一种基于区块链的工业互联网数据安全监控方法及系统与流程

本发明涉及工业互联网数据安全技术领域，具体涉及一种基于区块链的工业互联网数据安全监控方法及系统。

背景技术：

工业互联网的数据安全防护包括物理设备数据采集侧安全防护、数据通信网络安全防护、数据存储和共享安全防护等，其中，物理设备侧的安全防护主要是通过操作系统加固和签发证书等方式实现对工业互联网设备的强身份认证，进而从芯片层面对设备身份的真实可信性进行防护。但是，物理设备的标签、证书签发和身份认证是由中心化的机构确认和颁发的，因此，存在人为篡改和中心机构遭到入侵后失效的风险。

同时，数据存储和共享的过程中也可能遭到篡改和泄密，需要进行不定期的数据检验。而现有技术中的数据完整性验证机制和安全共享机制大多基于密钥交换技术和第三方验证，在验证过程中需要存储大量的辅助信息，而且存在验证结果造假和密钥泄露等问题。

另外，每次系统监测和校验后得到的日志信息等均存储在中心化的服务器上，也容易遭到外部恶意的入侵和篡改，从而导致工业互联网数据安全事故发生后无法追责。

技术实现要素：

鉴于此，本发明实施例提供一种基于区块链的工业互联网数据安全监控方法及系统，以解决上述技术问题。

为实现上述技术目的，本发明实施例提供一种基于区块链的工业互联网数据安全监控方法，其改进之处在于，包括以下内容：

区块链通过智能合约获取与监控数据相对应的同态标签；

区块链将智能合约的访问权限开放给授权验证者，以使得验证者能够获取同态标签，并将根据同态标签生成的挑战信息发送给云端；

区块链将智能合约的访问权限开放给云端，以使得云端能够获取同态标签，并将根据同态标签和挑战信息生成的证明发送给验证者，从而使得验证者能够根据证明进行对比分析，以判断监控数据的完整性是否遭到破坏，进而为工业互联网数据安全监控提供可靠的数据基础。

为实现上述技术目的，本发明实施例提供一种基于区块链的工业互联网数据安全监控系统，其改进之处在于，包括：云端和区块链；

所述云端，用于获取工业现场监控数据；

所述区块链，用于对监控数据进行完整性验证，以为工业互联网数据安全监控提供可靠的数据基础。

本发明由于采取以上技术方案，与现有技术相比，其具有以下优点：

本发明通过引入区块链进行监控数据完整性验证，避免了现有技术中的密钥交换，以及第三方验证的过度中心化所导致的隐患，使得监控数据脱离本地存储到达云端后，能够进行可信、可靠、公开的完整性验证，既无需第三方等验证机构存储冗余的验证标签，无需用户侧存储多余的数据备份和验证标签，又有效减弱数据所有者对第三方审计等机构的依赖，防止了第三方审计等机构和云服务商联合作恶损坏云端存储，从而使得监控数据存储和共享的过程得到有效的防护和检验，进而为工业互联网数据安全监控提供可靠的数据基础。

本发明操作方便，成本低，可以广泛应用于工业数据安全监管技术领域。

附图说明

图1是本发明的基于区块链的工业互联网数据安全监控方法其中一个实施例的流程图；

图2是本发明的基于区块链的工业互联网数据安全监控方法另外一个实施例的流程图；

图3是本发明的基于区块链的工业互联网数据安全监控系统其中一个实施例的结构图；

图4是图3中网关的其中一个实施例的原理框图；

图5是区块链进行完整性验证的模型示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。

为便于理解或描述，将本发明涉及的相关技术术语进行下述解释或定义：

1.数据完整性验证：是指验证收到的数据和原来的数据是否保持完全一致的证明手段，其中，完整性验证中，通常是通过密码学的手段，验证服务器上的数据和之前预存的数据是否一致。

2.同态标签：是基于同态加密生成的标签，在数据完整性验证过程中，可以利用同态标签的同态特性而不需要检验文件本身来验证数据的完整性。

3.网关：又称网间连接器、协议转换器，其在网络层以上实现网络互连，用于两个高层协议不同的网络，使在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间实现互通。

4.区块链钱包：其可以用来生成公私钥(不同区块链有不同的算法规范)，它是密钥的管理工具。

5.私钥：用户用私钥签名交易，从而证明该用户拥有交易的输出权。

6.交叉编译：是在一个平台上生成另一个平台上可执行的代码，其中，受限于目标机器的性能等原因，可以在一个运算能力强的主机平台编译出针对目标平台的可执行程序。

如图1～2所示，本发明实施例提供一种基于区块链的工业互联网数据安全监控方法，包括以下内容：

区块链通过智能合约获取与监控数据相对应的同态标签；

区块链将智能合约的访问权限开放给授权验证者，以使得验证者能够获取同态标签，并将根据同态标签生成的挑战信息发送给云端；

区块链将智能合约的访问权限开放给云端，以使得云端能够获取同态标签，并将根据同态标签和挑战信息生成的证明发送给验证者，从而使得验证者能够根据证明进行对比分析，以判断监控数据的完整性是否遭到破坏，进而为工业互联网数据安全监控提供可靠的数据基础。

其中，区块链智能合约的访问权限根据用户的设置开放，只有授权的验证者和云端才能进行访问，且各授权验证者或云端之间的访问权限可以根据需要进行不同的设置，在此不进行赘述；

验证者可以是第三方平台，例如，第三方审计机构(tpa)，即：使得tpa代替用户执行数据完整性检验；

验证者可以通过rpc或者以区块链节点的形式接入区块链进行访问，但是不限于此，也可以通过其他方式接入区块链网络，在此不进行限定。

显然，通过引入区块链进行上述监控数据完整性验证，避免了现有技术中的密钥交换，以及第三方验证的过度中心化所导致的隐患，使得监控数据脱离本地存储到达云端后，能够进行可信、可靠、公开的完整性验证，既无需第三方等验证机构存储冗余的验证标签，无需用户侧存储多余的数据备份和验证标签，又有效减弱数据所有者对第三方审计等机构的依赖，防止了第三方审计等机构和云服务商联合作恶损坏云端存储，从而使得监控数据存储和共享的过程得到有效的防护和检验，进而为工业互联网数据安全监控提供可靠的数据基础。

在一些实施例中，区块链将智能合约的访问权限开放给多个授权验证者，以进一步避免传统的公开数据验证方案中，用户过度依赖某个特定的第三方平台，例如，tpa，造成的第三方验证过度中心化现象，进而有效提高验证结果的可信性。

在一些实施例中，区块链实时获取并存储验证者对监控数据的完整性的判断结果，以为实际工业生产中的事故调查追责提供依据。

显然，将判断结果存储于区块链，能够有效避免外部恶意的入侵和篡改，从而能够为工业互联网产生数据进行可靠存证，进而能够为实际工业生产中的事故调查追责提供依据，而且，将判断结果数据通过区块链进行存储，能够有效减少存储成本。

在一些实施例中，区块链通过智能合约获取针对同态标签的扰动，以生成新的盲化同态标签，从而使得当前验证者所获取的同态标签失效，进而能够根据需要随时更换验证者，非常方便。

在一些实施例中，区块链通过智能合约获取与监控数据相对应的同态标签步骤之前，包括以下内容：

通过非对称加密算法获取公私钥；

通过私钥对监控数据进行加密，获取同态标签；

将同态标签通过智能合约上传到区块链，以使得区块链通过智能合约能够获取。

其中，上述步骤可以由用户完成。

上述的基于区块链的工业互联网数据安全监控方法可以定期执行，以对监控数据的完整性进行定期验证，进而有效提高监控数据的可靠性，同时，也可以在存储周期内委托第三方平台对数据的完整性进行定期检测，非常方便。

如图3所示，本发明实施例提供一种基于区块链的工业互联网数据安全监控系统，包括：区块链5和云端6；

云端6，用于获取工业现场监控数据；

区块链5，用于对监控数据进行完整性验证，以为工业互联网数据安全监控提供可靠的数据基础。

显然，由于区块链5具有去中心化、防篡改和可信的特性，因此，通过区块链对监控数据进行完整性验证，能够有效避免第三方验证的过度中心化，以及可能遭到篡改、泄露的隐患发生，进而使得监控数据可信、可靠。

在一些实施例中，云端与现场监控设备通信，以获取工业现场监控数据。

在一些实施例中，云端通过网关与现场监控设备通信，以获取监控数据。

在一个实施例中，如图4所示，网关包括：采集器1、处理器2和发送器3；

采集器1，用于与一个以上现场监控设备4连接，以通过现场监控设备采集获取相关监控数据；

处理器2，用于获取区块链5下发的身份标识，并通过交叉编译区块链钱包，获取密钥对，并通过私钥对监控数据进行签名；

发送器3，用于将监控数据及其签名发送至云端6，以进行后续安全防护。

其中，现场监控设备4的个数根据工业现场环境需要进行设置，在此不进行限定，同时，现场监控设备4可以是用于实现监控的子设备，还可以是传感器设备，具体根据现场或车间的需求设置，在此不进行限定。

显然，区块链5具有去中心化、防篡改和可信的特性，基于此，通过获取区块链5下发的身份标识，能够有效避免中心化的机构确认或颁发强身份认证所导致的人为篡改等现象，进而能有效确保数据采集的可信性。

同时，通过交叉编译区块链钱包，获取密钥对，并通过私钥对监控数据进行签名，进一步有效提高了数据的可靠性及传输的安全性。

可见，整个监控数据的采集、传输、共享、使用等均处于区块链密码学防护体系之下，因此，保证了监控数据全生命周期的留痕、安全可信。

在一些实施例中，处理器2包括身份认证模块，身份认证模块用于向区块链5发送入网请求信息，以使得区块链5根据入网请求信息进行审核，并用于获取区块链5审核通过后下发的身份标识，其中，身份标识可以是数字身份编码。

在一个实施例中，处理器2包括交叉编译模块，交叉编译模块用于对区块链钱包进行交叉编译，以获取密钥对。

本实施例中，处理器2包括签名模块，签名模块用于与交叉编译模块通信，以获取私钥，并通过私钥对预定时间段内的数据进行签名。

在一些实施例中，处理器2包括数据映射模块，数据映射模块用于对监控数据进行映射处理，以将监控数据中的流式数据和不同设备的异构数据统一数据格式，获取序列化格式数据，进而便于上传和存储。

在一些实施例中，发送器3，用于将预定时间段内的监控数据摘要和监控数据的签名打包成交易发送至云端6，以进行后续安全防护。

在一个实施例中，发送器3通过wifi连接广域网接入云端6，并通过mqtt协议以云端服务器作为broker传输消息，使得监控数据以序列化后的json格式传输，以便于监控以及控制设备。

在一些实施例中，区块链5，用于对监控数据进行完整性验证，以为工业互联网数据安全监控提供可靠的数据基础，具体包括：

通过智能合约获取与监控数据相对应的同态标签；

将智能合约的访问权限开放给授权验证者，以使得验证者能够获取同态标签，并将根据同态标签生成的挑战信息发送给云端6；

将智能合约的访问权限开放给云端6，以使得云端6能够获取同态标签，并将根据同态标签和挑战信息生成的证明发送给验证者，从而使得验证者能够根据证明进行对比分析，以判断监控数据的完整性是否遭到破坏，进而能够有效提高安全监控的可靠性。

其中，区块链5智能合约的访问权限根据用户的设置开放，只有授权的验证者和云端6才能进行访问，且各授权验证者或云端之间的访问权限可以根据需要进行不同的设置，在此不进行赘述；

验证者可以是第三方平台，例如，第三方审计机构(tpa)，即：使得tpa代替用户执行数据完整性检验。

在一些实施例中，网关通过非对称加密算法获取公私钥；

网关通过私钥对监控数据进行加密，获取同态标签；

网关将与监控数据相对应的同态标签发送给区块链的智能合约。

在一些实施例中，区块链将智能合约的访问权限开放给多个授权验证者，以进一步避免传统的公开数据验证方案中，用户过度依赖某个特定的第三方平台，例如，tpa，造成的第三方验证过度中心化现象，进而有效提高验证结果的可信性。

在一些实施例中，区块链实时获取并存储验证者对监控数据的完整性的判断结果，以为实际工业生产中的事故调查追责提供依据。

显然，将判断结果存储于区块链，能够有效避免外部恶意的入侵和篡改，从而能够为工业互联网产生数据进行可靠存证，进而能够为实际工业生产中的事故调查追责提供依据，而且，将判断结果数据通过区块链进行存储，能够有效减少存储成本。

在一些实施例中，网关实时获取验证者对监控数据的完整性的判断结果，以供用户实时了解。

在一些实施例中，区块链通过智能合约获取针对同态标签的扰动，以生成新的盲化同态标签，从而使得当前验证者所获取的同态标签失效，进而能够根据需要随时更换验证者，非常方便。

综上可见，本发明通过对工业数据产生、存储全生命周期记录，上传至区块链网络，可以保障工业互联网数据的安全可信采集、流转和存储。

显然，本领域的技术人员应该明白，上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明实施例不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。