CN114826719B - 基于区块链的可信终端认证方法、系统、设备和存储介质 - Google Patents
基于区块链的可信终端认证方法、系统、设备和存储介质 Download PDFInfo
- Publication number
- CN114826719B CN114826719B CN202210412181.3A CN202210412181A CN114826719B CN 114826719 B CN114826719 B CN 114826719B CN 202210412181 A CN202210412181 A CN 202210412181A CN 114826719 B CN114826719 B CN 114826719B
- Authority
- CN
- China
- Prior art keywords
- internet
- terminal authentication
- trusted
- things
- authentication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012795 verification Methods 0.000 claims abstract description 44
- 238000004590 computer program Methods 0.000 claims description 15
- 230000006854 communication Effects 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000006855 networking Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 238000002407 reforming Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开实施例公开了一种基于区块链的可信终端认证方法、系统、设备和存储介质,涉及区块链领域,其中,方法包括:物联网设备将待上链数据发送至终端认证装置;终端认证装置对物联网设备进行身份验证,当验证通过时,对待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链;区块链对终端认证装置进行身份验证,当验证通过时,存储加密后的数据。通过对物联网设备和终端认证装置的身份验证,确保物联网设备的身份可信;通过终端认证装置对待上链数据进行加密处理,确保待上链数据的数据可信,实现了物联网设备的可信上链,提高了物联网设备接入区块链的安全性。
Description
技术领域
本公开涉及区块链技术,尤其是一种基于区块链的可信终端认证方法、系统、设备和存储介质。
背景技术
物联网设备的上链是指通过引入可信执行环境,并结合物联网设备的可识别的唯一身份标识,使得物联网设备在注册和部署时可以证明其在物理世界中的真实存在性,以此实现物联网设备的数据的可信上链,从而构建“区块链+物联网”的商业闭环。
目前,在传统的物联网设备接入区块链的过程中,更多聚焦在数据的隐私加密方面。通过改造传统物联网设备的安全模块,使其数据传输达到预设的安全标准,在物联网设备现有协议栈层次体系上,通过区块链系统的中间件叠加一层区块链客户端协议,才能实现传统物联网设备的上链过程。
发明内容
本公开实施例提供一种基于区块链的可信终端认证方法、系统、设备和存储介质。
本公开实施例的一个方面,提供一种基于区块链的可信终端认证方法,包括:物联网设备将待上链数据发送至终端认证装置;终端认证装置对物联网设备进行身份验证,当验证通过时,对待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链;区块链对终端认证装置进行身份验证,当验证通过时,存储加密后的数据。
在一些实施例中,终端认证装置中存有可信设备列表,可信设备列表中包括多个可信工业互联网标识,每个可信工业互联网标识对应一个预先认证过的可信物联网设备;终端认证装置通过如下方式对物联网设备进行身份验证:获取物联网设备的目标工业互联网标识;响应于确定可信设备列表中存在目标工业互联网标识,确定物联网设备通过验证。
在一些实施例中,终端认证装置中预存有工业互联网标识的认证算法;终端认证装置通过如下方式生成可信设备列表:当接收到待认证的物联网设备发送的认证请求时,获取待认证的物联网设备的工业互联网标识;利用认证算法对待认证的物联网设备的工业互联网标识进行认证;当待认证的物联网设备的工业互联网标识的认证结果满足预设条件时,将该工业互联网标识添加至可信设备列表中。
在一些实施例中,区块链通过如下方式对终端认证装置进行身份验证:响应于确定终端认证装置具有区块链赋予的分布式标识,确定终端认证装置通过验证。
在一些实施例中,方法还包括:确定可信设备列表与分布式标识的绑定关系,并将绑定关系存储在终端认证装置中。
在一些实施例中,存储加密后的数据包括:从终端认证装置中获取绑定关系和目标工业互联网标识;将绑定关系、目标工业互联网标识、分布式标识以及加密后的数据存入区块链的各节点。
在一些实施例中,终端认证装置中还预存有加密后的数字身份信息。
在一些实施例中,终端认证装置中还预存有数字货币信息;终端认证装置中设置有近场通信模块,用于接收交易请求;以及,当终端认证装置接收到交易请求时,基于预设的交易策略,与交易请求的发送方执行交易流程。
根据本公开实施例的又一个方面,提供一种基于区块链的可信终端认证系统,包括:物联网设备、终端认证装置和区块链,其中,物联网设备用于将待上链数据发送至终端认证装置;终端认证装置用于对物联网设备进行身份验证,当验证通过时,对待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链;区块链用于对终端认证装置进行身份验证,当验证通过时,存储加密后的数据。
根据本公开实施例的又一个方面,提供一种可信终端认证装置,用于实现上述任一实施例中的方法中对应的步骤,该终端认证装置内置有安全芯片,安全芯片中包括通信模块,用于与物联网设备和区块链进行通信;安全芯片还采用加密算法存储以下数据:用户私钥、数字身份信息、数字货币信息、数据加密算法、工业互联网标识的认证算法、可信设备列表、分布式标识以及可信设备列表与分布式标识的绑定关系。
根据本公开实施例的又一个方面,提供一种电子设备,包括:存储器,用于存储计算机程序产品;处理器,用于执行存储器中存储的计算机程序产品,且计算机程序产品被执行时,实现上述任一实施例中的方法。
根据本公开实施例的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时,实现上述任一实施例中的方法。
本公开的实施例提供的基于区块链的可信终端认证方法,首先由物联网设备将待上链数据发送至终端认证装置;然后由终端认证装置对物联网设备进行身份验证,当验证通过时,对待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链;最后由区块链对终端认证装置进行身份验证,当验证通过时,存储加密后的数据。通过对物联网设备和终端认证装置的身份验证,确保物联网设备的身份可信;通过终端认证装置对待上链数据进行加密处理,确保待上链数据的数据可信,实现了物联网设备的可信上链,提高了物联网设备接入区块链的安全性。
下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同描述一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1为本公开的基于区块链的可信终端认证所适用的一个场景示意图;
图2为本公开的基于区块链的可信终端认证方法的一个实施例的流程示意图;
图3为本公开的基于区块链的可信终端认证方法的又一个实施例的流程示意图;
图4为本公开的基于区块链的可信终端认证方法的一个实施例中生成可信设备列表的流程示意图;
图5为本公开的基于区块链的可信终端认证系统的架构示意图;
图6为本公开电子设备一个应用实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
本领域技术人员可以理解,本公开实施例中的“第一”、“第二”等术语仅用于区别不同步骤、设备或模块等,既不代表任何特定技术含义,也不表示它们之间的必然逻辑顺序。
还应理解,在本公开实施例中,“多个”可以指两个或两个以上,“至少一个”可以指一个、两个或两个以上。
还应理解,对于本公开实施例中提及的任一部件、数据或结构,在没有明确限定或者在前后文给出相反启示的情况下,一般可以理解为一个或多个。
另外,本公开中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本公开中字符“/”,一般表示前后关联对象是一种“或”的关系。
还应理解,本公开对各个实施例的描述着重强调各个实施例之间的不同之处,其相同或相似之处可以相互参考,为了简洁,不再一一赘述。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本公开实施例可以应用于终端设备、计算机系统、服务器等电子设备,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与终端设备、计算机系统、服务器等电子设备一起使用的众所周知的终端设备、计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
终端设备、计算机系统、服务器等电子设备可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
在实现本公开的过程中,发明人发现,相关技术中采用中间件开发改造物联网设备以实现物联网设备上链时,更多地聚焦数据的隐私加密,而缺乏对物联网设备的身份认证,导致物联网设备的上链过程存在安全隐患
下面结合图1对本公开的基于区块链的可信终端认证方法进行示例性说明,图1示出了本公开的基于区块链的可信终端认证方法所适用的一个场景示意图,如图1所示:当物联网设备110需要接入区块链120时,首先由物联网设备110将待上链数据发送至终端认证装置130。然后由终端认证装置130对物联网设备110进行身份验证,以确定物联网设备110在物理世界中的真实存在性。当物联网设备110通过终端认证装置130的身份验证时,由终端认证装置130对待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链120。之后,区块链120对终端认证装置130进行身份验证,当终端认证装置130通过时,区块链120存储加密后的数据,例如可以将加密后的数据存储至各个节点。
本公开的基于区块链的可信终端认证方法,通过对物联网设备和终端认证装置的双重身份验证,确保物联网设备的身份可信,通过终端认证装置对待上链数据进行加密处理,确保待上链数据的数据可信,实现了物联网设备的可信上链,提高了物联网设备接入区块链的安全性。
下面结合图2对本公开的基于区块链的可信终端认证方法,图2示出了本公开的基于区块链的可信终端认证方法的一个实施例的流程图,如图2所示,该流程包括步骤210至步骤230,下面对各个步骤进行示例性说明。
步骤210、物联网设备将待上链数据发送至终端认证装置。
物联网(Internet of Things,IoT)是指通过信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术,实时监控、连接、互动的物体,以采集其声、光、热、电、力学、化学、生物、位置等各种信息。通过各类网络接入,实现物与物、物与人的泛在连接,以及对物品和过程的智能化感知、识别和管理。物联网是一个基于互联网、传统电信网等的信息承载体,可以让所有能够被独立寻址的普通物理对象形成互联互通的网络。
在本实施例中的,物联网设备可以指接入物联网的设备,例如可以包括智能交通设备、智能家居设备等。
待上链数据表征物联网设备期望存储在区块链伤的数据,该数据可以是物联网设备自身产生的数据,也可以是物联网设备通过物联网获取的数据。
终端认证装置可以内置有安全芯片,安全芯片中可以加密存储有用户私钥,和身份验证算法,终端认证装置可以凭借用户私钥接入区块链,并利用预设的身份验证算法对物联网设备进行身份验证。作为示例,终端认证装置可以是数字钱包、数字网关等智能终端设备。
步骤220、终端认证装置对物联网设备进行身份验证,当验证通过时,对待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链。
在本实施例中,终端认证装置可以基于预设的身份验证算法对物联网设备进行身份验证,以确定物联网设备的安全性。通过对待上链数据进行加密处理,确保待上链数据的数据可信。
作为示例,终端认证装置中可以预存有预先经过安全认证的物联网设备的身份标识,然后通过对比预存的身份标识与待接入的物联网设备(即步骤210中待上链数据的发送发)的身份标识,若待接入的物联网设备的身份标识预先通过安全认证的身份标识,则验证通过,可以确定待接入的物联网设备为可信设备。之后,可以利用终端认证装置中预存的数据加密算法对待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链。作为示例,数据加密算法例如可以是于SM2、ECC256、RSA2048等。
在本实施例的一些可选的实施方式中,物联网设备可以采用工业互联网标识作为其身份标识,同时,终端认证装置中可以预存有经过安全认证的工业互联网标识。如此一来,终端认证装置通过对比预存的工业互联网标识与待接入的物联网设备的工业互联网标识,实现对待接入的物联网设备的身份验证。
工业互联网标识解析体系是工业互联网的基础系统,也是构建人-机-物全面互联的重要设施,其作用类似于互联网中可以查询网站地址、邮箱地址的域名系统。工业互联网标识解析体系主要由标识分配管理系统和标识解析系统组成,其中工业互联网标识是机器和物品的唯一身份标识,采取逐级分配的方式对工业互联网标识进行管理。标识解析系统利用工业互联网标识对机器和物品进行定位和信息查询。
步骤230、区块链对终端认证装置进行身份验证,当验证通过时,存储加密后的数据。
作为示例,终端认证装置中可以预存有用户私钥,并利用用户私钥对加密后的数据进行签名背书。然后,终端认证装置将签名后的数据发送至区块链,区块链可以利用预存的公钥对数据的签名信息进行验证,验证通过则表示终端认证装置为可信的接入装置,此时可以将加密后的数据存储至各个节点。
本公开的实施例提供的基于区块链的可信终端认证方法,首先由物联网设备将待上链数据发送至终端认证装置;然后由终端认证装置对物联网设备进行身份验证,当验证通过时,对待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链;最后由区块链对终端认证装置进行身份验证,当验证通过时,存储加密后的数据。通过对物联网设备和终端认证装置的身份验证,确保物联网设备的身份可信;通过终端认证装置对待上链数据进行加密处理,确保待上链数据的数据可信,实现了物联网设备的可信上链,可以提高物联网设备接入区块链的安全性。
接着参考图3,图3示出了本公开的基于区块链的可信终端认证方法的又一个实施例的流程图,如图3所示,该流程包括步骤310至步骤360,下面对各个步骤进行示例性说明。
步骤310、物联网设备将待上链数据发送至终端认证装置。
步骤320、获取物联网设备的目标工业互联网标识。
在本实施例中,终端认证装置中存有可信设备列表,可信设备列表中包括多个可信工业互联网标识,每个可信工业互联网标识对应一个预先认证过的可信物联网设备。
步骤330、响应于确定可信设备列表中存在目标工业互联网标识,确定物联网设备通过验证。
在本实施例中,一个终端认证装置可以同时管理多个认证过的物联网设备,如此一来,多个物联网设备可以通过一个终端认证装置实现数据的上链过程,可以避免多个物联网设备直接接入区块链时导致的信息冗余,从而降低了物联网设备的数量给区块链带来的负担。
步骤340、当验证通过时,对待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链。
在本实施例中,当物联网设备通过验证时,终端认证装置可以将对待上链数据加密,并建立目标工业互联网标识和加密后的数据的对应关系,然后将加密后的数据发送至待接入的区块链。
步骤350、响应于确定终端认证装置具有区块链赋予的分布式标识,确定终端认证装置通过验证。
分布式标识(Decentralized Identifier,DID)是一种全新的分布式数字身份,用于可验证的“自我主权”数字身份的新型标识符。分布式标识独立于任何集中注册表,身份提供者或证书颁发机构,具有全球唯一性、可解析性高、可加密、并且能够加密验证的特点。分布式标识通常与加密内容相关联,例如公钥和服务终端,用于建立安全的通信信道。受益于分布式标识的自分配、可加密验证的特点,分布式标识可以用于个人标识符、组织标识符或物联网标识符。例如,W3C(证书社区小组)大量使用分散式标识符来认证人员、组织和事物,并实现许多安全的隐私保护凭证。
在本实施例中,区块链可以为通过安全认证的终端认证装置赋予分布式标识,通过分布式标识对终端认证装置进行身份验证,可以提高验证效率。
作为示例,区块链可以按照前缀、加密算法类型、编码类型和编码信息的顺序组成终端认证装置的分布式标识。具体的,当区块链包括主链和从链时,可以由主链和子链分别生成终端认证装置的分布式标识,例如主链可以按照前缀、加密算法类型、编码类型和编码信息的顺序组成终端认证装置的分布式标识,而子链可以按照前缀、子链编号、加密算法类型、编码类型和编码信息的顺序组成终端认证装置的分布式标识。
作为示例,区块链可以首先获取终端认证装置的分布式标识,然后从该分布式标识中解析出分布式标识的前缀、加密算法类型、编码类型和编码信息,并与区块链预设的分布式标识的赋码规则进行对比,若该分布式标识与赋码规则完全匹配,则确定终端认证装置通过验证。
步骤360、当验证通过时,存储加密后的数据。
在本实施例中,区块链可以建立分布式标识与加密后的数据的对应关系,然后将该对应关系与加密后的数据一并存储在各节点。
图3所示的实施例体现了基于可信设备列表对物联网设备进行验证以及基于分布式标识对终端认证装置进行验证的步骤,区块链只需对终端认证装置赋予用于身份识别的分布式标识,然后由一个终端认证装置管理多个物联网设备,一方面可以提高物联网设备的上链效率和安全性;另一方面,与物联网设备直接接入区块链的方式相比,区块链需要验证和管理的设备数量较少,可以避免物联网设备数量过多给区块链带来额外的负担。
进一步结合图4,图4示出了本公开的基于区块链的可信终端认证方法的一个实施例中生成可信设备列表的流程图,如图4所示,该流程包括步骤410至步骤430,下面对各个步骤进行示例性说明。
步骤410、当接收到待认证的物联网设备发送的认证请求时,获取待认证的物联网设备的工业互联网标识。
步骤420、利用认证算法对待认证的物联网设备的工业互联网标识进行认证。
在本实施例中,终端认证装置中预存有工业互联网标识的认证算法。终端认证装置获取到待认证的物联网设备的工业互联网标识后,可以调用工业互联网标识的认证算法,从待认证的物联网设备的工业互联网标识中解析出存储设备信息的服务器地址,然后从服务器获取设备信息,并基于设备信息确定待认证的物联网设备的合法性和安全性。
步骤430、当待认证的物联网设备的工业互联网标识的认证结果满足预设条件时,将该工业互联网标识添加至可信设备列表中。
作为示例,预设条件可以表征区块链的上链标准,例如可以包括物联网设备的类型、位置、安全程度、合法性等等。
在图4所示的实施例中,终端认证装置可以基于预存的工业互联网标识的认证算法对物联网设备进行认证,以此确定物联网设备的合法性以及其在物理世界中的真实性,并将通过认证的物联网设备的工业物联表示添加至可信设备列表中。由终端认证装置对物联网设备进行安全认证,一方面可以进一步降低区块链的运算任务;另一方面,基于可信设备列表对待接入的物联网设备进行身份验证,可以提高效率。
在上述实施例的一些可选的实施方式中,该方法还包括:确定可信设备列表与分布式标识的绑定关系,并将绑定关系存储在终端认证装置中。
在本实施方式中,终端认证装置可以存储可信设备列表与分布式标识的绑定关系,以便于区块链从终端认证装置中调用该绑定关系,并根据该绑定关系对链上的物联网设备的数据进行管理。
进一步的,区块链可以采用如下方式存储加密后的数据:从终端认证装置中获取绑定关系和目标工业互联网标识;将绑定关系、目标工业互联网标识、分布式标识以及加密后的数据存入区块链的各节点。
在本实施方式中,区块链在存储加密后的数据时,可以同时存储可信设备列表与分布式标识的绑定关系、目标工业互联网标识、以及终端认证装置的分布式标识,便于对链上的物联网设备的数据进行管理,并提高链上的物联网设备的数据的可追溯性。
在上述实施例的一些可选的实施方式中,终端认证装置中还预存有加密后的数字身份信息。
本实施方式中的数字身份信息是指可以表征用户身份的加密数据,例如可以是数字身份证、电子驾照等。
目前,以数字钱包为代表的终端认证装置中仅用于存储用户私钥,使得终端认证装置的功能较为单一。
而本实施方式中的终端认证装置采用加密的方式存储数字身份信息,可以拓展终端认证装置的应用范围。
在上述实施例的一些可选的实施方式中,终端认证装置中还预存有数字货币信息;终端认证装置中设置有近场通信(Near Field Communication,NFC)模块,用于接收交易请求;以及,当终端认证装置接收到交易请求时,基于预设的交易策略,与交易请求的发送方执行交易流程。
在本实施方式中,数字货币信息可以表征真实货币的数字形式。
作为示例,终端认证装置可以是转载有数字钱包。当用户靠近NFC设备时,可以通过内置的近场通信模块接收NFC设备发送的交易请求,经用户确认之后,通过与NFC设备的信息交互,可以完成转账等交易流程。在此过程中,终端认证装置与NFC设备采用点对点的通信方式,无需第三方设备中专传输信号,且通信过程中的信号均经过了加密处理,因此,可以提高交易的安全性。并且,可以避免网络信号不佳或外部光线差等因素导致的交易失败。
进一步的,为了进一步提高交易流程的安全性和可靠性,终端认证装置可以在接收到NFC设备发送的交易请求时,关闭终端认证装置的网络通信模块,使得终端认证装置在离线状态完成交易流程。
接着参考图5,图5示出了本公开的基于区块链的数据交互系统的架构示意图,如图5所示,该系统包括:物联网设备510、终端认证装置520和区块链530,其中,物联网设备510用于将待上链数据发送至终端认证装置520;终端认证装置520用于对物联网设备510进行身份验证,当验证通过时,对待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链530;区块链530用于对终端认证装置520进行身份验证,当验证通过时,存储加密后的数据。
本公开的实施例还提供了一种终端认证装置,用于实现上述任一实施例中的方法,该终端认证装置内置有安全芯片,安全芯片中包括通信模块,用于与物联网设备和区块链进行通信;安全芯片还采用加密算法存储以下数据:用户私钥、数字身份信息、数字货币信息、数据加密算法、工业互联网标识的认证算法、可信设备列表、分布式标识以及可信设备列表与分布式标识的绑定关系。
另外,本公开实施例还提供了一种电子设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述存储器中存储的计算机程序,且所述计算机程序被执行时,实现本公开上述任一实施例所述的基于区块链的可信终端认证方法。
图6为本公开电子设备一个应用实施例的结构示意图。下面,参考图6来描述根据本公开实施例的电子设备。该电子设备可以是第一设备和第二设备中的任一个或两者、或与它们独立的单机设备,该单机设备可以与第一设备和第二设备进行通信,以从它们接收所采集到的输入信号。
如图6所示,电子设备包括一个或多个处理器和存储器。
处理器可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备中的其他组件以执行期望的功能。
存储器可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器可以运行所述程序指令,以实现上文所述的本公开的各个实施例的基于区块链的可信终端认证方法以及/或者其他期望的功能。
在一个示例中,电子设备还可以包括:输入装置和输出装置,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
此外,该输入设备还可以包括例如键盘、鼠标等等。
该输出装置可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出设备可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图6中仅示出了该电子设备中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备还可以包括任何其他适当的组件。
除了上述方法和设备以外,本公开的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述部分中描述的根据本公开各种实施例的基于区块链的可信终端认证方法中的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述部分中描述的根据本公开各种实施例的基于区块链的可信终端认证方法中的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
可能以许多方式来实现本公开的方法和装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
还需要指出的是,在本公开的装置、设备和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (10)
1.一种基于区块链的可信终端认证方法,其特征在于,包括:
物联网设备将待上链数据发送至终端认证装置;所述终端认证装置中存有可信设备列表和工业互联网标识的认证算法,所述可信设备列表中包括多个可信工业互联网标识,每个所述可信工业互联网标识对应一个预先认证过的可信物联网设备;
所述终端认证装置获取所述物联网设备的目标工业互联网标识;响应于确定所述可信设备列表中存在所述目标工业互联网标识,确定所述物联网设备通过验证;当验证通过时,对所述待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链;
所述区块链对所述终端认证装置进行身份验证,当验证通过时,存储所述加密后的数据;
所述终端认证装置通过如下方式生成所述可信设备列表:当接收到待认证的物联网设备发送的认证请求时,获取所述待认证的物联网设备的工业互联网标识;利用所述认证算法对所述待认证的物联网设备的工业互联网标识进行认证;当所述待认证的物联网设备的工业互联网标识的认证结果满足预设条件时,将该工业互联网标识添加至所述可信设备列表中。
2.根据权利要求1所述的方法,其特征在于,所述区块链通过如下方式对所述终端认证装置进行身份验证:
响应于确定所述终端认证装置具有所述区块链赋予的分布式标识,确定所述终端认证装置通过验证。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
确定所述可信设备列表与所述分布式标识的绑定关系,并将所述绑定关系存储在所述终端认证装置中。
4.根据权利要求3所述的方法,其特征在于,存储所述加密后的数据包括:
从所述终端认证装置中获取所述绑定关系和所述目标工业互联网标识;
将所述绑定关系、所述目标工业互联网标识、所述分布式标识以及所述加密后的数据存入所述区块链的各节点。
5.根据权利要求4所述的方法,其特征在于,所述终端认证装置中还预存有加密后的数字身份信息。
6.根据权利要求5所述的方法,其特征在于,所述终端认证装置中还预存有数字货币信息;
所述终端认证装置中设置有近场通信模块,用于接收交易请求;以及,
当所述终端认证装置接收到交易请求时,基于预设的交易策略,与所述交易请求的发送方执行交易流程。
7.一种基于区块链的可信终端认证系统,其特征在于,包括:物联网设备、终端认证装置和区块链,其中,
所述物联网设备用于将待上链数据发送至所述终端认证装置;所述终端认证装置中存有可信设备列表和工业互联网标识的认证算法,所述可信设备列表中包括多个可信工业互联网标识,每个所述可信工业互联网标识对应一个预先认证过的可信物联网设备;
所述终端认证装置用于获取所述物联网设备的目标工业互联网标识;响应于确定所述可信设备列表中存在所述目标工业互联网标识,确定所述物联网设备通过验证;当验证通过时,对所述待上链数据进行加密处理,并将加密后的数据发送至待接入的区块链;
所述区块链用于对所述终端认证装置进行身份验证,当验证通过时,存储所述加密后的数据;
所述终端认证装置通过如下方式生成所述可信设备列表:当接收到待认证的物联网设备发送的认证请求时,获取所述待认证的物联网设备的工业互联网标识;利用所述认证算法对所述待认证的物联网设备的工业互联网标识进行认证;当所述待认证的物联网设备的工业互联网标识的认证结果满足预设条件时,将该工业互联网标识添加至所述可信设备列表中。
8.一种终端认证装置,用于实现权利要求1至6任一所述的方法中对应的步骤,其特征在于,所述终端认证装置内置有安全芯片,所述安全芯片中设置有通信模块,用于与物联网设备和区块链进行通信;
所述安全芯片还采用加密算法存储以下数据:用户私钥、数字身份信息、数字货币信息、数据加密算法、工业互联网标识的认证算法、可信设备列表、分布式标识以及所述可信设备列表与所述分布式标识的绑定关系。
9.一种电子设备,其特征在于,包括:存储器,用于存储计算机程序产品;处理器,用于执行所述存储器中存储的计算机程序产品,且所述计算机程序产品被执行时,实现上述权利要求1-6任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该计算机程序指令被处理器执行时,实现上述权利要求1-6任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210412181.3A CN114826719B (zh) | 2022-04-19 | 2022-04-19 | 基于区块链的可信终端认证方法、系统、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210412181.3A CN114826719B (zh) | 2022-04-19 | 2022-04-19 | 基于区块链的可信终端认证方法、系统、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114826719A CN114826719A (zh) | 2022-07-29 |
| CN114826719B true CN114826719B (zh) | 2024-07-23 |
Family
ID=82505398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210412181.3A Active CN114826719B (zh) | 2022-04-19 | 2022-04-19 | 基于区块链的可信终端认证方法、系统、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114826719B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117749531A (zh) * | 2024-02-20 | 2024-03-22 | 中国信息通信研究院 | 基于工业互联网的数据平台管理方法、装置、设备和介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114095228A (zh) * | 2021-11-15 | 2022-02-25 | 南京南瑞信息通信科技有限公司 | 基于区块链和边缘计算的物联网数据安全存取方法、系统、装置及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109547200A (zh) * | 2018-11-21 | 2019-03-29 | 上海点融信息科技有限责任公司 | 区块链网络中的证书分配方法及相应的计算设备和介质 |
| EP4158925A1 (en) * | 2020-05-28 | 2023-04-05 | Lenovo (United States) Inc. A Corporation of Delaware | Apparatus and method of determing a grouped operation mode on a wireless network |
| CN112202715B (zh) * | 2020-08-31 | 2024-08-06 | 深圳艾贝链动科技有限公司 | 一种物联网与区块链可信交互的系统、方法及装置 |
| CN112865962B (zh) * | 2021-01-07 | 2022-12-02 | 杭州链城数字科技有限公司 | 一种基于区块链的分布式标识认证方法和装置、电子设备 |
| CN112800472B (zh) * | 2021-03-08 | 2022-03-01 | 国家工业信息安全发展研究中心 | 一种基于微服务架构工业互联网标识数据保护系统 |
| CN113743939A (zh) * | 2021-09-16 | 2021-12-03 | 中国银行股份有限公司 | 基于区块链的身份认证方法、装置及系统 |
| CN118055062A (zh) * | 2022-11-10 | 2024-05-17 | 中移(上海)信息通信科技有限公司 | 工业区块链网络的优化方法及装置、节点和存储介质 |
-
2022
- 2022-04-19 CN CN202210412181.3A patent/CN114826719B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114095228A (zh) * | 2021-11-15 | 2022-02-25 | 南京南瑞信息通信科技有限公司 | 基于区块链和边缘计算的物联网数据安全存取方法、系统、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114826719A (zh) | 2022-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10642969B2 (en) | Automating internet of things security provisioning | |
| US11431509B2 (en) | Bridging digital identity validation and verification with the FIDO authentication framework | |
| US9621355B1 (en) | Securely authorizing client applications on devices to hosted services | |
| CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
| US20090240936A1 (en) | System and method for storing client-side certificate credentials | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| TW201545526A (zh) | 安全校驗方法、裝置、伺服器及終端 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| Griffin | Telebiometric authentication objects | |
| MX2012011584A (es) | Localizacion de recursos de red para una entidad con base en su certificado digital. | |
| US20220261798A1 (en) | Computer-Implemented System and Method for Facilitating Transactions Associated with a Blockchain Using a Network Identifier for Participating Entities | |
| CN110798322B (zh) | 一种操作请求方法、装置、存储介质及处理器 | |
| CN114826719B (zh) | 基于区块链的可信终端认证方法、系统、设备和存储介质 | |
| WO2022033350A1 (zh) | 注册服务的方法及设备 | |
| RU2698424C1 (ru) | Способ управления авторизацией | |
| CN115982247B (zh) | 基于区块链的账户信息查询方法和装置、设备和介质 | |
| CN113965425B (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
| Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs | |
| KR20140116422A (ko) | 서버 애플리케이션을 인증 제공자와 통합하는 기법 | |
| CN111817860B (zh) | 一种通信认证方法、装置、设备及存储介质 | |
| Gimenez et al. | Securing an interoperability architecture for home and urban networking: implementation of the security aspects in the INREDIS interoperability architecture | |
| US20230155842A1 (en) | Method and apparatus for certifying an application-specific key and for requesting such certification | |
| CN115664700A (zh) | 数据加密方法及数据解密方法 | |
| KR20020042083A (ko) | 공개키 기반구조에서 개인키 이동과 로밍서비스를 위한이중암호화 및 송/수신방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |