一种安全可信的分布式工业互联网标识解析方法及装置

本发明涉及一种安全可信的分布式工业互联网标识解析方法及装置，属于网络安全与区块链。

背景技术：

1、随着全球新一轮科技革命和产业变革的深入推进，工业互联网成为了一种新型的工业发展模式。工业互联网不仅仅是简单的“工业+互联网”，而是整个产业的信息化、数字化、智能化转型，也是互联网、大数据、人工智能与实体经济深度融合的应用模式。工业互联网标识解析体系是工业互联网的重要组成部分，是促进产业链上下游数据互通，提升产业链韧性和安全水平的重要引擎。近年来，区块链技术广泛应用于金融、医疗和供应链管理等领域，通过其去中心化、不可篡改、公开透明等特性，以期望解决工业互联网标识解析体系中存在的中心化严重、标识源数据遭到删除或纂改、多方利益分配不均以及单点故障等问题。

2、现有的基于区块链的工业互联网标识解析方案通常借助区块链不可纂改的特性，安全存储标识及源数据的数据摘要。然而标识在上链前可能已经遭到纂改，区块链并不能确保上链前的标识是安全可信的。群签名技术具有不可抵赖、匿名保护等特点，可以实现对标识源数据的可信认证。一旦标识或产品出现问题，相关机构也能够迅速追责溯源。然而传统的群签名技术仅将成员两类，无法适应标识解析体系内各级节点防护能力不对等的特殊环境，同时，标识与其源数据之间往往不存在实际的映射关系。

技术实现思路

1、为了解决现有技术中存在的问题与不足，本发明提出一种安全可信的分布式工业互联网标识解析方法及装置。该方法首先通过有序多重群签名技术为标识解析体系内节点身份及标识提供可信认证，确保标识源数据安全可信；其次通过引入ipfs技术改进标识符结构设置，从而实现，标识及其源数据的强关联性；最后将通过区块链及非对称加密技术，实现身份证书、标识及其源数据的安全存储和安全传输。本发明利用区块链和有序多重群签名算法，确保了工业互联网标识解析体系流程的安全可信，将标识与源数据绑定实现工业互联网标识的源头安全，防止企业对工业互联网标识及源数据的恶意纂改。

2、为了实现上述目的，本发明采取的技术方案是：

3、一种安全可信的分布式工业互联网标识解析方法，包括如下步骤：

4、步骤1：标识符结构设置，基于分层标识解析结构设置标识符结构；

5、步骤2：可信身份认证，生成分布式工业互联网标识解析体系中企业联盟中可信节点的身份证书，并为其生成签名认证所需的参数，企业联盟通过有序多重群签名算法为数字证书进行签名；

6、步骤3：可信标识注册，由企业联盟中经过身份认证的标识注册节点在系统内注册可信标识，企业联盟验证标识可靠性，并通过有序多重群签名为注册标识进行签名；

7、步骤4：标识安全解析，标识持有者通过区块链确认注册节点身份及标识可信，并结合密码学技术完成标识安全解析。

8、进一步的，所述步骤1中每个标识符包括由分隔符隔开的身份标识和商品标识两部分，所述身份标识由参与标识解析体系的企业在企业联盟中注册身份获得，包括由分隔符隔开的一级节点代码、二级节点代码和企业节点代码；所述商品标识包括由分隔符隔开的序列号代码，ipfs映射代码和安全代码。

9、进一步的，所述步骤2具体包括以下过程：

10、系统初始化生成企业节点加入企业联盟参与签名认证所需的必要参数；生成密钥；企业节点向企业联盟发送注册身份用的证书信息，企业联盟验证企业身份后向上级节点发送注册请求；然后上级节点为企业生成公私钥对pkn，skn和数字证书dc并返回给企业联盟；之后企业联盟对证书进行有序多重群签名siga，最后将其打包区块txa上传身份认证链。

11、进一步的，所述步骤2具体包括以下子步骤：

12、子步骤2-1：系统初始化，生成企业节点加入企业联盟参与签名认证所需的必要参数，设1k是一个安全参数，g0是具有素数阶p的双线性乘法群，参数k决定乘法群的规模，e:g0×g0＝g1是双线性映射，选取g＝{g1,...,gn}作为g0中的生成元；上级节点设置安全参数k并构造随机散列函数h:{0,1}*→zp；选取随机数x为各群的私钥，计算得到各群的公钥pk；最终，上级节点公开系统参数param，部分参数初始化如下：

13、x＝{x1,...,xn}∈zp                         (1)

14、pk＝{pk1＝x1·g1,...,pkn＝xn·gn}                  (2)

15、param＝{g0,g1,e,g,h,pk}                     (3)

16、子步骤2-2：密钥生成，成员u在加入群m时生成公私钥对用于签名，u选取随机数sku＝r∈zp作为私钥，并生成公钥pku＝r·gm；生成密钥前，先检查在群m内当前公钥是否未被注册，若未被注册，则上级节点为成员u生成公私钥对{sku,pku}；

17、子步骤2-3：身份签名认证，首先，企业节点向企业联盟提交相关认证资料；然后，由企业联盟向上级节点提交证书的生成请求；上级节点向企业节点申请制作证书所需信息ci，生成企业节点所用的公私钥对pkn和skn；上级节点将数字证书dc和公钥pkn一同交付企业联盟；

18、企业联盟通过有序多重群签名算法为该数字证书相关内容进行签名：

19、待签名消息msg如下：

20、msg＝{pkn,tsh,dc}                        (4)

21、第一个群由成员a负责签名，该成员通过待签名信息msg得到哈希值h＝h(msg)，随后选取随机值rs∈zp，并生成群签名如下：

22、

23、参数计算过程如下：

24、

25、

26、第二个群由成员b负责签名，同样通过消息msg得到哈希值h＝h(msg)，先检查成员a是否为第一个群的用户，若为第一个群的用户，则检查成员a是否属于撤销列表，若不属于撤销列表，则成员a为合法用户，使用成员a的公钥pka及签名进行验签；验签过程如下：

27、

28、验签通过则继续进行有序多重群签名，成员b选取随机值rs∈zp，并生成群签名如下：

29、

30、参数计算过程如下：

31、

32、

33、第三个群由成员c负责签名，执行与b相同的操作，直至最后一个群n，由成员d负责签名，得到群签名

34、子步骤2-4：证书上链存证，最终将相关数据打包成区块txa，在经过共识记账后完成证书的上链存储；至此企业节点成功通过身份认证，加入企业联盟；身份认证区块txa如下：

35、txa＝{pkn,tsh,dc,siga,tida}                    (12)

36、其中，pkn为企业节点公钥，tsh为时间戳，dc为该企业节点数字证书相关内容，siga为企业联盟对身份认证区块的有序多重群签名，tida为该区块前四项的哈希值。

37、进一步的，所述步骤3具体包括以下过程：

38、首先由数据采集者采集标识源数据datar并提交给标识注册节点进行标识注册；其次，标识注册节点生成标识密钥ki，并对进行源数据加密获得加密源数据datae，将加密源数据上传ipfs服务器获得返回映射值cid；然后，标识注册节点结合上级节点生成的标识公私钥对pki，ski构建可信标识i并返回给企业联盟；之后企业联盟对标识进行有序多重群签名sigi，最后将其打包区块txi上传标识注册链。

39、进一步的，所述步骤3具体包括以下子步骤：

40、子步骤3-1：采集源数据，企业联盟内的节点都拥有密钥对pkn和skn，设其密钥对为pkrg和skrg，且每个标识都具有用于安全传输的标识密钥对pki和ski；首先由数据采集者为标识对象采集源数据并进行封装，获得标识源数据datar；随后，将datar上传至标识注册节点；标识源数据datar如下：

41、datar＝{ad,sd,cd,fd,sigd}                     (13)

42、其中，ad为标识数据基本属性，sd为序列号，cd为标识对象具体内容，fd为标识对象特征，sigd为数据采集者对数据的签名；

43、子步骤3-2：可信标识生成，由标识注册节点为该标识生成基于对称加密算法的标识密钥ki，并将源数据datar通过对称密钥进行加密并上传至ipfs服务器；ipfs服务器对数据进行存储并返回映射cid；映射值cid如下：

44、

45、标识注册节点根据自身节点身份及原始数据datar生成包含身份代码及序列号的相对前缀prefix；标识注册节点结合相对前缀prefix，cid及标识私钥ski生成可信标识i并向企业联盟进行标识注册；可信标识i如下：

46、i＝(prefix||cid||ski)                       (15)

47、子步骤3-3：标识签名认证，企业联盟验证标识可靠性，并通过基于椭圆曲线的有序多重群签名为注册标识进行签名sigi；待签名消息msg如下：

48、msg＝{pkrg,tsh,cid}                       (16)

49、第一个群由成员a负责签名，该成员通过待签名信息msg得到哈希值h＝h(msg)，随后选取随机值rs∈zp，并生成群签名如下：

50、

51、参数计算过程如下：

52、

53、

54、第二个群由成员b负责签名；同样通过消息msg得到哈希值h＝h(msg)，先检查成员a是否为第一个群的用户，若为第一个群的用户，则检查成员a是否属于撤销列表，若不属于撤销列表，则成员a为合法用户，使用成员a的公钥pka及签名进行验签；验签过程如下：

55、

56、验签通过则继续进行有序多重群签名，成员b选取随机值rs∈zp，并生成群签名如下：

57、

58、参数计算过程如下：

59、

60、

61、第三个群由成员c负责签名，执行与b相同的操作，直至最后一个群n，由成员d负责签名，得到群签名

62、子步骤3-4：标识上链存证，最后由企业联盟将标识注册区块txi上传至标识注册链；标识注册区块txi如下：

63、txi＝{pkrg,tsh,cid,sigi,tidi}                    (24)

64、其中，pkrg为标识注册节点的公钥，cid为映射值，sigi为企业联盟对标识注册区块的有序多重群签名，tidi为该区块前四项的哈希值。

65、进一步的，所述步骤4具体包括以下过程：

66、首先，标识解析节点通过标识注册链对现有标识的合法性进行确认；然后，标识解析节点通过递归解析节点执行递归解析，递归解析节点通过身份认证链对标识解析节点身份合法性进行确认，同时查询标识注册节点的地址；标识注册节点通过标识公钥pki加密标识密钥ki，返回解析结果，公钥加密的标识密钥kt；标识解析节点通过标识中的标识私钥ski对解析结果解密，获得标识密钥ki，同时通过标识中的cid从ipfs服务器下载加密的标识源数据，并通过标识密钥ki解密获得标识源数据。

67、进一步的，所述步骤4具体包括如下子步骤：

68、子步骤4-1：区块链确认，当标识解析节点收到标识后，首先根据标识中cid部分在标识存储链中快速查询区块txi，并从中获得标识注册节点公钥pkrg；标识解析节点确认标识合法后通过节点私钥skrs进行签名，并向递归解析节点发出解析请求request；解析请求request如下：

69、

70、其中，标识解析节点在解析请求中为可信标识i进行哈希加密获得h(i)，防止标识数据泄露，为标识解析节点对该请求的签名；

71、递归解析节点将通过身份认证链快速查询区块txa，确认标识解析节点公钥pkrs及标识注册节点公钥pkrg；

72、子步骤4-2：标识安全解析，递归解析节点通过递归解析得到标识注册节点位置，并向其发出解析请求；标识注册节点将通过标识公钥pki对标识密钥ki进行加密得到解析结果kt，最后向递归解析节点返回解析结果kt；解析结果kt如下：

73、

74、子步骤4-3：获得标识源数据，标识解析节点得到解析数据后利用安全代码ski进行解密得到标识密钥ki，并通过cid从ipfs服务器获得加密数据datae，最后对加密数据进行解密，获取标识源数据datar；标识源数据datar如下：

75、

76、本发明还提供了一种安全可信的分布式工业互联网标识解析装置，包括标识符结构设置模块，可信身份认证模块，可信标识注册模块，标识安全解析模块；所述标识符结构设置模块用于基于分层标识解析结构设置标识符结构，具体实现步骤1内容；所述可信身份认证模块用于生成分布式工业互联网标识解析体系中企业联盟中可信节点的身份证书，并为其生成签名认证所需的参数，具体实现步骤2内容；所述可信标识注册模块用于由企业联盟中经过身份认证的标识注册节点在系统内注册可信标识，具体实现步骤3内容；所述标识安全解析模块用于通过区块链确认注册节点身份及标识可信，并结合密码学技术完成标识安全解析，具体实现步骤4内容。

77、与现有技术相比，本发明具有如下优点和有益效果：

78、1.本发明提出了适用于工业互联网场景的有序多重群签名算法，相比于传统签名算法，用较小的代价降低了工业互联网标识解析系统内大量低级节点合谋或遭到攻破导致系统崩溃的风险。

79、2.本发明提出对工业互联网标识解析体系增加可靠的认证机制，确保系统内标识注册节点和标识解析节点身份可信，降低系统内隐私数据遭到泄露或纂改的风险。

80、3.本发明通过ipfs技术与加密算法结合，将标识源数据进行密文链下存储，相比云存储或本地存储，使标识源数据的存储更加安全，不易遭到泄露或是纂改。

81、4.本发明通过非对称加密算法，实现了工业互联网标识解析体系解析流程中解析结果的安全传输，相比明文传输能有效缓解标识解析过程中隐私数据遭到泄露的问题。

82、5.本发明通过改进标识符结构设置，实现了标识与其源数据的深度关联，能有效缓解标识注册节点之间合谋伪造标识的问题。