CN113032814B - 物联网数据管理方法和系统 - Google Patents
物联网数据管理方法和系统 Download PDFInfo
- Publication number
- CN113032814B CN113032814B CN202110464769.9A CN202110464769A CN113032814B CN 113032814 B CN113032814 B CN 113032814B CN 202110464769 A CN202110464769 A CN 202110464769A CN 113032814 B CN113032814 B CN 113032814B
- Authority
- CN
- China
- Prior art keywords
- data
- internet
- things
- target
- main body
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种物联网数据管理方法和系统,所述方法包括:所述物联网网关根据数据私钥对所述物联网设备发送的物联网数据进行加密,得到目标加密数据,其中所述物联网设备为所述数据认证服务器关联认证的信任设备;所述物联网网关获取所述目标加密数据的目标数据指纹;所述物联网网关将所述目标数据指纹和所述目标加密数据的权限信息发送到所述数据认证服务器进行存储;所述数据存储服务器根据所述目标数据指纹对接收的目标加密数据进行完整性验证,若所述目标加密数据验证成功时,将所述目标加密数据存储到目标区域。本发明解决了现有技术的物联网数据管理方法存在数据窃用、故障和丢失的问题,满足了物联网数据管理的需求。
Description
技术领域
本发明涉及数据管理技术领域,具体涉及一种物联网数据管理方法和系统。
背景技术
随着嵌入式处理器和设备的不断发展,近年来的设备很多都具备了通讯,计算和存储能力,例如随处可见的智能手表、智能电视、心率监测仪等物联网设备,在拥有计算和通讯能力之后这些物联网设备可以收集和传输大量的数据,其中就包括一些与隐私相关的敏感数据。但是面对着收集的海量数据,有些物联网设备由于本身资源的限制无法对数据进行处理,通常需要采用第三方数据服务提供商来进行数据处理。
在传统物联网数据管理模式主要存在以下问题:首先,物联网数据中包含着用户的隐私数据,将收集到的物联网数据转交给第三方数据服务提供商进行处理,意味着用户需要无条件信任数据服务提供商,而实际上服务提供商在获取数据的时候可以在未经授权的情况下收集用户的隐私数据;其次,物联网数据管理是以集中式模式运作的,数据都存储在中心节点,容易出现单点故障问题,并且管理上一旦出现失误就会导致数据丢失。
可见,现有技术的物联网数据管理方法存在数据窃用、故障和丢失的问题,不满足现代物联网数据管理的需求。
发明内容
针对现有技术中所存在的不足,本发明提供的物联网数据管理方法和系统,其解决了现有技术的物联网数据管理方法存在数据窃用、故障和丢失的问题,满足了物联网数据管理的需求。
第一方面,本发明提供一种物联网数据管理方法,应用于物联网数据管理系统,所述物联网数据管理系统包括物联网设备、物联网网关、数据认证服务器和数据存储服务器,所述方法包括:所述物联网网关根据数据私钥对所述物联网设备发送的物联网数据进行加密,得到目标加密数据,其中所述物联网设备为所述数据认证服务器关联认证的信任设备;所述物联网网关获取所述目标加密数据的目标数据指纹;所述物联网网关将所述目标数据指纹和所述目标加密数据的权限信息发送到所述数据认证服务器进行存储;所述数据存储服务器根据所述目标数据指纹对接收的目标加密数据进行完整性验证,若所述目标加密数据验证成功时,将所述目标加密数据存储到目标区域,使数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据。
可选地,所述物联网网关根据数据私钥对所述物联网设备发送的物联网数据进行加密,得到目标加密数据之前,所述方法还包括:第一主体根据第一身份私钥对所述物联网设备进行签名,得到第一签名标识;所述数据认证服务器接收所述第一主体发送的注册认证请求,所述注册认证请求包括所述第一签名标识、数据访问权限和物联网设备的目标设备ID;所述数据认证服务器根据所述第一签名标识和所述目标设备ID,对所述物联网设备和所述第一主体进行关联认证。
可选地,当所述物联网设备的所有权发生转移时,所述方法还包括:所述第一主体根据所述第一身份私钥对第二主体的身份信息进行签名,得到身份认证标识;所述第二主体将所述身份认证标识发送到所述数据认证服务器,使所述数据认证服务器根据所述身份认证标识为所述第二主体分配第二身份私钥;所述第二主体根据所述第二身份私钥对所述物联网设备进行签名,得到第二签名标识;所述第二主体将所述第二签名标识和所述目标设备ID发送到所述数据认证服务器,使所述数据认证服务器根据所述第二签名标识和所述目标设备ID,对所述物联网设备和所述第二主体进行关联认证。
可选地,所述数据存储服务器根据所述目标数据指纹对接收的目标加密数据进行完整性验证,若所述目标加密数据验证成功时,将所述目标加密数据存储到目标区域,包括:所述数据存储服务器将接收到的所述目标加密数据加载到可信任区域;在所述可信任区域获取所述目标加密数据的当前数据指纹;判断所述当前数据指纹是否与所述目标数据指纹相同;若当前数据指纹与所述目标数据指纹相同时,将所述目标加密数据存储到目标区域。
可选地,所述数据存储服务器将接收到的所述目标加密数据加载到可信任区域之前,所述方法还包括:所述数据存储服务器接收所述物联网网关发送的可信验证请求;所述数据存储服务器将对所述可信验证请求进行身份签名,生成验证报告;所述数据存储服务器将所述验证报告发送到所述目标网关,使所述物联网网关将所述验证报告发送到数据认证服务器进行验证;当验证成功后,所述物联网网关发送所述目标加密数据到所述数据存储服务器。
可选地,所述数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据,包括:所述数据存储服务器接收所述数据使用主体发送的数据操作请求,所述数据操作请求包括所述数据使用主体的身份信息和当前操作权限;所述数据存储服务器根据所述身份信息,判断所述当前操作权限是否有效;若当前操作权限有效时,所述数据存储服务器从所述目标区域提取所述目标加密数据,并将所述目标加密数据发送到所述数据使用主体。
可选地,所述数据存储服务器接收所述数据使用主体发送的数据操作请求之前,所述方法还包括:所述数据使用主体发送注册登记请求到所述数据认证服务器,使所述数据认证服务器为所述数据使用主体分配数据操作权限。
可选地,所述数据认证服务器通过区块链存储所述目标数据指纹和所述目标加密数据的权限信息。
可选地,所述数据存储服务器通过分布式文件存储系统存储所述目标加密数据。
第二方面,本发明提供一种物联网数据管理系统,所述系统包括:物联网设备、物联网网关、数据认证服务器和数据存储服务器;所述物联网设备用于获取物联网数据;所述物联网网关用于接收所述物联网设备发送的物联网数据,还用于根据数据私钥对所述物联网数据进行加密,得到目标加密数据,还用于获取所述目标加密数据的目标数据指纹;所述数据认证服务器用于接收并存储所述物联网网关发送的所述目标数据指纹和所述目标加密数据的权限信息;所述数据存储服务器用于根据所述目标数据指纹对接收的目标加密数据进行完整性验证,将验证成功的目标加密数据存储到目标区域,使数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据。
相比于现有技术,本发明具有如下有益效果:
本发明对关联认证的信任物联网设备发送的物联网数据进行加密后得到目标加密数据,根据所述目标加密数据计算出目标数据指纹,将目标数据指纹存储在数据认证服务器,在加密数据的传输过程中通过所述目标数据指纹对目标加密数据进行完整性验证,并将经过完整性验证成功的目标加密数据存储在数据存储服务器,使数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据;本发明通过不同的服务器分别存储数据指纹和加密数据,保证了数据的安全性,不容易被窃取和盗用物联网数据;本发明通过目标数据指纹对传输中的加密数据进行完整性验证,将验证成功的加密数据才进行存储,保证了数据的完整性;因此,解决了现有技术的物联网数据管理方法存在数据窃用、故障和丢失的问题,满足了物联网数据管理的需求。
附图说明
图1所示为现有技术的物联网数据管理系统的架构示意图;
图2所示为本发明实施例提供的一种物联网数据管理系统的架构示意图;
图3所示为本发明实施例提供的一种物联网数据管理方法的流程示意图;
图4所示为本发明实施例提供的区块链数据结构示意图;
图5所示为本发明实施例提供的一种数据存储流程示意图;
图6所示为本发明实施例提供的一种数据查询流程示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1所示为现有技术的物联网数据管理系统的架构示意图;传统的物联网数据管理是以集中式模式运作的,数据都存储在中心节点,因此容易出现单点故障问题,如图1所示,数据的存储同样是以一种集中存储的方式存储,尽管会引入备份节点,但是这些数据节点都是云服务商统一管理的,管理上一旦出现失误就会导致数据丢失;与此同时这种存储模式存储成本高、数据容易丢失、窃用,数据恢复程序复杂。
为了解决上述问题,本发明提供一种物联网数据管理系统,如图2所示,所述物联网数据管理系统具体包括:
物联网设备、物联网网关、数据认证服务器和数据存储服务器;
所述物联网设备用于获取物联网数据;
所述物联网网关用于接收所述物联网设备发送的物联网数据,还用于根据数据私钥对所述物联网数据进行加密,得到目标加密数据,还用于获取所述目标加密数据的目标数据指纹;
所述数据认证服务器用于接收并存储所述物联网网关发送的所述目标数据指纹和所述目标加密数据的权限信息;
所述数据存储服务器用于根据所述目标数据指纹对接收的目标加密数据进行完整性验证,将验证成功的目标加密数据存储到目标区域,使数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据。
需要说明的是,在本实施例中物联网设备与对应的物联网网关进行连接,并将收集到的数据发送到物联网网关,物联网网关将接收到的物联网数据进行加密,并计算加密数据的数据指纹后将物联网数据指纹存储到数据认证服务器中,使数据认证服务器保证数据指纹的不可篡改、不可抵赖;并且可将加密数据对应的访问权限和查询信息同时写入所述数据认证服务器,以便后续的查找及权限管理;进一步第,所述物联网网关将加密的数据发送到数据存储服务器的文件存储层中,这里的文件存储层可以是分布式的文件存储系统,也可以是存储服务提供商。
基于上述实施例提供的物联网数据管理系统,本发明实施例提供的一种物联网数据管理方法,如图3所示,该物联网数据管理方法具体包括如下步骤:
步骤S101,所述物联网网关根据数据私钥对所述物联网设备发送的物联网数据进行加密,得到目标加密数据。
在本实施例中,所述物联网网关通过国密算法对所述物联网数据进行加密,得到所述目标加密数据,需要说明的是所述国密算法是由我国自主创新研发的一套数据加密处理算法,分为SM1、SM2、SM3以及SM4,适合应用于物联网等领域,完成身份认证和数据加解密过程。随着相关产业上升到国家安全高度,在相关产业应用国产加密算法的需求越来越迫切。应用国密算法能很好地保证相关安全性,并且摆脱对国外技术的过度依赖,促进形成国内的一套相关体系结构框架。步骤S102,所述物联网网关获取所述目标加密数据的目标数据指纹。
在本发明的另一个实施例中,所述物联网网关根据数据私钥对所述物联网设备发送的物联网数据进行加密,得到目标加密数据之前,所述方法还包括:第一主体根据第一身份私钥对所述物联网设备进行签名,得到第一签名标识;所述数据认证服务器接收所述第一主体发送的注册认证请求,所述注册认证请求包括所述第一签名标识、数据访问权限和物联网设备的目标设备ID;所述数据认证服务器根据所述第一签名标识和所述目标设备ID,对所述物联网设备和所述第一主体进行关联认证。
在本实施例中,当所述物联网设备的所有权发生转移时,所述方法还包括:所述第一主体根据所述第一身份私钥对第二主体的身份信息进行签名,得到身份认证标识;所述第二主体将所述身份认证标识发送到所述数据认证服务器,使所述数据认证服务器根据所述身份认证标识为所述第二主体分配第二身份私钥;所述第二主体根据所述第二身份私钥对所述物联网设备进行签名,得到第二签名标识;所述第二主体将所述第二签名标识和所述目标设备ID发送到所述数据认证服务器,使所述数据认证服务器根据所述第二签名标识和所述目标设备ID,对所述物联网设备和所述第二主体进行关联认证。由此可知,所述物联网设备为所述数据认证服务器关联认证的信任设备。
需要说明的是,在本实施例中的第一主体为物联网设备制造商,第二主体为物联网设备购买方,本申请采用联盟区块链的形式,即底层区块链平台有多个组织所共同维护,不同组织主要指的是不同的物联网设备制造商,由不同物联网设备制造商共同构成区块链账本以保证数据的不可篡改性,不同的物联网设备制造商拥有自己在区块链中的唯一身份标识与读写区块链权限,物联网设备注册以及使用权限转换的过程的详细步骤如下:
(1)物联网设备制造商为每个物联网设备提供唯一的标识ID;
(2)物联网设备制造商利用本身具备的私钥对所生产的物联网设备进行签名,并将物联网设备ID和签名写入到区块链中,证明设备归属于进行签名的物联网设备提供商;
(3)一旦物联网设备被售卖,则需要进行设备所有权的更换,物联网设备制造商将设备权限转换给购买方,即制造商利用自己的私钥对购买方身份进行签名,实现权限的转换。如果物联网设备被再次售卖,执行上面相似步骤即可,即用当前拥有方的私钥对购买方的身份进行签名,实现所有权的转换。
步骤S102,所述物联网网关获取所述目标加密数据的目标数据指纹。
步骤S103,所述物联网网关将所述目标数据指纹和所述目标加密数据的权限信息发送到所述数据认证服务器进行存储。
步骤S104,所述数据存储服务器根据所述目标数据指纹对接收的目标加密数据进行完整性验证,若所述目标加密数据验证成功时,将所述目标加密数据存储到目标区域。
