CN114238897A - 基于分布式数字身份的物联网数据采集系统及方法 - Google Patents

基于分布式数字身份的物联网数据采集系统及方法 Download PDF

Info

Publication number
CN114238897A
CN114238897A CN202111611718.0A CN202111611718A CN114238897A CN 114238897 A CN114238897 A CN 114238897A CN 202111611718 A CN202111611718 A CN 202111611718A CN 114238897 A CN114238897 A CN 114238897A
Authority
CN
China
Prior art keywords
acquisition
identity
data
digital identity
receiving
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111611718.0A
Other languages
English (en)
Inventor
李春林
翟栋
唐博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Qiruike Technology Co Ltd
Original Assignee
Sichuan Qiruike Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Qiruike Technology Co Ltd filed Critical Sichuan Qiruike Technology Co Ltd
Priority to CN202111611718.0A priority Critical patent/CN114238897A/zh
Publication of CN114238897A publication Critical patent/CN114238897A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • G06F7/588Random number generators, i.e. based on natural stochastic processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

本发明公开了一种基于分布式数字身份的物联网数据采集系统,包括:管理系统、接收端、采集端和分布式身份基础设施组成,其中管理系统、接收端和采集端都在分布式身份基础设施注册有数字身份ID;具体地:管理系统对所有物联网设备进行管理,根据用户的请求对接收端进行授权,并对采集端进行调配管理;接收端由用户控制,用于接收物联网采集的数据;采集端是物联网具体设备,完成数据的采集;分布式数字身份基础设施提供分布式数字身份管理中的地址解析、数据上链、公钥保存相关功能;本发明还公开了一种基于分布式数字身份的物联网数据采集方法,本发明可有效解决物联网数据采集中的数据安全传输、数据共享和认证管理问题。

Description

基于分布式数字身份的物联网数据采集系统及方法
技术领域
本发明涉及物联网技术领域,特别是一种基于分布式数字身份的物联网数据采集系统及方法。
背景技术
随着物联网设备的不断普及,相关应用不断丰富,物联设备也逐渐由谁部署谁使用向一方部署多方使用的方向发展。例如在库房中的温度、湿度、视频监控等数据可同时由租用库房的多个不同用户获取。由于物联网采集的数据涉及商业机密、个人隐私等敏感信息,因此数据在采集、传输和存储过程中的安全性,数据被获取和使用的合法性,成为物联网安全关注的重点。
区块链技术是一种分布式存储方案,涉及数学、密码学、计算机等多学科领域知识,具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等特点。区块链技术可以满足物联网数据采集对数据安全、可追溯等方面的需求,但该技术数据公开透明的特性不能直接用于解决采集保密性问题。
公开密钥密码体制通过加密密钥和解密密钥分离的方式解决了对称密码中的密钥协商问题。公钥和私钥成对使用,授信方公开自己的公钥,其他用户就可以公开的公钥验证授信方是否持有私钥而确认授信方身份。公开密钥密码体制可解决物联网数据采集中的密钥分发和数据加密,但需要一个信任中心解决采集端和接收端的身份授信问题。
分布式数字身份以区块链技术为基础,利用区块链去中心化的特点可有效克服单一服务商对用户账号的把控问题,同时其不可篡改的特点可有效解决身份授信问题,从而为数字身份的创建、维护和确权提供了安全可靠的解决方案。
针对物联网数据采集问题,当前业界从数据安全传输、认证管理和共享授权等方面,结合区块链技术已经提出了多种解决方案。
在数据安全传输方面,专利“一种面向多类型企业生产过程数据的区块链加密方法(专利号:202110632767.6)”针对敏感数据的传输问题,提出一种面向多类型企业生产过程数据的区块链加密方法,基于RSA加密算法解决数据的共享问题;专利“基于隐私计算的物联网数据采集系统、方法、介质及设备”(专利号:202110674134.1)针对数据共享中的隐私保护问题提出一种基于属性加密的方案,通过隐藏用户属性保护隐私。上述方案解决了数据安全保护问题,但没有针对多接收端下的数据采集授权问题提出解决方案。
在采集认证方面,专利“基于智能物联设备数字身份的可信采集存(专利号:202010113663.X)”针对信息上链上链前的真实性问题,提出一种基于产品ID、设备ID以及动态设备密码相结合的方案进行上链数据验证,但该方案并没有解决数据传输安全和数据共享问题,也没有解决双向认证的问题;专利“基于区块链的企业电子台账能耗数据采集系统”(专利号:202110979754.6)针对能耗数据采集中数据采集困难和数据可靠性低问题提出一种基于信任通道的数据安全采集方法,但该方案仅解决采集端和接收端的信任问题,但并没有明确采集端和接收端如何进行双向认证确保对方的合法性。
在采集共享授权方面,专利“基于物联网的设备监测方法及装置、监测设备和存储介质”(专利号:202110750034.2)针对运行状态数据采集过程中的数据完整性问题提出基于区块链的状态数据采集方法,该方案利用区块链保存设备信息用于信息采集时进行设备匹配确权,但并未考虑数据采集的安全和数据共享问题;专利“基于区块链的企业电子台账能耗数据采集系统”(专利号:202110979754.6)针对能耗数据采集中数据采集困难和数据可靠性低问题提出一种基于企业ID和设备ID绑定的方法进行确权,但并没有针对如何进行授权转移提供解决思路。
从现有的技术方案看,针对物联网数据采集中的数据安全传输、认证管理和共享授权等方面,还没有一套相对完整的解决方案,也不能简单的通过多方案的组合形成一个高效的解决方案。
发明内容
针对物联网数据采集过程中面临的传输、存储和共享等安全问题,本发明在参考现有的物联网数据采集方案的基础上,结合区块链和公开密钥密码体制,提出一种基于分布式身份认证技术的物联网数据采集系统及方法,本发明可有效解决物联网数据采集中的数据安全传输、数据共享和认证管理问题。
为实现上述目的,本发明采用的技术方案是:一种基于分布式数字身份的物联网数据采集系统,包括:管理系统、接收端、采集端和分布式身份基础设施组成,其中管理系统、接收端和采集端都在分布式身份基础设施注册有数字身份ID;具体地:
管理系统对所有物联网设备进行管理,根据用户的请求对接收端进行授权,并对采集端进行调配管理;
接收端由用户控制,用于接收物联网采集的数据;
采集端是物联网具体设备,完成数据的采集;
分布式数字身份基础设施提供分布式数字身份管理中的地址解析、数据上链、公钥保存相关功能。
本发明还提供一种基于分布式数字身份的物联网数据采集方法,采用如上所述基于分布式数字身份的物联网数据采集系统,所述的方法包括身份认证及授权、双向认证及密钥协商;其中:
身份认证及授权负责完成数据采集共享策略的下发、各组件的身份的验证;
双向认证及密钥协商完成采集端到接收端加密通道的建立,同一采集终端通过所述加密通道将数据共享发送给不同的数据接收端。
作为本发明的进一步改进,所述身份认证及授权具体包括以下步骤:
1)管理系统根据用户请求向采集端1设定接收端为接收端1,并用私钥加密发送接收端1的数字身份ID、访问地址和操作权限;
2)管理系统根据向接收端1授权可用采集端为采集端1,并私钥加密发送采集端1数字身份ID和对采集端的操作权限;
3)采集端1向分布式数字身份基础设施请求管理系统身份文档;
4)分布式数字身份基础设施返回文档,采集端1获取管理端公钥,验证管理系统合法身份后,解密加密数据获取接收端1的数字身份ID、访问地址和操作权限;
5)采集端1向分布式数字身份基础设施请求接收端1身份文档;
6)分布式数字身份基础设施返回文档,采集端1获取接收端1公钥;
7)接收端1向分布式数字身份基础设施请求管理系统身份文档;
8)分布式数字身份基础设施返回文档,接收端1获取管理端公钥,验证管理系统合法身份后,解密加密数据获取采集端1的数字身份ID和操作权限;
9)接收端1向分布式数字身份基础设施请求采集端1身份文档;
10)分布式数字身份基础设施返回文档,接收端1获取采集端1公钥。
作为本发明的进一步改进,所述双向认证及密钥协商具体包括以下步骤:
1)采集端1设定接收端为接收端1,并用接收端1公钥加密发送随机数Ra给接收端1;
2)接收端1用私钥解密得到随机数Ra;
3)接收端1生成新随机数Rb,用采集端1公钥加密得随机数Ra和随机数Rb发送给采集端1;
4)采集端1用私钥解密得到随机数Ra和随机数Rb,确认接收端1身份;
5)采集端1用接收端1公钥加密发送随机数Rb给接收端1;
6)接收端1用私钥解密得到随机数Rb,确认采集端1身份;
7)采集端1和接收端1完成身份确认,以随机数Ra和随机数Rb合并成密钥后进行加密数据通信。
本发明的有益效果是:
本发明在提供数据安全采集的同时提供了数据采集的共享和授权解决方案,可以应用到多种物联网采集数据共享场景。比如在智慧家庭、智慧农业和智慧工厂等场景下,可以通过灵活授权解决家人、农场管理员、工厂生产人员对现场数据采集的共享需求;同时也可应用到数据分析服务领域,比如数据服务商可以在用户的授权下直接采集现场数据,为用户提供故障诊断、流程优化、安全分析等服务。
附图说明
图1为本发明实施例的系统组成框图;
图2为本发明实施例中身份认证及授权的原理图;
图3为本发明实施例中双向认证及密钥协商的原理图。
具体实施方式
下面结合附图对本发明的实施例进行详细说明。
实施例
采集端:指进行数据采集的物联网设备。
接收端:指物联网采集数据发送目的地,一个采集端可能向多个接收端发送采集数据。
本实施例针对物联网数据采集中的数据安全传输、认证管理和共享授权等提成一种基于分布式数字身份的解决方案。
数据安全传输是指在物联网数据采集过程中通过数据加密的方式对数据的完整性、不可篡改和机密性进行维护,本实施例主要针对数据加密传输中如何进行密钥协商的问题提出解决方案。
认证管理问题是指在数据采集过程中需要通过认证确认采集端和数据接收端的身份,本实施例主要针对采集过程中采集端和接收端如何进行双向认证的问题提出解决方案。
共享授权问题是指在数据采集过程中多个采集终端向多各接收终端发送数据采集中的采集授权与数据共享问题,本实施例针对系统授权接收端对特定采集端数据进行采集的授权管理问题提出解决方案。
如图1所示,一种基于分布式数字身份的物联网数据采集系统,由管理系统、接收端、采集端和分布式身份基础设施组成,其中管理系统、接收端和采集端都在分布式身份基础设施注册有数字身份ID。
管理系统对所有物联网设备进行管理,根据用户的请求对接收端进行授权,并对采集端进行调配管理;接收端由用户控制,用于接收物联网采集的数据;采集端是物联网具体设备,完成数据的采集;分布式数字身份基础设施提供分布式数字身份管理中的地址解析、数据上链、公钥保存等相关功能。
基于该组成方案,物联网数据采集中的数据安全传输、认证管理和共享授权由身份认证及授权、双向认证及密钥协商两个过程实现。其中身份认证及授权负责完成数据采集共享策略的下发、各组件的身份的验证,双向认证及密钥协商完成采集端到接收端加密通道的建立,同一采集终端通过加密通道将数据共享发送给不同的数据接收端。
身份认证及授权过程:
如图2所示,本实施例在进行采集端与接收端的授权绑定时,由管理系统分别通知接收端和采集端对端的数字身份ID,设备端基于分布式数字身份基础实施确认对端设备身份,通过身份验证后建立可信数据采集通道。
本实施例选取“采集端1”和“接收端1”为例说明授权过程,其过程如下:
1)管理系统根据用户请求向“采集端1”设定接收端为“接收端1”,并用私钥加密发送“接收端1”的数字身份ID、访问地址和操作权限;
2)管理系统根据向“接收端1”授权可用采集端为“采集端1”,并私钥加密发送“采集端1”数字身份ID和对采集端的操作权限;
3)“采集端1”向分布式数字身份基础设施请求管理系统身份文档;
4)分布式数字身份基础设施返回文档,“采集端1”获取管理端公钥,验证管理系统合法身份后,解密加密数据获取“接收端1”的数字身份ID、访问地址和操作权限;
5)“采集端1”向分布式数字身份基础设施请求“接收端1”身份文档;
6)分布式数字身份基础设施返回文档,“采集端1”获取“接收端1”公钥;
7)“接收端1”向分布式数字身份基础设施请求管理系统身份文档;
8)分布式数字身份基础设施返回文档,“接收端1”获取管理端公钥,验证管理系统合法身份后,解密加密数据获取“采集端1”的数字身份ID和操作权限;
9)“接收端1”向分布式数字身份基础设施请求“采集端1”身份文档;
10)分布式数字身份基础设施返回文档,“接收端1”获取“采集端1”公钥。
双向认证及密钥协商过程:
如图3所示,当采集端和接收端完成授权流程后,由采集端发起双向认证流程,并完成通信密钥的协商。
本实施例选取“采集端1”和“接收端1”为例说明授权过程,过程如下:
1)“采集端1”设定接收端为“接收端1”,并用“接收端1”公钥加密发送随机数Ra给“接收端1”;
2)“接收端1”用私钥解密得到随机数Ra;
3)“接收端1”生成新随机数Rb,用“采集端1”公钥加密得Ra和Rb发送给“采集端1”;
4)“采集端1”用私钥解密得到随机数Ra和Rb,确认“接收端1”身份;
5)“采集端1”用“接收端1”公钥加密发送随机数Rb给“接收端1”;
6)“接收端1”用私钥解密得到随机数Rb,确认“采集端1”身份。
7)“采集端1”和“接收端1”完成身份确认,以随机数Ra和Rb合并成密钥后进行加密数据通信。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。

Claims (4)

1.一种基于分布式数字身份的物联网数据采集系统,其特征在于,包括:管理系统、接收端、采集端和分布式身份基础设施组成,其中管理系统、接收端和采集端都在分布式身份基础设施注册有数字身份ID;具体地:
管理系统对所有物联网设备进行管理,根据用户的请求对接收端进行授权,并对采集端进行调配管理;
接收端由用户控制,用于接收物联网采集的数据;
采集端是物联网具体设备,完成数据的采集;
分布式数字身份基础设施提供分布式数字身份管理中的地址解析、数据上链、公钥保存相关功能。
2.一种基于分布式数字身份的物联网数据采集方法,其特征在于,采用如权利要求1所述基于分布式数字身份的物联网数据采集系统,所述的方法包括身份认证及授权、双向认证及密钥协商;其中:
身份认证及授权负责完成数据采集共享策略的下发、各组件的身份的验证;
双向认证及密钥协商完成采集端到接收端加密通道的建立,同一采集终端通过所述加密通道将数据共享发送给不同的数据接收端。
3.根据权利要求2所述的基于分布式数字身份的物联网数据采集方法,其特征在于,所述身份认证及授权具体包括以下步骤:
1)管理系统根据用户请求向采集端1设定接收端为接收端1,并用私钥加密发送接收端1的数字身份ID、访问地址和操作权限;
2)管理系统根据向接收端1授权可用采集端为采集端1,并私钥加密发送采集端1数字身份ID和对采集端的操作权限;
3)采集端1向分布式数字身份基础设施请求管理系统身份文档;
4)分布式数字身份基础设施返回文档,采集端1获取管理端公钥,验证管理系统合法身份后,解密加密数据获取接收端1的数字身份ID、访问地址和操作权限;
5)采集端1向分布式数字身份基础设施请求接收端1身份文档;
6)分布式数字身份基础设施返回文档,采集端1获取接收端1公钥;
7)接收端1向分布式数字身份基础设施请求管理系统身份文档;
8)分布式数字身份基础设施返回文档,接收端1获取管理端公钥,验证管理系统合法身份后,解密加密数据获取采集端1的数字身份ID和操作权限;
9)接收端1向分布式数字身份基础设施请求采集端1身份文档;
10)分布式数字身份基础设施返回文档,接收端1获取采集端1公钥。
4.根据权利要求3所述的基于分布式数字身份的物联网数据采集方法,其特征在于,所述双向认证及密钥协商具体包括以下步骤:
1)采集端1设定接收端为接收端1,并用接收端1公钥加密发送随机数Ra给接收端1;
2)接收端1用私钥解密得到随机数Ra;
3)接收端1生成新随机数Rb,用采集端1公钥加密得随机数Ra和随机数Rb发送给采集端1;
4)采集端1用私钥解密得到随机数Ra和随机数Rb,确认接收端1身份;
5)采集端1用接收端1公钥加密发送随机数Rb给接收端1;
6)接收端1用私钥解密得到随机数Rb,确认采集端1身份;
7)采集端1和接收端1完成身份确认,以随机数Ra和随机数Rb合并成密钥后进行加密数据通信。
CN202111611718.0A 2021-12-27 2021-12-27 基于分布式数字身份的物联网数据采集系统及方法 Pending CN114238897A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111611718.0A CN114238897A (zh) 2021-12-27 2021-12-27 基于分布式数字身份的物联网数据采集系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111611718.0A CN114238897A (zh) 2021-12-27 2021-12-27 基于分布式数字身份的物联网数据采集系统及方法

Publications (1)

Publication Number Publication Date
CN114238897A true CN114238897A (zh) 2022-03-25

Family

ID=80763324

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111611718.0A Pending CN114238897A (zh) 2021-12-27 2021-12-27 基于分布式数字身份的物联网数据采集系统及方法

Country Status (1)

Country Link
CN (1) CN114238897A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115733688A (zh) * 2022-11-18 2023-03-03 四川启睿克科技有限公司 基于分布式数字身份的物联网设备离线认证方法
CN116319088A (zh) * 2023-05-17 2023-06-23 深圳前海翼联科技有限公司 物联网络路由节点状态监控和信息采集方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115733688A (zh) * 2022-11-18 2023-03-03 四川启睿克科技有限公司 基于分布式数字身份的物联网设备离线认证方法
CN115733688B (zh) * 2022-11-18 2024-03-26 四川启睿克科技有限公司 基于分布式数字身份的物联网设备离线认证方法
CN116319088A (zh) * 2023-05-17 2023-06-23 深圳前海翼联科技有限公司 物联网络路由节点状态监控和信息采集方法
CN116319088B (zh) * 2023-05-17 2023-08-29 深圳前海翼联科技有限公司 物联网络路由节点状态监控和信息采集方法

Similar Documents

Publication Publication Date Title
CN113783836B (zh) 基于区块链和ibe算法的物联网数据访问控制方法及系统
CN107453868B (zh) 一种安全高效的量子密钥服务方法
CN108881304A (zh) 一种对物联网设备进行安全管理的方法及系统
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
CN112953727A (zh) 一种面向物联网的设备匿名身份认证方法及系统
CN102171969A (zh) 用于操作网络的方法,用于其的系统管理设备、网络和计算机程序
CN111372247A (zh) 一种基于窄带物联网的终端安全接入方法及终端安全接入系统
CN112187798B (zh) 一种应用于云边数据共享的双向访问控制方法及系统
CN104243439B (zh) 文件传输处理方法、系统及终端
CN107172056A (zh) 一种信道安全确定方法、装置、系统、客户端及服务器
CN105553666B (zh) 一种智能电力终端安全认证系统及方法
CN101695038A (zh) 检测ssl加密数据安全性的方法及装置
CN114238897A (zh) 基于分布式数字身份的物联网数据采集系统及方法
CN110944301A (zh) 基于区块链的智慧小区设备监控系统及密钥管理方法
CN111447067A (zh) 一种电力传感设备加密认证方法
CN110932854A (zh) 一种面向物联网的区块链密钥分发系统及其方法
CN104935441A (zh) 一种认证方法及相关装置、系统
CN112134849B (zh) 一种智能变电站的动态可信加密通信方法及系统
CN103916363A (zh) 加密机的通讯安全管理方法和系统
CN110972136A (zh) 物联网安全通信模组、终端、安全控制系统及认证方法
CN110224816A (zh) 基于密钥卡和序列号的抗量子计算应用系统以及近距离节能通信方法和计算机设备
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
Thomas et al. A secure way of exchanging the secret keys in advanced metering infrastructure
CN114238878A (zh) 一种可溯源的数据授权传递控制方法与系统
US10764260B2 (en) Distributed processing of a product on the basis of centrally encrypted stored data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination