CN112039866A - 一种基于区块链的数据可信配置管理系统的设计方法 - Google Patents
一种基于区块链的数据可信配置管理系统的设计方法 Download PDFInfo
- Publication number
- CN112039866A CN112039866A CN202010867544.3A CN202010867544A CN112039866A CN 112039866 A CN112039866 A CN 112039866A CN 202010867544 A CN202010867544 A CN 202010867544A CN 112039866 A CN112039866 A CN 112039866A
- Authority
- CN
- China
- Prior art keywords
- configuration
- information
- chain
- data
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于区块链的数据可信配置管理系统的设计方法,属于数据安全技术领域。本发明设计的一种基于区块链的数据可信配置管理系统,能够实现设备配置数据的配置管理功能。
Description
技术领域
本发明属于数据安全技术领域,具体涉及一种基于区块链的数据可信配置管理系统的设计方法。
背景技术
随着计算机网络的诞生与发展,相关网络与设备等管理技术逐渐趋向于成熟,标准的设备管理系统以及相关网络管理协议功能不断完善。对于各个领域,设备管理系统逐渐完善,可以针对设备基本信息统计,维修记录管理等方面可以采取较为先进的信息化技术,除了对设备静态信息进行维护管理,针对设备动态运行修改等操作也可以进行实时的监控。利用先进技术采取对设备数据的可信管理,有利于对设备进行维护与诊断,并且排除故障,保障各个设备处在最佳状态,实现监测设备等行为。
目前,数据可信配置管理系统主要基于C/S(客户端/服务端)和B/S(浏览器/服务端)的使用模式,管理员通过浏览器/终端程序访问服务端,并对网络、设备进行配置管理。但随着后台及系统的日益增多、网络结构的愈发复杂,也引发了一些问题:
1)现有数据配置管理系统中数据易被篡改,安全风险高、监管难;
2)现有数据配置管理系统缺少配置异常业务溯源和责任认定手段;
3)现有数据配置管理系统配置管理效率还有待进一步提高,数据存储中心化,缺乏分布式高效安全数据配置管理手段和呈现方式。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何实现设备配置数据的配置管理功能。
(二)技术方案
为了解决上述技术问题,本发明提供了一种基于区块链的数据可信配置管理系统的设计方法,将系统设计为由配置管理链硬件、配置管理链软件系统组成,配置管理链软件系统运行在配置管理链硬件节点上,实现设备配置数据的配置管理功能。
优选地,被管设备通过网络直接或间接地与配置管理链硬件互通,通过配置管理链软件实现网络设备配置信息,设备状态、事件日志的数据的上链管理;采用模块化方式构建配置管理链软件系统,实现区块链基础组件、区块链层、分级分对象保护服务层、分级分对象可视化呈现及应用。
优选地,配置管理链软件系统设计为包括:
(1)基础组件,基础组件中密码算法组件提供区块链加解密服务,隐私保护组件提供身份及数据的隐私保护服务,基础组件中硬件管理组件提供自主硬件服务节点的管理,基础组件中分布式文件存储服务组件提供为配置信息发布与提交、配置存证提供统一的通用分布式文件服务;
(2)区块链层,区块链层提供功能支撑组件、共识组件、账本组件、P2P组件、分布式存储组件及安全防护组件,在智能合约组件中编码实现并部署发布与提交智能合约、配置信息存证智能合约、分级分对象保护智能合约及快速审计智能合约;
(3)区块链服务,区块链服务通过统一区块链API组件提供服务,并在基础组件、区块链层及区块链服务的配置管理链上构建配置数据链、存证数据链及审计链;
(4)分级分对象保护服务,分级分对象保护服务基于智能合约访问链上分布式账本中的配置目录信息,包括配置对象目录、配置信息分级目录,构建配置访问控制模型、配置信息评估模型与身份认证模型;
(5)分级分对象可视化呈现模块,分级分对象可视化呈现模块的可视化呈现流程分为如下几步:
步骤一,数据整理,定义统一的数据格式,明确字段属性及代码值,对配置数据、链数据进行数据整理,清洗数据并提取数据特征;
步骤二,数据图表展示设计,针对配置过程及配置数据进行展示设计,包括过滤器、布局、颜色、大小,以及选用合适的图表展示配置信息,包括设备间参数对比展示、配置列表展示设计、链状态展示设计,同时设计数据间的导航路径从而实现钻取、跳转等符合配置业务逻辑的展示;
步骤三,交互展示,通过可视化实现技术,在前端页面中嵌入可视化JS,实现配置的交互展示;
(6)数据配置管理链应用层,数据配置管理链应用层为配置操作员、配置监管者、配置审计人员提供配置管理应用功能。
本发明还提供了一种基于所述的方法实现的基于区块链的分布式数据可信配置管理方法,包括以下配置步骤:
初装配置:配置员带身份认证进行初装配置,实现设备配置信息初始化,下载配置信息包括软件、参数,并将设备参数及软件版本上链存证;
运行配置:在设备运行期间,配置员带身份认证进行配置修改,包括参数调整、软件版本升级,并将调整后的参数上链存证,运行期间定时从设备获取参数、软件版本信息与链上配置存证信息进行比对;
退役配置:在设备退运时,配置员带身份认证进行退运配置,将设备的参数、软件进行注销,清空设备参数存储,并使设备下线。
优选地,在配置完成后,执行如下步骤:
步骤一,将初装、运行、退役三个阶段的配置信息通过区块链的分布式账本、加密存储、链上共识一致及时间戳服务技术实现配置信息全过程上链存储;
步骤二,将设备信息和操作日志等信息上链存储,实现设备配置信息的全生命周期上链。
优选地,所述配置管理链硬件包括处理器模块、网络接口模块、存储系统模块、硬件加速模块;配置管理链软件系统运行在配置管理链硬件裁剪后的操作系统上层,构建软硬件一体化的配置管理链节点;
本发明还提供了一种基于所述的方法实现的基于区块链的数据可信配置管理信息发布与提交方法,包括以下步骤:
步骤一,设备的各管理机构间构建可信配置链,各区块链节点进行设备的软件、参数的配置信息发布与提交,包括身份信息、配置信息、操作记录;
步骤二,配置信息经过共识后提交,配置管理区块链节点所组成的区块链网络收到设备返回的配置确认信息,进行核对,如没有问题则进入共识阶段,否则返回告警信息;在积累一定量的配置信息后,共识节点将这些信息打包成区块,并广播到所有配置主机,所有节点将相同的区块提交到本地区块链中,并根据每一区块中的具体配置信息修改本地状态数据库;
优选地,包括版本号,前一区块hash值,时间戳,本区块Hash值等可信配置管理信息存储在区块头中,各信息的内容如下:
(1)版本号:表明智能合约的版本;
(2)前一区块的Hash值:为前一区块32字节的Hash散列计算结果;
(3)时间戳:生成区块的时间;
(4)本区块的Hash值:为本区块32字节的Hash散列计算结果;
优选地,包括配置类别、配置角色签名、设备签名、参数或软件版本、参数值、设备地址及时间戳信息等可信配置管理信息存储在区块体中,各信息的内容如下:
(1)配置类别:指是软件更新或参数配置,或两者兼有;
(2)配置角色签名:指基于非对称加密码算法,用配置角色私钥对本条配置信息Hash值的加密码签名,保证上链配置信息的可信;
(3)设备签名:指基于非对称加密码算法,用设备私钥对上传参数、软件版本等配置信息Hash值的加密码签名,保证接入设备的可信;
(4)参数或软件版本:参数名称或软件名称;
(5)参数值:指参数数据或软件数据;
(6)设备地址:指设备网络地址;
(7)时间戳:指设备配置生效时间。
本发明还提供了一种基于所述的方法实现的区块链的数据可信配置管理信息存证方法,包括以下步骤:
步骤一,可信配置管理员进行身份验证,经过身份验证后,方可对可信配置区块链系统进行相关操作;
步骤二,可信配置管理员通过可信配置区块链系统,进行如下操作:
(1)基于智能合约的配置管理信息存证,通过运用数字证书对区块链节点、配置管理员、设备进行身份认证;
(2)基于可信时间服务提供的存证可信时间服务能力,在配置管理过程中对配置操作、设备参数、设备软件、软件版本信息进行存证。
(三)有益效果
本发明设计的一种基于区块链的数据可信配置管理系统,能够实现设备配置数据的配置管理功能。
附图说明
图1为本发明基于区块链的可信配置管理系统结构图;
图2为本发明基于区块链的分布式数据可信配置管理流程图;
图3为本发明区块链数据可信配置管理系统硬件模块图;
图4为本发明基于区块链的数据可信配置管理信息发布与提交示意图;
图5为本发明基于区块链的数据可信配置管理信息存证图;
图6为本发明基于区块链的数据配置管理信息可信快速审计图;
图7为本发明区块链数据可信配置管理系统软件模块图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1为本发明基于区块链的数据可信配置管理系统结构,如图1所示,本发明的基于区块链的可信配置管理系统结构主要由配置管理链硬件和配置管理链软件系统组成。配置管理链软件系统运行在硬件节点上,实现数据的可信配置管理功能。
如图1所示,在网络中配置管理过程涉及多个单位,在各单位网络内部部署配置管理链硬件和软件系统构建配置管理服务节点,该服务节点基于国产自主服务器,类型分为认证节点、记录主节点、记录背书节点、提交节点和锚节点,各节点协同构建配置管理可信分布式环境。
如图1所示,被管设备通过网络直接或间接地与配置管理链硬件节点互通,通过配置管理链软件实现网络设备配置信息,设备状态、事件日志等数据的上链管理。
如图1所示,采用模块化方式构建配置管理链软件系统,实现区块链基础组件、区块链层、分级分对象保护服务层、分级分对象可视化呈现及应用。
(1)基础组件,本模块中密码算法组件提供区块链加解密服务,隐私保护组件提供身份及数据的隐私保护服务,硬件管理组件提供自主硬件服务节点的管理,分布式文件存储服务组件提供为配置信息发布与提交、配置存证等提供统一的通用分布式文件服务。
基础组件模块提供支撑可信配置管理系统构建的基础服务。
(2)区块链层,本模块提供功能支撑组件、共识组件、账本组件、P2P组件、分布式存储组件及安全防护组件,在智能合约组件中编码实现并部署发布与提交智能合约、配置信息存证智能合约、分级分对象保护智能合约及快速审计智能合约。
区块链层模块提供支撑多个区块链节点接入的区块链网络中配置信息相关链上数据的防篡改、分布式一致性及可追溯审计。
(3)区块链服务,本模块通过统一区块链API组件提供服务,并在基础组件、区块链层及区块链服务的配置管理链上构建配置数据链、存证数据链及审计链。
区块链服务模块针对设备在初装、运行、退役等环节,实现配置信息发布与提交、配置信息的存证及快速审计。
(4)分级分对象保护服务,本模块基于智能合约访问链上分布式账本中的配置目录信息,包括配置对象目录、配置信息分级目录,构建配置访问控制模型、配置信息评估模型与身份认证模型。
分级分对象保护服务模块实现了配置管理信息的分级分对象安全防护。
(5)分级分对象可视化呈现,本模块可视化呈现流程大致分为如下几步:
步骤一,数据整理,定义统一的数据格式,明确字段属性及代码值,对配置数据、链数据进行数据整理,清洗数据并提取数据特征。
步骤二,数据图表展示设计,针对配置过程及配置数据进行展示设计,包括过滤器、布局、颜色、大小,以及选用合适的图表展示配置信息,包括设备间参数对比展示、配置列表展示设计、链状态展示设计,同时设计数据间的导航路径从而实现钻取、跳转等符合配置业务逻辑的展示。
步骤三,交互展示,通过可视化实现技术,在前端页面中嵌入可视化JS,实现配置的交互展示。
分级分对象可视化呈现模块提供用户体验良好的可视化呈现,构建可信配置管理信息分级受控的可视化呈现组件,最后呈现给用户的UI控制,设计有回路的配置管理可视化呈现方法。
(6)数据配置管理链应用层,本模块为配置操作员、配置监管者、配置审计等人员提供配置管理应用功能。
其中配置管理组件提供配置信息发布、软件下载、管理规则更新、配置校验等功能,配置存证组件提供认证信息存证、软件版本存证、参数信息存证及校验结果存证等功能,配置审计组件提供日志记录、异常预警、设备状态及实时审计功能,配置认证组件提供身份认证、证书颁发、权限管理、配置注册等功能,可视化组件提供统一配置信息下载管理界面、状态信息界面、审计存证界面、登录认证界面及证书权限界面。
图2所示为本发明基于区块链的分布式数据可信配置管理流程图。
初装配置:配置员带身份认证进行初装配置,实现设备配置信息初始化,下载配置信息包括软件、参数等,并将设备参数及软件版本等上链存证。
运行配置:在设备运行期间,配置员带身份认证进行配置修改,包括参数调整、软件版本升级,并将调整后的参数上链存证,运行期间定时从设备获取参数、软件版本等信息与链上配置存证信息进行比对,从而保障运行配置准确性。
退役配置:在设备退运时,配置员带身份认证进行退运配置,将设备的参数、软件进行注销,清空设备参数存储,并使设备下线。
如图2所示,基于区块链的分布式数据可信配置管理流程包括:
步骤一,将初装、运行、退役三个阶段的配置信息通过区块链的分布式账本、加密存储、链上共识一致及时间戳服务等技术实现配置信息全过程上链存储。
步骤二,将设备信息和操作日志等信息上链存储,实现设备配置信息的全生命周期上链。
图3所示为本发明基区块链数据可信配置管理系统硬件模块,如图3所示,本发明的基于区块链的数据可信配置管理系统结构主要由处理器模块、网络接口模块、存储系统模块、硬件加速模块组成。配置管理链软件系统运行在硬件模块裁剪后的操作系统上层,构建软硬件一体化的配置管理链节点。
针对现有配置管理采用中心化管理模式,配置数据集中存储、配置操作及设备状态数据多、统管难的问题,基于区块链智能合约的强规则执行和数据一致性共识的特点,研究基于区块链的数据可信配置管理信息发布与提交技术。
图4所示为本发明基于区块链的数据可信配置管理信息发布与提交示意图,该过程是基于区块链的数据可信配置管理系统中应用层的第一个环节。实现基于区块链的数据可信配置管理信息发布与提交可以分为以下两步:
步骤一,设备的各管理机构间构建可信配置链,各区块链节点进行设备的软件、参数等配置信息发布与提交,包括身份信息、配置信息、操作记录等。
步骤二,配置信息经过共识后提交,配置管理区块链节点所组成的区块链网络收到设备返回的配置确认信息,进行核对,如没有问题则进入共识阶段,否则返回告警信息。在积累一定量的配置信息后,共识节点将这些信息打包成区块,并广播到所有配置主机(含管理节点),所有节点将相同的区块提交到本地区块链中,并根据每一区块中的具体配置信息修改本地状态数据库。
通过这样的方法保证了分布式网络中的配置信息提交的一致性,从而实现分布式可信配置管理。
如图4所示,包括版本号,前一区块hash值,时间戳,本区块Hash值等可信配置管理信息存储在区块头中。各信息的内容如下所示:
(1)版本号:表明智能合约的版本;
(2)前一区块的Hash值:为前一区块32字节的Hash散列计算结果;
(3)时间戳:生成区块的时间;
(4)本区块的Hash值:为本区块32字节的Hash散列计算结果。
如图4所示,包括配置类别、配置角色签名、设备签名、参数或软件版本、参数值、设备地址及时间戳信息等可信配置管理信息存储在区块体中。各信息的内容如下所示:
(1)配置类别:指是软件更新或参数配置,或两者兼有;
(2)配置角色签名:指基于非对称加密码算法,用配置角色私钥对本条配置信息Hash值的加密码签名,保证上链配置信息的可信;
(3)设备签名:指基于非对称加密码算法,用设备私钥对上传参数、软件版本等配置信息Hash值的加密码签名,保证接入设备的可信;
(4)参数或软件版本:参数名称或软件名称;
(5)参数值:指参数数据或软件数据;
(6)设备地址:指设备网络地址;
(7)时间戳:指设备配置生效时间。
针对配置异常业务溯源难的问题,利用区块链智能合约对配置管理要求及配置变化信息序列存储、规则约束、融合,研究基于区块链的数据可信配置管理信息存证技术,提高保障过程中业务排障及异常业务溯源、查因的能力。
图5所示为本发明基于区块链的数据可信配置管理信息存证示意图,该过程是基于区块链的数据可信配置管理系统中应用层的第二个环节。
区块链的数据可信配置管理信息存证可分为如下两步:
步骤一,可信配置管理员进行身份验证,经过身份验证后,方可对可信配置区块链系统进行相关操作。
步骤二,可信配置管理员通过可信配置区块链系统,进行如下操作:
(1)基于智能合约的配置管理信息存证,通过运用数字证书对区块链节点、配置管理员、设备等进行身份认证,
(2)基于可信时间服务提供的存证可信时间服务能力,在配置管理过程中对配置操作、设备参数、设备软件、软件版本等信息进行存证。
如图5所示,可信配置区块链系统提供完备的区块链功能。所有的配置信息及配置操作均在链上存储,利用区块链本身的块链式数据结构、多中心的分布式账本等特点,以及共识机制,实现配置信息和配置操作的不可篡改。具体功能实现如下所示:
(1)区块链基础服务,该服务提供认证服务,可信时间服务和数据服务等区块链基础服务。认证服务主要是实现对接入身份、数字证书等的校验服务,主要用于用户在上传配置信息时的信息校验。验证上传信息的用户身份,有利于保障上传数据质量,防止非法用户将错误信息上传至区块链以及盗取数据等违规行为。可信时间服务主要是为在区块链上的所有操作附上时间戳信息,方便后续进行审计工作。数据服务主要是实现了区块链中对于数据的添加,删除,修改,查询等基本功能。
(2)智能合约服务,智能合约是可执行链码,也部署在节点上,其为预先的业务流程编码了相关的规则,具有不可篡改等特点。利用智能合约实现的方案,具有可信和安全的优点。通过在智能合约内定义业务流程相关规则,以及与若干区块链基础功能的结合,仅需发送相关业务请求及参数,智能合约就可以自动完成相关配置管理功能。存证与数据上链功能是指将相关具体配置信息(参数、算法、软件、软件版本等)和配置操作(具体操作,操作时间等),上传到区块链中进行存证。
(3)配置应用服务,该服务为可信配置管理员提供链上配置信息的存证,审计等功能。同时,可信配置管理员在链上进行以上操作时,操作记录(包括可信配置管理员身份、具体操作、操作时间)也会被记录在区块链中进行存证,方便进行审计等工作。
针对配置异常业务导致事故责任认定难得问题,设备配置过程中容易成为监管盲点,调试、运维等过程中的频繁修改对版本、参数对审计提出了较高要求,出现问题也难以定位审计。基于区块链智能合约自动执行、多方共识和不可篡改的技术特点,通过链上记录的配置操作记录、身份认证记录及设备事件等配置审计信息,研究基于区块链的数据配置管理信息可信审计,改善当前依赖各部门和责任主体多方对照回忆,人为厘清事实、审计的方式,提高保证中配置异常业务导致事故责任认定能力。
图6所示为本发明基于区块链的数据配置管理信息可信快速审计示意图,该过程是基于区块链的数据可信配置管理系统中应用层的第三个环节。该环节主要实现了以下两个功能:
(1)配置行为可信上链,设备配置过程中的身份认证记录、配置行为记录、设备事件带签名可信上链。由于区块链具有数据不可篡改,一旦存入数据库则不可更改等特性,使得配置行为一旦上链则不可更改。并在配置管理信息联盟链中通过共识机制确保数据一致性,从而实现多中心一致审计。
(2)基于链上的智能合约,固化审计规则实现配置行为的安全预警,从而实现主动审计。在整个审计工作中,审计主要分为三部分构成,分别为配置正确性审计、配置业务审计以及配置人员审计。
图7所示为本发明基于区块链数据可信配置管理系统软件模块图,该图是基于区块链的数据可信配置管理系统的具体软件实现。
如图7所示,区块链数据可信配置管理系统软件基础设施分为以下几个部分:
应用容器引擎:区块链构建采用Docker应用容器引擎,容器完全使用沙箱机制,彼此相互隔离。Peer节点、CA节点和排序节点均制作为Docker Image,以方便系统部署使用。
虚拟机及操作系统:系统运行于Ubuntu操作系统上,在Ubuntu操作系统中部署JAVA虚拟机。
JAVA容器框架:采用spring框架,支持控制反转(Inversion of Control,IoC)和面向切面编程(Aspect Oriented Programming,AOP)。IoC把创建对象的权利交给框架,对象生成放在XML里定义,提高对象构建及对象依赖关系创建的构建效率。AOP是一种通过预编译方式和运行期动态代理实现程序功能的统一维护的技术,主要用于日志记录,性能统计,安全控制,事务处理,异常处理等等。
系统日志:系统统一使用SLF4J日志系统。SLF4J提供了统一的记录日志的接口,只要按照其提供的方法记录即可,最终日志的格式、记录级别、输出方式等通过具体日志系统的配置来实现,因此可以在应用中灵活切换日志系统。
数据库:使用LevelDB数据库。LevelDB是一个非常高效的kv数据库,能够支持billion级别的数据量。
网络通信框架:网络通信框架选用Netty。Netty提供异步的、事件驱动的网络应用程序框架和工具,用以快速开发高性能、高可靠性的网络服务器和客户端程序。
P2P协议:选用gossip,在一个有界网络中,每个节点都随机地与其他节点通信,经过一番杂乱无章的通信,最终所有节点的状态都会达成一致。Gossip协议的JAVA实现基于开源数据库项目Cassandra。
远程过程调用:选用gPRC,gRPC是开源的一个高性能、跨语言的RPC框架,基于HTTP2协议,基于protobuf 3.x和Netty 4.x+。
如图7所示,区块链数据可信配置管理系统软件接口层,对外可提供CLI、gRPC、RESTful(可选)等形态的接口。
如图7所示,区块链数据可信配置管理系统软件应用层,采用HTML技术框架,包括JS、CSS等实现配置信息及配置过程的数据可视化呈现。
如图7所示,区块链数据可信配置管理系统软件密码层,提供基础密码服务。
本发明提出一种基于区块链的数据可信配置管理系统。通过对配置管理数据的提交上链与发布、配置管理信息存证、配置管理信息可信审计及配置管理链运行在区块链硬件节点上,基于管理框架实现数据可信配置管理功能。
本发明充分考虑配置管理数据存证、审计、防篡改、高可用性的原则,综合利用区块链智能合约和分布式链式存储架构,采用成熟、高效的技术和框架,弥补了配置管理系统在软件架构、自主硬件上的不足,有效防止了对敏感配置管理数据的篡改,提升了数据存证、追踪审计和分布式存储能力。具体表现为:
(1)系统采用区块链分布式及链式存储结构,存储结构无中心、系统高可用,数据防篡改;
(2)系统采用上链存证与智能合约审计方式,实现对置异常业务溯源和责任认定;
(3)系统采用数据分级设计与呈现方式,提高数据配置管理效率。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种基于区块链的数据可信配置管理系统的设计方法,其特征在于,将系统设计为由配置管理链硬件、配置管理链软件系统组成,配置管理链软件系统运行在配置管理链硬件节点上,实现设备配置数据的配置管理功能。
2.如权利要求1所述的方法,其特征在于,被管设备通过网络直接或间接地与配置管理链硬件互通,通过配置管理链软件实现网络设备配置信息,设备状态、事件日志的数据的上链管理;采用模块化方式构建配置管理链软件系统,实现区块链基础组件、区块链层、分级分对象保护服务层、分级分对象可视化呈现及应用。
3.如权利要求2所述的方法,其特征在于,配置管理链软件系统设计为包括:
(1)基础组件,基础组件中密码算法组件提供区块链加解密服务,隐私保护组件提供身份及数据的隐私保护服务,基础组件中硬件管理组件提供自主硬件服务节点的管理,基础组件中分布式文件存储服务组件提供为配置信息发布与提交、配置存证提供统一的通用分布式文件服务;
(2)区块链层,区块链层提供功能支撑组件、共识组件、账本组件、P2P组件、分布式存储组件及安全防护组件,在智能合约组件中编码实现并部署发布与提交智能合约、配置信息存证智能合约、分级分对象保护智能合约及快速审计智能合约;
(3)区块链服务,区块链服务通过统一区块链API组件提供服务,并在基础组件、区块链层及区块链服务的配置管理链上构建配置数据链、存证数据链及审计链;
(4)分级分对象保护服务,分级分对象保护服务基于智能合约访问链上分布式账本中的配置目录信息,包括配置对象目录、配置信息分级目录,构建配置访问控制模型、配置信息评估模型与身份认证模型;
(5)分级分对象可视化呈现模块,分级分对象可视化呈现模块的可视化呈现流程分为如下几步:
步骤一,数据整理,定义统一的数据格式,明确字段属性及代码值,对配置数据、链数据进行数据整理,清洗数据并提取数据特征;
步骤二,数据图表展示设计,针对配置过程及配置数据进行展示设计,包括过滤器、布局、颜色、大小,以及选用合适的图表展示配置信息,包括设备间参数对比展示、配置列表展示设计、链状态展示设计,同时设计数据间的导航路径从而实现钻取、跳转等符合配置业务逻辑的展示;
步骤三,交互展示,通过可视化实现技术,在前端页面中嵌入可视化JS,实现配置的交互展示;
(6)数据配置管理链应用层,数据配置管理链应用层为配置操作员、配置监管者、配置审计人员提供配置管理应用功能。
4.一种基于权利要求1至3中任一项所述的方法实现的基于区块链的分布式数据可信配置管理方法,其特征在于,包括以下配置步骤:
初装配置:配置员带身份认证进行初装配置,实现设备配置信息初始化,下载配置信息包括软件、参数,并将设备参数及软件版本上链存证;
运行配置:在设备运行期间,配置员带身份认证进行配置修改,包括参数调整、软件版本升级,并将调整后的参数上链存证,运行期间定时从设备获取参数、软件版本信息与链上配置存证信息进行比对;
退役配置:在设备退运时,配置员带身份认证进行退运配置,将设备的参数、软件进行注销,清空设备参数存储,并使设备下线。
5.如权利要求4所述的方法,其特征在于,在配置完成后,执行如下步骤:
步骤一,将初装、运行、退役三个阶段的配置信息通过区块链的分布式账本、加密存储、链上共识一致及时间戳服务技术实现配置信息全过程上链存储;
步骤二,将设备信息和操作日志等信息上链存储,实现设备配置信息的全生命周期上链。
6.如权利要求5所述的方法,其特征在于,所述配置管理链硬件包括处理器模块、网络接口模块、存储系统模块、硬件加速模块;配置管理链软件系统运行在配置管理链硬件裁剪后的操作系统上层,构建软硬件一体化的配置管理链节点。
7.一种基于权利要求1至6中任一项所述的方法实现的基于区块链的数据可信配置管理信息发布与提交方法,其特征在于,包括以下步骤:
步骤一,设备的各管理机构间构建可信配置链,各区块链节点进行设备的软件、参数的配置信息发布与提交,包括身份信息、配置信息、操作记录;
步骤二,配置信息经过共识后提交,配置管理区块链节点所组成的区块链网络收到设备返回的配置确认信息,进行核对,如没有问题则进入共识阶段,否则返回告警信息;在积累一定量的配置信息后,共识节点将这些信息打包成区块,并广播到所有配置主机,所有节点将相同的区块提交到本地区块链中,并根据每一区块中的具体配置信息修改本地状态数据库。
8.如权利要求7所述的方法,其特征在于,包括版本号,前一区块hash值,时间戳,本区块Hash值等可信配置管理信息存储在区块头中,各信息的内容如下:
(1)版本号:表明智能合约的版本;
(2)前一区块的Hash值:为前一区块32字节的Hash散列计算结果;
(3)时间戳:生成区块的时间;
(4)本区块的Hash值:为本区块32字节的Hash散列计算结果。
9.如权利要求8所述的方法,其特征在于,包括配置类别、配置角色签名、设备签名、参数或软件版本、参数值、设备地址及时间戳信息等可信配置管理信息存储在区块体中,各信息的内容如下:
(1)配置类别:指是软件更新或参数配置,或两者兼有;
(2)配置角色签名:指基于非对称加密码算法,用配置角色私钥对本条配置信息Hash值的加密码签名,保证上链配置信息的可信;
(3)设备签名:指基于非对称加密码算法,用设备私钥对上传参数、软件版本等配置信息Hash值的加密码签名,保证接入设备的可信;
(4)参数或软件版本:参数名称或软件名称;
(5)参数值:指参数数据或软件数据;
(6)设备地址:指设备网络地址;
(7)时间戳:指设备配置生效时间。
10.一种基于权利要求1至6中任一项所述的方法实现的区块链的数据可信配置管理信息存证方法,其特征在于,包括以下步骤:
步骤一,可信配置管理员进行身份验证,经过身份验证后,方可对可信配置区块链系统进行相关操作;
步骤二,可信配置管理员通过可信配置区块链系统,进行如下操作:
(1)基于智能合约的配置管理信息存证,通过运用数字证书对区块链节点、配置管理员、设备进行身份认证;
(2)基于可信时间服务提供的存证可信时间服务能力,在配置管理过程中对配置操作、设备参数、设备软件、软件版本信息进行存证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010867544.3A CN112039866B (zh) | 2020-08-26 | 2020-08-26 | 一种基于区块链的数据可信配置管理系统的设计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010867544.3A CN112039866B (zh) | 2020-08-26 | 2020-08-26 | 一种基于区块链的数据可信配置管理系统的设计方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112039866A true CN112039866A (zh) | 2020-12-04 |
| CN112039866B CN112039866B (zh) | 2022-05-27 |
Family
ID=73581395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010867544.3A Active CN112039866B (zh) | 2020-08-26 | 2020-08-26 | 一种基于区块链的数据可信配置管理系统的设计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112039866B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113190285A (zh) * | 2021-04-23 | 2021-07-30 | 神荼科技(山东)有限公司 | 基于区块链的虚拟环境安全检测方法、装置以及存储介质 |
| CN113259464A (zh) * | 2021-06-02 | 2021-08-13 | 支付宝(杭州)信息技术有限公司 | 组建区块链子网的方法和区块链系统 |
| CN115174385A (zh) * | 2022-06-15 | 2022-10-11 | 桂林电子科技大学 | 一种基于区块链的工业物联网设备固件软件更新方法 |
| CN116319082A (zh) * | 2023-05-17 | 2023-06-23 | 富算科技(上海)有限公司 | 基于区块链的配置数据的处理方法、系统、设备和介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391617A (zh) * | 2018-10-15 | 2019-02-26 | 天津理工大学 | 一种基于区块链的网络设备配置管理方法及客户端 |
| US20190149429A1 (en) * | 2016-06-20 | 2019-05-16 | Innogy Innovation Gmbh | Software defined networking system |
| US20190280872A1 (en) * | 2016-08-24 | 2019-09-12 | Siemens Aktiengesellshaft | Secure configuration of a device |
| CN110309634A (zh) * | 2019-04-04 | 2019-10-08 | 深圳大通实业股份有限公司 | 一种基于区块链的可信广告数据管理系统 |
| US20190373472A1 (en) * | 2018-03-14 | 2019-12-05 | Clyde Clinton Smith | Method and System for IoT Code and Configuration using Smart Contracts |
| CN110784495A (zh) * | 2019-12-31 | 2020-02-11 | 南京纳网网络技术有限公司 | 基于区块链的大数据集群系统的发现与配置信息管理方法 |
| CN110912937A (zh) * | 2019-12-23 | 2020-03-24 | 杭州中科先进技术研究院有限公司 | 一种基于区块链的数字存证平台和存证方法 |
| CN110933187A (zh) * | 2019-12-25 | 2020-03-27 | 成都康胜思科技有限公司 | 基于区块链共识加密机制的物联网数据传输系统 |
| US10698738B1 (en) * | 2019-06-27 | 2020-06-30 | Alibaba Group Holding Limited | Implementing a blockchain-based workflow |
-
2020
- 2020-08-26 CN CN202010867544.3A patent/CN112039866B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190149429A1 (en) * | 2016-06-20 | 2019-05-16 | Innogy Innovation Gmbh | Software defined networking system |
| US20190280872A1 (en) * | 2016-08-24 | 2019-09-12 | Siemens Aktiengesellshaft | Secure configuration of a device |
| US20190373472A1 (en) * | 2018-03-14 | 2019-12-05 | Clyde Clinton Smith | Method and System for IoT Code and Configuration using Smart Contracts |
| CN109391617A (zh) * | 2018-10-15 | 2019-02-26 | 天津理工大学 | 一种基于区块链的网络设备配置管理方法及客户端 |
| CN110309634A (zh) * | 2019-04-04 | 2019-10-08 | 深圳大通实业股份有限公司 | 一种基于区块链的可信广告数据管理系统 |
| US10698738B1 (en) * | 2019-06-27 | 2020-06-30 | Alibaba Group Holding Limited | Implementing a blockchain-based workflow |
| CN110912937A (zh) * | 2019-12-23 | 2020-03-24 | 杭州中科先进技术研究院有限公司 | 一种基于区块链的数字存证平台和存证方法 |
| CN110933187A (zh) * | 2019-12-25 | 2020-03-27 | 成都康胜思科技有限公司 | 基于区块链共识加密机制的物联网数据传输系统 |
| CN110784495A (zh) * | 2019-12-31 | 2020-02-11 | 南京纳网网络技术有限公司 | 基于区块链的大数据集群系统的发现与配置信息管理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 徐美强 等: "基于区块链技术的智能变电站配置版本管理", 《电力系统保护与控制》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113190285A (zh) * | 2021-04-23 | 2021-07-30 | 神荼科技(山东)有限公司 | 基于区块链的虚拟环境安全检测方法、装置以及存储介质 |
| CN113259464A (zh) * | 2021-06-02 | 2021-08-13 | 支付宝(杭州)信息技术有限公司 | 组建区块链子网的方法和区块链系统 |
| CN113259464B (zh) * | 2021-06-02 | 2021-11-02 | 支付宝(杭州)信息技术有限公司 | 组建区块链子网的方法和区块链系统 |
| CN115174385A (zh) * | 2022-06-15 | 2022-10-11 | 桂林电子科技大学 | 一种基于区块链的工业物联网设备固件软件更新方法 |
| CN115174385B (zh) * | 2022-06-15 | 2024-04-02 | 桂林电子科技大学 | 一种基于区块链的工业物联网设备固件软件更新方法 |
| CN116319082A (zh) * | 2023-05-17 | 2023-06-23 | 富算科技(上海)有限公司 | 基于区块链的配置数据的处理方法、系统、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112039866B (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112039866B (zh) | 一种基于区块链的数据可信配置管理系统的设计方法 | |
| US11121872B2 (en) | Trusted verification of cybersecurity remediation | |
| Khan et al. | Cloud log forensics: Foundations, state of the art, and future directions | |
| EP3724755B1 (en) | Artifact lifecycle management on a cloud computing system | |
| Zhou et al. | Secure network provenance | |
| US20130254882A1 (en) | Multi-domain identity interoperability and compliance verification | |
| CN107273748B (zh) | 一种基于漏洞poc实现安卓系统漏洞检测的方法 | |
| CN114297174A (zh) | 区块链实现的数据迁移审计轨迹 | |
| JP2012150805A (ja) | システムアプリケーション処理に関連する詐欺を検出するシステムおよび方法 | |
| CN114041134A (zh) | 用于基于区块链的安全存储的系统和方法 | |
| CN114207615A (zh) | 用于维护具有隐私的不可变数据访问日志的系统和方法 | |
| CN111694743A (zh) | 业务系统的检测方法及装置 | |
| CN112491804A (zh) | 一种基于区块链的ics安全策略方法 | |
| Bai et al. | Resilience-driven quantitative analysis of vehicle platooning service | |
| CN116468397A (zh) | 一种云数据中心设备管理系统 | |
| CN115176241A (zh) | 用于使用分布式账本跟踪数据沿袭和记录生命周期的系统和方法 | |
| CN113360924A (zh) | 数据处理方法、装置、电子设备及介质 | |
| KR102657160B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| KR102656871B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| KR102657165B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| KR102660695B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| KR102657161B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| WO2019121676A1 (fr) | Systeme de gestion de video-surveillance | |
| Ma et al. | Egi security monitoring | |
| KR102657163B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |