一种基于区块链的工业物联网设备跨域身份认证方法和系统

技术领域

本发明涉及物联网技术领域，具体是涉及一种基于区块链的工业物联网设备跨域身份认证方法和系统。

背景技术

随着“互联网+”智能设备的发展和物联网技术的进一步普及，物联网设备数量增长迅速，也形成了越来越多的物联网域，每个物联网域中都包括若干个物联网设备，同一个物联网域中的物联网设备在区块链网络下可以实现点对点的交互。

但是不同的物联网域处在不同的区块链网络下，不同物联网域中的物联网设备就不能够实现交互，但是在实际应用中，工业物联网设备需要跨域交互，这就需要进行跨域身份认证，现有技术中，已经可以基于区块链技术对工业物联网设备进行设备的身份标识与验证、安全交互；

很多情况下，某一个物联网域中的多个物联网设备都需要向另一个物联网域中物联网设备进行信息传递，这就需要对多个物联网设备进行依次认证，身份认证效率较低，因此，需要提供一种基于区块链的工业物联网设备跨域身份认证方法和系统，旨在解决上述问题。

发明内容

针对现有技术存在的不足，本发明的目的在于提供一种基于区块链的工业物联网设备跨域身份认证方法和系统，以解决上述背景技术中存在的问题。

本发明是这样实现的，一种基于区块链的工业物联网设备跨域身份认证方法，所述方法包括以下步骤：

生成物联网设备的唯一标识身份信息，所述唯一标识身份信息包括但不限于设备的硬件信息、操作系统、产品序列号、产商信息，物联网设备所在的原本物联网域的第一认证服务器中存储有该物联网域中所有物联网设备的唯一标识身份信息；

向目标物联网域中的第二认证服务器发送认证请求，认证请求中携带有物联网设备的唯一标识身份信息，对认证请求进行验证，当认证请求验证通过后，允许所述物联网设备接入目标物联网域；

向目标物联网域中的第二认证服务器发送批量认证请求，批量认证请求中携带有第一认证服务器中存储的所有唯一标识身份信息，对批量认证请求进行验证，当批量认证请求验证通过后，允许原本物联网域中的物联网设备接入目标物联网域。

作为本发明进一步的方案：所述向目标物联网域中的第二认证服务器发送认证请求的步骤，具体包括：

对唯一标识身份信息进行哈希计算得到原始身份信息哈希值；

对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息；

向目标物联网域中的第二认证服务器发送所述加密信息，加密信息即为认证请求。

作为本发明进一步的方案：所述对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息的步骤，具体包括：

生成第二认证服务器的公钥和私钥，将公钥发送给物联网设备；

利用公钥对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息。

作为本发明进一步的方案：所述对认证请求进行验证的步骤，具体包括：

利用私钥对加密信息进行解密得到唯一标识身份信息和原始身份信息哈希值；

对解密得到的唯一标识身份信息进行哈希计算得到接收身份信息哈希值；

对接收身份信息哈希值与原始身份信息哈希值进行对比，若两者完全相同，则表示加密信息在传输过程中没有损坏，对唯一标识身份信息进行验证。

作为本发明进一步的方案：所述向目标物联网域中的第二认证服务器发送批量认证请求，批量认证请求中携带有第一认证服务器中存储的所有唯一标识身份信息的步骤，具体包括：

通过第一认证服务器向验证通过的物联网设备发送原本物联网域中所有的物联网设备的唯一标识身份信息；

通过验证通过的物联网设备向第二认证服务器发送批量认证请求。

作为本发明进一步的方案：一种基于区块链的工业物联网设备跨域身份认证方法还包括：向原本物联网域中的第一认证服务器发送反向批量认证请求，反向批量认证请求中携带有第二认证服务器中存储的所有唯一标识身份信息，对反向批量认证请求进行验证，当反向批量认证请求验证通过后，允许目标物联网域中的物联网设备接入原始物联网域。

本发明的另一目的在于提供一种基于区块链的工业物联网设备跨域身份认证系统，所述系统包括：

唯一标识身份信息生成模块，用于生成物联网设备的唯一标识身份信息，所述唯一标识身份信息包括但不限于设备的硬件信息、操作系统、产品序列号、产商信息，物联网设备所在的原本物联网域的第一认证服务器中存储有该物联网域中所有物联网设备的唯一标识身份信息；

单个认证请求发送模块，用于向目标物联网域中的第二认证服务器发送认证请求，认证请求中携带有物联网设备的唯一标识身份信息，对认证请求进行验证，当认证请求验证通过后，允许所述物联网设备接入目标物联网域；以及

批量认证请求发送模块，用于向目标物联网域中的第二认证服务器发送批量认证请求，批量认证请求中携带有第一认证服务器中存储的所有唯一标识身份信息，对批量认证请求进行验证，当批量认证请求验证通过后，允许原本物联网域中的物联网设备接入目标物联网域。

作为本发明进一步的方案：所述单个认证请求发送模块包括：

第一哈希计算单元，用于对唯一标识身份信息进行哈希计算得到原始身份信息哈希值；

加密单元，用于对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息；以及

认证请求发送单元，用于向目标物联网域中的第二认证服务器发送所述加密信息，加密信息即为认证请求。

作为本发明进一步的方案：所述加密单元包括：

公私钥生成子单元，用于生成第二认证服务器的公钥和私钥，将公钥发送给物联网设备；以及

公钥加密子单元，利用公钥对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息。

作为本发明进一步的方案：所述单个认证请求发送模块还包括：

私钥解密单元，利用私钥对加密信息进行解密得到唯一标识身份信息和原始身份信息哈希值；

第二哈希计算单元，用于对解密得到的唯一标识身份信息进行哈希计算得到接收身份信息哈希值；以及

哈希值对比单元，用于对接收身份信息哈希值与原始身份信息哈希值进行对比，若两者完全相同，则表示加密信息在传输过程中没有损坏，对唯一标识身份信息进行验证。

与现有技术相比，本发明的有益效果是：本发明先使得一个物联网设备接入目标物联网域中，那么该物联网设备就能够向目标物联网域中的第二认证服务器发送大量信息数据，如此，就能够向第二认证服务器发送批量认证请求，当批量认证请求验证通过后，原本物联网域中的多个物联网设备均可以接入目标物联网域，大幅度提高了物联网设备跨域认证的效率。

附图说明

图1为一种基于区块链的工业物联网设备跨域身份认证方法的流程图。

图2为一种基于区块链的工业物联网设备跨域身份认证方法中向目标物联网域中的第二认证服务器发送认证请求的流程图。

图3为一种基于区块链的工业物联网设备跨域身份认证方法中对唯一标识身份信息和原始身份信息哈希值进行加密的流程图。

图4为一种基于区块链的工业物联网设备跨域身份认证方法中对认证请求进行验证的流程图。

图5为一种基于区块链的工业物联网设备跨域身份认证方法中向目标物联网域中的第二认证服务器发送批量认证请求的流程图。

图6为一种基于区块链的工业物联网设备跨域身份认证系统的结构示意图。

图7为一种基于区块链的工业物联网设备跨域身份认证系统中单个认证请求发送模块的结构示意图。

图8为一种基于区块链的工业物联网设备跨域身份认证系统中加密单元的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清晰，以下结合附图及具体实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

以下结合具体实施例对本发明的具体实现进行详细描述。

如图1所示，本发明实施例提供了一种基于区块链的工业物联网设备跨域身份认证方法，包括以下步骤：

S100，生成物联网设备的唯一标识身份信息，所述唯一标识身份信息包括但不限于设备的硬件信息、操作系统、产品序列号、产商信息，物联网设备所在的原本物联网域的第一认证服务器中存储有该物联网域中所有物联网设备的唯一标识身份信息；

S200，向目标物联网域中的第二认证服务器发送认证请求，认证请求中携带有物联网设备的唯一标识身份信息，对认证请求进行验证，当认证请求验证通过后，允许所述物联网设备接入目标物联网域；

S300，向目标物联网域中的第二认证服务器发送批量认证请求，批量认证请求中携带有第一认证服务器中存储的所有唯一标识身份信息，对批量认证请求进行验证，当批量认证请求验证通过后，允许原本物联网域中的物联网设备接入目标物联网域。

需要说明的是，随着“互联网+”智能设备的发展和物联网技术的进一步普及，物联网设备数量增长迅速，也形成了越来越多的物联网域，每个物联网域中都包括若干个物联网设备，同一个物联网域中的物联网设备在区块链网络下可以实现点对点的交互，但是不同的物联网域处在不同的区块链网络下，不同物联网域中的物联网设备就不能够实现交互，但是在实际应用中，工业物联网设备需要跨域交互，这就需要进行跨域身份认证，现有技术中，已经可以基于区块链技术对工业物联网设备进行设备的身份标识与验证、安全交互，区块链作为一种新型的分布式技术，具有不可篡改性，可以避免传统中心服务器容易受到单点攻击的问题；

但是，很多情况下，某一个物联网域中的多个物联网设备都需要向另一个物联网域中物联网设备进行信息传递，这就需要对多个物联网设备进行依次认证，身份认证效率较低，本发明就是解决这一问题的。

本发明实施例中，每个物联网域中都包含有认证服务器(AuthenticationServer)，用于对物联网设备进行身份认证以及授权验证，认证服务器同时作为区块链网络节点。为了便于理解，以两个物联网域为例，这两个物联网域分别为原本物联网域和目标物联网域，原本物联网域中的第一认证服务器中存储有该物联网域中所有物联网设备的唯一标识身份信息，同理，目标物联网域中的第二认证服务器中也存储有该物联网域中所有物联网设备的唯一标识身份信息；

当原本物联网域中的物联网设备需要接入目标物联网域中时，首先需要生成所述物联网设备的唯一标识身份信息，所述唯一标识身份信息包括但不限于设备的硬件信息、操作系统、产品序列号、产商信息，硬件信息包括硬盘、内存、CPU等的序列号；然后向目标物联网域中的第二认证服务器发送认证请求，第二认证服务器通过唯一标识身份信息对认证请求进行验证，当认证请求验证通过后，允许所述物联网设备接入目标物联网域；此时，所述物联网设备就能够向第二认证服务器传递更多的大量的信息而不仅仅是单个的认证请求，接着，第一认证服务器将原本物联网域中所有物联网设备的唯一标识身份信息发送给所述物联网设备，所述物联网设备向目标物联网域中的第二认证服务器发送批量认证请求，批量认证请求中携带有第一认证服务器中存储的所有唯一标识身份信息，第二认证服务器对批量认证请求进行验证，当批量认证请求验证通过后，允许原本物联网域中的物联网设备接入目标物联网域；可以理解的是，批量认证请求中的哪部分唯一标识身份信息验证通过，该部分唯一标识身份信息对应的物联网设备就可以接入目标物联网域。

如图2所示，作为本发明一个优选的实施例，所述向目标物联网域中的第二认证服务器发送认证请求的步骤，具体包括：

S201，对唯一标识身份信息进行哈希计算得到原始身份信息哈希值；

S202，对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息；

S203，向目标物联网域中的第二认证服务器发送所述加密信息，加密信息即为认证请求。

本发明实施例中，可以理解的是，唯一标识身份信息涵盖了物联网设备的基础、重要以及私密信息，因而，唯一标识身份信息在传输过程中需要进行加密，然后向目标物联网域中的第二认证服务器发送所述加密信息，加密信息即为认证请求。

如图3所示，作为本发明一个优选的实施例，所述对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息的步骤，具体包括：

S2021，生成第二认证服务器的公钥和私钥，将公钥发送给物联网设备；

S2022，利用公钥对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息。

本发明实施例中，公钥和私钥是指非对称加密算法中的两个密钥，公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密，因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将公钥公开，需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方，甲方再用自己私钥对加密后的信息进行解密。

本发明实施例中，利用公钥对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息，保证了唯一标识身份信息在传输过程中不会被泄露，且只有第二认证服务器才能够使用私钥解开加密信息。

如图4所示，作为本发明一个优选的实施例，所述对认证请求进行验证的步骤，具体包括：

S204，利用私钥对加密信息进行解密得到唯一标识身份信息和原始身份信息哈希值；

S205，对解密得到的唯一标识身份信息进行哈希计算得到接收身份信息哈希值；

S206，对接收身份信息哈希值与原始身份信息哈希值进行对比，若两者完全相同，则表示加密信息在传输过程中没有损坏，对唯一标识身份信息进行验证。

本发明实施例中，当第二认证服务器接收到加密信息后，首先利用私钥对加密信息进行解密得到唯一标识身份信息和原始身份信息哈希值，接着对解密得到的唯一标识身份信息进行哈希计算得到接收身份信息哈希值，最后对接收身份信息哈希值与原始身份信息哈希值进行对比，若两者完全相同，则表示加密信息在传输过程中没有损坏，唯一标识身份信息有效，对唯一标识身份信息进行验证，否则唯一标识身份信息无效；

需要说明的是，哈希值具有独一无二性，如果数据在存储或者传输过程中有丝毫损坏，那么它的哈希值就会变，哈希函数的最常见的一个作用就是进行完整性校验，进而保证了第二认证服务器只对有效的唯一标识身份信息进行验证。

如图5所示，作为本发明一个优选的实施例，所述向目标物联网域中的第二认证服务器发送批量认证请求，批量认证请求中携带有第一认证服务器中存储的所有唯一标识身份信息的步骤，具体包括：

S301，通过第一认证服务器向验证通过的物联网设备发送原本物联网域中所有的物联网设备的唯一标识身份信息；

S302，通过验证通过的物联网设备向第二认证服务器发送批量认证请求。

本发明实施例中，当原本物联网域中有一个物联网设备能够接入目标物联网域后，所述物联网设备就能够向目标物联网域中的第二认证服务器发送大量信息数据，如此，就能够向第二认证服务器发送批量认证请求，大幅度提高了物联网设备跨域认证的效率；可以理解的是，原本物联网域中所有的物联网设备的唯一标识身份信息也需要进行加密处理。

作为本发明一个优选的实施例，一种基于区块链的工业物联网设备跨域身份认证方法还包括：向原本物联网域中的第一认证服务器发送反向批量认证请求，反向批量认证请求中携带有第二认证服务器中存储的所有唯一标识身份信息，对反向批量认证请求进行验证，当反向批量认证请求验证通过后，允许目标物联网域中的物联网设备接入原始物联网域。

本发明实施例中，当原本物联网域中有一个物联网设备能够接入目标物联网域后，目标物联网域中的第二认证服务器也能够向所述物联网设备发送大量信息数据，如此，第二认证服务器就能够向所述物联网设备发送目标物联网域中所有的唯一标识身份信息，所述物联网设备就能够将携带有唯一标识身份信息的反向批量认证请求发送给第一认证服务器，如此，目标物联网域中的物联网设备也能够批量接入原本物联网域中，使得原本物联网域与目标物联网域之间的交互更加顺畅。

如图6所示，本发明实施例还提供了一种基于区块链的工业物联网设备跨域身份认证系统，所述系统包括：

唯一标识身份信息生成模块100，用于生成物联网设备的唯一标识身份信息，所述唯一标识身份信息包括但不限于设备的硬件信息、操作系统、产品序列号、产商信息，物联网设备所在的原本物联网域的第一认证服务器中存储有该物联网域中所有物联网设备的唯一标识身份信息；

单个认证请求发送模块200，用于向目标物联网域中的第二认证服务器发送认证请求，认证请求中携带有物联网设备的唯一标识身份信息，对认证请求进行验证，当认证请求验证通过后，允许所述物联网设备接入目标物联网域；以及

批量认证请求发送模块300，用于向目标物联网域中的第二认证服务器发送批量认证请求，批量认证请求中携带有第一认证服务器中存储的所有唯一标识身份信息，对批量认证请求进行验证，当批量认证请求验证通过后，允许原本物联网域中的物联网设备接入目标物联网域。

本发明实施例中，每个物联网域中都包含有认证服务器(AuthenticationServer)，用于对物联网设备进行身份认证以及授权验证，认证服务器同时作为区块链网络节点。为了便于理解，以两个物联网域为例，这两个物联网域分别为原本物联网域和目标物联网域，原本物联网域中的第一认证服务器中存储有该物联网域中所有物联网设备的唯一标识身份信息，同理，目标物联网域中的第二认证服务器中也存储有该物联网域中所有物联网设备的唯一标识身份信息；

当原本物联网域中的物联网设备需要接入目标物联网域中时，首先需要生成所述物联网设备的唯一标识身份信息，所述唯一标识身份信息包括但不限于设备的硬件信息、操作系统、产品序列号、产商信息，硬件信息包括硬盘、内存、CPU等的序列号；然后向目标物联网域中的第二认证服务器发送认证请求，第二认证服务器通过唯一标识身份信息对认证请求进行验证，当认证请求验证通过后，允许所述物联网设备接入目标物联网域；此时，所述物联网设备就能够向第二认证服务器传递更多的大量的信息而不仅仅是单个的认证请求，接着，第一认证服务器将原本物联网域中所有物联网设备的唯一标识身份信息发送给所述物联网设备，所述物联网设备向目标物联网域中的第二认证服务器发送批量认证请求，批量认证请求中携带有第一认证服务器中存储的所有唯一标识身份信息，第二认证服务器对批量认证请求进行验证，当批量认证请求验证通过后，允许原本物联网域中的物联网设备接入目标物联网域；可以理解的是，批量认证请求中的哪部分唯一标识身份信息验证通过，该部分唯一标识身份信息对应的物联网设备就可以接入目标物联网域。

如图7所示，作为本发明一个优选的实施例，所述单个认证请求发送模块200包括：

第一哈希计算单元201，用于对唯一标识身份信息进行哈希计算得到原始身份信息哈希值；

加密单元202，用于对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息；以及

认证请求发送单元203，用于向目标物联网域中的第二认证服务器发送所述加密信息，加密信息即为认证请求。

本发明实施例中，可以理解的是，唯一标识身份信息涵盖了物联网设备的基础、重要以及私密信息，因而，唯一标识身份信息在传输过程中需要进行加密，然后向目标物联网域中的第二认证服务器发送所述加密信息，加密信息即为认证请求。

如图8所示，作为本发明一个优选的实施例，所述加密单元202包括：

公私钥生成子单元2021，用于生成第二认证服务器的公钥和私钥，将公钥发送给物联网设备；以及

公钥加密子单元2022，利用公钥对唯一标识身份信息和原始身份信息哈希值进行加密得到加密信息。

本发明实施例中，公钥和私钥是指非对称加密算法中的两个密钥，公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密，因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将公钥公开，需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方，甲方再用自己私钥对加密后的信息进行解密。

如图7和图8所示，作为本发明一个优选的实施例，所述单个认证请求发送模块200还包括：

私钥解密单元204，利用私钥对加密信息进行解密得到唯一标识身份信息和原始身份信息哈希值；

第二哈希计算单元205，用于对解密得到的唯一标识身份信息进行哈希计算得到接收身份信息哈希值；以及

哈希值对比单元206，用于对接收身份信息哈希值与原始身份信息哈希值进行对比，若两者完全相同，则表示加密信息在传输过程中没有损坏，对唯一标识身份信息进行验证。

本发明实施例中，当第二认证服务器接收到加密信息后，首先利用私钥对加密信息进行解密得到唯一标识身份信息和原始身份信息哈希值，接着对解密得到的唯一标识身份信息进行哈希计算得到接收身份信息哈希值，最后对接收身份信息哈希值与原始身份信息哈希值进行对比，若两者完全相同，则表示加密信息在传输过程中没有损坏，唯一标识身份信息有效，对唯一标识身份信息进行验证，否则唯一标识身份信息无效。

以上仅对本发明的较佳实施例进行了详细叙述，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

应该理解的是，虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器（ROM）、可编程ROM（PROM）、电可编程ROM（EPROM）、电可擦除可编程ROM（EEPROM）或闪存。易失性存储器可包括随机存取存储器（RAM）或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM（SRAM）、动态RAM（DRAM）、同步DRAM（SDRAM）、双数据率SDRAM（DDRSDRAM）、增强型SDRAM（ESDRAM）、同步链路（Synchlink） DRAM（SLDRAM）、存储器总线（Rambus）直接RAM（RDRAM）、直接存储器总线动态RAM（DRDRAM）、以及存储器总线动态RAM（RDRAM）等。

本领域技术人员在考虑说明书及实施例处的公开后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由权利要求指出。