CN117978411A - 一种基于区块链的工业物联网数据安全传输的方法 - Google Patents
一种基于区块链的工业物联网数据安全传输的方法 Download PDFInfo
- Publication number
- CN117978411A CN117978411A CN202211301854.4A CN202211301854A CN117978411A CN 117978411 A CN117978411 A CN 117978411A CN 202211301854 A CN202211301854 A CN 202211301854A CN 117978411 A CN117978411 A CN 117978411A
- Authority
- CN
- China
- Prior art keywords
- data
- data server
- server
- certificate
- identity authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000005540 biological transmission Effects 0.000 claims abstract description 23
- 238000004891 communication Methods 0.000 claims description 14
- 238000012795 verification Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 6
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000001737 promoting effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明专利公开了一种基于区块链的工业物联网数据安全传输的方法,其涉及到工业物联网数据传输领域。本发明利用区块链技术实现工业物联网设备的可信接入和去中心化的身份认证,结合MQTT协议和TLS协议实现数据的加密传输。本发明解决了工业物联网数据在身份认证和数据传输阶段中的安全性问题,在工业物联网中身份认证阶段有效的分散了可信机构的权力,在数据传输阶段有效的避免传输的工业数据被恶意篡改以及可以抵抗大多数的网络攻击,从总体上增强了工业物联网数据传输的安全性。
Description
技术领域
本发明涉及工业物联网领域,尤其是工业物联网数据传输领域。
背景技术
工业物联网是将具有感知、监控能力的各类采集、控制传感器或控制器,以及移动通信、智能分析等技术不断融入到工业生产过程各个环节,从而大幅提高制造效率,改善产品质量,降低产品成本和资源消耗,最终实现将传统工业提升到智能化的新阶段。从应用形式上,工业物联网的应用具有实时性、自动化、嵌入式(软件)、安全性信息互通互联性等特点。工业物联网作为推动新一轮产业变革,促进实体经济与数字经济深度融合的关键技术,优化了传统工业高人工、高风险、高污染等问题,提升了生产的效率和安全性,增强了企业的竞争力。
然而,当前的工业物联网广泛采用了以集中式架构为主的基础设施,设备接入和完全由可信机构控制,数据大多使用明文传输,导致工业数据从边上云过程中带来了以下数据传输安全问题:1)设备接入认证过多依赖可信的第三方进行监管,一旦中心化的可信机构权力被滥用,将会导致系统无法稳定运行;2)数据传输过程中设备难以抵抗恶意攻击,使得数据被第三方获取和篡改,造成数据传输安全问题。
发明内容
为解决上述技术问题,本发明提出了一种基于区块链的工业物联网数据安全传输的方法,利用区块链技术实现工业物联网设备的可信接入和去中心化的身份认证,结合MQTT协议和TLS协议实现数据的加密传输,保证工业物联网数据在传输阶段中的安全性。
本发明采用技术方案如下:一种基于区块链的工业物联网数据安全传输的方法,包括以下步骤:
1)设备向数据服务器发送接入申请;
2)设备向区块链网络申请身份验证;
3)数据服务器处理设备的接入申请,向CA服务器获取身份认证信息;
4)数据服务器再将收到的身份认证信息打包上传到区块链;
5)数据服务器将身份认证信息返回至设备,设备注册成功;
6)设备与服务器进行握手协商;
7)设备与服务器进行数据加密传输。
所述1)设备向数据服务器发送接入申请,具体为:
申请接入的设备D使用服务器公钥PE对设备公钥PD和设备MAC地址以及时间戳T进行加密得到注册请求信息其中,/>表示以数据服务器公钥作为参数的椭圆加密算法,/>表示设备D的数字签名,MACD表示设备D的MAC地址;然后将注册请求信息发送给数据服务器。
所述2)设备向区块链网络申请身份验证,包括以下步骤:
设备D向区块链网络发出接入请求消息,请求消息包含设备证书信息和注册交易信息;
当区块链节点B接受请求消息后,取出设备证书信息与注册交易信息构成的默克尔树路径进行匹配:根据路径节点的哈希值计算默克尔树根值,并与最新的区块中包含的默克尔树根进行比较;若信息一致,则表明设备证书有效,设备成功接入到物联网;否则,接入失败。
所述3)数据服务器处理设备的接入申请,向CA服务器获取身份认证信息,包括以下步骤:
数据服务器使用自身私钥SE解密注册请求信息,然后通过设备公钥PD验证消息来源是否可靠;若可靠,数据服务器给CA服务器发送证书颁发命令其中,PD为设备公钥,MACD表示设备D的MAC地址,T为时间戳,/>表示数据服务器的数字签名;
CA服务器根据证书颁发命令生成证书CD,向数据服务器发送数字证书和证书颁发交易信息。
所述4)数据服务器再将收到的身份认证信息打包上传到区块链,具体为:
数据服务器将收到的包含数字证书和证书颁发交易信息的身份认证信息打包成区块上传至区块链网络,使区块链网络节点通过共识算法选出记账节点并将区块上链,设备成功接入物联网。
所述6)设备与服务器进行握手协商,包括以下步骤:
a.设备通过向数据服务器ClientHello消息发起会话,其中,所述ClientHello消息包含设备产生的用于生成会话秘钥的安全随机数、支持的协议版本以及加密算法套件;
b.数据服务器收到设备发来的ClientHello消息后,会回复给设备ServerHello消息,所述ServerHello消息包括使用的TLS协议版本、使用的加密算法、用于后续生成会话秘钥的随机数以及自己的证书,同时请求设备的证书;
c.当设备收到数据服务器的ServerHello消息后,首先对数据服务器证书进行合法性检查;验证通过后,设备生成一个用于生成会话秘钥的随机数,并且使用数据服务器的公钥对其加密;随后,设备将这个加密的随机数、握手结束通知以及自己的证书发送给数据服务器;
d.数据服务器检查设备的证书是否合法;若合法,则会用自己的私钥来解密加密的随机数,然后根据生成的三个随机数计算会话秘钥,给设备发送ChangeCipherSpec消息,以告知设备后续通信都采用协商好的会话秘钥加密数据,并发送握手结束通知Finished消息。
-种基于区块链的工业物联网数据安全传输的系统,包括:
设备,用于身份认证、以及工业数据产生;
数据服务器,用于处理设备注册消息和设备产生的工业数据,向CA服务器发送身份认证指令,并将接受的CA服务器返回的身份认证消息打包为区块,发送给区块链网络以进行设备身份验证,并将接收的工业数据处理后存储到数据库;
CA服务器,用于颁发和管理数字证书,在收到数据服务器发送的身份认证指令后,生成身份认证消息至数据服务器,并将身份认证消息中的数字证书存储到数据库。
本发明具有以下效益及优点:
1.使用区块链技术实现工业设备的安全接入和去中心化的身份认证,在保证设备能安全接入工业物联网的同时,有效的分散了可信机构的权力。
2.利用设备进入认证产生的数字证书,使用基于TLS的MQTT协议进行加密通信,能有效的避免传输的工业数据被恶意篡改以及可以抵抗大多数的网络攻击。
附图说明
图1为本发明方法整体架构图;
图2为本发明的方法流程图;
图3为本发明方法的设备认证流程图;
图4为本发明方法的加密通信流程图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
本发明专利公开了一种基于区块链的工业物联网数据安全传输的方法,其涉及到工业物联网数据传输领域。本发明利用区块链技术实现工业物联网设备的可信接入和去中心化的身份认证,结合MQTT协议和TLS协议实现数据的加密传输。本发明解决了工业物联网数据在身份认证和数据传输阶段中的安全性问题,在工业物联网中身份认证阶段有效的分散了可信机构的权力,在数据传输阶段有效的避免传输的工业数据被恶意篡改以及可以抵抗大多数的网络攻击,从总体上增强了工业物联网数据传输的安全性。
如图1所示,本方法的系统架构共有五个模块组成,分别是工业物联网边缘设备、区块链网络、数据服务器、CA服务器、数据库。工业物联网边缘设备是系统中身份认证、工业数据产生的主体。区块链网络负责存储系统内设备身份认证交易信息的存储,在新设备接入的时候接收新区块并通过共识算法将其打包上链,在设备里先后再次接入时,接收设备身份证明消息,并验证设备身份。数据服务器负责接收新设备注册消息和设备产生的工业数据,将身份认证消息打包为新区块发送给区块链网络,将接收的工业数据处理后存储到数据库。CA服务器负责数字证书的颁发和管理,在收到数据服务器发送的身份认证指令后,返回数字证书并将证书持久化到数据库。数据库主要负责存储系统内所有数字证书和工业数据。
本发明方法的流程图如图2所示,设备在首次接入工业物联网的时候获得数字证书,数字证书信息被打包加入区块链,设备再次接入进行身份认证的时候,通过对比区块链网络中存储的证书交易信息来验证身份。设备接入之后,所采集的工业数据通过基于TLS的MQTT协议进行加密传输,保证数据的传输安全。
新设备D接入物联网的流程如图3,主要分为以下几个步骤:
(1)D生成其自身公钥PD和私钥SD,PD和数据服务器的公钥PE以广播形式在系统中传输。
(2)D使用PE对设备公钥PD和设备MAC地址以及时间戳T进行加密得到注册请求信息其中/>是以数据服务器公钥作为参数的椭圆加密算法,然后将注册请求发送给数据服务器。
(3)数据服务器接收注册请求,使用自身私钥SE解密请求消息,通过设备公钥PD验证消息来源是否可靠。验证通过后向CA服务器发送证书颁发命令
(4)CA服务器收到命令生成证书CD,向数据服务器发送证书颁发交易TX。
(5)数据服务器接收交易TX,并将其打包成新区块广播至区块链网络,节点通过共识算法选出记账节点并将区块上链,设备成功注册并接入物联网。
(6)设备D离线后再次接入进行身份验证,D向区块链网络发出接入请求消息,消息包含设备证书信息和注册交易信息。
(7)区块链节点B接受消息后,取出设备证书与交易信息构成的默克尔树路径进行匹配。根据路径节点哈希值计算默克尔树根值并与最新区块信息中包含的默克尔树根进行比较,若一致则表明设备证书有效,设备成功接入物联网。
在设备接入物联网后,设备端和数据服务器都获取了数字证书。在TLS的握手协商阶段,设备端和数据服务器就可以使用已生成的证书和私钥文件进行双向身份认证以及秘钥协商工作。下面介绍TLS握手协商阶段的四次通信过程。
第一次通信,设备端通过向数据服务器ClientHello消息来发起会话,其中包含设备端产生的用于生成会话秘钥的安全随机数、支持的协议版本以及加密算法套件等内容。
第二次通信,数据服务器收到设备端发来的请求后,会回复给设备端确认使用的TLS协议版本、使用的加密算法、用于后续生成会话秘钥的随机数以及自已的证书,同时请求设备端的证书。
第三次通信,当设备端收到数据服务器的ServerHello后,首先对其证书进行合法性检查,验证通过后,设备端会生成一个用于生成会话秘钥的随机数,并且使用数据服务器的公钥对其加密。随后,设备端将这个加密的随机数信息、握手结束通知以及自己的证书等信息发送给数据服务器。
第四次通信,数据服务器检查设备的证书是否合法,若验证通过,则会用自己的私钥来解密加密的随机数,然后会根据以上过程分别产生的三个随机数计算会话秘钥,然后给设备发送ChangeCipherSpec消息,告知其后续通信都将采用协商好的秘钥加密数据,并发送握手结束通知Finished消息。至此,握手协商阶段完成,设备和数据服务器之间采用生成的会话秘钥进行加密通信。
握手协商成功后,设备和数据服务器通过MQTT进行消息的加密通信,加密通信流程如图4,主要分为以下几个步骤:
(1)设备端的MQTT客户端使用设备的证书与作为MQTT服务端的数据服务器进行TLS握手协商,握手协商阶段完成,设备和数据服务器之间采用生成的会话秘钥进行加密通信。
(2)工业设备产生的数据被采集和整理,通过MQTT客户端进行发送。
(3)数据服务器接收到设备发送的数据之后,对数据进行整理并持久化到数据库。
Claims (7)
1.一种基于区块链的工业物联网数据安全传输的方法,其特征在于,包括以下步骤:
1)设备向数据服务器发送接入申请;
2)设备向区块链网络申请身份验证;
3)数据服务器处理设备的接入申请,向CA服务器获取身份认证信息;
4)数据服务器再将收到的身份认证信息打包上传到区块链;
5)数据服务器将身份认证信息返回至设备,设备注册成功;
6)设备与服务器进行握手协商;
7)设备与服务器进行数据加密传输。
2.根据权利要求1所述的一种基于区块链的工业物联网数据安全传输的方法,其特征在于,所述1)设备向数据服务器发送接入申请,具体为:
申请接入的设备D使用服务器公钥PE对设备公钥PD和设备MAC地址以及时间戳T进行加密得到注册请求信息其中,/>表示以数据服务器公钥作为参数的椭圆加密算法,/>表示设备D的数字签名,MACD表示设备D的MAC地址;然后将注册请求信息发送给数据服务器。
3.根据权利要求1所述的一种基于区块链的工业物联网数据安全传输的方法,其特征在于,所述2)设备向区块链网络申请身份验证,包括以下步骤:
设备D向区块链网络发出接入请求消息,请求消息包含设备证书信息和注册交易信息;
当区块链节点B接受请求消息后,取出设备证书信息与注册交易信息构成的默克尔树路径进行匹配:根据路径节点的哈希值计算默克尔树根值,并与最新的区块中包含的默克尔树根进行比较;若信息一致,则表明设备证书有效,设备成功接入到物联网;否则,接入失败。
4.根据权利要求1所述的一种基于区块链的工业物联网数据安全传输的方法,其特征在于,所述3)数据服务器处理设备的接入申请,向CA服务器获取身份认证信息,包括以下步骤:
数据服务器使用自身私钥SE解密注册请求信息,然后通过设备公钥PD验证消息来源是否可靠;若可靠,数据服务器给CA服务器发送证书颁发命令其中,PD为设备公钥,MACD表示设备D的MAC地址,T为时间戳,/>表示数据服务器的数字签名;
CA服务器根据证书颁发命令生成证书CD,向数据服务器发送数字证书和证书颁发交易信息。
5.根据权利要求1所述的一种基于区块链的工业物联网数据安全传输的方法,其特征在于,所述4)数据服务器再将收到的身份认证信息打包上传到区块链,具体为:
数据服务器将收到的包含数字证书和证书颁发交易信息的身份认证信息打包成区块上传至区块链网络,使区块链网络节点通过共识算法选出记账节点并将区块上链,设备成功接入物联网。
6.根据权利要求1所述的一种基于区块链的工业物联网数据安全传输的方法,其特征在于,所述6)设备与服务器进行握手协商,包括以下步骤:
a.设备通过向数据服务器ClientHello消息发起会话,其中,所述ClientHello消息包含设备产生的用于生成会话秘钥的安全随机数、支持的协议版本以及加密算法套件;
b.数据服务器收到设备发来的ClientHello消息后,会回复给设备ServerHello消息,所述ServerHello消息包括使用的TLS协议版本、使用的加密算法、用于后续生成会话秘钥的随机数以及自己的证书,同时请求设备的证书;
c.当设备收到数据服务器的ServerHello消息后,首先对数据服务器证书进行合法性检查;验证通过后,设备生成一个用于生成会话秘钥的随机数,并且使用数据服务器的公钥对其加密;随后,设备将这个加密的随机数、握手结束通知以及自己的证书发送给数据服务器;
d.数据服务器检查设备的证书是否合法;若合法,则会用自己的私钥来解密加密的随机数,然后根据生成的三个随机数计算会话秘钥,给设备发送ChangeCipherSpec消息,以告知设备后续通信都采用协商好的会话秘钥加密数据,并发送握手结束通知Finished消息。
7.根据权利要求1所述的一种基于区块链的工业物联网数据安全传输的系统,其特征在于,包括:
设备,用于身份认证、以及工业数据产生;
数据服务器,用于处理设备注册消息和设备产生的工业数据,向CA服务器发送身份认证指令,并将接受的CA服务器返回的身份认证消息打包为区块,发送给区块链网络以进行设备身份验证,并将接收的工业数据处理后存储到数据库;
CA服务器,用于颁发和管理数字证书,在收到数据服务器发送的身份认证指令后,生成身份认证消息至数据服务器,并将身份认证消息中的数字证书存储到数据库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211301854.4A CN117978411A (zh) | 2022-10-24 | 2022-10-24 | 一种基于区块链的工业物联网数据安全传输的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211301854.4A CN117978411A (zh) | 2022-10-24 | 2022-10-24 | 一种基于区块链的工业物联网数据安全传输的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117978411A true CN117978411A (zh) | 2024-05-03 |
Family
ID=90854027
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211301854.4A Pending CN117978411A (zh) | 2022-10-24 | 2022-10-24 | 一种基于区块链的工业物联网数据安全传输的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117978411A (zh) |
-
2022
- 2022-10-24 CN CN202211301854.4A patent/CN117978411A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111835752B (zh) | 基于设备身份标识的轻量级认证方法及网关 | |
CN111953705B (zh) | 物联网身份认证方法、装置及电力物联网身份认证系统 | |
US10666446B2 (en) | Decentralized enrollment and revocation of devices | |
US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
CN105530238B (zh) | 用于安全对话建立和数据的加密交换的计算机实现系统和方法 | |
US8532620B2 (en) | Trusted mobile device based security | |
WO2016107320A1 (zh) | 网站安全信息的加载方法和浏览器装置 | |
CN111083131A (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
WO2017106793A1 (en) | Systems and methods for secure multi-party communications using a proxy | |
US20070074282A1 (en) | Distributed SSL processing | |
CN110999203B (zh) | 用于生成共享密钥的方法和系统 | |
US20190238536A1 (en) | Techniques for resuming a secure communication session | |
CN112637136A (zh) | 加密通信方法及系统 | |
EP3704829B1 (en) | Cryptographic key generation system and method | |
CN113037478A (zh) | 一种量子密匙分发系统及方法 | |
CN110581829A (zh) | 通信方法及装置 | |
CN110855561A (zh) | 一种物联网智能网关 | |
WO2021082222A1 (zh) | 通信方法、存储方法、运算方法及装置 | |
CN113922974B (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 | |
EP3624394B1 (en) | Establishing a protected communication channel through a ttp | |
US10972912B1 (en) | Dynamic establishment of trust between locally connected devices | |
CN117978411A (zh) | 一种基于区块链的工业物联网数据安全传输的方法 | |
WO2022022057A1 (zh) | 会话票证的处理方法、装置、电子设备及计算机可读存储介质 | |
CN116318637A (zh) | 设备安全入网通信的方法和系统 | |
CN114124362A (zh) | 一种密钥分发方法、装置和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination |