基于蜂窝式区块链网络的物联网设备认证方法与流程

1.本发明属于物联网设备认证领域，更具体地，涉及一种基于蜂窝式区块链网络的物联网设备认证方法。


背景技术：

2.随着物联网技术的发展，万物互联已经成为互联网发展的重要趋势。随着海量设备需要接入网络，由此带来的设备安全问题和数据隐私问题越来越引起人们的重视。人们逐渐采用设备认证策略，对相关的物联网设备进行通信前的认证，以降低数据泄露的概率。
3.传统的物联网设备认证方式多采用第三方集中式认证。例如，授权公告号为cn 105162772 b的中国发明专利提出了一种物联网设备认证与密钥协商方法和装置，技术方案为：物联网管理中心为物联网设备生成授权码并发给物联网设备，为物联网设备生成密钥信息，利用授权码对密钥信息进行加密得到密文并计算校验信息，并将密文和校验信息发送给物联网设备，物联网设备利用授权码信息密文解密得到密钥信息，并根据校验信息完成物联网设备验证。由此可知，物联网管理中心作为集中式平台，负责管理存储设备认证策略，一旦集中式平台遭受攻击或损坏，就无法对外提供设备认证服务，易造成设备信息的泄露。授权公告号为cn 109992949 b的中国发明专利提出了一种设备认证方法，技术方案为：认证平台接收业务平台发送的设备认证请求，设备认证请求中包括待认证设备的imsi和认证信息；根据设备的imsi以及认证平台存储的各imsi对应的设备公钥，确定设备的设备公钥，根据设备的设备公钥若验证认证信息有效，则发送认证成功消息。根据该方法可知，认证设备的imsi和认证信息都存储于集中式的认证平台，若平台遭受恶意攻击停止服务，将引发各设备公钥泄露等隐患。
4.随着区块链技术的发展，将区块链与物联网设备认证相结合是一种发展趋势。区块链的不可篡改、可追溯和分布式特性可满足物联网设备接入认证的需求。例如，申请公布号为cn 110691088 a的中国专利申请公开了一种基于区块链的物联网设备认证方法，包括具体步骤：通过雾计算将物联网设备所产生的异构数据进行处理形成认证数据；雾计算将认证数据的数据实体发送至云服务器进行数据存储，将认证数据的索引和hash值发送至区块链中上链，随后在物联网上进行全网公布，同时物联网设备在区块链的链上记录识别物联网设备身份的公私钥对；其他连接在物联网上的物联网设备通过在区块链中对提供公私钥对的物联网设备进行验签，获取数据的访问接入和使用的权属。该物联网设备认证方法通过区块链的分布式和不可篡改等特性，实现了设备信息的隐私保护，解决了传统第三方集中式认证的缺陷。
5.然而，现有基于区块链的物联网设备认证方法仍然存在以下问题：
6.一、现有联盟链多采用pbft共识算法达成链上交易共识，而由于pbft算法的限制，当链上共识节点超过100时，共识效率会大幅降低，进而影响设备认证的速率；
7.二、所采用的区块链多为单链，接收认证请求的端口和认证策略都集中在单一区块链上，若区块链遭受单点攻击，则无法正常对外提供认证服务，以及容易发生隐私外泄。


技术实现要素：

8.本发明的目的在于解决现有基于区块链的物联网设备认证方法因采用区块链单链而导致的设备认证效率低和易遭受单点攻击的问题。
9.为了实现上述目的，本发明提供一种基于蜂窝式区块链网络的物联网设备认证方法，所述物联网设备认证方法包括以下步骤：
10.搭建蜂窝式区块链网络，所述蜂窝式区块链网络包括蜂窝主链和接入所述蜂窝主链的多个蜂窝支链，所述蜂窝主链和每个蜂窝支链上的节点均构成蜂窝拓扑通信结构；
11.创建预定数量的不同类型的物联网域，每个物联网域均设置有相应的域主；
12.待认证的物联网设备a向对应的物联网域b的域主发送第一注册请求，该注册请求包括所述物联网设备a的原始id和提出该注册请求的时间戳；
13.所述物联网域b的域主对所述物联网设备a的原始id进行预定的哈希运算，得到所述物联网设备a的哈希id，并向距离最近的蜂窝支链c发送第二注册请求，该注册请求包括所述物联网设备a的哈希id、所述物联网域b的id和提出该注册请求的时间戳；
14.所述蜂窝支链c或者备选的蜂窝支链根据链上预先部署的智能合约对所述物联网设备a进行注册，并将相应的注册信息发送至所述蜂窝主链；
15.基于所述蜂窝支链和/或所述蜂窝主链对物联网设备的访问请求进行认证。
16.作为优选的是，所述创建预定数量的不同类型的物联网域包括：
17.选定物联网设备的一固有属性，根据该固有属性对物联网设备进行分类，得到相应数量的物联网设备类型；
18.根据所述物联网设备类型的数量创建相应数量的物联网域；
19.根据所述物联网设备类型为每个物联网域指定相应的类型；
20.其中，所述固有属性为工作环境或设备属性；
21.当所述固有属性为工作环境时，所述物联网域的类型包括智能家居物联网域、智慧医疗物联网域和工业物联网域。
22.作为优选的是，物联网设备包括物联网终端设备和增强型物联网设备；
23.当所述物联网设备为增强型物联网设备时，所述物联网设备具有跳过对应的物联网域直接向所述蜂窝主链发送所述第一注册请求的能力；
24.当所述物联网设备跳过对应的物联网域直接向所述蜂窝主链发送所述第一注册请求时，所述蜂窝主链根据链上预先部署的智能合约对所述物联网设备进行注册，存储相应的注册信息，并将注册成功结果反馈给所述物联网设备。
25.作为优选的是，所述蜂窝支链c或者备选的蜂窝支链根据链上预先部署的智能合约对所述物联网设备a进行注册包括：
26.响应于所述第二注册请求，所述蜂窝支链c判断自身是否处于空闲状态；
27.若空闲，所述蜂窝支链c的背书节点基于所述智能合约对所述物联网设备a进行注册，将相应的注册信息打包生成交易并发送给所述蜂窝支链c的所有记账节点以进行共识，共识完成后，所述蜂窝支链c存储所述物联网设备a的注册信息，并通过所述物联网域b的域主将注册成功结果反馈给所述物联网设备a。
28.作为优选的是，所述蜂窝支链c或者备选的蜂窝支链根据链上预先部署的智能合约对所述物联网设备a进行注册还包括：
29.若不空闲，所述蜂窝支链c向所述物联网域b的域主发送忙碌标志；
30.响应于所述忙碌标志，所述物联网域b的域主选择继续等待或者撤回所述第二注册请求；
31.若选择继续等待，所述蜂窝支链c在自身处于空闲状态时对所述物联网设备a进行注册。
32.作为优选的是，所述蜂窝支链c或者备选的蜂窝支链根据链上预先部署的智能合约对所述物联网设备a进行注册还包括：
33.若选择撤回所述第二注册请求，所述物联网域b的域主向距离第二近的蜂窝支链d发送所述第二注册请求；
34.当所述蜂窝支链d处于空闲状态时，所述蜂窝支链d对所述物联网设备a进行注册；
35.当所述蜂窝支链d未处于空闲状态时，所述蜂窝支链d向所述物联网域b的域主发送忙碌标志；
36.响应于所述忙碌标志，所述物联网域b的域主选择继续等待或者撤回所述第二注册请求；
37.若选择继续等待，所述蜂窝支链d在自身处于空闲状态时对所述物联网设备a进行注册；
38.若选择撤回所述第二注册请求，所述物联网域b的域主向距离第二近的蜂窝支链e发送所述第二注册请求；
39.依次类推。
40.作为优选的是，所述基于所述蜂窝支链和/或所述蜂窝主链对物联网设备的访问请求进行认证包括：
41.当提出访问请求的物联网设备和被访问的物联网设备处于同一物联网域时：
42.物联网设备a1向所在的物联网域b的域主发送对物联网设备a2的访问请求，该访问请求包括所述物联网设备a1的原始id、所述物联网设备a2的原始id、所述物联网域b的id和提出该访问请求的时间戳；
43.所述物联网域b的域主将所述访问请求发送至相应的蜂窝支链；
44.所述蜂窝支链根据链上存储的注册信息对所述访问请求进行验证，并将验证结果反馈给所述物联网域b的域主；
45.所述物联网域b的域主根据所述验证结果裁决相应的访问是否可以执行，若所述物联网设备a1和所述物联网设备a2均进行了注册，则访问可执行，否则，驳回所述访问请求。
46.作为优选的是，所述基于所述蜂窝支链和/或所述蜂窝主链对物联网设备的访问请求进行认证还包括：
47.当提出访问请求的物联网设备和被访问的物联网设备处于不同的物联网域时：
48.物联网设备a1向所在的物联网域b的域主发送对物联网域f中的物联网设备a2的访问请求，该访问请求包括所述物联网设备a1的原始id、所述物联网域b的id、所述物联网设备a2的原始id、所述物联网域e的id和提出该访问请求的时间戳；
49.所述物联网域b的域主将所述访问请求发送至所述蜂窝主链；
50.所述蜂窝主链根据链上存储的注册信息对所述访问请求进行验证，并将验证结果
反馈给所述物联网域b的域主和所述物联网域f的域主；
51.所述物联网域b的域主和所述物联网域f的域主根据所述验证结果裁决相应的访问是否可以执行，若所述物联网设备a1和所述物联网设备a2均进行了注册，则访问可执行，否则，驳回所述访问请求。
52.作为优选的是，所述基于所述蜂窝支链和/或所述蜂窝主链对物联网设备的访问请求进行认证还包括：
53.当提出访问请求的物联网设备处于物联网域，被访问的物联网设备未处于物联网域时：
54.物联网设备a1向所在的物联网域b的域主发送对物联网设备a2的访问请求，该访问请求包括所述物联网设备a1的原始id、所述物联网域b的id、所述物联网设备a2的原始id和提出该访问请求的时间戳；
55.所述物联网域b的域主通过相应的蜂窝支链将所述访问请求发送至所述蜂窝主链；
56.所述蜂窝主链根据链上存储的注册信息对所述访问请求进行验证，并将验证结果反馈给所述蜂窝支链和所述物联网设备a2；
57.所述蜂窝支链将所述验证结果反馈给所述物联网域b的域主；
58.所述物联网域b的域主和所述物联网设备a2根据所述验证结果裁决相应的访问是否可以执行，若所述物联网设备a1和所述物联网设备a2均进行了注册，则访问可执行，否则，驳回所述访问请求。
59.作为优选的是，所述基于所述蜂窝支链和/或所述蜂窝主链对物联网设备的访问请求进行认证还包括：
60.当提出访问请求的物联网设备和被访问的物联网设备均未处于物联网域时：
61.物联网设备a1向所述蜂窝主链发送对物联网设备a2的访问请求，该访问请求包括所述物联网设备a1的原始id、所述物联网设备a2的原始id和提出该访问请求的时间戳；
62.所述蜂窝主链根据链上存储的注册信息对所述访问请求进行验证，并将验证结果反馈给所述物联网设备a1和所述物联网设备a2；
63.所述物联网设备a1和所述物联网设备a2根据所述验证结果裁决相应的访问是否可以执行，若所述物联网设备a1和所述物联网设备a2均进行了注册，则访问可执行，否则，驳回所述访问请求。
64.本发明的有益效果在于：
65.本发明的基于蜂窝式区块链网络的物联网设备认证方法基于蜂窝式区块链网络实现，该蜂窝式区块链网络包括蜂窝主链和接入蜂窝主链的多个蜂窝支链，蜂窝主链和每个蜂窝支链上的节点均构成蜂窝拓扑通信结构。由于蜂窝式区块链网络的拓扑结构，物联网设备可不受地理位置限制地加入距离其最近的蜂窝支链或者当前空闲无认证任务的蜂窝支链，而无需访问蜂窝主链进行身份认证。由此能够大大减缓区块链网络的拥挤，进而提升设备的认证效率。与此同时，由于本发明的基于蜂窝式区块链网络的物联网设备认证方法采用了蜂窝式区块链网络，相应的物联网环境中存在多个区块链认证接入端口，当某一认证接入端口或者某一蜂窝支链遭受单点攻击时，蜂窝式区块链网络仍可正常对外提供认证服务。
66.由此可知，本发明的基于蜂窝式区块链网络的物联网设备认证方法能够行之有效地解决现有基于区块链的物联网设备认证方法因采用区块链单链而导致的设备认证效率低和易遭受单点攻击的问题。
67.本发明的其它特征和优点将在随后具体实施方式部分予以详细说明。
附图说明
68.通过结合附图对本发明示例性实施方式进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显，其中，在本发明示例性实施方式中，相同的参考标号通常代表相同部件。
69.图1示出了根据本发明的实施例的基于蜂窝式区块链网络的物联网设备认证方法的实现流程图；
70.图2示出了根据本发明的实施例的蜂窝式区块链网络的架构图。
具体实施方式
71.下面将更详细地描述本发明的优选实施方式。虽然以下描述了本发明的优选实施方式，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本发明更加透彻和完整，并且能够将本发明的范围完整地传达给本领域的技术人员。
72.实施例：图1示出了本发明实施例的基于蜂窝式区块链网络的物联网设备认证方法的实现流程图。参照图1，本发明实施例的基于蜂窝式区块链网络的物联网设备认证方法包括以下步骤：
73.搭建蜂窝式区块链网络，所述蜂窝式区块链网络包括蜂窝主链和接入所述蜂窝主链的多个蜂窝支链，所述蜂窝主链和每个蜂窝支链上的节点均构成蜂窝拓扑通信结构；
74.创建预定数量的不同类型的物联网域，每个物联网域均设置有相应的域主；
75.待认证的物联网设备a向对应的物联网域b的域主发送第一注册请求，该注册请求包括所述物联网设备a的原始id和提出该注册请求的时间戳；
76.所述物联网域b的域主对所述物联网设备a的原始id进行预定的哈希运算，得到所述物联网设备a的哈希id，并向距离最近的蜂窝支链c发送第二注册请求，该注册请求包括所述物联网设备a的哈希id、所述物联网域b的id和提出该注册请求的时间戳；
77.所述蜂窝支链c或者备选的蜂窝支链根据链上预先部署的智能合约对所述物联网设备a进行注册，并将相应的注册信息发送至所述蜂窝主链；
78.基于所述蜂窝支链和/或所述蜂窝主链对物联网设备的访问请求进行认证。
79.具体地，本发明实施例中，物联网设备的原始id为物联网设备的唯一的出厂id。第一注册请求的格式为reqreg1＝f
b
(objectid
a
,time1)，其中，objectid
a
为物联网设备a的原始id，time1为物联网设备a提出该注册请求的时间戳。第二注册请求的格式为reqreg2＝f
c
(hash(objectid
a
),domainid
b
,time2)，其中，hash(objectid
a
)为物联网设备a的哈希id，domainid
b
为物联网域b的id，time2为物联网域b的域主提出该注册请求的时间戳。
80.具体地，本发明实施例中，图2示出了本发明实施例的蜂窝式区块链网络的架构图。参照图2，本发明实施例的物联网设备认证方法涉及以下几种角色：
81.物联网终端设备：处于物联网网络的底层，负责感知现实环境的数据，并具有简单的存储、计算、通信能力；
82.物联网域主：负责管理物联网终端设备，具有较强的存储、计算、通信能力，能够与区块链网络交互；
83.增强型物联网设备：具有较强的存储、计算、通信能力，不属于某一物联网网络(如物联网设备厂商)；
84.蜂窝支链：分布在物联网网络周围的区块链，通过部署的智能合约，能够对周围的物联网设备提供注册、认证等功能；
85.蜂窝主链：负责管理各蜂窝支链，可存储蜂窝支链提交的信息，作为设备访问最终的仲裁机构，也可接收单个物联网设备的注册请求和访问请求。
86.考虑到大多数物联网设备出于节省功耗、设计精简的限制，大多采用轻量级设计，物联网设备本身不具有直接与区块链网络交互的能力，因此在物联网终端设备与蜂窝支链之间设计一物联网域主。该域主具有一定的存储和计算能力，能够与区块链进行通信交互，物联网终端设备可通过物联网域主实现设备认证。
87.本发明实施例中，物联网域b的域主对所述物联网设备a的原始id进行预定的哈希运算，得到所述物联网设备a的哈希id，如此设置，出于以下目的：
88.1、物联网终端设备的计算和存储能力较弱，不适合运行加密算法；
89.2、如果物联网终端设备本身进行了加密算法，就掩盖了其真实身份，不利于监管；
90.3、物联网域的域主的计算和存储能力强，适合运行加密算法；
91.4、对物联网终端设备的原始id进行加密可确保不直接泄露注册设备的信息，提高系统的隐私保护能力。
92.进一步地，本发明实施例中，所述创建预定数量的不同类型的物联网域包括：
93.选定物联网设备的一固有属性，根据该固有属性对物联网设备进行分类，得到相应数量的物联网设备类型；
94.根据所述物联网设备类型的数量创建相应数量的物联网域；
95.根据所述物联网设备类型为每个物联网域指定相应的类型；
96.其中，所述固有属性为工作环境或设备属性；
97.当所述固有属性为工作环境时，所述物联网域的类型包括智能家居物联网域、智慧医疗物联网域和工业物联网域。
98.再进一步地，本发明实施例中，物联网设备包括物联网终端设备和增强型物联网设备；
99.当所述物联网设备为增强型物联网设备时，所述物联网设备具有跳过对应的物联网域直接向所述蜂窝主链发送所述第一注册请求的能力；
100.当所述物联网设备跳过对应的物联网域直接向所述蜂窝主链发送所述第一注册请求时，所述蜂窝主链根据链上预先部署的智能合约对所述物联网设备进行注册，存储相应的注册信息，并将注册成功结果反馈给所述物联网设备。
101.具体地，本发明实施例中，增强型物联网设备可以加入物联网域，也可以跳过物联网域直接与蜂窝主链通信交互。
102.再进一步地，本发明实施例中，所述蜂窝支链c或者备选的蜂窝支链根据链上预先
部署的智能合约对所述物联网设备a进行注册包括：
103.响应于所述第二注册请求，所述蜂窝支链c判断自身是否处于空闲状态；
104.若空闲，所述蜂窝支链c的背书节点基于所述智能合约对所述物联网设备a进行注册，将相应的注册信息打包生成交易并发送给所述蜂窝支链c的所有记账节点以进行共识，共识完成后，所述蜂窝支链c存储所述物联网设备a的注册信息，并通过所述物联网域b的域主将注册成功结果反馈给所述物联网设备a。
105.具体地，本发明实施例中，蜂窝支链c接收到物联网设备a的注册请求后，首先检查该链上是否正在处理其他的物联网设备提交的注册请求或访问请求，若蜂窝支链c正在处理其他的物联网设备提交的注册请求或访问请求，蜂窝支链c通过服务端口向提出注册请求的物联网域的域主发送忙碌标志bt
c
(busy tag)。
106.再进一步地，本发明实施例中，所述蜂窝支链c或者备选的蜂窝支链根据链上预先部署的智能合约对所述物联网设备a进行注册还包括：
107.若不空闲，所述蜂窝支链c向所述物联网域b的域主发送忙碌标志；
108.响应于所述忙碌标志，所述物联网域b的域主选择继续等待或者撤回所述第二注册请求；
109.若选择继续等待，所述蜂窝支链c在自身处于空闲状态时对所述物联网设备a进行注册。
110.再进一步地，本发明实施例中，所述蜂窝支链c或者备选的蜂窝支链根据链上预先部署的智能合约对所述物联网设备a进行注册还包括：
111.若选择撤回所述第二注册请求，所述物联网域b的域主向距离第二近的蜂窝支链d发送所述第二注册请求；
112.当所述蜂窝支链d处于空闲状态时，所述蜂窝支链d对所述物联网设备a进行注册；
113.当所述蜂窝支链d未处于空闲状态时，所述蜂窝支链d向所述物联网域b的域主发送忙碌标志；
114.响应于所述忙碌标志，所述物联网域b的域主选择继续等待或者撤回所述第二注册请求；
115.若选择继续等待，所述蜂窝支链d在自身处于空闲状态时对所述物联网设备a进行注册；
116.若选择撤回所述第二注册请求，所述物联网域b的域主向距离第二近的蜂窝支链e发送所述第二注册请求；
117.依次类推。
118.再进一步地，本发明实施例中，所述基于所述蜂窝支链和/或所述蜂窝主链对物联网设备的访问请求进行认证包括：
119.当提出访问请求的物联网设备和被访问的物联网设备处于同一物联网域时：
120.物联网设备a1向所在的物联网域b的域主发送对物联网设备a2的访问请求，该访问请求包括所述物联网设备a1的原始id、所述物联网设备a2的原始id、所述物联网域b的id和提出该访问请求的时间戳；
121.所述物联网域b的域主将所述访问请求发送至相应的蜂窝支链；
122.所述蜂窝支链根据链上存储的注册信息对所述访问请求进行验证，并将验证结果
反馈给所述物联网域b的域主；
123.所述物联网域b的域主根据所述验证结果裁决相应的访问是否可以执行，若所述物联网设备a1和所述物联网设备a2均进行了注册，则访问可执行，否则，驳回所述访问请求。
124.再进一步地，本发明实施例中，所述基于所述蜂窝支链和/或所述蜂窝主链对物联网设备的访问请求进行认证还包括：
125.当提出访问请求的物联网设备和被访问的物联网设备处于不同的物联网域时：
126.物联网设备a1向所在的物联网域b的域主发送对物联网域f中的物联网设备a2的访问请求，该访问请求包括所述物联网设备a1的原始id、所述物联网域b的id、所述物联网设备a2的原始id、所述物联网域e的id和提出该访问请求的时间戳；
127.所述物联网域b的域主将所述访问请求发送至所述蜂窝主链；
128.所述蜂窝主链根据链上存储的注册信息对所述访问请求进行验证，并将验证结果反馈给所述物联网域b的域主和所述物联网域f的域主；
129.所述物联网域b的域主和所述物联网域f的域主根据所述验证结果裁决相应的访问是否可以执行，若所述物联网设备a1和所述物联网设备a2均进行了注册，则访问可执行，否则，驳回所述访问请求。
130.再进一步地，本发明实施例中，所述基于所述蜂窝支链和/或所述蜂窝主链对物联网设备的访问请求进行认证还包括：
131.当提出访问请求的物联网设备处于物联网域，被访问的物联网设备未处于物联网域时：
132.物联网设备a1向所在的物联网域b的域主发送对物联网设备a2的访问请求，该访问请求包括所述物联网设备a1的原始id、所述物联网域b的id、所述物联网设备a2的原始id和提出该访问请求的时间戳；
133.所述物联网域b的域主通过相应的蜂窝支链将所述访问请求发送至所述蜂窝主链；
134.所述蜂窝主链根据链上存储的注册信息对所述访问请求进行验证，并将验证结果反馈给所述蜂窝支链和所述物联网设备a2；
135.所述蜂窝支链将所述验证结果反馈给所述物联网域b的域主；
136.所述物联网域b的域主和所述物联网设备a2根据所述验证结果裁决相应的访问是否可以执行，若所述物联网设备a1和所述物联网设备a2均进行了注册，则访问可执行，否则，驳回所述访问请求。
137.再进一步地，本发明实施例中，所述基于所述蜂窝支链和/或所述蜂窝主链对物联网设备的访问请求进行认证还包括：
138.当提出访问请求的物联网设备和被访问的物联网设备均未处于物联网域时：
139.物联网设备a1向所述蜂窝主链发送对物联网设备a2的访问请求，该访问请求包括所述物联网设备a1的原始id、所述物联网设备a2的原始id和提出该访问请求的时间戳；
140.所述蜂窝主链根据链上存储的注册信息对所述访问请求进行验证，并将验证结果反馈给所述物联网设备a1和所述物联网设备a2；
141.所述物联网设备a1和所述物联网设备a2根据所述验证结果裁决相应的访问是否
可以执行，若所述物联网设备a1和所述物联网设备a2均进行了注册，则访问可执行，否则，驳回所述访问请求。
142.本发明实施例的基于蜂窝式区块链网络的物联网设备认证方法，利用区块链的智能合约功能，可实现复杂、跨组织访问控制策略的设计。
143.以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。