基于区块链的物联网终端身份认证方法与流程

1.本公开涉及物联网技术领域，尤其涉及一种基于区块链的物联网终端身份认证方法。


背景技术：

2.物联网是指通过信息传感设备，按约定的协议，将任何物体与网络相连接，物体通过信息传播媒介进行信息交换和通信，以实现智能化识别、定位、跟踪、监管等功能。随着电子信息技术的发展和推广，物联网技术已经能够应用于智能家居、智慧交通以及智能电网等多个领域。
3.但是，由于传感器本身的移动感知能力的不稳定以及各种未知因素可能对其造成的破坏或管理员人为地增加部署，故整个物联网系统的网络结构处于动态变化中，随时需要处理新设备的加入问题。如果物联网系统缺乏安全可靠的身份认证方案，让恶意攻击者借助伪造身份有机可乘，必然会影响正常的业务处理甚至造成整个系统瘫痪。


技术实现要素：

4.有鉴于此，本公开的目的在于提出一种基于区块链的物联网终端身份认证方法。
5.基于上述目的，本公开提供了一种基于区块链的物联网终端身份认证方法，所述方法通过物联网终端、边缘服务器和云计算服务器实现；其中，多个所述边缘服务器作为区块链节点，构成区块链网络；所述方法，包括：
6.所述物联网终端将注册请求发送至所述云计算服务器；
7.所述云计算服务器根据所述注册请求为所述物联网终端生成注册标识，并将所述注册标识发送至所述区块链网络；
8.所述物联网终端将身份认证请求发送至所述物联网终端对应的边缘服务器；
9.所述物联网终端对应的边缘服务器根据所述身份认证请求得到所述物联网终端的身份信息，并将所述身份信息在所述区块链网络中广播；
10.所述区块链网络中的所述区块链节点分为共识节点和候补节点，作为所述共识节点的所述边缘服务器对所述身份信息进行验证，得到验证结果，并向所述物联网终端对应的边缘服务器发送所述验证结果；
11.所述物联网终端对应的边缘服务器根据所述验证结果得到所述物联网终端的身份认证结果。
12.从上面所述可以看出，本公开提供的基于区块链的物联网终端身份认证方法，所述方法通过物联网终端、边缘服务器和云计算服务器实现；其中，多个所述边缘服务器作为区块链节点，构成区块链网络；所述方法，包括：物联网终端将注册请求发送至云计算服务器；云计算服务器根据注册请求为物联网终端生成注册标识，并将注册标识发送至区块链网络；物联网终端将身份认证请求发送至物联网终端对应的边缘服务器；物联网终端对应的边缘服务器根据身份认证请求得到物联网终端的身份信息，并将身份信息在区块链网络
中广播；区块链网络中的区块链节点分为共识节点和候补节点，作为共识节点的边缘服务器对身份信息进行验证，得到验证结果，并向物联网终端对应的边缘服务器发送验证结果；物联网终端对应的边缘服务器根据验证结果得到物联网终端的身份认证结果，通过本公开，能够准确、效率的进行物联网终端身份认证。
附图说明
13.为了更清楚地说明本公开或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
14.图1为根据本公开实施例提供的用于实施基于区块链的物联网终端身份认证方法的系统构架的一种结构示意图；
15.图2为本公开实施例提供的基于区块链的物联网终端身份认证方法的一种流程示意图。
具体实施方式
16.为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。
17.需要说明的是，除非另外定义，本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。
18.根据背景技术部分所述，相关技术中的物联网系统，缺少安全性较高的身份认证方法，具体的，相关技术中的基于区块链的身份认证方案，将每个终端设备视为一个节点，通过共识算法确定新加入终端设备的真实可靠性。但是对于物联网系统来说，终端设备必须满足体积小、功耗低以及成本低的特点，这也同样限制了其他能力，使得其存储有限、算力低、带宽受限等。故在终端设备维护统一的分布式账本并进行频繁的查询、修改能力显然是不现实的。
19.有鉴于此，本公开提出一种基于区块链的物联网终端身份认证方法。相比较于传统的身份认证方法，能够以一种去中心化的方式在多个节点之间达成共识，而非仅仅依靠单个服务器进行决策，有效避免单点故障并增强认证可靠性；此外，考虑到终端设备的资源受限，引入边缘服务器作为分布式节点，共同维护区块信息，降低系统规模扩大可能导致的网络拥塞和信息传输时延。
20.图1为根据本公开实施例提供的用于实施基于区块链的物联网终端身份认证方法的系统构架的一种结构示意图；基于区块链的物联网终端身份认证方法，通过物联网终端、
边缘服务器和云计算服务器实现；其中，多个所述边缘服务器作为区块链节点，构成区块链网络。
21.在一些实施例中，包括至少一个物联网终端。
22.物联网终端是物联网中连接传感网络层和传输网络层，实现采集数据及向网络层发送数据的设备。它担负着数据采集、初步处理、加密、传输等多种功能。物联网各类终端设备总体上可以分为情景感知层、网络接入层、网络控制层以及应用/业务层。每一层都与网络侧的控制设备有着对应关系。物联网终端常常处于各种异构网络环境中，为了向用户提供最佳的使用体验，终端应当具有感知场景变化的能力，并以此为基础，通过优化判决，为用户选择最佳的服务通道。终端设备通过前端的rf模块或传感器模块等感知环境的变化，经过计算，决策需要采取的应对措施。
23.物联网终端基本由外围感知(传感)接口，中央处理模块和外部通讯接口三个部分组成，通过外围感知接口与传感设备连接，如rfid读卡器，红外感应器，环境传感器等，将这些传感设备的数据进行读取并通过中央处理模块处理后，按照网络协议，通过外部通讯接口，如：gprs模块、以太网接口、wifi等方式发送到以太网的指定处理平台。
24.在一些实施例中，包括多个边缘服务器。
25.边缘服务器具有优于物联网终端的存储能力和计算能力。
26.本公开通过设置边缘服务器，使得数据处理过程在边缘端完成，具体的，通过边缘服务器进行数据分析和知识生成。首先，这无疑将会减轻云计算服务器的负荷。其次，这使得控制系统与中央数据中心(云计算服务器)之间的通信带宽减少，可以降低传输成本，同时，将需要低延迟的计算机程序放在更接近请求的位置，由于边缘服务器更加靠近用户侧，还可为用户提供更快的响应，将需求在边缘端解决，缩短了延迟并提高了服务质量。
27.其中，多个边缘服务器作为区块链节点，构成区块链网络，共同维护分布式账本。
28.在一些实施例中，包括一个云计算服务器。
29.云计算服务器一般为联合式服务器，具有强大的数据处理能力(包括存储能力和计算能力)。将云计算服务器作为中心服务器，所有终端设备和边缘服务器都需要在云计算服务器上进行注册，由云计算服务器为其生成唯一的身份信息。
30.图2为本公开实施例提供的基于区块链的物联网终端身份认证方法的一种流程示意图；基于区块链的物联网终端身份认证方法，所述方法通过物联网终端、边缘服务器和云计算服务器实现；其中，多个所述边缘服务器作为区块链节点，构成区块链网络；所述方法，包括：
31.s210、所述物联网终端将注册请求发送至所述云计算服务器。
32.作为一个示例，以物联网终端ti在云计算服务器s上进行注册为例：
33.物联网终端ti根据自身信息(如：设备编号等)生成一个idi作为唯一的身份标识，附加注册时的时间戳timei以及随机数si，加密(encrypt)后作为注册请求发送到云计算服务器s。
34.s220、所述云计算服务器根据所述注册请求为所述物联网终端生成注册标识，并将所述注册标识发送至所述区块链网络。
35.云计算服务器s收到物联网终端ti的注册请求后，解密获得注册信息。根据时间戳信息验证注册有效性后，云计算服务器s选择一个哈希函数为物联网终端ti生成注册标识pidi＝h(idi||si)。云计算服务器s将注册标识pid加密后返回给物联网终端ti。
36.对于物联网终端ti，云计算服务器s生成区块地址addi，并将物联网终端ti的注册标识写入区块链网络中。
37.在一些实施例中，边缘服务器在云计算服务器上进行注册的方法，与物联网终端在云计算服务器上进行注册的方法同理。
38.s230、所述物联网终端将身份认证请求发送至所述物联网终端对应的边缘服务器。
39.作为一个示例，以物联网终端ti在边缘服务器ei上进行身份认证为例：
40.物联网终端ti选择随机数si，附加自身的身份标识idi、注册标识pidi以及时间戳信息timei进行加密后作为身份认证请求发送给边缘服务器ei。
41.在一些实施例中，每个物联网终端对应有唯一确定的边缘服务器，一个边缘服务器可以对应多个物联网终端。
42.s240、所述物联网终端对应的边缘服务器根据所述身份认证请求得到所述物联网终端的身份信息，并将所述身份信息在所述区块链网络中广播。
43.边缘服务器ei解密身份认证请求后构建得到物联网终端ti的身份信息，根据时间戳信息验证请求的有效性，并将终端设备ti的身份信息在区块链网络中进行广播。
44.所述身份认证请求中包括所述物联网终端的身份标识。
45.在一些实施例中，s240，具体包括：
46.所述物联网终端对应的边缘服务器生成所述身份认证请求的序号，生成所述身份标识的哈希值，生成当前的视图编号，构建包含所述序号、所述哈希值和所述视图编号的所述身份信息，并将所述身份信息发送至所述区块链网络中的作为所述共识节点的所述边缘服务器。
47.其中，为所述身份认证请求生成序号，序号的值大于上一次收到身份认证请求生成的序号。
48.s250、所述区块链网络中的所述区块链节点分为共识节点和候补节点，作为所述共识节点的所述边缘服务器对所述身份信息进行验证，得到验证结果，并向所述物联网终端对应的边缘服务器发送所述验证结果。
49.所述区块链网络中的所述区块链节点分为共识节点和候补节点。
50.所述方法，还包括：将所述区块链网络中的所述区块链节点划分为所述共识节点和所述候补节点；具体包括：
51.将所述区块链网络中不小于第一预设数量的所述区块链节点作为所述共识节点；所述第一预设数量为所述区块链网络中的故障节点的数量的三倍加一；
52.将所述区块链网络中除所述共识节点外的其他所述区块链节点作为所述候补节
点。
53.在一些实施例中，作为所述区块链节点的所述边缘服务器各自对应有信誉值；所述将所述区块链网络中不小于第一预设数量的所述区块链节点作为所述共识节点，包括：
54.将所述区块链网络中的所述区块链节点按照所述信誉值从大到小的顺序进行排序；
55.按照所述信誉值从大到小的顺序选择所述共识节点。
56.在一些实施例中，s250，具体包括：
57.作为所述共识节点的所述边缘服务器对所述身份信息进行验证；
58.其中，具体包括：
59.作为所述共识节点的所述边缘服务器，计算终端设备ti的身份信息中的身份标识idi的哈希值，并将得到的哈希值与区块中记录的终端设备ti的注册标识pidi进行对比，如果一致，则认为通过验证，如果不一致，则认为验证失败。
60.作为所述共识节点的所述边缘服务器响应于确定所述身份信息通过验证，根据所述身份信息构建身份预确认信息，并向作为所述共识节点的其他所述边缘服务器发送所述身份预确认信息；
61.接收到所述身份预确认信息的作为所述共识节点的所述边缘服务器对所述身份预确认信息进行验证；
62.作为所述共识节点的所述边缘服务器响应于确定所述身份预确认信息通过验证，构建所述验证结果，并向所述物联网终端对应的边缘服务器发送所述验证结果。
63.其中，具体包括：
64.作为所述共识节点的所述边缘服务器响应于确定收到不小于第二预设数量的所述身份预确认信息，且多个所述身份预确认信息的内容一致，确定所述身份预确认信息通过验证；所述第二预设数量为所述区块链网络中的所述故障节点的数量的二倍。
65.s260、所述物联网终端对应的边缘服务器根据所述验证结果得到所述物联网终端的身份认证结果。
66.所述验证结果包括验证通过消息和验证失败消息。
67.在一些实施例中，s260，具体包括：
68.所述物联网终端对应的边缘服务器响应于确定收到不小于第三预设数量的所述验证通过消息，确定所述物联网终端通过身份认证；所述第三预设数量为所述区块链网络中的所述故障节点的数量加一。
69.在一些实施例中，在所述确定所述物联网终端通过身份认证之后，还包括：
70.所述物联网终端对应的边缘服务器写入所述物联网终端的所述身份认证结果，并在所述区块链网络中广播所述物联网终端的所述身份认证结果。
71.在一些实施例中，作为所述区块链节点的所述边缘服务器各自对应有信誉值；在所述物联网终端对应的边缘服务器根据所述验证结果得到所述物联网终端的身份认证结果之后，还包括：
72.根据所述身份认证结果更新作为所述共识节点的所述边缘服务器的所述信誉值；具体包括：
73.作为所述共识节点的所述边缘服务器响应于确认所述身份认证结果和所述验证
结果一致，增加作为所述共识节点的所述边缘服务器的所述信誉值；
74.响应于确认所述身份认证结果和所述验证结果不一致，减少作为所述共识节点的所述边缘服务器的所述信誉值。
75.从上面所述可以看出，本公开提供的基于区块链的物联网终端身份认证方法，所述方法通过物联网终端、边缘服务器和云计算服务器实现；其中，多个所述边缘服务器作为区块链节点，构成区块链网络；所述方法，包括：物联网终端将注册请求发送至云计算服务器；云计算服务器根据注册请求为物联网终端生成注册标识，并将注册标识发送至区块链网络；物联网终端将身份认证请求发送至物联网终端对应的边缘服务器；物联网终端对应的边缘服务器根据身份认证请求得到物联网终端的身份信息，并将身份信息在区块链网络中广播；区块链网络中的区块链节点分为共识节点和候补节点，作为共识节点的边缘服务器对身份信息进行验证，得到验证结果，并向物联网终端对应的边缘服务器发送验证结果；物联网终端对应的边缘服务器根据验证结果得到物联网终端的身份认证结果，通过本公开，能够准确、效率的进行物联网终端身份认证。
76.本公开将区块链网络中的区块链节点分为共识节点集合和候补节点集合两组，其中，作为共识节点的边缘服务器参与共识算法过程，作为候补节点的边缘服务器暂时不参与共识算法过程。通过这种设计，能够降低物联网系统的通信开销，同时，共识效率高，有效降低时延，能够满足物联网系统对于高实时性的要求。进一步的，共识节点集合和候补节点集合的划分不是一成不变的，而是动态调整的，具体的，每个节点分别对应各自的信誉分，根据其在共识算法过程中的表现动态调整其信誉分，从而实现共识节点集合和候补节点集合的的更新(将信誉分高的节点加入共识节点集合，将信誉分低的节点加入候补节点集合)，进而使得参与共识算法过程的节点都是优质的，保证了物联网系统认证的性能。
77.需要说明的是，本公开实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
78.需要说明的是，上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
79.需要说明的是，本公开的实施例还可以以下方式进一步描述：
80.一种基于区块链的物联网终端身份认证方法，所述方法通过物联网终端、边缘服务器和云计算服务器实现；其中，多个所述边缘服务器作为区块链节点，构成区块链网络；所述方法，包括：
81.所述物联网终端将注册请求发送至所述云计算服务器；
82.所述云计算服务器根据所述注册请求为所述物联网终端生成注册标识，并将所述注册标识发送至所述区块链网络；
83.所述物联网终端将身份认证请求发送至所述物联网终端对应的边缘服务器；
84.所述物联网终端对应的边缘服务器根据所述身份认证请求得到所述物联网终端
的身份信息，并将所述身份信息在所述区块链网络中广播；
85.所述区块链网络中的所述区块链节点分为共识节点和候补节点，作为所述共识节点的所述边缘服务器对所述身份信息进行验证，得到验证结果，并向所述物联网终端对应的边缘服务器发送所述验证结果；
86.所述物联网终端对应的边缘服务器根据所述验证结果得到所述物联网终端的身份认证结果。
87.可选的，还包括：将所述区块链网络中的所述区块链节点划分为所述共识节点和所述候补节点；具体包括：
88.将所述区块链网络中不小于第一预设数量的所述区块链节点作为所述共识节点；所述第一预设数量为所述区块链网络中的故障节点的数量的三倍加一；
89.将所述区块链网络中除所述共识节点外的其他所述区块链节点作为所述候补节点。
90.可选的，其中，所述身份认证请求中包括所述物联网终端的身份标识；所述物联网终端对应的边缘服务器根据所述身份认证请求得到所述物联网终端的身份信息，并将所述身份信息在所述区块链网络中广播，包括：
91.所述物联网终端对应的边缘服务器生成所述身份认证请求的序号，生成所述身份标识的哈希值，生成当前的视图编号，构建包含所述序号、所述哈希值和所述视图编号的所述身份信息，并将所述身份信息发送至所述区块链网络中的作为所述共识节点的所述边缘服务器。
92.可选的，其中，作为所述共识节点的所述边缘服务器对所述身份信息进行验证，得到验证结果，并向所述物联网终端对应的边缘服务器发送所述验证结果，包括：
93.作为所述共识节点的所述边缘服务器对所述身份信息进行验证；
94.作为所述共识节点的所述边缘服务器响应于确定所述身份信息通过验证，根据所述身份信息构建身份预确认信息，并向作为所述共识节点的其他所述边缘服务器发送所述身份预确认信息；
95.接收到所述身份预确认信息的作为所述共识节点的所述边缘服务器对所述身份预确认信息进行验证；
96.作为所述共识节点的所述边缘服务器响应于确定所述身份预确认信息通过验证，构建所述验证结果，并向所述物联网终端对应的边缘服务器发送所述验证结果。
97.可选的，其中，所述接收到所述身份预确认信息的作为所述共识节点的所述边缘服务器对所述身份预确认信息进行验证，包括：
98.作为所述共识节点的所述边缘服务器响应于确定收到不小于第二预设数量的所述身份预确认信息，且多个所述身份预确认信息的内容一致，确定所述身份预确认信息通过验证；所述第二预设数量为所述区块链网络中的所述故障节点的数量的二倍。
99.可选的，其中，所述验证结果包括验证通过消息和验证失败消息；所述物联网终端对应的边缘服务器根据所述验证结果得到所述物联网终端的身份认证结果，包括：
100.所述物联网终端对应的边缘服务器响应于确定收到不小于第三预设数量的所述验证通过消息，确定所述物联网终端通过身份认证；所述第三预设数量为所述区块链网络中的所述故障节点的数量加一。
101.可选的，其中，在所述确定所述物联网终端通过身份认证之后，还包括：
102.所述物联网终端对应的边缘服务器写入所述物联网终端的所述身份认证结果，并在所述区块链网络中广播所述物联网终端的所述身份认证结果。
103.可选的，其中，作为所述区块链节点的所述边缘服务器各自对应有信誉值；在所述物联网终端对应的边缘服务器根据所述验证结果得到所述物联网终端的身份认证结果之后，还包括：
104.根据所述身份认证结果更新作为所述共识节点的所述边缘服务器的所述信誉值。
105.可选的，其中，所述根据所述身份认证结果更新作为所述共识节点的所述边缘服务器的所述信誉值，包括：
106.作为所述共识节点的所述边缘服务器响应于确认所述身份认证结果和所述验证结果一致，增加作为所述共识节点的所述边缘服务器的所述信誉值；
107.响应于确认所述身份认证结果和所述验证结果不一致，减少作为所述共识节点的所述边缘服务器的所述信誉值。
108.可选的，其中，所述将所述区块链网络中不小于第一预设数量的所述区块链节点作为所述共识节点，包括：
109.将所述区块链网络中的所述区块链节点按照所述信誉值从大到小的顺序进行排序；
110.按照所述信誉值从大到小的顺序选择所述共识节点。
111.所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本公开实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。
112.另外，为简化说明和讨论，并且为了不会使本公开实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本公开实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开实施例。因此，这些描述应被认为是说明性的而不是限制性的。
113.尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。
114.本公开实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本公开实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。