CN114553883A - 基于区块链的云边端协同数据采集与隐私保护方法和系统 - Google Patents
基于区块链的云边端协同数据采集与隐私保护方法和系统 Download PDFInfo
- Publication number
- CN114553883A CN114553883A CN202210196552.9A CN202210196552A CN114553883A CN 114553883 A CN114553883 A CN 114553883A CN 202210196552 A CN202210196552 A CN 202210196552A CN 114553883 A CN114553883 A CN 114553883A
- Authority
- CN
- China
- Prior art keywords
- edge gateway
- data
- ciphertext
- local
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000012795 verification Methods 0.000 claims abstract description 13
- 238000004364 calculation method Methods 0.000 claims abstract description 6
- 230000002776 aggregation Effects 0.000 claims description 32
- 238000004220 aggregation Methods 0.000 claims description 32
- 241000544061 Cuculus canorus Species 0.000 claims description 20
- 238000004422 calculation algorithm Methods 0.000 claims description 17
- 230000004931 aggregating effect Effects 0.000 claims description 6
- 238000003491 array Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- IBBLRJGOOANPTQ-JKVLGAQCSA-N quinapril hydrochloride Chemical compound Cl.C([C@@H](C(=O)OCC)N[C@@H](C)C(=O)N1[C@@H](CC2=CC=CC=C2C1)C(O)=O)CC1=CC=CC=C1 IBBLRJGOOANPTQ-JKVLGAQCSA-N 0.000 claims description 3
- 238000006116 polymerization reaction Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000006854 communication Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000013480 data collection Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013496 data integrity verification Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000004576 sand Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
发明公开了一种基于区块链的云边端协同数据采集与隐私保护方法和系统,该方法包括以下步骤:部署在边缘网关上的区块链节点组成区块链网络,所述区块链网络作为密钥生成中心,为各本地边缘网关和边缘网关分别生成相应的身份信息、密钥和系统参数;物联网采集设备采集用户数据,本地边缘网关利用所述签名私钥加密所述用户数据生成密文数据传输至边缘网关;所述边缘网关实时收集每个所述本地区域网络发送的所述密文数据,并利用所述身份信息验证用户身份,验证通过后,将密文数据聚合发送给控制中心;控制中心接收不同边缘网关发送的密文数据,并解密得到采集数据结果。本发明,能够防止用户电力数据的隐私泄露并大大降低计算开销。
Description
技术领域
本发明涉及区块链及边缘计算技术领域,具体涉及一种基于区块链的云边端协同数据采集与隐私保护方法和系统。
背景技术
传感器、摄像头等物联网采集设备是信息采集的主要方式。目前直接采集用户信息数据的方式存在许多弊端,主要体现在:
一方面,客户信息数据涉及个人隐私信息和企业商业秘密,根据《网络安全法》、《个人信息保护法》、《数据安全法》等法律要求,服务企业负有保护保护客户信息数据安全的义务;而另一方面,因疫情防控、公共安全管理、宏观经济统计、刑事案件侦查、民事案件审理、电力交易等公共利益的特殊需求,大量确实存在数据共享的必要。
有鉴于此,需要对现有的用户数据采集方法进行改进,以防止用户数据的隐私泄露并大大降低计算开销。
发明内容
针对上述缺陷,本发明所要解决的技术问题在于提供一种基于区块链的云边端协同数据采集与隐私保护方法和装置,以解决现有技术采集用户数据中存在隐私泄露风险的问题。
为此,本发明提供的一种基于区块链的云边端协同数据采集与隐私保护方法,包括以下步骤:
步骤100,部署在边缘网关上的区块链节点组成区块链网络,所述区块链网络作为密钥生成中心,为各本地边缘网关和边缘网关分别生成相应的身份信息,并利用随机数生成聚合签名密钥;密钥生成中心生成同态加密算法所需的系统参数;密钥生成中心在生成和分发所述聚合签名密钥和系统参数后,删除所述随机数;
步骤200,物联网采集设备采集用户数据,本地边缘网关利用所述系统参数,采用同态加密算法加密所述用户数据生成密文数据,并利用聚合签名对所述密文数据签名获得单一签名,将所述密文数据和单一签名发送给边缘网关;
步骤300,所述边缘网关实时收集每个所述本地区域网络发送的多个所述密文数据和单一签名,并在验证通过本地边缘网关的身份信息以及单一签名的有效性后,将全部的所述密文数据和单一签名聚合生成聚合密文,并对所述聚合密文生成聚合签名,将所述聚合密文和聚合签名发送给控制中心;
步骤400,控制中心在验证通过边缘网关的身份和聚合签名的有效性后,解密所述聚合密文,得到采集数据。
在上述方法中,优选地,还包括以下步骤:本地边缘网关在不同时间段,对同态加密算法的加密密钥和解密密钥进行更新。
在上述方法中,优选地,步骤100包括以下步骤:
密钥生成中心分别为各本地边缘网关和边缘网关生成身份标识,完成身份注册;
密钥生成中心利用随机数s,分别为各本地边缘网关和边缘网关生成聚合签名密钥;
密钥生成中心运行参数生成算法,生成用于进行聚合签名的系统参数,并公开所述系统参数;
生成和分发所述聚合签名密钥和系统参数后,删除所述随机数。
在上述方法中,优选地,步骤200中选择同态加密算法的哈希函数包括以下步骤:
密钥生成中心定义同态加密算法的明文空间为[0,M-1],其中M是一个大整数;
密钥生成中心随机生成nc个不同的秘密值s1,…,snc,将这些秘密值随机分为n个包含c个秘密值的子集,这些子集定义为加法子集;
密钥生成中心在所述秘密值的全集S中随机选取d个秘密值分配给控制中心,分配给控制中心的秘密值的集合表示为密钥生成中心将剩余的nc-d个秘密值均匀分为n个子集,并定义为减法子集分别将第i个加法子集Si和第i个减法子集分配给本地边缘网关HGWIDi,并预置到其可信芯片或安全虚拟机中;
随机选择k∈{0,1}λ,利用Hash函数生成哈希消息认证码,并选择值域在{0,1}α均匀分布的哈希函数作为伪随机函数族Fλ,其中λ是安全参数,α表示M的比特位数;
网关从该哈希函数族Fλ中均匀选取两个哈希函数Hj1,Hj2作为生成布谷鸟哈希表使用的函数。
在上述方法中,优选地,边缘数据聚合包括以下步骤:
本地边缘网关HGWi利用本地边缘网关的身份信息HGWIDi,采集数组UMi,和采集时刻T,计算第一哈希值hmi,并利用本地边缘网关的身份信息HGWIDi,第一哈希值hmi,密文数组UCi,采集时刻T计算第二哈希值hci,然后分别生成本地边缘网关HGWi的单个签名SIGi;
本地边缘网关HGWi将本地边缘网关的身份信息HGWIDi密文数组采集时刻T,第一哈希值hmi,第二哈希值hci,单个签名SIGi发送至边缘网关GWj,同时在本地储存本地边缘网关的身份信息HGWIDi,采集数组密文数组采集时刻T。
在上述方法中,优选地,边缘网关聚合签名包括以下步骤:
边缘网关GWj对签名ASIGj进行验证;
边缘网关GWj初始化第一哈希表CHj1和第二哈希表CHj2,并分别将各本地家庭网关第一哈希值hmi插入到第一布谷鸟哈希表CHj1中,将第二哈希值hci插入到布谷鸟哈希表CHj2中;
边缘网关GWj生成聚合签名GSj;
GSj=(guj,gvj),其中guj=rjPT+sPGW j,0+cjsPGW j,0,gvj=rjP;
在上述方法中,优选地,只在第一布谷鸟哈希表CHj1和第一布谷鸟哈希表CHj2中存储第一哈希值hmi和第二哈希值hci的前f位,其中,f是可变参数,用于灵活调节存储量与计算量。
在上述方法中,优选地,第一布谷鸟哈希表CHj1和第一布谷鸟哈希表CHj2作为采集数据凭证发送给物联网采集设备备份。
本发明还提供了一种基于云边协同的区块链辅助隐私保护数据采集系统,其特征在于,包括控制中心、边缘网关和本地区域网络,
所述本地区域网络包括本地边缘网关和物联网采集设备,所述物联网采集设备用于用户数据采集,并将采集数据输入至所述本地边缘网关,经所述本地边缘网关加密处理后将密文数据传输至所述边缘网关,所述本地边缘网关基于可信硬件或安全虚拟机,为所述加密处理提供可信计算环境;
所述边缘网关用于实时收集每个所述本地区域网络发送的密文数据与签名,待用户身份验证通过后,将所管辖区域的所述密文数据聚合并发送给控制中心,所述边缘网关处部署边缘区块链节点;
所述控制中心用于聚合不同所述边缘网关发送的数据并解密得到采集数据结果。
由上述技术方案可知,本发明提供的一种基于区块链的云边端协同数据采集与隐私保护方法和系统,解决了现有的用户电力数据采集方法,存在隐私泄露,且计算开销大的问题。与现有技术相比,本发明具有以下有益效果:
第一,使用区块链/智能合约,从而不要单独部署密钥生成中心,而且避免了单点失败的问题。
第二,采集数据机密:采集数据仅由用户知晓,除用户外的其他实体无法通过窃听信道、截获传输数据、入侵控制中心数据库、以及与其他本地边缘网关合谋等手段获知用户的采集数据。
第三,采集数据完整:采集数据在传输过程中,任何实体无法伪造或恶意篡改。一旦发生数据伪造或篡改现象,边缘网关和控制中心能够及时发现。
第四,各个实体间身份认证安全:采集数据来源于真实的用户身份并且不可抵赖,任何实体在通信过程中均无法伪造身份。
第五,密钥更新更安全:即使本地边缘网关的密钥随着时间不断更新,当前时间段的密钥被攻破,之前时间段所提交的采集数据机密性也不会受到影响。添加了功能模拟检验机制,保证电子设备系统软件升级的稳定性和可靠性。
附图说明
为了更清楚地说明本发明的实施例或现有技术中的技术方案,下面将对本发明实施例或现有技术描述中所需要使用的附图做出简单地介绍和说明。显而易见地,下面描述中的附图仅仅是本发明的部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于区块链的云边端协同数据采集与隐私保护方法流程图;
图2为本发明提供的一种基于区块链的云边端协同数据采集与隐私保护系统示意图。
具体实施方式
下面将结合本发明实施例附图,对本发明实施例的技术方案进行清楚、完整地描述,显然,以下所描述的实施例,仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动的前提下,所获得的所有其他实施例,都属于本发明保护的范围。
为了对本发明的技术方案和实现方式做出更清楚地解释和说明,以下介绍实现本发明技术方案的几个优选的具体实施例。
需要说明的是,本文中“内、外”、“前、后”及“左、右”等方位词是以产品使用状态为基准对象进行的表述,显然,相应方位词的使用对本方案的保护范围并非构成限制。
具体实施例1。
具体实施例1提供了一种基于云边协同的区块链辅助隐私保护数据采集系统,请参见图1,图1为本发明提供的一种基于区块链的云边端协同数据采集与隐私保护系统示意图。该系统包括1个控制中心(Control Center,CC)、n个边缘网关(Gateway,GW)和n′个本地区域网络(Home Area Network,HAN)。
本地区域网络HAN包括本地边缘网关HGW和物联网采集设备SM。物联网采集设备作为物联网采集终端设备,负责用户数据采集,如温度、湿度、用电量等,它与本地边缘网关进行通信。本地边缘网关基于可信硬件或安全虚拟机,为每个本地物联网采集设备的数据计算提供可信计算环境。每个本地物联网采集设备将采集数据输入至本地边缘网关,经本地边缘网关加密处理后将密文数据传输至边缘网关。
边缘网关GW负责其管辖的每个本地区域网络用户的身份注册与验证、密钥管理以及数据聚合与传输。具体地,边缘网关GW会实时收集所在区域内的每个本地区域网络HAN发送的密文数据与签名,待用户身份验证通过后,即验证签名有效性,边缘网关GW将其所管辖区域的密文数据聚合并将聚合结果发送给控制中心CC。边缘网关GW处同时部署边缘区块链节点。
控制中心CC负责聚合不同边缘网关GW发送的数据并解密得到采集数据结果,用于电网公司根据控制中心计算得到的需求结果制定发电计划与调度管理方案。
上述系统的运行流程包括系统初始化、采集数据上传、采集数据处理以及密钥更新四个阶段。
(1)系统初始化阶段:用于建立系统所需的各项参数、各个实体的身份注册,以及各个实体的密钥生成与密钥分发。
(2)采集数据上传阶段:用于将采集到的用户数据通过本地边缘网关HGW计算相应的密文数据,并将该密文数据与采集数据输入时刻一并发送至边缘网关GW。
(3)采集数据处理:包括边缘数据聚合与云端聚合密文解密两部分。
(3.1)边缘网关将采集数据聚合后上传。边缘网关GW对所管辖的本地区域网络HAN上传的数据聚合,形成区域采集数据。同时,针对特定物联网采集设备的采集数据形成采集数据凭证表发送至边缘区块链备份,以便物联网采集设备在数据处理阶段中对采集数据进行确认。
(3.2)云端聚合密文解密。控制中心CC对不同边缘网关GW上传的数据聚合并解密,最终控制中心CC得到最终数据处理结果(例如不同区域的电量总和或者温度的平均值)。
(4)系统密钥更新阶段:用于本地边缘网关对不同时间段使用的密钥进行更新,保护采集数据,确保整个系统的安全性与稳定性。
具体实施例2。
如图2所示,基于上述系统,本发明还提供了一种基于区块链的云边端协同数据采集与隐私保护方法。
为方便对本发明技术方案的理解,对本发明中所用到的参数定义如下:
参数 定义
n 物联网采集设备总数量
nj 第j个边缘网关拥有的物联网采集设备数量
n′ 系统中边缘网关数量
HGWi 第i个本地边缘网关
HGWIDi 第i个本地边缘网关身份ID
GWIDj 第j个边缘网关身份ID
USK 签名密钥
Si 第i个加法子集
kit 第i个本地边缘网关在第t个子周期的加密密钥
k0t 控制中心在第t个子周期的解密密钥
AACT 系统中所有本地边缘网关采集数据聚合密文数组
CHj1 采集数据明文对应哈希表
CHj2 采集数据密文对应哈希表
如图2所示,本发明提供的一种基于区块链的云边端协同数据采集与隐私保护方法,包括以下步骤:
步骤100,为各本地边缘网关和边缘网关分别生成相应的身份信息完成身份注册,分别生成签名密钥以及成聚合签名的系统参数。
本发明中,部署在边缘网关上的区块链节点组成了区块链网络,区块链网络初始化智能合约,作为密钥生成中心,不需要单独部署密钥生成中心,而且避免了单点失败的问题。
首先,密钥生成中心为各本地边缘网关HGWi和边缘网关GWi分别生成相应的身份信息HGWIDi和GWIDi完成身份注册;之后,密钥生成中心为各本地边缘网关HGWi和边缘网关GWi分别生成与身份信息HGWIDi和GWIDi对应的签名密钥。接下来,密钥生成中心生成用于签名的系统参数,并分配给控制中心CC和边缘网关GWi。最后,为边缘网关进行同态加密的布谷鸟哈希选择哈希函数。
步骤100具体包括以下步骤。
步骤110,密钥生成中心分别为每个本地边缘网关HGWi和边缘网关GWi生成身份标识HGWIDi和GWIDi,完成每个本地边缘网关HGWi和边缘网关GWi的身份注册。
签名私钥s秘密发送给用户,并嵌入到相应的本地边缘网关HGWi和边缘网关GWi的可信芯片或安全虚拟机中,签名公钥Q公开。随机数s由密钥生成中心秘密保存,且在每次生成相应的签名密钥并分发后,将随机数s清除。
G1和G2为两个q阶的循环群,q为素数,P为G1的生成元。
步骤150:密钥生成中心定义同态加密算法的明文空间[0,M-1],其中M是一个大整数。随机选择k∈{0,1}λ,其中λ是安全参数。利用Hash函数生成哈希消息认证码(带密钥的Hash函数),预先生成密钥哈希消息认证码作为伪随机函数族选择值域在{0,1}α均匀分布的哈希函数H,其中α表示M的比特位数。
步骤160,密钥生成中心随机生成nc个不同的秘密值s1,…,snc,将这些秘密值随机分为n个包含c个秘密值的子集,将这些子集定义为加法子集。令S表示秘密值的全集,则Si表示上述第i个加法子集。显然,且表示所有Si的并集,表示对所有i,表示空集。
步骤170,密钥生成中心在S中随机选取d个秘密值,并将这些秘密值分配至控制中心CC,令表示分配给控制中心的秘密值的集合。密钥生成中心将剩余的nc-d个秘密值均匀分为n个子集,其中,个子集有个秘密值,个子集有个秘密值,将这些子集定义为减法子集,令表示上述第i个减法子集。
密钥生成中心分别将第i个加法子集和第i个减法子集分配给本地边缘网关HGWi,并预置到其可信芯片或安全虚拟机中。
步骤180,密钥生成中心生成哈希函数族{Hi}i∈I,Hi:U→R。
步骤180,本地边缘网关从该哈希函数族中均匀选取两个哈希函数H1,H2作为生成布谷鸟哈希表使用的函数。
步骤200,用户数据采集上传。
步骤210:本地边缘网关HGWi将采集数据生成数组 假设即将到来的电力供应周期中共有2个预定义的子周期。例如,提前一天提交第二天的采集数据,l可以设置为24,子周期的时间间隔为小时,若用户在第t个子周期需要额外电量供应,则umi(t-1)为正值,若第t个周期同意电量减少供应,则umi(t-1)为负值,若第t个周期不需要额外用电也没有节点计划,则umi(t-1)的值为0。例如将1天分别24个周期,则t是指第t小时。
首先,本地边缘网关HGWi分别对各子周期的元素生成加密密钥kit:
然后,本地边缘网关HGWi分别用加密密钥kit计算各元素对应的密文ucit:
ucit=(kit+umit)mod M (2)
步骤230:本地边缘网关HGWi分别计算第一哈希值hmi和第二哈希值hci,并生成单个签名SIGi。
hmi=H(HGWIDi,UMi,T)
hci=H(HGWIDi,hmi,UCi,T) (3)
SIGi=(ui,vi),其中ui=riPT+sPi,0+cisPi,0,vi=riP。
步骤300,边缘网关GWi实时收集每个本地区域网络发送的密文数据ucit,并利用身份信息验证用户身份,验证通过后,将密文数据ucit聚合后发送给控制中心。
这里的数据聚合为边缘网关GWj聚合各本地边缘网关HGWi上传的密文数据ucit,并将结果发送给控制中心。
本发明,通过在边缘网关数据聚合对数据初步运算,减轻了控制中心的计算开销,同时避免大量数据同时涌向控制中心,减小通信负荷。在数据聚合阶段,边缘网关验证数据正确且完整后,获得加法聚合密文,并生成布谷鸟哈希表,将聚合密文、布谷鸟哈希表连同输入时间签名后上传至控制中心,同时将布谷鸟哈希表作为采集数据凭证发送至物联网采集设备进行备份。
假设每个边缘网关GWj对应的本地区域网络中物联网采集设备数为nj,且∑nj=n,具体过程如下。
步骤320:边缘网关GWj对签名ASIGj进行验证。
步骤330:边缘网关GWj进行完整性验证。
对于收到的每个本地边缘网关HGWi的数据(HGWIDi,hmi,UCi,T),重新计算哈希值,并判断是否与收到的本地边缘网关HGWi的哈希值hci一致,若一致,则证明数据传输过程中未被篡改,数据完整性得到保护。
步骤340:边缘网关GWj执行数据聚合操作。
步骤350:边缘网关GWj生成哈希表。
初始化哈希表CHj1,CHj2,并执行哈希函数H1或H2,分别将HGWID1||hm1,…,HGWIDnj||hmnj插入到CHj1中,将HGWID1||hc1,…,HGWIDnj||hcnj插入到CHj2中。
本发明中,为节约存储空间,只在哈希表CHj1与CHj2中存储H_1(HGWID_1||hm_1),…,H_1(HGWID_(n_j)||hm_(n_j))与H_2(HGWID_1||hc_1),…,H_2(HGWID_(n_j)||hc_(n_j))的前f位。其中,f是可变参数,用于灵活调节存储量与计算量。
为便于物联网采集设备查询是否将数据插入哈希表,哈希表作为采集数据凭证发送给物联网采集设备备份。
步骤360:边缘网关GWj计算哈希值如下:
步骤370:边缘网关GWj生成聚合签名GSj。
GSj=(guj,gvj),其中guj=rjPT+sPGW j,0+cjsPGW j,0,gvj=rjP。
步骤400,控制中心对聚合密文进行云端解密。即,控制中心CC收到当前时间边缘网关发送的数据后,验证数据完整性并解密聚合密文。
设系统中共有n′个边缘网关,具体过程如下:
步骤420:控制中心CC验证签名AGS有效性。
步骤430:控制中心CC验证数据完整性。
步骤450:控制中心CC解密聚合密文AACT。
首先,控制中心CC分别对各子周期聚合密文生成解密密钥k0t:
然后,分别用解密密钥计算各子周期聚合密文aact对应明文aamt:
aamt=(aact-k0t)mod M (6)
步骤460:控制中心CC将各网关生成的布谷鸟哈希(GWIDj,CHj1,CHj2)存入数据库中。
本发明中,本地边缘网关对不同时间段,对同态加密算法的加密密钥与解密密钥进行更新,以保护采集数据,确保整个系统的安全性与稳定性。
当本地边缘网关上传本次采集数据后,保存当前数据采集时刻T,并为下一次采集数据加密生成新的加密密钥,同时控制中心验证聚合密文通过后,生成新的解密密钥。具体过程如下:
将T+1,本地边缘网关HGWi按照公式(1)为下一次采集数据子周期生成加密密钥kit。控制中心CC按照公式(5)为下一次采集数据子周期生成机密密钥k0t。
本发明中,本地边缘网关HGW是基于可信硬件或安全虚拟机,诚实且不可篡改,物联网采集设备与本地边缘网关均属于相同家庭局域网中,二者间的通信链路为安全信道。控制中心CC与边缘网关GW是半可信的,它们按照系统要求如实执行操作,但试图推断具体物联网采集设备的采集数据。其他实体间的通信链路(包括本地边缘网关与边缘网关、边缘网关与控制中心)都认为是不安全信道,数据传输过程中可能被窃听或篡改。
综合以上具体实施例的描述,本发明提供的一种基于云边协同的区块链辅助隐私保护数据采集系统和方法,与现有技术相比,具有如下优点:
第一,保护采集数据的机密性:采用改进的加法同态算法构造高效的密文数据聚合方法,能够有效抵抗n-2个物联网采集节点合谋攻击,采集数据仅由用户知晓,除用户外的其他实体无法通过窃听信道、截获传输数据、入侵控制中心数据库、以及与其他本地边缘网关合谋等手段获知用户的采集数据。
第二,采集数据的完整性:将基于身份的签名技术引入网关的身份认证中,采集数据在传输过程中,任何实体无法伪造或恶意篡改,一旦发生数据伪造或篡改现象,边缘网关和控制中心能够及时发现,实现了各层级节点的身份认证和数据完整性验证。
第三,各个实体间的身份认证安全:采集数据来源于真实的用户身份并且不可抵赖,任何实体在通信过程中均无法伪造身份。
第四,密钥更新安全性:提供密钥更新机制,具备前向安全性,即使本地边缘网关的密钥随着时间不断更新,当前时间段的密钥被攻破,之前时间段所提交的采集数据机密性也不会受到影响。添加了功能模拟检验机制,保证电子设备系统软件升级的稳定性和可靠性。
第五,边缘网关组成区块链节点,通过区块链网络上的智能合约实现密钥生成中心,避免了单点失败和分布式网络中缺乏统一信任中心的问题。
最后,还需要说明的是,在本文中使用的术语"包括"、"包含"或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句"包括一个…"限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明并不局限于上述最佳实施方式,任何人应该得知在本发明的启示下做出的结构变化,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。
Claims (9)
1.一种基于区块链的云边端协同数据采集与隐私保护方法,其特征在于,包括以下步骤:
步骤100,部署在边缘网关上的区块链节点组成区块链网络,所述区块链网络作为密钥生成中心,为各本地边缘网关和边缘网关分别生成相应的身份信息,并利用随机数生成聚合签名密钥;密钥生成中心生成同态加密算法所需的系统参数;密钥生成中心在生成和分发所述聚合签名密钥和系统参数后,删除所述随机数;
步骤200,物联网采集设备采集用户数据,本地边缘网关利用所述系统参数,采用同态加密算法加密所述用户数据生成密文数据,并利用聚合签名对所述密文数据签名获得单一签名,将所述密文数据和单一签名发送给边缘网关;
步骤300,所述边缘网关实时收集每个本地区域网络发送的多个所述密文数据和单一签名,并在验证通过本地边缘网关的身份信息以及单一签名的有效性后,将全部的所述密文数据和单一签名聚合生成聚合密文,并对所述聚合密文生成聚合签名,将所述聚合密文和聚合签名发送给控制中心;
步骤400,控制中心在验证通过边缘网关的身份和聚合签名的有效性后,解密所述聚合密文,得到采集数据。
2.根据权利要求1所述的方法,其特征在于,还包括以下步骤:本地边缘网关在不同时间段,对同态加密算法的加密密钥和解密密钥进行更新。
3.根据权利要求1所述的方法,其特征在于,步骤100包括以下步骤:
密钥生成中心分别为各本地边缘网关和边缘网关生成身份标识,完成身份注册;
密钥生成中心利用随机数s,分别为各本地边缘网关和边缘网关生成聚合签名密钥;
密钥生成中心运行参数生成算法,生成用于进行聚合签名的系统参数,并公开所述系统参数;
生成和分发所述聚合签名密钥和系统参数后,删除所述随机数。
4.根据权利要求1所述的方法,其特征在于,步骤200中选择同态加密算法的哈希函数包括以下步骤:
密钥生成中心定义同态加密算法的明文空间为[0,M-1],其中M是一个大整数;
密钥生成中心随机生成nc个不同的秘密值s1,…,snc,将这些秘密值随机分为n个包含c个秘密值的子集,这些子集定义为加法子集;
密钥生成中心在所述秘密值的全集S中随机选取d个秘密值分配给控制中心,分配给控制中心的秘密值的集合表示为密钥生成中心将剩余的nc-d个秘密值均匀分为n个子集,并定义为减法子集分别将第i个加法子集Si和第i个减法子集分配给本地边缘网关HGWIDi,并预置到其可信芯片或安全虚拟机中;
随机选择k∈{0,1}λ,利用Hash函数生成哈希消息认证码,并选择值域在{0,1}α均匀分布的哈希函数作为伪随机函数族Fλ,其中λ是安全参数,α表示M的比特位数;
网关从该哈希函数族Fλ中均匀选取两个哈希函数Hj1,Hj2作为生成布谷鸟哈希表使用的函数。
5.根据权利要求1所述的方法,其特征在于,边缘数据聚合包括以下步骤:
本地边缘网关HGWi利用本地边缘网关的身份信息HGWIDi,采集数组UMi和采集时刻T,计算第一哈希值hmi,并利用本地边缘网关的身份信息HGWIDi,第一哈希值hmi,密文数组UCi,采集时刻T,计算第二哈希值hci,然后分别生成本地边缘网关HGWi的单个签名SIGi;
6.根据权利要求5所述的方法,其特征在于,边缘网关聚合签名包括以下步骤:
边缘网关GWj对签名ASIGj进行验证;
边缘网关GWj初始化第一哈希表CHj1和第二哈希表CHj2,并分别将各本地家庭网关第一哈希值hmi插入到第一布谷鸟哈希表CHj1中,将第二哈希值hci插入到布谷鸟哈希表CHj2中;
边缘网关GWj生成聚合签名GSj;
GSj=(guj,gvj),其中guj=rjPT+sPGW j,0+cjsPGW j,0,gvj=rjP;
7.根据权利要求6所述的方法,其特征在于,只在第一布谷鸟哈希表CHj1和第一布谷鸟哈希表CHj2中存储第一哈希值hmi和第二哈希值hci的前f位,其中,f是可变参数,用于灵活调节存储量与计算量。
8.根据权利要求6所述的方法,其特征在于,第一布谷鸟哈希表CHj1和第一布谷鸟哈希表CHj2作为采集数据凭证发送给物联网采集设备备份。
9.一种基于区块链的云边端协同数据采集与隐私保护系统,其特征在于,包括控制中心、边缘网关和本地区域网络,
所述本地区域网络包括本地边缘网关和物联网采集设备,所述物联网采集设备用于用户数据采集,并将采集数据输入至所述本地边缘网关,经所述本地边缘网关加密处理后将密文数据传输至所述边缘网关,所述本地边缘网关基于可信硬件或安全虚拟机,为所述加密处理提供可信计算环境;
部署在边缘网关上的区块链节点组成区块链网络,所述区块链网络初始化智能合约,作为密钥生成中心,为各本地边缘网关和边缘网关分别生成相应的身份信息完成身份注册,分别生成相应的签名公、私钥对并分发;密钥生成中心生成并分发以上密钥及参数后,删除相关随机数;其中,所述边缘网关处部署边缘区块链节点,区块链节点组成区块链网络,其上运行智能合约行使密钥管理中心职能;
所述边缘网关用于实时收集每个所述本地区域网络发送的密文数据与签名,待用户身份验证通过后,将所管辖区域的所述密文数据聚合并发送给控制中心;
所述控制中心用于聚合不同所述边缘网关发送的数据并解密得到采集数据结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210196552.9A CN114553883B (zh) | 2022-03-02 | 2022-03-02 | 基于区块链的云边端协同数据采集与隐私保护方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210196552.9A CN114553883B (zh) | 2022-03-02 | 2022-03-02 | 基于区块链的云边端协同数据采集与隐私保护方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114553883A true CN114553883A (zh) | 2022-05-27 |
CN114553883B CN114553883B (zh) | 2024-04-26 |
Family
ID=81662328
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210196552.9A Active CN114553883B (zh) | 2022-03-02 | 2022-03-02 | 基于区块链的云边端协同数据采集与隐私保护方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114553883B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115622762A (zh) * | 2022-10-08 | 2023-01-17 | 中国人民解放军国防科技大学 | 基于区块链的云边端数据分发方法以及跨链交互方法 |
CN116980122A (zh) * | 2023-07-31 | 2023-10-31 | 长春吉大正元信息技术股份有限公司 | 一种量子密钥分发管理系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105844172A (zh) * | 2016-03-22 | 2016-08-10 | 湖北工业大学 | 一种隐私保护的多社区多维用户电量聚合系统及方法 |
CN110308691A (zh) * | 2019-07-26 | 2019-10-08 | 湘潭大学 | 一种泛在电力物联网的多维数据聚合与访问控制方法 |
US20190334701A1 (en) * | 2018-04-25 | 2019-10-31 | EMC IP Holding Company LLC | Lightweight security for internet of things messaging |
CN111010376A (zh) * | 2019-11-28 | 2020-04-14 | 国网河南省电力公司信息通信公司 | 基于主从链的物联网认证系统及方法 |
US20200201988A1 (en) * | 2018-12-19 | 2020-06-25 | Markany Inc. | IoT DEVICE MANAGED BASED ON BLOCK CHAIN, SYSTEM AND METHOD THEREOF |
CN112600892A (zh) * | 2020-12-07 | 2021-04-02 | 北京邮电大学 | 面向物联网的区块链设备、系统及工作方法 |
CN113343196A (zh) * | 2021-06-01 | 2021-09-03 | 永旗(北京)科技有限公司 | 一种物联网安全认证方法 |
US20220029831A1 (en) * | 2020-03-05 | 2022-01-27 | Lg Electronics Inc. | Device to device authentication method using blockchain |
-
2022
- 2022-03-02 CN CN202210196552.9A patent/CN114553883B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105844172A (zh) * | 2016-03-22 | 2016-08-10 | 湖北工业大学 | 一种隐私保护的多社区多维用户电量聚合系统及方法 |
US20190334701A1 (en) * | 2018-04-25 | 2019-10-31 | EMC IP Holding Company LLC | Lightweight security for internet of things messaging |
US20200201988A1 (en) * | 2018-12-19 | 2020-06-25 | Markany Inc. | IoT DEVICE MANAGED BASED ON BLOCK CHAIN, SYSTEM AND METHOD THEREOF |
CN110308691A (zh) * | 2019-07-26 | 2019-10-08 | 湘潭大学 | 一种泛在电力物联网的多维数据聚合与访问控制方法 |
CN111010376A (zh) * | 2019-11-28 | 2020-04-14 | 国网河南省电力公司信息通信公司 | 基于主从链的物联网认证系统及方法 |
US20220029831A1 (en) * | 2020-03-05 | 2022-01-27 | Lg Electronics Inc. | Device to device authentication method using blockchain |
CN112600892A (zh) * | 2020-12-07 | 2021-04-02 | 北京邮电大学 | 面向物联网的区块链设备、系统及工作方法 |
CN113343196A (zh) * | 2021-06-01 | 2021-09-03 | 永旗(北京)科技有限公司 | 一种物联网安全认证方法 |
Non-Patent Citations (2)
Title |
---|
杨坤伟等: "群智网络中基于区块链的有序聚合签名认证方案", 《电子学报》, vol. 50, no. 2, pages 358 - 365 * |
王丰宁: "基于主从链的物联终端可信认证机制", 硕士学位论文 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115622762A (zh) * | 2022-10-08 | 2023-01-17 | 中国人民解放军国防科技大学 | 基于区块链的云边端数据分发方法以及跨链交互方法 |
CN116980122A (zh) * | 2023-07-31 | 2023-10-31 | 长春吉大正元信息技术股份有限公司 | 一种量子密钥分发管理系统 |
CN116980122B (zh) * | 2023-07-31 | 2024-05-24 | 长春吉大正元信息技术股份有限公司 | 一种量子密钥分发管理系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114553883B (zh) | 2024-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Baza et al. | Blockchain-based firmware update scheme tailored for autonomous vehicles | |
WO2021227241A1 (zh) | 智能电网中抗密钥泄露的加密数据聚合的统计分析方法 | |
Syta et al. | Keeping authorities" honest or bust" with decentralized witness cosigning | |
Feng et al. | An efficient privacy-preserving authentication model based on blockchain for VANETs | |
Ma et al. | Redactable blockchain in decentralized setting | |
US7634085B1 (en) | Identity-based-encryption system with partial attribute matching | |
CN114338045A (zh) | 基于区块链和联邦学习的情报数据可验证性安全共享方法及系统 | |
CN110120868B (zh) | 一种基于区块链技术的智能电网安全数据聚合方法及系统 | |
Mustafa et al. | DEP2SA: A decentralized efficient privacy-preserving and selective aggregation scheme in advanced metering infrastructure | |
CN109450843B (zh) | 一种基于区块链的ssl证书管理方法及系统 | |
CN110599163B (zh) | 一种面向区块链交易监管的交易记录外包方法 | |
CN104901942A (zh) | 一种基于属性加密的分布式访问控制方法 | |
CN105721158A (zh) | 云安全隐私性和完整性保护方法和系统 | |
CN114553883B (zh) | 基于区块链的云边端协同数据采集与隐私保护方法和系统 | |
CN112383550B (zh) | 一种基于隐私保护的动态权限访问控制方法 | |
Baza et al. | Privacy-preserving and collusion-resistant charging coordination schemes for smart grids | |
CN113886856A (zh) | 基于区块链的双重可验证云存储方法 | |
CN110830244A (zh) | 基于身份秘密共享和联盟链的抗量子计算车联网方法及系统 | |
CN114036539A (zh) | 基于区块链的安全可审计物联网数据共享系统及方法 | |
CN114666032B (zh) | 基于同态加密的区块链交易数据隐私保护方法 | |
Tran et al. | An efficient privacy-enhancing cross-silo federated learning and applications for false data injection attack detection in smart grids | |
Tan et al. | A privacy-preserving attribute-based authenticated key management scheme for accountable vehicular communications | |
CN112149181A (zh) | 一种带有信誉值分析作用的混合云数据中心数据传输方法 | |
CN118133311A (zh) | 一种基于改进群签名的联邦学习隐私保护方法 | |
Wen et al. | A data aggregation scheme with fine-grained access control for the smart grid |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |