基于区块链的物联网信息安全审计系统的制作方法

1.本发明涉及区块链应用技术领域，尤其涉及一种基于区块链的物联网信息安全审计系统。


背景技术：

2.物联网是又一次信息产业革命性发展的产物，如今的物联网已是促进经济快速发展的重要生产力之一。与此同时，由于信息技术的高速发展，物联网在推动社会发展、便利人们生活的同时也带来一些安全隐患。
3.物联网中很多设备收集的数据都属于敏感数据，不管是从商业的角度还是从管理这一监督，数据的相应传输、处理以及存储等方面都需要在安全的环境之下进行操作。在现有的传统物联网审计平台下，物联网数据皆为孤岛式存在，无法进行有效的安全审计。


技术实现要素：

4.针对现有技术存在的问题，本发明实施例提供一种基于区块链的物联网信息安全审计系统。
5.本发明提供一种基于区块链的物联网信息安全审计系统，包括设备层、服务层、应用层和系统服务器接口；
6.其中，所述设备层用于通过物联网设备采集物联网信息，并将所述物联网信息上传至所述服务层；
7.所述服务层用于基于区块链对所述物联网信息进行身份认证，在身份认证通过的情况下，将所述物联网信息进行上链操作，并以区块链交易的形式对所述区块链上的物联网信息进行访问控制；
8.所述应用层用于对所述区块链上的物联网信息进行追踪，验证所述物联网信息是否安全；
9.所述系统服务器接口用于为所述区块链的参与方提供操作接口。
10.根据本发明提供的一种基于区块链的物联网信息安全审计系统，所述服务层用于通过分布式总账记录所述物联网设备的数字证书和公钥，根据所述物联网设备的数字证书和公钥对所述物联网信息进行身份认证。
11.根据本发明提供的一种基于区块链的物联网信息安全审计系统，所述服务层用于根据所述物联网信息对应的时间戳、用户凭证、随机数和所述物联网信息待存储到的区块的前一区块的哈希值进行散列操作，生成所述数字证书。
12.根据本发明提供的一种基于区块链的物联网信息安全审计系统，所述区块链中的每个区块包括区块头部和区块体；
13.所述区块头部包括所述物联网信息对应的时间戳、用户凭证、随机数和每个区块的前一区块的哈希值；
14.所述区块体包括所述物联网设备的id、位置信息和设备状态。
15.根据本发明提供的一种基于区块链的物联网信息安全审计系统，所述服务层用于：
16.将所述区块链中物联网信息的发送方的私钥和接收方的公钥进行合并存储在云端，将所述发送方的公钥和所述接收方的私钥进行合并存储在云端；
17.从所述云端获取所述发送方的公钥对所述发送方的区块上的物联网信息进行加密，从所述云端获取所述发送方的私钥对所述发送方的区块上的物联网信息进行解密；
18.从所述云端获取所述接收方的公钥对所述接收方的区块上的物联网信息进行加密，从所述云端获取所述接收方的私钥对所述接收方的区块上的物联网信息进行解密。
19.根据本发明提供的一种基于区块链的物联网信息安全审计系统，所述服务层用于根据所述发送方的区块上的用户凭证和随机数生成所述发送方的私钥，根据所述发送方对应的用户凭证和私钥生成所述发送方的公钥；
20.根据所述接收方的区块上的用户凭证和随机数生成所述接收方的私钥，根据所述接收方对应的用户凭证和私钥生成所述接收方的公钥。
21.根据本发明提供的一种基于区块链的物联网信息安全审计系统，所述应用层用于计算每个区块的前一区块的哈希值，将计算的每个区块的前一区块的哈希值与每个区块中前一区块的哈希值进行比较，根据比较结果验证所述物联网信息是否安全。
22.根据本发明提供的一种基于区块链的物联网信息安全审计系统，所述服务层用于利用智能合约访问控制策略，根据所述控制策略访问区块链上的物联网信息。
23.根据本发明提供的一种基于区块链的物联网信息安全审计系统，所述物联网设备包括浓度探测设备、温湿度探测设备、烟雾探测设备、光照强度探测设备、监控探头设备和gps定位设备中的一种或多种。
24.根据本发明提供的一种基于区块链的物联网信息安全审计系统，所述系统服务器接口采用restful接口。
25.本发明提供的基于区块链的物联网信息安全审计系统，通过设备层、服务层、应用层和系统服务器接口对物联网信息进行采集、认证、上链、访问控制和安全审计，基于区块链技术进行物联网信息的安全审计，不会因误操作而导致数据丢失，也不会因为中心节点实效而导致整个系统瘫痪，也不会因为操作权限问题导致数据被窃取甚至被篡改，提高数据的安全性。
附图说明
26.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
27.图1是本发明提供的基于区块链的物联网信息安全审计系统结构示意图；
28.图2是本发明提供的基于区块链的物联网信息安全审计系统中区块链的结构示意图。
具体实施方式
29.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
30.下面结合图1描述本发明的一种基于区块链的物联网信息安全审计系统，包括设备层10、服务层20、应用层30和系统服务器接口40；
31.其中，所述设备层10用于通过物联网设备采集物联网信息，并将所述物联网信息上传至所述服务层；
32.设备层10主要利用射频识别(radio frequency identification，rfid)、红外感应器以及全球定位系统等物联网设备，按照约定好的通讯传输协议，将所有物品以及互联网之间进行连接，展开信息交换以及通讯。将智能化的识别、定位、跟踪以及监控和管理的物联网信息上传至服务层。
33.所述服务层20用于基于区块链对所述物联网信息进行身份认证，在身份认证通过的情况下，将所述物联网信息进行上链操作，并以区块链交易的形式对所述区块链上的物联网信息进行访问控制；
34.区块链具有去中心化、不可篡改性、可追溯性等特点，可实现所有物联数据互联互通、溯源留痕和共享共用。服务层20利用区块链技术实现身份认证和访问控制功能，为数据认证和使用提供安全基础。在身份认证通过的情况下，以区块链交易的方式来实现物联网设备的注册、lbs(location based service，基于位置的服务)上报和设备状态日志上传等。
35.服务层20运用基于区块链的访问控制策略来创建、管理、执行访问控制策略和权限。
36.所述应用层30用于对所述区块链上的物联网信息进行追踪，验证所述物联网信息是否安全；
37.应用层30用于云计算服务、安全审计和预警应用。对区块链中的安全数据进行信息处理，提供基于区块链技术的云计算服务。安全审计和预警策略是基于区块链技术把数据跟踪策略添加到可编程的智能合约，自动追踪数据来源和数据处理过程。
38.在获取了从来源到使用的全生命周期数据以后，实时分析日志信息生成安全审计报告，可以发现攻击者对系统的攻击行为，使用数据融合、数据挖掘、智能分析和可视化技术，评估分析安全威胁态势，及时预警，主动挖掘修补漏洞。
39.所述系统服务器接口40用于为所述区块链的参与方提供操作接口。
40.系统服务器接口的作用是方便区块链的各个参与方的操作，实现数据的采集、存储以及使用。
41.本实施例通过设备层、服务层、应用层和系统服务器接口对物联网信息进行采集、认证、上链、访问控制和安全审计，基于区块链技术进行物联网信息的安全审计，不会因误操作而导致数据丢失，也不会因为中心节点实效而导致整个系统瘫痪，也不会因为操作权限问题导致数据被窃取甚至被篡改，提高数据的安全性。
42.在上述实施例的基础上，本实施例中所述服务层用于通过分布式总账记录所述物
联网设备的数字证书和公钥，根据所述物联网设备的数字证书和公钥对所述物联网信息进行身份认证。
43.服务层基于区块链技术的身份认证策略，通过分布式总账来记录数字证书和公钥。可选地，将设备层提交的数字证书与服务层生成的数字证书进行对比，将设备层提交的物联网设备的公钥与预先存储在服务层的物联网设备的公钥进行对比，如果数字证书和公钥均一致，则身份认证通过，将物联网设备采集的物联网信息上链；否则身份认证不通过，不将物联网设备采集的物联网信息上链。
44.在上述实施例的基础上，本实施例中服务层用于根据所述物联网信息对应的时间戳、用户凭证、随机数和所述物联网信息待存储到的区块的前一区块的哈希值进行散列操作，生成所述数字证书。
45.物联网信息对应的时间戳是指服务层接收到物联网信息的时间，用户凭证是指是否能将物联网设备采集的物联网信息上链的凭证，随机数由随机数发生器产生。前一区块是指最近存储物联网信息的区块。
46.服务层基于区块链利用物联网信息对应的时间戳、用户凭证、随机数和前一区块的哈希值进行散列操作。根据时间戳、用户凭证、随机数和哈希值的散列操作结果生成数字证书，如将时间戳、用户凭证、随机数和哈希值的散列操作结果进行拼接，得到数字证书。
47.在上述实施例的基础上，如图2所示，所述区块链中的每个区块包括区块头部和区块体；所述区块头部包括所述物联网信息对应的时间戳、用户凭证、随机数和每个区块的前一区块的哈希值；所述区块体包括所述物联网设备的id、位置信息和设备状态。
48.具体地，区块头部的信息用于身份认证，根据区块头部的信息生成物联网信息对应的数字证书。区块体中存储物理网设备的属性信息。利用区块链分布式和去中心化，可避免单点故障，也省去了与认证中心建立信道的过程。利用区块链的可追溯性实现物联网设备身份产生、认证、使用以及注销的全生命周期管理。
49.在上述实施例的基础上，本实施例中所述服务层用于：将所述区块链中物联网信息的发送方的私钥和接收方的公钥进行合并存储在云端，将所述发送方的公钥和所述接收方的私钥进行合并存储在云端；
50.由于区块链中各节点的信息是同步的，当某个物联网设备的物联网信息上链后，该物联网设备对应的节点作为发送方，会将物联网信息发送给区块链中的其他节点，将其他节点作为接收方。
51.可选地，为了保障数据的安全性，对发送方的私钥和接收方的公钥进行加密后合并，生成对应的安全密钥。对发送方的公钥和接收方的私钥进行加密后合并，生成对应的安全秘钥。将安全秘钥发送到云端。合并两种密钥，通过在云存储层之间的密钥对交换，获取发送方的公钥和私钥，以及接收方的公钥和私钥，从而获得较高的安全等级。
52.从所述云端获取所述发送方的公钥对所述发送方的区块上的物联网信息进行加密，从所述云端获取所述发送方的私钥对所述发送方的区块上的物联网信息进行解密；
53.在对发送方的区块上的物联网信息进行加密和解密时，从云端合并后的密钥对中获取发送方的公钥和私钥。
54.从所述云端获取所述接收方的公钥对所述接收方的区块上的物联网信息进行加密，从所述云端获取所述接收方的私钥对所述接收方的区块上的物联网信息进行解密。
55.在对接收方的区块上的物联网信息进行加密和解密时，从云端合并后的密钥对中获取接收方的公钥和私钥。
56.本实施例中服务层采取的基于区块链的混合加密算法保证数据的机密性，增强了生成密钥对的安全性，使其难以被云供应商或其他攻击者破解和读取。
57.在上述实施例的基础上，本实施例中所述服务层用于根据所述发送方的区块上的用户凭证和随机数生成所述发送方的私钥，根据所述发送方对应的用户凭证和私钥生成所述发送方的公钥；
58.首先，使用sha256散列算法生成一个私钥的散列值；然后将生成的散列值作为随机数发送器的种子生成随机数；最后根据用户凭证和随机数生成私钥。可对用户凭证和随机数使用对称算法计算后拼接得到私钥。对用户凭证和私钥使用对称算法计算后拼接得到公钥。
59.根据所述接收方的区块上的用户凭证和随机数生成所述接收方的私钥，根据所述接收方对应的用户凭证和私钥生成所述接收方的公钥。
60.接收方的私钥和公钥采用与发送方的私钥和公钥相同的生成方法获取。
61.本实施例中接收方和发送方的私钥和公钥通过用户凭证获取，大大增强了生成密钥对安全性，使其难以被云供应商或其他攻击者破解和读取。
62.在上述实施例的基础上，本实施例中所述应用层用于计算每个区块的前一区块的哈希值，将计算的每个区块的前一区块的哈希值与每个区块中前一区块的哈希值进行比较，根据比较结果验证所述物联网信息是否安全。
63.根据每个区块中前一区块的哈希值与每个区块实际前一个区块的哈希值进行比较，如果两者一致，则说明区块没有发生丢失，区块正常，继续以此方法追溯前一区块的前一区块；如果两者不一致，则说明区块发生丢失或发生更改，数据异常，不再进行追溯，进行数据异常告警。
64.在上述各实施例的基础上，本实施例中所述服务层用于利用智能合约访问控制策略，根据所述控制策略访问区块链上的物联网信息。
65.具体地，服务层基于区块链构建访问控制系统，是将区块链中交易相关的概念与传统物联网访问控制中的用户、设备、权限、属性和环境等结合，以区块链交易的形式来创建、管理、执行访问控制策略和权限，利用智能合约以自动可执行格式编码访问控制规则，进行自动化的权限管理，杜绝非法用户入侵，只允许合法用户按其访问控制策略访问系统资源，防止欺诈式拒绝承认已被策略授予的权限。区块链记录了访问控制策略和权限从创建到转移的全生命周期，在此基础上可进行分布式、可追溯和不可篡改的安全日志审计。
66.在上述各实施例的基础上，本实施例中所述物联网设备包括浓度探测设备、温湿度探测设备、烟雾探测设备、光照强度探测设备、监控探头设备和gps(global positioning system，全球定位系统)定位设备中的一种或多种。
67.设备层包括许多不同种类的数据探测设备以及相应的设备网关。物联网设备为感知探测设备，用于鉴别和感知各种探测物品，并收集相应的数据信息。
68.在上述实施例的基础上，本实施例中所述系统服务器接口为restful接口。
69.系统服务器接口采用通用性较高的restful接口。restful接口是一种轻量级的接口且面向资源一目了然，具有自解释性。其数据描述简单，一般以xml和json做数据交换。能
够降低服务的版本粒度与消费者对服务内部实现细节的耦合。
70.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

技术特征：
1.一种基于区块链的物联网信息安全审计系统，其特征在于，包括设备层、服务层、应用层和系统服务器接口；其中，所述设备层用于通过物联网设备采集物联网信息，并将所述物联网信息上传至所述服务层；所述服务层用于基于区块链对所述物联网信息进行身份认证，在身份认证通过的情况下，将所述物联网信息进行上链操作，并以区块链交易的形式对所述区块链上的物联网信息进行访问控制；所述应用层用于对所述区块链上的物联网信息进行追踪，验证所述物联网信息是否安全；所述系统服务器接口用于为所述区块链的参与方提供操作接口。2.根据权利要求1所述的基于区块链的物联网信息安全审计系统，其特征在于，所述服务层用于通过分布式总账记录所述物联网设备的数字证书和公钥，根据所述物联网设备的数字证书和公钥对所述物联网信息进行身份认证。3.根据权利要求2所述的基于区块链的物联网信息安全审计系统，其特征在于，所述服务层用于根据所述物联网信息对应的时间戳、用户凭证、随机数和所述物联网信息待存储到的区块的前一区块的哈希值进行散列操作，生成所述数字证书。4.根据权利要求3所述的基于区块链的物联网信息安全审计系统，其特征在于，所述区块链中的每个区块包括区块头部和区块体；所述区块头部包括所述物联网信息对应的时间戳、用户凭证、随机数和每个区块的前一区块的哈希值；所述区块体包括所述物联网设备的id、位置信息和设备状态。5.根据权利要求4所述的基于区块链的物联网信息安全审计系统，其特征在于，所述服务层用于：将所述区块链中物联网信息的发送方的私钥和接收方的公钥进行合并存储在云端，将所述发送方的公钥和所述接收方的私钥进行合并存储在云端；从所述云端获取所述发送方的公钥对所述发送方的区块上的物联网信息进行加密，从所述云端获取所述发送方的私钥对所述发送方的区块上的物联网信息进行解密；从所述云端获取所述接收方的公钥对所述接收方的区块上的物联网信息进行加密，从所述云端获取所述接收方的私钥对所述接收方的区块上的物联网信息进行解密。6.根据权利要求5所述的基于区块链的物联网信息安全审计系统，其特征在于，所述服务层用于根据所述发送方的区块上的用户凭证和随机数生成所述发送方的私钥，根据所述发送方对应的用户凭证和私钥生成所述发送方的公钥；根据所述接收方的区块上的用户凭证和随机数生成所述接收方的私钥，根据所述接收方对应的用户凭证和私钥生成所述接收方的公钥。7.根据权利要求4所述的基于区块链的物联网信息安全审计系统，其特征在于，所述应用层用于计算每个区块的前一区块的哈希值，将计算的每个区块的前一区块的哈希值与每个区块中前一区块的哈希值进行比较，根据比较结果验证所述物联网信息是否安全。8.根据权利要求1-7任一所述的基于区块链的物联网信息安全审计系统，其特征在于，所述服务层用于利用智能合约访问控制策略，根据所述控制策略访问区块链上的物联网信
息。9.根据权利要求1-7任一所述的基于区块链的物联网信息安全审计系统，其特征在于，所述物联网设备包括浓度探测设备、温湿度探测设备、烟雾探测设备、光照强度探测设备、监控探头设备和gps定位设备中的一种或多种。10.根据权利要求1-7任一所述的基于区块链的物联网信息安全审计系统，其特征在于，所述系统服务器接口采用restful接口。

技术总结
本发明提供一种基于区块链的物联网信息安全审计系统，该系统包括设备层、服务层、应用层和系统服务器接口；其中，所述设备层用于通过物联网设备采集物联网信息，并将所述物联网信息上传至所述服务层；所述服务层用于基于区块链对所述物联网信息进行身份认证，在身份认证通过的情况下，将所述物联网信息进行上链操作，并以区块链交易的形式对所述区块链上的物联网信息进行访问控制；所述应用层用于对所述区块链上的物联网信息进行追踪，验证所述物联网信息是否安全；所述系统服务器接口用于为所述区块链的参与方提供操作接口。本发明提高物联网信息的安全性。联网信息的安全性。联网信息的安全性。


技术研发人员：舒张磊 贾牧樵 贾菁珅
受保护的技术使用者：武汉虹旭信息技术有限责任公司
技术研发日：2022.02.14
技术公布日：2022/5/25