CN111294349B

CN111294349B - 用于物联网设备数据共享的方法及装置

Info

Publication number: CN111294349B
Application number: CN202010075400.4A
Authority: CN
Inventors: 向涛; 王中明; 李进; 杨吉云; 钟世刚
Original assignee: Chongqing University
Current assignee: Chongqing University
Priority date: 2020-01-22
Filing date: 2020-01-22
Publication date: 2021-09-03
Anticipated expiration: 2040-01-22
Also published as: CN111294349A

Abstract

本申请涉及区块链技术领域，公开一种用于物联网设备数据共享的方法。包括：接收物联网设备发出的第一注册请求信息；对第一注册请求信息进行验证，在第一注册请求信息验证成功的情况下，对第一注册请求信息进行签名得到第二注册请求信息；对第二注册请求信息进行验证，在第二注册请求信息验证成功的情况下，将第二注册请求信息存入区块链。该方法能够实现对网络中物联网设备的管理，以及网络中物联网设备数据的存储和共享，同时实现数据的分布式存储，保证物联网设备数据的不可篡改，提高了物联网设备数据的安全性。本申请还公开一种用于物联网设备数据共享的装置。

Description

用于物联网设备数据共享的方法及装置

技术领域

本申请涉及区块链技术领域，例如涉及一种用于物联网设备数据共享的方法及装置。

背景技术

目前，随着物联网技术的快速发展，网络中的物联网设备数量大幅增长。而随着物联网中设备数量的增长，如何管理这些设备和这些设备所产生的数据就成了亟需解决的问题。

在实现本公开实施例的过程中，发现相关技术中至少存在如下问题：

(1)单点故障问题：现有物联网系统通常为中心化系统，当管理节点故障时整个系统都会处于停滞状态。(2)数据安全问题：现有物联网系统中通常没有设计对数据的访问控制规则，所有数据都暴露在系统的所有用户中，系统中的敏感数据有着泄露的风险。(3)多管理者问题：随着网络中设备的增多，网络中的设备往往属于不同的管理者，现有系统难以适应这种情况。

发明内容

为了对披露的实施例的一些方面有基本的理解，下面给出了简单的概括。所述概括不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围，而是作为后面的详细说明的序言。

本公开实施例提供了一种用于物联网设备数据共享的方法及装置，以解决现有技术中物联网设备数据共享安全性低的技术问题。

在一些实施例中，所述方法包括：

接收物联网设备发出的第一注册请求信息；

对所述第一注册请求信息进行验证，在所述第一注册请求信息验证成功的情况下，对所述第一注册请求信息进行签名得到第二注册请求信息；

对所述第二注册请求信息进行验证，在所述第二注册请求信息验证成功的情况下，将所述第二注册请求信息存入区块链。

在一些实施例中，所述装置包括：包括处理器和存储有程序指令的存储器，所述处理器被配置为在执行所述程序指令时，执行上述的用于用于物联网设备数据共享的方法。

本公开实施例提供的用于物联网设备数据共享的方法及装置，可以实现以下技术效果：能够通过对验证成功的第一注册请求信息进行签名得到第二注册请求信息，并将验证成功的第二注册请求信息存入区块链，实现了对网络中物联网设备的管理，以及网络中物联网设备数据的存储和共享，同时实现数据的分布式存储，保证物联网设备数据的不可篡改，提高了物联网设备数据的安全性。

以上的总体描述和下文中的描述仅是示例性和解释性的，不用于限制本申请。

附图说明

一个或多个实施例通过与之对应的附图进行示例性说明，这些示例性说明和附图并不构成对实施例的限定，附图中具有相同参考数字标号的元件示为类似的元件，附图不构成比例限制，并且其中：

图1是本公开实施例提供的一个用于用于物联网设备数据共享的方法的示意图；

图2是本公开实施例提供的一个用于用于物联网设备数据共享的系统的示意图；

图3是本公开实施例提供的一个用于用于物联网设备数据共享的装置的示意图。

具体实施方式

为了能够更加详尽地了解本公开实施例的特点与技术内容，下面结合附图对本公开实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本公开实施例。在以下的技术描述中，为方便解释起见，通过多个细节以提供对所披露实施例的充分理解。然而，在没有这些细节的情况下，一个或多个实施例仍然可以实施。在其它情况下，为简化附图，熟知的结构和装置可以简化展示。

本公开实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本公开实施例的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含。

除非另有说明，术语“多个”表示两个或两个以上。

本公开实施例中，字符“/”表示前后对象是一种“或”的关系。例如，A/B表示：A或B。

术语“和/或”是一种描述对象的关联关系，表示可以存在三种关系。例如，A和/或B，表示：A或B，或，A和B这三种关系。

结合图1所示，本公开实施例提供一种用于物联网设备数据共享的方法，包括：

步骤S101，接收物联网设备发出的第一注册请求信息；

步骤S102，对第一注册请求信息进行验证，在第一注册请求信息验证成功的情况下，对第一注册请求信息进行签名得到第二注册请求信息；

步骤S103，对第二注册请求信息进行验证，在第二注册请求信息验证成功的情况下，将第二注册请求信息存入区块链。

采用本公开实施例提供的用于物联网设备数据共享的方法，能够通过对验证成功的第一注册请求信息进行签名得到第二注册请求信息，并将验证成功的第二注册请求信息存入区块链，实现了对网络中物联网设备的管理，以及网络中物联网设备数据的存储和共享，同时，保证了物联网设备数据的不可篡改，提高了物联网设备数据的安全性。

可选地，第一注册请求信息，包括：物联网设备ID和第一密钥k_r。

可选地，对第一注册请求信息进行验证，包括：将物联网设备ID和第一密钥与预置信息进行比较，当物联网设备ID和第一密钥与预置信息相符时，第一注册请求信息验证成功。例如，物联网设备发送送第一注册请求信息包含的ID为0031018，第一密钥为k₁，而预置信息中的ID为0031018，第一密钥为k₁。则该物联网设备ID和第一密钥与该预置信息相符，该第一注册请求信息验证成功。

可选地，每一个物联网设备都有一个ID和第一密钥k_r。可选地，k_r为服务器预置信息。该第一密钥可用于服务器对物联网设备身份的认证，即第一注册请求信息验证成功时，则服务器对物联网设备身份认证成功。这样可以防止恶意设备进入网络。

可选地，每一个服务器都有一对公私钥(sk,pk)，其中，sk为私钥，pk为公钥，用于对数字签名及对签名进行验证。同时，每一个服务器都是一个区块链节点，用于对物联网设备的管理和数据的共享，物联网设备和网关通过连接服务器与区块链系统进行交互。

可选地，对第一注册请求信息进行签名，包括：通过私钥对物联网设备ID进行签名。

可选地，对第二注册请求信息进行验证，包括：通过公钥对签名后的物联网设备ID进行验证。

可选地，接收物联网设备发出的第一注册请求信息之后，还包括：通过区块链查询物联网设备是否注册，在物联网设备未注册的情况下，对第一注册请求信息进行验证。若查询到该设备已进行注册，则允许该物联网设备上传物联网数据并接收其他物联网设备上传的物联网数据。

在一些实施例中，当物联网设备接入网络时，发出第一注册请求信息，网关接收物联网设备发送的第一注册请求信息，并发送到的服务器，该服务器通过对接收到的第一注册请求信息中的物联网设备ID和第一密钥进行验证，若验证不成功，则忽略该第一请求请求信息；若验证成功，则利用私钥对该物联网设备ID进行签名得到第二注册请求信息，并将第二注册请求信息发送到网络中，网络中的其他服务器接收该第二注册请求信息，并利用公钥对第二注册请求信息中物联网设备ID的签名进行验证，若验证通过，则打包第二注册请求信息到区块中，并将该区块上链到区块链，即该物联网设备被成功注册到网络中。可选地，第二注册请求信息包括物联网设备ID和服务器对该设备ID的签名。

可选地，物联网设备通过网关向服务器发送第一注册请求信息，服务器接收到第一注册请求信息后，服务器先在区块链查询该物联网设备是否已注册。若未注册，则通过预置信息对第一注册请求信息进行验证，即对物联网设备的身份进行验证。

这样，在系统的运行过程中，不需要可信中心来运行，实现了分布式的对设备的管理，避免了单点故障。并且，通过将第二注册请求信息发送到区块链，各服务器都保有一份各物联网设备ID的列表。保证了服务器对网络中物联网设备的感知和管理、以及网络中数据的存储和共享的安全性。

在一些实施例中，当物联网设备接入网络时，物联网设备通过网关向服务器发送第一注册请求信息。例如，设备向网关发送的具体信息为(op_register,deviceID,commit(k_r))，其中，op_register为操作类型，deviceID为设备ID，commit(k_r)为对第一密钥的承诺，可选地，承诺所需的基本参数在系统初始化时确定，密码学中的承诺是本领域技术人员公知的现有技术，在此不再赘述。

可选地，网关在收到设备发来的第一注册请求信息后，在该第一注册请求信息中添加分配信息h₁，网关选取随机数x，并计算h₁＝g^x得到分配信息h₁，其中g为系统初始化时确定的Diffe-Helleman密钥分配方法的基本参数。该分配信息用于服务器对网关的密钥分配。然后，网关向服务器发送的消息为：(op_register,deviceID,commit(k_r)，h₁)。

在网关所连接的服务器接收到该第一注册请求消息之后，将该第一注册请求消息发送到网络中。网络中的该设备所属的服务器在收到该第一注册请求消息之后，对第一注册请求消息中的物联网设备ID和第一密钥k_r的承诺进行验证。在验证成功的情况下，该服务器对物联网设备ID进行签名得到第二注册请求信息(op_register,deviceID,sig_sk(deviceID))，并将该第二注册请求信息广播到网络中。该第二注册请求信息包含了物联网设备的ID和服务器用私钥sk对该物联网设备ID的签名sig_sk(deviceID)。当网络中其他区块链节点接收到该第二注册请求信息后，用公钥对签名进行验证verify(pk,sig_sk(deviceID))。在验证成功的情况下，将打包第二注册请求信息到区块中，并将该区块上链到区块链。当该第二注册请求信息成功上链到区块链时，设备成功被注册到网络中。则允许该物联网设备上传物联网数据并接收其他物联网设备上传的物联网数据，实现了物联网设备数据的共享，同时，基于将数据存储到区块链，可以实现在不可信的环境中建立起共识，同时实现数据的分布式存储，保证数据的不可篡改，提高了数据共享的安全性，并且可以有效解决当前物联网中心化管理带来的问题。

可选地，用于物联网设备数据共享的方法，还包括：在第一注册请求信息验证成功的情况下，发送第二密钥给物联网设备，触发物联网设备对上传的物联网数据进行加密。可选地，服务器在向身份验证通过的物联网设备分配第二密钥时，先通过预置信息对要分配给物联网设备的第二密钥进行加密，可选地，采用Diffe-Helleman密钥交换来向网关分配密钥。保证了物联网设备只能收到来自它自己的服务器管理者所分配的第二密钥。

可选地，第二密钥通过以下方式得到：

系统在初始化时，首先选择(G,p,g),G为通过g生成的阶数为p的循环群。接着根据系统中不同类型权限的数目n，从模p整数群Z_p中选取n对随机数(a_i,x_i)_i∈[n]，并计算

由此得到加密算法的公共参数pp＝(G,p,g,h_i)_i∈[n]。g是循环群G的生成元，a_i与x_i为从群Z_p中随机选取的数。h_i为基本参数，通过x_i和g产生。

接着通过访问控制规则产生相应的密钥。访问控制规则为不同密钥之间的访问权限。在密钥产生的实际过程中，访问控制规则以矩阵的形式输入。当系统中有n种不同的权限类型时，访问控制规则矩阵P大小则为n×n。矩阵中的第i行，第j列的取值P(i,j)决定了持有i号第二密钥msk_i的用户是否能够访问持有j号第二密钥msk_j的用户加密后的数据，或向其发送数据。

举例而言，假设服务器A持有第二密钥msk_i，服务器B持有第二密钥msk_j。当P(i,j)≠1时，持有第二密钥msk_i的服务器A无法解密持有第二密钥msk_j的服务器B加密的消息，同时也无法向对方发送消息。当P(i,j)＝1时，则持有第二密钥msk_i的服务器A具备向第二密钥msk_j的服务器B读和写数据的能力。在矩阵P中，i和j表示矩阵的行和列。

可选地，第二密钥包括：加密密钥ke_i，解密密钥kd_j，网关密钥ks_i；

计算ke_i＝a_i得到加密密钥ke_i；计算kd_j＝{-x_i}_i∈s得到解密密钥kd_j；计算ks_i＝-a_i得到网关密钥ks_i。其中，集合S为[n]中满足P(i,j)＝1的i的集合。

举例而言，假设持有u号第二密钥的用户所拥有的权限是可以解密来自持有m号和n号第二密钥的加密的信息，则矩阵P中的P(u,m)＝1,P(u,n)＝1，持有u号第二密钥的用户得到的解密密钥kd_u＝{-x_m,-x_n}。

第二密钥生成完毕后，根据不同服务器的权限得到不同的第二密钥。通常，一个服务器会得到得到多对不同权限的第二密钥，例如，msk{ke_i,kd_j,ks_i}。

在系统的初始化阶段，密钥只会分配给服务器。服务器会因此得到加密、解密、网关密钥。在设备身份被验证成功后，服务器才会分配密钥给设备与网关。其中加解密密钥分配给设备，网关密钥分配给网关。网关密钥的作用是在设备上传的数据经过网关时，对数据进行处理。

上述公开实施例提出的访问控制加密算法，与现有的访问控制加密算法相比，现有算法中参与者和加密后的结果密文数量相同，导致规模大；而本公开实施例提高的算法改变了加密方案的构造，降低了密文规模，使得加密方案在物联网设备数据共享环境下更加适用。

在一些实施例中，服务器在物联网设备身份验证成功后向该物联网设备分配第二密钥{ke_i,kd_j}，同时，服务器向网关分配相应的第二密钥ks_i。可选地，服务器返回到网关的消息为

其中，deviceID为物联网设备ID，

为通过预置信息k_r加密的ke_i和kd_j，h₂为服务器选取随机数y，计算得到用于产生加密密钥的h₂＝g^y，

为用h₃＝h₁ ^y加密的密钥ks_i。h₂同之前的h₁也为基本参数，g是Diffie-Hellme密钥分配的基本参数，y是服务器选取的随机数。

当网关收到服务器返回消息后，首先通过h₃＝h₂ ^x解密密钥得到ks_i，之后将消息

返回给物联网设备。设备通过k_r解密密钥得到ke_i和kd_j。由于第二密钥是通过预置信息即第一密钥k_r加密，因而物联网设备只能收到来自它所属的服务器发来的消息。保证了物联网设备管理者服务器对所属物联网设备的管理权。

在一些实施例中，在网络初始化时，根据访问控制规则P产生第二密钥，并根据不同服务器的不同权限分配给各个服务器不同的第二密钥。当物联网设备身份认证成功，即物联网设备身份认证成功时，服务器将相应等级的第二密钥进行加密后分配给物联网设备和网关。可选地，通过第一密钥对第二密钥进行加密。网关和设备在收到包含第二密钥的返回消息后，解密该消息得到相应的第二密钥。

可选地，当物联网设备在请求其它设备数据后，得到密文。根据访问控制加密的性质，该物联网设备只能通过获得的第二密钥解密它所具有相应解密权限的数据。

这样，将访问控制规则嵌入加密，通过访问控制加密保证了在复杂网络环境下，设备上传到网络中数据的安全性。并且相较于一般的加密方案，访问控制加密不仅实现了物联网设备不能够读取它没有读权限的物联网设备发送的信息，同时也实现了物联网设备不能够向其他的没有写权限的设备发送信息。将访问控制加密运用到系统中，可以实现对块链上公开的数据加强控制。

可选地，对上传的物联网数据进行加密，包括：通过第二密钥对上传的物联网数据进行加密。

在一些实施例中，物联网设备在上传物联网数据时，该物联网设备使用第二密钥中的加密密钥进行加密之后，上传到网关。网关在收到加密后的物联网数据后，用网关的第二密钥对该物联网数据作进一步处理，将处理后的物联网数据发给服务器。服务器对收到的物联网数据进行验证，当验证成功后，将该物联网数据打包到区块中，将该区块链接到区块链上。

本发明所采用的加密算法的特别之处在于，它不仅保证了没有相应解密密钥用户不能够解密其它用户加密的数据，也保证了恶意的用户不能向其它的它没有访问权限的用户写数据。

举例而言，系统中有两个根据访问控制规则不能互相通信的设备A和设备B，假设这两个设备都被恶意侵入者控制。这时如果是传统的加密算法就不能阻止这两个设备交换信息。而访问控制加密则可以保证设备A在这样的情况下依旧无法与设备B通信。这种保证是通过网关密钥实现，由于网关密钥会对设备A通过加密密钥加密的数据进行二次处理，并产生新的密文。这就保证了没有相应解密密钥的设备B始终无法解密来自设备A的信息。

可选地，当物联网设备需要上传物联网数据时，物联网设备首先通过ke_i，并选取随机数r₁和r₂，其中，r₁，r₂∈Z_p，对物联网数据进行加密产生第一密文C，并发送到网关。可选地，通过计算

得到第一密文C。c₀、c₁、c₂、c₃、c₄，为将第一密文分成的不同部分，m为物联网设备上传的数据。

当网关收到加密后的物联网数据之后，选取随机数s₁和s₂，其中，s₁，s₂∈Z_p，再对收到的第一密文C进行处理，得到第二密文C′，并发送到网络中，通过计算

得到第二密文C′。c′₀，c′₁，c′₂为将第二密文划分的不同部分。

网关所连接的服务器在收到网关发送的数据之后对数据进行验证，验证通过后将数据打包到区块中，之后将该区块链接到区块链上。

可选地，当物联网设备需要访问其它物联网设备的数据时，物联网设备通过网关发送请求，服务器接收到请求之后直接从区块链上取出对应数据发送到该物联网设备。该物联网设备通过所持有的解密密钥kd_j对数据解密。当且仅当P(i,j)＝1时，设备可以解密对应数据。通过计算

得到解密后的数据m′。

这样，基于将数据存储到区块链，可以实现在不可信的环境中建立起共识，同时实现数据的分布式存储，保证数据的不可篡改，提高了数据共享的安全性，并通过访问控制加密保证了在复杂网络环境下，设备上传到网络中数据的安全性。

在一些实施例中，当需要删除物联网设备时，它所属的服务器，即设备的管理者发送删除信息(op_delete,deviceID,sig_sk(deviceID))并广播到网络中。其它服务器收到删除消息后对该删除消息中的签名进行验证，并验证发送删除信息的服务器是否为发送第二注册信息的服务器，如果是，则验证通过。

验证通过后，打包删除信息到区块中，并将该区块连接到区块链上。当该区块被成功链接到区块链上，该物联网设备被成功删除。网络中的服务器将不再受理该物联网设备发出的数据请求。

这样，物联网设备只能由它所属的服务器在网络中进行注册和删除，但是可以通过网关连接到的服务器接收和发送数据，保证了服务器对物联网设备的管理权。

结合图2所示，本公开实施例提供一种用于物联网设备数据共享的系统，包括：物联网设备1、网关2和服务器3。

物联网设备1，被用于发送第一注册请求信息，并接收第二密钥；还被用于产生物联网数据，对物联网数据进行加密，并将物联网数据上传到网络中；还被用于向其它物联网设备请求物联网数据，并接收其实物联网设备发送的物联网数据。

网关2，被用于连接物联网设备与服务器，并在物联网设备发送物联网数据时对该物联网数据进行处理。可选地，网关是就近连接网络中的服务器，即网关直接连接的服务器不一定是网关服务的物联网设备所属的服务器。

服务器3，被用于对物联网设备的管理和对物联网数据的管理，可选地，被用于接收第一注册请求信息，并对第一注册请求信息进行验证；还被用于设备ID进行签名得到第二注册请求信息，并发送第二注册请求信息；还被用于接收物联网数据，并对物联网数据进行验证；还被用于将第二注册请求信息或物联网数据发送区块链4。

系统中每一个服务器都是一个区块链节点。每一个物联网设备属于一个服务器管理，物联网设备的服务器，即管理者会在物联网设备中预置信息，例如，在物联网设备出厂时预置设备ID和第一密钥。

在一些实施例中，物联网设备通过网关发送第一注册请求信息，当它所属服务器收到第一注册请求信息之后，对设备ID和第一密钥进行验证，验证通过后，服务器通过私钥对设备ID进行签名得到第二注册请求信息，并将第二注册请求信息发送网络中，区块链上其他节点的服务器通过公钥对设备ID的签名进行验证，验证通过，则将注册请求信息发送到区块链上；并在设备ID和第一密钥通过验证后，将具有一定权限的第二密钥分配给物联网设备和网关。物联网设备只能通过第二密钥解密它所具有相应解密权限的数据。

物联网设备的服务器通过预置信息和设备ID对物联网设备身份进行验证，验证后将设备ID进行签名后发布到区块链上，并给设备和网关分配相应密钥。同时，访问控制规则被嵌入密钥中，物联网设备上传数据时通过密钥进行加密，只有有相应读权限的密钥的访问者能够解密数据。同时，访问控制加密也决定了设备不能够向其他的没有写权限的设备发送信息。这样，保证数据的不可篡改，使在复杂网络环境下，提高了设备上传到网络中数据的安全性。

结合图3所示，本公开实施例提供一种用于物联网设备数据共享的装置，包括处理器(processor)100和存储有程序指令的存储器(memory)101。可选地，该装置还可以包括通信接口(Communication Interface)102和总线103。其中，处理器100、通信接口102、存储器101可以通过总线103完成相互间的通信。通信接口102可以用于信息传输。处理器100可以调用存储器101中的程序指令，以执行上述实施例的用于物联网设备数据共享的方法。

此外，上述的存储器101中的程序指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。

存储器101作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序，如本公开实施例中的方法对应的程序指令/模块。处理器100通过运行存储在存储器101中的程序指令/模块，从而执行功能应用以及数据处理，即实现上述实施例中用于物联网设备数据共享的方法。

存储器101可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端设备的使用所创建的数据等。此外，存储器101可以包括高速随机存取存储器，还可以包括非易失性存储器。

采用本公开实施例提供的用于物联网设备数据共享的装置，能够通过对验证成功的第一注册请求信息进行签名得到第二注册请求信息，并将验证成功的第二注册请求信息存入区块链，实现了对网络中物联网设备的管理，以及网络中物联网设备数据的存储和共享，同时实现数据的分布式存储，保证物联网设备数据的不可篡改，提高了物联网设备数据的安全性。

本公开实施例提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为执行上述用于物联网设备数据共享的方法。

本公开实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述用于物联网设备数据共享的方法。

上述的计算机可读存储介质可以是暂态计算机可读存储介质，也可以是非暂态计算机可读存储介质。

本公开实施例的技术方案可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括一个或多个指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本公开实施例所述方法的全部或部分步骤。而前述的存储介质可以是非暂态存储介质，包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等多种可以存储程序代码的介质，也可以是暂态存储介质。

以上描述和附图充分地示出了本公开的实施例，以使本领域的技术人员能够实践它们。其他实施例可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求，否则单独的部件和功能是可选的，并且操作的顺序可以变化。一些实施例的部分和特征可以被包括在或替换其他实施例的部分和特征。而且，本申请中使用的用词仅用于描述实施例并且不用于限制权利要求。如在实施例以及权利要求的描述中使用的，除非上下文清楚地表明，否则单数形式的“一个”(a)、“一个”(an)和“所述”(the)旨在同样包括复数形式。类似地，如在本申请中所使用的术语“和/或”是指包含一个或一个以上相关联的列出的任何以及所有可能的组合。另外，当用于本申请中时，术语“包括”(comprise)及其变型“包括”(comprises)和/或包括(comprising)等指陈述的特征、整体、步骤、操作、元素，和/或组件的存在，但不排除一个或一个以上其它特征、整体、步骤、操作、元素、组件和/或这些的分组的存在或添加。在没有更多限制的情况下，由语句“包括一个…”限定的要素，并不排除在包括所述要素的过程、方法或者设备中还存在另外的相同要素。本文中，每个实施例重点说明的可以是与其他实施例的不同之处，各个实施例之间相同相似部分可以互相参见。对于实施例公开的方法、产品等而言，如果其与实施例公开的方法部分相对应，那么相关之处可以参见方法部分的描述。

本领域技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，可以取决于技术方案的特定应用和设计约束条件。所述技术人员可以对每个特定的应用来使用不同方法以实现所描述的功能，但是这种实现不应认为超出本公开实施例的范围。所述技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本文所披露的实施例中，所揭露的方法、产品(包括但不限于装置、设备等)，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，可以仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例。另外，在本公开实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

附图中的流程图和框图显示了根据本公开实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这可以依所涉及的功能而定。在附图中的流程图和框图所对应的描述中，不同的方框所对应的操作或步骤也可以以不同于描述中所披露的顺序发生，有时不同的操作或步骤之间不存在特定的顺序。例如，两个连续的操作或步骤实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这可以依所涉及的功能而定。框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

Claims

1.一种用于物联网设备数据共享的方法，其特征在于，包括：接收物联网设备发出的第一注册请求信息；

对所述第二注册请求信息进行验证，在所述第二注册请求信息验证成功的情况下，将所述第二注册请求信息存入区块链；

还包括：在所述第一注册请求信息验证成功的情况下，发送第二密钥给物联网设备，触发所述物联网设备对上传的物联网数据进行加密；

第二密钥通过以下方式得到：通过访问控制规则产生相应的第二密钥；访问控制规则以矩阵的形式输入，访问控制规则矩阵P大小为n×n，n为权限类型数量；访问控制规则为不同密钥之间的访问权限；

根据不同服务器的权限得到不同的第二密钥；

所述第二密钥包括：加密密钥ke_i，解密密钥kd_j，网关密钥ks_i；

通过所述网关密钥对设备加密密钥加密的数据进行二次处理，产生新的密文。

2.根据权利要求1所述的方法，其特征在于，所述第一注册请求信息，包括：物联网设备ID和第一密钥。

3.根据权利要求1所述的方法，其特征在于，对所述第一注册请求信息进行验证，包括：将所述物联网设备ID和第一密钥与预置信息进行比较，当所述物联网设备ID和第一密钥

与预置信息相符时，所述第一注册请求信息验证成功。

4.根据权利要求1所述的方法，其特征在于，对所述第一注册请求信息进行签名，包括：通过私钥对所述物联网设备ID进行签名。

5.根据权利要求4所述的方法，其特征在于，对所述第二注册请求信息进行验证，包括：通过公钥对签名后的物联网设备ID进行验证。

6.根据权利要求1至5任一项所述的方法，其特征在于，接收物联网设备发出的第一注册请求信息之后，还包括：

通过区块链查询物联网设备是否注册，在所述物联网设备未注册的情况下，对所述第一注册请求信息进行验证。

7.一种用于物联网设备数据共享的装置，包括处理器和存储有程序指令的存储器，其特征在于，所述处理器被配置为在执行所述程序指令时，执行如权利要求1至6任一项所述的用于物联网设备数据共享的方法。