需要说明的是,目标加密数据在从物联网网关传输到数据存储服务器时会存在传输故障导致数据丢失或数据异常,影响数据的完整性,因此在本实施例中在进行目标加密数据的存储之前需要对数据的完整性进行验证,当数据存储服务器获取接收到的目标加密数据的当前数据指纹,再将当前数据指纹与所述数据认证服务器中的目标数据指纹进行比较,若当前数据指纹和目标数据指纹相同时,表示对所述目标加密数据的完整性验证成功,并把所述目标加密数据存储到可信的目标区域,可以使数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据。
相比现有技术,本发明具有以下有益效果:
本发明对关联认证的信任物联网设备发送的物联网数据进行加密后得到目标加密数据,根据所述目标加密数据计算出目标数据指纹,将目标数据指纹存储在数据认证服务器,在加密数据的传输过程中通过所述目标数据指纹对目标加密数据进行完整性验证,并将经过完整性验证成功的目标加密数据存储在数据存储服务器,使数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据;本发明通过不同的服务器分别存储数据指纹和加密数据,保证了数据的安全性,不容易被窃取和盗用物联网数据;本发明通过目标数据指纹对传输中的加密数据进行完整性验证,将验证成功的加密数据才进行存储,保证了数据的完整性;因此,解决了现有技术的物联网数据管理方法存在数据窃用、故障和丢失的问题,满足了物联网数据管理的需求。
在本发明的一个实施例中,本实施例中的数据认证服务器采用区块链网络进行数据指纹的存储,区块链是一个分布式账本,是一种通过去中心化、去信任的方式集体维护一个可靠数据库的技术方案。从数据的角度来看,区块链是一种几乎不可能被更改的分布式数据库。这里的“分布式”不仅体现为数据的分布式存储,也体现为数据的分布式记录;从技术的角度来看区块链并不是一种单一的技术,而是多种技术整合的结果。图4是区块链的数据结构示意图,区块链在开始记录的时候会有第一个区块产生,称为创世区块,之后的区块产生都会通过“前一个区块的散列(hash)”与前一个区块链连接,每一个区块都可以包含一定量的交易内容,本实施例可实现物联网数据分布式存储并且数据不可篡改、可追溯的特点。
在本发明的一个实施例中,所述数据存储服务器根据所述目标数据指纹对接收的目标加密数据进行完整性验证,若所述目标加密数据验证成功时,将所述目标加密数据存储到目标区域,包括:所述数据存储服务器将接收到的所述目标加密数据加载到可信任区域;在所述可信任区域获取所述目标加密数据的当前数据指纹;判断所述当前数据指纹是否与所述目标数据指纹相同;若当前数据指纹与所述目标数据指纹相同时,将所述目标加密数据存储到目标区域。
进一步地,所述数据存储服务器将接收到的所述目标加密数据加载到可信任区域之前,所述方法还包括:所述数据存储服务器接收所述物联网网关发送的可信验证请求;所述数据存储服务器将对所述可信验证请求进行身份签名,生成验证报告;所述数据存储服务器将所述验证报告发送到所述目标网关,使所述物联网网关将所述验证报告发送到数据认证服务器进行验证;当验证成功后,所述物联网网关发送所述目标加密数据到所述数据存储服务器。
需要说明的是,随着SGX技术的引入,链下的数据安全也得到了很好的保证,存储在enclave中的数据很好地被保护起来,该区域有着由开发者定义的的受限入口和出口函数,这些措施能有效的防止数据的泄露。而在此区域内的代码和数据是在干净环境下运行的,数据写入到磁盘会被加密并验证其完整性,这将有效的防止数据被篡改,在区块链保证了链上数据完整性的同时,SGX也保证了链下数据的完整性,解决了当前物联网数据管理机制存在的问题。SGX是一组指令,该指令主要是用来增强应用程序代码和数据的安全性,提供更强的保护以防止信息的泄露或者修改。是英特尔体系的一个扩展,这种方式并不是识别和隔离平台上的所有恶意软件,而是将合法软件的安全操作封装在一个enclave中来确保其不受恶意软件攻击,开发人员在开发过程中可以将敏感信息分区进入enclave中,即内存中具有更安全保护的执行区域。SGX通过在应用空间内创建受保护的安全区,支持应用控制自己的安全性,该安全区不易受恶意软件的检查,即便攻击来源于特权软件,无论是受攻击的操作系统、虚拟内存管理器,还是设备驱动程序。也就是说,一旦软件和数据位于enclave中,即便操作系统或者和VMM(Hypervisor)也无法影响enclave里面的代码和数据;在本实施例中,所述目标区域可以包括上述的enclave,如图5所示,物联网数据的存储过程具体包括:
(1)物联网设备与对应的物联网网关进行连接,并将收集到的数据发送到物联网网关;
(2)物联网网关将步骤1中接收到的物联网数据进行加密,并计算加密数据的数据指纹后将物联网数据指纹存储到区块链中,由区块链保证数据指纹的不可篡改、不可抵赖;
(3)将加密数据对应的访问权限和查询信息同时写入区块链,以便后续的查找及权限管理;
(3)在步骤2执行完成之后,物联网网关对数据存储服务器中的enclave发起可信验证;Enclave将对可信任请求进行签名后生成一个验证报告发送给物联网网关;
