CN115001707A - 基于区块链的设备认证方法和相关设备 - Google Patents
基于区块链的设备认证方法和相关设备 Download PDFInfo
- Publication number
- CN115001707A CN115001707A CN202210595896.7A CN202210595896A CN115001707A CN 115001707 A CN115001707 A CN 115001707A CN 202210595896 A CN202210595896 A CN 202210595896A CN 115001707 A CN115001707 A CN 115001707A
- Authority
- CN
- China
- Prior art keywords
- information
- product
- terminal device
- equipment
- attribute set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种基于区块链的设备认证方法。该方法包括:接收链下第一终端设备发送的产品标识解析请求,产品标识解析请求用于请求对产品进行目标操作,产品标识解析请求携带第一终端设备的设备识别号和产品的标识信息;响应于所述第一终端设备发送的产品标识解析请求,根据设备识别号在哈希表中确定与第一终端设备对应的目标属性集合,目标属性集合包括第一终端设备的权限信息和访问策略;根据目标属性集合认证第一终端设备是否满足对产品进行目标操作的权限;若是,则向第一终端设备发送授权令牌和产品对应的资源信息表,以使得第一终端设备根据资源信息表对产品进行目标操作。本申请提供的方案,能够提高数据认证的便捷性、高效性和数据安全性。
Description
技术领域
本申请涉及区块链技术领域,尤其涉及一种基于区块链的设备认证方法和相关设备。
背景技术
随着计算机和电子信息技术的快速兴起,物联网在生产生活中得到了广泛应用和发展,真正实现了万物互联。然而,物联网设备在采集数据源头时,仍存在诸多问题,包括:1.设备身份来源不明:物联网设备商对于设备身份管理水平参差不齐,业内尚无设备身份管理统一标准,在线下数据采集过程中,身份伪造或身份缺失,导致线下数据锚定的过程中数据来源无法追溯。2.用户身份可被伪造:不少物联网终端设备厂商无法提供用户身份核实能力单元,或者用户身份核实能力单一,故很多采集数据中用户身份缺失或用户身份易被伪造。3.环境信息单一匮乏:传统方式在记录环境数据时数据字段单一,业务上仅靠经纬度信息来辅助证明当前所处环境。而经纬度信息较易被伪造,作假成本低。4.数据易篡改易丢失:当前企业数据存储于中心化数据库中,通常数据易被篡改,母本丢失或篡改行为时有发生,业务上无法证明其完整性,真实性。5.供应链流通环节涉及的物联网终端设备数量多,数据采集的设备部署环境缺少人工监督,涉及到设备和传输数据的安全保护问题。而终端设备本身计算存储能力弱、设备结构异构多样等限制,无法在设备上运行复杂的授权认证访问控制策略,常采用集中式的第三方实体授权,设备的隐私、传输的数据、访问控制的请求等信息存储于集中式的第三方实体。这种集中式的授权会存在单点故障、数据泄露等风险。此外,由于供应链业务及其系统本身的复杂性,大量的物联网设备其属性会随时间发生变化,相应的网络中描述这些设备的数据信息(尤其是标识类数据)也需要不断更新,这将导致设备名字与物理地址的映射发生频繁变化,一旦信息更新不及时、不准确也会造成上链数据后期在分析挖掘和维护上的困难。
相关技术中,基于身份的认证系统,未针对物联网设备建立高效的认证授权体系和细粒度的访问权限控制机制,难实现标识关联数据的安全共享隐私保护,如何保障供应链数据采集的便捷性、高效性和数据安全性,仍面临新的技术挑战。
发明内容
为解决或部分解决相关技术中存在的问题,本申请提供一种基于区块链的设备认证方法和相关设备,能够提高数据认证的便捷性、高效性和数据安全性。
本申请第一方面提供一种基于区块链的设备认证方法,包括物联网终端设备向服务器端进行设备身份注册,服务器端根据物联网终端设备的身份标识、属性集合等信息,结合通讯协议涉及的信息,联合生成唯一的设备指纹ID;接收链下第一终端设备发送的产品标识解析请求,所述产品标识解析请求用于请求对产品进行目标操作,所述产品标识解析请求携带所述第一终端设备的设备识别号和所述产品的标识信息;响应于所述产品标识解析请求,根据所述第一终端设备的设备识别号在哈希表中确定与所述第一终端设备对应的目标属性集合,所述目标属性集合包括所述第一终端设备的权限信息和访问策略;根据所述目标属性集合认证所述第一终端设备是否满足对所述产品进行目标操作的权限;若是,则向所述第一终端设备发送授权令牌和所述产品对应的资源信息表,以使得所述第一终端设备根据所述资源信息表对所述产品进行目标操作。
可选的,所述根据所述第一终端设备的标识信息在哈希表中确定与所述第一终端设备对应的目标属性集之前,所述方法还包括:接收各终端设备发送的注册信息,所述注册信息包括所述各终端设备的身份标识信息和属性集信息;根据所述身份标识信息和所述属性集信息生成所述各终端设备对应的公私钥对,所述公私钥对包括公钥和私钥,其中,所述公钥用于表示所述各终端设备的设备识别号以完成注册,所述私钥用于进行数据解密;在星际文件系统中将所述各终端设备的设备识别号和属性集信息对应存储于哈希表中,并将对应生成的哈希摘要作为所述各终端设备的数据地址,以进行数据验证。
可选的,当所述第一终端设备的属性集信息发生变化时,所述方法还包括:接收所述第一终端设备发送的新注册信息,所述新注册信息包括所述第一终端设备的身份标识信息和变化后的属性集信息;根据所述第一终端设备的身份标识信息和变化后的属性集信息重新生成所述第一终端设备对应的公私钥对,并在所述星际文件系统中将所述第一终端设备的新设备识别号和所述变化后的属性集信息对应存储于所述哈希表中;在所述哈希表中删除所述第一终端设备的原设备识别号和原属性集信息。
可选的,所述区块链平台包括至少4个服务器节点。
可选的,若所述4个服务器节点中包括拜占庭节点,所述方法还包括:将数据库与各终端设备的属性集信息对应存储于服务器节点上,并根据所述数据库内容生成数据库摘要;将所述数据库摘要同步至所述各终端设备存储的区块头中,以使得所述各终端设备根据所述数据库摘要验证所述服务器返回的结果。
可选的,所述方法还包括:确定与事件相关的服务器节点集;获取所述服务器节点集中各服务器的信用评分;根据所述各服务器的信用评分确定设置所述各服务器的投票权重,以参与共识算法。
本申请第二方面提供一种基于区块链的认证系统,包括:收发模块,用于接收链下第一终端设备发送的产品标识解析请求,所述产品标识解析请求用于请求对产品进行目标操作,所述产品标识解析请求携带所述第一终端设备的设备识别号和所述产品的标识信息;智能合约权限认证模块,用于响应于所述产品标识解析请求,根据所述第一终端设备的设备识别号在哈希表中确定与所述第一终端设备对应的目标属性集合,所述目标属性集合包括所述第一终端设备的权限信息和访问策略;根据所述目标属性集合认证所述第一终端设备是否满足对所述产品进行目标操作的权限;所述收发模块还用于,若是,则向所述第一终端设备发送授权令牌和所述产品对应的资源信息表,以使得所述第一终端设备根据所述资源信息表对所述产品进行目标操作。
可选的,所述认证系统还包括:物联网设备注册模块,所述物联网设备注册模块具体用于接收各终端设备发送的注册信息,所述注册信息包括所述各终端设备的身份标识信息和属性集信息;根据所述身份标识信息和所述属性集信息生成所述各终端设备对应的公私钥对,所述公私钥对包括公钥和私钥,其中,所述公钥用于表示所述各终端设备的设备识别号以完成注册,所述私钥用于进行数据解密;在星际文件系统中将所述各终端设备的设备识别号和属性集信息对应存储于哈希表中,并将对应生成的哈希摘要作为所述各终端设备的数据地址,以进行数据验证。
本申请第三方面提供一种电子设备,包括:
处理器;以及
存储器,其上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如上所述的方法。
本申请第四方面提供一种计算机可读存储介质,其上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如上所述的方法。
本申请提供的技术方案可以包括以下有益效果:本申请基于区块链技术实现物联网设备的多授权中心的接入认证,结合工业互联网的标识解析技术,管理设备对产品标识关联的信息服务资源的访问权限,实现基于网关和设备属性的细粒度权限管理和访问控制,极大的降低了产品供应链数据的管理成本,同时可以解决传统中心化授权管理导致的单点故障,以及数据窃取或数据冗余所引发的管理困难等问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
通过结合附图对本申请示例性实施方式进行更详细地描述,本申请的上述以及其它目的、特征和优势将变得更加明显,其中,在本申请示例性实施方式中,相同的参考标号通常代表相同部件。
图1是本申请实施例示出的一种可能的基于区块链的设备认证方法的流程示意图;
图2a是本申请实施例示出的一种可能的产品编码标识图;
图2b是本申请实施例示出的一种可能的应用流程图;
图3是本申请实施例示出的认证系统的结构示意图;
图4是本申请实施例示出的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本申请的实施方式。虽然附图中显示了本申请的实施方式,然而应该理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本申请更加透彻和完整,并且能够将本申请的范围完整地传达给本领域的技术人员。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语“第一”、“第二”、“第三”等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
区块链是一个分布式的共享账本和数据库,具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等特点,能够为企业间创造信任奠定基础,提高供应链运营效率。
基于实际应用中,物联网在采集数据源头的不足,且考虑到区块链技术的不可篡改特性,本申请将区块链技术应用到物联网的数据处理过程中,对物联网数据的统一认证,旨在实现供应链上下游企业之间的协作及设备信息保护隐私条件下的互联互通,解决物理网设备异构,统一认证平台不互通的问题。
目前,基于区块链的防篡改特性实现数据安全可靠共享研究,主要是保证上链之后的数据安全不可篡改,但如何保证上链前的源头数据安全可信还值得研究。
因此,本申请基于区块链技术实现物联网设备的多授权中心的接入认证,结合工业互联网的标识解析技术,管理设备对产品标识关联的信息服务资源的访问权限,实现基于网关和设备属性的细粒度权限管理和访问控制,极大的降低了产品供应链数据的管理成本,同时可以解决传统中心化授权管理导致的单点故障,以及数据窃取或数据冗余所引发的管理困难等问题。
针对上述问题,本申请实施例提供一种基于区块链的设备认证方法,能够保障供应链数据采集的便捷性、高效性和数据安全性。
以下结合附图详细描述本申请实施例的技术方案。
图1是本申请实施例示出的基于区块链的设备认证方法的流程示意图。参见图1,包括以下步骤:
101、接收链下第一终端设备发送的产品标识解析请求;
相关技术中,基于工业互联网的产品标识解析技术架构,标识关联的元数据在标识解析数据库服务器中,该数据库服务器通常部署在云端,而标识关联的产品信息服务资源在企业节点。基于该架构,本申请设计基于区块链的多授权中心的物联网设备认证和数据管理架构,其中,区块链节点的主要类型包含二种:完全节点和边缘节点。完全节点由多个高性能的服务器组成,负责存储完整的区块信息,包括原始数据、数据包的数字摘要、提交交易节点的数字签名,设备身份和设备属性信息,参与共识算法等;边缘节点运行在终端设备上,存储区块头,参与物联网设备的接入验证,但不保存区块交易数据。只用于提交数据的访问请求,操作权限包括添加/更新和读取标识数据,包括数据上链(更新/添加)请求和读取数据,并且确保数据不被篡改和上链成功。需要说明的是,区块链节点既可以是存储整个数据库的服务器节点,也可以是通过向服务器节点发送查询和更新请求来使用该数据库的客户端节点。
区块链平台接收物联网设备中第一终端设备发送的产品标识解析请求,该产品标识解析请求用于请求对产品进行目标操作,产品标识解析请求携带第一终端设备的设备识别号和产品的标识信息,其中该目标操作包括对产品的信息进行查询或者修改等。
本申请中,区块链平台可包括以下几个模块:产品标识注册模块,用于根据产品标识在物联网对产品信息进行注册并存储;链上链下协同管理模块,用于对链上链下的设备之间的数据传输和交互进行管理;物联网设备注册模块,用于进行成员注册,根据设备的身份ID和属性集产生公钥地址进行注册;通过星际文件系统((InterPlanetary FileSystem,IPFS),将物联网的终端设备身份及属性原始存储于哈希表中,且将哈希摘要作为数据地址,使得终端设备间可以进行数据验证。智能合约权限认证模块,用于授予终端设备验证更新或查询是否正确执行的能力,表示数据库与物联网设备的身份属性信息一起存储在服务器全节点上。
因此,第一终端设备为接入物联网,需通过物联网设备注册模块进行注册,具体地,接收第一终端设备发送的注册信息,该注册信息包括第一终端设备的身份标识信息和目标属性集合信息;根据身份标识信息和目标属性集合信息生成第一终端设备对应的第一公私钥对,该第一公私钥对包括第一公钥和第一私钥,其中,第一公钥用于表示第一终端设备的设备识别号以完成注册,第一私钥用于进行数据解密,其中物联网可以通过椭圆曲线加密算法对各物联网设备如第一终端设备生成公私钥对,所谓椭圆曲线加密法是一种公钥加密技术,以椭圆曲线理论为基础,利用椭圆曲线等式的性质来产生秘钥,在创建秘钥时可做到更快、更小,并且更有效,具体加密方式本申请不再赘述。在生成公私钥对后,利用生成的公私钥对来对物联网设备的信息进行加密,将设备指纹和形成的物联网设备的公私钥对在区块链中上链;在IPFS系统中将该第一终端设备的设备识别号和属性集信息对应存储于哈希表中,并将对应生成的哈希摘要作为该第一终端设备的数据地址,以进行数据验证。
102、响应于产品标识解析请求,根据第一终端设备的设备识别号在哈希表中确定与第一终端设备对应的目标属性集合;
在接收到该产品标识解析请求,且在确定第一终端设备为物联网中的已注册设备后,根据第一终端设备的设备识别号在哈希表中确定与第一终端设备对应的目标属性集合,其中,目标属性集合包括第一终端设备的权限信息和访问策略。实际应用中,设备识别号可以为设备指纹ID识别号,虹膜ID识别号或者设备专属码识别号等,具体此处不做限定。其中该设备识别号的生成方式具体可以为:物联网终端设备向服务器端进行设备身份注册,服务器端根据物联网终端设备的身份标识、属性等信息,结合通讯协议涉及的信息,联合生成唯一的设备指纹ID识别号。
需要说明的是,各终端设备的属性集合信息可通过智能合约权限认证模块部署访问策略,基于网关的控制,以及产品标识与设备对应的属性对比,对设备进行授权,形成基于属性的访问策略。
例如,设置第一终端设备可访问的产品标识、地区、操作权限如下:{88.120.2/8349847:{88.120.3/*,Shanghai|Guangdong,update|query;88.120.4/*,*,query};
其中,88.120.2表示企业节点编号/企业前缀,8349847表示产品标识码,88.120.3/*表示可访问的产品标识集合,Shanghai|Guangdong表示地区集合,update|query表示操作集合,其它也类似。
可选的,实际应用中,存在第一终端设备的目标属性集合发生变化的情况,例如访问策略中从允许访问上海的数据变更为允许访问北京的数据,基于此,本申请中,接收第一终端设备发送的新注册信息,该新注册信息包括该第一终端设备的身份标识信息和变化后的属性集信息;根据该第一终端设备的身份标识信息和变化后的属性集信息重新生成该第一终端设备对应的公私钥对,并在该星际文件系统中将该第一终端设备的新设备识别号和该变化后的属性集信息对应存储于该哈希表中;在该哈希表中删除该第一终端设备的原设备识别号和原属性集信息。
需要说明的是,服务器全节点存储全量数据,包括区块头和区块体,服务器节点可基于链外云服务器存储原始数据,终端设备轻节点只存储区块头,区块头存储由设备身份和属性集生成的哈希摘要。
可选的,为实现拜占庭容错,本申请中,该区块链平台可包括至少4个服务器节点,实现一个拜占庭服务器容错。
103、根据目标属性集合认证第一终端设备是否满足对产品进行目标操作的权限;
在确定了目标属性集合后,判断该第一终端是否满足对产品进行目标操作的的权限。需要说明的是,针对该产品编码标识对应的产品的访问策略,可由数据提供者即注册工业互联网标识数据的组织设置,并通过智能合约进行权限控制,比如企业节点为88.120.2的企业注册了产品标识码8349847,可以由主体企业前缀为88.120.3的客户端(终端设备)在上海、广东地区进行更新和查询标识数据操作,以及可以由主体企业前缀为88.120.3的客户端(终端设备)在上海、广东地区进行更新和查询操作。为便于理解,产品编码标识可包括{网关编号/产品编号.批次编号.单品编号},具体请参阅图2,为本申请提供的一种可能的产品编码标识图。
可选的,为了提高本申请实施例中区块链的共识算法的效率,可以确定与事件相关的服务器节点集;获取服务器节点集中各服务器的信用评分;根据所述各服务器的信用评分确定设置所述各服务器的投票权重,以参与共识算法。即不用全部节点参与共识,根据业务特点,由利益相关方以及角色权限来参与共识,提高共识效率。
104、若是,则向该第一终端设备发送授权令牌和该产品对应的资源信息表。
若确定第一终端设备满足对产品进行目标操作的权限,则基于产品的标识信息,如产品标识编码,关联多种信息服务资源,解析出资源信息表。并向第一终端设备发送授权令牌和产品对应的资源信息表,即全部物联网终端设备参与认证时,如果请求访问的终端设备满足上述属性条件,则授权令牌,并返回标识数据,该标识描述数据中包括标识相关的产品的资源信息表,该资源信息表可以包括产品的服务资源链接,比如追溯地址、电子说明书访问地址以及流通/零售店信息服务地址等。
可选的,本申请中,还可对标识的资源记录进行设计,包括身份验证、设置标识的各属性值的访问、角色设置,可操作性设置(添加/更新/读取)。
需要说明的是,若确定第一终端设备不满足对产品进行目标操作的权限,则向第一终端设备发送提示信息,提示该第一终端设备无权限对产品进行目标操作。
另外,本申请中,若服务器全节点中包括拜占庭服务器,还可以授予终端设备验证更新或查询是否正确执行的能力,将数据库与各终端设备的属性集信息对应存储于服务器节点上,并根据该数据库内容生成数据库摘要;将该数据库摘要同步至该各终端设备存储的区块头中,以使得该各终端设备根据该数据库摘要验证该服务器返回的结果。具体地,由于服务器全节点和终端设备轻节点在一个去中心化的区块链网络下进行同步。每个服务器全节点都是一个完整的区块链节点,它存储整个数据库和区块链块,而每个客户端轻节点只存储块头。最新的区块头包含当前数据库内容的摘要,客户端能够访问这些内容以进行内容验证。可选的,区块头包含服务器端构造的对最新查询结果的可验证的数据结构,以便能够进行查询结果的完整性证明。具体地,当服务器全节点中存在拜占庭节点,终端设备轻节点可以向服务器全节点发起对返回的查询结果的数据完整性证明。服务器全节点通过构造一个轻量级的验证数据结构(authenticated data structures,ADS)向终端设备提供验证的查询和更新,需向终端设备轻节点返回查询结果以及对结果的证明,使得终端设备轻节点通过ADS能够验证查询结果。
为便于更好的理解本方案,请参阅图2b,为本申请提供的一种可能的具体应用流程图,具体包括:终端设备为接入物联网,需向区块链平台即本申请中的基于区块链的标识解析系统发送注册信息以请求注册,该注册信息包括终端设备的身份标识信息和属性集合信息,如设备指纹身份和设备的属性集合等信息,标识解析系统在接收到该注册信息后,将设备指纹和形成的物联网设备(也可成为轻节点)的公私钥对在区块链中上链;在IPFS系统中将该终端设备的设备识别号和属性集信息对应存储于哈希表中,并将对应生成的哈希摘要作为该终端设备的数据地址,发送给该终端设备,需要说明的是,区块链节点包括存储整个数据库的服务器节点和终端设备轻节点,该服务器节点包括区块头和区块体,可基于链外云服务器存储原始数据,而终端设备轻节点仅存储区块头,该区块头存储由设备身份和属性集信息生成的哈希摘要,因此在终端设备注册成功后,标识解析系统向终端设备返回认证信息和存储有哈希摘要的区块头。当终端设备向标识解析系统也可称作网关,发送解析请求以请求资源目录时,标识解析系统确定终端设备为物联网中的已注册设备后,且根据终端设备的设备识别号在哈希表中确定与终端设备对应的目标属性集合,目标属性集合包括终端设备的权限信息和访问策略,若终端设备满足对产品进行目标操作的权限,则向终端设备发送资源解析目录和授权令牌。可选的,若全服务器中存在拜占庭服务器,则终端设备还可以异步验证返回的解析数据,以进行完整性证明。终端设备收到资源解析目录后,通过该资源解析目录解析出产品的资源信息表,该资源信息表中包括产品的服务资源链接,以链接到基于区块链的信息服务资源系统,其中,该信息服务资源系统包括多个用于记录各企业的访问记录控制日志的区块,即通过数据访问授权接口,与各企业的信息资源数据库连接,以使得各区块存储各企业的访问记录控制日志。信息服务资源系统在接收到终端设备的资源访问请求后,向终端设备返回其所需要的信息服务资源数据。
综上,本申请实施例中,第一终端设备发起注册请求,生成第一终端设备的公私钥对;由授权中心设置该第一终端设备的权限,智能合约权限认证模块设置产品对应的产品信息的访问权限,使得服务器按照第一终端设备的属性确定该第一终端设备是否能够进行目标操作,该目标操作可包括添加/读取/更新标识等,若确定具备该权限后,获取网关数据,以及令牌,进而访问信息资源的链接。部署智能合约,设置基于属性的访问策略,即根据产品标识和设备的属性细粒度控制,提高了数据认证的便捷性、高效性和数据安全性。且为防止数据爆炸,本申请精简状态数据库,链上链下结合,类似内容寻址技术。为防止数据丢失,链下数据库之间进行数据同步,分布式存储;并且区块链上存储标识关联的信息服务资源入口列表。
与前述应用功能实现方法实施例相对应,本申请还提供了一种基于区块链的认证系统、电子设备及相应的实施例。
图3是本申请实施例示出的认证系统的结构示意图。
参见图3,该认证系统300具体包括:
收发模块301,用于接收链下第一终端设备发送的产品标识解析请求,所述产品标识解析请求用于请求对产品进行目标操作,所述产品标识解析请求携带所述第一终端设备的设备识别号和所述产品的标识信息;
智能合约权限认证模块302,用于响应于所述产品标识解析请求,根据所述第一终端设备的设备识别号在哈希表中确定与所述第一终端设备对应的目标属性集合,所述目标属性集合包括所述第一终端设备的权限信息和访问策略;根据所述目标属性集合认证所述第一终端设备是否满足对所述产品进行目标操作的权限;
所述收发模块301还用于,若是,则向所述第一终端设备发送授权令牌和所述产品对应的资源信息表,以使得所述第一终端设备根据所述资源信息表对所述产品进行目标操作。
可选的,该认证系统300还包括:物联网设备注册模块303,该物联网设备注册模块303具体用于接收各终端设备发送的注册信息,该注册信息包括该各终端设备的身份标识信息和属性集信息;根据该身份标识信息和该属性集信息生成该各终端设备对应的公私钥对,该公私钥对包括公钥和私钥,其中,该公钥用于表示该各终端设备的设备识别号以完成注册,该私钥用于进行数据解密;在星际文件系统中将该各终端设备的设备识别号和属性集信息对应存储于哈希表中,并将对应生成的哈希摘要作为该各终端设备的数据地址,以进行数据验证。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不再做详细阐述说明。
图4是本申请实施例示出的电子设备的结构示意图。
参见图4,电子设备400包括存储器410和处理器420。
处理器420可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器410可以包括各种类型的存储单元,例如系统内存、只读存储器(ROM)和永久存储装置。其中,ROM可以存储处理器420或者计算机的其他模块需要的静态数据或者指令。永久存储装置可以是可读写的存储装置。永久存储装置可以是即使计算机断电后也不会失去存储的指令和数据的非易失性存储设备。在一些实施方式中,永久性存储装置采用大容量存储装置(例如磁或光盘、闪存)作为永久存储装置。另外一些实施方式中,永久性存储装置可以是可移除的存储设备(例如软盘、光驱)。系统内存可以是可读写存储设备或者易失性可读写存储设备,例如动态随机访问内存。系统内存可以存储一些或者所有处理器在运行时需要的指令和数据。此外,存储器410可以包括任意计算机可读存储媒介的组合,包括各种类型的半导体存储芯片(例如DRAM,SRAM,SDRAM,闪存,可编程只读存储器),磁盘和/或光盘也可以采用。在一些实施方式中,存储器410可以包括可读和/或写的可移除的存储设备,例如激光唱片(CD)、只读数字多功能光盘(例如DVD-ROM,双层DVD-ROM)、只读蓝光光盘、超密度光盘、闪存卡(例如SD卡、min SD卡、Micro-SD卡等)、磁性软盘等。计算机可读存储媒介不包含载波和通过无线或有线传输的瞬间电子信号。
存储器410上存储有可执行代码,当可执行代码被处理器420处理时,可以使处理器420执行上文述及的方法中的部分或全部。
此外,根据本申请的方法还可以实现为一种计算机程序或计算机程序产品,该计算机程序或计算机程序产品包括用于执行本申请的上述方法中部分或全部步骤的计算机程序代码指令。
或者,本申请还可以实施为一种计算机可读存储介质(或非暂时性机器可读存储介质或机器可读存储介质),其上存储有可执行代码(或计算机程序或计算机指令代码),当可执行代码(或计算机程序或计算机指令代码)被电子设备(或服务器等)的处理器执行时,使处理器执行根据本申请的上述方法的各个步骤的部分或全部。
以上已经描述了本申请的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其他普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种基于区块链的设备认证方法,其特征在于:
接收链下第一终端设备发送的产品标识解析请求,所述产品标识解析请求用于请求对产品进行目标操作,所述产品标识解析请求携带所述第一终端设备的设备识别号和所述产品的标识信息;
响应于所述产品标识解析请求,根据所述第一终端设备的设备识别号在哈希表中确定与所述第一终端设备对应的目标属性集合,所述目标属性集合包括所述第一终端设备的权限信息和访问策略;
根据所述目标属性集合认证所述第一终端设备是否满足对所述产品进行目标操作的权限;
若是,则向所述第一终端设备发送授权令牌和所述产品对应的资源信息表,以使得所述第一终端设备根据所述资源信息表对所述产品进行目标操作。
2.根据权利要求1所述的设备认证方法,其特征在于,所述根据所述第一终端设备的标识信息在哈希表中确定与所述第一终端设备对应的目标属性集之前,所述方法还包括:
接收各终端设备发送的注册信息,所述注册信息包括所述各终端设备的身份标识信息和属性集信息;
根据所述身份标识信息和所述属性集信息生成所述各终端设备对应的公私钥对,所述公私钥对包括公钥和私钥,其中,所述公钥用于表示所述各终端设备的设备识别号以完成注册,所述私钥用于进行数据解密;
在星际文件系统中将所述各终端设备的设备识别号和属性集信息对应存储于哈希表中,并将对应生成的哈希摘要作为所述各终端设备的数据地址,以进行数据验证。
3.根据权利要求2所述的设备认证方法,其特征在于,当所述第一终端设备的属性集信息发生变化时,所述方法还包括:
接收所述第一终端设备发送的新注册信息,所述新注册信息包括所述第一终端设备的身份标识信息和变化后的属性集信息;
根据所述第一终端设备的身份标识信息和变化后的属性集信息重新生成所述第一终端设备对应的公私钥对,并在所述星际文件系统中将所述第一终端设备的新设备识别号和所述变化后的属性集信息对应存储于所述哈希表中;
在所述哈希表中删除所述第一终端设备的原设备识别号和原属性集信息。
4.根据权利要求2所述的方法,其特征在于,所述区块链平台包括至少4个服务器节点。
5.根据权利要求4所述的方法,其特征在于,若所述4个服务器节点中包括拜占庭节点,所述方法还包括:
将数据库与各终端设备的属性集信息对应存储于服务器节点上,并根据所述数据库内容生成数据库摘要;
将所述数据库摘要同步至所述各终端设备存储的区块头中,以使得所述各终端设备根据所述数据库摘要验证所述服务器返回的结果。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定与事件相关的服务器节点集;
获取所述服务器节点集中各服务器的信用评分;
根据所述各服务器的信用评分确定设置所述各服务器的投票权重,以参与共识算法。
7.一种基于区块链的认证系统,其特征在于,包括:
收发模块,用于接收链下第一终端设备发送的产品标识解析请求,所述产品标识解析请求用于请求对产品进行目标操作,所述产品标识解析请求携带所述第一终端设备的设备识别号和所述产品的标识信息;
智能合约权限认证模块,用于响应于所述产品标识解析请求,根据所述第一终端设备的设备识别号在哈希表中确定与所述第一终端设备对应的目标属性集合,所述目标属性集合包括所述第一终端设备的权限信息和访问策略;根据所述目标属性集合认证所述第一终端设备是否满足对所述产品进行目标操作的权限;
所述收发模块还用于,若是,则向所述第一终端设备发送授权令牌和所述产品对应的资源信息表,以使得所述第一终端设备根据所述资源信息表对所述产品进行目标操作。
8.根据权利要求7所述的认证系统,其特征在于,所述认证系统还包括:物联网设备注册模块,
所述物联网设备注册模块具体用于接收各终端设备发送的注册信息,所述注册信息包括所述各终端设备的身份标识信息和属性集信息;根据所述身份标识信息和所述属性集信息生成所述各终端设备对应的公私钥对,所述公私钥对包括公钥和私钥,其中,所述公钥用于表示所述各终端设备的设备识别号以完成注册,所述私钥用于进行数据解密;在星际文件系统中将所述各终端设备的设备识别号和属性集信息对应存储于哈希表中,并将对应生成的哈希摘要作为所述各终端设备的数据地址,以进行数据验证。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,其上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求1-6中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210595896.7A CN115001707B (zh) | 2022-05-27 | 2022-05-27 | 基于区块链的设备认证方法和相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210595896.7A CN115001707B (zh) | 2022-05-27 | 2022-05-27 | 基于区块链的设备认证方法和相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115001707A true CN115001707A (zh) | 2022-09-02 |
| CN115001707B CN115001707B (zh) | 2023-06-27 |
Family
ID=83030030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210595896.7A Active CN115001707B (zh) | 2022-05-27 | 2022-05-27 | 基于区块链的设备认证方法和相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115001707B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117744158A (zh) * | 2024-02-19 | 2024-03-22 | 中国信息通信研究院 | 基于工业互联网标识的访问方法和装置、设备和介质 |
| CN117744158B (zh) * | 2024-02-19 | 2024-05-31 | 中国信息通信研究院 | 基于工业互联网标识的访问方法和装置、设备和介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833081A (zh) * | 2018-06-22 | 2018-11-16 | 中国人民解放军国防科技大学 | 一种基于区块链的设备组网认证方法 |
| CN109492380A (zh) * | 2019-01-11 | 2019-03-19 | 四川虹微技术有限公司 | 一种设备认证方法、装置及区块链节点 |
| CN110569658A (zh) * | 2019-09-12 | 2019-12-13 | 腾讯科技(深圳)有限公司 | 基于区块链网络的用户信息处理方法、装置、电子设备及存储介质 |
| CN111949953A (zh) * | 2020-06-23 | 2020-11-17 | 卓尔智联(武汉)研究院有限公司 | 基于区块链的身份认证方法、系统、装置和计算机设备 |
| US20210319132A1 (en) * | 2018-09-03 | 2021-10-14 | VeChain Global Technology, S.AR.L | Methods and Devices For Managing User Identity Authentication Data |
| CN114286342A (zh) * | 2021-12-20 | 2022-04-05 | 中国电信股份有限公司 | 认证方法、系统、电子设备和计算机可读存储介质 |
-
2022
- 2022-05-27 CN CN202210595896.7A patent/CN115001707B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833081A (zh) * | 2018-06-22 | 2018-11-16 | 中国人民解放军国防科技大学 | 一种基于区块链的设备组网认证方法 |
| US20210319132A1 (en) * | 2018-09-03 | 2021-10-14 | VeChain Global Technology, S.AR.L | Methods and Devices For Managing User Identity Authentication Data |
| CN109492380A (zh) * | 2019-01-11 | 2019-03-19 | 四川虹微技术有限公司 | 一种设备认证方法、装置及区块链节点 |
| CN110569658A (zh) * | 2019-09-12 | 2019-12-13 | 腾讯科技(深圳)有限公司 | 基于区块链网络的用户信息处理方法、装置、电子设备及存储介质 |
| CN111949953A (zh) * | 2020-06-23 | 2020-11-17 | 卓尔智联(武汉)研究院有限公司 | 基于区块链的身份认证方法、系统、装置和计算机设备 |
| CN114286342A (zh) * | 2021-12-20 | 2022-04-05 | 中国电信股份有限公司 | 认证方法、系统、电子设备和计算机可读存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| CHINA UNICOM: "S6-200696 \"Discussion on New SID:Study on Blockchain in Application Layer support Verticals over 5G Network\"", 3GPP TSG_SA\\WG6_MISSIONCRITICAL, no. 6 * |
| 周艺华;李洪明;: "基于区块链的数据管理方案", 信息安全研究, no. 01 * |
| 王乃洲;金连文;高兵;金晓峰;: "基于区块链技术的身份认证与存储方法研究", 现代信息科技, no. 08 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117744158A (zh) * | 2024-02-19 | 2024-03-22 | 中国信息通信研究院 | 基于工业互联网标识的访问方法和装置、设备和介质 |
| CN117744158B (zh) * | 2024-02-19 | 2024-05-31 | 中国信息通信研究院 | 基于工业互联网标识的访问方法和装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115001707B (zh) | 2023-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535872B (zh) | 在区块链网络中处理数据请求的方法和装置 | |
| AU2019204708B2 (en) | Retrieving public data for blockchain networks using highly available trusted execution environments | |
| CN109327528B (zh) | 一种基于区块链的节点管理方法和装置 | |
| CN108737370B (zh) | 一种基于区块链的物联网跨域认证系统及方法 | |
| CN111461723B (zh) | 基于区块链的数据处理系统及方法、装置 | |
| US7308502B2 (en) | Method and architecture to provide client session failover | |
| AU2020414467B2 (en) | Partially-ordered blockchain | |
| CN112311735A (zh) | 可信认证方法,网络设备、系统及存储介质 | |
| CN113328997B (zh) | 联盟链跨链系统及方法 | |
| CN110471982B (zh) | 基于区块链的数据处理方法和装置 | |
| Gerrits et al. | A true decentralized implementation based on iot and blockchain: a vehicle accident use case | |
| KR20220160100A (ko) | 크로스-네트워크 id 프러비저닝 | |
| US20220329411A1 (en) | Blockchain processing offload to network device | |
| CN113612770A (zh) | 一种跨域安全交互方法、系统、终端以及存储介质 | |
| CN110543526B (zh) | 一种基于区块链的优化储存方法及系统 | |
| CN112350863B (zh) | 一种基于交易的去中心化访问控制方法和系统 | |
| He et al. | SDFS: a scalable data feed service for smart contracts | |
| WO2023071554A1 (zh) | 基于区块链网络的数据处理方法、装置、设备和存储介质 | |
| WO2023019903A1 (zh) | 跨链交易系统、方法、设备及存储介质 | |
| CN115001707B (zh) | 基于区块链的设备认证方法和相关设备 | |
| Xiong et al. | BDIM: A Blockchain-Based Decentralized Identity Management Scheme for Large Scale Internet of Things | |
| CN112104607B (zh) | 跨链通信的方法、装置、网络节点和存储介质 | |
| Noor et al. | Secure and transparent public-key management system for vehicular social networks | |
| KR102343461B1 (ko) | 스마트 컨트랙트의 외부 IoT 데이터 공급 방법 및 이를 위한 오라클 시스템 | |
| CN116760632B (zh) | 数据处理方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |