CN113676334A - 基于区块链的分布式边缘设备身份认证系统及认证方法 - Google Patents

基于区块链的分布式边缘设备身份认证系统及认证方法 Download PDF

Info

Publication number
CN113676334A
CN113676334A CN202111223809.7A CN202111223809A CN113676334A CN 113676334 A CN113676334 A CN 113676334A CN 202111223809 A CN202111223809 A CN 202111223809A CN 113676334 A CN113676334 A CN 113676334A
Authority
CN
China
Prior art keywords
edge device
identity
service
edge
block chain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111223809.7A
Other languages
English (en)
Other versions
CN113676334B (zh
Inventor
高晖
陈瑜
董松伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Bohua Xinzhi Technology Co ltd
Original Assignee
Beijing Bohua Xinzhi Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Bohua Xinzhi Technology Co ltd filed Critical Beijing Bohua Xinzhi Technology Co ltd
Priority to CN202111223809.7A priority Critical patent/CN113676334B/zh
Publication of CN113676334A publication Critical patent/CN113676334A/zh
Application granted granted Critical
Publication of CN113676334B publication Critical patent/CN113676334B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于区块链的分布式边缘设备身份认证系统及认证方法,该系统包括:基础层、支撑层和服务层;基础层设置有多个设备管理部门,每个设备管理部门上部署有身份服务节点,并通过身份服务节点构建分布式区块链;支撑层在基础层上为设备身份管理服务提供可插拔组件支撑;服务层与边缘设备连接,服务层基于支撑层提供的可插拔组件对边缘设备进行身份管理。该系统利用区块链联盟链技术,在工业互联网平台企业的边缘设备管理部门部署身份服务节点构建区块链,实现设备身份快速标识和可信验证功能,以及实现设备身份的变更、撤销等功能,并基于设备身份设计设备间安全交互方案,有效满足工业互联网平台边缘设备认证的安全需求。

