[0001] 本发明涉及区块链技术领域，具体为一种基于区块链的防护管控方法。

[0002] 物联网装置作为物联网的数据采集装置，能够采集和交换大量的数据，这些数据大多是与用户生活息息相关的隐私数据。物联网装置的真实性关系到整个网络中数据的完整性，保证物联网装置地合法接入网络，对于整个物联网的攻击防御有着重要的意义。然而大量的物联网装置在网络中都处于无人监管的工作状态，再加上其资源和计算能力的限制，无法使用互联网中传统的防护技术和安全手段。攻击者可以通过假冒物联网装置或者监听装置之间的传输信道窃取用户的信息数据，并通过伪造管理员身份信息对物联网装置进行非法操作，从而对系统、网络及用户的隐私数据的安全带来极大的威胁。因此，设计安全性高及智能防护管理的一种基于区块链的防护管控方法是很有必要的。

[0015] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

[0016] 实施例一：图1为本发明实施例一提供的一种基于区块链的防护管控方法的流程图，本实施例可应用于区块链防护管控系统中，该方法可以由本发明实施例提供的一种基于区块链的防护管控系统来执行，该系统由多个软硬件模块组成，如图1所示，该方法具体包括以下步骤：S101、进行区块链防护管控系统的装置注册管理；
示例性的，在本发明实施例中，注册申请节点发起装置身份信息注册请求，原始节点收到请求后，向请求注册装置节点分发公私钥，注册申请节点通过生成交易的数字签名和交易Hash存放在交易中，用于验证交易的真实性和完整性；该步骤中，注册申请节点通过其私钥将其身份信息Info加密生成注册交易信息，并发布注册交易请求，网络中的原始节点在收到身份信息注册请求后，通过共识协议选出记账节点，记账节点会对请求节点发起的注册操作进行有效性验证，有效性验证成功后，注册节点的身份信息才会被存储到区块链中，记账节点将交易验证通过的结果通过广播的方式告知网络中的其他节点，注册申请节点收到注册结果通知，通过该步骤，有效提升装置注册的高效性与准确性。

[0017] S102、对区块链防护管控系统的进行隔离控制及结构管理；示例性的，在本发明实施例中，当验证某装置失败而触发隔离操作时，控制验证节点发起对假冒装置的隔离请求，原始节点收到请求后，验证节点通过生成隔离交易的数字签名和交易哈希值于交易中；该步骤中，通信双方节点在通信时可通过查询区块链上的装置身份信息进行装置的真实性验证，在验证装置身份信息时，若判断被验证装置为假冒装置则将该装置的身份信息加入到黑名单中，根据白名单中是否有某装置的身份信息来判定该装置是否为假冒装置，若白名单中存在装置的身份信息则判定该装置为真实的装置，否则该装置为假冒装置，验证节点通过其私钥，将假冒身份信息Info加密生成隔离交易信息，并发布隔离交易请求，网络中的原始节点在收到假冒装置隔离请求后，通过共识协议选出记账节点，记账节点会对请求节点发起的隔离操作进行有效性验证，有效性验证成功后，假冒装置的身份信息才会被存储到区块链中，记账节点将交易验证通过的结果通过广播的方式告知网络中的其他节点。

[0018] 在系统物联网装置端和网关设备端的智能合约中，分别定义与参与方对应的结构体，并在结构体中封装了对应的身份信息属性；该步骤中，定义结构体包括Device结构体与Gateway结构体，Device结构体代表物联网装置实体，其属性包括了装置本身的身份信息，包括：编号、装置标识、以太坊账户地址、装置状态标识等，Gateway结构体代表网关设备实体，其属性包括了网关本身的身份信息，包括：编号、网关标识、以太坊账户地址、网关状态标识等。

[0019] S103、进行区块链防护管控系统的分析管理控制；示例性的，在本发明实施例中，对区块链防护管控系统的装置身份信息验证进行管理设计，装置节点在接收到节点发来的消息后，对节点的装置身份进行验证，通过节点的私钥对消息中的节点的身份信息进行加密，然后发布对节点的身份验证交易，交易验证通过后节点便可通过装置的标识并对装置的身份信息进行验证；该步骤中，在黑名单中查找装置的标识，若找到，则装置验证失败，直接结束，否则在白名单中查找，如果找到装置的身份信息，则表明对装置的身份验证成功，如果在白名单没找到装置的标识，则表示装置没有在区块链系统中注册，装置的真实性验证失败，拒绝与装置的通信请求，同时触发对装置的隔离事件，将装置的身份信息加入到黑名单中，通过该步骤，避免了假冒装置接入到网络中，防御假冒装置对网络发起的虚假数据注入的攻击，有效提升系统的安全性。

[0020] 进一步进行区块链防护管控系统的标识优化处理，通过时间戳记录区块被连接到区块链的时间，其中区块体中存储着已通过验证的装置身份信息交易数据，并以Merke树的形式进行存储，并使区块中所有被确认的装置身份信息交易数据存储在Merke树的各个节点中；对区块链防护管控系统的运行数据信息与用户使用处理信息进行采集，并将采集结果数据信息进行分布式存储；通过该步骤，可避免发生数据信息丢失或篡改的状况发生，并可在发生安全问题时提供查询处理依据。

[0021] S104、进行区块链防护管控系统的通知调取处理；示例性的，在本发明实施例中，对验证不同的数据信息进行标记后，并将被标记的数据信息进行通知反馈，供管理人员进行对应的控制处理；
管理人员对区块链防护管控系统的实时运行数据信息进行调取后，可按照设定的格式进行展示，利于查阅分析。

[0022] 实施例二：本发明实施例二提供了一种基于区块链的防护管控系统，图2为本实施例二提供的一种基于区块链的防护管控系统的模块构成示意图，如图2所示，该系统包括：控制处理模块，用于进行区块链防护管控系统的控制处理；
分析管理模块，用于进行区块链防护管控系统的分析管理；
通知调取模块，用于进行数据信息的通知调取控制。

[0023] 在本发明的一些实施例中，控制处理模块包括：装置注册模块，用于进行物联网装置注册管理；
隔离控制模块，用于对假冒装置进行隔离控制；
结构管理模块，用于进行结构体结构定义管理。

[0024] 在本发明的一些实施例中，分析管理模块包括：设计分析模块，用于进行身份认证的设计分析；
标识管理模块，用于进行安全标识控制管理；
采集存储模块，用于进行数据信息的采集存储。

[0025] 在本发明的一些实施例中，通知调取模块包括：通知反馈模块，用于进行数据信息的通知反馈；
调取展示模块，用于进行数据信息的调取展示控制。

[0026] 需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

[0027] 最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。