基于区块链的设备接入认证系统及方法

技术领域

本发明属于物联网设备认证技术领域，具体涉及一种基于区块链的设备接入认证系统及方法。

背景技术

随着物联网技术的不断发展，传统的物联网设备认证面临着诸多问题，例如现有的安全认证及权限管理机制并没有解决用户、终端、平台之间建立可信链接的问题，传统基于PKI的认证体系，在物联网海量终端接入、点对点交互频繁且随机的场景下，需要维护大量证书、进行在线交换，整体建设和维护成本高，难以普及。

发明内容

针对上述问题，本发明提出一种基于区块链的设备接入认证系统及方法，利用标识密码和区块链实现了轻量级的物联网设备认证，可以应用于存在大量物联网接入设备的应用场景中。

为了实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

第一方面，本发明提供了一种基于区块链的设备接入认证系统，标识分配模块、秘钥生成中心、区块链、边缘服务器和若干个终端设备；

所述标识分配模块给各终端设备分别分配与所述终端设备对应的标识码和物理指纹密文，同时将所述标识码和物理指纹密文发送至区块链，各终端设备中的标识码与物理指纹密文之间存在映射关系；

所述秘钥生成中心为所述边缘服务器生成边缘服务器公钥和边缘服务器私钥，并发送至边缘服务器；所述秘钥生成中心为所述若干个终端设备分别生成公钥和私钥，并发送至对应的终端设备

若干个终端设备发送访问请求至边缘服务器，并接收边缘服务器反馈的边缘服务器公钥，该终端设备依次利用自己的公钥、私钥以及边缘服务器公钥对其物理指纹进行加密获得第一认证密文，并将所述第一认证密文发送给边缘服务器；所述边缘服务器依次利用边缘服务器私钥和该终端设备的公钥对所述第一认证密文进行解密获得第二认证密文；

所述边缘服务器利用该终端设备的标识码在区块链上查找对应的物理指纹密文，当查找到的物理指纹密文与所述第二认证密文相同，则表示该终端设备为合法设备，允许该终端设备的接入操作。

可选地，所述边缘服务器的数量大于1，各边缘服务器上分别连接有若干个终端设备。

可选地，当区块链中出现新的终端设备的标识码时，所述秘钥生成中心下载该标识码，生成与该终端设备对应的私钥与公钥，并发送至该终端设备。

可选地，各终端设备的标识码是通过将该终端设备的生产序列号和物理MAC地址经过散列函数计算得到的。

可选地，所述区块链中包括智能合约模块，当将某终端设备的标识码、射频信号样例和公钥输入至所述智能合约模块，所述智能合约模块通过计算后输出该终端设备的物理指纹。

可选地，所述物理指纹密文是利用终端设备的公钥加密其物理指纹获得。

可选地，所述基于区块链的设备接入认证系统还包括秘钥生成中心，所述秘钥生成中心用于生成边缘服务器公钥和边缘服务器私钥，并发送至边缘服务器；还用于生成各终端设备的公钥和私钥，并发送对应的终端设备。

第二方面，本发明提供了一种基于区块链的设备接入认证方法，包括以下步骤：

利用标识分配模块给各终端设备分别分配与所述终端设备对应的标识码和物理指纹密文，同时将所述标识码和物理指纹密文发送至区块链，各终端设备中的标识码与物理指纹密文之间存在映射关系；

利用秘钥生成中心为所述边缘服务器生成边缘服务器公钥和边缘服务器私钥，并发送至边缘服务器；

利用秘钥生成中心为若干个终端设备分别生成公钥和私钥，并发送至对应的终端设备；

利用若干个终端设备发送访问请求至边缘服务器，并接收边缘服务器反馈的边缘服务器公钥，该终端设备依次利用自己的公钥、私钥以及边缘服务器公钥对其物理指纹进行加密获得第一认证密文，并将所述认证密文作为认证消息发送给边缘服务器；

利用边缘服务器依次利用边缘服务器私钥和该终端设备的公钥对所述认证密文进行解密获得第二认证密文；还利用所述边缘服务器利用该终端设备的标识码在区块链上查找对应的物理指纹，当查找到的物理指纹与所述第二认证密文相同，则表示该终端设备为合法设备，允许该终端设备的接入操作。

可选地，当区块链中出现新的终端设备的标识码时，利用秘钥生成中心下载该标识码，生成与该终端设备对应的私钥与公钥，并发送至该终端设备。

可选地，各终端设备的标识码是通过将该终端设备的生产序列号和物理MAC地址经过散列函数计算得到的。

可选地，所述区块链中包括智能合约模块，当将某终端设备的标识码、射频信号样例和公钥输入至所述智能合约模块，所述智能合约模块通过计算后输出该终端设备的物理指纹。

可选地，所述物理指纹密文是利用终端设备的公钥加密其物理指纹获得。

可选地，所述还利用所述边缘服务器利用该终端设备的标识码在区块链上查找对应的物理指纹步骤之后还包括：若区块链上没有对应的标识码或者没有对应的物理指纹密文，则表示该终端设备为非法设备，将该终端设备加入黑名单，上传至区块链，并与其他边缘服务器实现同步。

与现有技术相比，本发明的有益效果：

本发明的设备认证系统包括秘钥生成中心、终端设备、边缘服务器和区块链。秘钥生成中心为终端和边缘服务器生成标识公钥与私钥；设备制造商负责生产设备、分配设备标识、识别设备物理指纹，且利用终端设备的公钥将其物理指纹加密与标识一同存储在区块链中；终端设备向边缘服务器发送带有位置信息的认证请求；物联网边缘服务器，也可以称为边缘节点，负责接收终端设备的认证请求，并在认证过程中利用设备标识查询区块链上保存的物理指纹密文；区块链将存储设备的标识和物理指纹密文分开存储，为边缘服务器提供通过标识查找对应加密指纹的智能合约。本发明利用标识密码和区块链实现了轻量级的物联网设备认证，可以应用于存在大量物联网接入设备的应用场景中

附图说明

为了使本发明的内容更容易被清楚地理解，下面根据具体实施例并结合附图，对本发明作进一步详细的说明，其中：

图1为本发明一种实施例的基于区块链的设备接入认证系统的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明的保护范围。

下面结合附图对本发明的应用原理作详细的描述。

实施例1

本发明实施例中提供了一种基于区块链的设备接入认证系统，包括：标识分配模块、秘钥生成中心、区块链、边缘服务器和若干个终端设备；

所述标识分配模块给各终端设备分别分配与所述终端设备对应的标识码和物理指纹密文，同时将所述标识码和物理指纹密文发送至区块链，各终端设备中的标识码与物理指纹密文之间存在映射关系；在实际应用过程中，所述标识分配模块是属于设备制造商的一种设备，用于给各终端设备分别分配与所述终端设备对应的标识码和物理指纹密文，同时将所述标识码和物理指纹密文发送至区块链；

所述秘钥生成中心为所述边缘服务器生成边缘服务器公钥和边缘服务器私钥，并发送至边缘服务器；所述秘钥生成中心为所述若干个终端设备分别生成公钥和私钥，并发送至对应的终端设备；

若干个终端设备发送访问请求至边缘服务器，并接收边缘服务器反馈的边缘服务器公钥，该终端设备依次利用自己的公钥、私钥以及边缘服务器公钥对其物理指纹进行加密获得第一认证密文，并将所述第一认证密文发送给边缘服务器；即该终端设备利用自己的设备公钥对其物理指纹进行加密，接着用自己的设备私钥进行签名，最后再利用边缘服务器公钥进行一次加密，获得第一认证密文，然后由该终端设备将其标识码和第一认证密文发送给边缘服务器作为认证消息；所述边缘服务器依次利用边缘服务器私钥和边缘服务器公钥对所述第一认证密文进行解密获得第二认证密文；即边缘服务器先利用自己的私钥对接收到的第一认证密文进行一次解密，再利用该终端设备的公钥对签名进行验证，得到第二认证密文，并确定其中的加密信息是否真由该终端设备发送；

所述边缘服务器利用该终端设备的标识码在区块链上查找对应的物理指纹密文，当查找到的物理指纹密文与所述第二认证密文相同，则表示该终端设备为合法设备，允许该终端设备的接入操作。若区块链上没有对应的标识码或者没有对应的物理指纹密文，则表示该终端设备为非法设备，将该终端设备加入黑名单，上传至区块链，并与其他边缘服务器实现同步。

在本发明实施例的一种具体实施方式中，所述边缘服务器的数量大于1，各边缘服务器上分别连接有若干个终端设备。具体参见图1中的边缘服务器A(称为边缘节点)，……，边缘服务器B(称为边缘节点)，所述边缘服务器A分别与终端设备A1，……，终端设备Am相连；所述边缘服务器B分别与终端设备B1，……，终端设备Bm相连。当存在多个边缘服务器时，终端设备需要发送带位置信息的访问请求，询问需要对其进行认证的边缘服务器，对应的边缘服务器作为响应将其公钥发送给终端设备。

在本发明实施例的一种具体实施方式中，各终端设备的标识码是通过将该终端设备的生产序列号和物理MAC地址经过散列函数计算得到的。当区块链中出现新的终端设备的标识码时，所述秘钥生成中心下载该标识码，利用标识密码体制生成与该终端设备对应的私钥与公钥，并发送至该终端设备。

在本发明实施例的一种具体实施方式中，该区块链为联盟链，只有经过企业认证的主体，例如合法的设备制造商、权威的秘钥生成中心和诚实的边缘服务器等，才可以成功接入。所述区块链中包括智能合约，智能合约由企业制定，并对其他区块链成员隐蔽，即区块链上的部署智能合约对于所有主体来说是一个黑盒，用户无法知道智能合约的具体实现方法，只能在提供智能合约的输入数据后，获得对应的输出数据。所述区块链中包括智能合约模块，当将某终端设备的标识码、射频信号样例和公钥输入至所述智能合约模块，所述智能合约模块通过计算后输出该终端设备的物理指纹。

实施例2

本发明实施例中提供了一种基于区块链的设备接入认证方法，包括以下步骤：

利用标识分配模块给各终端设备分别分配与所述终端设备对应的标识码和物理指纹密文，同时将所述标识码和物理指纹密文发送至区块链，各终端设备中的标识码与物理指纹密文之间存在映射关系；

利用秘钥生成中心为所述边缘服务器生成边缘服务器公钥和边缘服务器私钥，并发送至边缘服务器；

利用秘钥生成中心为若干个终端设备分别生成公钥和私钥，并发送至对应的终端设备；

利用若干个终端设备发送访问请求至边缘服务器，并接收边缘服务器反馈的边缘服务器公钥，该终端设备依次利用自己的公钥、私钥以及边缘服务器公钥对其物理指纹进行加密获得第一认证密文，并将所述认证密文作为认证消息发送给边缘服务器；

利用边缘服务器依次利用边缘服务器私钥和该终端设备的公钥对所述认证密文进行解密获得第二认证密文；还利用所述边缘服务器利用该终端设备的标识码在区块链上查找对应的物理指纹密文，当查找到的物理指纹密文与所述第二认证密文相同，则表示该终端设备为合法设备，允许该终端设备的接入操作。

在本发明实施例的一种具体实施方式中，当区块链中出现新的终端设备的标识码时，利用秘钥生成中心下载该标识码，生成与该终端设备对应的私钥与公钥，并发送至该终端设备。

在本发明实施例的一种具体实施方式中，各终端设备的标识码是通过将该终端设备的生产序列号和物理MAC地址经过散列函数计算得到的。

在本发明实施例的一种具体实施方式中，所述区块链中包括智能合约模块，当将某终端设备的标识码、射频信号样例和公钥输入至所述智能合约模块，所述智能合约模块通过计算后输出该终端设备的物理指纹。

在本发明实施例的一种具体实施方式中，所述还利用所述边缘服务器利用该终端设备的标识码在区块链上查找对应的物理指纹步骤之后还包括：若区块链上没有对应的标识码或者没有对应的物理指纹密文，则表示该终端设备为非法设备，将该终端设备加入黑名单，上传至区块链，并与其他边缘服务器实现同步。

下面结合图1对本发明实施例中提供的基于区块链的设备接入认证系统的过程流程进行具体说明。

假设边缘服务器A的公钥为PK

步骤1，终端设备A1接收发自设备制造商的标识id

步骤2，终端设备A1发送带有位置信息的访问请求，负责该设备位置区域的边缘服务器接收该消息后，将自己的公钥PK

步骤3，终端设备A1先用自己的公钥PK

步骤4，边缘服务器A先利用自己的私钥SK

步骤5，边缘服务器A利用终端设备A1的标识id

步骤6，若边缘服务器A在区块链上无法找到对应的物理指纹密文M'，则认为终端设备A1为非法设备，将消息丢弃；若A找到对应的物理指纹密文M'，但是计算发现M

其中，步骤6中边缘服务器A1在区块链上查找的终端设备物理指纹密文M'由设备制造商上传，其物理指纹生成与加密上链步骤如下：

步骤(6.1)，设备制造商在生产终端设备A1的时，利用散列函数H(·)将设备的生产序列号n

步骤(6.2)当秘钥生成中心KGC在区块链上发现一个终端设备A1的标识id

步骤(6.3)设备制造商将终端设备标识码id

步骤(6.4)设备制造商利用智能合约SM

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。