CN115277026A - 一种基于区块链的物联网网关控制方法及装置、介质 - Google Patents
一种基于区块链的物联网网关控制方法及装置、介质 Download PDFInfo
- Publication number
- CN115277026A CN115277026A CN202211169380.2A CN202211169380A CN115277026A CN 115277026 A CN115277026 A CN 115277026A CN 202211169380 A CN202211169380 A CN 202211169380A CN 115277026 A CN115277026 A CN 115277026A
- Authority
- CN
- China
- Prior art keywords
- information
- terminal equipment
- gateway
- internet
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000004891 communication Methods 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims description 11
- 238000005538 encapsulation Methods 0.000 claims description 8
- 230000006855 networking Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 15
- 238000004364 calculation method Methods 0.000 description 18
- 238000007726 management method Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000012795 verification Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000012790 confirmation Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 239000000779 smoke Substances 0.000 description 2
- 239000000344 soap Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 238000004134 energy conservation Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于区块链的物联网网关控制方法及装置、介质,基于区块链的物联网网关控制方法包括:当终端设备首次接入第一系统时,第一系统获取终端设备的第一信息;第一系统获取第一信息后,将第一信息发送至第二系统,第二系统对应生成第二信息,并将第二信息传送至第三系统;当终端设备需要进行信息操作时,第一系统从第三系统获取终端设备的第一信息,并通过第二系统判断终端设备是否合法;若判断合法,则第一系统提供终端设备进行信息操作;其中,信息操作包括不同网络间的通信和数据开放共享。本发明实施例解决了资源受限的物联网终端接入与数据传输的安全问题。
Description
技术领域
本发明涉及物联网领域,具体而言,涉及一种基于区块链的物联网网关控制方法及装置、设备和介质。
背景技术
近年来随着信息技术的发展,物联网已广泛应用于智能家居、智能交通、智慧医疗等各个领域,推动着人—机—物的全面互联与融合。但是迄今为止,安全问题仍然是物联网大规模采用和部署的主要障碍,其问题主要表现在以下几个方面:物联网终端设备为了实现智能化,集成越来越多的传感器,由此产生大量的数据,伴随而来的是数据泄露等安全问题;由于大多数物联网设备是无线接入与无线通信的,这使得系统更容易受到身份欺骗、消息窃听、消息篡改等攻击;物联网设备在能量、内存和处理能力等方面资源有限,这限制目前许多成熟有效的加密算法在物联网中的应用。
发明内容
因此,本发明实施例提供一种基于区块链的物联网网关控制方法及装置、设备和介质,解决了资源受限的物联网终端接入与数据传输的安全问题。
为解决上述问题,本发明提供一种基于区块链的物联网网关控制方法,基于区块链的物联网网关控制方法包括:当终端设备首次接入第一系统时,第一系统获取终端设备的第一信息;第一系统获取第一信息后,将第一信息发送至第二系统,第二系统对应生成第二信息,并将第二信息传送至第三系统;当终端设备需要进行信息操作时,第一系统从第三系统获取终端设备的第一信息,并通过第二系统判断终端设备是否合法;若判断合法,则第一系统提供终端设备进行信息操作;其中,信息操作包括不同网络间的通信和数据开放共享。
与现有技术相比,采用该技术方案所达到的技术效果:通过对接入的终端设备进行记录设备的信息,以及将设备的信息进行收集发送到不同的系统中进行保存,同时再终端设备需要进行操作时,会对终端设备进行验证,保证接入设备需要进行操作时是合法的,使数据的安全得到保障,同时由于首次接入系统时,终端设备都会被获取信息并储存,使终端设备的信息被记录,使其无法进行危害物联网安全的操作,如果进行了不安全的操作,也能通过被记录的信息来进行溯源,使物联网的数据安全和终端接入的安全得到保障,同时通过认证的设备能通过多个系统之间的配合来实现安全的信息传输和操作,提高了数据传输时的安全性。
在本发明的一个实例中,当终端设备首次接入第一系统时,第一系统获取终端设备的第一信息,还包括:第一系统对终端设备进行身份注册,并收集第一信息;其中,第一信息为终端设备的身份信息。
与现有技术相比,采用该技术方案所达到的技术效果:通过对接入系统的终端设备进行身份注册,使接入的终端设备的身份信息都被记录和收集,一方面使下次同一个终端设备接入时能直接和记录的身份信息进行比对验证,方便终端设备进行操作以及系统对统一终端设备的认证,节省了时间,另一方面,使每个终端设备接入系统都能被识别以及记录,在出现危害物联网的操作时,能及时发现进行危害操作的终端设备,保护了物联网的信息安全以及接入安全。
在本发明的一个实例中,第一系统获取第一信息后,将第一信息发送至第二系统,还包括:发送第一信息至第四系统,并通过第四系统储存第一信息。
与现有技术相比,采用该技术方案所达到的技术效果:通过将第一系统所记录的第一信息至第二系统和第四系统,使接入物联网的终端设备的信息被不同的系统储存,提高了信息储存的安全性,同时不把信息储存在同一个系统中,也减少了系统的计算量和计算成本以及计算复杂度。
在本发明的一个实例中,第二系统对应生成第二信息,并将第二信息传送至第三系统,还包括:第二系统通过第一操作将第一信息对应转换为第二信息进行转换加密。
与现有技术相比,采用该技术方案所达到的技术效果:通过设置第二系统的第一操作来对第一信息进行处理,使通过第一信息得出对应的第二信息,而通过第三方的系统来对第一信息进行转换加密,将复杂的加密运算转移到第三方的系统中,减轻了终端设备的计算压力,同时也确保了信息脱离终端设备后的保密性和安全性,使终端设备的数据传输更加的安全。
在本发明的一个实例中,第二信息包括设备公私钥和PKG参数。
与现有技术相比,采用该技术方案所达到的技术效果:通过把第一信息即终端设备的身份信息经过第二系统的转换后,形成对应的公私钥和PKG参数,同时将公私钥和PKG参数传输至第三系统中,使上述参数能更加的安全,使终端设备的隐私保护更加的安全和可靠。
在本发明的一个实例中,不同网络间的通信还包括:第一网络将第二信息通第二系统进行验证和数据封装,并发送至第二网络;第二网络通过第二系统对收到的第二信息进行验证和数据解封,并发送至第二网络内的相关设备。
与现有技术相比,采用该技术方案所达到的技术效果:在进行不同网络间的通信时,通过第二系统对第二信息的验证和封装,使信息的传输的安全性和隐私性更高,只能通过第二网络的第二系统进行数据验证后进行解封,才能得知数据的内容,使不同网络间的数据传输更加稳定和安全,而且通过验证能使需要使用数据的设备保障安全,使只有通过验证的设备才能使用数据,保障了数据的安全。
在本发明的一个实例中,据开放共享还包括:第一系统将第二信息通过第二系统进行数据封装,再发送至云平台储存;当需要使用第二信息时,云平台通过第二系统进行数据解封,并发送至需求者。
与现有技术相比,采用该技术方案所达到的技术效果:通过第一系统将第二信息通过第二系统进行数据封装,发送至云平台储存,使数据能被安全地保存在不同的平台,使数据能被随时调取,同时由于进行了数据封装,所以数据的隐私性也更加高,同时当设备需要使用数据时,要通过第二系统才能进行解封,即需要认证后才能完成解封操作,使数据的安全得到保障,使接入的设备要使用数据前都要经过认证,即保障接入物联网的设备都是安全的,使物联网的数据安全得到保障。
在本发明的一个实例中,第一系统为网关;第二系统为IBE-XKMS;第三系统为区块链。
与现有技术相比,采用该技术方案所达到的技术效果:通过网关来获取接入设备的信息,同时将网关与区块链传输配合,使能通过区块链技术不可篡改和可追溯的特性,提高了物联网的安全性,同时通过设置第二系统为IBE-XKMS,为系统认证提供安全接入服务。安全密钥管理服务使得各类应用代理、应用程序以及应用客户端可通过通信方式统一接入来获得安全应用所需的 IBE 密钥管理服务。
本发明提供了一种基于区块链的物联网网关的控制装置,包括:获取模块,当终端设备首次接入第一系统时,第一系统获取终端设备的第一信息;计算模块,第一系统获取第一信息后,将第一信息发送至第二系统,第二系统对应生成第二信息,并将第二信息传送至第三系统;判断模块,当终端设备需要进行信息操作时,第一系统从第三系统获取终端设备的第一信息,并通过第二系统判断终端设备是否合法;若判断合法,则第一系统提供终端设备进行信息操作;其中,信息操作包括不同网络间的通信和数据开放共享。
