一种基于区块链的工业物联网跨域信任管理方法
1.本发明属于工业物联网(industrial internet of things,简称iiot)领域,具体涉及一种基于区块链的工业物联网跨域信任管理方法。基本思路是:将某个域的iiot设备对另外一个域的iiot设备的信任票据查询请求通过用户模块发送给信任管理中心,信任管理中心收到请求后首先启动被查询设备所在域相对应的子区块链中的信任票据生成器并调用其内嵌的智能合约ttg(trust ticket generation)从该区块链中的数据库中提取被查询设备的信任信息,然后使用请求设备所在域的信任评估机制为被查询设备生成当前的信任票据,同时将生成的信任票据发送给被查询设备所在域相对应的子区块链的共识引擎,共识引擎将使用我们所设计的信任增强的实用拜占庭容错共识协议e-pbft(enhanced-practical byzantine fault tolerant)对该票据进行共识验证,最后信任管理中心将验证的信任票据作为信任票据查询结果发送给请求查询的设备。本发明通过信任票据在不同域的iiot设备间建立信任关系,有效解决了工业物联网跨域信任管理问题。此外,引入多条区块链来管理信任,不仅提高了吞吐量,还极大地降低了共识验证的延迟。本发明具有一定的可扩展性,能很好应用到大规模工业物联网场景中。
背景技术:
2.工业物联网(industrial internet of things,简称iiot)是实现“中国制造2025”战略的关键技术之一,工业物联网将iiot设备(传感器、控制器或执行器等)部署到网络中并集成移动通信、智能分析等技术到工业生产过程中,以降低管理成本,提高生产效率。随着生产流程变得越来越复杂,一个完整生产工序通常需要多个域(如:工厂)协作完成。位于不同域的iiot设备需要相互交互,实现生产过程中的数据共享和交换。然而,这些iiot设备来自不同域,他们彼此之间并不互信。因此,出于安全的考虑,一些iiot设备并不愿意参与数据共享。为了解决这个问题,现有的方法是在不同设备之间建立信任关系。
3.传统的信任管理方式有两种:集中式和分布式。集中式的方式通过单个信任实体管理整个iiot网络,这个单个实体通常是所有域都信任的第三方机构。分布式的方式需要每个iiot设备都计算其它设备的信任。集中式的信任管理方法存在单点失效和性能瓶颈问题。分布式的信任管理方法存在信任信息不可靠和每个节点的信任视图不一致的问题。近年,由于区块链技术具有不可篡改、去中心化、匿名性等特点被广泛应用到各领域。一些学者提出了基于区块链的分布式信任管理方法,其目的是保证每个设备信任视图的一致性和信任信息的可靠性。然而iiot设备存储和计算资源有限,目前已有的基于区块链的管理方法是一种基于单链的架构,会导致存储开销大、吞吐量低、高事务延迟、共识效率低等问题,无法满足大规模工业物联网的实际应用需求,此外,现有的信任管理方法也忽略了不同域的信任评估机制的异构性。因此,迫切需要提出新的解决方法。
技术实现要素:
4.本发明提出一种基于区块链的工业物联网跨域信任管理方法,解决来自不同管理
域iiot设备之间信任建立的问题。该方法考虑了信任建立的开销成本以及不同域所使用的信任评估方法的异构性,在信任管理中心部署了多条子区块链。
5.该方法首先假设工业物联网系统中存在n个域(域1、域2,域3,....域n),发起信任票据查询请求的设备是域1的iiot设备a,该设备需要查询域2的iiot设备b的信任票据。基本思想:将域1的iiot设备a对域2的iiot设备b的信任票据查询请求通过用户模块发送给信任管理中心,信任管理中心收到请求后启动与域2所对应的子区块链2中的信任票据生成器并调用其内嵌的智能合约ttg(trust ticket generation)从子区块链2中的数据库中提取iiot设备b的信任信息,然后使用域1的信任评估机制为iiot设备b生成当前的信任票据,同时将生成的信任票据发送给子区块链2的共识引擎,共识引擎将使用我们所设计的信任增强的实用拜占庭容错共识协议e-pbft(enhanced-practical byzantine fault tolerant)对该票据进行共识验证,最后信任管理中心将验证通过的信任票据作为信任票据查询结果发送给发起查询请求的iiot设备a。本发明能够在不同域的iiot设备之间建立信任关系,并且在生成信任票据的过程中可以采用不同的信任评估方法来计算设备的信任值,有效解决了不同域的信任评估方法的异构性问题。此外,通过为每个域部署一条子区块链,有效地隔离了不同域中iiot设备的信任信息,由于这些子区块链互相独立,并行地为域内iiot设备生成信任票据,因而也极大地提高了吞吐量,降低了共识验证的时延。
6.为实现上述目的,本发明采取以下技术方案:
7.本发明具体实施时包括功能模块部署阶段;发送信任票据查询请求阶段;信任票据生成阶段;信任票据共识验证阶段;返回信任票据查询结果阶段,如图1所示。首先在工业物联网跨域信任管理系统中部署若干个用户模块,其中每个域的iiot设备部署1个用户端模块;然后部署一个信任管理中心。在信任管理中心部署多条子区块链,其中每个子区块链对应一个域,然后每条子区块链部署一个信任票据生成器、一个存储iiot设备信任信息的数据库和一个共识引擎模块。每个信任票据生成器中内嵌一个ttg(trust ticket generation)智能合约,用来生成信任票据。如图2所示。假设发起信任票据查询请求的设备是域1的iiot设备a,该设备需要查询域2的iiot设备b的信任票据。域1的iiot设备a将通过用户模块把对域2的iiot设备b的信任票据查询请求发送给信任管理中心,信任管理中心收到请求后启动与域2的iiot设备b所对应的子区块链2中的信任票据生成器并调用其内嵌的智能合约ttg(trust ticket generation),ttg将从子区块链2中的数据库中提取iiot设备b的信任信息,然后使用域1的信任评估机制为iiot设备b生成当前的信任票据,同时将生成的信任票据发送给子区块链2的共识引擎。共识引擎使用我们所设计的信任增强的实用拜占庭容错共识协议e-pbft(enhanced-practical byzantine fault tolerant)对该票据进行共识验证。共识验证通过后,信任管理中心将验证的信任票据作为信任票据查询结果发送给域1的iiot设备a。
8.本发明提出的一种基于区块链的工业物联网跨域信任管理方法与现有的技术相比,具有以下优势和技术效果:
9.本方法基于多条子区块链存储和处理域内的事务,有效地隔离了不同域的iiot设备的信任信息。多条子区块链相互独立,并行地调用智能合约为不同域的iiot设备生成信任票据,极大地提高了吞吐量,降低了共识验证的时延。因此,对比目前的单链结构,多条子区块链的架构更具有可扩展性,适合大规模工业物联网场景。
10.本方法考虑了不同域的信任评估方法的异构性,在信任票据的生成过程中能够灵活的选择不同的信任评估机制,此外通过调用智能合约和共识引擎来生成和验证信任票据的方式也保证了信任票据计算的不可篡改性和可追溯性。
11.本方法使用我们所设计的信任增强的实用拜占庭容错共识协议e-pbft(enhanced-practical byzantine fault tolerant)对信任票据进行共识验证,相对于传统的实用拜占庭容错共识协议pbft(practical byzantine fault tolerant),只有可信度等级为high和medium的iiot设备才能有机会参与e-pbft的共识验证过程。因此,e-pbft共识协议减少了共识节点的数量,有效避免了由于不可信节点所造成的安全威胁,同时提升了区块链的共识效率。
附图说明
12.图1具体实施过程的关键阶段
13.图2具体实施过程的功能模块
14.图3信任票据示意图
具体实施方式
15.为使本发明的目的、技术方案和优点更加清楚,下面结合附图和实施例对本发明作进一步的详细描述:
16.具体实施过程的关键阶段如图1,具体实施过程的功能模块如图2所示,具有以下特征:
17.整个工业物联网跨域信任管理系统包括用户端模块;信任管理中心;子区块链;域;iiot设备;信任票据查询请求;iiot设备信任信息;信任票据;
18.本发明具体实施时包括功能模块部署阶段;发送信任票据查询请求阶段;信任票据生成阶段;信任票据共识验证阶段;返回信任票据查询结果阶段。
19.功能模块部署阶段:
20.首先在工业物联网跨域信任管理系统中部署若干个用户模块,其中每个域的iiot设备部署1个用户端模块;然后部署一个信任管理中心。在信任管理中心部署多条子区块链,其中每个子区块链对应一个域,然后每条子区块链部署一个信任票据生成器、一个存储iiot设备信任信息的数据库和一个共识引擎模块。每个信任票据生成器中内嵌一个ttg(trust ticket generation)智能合约,用来生成信任票据。
21.发送信任票据查询请求阶段:
22.假设工业物联网系统中存在n个域(域1、域2,域3,....域n),发起信任票据查询请求的设备是域1的iiot设备a,该设备需要查询域2的iiot设备b的信任票据。域1的iiot设备a将通过用户模块把对域2的iiot设备b的信任票据查询请求发送给信任管理中心。
23.信任票据生成阶段:
24.信任管理中心收到请求后首先启动与域2的iiot设备b所对应的子区块链2中的信任票据生成器并调用其内嵌的智能合约ttg(trust ticket generation),从子区块链2中的数据库中提取iiot设备b的信任信息,然后使用域1的信任评估机制为iiot设备b生成当前的信任票据。信任票据的结构如图3所示,信任票据ttickb包括票据编号nb,身份idb,iiot
设备b的公钥pkb,可信度等级clb和有效期时间tb。可信度等级的计算方法如下:
[0025][0026]
其中:tb是信任票据生成器调用其内嵌的智能合约ttg并使用域1的信任评估机制所计算出来的iiot设备b的信任值。
[0027]
信任票据共识验证阶段:
[0028]
信任票据生成器生成iiot设备b的信任票据后,通过子区块链2中的共识引擎对所生成的信任票据进行共识验证。为了增强共识协议的安全性,本发明在传统实用拜占庭容错共识协议pbft(practical byzantine fault tolerant)的基础上设计了一个信任增强的实用拜占庭容错共识协议e-pbft(enhanced-practical byzantine fault tolerant),其共识步骤包括共识节点选择、区块打包、共识协商。在共识节点选择步骤中,e-pbft共识协议从可信度等级为high的iiot设备中选择一个设备为主节点,从可信度等级为high和medium的iiot设备中选择个设备为验证节点,其余节点为普通节点,其中n是一个子区块链中所有节点的数量。iiot设备i被选为主节点/验证节点的概率为:
[0029][0030]
其中li是iiot设备i作为最近δt时间段内成为主节点/验证节点的次数,ci是最近δt时间段总的共识次数。在区块打包步骤中,由主节点负责将需要验证的信任票据打包成一个区块,并通过网络广播的形式发送给验证节点。在共识协商步骤中,验证节点负责验证和同步区块。当每个验证节点至少收到不同验证节点发送的相同验证消息时,则说明该区块通过验证。
[0031]
返回信任票据查询结果阶段:
[0032]
共识验证通过后,信任管理中心将验证的信任票据作为信任票据查询结果发送给域1的iiot设备a。
[0033]
最后应说明的是:以上实施例仅用以说明本发明而并非限制本发明所描述的技术方案;因此,尽管本说明书参照上述的各个实施例对本发明已进行了详细的说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明进行修改或等同替换;而一切不脱离实用新型的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围当中。
技术特征:
1.具体涉及一种基于区块链的工业物联网跨域信任管理方法,基本思路是:假设工业物联网系统中存在n个域(域1、域2,域3,....域n),发起信任票据查询请求的设备是域1的iiot设备a,该设备需要查询域2的iiot设备b的信任票据;域1的iiot设备a将通过用户模块把对域2的iiot设备b的信任票据查询请求发送给信任管理中心;信任管理中心收到请求后首先启动与域2所对应的子区块链2中的信任票据生成器并调用其内嵌的智能合约ttg(trust ticket generation)从子区块链2中的数据库中提取iiot设备b的信任信息;然后ttg使用域1的信任评估机制为iiot设备b生成当前的信任票据,同时将生成的信任票据发送给子区块链2的共识引擎,共识引擎将使用我们所设计的信任增强的实用拜占庭容错共识协议e-pbft(enhanced-practical byzantine fault tolerant)对该票据进行共识验证;最后,信任管理中心将验证的信任票据作为信任票据查询结果发送给域1的iiot设备a;本发明通过信任票据在不同域的iiot设备间建立信任关系,有效解决了工业物联网跨域信任管理问题;此外,引入多条区块链来管理信任,不仅提高了吞吐量,还极大地降低了共识验证的延迟;其特征在于包括以下步骤:功能模块部署阶段:首先在工业物联网跨域信任管理系统中部署若干个用户模块,其中每个域的iiot设备部署1个用户端模块,然后部署一个信任管理中心;在信任管理中心部署多条子区块链,其中每个子区块链对应一个域,然后每条子区块链部署一个信任票据生成器、一个存储iiot设备信任信息的数据库和一个共识引擎模块;每个信任票据生成器中内嵌一个ttg(trust ticket generation)智能合约,用来生成信任票据;发送信任票据查询请求阶段:发起信任票据查询请求的设备是域1的iiot设备a,该设备需要查询域2的iiot设备b的信任票据,域1的iiot设备a将通过用户模块把对域2的iiot设备b的信任票据查询请求发送给信任管理中心;信任票据生成阶段:信任管理中心收到请求后首先启动与域2的iiot设备b所对应的子区块链2中的信任票据生成器并调用其内嵌的智能合约ttg(trust ticket generation),从子区块链2中的数据库中提取iiot设备b的信任信息,然后使用域1的信任评估机制为iiot设备b生成当前的信任票据,信任票据ttick
b
的结构包括票据编号n
b
,身份id
b
,iiot设备b的公钥pk
b
,可信度等级cl
b
和有效期时间t
b
;信任票据共识验证阶段:信任票据生成器生成iiot设备b的信任票据后,通过子区块链2中的共识引擎对所生成的信任票据进行共识验证,为了增强共识协议的安全性,本发明在传统实用拜占庭容错共识协议pbft的基础上设计了一个信任增强的实用拜占庭容错共识协议e-pbft(enhanced-practical byzantine fault tolerant),其共识步骤包括:共识节点选择、区块打包、共识协商;返回信任票据查询结果阶段:共识验证通过后,信任管理中心将验证的信任票据作为信任票据查询结果发送给域1的iiot设备a。2.根据权利要求1所述基于区块链的工业物联网跨域信任管理方法,其特征在于:该方
法的信任管理中心包括多条区块链;每一条区块链对应一个域,不同区块链互相独立,可以并行地调用智能合约和共识引擎为不同域的iiot设备生成并验证信任票据,且在信任票据的生成过程中能够灵活的选择不同的信任评估机制。3.根据权利要求1所述基于区块链的工业物联网跨域信任管理方法,其特征在于:信任票据中的可信度等级的计算公式如下:其中:t
b
是信任票据生成器调用其内嵌的智能合约ttg并使用域1的信任评估机制所计算出来的iiot设备b的信任值。4.根据权利要求1所述基于区块链的工业物联网跨域信任管理方法,其特征在于:在信任增强的实用拜占庭容错共识协议e-pbft(enhanced-practical byzantine fault tolerant)的共识节点选择步骤中,e-pbft共识协议从可信度等级为high的iiot设备中选择一个设备为主节点,从可信度等级为high和medium的iiot设备中选择个设备为验证节点,其余节点为普通节点,其中n是一个子区块链中所有节点的数量,iiot设备i被选为主节点/验证节点的概率为:其中li是iiot设备i作为最近δt时间段内成为主节点/验证节点的次数,c
i
是最近δt时间段总的共识次数,在区块打包步骤中,由主节点负责将需要验证的信任票据打包成一个区块,并通过网络广播的形式发送给验证节点,在共识协商步骤中,验证节点负责验证和同步区块,当每个验证节点至少收到不同验证节点发送的相同验证消息时,则说明该区块通过验证。
技术总结
本发明属于工业物联网领域,具体涉及一种基于区块链的工业物联网跨域信任管理方法。基本思路是:假设域1的设备A需要查询域2的设备B的信任票据,域1的设备A通过用户模块把对域2的设备B的信任票据查询请求发送给信任管理中心,信任管理中心收到请求后启动信任票据生成器为设备B生成当前的信任票据,同时将生成的信任票据发送给共识引擎,使用我们所设计的信任增强的实用拜占庭容错共识协议进行共识验证,最后,将信任票据查询结果发送给设备A。本发明通过信任票据在不同域的设备间建立信任关系,有效解决了工业物联网跨域信任管理问题。此外,引入多条子区块链来管理信任,不仅提高了吞吐量,还极大地降低了共识验证的延迟。还极大地降低了共识验证的延迟。还极大地降低了共识验证的延迟。