Description

基于区块链的分布式边缘设备身份认证系统及认证方法
技术领域
本发明涉及区块链技术领域,尤其涉及一种基于区块链的分布式边缘设备身份认证系统及认证方法。
背景技术
工业设备上云是工业互联网平台建设的切入点,在牵引工业互联网平台技术迭代和功能演进的同时,将带来设备安全、数据安全、网络安全、控制安全等风险和隐患。边缘设备作为工业互联网最庞大的环节,承担了最本质的底层机能的同时,也存在着巨大的安全漏洞。首先,边缘设备由于数量众多,位置分布比较分散且环境十分复杂,很多传统边缘设备内部是计算能力较弱的嵌入式芯片系统,很难实现自我安全保护。其次,由于边缘设备庞大的分布体系,导致额外增加隔离设备的成本巨大,缺乏普遍可信的机制去识别具体设备身份,这将导致易受攻击的系统漏洞。因此,身份认证系统是保护边缘设备免受恶意终端攻击的重要环节。
现有工业互联网边缘设备身份认证采用中心化服务器式结构从而导致存在设备身份管理效率低、维护成本高、一旦被攻击后将导致整个身份管理系统崩溃,以及设备交互缺乏可信机制等问题。
发明内容
鉴于现有技术中的上述缺陷或不足,期望提供一种基于区块链的分布式边缘设备身份认证系统及认证方法。
第一方面,提供一种基于区块链的分布式边缘设备身份认证系统,包括:基础层、支撑层和服务层;
所述基础层设置有多个设备管理部门,每个所述设备管理部门上部署有身份服务节点,并通过所述身份服务节点构建分布式区块链;
所述支撑层在所述基础层上为设备身份管理服务提供可插拔组件支撑;
所述服务层与边缘设备连接,所述服务层基于所述支撑层提供的可插拔组件对边缘设备进行身份管理。
进一步的,所述支撑层上包含共识模块、合约模块和数据存储模块,所述可插拔组件包含共识机制、智能合约和分布式数据;所述共识模块用于为设备身份管理服务提供共识机制,所述合约模块用于为设备身份管理服务提供智能合约,所述数据存储模块用于存储分布式数据。
进一步的,所述服务层包含身份标识模块、身份验证模块、身份变更模块、身份撤销模块和设备间安全交互模块;其中,所述身份标识模块用于对边缘设备进行身份标识,所述身份验证模块用于对边缘设备进行身份验证,所述身份撤销模块用于对边缘设备进行身份撤销,所述设备间安全交互模块用于实现边缘设备间的安全交互。
第二方面,提供一种基于区块链的分布式边缘设备身份认证方法,包括:
对基础层的多个设备管理部门分别部署身份服务节点,通过所述身份服务节点构建分布式区块链;
在所述基础层上采用支撑层为设备身份管理服务提供可拔插组件支撑;
采用服务层基于所述支撑层提供的可插拔组件对边缘设备进行身份管理。
进一步的,采用服务层基于所述基础层上提供的可插拔组件对边缘设备进行身份管理包括对边缘设备进行身份标识,具体包含:
对边缘设备和区块链的身份服务节点预置信任信息,该预置信任信息为公私钥对
Figure DEST_PATH_IMAGE001
,所述预置信任信息使用的公私钥对
Figure 234886DEST_PATH_IMAGE001
用于设备注册;其中,
Figure 888721DEST_PATH_IMAGE002
为预置私钥,在边缘设备存储;
Figure DEST_PATH_IMAGE003
为预置公钥,在区块链的身份服务节点存储;
生成边缘设备的指纹id和身份密钥对
Figure 910904DEST_PATH_IMAGE004
;其中,
Figure DEST_PATH_IMAGE005
为真实私钥,
Figure 391826DEST_PATH_IMAGE006
为真实公钥;边缘设备的身份密钥对
Figure 233880DEST_PATH_IMAGE004
用于设备身份注册完成后开展身份认证时使用;
边缘设备生成注册请求
Figure DEST_PATH_IMAGE007
,该注册请求的含义为:标识为id的设备的真实公钥为
Figure 956986DEST_PATH_IMAGE006
,利用所述预置私钥
Figure 36937DEST_PATH_IMAGE002
对所述注册请求
Figure 423181DEST_PATH_IMAGE007
进行签名得到签名信息
Figure 221373DEST_PATH_IMAGE008
,其中sig代表签名操作,然后将注册请求加签名信息
Figure DEST_PATH_IMAGE009
广播至区块链网络;
区块链网络中的身份服务节点接收到注册请求后,首先检测该id是否注册过,如果注册过,则忽略该请求;如果没有注册过,则利用所述预置公钥
Figure 13749DEST_PATH_IMAGE003
验证签名信息
Figure 948207DEST_PATH_IMAGE009
,如果
Figure 3887DEST_PATH_IMAGE010
ver代表验签操作,即验签通过,将该注册请求
Figure 790840DEST_PATH_IMAGE007
存入区块链的账本中;否则,验签不通过。
进一步的,采用服务层基于所述基础层上提供的可插拔组件对边缘设备进行身份管理包括对边缘设备进行身份验证,具体包含:
假定边缘设备A与边缘设备B进行通信,生成边缘设备A的指纹idA和身份密钥对
Figure DEST_PATH_IMAGE011
;其中,
Figure 855748DEST_PATH_IMAGE012
为边缘设备A的真实私钥,
Figure DEST_PATH_IMAGE013
为边缘设备A的真实公钥;边缘设备A利用私钥
Figure 972609DEST_PATH_IMAGE012
对待发送给边缘设备B的业务数据data进行签名,生成签名信息
Figure 933611DEST_PATH_IMAGE014
,然后将边缘设备A的指纹idA、业务数据data和签名信息
Figure DEST_PATH_IMAGE015
发送给边缘设备B;
边缘设备B利用接收到的边缘设备A的指纹idA向区块链的账本发出查询请求,得到边缘设备A的公钥
Figure 739018DEST_PATH_IMAGE013
,利用得到的边缘设备A的公钥
Figure 76459DEST_PATH_IMAGE013
对所述签名信息
Figure 516668DEST_PATH_IMAGE015
进行验签,如果
Figure 648572DEST_PATH_IMAGE016
,即验签通过,则边缘设备B可以断定该消息是由边缘设备A发出的;否则,验签不通过,则边缘设备B丢弃该消息。
进一步的,采用服务层基于所述基础层上提供的可插拔组件对边缘设备进行身份管理包括对边缘设备进行身份变更,具体包含:
对边缘设备和区块链的身份服务节点预置信任信息,该预置信任信息为公私钥对
Figure 174231DEST_PATH_IMAGE001
,所述预置信任信息使用的公私钥对
Figure 297387DEST_PATH_IMAGE001
用于设备注册;其中,
Figure 592102DEST_PATH_IMAGE002
为预置私钥,在边缘设备存储;
Figure 629329DEST_PATH_IMAGE003
为预置公钥,在区块链的身份服务节点存储;
利用边缘设备的预置私钥
Figure 642284DEST_PATH_IMAGE002
对身份变更进行签名,生成身份变更签名信息发送给交互方;交互方收到身份变更签名信息后,通过区块链的账本查询该边缘设备对应的预置公钥
Figure 321527DEST_PATH_IMAGE003
,利用所述预置公钥
Figure 205169DEST_PATH_IMAGE003
对身份变更签名信息进行验签,若验证通过,则通知该边缘设备进行身份变更;若未通过验证,则该边缘设备身份变更失败。
进一步的,采用服务层基于所述基础层上提供的可插拔组件对边缘设备进行身份管理包括对边缘设备进行身份撤销,具体包含:
边缘设备A发起设备撤销身份的请求,边缘设备A利用业务私钥
Figure 445920DEST_PATH_IMAGE012
对待发送撤销请求request进行签名,生成签名信息
Figure DEST_PATH_IMAGE017
;然后将边缘设备A的指纹idA、撤销请求request和签名信息
Figure 946172DEST_PATH_IMAGE015
发送给区块链上的身份服务节点;
区块链上的身份服务节点利用边缘设备A的指纹idA向区块链的账本发出查询请求,得到边缘设备A的业务公钥
Figure 163526DEST_PATH_IMAGE013
,然后利用所述边缘设备A的业务公钥
Figure 432834DEST_PATH_IMAGE013
对签名信息
Figure 811862DEST_PATH_IMAGE015
进行验签,如果
Figure 533831DEST_PATH_IMAGE018
,即验签通过,则断定该消息是由边缘设备A发出的,将区块链分布式账本上存储的边缘设备A的公钥
Figure 56341DEST_PATH_IMAGE013
、指纹idA以及该设备属性信息记录进行同步删除;如果验签不通过,则丢弃该消息。
进一步的,采用服务层基于所述基础层上提供的可插拔组件对边缘设备进行身份管理包括边缘设备间安全交互,具体包含:
设边缘设备B要访问受保护的边缘设备A,先采用身份验证方法进行边缘设备B和边缘设备A的身份验证;
边缘设备B将访问的目标设备id和相应的操作op发给边缘设备A;边缘设备A查询自己本地存储的访问控制策略,判断边缘设备B的访问是否符合访问控制策略,如果符合,则为边缘设备B创建相应的访问授权
Figure DEST_PATH_IMAGE019
,其中,其中id B 代表边缘设备B的指纹id,ram1是边缘设备A生成的一个随机数;
边缘设备A用边缘设备B的业务公钥
Figure 711313DEST_PATH_IMAGE020
对访问授权进行加密,生成加密后的访问授权信息
Figure DEST_PATH_IMAGE021
enc代表加密操作;然后边缘设备A用自己的私钥
Figure 323560DEST_PATH_IMAGE012
对所述加密后的访问授权信息
Figure 532825DEST_PATH_IMAGE022
进行签名,生成签名信息
Figure DEST_PATH_IMAGE023
调用区块链中的智能合约将加密后的访问授权信息
Figure 124605DEST_PATH_IMAGE022
和签名信息
Figure 102926DEST_PATH_IMAGE024
发送到区块链网络,区块链网络中的身份服务节点收到请求后,利用边缘设备A的业务公钥
Figure 89336DEST_PATH_IMAGE013
进行验签,如果
Figure DEST_PATH_IMAGE025
,即验签通过;否则,验签不通过;
当边缘设备B请求边缘设备A已授权的服务时,首先查询区块链上是否存储所需的访问授权,若存在则边缘设备B通过自己的业务私钥
Figure 317055DEST_PATH_IMAGE026
解密区块链上存储的访问授权
Figure DEST_PATH_IMAGE027
,dec代表解密操作,如果解密成功,则边缘设备B可以得到加密前的访问授权,即
Figure 712527DEST_PATH_IMAGE028
利用边缘设备A的业务公钥
Figure 545354DEST_PATH_IMAGE013
Figure 968245DEST_PATH_IMAGE028
进行加密,生成加密信息
Figure DEST_PATH_IMAGE029
,然后发送给边缘设备A;边缘设备A利用自己的业务私钥
Figure 683260DEST_PATH_IMAGE012
解密
Figure 820105DEST_PATH_IMAGE030
,验证解密后的访问授权是否为边缘设备A生成的针对边缘设备B的访问授权,如果验证通过,则允许边缘设备B对边缘设备A进行已授权的服务访问,否则拒绝。
第三方面,提供一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现本申请任意实施例所提供的基于区块链的分布式边缘设备身份认证方法的步骤。
第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本申请任意实施例所提供的基于区块链的分布式边缘设备身份认证方法的步骤。
本申请的实施例提供的技术方案可以包括以下有益效果:
本发明提供的一种基于区块链的分布式边缘设备身份认证系统及认证方法,针对现有工业互联网边缘设备身份认证中心化服务器致使设备身份管理效率低、维护成本高、一旦被攻击后将导致整个身份管理系统崩溃,以及设备交互缺乏可信机制等问题,本发明利用联盟链技术,在工业互联网平台企业的边缘设备管理部门部署身份服务节点,并通过身份服务节点构建分布式区块链,实现设备身份快速标识和可信验证功能,以及设备身份的快速变更和撤销;并基于设备身份设计设备间安全交互方案,有效满足工业互联网平台边缘设备认证的安全需求。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例1的基于区块链的分布式边缘设备身份认证系统的示意图;
图2是本申请实施例2的基于区块链的分布式边缘设备身份认证方法的流程图;
图3是本申请实施例3的基于区块链的工业互联网边缘设备身份标识的方法的流程图;
图4是本申请实施例4的基于区块链的工业互联网边缘设备身份验证的方法流程图;
图5是本申请实施例5的基于区块链的工业互联网边缘设备身份变更的方法流程图;
图6是本申请实施例6的基于区块链的工业互联网边缘设备身份撤销的方法流程图;
图7是本申请实施例7的基于智能合约的工业互联网边缘设备安全交互的方法流程图;
图8是本申请实施例提供的一种设备的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
实施例1
区块链是借由密码学串接并保护内容的串连交易记录,是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链系统由物理层、数据层、网络层、共识层、激励层、合约层和应用层组成。其中,物理层是指软件运行所依赖的物理环境,比如物理机、云主机等;数据层封装了底层数据区块以及相关的数据加密和时间戳等技术;网络层则包括分布式组网机制、数据传播机制和数据验证机制等;共识层主要封装网络节点的各类共识算法;激励层将经济因素集成到区块链技术体系中来,主要包括经济激励的发行机制和分配机制等;合约层主要封装各类脚本、算法和智能合约,是区块链可编程特性的基础;应用层则封装了区块链的各种应用场景和案例。
本申请实施例中是基于区块链技术建立的分布式边缘设备身份认证系统,参见图1,该身份认证系统100包括:基础层110、支撑层120和服务层130;
所述基础层110设置有多个设备管理部门111,每个所述设备管理部门111上部署有身份服务节点,并通过所述身份服务节点构建分布式区块链;
所述支撑层120在所述基础层110上为设备身份管理服务提供可插拔组件支撑;
所述服务层130与边缘设备140连接,所述服务层130基于所述支撑层120提供的可插拔组件对边缘设备140进行身份管理。
具体的,本申请提供的基于区块链分布式边缘设备身份认证系统100在执行功能上分为基础层110、支撑层120和服务层130。其中,基础层110主要负责由工业互联网平台企业的边缘设备管理部门111部署身份服务节点,并通过身份服务节点构建分布式区块链,为支撑层120提供物理资源、节点资源等基础管理支撑。
支撑层120主要在基础层110上为设备身份管理服务提供可插拔组件(如共识机制、智能合约、分布式数据存储等)支撑等。具体的,支撑层120上包含共识模块121、合约模块122和数据存储模块123,共识模块121用于为设备身份管理服务提供共识机制,合约模块122用于为设备身份管理服务提供智能合约,数据存储模块123用于存储分布式数据。
服务层130主要实现对边缘设备140身份的全生命周期管理,并基于智能合约和共识机制实现边缘设备140数据交换的安全交互和访问控制等功能,实现工业互联网边缘设备分布式具有可伸缩性的身份管理,促进工业互联网平台边缘设备140交互高效、可信、安全性。具体的,服务层130中包含身份标识模块131、身份验证模块132、身份变更模块133、身份撤销模块134和设备间安全交互模块135。身份标识模块131用于对边缘设备140进行身份标识,身份验证模块132用于对边缘设备140进行身份验证,身份变更模块133用于对边缘设备140进行身份变更;身份撤销模块134用于对边缘设备140进行身份撤销,设备间安全交互模块135用于实现边缘设备间的安全交互。
实施例2
参见图2,本实施例提供一种基于区块链的分布式边缘设备身份认证方法,包括以下步骤:
S200:对基础层的多个设备管理部门分别部署身份服务节点,通过所述身份服务节点构建分布式区块链。
S300:在所述基础层上采用支撑层为设备身份管理服务提供可拔插组件支撑。
S400:采用服务层基于所述支撑层提供的可插拔组件对边缘设备进行身份管理。
具体的,在步骤S400中,服务层对边缘设备的身份进行全生命周期的管理,并基于区块链中的智能合约和共识机制实现边缘设备数据交换的安全交互和访问控制等。服务层中的身份标识模块基于支撑层提供的智能合约和共识机制对边缘设备进行身份标识(具体如实施例3);服务层中的身份验证模块基于支撑层提供的智能合约和共识机制对边缘设备进行身份验证(具体参见实施例4);服务层中的身份变更模块基于支撑层提供的智能合约和共识机制对边缘设备进行身份变更(具体参见实施例5);服务层中的身份撤销模块基于支撑层提供的智能合约和共识机制对边缘设备进行身份撤销(具体参见实施例6);服务层中的设备间安全交互模块基于支撑层提供的智能合约和共识机制实现边缘设备间的安全交互(具体参见实施例7)。通过对边缘设备进行身份标识、身份验证、身份变更、身份撤销以及设备间分布式安全交互五个子方法,可以实现工业设备的边缘对云链、边缘对边缘的身份服务,满足设备从组态入网到退化淘汰出网的所有基本需求。
实施例3
服务层中的身份标识模块基于支撑层提供的智能合约和共识机制对边缘设备进行身份标识的方法,具体为:通过工业互联网边缘设备预置信任信息以及利用密码学方法生成身份标识,并且在区块链上进行身份标识信息的存储。对各类工业互联网边缘设备预置信任信息可以防止仿冒设备的接入;工业互联网边缘设备生成身份公私钥信息,并利用设备软硬件信息生成该设备的唯一指纹id;利用边缘设备预置信任信息对公钥+id进行签名发送至区块链的身份服务节点;区块链的身份服务节点利用预置信任信息验证设备请求合法性后,在区块链查询该设备未注册后,将设备公钥+id信息写入区块链的数据存储模块。参见图3,对边缘设备进行身份标识方法,具体包含以下子步骤:
S410:对工业互联网边缘设备以及区块链的身份服务节点预置信任信息,该预置信任信息为公私钥对
Figure DEST_PATH_IMAGE031
,其中,sk代表私钥,pk代表公钥,下标p代表pre(预置),私钥
Figure 304176DEST_PATH_IMAGE032
在边缘设备存储,公钥
Figure DEST_PATH_IMAGE033
在区块链的身份服务节点存储。
S411:工业互联网边缘设备所有者利用工业互联网设备的软硬件信息生成该设备的唯一指纹id,然后设备中生成身份密钥对
Figure 429127DEST_PATH_IMAGE034
,其中sk代表私钥,pk代表公钥,下标r代表real(真实使用)。
Figure 834701DEST_PATH_IMAGE034
与步骤S410中的
Figure 539351DEST_PATH_IMAGE031
的关系是,
Figure 848235DEST_PATH_IMAGE031
是预置信任信息使用的公私钥对,用于设备注册;
Figure 612929DEST_PATH_IMAGE034
是设备自己生成的公私钥对,用于设备身份注册完成后开展身份认证时使用。
S412:工业互联网边缘设备生成注册请求
Figure DEST_PATH_IMAGE035
,该注册请求的含义为:标识为id的设备的公钥为
Figure 36957DEST_PATH_IMAGE036
,然后利用步骤S410中的预置信任信息私钥
Figure 14140DEST_PATH_IMAGE032
对注册请求进行签名得到签名信息
Figure DEST_PATH_IMAGE037
,其中sig代表签名操作,然后将注册请求加签名信息
Figure 974268DEST_PATH_IMAGE038
广播至区块链网络。
S413:区块链网络中的身份服务节点接收到注册请求后,首先检测该id是否注册过,如果注册过,则忽略该请求,如果没有注册过,则利用步骤S410中中的设备的预置公钥
Figure 909863DEST_PATH_IMAGE033
验证签名信息
Figure 24450DEST_PATH_IMAGE038
,如果
Figure DEST_PATH_IMAGE039
ver代表验签操作,即验签通过,将该注册请求
Figure 602062DEST_PATH_IMAGE035
存入区块链的数据存储模块中,即存入区块链的分布式账本,其它区块链的身份服务节点在接收到注册请求后,也采取相同的处理流程,即如果注册请求是合法的,
Figure 384073DEST_PATH_IMAGE035
也会被存入其它区块链节点的账本中。
S414:基于各节点构建组成的区块链网络,工业互联网边缘设备的身份公钥和指纹id利用区块链的共识机制完成工业互联网设备在各节点本地账本中实现分布式可靠存储。
实施例4
服务层中的身份验证模块基于支撑层提供的智能合约和共识机制对边缘设备进行身份验证,通过服务层内的身份验证模块对工业互联网边缘设备身份验证,不再经由中心认证服务器进行验证,避免服务器遭受单点攻击导致验证失败。具体为:工业互联网边缘设备利用真实私钥对业务数据进行签名生成身份验证信息,发送给业务交互方;业务交互方接收到业务数据及签名信息后,通过区块链中的账本查询发送该设备对应的真实公钥,利用真实公钥对上述签名信息进行验签。若通过身份验证,则判断该设备为所要进行交互的设备;若未通过身份验证,则与该设备交互失败。参见图4,对边缘设备进行身份验证方法,包括以下步骤:
S420:假定工业互联网边缘设备A与工业互联网边缘设备B进行通信,工业互联网边缘设备A利用业务私钥
Figure 980315DEST_PATH_IMAGE012
对待发送给边缘设备B的业务数据data进行签名,生成签名信息
Figure 582198DEST_PATH_IMAGE040
,然后将边缘设备A的指纹idA、业务数据data和签名信息
Figure DEST_PATH_IMAGE041
发送给边缘设备B。
S421:边缘设备B收到边缘设备A的消息后,首先利用边缘设备A的指纹idA向区块链账本发出查询请求,得到边缘设备A的业务公钥
Figure 963501DEST_PATH_IMAGE013
,然后利用边缘设备A的业务
Figure 600018DEST_PATH_IMAGE013
对签名信息
Figure 611837DEST_PATH_IMAGE041
进行验签,如果
Figure 202480DEST_PATH_IMAGE042
,即验签通过,则边缘设备B可以断定该消息的确是由边缘设备A发出的,从而进行后续的业务处理;如果验签不通过,则边缘设备B丢弃该消息。
实施例5
服务层中的身份变更模块基于支撑层提供的智能合约和共识机制对边缘设备进行身份变更,通过区块链网络上设备管理节点发起设备身份信息变更请求,由区块链网络审核通过后,将链上存储的设备身份信息进行更新。参见图5,边缘设备身份变更方法,包括以下步骤:
S430:对工业互联网边缘设备以及区块链的身份服务节点预置信任信息,该预置信任信息为公私钥对
Figure 590736DEST_PATH_IMAGE031
,其中,sk代表私钥,pk代表公钥,下标p代表pre(预置),私钥
Figure 81761DEST_PATH_IMAGE032
在边缘设备存储,公钥
Figure 264480DEST_PATH_IMAGE033
在区块链的身份服务节点存储。
S431:工业互联网边缘设备利用预置信任信息中的私钥
Figure 106534DEST_PATH_IMAGE032
对身份变更进行签名,生成身份变更签名信息发送给交互方。
S432:交互方接收到身份变更签名信息后,通过区块链中的账本查询发送设备预置信任信息对应的公钥
Figure 32902DEST_PATH_IMAGE033
,利用公钥
Figure 378433DEST_PATH_IMAGE033
对上述签名信息进行验签。
S433:若通过验证,则通知该边缘设备进行身份变更,更变过程执行基于区块链的工业互联网边缘设备身份标识过程;若未通过验证,则该边缘设备身份变更失败。
实施例6
服务层中的身份撤销模块基于支撑层提供的智能合约和共识机制对边缘设备进行身份撤销,通过区块链网络上设备管理的身份服务节点发起设备身份信息撤销请求,由区块链网络审核通过后,将链上存储的设备身份信息进行同步删除。通过设备管理的身份服务节点提交设备撤销请求,由区块链网络审核后,将区块链分布式账本上存储的设备公钥、id以及用设备属性信息记录进行同步删除。设备身份撤销实现了区块链上的分布式账本同步进行设备公钥、id以及设备属性信息的删除,避免了传统证书撤销列表CRL的处理时效低下、存储库性能受限等问题。同时基于区块链可追溯的特性,撤销操作可追溯。参见图6,对边缘设备进行身份撤销方法,包括以下步骤:
S440:假定工业互联网边缘设备A发起设备撤销身份的请求,工业互联网边缘设备A利用业务私钥
Figure 764677DEST_PATH_IMAGE005
对待发送撤销请求request进行签名,生成签名信息
Figure DEST_PATH_IMAGE043
,然后将边缘设备A的指纹idA、撤销请求request和签名信息
Figure 359606DEST_PATH_IMAGE041
发送给区块链上的身份服务节点;
S441:区块链上的身份服务节点收到边缘设备A的消息后,首先利用边缘设备A的指纹idA向区块链账本发出查询请求,得到边缘设备A的业务公钥
Figure 824086DEST_PATH_IMAGE013
,然后利用边缘设备A的业务公钥
Figure 289702DEST_PATH_IMAGE013
对签名信息
Figure 345383DEST_PATH_IMAGE041
进行验签,如果
Figure 866756DEST_PATH_IMAGE044
,即验签通过,则断定该消息的确是由边缘设备A发出的,从而进行后续的撤销处理,将区块链分布式账本上存储的该边缘设备A的公钥
Figure 666085DEST_PATH_IMAGE013
、指纹idA以及用设备属性信息记录进行同步删除;如果验签不通过,则丢弃该消息。
实施例7
服务层中的设备间安全交互模块基于支撑层提供的智能合约和共识机制实现边缘设备间的安全交互。本实施例中,基于区块链上存储的设备身份认证信息,建立基于区块链智能合约的工业互联网设备安全交互,通过可灵活配置的合约层访问控制,实现无缝的安全数据交互。在智能合约中配置访问者对设备的访问授权,并通过智能合约对这些授权进行管理。访问授权由被访问的设备调用设备管理智能合约定义并发布在区块链上。通过智能合约智能配置工业互联网设备之间的访问权限,阻止不符合访问规则的设备交互,保证授权设备之间的相互访问。参见图7,建立基于智能合约的工业互联网边缘设备安全交互的步骤具体包括以下步骤:
S450:工业互联网边缘设备在互相建立通信前,基于工业互联网边缘设备身份验证机制,进行通信双方的身份验证。
S451:访问授权生成,当工业互联网边缘设备B要访问某个受保护工业互联网边缘设备A时,需要获得相应的访问授权。访问授权的如下:工业互联网边缘设备B将访问的目标设备id和相应的操作op(如查询(query)、编辑(edit)、删除(delete)等操作)发给边缘设备A;边缘设备A查询自己本地存储的访问控制策略,判断边缘设备B的访问是否符合策略,如果符合,则为边缘设备B创建相应的访问授权
Figure DEST_PATH_IMAGE045
,其中id B 代表边缘设备B的指纹id,ram1是边缘设备A生成的一个随机数;边缘设备A用边缘设备B的公钥
Figure 517366DEST_PATH_IMAGE046
对访问授权进行加密,生成加密信息
Figure DEST_PATH_IMAGE047
enc代表加密操作,
Figure 9528DEST_PATH_IMAGE046
是边缘设备B的业务公钥;然后边缘设备A用自己的私钥
Figure 549356DEST_PATH_IMAGE048
对加密后的访问授权进行签名,生成签名信息
Figure DEST_PATH_IMAGE049
Figure 417954DEST_PATH_IMAGE048
代表边缘设备A的业务私钥,
Figure 327005DEST_PATH_IMAGE050
代表上述的加密后的访问授权,最后调用智能合约将加密后的访问授权
Figure 724488DEST_PATH_IMAGE050
以及签名信息
Figure DEST_PATH_IMAGE051
发送到区块链网络;区块链网络中的身份服务节点收到请求后,利用边缘设备A的业务公钥
Figure 17191DEST_PATH_IMAGE052
进行验签,如果
Figure DEST_PATH_IMAGE053
,即验签通过,则将该加密后的访问授权存入区块链的本地账本。其它区块链的身份服务节点接收到请求后,也采取类似的处理方法,即如果验签通过,加密后的访问授权也会被存入区块链相应的身份服务节点对应的账本中。
S452:访问执行,当工业互联网边缘设备B请求某个工业互联网设备A已授权的服务时,首先查询区块链上是否存储所需的访问授权,若存在则边缘设备B通过自己的私钥
Figure 689481DEST_PATH_IMAGE054
解密区块链上存储的访问授权
Figure DEST_PATH_IMAGE055
,dec代表解密操作,
Figure 515355DEST_PATH_IMAGE054
代表边缘设备B的业务私钥,
Figure 818160DEST_PATH_IMAGE050
为加密后的访问授权,如果解密成功,则边缘设备B可以得到加密前的访问授权,即
Figure 565536DEST_PATH_IMAGE056
,idB为边缘设备B的指纹id;边缘设备B 获取访问授权以后,利用边缘设备A的公钥
Figure DEST_PATH_IMAGE057
Figure 542982DEST_PATH_IMAGE056
进行加密,生成加密信息
Figure 426624DEST_PATH_IMAGE058
Figure 634751DEST_PATH_IMAGE057
代表边缘设备A的业务公钥,idB为边缘设备B的指纹id,然后发送给边缘设备A,设备边缘A首先解密
Figure DEST_PATH_IMAGE059
Figure 666161DEST_PATH_IMAGE060
代表边缘设备A的业务私钥,验证解密后的访问授权是否为边缘设备A生成的针对边缘设备B的访问授权,如果验证通过,则允许边缘设备B对边缘设备A进行已授权的服务访问,否则拒绝。
图8示出了根据本申请实施例提供的一种设备的结构示意图。
如图8所示,作为另一方面,本申请还提供了一种设备500,包括一个或多个中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本发明的实施例,上文参考图2-7描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,计算机程序包含用于执行页面生成方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
作为又一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本申请的页面生成方法。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这根据所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以通过执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以通过专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,例如,各所述单元可以是设置在计算机或移动智能设备中的软件程序,也可以是单独配置的硬件装置。其中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.基于区块链的分布式边缘设备身份认证系统,其特征在于,包括:基础层、支撑层和服务层;
所述基础层设置有多个设备管理部门,每个所述设备管理部门上部署有身份服务节点,并通过所述身份服务节点构建分布式区块链;
所述支撑层在所述基础层上为设备身份管理服务提供可插拔组件支撑;
所述服务层与边缘设备连接,所述服务层基于所述支撑层提供的可插拔组件对边缘设备进行身份管理。
2.根据权利要求1所述的基于区块链的分布式边缘设备身份认证系统,其特征在于,所述支撑层上包含共识模块、合约模块和数据存储模块,所述可插拔组件包含共识机制、智能合约和分布式数据;所述共识模块用于为设备身份管理服务提供共识机制,所述合约模块用于为设备身份管理服务提供智能合约,所述数据存储模块用于存储分布式数据。
3.根据权利要求1所述的基于区块链的分布式边缘设备身份认证系统,其特征在于,所述服务层包含身份标识模块、身份验证模块、身份变更模块、身份撤销模块和设备间安全交互模块;其中,所述身份标识模块用于对边缘设备进行身份标识,所述身份验证模块用于对边缘设备进行身份验证,所述身份撤销模块用于对边缘设备进行身份撤销,所述设备间安全交互模块用于实现边缘设备间的安全交互。
4.基于区块链的分布式边缘设备身份认证方法,其特征在于,包括:
对基础层的多个设备管理部门分别部署身份服务节点,通过所述身份服务节点构建分布式区块链;
在所述基础层上采用支撑层为设备身份管理服务提供可拔插组件支撑;
采用服务层基于所述支撑层提供的可插拔组件对边缘设备进行身份管理。
5.根据权利要求4所述的基于区块链的分布式边缘设备身份认证方法,其特征在于,采用服务层基于所述基础层上提供的可插拔组件对边缘设备进行身份管理包括对边缘设备进行身份标识,具体包含:
对边缘设备和区块链的身份服务节点预置信任信息,该预置信任信息为公私钥对
Figure 523800DEST_PATH_IMAGE002
,所述预置信任信息使用的公私钥对
Figure 909782DEST_PATH_IMAGE002
用于设备注册;其中,
Figure DEST_PATH_IMAGE004
为预置私钥,在边缘设备存储;
Figure DEST_PATH_IMAGE006
为预置公钥,在区块链的身份服务节点存储;
生成边缘设备的指纹id和身份密钥对
Figure DEST_PATH_IMAGE008
;其中,
Figure DEST_PATH_IMAGE010
为真实私钥,
Figure DEST_PATH_IMAGE012
为真实公钥;边缘设备的身份密钥对
Figure 369146DEST_PATH_IMAGE008
用于设备身份注册完成后开展身份认证时使用;
边缘设备生成注册请求
Figure 967617DEST_PATH_IMAGE014
,该注册请求的含义为:标识为id的设备的真实公钥为
Figure 985252DEST_PATH_IMAGE016
,利用所述预置私钥
Figure 276556DEST_PATH_IMAGE018
对所述注册请求
Figure DEST_PATH_IMAGE020
进行签名得到签名信息
Figure DEST_PATH_IMAGE022
,其中sig代表签名操作,然后将注册请求加签名信息
Figure 153376DEST_PATH_IMAGE024
广播至区块链网络;
区块链网络中的身份服务节点接收到注册请求后,首先检测该id是否注册过,如果注册过,则忽略该请求;如果没有注册过,则利用所述预置公钥
Figure DEST_PATH_IMAGE026
验证签名信息
Figure DEST_PATH_IMAGE028
,如果
Figure DEST_PATH_IMAGE030
ver代表验签操作,即验签通过,将该注册请求
Figure DEST_PATH_IMAGE032
存入区块链的账本中;否则,验签不通过。
6.根据权利要求4所述的基于区块链的分布式边缘设备身份认证方法,其特征在于,采用服务层基于所述基础层上提供的可插拔组件对边缘设备进行身份管理包括对边缘设备进行身份验证,具体包含:
假定边缘设备A与边缘设备B进行通信,生成边缘设备A的指纹idA和身份密钥对
Figure DEST_PATH_IMAGE034
;其中,
Figure 100079DEST_PATH_IMAGE036
为边缘设备A的真实私钥,
Figure 972220DEST_PATH_IMAGE038
为边缘设备A的真实公钥;边缘设备A利用私钥
Figure 168846DEST_PATH_IMAGE036
对待发送给边缘设备B的业务数据data进行签名,生成签名信息
Figure 126438DEST_PATH_IMAGE040
,然后将边缘设备A的指纹idA、业务数据data和签名信息
Figure 332291DEST_PATH_IMAGE042
发送给边缘设备B;
边缘设备B利用接收到的边缘设备A的指纹idA向区块链的账本发出查询请求,得到边缘设备A的公钥
Figure 58939DEST_PATH_IMAGE038
,利用得到的边缘设备A的公钥
Figure 692046DEST_PATH_IMAGE038
对所述签名信息
Figure 136933DEST_PATH_IMAGE042
进行验签,如果
Figure DEST_PATH_IMAGE044
,即验签通过,则边缘设备B可以断定该消息是由边缘设备A发出的;否则,验签不通过,则边缘设备B丢弃该消息。
7.根据权利要求4所述的基于区块链的分布式边缘设备身份认证方法,其特征在于,采用服务层基于所述基础层上提供的可插拔组件对边缘设备进行身份管理包括对边缘设备进行身份变更,具体包含:
对边缘设备和区块链的身份服务节点预置信任信息,该预置信任信息为公私钥对
Figure 821511DEST_PATH_IMAGE002
,所述预置信任信息使用的公私钥对
Figure 933824DEST_PATH_IMAGE002
用于设备注册;其中,
Figure 472252DEST_PATH_IMAGE004
为预置私钥,在边缘设备存储;
Figure 404436DEST_PATH_IMAGE006
为预置公钥,在区块链的身份服务节点存储;
利用边缘设备的预置私钥
Figure 952092DEST_PATH_IMAGE004
对身份变更进行签名,生成身份变更签名信息发送给交互方;交互方收到身份变更签名信息后,通过区块链的账本查询该边缘设备对应的预置公钥
Figure 653332DEST_PATH_IMAGE006
,利用所述预置公钥
Figure 628241DEST_PATH_IMAGE006
对身份变更签名信息进行验签,若验证通过,则通知该边缘设备进行身份变更;若未通过验证,则该边缘设备身份变更失败。
8.根据权利要求4所述的基于区块链的分布式边缘设备身份认证方法,其特征在于,采用服务层基于所述基础层上提供的可插拔组件对边缘设备进行身份管理包括对边缘设备进行身份撤销,具体包含:
边缘设备A发起设备撤销身份的请求,边缘设备A利用业务私钥
Figure 782142DEST_PATH_IMAGE036
对待发送撤销请求request进行签名,生成签名信息
Figure 867910DEST_PATH_IMAGE046
;然后将边缘设备A的指纹idA、撤销请求request和签名信息
Figure 689235DEST_PATH_IMAGE042
发送给区块链上的身份服务节点;
区块链上的身份服务节点利用边缘设备A的指纹idA向区块链的账本发出查询请求,得到边缘设备A的业务公钥
Figure 835046DEST_PATH_IMAGE038
,然后利用所述边缘设备A的业务公钥
Figure 473313DEST_PATH_IMAGE038
对签名信息
Figure 97193DEST_PATH_IMAGE042
进行验签,如果
Figure 773024DEST_PATH_IMAGE048
,即验签通过,则断定该消息是由边缘设备A发出的,将区块链分布式账本上存储的边缘设备A的公钥
Figure 355316DEST_PATH_IMAGE038
、指纹idA以及该设备属性信息记录进行同步删除;如果验签不通过,则丢弃该消息。
9.根据权利要求6所述的基于区块链的分布式边缘设备身份认证方法,其特征在于,采用服务层基于所述基础层上提供的可插拔组件对边缘设备进行身份管理包括边缘设备间安全交互,具体包含:
设边缘设备B要访问受保护的边缘设备A,先采用身份验证方法进行边缘设备B和边缘设备A的身份验证;
边缘设备B将访问的目标设备id和相应的操作op发给边缘设备A;边缘设备A查询自己本地存储的访问控制策略,判断边缘设备B的访问是否符合访问控制策略,如果符合,则为边缘设备B创建相应的访问授权
Figure 483809DEST_PATH_IMAGE050
,其中,其中id B 代表边缘设备B的指纹,ram1是边缘设备A生成的一个随机数;
边缘设备A用边缘设备B的业务公钥
Figure 911379DEST_PATH_IMAGE052
对访问授权进行加密,生成加密后的访问授权信息
Figure 176138DEST_PATH_IMAGE054
enc代表加密操作;然后边缘设备A用自己的私钥
Figure 929330DEST_PATH_IMAGE036
对所述加密后的访问授权信息
Figure 545120DEST_PATH_IMAGE056
进行签名,生成签名信息
Figure 776381DEST_PATH_IMAGE058
调用区块链中的智能合约将加密后的访问授权信息
Figure 161226DEST_PATH_IMAGE056
和签名信息
Figure 819740DEST_PATH_IMAGE060
发送到区块链网络,区块链网络中的身份服务节点收到请求后,利用边缘设备A的业务公钥
Figure 671895DEST_PATH_IMAGE038
进行验签,如果
Figure 706847DEST_PATH_IMAGE062
,即验签通过;否则,验签不通过;
当边缘设备B请求边缘设备A已授权的服务时,首先查询区块链上是否存储所需的访问授权,若存在则边缘设备B通过自己的业务私钥
Figure 211777DEST_PATH_IMAGE064
解密区块链上存储的访问授权
Figure DEST_PATH_IMAGE066
,dec代表解密操作,如果解密成功,则边缘设备B可以得到加密前的访问授权,即
Figure DEST_PATH_IMAGE068
利用边缘设备A的业务公钥
Figure 447718DEST_PATH_IMAGE038
Figure DEST_PATH_IMAGE070
进行加密,生成加密信息
Figure DEST_PATH_IMAGE072
,然后发送给边缘设备A;边缘设备A利用自己的业务私钥
Figure 444624DEST_PATH_IMAGE036
解密
Figure DEST_PATH_IMAGE074
,验证解密后的访问授权是否为边缘设备A生成的针对边缘设备B的访问授权,如果验证通过,则允许边缘设备B对边缘设备A进行已授权的服务访问,否则拒绝。
10.一种电子设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求4-9任一项所述的基于区块链的分布式边缘设备身份认证方法的步骤。
CN202111223809.7A 2021-10-21 2021-10-21 基于区块链的分布式边缘设备身份认证系统及认证方法 Active CN113676334B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111223809.7A CN113676334B (zh) 2021-10-21 2021-10-21 基于区块链的分布式边缘设备身份认证系统及认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111223809.7A CN113676334B (zh) 2021-10-21 2021-10-21 基于区块链的分布式边缘设备身份认证系统及认证方法

Publications (2)

Publication Number Publication Date
CN113676334A true CN113676334A (zh) 2021-11-19
CN113676334B CN113676334B (zh) 2022-02-22

Family

ID=78550670

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111223809.7A Active CN113676334B (zh) 2021-10-21 2021-10-21 基于区块链的分布式边缘设备身份认证系统及认证方法

Country Status (1)

Country Link
CN (1) CN113676334B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114362993A (zh) * 2021-11-24 2022-04-15 北京理工大学 一种区块链辅助的车联网安全认证方法
CN114615030A (zh) * 2022-02-27 2022-06-10 江苏欧软信息科技有限公司 一种基于工业互联网平台的身份认证方法和系统
CN115580415A (zh) * 2022-12-12 2023-01-06 南方电网数字电网研究院有限公司 区块链中数据交互认证方法、装置与系统
CN115665749A (zh) * 2022-12-29 2023-01-31 国家工业信息安全发展研究中心 一种海量工业设备安全可信接入方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109635536A (zh) * 2018-12-14 2019-04-16 北京汉升链商科技有限公司 身份数据访问控制方法、装置和系统
CN109918878A (zh) * 2019-04-24 2019-06-21 中国科学院信息工程研究所 一种基于区块链的工业物联网设备身份认证及安全交互方法
CN110324329A (zh) * 2019-06-21 2019-10-11 深圳前海微众银行股份有限公司 身份验证方法、装置、设备及计算机可读存储介质
US20200259656A1 (en) * 2016-07-29 2020-08-13 Workday, Inc. Blockchain-based digital identity management (dim) system
CN111865993A (zh) * 2020-07-23 2020-10-30 北京天融信网络安全技术有限公司 身份认证管理方法、装置、分布式系统及可读存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200259656A1 (en) * 2016-07-29 2020-08-13 Workday, Inc. Blockchain-based digital identity management (dim) system
CN109635536A (zh) * 2018-12-14 2019-04-16 北京汉升链商科技有限公司 身份数据访问控制方法、装置和系统
CN109918878A (zh) * 2019-04-24 2019-06-21 中国科学院信息工程研究所 一种基于区块链的工业物联网设备身份认证及安全交互方法
CN110324329A (zh) * 2019-06-21 2019-10-11 深圳前海微众银行股份有限公司 身份验证方法、装置、设备及计算机可读存储介质
CN111865993A (zh) * 2020-07-23 2020-10-30 北京天融信网络安全技术有限公司 身份认证管理方法、装置、分布式系统及可读存储介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114362993A (zh) * 2021-11-24 2022-04-15 北京理工大学 一种区块链辅助的车联网安全认证方法
CN114362993B (zh) * 2021-11-24 2022-11-15 北京理工大学 一种区块链辅助的车联网安全认证方法
CN114615030A (zh) * 2022-02-27 2022-06-10 江苏欧软信息科技有限公司 一种基于工业互联网平台的身份认证方法和系统
CN114615030B (zh) * 2022-02-27 2023-09-19 江苏欧软信息科技有限公司 一种基于工业互联网平台的身份认证方法和系统
CN115580415A (zh) * 2022-12-12 2023-01-06 南方电网数字电网研究院有限公司 区块链中数据交互认证方法、装置与系统
CN115665749A (zh) * 2022-12-29 2023-01-31 国家工业信息安全发展研究中心 一种海量工业设备安全可信接入方法及系统
CN115665749B (zh) * 2022-12-29 2023-03-17 国家工业信息安全发展研究中心 一种海量工业设备安全可信接入方法及系统

Also Published As

Publication number Publication date
CN113676334B (zh) 2022-02-22

Similar Documents

Publication Publication Date Title
CN109918878B (zh) 一种基于区块链的工业物联网设备身份认证及安全交互方法
CN110933108B (zh) 基于区块链网络的数据处理方法、装置、电子设备及存储介质
CN113676334B (zh) 基于区块链的分布式边缘设备身份认证系统及认证方法
CN110120869B (zh) 密钥管理系统及密钥服务节点
CN104767731A (zh) 一种Restful移动交易系统身份认证防护方法
KR101974062B1 (ko) 클라우드 하드웨어 모듈 기반 전자 서명 방법
CN110535807B (zh) 一种业务鉴权方法、装置和介质
KR101817152B1 (ko) 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법
KR20200080441A (ko) 사물인터넷 블록체인 환경에서의 디바이스 분산 인증 방법 및 이를 이용한 디바이스 분산 인증 시스템
CN112651037A (zh) 区块链系统的链外数据访问方法和系统
JP2017152880A (ja) 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
CN111355591A (zh) 一种基于实名认证技术的区块链账号安全的管理方法
CN113901432A (zh) 区块链身份认证方法、设备、存储介质及计算机程序产品
CN115694838A (zh) 基于可验证凭证与零知识证明的匿名可信访问控制方法
CN115883154A (zh) 访问凭证的颁发方法、基于区块链的数据访问方法及装置
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
CN112968779B (zh) 一种安全认证与授权控制方法、控制系统、程序存储介质
WO2021170049A1 (zh) 一种访问行为的记录方法、装置
CN113271207A (zh) 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质
CN104811421A (zh) 基于数字版权管理的安全通信方法及装置
CN111711607A (zh) 一种基于区块链的流式微服务可信加载与验证方法
CN115021927B (zh) 一种面向密码机集群的管理员身份管控方法及系统
CN112422292B (zh) 一种网络安全防护方法、系统、设备及存储介质
CN111682941B (zh) 基于密码学的集中式身份管理、分布式认证与授权的方法
CN114938301B (zh) 一种智能合约安全运行方法、装置及区块链系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant