一种基于区块链的物联网安全可信接入方法、系统及设备与流程

1.本发明涉及区块链领域，尤其涉及一种基于区块链的物联网安全可信接入方法、系统及设备。


背景技术：

2.目前，现有的配电物联网系统大量使用4g/5g无线接入物联网平台，实现配电房、台区等数据采集监控。然而采用无线接入，必然将系统置于公网环境中。全面系统的安全性是重点考虑的地方，当前通过加密、防火墙、u盾等机制，已对数据进行了很严密的保护。但是无线、公网环境下，自主的设备身份认证，在终端设备层面尚未普及，物联网终端设备及通信模组目前缺乏有效的接入认证机制，由于海量的物联网终端设备广泛分布，若无高效可靠的接入认证机制，如果伪造身份的装置接入物联网平台，将会给平台带来极大风险，可能带来网络垃圾数据进而网络崩溃，也可能导致系统功能破坏紊乱。另外，当前的安全架构是一种集中式管理，数据容易被篡改、设备数据会丢失，维护成本也会逐渐增加。如何实现分布式数据管理，提升系统的冗余度，也是数据安全的内在需求。
3.物联网设备的数量激增，大规模的物物互联给人们带来便利的同时也存在许多安全隐患，其中物联网设备和用户的可信身份认证是解决相关安全问题的基础。目前采用的安全身份认证手段有密钥、证书、安全模块等方式，在一定程度上保障了终端设备的通信和业务安全，但是现有的安全认证技术存在依赖可信的第三方，信任成本高，容易引发单点故障和内部篡改攻击的技术问题。


技术实现要素：

4.本发明提供了一种基于区块链的物联网安全可信接入方法、系统及设备，解决了现有的安全认证技术存在依赖可信的第三方，信任成本高，容易引发单点故障和内部篡改攻击的技术问题。
5.本发明提供的一种基于区块链的物联网安全可信接入方法，所述方法适用于预先建立的区块链，包括以下步骤：终端设备对物联网平台发起交互请求；物联网平台从区块链的账本中获取终端设备的身份认证信息，根据终端设备的身份认证信息对终端设备进行验证；若验证通过，物联网平台与终端设备进行交互，为终端设备分配权限。
6.优选的，区块链的每个分节点与每个终端设备一一对应，每个分节点对对应的终端设备的身份信息进行认证，生成终端设备的身份认证信息，区块链根据每个分节点生成的终端设备的身份认证信息生成账本。
7.优选的，每个分节点对对应的终端设备的身份信息进行认证，生成终端设备的身份认证信息的具体过程为：每个分节点对对应的终端设备的身份信息进行认证，根据智能合约实现生成终端
设备的身份认证信息。
8.优选的，在验证通过后，还包括以下步骤：物联网平台实时对终端设备进行监控。
9.优选的，物联网平台为终端设备分配权限的具体过程为：物联网平台基于权限控制策略，结合终端设备的特性为终端设备分配权限。
10.一种基于区块链的物联网安全可信接入系统，包括区块链建立模块、通讯模块、身份信息验证模块以及权限分配模块；所述区块链建立模块用于建立区块链；所述通讯模块用于使终端设备对物联网平台发起交互请求；所述身份信息验证模块用于令物联网平台从区块链的账本中获取终端设备的身份认证信息，根据终端设备的身份认证信息对终端设备进行验证；所述权限分配模块用于在验证通过时，令物联网平台与终端设备进行交互，为终端设备分配权限。
11.优选的，身份信息验证模块中每个分节点对对应的终端设备的身份信息进行认证，生成终端设备的身份认证信息的具体过程为：每个分节点对对应的终端设备的身份信息进行认证，根据智能合约实现生成终端设备的身份认证信息。
12.优选的，权限分配模块在验证通过后，还用于：令物联网平台实时对终端设备进行监控。
13.优选的，权限分配模块令物联网平台为终端设备分配权限的具体过程为：物联网平台基于权限控制策略，结合终端设备的特性为终端设备分配权限。
14.一种基于区块链的物联网安全可信接入设备，包括处理器以及存储器；所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；所述处理器用于根据所述程序代码中的指令执行上述的一种基于区块链的物联网安全可信接入方法。
15.从以上技术方案可以看出，本发明具有以下优点：本发明实施例提供的一种基于区块链的物联网安全可信接入方法、系统及设备，本发明将终端设备的身份认证信息存储在区块链中，物联网平台从区块链的账本中获取终端设备的身份认证信息，根据终端设备的身份认证信息对终端设备进行验证，与验证通过的终端设备进行交互，为终端设备分配权限。从而保证关键信息不会被篡改或窃取，解决了现有的安全认证技术存在依赖可信的第三方，信任成本高，容易引发单点故障和内部篡改攻击的技术问题，提升了认证过程安全性和效率。
16.附图说明
17.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。
18.图1为本发明实施例提供的一种基于区块链的物联网安全可信接入方法的方法流程图。
19.图2为本发明实施例提供的一种基于区块链的物联网安全可信接入系统的系统结构图。
20.图3为本发明实施例提供的一种基于区块链的物联网安全可信接入设备的设备框架图。
21.具体实施方式
22.本发明实施例提供了一种基于区块链的物联网安全可信接入方法、系统及设备，解决了现有的安全认证技术存在依赖可信的第三方，信任成本高，容易引发单点故障和内部篡改攻击的技术问题。
23.为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
24.实施例一请参阅图1，图1为本发明实施例提供的一种基于区块链的物联网安全可信接入方法的方法流程图。
25.本发明提供的一种基于区块链的物联网安全可信接入方法，所述方法适用于预先建立的区块链，包括以下步骤：终端设备对物联网平台发起交互请求；物联网平台从区块链的账本中获取终端设备的身份认证信息，根据终端设备的身份认证信息对终端设备进行验证；若验证通过，物联网平台与终端设备进行交互，为终端设备分配权限。
26.作为一个优选的实施例，区块链的每个分节点与每个终端设备一一对应，每个分节点对对应的终端设备的身份信息进行认证，生成终端设备的身份认证信息，区块链根据每个分节点生成的终端设备的身份认证信息生成账本。
27.作为一个优选的实施例，每个分节点对对应的终端设备的身份信息进行认证，生成终端设备的身份认证信息的具体过程为：每个分节点对对应的终端设备的身份信息进行认证，根据智能合约实现生成终端设备的身份认证信息。
28.作为一个优选的实施例，在验证通过后，还包括以下步骤：物联网平台实时对终端设备进行监控。
29.作为一个优选的实施例，物联网平台为终端设备分配权限的具体过程为：物联网平台基于权限控制策略，结合终端设备的特性为终端设备分配权限。
30.本发明实施例提供的一种基于区块链的物联网安全可信接入方法、系统及设备，本发明将终端设备的身份认证信息存储在区块链中，物联网平台从区块链的账本中获取终
端设备的身份认证信息，根据终端设备的身份认证信息对终端设备进行验证，与验证通过的终端设备进行交互，为终端设备分配权限。从而保证关键信息不会被篡改或窃取，解决了现有的安全认证技术存在依赖可信的第三方，信任成本高，容易引发单点故障和内部篡改攻击的技术问题，提升了认证过程安全性和效率。
31.实施例二如图2所示，图2为本实施例提供的一种基于区块链的物联网安全可信接入系统，包括区块链建立模块201、通讯模块202、身份信息验证模块203以及权限分配模块204；所述区块链建立模块201用于建立区块链；所述通讯模块202用于使终端设备对物联网平台发起交互请求；所述身份信息验证模块203用于令物联网平台从区块链的账本中获取终端设备的身份认证信息，根据终端设备的身份认证信息对终端设备进行验证；所述权限分配模块204用于在验证通过时，令物联网平台与终端设备进行交互，为终端设备分配权限。
32.作为一个优选的实施例，身份信息验证模块203中每个分节点对对应的终端设备的身份信息进行认证，生成终端设备的身份认证信息的具体过程为：每个分节点对对应的终端设备的身份信息进行认证，根据智能合约实现生成终端设备的身份认证信息。
33.作为一个优选的实施例，权限分配模块204在验证通过后，还用于：令物联网平台实时对终端设备进行监控。
34.作为一个优选的实施例，权限分配模块204令物联网平台为终端设备分配权限的具体过程为：物联网平台基于权限控制策略，结合终端设备的特性为终端设备分配权限。
35.如图3所示，本实施例提供的一种基于区块链的物联网安全可信接入设备30，所述设备包括处理器300以及存储器301；所述存储器301用于存储程序代码302，并将所述程序代码302传输给所述处理器；所述处理器300用于根据所述程序代码302中的指令执行上述的一种基于区块链的物联网安全可信接入方法中的步骤。
36.示例性的，所述计算机程序302可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器301中，并由所述处理器300执行，以完成本技术。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序302在所述终端设备30中的执行过程。
37.所述终端设备30可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括，但不仅限于，处理器300、存储器301。本领域技术人员可以理解，图3仅仅是终端设备30的示例，并不构成对终端设备30的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
38.所称处理器300可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器 (digital signal processor，dsp)、专用集成电路 (application specific integrated circuit，asic)、现成可编程门阵列 (field
‑
programmable gate array，fpga) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
39.所述存储器301可以是所述终端设备30的内部存储单元，例如终端设备30的硬盘或内存。所述存储器301也可以是所述终端设备30的外部存储设备，例如所述终端设备30上配备的插接式硬盘，智能存储卡（smart media card, smc），安全数字（secure digital, sd）卡，闪存卡（flash card）等。进一步地，所述存储器301还可以既包括所述终端设备30的内部存储单元也包括外部存储设备。所述存储器301用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器301还可以用于暂时地存储已经输出或者将要输出的数据。
40.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
41.在本技术所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
42.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
43.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
44.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read
‑
only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。
45.以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。