基于区块链和企业跨域数据汇聚的工业互联网标识方法

技术领域

本发明涉及一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，属于工业互联网、区块链技术、身份认证领域。

背景技术

随着工业互联网的发展，传统工业正在面临转型升级的挑战。跨域的身份认证是共享数据的安全条件，成为企业实现标识数据共享和追溯的关键技术。因此通过区块链、身份认证技术增强标识数据共享和访问的安全性、可靠性和满足复杂的工业互联网商品标识生产流程具有重要的意义。

随着工业互联网的发展，工业生产场景变得越来越复杂，商品的标识往往需要几个企业共同合作，单一企业不具备商品所有的生产数据，现有标识解析技术无法做到标识拥有者获取其它企业的生产信息，进而导致由单一企业录入的标识映射数据不够完整，申请解析用户无法获得全量标识映射数据。而跨域通信技术可以较好解决分属不同行业域企业生产数据资源汇聚的问题，然而这带来了一个新的问题，企业身份认证过程中所使用到的加密/签名算法会为二级节点带来庞大的证书管理、数据加密/解密以及签名/验签开销，这会更容易出现二级节点负载过重以及单点失效等问题。

发明内容

为了解决现有技术中存在的问题与不足，本发明一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，该方法在工业互联网标识解析体系中通过投票选举出的企业代表节点在行业域内和行业域间进行通信访问标识数据减轻了企业二级节点的负载，同时确保信息汇聚时企业身份信息的真实性；之后设计企业跨行业域通信流程，使用无配对的基于身份签名技术使得企业可以通过向代表节点进行身份认证的形式实现标识映射数据跨域传输时身份的真实性；最后通过ECDHE技术实现通信双方的会话密钥协商，防止信息在不安全信道传输过程中信息泄露，实现标识解析技术在企业身份确定的情况下完成完整标识映射数据汇聚。

为实现上述目的，本发明的技术方案如下：一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，包括如下步骤：

步骤1：标识符前缀和后缀生成，具体如下，将标识符采用两段式编码结构，分为标识符前缀和标识符后缀，前缀和后缀之间用符号“/”隔开，标识符前缀为标识生成的企业在该标识解析体系中的身份ID，该ID在体系中具有唯一性。标识符后缀由标识符生成企业定义，该字段代表企业所生产商品的信息。

步骤2：企业信誉度评估。首先基于企业节点对系统生态的算力投资、活跃度贡献以及对域间区块链的维护管理对企业信誉度进行评估。其次根据从二级节点中获得的数据构建行业域中节点的信誉度评估方法，定义信誉值Rup＝Rup

步骤3：企业代表节点投票选举。首先二级节点根据信誉评估方法对每个加入行业域的企业节点进行信誉度评估。当行业域建立初期、代表节点主动推出或满足约束方法中的条件时，域内重新发起代表节点的投票选举。其次二级节点从域内所有普通节点中筛选出符合候选节点的列表，并从这个列表中根据信誉度优先级和投票算法

步骤4：企业匿名身份认证。首先，由KGC、由行业域内投票选举出的代表节点作为代理服务器以及区块链组成工业互联网标识解析体系跨域认证网络。其次为实现二级节点的认证和管理分配唯一的明文身份标识符，同时企业生成匿名身份应用于企业间的身份认证实现企业的身份隐私保护。最后基于IBS实现属于同一个行业域内的企业之间的跨域通信认证和不同行业域之间的企业进行跨域通信认证。

步骤5：会话密钥协商。首先由于企业A为申请验证方，因此协商双方使用企业A所属行业域X的椭圆曲线l

步骤6：完整标识映射数据汇聚和解析，当标识拥有者获得标识符的完整标识映射数据后，将其录入标识符中，并为商品生成标识符后缀生成完整标识符。当解析用户获得商品后，根据商品标识符发起解析申请获取商品的完整标识映射数据。

相对于现有技术，本发明的优点如下：

1)本发明建立了企业信誉度方法，以及企业信誉度的奖惩机制，并且根据此方法设计代表节点的投票选举算法，将这些节点部署为代理服务器分担二级节点的计算和存储开销，缓解了二级节点过度中心化和单点负载过重的问题。

2)本发明使用无配对的IBS技术结合Fabric实现了分属不同行业域的企业间的跨域身份认证，实现二级节点在不需要储存和管理复杂的公钥证书的情况下，安全高效的完成企业的跨域身份认证。

3)最后将ECDHE密钥协商技术嵌入到身份认证中，实现在无需增加通信轮次的情况下两企业安全协商出后续通信的会话密钥，保证了后续通信的安全性。

4)本发明提出的方法能够在工业互联网标识解析系统中高效的完成分属不同行业域的企业之间的跨身份认证，进而保证完整标识映射数据在身份确定情况下的汇聚。

附图说明

图1为本发明实施例的工业互联网标识解析系统中的域间网络结构。

图2为本发明实施例的行业域中企业信誉评估方法图。

图3为本发明实施例的行业域内选举出代表节点的投票过程。

图4为本发明实施例的基身份认证图。

图5为本发明实施例的企业节点间认证方式。

图6为本发明实施例的企业节点跨行业域认证流程。

图7为本发明实施例的企业节点跨域数据汇聚前的会话密钥协商流程。

具体实施方式

为了加深对本发明的认识和理解，下面结合具体实施例，进一步阐明本发明。

实施例1：一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，该方法第一步，标识符前缀和后缀生成，第二步，参见图1、图2，提出域间网络结构和企业信誉度评估模型；第三步，参见图3，二级节点对加入行业域的企业节点进行信誉度评估并且投票选举代表节点流程；第四步，参见图4、图5和图6，行业域X企业A申请访问行业域Y企业B时，行业内的二级节点对其进行身份验证并分发私钥，行业代表节点部署为代理服务器负责域内信息更新并存储到区块链上，同时返回给企业A一个签名，企业A用签名及身份认证信息向企业B发送访问申请；第五步，参见图7，企业A与企业B的会话密钥协商，企业A生成会话密钥公钥并将公钥放入到放入认证信息Token

步骤1：标识符前缀和后缀生成，具体如下，将标识符采用两段式编码结构，分为标识符前缀和标识符后缀，前缀和后缀之间用符号“/”隔开，标识符前缀为标识生成的企业在该标识解析体系中的身份ID，该ID在体系中具有唯一性。标识符后缀由标识符生成企业定义，该字段代表企业所生产商品的信息。

步骤2：企业信誉度评估，具体如下，基于企业节点对系统生态的算力投资、活跃度贡献以及对域间区块链的维护管理对企业信誉度进行评估，分为以下子步骤：

子步骤2-1：建立包括普通节点、候选者节点、监督节点和代表节点的企业信誉度评估方法，定义信誉值为：

Rup＝Rup

根据行业域内所有企业提供算力的总和计算每个企业i的初始信誉值：

子步骤2-2：设置奖励条件，为了激励行业域内企业积极参与代表节点选举和监督工作，分别设置活跃度奖励

设置每个举报成功的监督节点的信誉值如公式5、6所示：

若当代表节点i出现失信行为而监督节点并未及时发现或选择与代表节点合谋以获得利益，每个举报成功的普通节点的信誉值如公式7、8所示：

子步骤2-3：设置惩罚条件，对代表节点和监督节点的失信行为进行约束，根据惩罚方法对其进行信誉度和抵押物的扣除：

对代表节点和监督节点可能共谋的行为通过不仅扣除代表节点全部信誉值和抵押物同时扣除当前n个监督节点累计信誉值的一半来惩罚，如公式10所示：

子步骤2-4：设置约束条件，设置三种约束方法条件，当触发其中任意一个，需要重新进行域内投票，选举出新的代表节点：

如公式11所示，当代表节点i的信誉值小于所有x个监督节点的平均信誉值时：

如公式12所示当监督节点j和代表节点i的平均信誉值小于其它y个普通节点m的平均信誉值时：

以及当通过代表节点代理验证身份所产生标识符数量等于代表节点抵押标识符的数量时。

步骤3：企业代表节点投票选举，具体如下，根据信誉评估，二级节点对每个加入行业域的企业节点进行信誉度评估。当行业域建立初期、代表节点主动推出或满足约束方法中的条件时，域内重新发起代表节点的投票选举工作，分为以下子步骤：

子步骤3-1：建立筛选RepresentativeCandidates列表：二级节点从域内所有普通节点中筛选出符合要求的候选者节点列表RepresentativeCandidates。列表RepresentativeCandidates中最少应包含4个候选者节点，否则会出现选举完成后，竞选失败的监督节点为重新进行选举恶意向二级节点举报。

子步骤3-2：从RepresentativeCandidates列表选举代表节点i，根据二级节点评估各候选者节点的信誉度进行优先级排序决定竞选的先后顺序，由其它候选者节点进行投票，则最终投票结果：

当出现被选举者投票结果大于0时，投票结束，该被选举者成功当选代表节点。

子步骤3-3：代表节点撤销：当代表节点算力不足够，网络不稳定、节点运营者不再有兴趣等，可以主动提出申请进行撤销，不扣除信誉值。其次当出现失信行为时，被举报撤销扣除信誉值。

步骤4：企业匿名身份验证，该步骤主要包括企业生产节点和密钥生成中心(KeyGeneration Center，KGC)两个角色，其实施可以分为以下子步骤：

子步骤4-1：企业身份管理：在标识解析系统中，二级节点会为每个新加入系统的企业节点分配一串独能代表自己身份的标识符用于只用于二级节点的认证和管理。企业匿名身份由企业根据二级节点分配的标识符以及时间戳由企业自身生成，应用于企业间的认证，同时时间戳的长度由自身决定，与明文身份的时间戳相比较短。

子步骤4-2：无配对基于身份的签名流程：在后续企业间身份认证过程中，企业间通过使用无配对基于身份签名完成身份的认证，其中，无配对的基于身份签名具体包含三个流程，分别是：定义行业域内参数、企业私钥生成、签名流程、验签流程，具体步骤如下：

定义行业域参数：密钥生成中心利用椭圆曲线l:y

企业私钥生成的输入参数为行业域主私钥s，公共参数Params，以及标识符前缀即企业在行业域内的唯一身份ID(AID)，输出企业的私钥pk(apk)＝(h

签名流程通过输入企业私钥pk(apk)，行业域的公共参数Params，需要签名消息m计算获得企业对消息m的签名signatureA＝(h

验签流程通过输入行业域的公共参数Params，企业身份ID(AID)，被签名的消息m′和消息签名signature′，通过验证获得输出“invalidate”或“invalidate”。首先检查signature′中的h′

子步骤4-3：基于无配对身份签名的跨行业域认证机制：每个企业可以根据自身的标识符作为自身公钥，无需由KGC生成和分发，在整个认证机制中，行业域内的二级节点充当KGC负责对申请跨域访问的企业A进行身份认证及匿名身份私钥分发，投票选举出的代表节点充当AS代理服务器负责域内信息的更新存储上链及对验证消息进行签名返回A，A也可自己生成签名生成Token

Token

之后进行跨域身份认证，当企业A需要访问不在同一行业域的企业B，需要借助两个域内的二级节点(KGC)和代表节点(AS)共同完成认证过程。首先行业域内完成系统初始化获得公共参数Params，通过企业私钥生成获得企业私钥，企业A利用私钥签名流程对消息m使用基于身份的签名。二级企业节点(KGC)对签名使用签名验证流程利用企业A公钥进行验证，验证无误后为其生成跨域访问的匿名身份私钥apk

步骤5：会话密钥协商，该步骤主要是为保证双方后续进行安全通信，具体实施如下：

由于企业A为申请验证方，因此协商双方使用企业A所属行业域X的椭圆曲线l

步骤6，完整标识映射数据汇聚和解析，当标识拥有者获得标识符的完整标识映射数据后，将其录入标识符中，并为商品生成标识符后缀生成完整标识符。当解析用户获得商品后，根据商品标识符发起解析申请获取商品的完整标识映射数据。

基于相同的发明构思，本发明所述的一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，包括标识符前缀和后缀生成；企业信誉度评估；企业代表节点投票选举；企业匿名身份验证；密钥协商；完整标识映射数据汇聚和解析。该流程被应用至工业互联网标识解析体系时实现上述一种基于区块链和企业跨域数据汇聚的工业互联网标识方法。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应理解实施例仅用于说明本发明而不用于限制本发明的范围，在阅读了本发明之后，本领域技术人员对本发明的各种等价形式的修改均落于本申请权利要求所限定的范围。