CN113783696A - 物联网感知数据共享交易平台、控制方法、设备、终端 - Google Patents
物联网感知数据共享交易平台、控制方法、设备、终端 Download PDFInfo
- Publication number
- CN113783696A CN113783696A CN202110933507.2A CN202110933507A CN113783696A CN 113783696 A CN113783696 A CN 113783696A CN 202110933507 A CN202110933507 A CN 202110933507A CN 113783696 A CN113783696 A CN 113783696A
- Authority
- CN
- China
- Prior art keywords
- data
- transaction
- key
- consumer
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000008447 perception Effects 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000005540 biological transmission Effects 0.000 claims description 48
- 238000003860 storage Methods 0.000 claims description 20
- 238000004364 calculation method Methods 0.000 claims description 18
- 238000013475 authorization Methods 0.000 claims description 16
- 230000003993 interaction Effects 0.000 claims description 16
- 238000004422 calculation algorithm Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 13
- 239000004744 fabric Substances 0.000 claims description 12
- 238000009826 distribution Methods 0.000 claims description 9
- 230000002776 aggregation Effects 0.000 claims description 8
- 238000004220 aggregation Methods 0.000 claims description 8
- 238000011217 control strategy Methods 0.000 claims description 8
- 239000000203 mixture Substances 0.000 claims description 7
- 238000012795 verification Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims description 6
- 238000009472 formulation Methods 0.000 claims description 6
- 230000001960 triggered effect Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000010354 integration Effects 0.000 claims description 3
- 238000002955 isolation Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 239000000126 substance Substances 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 230000008901 benefit Effects 0.000 abstract description 9
- 238000012546 transfer Methods 0.000 abstract description 5
- 238000004891 communication Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 23
- 238000012360 testing method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 239000003595 mist Substances 0.000 description 5
- 230000007547 defect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000004069 differentiation Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011056 performance test Methods 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
- H04L9/3221—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- Finance (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Technology Law (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Medical Informatics (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于通信网络安全技术领域,公开了一种物联网感知数据共享交易平台、控制方法、设备、终端,所述物联网感知数据共享交易平台,包括感知汇聚层、控制传输层、共享交易层、应用交互层、区块链底层平台、区块链网络以及区块链底层架构。本发明基于云雾混构数据架构,采用边缘雾节点收集、加密、发布同一管理域中的感知数据,云服务器作为中转点存储交易数据的方案,实现去中心化且可扩展的身份管理、可信认证及数据交易环境,负责感知设备管理的雾节点及数据消费者加入联盟链,无需选取可信中心组织交易,平台节点进行对等自由的交易协商,利用智能合约灵活自治,即时调整云服务器数据访问权限实现数据安全共享,并具有交易可追溯的优势。
Description
技术领域
本发明属于通信网络安全技术领域,尤其涉及一种物联网感知数据共享交易平台、控制方法、设备、终端。
背景技术
目前,互联网因传感技术、无线通信、嵌入式计算等技术的发展逐渐形成连接全球数十亿“物-人-服务”的平台--智能物联网,将实现任意实体随时随地的快节奏交互,为人们带来更丰富、更高质量的广泛智能服务及应用。物联网规模迅猛扩张的同时也制造了大规模的多模态数据,普惠智能应用需要多源数据深度融合及智能协同支撑,数据的有效管理、安全共享及滚动应用是物联网安全建设的基础,但广域物联网中数据具有数据量庞大、来源复杂、数据种类多样及敏感信息丰富等特征,为物联网数据安全应用方案的设计带来巨大挑战。
大数据交易从2008年产生这一概念开始,发展至今已经十余年,虽然有大量的第三方数据交易平台诞生,但是本质上的发展和进步却十分缓慢。其原因一方面是因为这些物联网大数据交易平台基本上都采用采用和中心化的体系结构,也就是说所有数据的存储和传输都在单一的中心控制系统上完成。随着云计算技术的普及和运用,现有的第三方数据交易平台大多可以通过云端的服务器集群,为所有加入平台的物联网智能设备提供存储和传输数据服务。但目前接入到物联网的设备增长速度极快,以几何级数级别的增长速度不断增加,使得越来越多的数据资源持有方加入到数据交易平台中,也同样带来了数据交易量的飞速增加,从而导致中心式交易平台在计算、存储以及传输等方面的开销源源不断地增加直至无法承担。另一方面,在第三方数据交易平台成交的数据大多为企业级数据,对于个体用户所掌握的零散数据常常无人问津成交甚少,最终导致平台无法吸引大量的数据持有方进行数据共享。因此第三方数据交易平台仍处于不成熟阶段,同时,面向普通个体数据持有方的数据交易平台至今仍处在起步阶段。
目前已有的大部分提出数据市场的侧重点在于数据竞价,拍卖策略等设计,还有部分是无安全方案设计的,直接基于已有架构的应用方案。其次,基于云服务器架构的数据分享方案主要还是采用传统的基于属性控制的加密进行访问控制的,有部分无法进行一对多的数据分享,大多缺少身份认证及管理,对物联网中设备进行身份管理的需求无法满足。
通过上述分析,现有技术存在的问题及缺陷为:
(1)现有数据交易平台在计算、存储以及传输等方面的开销较大,且对于个体用户所掌握的零散数据常常无人问津成交甚少。
(2)现有第三方数据交易平台仍处于不成熟阶段,同时面向普通个体数据持有方的数据交易平台至今仍处在起步阶段。
(3)现有数据交易平台无安全方案设计的,直接基于已有架构的应用方案;且采用传统基于属性控制的加密进行访问控制的,无法进行一对多的数据分享,大多缺少身份认证及管理,对物联网中设备进行身份管理的需求无法满足,平台存储的数据易被恶意入侵,无法保证数据的保密性、完整性。
解决以上问题及缺陷的难度为:物联网数据统一交易平台缺乏;广泛分布的设备可信交易环境构建困难;敏感数据分享方案安全需求与预期效率难以平衡。具体的:基于区块链的交易平台组成节点全部上链不利于效率,同时基于区块链本身的安全机制保证交易也会很大程度影响效率;将区块链作为代理签名服务器实现访问控制的效率不高,区块链作为中心负责认证等操作会导致消耗过高;在区块链上存储一部分数据会导致链体量迅速增加。
解决以上问题及缺陷的意义为:突破由于物联网感知设备能力差异化及分域管理导致的可信中心选取、安全机制统一等困难,实现大规模感知数据的灵活高效的安全共享及交易。具体的:实现去中心化且可扩展的身份管理、可信认证及数据交易环境;进行对等自由的交易协商,能够即时调整云服务器数据访问权限实现数据安全共享,并可实现交易可追溯、不可否认;实现隐私的交易信道并有效降低区块链存储消耗,实现一对多的数据安全共享,在保护交易敏感信息的同时减少数据供应商的计算消耗,提升共享效率。
发明内容
针对现有技术存在的问题,本发明提供了一种物联网感知数据共享交易平台、控制方法、设备、终端,尤其涉及一种基于区块链的物联网感知数据共享交易平台、控制方法、设备、终端。
本发明是这样实现的,一种物联网感知数据共享交易平台,所述物联网感知数据共享交易平台,包括感知汇聚层、控制传输层、共享交易层、应用交互层、区块链底层平台、区块链网络以及区块链底层架构。本发明采用分层架构,即边缘雾节点收集、加密、发布同一管理域中的感知数据,云服务器作为中转点存储交易数据的方案,解决了感知设备性能差异大、计算资源有限带来的数据加密、传输困难等问题。
所述感知汇聚层,由各类物联网终端设备执行环境/运行数据的感知及采集;
所述控制传输层,由设备群组的控制中心归集数据并对数据进行传输安全管控,用于负责访问控制策略的制定、执行和数据安全传输通道的建立;
所述共享交易层,由数据供应方、需求方及云存储服务器实施数据交易或共享,用于实施安全认证与密钥协商协议及智能合约;
所述应用交互层,用于提供感知数据采集/安全汇聚结果展示及用户数据交易应用交互;
所述区块链底层平台,用于实现所述物联网感知数据共享交易平台数据的上链存储;
所述区块链网络,用于节点身份注册、实现创建交易群组、创建智能合约、运行智能合约以及数据安全共享;
所述区块链底层架构,用于构建区块链网络。
进一步,所述感知汇聚层,包括多类型物联网终端感知设备群组;所述多类型物联网终端感知设备群组用于执行环境/运行数据的感知或采集。
所述控制传输层,包括物联网设备群组控制中心和安全传输信道;所述物联网设备群组控制中心用于对数据进行传输安全管控,包括访问控制策略的制定与执行;所述安全传输信道用于执行群组认证及密钥协商协议。
本发明的另一目的在于提供一种应用所述的物联网感知数据共享交易平台的物联网感知数据共享交易平台的控制方法,所述物联网感知数据共享交易平台的控制方法包括以下步骤:
步骤一,参与数据交易的节点在区块链服务节点的协助下完成所述物联网感知数据共享交易平台的节点身份注册;无需选取可信中心组织交易,实现去中心化且可扩展的身份管理、可信认证及数据交易环境。
步骤二,由数据供应商发布数据公告或由数据消费者发起数据请求,创建所述物联网感知数据共享交易平台的交易群组;平台用户对感知数据进行分类及标签化,并根据需求加入交易群组,实现隐私的交易信道并有效降低区块链存储消耗。
步骤三,数据供应商与数据消费者利用零知识证明和聚合密钥执行群组认证及密钥协商协议,同时认证交易双方多个实体协商数据保护密钥;基于零知识证明的群组认证与密钥协商协议可实现一对多的数据安全共享,在保护交易敏感信息的同时减少数据供应商的计算消耗,提升共享效率。
步骤四,数据供应商与数据消费者进行数据竞价/付款的协商工作;若数据供应商承认交易,则发布区块链数据授权交易,对成功购买的消费者进行数据授权;链下协商,避免冗余信息上链,提高共享效率。
步骤五,数据授权交易确认后,触发智能合约,云服务器及数据消费者应用端会创建/更新数据访问权限列表;利用智能合约自主维护、更新并控制云服务器数据访问列表以完成大规模分布式智能设备的感知数据的可靠流转与高效共享,并具有交易可追溯、不可否认等优势。
步骤六,数据供应商使用国密对称加密算法SM4及数据保护密钥对数据进行加密,上传至云服务器端后,已授权的数据消费者访问下载数据,并使用保护密钥解密获得数据。在数据上传、下载过程使用国密算法进行了加密,防止数据传输过程中遭到恶意入侵,造成数据泄露。
进一步,步骤一中,所述节点身份注册,包括:
(1)希望加入平台的数据交易节点i向区块链服务节点发送注册请求 (i-specific,Si),其中i-specific为用户自选身份,包括用户名及其交易身份组合;si为用户自选秘密信息,包括登录平台的口令字;
(2)平台为该用户生成平台唯一身份标识IDi,区块链服务节点生成用户i公私钥对及证书返回((PKi,SKi),Cert)至用户。
进一步,步骤二中,所述交易群组创建,包括:
(1)对已注册用户,若其为数据供应商,则为要出售的数据选择数据标签,并加入相应数据标签所指向的Channel,所述平台设有统一的数据标签编号;若其为数据消费者,则根据需求加入对应的数据交易Channel;其中Channel指 Fabric平台中创建的通道,即交易群组;
(2)数据供应商通过在Channel中广播发送数据交易信息,购买此项数据的数据消费者(1-i)加入此次交易群组,与数据供应商执行群组认证及密钥协商协议;其中,所述数据交易信息包括数据量大小、数据内容摘要、数据价格。
进一步,步骤三中,所述群组认证及密钥协商协议,包括:
(1)交易平台BS进行认证初始化,选择安全参数k∈Z+,生成认证系统参数步骤如下:
②选择4项哈希函数,并公布公共参数;其中,所述哈希函数如下:
其中i为3或4。
(2)交易平台BS为Channel中的数据消费者DCi(i=1~N)按以下步骤生成部分私钥K1i:
②计算部分私钥k1i=ri+(sBSh1imod q),并将密钥信息K1i=(ki,Ri)通过安全信道发送至DCi。
(3)数据消费者DCi生成聚合签名公私钥对(APKi,ASKi),步骤如下:
①收到K1i=(ki,Ri)后检查等式kiP=Ri+h1iPBS是否成立,若成立则认可该部分私钥;
②利用其注册阶段自选密钥sDCi计算K2i=sDCiP,则对于数据消费者DCi其聚合公钥为APKi=(K2i,Ri),聚合私钥为ASKi=(ki,sDCi)。
(4)交易平台BS为数据供应商生成零知识身份证明参数,步骤如下:
其中t(X)为n-2次多项式;
Statements及σ作为DP的数据及身份公开信息。
(5)认证及密钥分发协议,步骤如下:
①数据供应商DP调用Prove计算身份证明,选择随机数r,s∈ZP,计算证明π=(A,B,C),其中:
群发认证请求M1=(π,T1)至需要购买数据的数据消费者;
②数据消费者获得身份证明π及消息时戳,检验消息新鲜性后调用Verify 验证等式是否成立:
若等式成立,则证明该认证请求来自于数据供应商DP。
Wi=[UI(Y1i+h3isDCi)+h4iki]mod q;
其中,
h2i=H2(H(π),IDDCi,Y1i),h3i=H3(H(π),IDDCi,APKi,T2i),
h4i=H4(H(π),IDDCi,APKi,T2i)
返回至数据供应商M2i=(IDDCi,Y1i,Ui,Wi,T2i);
③数据供应商整合一段时间内的认证返回消息M2i(i=1~N),聚合消息并验证:
WiP-Ui(Y1i+h3ik2i)=h4i(Ri+h1iPBS);
⑤数据消费者接收到消息后解密获得数据加密密钥GS,验证等式是否成立:
判断GS是否被篡改,验证MI是否为正确的签名,若验证成功,则接受GS为数据加密密钥;
若需确认其收到该密钥,数据消费者可选择使用聚合签名将消息(GS,T4i)签名发送至数据供应商。
进一步,步骤四中,所述数据安全共享,包括:
(1)数据供应商发布交易块,记录此次交易:
智能合约收到功能为记录交易的调用,获取唯一交易ID,绑定数据提供者签名、数据地址、数据需求方以及交易金额信息;数据供应商定义索引号,设定为数据供应商用户名和数据编号;进行交易合理性检测,检测用户是否存在,是否存在重复购买情况;检测完毕后将关键信息存入状态数据库,并记录上链。
(2)更新云服务器上的访问列表,更新消费者的访问权限:
智能合约收到功能为升级访问列表的调用,确定权限的合理性,查询与该用户有关的交易信息,确定相关用户和交易是否存在;构造更新请求,将请求参数序列化,向云服务器发送,云服务器收到更新请求后对权限列表进行更新操作。
(3)数据供应商上传加密数据:
数据供应商通过SM4国密算法,使用上述加密密钥GS加密数据,将加密数据上传至云服务器,提供数据地址用于后续数据消费者索引。
(4)数据消费者访问数据:
数据消费者持有权限至云服务器访问数据,云服务器根据访问列表鉴权;鉴权通过的数据消费者下载数据,并使用保护密钥进行解密获得数据。
进一步,步骤五中,所述智能合约采用HyperledgerFabric平台,采用多通道设置数据标签,实现交易分类隔离,采用Fabric-CA实现身份证书管理。
本发明的另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
参与数据交易的节点在区块链服务节点的协助下完成数据交易平台身份注册;由数据供应商发布数据公告或由数据消费者发起数据请求,创建交易群组;数据供应商与数据消费者利用零知识证明和聚合密钥执行群组认证及密钥协商协议,同时认证交易双方多个实体协商数据保护密钥;数据供应商随后与数据消费者进行数据竞价/付款的协商工作;
若数据供应商承认交易,则发布区块链数据授权交易,对成功购买的消费者进行数据授权;数据授权交易确认后,触发智能合约,云服务器及数据消费者应用端会创建/更新数据访问权限列表;数据供应商使用国密对称加密算法 SM4及数据保护密钥对数据进行加密,上传至云服务器端后,已授权的数据消费者访问下载数据,并使用保护密钥解密获得数据。
本发明的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端用于实现所述的物联网感知数据共享交易平台。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明基于区块链的去中心化架构,解决中心式交易平台的不足,即:a)计算、存储、传输方面开销大;b)无法实现数据共享;本发明的交易信息对等,交易过程简洁,采用智能合约,具有不可抵赖性和可追溯性,适用于个体数据拥有者。本发明创新性的采用云雾混构、Fabric联盟链、智能合约、零知识证明和聚合签名等框架及技术,提出了一种较为完整的物联网数据安全共享平台方案设计,打破由设备分域管理造成的数据流通壁垒,采用边缘雾节点收集、加密、发布同一管理域中的感知数据,云服务器作为中转点存储交易数据的方案,引入区块链机制,实现去中心化且可扩展的身份管理、可信认证及数据交易环境对感知数据进行分类及标签化,并根据需求加入交易群组,利用Fabric Channel实现隐私的交易信道并有效降低区块链存储消耗。
本发明提供的物联网感知数据共享交易平台,包括感知汇聚层、控制传输层、共享交易层、应用交互层;底层感知汇聚层由各类物联网终端设备执行环境/运行数据的感知及采集;中层控制传输层由设备群组的控制中心归集数据并对数据进行传输安全管控,负责访问控制策略的制定、执行和数据安全传输通道的建立;上层共享交易层由数据供应方、需求方及云存储服务器实施数据交易或共享,实施安全认证与密钥协商协议及智能合约;顶层应用交互层提供感知数据采集/安全汇聚结果展示及用户数据交易应用交互。
本发明提供的基于区块链的物联网感知数据共享交易平台采用云雾分层混构数据分享模型,引入HyperledgerFabric联盟链技术,设计基于非交互式零知识证明的群组身份认证与密钥协商协议,利用智能合约完成大规模分布式智能设备的感知数据的可靠流转与高效共享。本发明解决了交易过程中感知设备性能差异大、计算资源有限带来的数据加密、传输困难等问题,具有交易可追溯、不可否认等优势,能够克服物联网数据统一交易平台缺乏、广泛分布的设备可信交易环境构建困难、敏感数据分享方案安全需求与预期效率难以平衡等痛点,支撑物联网智能化与协同化发展,具有一定的应用价值。
本发明针对物联网数据统一交易平台缺乏、广泛分布的设备可信交易环境构建困难、敏感数据分享方案安全需求与预期效率难以平衡等问题,提出了一种安全保障物联网实体跨域数据共享的方案。本发明结合联盟链与传统云中心数据分享架构为分布式节点提供身份可信认证与数据交易管控环境,支持各类差异化能力节点/节点集群的自主便捷的数据交易及共享,连通物联网节点分域管理的感知设备集群数据孤岛。本发明平台用户对感知数据进行分类及标签化,并根据需求加入交易群组,利用Fabric Channel实现隐私的交易信道并有效降低区块链存储消耗。本发明中设计的基于零知识证明的群组认证与密钥协商协议可实现一对多的数据安全共享,在保护交易敏感信息的同时减少数据供应商的计算消耗,提升共享效率。
本发明基于云雾混构数据架构,采用边缘雾节点收集、加密、发布同一管理域中的感知数据,云服务器作为中转点存储交易数据的方案,解决了感知设备性能差异大、计算资源有限带来的数据加密、传输困难等问题;引入区块链机制,实现去中心化且可扩展的身份管理、可信认证及数据交易环境,负责感知设备管理的雾节点及数据消费者加入联盟链,无需选取可信中心组织交易,平台节点可进行对等自由的交易协商,利用智能合约灵活自治,即时调整云服务器数据访问权限实现数据安全共享,并具有交易可追溯、不可否认等优势。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的物联网感知数据共享交易平台的控制方法流程图。
图2是本发明实施例提供的物联网感知数据共享交易平台系统架构图。
图3是本发明实施例提供的物联网感知数据共享交易平台系统分层结构图。
图4是本发明实施例提供的物联网感知数据共享交易平台系统数据交易运行步骤图。
图5是本发明实施例提供的物联网感知数据共享交易平台系统节点间相互认证及密钥分发流程图。
图6是本发明实施例提供的物联网感知数据共享交易平台系统群组认证流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种物联网感知数据共享交易平台、控制方法、设备、终端,适用于智能家居设备(如智能电视、智能音箱等) 或个人可穿戴设备(如智能手环、智能手表等)等其他类型的个人设备,智慧城市等物联网设备(如风力传感器、温度传感器、湿度传感器等),智能汽车设备(车辆内部电子控制单元设备、车辆外部传感器设备、车联网设备等),工业物联网设备(工业用途传感器等)等其他类型的数据共享交易。下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的物联网感知数据共享交易平台的控制方法包括以下步骤:
S101,参与数据交易的节点在区块链服务节点的协助下完成所述物联网感知数据共享交易平台的节点身份注册;
S102,由数据供应商发布数据公告或由数据消费者发起数据请求,创建所述物联网感知数据共享交易平台的交易群组;
S103,数据供应商与数据消费者利用零知识证明和聚合密钥执行群组认证及密钥协商协议,同时认证交易双方多个实体协商数据保护密钥;
S104,数据供应商与数据消费者进行数据竞价/付款的协商工作;若数据供应商承认交易,则发布区块链数据授权交易,对成功购买的消费者进行数据授权;
S105,数据授权交易确认后,触发智能合约,云服务器及数据消费者应用端会创建/更新数据访问权限列表;
S106,数据供应商使用国密对称加密算法SM4及数据保护密钥对数据进行加密,上传至云服务器端后,已授权的数据消费者访问下载数据,并使用保护密钥解密获得数据。
下面结合实施例对本发明的技术方案作进一步描述。
本发明基于区块链的物联网感知数据共享交易平台,包括感知汇聚层、控制传输层、共享交易层、应用交互层;底层感知汇聚层由各类物联网终端设备执行环境/运行数据的感知及采集;中层控制传输层由设备群组的控制中心归集数据并对数据进行传输安全管控,负责访问控制策略的制定、执行和数据安全传输通道的建立;上层共享交易层由数据供应方、需求方及云存储服务器实施数据交易或共享,实施安全认证与密钥协商协议及智能合约;顶层应用交互层提供感知数据采集/安全汇聚结果展示及用户数据交易应用交互。
如图2-图3所示,本实施例中,所述数据共享交易平台包括感知汇聚层、控制传输层、共享交易层、应用交互层;
所述感知汇聚层由各类物联网终端设备执行环境/运行数据的感知及采集;
所述控制传输层由设备群组的控制中心归集数据并对数据进行传输安全管控,负责访问控制策略的制定、执行和数据安全传输通道的建立;
所述共享交易层由数据供应方、需求方及云存储服务器实施数据交易或共享,实施安全认证与密钥协商协议及智能合约;
所述应用交互层提供感知数据采集/安全汇聚结果展示及用户数据交易应用交互。
本实施例中,所述感知汇聚层包括多类型物联网终端感知设备群组;
所述多类型物联网终端感知设备群组用于执行环境/运行数据的感知或采集。
本实施例中,所述控制传输层包括物联网设备群组控制中心、安全传输信道;
所述物联网设备群组控制中心用于对数据进行传输安全管控,包括访问控制策略的制定与执行;
所述安全传输信道用于执行群组认证及密钥协商协议。
本实施例中,所述共享交易层包括区块链底层平台、区块链网络、区块链底层架构;
所述区块链底层平台用于实现所述物联网感知数据共享交易平台数据的上链存储;
所述区块链网络用于节点身份注册、实现创建交易群组、创建智能合约、运行智能合约、数据安全共享;
所述区块链底层架构用于构建区块链网络。
为了清楚地说明本发明的技术方案,首先界定本发明中技术名词含义。
表2符号对应表
本实施例中,所述物联网感知数据共享交易平台的节点身份注册方法如下:
1)希望加入平台的数据交易节点i向区块链服务节点发送注册请求(i-specific,Si),其中i-specific为用户自选身份,如用户名及其交易身份组合。si为用户自选秘密信息,如登录平台的口令字。
2)平台为该用户生成平台唯一身份标识IDi,区块链服务节点生成用户i公私钥对及证书返回((PKi,SKi),Cert)至用户。
本实施例中,所述物联网感知数据共享交易平台的创建交易群组方法如下:
1)对已注册用户,若其为数据供应商,则为要出售的数据选择数据标签,并加入相应数据标签所指向的Channel。本平台设有统一的数据标签编号,如表1 所示。若其为数据消费者,则可根据需求加入对应的数据交易Channel。其中 Channel指Fabric平台中创建的通道,即交易群组。
表1数据类型及标签编号对应
数据类型 | 智能家居 | 智能制造 | 智能城市 | 车联网 | 环境感知 | 智能医疗 |
数据标签编号 | 01 | 02 | 03 | 04 | 05 | 06 |
2)数据供应商通过在Channel中广播发送数据交易信息,如数据量大小、数据内容摘要、数据价格等。希望购买此项数据的数据消费者(1-i)加入此次交易群组,与数据供应商执行群组认证及密钥协商协议。
本实施例中,所述物联网感知数据共享交易平台的群组认证及密钥协商协议具体如下:
1)交易平台BS进行认证初始化,选择安全参数k∈Z+,生成认证系统参数步骤如下:
②选择4项哈希函数,其中i为3或4,哈希函数如下,并公布公共参数
2)交易平台BS为Channel中的数据消费者DCi(i=1~N)按以下步骤生成部分私钥K1i:
②计算部分私钥k1i=ri+(sBSh1imod q),并将密钥信息K1i=(ki,Ri)通过安全信道发送至DCi。
3)数据消费者DCi生成聚合签名公私钥对(APKi,ASKi),步骤如下:
①收到K1i=(ki,Ri)后检查等式kiP=Ri+h1iPBS是否成立,若成立则认可该部分私钥;
②利用其注册阶段自选密钥sDCi计算K2i=sDCiP,则对于数据消费者DCi其聚合公钥为APKi=(K2i,Ri),聚合私钥为ASKi=(ki,sDCi)。
4)交易平台BS为数据供应商生成零知识身份证明参数,步骤如下:
Statements及σ作为DP的数据及身份公开信息。
5)认证及密钥分发协议,步骤如下:
①数据供应商DP调用Prove计算身份证明,选择随机数r,s∈ZP,计算证明π=(A,B,C),其中:
群发认证请求M1=(π,T1)至需要购买数据的数据消费者;
②数据消费者获得身份证明π及消息时戳,检验消息新鲜性后调用Verify 验证等式是否成立:
若等式成立,则证明该认证请求来自于数据供应商DP。
Wi=[UI(Y1i+h3isDCi)+h4iki]mod q
其中,
h2i=H2(H(π),IDDCi,Y1i),h3i=H3(H(π),IDDCi,APKi,T2i),
h4i=H4(H(π),IDDCi,APKi,T2i)
返回至数据供应商M2i=(IDDCi,Y1i,Ui,Wi,T2i);
③数据供应商整合一段时间内的认证返回消息M2i(i=1~N),聚合消息并验证:
WiP-Ui(Y1i+h3ik2i)=h4i(Ri+h1iPBS);
⑤数据消费者接收到消息后解密获得数据加密密钥GS,验证等式是否成立:
判断GS是否被篡改,验证MI是否为正确的签名,若验证成功,则接受GS为数据加密密钥。
若需确认其收到该密钥,数据消费者可选择使用聚合签名将消息(GS,T4i)签名发送至数据供应商。
节点间相互认证及密钥分发流程如图5所示。
本实施例中,所述物联网感知数据共享交易平台的数据安全共享流程如下:
1)数据供应商发布交易块,记录此次交易,具体如下:
智能合约收到功能为记录交易的调用,获取唯一交易ID,绑定数据提供者签名,数据地址,数据需求方,交易金额等信息。数据供应商定义索引号,通常设定为数据供应商用户名和数据编号,保证唯一性即可。然后进行交易合理性检测,主要检测用户是否存在,是否存在重复购买等情况。检测完毕后将关键信息存入状态数据库,并记录上链。
2)更新云服务器上的访问列表,更新消费者的访问权限,具体如下:
智能合约收到功能为升级访问列表的调用,首先确定权限的合理性,查询与该用户有关的交易信息,确定相关用户和交易是否存在。然后构造更新请求,将请求参数序列化,向云服务器发送,云服务器收到更新请求后对权限列表进行更新操作。
3)数据供应商上传加密数据,具体如下:
数据供应商通过SM4国密算法,使用加密密钥加密数据,并通过安全通道上传至云服务器,提供数据地址用于后续数据消费者索引。
4)数据消费者访问数据,具体如下:
数据消费者持有权限至云服务器访问数据,云服务器根据访问列表鉴权;鉴权通过的数据消费者可下载数据,并使用保护密钥进行解密获得数据。
本实施例中,所述物联网感知数据共享交易平台的智能合约采用 HyperledgerFabric平台,采用多通道(Multi-Channel)设置数据标签,实现交易分类隔离,采用Fabric-CA实现身份证书管理。
本发明实施例提供的物联网感知数据共享交易平台系统数据交易运行步骤图如图4所示,本发明实施例提供的物联网感知数据共享交易平台系统节点间相互认证及密钥分发流程图如图5所示,本发明实施例提供的物联网感知数据共享交易平台系统群组认证流程图如图6所示。
实现本发明的技术方案是:参与数据交易的节点首先在区块链服务节点的协助下完成数据交易平台身份注册。然后由数据供应商发布数据公告或由数据消费者发起数据请求,创建交易群组,以保证交易隐私。数据供应商与数据消费者利用零知识证明和聚合密钥执行群组认证及密钥协商协议,同时认证交易双方多个实体协商数据保护密钥。数据供应商随后与数据消费者进行数据竞价/ 付款等协商工作。若数据供应商承认交易,则发布区块链数据授权交易,对成功购买的消费者进行数据授权。数据授权交易确认后,触发智能合约,云服务器及数据消费者应用端会创建/更新数据访问权限列表。数据供应商使用国密对称加密算法SM4及数据保护密钥对数据进行加密,上传至云服务器端后,已授权的数据消费者可以访问下载数据,并使用保护密钥解密获得数据。该方案能够克服物联网数据统一交易平台缺乏、广泛分布的设备可信交易环境构建困难、敏感数据分享方案安全需求与预期效率难以平衡等痛点,支撑物联网智能化与协同化发展,具有一定的应用价值。
本发明针对物联网数据统一交易平台缺乏、广泛分布的设备可信交易环境构建困难、敏感数据分享方案安全需求与预期效率难以平衡等问题,提出了一种安全保障物联网实体跨域数据共享的方案。结合联盟链与传统云中心数据分享架构为分布式节点提供身份可信认证与数据交易管控环境,支持各类差异化能力节点/节点集群的自主便捷的数据交易及共享,连通物联网节点分域管理的感知设备集群数据孤岛。
1)基于云雾混构数据架构,采用边缘雾节点收集、加密、发布同一管理域中的感知数据,云服务器作为中转点存储交易数据的方案,解决了感知设备性能差异大、计算资源有限带来的数据加密、传输困难等问题;
2)引入区块链机制,实现去中心化且可扩展的身份管理、可信认证及数据交易环境。负责感知设备管理的雾节点及数据消费者加入联盟链,无需选取可信中心组织交易,平台节点可进行对等自由的交易协商,利用智能合约灵活自治,即时调整云服务器数据访问权限实现数据安全共享,并具有交易可追溯、不可否认等优势;
3)平台用户对感知数据进行分类及标签化,并根据需求加入交易群组,利用Fabric Channel实现隐私的交易信道并有效降低区块链存储消耗。本发明中设计的基于零知识证明的群组认证与密钥协商协议可实现一对多的数据安全共享,在保护交易敏感信息的同时减少数据供应商的计算消耗,提升共享效率。
下面结合分析对本发明的技术效果作详细的描述。
(1)方案正确性分析:
数据供应商认证数据消费者群组聚合签名正确性验证如下:
可知其判定正确性,根据需每个消费者拥有正确的自选密钥sDCi才能生成正确的签名完成聚合,保证等式成立,完成身份验证。
数据消费者通过零知识证明论断π验证数据供应商身份及密钥消息来源,根据Groth 16算法的安全证明,仅拥有数据供应商证书私钥及自选密钥的节点可生成该论断,该身份认证为双因子强度的身份认证,数据消费者不接受同一供应商对不同数据下产生的相同论断,即,每次对数据拥有的声明应产生新鲜的论断以防止重放攻击。
密钥安全传输及完整性验证:密钥使用各消费者公钥加密分发,仅通过身份验证的数据消费者可获得并解密。在零知识证明的声明阶段,数据供应商已经公布数据加密密钥的签名获得密钥信息的消费者通过该签名确定密钥为数据供应商提供的未被篡改的密钥,防止重放及中间人攻击。
(2)性能测试:
性能测试包括数据分享服务性能及认证/密钥分发协议执行性能两部分,针对数据访问权限分发、数据共享传输、交易双方相互认证与密钥协商效率等关键性能指标有如下测试。
a)数据分享服务性能测试
使用HyperledgerCaliper框架来测试Fabric的性能。Caliper是专门被设计用来测试区块链性能的基准测试框架。目前支持多种性能指标,包括交易成功率、交易吞吐量、交易延迟以及资源消耗等。在区块大小为50时,测试不同的交易请求速率对Fabric吞吐量和交易延迟的影响。得到如下数据:
随着交易请求速率的增加,刚开始吞吐量也都随之线性增加,但到达某一瓶颈(80tps左右)后,吞吐量都不在增加。交易请求速率较低时,交易的延迟维持在0.6s左右;但当交易请求速率高于80tps左右时,交易的延迟开始增加,总体而言,本平台交易确认时间为秒级,属于用户友好型。
b)数据加密/解密效率
DP方数据加密推荐使用国密SM4算法。对称密码算法速度快,非常适合用于数据大的信息进行快速加密。下表为数据加解密耗时与文件大小的关系:
加解密时间基本与数据大小线性相关,随着数据包的增大,加解密时间也会逐渐增大,物联网感知数据量一般小于1GB,在本平台中加解密消耗均远小于1 分钟,安全保障花销时间较少。
c)群组认证协议执行效率分析
群组认证执行时间消耗,指协议中参与实体的计算消耗及协议执行的总体时间消耗。应测试消费者节点数增加时的时间消耗动态变化情况。密码算法调用 MIRACL library库测试计算时间,零知识证明调用libsnark库测试计算时间,各算法计算消耗及数据供应商、数据消费者双方计算消耗如下表所示。
表3.2群组认证协议计算消耗
d)群组认证协议传输消耗
协议传输消耗,指协议中参与实体完成协议传输数据量大小。本协议数据供应商及数据消费者传输消耗如下表所示,可知群组认证及密钥分发流程简洁且传输消耗较少。
表3.3群组认证协议传输消耗
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种物联网感知数据共享交易平台,其特征在于,所述物联网感知数据共享交易平台,包括感知汇聚层、控制传输层、共享交易层、应用交互层、区块链底层平台、区块链网络以及区块链底层架构;
所述感知汇聚层,由各类物联网终端设备执行环境/运行数据的感知及采集;
所述控制传输层,由设备群组的控制中心归集数据并对数据进行传输安全管控,用于负责访问控制策略的制定、执行和数据安全传输通道的建立;
所述共享交易层,由数据供应方、需求方及云存储服务器实施数据交易或共享,用于实施安全认证与密钥协商协议及智能合约;
所述应用交互层,用于提供感知数据采集/安全汇聚结果展示及用户数据交易应用交互;
所述区块链底层平台,用于实现所述物联网感知数据共享交易平台数据的上链存储;
所述区块链网络,用于节点身份注册、实现创建交易群组、创建智能合约、运行智能合约以及数据安全共享;
所述区块链底层架构,用于构建区块链网络。
2.如权利要求1所述的物联网感知数据共享交易平台,其特征在于,所述感知汇聚层,包括多类型物联网终端感知设备群组;所述多类型物联网终端感知设备群组用于执行环境/运行数据的感知或采集;
所述控制传输层,包括物联网设备群组控制中心和安全传输信道;所述物联网设备群组控制中心用于对数据进行传输安全管控,包括访问控制策略的制定与执行;所述安全传输信道用于执行群组认证及密钥协商协议。
3.一种运行权利要求1~2任意一项所述的物联网感知数据共享交易平台的物联网感知数据共享交易平台的控制方法,其特征在于,所述物联网感知数据共享交易平台的控制方法包括以下步骤:
步骤一,参与数据交易的节点在区块链服务节点的协助下完成所述物联网感知数据共享交易平台的节点身份注册;
步骤二,由数据供应商发布数据公告或由数据消费者发起数据请求,创建所述物联网感知数据共享交易平台的交易群组;
步骤三,数据供应商与数据消费者利用零知识证明和聚合密钥执行群组认证及密钥协商协议,同时认证交易双方多个实体协商数据保护密钥;
步骤四,数据供应商与数据消费者进行数据竞价/付款的协商工作;若数据供应商承认交易,则发布区块链数据授权交易,对成功购买的消费者进行数据授权;
步骤五,数据授权交易确认后,触发智能合约,云服务器及数据消费者应用端会创建/更新数据访问权限列表;
步骤六,数据供应商使用国密对称加密算法SM4及数据保护密钥对数据进行加密,上传至云服务器端后,已授权的数据消费者访问下载数据,并使用保护密钥解密获得数据。
4.如权利要求3所述的物联网感知数据共享交易平台的控制方法,其特征在于,步骤一中,所述节点身份注册,包括:
(1)希望加入平台的数据交易节点i向区块链服务节点发送注册请求(i-specific,Si),其中i-specific为用户自选身份,包括用户名及其交易身份组合;si为用户自选秘密信息,包括登录平台的口令字;
(2)平台为该用户生成平台唯一身份标识IDi,区块链服务节点生成用户i公私钥对及证书返回((PKi,SKi),Cert)至用户。
5.如权利要求3所述的物联网感知数据共享交易平台的控制方法,其特征在于,步骤二中,所述交易群组创建,包括:
(1)对已注册用户,若其为数据供应商,则为要出售的数据选择数据标签,并加入相应数据标签所指向的Channel,所述平台设有统一的数据标签编号;若其为数据消费者,则根据需求加入对应的数据交易Channel;其中Channel指Fabric平台中创建的通道,即交易群组;
(2)数据供应商通过在Channel中广播发送数据交易信息,购买此项数据的数据消费者(1-i)加入此次交易群组,与数据供应商执行群组认证及密钥协商协议;其中,所述数据交易信息包括数据量大小、数据内容摘要、数据价格。
6.如权利要求3所述的物联网感知数据共享交易平台的控制方法,其特征在于,步骤三中,所述群组认证及密钥协商协议,包括:
(1)交易平台BS进行认证初始化,选择安全参数k∈Z+,生成认证系统参数步骤如下:
②选择4项哈希函数,并公布公共参数;其中,所述哈希函数如下:
其中i为3或4;
(2)交易平台BS为Channel中的数据消费者DCi(i=1~N)按以下步骤生成部分私钥K1i:
②计算部分私钥k1i=ri+(sBSh1imod q),并将密钥信息K1i=(ki,Ri)通过安全信道发送至DCi;
(3)数据消费者DCi生成聚合签名公私钥对(APKi,ASKi),步骤如下:
①收到K1i=(ki,Ri)后检查等式kiP=Ri+h1iPBS是否成立,若成立则认可该部分私钥;
②利用其注册阶段自选密钥sDCi计算K2i=sDCiP,则对于数据消费者DCi其聚合公钥为APKi=(K2i,Ri),聚合私钥为ASKi=(ki,sDCi);
(4)交易平台BS为数据供应商生成零知识身份证明参数,步骤如下:
其中t(X)为n-2次多项式;
Statements及σ作为DP的数据及身份公开信息;
(5)认证及密钥分发协议,步骤如下:
①数据供应商DP调用Prove计算身份证明,选择随机数r,s∈ZP,计算证明π=(A,B,C),其中:
群发认证请求M1=(π,T1)至需要购买数据的数据消费者;
②数据消费者获得身份证明π及消息时戳,检验消息新鲜性后调用Verify验证等式是否成立:
若等式成立,则证明该认证请求来自于数据供应商DP;
Wi=[UI(Y1i+h3isDCi)+h4iki]mod q;
其中,
h2i=H2(H(π),IDDCi,Y1i),h3i=H3(H(π),IDDCi,APKi,T2i),
h4i=H4(H(π),IDDCi,APKi,T2i)
返回至数据供应商M2i=(IDDCi,Y1i,Ui,Wi,T2i);
③数据供应商整合一段时间内的认证返回消息M2i(i=1~N),聚合消息并验证:
WiP-Ui(Y1i+h3ik2i)=h4i(Ri+h1iPBS);
⑤数据消费者接收到消息后解密获得数据加密密钥GS,验证等式是否成立:
判断GS是否被篡改,验证MI是否为正确的签名,若验证成功,则接受GS为数据加密密钥;
若需确认其收到该密钥,数据消费者可选择使用聚合签名将消息(GS,T4i)签名发送至数据供应商。
7.如权利要求3所述的物联网感知数据共享交易平台的控制方法,其特征在于,步骤四中,所述数据安全共享,包括:
(1)数据供应商发布交易块,记录此次交易:
智能合约收到功能为记录交易的调用,获取唯一交易ID,绑定数据提供者签名、数据地址、数据需求方以及交易金额信息;数据供应商定义索引号,设定为数据供应商用户名和数据编号;进行交易合理性检测,检测用户是否存在,是否存在重复购买情况;检测完毕后将关键信息存入状态数据库,并记录上链;
(2)更新云服务器上的访问列表,更新消费者的访问权限:
智能合约收到功能为升级访问列表的调用,确定权限的合理性,查询与该用户有关的交易信息,确定相关用户和交易是否存在;构造更新请求,将请求参数序列化,向云服务器发送,云服务器收到更新请求后对权限列表进行更新操作;
(3)数据供应商上传加密数据:
数据供应商通过SM4国密算法,使用上述加密密钥GS加密数据,将加密数据上传至云服务器,提供数据地址用于后续数据消费者索引;
(4)数据消费者访问数据:
数据消费者持有权限至云服务器访问数据,云服务器根据访问列表鉴权;鉴权通过的数据消费者下载数据,并使用保护密钥进行解密获得数据。
8.如权利要求3所述的物联网感知数据共享交易平台的控制方法,其特征在于,步骤五中,所述智能合约采用Hyperledger Fabric平台,采用多通道设置数据标签,实现交易分类隔离,采用Fabric-CA实现身份证书管理。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
参与数据交易的节点在区块链服务节点的协助下完成数据交易平台身份注册;由数据供应商发布数据公告或由数据消费者发起数据请求,创建交易群组;数据供应商与数据消费者利用零知识证明和聚合密钥执行群组认证及密钥协商协议,同时认证交易双方多个实体协商数据保护密钥;数据供应商随后与数据消费者进行数据竞价/付款的协商工作;
若数据供应商承认交易,则发布区块链数据授权交易,对成功购买的消费者进行数据授权;数据授权交易确认后,触发智能合约,云服务器及数据消费者应用端会创建/更新数据访问权限列表;数据供应商使用国密对称加密算法SM4及数据保护密钥对数据进行加密,上传至云服务器端后,已授权的数据消费者访问下载数据,并使用保护密钥解密获得数据。
10.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现如权利要求1~2任意一项所述的物联网感知数据共享交易平台。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110933507.2A CN113783696A (zh) | 2021-08-14 | 2021-08-14 | 物联网感知数据共享交易平台、控制方法、设备、终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110933507.2A CN113783696A (zh) | 2021-08-14 | 2021-08-14 | 物联网感知数据共享交易平台、控制方法、设备、终端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113783696A true CN113783696A (zh) | 2021-12-10 |
Family
ID=78837737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110933507.2A Pending CN113783696A (zh) | 2021-08-14 | 2021-08-14 | 物联网感知数据共享交易平台、控制方法、设备、终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113783696A (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113992332A (zh) * | 2021-12-27 | 2022-01-28 | 北京中超伟业信息安全技术股份有限公司 | 一种基于区块链的工业物联网安全认证方法 |
CN114244514A (zh) * | 2022-02-21 | 2022-03-25 | 图灵人工智能研究院(南京)有限公司 | 一种基于车联网的数据安全处理方法 |
CN114257460A (zh) * | 2022-02-28 | 2022-03-29 | 浙江浙商互联信息科技有限公司 | 一种适用于服务区智能化管理的云架构数据共享方法 |
CN114338232A (zh) * | 2022-02-25 | 2022-04-12 | 中国人民解放军国防科技大学 | 边缘数据共享方法、装置和计算机设备 |
CN114363089A (zh) * | 2022-02-25 | 2022-04-15 | 中国人民解放军国防科技大学 | 基于区块链的网络边缘终端数据共享方法和模型 |
CN114448705A (zh) * | 2022-02-07 | 2022-05-06 | 上海富数科技有限公司 | 一种异构平台节点交互方法、系统及存储介质 |
CN114500531A (zh) * | 2022-01-04 | 2022-05-13 | 中国人民武装警察部队工程大学 | 一种基于联盟区块链的装备质量信息管控框架 |
CN114760065A (zh) * | 2022-03-24 | 2022-07-15 | 北京邮电大学 | 一种在线学习平台教学资源共享的访问控制方法及装置 |
CN114844675A (zh) * | 2022-03-31 | 2022-08-02 | 广西玉林链向千禧大数据有限公司 | 一种用于物联网的区块链数据交换方法 |
CN114978730A (zh) * | 2022-05-27 | 2022-08-30 | 深圳铸泰科技有限公司 | 一种感知态势处物联网安全检测方法及存储介质 |
CN115766181A (zh) * | 2022-11-09 | 2023-03-07 | 哈尔滨工业大学 | 基于区块链的空间环境地面模拟装置数据共享架构及方法 |
CN115811406A (zh) * | 2023-02-13 | 2023-03-17 | 南京畅洋科技有限公司 | 一种基于环签名共识机制的物联网区块链认证方法和系统 |
CN116192392A (zh) * | 2023-02-15 | 2023-05-30 | 南京航空航天大学 | 一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法 |
CN116192383A (zh) * | 2023-02-22 | 2023-05-30 | 深圳市怡丰云智科技股份有限公司 | 基于erp加密的物联网监控方法、装置、设备及存储介质 |
CN116760700A (zh) * | 2023-06-29 | 2023-09-15 | 上海中汇亿达金融信息技术有限公司 | 将多个银行交易平台接口标准化的方法及系统 |
CN116806038A (zh) * | 2023-08-18 | 2023-09-26 | 上海临滴科技有限公司 | 一种去中心化的计算机数据共享方法及装置 |
WO2023231361A1 (zh) * | 2022-05-30 | 2023-12-07 | 华为云计算技术有限公司 | 数据交易方法及装置 |
CN117527258A (zh) * | 2023-11-30 | 2024-02-06 | 北京万联世纪科技有限公司 | 一种通讯机接口标准化的通讯方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111371564A (zh) * | 2020-03-04 | 2020-07-03 | 深圳大学 | 一种数字签名及区块链交易方法、装置及电子设备 |
CN112669111A (zh) * | 2020-12-29 | 2021-04-16 | 昆明理工大学 | 一种基于区块链的5g物联网数据共享交易方法 |
-
2021
- 2021-08-14 CN CN202110933507.2A patent/CN113783696A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111371564A (zh) * | 2020-03-04 | 2020-07-03 | 深圳大学 | 一种数字签名及区块链交易方法、装置及电子设备 |
CN112669111A (zh) * | 2020-12-29 | 2021-04-16 | 昆明理工大学 | 一种基于区块链的5g物联网数据共享交易方法 |
Non-Patent Citations (3)
Title |
---|
HUI LI等: "BDDT: use blockchain to facilitate IoT data transactions", 《CLUSTER COMPUTING》 * |
夏昌琳: "基于区块链技术的物联网数据交易系统", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
杜欣笑: "基于区块链技术的物联网数据感知与自动交易系统设计与实现", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113992332A (zh) * | 2021-12-27 | 2022-01-28 | 北京中超伟业信息安全技术股份有限公司 | 一种基于区块链的工业物联网安全认证方法 |
CN113992332B (zh) * | 2021-12-27 | 2022-04-01 | 北京中超伟业信息安全技术股份有限公司 | 一种基于区块链的工业物联网安全认证方法 |
CN114500531B (zh) * | 2022-01-04 | 2023-10-13 | 中国人民武装警察部队工程大学 | 一种基于联盟区块链的装备质量信息管控框架 |
CN114500531A (zh) * | 2022-01-04 | 2022-05-13 | 中国人民武装警察部队工程大学 | 一种基于联盟区块链的装备质量信息管控框架 |
CN114448705A (zh) * | 2022-02-07 | 2022-05-06 | 上海富数科技有限公司 | 一种异构平台节点交互方法、系统及存储介质 |
CN114244514A (zh) * | 2022-02-21 | 2022-03-25 | 图灵人工智能研究院(南京)有限公司 | 一种基于车联网的数据安全处理方法 |
CN114363089A (zh) * | 2022-02-25 | 2022-04-15 | 中国人民解放军国防科技大学 | 基于区块链的网络边缘终端数据共享方法和模型 |
CN114338232A (zh) * | 2022-02-25 | 2022-04-12 | 中国人民解放军国防科技大学 | 边缘数据共享方法、装置和计算机设备 |
CN114257460A (zh) * | 2022-02-28 | 2022-03-29 | 浙江浙商互联信息科技有限公司 | 一种适用于服务区智能化管理的云架构数据共享方法 |
CN114760065A (zh) * | 2022-03-24 | 2022-07-15 | 北京邮电大学 | 一种在线学习平台教学资源共享的访问控制方法及装置 |
CN114760065B (zh) * | 2022-03-24 | 2024-03-19 | 北京邮电大学 | 一种在线学习平台教学资源共享的访问控制方法及装置 |
CN114844675A (zh) * | 2022-03-31 | 2022-08-02 | 广西玉林链向千禧大数据有限公司 | 一种用于物联网的区块链数据交换方法 |
CN114844675B (zh) * | 2022-03-31 | 2024-04-09 | 四川链向科技集团有限公司 | 一种用于物联网的区块链数据交换方法 |
CN114978730B (zh) * | 2022-05-27 | 2023-09-15 | 深圳铸泰科技有限公司 | 一种感知态势处物联网安全检测方法及存储介质 |
CN114978730A (zh) * | 2022-05-27 | 2022-08-30 | 深圳铸泰科技有限公司 | 一种感知态势处物联网安全检测方法及存储介质 |
WO2023231361A1 (zh) * | 2022-05-30 | 2023-12-07 | 华为云计算技术有限公司 | 数据交易方法及装置 |
CN115766181B (zh) * | 2022-11-09 | 2024-05-03 | 哈尔滨工业大学 | 基于区块链的空间环境地面模拟装置数据共享架构及方法 |
CN115766181A (zh) * | 2022-11-09 | 2023-03-07 | 哈尔滨工业大学 | 基于区块链的空间环境地面模拟装置数据共享架构及方法 |
CN115811406A (zh) * | 2023-02-13 | 2023-03-17 | 南京畅洋科技有限公司 | 一种基于环签名共识机制的物联网区块链认证方法和系统 |
CN116192392A (zh) * | 2023-02-15 | 2023-05-30 | 南京航空航天大学 | 一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法 |
CN116192392B (zh) * | 2023-02-15 | 2023-11-24 | 南京航空航天大学 | 一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法 |
CN116192383A (zh) * | 2023-02-22 | 2023-05-30 | 深圳市怡丰云智科技股份有限公司 | 基于erp加密的物联网监控方法、装置、设备及存储介质 |
CN116192383B (zh) * | 2023-02-22 | 2023-10-31 | 深圳市怡丰云智科技股份有限公司 | 基于erp加密的物联网监控方法、装置、设备及存储介质 |
CN116760700A (zh) * | 2023-06-29 | 2023-09-15 | 上海中汇亿达金融信息技术有限公司 | 将多个银行交易平台接口标准化的方法及系统 |
CN116760700B (zh) * | 2023-06-29 | 2024-01-16 | 上海中汇亿达金融信息技术有限公司 | 将多个银行交易平台接口标准化的方法及系统 |
CN116806038A (zh) * | 2023-08-18 | 2023-09-26 | 上海临滴科技有限公司 | 一种去中心化的计算机数据共享方法及装置 |
CN117527258A (zh) * | 2023-11-30 | 2024-02-06 | 北京万联世纪科技有限公司 | 一种通讯机接口标准化的通讯方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113783696A (zh) | 物联网感知数据共享交易平台、控制方法、设备、终端 | |
US20230023857A1 (en) | Data processing method and apparatus, intelligent device, and storage medium | |
Zhang et al. | Privacy-preserving cloud establishment and data dissemination scheme for vehicular cloud | |
Liu et al. | Role-dependent privacy preservation for secure V2G networks in the smart grid | |
US11134069B2 (en) | Method for authorizing access and apparatus using the method | |
Chen et al. | A blockchain-based intelligent anti-switch package in tracing logistics system | |
US11403628B2 (en) | Authenticating and paying for services using blockchain | |
Pan et al. | Secure data sharing scheme for VANETs based on edge computing | |
Li et al. | BCSE: Blockchain-based trusted service evaluation model over big data | |
CN109617699A (zh) | 一种密钥生成方法、区块链网络服务平台及存储介质 | |
US11444752B2 (en) | Systems and methods for data encryption and decryption in data transmission | |
KR20200123484A (ko) | 인증된 D2D(Device to Device) 통신을 위한 동적 도메인 키 교환 | |
US11582020B2 (en) | Homomorphic encryption offload for lightweight devices | |
Yoo et al. | Blockchain based data marketplace system | |
CN112637211A (zh) | 一种基于区块链的跨域访问的认证方法及系统 | |
CN112232822A (zh) | 区块链网络的交易处理方法、节点、设备及存储介质 | |
Sabir et al. | Authentication and load balancing scheme based on JSON Token for Multi-Agent Systems | |
CN114866323A (zh) | 一种用户可控的隐私数据授权共享系统及方法 | |
CN107302524A (zh) | 一种云计算环境下的密文数据共享系统 | |
Zwattendorfer et al. | A federated cloud identity broker-model for enhanced privacy via proxy re-encryption | |
CN110910110A (zh) | 一种数据处理方法、装置及计算机存储介质 | |
Khashan et al. | Blockchain-Based Decentralized Authentication Model for IoT-Based E-Learning and Educational Environments. | |
US20230421543A1 (en) | Method, apparatus, and computer-readable medium for secured data transfer over a decentrlaized computer network | |
CN114866328A (zh) | 一种边缘计算环境下基于区块链的跨域访问控制方法及系统 | |
Yu et al. | Research on blockchain-based identity authentication scheme in social networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211210 |