CN113553574A - 一种基于区块链技术的物联网可信数据管理方法 - Google Patents
一种基于区块链技术的物联网可信数据管理方法 Download PDFInfo
- Publication number
- CN113553574A CN113553574A CN202110856422.9A CN202110856422A CN113553574A CN 113553574 A CN113553574 A CN 113553574A CN 202110856422 A CN202110856422 A CN 202110856422A CN 113553574 A CN113553574 A CN 113553574A
- Authority
- CN
- China
- Prior art keywords
- data
- gateway
- internet
- key
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000005516 engineering process Methods 0.000 title claims abstract description 27
- 238000013523 data management Methods 0.000 title claims abstract description 24
- 238000003860 storage Methods 0.000 claims abstract description 17
- 230000007246 mechanism Effects 0.000 claims abstract description 15
- 238000013500 data storage Methods 0.000 claims abstract description 13
- 230000005540 biological transmission Effects 0.000 claims abstract description 9
- 230000006854 communication Effects 0.000 claims abstract description 5
- 238000007726 management method Methods 0.000 claims abstract description 5
- 238000004891 communication Methods 0.000 claims abstract description 4
- 230000008569 process Effects 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 8
- 238000013475 authorization Methods 0.000 claims description 3
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000013461 design Methods 0.000 abstract description 5
- 230000003993 interaction Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于区块链技术的物联网可信数据管理方法,将物联网数据面临的可信管理问题拆分为四个部分:可信设备认证、可信数据传输、可信数据存储和可信数据共享。本发明基于区块链技术为网关和边缘服务器构建了一个分布式、防篡改的通信网络,针对设备认证,本发明使用Diffie‑Hellman密钥交换技术针对物联网设备和网关设计了一个相互认证机制,并设计了一个会话密钥协商机制用于保障安全可靠的数据传输;对于数据存储,本发明使用Kademlia算法在边缘服务器网络中构建了一个分布式的安全存储方案;最后,本发明使用属性基加密技术实现了一个用户访问控制机制,保障了物联网数据的可信共享。
Description
技术领域
本发明属于物联网及网络安全技术领域,具体涉及一种基于区块链技术的物联网可信数据管理方法。
背景技术
随着无线通信技术和智能设备制造技术的进步,物联网技术蓬勃发展,通过万物互联的新型交互模式给人们的生活带来了巨大便利。物联网通过智能终端采集实时数据以辅助应用高性能决策的模式创造了一批新型应用场景,包括智慧医疗、智慧家居和智能交通等等,但是由于物联网需要众多异构设备进行分布式协作,因此在数据管理层面存在许多信任问题:首先,由于不诚实的数据源可能向上层应用提供不精确、有偏差的数据,导致物联网服务质量受损;此外,恶意用户可以安插虚假物联网设备对应用进行扰乱,影响物联网***正常运行,这些问题是由于缺乏设备认证身份机制造成的,物联网数据在传输过程中容易受到安全攻击造成隐私泄漏和恶意篡改等等;并且,目前的物联网数据存储方案依托于第三方云服务提供商,因此引入了中心化的风险,一旦第三方机构受到单点攻击或者内部攻击,会造成严重的隐私泄露和数据安全问题;另外,由于目前物联网数据缺乏访问控制机制,用户通过贿赂数据存储商或者窃听等手段未经授权就能获取所需数据。
公开号为CN113032814A的中国专利提供了一种物联网数据管理方法和***,由物联网网关根据数据私钥对物联网设备发送的物联网数据进行加密,得到目标加密数据,物联网设备为数据认证服务器关联认证的信任设备;物联网网关获取目标加密数据的目标数据指纹;物联网网关将目标数据指纹和目标加密数据的权限信息发送到数据认证服务器进行存储;数据存储服务器根据目标数据指纹对接收的目标加密数据进行完整性验证,若目标加密数据验证成功时,将目标加密数据存储到目标区域。
公开号为CN113066552A的中国专利公开了一种基于区块链技术的监护数据管理***,包括设备采集客户端、数据交互管理客户端和消费客户端和区块链节点,设备采集客户端、数据交互管理客户端、消费客户端通过区块链节点实现数据交互。该专利技术采用了Raft共识机制,将区块链技术结合到硬件设备数据采集和数据共享等方面,实现了基于物联网设备和数据交互平台的联盟链设计和多角色访问控制。
综上分析可见,目前有许多研究技术能够解决部分数据管理问题,大多数集中于物联网数据存储和可信数据共享,但是只解决了可信数据管理的一环,尚未有人为设备认证、数据传输、数据存储和访问控制同时提出一套可信解决方案。随着区块链技术的繁荣发展,其去中心化、防篡改、可追溯、安全透明的特性被广泛应用于分布式协作领域,区块链与密码学技术的融合为物联网可信数据管理提供了出色的解决方案。此外,通过使用区块链的智能合约技术可以将可信数据管理的解决方案自动化编码,脱离对第三方机构的需求,提高安全性并降低运营成本。
发明内容
鉴于上述,本发明提供了一种基于区块链技术的物联网可信数据管理方法,分为设备身份认证、数据安全传输、可信数据存储以及可信数据共享四个部分,为网关和边缘服务器构建了一个分布式、防篡改的通信网络,保障合法用户的授权访问,抵御非法用户对数据的恶意读取,保障物联网数据的可信共享。
一种基于区块链技术的物联网可信数据管理方法,包括如下步骤:
(1)使用非对称加密算法和签名算法完成物联网终端设备与网关之间的身份安全认证,使用Diffie-Hellman密钥交换技术完成终端设备与网关之间的会话密钥协商;
(2)终端设备利用其与网关协商得到的会话密钥对原始物联网数据加密并传输给网关,进而由网关将加密数据发送给边缘服务器,边缘服务器使用Kademlia算法在边缘服务器网络中实现针对物联网数据的分布式安全存储;
(3)使用属性基加密方案实现用户对物联网数据的访问控制机制。
进一步地,所述步骤(1)的具体实现过程如下:
1.1由物联网终端设备生成一个随机数na,使用自己的签名私钥SKSd对na和当前时间戳TS1进行签名,并使用需要认证的网关的加密公钥PKEg对签名结果进行加密,形成消息M1,并将其发送给网关;
1.2网关使用自身的加密私钥SKEg对M1解密,得到签名结果,然后使用终端设备的签名公钥PKSd验证签名并获取na,验证成功即说明该终端设备为合法设备;然后网关随机生成一个随机数nb,使用自己的签名私钥SKSg对na、nb以及当前时间戳TS2进行签名,并使用该终端设备的加密公钥PKEd对签名结果进行加密,形成消息M2,并将其发送给终端设备;
1.3终端设备使用自身的加密私钥SKEd对M2解密,得到签名结果,然后使用网关的签名公钥PKSg验证签名并获取na和nb,如果验证成功则说明网关身份合法;同时终端设备验证获取的na是否一致,如果一致,终端设备使用签名私钥SKSd对nb和当前时间戳TS3进行签名,并使用网关的加密公钥PKEg对签名结果进行加密,形成消息M3,并将其发送给网关;
1.4网关使用自身的加密私钥SKEg对M3解密,得到签名结果,然后使用终端设备的签名公钥PKSd验证签名并获取nb,进而验证获取的nb是否一致,如果一致则说明发送方为正确的交互对象,至此完成物联网终端设备与网关之间的相互认证;
1.5终端设备生成一个随机数mD作为私钥,然后计算出公钥PK1=mD*G,G表示群,进而使用网关的加密公钥PKEg对PK1和当前时间戳TS4进行加密,形成消息M4,并将其发送给网关;
1.6网关生成一个随机数mG作为私钥,然后计算出公钥PK2=mG*G,进而使用终端设备的加密公钥PKEd对PK2和当前时间戳TS5进行加密,形成消息M5,并将其发送给终端设备;
1.7网关使用自身的加密私钥SKEg对M4解密,得到PK1后计算出其与终端设备之间的安全会话密钥SKey=mG*PK1=mG*mD*G;终端设备使用自身的加密私钥SKEd对M5解密,得到PK2后计算出其与网关之间的安全会话密钥SKey=mD*PK2=mD*mG*G,至此完成物联网终端设备与网关之间的会话密钥协商。
进一步地,所述步骤(2)的具体实现过程如下:
2.1物联网终端设备使用其与网关之间的安全会话密钥SKey对原始物联网数据进行加密并传输给网关,进而由网关将加密数据转发给距离最近的边缘服务器S1;
2.2边缘服务器S1将用于计算加密数据的160位哈希作为Key,将加密数据作为Value,并根据***设定的k值找出ID号与Key最接近的k台边缘服务器,进而将Key-Value传输给这k台边缘服务器进行存储,至此完成一次物联网数据在边缘服务器网络中的分布式存储。
进一步地,所述步骤(3)的具体实现过程如下:
3.1数据所有者将访问策略P存储到网关上,网关执行Setup(1λ)→(PK,MSK),即根据安全参数λ计算出***公钥PK和***主密钥MSK,然后将PK嵌入到交易中并发送到区块链网络上,同时把MSK存储在本地;
3.2用户向边缘服务器发送数据请求,边缘服务器首先验证用户的身份,然后使用智能合约与网关交互,如果用户身份合法,网关将会为其生成对应的属性集S,用户的公钥PKuser将作为授权用户标识符被存到智能合约中,网关则将为该用户生成私钥;
3.3网关执行KeyGen(PK,MSK,S)→SK,即输入***公钥PK、***主密钥MSK以及用户的属性集S,计算输出用户访问私钥SK;网关使用用户公钥PKuser加密SK并将加密结果嵌入交易中,同时把交易ID和智能合约地址通过区块链发送给边缘服务器;
3.4边缘服务器收取加密结果并将其传输给用户,用户使用自身私钥SKuser对其解密后得到用户访问私钥SK;
3.5网关执行Encrypt(PK,P,SKey)→CT,即输入***公钥PK、访问策略P以及物联网终端设备与网关之间的会话密钥SKey,生成密文CT,完成对会话密钥SKey的加密,进而网关将密文CT通过区块链网络发送给边缘服务器存储;
3.6用户使用Kademlia算法从边缘服务器中下载加密数据和密文CT,并运行Decrypt(PK,SK,CT)→SKey,即输入***公钥PK、用户访问私钥SK和密文CT,解密得到会话密钥Skey;如果用户的属性集S满足数据所有者设置的访问策略P,则可成功解密出SKey,否则解密失败;
3.7用户执行Decrypt(SKey,加密数据)→原始数据,使用会话密钥SKey对加密数据进行解密,得到原始物联网数据。
进一步地,所述步骤3.6中用户使用Kademlia算法从边缘服务器中下载加密数据和密文CT的具体过程如下:
3.6.1用户根据请求数据的Key向边缘服务器发起查找请求,边缘服务器查找自己是否存储了数据对(Key,Value),如果存在则直接向用户返回加密数据,否则找到k个距离Key值最近的节点ID,并向这k个节点(即网络中的边缘服务器)发送FIND_VALUE请求;
3.6.2收到FIND_VALUE请求的节点首先检查本地是否存储了数据对(Key,Value),如果存在则向发送方边缘服务器返回加密数据,否则由节点找到k个距离Key值最近的节点ID,并向这k个节点发送FIND_VALUE请求;依此不断扩散寻找,直至获取到加密数据或者无法获取比当前已知节点ID更接近Key值的边缘服务器为止(这就表示用户所查找的数据不存在)。
本发明设计的终端设备与网关之间的身份认证方案有效遏制了恶意设备接入网络的安全风险,保障了物联网数据源的合法性;通过设计终端设备与网关之间的会话密钥协商机制保护了传输过程中数据的机密性,避免了遭受窃听和篡改攻击;此外,本发明基于Kademlia算法在边缘网络中构建了可靠的分布式数据存储方案,大大降低了中心化存储的安全隐私风险,解决了带宽瓶颈,并且大幅提高了数据存储的可扩展性。最后,由于本发明基于属性基加密设计了一套主动式的访问控制机制,只有属性集合与数据所有者制定的访问策略相匹配的用户才能获得访问授权,保障了授权用户的数据可获得性,有效阻止了恶意用户采取非法手段获取原始数据,提高了消费层用户访问数据的安全性,保护了物联网数据的原生价值,实现了面向用户的权限管理。
附图说明
图1为本发明物联网终端设备和网关之间的认证流程示意图。
图2为本发明会话密钥协商流程示意图。
图3为本发明可信数据管理流程示意图。
具体实施方式
为了更具体地描述本发明,下面结合附图及具体实施方式对本发明的技术方案进行详细说明。
本发明基于区块链技术使用Diffie-Hellman密钥交换技术、非对称加密、签名算法、Kademlia算法、属性基加密技术实现了一个物联网可信数据管理方案,网关设备和边缘服务器作为区块链节点维护一个区块链网络,通过调用智能节约进行逻辑交互,其整体流程如图3所示。
如图1所示,物联网终端与网关进行双向认证,已验证加入网络的设备的身份合法性,具体步骤如下:
步骤1:物联网终端设备随机生成一个随机数na,使用自己的签名私钥SKSd对na和实时的时间戳TS1进行签名,签完名使用需要认证的网关的加密公钥PKEg对签名结果进行加密,形成消息M1,将其发送给对应网关。
步骤2:网关使用自身加密私钥SKEg对M1解密,然后使用物联网设备的签名公钥PKSd验证签名并获取na,验证成功即说明物联网设备为合法设备,随后网关随机生成一个随机数nb,然后使用签名私钥SKSg对na、nb和实时的时间戳TS2进行签名,签完名使用需要认证的物联网设备的加密公钥PKEd对签名结果进行加密,形成消息M2,然后反馈给物联网设备。
步骤3:物联网设备使用自身加密私钥SKEd对M2解密,得到签名结果,使用网关的签名公钥PKSg验证签名,如果验证成功则说明网关身份合法,同时设备验证获取的na是否正确;如果正确,物联网设备使用签名私钥SKSd对nb和实时的时间戳TS3进行签名,并使用网关的加密公钥PKEg对签名结果进行加密,形成消息M3,随后发送给网关。
步骤4:网关使用加密私钥SKEg对M3解密,然后使用物联网设备的签名公钥PKSd验证签名并获取nb,验证nb是否一致,如果一致则说明发送方为正确的交互对象,到此完成物联网设备与网关之间的相互认证。
如图2所示,物联网设备与网关进行会话密钥协商,以保护通信过程中传输数据的安全性,具体步骤如下:
步骤1:物联网设备随机生成一个数mD作为私钥,然后计算出公钥PK1=mD*G,然后物联网设备使用网关的加密公钥PKEg对PK1和实时时间戳TS4进行加密,形成消息M4,将其发送给网关。
步骤2:网关接受M4,并随机生成一个数mG作为私钥,然后计算出公钥PK2=mG*G,然后网关使用物联网设备的加密公钥PKEd对PK2和实时时间戳TS5进行加密,形成消息M5,然后反馈给物联网设备。
步骤3:物联网设备计算出和网关的安全会话密钥SKey=mD*PK2=mD*mG*G。
步骤4:网关计算出和物联网设备的安全会话密钥:SKey=mG*PK1=mD*mG*G,至此完成网关于物联网设备之间的会话密钥协商。
物联网设备在完成与网关的相互身份认证以及会话密钥协商之后,由数据所有者将物联网数据的访问策略P上传给网关,然后网关执行Encrypt(PK,P,SKey)→CT,即输入***公钥PK、数据访问策略P以及会话密钥SKey,输出密文CT,完成对会话密钥SKey的加密。与此同时物联网设备使用SKey加密原始数据,并把加密数据发送给网关,网关将(CT、加密数据、时间戳)通过区块链网络发送给边缘服务器存储。
本发明使用Kademlia算法提出了一种分布式安全存储方案,具体过程为:边缘服务器计算出加密数据的160位哈希值作为Key,加密数据作为Value,根据***设定的k值将找出ID号(每台边缘服务器都有一个160位的ID号)与Key最接近的k个边缘服务器,将Key-Value以及CT和时间戳通过区块链网络传输给这k个边缘服务器进行存储,至此完成一次物联网数据在边缘服务器网络中的分布式存储。
本发明提出的这种分布式冗余存储方案具有两个显著优点:首先,由于加密数据存储了多个副本,即使其中一台边缘服务器被攻击也不会对数据查找造成影响,确保了服务的可获得性,提高了***的鲁棒性;此外,Kademlia算法提供了高效的数据查询方法,可以在log2 N时间内定位到目标边缘服务器,使得用户可以快速获得服务。
为了预防物联网数据的非法访问,本发明使用属性基加密技术设计了一个针对物联网数据用户的访问控制机制,具体步骤如下:
步骤1:当用户需要使用物联网数据时,向距离最近的边缘服务器发送数据请求,提供其公钥信息和身份信息。
步骤2:边缘服务器将用户信息通过区块链传输给网关。
步骤3:网关首先判断用户身份是否合法,如果合法则为其生成对应的属性基S,用户的公钥PKuser将作为授权用户标识符被存到智能合约中;然后网关运行KeyGen(PK,MSK,S)→SK,输入***公钥PK、***主密钥MSK和用户的属性集S,输出用户访问私钥SK;网关使用用户的公钥PKuser加密SK并将加密结果嵌入区块链交易,把交易ID和智能合约地址通过区块链发送给边缘服务器。
步骤4:用户首先从边缘服务器网络中下载***公钥PK和加密后的自身私钥SK,使用自身私钥SKuser解密出SK,然后使用Kademlia查询算法从边缘服务器网络中找到加密数据块和CT,具体过程如下:
步骤4-1:数据用户根据请求数据的Key向边缘服务器发起查找请求,边缘服务器查找自己是否存储了(Key,Value)数据对,如果存在则直接向用户返回加密数据,否则找到k个距离Key值最近的节点,并向这k个节点ID发送FIND_VALUE请求。
步骤4-2:收到FIND_VALUE请求的节点首先检查自己是否存储了(Key,Value)数据对,如果存在则向发送方边缘服务器返回加密数据,否则再次找到k个距离Key值最近的节点,并向这k个节点ID发送FIND_VALUE请求。
步骤4-3:上述步骤不断重复,直到获取到VALUE或者无法获取比当前已知服务器ID更接近Key值的边缘服务器为止,这就表示用户所查找的数据不存在。
步骤5:用户运行Decrypt(PK,SK,CT)→SKey,输入***公钥PK、用户私钥SK和加密的会话密钥CT,输出会话密钥Skey;如果用户的属性集S满足数据所有者设置的访问策略P,则可以成功解密出SKey,否则解密失败。
步骤6:用户运行Decrypt(SKey,加密数据)→原始数据,使用会话密钥SKey对加密数据进行解密,得到原始数据。
本发明通过这种访问控制机制保障了合法用户的授权访问,抵御了非法用户对数据的恶意读取,实现了物联网数据的可信共享。
上述对实施例的描述是为便于本技术领域的普通技术人员能理解和应用本发明,熟悉本领域技术的人员显然可以容易地对上述实施例做出各种修改,并把在此说明的一般原理应用到其他实施例中而不必经过创造性的劳动。因此,本发明不限于上述实施例,本领域技术人员根据本发明的揭示,对于本发明做出的改进和修改都应该在本发明的保护范围之内。
Claims (8)
1.一种基于区块链技术的物联网可信数据管理方法,包括如下步骤:
(1)使用非对称加密算法和签名算法完成物联网终端设备与网关之间的身份安全认证,使用Diffie-Hellman密钥交换技术完成终端设备与网关之间的会话密钥协商;
(2)终端设备利用其与网关协商得到的会话密钥对原始物联网数据加密并传输给网关,进而由网关将加密数据发送给边缘服务器,边缘服务器使用Kademlia算法在边缘服务器网络中实现针对物联网数据的分布式安全存储;
(3)使用属性基加密方案实现用户对物联网数据的访问控制机制。
2.根据权利要求1所述的物联网可信数据管理方法,其特征在于:所述步骤(1)的具体实现过程如下:
1.1由物联网终端设备生成一个随机数na,使用自己的签名私钥SKSd对na和当前时间戳TS1进行签名,并使用需要认证的网关的加密公钥PKEg对签名结果进行加密,形成消息M1,并将其发送给网关;
1.2网关使用自身的加密私钥SKEg对M1解密,得到签名结果,然后使用终端设备的签名公钥PKSd验证签名并获取na,验证成功即说明该终端设备为合法设备;然后网关随机生成一个随机数nb,使用自己的签名私钥SKSg对na、nb以及当前时间戳TS2进行签名,并使用该终端设备的加密公钥PKEd对签名结果进行加密,形成消息M2,并将其发送给终端设备;
1.3终端设备使用自身的加密私钥SKEd对M2解密,得到签名结果,然后使用网关的签名公钥PKSg验证签名并获取na和nb,如果验证成功则说明网关身份合法;同时终端设备验证获取的na是否一致,如果一致,终端设备使用签名私钥SKSd对nb和当前时间戳TS3进行签名,并使用网关的加密公钥PKEg对签名结果进行加密,形成消息M3,并将其发送给网关;
1.4网关使用自身的加密私钥SKEg对M3解密,得到签名结果,然后使用终端设备的签名公钥PKSd验证签名并获取nb,进而验证获取的nb是否一致,如果一致则说明发送方为正确的交互对象,至此完成物联网终端设备与网关之间的相互认证;
1.5终端设备生成一个随机数mD作为私钥,然后计算出公钥PK1=mD*G,G表示群,进而使用网关的加密公钥PKEg对PK1和当前时间戳TS4进行加密,形成消息M4,并将其发送给网关;
1.6网关生成一个随机数mG作为私钥,然后计算出公钥PK2=mG*G,进而使用终端设备的加密公钥PKEd对PK2和当前时间戳TS5进行加密,形成消息M5,并将其发送给终端设备;
1.7网关使用自身的加密私钥SKEg对M4解密,得到PK1后计算出其与终端设备之间的安全会话密钥SKey=mG*PK1=mG*mD*G;终端设备使用自身的加密私钥SKEd对M5解密,得到PK2后计算出其与网关之间的安全会话密钥SKey=mD*PK2=mD*mG*G,至此完成物联网终端设备与网关之间的会话密钥协商。
3.根据权利要求1所述的物联网可信数据管理方法,其特征在于:所述步骤(2)的具体实现过程如下:
2.1物联网终端设备使用其与网关之间的安全会话密钥SKey对原始物联网数据进行加密并传输给网关,进而由网关将加密数据转发给距离最近的边缘服务器S1;
2.2边缘服务器S1将用于计算加密数据的160位哈希作为Key,将加密数据作为Value,并根据***设定的k值找出ID号与Key最接近的k台边缘服务器,进而将Key-Value传输给这k台边缘服务器进行存储,至此完成一次物联网数据在边缘服务器网络中的分布式存储。
4.根据权利要求1所述的物联网可信数据管理方法,其特征在于:所述步骤(3)的具体实现过程如下:
3.1数据所有者将访问策略P存储到网关上,网关执行Setup(1λ)→(PK,MSK),即根据安全参数λ计算出***公钥PK和***主密钥MSK,然后将PK嵌入到交易中并发送到区块链网络上,同时把MSK存储在本地;
3.2用户向边缘服务器发送数据请求,边缘服务器首先验证用户的身份,然后使用智能合约与网关交互,如果用户身份合法,网关将会为其生成对应的属性集S,用户的公钥PKuser将作为授权用户标识符被存到智能合约中,网关则将为该用户生成私钥;
3.3网关执行KeyGen(PK,MSK,S)→SK,即输入***公钥PK、***主密钥MSK以及用户的属性集S,计算输出用户访问私钥SK;网关使用用户公钥PKuser加密SK并将加密结果嵌入交易中,同时把交易ID和智能合约地址通过区块链发送给边缘服务器;
3.4边缘服务器收取加密结果并将其传输给用户,用户使用自身私钥SKuser对其解密后得到用户访问私钥SK;
3.5网关执行Encrypt(PK,P,SKey)→CT,即输入***公钥PK、访问策略P以及物联网终端设备与网关之间的会话密钥SKey,生成密文CT,完成对会话密钥SKey的加密,进而网关将密文CT通过区块链网络发送给边缘服务器存储;
3.6用户使用Kademlia算法从边缘服务器中下载加密数据和密文CT,并运行Decrypt(PK,SK,CT)→SKey,即输入***公钥PK、用户访问私钥SK和密文CT,解密得到会话密钥Skey;如果用户的属性集S满足数据所有者设置的访问策略P,则可成功解密出SKey,否则解密失败;
3.7用户执行Decrypt(SKey,加密数据)→原始数据,使用会话密钥SKey对加密数据进行解密,得到原始物联网数据。
5.根据权利要求4所述的物联网可信数据管理方法,其特征在于:所述步骤3.6中用户使用Kademlia算法从边缘服务器中下载加密数据和密文CT的具体过程如下:
3.6.1用户根据请求数据的Key向边缘服务器发起查找请求,边缘服务器查找自己是否存储了数据对(Key,Value),如果存在则直接向用户返回加密数据,否则找到k个距离Key值最近的节点ID,并向这k个节点发送FIND_VALUE请求;
3.6.2收到FIND_VALUE请求的节点首先检查本地是否存储了数据对(Key,Value),如果存在则向发送方边缘服务器返回加密数据,否则由节点找到k个距离Key值最近的节点ID,并向这k个节点发送FIND_VALUE请求;依此不断扩散寻找,直至获取到加密数据或者无法获取比当前已知节点ID更接近Key值的边缘服务器为止。
6.根据权利要求1所述的物联网可信数据管理方法,其特征在于:该数据管理方法分为设备身份认证、数据安全传输、可信数据存储以及可信数据共享四个部分,为网关和边缘服务器构建了一个分布式、防篡改的通信网络,保障合法用户的授权访问,抵御非法用户对数据的恶意读取,保障物联网数据的可信共享。
7.根据权利要求1所述的物联网可信数据管理方法,其特征在于:其设计的终端设备与网关之间的身份认证方案有效遏制了恶意设备接入网络的安全风险,保障了物联网数据源的合法性;通过设计终端设备与网关之间的会话密钥协商机制保护了传输过程中数据的机密性,避免了遭受窃听和篡改攻击。
8.根据权利要求1所述的物联网可信数据管理方法,其特征在于:其基于Kademlia算法在边缘网络中构建了可靠的分布式数据存储方案,大大降低了中心化存储的安全隐私风险,解决了带宽瓶颈,并且大幅提高了数据存储的可扩展性;同时其基于属性基加密设计了一套主动式的访问控制机制,只有属性集合与数据所有者制定的访问策略相匹配的用户才能获得访问授权,保障了授权用户的数据可获得性,有效阻止了恶意用户采取非法手段获取原始数据,提高了消费层用户访问数据的安全性,保护了物联网数据的原生价值,实现了面向用户的权限管理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110856422.9A CN113553574A (zh) | 2021-07-28 | 2021-07-28 | 一种基于区块链技术的物联网可信数据管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110856422.9A CN113553574A (zh) | 2021-07-28 | 2021-07-28 | 一种基于区块链技术的物联网可信数据管理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113553574A true CN113553574A (zh) | 2021-10-26 |
Family
ID=78104743
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110856422.9A Pending CN113553574A (zh) | 2021-07-28 | 2021-07-28 | 一种基于区块链技术的物联网可信数据管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113553574A (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114117499A (zh) * | 2021-12-06 | 2022-03-01 | 中电万维信息技术有限责任公司 | 一种基于权限管理的可信数据交换方法 |
CN114189359A (zh) * | 2021-11-18 | 2022-03-15 | 临沂大学 | 一种避免数据篡改的物联网设备、数据安全传输方法和*** |
CN114398602A (zh) * | 2022-01-11 | 2022-04-26 | 国家计算机网络与信息安全管理中心 | 一种基于边缘计算的物联网终端身份认证方法 |
CN114499895A (zh) * | 2022-04-06 | 2022-05-13 | 国网浙江省电力有限公司电力科学研究院 | 一种融合可信计算与区块链的数据可信处理方法及*** |
CN114499988A (zh) * | 2021-12-30 | 2022-05-13 | 电子科技大学 | 一种基于区块链的物联网密钥分配及设备认证方法 |
CN114615006A (zh) * | 2021-12-01 | 2022-06-10 | 江苏省电力试验研究院有限公司 | 一种面向配电物联网的边缘层数据安全防护方法、***及存储介质 |
CN114928491A (zh) * | 2022-05-20 | 2022-08-19 | 国网江苏省电力有限公司信息通信分公司 | 基于标识密码算法的物联网安全认证方法、装置及*** |
CN115085943A (zh) * | 2022-08-18 | 2022-09-20 | 南方电网数字电网研究院有限公司 | 用于电力物联网南北向安全加密的边缘计算方法及平台 |
CN115277026A (zh) * | 2022-09-26 | 2022-11-01 | 国网浙江余姚市供电有限公司 | 一种基于区块链的物联网网关控制方法及装置、介质 |
CN115412374A (zh) * | 2022-11-01 | 2022-11-29 | 国网浙江省电力有限公司金华供电公司 | 一种基于信誉共识机制的安全的数据共享方法 |
WO2023071751A1 (zh) * | 2021-10-29 | 2023-05-04 | 华为技术有限公司 | 一种认证方法和通信装置 |
WO2023078013A1 (zh) * | 2021-11-08 | 2023-05-11 | 华为云计算技术有限公司 | 加密方法、装置及相关设备 |
CN117240625A (zh) * | 2023-11-14 | 2023-12-15 | 武汉海昌信息技术有限公司 | 一种涉及防篡改的数据处理方法、装置及电子设备 |
CN117494111A (zh) * | 2023-09-11 | 2024-02-02 | 德浦勒仪表(广州)有限公司 | 用于工业流量计的数据处理及传输的边缘计算***和方法 |
CN117544376A (zh) * | 2023-11-21 | 2024-02-09 | 广州东兆信息科技有限公司 | 一种基于物联网的移动终端设备可信认证方法及*** |
CN117579256A (zh) * | 2023-10-12 | 2024-02-20 | 智慧工地科技(广东)有限公司 | 一种物联网数据管理方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103929745A (zh) * | 2014-04-16 | 2014-07-16 | 东北大学 | 一种基于隐私保护的无线mesh网络接入认证***及方法 |
CN105978883A (zh) * | 2016-05-17 | 2016-09-28 | 上海交通大学 | 大规模车联网下安全的数据采集方法 |
CN111147228A (zh) * | 2019-12-28 | 2020-05-12 | 西安电子科技大学 | 基于以太坊IoT实体轻量级认证方法、***、智能终端 |
CN111835752A (zh) * | 2020-07-09 | 2020-10-27 | 国网山西省电力公司信息通信分公司 | 基于设备身份标识的轻量级认证方法及网关 |
CN111986755A (zh) * | 2020-08-24 | 2020-11-24 | 中国人民解放军战略支援部队信息工程大学 | 一种基于区块链和属性基加密的数据共享*** |
AU2020103294A4 (en) * | 2020-11-06 | 2021-01-14 | Mushtaq Ahmed | Trusted and secure configuration and validation of data for public IoT devices using block chain technology |
CN112836229A (zh) * | 2021-02-10 | 2021-05-25 | 北京深安信息科技有限公司 | 属性基加密和区块链结合的可信数据访问控制方案 |
-
2021
- 2021-07-28 CN CN202110856422.9A patent/CN113553574A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103929745A (zh) * | 2014-04-16 | 2014-07-16 | 东北大学 | 一种基于隐私保护的无线mesh网络接入认证***及方法 |
CN105978883A (zh) * | 2016-05-17 | 2016-09-28 | 上海交通大学 | 大规模车联网下安全的数据采集方法 |
CN111147228A (zh) * | 2019-12-28 | 2020-05-12 | 西安电子科技大学 | 基于以太坊IoT实体轻量级认证方法、***、智能终端 |
CN111835752A (zh) * | 2020-07-09 | 2020-10-27 | 国网山西省电力公司信息通信分公司 | 基于设备身份标识的轻量级认证方法及网关 |
CN111986755A (zh) * | 2020-08-24 | 2020-11-24 | 中国人民解放军战略支援部队信息工程大学 | 一种基于区块链和属性基加密的数据共享*** |
AU2020103294A4 (en) * | 2020-11-06 | 2021-01-14 | Mushtaq Ahmed | Trusted and secure configuration and validation of data for public IoT devices using block chain technology |
CN112836229A (zh) * | 2021-02-10 | 2021-05-25 | 北京深安信息科技有限公司 | 属性基加密和区块链结合的可信数据访问控制方案 |
Non-Patent Citations (1)
Title |
---|
程冠杰等: ""基于区块链与边缘计算的物联网数据管理"", 《物联网学报》, vol. 4, no. 2, 30 June 2020 (2020-06-30), pages 1 - 9 * |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023071751A1 (zh) * | 2021-10-29 | 2023-05-04 | 华为技术有限公司 | 一种认证方法和通信装置 |
WO2023078013A1 (zh) * | 2021-11-08 | 2023-05-11 | 华为云计算技术有限公司 | 加密方法、装置及相关设备 |
CN114189359A (zh) * | 2021-11-18 | 2022-03-15 | 临沂大学 | 一种避免数据篡改的物联网设备、数据安全传输方法和*** |
CN114189359B (zh) * | 2021-11-18 | 2023-12-01 | 临沂大学 | 一种避免数据篡改的物联网设备、数据安全传输方法和*** |
CN114615006A (zh) * | 2021-12-01 | 2022-06-10 | 江苏省电力试验研究院有限公司 | 一种面向配电物联网的边缘层数据安全防护方法、***及存储介质 |
CN114117499A (zh) * | 2021-12-06 | 2022-03-01 | 中电万维信息技术有限责任公司 | 一种基于权限管理的可信数据交换方法 |
CN114117499B (zh) * | 2021-12-06 | 2024-05-03 | 中电万维信息技术有限责任公司 | 一种基于权限管理的可信数据交换方法 |
CN114499988A (zh) * | 2021-12-30 | 2022-05-13 | 电子科技大学 | 一种基于区块链的物联网密钥分配及设备认证方法 |
CN114499988B (zh) * | 2021-12-30 | 2022-11-08 | 电子科技大学 | 一种基于区块链的物联网密钥分配及设备认证方法 |
CN114398602A (zh) * | 2022-01-11 | 2022-04-26 | 国家计算机网络与信息安全管理中心 | 一种基于边缘计算的物联网终端身份认证方法 |
CN114398602B (zh) * | 2022-01-11 | 2024-05-10 | 国家计算机网络与信息安全管理中心 | 一种基于边缘计算的物联网终端身份认证方法 |
CN114499895A (zh) * | 2022-04-06 | 2022-05-13 | 国网浙江省电力有限公司电力科学研究院 | 一种融合可信计算与区块链的数据可信处理方法及*** |
CN114928491A (zh) * | 2022-05-20 | 2022-08-19 | 国网江苏省电力有限公司信息通信分公司 | 基于标识密码算法的物联网安全认证方法、装置及*** |
CN115085943A (zh) * | 2022-08-18 | 2022-09-20 | 南方电网数字电网研究院有限公司 | 用于电力物联网南北向安全加密的边缘计算方法及平台 |
CN115085943B (zh) * | 2022-08-18 | 2023-01-20 | 南方电网数字电网研究院有限公司 | 用于电力物联网南北向安全加密的边缘计算方法及平台 |
CN115277026A (zh) * | 2022-09-26 | 2022-11-01 | 国网浙江余姚市供电有限公司 | 一种基于区块链的物联网网关控制方法及装置、介质 |
CN115412374A (zh) * | 2022-11-01 | 2022-11-29 | 国网浙江省电力有限公司金华供电公司 | 一种基于信誉共识机制的安全的数据共享方法 |
CN117494111A (zh) * | 2023-09-11 | 2024-02-02 | 德浦勒仪表(广州)有限公司 | 用于工业流量计的数据处理及传输的边缘计算***和方法 |
CN117579256A (zh) * | 2023-10-12 | 2024-02-20 | 智慧工地科技(广东)有限公司 | 一种物联网数据管理方法及装置 |
CN117579256B (zh) * | 2023-10-12 | 2024-04-23 | 智慧工地科技(广东)有限公司 | 一种物联网数据管理方法及装置 |
CN117240625B (zh) * | 2023-11-14 | 2024-01-12 | 武汉海昌信息技术有限公司 | 一种涉及防篡改的数据处理方法、装置及电子设备 |
CN117240625A (zh) * | 2023-11-14 | 2023-12-15 | 武汉海昌信息技术有限公司 | 一种涉及防篡改的数据处理方法、装置及电子设备 |
CN117544376A (zh) * | 2023-11-21 | 2024-02-09 | 广州东兆信息科技有限公司 | 一种基于物联网的移动终端设备可信认证方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113553574A (zh) | 一种基于区块链技术的物联网可信数据管理方法 | |
US7334255B2 (en) | System and method for controlling access to multiple public networks and for controlling access to multiple private networks | |
US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
CN106104562B (zh) | 机密数据安全储存和恢复***及方法 | |
US20170214664A1 (en) | Secure connections for low power devices | |
TW201701226A (zh) | 電子處方操作方法、裝置及系統 | |
CN104641592A (zh) | 用于无证书认证加密(clae)的方法和*** | |
US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
CN108880995B (zh) | 基于区块链的陌生社交网络用户信息及消息推送加密方法 | |
CN112532580B (zh) | 一种基于区块链及代理重加密的数据传输方法及*** | |
CN113761582A (zh) | 基于群签名的可监管区块链交易隐私保护方法及*** | |
US20210167963A1 (en) | Decentralised Authentication | |
CN113225302B (zh) | 一种基于代理重加密的数据共享***及方法 | |
CN106657002A (zh) | 一种新型防撞库关联时间多密码的身份认证方法 | |
Zhang et al. | Cerberus: Privacy-preserving computation in edge computing | |
CN111245611B (zh) | 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及*** | |
WO2023116027A1 (zh) | 安全多方计算中的跨域身份验证方法及服务器 | |
WO2022135399A1 (zh) | 身份鉴别方法、鉴别接入控制器和请求设备、存储介质、程序、及程序产品 | |
CN113364803B (zh) | 基于区块链的配电物联网的安全认证方法 | |
CN106790185B (zh) | 基于cp-abe的权限动态更新集中信息安全访问方法和装置 | |
CN115987519B (zh) | 面向多用户共同管理的区块链智能协同认证方法 | |
CN114218555B (zh) | 增强密码管理app密码安全强度方法和装置、存储介质 | |
CN113037686B (zh) | 多数据库安全通信方法和***、计算机可读存储介质 | |
WO2023151427A1 (zh) | 量子密钥传输方法、装置及*** | |
Abdulrazaq | Memory-agency Based Authentication Scheme |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |