(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210821034.1 (22)申请日 2022.07.13 (71)申请人 牛哥信息科技 （南京） 有限公司 地址 210000 江苏省南京市玄武区领智路 56号 (72)发明人 刘芳　杨柏蔼　 (74)专利代理 机构 北京翔瓯知识产权代理有限 公司 11480 专利代理师 钱雅娟 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于区块链的物联网设备跨域认证与 数据共享方法 (57)摘要 本发明公开了一种基于区块链的物联网设 备跨域认证与数据共享方法， 改变集中认证方式 为分散式认证， 提出了在不同的参与机构之间通 过信任列表 来进行安全的访问控制， 并且机构内 进行了角色分类。 本发明有效提高了身份认证的 可靠性与安全性， 与集中认证方式相比， 能够防 止认证服务器单点故障、 通信流量集中、 易被攻 击的问题； 而且， 本发明支持在不同的参与机构 之间通过信任列表来进行安全的访问控制， 利用 区块链对信任列表进行共识， 避免了后续身份认 证与数据共享过程中可能的重复的耗时的认证 数据计算， 同时还支持数据转发机制， 避免了被 访问数据在区块链中冗余存储， 相比已有技术， 身份认证与数据共享的效率更高， 数据存储空间 更小。 权利要求书2页 说明书5页 附图2页 CN 115277014 A 2022.11.01 CN 115277014 A 1.一种基于区块链的物联网设备跨 域认证与数据共享方法， 其特 征在于， 步骤如下： S1， 创建域， 部门H的管理者负责在区块链中创建部门H和加入管理者设备M， 管理者向 智能合约发送创建域交易， 在区块链中保存部门编号HID、 管 理者设备M编号m ‑DevID及管 理 者设备M的区块链地址αM； S2， 设备注册， 管理者为设备D颁发证书Ticket， 证书Ticket采用ECDSA椭圆曲线算法进 行签名， 签名结构包括设备D要关联部门H的部门编号HID、 设备D的设备号DevID、 设备D的类 型role、 设备D的区块链地址αD； S3， 设备关联， 设备D在区块链中进行注册， 向区块链发送关联域交易， 检查区块链检测 设备D的证书Ticket， 若签名合法， 设备关联域操作成功， 区块链将保存设备D 的部门编号 HID、 设备号DevID和区块链地址αD； S4， 跨域信任列表设置， 隶属于不同部门的设备D是否可以通信取决于部门H之间的信 任关系， 信任关系由部门H之间的信任列表决定， 管理者通过发送添加/撤销信任交易对信 任列表进行增删操作； S5， 域间跨域认证与数据分享， 设备D已经在区块链中注册并进行了关联域的操作， 经 过验证的设备D可以按照访问控制规则进行数据交互， 设备D与不同部门H的设备进行通信 时， 是否可以通信取决于两个部门H之间的信任关系， 通信功能分为数据发送、 数据转发及 数据接收。 2.根据权利要求1所述的基于区块链的物联网设备跨域认证与数据共享方法， 其特征 在于， S1具体为： S1.1， 管理者设备M使用Secp25 6k1椭圆曲线创建一对公钥PKM和私钥SKM； S1.2， 根据其私钥SKM生成管理者设备M的区块链地址αM， αM代表公钥PKM取keccak256哈 希的前20 字节； S1.3， 向智能合约发送创建域交易， 交易参数包括部门编号HID、 管理者设备M编号m ‑ DevID及管理者设备M的区块链地址αM， 交易由私钥SKM签名； S1.4， 区块链收到交易后， 使用私钥SKM检查交易的合法性， 若签名有效， 则检测部门编 号HID和管理者设备M编号m ‑DevID的有效性， 若合法， 则交易有效； S1.5， 创建域成功， 区块链保存部门编号HID、 管理者设备M编号m ‑DevID及管理者设备M 的区块链地址αM。 3.根据权利要求1所述的基于区块链的物联网设备跨域认证与数据共享方法， 其特征 在于， S2中最终的签名结构由管理者私钥对前四项数据的串联的哈希值进行签名， 即 Ticket=PKSIGNSK(H(HospID| |DevID||role||αD))。 4.根据权利要求1所述的基于区块链的物联网设备跨域认证与数据共享方法， 其特征 在于， S3具体为： S3.1， 设备D获得医院管理者签发的Ticket后， 在 区块链中进行注册， 向区块链发送第 一次关联域交易， 交易参数包含要关联部门H的部门编号HID、 设备D的设备号DevID、 设备D 的区块链地址αD及证书Ticket； S3.2， 区块链根据设备D的公钥检查交易的签名完整性； S3.3， 若签名有效， 区块链检测设备D的设备号DevID和区块链地址αD是否已被注 册； S3.4， 若设备D未注 册， 区块链根据部门H的管理者公钥检查证书 Ticket的合法性；权　利　要　求　书 1/2 页 2 CN 115277014 A 2S3.5， 若证书Ticket合法， 设备关联域操作成功， 区块链将保存设备D所属的部门编号 HID、 设备号DevID及区块链地址αD。 5.根据权利要求1所述的基于区块链的物联网设备跨域认证与数据共享方法， 其特征 在于， S4中增 加/撤销信任交易具体为： S4.1， 部门Hi的管理者提前获得信任的部 门Hj的部 门编号HID(j)， 部门Hi的设备Mi发 送添加信任交易， 参数为部门Hi的部门编号HID(i)、 部门Hj的部门编号HID(j)， 交易由部门 Hi的管理者设备Mi的私钥签名； S4.2， 区块链根据管理者设备Mi的公钥检查交易的签名完整性； S4.3， 若交易有效， 区块链检测发送者是否为部门Hi的管理者； S4.4， 若管理者设备Mi身份得到验证， 区块链检测部门编号HID(j)是否已注 册； S4.5， 若部 门编号HospID(j)有效， 则将医院Hi对医院Hj信任值设置为true， 即添加信 任交易； S4.6， 将医院Hi对医院Hj信任值设置为false， 即撤销 信任交易。 6.根据权利要求1所述的基于区块链的物联网设备跨域认证与数据共享方法， 其特征 在于， S5中数据发送具体如下： S5.1， 设备Di发送数据给设备Dj， 设备Di向区块链 发出数据发送交易， 交易参数包括设 备Di的设备号DevID(Di)、 设备Dj的设备号DevID(Dj)及发送的数据Data； S5.2， 区块链根据管理者设备Mi的公钥检查交易的签名完整性； S5.3， 若交易有效， 区块链检测设备Di与设备Dj的有效性， 即DevID(Di） 和D evID （Dj） 是 否在区块链 注册且DevID(Di)与αDi、 DevID(Dj)与αDj对应； S5.4， 若设备有效， 区块链检测 设备Di与设备Dj所属部门是否相同， 若相同， 则允许发 送， 若不同， 则检测设备Di所属部门的信任列表中是否包含设备Dj所属 部门； 若包含， 则设 备Dj所属部门信任设备Di所属部门， 区块链接受 交易， 否则， 区块链拒绝交易； S5.5， 区块链将发送的消息data保存到设备Dj的消息地址msgAddr， 设备Dj可以通过读 取此地址获得发送的数据Data。 7.根据权利要求6所述的基于区块链的物联网设备跨域认证与数据共享方法， 其特征 在于， S5中数据接收具体如下： 设备Dj接收设备Di发送的数据， 设备Dj发送读取数据交易， 区块链通过验证Dj的公钥确定设备Di的身份， 如果验证成功， 则读取设备Dj的消息地址 msgAddr(j)， 即可 得到设备Di向设备Dj发送的数据。 8.根据权利要求6所述的基于区块链的物联网设备跨域认证与数据共享方法， 其特征 在于， S5中数据转发与数据发送步骤一致， S5.3中增加对设备Di的类型r ole进行检测， 判断 是否具有转发权限。权　利　要　求　书 2/2 页 3 CN 115277014 A 3