CN109768969B - 权限控制方法及物联网终端、电子设备 - Google Patents
权限控制方法及物联网终端、电子设备 Download PDFInfo
- Publication number
- CN109768969B CN109768969B CN201811566676.1A CN201811566676A CN109768969B CN 109768969 B CN109768969 B CN 109768969B CN 201811566676 A CN201811566676 A CN 201811566676A CN 109768969 B CN109768969 B CN 109768969B
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- terminal
- authorization
- authorization request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本申请公开了一种权限控制方法及物联网终端,其中方法包括:物联网终端获取授权请求,所述授权请求用于请求所述物联网终端的控制权限;所述物联网终端向M个电子设备中的每个电子设备发送所述授权请求;所述物联网终端确定所述M个电子设备中至少N个电子设备中的每个电子设备通过所述授权请求,所述M大于或等于所述N;所述物联网终端确定拥有所述物联网终端的控制权限。采用本申请,能够有效提高对物联网终端授权的效率。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种权限控制方法及物联网终端、电子设备。
背景技术
对于物联网终端,只能在物联网终端通过安全验证后,才能打开物联网终端,并允许使用。
一般地,可以通过引入服务器,通过服务器集中处理的方式,来实现对物联网终端的安全验证。当服务器对物联网终端的安全性验证通过后,便可以通过服务器集中授权的方式最终控制使用该物联网终端设备。
然而,中央集权的方式,容易被攻破,容易造成中央管理集中舞弊行为或者被冒充,由此使得物联网终端的使用安全性低下。
发明内容
本申请提供一种权限控制方法及物联网终端,可有效提高对物联网终端的授权效率和安全性。
第一方面,本申请实施例提供了一种权限控制方法,包括:
物联网终端获取授权请求,所述授权请求用于请求所述物联网终端的控制权限;
所述物联网终端向M个电子设备中的每个电子设备发送所述授权请求;
所述物联网终端确定所述M个电子设备中至少N个电子设备中的每个电子设备通过所述授权请求,所述M大于或等于所述N;
所述物联网终端确定拥有所述物联网终端的控制权限。
本申请实施例中,所述物联网终端在接收到授权请求之后,则将用于请求所述物联网终端的控制权限的授权请求发送至其他M个电子设备,当所述物联网终端确定至少有N个电子设备授权处理通过所述授权请求时,则所述物联网终端拥有控制所述物联网终端的控制权限。
实施本申请实施例,当一个物联网终端需要获得对该物联网终端的控制权限,并且该物联网终端发起授权请求时,上述物联网终端能够将该授权请求发送给其他电子设备,上述物联网终端通过判断其他电子设备签名授权的比例,最终实现多方授权交易,能够有效提高多方授权的效率。
在一种可能的实现方式中,所述物联网终端获取授权请求之后,以及所述物联网终端确定拥有所述物联网终端的控制权限之前,所述方法还包括:
所述物联网终端授权处理所述授权请求;
所述物联网终端确定拥有所述物联网终端的控制权限,包括:
在所述物联网终端通过所述授权请求的情况下,所述物联网终端确定拥有所述物联网终端的控制权限。
本申请实施例中,在所述物联网终端通过所述授权请求的情况下,才开始执行所述授权请求,可避免有效避免由于物联网终端身份信息错误,最终错误执行所述授权请求。由此可有效提高授权过程的安全性。
在一种可能的实现方式中,所述物联网终端包括安全芯片,所述安全芯片用于存储目标公钥,所述目标公钥对应的目标私钥包括第一分散密钥,所述第一分散密钥存储于所述物联网终端中,所述物联网终端授权处理所述授权请求,包括:
所述物联网终端通过所述第一分散密钥对所述授权请求进行签名得到第一授权签名,根据所述第一授权签名确定授权处理所述授权请求。
本申请实施例中,所述物联网终端通过第一分散密钥对所述授权请求进行签名,由于该第一分散密钥具有不可复制性,避免了所述授权请求被盗用的风险,提高了安全性。
在一种可能的实现方式中,所述目标私钥还包括M个分散密钥,所述M个分散密钥分别存储于所述M个电子设备中,且所述M个分散密钥与所述M个电子设备一一对应,所述M个分散密钥中的N个分散密钥用于对所述授权请求进行签名得到N个授权签名;
所述物联网终端确定所述M个电子设备中至少N个电子设备中的每个电子设备通过所述授权请求之后,所述方法还包括:
所述物联网终端对所述第一授权签名和所述N个授权签名进行合成,得到目标签名结果;
所述物联网终端确定拥有所述物联网终端的控制权限,包括:
在所述目标签名结果通过授权的情况下,所述物联网终端确定拥有所述物联网终端的控制权限。
本申请实施例中,通过将N个授权签名和第一授权签名合成为目标签名结果,并在上述目标签名结果授权通过的情况下,所述物联网终端才确定拥有处理所述授权请求的权限,可有效保证授权过程的安全性。
在一种可能的实现方式中,所述物联网终端确定拥有所述物联网终端的控制权限,包括:
所述物联网终端通过所述目标签名结果确定所述目标私钥;
所述物联网终端通过所述目标公钥验证所述目标私钥,在所述目标私钥通过验证的情况下,所述物联网终端确定拥有所述物联网终端的控制权限。
本申请实施例中,通过所述目标公钥验证所述目标私钥的方式来获得对所述物联网终端的控制权限的方式,能够保证目标私钥的信息无法篡改,能够使授权过程安全、高效的完成。
第二方面,本申请实施例还提供了一种权限控制方法,包括:
电子设备接收授权请求,所述授权请求用于请求物联网终端的控制权限;
所述电子设备授权处理所述授权请求,得到授权结果;
所述电子设备向物联网终端发送所述授权结果。
本申请实施例中,通过上述电子设备授权处理上述授权请求,在授权通过的所述授权请求的情况下,将授权结果发送给上述物联网终端,能够提高授权过程的安全性。