(4)物联网网关将验证包括发送到数据认证服务器中,以验证这个enclave是否是一个可靠的intel生成的。如果验证成功,物联网网关将会信任该enclave;
(5)物联网网关发送密钥、加密数据等信息给enclave,加密的数据通过受限入口发送到文件存储层中的enclave板块中,将数据进行加密并进行完整性验证,数据存储的具体路线可参照附图5中的序号①到⑥。
在本发明的另一个实施例中,所述数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据,包括:所述数据存储服务器接收所述数据使用主体发送的数据操作请求,所述数据操作请求包括所述数据使用主体的身份信息和当前操作权限;所述数据存储服务器根据所述身份信息,判断所述当前操作权限是否有效;若当前操作权限有效时,所述数据存储服务器从所述目标区域提取所述目标加密数据,并将所述目标加密数据发送到所述数据使用主体。
进一步地,所述数据存储服务器接收所述数据使用主体发送的数据操作请求之前,所述方法还包括:所述数据使用主体发送注册登记请求到所述数据认证服务器,使所述数据认证服务器为所述数据使用主体分配数据操作权限。
需要说明的是,数据查询流程如图6所示,其将应用通过不可信模块进行连接,然后调用不可信函数与可信模块进行沟通,限制了应用对enclave进行直接操作,保护数据的完整性和安全性,防止数据被篡改。当数据在enclave进行操作时,首先连接区块链网络对用户访问权限进行查询,之后返回权限查询结果进行操作,物联网数据查询过程主要包括:
(1)数据使用主体连接数据认证服务器中的区块链网络,并通过区块链网络进行用户注册登记,从中获取一定的操作权限,并将其操作权限登记在区块链网络中;
(2)数据使用主体通过连接不可信模块进行查询操作。不可信模块接受应用的查询需求,并通过不可信函数对enclave模块进行限制性操作;
(3)Enclave接受查询请求,通过可信函数连接区块链网络,查询用户的访问权限。区块链网络返回用户的访问权限,enclave通过查询结果判断该用户的查询操作是否有效;
(4)如果查询有效,则数据存储区在enclave区将数据进行转存、密封、提取,并将数据返回至不可信模块;不可信模块将数据返回至数据使用主体,查询过程结束。
进一步地,所述数据认证服务器通过区块链存储所述目标数据指纹和所述目标加密数据的权限信息。
进一步地,所述数据存储服务器通过分布式文件存储系统存储所述目标加密数据。
需要说明的是,在本实施例中国密算法是由国家密码局认定的国产密码算法。可以有效的减少对外国加密技术的依赖,形成我国独立自主的一套密码安全体系,实现密码层面上我国掌握核心的信息安全技术。现有的银联银行卡联网、银联IC两项规范都引入了国密算法相关要求,国密算法在其他领域的应用要求也在逐渐铺开。而在区块链中,存在着大量国际相关加密算法如RSA算法以及ECC算法,其关于国密算法的替代迫在眉睫。而将区块链应用于物联网上,其将记录大量用户信息和用户资料。如果不形成一套独立自主的密码安全体系,在密码层面上掌握核心的安全技术,我国公民信息将会面临被泄露被盗窃的危险。所以国密改造联盟区块链具有非常巨大的前景和非常重要的必要性,其能很好地使得我国公民信息得到进一步地保障。
本发明提出的物联网数据管理方案,结合联盟区块链本身不可篡改、身份认证等的特点,结合可信执行环境来实现数据存储与计算的可靠性,使得基于联盟区块链的可信物联网数据管理方案能够达到:将区块链中相关加密算法替换为国密算法,减少对外国相关技术的依赖性,促进形成我国自主可控安全的区块链安全体系,实现加密算法的自主化和国产化。在基于联盟区块链的可信物联网数据管理方案中,数据的所有权在物联网设备所属的用户所控制,物联网数据的访问权限由区块链所记录,实现数据访问控制的透明化;本发明提出的可信执行环境能够实现物联网数据在不可靠或者不信任节点上进行存储和计算。能够实现计算结果的可靠性与真实性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (9)
1.一种物联网数据管理方法,其特征在于,应用于物联网数据管理系统,所述物联网数据管理系统包括物联网设备、物联网网关、数据认证服务器和数据存储服务器,所述方法包括:
第一主体根据第一身份私钥对所述物联网设备进行签名,得到第一签名标识,其中,所述第一主体为物联网设备制造商;
所述数据认证服务器接收所述第一主体发送的注册认证请求,所述注册认证请求包括所述第一签名标识、数据访问权限和物联网设备的目标设备ID;
所述数据认证服务器根据所述第一签名标识和所述目标设备ID,对所述物联网设备和所述第一主体进行关联认证;
所述物联网网关根据数据私钥对所述物联网设备发送的物联网数据进行加密,得到目标加密数据,其中所述物联网设备为所述数据认证服务器关联认证的信任设备;
所述物联网网关获取所述目标加密数据的目标数据指纹;
所述物联网网关将所述目标数据指纹和所述目标加密数据的权限信息发送到所述数据认证服务器进行存储;
所述数据存储服务器根据所述目标数据指纹对接收的目标加密数据进行完整性验证,若所述目标加密数据验证成功时,将所述目标加密数据存储到目标区域,使数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据。
2.如权利要求1所述的物联网数据管理方法,其特征在于,当所述物联网设备的所有权发生转移时,所述方法还包括:
所述第一主体根据所述第一身份私钥对第二主体的身份信息进行签名,得到身份认证标识;
所述第二主体将所述身份认证标识发送到所述数据认证服务器,使所述数据认证服务器根据所述身份认证标识为所述第二主体分配第二身份私钥;
所述第二主体根据所述第二身份私钥对所述物联网设备进行签名,得到第二签名标识;
所述第二主体将所述第二签名标识和所述目标设备ID发送到所述数据认证服务器,使所述数据认证服务器根据所述第二签名标识和所述目标设备ID,对所述物联网设备和所述第二主体进行关联认证。
3.如权利要求1所述的物联网数据管理方法,其特征在于,所述数据存储服务器根据所述目标数据指纹对接收的目标加密数据进行完整性验证,若所述目标加密数据验证成功时,将所述目标加密数据存储到目标区域,包括:
所述数据存储服务器将接收到的所述目标加密数据加载到可信任区域;
在所述可信任区域获取所述目标加密数据的当前数据指纹;
判断所述当前数据指纹是否与所述目标数据指纹相同;
若当前数据指纹与所述目标数据指纹相同时,将所述目标加密数据存储到目标区域。
4.如权利要求3所述的物联网数据管理方法,其特征在于,所述数据存储服务器将接收到的所述目标加密数据加载到可信任区域之前,所述方法还包括:
所述数据存储服务器接收所述物联网网关发送的可信验证请求;
所述数据存储服务器将对所述可信验证请求进行身份签名,生成验证报告;
所述数据存储服务器将所述验证报告发送到所述物联网网关,使所述物联网网关将所述验证报告发送到数据认证服务器进行验证;
当验证成功后,所述物联网网关发送所述目标加密数据到所述数据存储服务器。
5.如权利要求1所述的物联网数据管理方法,其特征在于,所述数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据,包括:
所述数据存储服务器接收所述数据使用主体发送的数据操作请求,所述数据操作请求包括所述数据使用主体的身份信息和当前操作权限;
所述数据存储服务器根据所述身份信息,判断所述当前操作权限是否有效;
若当前操作权限有效时,所述数据存储服务器从所述目标区域提取所述目标加密数据,并将所述目标加密数据发送到所述数据使用主体。
6.如权利要求5所述的物联网数据管理方法,其特征在于,所述数据存储服务器接收所述数据使用主体发送的数据操作请求之前,所述方法还包括:
所述数据使用主体发送注册登记请求到所述数据认证服务器,使所述数据认证服务器为所述数据使用主体分配数据操作权限。
7.如权利要求1-6任一项所述的物联网数据管理方法,其特征在于,所述数据认证服务器通过区块链存储所述目标数据指纹和所述目标加密数据的权限信息。
8.如权利要求1-6任一项所述的物联网数据管理方法,其特征在于,所述数据存储服务器通过分布式文件存储系统存储所述目标加密数据。
9.一种物联网数据管理系统,其特征在于,所述系统包括:
物联网设备、物联网网关、数据认证服务器和数据存储服务器;
所述数据认证服务器用于接收第一主体发送的注册认证请求,所述注册认证请求包括第一签名标识、数据访问权限和物联网设备的目标设备ID,所述第一签名标识为第一主体根据第一身份私钥对所述物联网设备进行签名的标识,所述第一主体为物联网设备制造商;
所述数据认证服务器还用于根据所述第一签名标识和所述目标设备ID,对所述物联网设备和所述第一主体进行关联认证;
所述物联网设备用于获取物联网数据;
所述物联网网关用于接收所述物联网设备发送的物联网数据,还用于根据数据私钥对所述物联网数据进行加密,得到目标加密数据,还用于获取所述目标加密数据的目标数据指纹;
所述数据认证服务器还用于接收并存储所述物联网网关发送的所述目标数据指纹和所述目标加密数据的权限信息;
所述数据存储服务器用于根据所述目标数据指纹对接收的目标加密数据进行完整性验证,将验证成功的目标加密数据存储到目标区域,使数据使用主体根据所述数据私钥和所述权限信息从所述目标区域提取所述目标加密数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110464769.9A CN113032814B (zh) | 2021-04-28 | 2021-04-28 | 物联网数据管理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110464769.9A CN113032814B (zh) | 2021-04-28 | 2021-04-28 | 物联网数据管理方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113032814A CN113032814A (zh) | 2021-06-25 |
