1.一种基于去中心化网络的可信设备管理方法,其特征在于包括:
步骤1:参与设备管理的全部节点按照P2P协议组成包含不同角色节点的对等覆盖网络;每个节点均按照角色要求和策略向其临近节点转发管理消息或管理信息块;网络中节点具有公私钥对,并有由公钥生成的地址;所有的网络节点共同维护一个全局一致的分布式管理信息库,其中全数据节点保存并维护分布式管理信息库的完整副本,提供管理信息的验证、存储、传输和查询服务;轻量级节点保存管理信息库的部分数据,提供管理信息的快速检验、查询、转发;端节点只保存与本节点相关的管理信息;
步骤2:设备管理通过管理设备与被管设备之间交互管理信息实现;管理设备向被管设备发送管理命令,被管设备接收管理命令并回复命令执行结果,被管设备也可主动向管理设备上报数据;源节点和目的节点在不同过程中,可以是管理设备,也可以是被管设备,视管理消息的发起者而确定;
步骤3:管理信息由源节点发送到目标节点通过两阶段过程实现;第一个阶段源节点通过调用管理信息访问接口将管理信息封装为签名的管理消息,通过轻量级节点发送或直接发送给全数据节点;全数据节点将管理信息定期打包为管理信息块,并在对等网络中转发,基于共识算法在所有全数据节点之中达成一致,然后写入各全数据节点的本地管理信息库副本,确保管理信息库的全局一致性;管理信息包括管理过程涉及的管理命令、命令执行结果、被管设备上报数据;
步骤4:第二阶段目标节点利用管理信息访问接口主动通过轻量级节点或全数据节点从分布式管理信息库中查询并获取本节点未处理的管理消息;轻量级节点或全数据节点也可以过滤转发到本节点的已确认的管理信息块消息,提取与目标节点地址匹配的消息将其发送到目标节点;目标节点使用源节点公钥验证消息的签名,并通过本节点的私钥解密会话密钥,然后解密消息获取管理信息。
2.根据权利要求1所述的一种基于去中心化网络的可信设备管理方法,其特征在于还包括管理设备是否被授权对被管设备管理,可以通过管理信息库进行查询;可以由授权管理私钥对授权指令进行签名,授权指令包含管理设备的地址及其公钥,任意节点可以通过授权管理公钥验证授权指令的合法性;在分布式管理信息库第一个管理信息块中包含授权管理公钥;
所有的管理记录都保存在分布式网络中的管理信息库中,所有节点都可以对特定的管理记录的完整性、来源、目标进行验证,经授权的监管节点可以解密管理数据,对管理活动进行监管。
3.根据权利要求1所述的一种基于去中心化网络的可信设备管理方法,其特征在于所述步骤2管理信息数据库建立过程是:管理信息由源节点按照设备管理层协议发送目标节点;源节点的管理设备采用密码算法生成一个会话密钥Ks,并将管理信息M用Ks加密得到EKs(M),将Ks用目标节点的公钥加密得到EPubD(Ks),然后构造(源地址Ds,目标地址DD,EPubD(Ks),EKs(M))的未签名消息,然后源节点用自己的公钥PubD对该消息签名后发送到全数据节点或管理信息库;当全数据节点接收到管理信息时,对管理信息进行验证,验证通过的管理信息继续在网络上转发;EKs(M)指的是管理信息M用会话密钥Ks加密;
当时间片到达时,该全数据节点将未处理的管理消息构造为管理信息块,并基于上个管理信息块的Hash值和本管理信息块的管理信息,计算本管理信息块的Hash值写入该管理信息块;然后发送到网络进行验证;
网络采用共识算法保证管理信息库在分布式网络中的一致性。
4.根据权利要求3所述的一种基于去中心化网络的可信设备管理方法,其特征在于所述网络采用共识算法保证管理信息库在分布式网络中的一致性具体步骤是:验证节点由共识算法规定的策略或算法选取。验证节点接收管理信息块后按照共识算法所指定规则对其进行验证并投票;经过一定时间片后,验证节点中的多数对该管理信息块达成共识;当验证节点收到对该管理信息块确认达到共识算法指定的足够数量后,验证节点将认为该块有效,并与前面的块形成块链模式的分布式数据库;足够数量是通过共识算法根据系统要求确定的。
5.根据权利要求4所述的一种基于去中心化网络的可信设备管理方法,其特征在于所述网络层提供底层对等网络通信机制;监管设备利用管理信息访问接口提取监管信息,分析并实施对管理活动的监管。
6.根据权利要求1所述的一种基于去中心化网络的可信设备管理方法,其特征在于所述节点按照其管理信息服务能力分为3类:全数据节点、轻量级节点、端节点;全数据节点保存并维护管理信息库的完整备份,提供管理信息的验证、存储、传输和查询服务;轻量级节点保存管理信息库的部分数据,提供管理信息的快速检验、查询、转发;端节点只保存与本节点相关的管理信息。
7.根据权利要求1所述的一种基于去中心化网络的可信设备管理方法,其特征在于还包括步骤4在构造加密管理消息时,采用监管方公钥加密会话密钥并将其植入到管理消息的方法或基于时戳的可监管的密码方法;前者监管方可以利用私钥从管理消息中恢复会话密钥,并获取管理信息;基于时戳的可监管的密码方法具体过程是:
每一个节点均有一对公私钥(pk,sk),其中pk公开,sk秘密保存;同时节点在进行注册的时候,每一个节点的设备均从监管中心获取一个监管密钥key,该监管密钥只有节点的设备及监管中心知道;
源节点A在向目的节点B发送管理信息时,源节点A使用自己的监管密钥key与发送时间time,使用杂凑算法计算key_tmp=Hash(key||time),使用key_tmp加密该管理信息,并使用成员目的节点B的公钥pkB加密key_tmp,将加密后的管理信息及使用公钥加密的密钥发送给目的节点B,目的节点B使用自己的私钥skB解密获取管理信息的加密密钥key_tmp,继而获得相应的管理信息。监管方获取到相应的消息后,需要进行监管时,查询该条管理信息的发送时间time,同时利用存储的源节点A的监管密钥key,继而获取管理消息的解密密钥key_tmp=Hash(key||time),解密获得相应的管理消息实行监管。