一种基于去中心化网络的可信设备管理方法技术

本发明专利技术涉及设备网络化管理领域，针对现有技术存在的问题，提供一种基于去中心化网络的可信设备管理方法。该方法采用分布式去中心化网络，解除了管理设备与被管设备的耦合。采用加密的管理命令和管理数据，由被管设备主动或被动从分布式网络获取管理指令，并写入反馈信息，实现管理设备与被管设备的安全的异步通信。本发明专利技术目标节点通过轻量级节点获取管理信息，轻量级节点过滤本节点消息，与目标节点地址匹配的消息将转发目标节点，目标节点使用源节点公钥验证消息签名，并通过本地的私钥解密会话密钥，并解密消息，获取管理信息并处理。

【技术实现步骤摘要】
一种基于去中心化网络的可信设备管理方法
本专利技术涉及设备网络化管理领域，尤其是一种基于去中心化网络的可信设备管理方法。
技术介绍
网络设备、安全设备、物联网设备等设备通常采用网络化的管理手段对设备进行监测、配置、管控，当前的管理方式一般是直接由管理设备与被管设备进行通信，通过口令提供认证、加密提供通信数据保护。这种管理方式需要管理节点、被管节点同时在线并建立连接，在很多应用场景下不能满足，管理缺少灵活性，并且安全防护强度较低。
技术实现思路
本专利技术所要解决的技术问题是：针对现有技术存在的问题，提供一种基于去中心化网络的可信设备管理方法。该方法采用分布式去中心化网络，解除了管理设备与被管设备的耦合。采用加密的管理命令和管理数据，由被管设备主动或被动从分布式网络获取管理指令，并写入反馈信息，实现管理设备与被管设备的安全的异步通信。本方法为设备管理提供了灵活组织网络化管理的新方法，适用于具有较大规模的节点数量的场景，支持去中心化的管理模式，可支持多个管理中心，支持管理业务外包，和基于授权的对管理行为的第3方审计。本专利技术采用的技术方案如下：一种基于去中心化网络的可信设备管理方法包括：步骤1：参与设备管理的全部节点按照P2P协议组成包含不同角色节点的对等覆盖网络；每个节点均按照角色要求和策略向其临近节点转发管理消息或管理信息块；网络中节点具有公私钥对，并有由公钥生成的地址；所有的网络节点共同维护一个全局一致的分布式管理信息库，其中全数据节点保存并维护分布式管理信息库的完整副本，提供管理信息的验证、存储、传输和查询服务；轻量级节点保存管理信息库的部分数据，提供管理信息的快速检验、查询、转发；端节点只保存与本节点相关的管理信息；步骤2：设备管理通过管理设备与被管设备之间交互管理信息实现；管理设备向被管设备发送管理命令，被管设备接收管理命令并回复命令执行结果，被管设备也可主动向管理设备上报数据；源节点和目的节点在不同过程中，可以是管理设备，也可以是被管设备，视管理消息的发起者而确定；步骤3：管理信息由源节点发送到目标节点通过两阶段过程实现；第一个阶段源节点通过调用管理信息访问接口将管理信息封装为签名的管理消息，通过轻量级节点发送或直接发送给全数据节点；全数据节点将管理信息定期打包为管理信息块，并在对等网络中转发，基于共识算法在所有全数据节点之中达成一致，然后写入各全数据节点的本地管理信息库副本，确保管理信息库的全局一致性；管理信息包括管理过程涉及的管理命令、命令执行结果、被管设备上报数据；步骤4：第二阶段目标节点利用管理信息访问接口主动通过轻量级节点或全数据节点从分布式管理信息库中查询并获取本节点未处理的管理消息；轻量级节点或全数据节点也可以过滤转发到本节点的已确认的管理信息块消息，提取与目标节点地址匹配的消息将其发送到目标节点；目标节点使用源节点公钥验证消息的签名，并通过本地的私钥解密会话密钥，然后解密消息获取管理信息。进一步的，一种基于去中心化网络的可信设备管理方法还包括管理设备是否被授权对被管设备管理，可以通过管理信息库进行查询；可以由授权管理私钥对授权指令进行签名，授权指令包含管理设备的地址及其公钥，任意节点可以通过授权管理公钥验证授权指令的合法性。在分布式管理信息库第一个管理信息块中包含授权管理公钥；所有的管理记录都保存在分布式网络中的管理信息库中，所有节点都可以对特定的管理记录的完整性、来源、目标进行验证，经授权的监管节点可以解密管理数据，对管理活动进行监管。进一步的，所述步骤2管理信息数据库建立过程是：管理信息由源节点按照设备管理层协议发送目标节点；源节点的管理设备采用密码算法生成一个会话密钥Ks，并将管理信息M用Ks加密得到EKs(M)，将Ks用目标节点的公钥加密得到EPubD(Ks)，然后构造(源地址Ds，目标地址DD，EPubD(Ks)，EKs(M))的未签名消息，然后源节点用自己的公钥PubD对该消息签名后发送到全数据节点或管理信息库；当全数据节点接收到管理信息时，对管理信息进行验证，验证通过的管理信息继续在网络上转发；EKs(M)指的是管理信息M用会话密钥Ks加密；当时间片到达时，该全数据节点将管理消息构造为管理信息块，并基于上个管理信息块的Hash值和本块的管理信息，计算本管理信息块的Hash值；然后发送到网络进行验证；网络采用共识算法保证管理信息库在分布式网络中的一致性。进一步的，所述网络采用共识算法保证管理信息库在分布式网络中的一致性具体步骤是：验证节点由共识算法规定的策略或算法选取。验证节点接收管理信息块后按照共识算法所指定规则对其进行验证并投票；经过一定时间片后，验证节点中的多数对该管理信息块，达成共识；当验证节点收到对该管理信息块确认达到共识算法指定的足够数量后，验证节点将认为该块有效，并与前面的块形成块链模式的分布式数据库；足够数量是通过共识算法根据系统要求确定的。进一步的，所述网络层提供底层对等网络通信机制；监管设备利用管理信息访问接口提取监管信息，分析并实施对管理活动的监管。进一步的，所述节点按照其管理信息服务能力分为3类：全数据节点、轻量级节点、端节点；全数据节点保存并维护管理信息库的完整备份，提供管理信息的验证、存储、传输和查询服务；轻量级节点保存管理信息库的部分数据，提供管理信息的快速检验、查询、转发；端节点只保存与本节点相关的管理信息。进一步的，一种基于去中心化网络的可信设备管理方法还包括步骤4在构造加密管理消息时，采用监管方公钥加密会话密钥并将其植入到管理消息的方法或基于时戳的可监管的密码方法；前者监管方可以利用私钥从管理消息中恢复会话密钥，并获取管理信息；基于时戳的可监管的密码方法具体过程是：每一个节点均有一对公私钥(pk,sk)，其中pk公开，sk秘密保存；同时节点在进行注册的时候，每一个节点的设备均从监管中心获取一个监管密钥key，该监管密钥只有节点的设备及监管中心知道；源节点A在向目的节点B发送管理信息时，源节点A使用自己的监管密钥key与发送时间time，使用杂凑算法计算key_tmp＝Hash(key||time)，使用key_tmp加密该管理信息，并使用成员目的节点B的公钥pkB加密key_tmp，将加密后的管理信息及使用公钥加密的密钥发送给目的节点B，目的节点B使用自己的私钥skB解密获取管理信息的加密密钥key_tmp，继而获得相应的管理信息。监管方获取到相应的消息后，需要进行监管时，查询该条管理信息的发送时间time，同时利用存储的源节点A的监管密钥key，继而获取管理消息的解密密钥key_tmp＝Hash(key||time)，解密获得相应的管理消息实行监管。综上所述，由于采用了上述技术方案，本专利技术的有益效果是：所有的管理记录都保存在分布式网络中的分布式管理信息库中，所有节点都可以对特定的管理记录的完整性、来源、目标进行验证，经授权的监管节点可以解密管理数据，对管理活动进行监管。本方案突破了传统的至上而下的管理方式，将管理节点与被管节点视为同等的节点，都按照协议利用管理网络进行异步通信。方案在管理上没有中心节点。管理活动记录在分布式的可验证的数据库中，具有不可篡改的特性。本方案中管理数据的处理模型，管理数据包含管理过程涉及的管理命令、命本文档来自技高网...

【技术保护点】
一种基于去中心化网络的可信设备管理方法，其特征在于包括：步骤1：参与设备管理的全部节点按照P2P协议组成包含不同角色节点的对等覆盖网络；每个节点均按照角色要求和策略向其临近节点转发管理消息或管理信息块；网络中节点具有公私钥对，并有由公钥生成的地址；所有的网络节点共同维护一个全局一致的分布式管理信息库，其中全数据节点保存并维护分布式管理信息库的完整副本，提供管理信息的验证、存储、传输和查询服务；轻量级节点保存管理信息库的部分数据，提供管理信息的快速检验、查询、转发；端节点只保存与本节点相关的管理信息；步骤2：设备管理通过管理设备与被管设备之间交互管理信息实现；管理设备向被管设备发送管理命令，被管设备接收管理命令并回复命令执行结果，被管设备也可主动向管理设备上报数据；源节点和目的节点在不同过程中，可以是管理设备，也可以是被管设备，视管理消息的发起者而确定；步骤3：管理信息由源节点发送到目标节点通过两阶段过程实现；第一个阶段源节点通过调用管理信息访问接口将管理信息封装为签名的管理消息，通过轻量级节点发送或直接发送给全数据节点；全数据节点将管理信息定期打包为管理信息块，并在对等网络中转发，基于共识算法在所有全数据节点之中达成一致，然后写入各全数据节点的本地管理信息库副本，确保管理信息库的全局一致性；管理信息包括管理过程涉及的管理命令、命令执行结果、被管设备上报数据；步骤4：第二阶段目标节点利用管理信息访问接口主动通过轻量级节点或全数据节点从分布式管理信息库中查询并获取本节点未处理的管理消息；轻量级节点或全数据节点也可以过滤转发到本节点的已确认的管理信息块消息，提取与目标节点地址匹配的消息将其发送到目标节点；目标节点使用源节点公钥验证消息的签名，并通过本节点的私钥解密会话密钥，然后解密消息获取管理信息。...

【技术特征摘要】
2016.12.14 CN 20161115170591.一种基于去中心化网络的可信设备管理方法，其特征在于包括：步骤1：参与设备管理的全部节点按照P2P协议组成包含不同角色节点的对等覆盖网络；每个节点均按照角色要求和策略向其临近节点转发管理消息或管理信息块；网络中节点具有公私钥对，并有由公钥生成的地址；所有的网络节点共同维护一个全局一致的分布式管理信息库，其中全数据节点保存并维护分布式管理信息库的完整副本，提供管理信息的验证、存储、传输和查询服务；轻量级节点保存管理信息库的部分数据，提供管理信息的快速检验、查询、转发；端节点只保存与本节点相关的管理信息；步骤2：设备管理通过管理设备与被管设备之间交互管理信息实现；管理设备向被管设备发送管理命令，被管设备接收管理命令并回复命令执行结果，被管设备也可主动向管理设备上报数据；源节点和目的节点在不同过程中，可以是管理设备，也可以是被管设备，视管理消息的发起者而确定；步骤3：管理信息由源节点发送到目标节点通过两阶段过程实现；第一个阶段源节点通过调用管理信息访问接口将管理信息封装为签名的管理消息，通过轻量级节点发送或直接发送给全数据节点；全数据节点将管理信息定期打包为管理信息块，并在对等网络中转发，基于共识算法在所有全数据节点之中达成一致，然后写入各全数据节点的本地管理信息库副本，确保管理信息库的全局一致性；管理信息包括管理过程涉及的管理命令、命令执行结果、被管设备上报数据；步骤4：第二阶段目标节点利用管理信息访问接口主动通过轻量级节点或全数据节点从分布式管理信息库中查询并获取本节点未处理的管理消息；轻量级节点或全数据节点也可以过滤转发到本节点的已确认的管理信息块消息，提取与目标节点地址匹配的消息将其发送到目标节点；目标节点使用源节点公钥验证消息的签名，并通过本节点的私钥解密会话密钥，然后解密消息获取管理信息。2.根据权利要求1所述的一种基于去中心化网络的可信设备管理方法，其特征在于还包括管理设备是否被授权对被管设备管理，可以通过管理信息库进行查询；可以由授权管理私钥对授权指令进行签名，授权指令包含管理设备的地址及其公钥，任意节点可以通过授权管理公钥验证授权指令的合法性；在分布式管理信息库第一个管理信息块中包含授权管理公钥；所有的管理记录都保存在分布式网络中的管理信息库中，所有节点都可以对特定的管理记录的完整性、来源、目标进行验证，经授权的监管节点可以解密管理数据，对管理活动进行监管。3.根据权利要求1所述的一种基于去中心化网络的可信设备管理方法，其特征在于所述步骤2管理信息数据库建立过程是：管理信息由源节点按照设备管理层协议发送目标节点；源节点的管理设备采用密码算法生成一个会话密钥Ks，并将管理信息M用Ks加密得到EKs(M)，将Ks用目标节点的公钥加密得到EPubD(Ks)，然后构造(源地址Ds，目标地址DD，EPubD(Ks)，EKs(M))的未签名消息，然后源节点用自己的公...

【专利技术属性】
技术研发人员：郝尧，白健，安红章，赵越，吴开均，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：四川,51