一种基于区块链的用户与设备资源认证及资产溯源系统的制作方法

1.本发明属于区块链领域的一种设备资源认证系统，具体涉及了一种基于区块链的用户与设备资源认证及资产溯源系统。


背景技术：

2.区块链，是由一系列基于密码学的、永久性的数字分类帐组成的分布式数据库，将交易信息生成一系列区块，形成一个链状结构，区块中的任何更改都必须由整个网络进行验证，从而形成去中心化的、不可篡改的特点。
3.分布式认证，是基于区块链技术，利用区块链的智能合约机制，当用户尝试访问设备时，通过系统的半数以上节点共同进行智能合约的权限验证，能够大幅增强系统的透明性和网络互信度。
4.现有的中心化的访问认证授权过程通常采用一台或一个认证服务器集群进行统一的用户身份识别和权限判断，当中心权限服务器被恶意攻击后，极大可能存在单点故障问题、用户身份和设备信息泄露问题，从而引发严重的系统安全性和用户隐私泄露风险。
5.数字资产的生命周期跨越多个地理空间，行业和模式，数据在产出端、服务端、用户端双向流动。这些数据流的每个环节都是支持最终运营管理决策的关键要素。现有的数字资产管理着重于中心化的管理模式，通常采用中心化的数据存储系统进行管理，资产生命周期内的每个环节都由一个中心化的服务器统一管理和协调。
6.现有的中心化的数据存储系统通常采用一台或一个数据库集群、由一台中心化的业务逻辑服务器统一处理数据计算、存储、落库等操作，当中心数据库或业务逻辑服务器被恶意攻击后，极大可能存在数据被恶意篡改、数据泄露、数据库勒索等重大安全风险。


技术实现要素：

7.为了解决背景技术中存在的问题和需求，本发明的目的是实施一种基于区块链的用户与设备资源认证及资产溯源系统，基于hyperledger fabric平台提供的区块链服务，实现对区域内设备及设备上用户及数字资产的注册、认证、管理及溯源，增强区域内设备的可控管理，用户的可信认证，数字资产的可信流转。
8.本发明将设备与其连接的区块链节点进行通信，通过监听其连接的区块链节点上智能合约触发的事件，经过多个区块的验证、达成共识之后判断是否具有接入权限。利用区块链的分布式、可信透明的特性，解决中心服务器信息泄露的安全问题，利用区块链不可篡改的特性，提高用户访问设备和资源时的安全性和隐私性，有效地防止非法用户入侵设备以及对数据资产的非法篡改。
9.通过基于密码学技术和p2p通信技术构建去中心化的区块链平台，所有的交易同步保存在每个节点中，区块中的任何更改都必须由整个网络进行验证，利用区块链的一旦写入、不可逆转的特点，有效的保证了交易的不可篡改。
10.通过管理权限资源、角色、人员和所属域，可以非常灵活的从不同维度管理和限制
管理人员能够使用的功能和资源。
11.通过将设备数据和附加合同信息、合同文本上传操作记录在区块链节点中，将设备关键数据、合同关键条款等关键数据上链，使用非对称加密方式生成关键数据的“校验和”数据进行上链，可以在每一次的数据溯源时对保存在系统中的数据和文件进行验证。
12.本发明的技术方案如下：
13.本发明包括区块链数据层、智能合约层、服务层和应用层；应用层用于为外部设备和用户提供区块链授权认证服务接口和资产数据上链服务接口，服务层用于提供不同类型的服务封装模块，智能合约层用于提供用户、设备和资产相关的服务执行模块，区块链数据层包括区块链数据节点和分布式认证节点，其中区块链数据节点用于存储服务层和智能合约层产生/传递的上链数据和原始文件校验码，分布式认证节点用于集群半数以上节点并利用智能合约达成认证鉴权共识，提高网络互信度；外部设备通过调用应用层对应的服务接口向服务层和智能合约层传入相应指令，服务层与智能合约层进行数据交互、智能合约层与区块链数据层进行数据交互，实现外部设备、用户的注册和认证以及资产的溯源，从而实现设备资源认证即溯源，区块链数据层接收服务层和智能合约层产生、传递的数据并生成对应的数据区块。
14.所述服务封装模块包括设备注册服务模块、上链数据校验模块、设备认证授权封装模块、历史数据查询模块、数据存证模块和关键信息查验模块。
15.所述服务执行模块包括设备接入授权模块、认证授权变更模块、设备权限校验模块、用户信息查询模块、分布式认证模块和溯源校验码核对模块。
16.当所述外部设备中存在规模较大的设备数据、用户数据和资产数据通过应用层传入服务层中时，规模较大的设备数据、用户数据和资产数据通过接口存储于区块链数据层中；服务层对设备数据、用户数据和资产数据提取关键信息和原始文件校验码，根据提取获得关键信息和原始文件校验码进行分析，执行相应的操作。
17.所述区块链数据层采用基于企业级许可分布式账本技术平台hyperledger fabric开发的区块链认证和上链数据溯源服务，实现对区域内设备及设备上用户及数字资产的注册、认证、管理及资产生命周期溯源。
18.所述用户在任意设备上通过注册的方式加入到区块链中；所述用户在任意设备上登录个人信息时，系统通过智能合约对所述用户身份进行验证。
19.本发明的有益效果为：
20.(1)基于区块链的分布式、可信及不可篡改的特性，可以解决中心服务器信息泄露的安全问题，提高用户访问园区设备时的安全性和隐私性，有效防止非法用户入园区的各软件服务系统和设备，同时有效提高系统效率。
21.(2)通过管理权限资源、角色、人员和所属域，可以非常灵活的从不同维度管理和限制管理人员能够使用的功能和资源。
22.(3)关键数据和附加合同信息、合同文本上传保存操作都会记录在区块链节点中，设备关键数据、合同关键条款等关键数据上链，同时生成关键数据的“校验和”数据进行上链，每一次的数据溯源查看都会对保存在系统中的数据和文件进行验证。
23.(4)园区设备与其连接的区块链节点进行通信，通过监听其连接的区块链节点上智能合约触发的事件，达成共识之后判断是否具有接入权限。有利于解决中心服务器信息
泄露的安全问题，利用区块链不可篡改的特性，提高了用户访问设备时的安全性和隐私性，有效地防止非法用户入侵设备。
附图说明
24.图1基于区块链的用户与设备资源认证及资产溯源系统的架构图。
25.图2基于区块链的用户与设备资源认证及资产溯源系统的区块结构图。
26.图3基于区块链的用户与设备资源认证及资产溯源系统的区块体数据结构。
27.图4以智慧园区为例的基于区块链的用户与设备资源认证及资产溯源系统的流程图。
具体实施方式
28.接下来结合附图对本发明的具体实现细节进行详细的介绍。
29.如图1所示，本发明包括区块链数据层、智能合约层、服务层和应用层；应用层用于为外部设备和用户提供区块链授权认证服务接口和关键数据上链服务接口，服务层用于提供不同类型的服务封装模块，包括设备注册服务模块、上链数据校验模块、设备认证授权封装模块、历史数据查询模块、数据存证模块和关键信息查验模块，智能合约层用于提供用户和设备认证、授权、鉴权、资产文件校验等不同类型的服务执行模块，包括设备接入授权模块、认证授权变更模块、设备权限校验模块、用户信息查询模块、分布式认证模块和溯源校验码核对模块。智能合约层封装了认证逻辑和数据操作，提供简化统一的认证操作，智能合约层接收服务层传入的指令，根据指令执行测试、部署、管理、认证等功能，根据执行结果进行权限判断，如果权限认证通过，执行数据上链、日志记录等操作，每一步操作上链的数据和日志都存入区块链数据层。区块链数据层包括区块链数据节点和分布式认证节点，其中区块链数据节点用于存储服务层和智能合约层产生/传递的关键上链数据和原始文件校验码，区块链数据节点之间通过p2p网络确保数据一致性，并根据区块链共识算法形成工作量证明，从而确保关键数据条款的防作弊、不可篡改的目标。分布式认证节点用于集群半数以上节点并利用智能合约达成认证鉴权共识，提高网络互信度；外部设备通过调用应用层对应的服务接口向服务层和智能合约层传入相应指令，服务层与智能合约层进行数据交互、智能合约层与区块链数据层进行数据交互，实现外部设备、用户的注册和认证以及资产的溯源，从而实现设备资源认证即溯源，区块链数据层接收服务层和智能合约层产生、传递的关键上链数据、合约执行日志等数据并生成对应的数据区块。
30.当外部设备中存在规模较大的设备数据、用户数据和资产数据通过应用层传入服务层中时，规模较大的设备数据、用户数据和资产数据通过接口存储于区块链数据层的区块链数据节点中；服务层的关键信息查验模块对设备数据、用户数据和资产数据提取关键信息和原始文件校验码，根据提取获得关键信息和原始文件校验码进行分析，执行相应的操作后将执行结果返回给外部设备，或者服务层将应用层传入的指令进行分析，提取其中有关智能合约的调用指令，转发到智能合约层，智能合约层执行完毕后返回执行结果，服务层根据智能合约执行结果决定后续步骤。。
31.区块链数据层采用基于企业级许可分布式账本技术平台hyperledger fabric开发的区块链认证和上链数据溯源服务，实现对区域内设备及设备上用户及数字资产的注
册、认证、管理及资产生命周期溯源。
32.设备通过调用智能合约的注册接口加入到区块链中，用于对设备资源的掌握及分配。
33.用户在任意设备上通过注册的方式加入到区块链中；用户在任意设备上登录个人信息时，区块链框架通过智能合约对用户身份进行验证。
34.下面介绍基于hyperledger fabric框架实现区块链服务功能。
35.(1)基于智能合约的设备和用户身份认证和管理
36.在区块链节点上基于数字签名设计一组权限认证函数，通过签名、哈希等密码学手段来验证用户的身份。当设备和用户通过注册的方式加入系统时，将注册信息hash成一段字符串，利用随机数算法为每个用户生成唯一的电子id，同时利用非对称算法生成一对公钥和私钥，公钥与用户的电子id绑定在区块链系统中，私钥则保存在用户的设备上。用户在园区设备上登录系统时，需要验证公钥和私钥的匹配度，如果匹配，则验证通过，用户能够成功登录系统。同时根据基于角色的访问控制模型rbac确定用户在系统上应用的权限范围。
37.(2)以资产为主体的区块构建
38.为了保障系统中资产流通的安全性，本发明设计了专用的区块结构，区块结构的示意图如图2所示。区块的结构包括区块头和区块体2部分，区块头中的信息包括版本号、上一块哈希值、merkel根节点、时间戳、难度值和随机数等。区块体中的信息包括设备数据、用户数据和资产数据3部分，如图3所示。设备数据包括设备id、设备类型、设备注册时间、设备os、设备归属等信息，用户数据包括用户id、用户角色、用户所属企业、联系方式、邮箱等，资产数据包括与设备、用户相关的资产创建的设备id/用户id、资产的类型、资产流通过程中使用的设备id/用户id/时间等信息。
39.资产在园区的设备及用户之间流转，每次流转时都需要设备及用户验证身份，同时流转信息加入到区块链中；在资产生命周期内，最高权限的用户通过系统的运维管理实现对数字资产的创建、初始化、传输、变化、消费、销毁的完整生命周期进行溯源监管。本发明所述系统在使用过程，根据共识机制，资产在创建、使用、流转过程中，在遵循信息一致性共识机制的约束下，将资产与设备、用户相关的信息存储到相应区块链结构中，为后续为资产溯源提供支撑。
40.在园区有限区域内，设备和用户身份的真实性和合法性比较容易进行验证，因此，设计基于用户和设备信息一致性的共识机制，约定资产只有在已经注册的设备上，被授权的用户才能够正常使用，对资产的操作才有效，流转才合法，生成的资产操作日志才能够内记入区块中，加入到区块链中，为资产溯源提供支撑。
41.利用区块链去中心化、可追溯、不可篡改等特性，加入到区块中的记录被永久存储，每一个区块记录中都绑定了资产流转的设备、用户、时间等信息，由于区块链的分布式和共识机制，存储到区块链上的数据难以篡改。当在园区设备上，用户合法登录系统中，在权限访问控制下，能够查看到区块中的设备、用户和资产信息。在信息完整记录的情况下，实现了基于用户身份的资产信息追溯。
42.接下来，介绍本发明面向用户实现的业务功能，具体实施如下：
43.(1)终端设备注册上链
44.普通管理员通过可视化的界面，将设备注册入系统，注册信息包括名称、类型、类别、认证方式、连网协议、创建时间等。
45.用户对设备的操作，需经过授权，用户访问的物联网终端与其连接的区块链节点进行通信，通过监听其连接的区块链节点上智能合约触发的事件，达成共识之后判断是否具有接入设备的权限。
46.(2)用户注册上链及可信认证
47.普通用户、普通管理员通过可视化的界面，将用户注册入系统，用户信息包括姓名、角色、联系方式、所属企业、创建时间等。
48.通过管理权限资源、角色、人员，可以非常灵活的从不同维度管理和限制管理人员能够使用的功能和资源。
49.(3)数字资产管理及溯源
50.设备生产数据经dtu、传感器等方式传入边缘端服务器，即区块链节点服务器，实现数据上链，形成不可篡改的追溯数据链。
51.设备文件与合同文件类似，经dtu、传感器等方式传入边缘端服务器，通过哈希、md5等算法形成不可逆的索引整数传入区块链，文件本身传入云端文件服务器，实现文件上链，形成不可篡改的合同/文件追溯数据链。
52.区块链分布式认证及溯源系统采用b/s架构，客户端无需安装，有web浏览器就可以使用。本系统是一套专门针对小微工业园区、智慧工厂、数字化工厂及对应物业、企服、商管、运营等微服务架构的网关权域管理软件，基于区块链的分布式、可信及不可篡改的特性，可以解决中心服务器信息泄露的安全问题，提高用户访问物联网设备时的安全性和隐私性，有效防止非法用户入侵智慧园区、智慧工厂各软件服务系统和物联网设备，同时有效提高系统效率；通过管理权限资源、角色、人员和所属域，可以非常灵活的从不同维度管理和限制管理人员能够使用的功能和资源。
53.以智慧园区为例，基于区块链的用户与设备资源认证及资产溯源系统的流程图如图4所示，区块链认证授权平台运行流程如下：
54.1)用户接入区块链节点，选择附近的物联网设备，向区块链节点发送接入该物联网设备的认证交易；
55.2)执行基于分布式认证的智能合约，在区块链节点上执行权限认证函数，智能合约执行后返回权限验证是否通过；
56.3)若验证不通过，用户转向申请访问权限，对访问用户有效的权限包括拒绝、授予和解除接入物联网设备等；
57.4)若验证通过，用户拥有该设备的接入权限，返回接入成功的信息；
58.5)认证成功后，用户可以进入物联网设备的操作界面；
59.6)用户接入、操作及相关关键数据，通过open api接入区块链溯源平台，形成不可篡改的可追溯数据链。