一种基于区块链的远程度量方法、监控方法、装置及系统与流程

本申请涉及计算机软件和硬件信息安全技术领域，具体而言，涉及一种基于区块链的远程度量方法、监控方法、装置及系统。

背景技术：

目前常规的设备监控都是设备直接上传设备状态信息到云端，使得云端对设备状态进行监控，该过程中并没有进行身份认证等安全操作，而且该过程中也存在数据被篡改、云端无法完全可信的度量设备状态的问题，导致设备监控过程存在安全性和数据可能被篡改的问题。

技术实现要素：

本申请实施例的目的在于提供一种基于区块链的远程度量方法、监控方法、装置及系统，该方法在上传过程中采用签名操作并在监控平台上进行验签，并将验签结果记录到区块链上，保证了监控全程的安全可信和不可篡改性，解决了现有方法存在安全性和数据可能被篡改的问题。

本申请实施例提供了一种基于区块链的远程度量方法，应用于设备端，所述方法包括：

获取设备状态信息并利用私钥对所述设备状态信息进行签名，以获取签名值；

将所述签名值和所述设备状态信息加密发送至所述监控平台，以使所述监控平台对所述签名值进行验签并将验签结果发送至区块链；

接收所述监控平台发送的区块链的记录结果。

在上述实现过程中，通过云端与区块链相结合，实现对设备的远程度量，且保证了度量结果的准确性和安全性，将验签结果记录在区块链上，保证了度量的可靠性和不可篡改性。

进一步地，所述利用私钥对所述设备状态信息进行签名，包括：

在可信执行环境下对所述设备状态信息进行签名操作。

在上述实现过程中，设备端的签名操作在tee环境下执行，可以保证签名的有效性和安全性，有效防止其他设备仿冒该设备端。

进一步地，所述将所述签名值和所述设备状态信息加密发送至所述监控平台，包括：

将所述签名值和所述设备状态信息打包，以生成数据包；

将所述数据包通过https通信的方式发送至所述监控平台或通过密钥加密后发送至所述监控平台。

在上述实现过程中，将签名值和设备状态信息进行数据打包，生成数据包，数据包可以以https通信进行传输也可以使用设备端生成的密钥进行加密传输，保证了数据包在输出过程中的安全性。

进一步地，在所述将所述签名值和所述设备状态信息加密发送至所述监控平台，以使所述监控平台对所述签名值进行验签的步骤之前，所述方法还包括：

预先在可信执行环境下生成公私钥对并将公钥发送至监控平台。

在上述实现过程中，设备端在tee环境下生成一对公私钥对，并将公钥导入监控平台，确保安全性。

本申请实施例还提供一种基于区块链的远程监控方法，应用于监控平台，所述方法包括：

接收设备端发送的数据包，所述数据包包括设备状态信息和利用私钥对设备状态信息进行签名得到的签名值；

对所述数据包进行解密，以获取所述签名值；

对所述签名值进行验签，并将验签结果、所述签名值和所述设备状态信息发送至区块链进行记录；

接收区块链返回的记录结果并将所述记录结果发送至设备端。

在上述实现过程中，监控平台将验签结果记录到区块链上，保证该度量过程的可靠性、可追溯性和不可篡改性，监控平台将验签结果、设备状态信息和签名值进行上链，保证度量的真实性和不可篡改性。

进一步地，在所述对所述签名值进行验签的步骤之前，所述方法还包括：

接收设备端通过可信执行环境发送的公钥，以利用所述公钥对所述签名值进行验签。

在上述实现过程中，监控平台获取可信执行环境下的公钥，便于通过公钥对签名值进行验证。

本申请实施例还提供一种基于区块链的远程度量装置，所述装置包括：

签名模块，获取设备状态信息并利用私钥对所述设备状态信息进行签名，以获取签名值；

加密发送模块，用于将所述签名值和所述设备状态信息加密发送至所述监控平台，以使所述监控平台对所述签名值进行验签并将验签结果发送至区块链；

结果接收模块，用于接收所述监控平台发送的区块链的记录结果。

在上述实现过程中，设备端利用私钥对设备状态信息进行签名，并将签名值和设备状态信息发送给监控平台，以使监控平台对所述签名值进行验签并将验签结果发送至区块链进行记录，实现设备状态信息的远程度量，保证了度量结果的准确性和安全性。

本申请实施例还提供一种基于区块链的远程监控装置，所述装置包括：

数据包接收模块，用于接收设备端发送的数据包，所述数据包包括设备状态信息和利用私钥对设备状态信息进行签名得到的签名值；

解密模块，用于对所述数据包进行解密，以获取所述签名值；

验签模块，用于对所述签名值进行验签，并将验签结果、所述签名值和所述设备状态信息发送至区块链进行记录；

结果获取模块，用于接收区块链返回的记录结果并将所述记录结果发送至设备端。

在上述实现过程中，签名值和设备状态信息通过加密发送至监控平台，监控平台对签名值进行验签后将验签结果、所述签名值和所述设备状态信息发送至区块链进行记录，保证了远程度量结果的不可篡改性和可追溯性。

本申请实施例提供一种基于区块链的远程度量系统，所述系统包括：

设备端，用于生成公私钥对，并将公钥发送至监控平台；获取设备状态信息并利用私钥对所述设备状态信息进行签名，以获取签名值，将所述所述设备状态信息和签名值加密发送至所述监控平台；

所述监控平台，用于接收所述设备状态信息和签名值，并利用所述公钥对所述签名值进行验签，并将验签结果、所述设备状态信息和所述签名值发送至区块链模块进行记录；

区块链模块，用于记录所述状态信息、所述签名值和所述验签结果，并将记录结果发送至所述监控平台。

在上述实现过程中，通过设备端对状态信息的签名，监控平台对签名信息进行验签并将结果记录在区块链上，完成监控平台对设备的远程度量，并在区块链上进行记录，保证度量的真实性和不可篡改性。

本申请实施例提供一种可读存储介质，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行上述中任一项所述的基于区块链的远程度量方法。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种基于区块链的远程度量方法的流程图；

图2为本申请实施例提供的加密发送流程图；

图3为本申请实施例提供的基于区块链的远程监控方法流程图；

图4为本申请实施例提供的基于区块链的远程度量装置的结构框图；

图5为本申请实施例提供的基于区块链的远程度量装置的具体结构框图；

图6为本申请实施例提供的基于区块链的远程监控装置的结构框图；

图7为本申请实施例提供的基于区块链的远程度量系统的结构框图；

图8为本申请实施例提供的基于区块链的远程度量的流程图。

图标：

100-签名模块；200-加密发送模块；201-数据包模块；202-加密模块；300-结果接收模块；400-数据包接收模块；500-解密模块；600-验签模块；700-结果获取模块；801-设备端；802-监控平台；803-区块链模块。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

实施例1

请参看图1，图1为本申请实施例提供的一种基于区块链的远程度量方法的流程图。该方法应用于设备端801，所述方法包括：

步骤s100：获取设备状态信息并利用私钥对所述设备状态信息进行签名，以获取签名值；

具体地，设备端801可提供tee(trustedexecutionenvironment)可信执行环境，设备端801需要预先在tee环境下生成一对公私钥对，并在可信执行环境下将公钥发送至监控平台802，例如可以离线导入监控平台802，确保公钥传递的安全性；获取的设备状态信息可以包括但不限于核心代码数据信息、内存占有率、设备标识信息等用于表征设备状态的参数信息，以便于监控平台802通过设备状态信息实现对设备端801设备的远程度量，及时查询设备运行是否安全。

此外，对所述设备状态信息进行签名操作也是在可信执行环境下进行的，确保签名过程的安全性。

步骤s200：将所述签名值和所述设备状态信息加密发送至所述监控平台802，以使所述监控平台802对所述签名值进行验签并将验签结果发送至区块链；

示例地，如图2所示，为加密发送流程图，该步骤具体可以包括：

步骤s201：将所述签名值和所述设备状态信息打包，以生成数据包；

步骤s202：将所述数据包通过https通信的方式发送至所述监控平台802或通过密钥加密后发送至所述监控平台802。

在设备端801将签名值和所述设备状态信息进行数据打包，然后加密发送至监控平台802，确保签名值和设备状态信息传输过程的安全性，其中，加密方式可以采用https(超文本传输安全协议)通信的方式，也可以使用设备端801生成的密钥进行加密，在此，对于加密的方式不作限定。

步骤s300：接收所述监控平台802发送的区块链的记录结果。

由此监控平台802可实现对设备端801的远程度量操作，该操作包括设备端801对设备状态信息的签名，监控平台802对签名信息的验签和将结果记录在区块链上。其中，设备端801的签名操作在tee环境下执行，可以保证签名的有效性和安全性；再者，传输过程中使用加密传输，保证数据传输的安全性；最后，监控平台802验签完成并记录在区块链上，保证远程度量操作的可靠性和不可篡改性。

实施例2

本申请实施例提供一种基于区块链的远程监控方法，该方法应用于实施例1中的监控平台802，如图3所示，为基于区块链的远程监控方法流程图，该方法具体可以包括：

步骤s400：接收设备端801发送的数据包，所述数据包包括设备状态信息和利用私钥对设备状态信息进行签名得到的签名值；

步骤s500：对所述数据包进行解密，以获取所述签名值；

在远程度量之前，接收设备端801通过可信执行环境发送的公钥，使得监控平台802在获取到签名值时，能够利用公钥对签名值进行验签。

步骤s600：对所述签名值进行验签，并将验签结果、所述签名值和所述设备状态信息发送至区块链进行记录；

监控平台802对签名信息进行验签并调用区块链相关接口将验签结果记录、签名值和设备状态信息记录在区块链上，保证度量的可靠性和不可篡改性。

步骤s700：接收区块链返回的记录结果并将所述记录结果发送至设备端801。

综上，上述过程实现了监控平台802的远程度量操作，该操作包括设备端801对状态信息的签名，监控平台802对签名信息的验签和将结果记录在区块链上。其中，设备端801的签名操作在tee环境下面执行，可以保证签名的有效性和安全性；再者，传输过程中使用加密传输，保证数据传输的安全性；最后，监控平台802验签完成并记录在区块链上，保证度量的可靠性和不可篡改性。

实施例3

本申请实施例提供一种基于区块链的远程度量装置，应用于实施例1中的一种基于区块链的远程度量方法，如图4所示，为基于区块链的远程度量装置的结构框图，所述装置包括：

签名模块100，获取设备状态信息并利用私钥对所述设备状态信息进行签名，以获取签名值；

加密发送模块200，用于将所述签名值和所述设备状态信息加密发送至所述监控平台802，以使所述监控平台802对所述签名值进行验签并将验签结果发送至区块链；

如图5所示，为基于区块链的远程度量装置的具体结构框图，加密发送模块200包括：

数据包模块201，用于将所述签名值和所述设备状态信息打包，以生成数据包；

加密模块202，用于将所述数据包通过https通信的方式发送至所述监控平台802或通过密钥加密后发送至所述监控平台802。

结果接收模块300，用于接收所述监控平台802发送的区块链的记录结果。

设备端801利用私钥对设备状态信息进行签名，并将签名值和设备状态信息发送给监控平台802，以使监控平台802对所述签名值进行验签并将验签结果发送至区块链进行记录，实现设备状态信息的远程度量，保证了度量结果的准确性和安全性。

本申请实施例还提供一种基于区块链的远程监控装置，该装置应用于实施例2中的一种基于区块链的远程监控方法，如图6所示，为基于区块链的远程监控装置的结构框图，所述装置包括：

数据包接收模块400，用于接收设备端801发送的数据包，所述数据包包括设备状态信息和利用私钥对设备状态信息进行签名得到的签名值；

解密模块500，用于对所述数据包进行解密，以获取所述签名值；

验签模块600，用于对所述签名值进行验签，并将验签结果、所述签名值和所述设备状态信息发送至区块链进行记录；

在验签之前，需要接收设备端801通过可信执行环境发送的公钥，以利用所述公钥对所述签名值进行验签。

结果获取模块700，用于接收区块链返回的记录结果并将所述记录结果发送至设备端801。

签名值和设备状态信息通过加密发送至监控平台802，监控平台802对签名值进行验签后将验签结果、所述签名值和所述设备状态信息发送至区块链进行记录，保证了远程度量结果的不可篡改性和可追溯性。

实施例4

本申请实施例提供一种基于区块链的远程度量系统，如图7所示，为基于区块链的远程度量系统的结构框图，所述系统包括：

设备端801，用于生成公私钥对，并将公钥发送至监控平台802；获取设备状态信息并利用私钥对所述设备状态信息进行签名，以获取签名值，将所述所述设备状态信息和签名值加密发送至所述监控平台802；

所述监控平台802，用于接收所述设备状态信息和签名值，并利用所述公钥对所述签名值进行验签，并将验签结果、所述设备状态信息和所述签名值发送至区块链模块803进行记录；

区块链模块803，用于记录所述状态信息、所述签名值和所述验签结果，并将记录结果发送至所述监控平台802。

如图8所示，为基于区块链的远程度量的流程图，设备端801在tee环境下生成公私钥对，将公钥在tee环境下离线导入监控平台802；设备端801获取设备状态信息，设备状态信息包括核心代码数据信息、内存占有率、设备标识信息等关键信息，在tee环境下对状态信息进行签名，获取签名值并将设备状态信息和签名值组包(数据包)发送至监控平台802，以对签名信息进行验签，在完成验签后，将设备状态信息、签名值和验签结果上链，区块链上链记录并返回记录结果至监控平台802，设备端801获得监控平台802返回值，实现远程度量。

本申请实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行实施例1中的基于区块链的远程度量方法以及实施例2中的基于区块链的远程监控方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。