| CN113032814B true CN113032814B (zh) | 2022-06-24 |
Family
ID=76454634
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110464769.9A Active CN113032814B (zh) | 2021-04-28 | 2021-04-28 | 物联网数据管理方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113032814B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113596141B (zh) * | 2021-07-26 | 2023-07-25 | 深圳Tcl新技术有限公司 | 设备控制权限的设置方法、装置、计算机设备和存储介质 |
| CN113806765A (zh) * | 2021-08-12 | 2021-12-17 | 中国信息通信研究院 | 物联网设备数据安全防护方法及装置 |
| CN114095228A (zh) * | 2021-11-15 | 2022-02-25 | 南京南瑞信息通信科技有限公司 | 基于区块链和边缘计算的物联网数据安全存取方法、系统、装置及存储介质 |
| CN116825259B (zh) * | 2023-08-31 | 2023-11-07 | 四川省医学科学院·四川省人民医院 | 一种基于物联网的医疗数据管理方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107273410A (zh) * | 2017-05-03 | 2017-10-20 | 上海点融信息科技有限责任公司 | 基于区块链的分布式存储 |
| CN109510760A (zh) * | 2018-12-04 | 2019-03-22 | 深圳金刚链计算技术有限公司 | 一种面向物联网应用的区块链网关及用该网关管理物联网的方法 |
| CN110445827A (zh) * | 2019-06-06 | 2019-11-12 | 中国科学院上海微系统与信息技术研究所 | 基于分布式账本技术的传感网的安全管理方法及安全系统 |
| CN111526200A (zh) * | 2020-04-27 | 2020-08-11 | 远光软件股份有限公司 | 一种基于区块链和云平台的数据存储访问方法及系统 |
| CN111859422A (zh) * | 2020-07-10 | 2020-10-30 | 郑州信大先进技术研究院 | 一种基于区块链的数字资产存证系统 |
| CN111968000A (zh) * | 2020-07-09 | 2020-11-20 | 南京邮电大学 | 一种基于双链机制的智慧农业数据监测与自动控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112069547B (zh) * | 2020-07-29 | 2023-12-08 | 北京农业信息技术研究中心 | 一种供应链责任主体身份认证方法及系统 |
-
2021
- 2021-04-28 CN CN202110464769.9A patent/CN113032814B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107273410A (zh) * | 2017-05-03 | 2017-10-20 | 上海点融信息科技有限责任公司 | 基于区块链的分布式存储 |
| CN109510760A (zh) * | 2018-12-04 | 2019-03-22 | 深圳金刚链计算技术有限公司 | 一种面向物联网应用的区块链网关及用该网关管理物联网的方法 |
| CN110445827A (zh) * | 2019-06-06 | 2019-11-12 | 中国科学院上海微系统与信息技术研究所 | 基于分布式账本技术的传感网的安全管理方法及安全系统 |
| CN111526200A (zh) * | 2020-04-27 | 2020-08-11 | 远光软件股份有限公司 | 一种基于区块链和云平台的数据存储访问方法及系统 |
| CN111968000A (zh) * | 2020-07-09 | 2020-11-20 | 南京邮电大学 | 一种基于双链机制的智慧农业数据监测与自动控制方法 |
| CN111859422A (zh) * | 2020-07-10 | 2020-10-30 | 郑州信大先进技术研究院 | 一种基于区块链的数字资产存证系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于区块链和边缘计算的智慧农业系统;林波等;《情报工程》;20180615(第03期);14-20 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113032814A (zh) | 2021-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113032814B (zh) | 物联网数据管理方法和系统 | |
| CN110581860B (zh) | 基于区块链的身份认证方法、装置、存储介质和设备 | |
| US11139978B2 (en) | Portable biometric identity on a distributed data storage layer | |
| JP7060362B2 (ja) | 電子デバイスのためのイベント証明書 | |
| US20190050598A1 (en) | Secure data storage | |
| US20190096021A1 (en) | Methods and Apparatus for Implementing Identity and Asset Sharing Management | |
| US8997198B1 (en) | Techniques for securing a centralized metadata distributed filesystem | |
| US9064129B2 (en) | Managing data | |
| CN112000951B (zh) | 一种访问方法、装置、系统、电子设备及存储介质 | |
| Ayuninggati et al. | Supply chain management, certificate management at the transportation layer security in charge of security | |
| CN104216907A (zh) | 一种用于提供数据库访问控制的方法、装置与系统 | |
| CN111431707B (zh) | 业务数据信息处理方法、装置、设备以及可读存储介质 | |
| CN104756127A (zh) | 通过虚拟机进行安全数据处理 | |
| Park et al. | TM-Coin: Trustworthy management of TCB measurements in IoT | |
| CN111970299A (zh) | 基于区块链的分布式物联网设备身份认证装置和方法 | |
| WO2018162060A1 (en) | Methods and devices for attesting an integrity of a virtual machine | |
| US11706022B1 (en) | Method for trusted data decryption based on privacy-preserving computation | |
| CN110942382A (zh) | 电子合同的生成方法、装置、计算机设备及存储介质 | |
| CN111932261A (zh) | 一种基于可验证声明的资产数据管理方法和装置 | |
| US20160335453A1 (en) | Managing Data | |
| US20210036871A1 (en) | Proprietor's identity confirmation system, terminal management server, and proprietor's identity confirmation method | |
| CN113872986B (zh) | 配电终端认证方法、装置和计算机设备 | |
| KR20150072007A (ko) | 부정조작방지 장치 접근 방법 및 그 방법을 채용한 단말 장치 | |
| CN114239000A (zh) | 密码处理方法、装置、计算机设备和存储介质 | |
| Kim et al. | Secure IoT Device Authentication Scheme using Key Hiding Technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |