本发明涉及工业物联网,尤其涉及一种工业物联网设备采集数据可信的保障系统。
背景技术:
1、工业物联网和工程建设领域息息相关,也是国民经济的重要支撑。随着经济的发展,传统的工程建设领域暴露出了很多问题,比如管理模式落后,施工作业引起环境污染,容易引发劳务纠纷等。
2、工程建设领域,随着信息化的发展,国家在出台了相关法规,提出了智慧工地理念,智慧工地的建设依托于物联网技术,移动网络、bim技术、大数据、人工智能等技术,让工地现场具备全面感知功能,实时准确的获取“人”、“机械设备”、“环境”等采集到的数据,对数据进行分析和预测,可以有效辅助管理者进行决策,实现智能化管理。数据的全面感知和互通互联是智能化的基础,如何保障数据的安全、可信,是智能化需要重点解决的问题之一。
3、例如为了解决工程建设中的人员实名制的问题,就需要有人脸考勤注册和考勤设备,为了达到快速识别、快速考勤的目的,人员信息都是需要存在设备本地,考勤完成后,设备会上报考勤记录,用于平台端核算工时,发放工资,该场景下人员信息的泄漏和考勤数据的作假就是需要重点解决的问题,关乎工资发放和社会稳定。而为了确保考勤数据的可信,首先我们需要确保人脸识别闸机硬件部分和软件部分均未被篡改或破坏,才能保障人脸识别数据的可信;其次,我们需要确保人脸识别的数据能够安全地传输至服务器,防止传输过程中泄露或被篡改;最后,需要确保考勤数据存储的可信,避免数据被篡改或泄露。
4、但是,针对工业物联网设备数据可信的方案,会涉及到多个部门,多个设备供应商,需要软硬件结合、客户端和服务器端相结合,一般需要结合特定的应用场景设计专用方案。其中,设备可信方面,一般都是由设备厂商负责设备安全。而平台端负责数据访问接口以及网络通讯加密方式,也负责数据在平台端的可信存储。
5、即,现有技术中对于设备采集数据各个阶段的可信分别由相对独立的系统完成,缺乏完整的数据可信体系支持,导致设备采集数据可信的实现成本过高,同时维护不便。
技术实现思路
1、本发明的目的是为了解决上述现有技术存在的问题,提供一种工业物联网设备采集数据可信的保障系统,其能够有效保障设备采集数据的可信,同时成本更低,维护方便。
2、本发明的目的是通过以下技术方案实现的:
3、一种工业物联网设备采集数据可信的保障系统,基于ree、tee系统架构,包括:
4、设备可信子系统,包括传感设备可信模块、智能设备可信模块,所述传感设备可信模块用于通过安全网关对传感设备的数据进行传输;所述智能设备可信模块设于tee端,包括硬件信息可信单元和软件运行环境可信单元;
5、网络通讯可信子系统,用于在ree端与服务器端之间建立可信信道,并在tee端中完成包括安全存储、数据组包、数据加密、数据签名的服务;
6、平台存储可信子系统,用于将数据存储于区块链中。
7、作为本发明优选,所述安全网关包括:
8、网络接入模块,为基于ip技术的设备和非ip技术的设备提供安全的网络接入服务;
9、设备认证模块,通过获取业务终端的特征值,检测非法篡改情况;
10、协议数据转化模块,解析业务终端的数据,以调用相关的服务,包括读写认证区块链、读写存储区块链系统、分布式系统节点服务;
11、网络报文过滤和路由模块,为业务终端提供安全的网络路由服务;
12、设备管理模块,通过安全网关对设备进行管理;
13、区块链节点服务模块,和业务终端组成认证区块链。
14、作为本发明优选,所述硬件信息可信单元包括:
15、特征码生成子单元,设备运行时,根据设备硬件信息生成设备特征码;
16、特征码对比子单元,若设备特征码为首次生成,则写入op-tee的存储;否则将生成的设备特征码与存储的设备特征码进行对比,并返回对比结果。
17、作为本发明优选,所述硬件信息可信单元还包括:
18、特征码更新子单元,根据服务器生成的更新码,以及新生成的设备特征码,对存储中原有的设备特征码进行更新。
19、作为本发明优选,所述设备特征码为hash值,所述硬件信息可信单元工作时:先通过所述特征码生成子单元计算硬件信息列表的hash值,若文件是首次检测,则计算该文件的hash值,并写入op-tee的存储;否则计算该文件的hash值,并与之前存储的hash值进行对比,返回对比结果。
20、作为本发明优选,所述软件运行环境可信单元包括:
21、度量值生成子单元,对软件运行环境信息进行度量,生成度量值;包括内核驱动模块、初始化配置文件、守护进程、链接库文件、框架层文件;
22、度量值对比子单元,若度量值为首次生成,则写入op-tee的存储;否则,将生成的度量值与存储的度量值进行对比,并返回对比结果。
23、作为本发明优选,所述度量值生成子单元使用op-tee接口,通过重构ima代码,使用sha0-1算法对内核驱动模块、初始化配置文件、守护进程、链接库文件、框架层文件进行度量。
24、作为本发明优选,所述网络通讯可信子系统包括:
25、可信信道建立模块,用于调用tee端的握手请求和秘钥存储服务,建立ree端与服务器之间的可信信道,完成通讯秘钥协商;
26、数据可信交互模块,用于在tee端进行数据的组包、加密、签名操作,并通过ree端进行数据的收发。
27、作为本发明优选,所述可信信道的建立采用非对称算法秘钥,私钥预置在设备的tee端,公钥存储在服务器中。
28、本发明的优点是:
29、1、基于arm下通用的trustzone技术实现物联网设备采集数据的可信,通用性更高,成本更低;
30、2、利用安全网关来确保传感设备的数据可信;
31、3、在tee端对于智能设备的硬件信息和软件运行环境的检测,来确保智能设备的可信;
32、4、在tee端完成安全存储数据组包、数据加密、数据签名的服务,从而确保网络通讯的可信;
33、5、利用区块链来确保存储数据的不可篡改性和可信。
1.一种工业物联网设备采集数据可信的保障系统,基于ree、tee系统架构,其特征在于,包括:
2.根据权利要求1所述的一种工业物联网设备采集数据可信的保障系统,其特征在于,所述安全网关包括:
3.根据权利要求1所述的一种工业物联网设备采集数据可信的保障系统,其特征在于,所述硬件信息可信单元包括:
4.根据权利要求3所述的一种工业物联网设备采集数据可信的保障系统,其特征在于,所述硬件信息可信单元还包括:
5.根据权利要求3所述的一种工业物联网设备采集数据可信的保障系统,其特征在于,所述设备特征码为hash值,所述硬件信息可信单元工作时:先通过所述特征码生成子单元计算硬件信息列表的hash值,若文件是首次检测,则计算该文件的hash值,并写入op-tee的存储;否则计算该文件的hash值,并与之前存储的hash值进行对比,返回对比结果。
6.根据权利要求1所述的一种工业物联网设备采集数据可信的保障系统,其特征在于,所述软件运行环境可信单元包括:
7.根据权利要求6所述的一种工业物联网设备采集数据可信的保障系统,其特征在于,所述度量值生成子单元使用op-tee接口,通过重构ima代码,使用sha0-1算法对内核驱动模块、初始化配置文件、守护进程、链接库文件、框架层文件进行度量。
8.根据权利要求1所述的一种工业物联网设备采集数据可信的保障系统,其特征在于,所述网络通讯可信子系统包括:
9.根据权利要求8所述的一种工业物联网设备采集数据可信的保障系统,其特征在于,所述可信信道的建立采用非对称算法秘钥,私钥预置在设备的tee端,公钥存储在服务器中。