一种基于区块链的联网设备监管认证方法及系统与流程

1.本发明涉及一种基于区块链的联网设备监管认证方法及系统，属于联网设备监督认证技术领域。


背景技术：

2.为了降低公开密钥系统中密钥和证书管理的复杂性，以色列科学家、rsa算法发明人之一adi shamir在1984年提出了标识密码（identity
‑
based cryptography）的理念。标识密码将用户的标识（如邮件地址、手机号码、qq号码等）作为公钥，省略了交换数字证书和公钥过程，使得安全系统变得易于部署和管理，非常适合端对端离线安全通讯、云端数据加密、基于属性加密、基于策略加密的各种场合。2008年标识密码算法正式获得国家密码管理局颁发的商密算法型号：sm9(商密九号算法)，为我国标识密码技术的应用奠定了坚实的基础。sm9算法不需要申请数字证书，适用于互联网应用的各种新兴应用的安全保障。如基于云技术的密码服务、电子邮件安全、智能终端保护、物联网安全、云存储安全等等。这些安全应用可采用手机号码或邮件地址作为公钥，实现数据加密、身份认证、通话加密、通道加密等安全应用，并具有使用方便，易于部署的特点，从而开启了普及密码算法的大门。
3.为保证sm9的安全管理和服务，需要建设包括密钥生成服务（pkg/kgc）、用户注册/本地代理（ra/la）、公开参数服务（pps）、终端实体、密钥及其载体分发以及系统安全管理和防护等6部分功能的ibc密钥基础设施。
4.国家密码管理局定义了《信息安全技术基于标识密码的密钥基础设施规范》，虽然定义了各组件的功能，一方面未给出技术实现方式；另一方面标识颁发的客体是人，即是为用户提供公钥密码应用认证服务，并不适用智能设备或it/ot设备在生产、销售、使用各环节中针对设备厂商、监管机构、运营与使用机构提供注册与身份认证等设备全生命周期管理的安全需求。
5.现有技术对于联网设备，还没有形成一套完整的监督、认证过程，因此现有联网设备在各环节上的应用还处于相互独立的状态，在实际实施上付出的成本更高，也就直接降低了安全认证的普及率，对于联网设备的实际应用，就存在着安全隐患。
6.本文提出了一种以区块链为存储，以共享协商机制实现分布式用户注册的ibc密钥基础设施服务平台，可以更高效保证身份标识的唯一性，提高系统稳定性与开放性，满足大规模智能终端、物联网设备在生产、销售、使用各环节中针对设备厂商、监管机构、运营与使用机构提供注册与身份认证等设备全生命周期管理的安全保障。。


技术实现要素：

7.本发明所要解决的技术问题是提供一种基于区块链的联网设备监管认证方法，引入区块链共识共享技术，能够针对联网设备实际生产、销售、使用各环节实现串联监督认证，有效保证了联网设备实际应用工作的安全性。
8.本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种基于区块链
的联网设备监管认证方法，用于针对作为联网设备的智能设备或it/ot设备，实现对联网设备的监管认证；基于联网设备的设备厂商，以及符合ibc密钥管理规范与数据共识共享协议的区块链，执行如下步骤a1至步骤a4，实现生产环节标识私钥构建方法；并基于区块链上数据的共识共享，实现监管机构、使用机构分别对联网设备的监管认证；步骤a1. 设备厂商获取联网设备唯一的标识信息，并由设备厂商对应区块链的厂商区块链节点，基于区块链上的数据，检查标识信息的唯一性与合法性，若检查结果失败，则该联网设备标识私钥构建失败，若检查结果成功，则进入步骤a2；步骤a2. 设备厂商ibc服务根据其所采用加密服务的公开参数、结合所对应ibc密钥管理的私钥，生成标识信息所对应的标识私钥，并进入步骤a3；步骤a3. 设备厂商获得标识私钥的密钥哈希，设备厂商构建标识信息与密钥哈希之间的对应关系，并经厂商区块链节点保存至区块链上，实现监管机构、使用机构分别对应区块链的监管区块链节点、使用区块链节点针对区块链上所保存数据的共识同步，然后进入步骤a4；步骤a4. 设备厂商将标识私钥添加至联网设备中，实现联网设备生产环节标识私钥构建。
9.作为本发明的一种优选技术方案：设备厂商按如下过程，实现接入注册申请；设备厂商向监管机构提交厂商信息、以及设备厂商ibc服务所采用加密服务的公开参数，实现设备厂商的接入注册申请，由监管机构检查厂商信息的唯一性和合法性，若检查结果失败，则设备厂商的接入注册申请失败；若检查结果成功，则完成设备厂商的接入注册申请，并将厂商注册信息、以及设备厂商ibc服务所采用加密服务的公开参数，经设备厂商对应区块链的厂商区块链节点保存至区块链上，获得监管机构、使用机构分别对应区块链的监管区块链节点、使用区块链节点针对所保存数据的共识同步。
10.作为本发明的一种优选技术方案：步骤a4中，设备厂商针对标识私钥进行加密传输，发往联网设备中，由联网设备接收、解密获得标识私钥，并添加至联网设备中。
11.作为本发明的一种优选技术方案：基于区块链上数据的共识共享，由监管机构执行如下步骤b1至步骤b4，实现销售环节监管认证方法；步骤b1. 监管机构向联网设备申请标识信息，由联网设备应用其内的标识私钥针对标识信息进行签名，获得标识信息与签名，并返回至监管机构，然后进入步骤b2；步骤b2. 监管机构应用其对应区块链的监管区块链节点，判断区块链上是否存在该标识信息，是则进入步骤b3；否则针对联网设备的监管认证失败；步骤b3. 监管机构基于区块链上查询，获得该标识信息所对应设备厂商采用加密服务的公开参数，然后进入步骤b4；步骤b4.监管机构根据公开参数，针对该签名进行验证，若验证成功，则表示联网设备通过监管认证；若验证不成功，则表示联网设备未通过监管认证。
12.作为本发明的一种优选技术方案：基于区块链上数据的共识共享，由使用机构执行如下步骤c1至步骤c4，实现使用环节认证方法；步骤c1. 联网设备通电连接使用机构的接入网关，并应用其内的标识私钥针对标识信息进行签名，将标识信息与签名发送至使用机构的接入网关，然后进入步骤c2；步骤c2. 使用机构应用其对应区块链的使用区块链节点，判断区块链上是否存在
该标识信息，是则进入步骤c3；否则针对联网设备的使用认证失败；步骤c3. 使用机构基于区块链上查询，获得该标识信息所对应设备厂商采用加密服务的公开参数，然后进入步骤c4；步骤c4.使用机构根据公开参数，针对该签名进行验证，若验证成功，则表示联网设备通过使用认证，并向联网设备进行反馈；若验证不成功，则表示联网设备未通过使用认证，并向联网设备进行反馈。
13.作为本发明的一种优选技术方案：基于使用机构执行步骤c1至步骤c4，实现使用环节认证方法后，还包括如下步骤d1至d2；步骤d1. 联网设备向使用机构的接入网关申请业务交互，接入网关针对该申请执行访问控制，并进入步骤d2；步骤d2. 由接入网关将来自联网设备的业务交互申请，转发至相应业务应用，由业务应用进行响应，并经接入网关转发至联网设备。
14.本发明所要解决的技术问题是提供一种执行基于区块链的联网设备监管认证方法的系统，通过结合区块链共识共享技术的监管认证方法应用，能够针对联网设备实际生产、销售、使用各环节实现串联监督认证，有效保证了联网设备实际应用工作的安全性。
15.本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种执行基于区块链的联网设备监管认证方法的系统，所述设备厂商中除包括其对应区块链的厂商区块链节点以外，还包括设备厂商所对应的ibc密钥管理基础设施、加解密模块；其中，ibc密钥管理基础设施内含设备厂商所采用加密服务的公开参数服务，厂商区块链节点分别与对应ibc密钥管理基础设施、公开参数服务、加解密模块连接通信；所述生产环节标识私钥构建方法包括如下步骤：步骤a1. 设备厂商获取联网设备唯一的标识信息，并基于标识信息向对应ibc密钥管理基础设施申请密钥；然后由ibc密钥管理基础设施内的公开参数服务向设备厂商对应区块链的厂商区块链节点，申请检查标识信息的唯一性与合法性，由厂商区块链节点基于区块链上的数据，检查、并向对应ibc密钥管理基础设施返回检查结果，若检查结果失败，则该联网设备标识私钥构建失败，若检查结果成功，则进入步骤a2；步骤a2. ibc密钥管理基础设施通过其内的公开参数服务，查询获取设备厂商所采用加密服务的公开参数，并结合对应ibc密钥管理基础设施的私钥，生成标识信息所对应的标识私钥，并进入步骤a3；步骤a3. ibc密钥管理基础设施获得标识私钥的密钥哈希，ibc密钥管理基础设施构建标识信息与密钥哈希之间的对应关系，并经厂商区块链节点保存至区块链上，实现监管机构、使用机构分别对应区块链的监管区块链节点、使用区块链节点针对区块链上所保存数据的共识同步，然后进入步骤a4；步骤a4. 由ibc密钥管理基础设施针对标识私钥进行加密，并发往联网设备中，由联网设备接收、解密获得标识私钥，并添加至联网设备中，实现联网设备生产环节标识私钥构建。
16.作为本发明的一种优选技术方案：所述监管机构中除包括其对应区块链的监管区块链节点以外，还包括监管机构所对应的ibc密钥管理基础设施、加解密模块；其中，ibc密钥管理基础设施内含公开参数服务，监管区块链节点分别与对应ibc密钥管理基础设施、公
开参数服务、加解密模块连接通信；所述销售环节监管认证方法中：所述步骤b3中，监管机构通过对应ibc密钥管理基础设施内公开参数服务，基于区块链查询获得该标识信息所对应设备厂商采用加密服务的公开参数。
17.作为本发明的一种优选技术方案：所述使用机构中除包括其对应区块链的使用区块链节点以外，还包括使用机构所对应的ibc密钥管理基础设施、加解密模块；其中，ibc密钥管理基础设施内含公开参数服务，监管区块链节点分别与对应ibc密钥管理基础设施、公开参数服务、加解密模块连接通信；所述使用环节认证方法中：所述步骤c3中，使用机构通过对应ibc密钥管理基础设施内公开参数服务，基于区块链查询查询获得该标识信息所对应设备厂商采用加密服务的公开参数。
18.作为本发明的一种优选技术方案：所述联网设备包括设备与密码模块，密码模块用于存放所述标识私钥。
19.本发明所述一种基于区块链的联网设备监管认证方法及系统，采用以上技术方案与现有技术相比，具有以下技术效果：（1）本发明所设计一种基于区块链的联网设备监管认证方法及系统，引入区块链作为存储，以共享协商机制实现分布式用户注册的ibc密钥基础设施服务，可以更高效保证身份标识的唯一性，提高系统稳定性与开放性，满足大规模智能终端、联网设备在生产、销售、使用各环节中，针对设备厂商、监管机构、使用机构提供注册与身份认证等设备全生命周期管理的安全保障，整个设计方案不依赖单方机构，数据各方可查、可追溯、难于篡改，有效保证了联网设备实际应用工作的安全性；（2）本发明所设计一种基于区块链的联网设备监管认证方法及系统，相对于证书认证，不依赖单方机构或者直接信任厂商pki，能够建立起各方都可信、可查的共享信息，满足对设备认证需求，降低设备被伪造的可能，实现设备的可追溯性；（3）本发明所设计一种基于区块链的联网设备监管认证方法及系统，通过建立以标识为基础的ibc密钥管理基础设施，通过区块链共识算法与不可篡改性实现相关信息的存储，满足厂商、监管机构、使用者各方均可信的基础设施，实现设备标识的可信认证，满足设备在各个环节的安全接入认证需求。
附图说明
20.图1是本发明所设计执行基于区块链的联网设备监管认证方法的系统架构示意图；图2是本发明所设计执行基于区块链的联网设备监管认证方法的系统功能架构示意图；图3是本发明所设计基于区块链的联网设备监管认证方法中生产环节标识私钥构建示意；图4是本发明所设计基于区块链的联网设备监管认证方法中销售环节监管认证示意；图5是本发明所设计基于区块链的联网设备监管认证方法中使用环节认证示意。
具体实施方式
21.下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
22.本发明设计了一种基于区块链的联网设备监管认证方法及系统，用于针对作为联网设备的智能设备或it/ot设备，实现对联网设备的监管认证；实际应用当中，如图1所示，针对联网设备的设备厂商、监管机构、使用机构，具体设计设备厂商中包括其对应区块链的厂商区块链节点、以及设备厂商所对应的ibc密钥管理基础设施、加解密模块；其中，ibc密钥管理基础设施内含设备厂商所采用加密服务的公开参数服务，厂商区块链节点分别与对应ibc密钥管理基础设施、公开参数服务、加解密模块连接通信。
23.设计监管机构中包括其对应区块链的监管区块链节点、以及监管机构所对应的ibc密钥管理基础设施、加解密模块；其中，ibc密钥管理基础设施内含公开参数服务，监管区块链节点分别与对应ibc密钥管理基础设施、公开参数服务、加解密模块连接通信；还有设计使用机构中包括其对应区块链的使用区块链节点、以及使用机构所对应的ibc密钥管理基础设施、加解密模块；其中，ibc密钥管理基础设施内含公开参数服务，监管区块链节点分别与对应ibc密钥管理基础设施、公开参数服务、加解密模块连接通信。
24.此外在实际应用中，针对联网设备，进一步具体设计包括设备与密码模块，密码模块用于存放所述标识私钥。
25.实际应用当中，本发明设计还结合了符合ibc密钥管理规范与数据共识共享协议的区块链，结合图2所示，进行实际的应用，其中系统整体功能包括数据共识层、业务层、公开参数服务、安全管理与安全防护、以及应用层。
26.数据共识层：实现节点注册与选取、标识数据上链存储、数据共识同步、快速检索、基础加解密服务。
27.业务层：ibc密钥管理基础设施功能：实现厂商管理、标识注册、注销、更新、密钥随机数生成、sm9密钥生成等密钥相关的管理功能公开参数服务：提供标识查询、sm9公开参数查询功能安全管理与安全防护：授权管理、访问控制、日志审计、监控服务应用层：实现设备标识管理、设备认证、设备检测、设备追溯等业务功能，满足实际业务需要。
28.实际应用中，对于设备厂商在整个所设计系统中的接入，具体设计按如下过程执行，实现了设备厂商的接入注册申请。
29.设备厂商向监管机构提交厂商信息、以及设备厂商ibc服务所采用加密服务的公开参数，实现设备厂商的接入注册申请，由监管机构检查厂商信息的唯一性和合法性，若检查结果失败，则设备厂商的接入注册申请失败；若检查结果成功，则完成设备厂商的接入注册申请，并将厂商注册信息、以及设备厂商ibc服务所采用加密服务的公开参数，经设备厂商对应区块链的厂商区块链节点保存至区块链上，获得监管机构、使用机构分别对应区块链的监管区块链节点、使用区块链节点针对所保存数据的共识同步。
30.伴随设备厂商、监管机构、使用机构的具体设计，以及设备厂商在整个所设计系统中的实际接入，实际应用当中，如图3所示，执行如下步骤a1至步骤a4，实现生产环节标识私钥构建方法；然后基于区块链上数据的共识共享，实现监管机构、使用机构分别对联网设备的监管认证。
31.步骤a1. 设备厂商获取联网设备唯一的标识信息，并基于标识信息向对应ibc密钥管理基础设施申请密钥；然后由ibc密钥管理基础设施内的公开参数服务向设备厂商对应区块链的厂商区块链节点，申请检查标识信息的唯一性与合法性，由厂商区块链节点基于区块链上的数据，检查、并向对应ibc密钥管理基础设施返回检查结果，若检查结果失败，则该联网设备标识私钥构建失败，若检查结果成功，则进入步骤a2。
32.步骤a2. ibc密钥管理基础设施通过其内的公开参数服务，查询获取设备厂商所采用加密服务的公开参数，并结合对应ibc密钥管理基础设施的私钥，生成标识信息所对应的标识私钥，并进入步骤a3。这里在实际应用中，具体可以应用sm9密钥生成算法，生成标识信息所对应的标识私钥。
33.步骤a3. ibc密钥管理基础设施获得标识私钥的密钥哈希，ibc密钥管理基础设施构建标识信息与密钥哈希之间的对应关系，并经厂商区块链节点保存至区块链上，实现监管机构、使用机构分别对应区块链的监管区块链节点、使用区块链节点针对区块链上所保存数据的共识同步，然后进入步骤a4。
34.步骤a4. 由ibc密钥管理基础设施针对标识私钥进行加密，并发往联网设备中，由联网设备接收、解密获得标识私钥，并添加至联网设备的密码模块中，实现联网设备生产环节标识私钥构建。
35.实际具体实施中，上述步骤a4中，还会进一步设计设备厂商针对标识私钥进行加密传输，发往联网设备中，由联网设备接收、解密获得标识私钥，并添加至联网设备中；如此设计，即针对设备厂商与联网设备之间的通信过程，加入加密实施操作，保证了这个环节数据传输的安全性。
36.实际应用基于步骤a1至步骤a4所实现生产环节标识私钥构建方法后，即完成了联网设备生产环节的介入操作，然后即进入联网设备的销售环节，在这个环节当中，即按图4所示，基于区块链上数据的共识共享，由监管机构执行如下步骤b1至步骤b4，实现销售环节监管认证方法。
37.步骤b1. 监管机构向联网设备申请标识信息，由联网设备应用其内的标识私钥针对标识信息进行签名，获得标识信息与签名，并返回至监管机构，然后进入步骤b2。
38.步骤b2. 监管机构应用其对应区块链的监管区块链节点，判断区块链上是否存在该标识信息，是则进入步骤b3；否则针对联网设备的监管认证失败。
39.步骤b3. 监管机构通过对应ibc密钥管理基础设施内公开参数服务，基于区块链查询获得该标识信息所对应设备厂商采用加密服务的公开参数，然后进入步骤b4。
40.步骤b4.监管机构根据公开参数，针对该签名进行验证，若验证成功，则表示联网设备通过监管认证；若验证不成功，则表示联网设备未通过监管认证。
41.实际应用当中，监管机构中的加解密设备包括但不限于执行厂商注册或者区块链数据上链功能的加解密。
42.在针对联网设备销售环节实现了监管认证之后，即进入到联网设备的使用环节，即这里针对这个环节，具体设计按图5所示，基于区块链上数据的共识共享，由使用机构执行如下步骤c1至步骤c4，实现使用环节认证方法。
43.步骤c1. 联网设备通电连接使用机构的接入网关，并应用其内的标识私钥针对标识信息进行签名，将标识信息与签名发送至使用机构的接入网关，然后进入步骤c2。
44.步骤c2. 使用机构应用其对应区块链的使用区块链节点，判断区块链上是否存在该标识信息，是则进入步骤c3；否则针对联网设备的使用认证失败。
45.步骤c3. 使用机构通过对应ibc密钥管理基础设施内公开参数服务，基于区块链查询查询获得该标识信息所对应设备厂商采用加密服务的公开参数，然后进入步骤c4。
46.步骤c4.使用机构根据公开参数，针对该签名进行验证，若验证成功，则表示联网设备通过使用认证，并向联网设备进行反馈；若验证不成功，则表示联网设备未通过使用认证，并向联网设备进行反馈。
47.实际应用当中，使用机构中的加解密设备包括但不限于执行更新设备使用环境密钥。
48.在基于使用机构按步骤c1至步骤c4针对联网设备实际使用，实现了认证式的接入操作后，进一步执行如下步骤d1至d2，即实现了联网设备安全状态下的业务交互应用。
49.步骤d1. 联网设备向使用机构的接入网关申请业务交互，接入网关针对该申请执行访问控制，并进入步骤d2。
50.步骤d2. 由接入网关将来自联网设备的业务交互申请，转发至相应业务应用，由业务应用进行响应，并经接入网关转发至联网设备。
51.上述技术方案所设计基于区块链的联网设备监管认证方法及系统，引入区块链作为存储，以共享协商机制实现分布式用户注册的ibc密钥基础设施服务，可以更高效保证身份标识的唯一性，提高系统稳定性与开放性，满足大规模智能终端、联网设备在生产、销售、使用各环节中，针对设备厂商、监管机构、使用机构提供注册与身份认证等设备全生命周期管理的安全保障，整个设计方案不依赖单方机构，数据各方可查、可追溯、难于篡改，有效保证了联网设备实际应用工作的安全性；并且本专利相对于证书认证，不依赖单方机构或者直接信任厂商pki，能够建立起各方都可信、可查的共享信息，满足对设备认证需求，降低设备被伪造的可能，实现设备的可追溯性；此外，通过建立以标识为基础的ibc密钥管理基础设施，通过区块链共识算法与不可篡改性实现相关信息的存储，满足厂商、监管机构、使用者各方均可信的基础设施，实现设备标识的可信认证，满足设备在各个环节的安全接入认证需求。
52.上面结合附图对本发明的实施方式作了详细说明，但是本发明并不限于上述实施方式，在本领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。