CN114785529B - 基于区块链的建立可信通信链路的方法和系统 - Google Patents
基于区块链的建立可信通信链路的方法和系统 Download PDFInfo
- Publication number
- CN114785529B CN114785529B CN202210694457.1A CN202210694457A CN114785529B CN 114785529 B CN114785529 B CN 114785529B CN 202210694457 A CN202210694457 A CN 202210694457A CN 114785529 B CN114785529 B CN 114785529B
- Authority
- CN
- China
- Prior art keywords
- gateway
- public key
- key
- controller
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及安全通信技术领域,具体公开了基于区块链的建立可信通信链路的方法和系统。本发明实施例通过在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥;获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照第一公钥进行物理指纹间接生成的第二哈希编码,根据第一哈希编码和第二哈希编码,判断是否允许网关设备接入网关控制器;在允许网关设备接入网关控制器时,进行网关设备和网关控制器之间的安全通信。能够实现网关设备与网关控制器之间的动态加密验证,无需繁琐的证书申请、管理、更新和作废过程,能够实现网关设备接入申请的快速判断,且能够保障网关设备与网关控制器之间通信过程的全程加密。
Description
技术领域
本发明属于安全通信技术领域,尤其涉及基于区块链的建立可信通信链路的方法和系统。
背景技术
由于网关控制器支持跨互联网部署,网关控制器部署在组织的总部时,部署在现场的网关设备基于节省成本的原因通过互联网接入控制器,进而下载各种配置信息,如数据清洗规则、数据转换规则、数据报警规则等。网关设备在接入网关控制器时,首先需要解决认证的问题,也就是说,网关控制器需要确认接入的网关设备是否是授权的可信设备。
现有的解决网关设备与网关控制器之间认证的常用方法,是采用基于PKI的认证体系,但是这种基于PKI的认证体系,还存在也如下的缺点:证书申请发放流程繁琐,耗费时间长;证书管理复杂;证书更新和作废过程繁琐。
发明内容
本发明实施例的目的在于提供基于区块链的建立可信通信链路的方法和系统,旨在解决背景技术中提出的问题。
为实现上述目的,本发明实施例提供如下技术方案:
基于区块链的建立可信通信链路的方法,所述方法具体包括以下步骤:
在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥,将所述第一公钥和所述第一私钥写入EPROM,并将所述标识码和所述第一公钥发布至区块链数据库;
在网关设备请求接入网关控制器时,利用网关控制器的第二公钥和第二私钥获取网关设备的标识码,通过所述标识码从区块链数据库中检索出第一公钥,获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器;
在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
作为本发明实施例技术方案进一步的限定,所述在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥,将所述第一公钥和所述第一私钥写入EPROM,并将所述标识码和所述第一公钥发布至区块链数据库具体包括以下步骤:
在网关设备出库时,获取网关设备的标识码;
获取网关设备生成的第一公钥和第一私钥;
将所述第一公钥和所述第一私钥写入网关设备的EPROM;
将所述标识码和所述第一公钥发布至区块链数据库。
作为本发明实施例技术方案进一步的限定,所述在网关设备请求接入网关控制器时,利用网关控制器的第二公钥和第二私钥获取网关设备的标识码,通过所述标识码从区块链数据库中检索出第一公钥,获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器具体包括以下步骤:
在网关设备请求接入网关控制器时,将网关控制器的第二公钥传输至网关设备;
根据网关控制器的第二私钥获取网关设备根据第二公钥加密的标识码;
通过所述标识码从区块链数据库中检索出第一公钥;
获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器。
作为本发明实施例技术方案进一步的限定,所述获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器具体包括以下步骤:
获取网关控制器随机生成的第一指纹母串,根据所述第一指纹母串和对应的第一公钥生成第一设备指纹,调用SHA-1算法生成第一设备指纹对应的第一哈希编码;
将网关控制器通过第一公钥加密的第一指纹母串发送至网关设备;
网关设备通过第一私钥将第一指纹母串解密之后,获取网关设备根据所述第一指纹母串和自身的第一公钥生成的第二设备指纹,调用SHA-1算法生成第二设备指纹对应的第二哈希编码;
通过比较所述第一哈希编码与所述第二哈希编码是否相同,判断是否允许网关设备接入网关控制器。
作为本发明实施例技术方案进一步的限定,所述在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥,根据所述通信密钥进行网关设备和网关控制器之间的安全通信具体包括以下步骤:
在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥;
通过第一公钥将所述通信密钥加密之后发送至网关设备;
在网关设备通过第一私钥将通信密钥解密之后,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
基于区块链的建立可信通信链路的系统,所述系统包括网关设备处理单元、请求接入验证单元和安全通信建立单元,其中:
网关设备处理单元,用于在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥,将所述第一公钥和所述第一私钥写入EPROM,并将所述标识码和所述第一公钥发布至区块链数据库;
请求接入验证单元,用于在网关设备请求接入网关控制器时,利用网关控制器的第二公钥和第二私钥获取网关设备的标识码,通过所述标识码从区块链数据库中检索出第一公钥,获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器;
安全通信建立单元,用于在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
作为本发明实施例技术方案进一步的限定,所述网关设备处理单元具体包括:
标识码获取模块,用于在网关设备出库时,获取网关设备的标识码;
密钥生成模块,用于获取网关设备生成的第一公钥和第一私钥;
密钥写入模块,用于将所述第一公钥和所述第一私钥写入网关设备的EPROM;
区块链发布模块,用于将所述标识码和所述第一公钥发布至区块链数据库。
作为本发明实施例技术方案进一步的限定,所述请求接入验证单元具体包括:
请求处理模块,用于在网关设备请求接入网关控制器时,将网关控制器的第二公钥传输至网关设备;
加密获取模块,用于根据网关控制器的第二私钥获取网关设备根据第二公钥加密的标识码;
区块链检索模块,用于通过所述标识码从区块链数据库中检索出第一公钥;
接入判断模块,用于获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器。
作为本发明实施例技术方案进一步的限定,所述接入判断模块具体包括:
第一哈希编码生成子模块,用于获取网关控制器随机生成的第一指纹母串,根据所述第一指纹母串和对应的第一公钥生成第一设备指纹,调用SHA-1算法生成第一设备指纹对应的第一哈希编码;
第一指纹母串发送子模块,用于将网关控制器通过第一公钥加密的第一指纹母串发送至网关设备;
第二哈希编码生成子模块,用于网关设备通过第一私钥将第一指纹母串解密之后,获取网关设备根据所述第一指纹母串和自身的第一公钥生成的第二设备指纹,调用SHA-1算法生成第二设备指纹对应的第二哈希编码;
接入判断比较子模块,用于通过比较所述第一哈希编码与所述第二哈希编码是否相同,判断是否允许网关设备接入网关控制器。
作为本发明实施例技术方案进一步的限定,所述安全通信建立单元具体包括:
通信密钥生成模块,用于在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥;
通信密钥发送模块,用于通过第一公钥将所述通信密钥加密之后发送至网关设备;
安全通信建立模块,用于在网关设备通过第一私钥将通信密钥解密之后,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
与现有技术相比,本发明的有益效果是:
本发明实施例通过在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥;获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照第一公钥进行物理指纹间接生成的第二哈希编码,根据第一哈希编码和第二哈希编码,判断是否允许网关设备接入网关控制器;在允许网关设备接入网关控制器时,进行网关设备和网关控制器之间的安全通信。能够实现网关设备与网关控制器之间的动态加密验证,无需繁琐的证书申请、管理、更新和作废过程,能够实现网关设备接入申请的快速判断,且能够保障网关设备与网关控制器之间通信过程的全程加密。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例。
图1示出了本发明实施例提供的方法的流程图。
图2示出了本发明实施例提供的方法中网关设备出库处理的流程图。
图3示出了本发明实施例提供的方法中网关设备请求接入判断的流程图。
图4示出了本发明实施例提供的方法中哈希编码生成判断的流程图。
图5示出了本发明实施例提供的方法中建立安全通信的流程图。
图6示出了本发明实施例提供的系统的应用架构图。
图7示出了本发明实施例提供的系统中网关设备处理单元的结构框图。
图8示出了本发明实施例提供的系统中请求接入验证单元的结构框图。
图9示出了本发明实施例提供的系统中接入判断模块的结构框图。
图10示出了本发明实施例提供的系统中安全通信建立单元的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解的是,现有的解决网关设备与网关控制器之间认证的常用方法,是采用基于PKI的认证体系,但是这种基于PKI的认证体系,还存在也如下的缺点:证书申请发放流程繁琐,耗费时间长;证书管理复杂;证书更新和作废过程繁琐。
为解决上述问题,本发明实施例通过在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥;获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照第一公钥进行物理指纹间接生成的第二哈希编码,根据第一哈希编码和第二哈希编码,判断是否允许网关设备接入网关控制器;在允许网关设备接入网关控制器时,进行网关设备和网关控制器之间的安全通信。能够实现网关设备与网关控制器之间的动态加密验证,无需繁琐的证书申请、管理、更新和作废过程,能够实现网关设备接入申请的快速判断,且能够保障网关设备与网关控制器之间通信过程的全程加密。
图1示出了本发明实施例提供的方法的流程图。
具体的,基于区块链的建立可信通信链路的方法,其特征在于,所述方法具体包括以下步骤:
步骤S101,在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥,将所述第一公钥和所述第一私钥写入EPROM,并将所述标识码和所述第一公钥发布至区块链数据库。
在本发明实施例中,在网关设备出厂或出库时,组织自行生成密钥对,包括第一公钥和第一私钥,不需要通过CA中心,将第一公钥和第一私钥写入网关设备的EPROM,同时获取网关设备的标识码,把网关设备的标识码和第一公钥发布到区块链的区块链数据库中。
可以理解的是,EPROM是一种断电后仍能保留数据的计算机储存芯片,即非易失性的,EPROM是一组浮栅晶体管,被一个提供比电子电路中常用电压更高电压的电子器件分别编程,一旦编程完成后,EPROM只能用强紫外线照射来擦除。
具体的,图2示出了本发明实施例提供的方法中网关设备出库处理的流程图。
其中,在本发明提供的优选实施方式中,所述在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥,将所述第一公钥和所述第一私钥写入EPROM,并将所述标识码和所述第一公钥发布至区块链数据库具体包括以下步骤:
步骤S1011,在网关设备出库时,获取网关设备的标识码。
步骤S1012,获取网关设备生成的第一公钥和第一私钥。
步骤S1013,将所述第一公钥和所述第一私钥写入网关设备的EPROM。
步骤S1014,将所述标识码和所述第一公钥发布至区块链数据库。
进一步的,所述基于区块链的建立可信通信链路的方法还包括以下步骤:
步骤S102,在网关设备请求接入网关控制器时,利用网关控制器的第二公钥和第二私钥获取网关设备的标识码,通过所述标识码从区块链数据库中检索出第一公钥,获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器。
在本发明实施例中,网关设备发送访问请求至网关控制器,接收网关控制器返回的第二公钥,将第二公钥发送至网关设备,网关设备利用第二公钥对网关设备的标识码加密后,通过获取加密的标识码,并将加密的标识码发送给网关控制器,控制器用第二私钥解开密文,得到网关设备的标识码,利用标识码从区块链数据库检索出和该标识码所对应的网关设备的第一公钥,通过获取网关控制器随机生成的长度是8的字符串,标记为第一指纹母串,并把第一指纹母串的每一个字符的16进制值作为索引,从长度为256字节的网关设备的第一公钥数字字符串相应的数字字符取出,随机从长度为256字节的网关设备的第一公钥中生成长度为8的数字字符串的第一设备指纹,然后调用SHA-1算法生成长度为32字节的第一设备指纹对应的第一哈希编码,进而获取网关控制器利用第一公钥加密的第一指纹母串,把加密的第一指纹母串发给网关设备,网关设备收到加密的第一指纹母串,用网关设备的第一私钥解开加密的第一指纹母串,得到控制器随机生成的第一指纹母串,并根据母串的8个字符串的每个字符的16进制值作为索引从写入EPROM的第一公钥中生成第二设备指纹,调用SHA-1算法生成长度是32字节的第二设备指纹对应的的第二哈希编码,如果这个第二哈希编码与第一哈希编码相同,就可以判断对应的网关设备是合法的授权设备,允许其接入。
具体的,图3示出了本发明实施例提供的方法中网关设备请求接入判断的流程图。
其中,在本发明提供的优选实施方式中,所述在网关设备请求接入网关控制器时,利用网关控制器的第二公钥和第二私钥获取网关设备的标识码,通过所述标识码从区块链数据库中检索出第一公钥,获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器具体包括以下步骤:
步骤S1021,在网关设备请求接入网关控制器时,将网关控制器的第二公钥传输至网关设备。
步骤S1022,根据网关控制器的第二私钥获取网关设备根据第二公钥加密的标识码。
步骤S1023,通过所述标识码从区块链数据库中检索出第一公钥。
步骤S1024,获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器。
具体的,图4示出了本发明实施例提供的方法中哈希编码生成判断的流程图。
其中,在本发明提供的优选实施方式中,所述获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器具体包括以下步骤:
步骤S10241,获取网关控制器随机生成的第一指纹母串,根据所述第一指纹母串和对应的第一公钥生成第一设备指纹,调用SHA-1算法生成第一设备指纹对应的第一哈希编码。
步骤S10242,将网关控制器通过第一公钥加密的第一指纹母串发送至网关设备。
步骤S10243,网关设备通过第一私钥将第一指纹母串解密之后,获取网关设备根据所述第一指纹母串和自身的第一公钥生成的第二设备指纹,调用SHA-1算法生成第二设备指纹对应的第二哈希编码。
步骤S10244,通过比较所述第一哈希编码与所述第二哈希编码是否相同,判断是否允许网关设备接入网关控制器。
进一步的,所述基于区块链的建立可信通信链路的方法还包括以下步骤:
步骤S103,在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
在本发明实施例中,在允许网关设备接入网关控制器时,获取网关控制器随机生成长度为256字节的通信密钥,利用网关设备的第一公钥加密通信密钥之后,将加密的通信密钥发给网关设备,网关设备可以用第一私钥对通信密钥解密,从而在网关设备和网关控制器之间进行数据发送时,网关设备利用通信密钥加密传输数据的数据密文,使得数据安全地通过互联网发送给网关控制器,实现数据在网关设备和网关控制器之间跨互联网安全通信。
具体的,图5示出了本发明实施例提供的方法中建立安全通信的流程图。
其中,在本发明提供的优选实施方式中,所述在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥,根据所述通信密钥进行网关设备和网关控制器之间的安全通信具体包括以下步骤:
步骤S1031,在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥。
步骤S1032,通过第一公钥将所述通信密钥加密之后发送至网关设备。
步骤S1033,在网关设备通过第一私钥将通信密钥解密之后,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
进一步的,图6示出了本发明实施例提供的系统的应用架构图。
其中,在本发明提供的又一个优选实施方式中,基于区块链的建立可信通信链路的系统,包括:
网关设备处理单元101,用于在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥,将所述第一公钥和所述第一私钥写入EPROM,并将所述标识码和所述第一公钥发布至区块链数据库。
在本发明实施例中,在网关设备出厂或出库时,网关设备处理单元101获取组织自行生成的密钥对,包括第一公钥和第一私钥,不需要通过CA中心,将第一公钥和第一私钥写入网关设备的EPROM,同时获取网关设备的标识码,把网关设备的标识码和第一公钥发布到区块链的区块链数据库中。
具体的,图7示出了本发明实施例提供的系统中网关设备处理单元101的结构框图。
其中,在本发明提供的优选实施方式中,所述网关设备处理单元101具体包括:
标识码获取模块1011,用于在网关设备出库时,获取网关设备的标识码。
密钥生成模块1012,用于获取网关设备生成的第一公钥和第一私钥。
密钥写入模块1013,用于将所述第一公钥和所述第一私钥写入网关设备的EPROM。
区块链发布模块1014,用于将所述标识码和所述第一公钥发布至区块链数据库。
进一步的,所述基于区块链的建立可信通信链路的系统还包括:
请求接入验证单元102,用于在网关设备请求接入网关控制器时,利用网关控制器的第二公钥和第二私钥获取网关设备的标识码,通过所述标识码从区块链数据库中检索出第一公钥,获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器。
在本发明实施例中,网关设备发送访问请求至网关控制器,请求接入验证单元102接收网关控制器返回的第二公钥,将第二公钥发送至网关设备,网关设备利用第二公钥对网关设备的标识码加密后,通过获取加密的标识码,并将加密的标识码发送给网关控制器,控制器用第二私钥解开密文,得到网关设备的标识码,利用标识码从区块链数据库检索出和该标识码所对应的网关设备的第一公钥,通过获取网关控制器随机生成的长度是8的字符串,标记为第一指纹母串,并把第一指纹母串的每一个字符的16进制值作为索引,从长度为256字节的网关设备的第一公钥数字字符串相应的数字字符取出,随机从长度为256字节的网关设备的第一公钥中生成长度为8的数字字符串的第一设备指纹,然后调用SHA-1算法生成长度为32字节的第一设备指纹对应的第一哈希编码,进而获取网关控制器利用第一公钥加密的第一指纹母串,把加密的第一指纹母串发给网关设备,网关设备收到加密的第一指纹母串,用网关设备的第一私钥解开加密的第一指纹母串,得到控制器随机生成的第一指纹母串,并根据母串的8个字符串的每个字符的16进制值作为索引从写入EPROM的第一公钥中生成第二设备指纹,调用SHA-1算法生成长度是32字节的第二设备指纹对应的的第二哈希编码,如果这个第二哈希编码与第一哈希编码相同,就可以判断对应的网关设备是合法的授权设备,允许其接入。
具体的,图8示出了本发明实施例提供的系统中请求接入验证单元102的结构框图。
其中,在本发明提供的优选实施方式中,所述请求接入验证单元102具体包括:
请求处理模块1021,用于在网关设备请求接入网关控制器时,将网关控制器的第二公钥传输至网关设备。
加密获取模块1022,用于根据网关控制器的第二私钥获取网关设备根据第二公钥加密的标识码。
区块链检索模块1023,用于通过所述标识码从区块链数据库中检索出第一公钥。
接入判断模块1024,用于获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器。
具体的,图9示出了本发明实施例提供的系统中接入判断模块1024的结构框图。
其中,在本发明提供的优选实施方式中,所述接入判断模块1024具体包括:
第一哈希编码生成子模块10241,用于获取网关控制器随机生成的第一指纹母串,根据所述第一指纹母串和对应的第一公钥生成第一设备指纹,调用SHA-1算法生成第一设备指纹对应的第一哈希编码。
第一指纹母串发送子模块10242,用于将网关控制器通过第一公钥加密的第一指纹母串发送至网关设备。
第二哈希编码生成子模块10243,用于网关设备通过第一私钥将第一指纹母串解密之后,获取网关设备根据所述第一指纹母串和自身的第一公钥生成的第二设备指纹,调用SHA-1算法生成第二设备指纹对应的第二哈希编码。
接入判断比较子模块10244,用于通过比较所述第一哈希编码与所述第二哈希编码是否相同,判断是否允许网关设备接入网关控制器。
进一步的,所述基于区块链的建立可信通信链路的系统还包括:
安全通信建立单元103,用于在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
在本发明实施例中,在允许网关设备接入网关控制器时,安全通信建立单元103获取网关控制器随机生成长度为256字节的通信密钥,利用网关设备的第一公钥加密通信密钥之后,将加密的通信密钥发给网关设备,网关设备可以用第一私钥对通信密钥解密,从而在网关设备和网关控制器之间进行数据发送时,网关设备利用通信密钥加密传输数据的数据密文,使得数据安全地通过互联网发送给网关控制器,实现数据在网关设备和网关控制器之间跨互联网安全通信。
具体的,图10示出了本发明实施例提供的系统中安全通信建立单元103的结构框图。
其中,在本发明提供的优选实施方式中,所述安全通信建立单元103具体包括:
通信密钥生成模块1031,用于在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥。
通信密钥发送模块1032,用于通过第一公钥将所述通信密钥加密之后发送至网关设备。
安全通信建立模块1033,用于在网关设备通过第一私钥将通信密钥解密之后,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.基于区块链的建立可信通信链路的方法,其特征在于,所述方法具体包括以下步骤:
在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥,将所述第一公钥和所述第一私钥写入EPROM,并将所述标识码和所述第一公钥发布至区块链数据库;
在网关设备请求接入网关控制器时,利用网关控制器的第二公钥和第二私钥获取网关设备的标识码,通过所述标识码从区块链数据库中检索出第一公钥,获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器;
具体的,网关设备发送访问请求至网关控制器,接收网关控制器返回的第二公钥,将第二公钥发送至网关设备,网关设备利用第二公钥对网关设备的标识码加密后,通过获取加密的标识码,并将加密的标识码发送给网关控制器,控制器用第二私钥解开密文,得到网关设备的标识码,利用标识码从区块链数据库检索出和该标识码所对应的网关设备的第一公钥,通过获取网关控制器随机生成的长度是8的字符串,标记为第一指纹母串,并把第一指纹母串的每一个字符的16进制值作为索引,从长度为256字节的网关设备的第一公钥数字字符串相应的数字字符取出,随机从长度为256字节的网关设备的第一公钥中生成长度为8的数字字符串的第一设备指纹,然后调用SHA-1算法生成长度为32字节的第一设备指纹对应的第一哈希编码,进而获取网关控制器利用第一公钥加密的第一指纹母串,把加密的第一指纹母串发给网关设备,网关设备收到加密的第一指纹母串,用网关设备的第一私钥解开加密的第一指纹母串,得到控制器随机生成的第一指纹母串,并根据母串的8个字符串的每个字符的16进制值作为索引从写入EPROM的第一公钥中生成第二设备指纹,调用SHA-1算法生成长度是32字节的第二设备指纹对应的的第二哈希编码,如果这个第二哈希编码与第一哈希编码相同,就可以判断对应的网关设备是合法的授权设备,允许其接入;
在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
2.根据权利要求1所述的基于区块链的建立可信通信链路的方法,其特征在于,所述在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥,将所述第一公钥和所述第一私钥写入EPROM,并将所述标识码和所述第一公钥发布至区块链数据库具体包括以下步骤:
在网关设备出库时,获取网关设备的标识码;
获取网关设备生成的第一公钥和第一私钥;
将所述第一公钥和所述第一私钥写入网关设备的EPROM;
将所述标识码和所述第一公钥发布至区块链数据库。
3.根据权利要求1所述的基于区块链的建立可信通信链路的方法,其特征在于,所述在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥,根据所述通信密钥进行网关设备和网关控制器之间的安全通信具体包括以下步骤:
在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥;
通过第一公钥将所述通信密钥加密之后发送至网关设备;
在网关设备通过第一私钥将通信密钥解密之后,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
4.基于区块链的建立可信通信链路的系统,其特征在于,所述系统包括网关设备处理单元、请求接入验证单元和安全通信建立单元,其中:
网关设备处理单元,用于在网关设备出库时,得到网关设备的标识码、第一公钥和第一私钥,将所述第一公钥和所述第一私钥写入EPROM,并将所述标识码和所述第一公钥发布至区块链数据库;
请求接入验证单元,用于在网关设备请求接入网关控制器时,利用网关控制器的第二公钥和第二私钥获取网关设备的标识码,通过所述标识码从区块链数据库中检索出第一公钥,获取网关控制器进行物理指纹直接生成的第一哈希编码,获取按照所述第一公钥进行物理指纹间接生成的第二哈希编码,根据所述第一哈希编码和所述第二哈希编码,判断是否允许网关设备接入网关控制器;
具体的,网关设备发送访问请求至网关控制器,接收网关控制器返回的第二公钥,将第二公钥发送至网关设备,网关设备利用第二公钥对网关设备的标识码加密后,通过获取加密的标识码,并将加密的标识码发送给网关控制器,控制器用第二私钥解开密文,得到网关设备的标识码,利用标识码从区块链数据库检索出和该标识码所对应的网关设备的第一公钥,通过获取网关控制器随机生成的长度是8的字符串,标记为第一指纹母串,并把第一指纹母串的每一个字符的16进制值作为索引,从长度为256字节的网关设备的第一公钥数字字符串相应的数字字符取出,随机从长度为256字节的网关设备的第一公钥中生成长度为8的数字字符串的第一设备指纹,然后调用SHA-1算法生成长度为32字节的第一设备指纹对应的第一哈希编码,进而获取网关控制器利用第一公钥加密的第一指纹母串,把加密的第一指纹母串发给网关设备,网关设备收到加密的第一指纹母串,用网关设备的第一私钥解开加密的第一指纹母串,得到控制器随机生成的第一指纹母串,并根据母串的8个字符串的每个字符的16进制值作为索引从写入EPROM的第一公钥中生成第二设备指纹,调用SHA-1算法生成长度是32字节的第二设备指纹对应的的第二哈希编码,如果这个第二哈希编码与第一哈希编码相同,就可以判断对应的网关设备是合法的授权设备,允许其接入;
安全通信建立单元,用于在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
5.根据权利要求4所述的基于区块链的建立可信通信链路的系统,其特征在于,所述网关设备处理单元具体包括:
标识码获取模块,用于在网关设备出库时,获取网关设备的标识码;
密钥生成模块,用于获取网关设备生成的第一公钥和第一私钥;
密钥写入模块,用于将所述第一公钥和所述第一私钥写入网关设备的EPROM;
区块链发布模块,用于将所述标识码和所述第一公钥发布至区块链数据库。
6.根据权利要求4所述的基于区块链的建立可信通信链路的系统,其特征在于,所述安全通信建立单元具体包括:
通信密钥生成模块,用于在允许网关设备接入网关控制器时,获取网关控制器随机生成的通信密钥;
通信密钥发送模块,用于通过第一公钥将所述通信密钥加密之后发送至网关设备;
安全通信建立模块,用于在网关设备通过第一私钥将通信密钥解密之后,根据所述通信密钥进行网关设备和网关控制器之间的安全通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210694457.1A CN114785529B (zh) | 2022-06-20 | 2022-06-20 | 基于区块链的建立可信通信链路的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210694457.1A CN114785529B (zh) | 2022-06-20 | 2022-06-20 | 基于区块链的建立可信通信链路的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114785529A CN114785529A (zh) | 2022-07-22 |
CN114785529B true CN114785529B (zh) | 2022-10-04 |
Family
ID=82421782
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210694457.1A Active CN114785529B (zh) | 2022-06-20 | 2022-06-20 | 基于区块链的建立可信通信链路的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114785529B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109981582A (zh) * | 2019-02-26 | 2019-07-05 | 重庆邮电大学 | 一种基于区块链的物联网设备身份认证方法 |
CN110740038A (zh) * | 2018-07-18 | 2020-01-31 | 北京京东尚科信息技术有限公司 | 区块链及其通信方法、网关、通信系统和存储介质 |
WO2021036292A1 (zh) * | 2019-08-30 | 2021-03-04 | 华为技术有限公司 | 身份鉴别方法及装置 |
WO2022021193A1 (zh) * | 2020-07-30 | 2022-02-03 | 华为技术有限公司 | 密钥协商方法及装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6187251B2 (ja) * | 2013-12-27 | 2017-08-30 | 富士通株式会社 | データ通信方法、およびデータ通信装置 |
KR101838511B1 (ko) * | 2016-05-17 | 2018-03-14 | 현대자동차주식회사 | 암호화를 적용한 제어기 보안 방법 및 그 장치 |
CN110611563B (zh) * | 2018-06-15 | 2022-09-06 | 富泰华工业(深圳)有限公司 | 设备识别码配发方法、装置及物联网设备 |
FR3089730B1 (fr) * | 2018-12-06 | 2021-05-28 | Worldline | dispositif pour communiquer dans un réseau de passerelles heterogenes par réseau radio avec au moins un nœud et par un réseau longue distance, avec au moins un destinataire |
US11956367B2 (en) * | 2019-02-19 | 2024-04-09 | Bruno SANGLE-FERRIERE | Cryptographic method for verifying data |
CN110881048B (zh) * | 2019-12-16 | 2021-11-09 | 苏宁云计算有限公司 | 基于身份认证的安全通讯方法及装置 |
-
2022
- 2022-06-20 CN CN202210694457.1A patent/CN114785529B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110740038A (zh) * | 2018-07-18 | 2020-01-31 | 北京京东尚科信息技术有限公司 | 区块链及其通信方法、网关、通信系统和存储介质 |
CN109981582A (zh) * | 2019-02-26 | 2019-07-05 | 重庆邮电大学 | 一种基于区块链的物联网设备身份认证方法 |
WO2021036292A1 (zh) * | 2019-08-30 | 2021-03-04 | 华为技术有限公司 | 身份鉴别方法及装置 |
WO2022021193A1 (zh) * | 2020-07-30 | 2022-02-03 | 华为技术有限公司 | 密钥协商方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114785529A (zh) | 2022-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108768664B (zh) | 密钥管理方法、装置、系统、存储介质和计算机设备 | |
US9240889B2 (en) | Method and system for secure data access among two devices | |
KR101507291B1 (ko) | 인증 장치 | |
US9135430B2 (en) | Digital rights management system and method | |
CN109361669B (zh) | 通信设备的身份认证方法、装置和设备 | |
CN102843234B (zh) | 半导体装置以及将数据写入到半导体装置的方法 | |
CN109688133B (zh) | 一种基于免账号登录的通信方法 | |
US20080072066A1 (en) | Method and apparatus for authenticating applications to secure services | |
KR101536086B1 (ko) | 인증장치, 피인증장치, 및 인증 방법 | |
CN104620534A (zh) | 处理认证信息的装置及方法 | |
US20120096280A1 (en) | Secured storage device with two-stage symmetric-key algorithm | |
WO2021003977A1 (zh) | 违约信息查询方法、装置、计算机设备和存储介质 | |
CN109064596B (zh) | 密码管理方法、装置及电子设备 | |
CN103914662A (zh) | 一种基于分区的文件加密系统的访问控制方法和装置 | |
CN112653553B (zh) | 物联网设备身份管理系统 | |
CN112152802B (zh) | 数据加密方法、电子设备及计算机存储介质 | |
CN115514561A (zh) | 一种数据安全通信系统及方法 | |
CN110431803A (zh) | 基于身份信息管理加密密钥 | |
CN114785529B (zh) | 基于区块链的建立可信通信链路的方法和系统 | |
Suthar et al. | EncryScation: A novel framework for cloud iaas, daas security using encryption and obfuscation techniques | |
Jain et al. | A novel data logging framework to enhance security of cloud computing | |
CN114553557B (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
CN112291058A (zh) | 一种管理系统的通讯方法及管理系统 | |
CN113792272A (zh) | 密码库管控方法、装置、存储介质及电子设备 | |
KR100952300B1 (ko) | 저장매체의 안전한 데이터 관리를 위한 단말 장치, 메모리및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |