CN109587177B - 一种设备授权管理方法、装置及电子设备 - Google Patents
一种设备授权管理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN109587177B CN109587177B CN201910064444.4A CN201910064444A CN109587177B CN 109587177 B CN109587177 B CN 109587177B CN 201910064444 A CN201910064444 A CN 201910064444A CN 109587177 B CN109587177 B CN 109587177B
- Authority
- CN
- China
- Prior art keywords
- attribute
- electronic device
- authorization
- tag
- intelligent contract
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/633—Control signals issued by server directed to the network components or client
- H04N21/6332—Control signals issued by server directed to the network components or client directed to client
- H04N21/6334—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
Abstract
本申请提供一种设备授权管理方法、装置及电子设备,其中,应用于区块链节点的方法包括:接收第二电子设备发送的针对第一电子设备的授权请求,授权请求中携带有来自第一电子设备的属性标签以及来自第二电子设备的属性标签,属性标签描述了与第一电子设备向第二电子设备请求作出的操作相关的属性;执行区块链上的智能合约,智能合约被执行时能够根据属性标签的标签值输出相应的授权决策;将授权决策结果发送至第二电子设备。本申请为物联网设备间的权限管理提供了安全访问机制,从而实现物联网设备的授权管理,且方式更加灵活。
Description
技术领域
本发明涉及物联网设备技术领域,具体而言,涉及一种设备授权管理方法、装置及电子设备。
背景技术
物联网设备数正逐年爆炸式增长,目前市面上的各种物联网设备都缺乏安全保护机制,尤其是针对设备本身的认证以及访问控制机制,由此带来诸多安全问题,例如通过家庭网关即可全面控制与之相连接的智能家居物联网设备,通过入侵车联网终端,即可完全控制车辆的启动及运转,缺乏安全机制的设备将会带来很大的潜在威胁。
目前的一些授权管理方法,例如根据用户注册信息生成以用户为根节点的权限树,当用户对区块链进行操作时,通过遍历用户对应的权限树,判断用户是否具有合法权限对区块链进行该操作,节点间的权限相对固定,只能针对预设的访问事件做出授权或拒绝的操作,属于强制访问控制机制,在更灵活的物联网应用场景中,当出现新增设备等预设外的事件,很难做出正确的判断。
发明内容
本发明的目的在于提供一种设备授权管理方法、装置及电子设备,利用设备中存储的属性标签,实现物联网设备不同类型访问请求的自动授权,授权管理更加灵活。
第一方面,本发明提供一种设备授权管理方法,应用于区块链节点,所述方法包括:
接收第二电子设备发送的针对第一电子设备的授权请求,所述授权请求中携带有来自第一电子设备的属性标签以及来自第二电子设备的属性标签,所述属性标签描述了与所述第一电子设备向所述第二电子设备请求作出的操作相关的属性;
执行区块链上的智能合约,所述智能合约被执行时能够根据所述属性标签的标签值输出相应的授权决策;
将授权决策结果发送至所述第二电子设备。
在上述过程中,区块链节点响应第二电子设备的授权请求,结合接收到的属性标签与区块链上的智能合约来进行权限的决策,操作便捷,且保证了权限管理的自动、可控以及设备的操作权限安全。
可选地,所述来自第一电子设备的属性标签包括用户属性标签,所述用户属性标签中携带有所述第一电子设备的公钥信息,在执行区块链上的智能合约之前,所述方法还包括:
根据所述用户属性标签确定所述第一电子设备的身份合法。
在上述过程中,第一电子设备需为在区块链上进行注册的设备,未注册的电子设备不具备访问控制第二电子设备的权限,避免了一些未知或可疑的设备对第二电子设备进行操作。
可选地,在执行区块链上的智能合约之前,所述方法还包括:
根据所述来自第一电子设备的属性标签和/或所述来自第二电子设备的属性标签,从区块链上的智能合约集中查找到对应的智能合约。
在上述过程中,由于区块链上的智能合约集包括多个用于授权决策的合约,每个合约可以是对应于不同类型设备、不同操作事件等多种可能的实际应用场景,可针对实际应用中的各种情况进行准确判决,满足不同情况的授权操作。
可选地,所述智能合约由区块链上的区块链节点创建并发布至所述区块链上。
在上述过程中,智能合约可以是由设备厂商的管理平台进行创建、发布的,将用于授权决策的智能合约部署在区块链上,实现自动执行授权决策,一方面,能够避免中心化因素对合约正常公正执行的影响,另一方面,授权过程记录在区块链上,透明且不可篡改。
可选地,所述执行区块链上的智能合约,包括:
根据所述智能合约的规则从属性标签集合中提取出所需的多个目标属性标签,所述属性标签集合包括所述来自第一电子设备的属性标签以及所述来自第二电子设备的属性标签,所述多个目标属性标签属于不同的类型;
验证每一类型中目标属性标签的标签值是否达到所述智能合约中对应类型的判断阈值,且在同一类型中包括多个目标属性标签时,验证所述类型中多个目标属性标签的累加值是否达到所述智能合约中所述类型的判断阈值;
若任一个类型中的标签值或累加值未达到对应类型的判断阈值,则授权决策为拒绝,否则,授权决策为允许。
在上述过程中,区块链节点利用区块链上的智能合约,对第二电子设备发来的各类属性化标签进行智能决策,仅当所有类型的属性标签均满足智能合约中设定的条件,才向第二电子设备返回允许的决策,提高了第二电子设备操作权限的安全性。
第二方面,本发明提供一种设备授权管理方法,应用于第二电子设备,所述方法包括:
接收第一电子设备发来的操作请求,所述操作请求中包括所述第一电子设备上存储的属性标签;
向区块链节点发送针对所述第一电子设备的授权请求,所述授权请求携带有来自所述第一电子设备的属性标签以及所述第二电子设备上存储的属性标签,所述属性标签描述了与所述第一电子设备向所述第二电子设备请求作出的操作相关的属性;
接收所述区块链节点返回的授权决策结果,并根据所述授权决策结果响应所述操作请求。
在上述过程中,第二电子设备是根据操作请求中的属性标签信息以及自身的属性标签信息向区块链节点发起授权请求,在物联网环境下,物联网设备及操作事件越来越多样,基于属性化的标签来进行权限决策能够更加灵活的应对愈加复杂的物联网环境。
可选地,所述属性标签包括用户属性标签、操作属性标签、设备属性标签以及场景属性标签,所述用户属性标签描述第一电子设备以及使用第一电子设备的用户的身份,所述操作属性标签描述第一电子设备请求对第二电子设备作出的操作,所述设备属性标签描述第二电子设备的设备属性,所述场景属性标签描述所述第二电子设备的使用场景。
第三方面,本发明提供一种设备授权管理装置,应用于区块链节点,包括:
第一接收模块,用于接收第二电子设备发送的针对第一电子设备的授权请求,所述授权请求中携带有来自第一电子设备的属性标签以及来自第二电子设备的属性标签,所述属性标签描述了与所述第一电子设备向所述第二电子设备请求作出的操作相关的属性;
权限管理模块,用于执行区块链上的智能合约,所述智能合约被执行时能够根据所述属性标签的标签值输出相应的授权决策;
结果返回模块,用于将授权决策结果发送至所述第二电子设备。
第四方面,本发明提供一种设备授权管理装置,应用于第二电子设备,包括:
第二接收模块,用于接收第一电子设备发来的操作请求,所述操作请求中包括所述第一电子设备上存储的属性标签;
权限请求模块,用于向区块链节点发送针对所述第一电子设备的授权请求,所述授权请求携带有来自所述第一电子设备的属性标签以及所述第二电子设备上存储的属性标签,所述属性标签描述了与所述第一电子设备向所述第二电子设备请求作出的操作相关的属性;
响应模块,用于接收所述区块链节点返回的授权决策结果,并根据所述授权决策结果响应所述操作请求。
第五方面,本发明提供一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行第一方面或第二方面所述的方法的步骤。
本发明提供的设备授权管理方法、装置及电子设备,为物联网环境下的电子设备提供了授权管理机制,利用区块链技术执行设备的授权决策,使物联网设备的权限管理更加便捷、透明、可靠,同时,由于将授权决策模块与物联网设备分离,降低了物联网设备的性能消耗,并兼顾授权决策的效率;进一步地,在出现一个新增物联网设备时,也仅需将该新增物联网设备在区块链上注册即可使用本发明中提供的方法,而无需进行其他配置,使得设备的授权管理更加灵活。
为使本发明的上述目的、技术方案和有益效果能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例的一种实施环境示意图;
图2示出了本发明第一实施例提供的设备授权管理方法的流程图;
图3示出了本发明第二实施例提供的设备授权管理方法的流程图;
图4示出了本发明第二实施例中方法的另一流程图;
图5示出了本发明第三实施例提供的设备授权管理方法的流程图;
图6示出了本发明第四实施例提供的设备授权管理装置示意图;
图7示出了本发明第四实施例提供的设备授权管理装置另一示意图。
图标:第一接收模块-401;权限管理模块-402;结果返回模块-403;第二接收模块-501;权限请求模块-502;响应模块-503。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于将一个实体或者操作与另一个实体或操作区分开来,而不能理解为指示或暗示相对重要性,也不能理解为要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
如图1所示,为本发明实施例提供的设备授权管理方法的实施环境示意图,在该实施环境中,可以包括:至少一个区块链节点、第一电子设备以及第二电子设备,其中,第一电子设备以及第二电子设备均可通过区块链网络与区块链中各个节点通信,且第一电子设备还可直接与第二电子设备通信,区块链中各个节点间建立点对点P2P连接。上述第一电子设备和第二电子设备均可以为家用电器、智能电器、个人电脑、平板电脑、智能手机等,上述区块链节点可以是加入到区块链网络中成为其中一个节点的网络服务器、管理平台终端、个人电脑等,以下实施例中以第一电子设备向第二电子设备发起操作请求为例对本申请中的方案进行描述。
可以理解的是,图1所示的实施环境仅用于示意本发明实施例提供的方法,并不构成对本申请实施例的限制。
第一实施例
本实施例提供一种设备授权管理方法,为设备(用户)与设备之间的授权管理提供安全机制,利用区块链技术,实现基于属性的访问控制(Attribute-Based AccessControl,ABAC),以及实现对于设备的操作请求的自动授权,参阅图2,为第二电子设备的执行步骤。
步骤101:接收第一电子设备发来的操作请求,该操作请求中包括第一电子设备上存储的属性标签。
步骤102:向区块链节点发送针对第一电子设备的授权请求,授权请求携带有来自第一电子设备的属性标签以及第二电子设备上存储的属性标签。
第二电子设备与区块链上的至少一个区块链节点通信连接,在接收到第一电子设备的操作请求后,从操作请求中提取出所携带的来自第一电子设备的属性标签,并依据这些来自第一电子设备的属性标签以及第二电子设备自身所存储的属性标签向与之通信的区块链节点发起授权请求,使区块链节点对本次的操作请求进行授权决策,以确定第一电子设备是否具备对第二电子设备进行本次操作的权限。
授权请求中所携带的属性标签描述了与第一电子设备向第二电子设备请求作出的操作相关的属性。
在一个实施例中,来自第一电子设备的属性标签包括用户属性标签、操作属性标签,用户属性标签描述第一电子设备以及使用第一电子设备的用户的身份,例如,第一电子设备的公钥信息、用户的年龄、性别、指纹、人脸、角色等,操作属性标签描述第一电子设备请求对第二电子设备作出的操作,也即操作控制的类型,例如开关、模式、调节大小等;公钥信息可以是在设备在区块链上注册时保存至本地数据库中的,用户的身份属性可以是用户预先输入或上传至第一电子设备或第一电子设备中的应用程序的,操作属性标签可以是设备在发起操作请求的同时所生成的。
在一个实施例中,第二电子设备上存储的属性标签包括设备属性标签、场景属性标签,设备属性标签描述第二电子设备的设备属性,其包括但不限于终端类及连接类两大类,终端类设备属性标签例如电视、空调、冰箱、摄像头、门锁等,连接类设备属性标签例如网关、管家类设备等,场景属性标签描述第二电子设备的使用场景,例如办公、会议、车载、卧室、客厅、厨房、卫生间、远程等;第二电子设备上存储的属性标签可以是在第二电子设备生产完成时,由设备厂商内置在设备中的。
步骤103:接收区块链节点返回的授权决策结果,并根据授权决策结果响应第一电子设备的操作请求。
授权决策结果包括允许和拒绝,若区块链节点返回的授权决策为允许,那么表示第一电子设备具备对第二电子设备进行本次访问控制的权限,因此第二电子设备允许本次操作,反之,则拒绝第一电子设备的本次操作请求。
本实施例为物联网环境下的电子设备提供了授权管理机制,利用区块链技术执行设备的授权决策,使物联网设备的权限管理更加便捷、透明、可靠,同时,由于将授权决策模块与物联网设备分离,降低了物联网设备的性能消耗,并兼顾授权决策的效率。上述方案避免了设备缺乏安全保护机制可能造成的一些潜在威胁,可确保设备的使用安全。
上述以第一电子设备作为操作的请求方、第二电子设备作为操作的响应方进行方案的描述,应当理解,在实际应用场景中,第一电子设备也可接收第三电子设备的操作请求,并执行本实施例中所述的方法。
第二实施例
本实施例提供一种设备授权管理方法,在第一实施例中第二电子设备向区块链节点发起授权请求后,由区块链节点响应此授权请求,并对第一电子设备的操作请求进行自动授权决策,参阅图3,为该方法中区块链节点的执行步骤。
步骤201:接收第二电子设备发送的针对第一电子设备的授权请求,该授权请求中携带有来自第一电子设备的属性标签以及来自第二电子设备的属性标签。
授权请求中所携带的属性标签描述了与第一电子设备向第二电子请求作出的操作相关的属性,在一个实施例中,授权请求中携带的属性标签的集合可被划分为不同的类型,分别为:用户、操作、设备、场景,其属性均与第一电子设备请求作出的操作相关。在第一电子设备向第二电子设备发起操作请求的同时携带有用户属性标签以及操作属性标签,第二电子设备根据自身所存储的设备属性标签、场景属性标签与来自第一电子设备的两种属性标签发起授权请求。
可选地,用户属性标签可以包括第一电子设备的公钥信息、在区块链上注册的身份信息及用户的角色信息等。
第一电子设备和第二电子设备均为使用区块链技术的物联网设备,例如第二电子设备为空调,当该台空调在生产线上制造完成之后,设备厂商可根据预设的规则为该台空调设置其设备属性标签以及场景属性标签,并将这些属性标签存储在空调中。在实际应用时,当向该空调发起操作请求,例如“开启”,则空调中预设的属性标签与操作请求中携带的属性标签通过与第二电子设备通信的节点传输至区块链中。
步骤202:执行区块链上的智能合约,智能合约被执行时能够根据属性标签的标签值输出相应的授权决策。
区块链节点响应所接收的授权请求,并根据授权请求中携带的属性标签对相应的智能合约进行执行,以确定最终的授权结果。上述智能合约为一套能够自动执行的合约代码,由于区块链的去中心化、数据防篡改的基础特性,部署在区块链上的智能合约可避免中心化因素对授权管理正常公正决策的影响。
区块链上包括一系列智能合约的集合,每一个合约对应一种授权决策的规则,在响应第二电子设备的授权请求的过程中,区块链节点根据属性标签中的一种或多种从智能合约集中查找到本次操作请求对应的智能合约并执行,其中一种实施方式为,根据属性标签中的操作属性标签和设备属性标签来确定对应的智能合约,例如,用户对电视发起关闭的请求,那么对应的合约可以是“关闭”“电视”,当然,查找对应的合约的过程还可以为其他方式,本实施例不做限定。
本实施例中智能合约是由区块链上的区块链节点创建并发布至区块链上。由于本方案可应用于各种类型的物联网设备,例如空调、电视、冰箱、门锁、燃气灶、打印机等,分别属于不同的设备厂商所制造,因此每一物联网设备所对应的智能合约可以是由其对应的设备厂商通过管理平台所创建、发布的。每个设备厂商的管理平台也作为区块链上的一个节点,在对设备进行销售前,设备厂商可在管理平台上提供和创建用于授权决策的智能合约,并将智能合约部署在区块链上,随着各个设备厂商陆续在区块链上发布智能合约,从而在区块链上形成智能合约集。进而,在向公众发布某一个物联网设备产品后,每个用户都可以在向该物联网设备发起操作请求后,由已发布在区块链上的对应的智能合约实现自动授权。本实施例基于此方案可更好的对不同类型的物联网设备均能实现授权管理,使得本实施例的方法具备通用性,并且,第一电子设备和第二电子设备均不需涉及该智能合约的创建过程。
步骤203:将授权决策结果发送至第二电子设备。
授权决策结果包括允许和拒绝,第二电子设备对返回的授权决策结果进行响应,至此,完成一次操作请求的授权管理。
在上述方案中,提供了一种针对物联网设备的安全机制,将设备中的属性标签与区块链以及智能合约结合,实现物联网设备的授权管理,从而确保设备的操作权限安全,且由于区块链和智能合约的基础特性,在操作过程便捷的同时,也保证了权限管理的自动、可控和安全。
可选地,在步骤202之前,区块链节点的执行步骤还包括对第一电子设备的身份进行验证,也即判断第一电子设备是否为在区块链上注册的合法设备,进一步确保物联网设备的操作权限安全。授权请求中携带的属性标签包含第一电子设备的公钥信息,区块链节点根据该公钥信息确定第一电子设备的身份合法后再执行区块链上的智能合约。
由于第一电子设备和第二电子设备均需在区块链上注册,加入到区块链网络中才能使用本实施例所提供的方法,实现设备的自动授权管理,对于区块链上某一节点,该方法还包括:接收第一电子设备的注册请求,该注册请求中包括设备的公钥信息;将公钥信息进行存储,并随机或按照预设规则生成用户账号返回给第一电子设备;将该第一电子设备的用户账号及公钥信息存储在区块链中。第一电子设备在区块链上注册后可在区块链网络中拥有一个数字身份,并通过去中心化的账本记录此数字身份的所有信息,基于区块链去中心化的特性,设备的数据信息公开透明且无法作假。
因此,针对第一电子设备的身份验证过程为:根据第一电子设备的公钥信息查询区块链上是否存在对应的用户账号,若是,则第一电子设备为在区块链上注册的合法设备,从而确认第一电子设备的身份合法。
若第一电子设备的身份核验未通过,也即并未在区块链上查询到第一电子设备的信息,则区块链节点直接向第二电子设备返回拒绝结果,不再对其进行后续的授权过程。
可以理解,针对第一电子设备的身份验证,存在一种实施方式,在第二电子设备中将每个向其发起过操作请求且已通过身份认证的电子设备的信息保存至本地数据列表中,当此数据列表中的电子设备再次对第二电子设备发起授权请求,则区块链节点无需进行区块链查询,仅需执行区块链上的智能合约进行授权决策即可。
在实际应用时,不同的用户、不同的操作拥有不同的属性标签,不同的设备、不同的场景也拥有不同的属性标签,当某项操作请求被提出后,区块链节点需要将属性标签(如用户、操作、设备、场景等)作为输入,使智能合约自动决策出最终授权或拒绝的结果。为便于理解此执行过程,参阅图4示出的授权决策的执行步骤,其过程可以理解为:
第一步,遍历智能合约集。
各设备厂商预先编写好对应设备的合约代码,并将合约发布在区块链上,通过与之通信的节点在区块链上的各个节点传播,从而在区块链上形成智能合约集,该智能合约集包括针对不同应用场景下进行权限决策的多个合约。
第二步,执行操作请求对应的智能合约。
根据属性标签查找到智能合约集中对应的智能合约。
第三步,根据输入的多种属性标签验证每一类型的属性标签的标签值是否达到合约中对应类型的判断阈值;若任一类型的属性标签未达到,则输出授权决策为拒绝,反之,则输出的授权决策为允许。
每个标签对应的标签值已被预先写入到智能合约中。此处进行授权决策的属性标签为在智能合约的规则中所需的属性标签,因此,在进行属性标签的验证步骤之前,还需从输入的所有属性标签中提取出所需要进行决策的目标属性标签,例如,针对某一设备,在智能合约进行其中用户属性标签的判断时,仅需对用户属性标签中的用户年龄进行判断,在满足年龄的条件以及其他属性标签的条件下即可具备本次操作的权限,那么在验证之前,则需从发来的用户属性标签中提取出包含年龄标签的字段,使用该字段的标签值进行本次判断。
在一个实施例中,智能合约按照线性顺序依次验证提取出的多种类型的目标属性标签的标签值是否达到对应类型的判断阈值,最终输出决策,以图4所示的顺序为例。
首先,验证目标属性标签中属于用户类型的标签值是否达到用户类型的判断阈值,若否,输出拒绝决策,若是,执行下一步验证;验证目标属性标签中属于设备类型的标签值是否达到设备类型的判断阈值,若否,输出拒绝决策,若是,执行下一步验证;验证目标属性标签中属于操作类型的标签值是否达到操作类型的判断阈值,若否,输出拒绝决策,若是,执行下一步验证;验证目标属性标签中属于场景类型的标签值是否达到场景类型的判断阈值,若否,输出拒绝决策,若是,输出允许决策。
其中,上述对目标属性标签的验证过程中,同一类型中仅包括一个属性标签时,则仅需判断该属性标签是否达到判断阈值即可,而若同一类型包括有多个属性标签时,则在进行阈值判断时,需将同一类型中的多个属性标签的标签值进行累加,累加后的值再与判断阈值进行比较。
在一个实施例中,第一电子设备与第二电子设备间若具有绑定关系,则绑定关系可以作为上述四类属性中的一个标签,在执行智能合约时,此标签可具有更高的赋值。因此,设备厂商在创建智能合约时,可根据实际情况对更关注的信息和参数设定更高的标签赋值,使得授权规则更加可控、灵活。
需要说明的是,智能合约中对属性标签的验证顺序可以任意更改,上述图4的顺序仅为示例,并且,用于授权决策的属性标签包括但不限于上述用户、设备、场景、操作四类属性标签,还可以为其他类型的属性标签,只要能够描述与第一电子设备向第二电子设备请求作出的操作相关的属性,则其属性标签均可以适用于本实施例中的方法。
为便于理解,特描述上述智能合约授权决策流程的一个实施例。在本实施例中,用户属性标签为“男主人”,操作属性标签为“开启”,设备属性标签为“燃气灶”,场景属性标签为“远程”,授权决策过程如下:
第一步,根据输入的属性标签查找到对应的智能合约。本实施例中对应的智能合约例如为“开启”“燃气灶”。
第二步,确认用户属性标签“男主人”的标签值为500,判断阈值为400,执行下一步。
第三步,确认设备属性标签“燃气灶”的标签值为400,判断阈值为200,执行下一步。
第四步,确认操作属性标签“开启”的标签值为500,判断阈值为300,执行下一步。
第五步,确认场景属性标签“远程”的标签值为0,判断阈值为400,则授权决策为拒绝。
第六步,输出拒绝的授权决策。
在另一个实施例中,若用户属性标签为“儿童”,标签值为100,则在进行第二步判断时输出拒绝的授权决策。
上述实施例所描述的方案,为物联网环境下设备间的授权管理提供了安全机制,该机制基于设备中的各类属性化标签进行自动决策,提高了决策的效率与准确率;另一方面,本方法中的授权过程均会写入到区块链上,数据透明而不可篡改,后期进行安全审计时可便于查询到对应的授权记录,并且,通过不同设备厂商对智能合约进行创建和发布,可以满足不同类型设备在不同应用场景下的授权操作。
特别说明的是,当新增加一个电子设备时,由于该设备在出厂时预先已设置好对应的设备属性标签及场景属性标签,因此,该电子设备仅需在区块链上进行注册后,则可使用本申请实施例提供的设备授权管理方法,对另一电子设备发来的操作请求进行权限自动决策,而无需在该电子设备中进行其他配置。
第三实施例
本申请实施例还提供一种设备授权管理方法,该方法以图1所示的实施环境为例,从区块链节点、第一电子设备、第二电子设备的系统角度进行描述,以第一电子设备为移动终端、第二电子设备为电视为例,参阅图5,该方法的执行步骤如下。
步骤301:移动终端向电视发起操作请求,该操作请求中包括用户属性标签及操作属性标签。
步骤302:电视向区块链节点发起授权请求,该授权请求中携带该用户属性标签、操作属性标签及内部存储的设备属性标签和场景属性标签。
步骤303:区块链节点根据获取到的属性标签执行对应的智能合约,并输出授权决策结果。
步骤304:电视根据授权决策结果响应移动终端的操作请求。
在上述过程中,区块链节点作为移动终端与电视间操作请求的权限决策节点,为电视提供了安全的权限管理,若节点上的智能合约判决移动终端不具备操作电视的权限,那么电视拒绝移动终端的本次操作请求,保障了电视在物联网环境下的安全。
第四实施例
本实施例提供一种与第二实施例中方法对应的设备授权管理装置,参阅图6,该装置包括:
第一接收模块401,用于接收第二电子设备发送的针对第一电子设备的授权请求,所述授权请求中携带有来自第一电子设备的属性标签以及来自第二电子设备的属性标签,所述属性标签描述了与所述第一电子设备向所述第二电子设备请求作出的操作相关的属性。
权限管理模块402,用于执行区块链上的智能合约,所述智能合约被执行时能够根据所述属性标签的标签值输出相应的授权决策。
结果返回模块403,用于将授权决策结果发送至所述第二电子设备。
本实施例还提供一种与第一实施例中方法对应的设备授权管理装置,参阅图7,该装置包括:
第二接收模块501,用于接收第一电子设备发来的操作请求,所述操作请求中包括所述第一电子设备上存储的属性标签。
权限请求模块502,用于向区块链节点发送针对所述第一电子设备的授权请求,所述授权请求携带有来自所述第一电子设备的属性标签以及所述第二电子设备上存储的属性标签,所述属性标签描述了与所述第一电子设备向所述第二电子设备请求作出的操作相关的属性。
响应模块503,用于接收所述区块链节点返回的授权决策结果,并根据所述授权决策结果响应所述操作请求。
此外,本申请实施例还提供一种可读存储介质,该可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中的设备授权管理方法的步骤。
本申请实施例还提供一种电子设备,包括:处理器、存储器和总线,该存储器存储有处理器可执行的机器可读指令,当电子设备运行时,处理器与存储器之间通过总线通信,该机器可读指令被处理器执行时执行上述方法实施例中的设备授权管理方法的步骤。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其他的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得计算机设备执行本发明各个实施例所述方法的全部或部分步骤。前述的计算机设备包括:个人计算机、服务器、移动设备、智能穿戴设备、网络设备、虚拟设备等各种具有执行程序代码能力的设备,前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟、磁带或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (5)
1.一种设备授权管理方法,其特征在于,应用于区块链节点,所述方法包括:
接收第二电子设备发送的针对第一电子设备的授权请求,所述授权请求中携带有来自第一电子设备的属性标签以及来自第二电子设备的属性标签,所述属性标签描述了与所述第一电子设备向所述第二电子设备请求作出的操作相关的属性;
根据所述来自第一电子设备的属性标签和/或所述来自第二电子设备的属性标签,从区块链上的智能合约集中查找到对应的智能合约;
执行区块链上的智能合约,所述智能合约被执行时能够根据所述属性标签的标签值输出相应的授权决策;
将授权决策结果发送至所述第二电子设备;
其中,所述执行区块链上的智能合约,包括:
根据所述智能合约的规则从属性标签集合中提取出所需的多个目标属性标签,所述属性标签集合包括所述来自第一电子设备的属性标签以及所述来自第二电子设备的属性标签,所述多个目标属性标签属于不同的类型;
验证每一类型中目标属性标签的标签值是否达到所述智能合约中对应类型的判断阈值,且在同一类型中包括多个目标属性标签时,验证所述类型中多个目标属性标签的累加值是否达到所述智能合约中所述类型的判断阈值;
若任一个类型中的标签值或累加值未达到对应类型的判断阈值,则授权决策为拒绝,否则,授权决策为允许。
2.根据权利要求1所述的方法,其特征在于,所述来自第一电子设备的属性标签包括用户属性标签,所述用户属性标签中携带有所述第一电子设备的公钥信息,在执行区块链上的智能合约之前,所述方法还包括:
根据所述用户属性标签确定所述第一电子设备的身份合法。
3.根据权利要求1所述的方法,其特征在于,所述智能合约由区块链上的区块链节点创建并发布至所述区块链上。
4.一种设备授权管理装置,其特征在于,应用于区块链节点,包括:
第一接收模块,用于接收第二电子设备发送的针对第一电子设备的授权请求,所述授权请求中携带有来自第一电子设备的属性标签以及来自第二电子设备的属性标签,所述属性标签描述了与所述第一电子设备向所述第二电子设备请求作出的操作相关的属性;
权限管理模块,用于执行区块链上的智能合约,所述智能合约被执行时能够根据所述属性标签的标签值输出相应的授权决策;
结果返回模块,用于将授权决策结果发送至所述第二电子设备;
其中,所述权限管理模块具体用于:
根据所述智能合约的规则从属性标签集合中提取出所需的多个目标属性标签,所述属性标签集合包括所述来自第一电子设备的属性标签以及所述来自第二电子设备的属性标签,所述多个目标属性标签属于不同的类型;
验证每一类型中目标属性标签的标签值是否达到所述智能合约中对应类型的判断阈值,且在同一类型中包括多个目标属性标签时,验证所述类型中多个目标属性标签的累加值是否达到所述智能合约中所述类型的判断阈值;
若任一个类型中的标签值或累加值未达到对应类型的判断阈值,则授权决策为拒绝,否则,授权决策为允许;
该装置还包括:根据所述来自第一电子设备的属性标签和/或所述来自第二电子设备的属性标签,从区块链上的智能合约集中查找到对应的智能合约的模块。
5.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1-3任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910064444.4A CN109587177B (zh) | 2019-01-23 | 2019-01-23 | 一种设备授权管理方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910064444.4A CN109587177B (zh) | 2019-01-23 | 2019-01-23 | 一种设备授权管理方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109587177A CN109587177A (zh) | 2019-04-05 |
| CN109587177B true CN109587177B (zh) | 2021-02-09 |
Family
ID=65917884
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910064444.4A Active CN109587177B (zh) | 2019-01-23 | 2019-01-23 | 一种设备授权管理方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109587177B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110189121B (zh) * | 2019-04-15 | 2021-04-09 | 创新先进技术有限公司 | 数据处理方法、装置、区块链客户端和区块链节点 |
| US10999283B2 (en) | 2019-04-15 | 2021-05-04 | Advanced New Technologies Co., Ltd. | Addressing transaction conflict in blockchain systems |
| CN110096857B (zh) * | 2019-05-07 | 2021-03-19 | 百度在线网络技术(北京)有限公司 | 区块链系统的权限管理方法、装置、设备和介质 |
| CN110166460B (zh) * | 2019-05-24 | 2021-12-14 | 北京思源理想控股集团有限公司 | 业务帐号的注册方法和装置、存储介质、电子装置 |
| CN110177108B (zh) * | 2019-06-02 | 2022-03-29 | 四川虹微技术有限公司 | 一种异常行为检测方法、装置及验证系统 |
| CN110619526A (zh) * | 2019-09-19 | 2019-12-27 | 阿里巴巴集团控股有限公司 | 基于区块链的业务服务提供方法、装置、设备及系统 |
| CN112333173B (zh) * | 2020-03-11 | 2023-07-04 | 合肥达朴汇联科技有限公司 | 基于数据提供方的数据传送方法、系统、设备及存储介质 |
| TWI788989B (zh) * | 2021-09-01 | 2023-01-01 | 中華電信股份有限公司 | 一種基於區塊鏈的行動支付整合系統、方法及其電腦可讀媒介 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016197055A1 (en) * | 2015-06-04 | 2016-12-08 | Chronicled, Inc. | Open registry for identity of things |
| CN107682331A (zh) * | 2017-09-28 | 2018-02-09 | 复旦大学 | 基于区块链的物联网身份认证方法 |
| CN108737348A (zh) * | 2017-04-21 | 2018-11-02 | 中国科学院信息工程研究所 | 一种基于区块链的智能合约的物联网设备访问控制方法 |
| CN109088857A (zh) * | 2018-07-12 | 2018-12-25 | 中国电子科技集团公司第十五研究所 | 一种在物联网场景下的分布式授权管理方法 |
-
2019
- 2019-01-23 CN CN201910064444.4A patent/CN109587177B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016197055A1 (en) * | 2015-06-04 | 2016-12-08 | Chronicled, Inc. | Open registry for identity of things |
| CN108737348A (zh) * | 2017-04-21 | 2018-11-02 | 中国科学院信息工程研究所 | 一种基于区块链的智能合约的物联网设备访问控制方法 |
| CN107682331A (zh) * | 2017-09-28 | 2018-02-09 | 复旦大学 | 基于区块链的物联网身份认证方法 |
| CN109088857A (zh) * | 2018-07-12 | 2018-12-25 | 中国电子科技集团公司第十五研究所 | 一种在物联网场景下的分布式授权管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109587177A (zh) | 2019-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109587177B (zh) | 一种设备授权管理方法、装置及电子设备 | |
| CN109034833B (zh) | 一种基于区块链的产品追溯信息管理系统及方法 | |
| US20200100162A1 (en) | Systems And Methods For Managing Network Devices | |
| US20190172057A1 (en) | Blockchain-implemented method and system | |
| US7464094B2 (en) | Shared registry with multiple keys for storing preferences and other applications on a local area network | |
| CN102713926B (zh) | 机密信息泄露防止系统及方法 | |
| CN112003703A (zh) | 一种跨链发送可认证消息的方法和装置 | |
| CN108023883B (zh) | 一种设备授权管理方法及装置 | |
| CN114745217A (zh) | 促进最终用户定义的策略管理的方法和装置 | |
| CN103607416B (zh) | 一种网络终端机器身份认证的方法及应用系统 | |
| US11489837B2 (en) | Network filter | |
| CN111177695A (zh) | 一种基于区块链的智能家居设备访问控制方法 | |
| CN104935583A (zh) | 一种云端服务平台、信息处理方法及数据处理系统 | |
| CN108136984A (zh) | 便携式车辆设置 | |
| CN111400758B (zh) | 应用于物联网的访问权限验证方法、设备及系统 | |
| CN104240013A (zh) | 一种门禁控制方法及门禁控制平台 | |
| KR102308172B1 (ko) | 신뢰성 및 보안성이 강화된 사용자 인증 방법 | |
| CN106507687A (zh) | 认证方法 | |
| CN109753033A (zh) | 一种智能家居设备的控制方法、智能家居系统 | |
| CN104240014A (zh) | 一种门禁控制方法及门禁控制平台 | |
| KR102283503B1 (ko) | 지능형 스마트 컨트랙트 제공방법 | |
| CN106559259A (zh) | 设备异常行为告警方法及装置和平台信息查询方法及装置 | |
| CN109495514A (zh) | 基于边缘终端的角色访问控制系统及方法 | |
| CN101331705A (zh) | 用于鉴定低资源示证者的方法和系统 | |
| CN110417742B (zh) | 跨链发送、中转、接收可认证消息的方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |