CN114598474B - 硬件设备抵近可信管理方法、装置、计算机设备及介质 - Google Patents

硬件设备抵近可信管理方法、装置、计算机设备及介质 Download PDF

Info

Publication number
CN114598474B
CN114598474B CN202210068300.8A CN202210068300A CN114598474B CN 114598474 B CN114598474 B CN 114598474B CN 202210068300 A CN202210068300 A CN 202210068300A CN 114598474 B CN114598474 B CN 114598474B
Authority
CN
China
Prior art keywords
node
internet
data
trusted
proximity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210068300.8A
Other languages
English (en)
Other versions
CN114598474A (zh
Inventor
胡麦芳
李世敬
魏锐波
张珂杰
邱炜伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Qulian Technology Co Ltd
Original Assignee
Hangzhou Qulian Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Qulian Technology Co Ltd filed Critical Hangzhou Qulian Technology Co Ltd
Priority to CN202210068300.8A priority Critical patent/CN114598474B/zh
Publication of CN114598474A publication Critical patent/CN114598474A/zh
Application granted granted Critical
Publication of CN114598474B publication Critical patent/CN114598474B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/148Migration or transfer of sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种硬件设备抵近可信管理***、方法、装置、计算机设备及介质,所述方法包括:对物联网设备进行认证,并在认证通过后对物联网设备采集的数据进行上链处理,基于独立共识服务,对上链数据进行打包交易生成区块,得到确认区块,执行节点上部署的智能合约,智能合约包含与设备调度模块交互的接口,对确认区块中的上链数据进行网络质量分析,得到分析结果,在分析结果为网络质量不符合要求时,通过智能合约调用与设备调度模块交互的接口,得到调度策略,基于调度策略对物联网设备进行物联网设备的切换,采用本发明可提高互联网设备的网络资源利用率。

Description

硬件设备抵近可信管理方法、装置、计算机设备及介质
技术领域
本发明涉及计算机通信领域,尤其涉及一种硬件设备抵近可信管理方法、装置、计算机设备及介质。
背景技术
目前随着计算机通信技术的发展,边缘节点在输出采集和处理中的应用越来越广泛,边缘节点是对边缘网关、边缘控制器、边缘服务器等边缘侧多种产品形态的基础共性能力的逻辑抽象。其具备边缘侧实时数据分析、本地数据存储、实时网络联接等共性能力。在现有方式中,第一种为传统边缘计算,边缘计算服务靠近数据源头,集网络、计算、存储、应用为一体,无需要把所有数据传送到数据中心的云计算,避免云计算种种瓶颈,应用程序在边缘侧发起,做到服务快速响应,但由于设备分散,边缘节点端众多,很容易收到DDoS、女巫等攻击,并且很难保证数据真实性和完整性,这给边缘节点服务提供商带来了很大的风险和挑战,并且现有技术为单一中心化架构,只能解决单一运营商机构进行流量设备信息采集,不能在多业务间进行可信协作;第二种为区块链边缘节点架构,将区块链的整体架构移到边缘计算端,可以保证数据的真实性和完整性,但这种架构有存在很大的问题,就是大规模节点共识会导致区块链网络复杂度极高,导致性能低下,无法满足实际场景中对于流量分析和设备调度等业务操作。
发明内容
本发明实施例提供一种硬件设备抵近可信管理方法、装置、计算机设备和存储介质,以减少从物联网设备到云端的数据流量,提高资源利用率。
为了解决上述技术问题,本申请实施例提供一种硬件设备抵近可信管理***,包括终端拓扑部件、抵近节点和远端服务部件,所述抵近节点分别与所述终端拓扑部件、所述远端服务部件通过网络连接,其中,
所述终端拓扑部件包括至少一个物联网设备;
所述远端服务部件部署有区块链***;
所述抵近节点为单节点结构,包括基础数据处理组件、独立验证存储组件、独立共识组件和分析调度组件。
可选地,所述区块链***部署在云端,包含云端区块链可信账本,所述独立验证存储组件包含抵近节点可验证账本,每个所述抵近节点可验证账本作为所述云端区块链可信账本的一个锚节点,其中,
所述抵近节点可验证账本编制用于可信校验的默克尔树,并将默克尔树的根哈希作为所述账户状态证明,在所述抵近节点产生交易使得账户状态发生变化时,将所述账户状态证明实时同步至所述云端区块链可信账本。
为了解决上述技术问题,本申请实施例提供一种硬件设备抵近可信管理方法,包括:
对物联网设备进行认证,并在认证通过后对所述物联网设备采集的数据进行上链处理;
基于独立共识服务,对上链数据进行打包交易生成区块,得到确认区块;
执行节点上部署的智能合约,所述智能合约包含与设备调度模块交互的接口;
对所述确认区块中的上链数据进行网络质量分析,得到分析结果,在分析结果为所述网络质量不符合要求时,通过智能合约调用与所述设备调度模块交互的接口,得到调度策略;
基于所述调度策略对物联网设备进行物联网设备的切换。
可选地,所述对物联网设备进行认证包括:
接收所述物联网设备基于HTTPS可信加密传输的信息;
从所述信息中获取公私钥对;
对所述公私钥对进行认证,得到认证结果。
可选地,在所述接收所述物联网设备基于HTTPS可信加密传输的信息之前,所述方法还包括:
接收物联网设备发送的统一密钥和硬件号;
基于所述统一密钥获取所述物联网设备对应的公钥证书列表;
根据所述公钥证书列表、所述硬件号和所述统一密钥,生成公私钥对,并将所述公私钥对下发给所述物联网设备。
可选地,所述上链数据包括流量数据和设备质量参数,所述基于所述主节点的共识服务,对上链数据进行打包交易生成区块,得到确认区块包括:
校验交易签名的合法性,在确认交易合法后,将交易顺序作为共识排序后的顺序,并存入到交易集合中;
若所述交易集合中的交易数据大于预设阈值,或者,达到预设周期时,将所述交易集合打包成一个区块,作为所述确认区块。
可选地,所述执行所述抵近节点上部署的智能合约包括:
在接收到所述智能合约的执行请求时,将所述智能合约中的字节码通过汇编器编译为机器码;
采用所述抵近节点对所述机器码执行调度处理,并运行数据可验证。
可选地,所述抵近节点为单节点,所述硬件设备抵近可信管理方法还包括:
在所述抵近节点的账本数据发送变化时,将所述账本数据实时汇总并存储至云端区块链。
为了解决上述技术问题,本申请实施例还提供一种硬件设备抵近可信管理装置,包括:
数据上链模块,用于对物联网设备进行认证,并在认证通过后对所述物联网设备采集的数据进行上链处理;
区块生成模块,用于基于独立共识服务,对上链数据进行打包交易生成区块,得到确认区块;
合约执行模块,用于执行节点上部署的智能合约,所述智能合约包含与设备调度模块交互的接口;
策略生成模块,用于对所述确认区块中的上链数据进行网络质量分析,得到分析结果,在分析结果为所述网络质量不符合要求时,通过智能合约调用与所述设备调度模块交互的接口,得到调度策略;
设备调度模块,用于基于所述调度策略对物联网设备进行物联网设备的切换。
可选地,所述数据上链模块包括:
信息接收单元,用于接收所述物联网设备基于HTTPS可信加密传输的信息;
钥对提取单元,用于从所述信息中获取公私钥对;
钥对验证单元,用于对所述公私钥对进行认证,得到认证结果。
可选地,所述硬件设备抵近可信管理装置还包括:
数据接收模块,用于接收物联网设备发送的统一密钥和硬件号;
列表获取模块,用于基于所述统一密钥获取所述物联网设备对应的公钥证书列表;
钥对生成下发模块,用于根据所述公钥证书列表、所述硬件号和所述统一密钥,生成公私钥对,并将所述公私钥对下发给所述物联网设备。
可选地,所述区块生成模块包括:
合法性校验单元,用于校验交易签名的合法性,在确认交易合法后,将交易顺序作为共识排序后的顺序,并存入到交易集合中;
区块生成单元,用于若所述交易集合中的交易数据大于预设阈值,或者,达到预设周期时,将所述交易集合打包成一个区块,作为所述确认区块。
可选地,所述合约执行模块包括:
合约转移单元,用于在接收到所述智能合约的执行请求时,将所述智能合约中的字节码通过汇编器编译为机器码;
机器码调度单元,用于采用所述抵近节点对所述机器码执行调度处理,并运行数据可验证。
可选地,所述硬件设备抵近可信管理装置还包括:
存储模块,用于在所述抵近节点的账本数据发送变化时,将所述账本数据实时汇总并存储至云端区块链。
为了解决上述技术问题,本申请实施例还提供一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述硬件设备抵近可信管理方法的步骤。
为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述硬件设备抵近可信管理方法的步骤。
本发明实施例提供的硬件设备抵近可信管理方法、装置、计算机设备及存储介质,对物联网设备进行认证,并在认证通过后对物联网设备采集的数据进行上链处理,基于独立共识服务,对上链数据进行打包交易生成区块,得到确认区块,执行节点上部署的智能合约,智能合约包含与设备调度模块交互的接口,对确认区块中的上链数据进行网络质量分析,得到分析结果,在分析结果为网络质量不符合要求时,通过智能合约调用与设备调度模块交互的接口,得到调度策略,基于调度策略对物联网设备进行物联网设备的切换,实现保证数据完整性和正确性的前提下进行高效低延时计算,减少从互联网设备到云端的数据流量,提高资源利用率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请的硬件设备抵近可信管理***的一个实施例的结构示意图;
图2是本申请的硬件设备抵近可信管理方法的一个实施例的流程图;
图3是根据本申请的硬件设备抵近可信管理装置的一个实施例的结构示意图;
图4是根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,图1示出了本发明实施例提供的一种硬件设备抵近可信管理***,包括终端拓扑部件、抵近节点和远端服务部件,抵近节点分别与终端拓扑部件、远端服务部件通过网络连接,其中,
终端拓扑部件包括至少一个物联网设备;
远端服务部件部署有区块链***;
抵近节点为单节点结构,包括基础数据处理组件、独立验证存储组件、独立共识组件和分析调度组件。
具体地,终端拓扑部件中,包含多个物联网设备,物联网设备在通过验证后,与抵近节点通过网络进行链接交互,物联网设备之间可通过拓扑结构进行连接,具体结构可根据实际需要进行设定。
其中,基础数据处理组件包括但不限于:账户模型、传输协议组件、加密服务组件和资源管理服务组件等,分析调度组件包括但不限于合约管理组件、流量分析组件、质量监测组件和设备调度组件,该抵近节点为边-链-单节点结构。
其中,区块链***由分布式的区块链节点构成。
可选地,区块链***部署在云端,包含云端区块链可信账本,独立验证存储组件包含抵近节点可验证账本,每个抵近节点可验证账本作为云端区块链可信账本的一个锚节点,其中,
抵近节点可验证账本编制用于可信校验的默克尔树,并将默克尔树的根哈希作为账户状态证明,在抵近节点产生交易使得账户状态发生变化时,将账户状态证明实时同步至云端区块链可信账本。
请参阅图2,图2示出本发明实施例提供的一种硬件设备抵近可信管理方法,详述如下:
S201:对物联网设备进行认证,并在认证通过后对物联网设备采集的数据进行上链处理。
具体地,在检测到物联网设备后,为确保安全,需要先对物联网设备进行可信认证,在可信认证通过后,获取物联网设备传输的数据,并进行上链处理。
可选地,对物联网设备进行认证包括:
接收物联网设备基于HTTPS可信加密传输的信息;
从信息中获取公私钥对;
对公私钥对进行认证,得到认证结果。
进一步地,在接收物联网设备基于HTTPS可信加密传输的信息之前,该方法还包括:
接收物联网设备发送的统一密钥和硬件号;
基于统一密钥获取物联网设备对应的公钥证书列表;
根据公钥证书列表、硬件号和统一密钥,生成公私钥对,并将公私钥对下发给物联网设备。
具体地,硬件设备部署在流量使用方,硬件设备抵近节点认证主要实现密钥生成、下发、更换、注销等过程,首先需要在生产设备时在烧写固件阶段读取各设备的CPU唯一号,形成CPU列表,同时固件内包含此次生产批次的统一密钥;同时设备会在固件内写入逻辑获取硬件唯一号、写入该批次的统一密钥;设备将CPU列表、统一密钥、硬件号等信息发送给抵近节点端进行激活,抵近节点在设备管理模块-激活列表中导入该批次的公钥证书列表、以及批次统一密钥,生产公私钥对下发给硬件设备端,传输采用HTTPS可信加密传输,后续如果有设备公私钥对更换、注销等操作也可适用此硬件设备-抵近节点交互流程。
其中抵近节点的服务部署可以根据安全需求不同进行不同形态的部署,可以在边缘云端,也可以在硬件可信环境中以及硬件可信一体机服务器中,进行安全防护。
进一步地,硬件设备流量采集,首先流量设备与抵近节点之间完成设备认证后,定义建立连接通信,基于流量设备终端的上链模式,流量采集需要将消耗的流量信息定时(分钟级)从设备端口或探针等多数据源端进行数据采集,以保证数据的准确性和真实性,流量数据在被物联网终端设备采集后,会在设备内完成数字签名,保证数据源的可信。若物联网终端设备内含直接联网通信模组,则数据将由物联网终端设备直接发送至区块链节点,完成数据上链;若物联网终端设备是通过联网客户端进行转发上链的,数据将先行传输至联网客户端,联网客户端转发至区块链节点,完成数据上链。可以是数据逐条上链,也可以是数据批量上链。
S202:基于独立共识服务,对上链数据进行打包交易生成区块,得到确认区块。
具体地,抵近节点共识服务,将会把本节点选择为主节点,负责打包交易生成区块。共识服务收到硬件端采集到的流量数据和设备质量参数的交易数据,校验交易签名的合法性,将自己收到的交易顺序直接作为共识排序后的顺序,并放入交易集合中。达到交易集合默认的数量或者超时时间后,发送给共识交易池。达到交易池默认的打包数量或者超时时间后,将打包一个区块,作为确认区块。区块被共识模块提交确认后会转交给执行模块执行。
其中独立共识服务具有可扩展性,如需要多方独立节点共识通信,则修改共识参数配置即可完成多节点通信。
可选地,上链数据包括流量数据和设备质量参数,基于主节点的共识服务,对上链数据进行打包交易生成区块,得到确认区块包括:
校验交易签名的合法性,在确认交易合法后,将交易顺序作为共识排序后的顺序,并存入到交易集合中;
若交易集合中的交易数据大于预设阈值,或者,达到预设周期时,将交易集合打包成一个区块,作为确认区块。
S203:执行节点上部署的智能合约,智能合约包含与设备调度模块交互的接口。
可选地,执行抵近节点上部署的智能合约包括:
在接收到智能合约的执行请求时,将智能合约中的字节码通过汇编器编译为机器码;
采用抵近节点对机器码执行调度处理,并运行数据可验证。
其中,字节码(Byte-code)是一种包含执行程序、由一序列op代码/数据对组成的二进制文件。字节码是一种中间码,较机器码更抽象。
其中,机器码(machine code),又被称为机器语言指令或原生码(Native Code),是计算机设备的的处理器可直接解读的数据,计算机设备可以直接执行机器码,因而,机器码是被执行速度最快的代码。
需要说明的是,在将智能合约中的字节码通过汇编器编译为机器码后,将得到的机器码存储与缓存或者硬盘中,以使后续在执行智能合约时,直接执行智能合约对应的机器码,节省智能合约运行时的编译的时间开销和计算内存消耗,提高了执行智能合约的效率。
S204:对确认区块中的上链数据进行网络质量分析,得到分析结果,在分析结果为网络质量不符合要求时,通过智能合约调用与设备调度模块交互的接口,得到调度策略。
具体地,设备的流量采集分析以及质量调度逻辑通过智能合约实现,在轻量级、高效率虚拟机运行,智能合约部署在沙盒环境中,保证程序执行安全确定性和安全性,智能合约具有部署、执行、冻结、解冻、注销等功能,具体包括启动/关闭沙盒执行环境接口、智能合约部署接口、智能合约验证接口、智能合约执行接口、智能合约冻结/解冻接口,智能合约注销接口。其中,启动/关闭沙盒执行环境接口用于启动/停止沙盒执行环境,确保智能合约执行处于安全环境中,减少资源消耗;智能合约部署接口用于将智能合约代码注册到区块链上,供硬件设备/云端应用调用;智能合约验接口用于验证智能合约的合法性和合规性;智能合约执行接口用于满足合约条件后调用智能合约;智能合约冻结/解冻接口为冻结/解冻某个智能合约,双方互为逆过程,智能合约注销接口为注销某个智能合约,后续不再使用。
S205:基于调度策略对物联网设备进行物联网设备的切换。
具体地,抵近节点实现对外部设备质量参数监测的业务逻辑,设计逻辑通过智能合约调用与设备调度模块交互的接口实现切换运营商调度的依据。
首先合约通过设备的设备采集端的数据源进行写入分析,上传服务质量数据,数据基于集合{ISP1:[VPElist1];ISP2:[VPElist2]...ISPn:[VPElistn]},包括但不限于设备时延、抖动、丢包率等动态数据上传至抵近节点;
其次,对探测VPE-CPE服务质量数据并进行比对判断,进行合约触发调度。切换调度触发条件:1)合约判断VPE向CPE提供的网络质量是否符合CPE归属方的要求,2)不符合并且偏差值大于规定的阈值,先分析设备列表的信息如价格、时间、地理位置、带宽服务商、带宽等信息指标匹配,寻找最优选择,输出价格升序排列后的集合{ISP1:[VPElist1];ISP2:[VPElist2]...ISPn:[VPElistn]};3)设备调度控制器模块触发在运营商内部寻找VPE切换;4)在抵近节点的调度模块计算出调度结果后,调度策略下发到控制器控制CPE-VPE的连接切换;5)在运营商内部切换失败则通过跨链请求上报到云端全节点触发合约为租户重新筛选运营商。
在一可选实施方式中,抵近节点为单节点,该硬件设备抵近可信管理方法还包括:
在抵近节点的账本数据发送变化时,将账本数据实时汇总并存储至云端区块链。
具体地,本实施例采用一种可验证存储引擎,可以在单节点的部署模式下保证节点抵近存储数据的完整性和正确性,实现在单节点的情况下数据可信存证、校验、获取。
可验证存储引擎将在数据库中编织用于可信校验的默克尔树,具备数据自主完整性校验能力,默克尔树的根哈希将成为锚节点账户下所有账户状态证明。
合约层完成设备质量调度数据读写逻辑设定,抵近节点发生交易产生数据状态新增/更新/删除,将对其账户状态发生变更,导致TopHash的值会发生变化,由于其账户状态发生改变,因此锚节点账户所记录的账户集合的状态证明(TopHash)也将发生改变。
抵近节点账本数据变化(即TopHash值)会实时汇总存证至云端区块链,可以简化数据脱敏存证的复杂度,并且双层的架构也可以很好的提高数据隐私粒度的灵活度。
本实施例中,对物联网设备进行认证,并在认证通过后对物联网设备采集的数据进行上链处理,基于独立共识服务,对上链数据进行打包交易生成区块,得到确认区块,执行抵近节点上部署的智能合约,智能合约包含与设备调度模块交互的接口,对确认区块中的上链数据进行网络质量分析,得到分析结果,在分析结果为网络质量不符合要求时,通过智能合约调用与设备调度模块交互的接口,得到调度策略,基于调度策略对物联网设备进行物联网设备的切换,实现保证数据完整性和正确性的前提下进行高效低延时计算,减少从互联网设备到云端的数据流量,提高资源利用率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
图3示出与上述实施例硬件设备抵近可信管理方法一一对应的硬件设备抵近可信管理装置的原理框图。如图3所示,该硬件设备抵近可信管理装置包括数据上链模块31、区块生成模块32、合约执行模块33、策略生成模块34和设备调度模块35。各功能模块详细说明如下:
数据上链模块31,用于对物联网设备进行认证,并在认证通过后对物联网设备采集的数据进行上链处理;
区块生成模块32,用于基于独立共识服务,对上链数据进行打包交易生成区块,得到确认区块;
合约执行模块33,用于执行节点上部署的智能合约,智能合约包含与设备调度模块交互的接口;
策略生成模块34,用于对确认区块中的上链数据进行网络质量分析,得到分析结果,在分析结果为网络质量不符合要求时,通过智能合约调用与设备调度模块交互的接口,得到调度策略;
设备调度模块35,用于基于调度策略对物联网设备进行物联网设备的切换。
可选地,数据上链模块31包括:
信息接收单元,用于接收物联网设备基于HTTPS可信加密传输的信息;
钥对提取单元,用于从信息中获取公私钥对;
钥对验证单元,用于对公私钥对进行认证,得到认证结果。
可选地,硬件设备抵近可信管理装置还包括:
数据接收模块,用于接收物联网设备发送的统一密钥和硬件号;
列表获取模块,用于基于统一密钥获取物联网设备对应的公钥证书列表;
钥对生成下发模块,用于根据公钥证书列表、硬件号和统一密钥,生成公私钥对,并将公私钥对下发给物联网设备。
可选地,区块生成模块32包括:
合法性校验单元,用于校验交易签名的合法性,在确认交易合法后,将交易顺序作为共识排序后的顺序,并存入到交易集合中;
区块生成单元,用于若交易集合中的交易数据大于预设阈值,或者,达到预设周期时,将交易集合打包成一个区块,作为确认区块。
可选地,合约执行模块33包括:
合约转移单元,用于在接收到智能合约的执行请求时,将智能合约中的字节码通过汇编器编译为机器码;
机器码调度单元,用于采用抵近节点对机器码执行调度处理,并运行数据可验证。
可选地,硬件设备抵近可信管理装置还包括:
存储模块,用于在抵近节点的账本数据发送变化时,将账本数据实时汇总并存储至云端区块链。
关于硬件设备抵近可信管理装置的具体限定可以参见上文中对于硬件设备抵近可信管理方法的限定,在此不再赘述。上述硬件设备抵近可信管理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图4,图4为本实施例计算机设备基本结构框图。
所述计算机设备4包括通过***总线相互通信连接存储器41、处理器42、网络接口43。需要指出的是,图中仅示出了具有组件连接存储器41、处理器42、网络接口43的计算机设备4,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器41至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或D界面显示存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器41可以是所述计算机设备4的内部存储单元,例如该计算机设备4的硬盘或内存。在另一些实施例中,所述存储器41也可以是所述计算机设备4的外部存储设备,例如该计算机设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括其外部存储设备。本实施例中,所述存储器41通常用于存储安装于所述计算机设备4的操作***和各类应用软件,例如电子文件的控制的程序代码等。此外,所述存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器42在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制所述计算机设备4的总体操作。本实施例中,所述处理器42用于运行所述存储器41中存储的程序代码或者处理数据,例如运行电子文件的控制的程序代码。
所述网络接口43可包括无线网络接口或有线网络接口,该网络接口43通常用于在所述计算机设备4与其他电子设备之间建立通信连接。
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有界面显示程序,所述界面显示程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的硬件设备抵近可信管理方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。

Claims (10)

1.一种硬件设备抵近可信管理***,其特征在于,包括终端拓扑部件、抵近节点和远端服务部件,所述抵近节点分别与所述终端拓扑部件、所述远端服务部件通过网络连接,其中,
所述终端拓扑部件包括至少一个物联网设备;
所述远端服务部件部署有区块链***;
所述抵近节点为单节点结构,包括基础数据处理组件、独立验证存储组件、独立共识组件和分析调度组件;
其中,所述区块链***部署在云端,包含云端区块链可信账本,所述独立验证存储组件包含抵近节点可验证账本,每个所述抵近节点可验证账本作为所述云端区块链可信账本的一个锚节点,其中,
所述抵近节点可验证账本编制用于可信校验的默克尔树,并将默克尔树的根哈希作为账户状态证明,在所述抵近节点产生交易使得账户状态发生变化时,将所述账户状态证明实时同步至所述云端区块链可信账本。
2.一种硬件设备抵近可信管理方法,适用于如权利要求1所述的硬件设备抵近可信管理***,其特征在于,所述硬件设备抵近可信管理方法包括抵近节点执行的如下步骤:
对物联网设备进行认证,并在认证通过后对所述物联网设备采集的数据进行上链处理;
基于独立共识服务,对上链数据进行打包交易生成区块,得到确认区块;
执行节点上部署的智能合约,所述智能合约包含与设备调度模块交互的接口;
对所述确认区块中的上链数据进行网络质量分析,得到分析结果,在分析结果为所述网络质量不符合要求时,通过智能合约调用与所述设备调度模块交互的接口,得到调度策略;
基于所述调度策略对物联网设备进行物联网设备的切换。
3.如权利要求2所述的硬件设备抵近可信管理方法,其特征在于,所述对物联网设备进行认证包括:
接收所述物联网设备基于HTTPS可信加密传输的信息;
从所述信息中获取公私钥对;
对所述公私钥对进行认证,得到认证结果。
4.如权利要求3所述的硬件设备抵近可信管理方法,其特征在于,在所述接收所述物联网设备基于HTTPS可信加密传输的信息之前,所述方法还包括:
接收物联网设备发送的统一密钥和硬件号;
基于所述统一密钥获取所述物联网设备对应的公钥证书列表;
根据所述公钥证书列表、所述硬件号和所述统一密钥,生成公私钥对,并将所述公私钥对下发给所述物联网设备。
5.如权利要求2所述的硬件设备抵近可信管理方法,其特征在于,所述上链数据包括流量数据和设备质量参数,所述基于独立共识服务,对上链数据进行打包交易生成区块,得到确认区块包括:
校验交易签名的合法性,在确认交易合法后,将交易顺序作为共识排序后的顺序,并存入到交易集合中;
若所述交易集合中的交易数据大于预设阈值,或者,达到预设周期时,将所述交易集合打包成一个区块,作为所述确认区块。
6.如权利要求2所述的硬件设备抵近可信管理方法,其特征在于,所述执行所述抵近节点上部署的智能合约包括:
在接收到所述智能合约的执行请求时,将所述智能合约中的字节码通过汇编器编译为机器码;
采用所述抵近节点对所述机器码执行调度处理,并运行数据可验证。
7.如权利要求2所述的硬件设备抵近可信管理方法,其特征在于,所述抵近节点为单节点,所述硬件设备抵近可信管理方法还包括:
在所述抵近节点的账本数据发送变化时,将所述账本数据实时汇总并存储至云端区块链。
8.一种硬件设备抵近可信管理装置,应用于如权利要求1所述的硬件设备抵近可信管理***中的抵近节点,其特征在于,所述硬件设备抵近可信管理装置包括:
数据上链模块,用于对物联网设备进行认证,并在认证通过后对所述物联网设备采集的数据进行上链处理;
区块生成模块,用于基于独立共识服务,对上链数据进行打包交易生成区块,得到确认区块;
合约执行模块,用于执行节点上部署的智能合约,所述智能合约包含与设备调度模块交互的接口;
策略生成模块,用于对所述确认区块中的上链数据进行网络质量分析,得到分析结果,在分析结果为所述网络质量不符合要求时,通过智能合约调用与所述设备调度模块交互的接口,得到调度策略;
设备调度模块,用于基于所述调度策略对物联网设备进行物联网设备的切换。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求2至7任一项所述的硬件设备抵近可信管理方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求2至7任一项所述的硬件设备抵近可信管理方法。
CN202210068300.8A 2022-01-20 2022-01-20 硬件设备抵近可信管理方法、装置、计算机设备及介质 Active CN114598474B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210068300.8A CN114598474B (zh) 2022-01-20 2022-01-20 硬件设备抵近可信管理方法、装置、计算机设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210068300.8A CN114598474B (zh) 2022-01-20 2022-01-20 硬件设备抵近可信管理方法、装置、计算机设备及介质

Publications (2)

Publication Number Publication Date
CN114598474A CN114598474A (zh) 2022-06-07
CN114598474B true CN114598474B (zh) 2024-04-19

Family

ID=81806382

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210068300.8A Active CN114598474B (zh) 2022-01-20 2022-01-20 硬件设备抵近可信管理方法、装置、计算机设备及介质

Country Status (1)

Country Link
CN (1) CN114598474B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111478902A (zh) * 2020-04-07 2020-07-31 江苏润和智融科技有限公司 电力边缘网关设备及基于该设备的传感数据上链存储方法
CN111988338A (zh) * 2020-09-07 2020-11-24 华侨大学 基于区块链的权限可控的物联网云平台及数据交互方法
CN112600892A (zh) * 2020-12-07 2021-04-02 北京邮电大学 面向物联网的区块链设备、***及工作方法
CN112924921A (zh) * 2021-01-21 2021-06-08 国网河北省电力有限公司信息通信分公司 一种基于区块链的智能电表质量数据可信采集机制
CN113656495A (zh) * 2021-07-28 2021-11-16 复旦大学 一种部署区块链的端边云协同的可信边缘物联网***

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10924363B2 (en) * 2018-04-13 2021-02-16 The Curators Of The University Of Missouri Method and system for secure resource management utilizing blockchain and smart contracts
US20210390642A1 (en) * 2020-06-11 2021-12-16 OmniMesh Technologies, Inc. Digital service management in edge computing elements of content delivery networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111478902A (zh) * 2020-04-07 2020-07-31 江苏润和智融科技有限公司 电力边缘网关设备及基于该设备的传感数据上链存储方法
CN111988338A (zh) * 2020-09-07 2020-11-24 华侨大学 基于区块链的权限可控的物联网云平台及数据交互方法
CN112600892A (zh) * 2020-12-07 2021-04-02 北京邮电大学 面向物联网的区块链设备、***及工作方法
CN112924921A (zh) * 2021-01-21 2021-06-08 国网河北省电力有限公司信息通信分公司 一种基于区块链的智能电表质量数据可信采集机制
CN113656495A (zh) * 2021-07-28 2021-11-16 复旦大学 一种部署区块链的端边云协同的可信边缘物联网***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
一种基于区块链的网络边缘资源分配方法;戴俊杰;沈苏彬;;计算机工程(第08期);全文 *
基于区块链的边缘计算IIoT架构研究;高洁;闫献国;梁波;郭宏;;计算机应用研究(第07期);全文 *

Also Published As

Publication number Publication date
CN114598474A (zh) 2022-06-07

Similar Documents

Publication Publication Date Title
CN110727712B (zh) 基于区块链网络的数据处理方法、装置、电子设备及存储介质
CN107317730B (zh) 用于监控区块链节点状态的方法、设备和***
CN109257334B (zh) 一种基于区块链的数据上链***、方法及存储介质
CN110944046B (zh) 一种共识机制的控制方法及相关设备
CN112134956A (zh) 一种基于区块链的分布式物联网指令管理方法和***
CN110838065A (zh) 一种交易数据处理方法及装置
CN110958111A (zh) 一种基于区块链的电力移动终端身份认证机制
CN111447066A (zh) 一种基于区块链的物联网平台
CN101345766A (zh) 一种基于三元对等鉴别可信网络连接的可信网络管理方法
CN112202715A (zh) 一种物联网与区块链可信交互的***、方法及装置
CN110210845B (zh) 用于区块链数据迁移的方法、装置、介质和计算设备
LU102556B1 (en) Blockchain-enhanced open internet of things access architecture
CN109587142A (zh) 一种面向业务流的数据安全接入模块和设备
CN112738253A (zh) 基于区块链的数据处理方法、装置、设备及存储介质
CN105786630A (zh) 一种基于中间件的Web API调控方法
CN110601844A (zh) 使用区块链技术保障物联网设备安全与认证的***和方法
CN114760071B (zh) 基于零知识证明的跨域数字证书管理方法、***和介质
CN112632605A (zh) 一种防止越权访问的方法、装置、计算机设备及存储介质
CN112862487A (zh) 一种数字证书认证方法、设备及存储介质
CN112235301A (zh) 访问权限的验证方法、装置和电子设备
CN114598474B (zh) 硬件设备抵近可信管理方法、装置、计算机设备及介质
US11991189B2 (en) Intrusion detection for computer systems
CN112425121A (zh) 关于分布式数据库的使用控制数据网络
CN115378605A (zh) 基于区块链的数据处理方法及装置
CN113836573A (zh) 基于分布式存储的用户信息处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant