一种基于trustzone的区块链终端安全保障系统技术方案

本发明专利技术属于区块链物联网技术领域，具体为一种基于trustzone的区块链终端安全保障系统。本发明专利技术安全保障系统，在物联网终端设备上部署区块链账户实现采集加密传输一体化，包括在内核、传输、数据三个层级进行安全保障；在内核层级基于trustzone将物联网终端设备分成安全区与非安全区，并在安全区布置私钥管理模块，保证账户安全；在传输层级入网安全认证，并根据数据防篡改及防窥探特性选择不同等级加密，保证传输安全；在数据层级在物联网终端设备上部署区块链功能，包括区块链账户新建，查询，转账等。本发明专利技术解决了供应链体系中安全隐私问题、主体协作问题和通信兼容问题，实现数据的可信上链。据的可信上链。据的可信上链。

【技术实现步骤摘要】
一种基于trustzone的区块链终端安全保障系统


[0001]本专利技术属于区块链物联网
，具体涉及一种基于trustzone的区块链终端安全保障系统。

技术介绍

[0002]近几年，随着万物互联的普及与发展，工业物联网在诸多领域取得了应用成果，制造型企业的生产得以更加自动化，信息公开化。民众对产品供应链的了解欲望也愈发强烈。在行业升级转型的过程中，企业需要对原材料，生产工艺，生产设备，工作人员，运输等进行多方面的监管储存和公示。
[0003]借由物联网终端设备的各种传感器，定位系统，识别装置等，世界已经实现物物互联甚至是人物互联，被广泛应用在工业生产，农业监控，交通监管，物流识别，安全保障等诸多领域，极大地推动了产业智能化，方便人们的生产生活。
[0004]现有产品供应链管理模式基本是设备管理杂糅人员管理，自动化记录数据有限，实时监控难，诸如借助生产现场RFID读写器采集车间生产数据，识别获取工件信息。收集到的信息传输至MES系统，生产管控，反馈至管理员。
[0005]但是简单的通过网络互联进行信息交换，实现对物的跟踪监控，势必带来以下问题。
[0006]（1)安全隐私问题：服务器易遭受如DDOS攻击瘫痪，个人数据易泄露，物联网身份易被伪造，信息易被篡改等（2)主体协作问题：多主体间互不信任，要建立对其他主体的身份识别能力，需要建立广泛的身份识别，信息公开机制。
[0007]（3)通信兼容问题：物联网的蓬勃发展，促进了诸多分支各自为政，彼此通信不兼容，语言不统一，平台多样化，需要对数据智能处理。
[0008]因此溯源供应链数据得到的信息不能保证真实性。只有保证供应链上的每一个环节的信息都是真实有效未被篡改的，才能真正实现生产过程的透明化。

技术实现思路

[0009]本专利技术的目的在于，针对上述现状，提出一种在物联网终端设备上部署区块链账户的采集加密传输一体化的基于trustzone的区块链终端安全保障系统。
[0010]本专利技术提供的基于trustzone的区块链终端安全保障系统，是在内核、传输、数据三个层级保障安全，实现数据的可信上链，具体包括：内核层级安全保障模块，传输层级安全保障模块，数据层级安全保障模块，其中：所述内核层级安全保障模块，基于trustzone，实现将物联网终端设备分成安全区与非安全区，保证账户安全，解决了安全隐私问题。
[0011]所述传输层级安全保障模块，根据通信模块的自带加密特性对分级后数据选择不同加密方式，并实现证书管理及入网安全认证，保证传输安全，解决了通信兼容问题。
[0012]所述数据层级安全保障模块，在物联网终端设备上实现区块链功能，解决了主体协作问题。
[0013]优选的，所述物联网终端设备为支持trustzone的微控制器，集成有采集模块与通信模块。
[0014]优选的，所述内核层级安全保障模块，由trustzone技术保证。在处理器架构上将每个物理核虚拟为两个核：一个非安全核，运行非安全区的代码；另一个安全核，运行安全区的代码。
[0015]优选的，在内核层级，需要保密的操作在安全区执行，包括运行密钥管理模块、安全分级模块和数据交易管理模块；其余操作在非安全世界执行，包括运行用户管理模块、数据交易管理模块。非安全世界只能访问安全世界允许的接口函数。
[0016]优选的，所述传输层级安全保障模块，包括运行在非安全区的通信模块、数据加密模块和入网认证模块。
[0017]优选的，所述数据层级安全保障模块，由终端部署的区块链保证。
[0018]优选的，所述终端部署区块链功能，包括：注册区块链账户，查询区块链账户信息，区块链账户本地数据上链，区块链账户交易数据上链，区块链账户交易数据历史记录查询等。
[0019]优选的，所述采集模块，支持但不限于rs485,rs232,uart,spi，IIC等通用数据接口。
[0020]优选的，所述通信模块，包括带加密机制和不带加密机制两类，不带加密机制通信模块支持但不限于蓝牙，WIFI，4G等通信技术，带加密机制通信模块支持但不限于ZigBee，LoraWAN，以太网等通信技术。
[0021]优选的，在安全区运行密钥管理模块，存储所述区块链账户所涉及的私钥。
[0022]优选的，在安全区运行安全分级模块，根据数据不可篡改特性和不可窥探特性划分为两级，分别为1级和2级。
[0023]优选的，在安全区运行数据交易管理模块，使用所述私钥对所述区块链交易的摘要数据执行加密。
[0024]优选的，在非安全区运行用户管理模块，用于管理用户登录区块链账户。
[0025]优选的，在非安全区运行数据交易管理模块，管理采集的数据并与安全区数据交易管理模块交换数据。
[0026]优选的，在非安全区运行通信模块，根据是否带加密机制分为两种认证模式，不带加密机制通信方式根据两级json数据包等级，经数据加密模块对1级json数据包进行明文加数字签名处理，对2级json数据包使用密钥交换算法进行明文加密为密文处理；带加密机制通信方式直接传输两级json数据包。
[0027]优选的，在非安全区运行入网认证模块，验证密钥保证信道传输的合法性。
[0028]优选的，所述注册区块链账户功能实现获取区块链合法身份，表现为申请账户及私钥。所述区块链账户本地数据上链功能实现终端采集模块数据上链，表现为自交易。所述区块链账户交易数据上链功能实现统计类数据及告警类数据上链，表现为互交易，向上行账户发送交易申请。
[0029]有益效果
本专利技术所提出的基于trustzone在物联网终端设备上部署区块链账户的采集加密传输一体化的安全保障系统。通过在内核、传输、数据三个层级保障安全，解决了供应链体系中安全隐私问题、主体协作问题和通信兼容问题，实现了数据的可信上链。
附图说明
[0030]为了更清楚地说明本专利技术的实施例提供的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图。图1为本专利技术实施例所述的基于trustzone的区块链终端安全保障系统的设计图。
[0031]图2为本专利技术实施例所述的基于trustzone的区块链终端安全保障系统的内核层级数据加密示意图。
[0032]图3为本专利技术实施例所述的基于trustzone的区块链终端安全保障系统的传输层级数据传输流程图。
[0033]图4为本专利技术实施例所述的基于trustzone的区块链终端安全保障系统的数据层级区块链功能示意图。
具体实施方式
[0034]应当明确，所描述的实施例仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。
...

【技术保护点】

【技术特征摘要】
1.一种基于trustzone的区块链终端安全保障系统，其特征在于，是在内核、传输、数据三个层级进行安全保障，实现数据的可信上链，具体包括：内核层级安全保障模块，传输层级安全保障模块，数据层级安全保障模块，其中：所述内核层级安全保障模块，基于trustzone技术，实现将物联网终端设备分成安全区与非安全区，保证账户安全，以解决安全隐私问题；所述传输层级安全保障模块，根据通信模块的自带加密特性对分级后数据选择不同加密方式，并实现证书管理及入网安全认证，保证传输安全，以解决通信兼容问题；所述数据层级安全保障模块，在物联网终端设备上部署区块链功能，以解决主体协作问题；其中，所述物联网终端设备为支持trustzone的微控制器，集成有采集模块与通信模块。2.根据权利要求1所述的区块链终端安全保障系统，其特征在于，所述内核层级安全保障模块，由trustzone技术保证，在处理器架构上将每个物理核虚拟为两个核：一个非安全核，运行非安全区的代码；另一个安全核，运行安全区的代码；在内核层级，需要保密的操作在安全区执行，包括运行密钥管理模块、安全分级模块和数据交易管理模块；其余操作在非安全世界执行，包括运行用户管理模块、数据交易管理模块；非安全世界只能访问安全世界允许的接口函数。3.根据权利要求2所述的区块链终端安全保障系统，其特征在于，所述传输层级安全保障模块，包括运行在非安全区的通信模块、数据加密模块和入网认证模块。4.根据权利要求3所述的区块链终端安全保障系统，其特征在于，所述数据层级安全保障模块，由终端部署的区块链保证；其中，所述终端部署的区块链功能，包括：注册区块链账户，查询区块链账户信息，区块链账户本地数据上链，区块链账户交易数据上链，区块链账户交易数据历史记录查询。5....

【专利技术属性】
技术研发人员：陈鑫溢，环宇翔，邹卓，郑立荣，崔建军，贡力，
申请(专利权)人：复旦大学，
类型：发明
国别省市：