在一种可能的实现方式中,所述电子设备包括安全芯片,所述安全芯片用于存储目标公钥,所述目标公钥对应的目标私钥包括第二分散密钥,所述第二分散密钥存储于所述电子设备中,所述电子设备授权处理所述授权请求,得到授权结果,包括:
所述电子设备通过所述第二分散密钥对所述授权请求进行签名得到第二授权签名,根据所述第二授权签名确定授权处理所述授权请求。
本申请实施例中,上述电子设备通过对上述授权请求进行加密运算,保证了上述授权请求在交易过程中的保密性,可有效提高授权请求的安全性。
第三方面,本申请实施例提供了一种物联网终端,包括:
获取单元,用于物联网终端获取授权请求,所述授权请求用于请求所述物联网终端的控制权限;
发送单元,用于所述物联网终端向M个电子设备中的每个电子设备发送所述授权请求;
第一确定单元,用于所述物联网终端确定所述M个电子设备中至少N个电子设备中的每个电子设备通过所述授权请求,所述M大于或等于所述N;
第二确定单元,用于所述物联网终端确定拥有所述物联网终端的控制权限。
在一种可能的实现方式中,所述终端还包括:
处理单元,用于所述物联网终端授权处理所述授权请求;
所述第二确定单元,具体用于在所述物联网终端通过所述授权请求的情况下,所述物联网终端确定拥有所述物联网终端的控制权限。
在一种可能的实现方式中,所述终端包括:
所述处理单元,用于所述物联网终端通过所述第一分散密钥对所述授权请求进行签名得到第一授权签名,根据所述第一授权签名确定授权处理所述授权请求。
在一种可能的实现方式中,所述装置还包括:
合成单元,用于所述物联网终端对所述第一授权签名和所述N个授权签名进行合成,得到目标签名结果;
所述第二确定单元,具体用于在所述目标签名结果通过授权的情况下,所述物联网终端确定拥有所述物联网终端的控制权限。
在一种可能的实现方式中,所述第二确定单元包括:
第一确定子单元,用于所述物联网终端通过所述目标签名结果确定所述目标私钥;
第二确定子单元,用于所述物联网终端通过所述目标公钥验证所述目标私钥,在所述目标私钥通过验证的情况下,所述物联网终端确定拥有所述物联网终端的控制权限。
第四方面,本申请实施例还提供了一种电子设备,包括:
接收单元,用于电子设备接收授权请求,所述授权请求用于请求物联网终端的控制权限;
处理单元,用于所述电子设备授权处理所述授权请求,得到授权结果;
发送单元,用于所述电子设备向物联网终端发送所述授权结果。
在一种可能的实现方式中,所述电子设备包括:
所述处理单元,所述电子设备通过所述第二分散密钥对所述授权请求进行签名得到第二授权签名,根据所述第二授权签名确定授权处理所述授权请求。
第五方面,本申请实施例还提供了一种物联网终端,包括:处理器和存储器;所述处理器与所述存储器耦合,所述存储器中存储有程序指令;所述程序指令被所述处理器执行时,使所述处理器执行如第一方面所述的方法的相应功能。
第六方面,本申请实施例还提供了一种电子设备,包括:处理器和存储器;所述处理器与所述存储器耦合,所述存储器中存储有程序指令;所述程序指令被所述处理器执行时,使所述处理器执行如第二方面所述的方法的相应功能。
第七方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面或第二方面所述的方法。
第八方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面或第二方面所述的方法。
附图说明
为了更清楚地说明本申请实施例或背景技术中的技术方案,下面将对本申请实施例或背景技术中所需要使用的附图进行说明。
图1是本申请实施例提供的一种物联网终端系统的架构示意图;
图2a是本申请实施例提供的一种权限控制方法的流程示意图;
图2b是本申请实施例提供的另一种权限控制方法的流程示意图;
图3是本申请实施例提供的一种权限控制方法的流程示意图;
图4是本申请例提供的又一种权限控制方法的流程示意图;
图5是本申请实施例提供的一种物联网终端的结构示意图;
图6是本申请实施例提供的另一种物联网终端的结构示意图;
图7是本申请实施例提供的一种第二确定单元的结构示意图;
图8是本申请实施例提供的一种电子设备的结构示意图;
图9是本申请实施例提供的一种权限控制装置的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同的对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法或设备固有的其他步骤或单元。
下面将结合附图对本申请实施例进行描述。
图1是本申请实施例提供的一种物联网终端系统的架构示意图,如图1所示,该物联网终端系统包括:物联网终端101和电子设备102,其中上述电子设备包括M个物联网终端;其中,物联网终端101和电子设备102通信连接,如可通过无线方式连接等等,本申请实施例对于该物联网终端和该电子设备之间的通信连接方式不作唯一性限定。
本申请实施例中,其中,上述物联网终端会存在多方权益共有者,当需要使用该物联网终端时,需要上述电子设备的多方授权才可以使用该物联网终端。具体的,上述物联网终端和上述电子设备构成了M+1个物联网终端系统,当上述物联网终端需要获得使用控制权限时,至少需要N个上述电子设备授权通过,该物联网终端才可以获得该控制权限。
具体的,物联网终端获取授权请求,该授权请求用于请求获得物联网终端的控制权限;物联网终端向M个电子设备中的每个电子设备发送授权请求;电子设备接收来自物联网终端的授权请求,并将至少N个电子设备的授权结果发送给物联网终端;最后,物联网终端确定拥有处理所述授权请求的权限。
实施本申请实施例,通过上述方式使上述物联网终端拥有控制权限的方式,可避免通过中央集权的方式造成的舞弊行为,提高了授权过程的安全性。
参见图2a,图2a是本申请实施例提供的一种权限控制方法的流程示意图,该权限控制方法可应用于图1所示的系统框架中的物联网终端。如图2a所示,该方法包括:
201、物联网终端获取授权请求,上述授权请求用于请求上述物联网终端的控制权限。
本申请实施例中,该物联网终端可接收用户输入的授权请求,该授权请求既可以是用户在物联网终端的输入装置输入,也可以是用户通过用户终端的输入装置输入,然后由用户终端发送给该物联网终端,也可以主动发起授权请求,或者,也可以接收来自其他设备如物联网平台或其他服务器发送的授权请求等等,本申请实施例对于该物联网终端所获取到的授权请求的来源不作唯一性限定。
本申请实施例中,上述物联网终端是物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备,属于传感网络层和传输网络层的中间设备,也是物联网的关键设备,通过它的转换和采集,才能将各种外部感知数据汇集和处理,并将数据通过各种网络接口方式传输到互联网中。如果没有它的存在,传感数据将无法送到指定位置,“物”的联网将不复存在。也就是说,物联网终端是置于具有物权属性的物品或设备上,并具有控制该物品或设备相关权限(如使用权限、开启关闭权限等)的终端装置,举例来说,该物联网设备可以为智能门锁等等。可理解,本申请实施例中对于该物联网设备具体是什么不作限定。
其中,上述授权请求可以请求获得物联网终端的控制权限。举例来说,承租方为了打开出租方安装有物联网终端的公寓的房门,需要出租方以及中介机构的共同许可才可以打开房门,则上述授权请求可用于请求该房门的控制权限,更形象的说,该授权请求可用于请求打开该房门。也就是说,最终承租方获得了使用该物联网终端(如智能家具产品)打开房门的权限。或者,该授权请求可以用于请求开通物联网终端中安装的客户端权限。如该客户端可包括视频会员VIP权限,也就是说,用户所使用的该物联网终端(如手机、电脑等)获得了视频会员VIP权限。或者,该物联网终端可以包括某一机密设备,该授权请求可以为请求操作某一机密设备,也就是说,该机密设备(即物联网终端)获得了操作该机密设备的权限。或者,该物联网终端中存储有机密文件,该授权请求可用于请求查看该机密文件,也就是说,发送该授权请求(即查看机密文件)的该物联网终端获得了查看该机密文件的权限等等。可理解,本申请实施例对上述物联网终端以及上述授权请求的具体内容不作限定。
202、上述物联网终端向M个电子设备中的每个电子设备发送上述授权请求。
本申请实施例中,上述电子设备可以台式机、笔记本、平板电脑和手机等等。上述物联网终端向M个电子设备中的每个电子设备发送授权请求。其中,上述物联网终端可通过全网广播的方式发送上述授权请求。或者,上述物联网终端还可以单独的向上述M个电子设备逐一发送上述授权请求。
实施本申请实施例,上述物联网终端可以快速、准确的将上述授权请求发送给上述电子设备,有效提高了传输过程的效率。可理解,本申请实施例对于具体的发送方式不作限定。
203、上述物联网终端确定上述M个电子设备中至少N个电子设备中的每个电子设备通过上述授权请求,上述M大于或等于上述N。
其中,在上述授权请求为请求查看一份加密文件的情况下,且该加密文件通过目标公钥加密,并且该目标公钥对应的目标私钥被分割为M+1个分散密钥。其中,该目标公钥和目标私钥是成对出现的,且通过该目标公钥可以验证该目标私钥是否正确。具体的,可通过公钥加密算法对该数字资产进行加密,如非对称加密算法RSA、椭圆曲线公钥密码算法SM2等。可理解,本申请实施例中对于具体的加密算法不作限定。
也就是说,M可以理解为将该加密文件的目标私钥分割为M+1个分散密钥,然后将该M+1个分散密钥分别由上述物联网终端和M个电子设备一一存储, N+1可以为查看该加密文件(即通过目标密钥打开该加密文件)所必要的分散密钥的最少个数,M大于或等于N,且M和N为大于或等于1的整数。可理解,本申请实施中对于M和N的具体含义不作唯一性限定。
具体的,以上述授权请求为查看一份加密文件进行说明,可以将上述加密文件的目标私钥简单的平均分割成k份。尽管这种方法可以实现对上述加密文件的目标私钥的分割,但是在实际应用中往往不能满足市场需求。因此,本申请实施例提供了一种对上述加密文件的目标私钥进行分割的方法,如下所示:
本申请实施例中,上述对加密文件的目标私钥进行分割的方法可以为通过密钥分解算法实现。具体的,可通过以下步骤实现:首先,输入原文件,即上述加密文件的目标私钥;然后设置分割参数M+1与N,计算
生成key-length长密钥分解数组N[i]=i,然后通过密钥分解算法分配生成M+1*subkey-length长子密钥数组;以subkey-length长为单位将上述加密文件的目标私钥分成block-num块,不足部分记为excess字节;创建M+1 个空子文件夹,分别将参数M+1,N,block-num,excess以及相应的子 密钥填入M+1个子文件的文件头,依据子密钥信息将上述加密文件的目标私钥每块内的相应字节填入子文件,依次进行下去,直到处理完所有的块;最后将剩余部分补进每个子文件尾部,完成对上述加密文件的目标私钥的分割,即最终将该目标私钥分割成M+1个分散密钥。其中,当完成对上述加密文件的目标私钥的分割之后,可以将分割之后的M+1个分散密钥一一对应存储于物联网终端和M 个电子设备中。
实施本申请实施例,通过将上述加密文件的目标私钥分割成M+1份,不仅可以实现“化大为小,便于保管”的作用,也可以避免当其中任意M+1-N个子加密文件的分散密钥损坏时仍能将原目标私钥恢复,而其中任意不足N个分散密钥泄密时也不足以将原目标私钥暴露,可有效提高上述加密文件的目标私钥的保密性和安全性。可理解,上述对于加密文件的目标私钥的分割方法仅为举例,本申请实施例不作具体限定。
本申请实施例中,上述物联网终端确定上述M个电子设备中至少N个电子设备中的每个电子设备授权通过上述授权请求。其中,上述物联网终端通过接收来自电子设备的授权签名的个数来确定上述N的数量。实施本申请实施例,可以通过确定N的数量的方式简单快速的确定通过上述授权请求的必要数量,可避免因必须确定M+1个授权签名而导致对上述授权请求的处理请求无法完成的情况,提高了效率。可理解,本申请实施例对于上述具体的确定方式不作限定。
204、上述物联网终端确定拥有上述物联网终端的控制权限。
本申请实施例中,可理解上述物联网终端确定拥有上述物联网终端的控制权限与上述授权请求的具体内容对应。具体的,上述授权请求若为请求查看一份加密文件,则上述物联网终端确定拥有上述物联网终端的控制权限即为上述物联网终端可以查看该加密文件,也就是说,可以通过上述物联网终端打开该加密文件。或者,上述授权请求若为请求获得上述物联网终端的使用权限,则上述物联网终端确定拥有上述物联网终端的控制权限即为上述物联网终端可以使用该物联网终端进行具体的操作等等,在此不再赘述。可理解,本申请实施例对上述授权请求控制权限的具体内容不作限定。
实施本申请实施例,当一个物联网终端获取到授权请求时,且该授权请求用于请求该物联网终端的控制权限时,上述物联网终端能够将该授权请求发送给其他电子设备,上述物联网终端通过判断其他电子设备签名授权的比例,最终实现多方授权过程,能够有效提高多方授权的效率。
参见图2b,图2b是本申请实施例提供的另一种权限控制方法的流程示意图,该权限控制方法可应用于图1所示的系统框架中的物联网终端。如图2b所示,该方法包括:
211、物联网终端获取授权请求,上述授权请求用于请求上述物联网终端的控制权限。
本申请实施例中,对于物联网终端获取授权请求的具体实现方式可以参考图2a所示步骤201所示的实现方式,这里不再一一详述。
212、上述物联网终端授权处理上述授权请求。
本申请实施例中,上述物联网终端本身可以对上述授权请求进行处理,当上述物联网终端通过上述授权请求之后,再将上述授权请求发送给其他上述M 个电子设备。
在一种可能的实现方式中,上述物联网终端获取授权请求之后,以及上述物联网终端确定拥有上述物联网终端的控制权限之前,上述方法还包括:
上述物联网终端授权处理上述授权请求;
上述物联网终端确定拥有上述物联网终端的控制权限,包括:
在上述物联网终端通过上述授权请求的情况下,上述物联网终端确定拥有上述物联网终端的控制权限。
本申请实施例中,上述物联网终端自身可以对上述授权请求进行授权处理,一方面可以保证该授权请求需要的授权个数减少,提高效率,另一方面可以防止非法用户盗用该物联网终端的身份信息发起授权请求。
可选的,本申请实施例提供了一种授权处理上述授权请求的方法,如下所示:
在一种可能的实现方式中,上述物联网终端包括安全芯片,上述安全芯片用于存储目标公钥,上述目标公钥对应的目标私钥包括第一分散密钥,上述第一分散密钥存储于上述物联网终端中,上述物联网终端授权处理上述授权请求,包括:
上述物联网终端通过上述第一分散密钥对上述授权请求进行签名得到第一授权签名,根据上述第一授权签名确定授权处理上述授权请求。
本申请实施例中,上述物联网终端可以通过自身保存的第一分散密钥对上述授权请求进行签名,由于该第一分散密钥具有唯一性,因此通过该第一分散密钥进行签名可以有效保证上述第一授权签名的真实性。实施本申请实施例,可以有效避免该物联网终端的身份信息被篡改,极大的保证了授权请求传输过程中的安全性。
213、上述物联网终端向M个电子设备中的每个电子设备发送上述授权请求。
本申请实施例中,对于上述步骤213的具体实现方式可参考图2a所示步骤 202所示的实现方式,这里不再一一详述。
214、上述物联网终端确定上述M个电子设备中至少N个电子设备中的每个电子设备通过上述授权请求,上述M大于或等于上述N。
本申请实施例中,上述至少N个电子设备中的每个电子设备对应一个授权签名。可理解上述授权签名信息可附在上述授权请求中。
在一种可能的实现方式中,上述目标私钥还包括M个分散密钥,上述M个分散密钥分别存储于上述M个电子设备中,且上述M个分散密钥与上述M个电子设备一一对应,上述M个分散密钥中的N个分散密钥用于对上述授权请求进行签名得到N个授权签名;
上述物联网终端确定上述M个电子设备中至少N个电子设备中的每个电子设备通过上述授权请求之后,上述方法还包括:
上述物联网终端对上述第一授权签名和上述N个授权签名进行合成,得到目标签名结果;
上述物联网终端确定拥有上述物联网终端的控制权限,包括:
在上述目标签名结果通过授权的情况下,上述物联网终端确定拥有上述物联网终端的控制权限。
其中,上述对授权签名进行合成得到目标签名结果可以为以下方式,上述物联网终端可以将来自电子设备的至少N个授权签名和上述第一授权签名进行编号,并将编号之后的所有至少N个授权签名和上述第一授权签名以附录的形式附在上述授权请求中,则该附录即为目标签名结果。实施本申请实施例,可通过上述方式方便、高效的完成对授权签名(该授权签名包括第一授权签名和N 个授权签名)的合成,提高效率。
可选的,以上述授权请求为查看一份加密文件进行说明,本申请实施例提供了一种将上述授权签名合成为目标签名结果的方法。由于上述授权签名附在上述授权请求中,且该授权签名是通过该加密文件的目标私钥的分散密钥进行签名所得到的,因此完成对上述加密文件的目标私钥恢复即相应的完成了对签名结果的合成。相应的,本申请实施例提供了一种对上述加密文件的目标私钥进行恢复的方法,如下所示:
本申请实施例中,上述对加密文件的目标私钥进行恢复的方法可以为通过文件安全恢复算法实现。具体的,可通过以下步骤实现:首先,依据给定的子文件提取参数M+1,N,block-num,excess及密钥信息,该子文件可以理解为来自上述电子设备的附有签名结果的授权请求;然后根据上述参数及密钥信息创建子文件访问表;接着创建空原文件,依据子文件访问表将子文件的相应字节填入原文件;最后将任一子文件剩余部分,附加在原文件尾部,完成原文件的恢复工作,该原文件对应于被分割成M+1份的原加密文件的目标私钥。其中,来自上述电子设备的授权请求均附有相应的授权签名,因此被恢复的原加密文件的目标私钥被包含于来自电子设备的授权签名,也就是说最终被恢复的原加密文件中的目标私钥也就相应的完成了目标签名结果的合成。实施本申请实施例,通过文件安全恢复算法可以高效、准确的将上述加密文件的目标私钥恢复,提高了效率。可理解,本申请实施例中对于上述目标签名结果的具体合成方式不作限定。
215、在上述目标签名结果通过授权的情况下,上述物联网终端确定拥有上述物联网终端的控制权限。
本申请实施例中,其中,上述目标签名结果授权处理通过即为上述来自电子设备的N个签名结果达到N≤M的预定比例。上述物联网终端确定拥有上述物联网终端的控制权限与上述授权请求的具体内容一一对应,在此不再详述。
在一种可能的实现方式中,上述物联网终端确定拥有上述物联网终端的控制权限,包括:
上述物联网终端通过上述目标签名结果确定上述目标私钥;
上述物联网终端通过上述目标公钥验证上述目标私钥,在上述目标私钥通过验证的情况下,上述物联网终端确定拥有上述物联网终端的控制权限。
本申请实施例中,上述物联网终端为已通过目标公钥进行加密的物联网终端,通过与该目标公钥可以验证与该目标公钥对应的目标私钥是否正确,且该目标私钥通过密钥分解算法分解为M+1份,分别通过上述物联网终端和M个上述电子设备来分别一一保管该目标私钥。具体的,可参考图2a中对一份加密文件的目标私钥进行分割的方法,在此不再详述。
本申请实施例中,公钥加密,也叫非对称(密钥)加密(public key encryption),属于通信科技下的网络安全二级学科,指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。对于上述目标公钥加密上述物联网终端的方法可以通过公钥加密算法RSA、ElGamal加密算法、背包算法、Rabin加密算法、Diffie-Hellman(D-H)密钥交换协议中的公钥加密算法、Elliptic Curve Cryptography(ECC,椭圆曲线加密算法)等算法来实现。实施本申请实施例,通过将公钥加密的方法应用到物联网终端中,可以避免物联网终端信息的泄露,提高安全性。
实施本申请实施例,通过将目标私钥分别存储于物联网终端和M个上述电子设备中,当其中某一物联网终端发起授权请求时,只要其他至少N个终端授权通过,并合成目标私钥,该物联网终端中的目标公钥即可验证该目标私钥,当验证通过时,该物联网终端即获得该物联网终端的使用权限,既保证了该物联网终端的安全性,也提高了授权过程的高效性。
参见图3,图3是本申请实施例提供的一种权限控制方法的流程示意图,该权限控制方法可应用于图1所示的系统框架中的电子设备。如图3所示,该方法包括:
301、电子设备接收授权请求,上述授权请求用于请求物联网终端的控制权限。
本申请实施例中,上述授权请求可以请求获得物联网终端的控制权限。举例来说,承租方为了打开出租方安装有物联网终端的公寓的房门,需要出租方以及中介机构的共同许可才可以打开房门,则上述授权请求可用于请求该房门的控制权限,更形象的说,该授权请求可用于请求打开该房门。也就是说,最终承租方获得了使用该物联网终端(如智能家具产品)打开房门的权限,等等。可理解,本申请实施例对上述授权请求的具体内容不作限定。
302、上述电子设备授权处理上述授权请求,得到授权结果。
本申请实施例中,授权上述授权请求的过程可以理解为对上述物联网终端发送的授权请求的授权签名过程,则上述授权结果即为授权签名结果。
具体的,本申请实施例提供了一种对上述授权请求授权处理的方法,即对上述授权请求进行授权签名的方法。如下所示:
在一种可能的实现方式中,上述电子设备包括安全芯片,上述安全芯片用于存储目标公钥,上述目标公钥对应的目标私钥包括第二分散密钥,上述第二分散密钥存储于上述电子设备中,上述电子设备授权处理上述授权请求,得到授权结果,包括:
上述电子设备通过上述第二分散密钥对上述授权请求进行签名得到第二授权签名,根据上述第二授权签名确定授权处理上述授权请求。
本申请实施例中,对上述授权请求进行授权签名的方法的具体实现方式可参考图2b所示步骤212所示的实现方式。可理解,本申请实施例中只描述了N 个电子设备中其中任意一个电子设备授权签名的过程,至于其他电子设备的授权签名过程可参考上述电子设备的授权签名过程,在此不再一一详述。
实施本申请实施例,通过N个上述电子设备对上述授权请求的授权签名,可以确保授权请求的唯一性,避免某一方对授权请求进行篡改,能够有效保证授权请求的合法性。
303、上述电子设备向物联网终端发送上述授权结果。
本申请实施例中,上述电子设备可以将携带有上述授权结果(即第二授权签名)发送给上述物联网终端。
实施本申请实施例,上述电子设备通过接收上述授权请求;然后对上述授权请求进行签名,并附上授权签名结果;最后将授权结果(即授权签名)发送给上述物联网终端。实施本申请实施例,能够高效、简单且安全的实现对授权请求的授权签名,有效提高效率。
参见图4,图4是本申请实施例提供的又一种权限控制方法的流程示意图,该权限控制方法可应用于图1所示的系统。如图4所示,该方法包括:
401、物联网终端获取授权请求,上述授权请求用于请求上述物联网终端的控制权限。
其中,上述授权请求可以请求获得物联网终端的控制权限。举例来说,承租方为了打开出租方安装有物联网终端的公寓的房门,需要出租方以及中介机构的共同许可才可以打开房门,则上述授权请求可用于请求该房门的控制权限,更形象的说,该授权请求可用于请求打开该房门。也就是说,最终承租方获得了使用该物联网终端(如智能家具产品)打开房门的权限,等等。可理解,本申请实施例对上述授权请求的具体内容不作限定。
402、上述物联网终端向M个电子设备中的每个电子设备发送上述授权请求,电子设备接收上述授权请求,上述授权请求用于请求上述物联网终端的控制权限。
本申请实施例中,上述物联网终端发送授权请求给上述电子设备,且上述电子设备接收来自上述物联网终端的授权请求,该授权请求用于请求上述物联网终端的控制权限。
403、上述电子设备授权处理上述授权请求,得到授权结果。
本申请实施例中,授权上述授权请求的过程可以理解为对上述物联网终端发送的授权请求的授权签名过程,则上述授权结果即为授权签名。可理解,该授权结果可用于指示物联网终端授权通过上述授权请求。
404、上述电子设备向物联网终端发送上述授权结果,物联网终端接收电子设备发送的上述授权结果。
本申请实施例中,上述电子设备可以将携带有授权通过的授权结果(即N 个授权签名)信息发送给上述物联网终端。
405、上述物联网终端确定上述M个电子设备中至少N个电子设备中的每个电子设备通过上述授权请求,上述M大于或等于上述N。
本申请实施例中,上述物联网终端能够判断来自电子设备的授权结果的数量是否达到必要的最少预定数量N(即预定授权比例),当授权结果的数量达到数量N+1(包括物联网终端自身的第一授权签名)时,上述物联网终端可以继续接收来自上述电子设备的授权结果,也可以停止接收该授权结果。可理解,本申请实施例对于物联网终端接收的授权结果具体数量不作限定。
406、上述物联网终端确定拥有上述物联网终端的控制权限。
本申请实施例中,上述物联网终端可以将达到授权比例的授权结果用于执行上述授权请求,实现对该授权请求的具体操作,即获得该物联网终端的使用控制权限。可理解,本申请实施例对上述执行处理请求的具体内容不作限定。
实施本申请实施例,当一个物联网终端发起授权请求时,述物联网终端能够将该授权请求发送给其他物联网终端,上述物联网终端通过判断其他物联网终端签名授权的比例,最终实现多方授权交易,能够有效提高多方授权的效率。
可理解,图1、图2a、图2b、图3和图4所示的方法各有侧重,因此在一个实施例中未详尽描述的实现方式还可参考其他实施例,这里不再一一详述。
上述详细阐述了本申请实施例的方法,下面提供了本申请实施例的终端。
参见图5,图5是本申请实施例提供的一种物联网终端的结构示意图,该物联网终端可用于执行图2a、图2b所示的方法,如图5所示,该物联网终端包括:
获取单元501,用于物联网终端获取授权请求,上述授权请求用于请求上述物联网终端的控制权限;
发送单元502,用于上述物联网终端向M个电子设备中的每个电子设备发送上述授权请求;
第一确定单元503,用于上述物联网终端确定上述M个电子设备中至少N 个电子设备中的每个电子设备通过上述授权请求,上述M大于或等于上述N;
第二确定单元504,上述物联网终端确定拥有上述物联网终端的控制权限。
实施本申请实施例,当一个物联网终端获取到授权请求时,且该授权请求用于请求该物联网终端的控制权限时,上述物联网终端能够将该授权请求发送给其他电子设备,上述物联网终端通过判断其他电子设备签名授权的比例,最终实现多方授权过程,能够有效提高多方授权的效率。
可选的,图6是本申请实施例提供的另一种物联网终端的结构示意图,如图6所示,上述终端还包括:
处理单元505,用于上述物联网终端授权处理上述授权请求;
上述第二确定单元504,具体用于在上述物联网终端通过上述授权请求的情况下,上述物联网终端确定拥有上述物联网终端的控制权限。
可选的,如图6所示,上述终端包括:
上述处理单元505,具体用于上述物联网终端通过上述第一分散密钥对上述授权请求进行签名得到第一授权签名,根据上述第一授权签名确定授权处理上述授权请求。
可选的,图6是本申请实施例提供的另一种物联网终端的结构示意图,如图6所示,上述终端还包括:
合成单元506,用于上述物联网终端对上述第一授权签名和上述N个授权签名进行合成,得到目标签名结果;
上述第二确定单元504,具体用于在所述目标签名结果通过授权的情况下,上述物联网终端确定拥有上述物联网终端的控制权限。
可选的,图7为本申请实施例提供的一种第二确定单元的结构示意图,如图7所示,上述第二确定单元504包括:
第一确定子单元5041,用于上述物联网终端通过上述目标签名结果确定上述目标私钥;
第二确定子单元5042,用于上述物联网终端通过上述目标公钥验证上述目标私钥,在上述目标私钥通过验证的情况下,上述物联网终端确定拥有上述物联网终端的控制权限。
可理解,图5、图6和图7所示的物联网终端的具体实现方式还可参考图 2a、图2b所示的方法,这里不再一一详述。
参见图8,图8是本申请实施例提供的一种电子设备的结构示意图,该电子设备可用于执行图3所示的方法,如图8所示,该电子设备包括:
接收单元801,用于电子设备接收授权请求,上述授权请求用于请求物联网终端的控制权限;
处理单元802,用于上述电子设备授权处理上述授权请求,得到授权结果;
发送单元803,用于上述电子设备向物联网终端发送上述授权结果。
可选的,如图8所示,上述电子设备包括:
上述处理单元802,上述电子设备通过上述第二分散密钥对上述授权请求进行签名得到第二授权签名,根据上述第二授权签名确定授权处理上述授权请求。
本申请实施例中,上述电子设备通过接收上述授权请求;然后对上述授权请求中的授权请求进行加密,并附上授权签名结果;最后将授权结果(即授权签名)发送给上述物联网终端。实施本申请实施例,能够高效、简单且安全的实现对授权请求的授权签名,有效提高效率。
可理解,图8所示的物联网终端的具体实现方式还可参考图3所示的方法,这里不再一一详述。
参见图9,图9是本申请实施例提供的一种权限控制装置的结构示意图。该物联网终端包括处理器901,还可以包括输入接口902、输出接口903和存储器 904。该输入接口902、输出接口903、存储器904和处理器901之间通过总线相互连接。
存储器包括但不限于是随机存储记忆体(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程只读存储器(erasable programmable readonly memory,EPROM)、或便携式只读存储器(compact disc read-only memory,CD-ROM),该存储器用于相关指令及数据。
输入接口用于输入数据和/或信号,以及输出接口用于输出数据和/或信号。输出接口和输入接口可以是独立的器件,也可以是一个整体的器件。
处理器可以包括是一个或多个处理器,例如包括一个或多个中央处理器(central processing unit,CPU),在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
存储器用于存储物联网终端的程序代码和数据。
处理器用于调用该存储器中的程序代码和数据,执行上述方法实施例中的步骤。
如在一个实施例中,处理器可用于执行步骤201、步骤203以及步骤204所示的实现方式。以及该处理器还可用于执行步骤211、步骤212、步骤214以及步骤215所示的实现方式。以及该处理器还可用于执行步骤302所示的实现方式。以及该处理器还可用于执行步骤401、步骤403、步骤405以及步骤406所示的实现方式。
又如在一个实施例中,处理器还可用于执行第一确定单元503和第二确定单元504所示的方法等等。
又如在一个实施例中,在一些可能的实现方式中,该输入接口可用于执行获取单元501所示的方法,输出接口还可用于执行发送单元502所示的方法。
又如在一个实施例中,处理器还可用于执行处理单元802所示的方法等等。
又如在一个实施例中,在一些可能的实现方式中,该输入接口可用于执行接收单元801所示的方法,输出接口还可用于执行发送单元803所示的方法。
对于处理器和/或输入输出接口的具体实现方式可参见方法实施例中的描述,在此不再赘述。
可以理解的是,图9仅仅示出了物联网终端的简化设计。在实际应用中,物联网终端还可以分别包含必要的其他元件,包含但不限于任意数量的输入/输出接口、处理器、控制器、存储器等,而所有可以实现本申请实施例的物联网终端都在本申请的保护范围之内。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的终端和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,该流程可以由计算机程序来指令相关的硬件完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。而前述的存储介质包括:ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。
Claims (9)
1.一种权限控制方法,其特征在于,包括:
物联网终端获取授权请求,所述授权请求用于请求所述物联网终端的控制权限;
所述物联网终端向M个电子设备中的每个电子设备发送所述授权请求,所述M个电子设备共有所述物联网终端的控制权限;
所述物联网终端存储的目标公钥对应的目标私钥包括第一分散密钥和M个分散密钥,所述第一分散密钥存储于所述物联网终端中,所述M个分散密钥分别存储于所述M个电子设备中;
所述物联网终端通过所述第一分散密钥对所述授权请求进行签名得到第一授权签名;
所述物联网终端确定所述M个电子设备中至少N个电子设备中的每个电子设备通过所述授权请求,所述M大于或等于所述N;其中,所述M个分散密钥中的N个分散密钥用于对所述授权请求进行签名得到N个授权签名;
所述物联网终端对所述第一授权签名和所述N个授权签名进行合成,得到目标签名结果;
在所述目标签名结果通过授权的情况下,所述物联网终端确定拥有所述物联网终端的控制权限。
2.根据权利要求1所述的方法,其特征在于,所述物联网终端获取授权请求之后,以及所述物联网终端确定拥有所述物联网终端的控制权限之前,所述方法还包括:
所述物联网终端授权处理所述授权请求。
3.根据权利要求2所述的方法,其特征在于,所述物联网终端包括安全芯片,所述安全芯片用于存储目标公钥,所述物联网终端授权处理所述授权请求,包括:
根据所述第一授权签名确定授权处理所述授权请求。
4.根据权利要求1所述的方法,其特征在于,所述物联网终端确定拥有所述物联网终端的控制权限,包括:
所述物联网终端通过所述目标签名结果确定所述目标私钥;
所述物联网终端通过所述目标公钥验证所述目标私钥,在所述目标私钥通过验证的情况下,所述物联网终端确定拥有所述物联网终端的控制权限。
5.一种权限控制方法,其特征在于,包括:
电子设备接收授权请求,所述授权请求用于请求物联网终端的控制权限,所述电子设备具有所述物联网终端的控制权限,所述电子设备存储有对应的第二分散密钥,所述第二分散密钥用于对所述授权请求进行签名得到授权签名;
所述电子设备授权处理所述授权请求,得到授权结果,包括:所述电子设备通过所述第二分散密钥对所述授权请求进行签名得到第二授权签名,根据所述第二授权签名确定授权处理所述授权请求;
所述电子设备向物联网终端发送所述授权结果。
6.根据权利要求5所述的方法,其特征在于,所述电子设备包括安全芯片,所述安全芯片用于存储目标公钥,所述目标公钥对应的目标私钥包括所述第二分散密钥。
7.一种物联网终端,其特征在于,包括:处理器和存储器,所述处理器与所述存储器耦合,所述存储器中存储有程序指令;所述程序指令被所述处理器执行时,使所述处理器执行如权利要求1至4任意一项所述的方法的相应功能。
8.一种电子设备,其特征在于,包括:处理器和存储器,所述处理器与所述存储器耦合,所述存储器中存储有程序指令;所述程序指令被所述处理器执行时,使所述处理器执行如权利要求5或6所述的方法的相应功能。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被物联网终端的处理器执行时,使所述处理器执行权利要求1至4任意一项所述的方法;或者,使所述处理器执行权利要求5或6所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811566676.1A CN109768969B (zh) | 2018-12-20 | 2018-12-20 | 权限控制方法及物联网终端、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811566676.1A CN109768969B (zh) | 2018-12-20 | 2018-12-20 | 权限控制方法及物联网终端、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109768969A CN109768969A (zh) | 2019-05-17 |
| CN109768969B true CN109768969B (zh) | 2021-09-10 |
Family
ID=66450806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811566676.1A Active CN109768969B (zh) | 2018-12-20 | 2018-12-20 | 权限控制方法及物联网终端、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109768969B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112995264B (zh) | 2019-12-18 | 2022-08-19 | 花瓣云科技有限公司 | 防止数据误删除的方法、设备及存储介质 |
| CN112231942B (zh) * | 2020-12-15 | 2021-03-16 | 长沙树根互联技术有限公司 | 物模型处理方法、装置和电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935583A (zh) * | 2015-05-29 | 2015-09-23 | 四川长虹电器股份有限公司 | 一种云端服务平台、信息处理方法及数据处理系统 |
| CN105827691A (zh) * | 2016-03-08 | 2016-08-03 | 中国联合网络通信集团有限公司 | 物联网设备控制方法及装置 |
| CN107016294A (zh) * | 2017-02-14 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 一种数据权限控制方法和装置 |
| CN107566116A (zh) * | 2017-06-15 | 2018-01-09 | 中国银联股份有限公司 | 用于数字资产确权登记的方法及装置 |
| CN108023875A (zh) * | 2017-11-16 | 2018-05-11 | 广州视源电子科技股份有限公司 | 一种设备授权方法及系统 |
| CN109040026A (zh) * | 2018-07-11 | 2018-12-18 | 深圳市网心科技有限公司 | 一种数字资产的授权方法、装置、设备及介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108809775B (zh) * | 2018-06-01 | 2020-07-10 | 上海掌门科技有限公司 | 对智能设备进行控制的方法及设备 |
-
2018
- 2018-12-20 CN CN201811566676.1A patent/CN109768969B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935583A (zh) * | 2015-05-29 | 2015-09-23 | 四川长虹电器股份有限公司 | 一种云端服务平台、信息处理方法及数据处理系统 |
| CN105827691A (zh) * | 2016-03-08 | 2016-08-03 | 中国联合网络通信集团有限公司 | 物联网设备控制方法及装置 |
| CN107016294A (zh) * | 2017-02-14 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 一种数据权限控制方法和装置 |
| CN107566116A (zh) * | 2017-06-15 | 2018-01-09 | 中国银联股份有限公司 | 用于数字资产确权登记的方法及装置 |
| CN108023875A (zh) * | 2017-11-16 | 2018-05-11 | 广州视源电子科技股份有限公司 | 一种设备授权方法及系统 |
| CN109040026A (zh) * | 2018-07-11 | 2018-12-18 | 深圳市网心科技有限公司 | 一种数字资产的授权方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109768969A (zh) | 2019-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110046996B (zh) | 数据处理方法和装置 | |
| CN109697365B (zh) | 信息处理方法及区块链节点、电子设备 | |
| EP3257194B1 (en) | Systems and methods for securely managing biometric data | |
| EP3850786B1 (en) | System and method for secure multi-party computation based blockchain transactions | |
| CN112232814B (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
| CN101163009A (zh) | 用户认证系统、认证服务器、终端以及防篡改设备 | |
| CN110690956B (zh) | 双向认证方法及系统、服务器和终端 | |
| US11436597B1 (en) | Biometrics-based e-signatures for pre-authorization and acceptance transfer | |
| CN111131336B (zh) | 多方授权场景下的资源访问方法、装置、设备及存储介质 | |
| KR102234825B1 (ko) | 암호 동작들의 안전한 수행 | |
| US20220337400A1 (en) | System and method of management of a shared cryptographic account | |
| CN110942382A (zh) | 电子合同的生成方法、装置、计算机设备及存储介质 | |
| CN111970114A (zh) | 文件加密方法、系统、服务器和存储介质 | |
| CN110838919B (zh) | 通信方法、存储方法、运算方法及装置 | |
| CN109768969B (zh) | 权限控制方法及物联网终端、电子设备 | |
| US11070378B1 (en) | Signcrypted biometric electronic signature tokens | |
| CN113205342A (zh) | 基于多端支付的用户身份验证方法及装置 | |
| JP6791263B2 (ja) | 暗号文照合システム及び暗号文照合方法 | |
| CN117240625A (zh) | 一种涉及防篡改的数据处理方法、装置及电子设备 | |
| US8755521B2 (en) | Security method and system for media playback devices | |
| CN113595742B (zh) | 数据传输方法、系统、计算机设备和存储介质 | |
| CN113810178B (zh) | 密钥管理方法、装置、系统及存储介质 | |
| CN107302542B (zh) | 基于生物特征的通信方法、装置 | |
| CN113282934B (zh) | 数据处理方法及装置 | |
| CN115361168B (zh) | 一种数据加密方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |