一种基于区块链的物联网设备管理方法及装置与流程

本申请涉及区块链技术领域，尤其涉及一种基于区块链的物联网设备管理方法及设备。

背景技术：

随着物联网技术的发展，全球数十亿的物理设备都连接到了互联网上，每个物联网设备都可以进行数据的收集与共享。并且，工业物联网技术与智能家居技术不断发展，越来越多的物联网设备在随时随地收集着极其敏感的数据，例如用户在家里或公司或私人聚会上说的话、做的事。物联网技术面临着极其复杂的安全问题，如何安全地管理物联网设备，成为一个亟待解决的问题。

技术实现要素：

本说明书一个或多个实施例提供了一种基于区块链的物联网设备管理方法，应用包括物联网设备管理平台、可信客户端、验证节点、区块链的系统内，该管理方法包括：

可信客户端接收用户输入的待注册物联网设备的身份信息和注册声明信息，所述可信客户端响应于用户的待注册物联网设备的注册申请操作而生成物联网设备注册请求，并将该请求发送至物联网设备管理平台；

物联网设备管理平台接收到所述可信客户端发送的注册请求，解析得到待注册的物联网设备身份信息和注册声明信息，根据所述待注册的物联网设备身份信息和注册声明信息，创建物联网设备注册信息，生成可验证的可信物联网设备数据，向区块链中的至少一个区块链节点发送所述可信物联网设备数据；

区块链中的至少一个区块链节点接收所述可信物联网设备数据并保存至区块链中；

验证节点根据物联网设备身份信息对物联网设备进行验证，向所述区块链发送验证请求，根据物联网设备身份信息获取可信物联网设备数据，得到验证结果。

所述注册声明信息至少包括物联网设备mac地址、物理位置、分配的固定ip地址、有效时限、设备描述信息；

所述可信物联网设备数据至少包括：数据标识、数字签名、物联网设备身份信息、注册声明信息；

所述验证节点对物联网设备进行流量分析，当发现异常时，获取异常物联网设备身份信息，并根据所述异常物联网设备身份信息生成验证请求，发送至区块链中至少一个区块链节点；

所述根据物联网设备身份信息获取可信物联网设备数据，得到验证结果，包括获取待验证的物联网设备的相关信息，与可信物联网设备数据中的注册声明信息进行比对，当验证结果不匹配时，生成警告日志；

在生成警告日志后，所述方法还包括：根据注册声明信息中的物联网设备mac地址、物理位置、分配的固定ip地址对该物联网设备进行网络流量限制。

本说明书一个或多个实施例提供了一种一种基于区块链的物联网设备管理装置，该装置包括：

物联网设备管理平台、可信客户端、验证节点、区块链；其中，

所述可信客户端用于接收用户输入的待注册物联网设备的身份信息和注册声明信息，所述可信客户端响应于用户的待注册物联网设备的注册申请操作而生成物联网设备注册请求，并将该请求发送至物联网设备管理平台；

所述物联网设备管理平台用于接收到所述可信客户端发送的注册请求，解析得到待注册的物联网设备身份信息和注册声明信息，根据所述待注册的物联网设备身份信息和注册声明信息，创建物联网设备注册信息，生成可验证的可信物联网设备数据，向区块链中的至少一个区块链节点发送所述可信物联网设备数据；

所述区块链用于在至少一个区块链节点接收所述可信物联网设备数据并保存至区块链中；

所述验证节点用于根据物联网设备身份信息对物联网设备进行验证，向所述区块链发送验证请求，根据物联网设备身份信息获取可信物联网设备数据，得到验证结果。

所述注册声明信息至少包括物联网设备mac地址、物理位置、分配的固定ip地址、有效时限、设备描述信息；

所述可信物联网设备数据至少包括：数据标识、数字签名、物联网设备身份信息、注册声明信息；

所述验证节点对物联网设备进行流量分析，当发现异常时，获取异常物联网设备身份信息，并根据所述异常物联网设备身份信息生成验证请求，发送至区块链中至少一个区块链节点；

所述根据物联网设备身份信息获取可信物联网设备数据，得到验证结果，包括获取待验证的物联网设备的相关信息，与可信物联网设备数据中的注册声明信息进行比对，当验证结果不匹配时，生成警告日志；

在生成警告日志后，所述方法还包括：根据注册声明信息中的物联网设备mac地址、物理位置、分配的固定ip地址对该物联网设备进行网络流量限制。

附图说明

为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为基于区块链的物联网设备管理方法的流程图。

具体实施方式

为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案，下面将结合本说明书一个或多个实施例中的附图，对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述，本说明书所描述的实施例仅仅是本说明书的一部分实施例，而非全部的实施例。基于本说明书一个或多个实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本案的保护范围。

一种基于区块链的物联网设备管理方法，应用包括物联网设备管理平台、可信客户端、验证节点、区块链的系统内，该管理方法包括：

其中，物联网设备管理平台可以是基于cs架构的，部署在互联网或区域网的一台或多台服务器上或节点上，不同的服务器或节点之间可以互为备份。

可信客户端接收用户输入的待注册物联网设备的身份信息和注册声明信息，所述可信客户端响应于用户的待注册物联网设备的注册申请操作而生成物联网设备注册请求，并将该请求发送至物联网设备管理平台；

本说明书中的可信客户端是通过网络连接至物联网设备管理平台的一台或多台客户端设备，如pc电脑，笔记本电脑，手机，手持式移动扫描设备、平板电脑等，其安全性较高，并且安装有可以和物联网设备管理平台通信的客户端软件。

用户，如网络内部的系统管理员、设备管理员、资产管理员等，可以登录物联网设备管理平台的管理界面，进行用户注册、设备管理等操作。

注册请求可以以http、https或tcp等多种类型形式进行发送；

例如，资产管理员通过手持式扫描设备录入新购买或换新的物联网设备信息，并要求对该新购买或换新的待注册物联网设备进行注册，需要资产管理员登录客户端软件的用户界面，点击“物联网设备注册”按钮，发送注册请求；

物联网设备管理平台接收到所述可信客户端发送的注册请求，解析得到待注册的物联网设备身份信息和注册声明信息，根据所述待注册的物联网设备身份信息和注册声明信息，创建物联网设备注册信息，生成可验证的可信物联网设备数据，向区块链中的至少一个区块链节点发送所述可信物联网设备数据；

本说明书中的物联网设备身份信息可以是物联网设备本身的具有标识性的信息，如产品的唯一序列号，还可以是用户按照编码规则为该物联网设备生成的编码标识，如wuhan-0001-0003-ab245等形式。

注册声明信息用以存储与物联网设备请求注册时的相关安全性信息，例如物联网设备mac地址、物理位置、分配的固定ip地址、有效时限、设备描述信息，后续可以通过获取注册声明信息用来对物联网设备进行在线管理和安全性验证，可以识别出未系统网络内的未注册物联网设备、安全性过期设备、属性被篡改设备，从而保证物联网系统的安全性。

所述注册声明信息至少包括物联网设备mac地址、物理位置、分配的固定ip地址、有效时限、设备描述信息；

所述可信物联网设备数据至少包括：数据标识、数字签名、物联网设备身份信息、注册声明信息；

所述数字签名为执行注册操作的用户所生成的数字签名，用户调用自身所持有的私钥，对注册声明信息进行加密运算，得到数字签名，验证时，可以使用用户对应的公钥对该数字签名进行验证。

区块链中的至少一个区块链节点接收所述可信物联网设备数据并保存至区块链中；

验证节点根据物联网设备身份信息对物联网设备进行验证，向所述区块链发送验证请求，根据物联网设备身份信息获取可信物联网设备数据，得到验证结果。

所述验证节点对物联网设备进行流量分析，当发现异常时，获取异常物联网设备身份信息，并根据所述异常物联网设备身份信息生成验证请求，发送至区块链中至少一个区块链节点；

本说明书中所指的异常，可以是物联网设备的流量中某些数据异常，例如频繁的网络通信、流量数据有包含敏感字段、流量过高或过低、流量的时序特征异常、多次向外部位置设备发送数据等。

这些异常一般可以表明该物联网设备的安全性存疑，例如该物联网设备已经遭到入侵或远程控制、成为僵尸网络节点、被漏洞利用植入木马程序、可能的数据泄露、流量劫持等。

验证节点可以包括系统内一个或多个特定设备或一个或多个服务器或一个或多个计算节点，该验证节点可以执行网络流量分析，由于物联网网络中设备数量较为庞大，该验证节点一般采用周期性执行的方式，通过数据筛选、正则匹配、流量筛查、机器学习等手段分析网络流量，可以快速高效的识别出流量异常。

所述根据物联网设备身份信息获取可信物联网设备数据，得到验证结果，包括获取待验证的物联网设备的相关信息，与可信物联网设备数据中的注册声明信息进行比对，当验证结果不匹配时，生成警告日志；

在生成警告日志后，所述方法还包括：根据注册声明信息中的物联网设备mac地址、物理位置、分配的固定ip地址对该物联网设备进行网络流量限制。

本说明书中的验证，首先获取异常物联网设备的当前属性信息，例如物联网设备mac地址、物理位置、分配的固定ip地址、当前时间、设备描述信息中的一项或者多项，其中mac地址、ip地址、当前可以通过流量分析直接获取，物理位置、设备描述信息可以由资产管理员输入，通过与可信物联网设备数据中的注册声明信息进行比对，当验证结果不匹配时，生成警告日志。还可以是直接生成警告日志，由资产管理员当场处置，与可信物联网设备数据中的注册声明信息进行比对验证。

根据注册声明信息中的物联网设备mac地址、物理位置、分配的固定ip地址，可以对该物联网设备进行网络流量限制，这样做的好处是可以直接自动化实现异常物联网设备的在线管理，快速处置异常物联网设备，禁止其异常行为，从而避免损失进一步扩大，可以有效提高网络的安全性。

本说明书一个或多个实施例提供了一种一种基于区块链的物联网设备管理装置，该装置包括：

物联网设备管理平台、可信客户端、验证节点、区块链；其中，

所述可信客户端用于接收用户输入的待注册物联网设备的身份信息和注册声明信息，所述可信客户端响应于用户的待注册物联网设备的注册申请操作而生成物联网设备注册请求，并将该请求发送至物联网设备管理平台；

所述物联网设备管理平台用于接收到所述可信客户端发送的注册请求，解析得到待注册的物联网设备身份信息和注册声明信息，根据所述待注册的物联网设备身份信息和注册声明信息，创建物联网设备注册信息，生成可验证的可信物联网设备数据，向区块链中的至少一个区块链节点发送所述可信物联网设备数据；

所述区块链用于在至少一个区块链节点接收所述可信物联网设备数据并保存至区块链中；

所述验证节点用于根据物联网设备身份信息对物联网设备进行验证，向所述区块链发送验证请求，根据物联网设备身份信息获取可信物联网设备数据，得到验证结果。

所述注册声明信息至少包括物联网设备mac地址、物理位置、分配的固定ip地址、有效时限、设备描述信息；

所述可信物联网设备数据至少包括：数据标识、数字签名、物联网设备身份信息、注册声明信息；

所述验证节点对物联网设备进行流量分析，当发现异常时，获取异常物联网设备身份信息，并根据所述异常物联网设备身份信息生成验证请求，发送至区块链中至少一个区块链节点；

所述根据物联网设备身份信息获取可信物联网设备数据，得到验证结果，包括获取待验证的物联网设备的相关信息，与可信物联网设备数据中的注册声明信息进行比对，当验证结果不匹配时，生成警告日志；

在生成警告日志后，所述方法还包括：根据注册声明信息中的物联网设备mac地址、物理位置、分配的固定ip地址对该物联网设备进行网络流量限制。

以上所述仅为本文件的实施例而已，并不用于限制本文件。对于本领域技术人员来说，本文件可以有各种更改和变化。凡在本文件的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本文件的权利要求范围之内。