一种基于区块链的物联网安全通信方法和系统与流程

1.本发明涉及一种物联网安全通信方法和系统。


背景技术：

2.物联网通信涉及到人机通信，机机通信，目前通信安全采用的还是传统的网络安全管理办法，对于终端采用防火墙控制，对于远程接入方采用安全认证，没有完整的安全解决方案，如基于中心授权的安全认证存在中心超负荷运转、安全泄露和伪装欺骗等，对于通信双方真实身份无法进行有效识别和认证。


技术实现要素：

3.本发明所要解决的技术问题是，依托区块链和信任机（专利申请号：2020111511913）支持，每个物联网终端安装一个信任机节点，同时在区块链上注册对应账号，该信任机节点不仅作为该终端唯一身份识别，而且还是与其他通信方的一个可信加密通道，所有通信对象或程序都在区块链上分配对应的账号，每个通信程序可以通过对方所拥有各种第三方签名确认双方通信的权限，这样就实现了通信双方的可信通信控制。
4.为解决上述技术问题，本发明的技术方案如下：一种基于区块链的物联网安全通信方法，包括以下步骤：每个通信程序均在区块链上分配一个对应账号，该账号包含所有者信息，版本信息，对外服务数字签名权限要求，拥有的第三方数字签名，第三方数字签名包含本账号对其他账号的访问权限，同时设置该版本下对应的敏感文件的内容哈希特征值，第三方签名和敏感文件内容哈希特征值有变化均会上链固化保存，通信双方是否可以通信，是靠识别对方是否有相符的签名权限来控制的；每个彼此需要连接的物联网通信终端都必须安装兼容的信任机版本，两个终端通信都只是以本地信任机做为代理，通过两个终端信任机之间的可信通道来完成的，在信任机通信网络中，每个终端节点在保留信任机通信端口外，通过防火墙关闭所有其他通信端口，这样可以起到掩藏通信端口作用，所有通信只能通过信任机跟外部通信，使每个终端成为一个安全堡垒；信任机提供一个udp和一个tcp的代理加密通信通道，终端通信程序均配置本地信任机做为代理服务；一次成功通信连接创建包括通信发起方和通信接收方两次认证过程；通信发起方认证过程：通信发起方配置本地信任机为代理，本地信任机接受到连接请求后，通过当前连接请求方端口找到主程序路径，通过该主程序信息从区块链中找到通信程序的区块链账号，然后对发起方通信程序敏感文件进行检查，看是否安全，再检查通信发起方数字签名，是否有访问本地信任机、目的信任机的权限，目的信任机区块链账号通过目的ip在区块链中得到，如果检查通过，本地信任机会跟目的信任机建立一个加密通信通道，通信发起方后续通信数据都通过该加密通道进行通信；
通信接收方认证过程：目的信任机收到通信发起方信任机建立通信通道请求后，会通过发起方区块链账号和发起方信任机区块链账号拥有的数字签名，检查是否有访问当前服务程序的权限，当前服务程序区块链账号由目的信任机根据本地服务端口可以从区块链中获取，如果检查通过，则目的信任机接受发起方信任机的连接请求，同时跟服务建立连接，建立成功后，信任机之间就为通信发起方程序与服务程序之间架设了一个安全加密的代理通信通道；信任机系统是一种不依赖第三方，双方通信时候可以自主确认对方是否可信的一种去中心的可信网络，详细内容可以参见一种去中心化信任机实现方法和系统【专利申请号：2020111511913】，基于该专利思想，信任机可以采用区块链自带的信任机，也可以由第三方参照信任机专利技术自主开发的不开源的信任机系统，只要保证彼此相连的终端采用兼容的信任机版本就可以；针对一种基于区块链的物联网安全通信方法和系统专利技术要求，信任机需要增加如下功能：tcp和udp代理服务：两个终端通信，为了实现完全安全可控，所有通信都必须由信任机之间建立的加密通信通道来完成，因此信任机必须提供标准的代理服务接口，比如socket代理等，同时提供自定义的通用代理服务接口；区块链身份识别：信任机代理服务严格限制本地连接，拒绝远程代理服务，接受连接时通过本地程序通信端口，识别到对应的进程名路径，再通过区块链查询接口获取对应的区块链账号，就可以下载该账号的相关认证信息；权限认证：权限认证包括发起通信方信任机和目的信任机双重控制，发起通信方信任机认证主要是确认发起方通信程序是诚实可信的，没有中毒或人为伪装，再确认通信方是否有访问目的信任机的权限，目的信任机主要是验证发起方通信程序是否有权限连接目的服务程序；远程安装程序：为了便于物联网终端实时更新可信程序的部署，根据该程序区块链配置，提供远程安装功能，在接受安装命令时，需要检查当前信任机是否有开通安装功能，发送安装程序的用户账号是否有权限在当前信任机安装该程序，如权限不符合，禁止安装行为，在执行安装程序时，还要对命令数字签名进行确认，确保该命令是控制方发过来的；远程卸载程序：为了便于物联网终端实时更新可信程序的部署，根据该程序区块链配置，提供远程卸载功能，在接受卸载命令时，需要检查当前信任机是否有开通卸载功能，发送卸载程序的用户账号是否有权限在当前信任机卸载该程序，如权限不符合，禁止卸载行为，在执行卸载程序时，还要对命令数字签名进行确认，确保该命令是控制方发过来的；信任机配置查询：每个物联网终端不论是预装还是后面安装的信任机，默认状况是没有在区块链上注册账号的，控制方可以通过该接口查询信任机是否已注册账号，在执行查询命令时候，信任机也会对命令签名进行确认，确保该命令是控制方发过来的；信任机配置设置：信任机在执行该命令时，先要对命令签名进行确认，证明该命令是由控制方发过来的，每次对该信任机操作权限控制的数字签名有变化后，均会执行该命令进行更新；
第三方数字签名：区块链平台上会有各种专业的第三方共识机构，针对每个程序可以指定只有具备某个第三方签名的才能准入通信，因此如果某个程序需要具备该权限，就可以在区块链上对该机构进行签名申请，具体申请时候需要提供该版本的所有者信息和敏感文件内容特征值，作为签名内容，计算哈希值，然后对该哈希值申请不同的机构进行签名，机构收到签名请求后，根据具体约定，签名记录都要上区块链固化保存；所述第三方签名和敏感文件内容哈希特征值有变化均会上链固化保存：每个程序生成对应的敏感文件特征值，邀请第三方签名以及签名结果，都会作为交易记录，在区块链中打包存储，作为历史操作凭证固定下来；所述信任机版本兼容：信任机网络中的信任机都可以通过彼此认证确认可信，参照一种去中心化信任机实现方法和系统【专利申请号：2020111511913】技术，作为某个私有物联网，也可以自主开发自己的信任机网络，只要实现信任机的信任认证模块和该专利提供的信任机支持接口，都可以跟区块链平台对接，实现对物联网的管理；所述第三方共识机构：物联网之间通信权限控制和连接准入，都是通过赋予相应的数字签名实现的，所以这共识机构可以是权威认证机构区块链账号，也可以是第三方的授权区块链账号，也可以是某物联网不同角色权限的授权区块链账号。
5.一种基于区块链的物联网安全通信方法和系统，部署物联网区块链系统，在每个物联网终端安装信任机节点，为每个信任机节点注册区块链账号，为不同的物联网终端节点信任机分配不同的控制权限，为不同的通信程序注册区块链账号，同时配置该通信程序的敏感文件内容特征码，对外服务权限数字签名和该程序的安装和卸载脚本，针对不同的信任机和通信程序申请不同的共识机构进行签名，通信程序发起通信时，均通过本地信任机代理服务，实现跟远端通信，本地信任机接受代理请求时候，会检查通信发起方程序是否诚实可信和是否有访问目的信任机的权限，目的信任机会检查通信发起方是否有访问目的服务的权限，验证通过后，信任机就会为通信发起方和服务方架设一条私密的安全通道，这样就提供了物联网程序之间安全通信的一种全新途径。
附图说明
6.图1是本发明的一种基于区块链的物联网终端程序之间通信的连接建立过程流程图。
具体实施方式
7.下面根据附图，给出本发明的较佳实施例，并予以详细描述，使能更好地理解本发明的功能、特点。
8.物联网终端均安装信任机，信任机和终端上的通信程序均在区块链上注册账号和登记相关信息，包括进程名，敏感文件哈希值，版本以及各种索引等，同时为每个账号申请不同的权限签名。
9.节点a中的程序a跟节点b中的程序b建立连接的过程描述：程序a首先配置信任机a为自身通信代理；信任机a接收到连接请求后，首先确认对方为本地连接，然后通过本地操作系统接口找到对方进程名和进程路径，再通过区块链获取当前通信程序的区块链账号，下载该账
号相关信息，检查通信程序的真实性，是否跟区块链登记的信息相符，确认没有感染病毒或伪装，如没有通过，连接失败；通过后，再检查是否有权限访问当前信任机和远程信任机，权限通过后，信任机a利用信任通道向目的ip地址对应的信任机b发起通信连接请求，如权限没有通过，连接失败；信任机b接收到信任机a发来的代理连接请求后，会通过目的服务端口，检索本地通信程序，找到程序b的进程名和进程路径，然后通过区块链获取程序b的区块链账号，下载权限配置，检查程序a是否有权限访问程序b，如没有权限，连接失败；权限通过，信任机b会跟程序b建立连接，同时把程序a跟信任机a的连接，信任机a跟信任机b建立的连接绑定，形成一个私密的通信通道。
10.程序a通过区块链登记信息，信任机a与信任机b通过权限检查，利用自身的加密可信通道，就与程序b建立了一个可信私密的安全通道。
11.显然，在上述教导下，可能对本发明进行多种修正和变型，并在所附权利要求的范围内，本发明可以以不同于具体描述的方式实施。