本发明提供了一种可读存储介质,其特征在于,可读存储介质上存储的计算机程序,其中,在计算机程序被处理器运行时控制存储介质所在设备执行实现上述任一项的控制方法的步骤。
采用该技术方案有以下有益效果:
(1)通过对接入的终端设备进行记录设备的信息,以及将设备的信息进行收集发送到不同的系统中进行保存,同时再终端设备需要进行操作时,会对终端设备进行验证,保证接入设备需要进行操作时是合法的,使数据的安全得到保障,同时由于首次接入系统时,终端设备都会被获取信息并储存,使终端设备的信息被记录,使其无法进行危害物联网安全的操作,如果进行了不安全的操作,也能通过被记录的信息来进行溯源,使物联网的数据安全和终端接入的安全得到保障,同时通过认证的设备能通过多个系统之间的配合来实现安全的信息传输和操作,提高了数据传输时的安全性。
(2)通过将第一系统所记录的第一信息至第二系统和第四系统,使接入物联网的终端设备的信息被不同的系统储存,提高了信息储存的安全性,同时不把信息储存在同一个系统中,也减少了系统的计算量和计算成本以及计算复杂度。
(3)通过设置第二系统的第一操作来对第一信息进行处理,使通过第一信息得出对应的第二信息,而通过第三方的系统来对第一信息进行转换加密,将复杂的加密运算转移到第三方的系统中,减轻了终端设备的计算压力,同时也确保了信息脱离终端设备后的保密性和安全性,使终端设备的数据传输更加的安全。
(4)通过把第一信息即终端设备的身份信息经过第二系统的转换后,形成对应的公私钥和PKG参数,同时将公私钥和PKG参数传输至第三系统中,使上述参数能更加的安全,使终端设备的隐私保护更加的安全和可靠。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中待要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图;
图1为本发明第一实施例提供的一种基于区块链的物联网网关控制方法的流程图;
图2为本发明第二实施例提供的一种基于区块链的物联网网关的控制装置的结构示意框图;
图3为本发明第三实施例提供的一种可读存储介质的结构示意图;
图4为物联网的安全架构图;
图5为本发明的系统架构图;
图6为本发明的网关的功能模块图;
图7为本发明的IBE-XKMS的功能模块图;
附图标记说明:
100为基于区块链的物联网网关的控制装置;110为获取模块;120为计算模块;130为判断模块;200为可读储存介质;210为计算机可执行指令。
具体实施方式
为使本发明的上述目的、特征和优点能够更为明显易懂,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
【第一实施例】
参见图1、图4至图7,一种基于区块链的物联网网关控制方法,基于区块链的物联网网关控制方法包括:
S100:当终端设备首次接入第一系统时,第一系统获取终端设备的第一信息;
S200:第一系统获取第一信息后,将第一信息发送至第二系统,第二系统对应生成第二信息,并将第二信息传送至第三系统;
S300:当终端设备需要进行信息操作时,第一系统从第三系统获取终端设备的第一信息,并通过第二系统判断终端设备是否合法;
S400:若判断合法,则第一系统提供终端设备进行信息操作;
其中,信息操作包括不同网络间的通信和数据开放共享。
具体的,第一系统为网关;第二系统为IBE-XKMS;第三系统为区块链,第一信息为终端设备的身份信息。
第一系统获取第一信息后,将第一信息发送至第二系统,还包括:发送第一信息至第四系统,并通过第四系统储存第一信息,第二系统通过第一操作将第一信息对应转换为第二信息进行转换加密。
具体的,第四系统为安全性等级更高的网关,第一操作为通过 IBE-XKMS 请求Register 服务,生成设备私钥。IBE-XKMS为一种基于XML格式的基于身份加密的密钥管理服务体系;XML指可扩展标记语言。
进一步的,终端设备首次接入网关后,需要进行身份注册,网关收集终端设备的各类身份信息后,需要请求 IBE-XKMS 服务,生成设备的公私钥,对于移动设备还需将设备公钥、PKG 公开参数等信息上传到区块链网络。
具体的,私钥生成器(Private Key Generator,简称为PKG),是IBE体系中的核心部分,它的功能作用是:在IBE系统初始化时,产生主密钥(Master Key)和公开参数(PublicParams),并公开发布Public Params ;根据用户的ID,为用户生成相应的私钥。
其中,IBE为基于身份的加密体制。
进一步的,已经完成注册的移动设备从一个网络移动到另一网络时,该网络的网关从区块链网络上获取该移动设备的注册信息,向IBE-XKMS请求验证,确定该设备是否合。
进一步的,对于验证合法的设备,网关提供不同网络间的数据通信功能。网关A根据设备的预发送数据、公钥等信息,通过IBE-XKMS进行验证和数据封装,之后发送给另一网络的网关B,网关B获取数据封装和公钥等信息后通过IBE-XKMS进行验证与解封,最后将明文发送给网络内相关设备。
进一步的,对于验证合法的设备,网关提供数据共享功能。网关根据设备的预发送数据、公钥等信息,通过IBE-XKMS进行数据封装,之后将数据封装上传到云平台存储;拥有权限的用户请求获取数据,云平台根据数据封装和用户公钥等信息,通过IBE-XKMS进行数据解封、使用用户公钥重新封装,最后返回给用户。
优选的,通过对接入的终端设备进行记录设备的信息,以及将设备的信息进行收集发送到不同的系统中进行保存,同时在终端设备需要进行操作时,会对终端设备进行验证,保证接入设备需要进行操作时是合法的,使数据的安全得到保障,同时由于首次接入系统时,终端设备都会被获取信息并储存,使终端设备的信息被记录,使其无法进行危害物联网安全的操作,如果进行了不安全的操作,也能通过被记录的信息来进行溯源,使物联网的数据安全和终端接入的安全得到保障,同时通过认证的设备能通过多个系统之间的配合来实现安全的信息传输和操作,提高了数据传输时的安全性。
优选的,通过对接入系统的终端设备进行身份注册,使接入的终端设备的身份信息都被记录和收集,一方面使下次同一个终端设备接入时能直接和记录的身份信息进行比对验证,方便终端设备进行操作以及系统对统一终端设备的认证,节省了时间,另一方面,使每个终端设备接入系统都能被识别以及记录,在出现危害物联网的操作时,能及时发现进行危害操作的终端设备,保护了物联网的信息安全以及接入安全。
优选的,通过将第一系统所记录的第一信息至第二系统和第四系统,使接入物联网的终端设备的信息被不同的系统储存,提高了信息储存的安全性,同时不把信息储存在同一个系统中,也减少了系统的计算量和计算成本以及计算复杂度。
优选的,通过设置第二系统的第一操作来对第一信息进行处理,使通过第一信息得出对应的第二信息,而通过第三方的系统来对第一信息进行转换加密,将复杂的加密运算转移到第三方的系统中,减轻了终端设备的计算压力,同时也确保了信息脱离终端设备后的保密性和安全性,使终端设备的数据传输更加的安全。
优选的,通过把第一信息即终端设备的身份信息经过第二系统的转换后,形成对应的公私钥和PKG参数,同时将公私钥和PKG参数传输至第三系统中,使上述参数能更加的安全,使终端设备的隐私保护更加的安全和可靠。
具体的, IBE-XKMS是为了解决 IBE方案存在的 PKG 密钥托管风险和跨域通信问题。IBE-XKMS 将 IBE 的密钥管理扩展到 Web Service 信任服务平台,可支持不同域、不同参数的分布式异构 PKG 和各类基于 IBE 的安全应用开发所需的密钥安全管理服务,同时基于 XML 语言支持基于权限策略的 IBE 加密和身份公钥的语义服务。
IBE-XKMS功能模块如图7所示,PKG服务提供接口为异构的PKG提供统一的接入服务,扩大IBE的安全应用范围。消息处理接口采用基于XML的 SOAP 协议封装消息,扩展性较好,并且还允许用户密钥管理服务的异步请求方式。身份认证服务接口支持多种安全认证方式,为系统认证提供安全接入服务。安全密钥管理服务使得各类应用代理、应用程序以及应用客户端可通过通信方式统一接入来获得安全应用所需的 IBE 密钥管理服务。
其中,SOAP一般指简单对象访问协议。
具体的,参见图5,网关作为物联网终端设备层和云平台层的中间层,通过支持异构协议以接入各种物联网终端设备,并负责请求IBE-XKMS 服务和管理设备私钥以及同步区块头信息,并以此来保证自身的可信。在终端设备层,传感器、电表等设备资源有限,不适合执行复杂的公钥加密运算,因此本发明提出网关对本地设备进行代理,向 IBE-XKMS 请求公钥加密运算的方案,将复杂的加密运算迁移到 IBE-XKMS,减轻终端设备的计算压力,同时也确保设备数据从网关到云端的安全传输。并且将设备公钥等信息存于区块链上来实现跨域授权的功能,同时提升密钥管理的透明性和安全性。
具体的,设备在首次接入网关后,需要进行身份注册,由网关负责将设备身份信息发送至 IBE-XKMS 请求 Register 服务,生成设备私钥。为防止终端设备存在的克隆攻击等安全隐患,设备私钥存储在安全性等级更高的网关。出于对物联网部分终端设备功能设定和云服务器存储压力的考虑,部分终端设备并不一直保持连接传输数据(例如烟雾报警器,当烟雾的浓度超过阈值,才会连接网关上传异常数据), 还有些设备为了节能会频繁进入休眠状态。当设备每次连接网关的时候,都需要进行身份认证。本发明假设设备与网关之间的所有通信都是安全的,安全隐患主要存在于网关与云平台层的交互。
具体的,本发明支持设备跨域通信,利用网关向 IBE-XKMS 请求数字信封服务和解封数字信封服务来完成复杂的数据加密与解密,不仅大大降低设备的运算压力,也减少低安全等级设备与设备之间通信潜在的安全问题。考虑大数据时代数据的价值,框架设计了数据共享功能,支持用户请求共享设备存储在云端的数据,挖掘数据价值。
具体的,网关的功能模块如图6所示,网关作为本发明的中心角色,承担设备管理、数据处理与传输、本地数据存储、与区块链的交互等功能。终端设备交互模块主要负责与设备层的物联网终端进行交互; 设备注册模块主要负责设备的注册功能,将设备身份信息交给出具处理模块基于区块链的物联网网关的研究与实现 加密后请求 IBE-XKMS 的Register 服务,注册后将设备公钥私钥存于数据存储模块,若设备为移动设备,那么还需将设备公钥、公开参数、设备所在域等通过区块链相关数据处理模块上传到区块链网络;接入认证模块主要负责设备的接入认证,若为跨域设备,需要通过数据处理模块向区块链节点请求设备相关信息后,再通过 IBE-XKMS 进行验证; 区块链相关数据处理模块还将负责区块头的同步工作。
具体的,在确定网关和IBE-XKMS的基础上,可以构建相应功能的区块链。本发明将安全维护委托给计算能力更强的网关,通过建立信任域来保护域内终端设备的安全,同时每个物联网网关以轻节点的方式接入区块链网络来建立信任,以最小的存储和计算需求确保网关可信。
具体的,轻节点模式只对区块头进行同步,不同步其他数据。这种模式使得硬件资源有限的小型设备能够与以太坊区块链进行交互。轻节点依赖轻量级以太坊子协议(LightEthereum subprotocol,LES),仅在开始时下载块头的子集,并在需要时仍可按需从区块链网络中获取其他内容。
进一步的,同步区块头的流程大致是以下几个步骤:
(1) 寻找公共祖先区块:利用固定间隔法或二分法查找最新的公共祖先区块;
(2) 获取骨架:在找到公共祖先区块后,同步一组有间隔的区块头,称为骨架;
(3) 填充骨架:为每一个分组随机选取其他空闲全节点进行下载其余的区块头。如果从其他节点不能正确填充骨架,则丢弃骨架。
这种同步方式可以避免从一个节点下载过多错误数据而不知情的问题,比如从恶意节点同步数据,而那些数据并不是被所有用户接受的唯一正确版本。
具体的,物联网网关借鉴轻节点的方式,连接以太坊全节点只同步区块头数据,间接接入区块链网络来确保可信。以太坊轻节点虽然在同步数据时只同步区块头,但还要运行区块链程序,并且区块头数据大小会随着时间越来越大。而本发明采用借鉴轻节点模式,可以利用垃圾回收机制将过时的区块头数据删除,始终保持同步一定数量的区块头来确保网关可信。
具体的,链上数据的校验主要是针对区块头的校验,分为两部分:合法性校验与SPV(Special Purpose Vehicle) 验证,SPV指特殊目的的载体。合法性校验指的是利用校验函数 V(H)验证区块头的各个字段是否正确,包括各个字段的校验, 例如parentHash、stateRoot、transactionsRoot、receiptsRoot、difficulty、gasLimit、gasUsed、timestamp、mixHash和nonce等。 SPV验证是基于 Merkle 树解决区块链的支付确认问题,目的是为了验证某笔交易是否已经存在。一个交易在区块链上生效需要满足两个条件:一个是交易已经被打包到了某个区块中,另一个是这个区块之上又继续打包了 5 个区块,也就是所谓的六次确认。SPV 允许设备在不保留完整区块链信息的情况下进行支付验证,只需保留区块头数据。SPV 的验证过程如下:
(1)根据交易体计算待验证支付的交易哈希值;
(2)获取最长链所有区块头并储存在本地;
(3)SPV 请求得到 merkle 树哈希认证路径;
(4)根据哈希认证路径,计算出 merkle 根的哈希值,与本地区块头中的 merkle根哈希值对比,找到待验证交易所在的区块;
(5)验证该区块是否在最长链上并且得到 6 次以上的确认。
优选的,物联网网关是整个物联网系统的关键设备,在物联网中扮演着至关重要的角色,同时网关也是黑客攻击的目标。目前针对网关的安全性研究还处于初级阶段。本发明利用区块链技术不可篡改、可追溯的特性,提出以网关连接区块链节点间接接入区块链网络的方案,利用网关同步信任机制来以最小的存储和计算需求确保网关的可信。
优选的,海量终端异构设备接入物联网进行信息交换和数据通信,应用场景复杂,资源有限的物联网设备难以承担传统设备认证方式的计算成本和计算复杂度,因此本发明提出网关对本地设备进行代理,向可信第三方密钥管理中心请求公钥加密运算的方案,将复杂的加密运算迁移到可信第三方密钥管理中心和网关,减轻终端设备的计算压力,同时设计基于身份加密的安全协议,确保设备在认证、数据传输和共享的安全性,还为物联网终端设计别名机制来保护设备的隐私,同时使用区块链存储设备公钥及公开参数的方案,提升密钥管理的安全性和透明性。
【第二实施例】
在第一实施例的基础上,参见图2,一种基于区块链的物联网网关的控制装置100,包括:获取模块110,当终端设备首次接入第一系统时,第一系统获取终端设备的第一信息;计算模块120,第一系统获取第一信息后,将第一信息发送至第二系统,第二系统对应生成第二信息,并将第二信息传送至第三系统;判断模块130,当终端设备需要进行信息操作时,第一系统从第三系统获取终端设备的第一信息,并通过第二系统判断终端设备是否合法;若判断合法,则第一系统提供终端设备进行信息操作;其中,信息操作包括不同网络间的通信和数据开放共享。
在一个具体实施例中,获取模块110、计算模块120和判断模块130,配合实现如上第一实施例的基于区块链的物联网网关控制方法,此处不再赘述。
【第三实施例】
参见图3,本发明的一个实例中,一种可读存储介质200,其特征在于,可读存储介质200上存储的计算机程序,其中,在计算机可执行程序210被处理器运行时控制存储介质所在设备执行实现如上述中任一项的基于区块链的物联网网关控制方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其他的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的可读存储介质200包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于区块链的物联网网关控制方法,其特征在于,包括:
当终端设备首次接入第一系统时,第一系统获取所述终端设备的第一信息;
所述第一系统获取所述第一信息后,将所述第一信息发送至第二系统,所述第二系统对应生成第二信息,并将所述第二信息传送至第三系统;
当所述终端设备需要进行信息操作时,所述第一系统从所述第三系统获取所述终端设备的第一信息,并通过所述第二系统判断所述终端设备是否合法;
若判断合法,则所述第一系统提供所述终端设备进行所述信息操作;
其中,所述信息操作包括不同网络间的通信和数据开放共享。
2.根据权利要求1所述的基于区块链的物联网网关控制方法,其特征在于,所述当终端设备首次接入第一系统时,第一系统获取所述终端设备的第一信息,还包括:
第一系统对所述终端设备进行身份注册,并收集第一信息;
其中,所述第一信息为所述终端设备的身份信息。
3.根据权利要求1所述的基于区块链的物联网网关控制方法,其特征在于,所述所述第一系统获取所述第一信息后,将所述第一信息发送至第二系统,还包括:
发送所述第一信息至第四系统,并通过所述第四系统储存所述第一信息。
4.根据权利要求1所述的基于区块链的物联网网关控制方法,其特征在于,所述所述第二系统对应生成第二信息,并将所述第二信息传送至第三系统,还包括:
所述第二系统通过第一操作将所述第一信息对应转换为所述第二信息进行转换加密。
5.根据权利要求4所述的基于区块链的物联网网关控制方法,其特征在于,所述第二信息包括设备公私钥和PKG参数。
6.根据权利要求1所述的基于区块链的物联网网关控制方法,其特征在于,所述不同网络间的通信还包括:
第一网络将所述第二信息通所述第二系统进行验证和数据封装,并发送至第二网络;
所述第二网络通过所述第二系统对收到的所述第二信息进行验证和数据解封,并发送至所述第二网络内的相关设备。
7.根据权利要求1所述的基于区块链的物联网网关控制方法,其特征在于,所述数据开放共享还包括:
所述第一系统将所述第二信息通过所述第二系统进行数据封装,再发送至云平台储存;
当需要使用所述第二信息时,所述云平台通过所述第二系统进行数据解封,并发送至需求者。
8.根据权利要求1-7任一项所述的基于区块链的物联网网关控制方法,其特征在于,
所述第一系统为网关;
所述第二系统为IBE-XKMS;
所述第三系统为区块链。
9.一种基于区块链的物联网网关的控制装置,其特征在于,包括:
获取模块,当终端设备首次接入第一系统时,第一系统获取所述终端设备的第一信息;
计算模块,所述第一系统获取所述第一信息后,将所述第一信息发送至第二系统,所述第二系统对应生成第二信息,并将所述第二信息传送至第三系统;
判断模块,当所述终端设备需要进行信息操作时,所述第一系统从所述第三系统获取所述终端设备的第一信息,并通过所述第二系统判断所述终端设备是否合法;若判断合法,则所述第一系统提供所述终端设备进行所述信息操作;
其中,所述信息操作包括不同网络间的通信和数据开放共享。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储的计算机程序,其中,在所述计算机程序被处理器运行时控制所述存储介质所在设备执行实现如权利要求1至8中任一项所述的基于区块链的物联网网关控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211169380.2A CN115277026A (zh) | 2022-09-26 | 2022-09-26 | 一种基于区块链的物联网网关控制方法及装置、介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211169380.2A CN115277026A (zh) | 2022-09-26 | 2022-09-26 | 一种基于区块链的物联网网关控制方法及装置、介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115277026A true CN115277026A (zh) | 2022-11-01 |
Family
ID=83757926
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211169380.2A Pending CN115277026A (zh) | 2022-09-26 | 2022-09-26 | 一种基于区块链的物联网网关控制方法及装置、介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115277026A (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1718033A1 (en) * | 2005-04-27 | 2006-11-02 | Telefonaktiebolaget LM Ericsson (publ) | A method and apparatus for registering internet domain names |
KR20120084428A (ko) * | 2011-01-20 | 2012-07-30 | 에스케이플래닛 주식회사 | Cpns 환경에서 사용자 인증을 위한 인증키 발급 시스템 및 방법 |
US20150146513A1 (en) * | 2013-11-22 | 2015-05-28 | General Dynamics Broadband Inc. | Apparatus and Methods for Accessing a Data Network |
US20150229605A1 (en) * | 2012-09-26 | 2015-08-13 | Zte Corporation | Method and Apparatus for Registering Terminal |
US20160309317A1 (en) * | 2013-12-16 | 2016-10-20 | Zte Corporation | Accessibility Management Method and Device for M2M Terminal/Terminal Peripheral |
CN110086821A (zh) * | 2019-05-07 | 2019-08-02 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网网关和电力物联网终端接入的认证方法 |
CN111464490A (zh) * | 2020-02-24 | 2020-07-28 | 浙江工业大学 | 一种面向物联网终端管控的轻量级区块链网关及方法 |
CN112235795A (zh) * | 2020-09-09 | 2021-01-15 | 广州安食通信息科技有限公司 | 基于物联网的无线网络配置方法、系统、装置及介质 |
CN113221184A (zh) * | 2021-03-27 | 2021-08-06 | 重庆邮电大学 | 一种基于区块链网络的物联网系统及装置 |
CN113553574A (zh) * | 2021-07-28 | 2021-10-26 | 浙江大学 | 一种基于区块链技术的物联网可信数据管理方法 |
CN114827150A (zh) * | 2022-04-29 | 2022-07-29 | 国网安徽省电力有限公司电力科学研究院 | 一种物联网终端数据上链适配方法、系统及存储介质 |
-
2022
- 2022-09-26 CN CN202211169380.2A patent/CN115277026A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1718033A1 (en) * | 2005-04-27 | 2006-11-02 | Telefonaktiebolaget LM Ericsson (publ) | A method and apparatus for registering internet domain names |
KR20120084428A (ko) * | 2011-01-20 | 2012-07-30 | 에스케이플래닛 주식회사 | Cpns 환경에서 사용자 인증을 위한 인증키 발급 시스템 및 방법 |
US20150229605A1 (en) * | 2012-09-26 | 2015-08-13 | Zte Corporation | Method and Apparatus for Registering Terminal |
US20150146513A1 (en) * | 2013-11-22 | 2015-05-28 | General Dynamics Broadband Inc. | Apparatus and Methods for Accessing a Data Network |
US20160309317A1 (en) * | 2013-12-16 | 2016-10-20 | Zte Corporation | Accessibility Management Method and Device for M2M Terminal/Terminal Peripheral |
CN110086821A (zh) * | 2019-05-07 | 2019-08-02 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网网关和电力物联网终端接入的认证方法 |
CN111464490A (zh) * | 2020-02-24 | 2020-07-28 | 浙江工业大学 | 一种面向物联网终端管控的轻量级区块链网关及方法 |
CN112235795A (zh) * | 2020-09-09 | 2021-01-15 | 广州安食通信息科技有限公司 | 基于物联网的无线网络配置方法、系统、装置及介质 |
CN113221184A (zh) * | 2021-03-27 | 2021-08-06 | 重庆邮电大学 | 一种基于区块链网络的物联网系统及装置 |
CN113553574A (zh) * | 2021-07-28 | 2021-10-26 | 浙江大学 | 一种基于区块链技术的物联网可信数据管理方法 |
CN114827150A (zh) * | 2022-04-29 | 2022-07-29 | 国网安徽省电力有限公司电力科学研究院 | 一种物联网终端数据上链适配方法、系统及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111478902B (zh) | 电力边缘网关设备及基于该设备的传感数据上链存储方法 | |
CN109981689B (zh) | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 | |
CN112073379B (zh) | 一种基于边缘计算的轻量级物联网安全密钥协商方法 | |
KR102116399B1 (ko) | 서비스 레이어에서의 콘텐츠 보안 | |
US20190123909A1 (en) | End-to-End Service Layer Authentication | |
CN113783836A (zh) | 基于区块链和ibe算法的物联网数据访问控制方法及系统 | |
CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
CN105530253B (zh) | 基于CA证书的Restful架构下的无线传感器网络接入认证方法 | |
CN104756458A (zh) | 用于保护通信网络中的连接的方法和设备 | |
CN105359480A (zh) | 针对受约束资源设备的密钥建立 | |
CN101388777B (zh) | 一种通信系统中跨系统访问的第三方认证方法和系统 | |
Hou et al. | Design and prototype implementation of a blockchain-enabled LoRa system with edge computing | |
GB2575433A (en) | Automatic client device registration | |
AU2020102146A4 (en) | Defence method to avoid automated attacks in iot networks using physical unclonable function (puf) based mutual authentication protocol | |
Park et al. | Inter-authentication and session key sharing procedure for secure M2M/IoT environment | |
CN108024243A (zh) | 一种eSIM卡入网通信方法及其系统 | |
WO2023236551A1 (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
CN115514474A (zh) | 一种基于云-边-端协同的工业设备可信接入方法 | |
CN111541776A (zh) | 一种基于物联网设备的安全通信装置及系统 | |
CN114866245A (zh) | 一种基于区块链的电力数据采集方法及系统 | |
CN103716280A (zh) | 数据传输方法、服务器及系统 | |
CN103781026A (zh) | 通用认证机制的认证方法 | |
CN116669032A (zh) | 一种城域物联网系统及其安全认证方法、装置、存储介质 | |
CN115277026A (zh) | 一种基于区块链的物联网网关控制方法及装置、介质 | |
CN116232880A (zh) | 一种基于安全隔离的虚拟专用网建立方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20221101 |
|
RJ01 | Rejection of invention patent application after publication |