进行分析：

(1)双重输出攻击，双重输出攻击是指操作实体隐藏对其他操作实体授权的动态数据文件及授权关系。与比特币类似，可以通过创建两个不同的交易分支来分割自己的区块链。本发明提出的动态数据溯源架构对双重输出攻击具有防御能力，违规者会被发现并失去他人的信任。图12说明了本发明技术方案对这种攻击的防御机制，描述了溯源架构中某操作实体执行双重输出攻击的过程。在这种情况下，操作实体A希望隐藏虚线块，即对操作实体C授权的动态数据文件及授权关系，只传播关于他对操作实体D授权的动态数据文件及授权关系。虽然这种攻击看起来似乎成功，但是当操作实体C除A以外的授权实体，比如B，查看操作实体C的历史记录时，会发现在C链的验证期间A隐藏了一笔对C授权的交易。这与B关于操作实体A所涉及的交易的知识相矛盾。这样，操作实体A创建的两个区块形成了一个欺诈证据，并被其他结点在网络中进行广播。其他操作实体可以使用上述方法以较小计算量来验证双重输出攻击行为，将其列入黑名单或拒绝服务。

(2)重放攻击，重放攻击试图重复使用由某个操作实体创建的动态数据文件及授权关系签名重放已经发生的交易，恶意操作实体将指针重用到另一操作实体的先前块。图13说明了本发明技术方案对重放攻击的抵御机制。操作实体A使用两次相同的事务增长其块链，这种攻击背后的动机是，恶意操作实体隐藏动态数据的时间属性，达到对物联网控制系统的某种破坏。这种攻击相对容易发现：当由另一个操作实体验证操作实体A的事务链的正确性时，他将检测出有两个块具有相同的输出指针。恶意操作实体在重放攻击期间创建的块组成欺诈证据，网络中的任何操作实体都可以通过观察块的输出指针来验证欺诈。

(3)隐藏攻击，一旦操作实体对动态数据进行操作，就会在网络中创建记录。一个操作实体可能只想公开对他的声誉有正面影响的操作或授权，同时隐藏对其声誉有负面影响的操作或授权。本发明技术方案提出的溯源链架构能够抵御这种攻击：由于每条记录都包含一个序列号，网络中的任何人都可以请求其他人的特定记录，如果某操作实体无法提供自身的历史记录，则在该实体所要求的记录被提供并被验证之前，其他实体可以选择不与这个操作实体发生交易。值得注意的是，操作实体不能防止其授权对象授权给其他操作实体。

下面是对物联网动态数据溯源机制性能进行评估，从互联网招募1210名志愿者参加为期一个月的开放式研究。这些志愿者在Ubuntu 16.04下安装并使用了ChainSQL平台，该平台是在瑞波币的基础上改进的，修改配置文件，使用不同的配置文件启动应用程序，得到普通结点和验证节点。随机生成初始化测试数据集合，不同轮次的测评实施需基于相同的测试数据以确保测试结果的有效性。测试数据作为新交易相继提交到ChainSQL测试网络，采用多组交易并发激励的方式，以测试较高并发交易场景下系统的性能。图14给出了操作实体总数N，验证结点列表中结点数目为VNL,ω＝256,n_c＝16，达成共识的每轮时间r取不同值ChainSQL平台溯源数据增长情况。(a)中，取N＝500，VNL＝100,r＝5s时数据量高于r＝10s，但其数据量的增幅不到r＝10s时数据量的两倍，说明相比r＝5s的情况，r＝10s时部分轮次在共识机制的第二步骤中完成；同理，r＝1s与r＝5s、r＝10s时相比数据量有显著增加但增幅低于相应的时间倍值；(b)中取N＝1000，VNL＝100，相比图(a)，操作实体数目多了一倍，但r取三种不同值时数据量同比均有所下降，r＝5s和r＝10s时下降程度较r＝1s时大，这说明随着系统规模的增大,达成共识的速度减慢，且在共识机制第二步骤完成的轮次受影响较大，在共识机制第三步骤和第四步骤完成的轮次受影响较小；(d)中取N＝1000，VNL＝200，相比图(b)，机构授权的验证列表结点数目多一倍，r取三种不同值时达成共识的速度均有所减慢，因此数据量同比均有所下降，相比图(c)，操作实体数目多一倍，数据量增长同比变化差异不大，这说明机构授权的验证列表结点数目增多将导致共识时间增加，使得大部分轮次均在共识机制第三步骤或第四步骤完成，此时，系统溯源链中数据量的增幅对操作实体数目的增多呈现一定程度的鲁棒性。

图15显示N＝1000,VNL＝100,r取不同值时，(a)和(b)分别表示在联想T480S和Y450A-TSI(W)型号移动终端上，3000s时间区间内，系统吞吐量随时间的变化情况。从总体上看，r取值越小，系统吞吐量越大，r＝1s时，在性能较高的移动设备联想T480S上，3000s内吞吐量均值为182tps；在性能较低的移动设备Y450A-TSI(W)上，3000s内吞吐量均值为115tps。通过观察图(a)、(b)在不同性能的移动设备上，同一时间区间和网络环境下的吞吐量数据对比，可以看出系统吞吐量受硬件性能的影响。结果表明，即使在性能较差的移动终端上，也可以实现对大量轻型交易的创建和处理。假定不论r取何值，均在每轮时间用完后形成共识并产生新区块，显然,r＝5s和r＝10s时，在3000s时间内产生新区块的数目将分别是r＝1s时的1/5和1/10。图15数据表明，r＝5s和r＝10s时，对应的吞吐量均值均大于r＝1s时相应的倍值。这是因为，r＝1s时，各结点将接收到并存储在本地的交易广播出去，大部分在接近或等于r时形成共识，r＝5s和r＝10s时，会有一部分结点提交的区块在该轮时间尚未用完就获得共识。通过分析图15测试数据，系统吞吐量的变化存在共同点，测试初始阶段，吞吐量较大，随着测试时间增加，吞吐量变小。测试初始阶段，结点本地存储器为空，生成的新交易区块获得共识后在ChainSQL数据库中快速插入，随着数据库的增长，每次插入新的区块都需要查询和同步数据库来获取最新联盟链区块的信息，插入开销有所增加，系统吞吐量随着数据库大小的增加而减少。

通过以上实验数据，验证本发明技术方案中溯源机制的实际适用性和成熟度水平，通过结果表明，本发明技术方案提出的物联网动态数据溯源机制在没有任何中心数据库的情况下，能够在网络上以共识方式保证各操作实体数据的完整性和可靠性，且随着系统中机构授权的验证列表结点数目和操作实体数目增多，系统达成共识的速度对这两项参数呈现鲁棒性。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

基于上述的方法，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的方法。

基于上述的方法，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的方法。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种基于联盟链的物联网动态数据溯源方法，其特征在于，包含：

2.根据权利要求1所述的基于联盟链的物联网动态数据溯源方法，其特征在于，A)中构建DAG图包含如下内容：

A1)为物联网各子系统生成实体授权关系；

3.根据权利要求1所述的基于联盟链的物联网动态数据溯源方法，其特征在于，B)中获取各结点达成共识的边界条件，包含如下内容：

B1)提取DAG图中每个参与区块信息验证的结点的策略空间、收益函数，及每个参与结点在策略空间下的冯诺依曼-摩根斯坦效用，得到评价结点动作的价值函数；

B2)依据价值函数，分析结点相互作用并达成具有约束力协议的共识过程，得到结点的收益矩阵；

4.根据权利要求1所述的基于联盟链的物联网动态数据溯源方法，其特征在于，根据物联网系统规模及吞吐率要求，设定共识过程等待时间间隔，将该等待时间间隔作为每轮共识间隔时间。

5.根据权利要求1所述的基于联盟链的物联网动态数据溯源方法，其特征在于，C)中验证结点列表获取及维护过程，包含如下内容：

6.根据权利要求1所述的基于联盟链的物联网动态数据溯源方法，其特征在于，D)实体间多维授权链以区块链形式进行存储过程中，授权结点申请发布新的动态数据或对某个动态数据进行操作时，经过验证并获得共识的动态数据及相关信息形成发布摘要信息，存储到动态数据联盟链网络上；每轮共识结束后，验证结点将满足条件的所有交易进行分组哈希运算，将哈希值存储于Merkle树状数据结构中，再利用区块链中的区块生成机制生成数据区块；区块之间利用区块头的哈希指针连接形成链状数据结构；接收方收到动态数据后，在本地计算其哈希值并采用Merkle树支持的简化支付验证协议与区块链上的对应数据进行比较，如果不一致，则判定动态数据文件遭到篡改并向监控中心报警。

7.根据权利要求6所述的基于联盟链的物联网动态数据溯源方法，其特征在于，D)中物联网各实例系统中相邻层次实体间通信时，采用二次散列迭代方式，将发送方公钥及消息同时作为哈希函数输入，得到作为特征值的哈希运算消息认证码；用发送方的私钥对消息认证码进行签名。

8.根据权利要求7所述的基于联盟链的物联网动态数据溯源方法，其特征在于，D)新交易通过P2P网络进行广播，区块链中各结点监听网络并收集尚未进入块链的交易列表，生成待验证区块；各结点对接收到的区块进行验证，判断区块中是否存在无效交易，并将验证结果再次通过P2P网络进行广播，按照共识激励机制选出当前共识轮中获得共识的区块。作为新生区块，通过与前一区块头部链接写入账本，新账本为系统中最长区块链，获得记账权的结点将新创建的区块链向全网广播，其他结点收到后，将其与本地区块链进行比较，若长度大于本地区块链则将本地区块链更新，完成操作实体对动态数据的处理过程。

9.一种基于联盟链的物联网动态数据溯源装置，其特征在于，包含：模型构建模块、条件获取模块、结点维护模块和交易处理模块，其中，

交易处理模块，依据动态数据及实体间授权关系，及用于实体对动态数据授权验证的密钥对，并根据各结点达成共识的边界条件，生成实体授权关系，创建实体间多维授权链，并作为交易发布到授权关系联盟链网络上以区块链形式进行存储，以实现物联网动态数据操作的过程留痕和追踪溯源。

10.根据权利要求9所述的基于联盟链的物联网动态数据溯源装置，其特征在于，结点维护模块包含：结点列表获取子模块和结点列表更新子模块，其中，

结点列表获取子模块，用于根据边界条件，估计结点背叛概率，并依据结点背叛概率大小选取部分结点作为验证结点列表；