CN114531440B - 一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统 - Google Patents

一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统 Download PDF

Info

Publication number
CN114531440B
CN114531440B CN202111552578.4A CN202111552578A CN114531440B CN 114531440 B CN114531440 B CN 114531440B CN 202111552578 A CN202111552578 A CN 202111552578A CN 114531440 B CN114531440 B CN 114531440B
Authority
CN
China
Prior art keywords
data
block
node
edge side
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111552578.4A
Other languages
English (en)
Other versions
CN114531440A (zh
Inventor
宋涛
李秀华
邢镔
胡小林
朱林全
杨正益
文俊浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing Industrial Big Data Innovation Center Co ltd
Chongqing University
Original Assignee
Chongqing Industrial Big Data Innovation Center Co ltd
Chongqing University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing Industrial Big Data Innovation Center Co ltd, Chongqing University filed Critical Chongqing Industrial Big Data Innovation Center Co ltd
Priority to CN202111552578.4A priority Critical patent/CN114531440B/zh
Publication of CN114531440A publication Critical patent/CN114531440A/zh
Application granted granted Critical
Publication of CN114531440B publication Critical patent/CN114531440B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Abstract

本发明公开一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,所述数据共享系统存储工厂设备数据;工厂设备端通过数据共享系统查询工厂设备数据;所述数据共享系统包括若干主动标识模块、工厂密钥管理中心、若干路由网关、若干边缘侧设备和区块链;本发明提供一种基于主动标识与区块链结合的工业边缘区域化数据共享系统,实现工厂内设备之间的数据互联互通,同时增强数据主动能力,防止数据恶意篡改,提高工厂的产线生产效率。

Description

一种基于主动标识与区块链技术相结合的工业边缘侧数据共 享系统
技术领域
本发明涉及工业互联网标识解析、数据安全、加密认证和边缘数据共享领域,具体是一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统。
背景技术
工业互联网是信息通信技术与工业经济融合的新模式、新生态网络基础设施,也是我国工业向数字化、网络化、智能化转型发展的重要基石。据统计,2020年中国工业互联网市场规模总量已达6712.7亿元,根据有效数据预测截止2021年底工业互联网市场规模可达上万亿元,伴随着工业互联网建设进程的推进,以及资金的大量介入,工业互联网的发展成为了全国乃至全球关注的焦点。
虽然近年来我国制造业发展稳健,但是由于我国制造业体量庞大,设备信息化、智能化水平整体滞后,且由于设备多、产线长致使设备数据共享难、存储难,设备数据缺乏“主动性”,数据传输与存储缺乏安全性,导致工厂内生产效率低下,工厂外运转调度不及时。一些设备由于接口不开放,数据不共享,导致工厂设备之间数据无法共享,设备状态难以同步,企业内部存在严重的“数据孤岛”,这一系列问题严重制约着我国工业互联网的发展。
现有的数据共享方法主要分为两类,第一类是采用第三方数据库共享方法,主要通过将不同设备和平台产生的数据存入数据库,实现跨域、跨平台和跨系统的访问,但是该方法过多依赖平台的主动性,需要通过发送采集指令才能实现设备数据的被动采集和回传,且数据存储的安全无法得到保障,数据很容易被非法篡改;第二类是通过内存共享方式,在设备完成数据采集后,将数据传入设备的共享内存资源池,其他设备、软件或平台通过访问内存资源池实现跨软件、跨设备和跨区域的数据共享,但是该方法过于耗费设备端存储资源,且一旦控制数据被黑客截取,工厂设备和系统很容易遭受攻击,严重可导致设备停产和工厂停工,致使经济损失。面对工厂设备数据主动性缺乏,安全性低及工厂内外区域化数据共享机制的缺乏,如何打破工厂设备之间的“数据孤岛”,保障数据安全,实现工厂内外区域化设备间的数据安全共享,成为了工业互联网数据安全共享中亟待解决的技术难题。
发明内容
本发明的目的是提供一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,所述数据共享系统存储工厂设备数据;工厂设备端通过数据共享系统查询工厂设备数据;
所述数据共享系统包括若干主动标识模块、工厂密钥管理中心、若干路由网关、若干边缘侧设备和区块链;
所述工厂密钥管理中心为主动标识模块、边缘侧设备分发公私密钥对;
所述主动标识模块与工厂设备一一绑定;
所述主动标识模块接收绑定工厂设备的设备数据Dtx,并为设备数据Dtx打上标识编码;
所述主动标识模块对设备数据Dtx进行加密,得到数据Enc_Dtx=MD5(Dtx);
所述主动标识模块通过路由网关将数据
Figure BDA0003418117790000021
传输至边缘侧设备;
所述边缘侧设备与路由网关一一对应;
所述边缘侧设备通过路由网关与主动标识模块进行数据交互;
所述边缘侧设备接收数据{Enc_Dt′x,Dt′x},假定Enc_Dtx=Enc_Dt′x,并用MD5算法对数据Dt′x进行加密运算,得到数据Enc_Dt″x;对比分析Enc_Dt′x和Enc_Dt″x,如果相等则存储数据于本地内存,不相等则舍弃;
每台路由网关接入的设备量为
Figure BDA0003418117790000022
n为工厂设备数量;r为路由网关数量;
所述区块链包括Block#0区块和若干子区块;其中,Block#0区块由全节点Q建立;子区块由边缘侧设备节点建立;
所述Block#0区块包括区块版本号Version_ID、当前区块哈希值Cur_hash0、上一个区块哈希值Pre_hash0、时间戳Ts0、根哈希值M_root0、当前区块的数字签名Cur_sign0、区块数据Data0;所述区块数据Data0包括设备实时状态ETs、上位机控制指令ETk、设备标识号ETl、当前时间ETt、数据大小ETd、确认数量ETc
所述边缘侧设备下载和校验Block#0区块,校验通过后,存储Block#0区块;
所述边缘侧设备节点接收其他所有边缘侧设备传输的设备数据,并生成子区块;所述子区块的区块体数据时间间隔tp=tCurtime-tLastime;tCurtime为当前时刻;tLastime表示与当前时刻相差tp的时刻;
所述边缘侧设备节点Ey收到的数据为i条,数据内容记为{Dty1,Dty2…Dtyi};
所述边缘侧设备节点Ey对数据进行两两哈希运算,得到Merkle Root,从而生成子区块;
子区块将上一个区块的哈希值Pre_hashm-1置入本区块头,使用私钥SEy对E-MTy进行数字签名,记为
Figure BDA0003418117790000031
然后将数据{Dty1,Dty2…Dtyi}、版本号Version_ID、上一个区块的哈希值Pre_hashm-1、本区块哈希根E_MTy、数字签名SignEy、当前时间戳Tscur打包至区块,并通过网络发送给其他边缘侧设备节点Eq,q∈{1,2…k},q≠y;
所述边缘侧设备节点Ey将数据发送至其他边缘侧设备节点后,与其他边缘侧设备节点完成共识计算,将达成共识的节点对应的子区块加入区块链并广播全网;
加入的子区块包括区块头和区块体;所述区块头包括版本号Version_ID、上一个区块的哈希值Pre_hashm-1、本区块哈希根E_MTy、数字签名SignEy、当前时间戳Tscur;所述区块体包括数据{Dty1,Dty2…Dtyi}。
工厂设备端通过数据共享系统查询工厂设备数据的步骤包括:
1)工厂设备Av通过绑定的主动标识模块Bv向区块链的边缘侧设备节点Evx提交查询请求,请求内容包括<<INQUIRE,Ts,user_ID,Permission_ID,conditionv>,Pvx,Keyv>;其中INQUIRE为查询请求;Ts是时间戳;user_ID是查询方的设备标识编码Bidw∈{Bid1,Bid2…Bidn};Permission_ID为查询权限码;conditionv为查询条件;Pvx是边缘侧设备节点Evx的公钥信息;Keyv为查询节点用Pvx加密查询条件后的数据;v∈{1,2…n};Evx∈{E1,E2…Ek};
2)边缘侧设备节点Evx接收到请求后,通过user_ID查询本地数据库确定是否该设备属于本节点所辖区域的设备,若不是,则舍弃该请求,若是,则通过私钥解密查询条件,判定需查询数据的时间范围是否在T时间之内,若不是,则边缘侧设备转发信息<<INQUIRE,Ts,user_ID,PermissionID,conditionv>,Pq,Keyqv,EIDv>数据至全节点Q查询;其中Pq为全节点公钥,Keyqv为公钥Pq加密的查询条件,EIDv,为边缘节点的ID编号;
3)所述全节点Q通过判断Permission_ID权限、解密查询条件并开始匹配查询,若是则通过Permission_ID判断查询节点的查询权限,Evx匹配查询请求和查询权限后进行数据查询,最终返回查询结果至主动标识模块Bv的缓存区,Bv将数据传输至工厂设备端;
进一步,所述设备数据包括设备实时运行状态、设备编号、产品数据。
进一步,所述主动标识模块包括通信模块、供电模块、标识记录模块、数据存储模块、数据计算模块、证书认证模块、安全网关;
所述通信模块用于接收绑定工厂设备的设备数据、与路由网关进行数据交互;
所述供电模块为通信模块、标识记录模块、数据存储模块、数据计算模块、证书认证模块、安全网关供电;
所述标识记录模块为设备数据打上标识编码;
所述数据存储模块存储标识编码和设备数据;
所述数据计算模块用于对设备数据进行编码和解码;
所述证书认证模块用于验证数字证书;
所述安全网关用于缓存标识编码和设备数据;
进一步,还包括工厂数据服务中心Q;
所述工厂数据服务中心为主动标识模块分配标识编码;主动标识模块的标识编码唯一且禁止更改;
所述工厂数据服务中心包括数据服务中心数据库和标识记录模块;
所述数据服务中心数据库存储工厂设备数据和标识编码‘
所述标识记录模块存储标识编码。
进一步,密钥经过了工厂CA中心认证,所有经CA中心认证的公钥和颁发的数字证书均合法。
将公钥{PE1,PE2…PEn}在CA中心进行认证,CA中心为每个边缘侧设备颁发数字证书,记为CE1,CE2…CEk
进一步,边缘侧设备节点对Block#0区块进行校验的步骤包括:
1)验证区块Block#0的数字签名Cur_sign0,E1,E2…Ek通过E0的公钥PE0解密分别获得消息摘要集合M={M1,M2…Mk};
2)边缘侧设备节点E1,E2…Ek分别计算区块数据Data0的哈希值得到集合
Figure BDA0003418117790000041
3)将集合M和集合M′的元素进行逐一对比,如果相等则将初始区块Block#0分别存储于本地边缘侧节点。
进一步,工厂权威数据服务中心Q记录了边缘侧节点的所有ID;Q节点拥有经CA中心认证公钥Pq和CA中心颁发的数字证书Cq
Q节点定时随机选取一个节点编号E_IDu,u∈{1,2…k},并对选取的编号进行哈希运算得到Hash(E_IDu),Q节点用私钥Sq对该编号进行加密运算得到E_SIDu=SM2(Hash(E_IDu),Sq);u∈{1,2…k_};相邻两次的编号的选取不能相同;
2)Q节点将E_SIDu向所有边缘侧节点发送,各边缘侧节点通过Q节点公钥Pq解密E_SIDu,并与自身节点编号比较,若相同,则该节点负责记录该时间段的数据,若不同,则舍弃。
进一步,计算得Merkle Root的步骤包括:
1)对数据内容做基于国密SM3算法的Hash运算,ENode0j=Hash(Dtyj),j∈1,2…i,ENode0j为第y个边缘侧节点运算的第j个数据哈希值;
2)相邻两个Hash块串联再做Hash运算,ENode1(j+1)/2=Hash(ENode0j+ENode0j+1),j=1,3,5…i-1;若i为奇数,则末端树节点采用ENode1(j+1)/2=Hash(Node0j)运算;
3)重复步骤2),直到生成最终的Merkle Root,记为:E_MTy=ENodez(j+1)/2,其中z=[log2 i+1]为树的高度。
进一步,所述边缘侧设备节点Ey将数据发送至其他边缘侧设备节点后,与其他边缘侧设备节点完成共识计算的步骤包括:
1)所述边缘侧设备节点Ey将数据发送至其他边缘侧设备节点;
2)其他边缘侧设备节点完整收到节点Ey发出的消息后,将回复节点Ey“边缘侧节点标识编号+确认收到”的消息;
边缘侧节点Eq收到信息后,通过第y个边缘侧节点公钥PEy验证签名SignEy的有效性,若验证失败,舍弃本区块消息,否则Eq节点计算Merkle Root值E_MT′y,然后取出解签后的数字摘要
Figure BDA0003418117790000051
同时对E_MT′y进行哈希运算得到Hash(E_MT′y),最后对比
Figure BDA0003418117790000052
和Hash(E_MT′y)两值大小,不等则舍弃,相等则Eq节点验证通过;验证通过后,Eq节点返回“边缘侧节点标识编号+区块编号+验证成功”,Ey节点将对回复消息进行过滤、去重和统计,对验证成功的节点数量的统计结果记为f,且f<k。如果f≥k/2+1,则代表节点之间达成共识,相反则未达成。
本发明的技术效果是毋庸置疑的,本发明提供一种基于主动标识与区块链结合的工业边缘区域化数据共享系统,实现工厂内设备之间的数据互联互通,同时增强数据主动能力,防止数据恶意篡改,提高工厂的产线生产效率。本发明可以增加设备数据的主动性,解决工厂区域化设备之间数据共享问题,防止黑客入侵篡改共享数据。
本发明通过工业互联网标识对设备主动标识模块进行唯一标识编码,并通过标识编码与设备编码进行了一对一映射,实现了数据表的安全隔离,保障了实体数据的数据安全;本发明通过采用区块链技术与工业互联网标识技术相结合的方式解决了设备数据在数据共享过程中的安全性、和数据可信性问题;
本发明中采用设备区域化处理机制并对边缘侧节点进行了轻量化处理,不仅保障了边缘侧设备节点的数据处理能力,还降低了边缘侧设备大容量数据的存储压力;
本发明在数字认证过程中采用第三方CA机构颁发的数字证书进行认证,使用了公钥、私钥、数字签名,完全保证了认证流程中的可信性和数据的安全与准确性,采用国密算法(非对称加密算法SM2、摘要算法SM3等)实现系统核心单元自主可控,核心算法不依赖于国外,不仅有更高的安全性,还降低了重要信息泄露的风险。
在新区块生成并上链的过程中,本发明采用权威节点随机数分配法完成边缘侧节点的共识计算,避免了因类似工作量证明达成共识机制带来的资源浪费和损耗。
附图说明
图1为,基于主动标识与区块链结合的工业边缘区域化数据共享系统的架构图;
图2为基于主动标识与区块链结合的工业边缘区域化数据共享系统的流程图;
图3为设备主动标识模块结构图;
图4为区块数据结构图;
图5为共识计算的流程图。
具体实施方式
下面结合实施例对本发明作进一步说明,但不应该理解为本发明上述主题范围仅限于下述实施例。在不脱离本发明上述技术思想的情况下,根据本领域普通技术知识和惯用手段,做出各种替换和变更,均应包括在本发明的保护范围内。
实施例1:
参见图1至图5,一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,所述数据共享系统存储工厂设备数据;工厂设备端通过数据共享系统查询工厂设备数据;
所述数据共享系统包括若干主动标识模块、工厂密钥管理中心、若干路由网关、若干边缘侧设备和区块链;
所述工厂密钥管理中心为主动标识模块、边缘侧设备分发公私密钥对;
所述主动标识模块与工厂设备一一绑定;
所述主动标识模块接收绑定工厂设备的设备数据Dtx,并为设备数据Dtx打上标识编码;
所述主动标识模块对设备数据Dtx进行加密,得到数据Enc_Dtx=MD5(Dtx);
所述主动标识模块通过路由网关将数据
Figure BDA0003418117790000071
传输至边缘侧设备;
所述边缘侧设备与路由网关一一对应;
所述边缘侧设备通过路由网关与主动标识模块进行数据交互;
所述边缘侧设备接收数据{Enc_Dt′x,Dt′x},数据Enc_Dtx=Enc_Dt′x,并用MD5算法对数据Dt′x进行加密运算,得到数据Enc_Dt″x;对比分析Enc_Dt′x和Enc_Dt″x,如果相等则存储数据于本地内存,不相等则舍弃;每台路由网关接入的设备量为
Figure BDA0003418117790000072
n为工厂设备数量;r为路由网关数量;
所述区块链包括Block#0区块和若干子区块;其中,Block#0区块由全节点Q建立;子区块由边缘侧设备节点建立;
所述Block#0区块包括区块版本号Version_ID、当前区块哈希值Cur_hash0、上一个区块哈希值Pre_hash0、时间戳Ts0、根哈希值M_root0、当前区块的数字签名Cur_sign0、区块数据Data0;所述区块数据Data0包括设备实时状态ETs、上位机控制指令ETk、设备标识号ETl、当前时间ETt、数据大小ETd、确认数量ETc
所述边缘侧设备下载和校验Block#0区块,校验通过后,存储Block#0区块;
所述边缘侧设备节点接收其他所有边缘侧设备传输的设备数据,并生成子区块;所述子区块的区块体数据时间间隔tp=tCurtime-tLastime;tCurtime为当前时刻;tLastime表示与当前时刻相差tp的时刻;
所述边缘侧设备节点Ey收到的数据为i条,数据内容记为{Dty1,Dty2…Dtyi};
所述边缘侧设备节点Ey对数据进行两两哈希运算,得到MerkleRoot,从而生成子区块;
子区块将上一个区块的哈希值Pre_hashm-1置入本区块头,使用私钥SEy对E_MTy进行数字签名,记为
Figure BDA0003418117790000081
然后将数据{Dty1,Dty2…Dtyi}、版本号Version_ID、上一个区块的哈希值Pre_hashm-1、本区块哈希根E_MTy、数字签名SignEy、当前时间戳Tscur打包至区块,并通过网络发送给其他边缘侧设备节点Eq,q∈{1,2…k},q≠y;
所述边缘侧设备节点Ey将数据发送至其他边缘侧设备节点后,与其他边缘侧设备节点完成共识计算,将达成共识的节点对应的子区块加入区块链并广播全网;
加入的子区块包括区块头和区块体;所述区块头包括版本号Version_ID、上一个区块的哈希值Pre_hashm-1、本区块哈希根E_MTy、数字签名SignEy、当前时间戳Tscur;所述区块体包括数据{Dty1,Dty2…Dtyi}。
工厂设备端通过数据共享系统查询工厂设备数据的步骤包括:
1)工厂设备Av通过绑定的主动标识模块Bv向区块链的边缘侧设备节点Evx提交查询请求,请求内容包括<<INQUIRE,Ts,user_ID,Permission_ID,conditionv>,Pvx,Keyv>;其中INQUIRE为查询请求;Ts是时间戳;user_ID是查询方的设备标识编码Bidw∈{Bid1,Bid2…Bidn};Permission_ID为查询权限码;conditionv为查询条件;Pvx是边缘侧设备节点Evx的公钥信息;Keyv为查询节点用Pvx加密查询条件后的数据;v∈{1,2…n};Evx∈{E1,E2…Ek};
2)边缘侧设备节点Evx接收到请求后,通过user_ID查询本地数据库确定是否该设备属于本节点所辖区域的设备,若不是,则舍弃该请求,若是,则通过私钥解密查询条件,判定需查询数据的时间范围是否在T时间之内,若不是,则边缘侧设备转发信息<<INQUIRE,Ts,user_ID,PermissionID,conditionv>,Pq,Keyqv,EIDv>数据至全节点Q查询;其中Pq为全节点公钥,Keyqv为公钥Pq加密的查询条件,EIDv为边缘节点的ID编号;
3)所述全节点Q通过判断Permission_ID权限、解密查询条件并开始匹配查询,若是则通过Permission_ID判断查询节点的查询权限,Evx匹配查询请求和查询权限后进行数据查询,最终返回查询结果至主动标识模块Bv的缓存区,Bv将数据传输至工厂设备端;
所述设备数据包括设备实时运行状态、设备编号、产品数据。
所述主动标识模块包括通信模块、供电模块、标识记录模块、数据存储模块、数据计算模块、证书认证模块、安全网关;
所述通信模块用于接收绑定工厂设备的设备数据、与路由网关进行数据交互;
所述供电模块为通信模块、标识记录模块、数据存储模块、数据计算模块、证书认证模块、安全网关供电;
所述标识记录模块为设备数据打上标识编码;
所述数据存储模块存储标识编码和设备数据;
所述数据计算模块用于对设备数据进行编码和解码;
所述证书认证模块用于验证数字证书;
所述安全网关用于缓存标识编码和设备数据;
还包括工厂数据服务中心Q;
所述工厂数据服务中心为主动标识模块分配标识编码;主动标识模块的标识编码唯一且禁止更改;
所述工厂数据服务中心包括数据服务中心数据库和标识记录模块;
所述数据服务中心数据库存储工厂设备数据和标识编码‘
所述标识记录模块存储标识编码。
密钥经过了工厂CA中心认证。所有经CA中心认证的公钥和颁发的数字证书均合法。
将公钥{PE1,PE2…PEn}在CA中心进行认证,CA中心为每个边缘侧设备颁发数字证书,记为CE1,CE2…CEk
边缘侧设备节点对Block#0区块进行校验的步骤包括:
1)验证区块Block#0的数字签名Cur_sign0,E1,E2…Ek通过E0的公钥PE0解密分别获得消息摘要集合M={M1,M2…Mk};
2)边缘侧设备节点E1,E2…Ek分别计算区块数据Data0的哈希值得到集合
Figure BDA0003418117790000091
3)将集合M和集合M′的元素进行逐一对比,如果相等则将初始区块Block#0分别存储于本地边缘侧节点。
工厂权威数据服务中心Q记录了边缘侧节点的所有ID;Q节点拥有经CA中心认证公钥Pq和CA中心颁发的数字证书Cq
Q节点定时随机选取一个节点编号E_IDu,u∈{1,2…k},并对选取的编号进行哈希运算得到Hash(E_IDu),Q节点用私钥Sq对该编号进行加密运算得到E_SIDu=SM2(Hash(E_IDu),Sq);u∈{1,2…k};相邻两次的编号的选取不能相同;
2)Q节点将E_SIDu向所有边缘侧节点发送,各边缘侧节点通过Q节点公钥Pq解密E_SIDu,并与自身节点编号比较,若相同,则该节点负责记录该时间段的数据,若不同,则舍弃。
计算得Merkle Root的步骤包括:
1)对数据内容做基于国密SM3算法的Hash运算,ENode0j=Hash(Dtyj),j∈1,2…i,ENode0j为第y个边缘侧节点运算的第j个数据哈希值;
2)相邻两个Hash块串联再做Hash运算,ENode1(j+1)/2=Hash(ENode0j+ENode0j+1),j=1,3,5…i-1;若i为奇数,则末端树节点采用ENode1(j+1)/2=Hash(Node0j)运算;
3)重复步骤2),直到生成最终的Merkle Root,记为:E_MTy=ENodez(j+1)/2,其中z=[log2 i+1]为树的高度。
所述边缘侧设备节点Ey将数据发送至其他边缘侧设备节点后,与其他边缘侧设备节点完成共识计算的步骤包括:
1)所述边缘侧设备节点Ey将数据发送至其他边缘侧设备节点;
2)其他边缘侧设备节点完整收到节点Ey发出的消息后,将回复节点Ey“边缘侧节点标识编号+确认收到”的消息;
边缘侧节点Eq收到信息后,通过第y个边缘侧节点公钥PEy验证签名SignEy的有效性,若验证失败,舍弃本区块消息,否则Eq节点计算Merkle Root值E_MT′y,然后取出解签后的数字摘要
Figure BDA0003418117790000101
同时对E_MT′y进行哈希运算得到Hash(E_MT′y),最后对比
Figure BDA0003418117790000102
和Hash(E_MT′y)两值大小,不等则舍弃,相等则Eq节点验证通过;验证通过后,Eq节点返回“边缘侧节点标识编号+区块编号+验证成功”,Ey节点将对回复消息进行过滤、去重和统计,对验证成功的节点数量的统计结果记为f,且f<k。如果f≥k/2+1,则代表节点之间达成共识,相反则未达成。
本发明采用工业互联网主动标识技术进行设备数据上传,采用区块链技术进行设备数据加密、认证、存储、共享和安全防护,采用设备区域化划分方法降低边缘侧设备计算压力。本发明涉及的数据和设备均已完成时间同步,通信节点由边缘侧设备组成的轻量化节点和工厂数据服务部门组成的全结点构成,通过两种不同节点的协同工作共同实现数据的安全共享,有效防止篡改攻击,保障设备数据安全,
实施例2:
一种基于实施例1所述系统的主动标识与区块链技术相结合的工业边缘侧数据共享方法,步骤包括:
步骤1、设备区域化与设备主动标识
步骤1.1设备区域化
由于工厂设备多、产线长,所有设备同时运转将产生海量的数据,如果将众多设备数据上传至某几台边缘侧设备,则可能会导致边缘侧设备算力下降,数据共享效率低下,本发明为均衡边缘侧设备压力,增强数据共享效率,将设备数据进行区域化管理。假定工厂内部设备数量为n,记为A1,A2…An,假定工厂路由网关数量为r,记为G1,G2…Gr,则每台路由网关接入的设备量为
Figure BDA0003418117790000111
将路由网关与所连设备有序排列,且路由网关与边缘侧设备节点一一对应,如图1所示。
步骤1.2主动标识模块设计
由于现有设备不具有主动标识功能,为了让工厂原有设备具有主动标识功能,需为设备加装主动标识模块,主动标识模块包含有线/无线通信模块、供电模块、标识记录模块、数据存储模块、数据计算模块、证书认证模块、安全网关等,如图3所示。每个设备均需配备主动标识模块。记主动标识模块为B1,B2…Bn,工厂数据服务中心为Q(该中心为数据可信源,具有绝对安全性,其分发给节点的数据和指令具有权威性、不可更改性,后不再赘述)根据工业互联网标识编码要求提前为每个主动标识模块分配唯一的标识编码Bia1,Bid2…Bidn,并将标识编码数据写入数据服务中心数据库和标识记录模块且标识编码数据禁止更改。
步骤1.3标识模块密钥生成和证书颁发
工厂密钥管理中心为每个主动标识模块分发经SM2国密算法加密的公私密钥对,分别记为{PB1,SB1},{PB2,SB2}…{PBn,SBn},并将这些公钥{PB1,PB2…PBn}在工厂CA中心(后文简称:CA中心)进行认证,CA中心为每个主动标识模块,记为CB1,CB2…CBn,至此所有经CA中心认证的公钥和颁发的数字证书均合法,后续步骤所依赖的公钥和数字证书均合法,且不再赘述。
步骤1.4设备与标识模块绑定
如图2S01,设备A1,A2…An与主动标识模块B1,B2…Bn逐个进行绑定,得到(AB1),(AB2)…(ABn),设备端将实时状态、设备编号、产品数据等传入主动标识模块,经无线/有线通讯模块传入至安全网关,并对传入数据进行暂时缓存,最终将数据上传至至边缘侧设备存储,如图1所示。
步骤2、设备与边缘侧节点的数字认证
步骤2.1公钥认证和证书颁发
如图2 S02,假定架设于工厂的边缘侧设备数量为
Figure BDA0003418117790000121
每台边缘侧设备分别记为E1,E2…Ek,每个边缘侧设备的编号依次记为E_ID1,E_ID2…E_IDk,工厂密钥管理中心为每个架设于工厂内部的边缘侧设备分发经SM2国密算法加密的公私密钥对,分别记为{PE1,SE1},{PE2,SE2}…{PEn,SEn},并将公钥{PE1,PE2…PEn}在CA中心进行认证,CA中心为每个边缘侧设备颁发数字证书,记为CE1,CE2…CEk
步骤2.2设备与边缘侧节点数字验证
当主动标识模块B1向边缘侧设备节点E1发送消息时,B1需要对E1的数字证书CE1进行验证,记CA中心的公钥为PCA,B1使用PCA验证数字签名,确认E1公钥PE1的有效性,如果公钥PE1有效,则B1通过E1的公钥PE1加密需要发送的报文数据给边缘侧设备节点E1,在E1收到消息后,使用自己的私钥SE1解密报文。如果边缘侧设备节点E1需要向主动标识模块B1发送报文时,以同样的方式进行验证,在此不再赘述。该步骤为后续数据加密传输奠定基础,其他除B1,E1节点以外的节点通信均依据此方法进行数字验证。
步骤3、边缘侧节点区块创建和数据校验
步骤3.1初始区块的创建
如图2 S03,全节点(工厂数据服务中心)E0由工厂密钥管理中心分发经SM2国密算法加密的公私密钥对{PE0,SE0},并在CA中心完成对公钥PE0的认证,获取数字证书CE0。本发明所建立的区块链中,由E0建立第一个区块Block#0,其他节点均从全节点下载第一个区块,后续生成的新区块在完成节点共识后逐一添加至Block#0区块之后形成区块链。Block#0包含区块版本号Version_ID、当前区块哈希值Cur_hash0、上一个区块哈希值Pre_hash0、时间戳Ts0、根哈希值M_root0、当前区块的数字签名Cur_sign0、区块数据Data0(包含字段:设备实时状态ETs、上位机控制指令ETk、设备标识号ETl、当前时间ETt、数据大小ETd、确认数量ETc,),如图4所示,后续所有区块与Block#0区块中包含的数据字段一致,由于该区块为初始区块,则Pre_hash0的值为0,数据中所有字段也为0。
步骤3.2边缘侧节点下载初始区块
在全节点E0完成Block#0区块创建后,边缘侧节点开始下载Block#0,并对所下载的区块进行校验。首先,验证区块Block#0的数字签名Cur_sign0,E1,E2…Ek通过E0的公钥PE0解密分别获得消息摘要集合M={M1,M2…Mk},同时,E1,E2…Ek分别计算区块数据Data0的哈希值得到集合
Figure BDA0003418117790000131
Figure BDA0003418117790000132
然后将M和M′两集合进行逐一对比,如果相等则将初始区块Block#0分别存储于本地边缘侧节点。
步骤3.3主动标识模块数据上传与校验
当边缘侧节点完成初始区块下载后,需由主动标识模块上传数据至边缘侧节点,假定主动标识模块Ax,x∈{1,2…n}在1分钟内所采集的数据为Dtx,将数据Dtx用MD5算法加密运算得到Enc_Dtx=MD5(Dtx/),边缘侧节点Ey,y∈{1,2…k}采用同样的算法计算上传数据得到并得到结果Enc_Dt′x,对比分析Enc_Dtx和Enc_Dt′x,如果相等则存储数据于本地内存,不相等则舍弃。
步骤4、区块的生成、广播与共识
步骤4.1选取记账节点
工厂权威数据服务中心Q记录了边缘侧节点的所有ID,且Q节点拥有经CA中心认证公钥Pq和CA中心颁发的数字证书Cq。Q节点定时(间隔1分钟)随机选取一个节点编号E_IDu,u∈{1,2…k},且相邻两次的编号的选取不能相同,选取编号后Q节点对该编号进行哈希运算得到Hash(E_IDu),Q节点用自己的私钥Sq对该编号进行加密运算得到E_SIDu=SM2(Hash(E_IDu),Sq),同时Q节点将E_SIDu向所有边缘侧节点发送,各边缘侧节点通过Q节点公钥Pq解密E_SIDu,并与自身节点编号比较,若相同,则该节点负责记录该时间段的数据,若不同,则舍弃,假定当前所选边缘侧节点的编号E_IDu所对应的边缘侧设备节点为Ey
步骤4.2区块数据哈希运算
在完成步骤3.3的数据上传后,除Ey节点的k-1个节点,都将该时间段内数据发送到Ey节点,边缘侧节点Ey将生成区块,区块体所包含的数据时间间隔tp为1分钟,即tp=tCurtime-tLastime(tCurtime:当前时刻,tLastime:与当前时刻相差tp)。此时,记边缘侧节点Ey,y∈{1,2…k}收到的数据为i条,数据内容记为{Dty1,Dty2…Dtyi},将数据进行两两哈希运算,计算过程为:Step1:对数据内容做基于国密SM3算法的Hash运算,ENode0j=Hash(Dtyj),j∈1,2…i,ENode0j为第y个边缘侧节点运算的第j个数据哈希值;Step2:相邻两个Hash块串联再做Hash运算,ENode1(j+1)/2=Hash(ENode0j+ENode0j+1),j=1,3,5…i-1;若i为奇数,则末端树节点采用ENode1(j+1)/2=Hash(Node0j)运算;Step3:重复Step2递归运算,直到生成最终的Merkle Root,记为:E_MTy=ENodez(j+1)/2,其中z=[log2 i+1]为树的高度,计算流程如图4所示。
步骤4.3区块生成与广播
如图2 S04,在生成Merkle Root后,记当前区块为第m个区块,将上一个区块的哈希值Pre_hashm-1置入本区块头,使用私钥SEy对E_MTy进行数字签名,记为
Figure BDA0003418117790000143
然后将数据{Dty1,Dty2…Dtyi}、版本号Version_ID、上一个区块的哈希值Pre_hashm-1、本区块哈希根E_MTy、数字签名SignEy、当前时间戳Tscur打包至区块,并通过网络发送给其他边缘侧节点Eq,q∈{1,2…k},q≠y。
步骤4.4区块共识
当其他节点完整收到节点Ey发出的消息后,将回复节点Ey“边缘侧节点标识编号+确认收到”的消息。边缘侧节点Eq收到区块后,首先通过第y个边缘侧节点公钥PEy验证签名SignEy的有效性,验证失败,舍弃本区块消息,否则Eq节点开始以步骤4.1的计算方式计算Merkle Root值,计算结果记为E_MT′y,然后取出解签后的数字摘要
Figure BDA0003418117790000141
同时对E_MT′y进行哈希运算得到Hash(E_MT′y),最后对比
Figure BDA0003418117790000142
和Hash(E_MT′y)两值大小,不等则舍弃,相等则Eq节点验证通过,此时Eq节点返回“边缘侧节点标识编号+区块编号+验证成功”,此时Ey节点将对回复消息进行过滤、去重和统计,对验证成功的节点数量的统计结果记为f,且f<k。如果f≥k/2+1,则代表节点之间达成共识,相反则未达成,如图5所示。
步骤5、区块上链与存储
如图2 S05,在完成共识计算后,将区块加入区块链并广播全网,加入的区块包括区块头:版本号Version_ID、上一个区块的哈希值Pre_hashm-1、本区块哈希根E_MTy、数字签名SignEy、当前时间戳Tscur打包至区块头,区块体:数据{Dty1,Dty2…Dtyi}。由于边缘侧设备属轻节点,其存储能力有限,本发明中仅将当天数据全量保存,过去的数据均只保存区块头,而数据服务中心Q将作为全节点保存全量数据,同时利用灾备节点Q′对数据进行备份。
步骤6、边缘侧节点数据共享
步骤6.1数据共享查询
如图2 S06,在区块完成上链后,若设备Av,v∈{1,2…n}需要依赖其他设备最近状态以确定本设备的生产进度,则Av设备将通过绑定的主动标识模块Bv向本区域的边缘侧设备节点Evx,Evx∈{E1,E2…Ek}提交查询请求,请求内容包括<<INQUIRE,Ts,user_ID,Permission_ID,conditionv>,Pvx,Keyv>,其中INQUIRE为查询请求,Ts是时间戳,user_ID是查询方的设备标识编码Bidw∈{Bid1,Bid2…Bidn},Permission_ID为查询权限码,conditionv为查询条件(主要指被查询的设备编号和时间),Pvx是边缘侧设备节点Evx的公钥信息,Keyv为查询节点用Pvx加密查询条件后的数据。
步骤6.2共享结果获取
边缘侧设备节点Evx接收到请求后,首先,通过user_ID查询本地数据库确定是否该设备属于本节点所辖区域的设备,若不是,则舍弃该请求,若是,则通过私钥解密查询条件,判定需查询数据的时间范围是否在24小时之内,若不是,则边缘侧设备转发查询请求并附上边缘节点的ID编码,即发送<<INQUIRE,Ts,user_ID,PermissionID,conditionv>,Pq,Keyqv,EIDv>数据至全节点Q查询,其中Pq为全节点公钥,Keyqv为公钥Pq加密的查询条件,EIDv为边缘节点的ID编号,全节点Q通过判断Permission_ID权限、解密查询条件并开始匹配查询,若是则通过Permission_ID判断查询节点的查询权限,Evx匹配查询请求和查询权限后进行数据查询,最终返回查询结果至主动标识模块Bv的缓存区,Bv将数据传输至设备端。

Claims (9)

1.一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,其特征在于:所述数据共享系统存储工厂设备数据;工厂设备端通过数据共享系统查询工厂设备数据;
所述数据共享系统包括若干主动标识模块、工厂密钥管理中心、若干路由网关、若干边缘侧设备和区块链;
所述工厂密钥管理中心为主动标识模块、边缘侧设备分发公私密钥对;
所述主动标识模块与工厂设备一一绑定;
所述主动标识模块接收绑定工厂设备的设备数据Dtx,并为设备数据Dtx打上标识编码;
所述主动标识模块对设备数据Dtx进行加密,得到数据Enc_Dtx=MD5(Dtx);
所述主动标识模块通过路由网关将数据{Enc_Dtx,Dtx}传输至边缘侧设备;
所述边缘侧设备与路由网关一一对应;
所述边缘侧设备通过路由网关与主动标识模块进行数据交互;
所述边缘侧设备接收数据{Enc_Dt′x,Dt′x};用MD5算法对数据Dt′x进行加密运算,得到数据Enc_Dt″x;对比分析Enc_Dt′x和Enc_Dt″x,如果相等则存储数据于本地内存,不相等则舍弃;
每台路由网关接入的设备量为
Figure FDA0003893623430000011
n为工厂设备数量;r为路由网关数量;
所述区块链包括Block#0区块和若干子区块;其中,Block#0区块由工厂数据服务中心Q建立;子区块由边缘侧设备节点E1,E2…Ek建立;
所述Block#0区块包括区块版本号Version_ID、当前区块哈希值Cur_hash0、上一个区块哈希值Pre_hash0、时间戳Ts0、根哈希值M_root0、当前区块的数字签名Cur_sign0、区块数据Data0;所述区块数据Datao包括设备实时状态ETs、上位机控制指令ETk、设备标识号ETl、当前时间ETt、数据大小ETd、确认数量ETc
所述边缘侧设备下载和校验Block#0区块,校验通过后,存储Block#0区块;
所述边缘侧设备节点E1,E2…Ek接收其他所有边缘侧设备传输的设备数据,并生成子区块;所述子区块的区块体数据时间间隔tp=tCurtime-tLastime;tCurtime为当前时刻;tLastime表示与当前时刻相差tp的时刻;
所述边缘侧设备节点Ey收到的数据为i条,数据内容记为{Dty1,Dty2…Dtyi};
所述边缘侧设备节点Ey对数据进行两两哈希运算,得到Merkle Root,从而生成子区块;
子区块将上一个区块的哈希值Pre_hashm-1置入本区块头,使用私钥SEy对E_MTy进行数字签名,记为
Figure FDA0003893623430000021
然后将数据{Dty1,Dty2…Dtyi}、版本号Version_ID、上一个区块的哈希值Pre_hashm-1、本区块哈希根E_MTy、数字签名SignEy、当前时间戳Tscur打包至区块,并通过网络发送给其他边缘侧设备节点Eq,q∈{1,2…k},q≠y;
所述边缘侧设备节点Ey将数据发送至其他边缘侧设备节点后,与其他边缘侧设备节点完成共识计算,将达成共识的节点对应的子区块加入区块链并广播全网;
加入的子区块包括区块头和区块体;所述区块头包括版本号Version_ID、上一个区块的哈希值Pre_hashm-1、本区块哈希根E_MTy、数字签名SignEy、当前时间戳Tscur;所述区块体包括数据{Dty1,Dty2…Dtyi};
工厂设备端通过数据共享系统查询工厂设备数据的步骤包括:
1)工厂设备Av通过绑定的主动标识模块Bv向区块链的边缘侧设备节点Evx提交查询请求,请求内容包括<<INQUIRE,Ts,user_ID,Permission_ID,conditionv>,Pvx,Keyv>;其中INQUIRE为查询请求;Ts是时间戳;user_ID是查询方的设备标识编码Bidw∈{Bid1,Bid2…Bidn};Permission_ID为查询权限码;conditionv为查询条件;Pvx是边缘侧设备节点Evx的公钥信息;Keyv为查询节点用Pvx加密查询条件后的数据;v∈{1,2…n};Evx∈{E1,E2…Ek};
2)边缘侧设备节点Evx接收到请求后,通过user_ID查询本地数据库确定是否该设备属于本节点所辖区域的设备,若不是,则舍弃该请求,若是,则通过私钥解密查询条件,判定需查询数据的时间范围是否在T时间之内,若不是,则边缘侧设备转发信息<<INQUIRE,Ts,user_ID,PermissionID,conditionv>,Pq,Keyqv,EIDv>数据至工厂数据服务中心Q查询;其中Pq为工厂数据服务中心公钥,Keyqv为公钥Pq加密的查询条件,EIDv为边缘节点的ID编号;
3)所述工厂数据服务中心Q通过判断Permission_ID权限、解密查询条件并开始匹配查询,若是则通过Permission_ID判断查询节点的查询权限,Evx匹配查询请求和查询权限后进行数据查询,最终返回查询结果至主动标识模块Bv的缓存区,Bv将数据传输至工厂设备端。
2.根据权利要求1所述的一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,其特征在于:所述设备数据包括设备实时运行状态、设备编号、产品数据。
3.根据权利要求1所述的一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,其特征在于:所述主动标识模块包括通信模块、供电模块、标识记录模块、数据存储模块、数据计算模块、证书认证模块、安全网关;
所述通信模块用于接收绑定工厂设备的设备数据、与路由网关进行数据交互;
所述供电模块为通信模块、标识记录模块、数据存储模块、数据计算模块、证书认证模块、安全网关供电;
所述标识记录模块为设备数据打上标识编码;
所述数据存储模块存储标识编码和设备数据;
所述数据计算模块用于对设备数据进行编码和解码;
所述证书认证模块用于验证数字证书;
所述安全网关用于缓存标识编码和设备数据。
4.根据权利要求1所述的一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,其特征在于:还包括工厂数据服务中心Q;
所述工厂数据服务中心为主动标识模块分配标识编码;主动标识模块的标识编码唯一且禁止更改;
所述工厂数据服务中心包括数据服务中心数据库和标识记录模块;
所述数据服务中心数据库存储工厂设备数据和标识编码;
所述标识记录模块存储标识编码。
5.根据权利要求1所述的一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,其特征在于:密钥经过了工厂CA中心认证;所有经CA中心认证的公钥和颁发的数字证书均合法;
将边缘侧设备节点E1,E2…Ek的公钥{PE1,PE2…PEk}在CA中心进行认证,CA中心为每个边缘侧设备颁发数字证书,记为CE1,CE2…CEk
6.根据权利要求1所述的一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,其特征在于:边缘侧设备节点对Block#0区块进行校验的步骤包括:
1)验证区块Block#0的数字签名Cur_sign0,E1,E2…Ek通过E0的公钥PE0解密分别获得消息摘要集合M={M1,M2…Mk};
2)边缘侧设备节点E1,E2…Ek分别计算区块数据Data0的哈希值得到集合
Figure FDA0003893623430000041
3)将集合M和集合M′的元素进行逐一对比,如果相等则将初始区块Block#0分别存储于本地边缘侧节点。
7.根据权利要求1所述的一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,其特征在于:工厂权威数据服务中心Q记录了边缘侧节点的所有ID;Q节点拥有经CA中心认证公钥Pq和CA中心颁发的数字证书Cq
1)Q节点每间隔1分钟随机选取一个节点编号E_IDu,u∈{1,2…k},并对选取的编号进行哈希运算得到Hash(E_IDu),Q节点用私钥Sq对该编号进行加密运算得到E_SIDu=SM2(Hash(E_IDu),Sq);u∈{1,2…k};相邻两次的编号的选取不能相同;
2)Q节点将E_SIDu向所有边缘侧节点发送,各边缘侧节点通过Q节点公钥Pq解密E_SIDu,并与自身节点编号比较,若相同,则该节点负责记录该间隔时间段的数据,若不同,则舍弃。
8.根据权利要求1所述的一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,其特征在于:计算得Merkle Root的步骤包括:
1)对数据内容做基于国密SM3算法的Hash运算,ENode0j=Hash(Dtyj),j∈1,2…i,ENode0j为第y个边缘侧节点运算的第j个数据哈希值;
2)相邻两个Hash块串联再做Hash运算,ENode1(j+1)/2=Hash(ENode0j+ENode0j+1),j=1,3,5…i-1;若i为奇数,则末端树节点采用ENode1(j+1)/2=Hash(Node0j)运算;
3)重复步骤2),直到生成最终的Merkle Root,记为:E_MTy=ENodez(j+1)/2,其中z=[log2i+1]为树的高度。
9.根据权利要求1所述的一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统,其特征在于:所述边缘侧设备节点Ey将数据发送至其他边缘侧设备节点后,与其他边缘侧设备节点完成共识计算的步骤包括:
1)所述边缘侧设备节点Ey将数据发送至其他边缘侧设备节点;
2)其他边缘侧设备节点完整收到节点Ey发出的消息后,将回复节点Ey“边缘侧节点标识编号+确认收到”的消息;
边缘侧节点Eq收到信息后,通过第y个边缘侧节点公钥PEy验证签名SignEy的有效性,若验证失败,舍弃本区块消息,否则Eq节点计算Merkle Root值E_MT′y,然后取出解签后的数字摘要
Figure FDA0003893623430000051
同时对E_MT′y进行哈希运算得到Hash(E_MT′y),最后对比
Figure FDA0003893623430000052
和Hash(E_MT′y)两值大小,不等则舍弃,相等则Eq节点验证通过;验证通过后,Eq节点返回“边缘侧节点标识编号+区块编号+验证成功”,Ey节点将对回复消息进行过滤、去重和统计,对验证成功的节点数量的统计结果记为f,且f<k;如果f≥k/2+1,则代表节点之间达成共识,相反则未达成。
CN202111552578.4A 2021-12-17 2021-12-17 一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统 Active CN114531440B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111552578.4A CN114531440B (zh) 2021-12-17 2021-12-17 一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111552578.4A CN114531440B (zh) 2021-12-17 2021-12-17 一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统

Publications (2)

Publication Number Publication Date
CN114531440A CN114531440A (zh) 2022-05-24
CN114531440B true CN114531440B (zh) 2023-03-07

Family

ID=81618935

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111552578.4A Active CN114531440B (zh) 2021-12-17 2021-12-17 一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统

Country Status (1)

Country Link
CN (1) CN114531440B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11063760B2 (en) * 2018-08-22 2021-07-13 Sasken Technologies Ltd Method for ensuring security of an internet of things network
CN111478902B (zh) * 2020-04-07 2021-03-23 江苏润和智融科技有限公司 电力边缘网关设备及基于该设备的传感数据上链存储方法
CN112019591B (zh) * 2020-07-09 2022-11-08 南京邮电大学 一种基于区块链的云数据共享方法
CN112333187B (zh) * 2020-11-04 2022-08-09 齐鲁工业大学 基于区块链的边缘智能计算方法及边缘智能系统
CN113326240B (zh) * 2021-06-22 2023-05-30 哈尔滨工程大学 一种边缘网络中能耗敏感的终端节点的数据共享方法

Also Published As

Publication number Publication date
CN114531440A (zh) 2022-05-24

Similar Documents

Publication Publication Date Title
CN111083131B (zh) 一种用于电力物联网感知终端轻量级身份认证的方法
CN113783836B (zh) 基于区块链和ibe算法的物联网数据访问控制方法及系统
CN101535845B (zh) 认证射频识别及其密钥分配系统
CN110046521A (zh) 去中心化隐私保护方法
CN101212293B (zh) 一种身份认证方法及系统
CN102025503B (zh) 一种集群环境下数据安全实现方法和一种高安全性的集群
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
CN110059503A (zh) 可追溯的社交信息防泄露方法
CN113965930B (zh) 一种基于量子密钥的工业互联网主动标识解析方法及其系统
CN112769758B (zh) 一种基于区块链的可信物联网燃气表及本地和云端的可信方法
CN111371543B (zh) 基于双区块链结构的物联网设备访问控制方法
CN110191153A (zh) 基于区块链的社交通信方法
CN108881240B (zh) 基于区块链的会员隐私数据保护方法
CN112732695B (zh) 一种基于区块链的云存储数据安全去重方法
CN104125239B (zh) 一种基于数据链路加密传输的网络认证方法和系统
CN109104476B (zh) 一种基于区块链的电力信息安全系统
CN105471901A (zh) 一种工业信息安全认证系统
CN110225028B (zh) 一种分布式防伪系统及其方法
CN114531680B (zh) 基于量子密钥的轻量化ibc双向身份认证系统及方法
CN101656720A (zh) 对信息系统中访问对象信息统一维护的方法及装置
CN106027237B (zh) 一种rfid系统中基于组的密钥矩阵安全认证方法
CN114154181A (zh) 基于分布式存储的隐私计算方法
CN111490874B (zh) 一种配网安全防护方法、系统、装置及存储介质
CN114531440B (zh) 一种基于主动标识与区块链技术相结合的工业边缘侧数据共享系统
CN105812130B (zh) Rfid所有权转移方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant