CN109981689A - 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 - Google Patents
物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 Download PDFInfo
- Publication number
- CN109981689A CN109981689A CN201910354377.XA CN201910354377A CN109981689A CN 109981689 A CN109981689 A CN 109981689A CN 201910354377 A CN201910354377 A CN 201910354377A CN 109981689 A CN109981689 A CN 109981689A
- Authority
- CN
- China
- Prior art keywords
- things
- domain
- internet
- authentication result
- identity authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种物联网场景下跨域逻辑强隔离与安全访问控制方法及装置,其中,该方法包括:当某台物联网网关接收到身份认证请求后,该网关将此请求广播到域内的其它物联网网关上;域内的物联网网关接收到身份认证请求后,开始独立验证是否该身份认证请求是否合法;某台物联网网关得出身份认证结果后,启动分布式共识机制;域内的物联网网关通过分布式共识机制对认证结果达成共识,而后身份认证结果被写入区块存储起来,这些区块形成区块链。由此,域内的物联网网关以分布式共识机制进行访问控制,实现跨域逻辑强隔离,有效提升了物联网系统的安全性,并且身份认证结果存储在区块链中的区块上,具有公开透明和可追溯的特性。
Description
技术领域
本发明涉及网络空间安全技术领域,特别涉及一种物联网场景下跨域逻辑强隔离与安全访问控制方法及装置。
背景技术
访问控制技术是网络空间安全领域的重要研究内容,该技术旨在防止对任何资源进行的未授权访问,确保计算机系统在合法的范围内使用。根据国际电信联盟的定义,物联网主要解决物品与物品、物品与人、人与人之间的互联。在物联网(Internet of Things)场景中,物联网节点通常算力有限,难以完成复杂的计算操作和访问控制,所以被劫持的风险很高;物联网节点数量大,如果物联网节点被劫持,黑客可以借助物联网节点在数量上的优势实施DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,极大危害网络安全;物联网节点与人类生活息息相关,因此物联网节点通常记录了人们的隐私数据,若被劫持,可能会造成严重的隐私泄漏。瑞士苏黎世大学的Mattern团队曾经总结了从互联网到物联网的转变过程中可能会面临的一系列安全问题,其中尤为强调了访问控制问题。因此,研究物联网场景下的访问控制机制具有重要意义。
近年来,随着物联网的广泛应用,物联网场景中有大量关于访问控制方面的研究。目前,物联网中的访问控制解决方案大致从两个层面开展工作。第一,是从协议和框架(Protocols and Frameworks)层面入手,代表性工作包括XACML(Extensible AccessControl Markup Language)、OAUTH(Access control solutions based on OpenAuthorization protocol)、UMA(User-Managed Access)等;第二,是从模型(Models)层面入手,代表性工作包括RBAC(Role-Based Access Control)、ABAC(Attribute-BasedAccess Control)、CAPBAC(Capability-based access control)、UCON(usage control)、ORBAC(Organizational-Based Access Control)等。尽管这些方案从各个层面上增强了物联网系统的安全性,但是从宏观来看,在上述解决方案中,访问控制通常由单一认证节点(比如物联网网关)完成,并且通常假设这个认证节点是可信的、安全的。这导致一个问题:如果该认证节点被劫持,该域内的所有物联网设备和用户数据就处于风险之中;尽管在某些解决方案中,域内可以部署多个认证节点,但是这些认证节点之间通常互为备份,这仅为提升系统可靠性考虑,只要多个认证节点中有一个认证节点被劫持,即可极大威胁身份认证安全,并无法有效提升系统安全性。此外,尽管相对于物联网节点来说,物联网网关具备较多的计算资源,但是仍然无法支持复杂的身份认证过程,总是假设认证节点是安全的或者可信的是不现实的,所以上述采用单认证节点的访问控制方案安全性仍有提升空间。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种物联网场景下跨域逻辑强隔离与安全访问控制方法,该方法克服单认证节点方案存在的弊端,具有高安全性、透明和可追溯等特点。
本发明的另一个目的在于提出一种物联网场景下跨域逻辑强隔离与安全访问控制装置。
为达到上述目的,本发明一方面实施例提出了一种物联网场景下跨域逻辑强隔离与安全访问控制方法,包括:
S1,域内目标物联网网关获取域外主机的身份认证请求,将所述身份认证请求封装为请求发布数据包,并以广播的方式发送所述请求发布数据包至域内其它的物联网网关;
S2,域内所有的物联网网关对所述请求发布数据包进行认证以生成身份认证结果;
S3,域内任一物联网网关生成所述身份认证结果后,启动分布式共识机制,并计算与所述分布式共识机制相符合的合法数字串,将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关;
S4,域内其它的物联网网关通过所述分布式共识机制和节点同步机制对所述身份认证结果和所述合法数字串进行验证达成共识,将所述身份认证结果写入区块进行存储,生成区块链;
S5,所述域内目标物联网网关扫描本地通过所述节点同步机制同步更新并存储的所述区块链是否存在所述身份认证结果,若存在,则将所述身份认证结果发送给所述域外主机,若不存在,则继续扫描。
本发明实施例的物联网场景下跨域逻辑强隔离与安全访问控制方法,当某台物联网网关接收到身份认证请求后,将此认证请求发布给域内的其它物联网网关,域内的物联网网关分别对此发送此请求的主机进行身份认证,并以分布式共识机制对身份认证的结果达成共识。由此,域内的物联网网关以分布式共识机制进行访问控制,实现跨域逻辑强隔离,有效提升了物联网系统的安全性,并且身份认证结果以区块形式存储,便于检索查阅,具有公开透明和可追溯的特性。
另外,根据本发明上述实施例的物联网场景下跨域逻辑强隔离与安全访问控制方法还可以具有以下附加的技术特征:
进一步地,所述域内所有的物联网网关对所述请求发布数据包进行认证生成身份认证结果,包括:
域内所有的物联网网关接收到所述请求发布数据包后,提取所述请求发布数据包中的身份信息,并根据本地存储的合法身份证书对所述身份信息进行认证生成身份认证结果。
进一步地,所述S3,还包括:所述域内任一物联网网关生成所述身份认证结果后,若在计算出与所述分布式共识机制相符合的合法数字串之前,域内另一物联网网关计算出所述身份认证结果和所述合法数字串,则由另一域内物联网网关启动所述分布式共识机制,将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关。
进一步地,所述S4,进一步包括:
S41,域内所有的物联网网关验证接收到的所述身份认证结果与本物联网网关生成的认证结果是否相同,若不同,则不认可所述身份认证结果,丢弃所述身份认证结果,执行S42,若相同,则执行S43;
S42,计算与所述分布式共识机制相符合的所述合法数字串,计算完成后,启动所述分布式共识机制,将本物联网网关的认证结果和所述合法数字串发送至域内所有的物联网网关,执行S41;
S43,验证所述合法数字串是否符合所述分布式共识机制规定的条件,若不符合,则执行S42,若符合,通过所述分布式共识机制和所述节点同步机制对所述身份认证结果和所述合法数字串达成共识,将所述身份认证结果写入区块进行存储,生成所述区块链。
进一步地,所述节点同步机制为域内所有的物联网网关在对所述身份认证结果和所述合法数字串进行验证时,域内所有的物联网网关的区块链进行信息交互,将所述区块链进行同步存储。
为达到上述目的,本发明另一方面实施例提出了一种物联网场景下跨域逻辑强隔离与安全访问控制装置,包括:
获取模块,用于域内目标物联网网关获取域外主机的身份认证请求,将所述身份认证请求封装为请求发布数据包,并以广播的方式发送所述请求发布数据包至域内其它的物联网网关;
生成模块,用于域内所有的物联网网关对所述请求发布数据包进行认证以生成身份认证结果;
发送模块,用于域内任一物联网网关生成所述身份认证结果后,启动分布式共识机制,并计算与所述分布式共识机制相符合的合法数字串,将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关;
验证模块,用于域内其它的物联网网关通过所述分布式共识机制和节点同步机制对所述身份认证结果和所述合法数字串进行验证达成共识,将所述身份认证结果写入区块进行存储,生成区块链;
扫描模块,用于所述域内目标物联网网关扫描本地通过所述节点同步机制同步更新并存储的所述区块链是否存在所述身份认证结果,若存在,则将所述身份认证结果发送给所述域外主机,若不存在,则继续扫描。
本发明实施例的物联网场景下跨域逻辑强隔离与安全访问控制装置,当某台物联网网关接收到身份认证请求后,将此认证请求发布给域内的其它物联网网关,域内的物联网网关分别对此发送此请求的主机进行身份认证,并以分布式共识机制对身份认证的结果达成共识。由此,域内的物联网网关以分布式共识机制进行访问控制,实现跨域逻辑强隔离,有效提升了物联网系统的安全性,并且身份认证结果以区块形式存储,便于检索查阅,具有公开透明和可追溯的特性。
另外,根据本发明上述实施例的物联网场景下跨域逻辑强隔离与安全访问控制装置还可以具有以下附加的技术特征:
进一步地,所述生成模块,具体用于,
域内所有的物联网网关接收到所述请求发布数据包后,提取所述请求发布数据包中的身份信息,并根据本地存储的合法身份证书对所述身份信息进行认证生成身份认证结果。
进一步地,所述发送模块,还用于,
所述域内任一物联网网关生成所述身份认证结果后,若在计算出与所述分布式共识机制相符合的合法数字串之前,域内另一物联网网关计算出所述身份认证结果和所述合法数字串,则由另一域内物联网网关启动所述分布式共识机制,将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关。
进一步地,包括身份认证单元、计算单元和数字串验证单元;
所述身份认证单元,用于域内所有的物联网网关验证接收到的所述身份认证结果与本物联网网关生成的认证结果是否相同,若不同,则不认可所述身份认证结果,丢弃所述身份认证结果,执行所述计算单元,若相同,则执行所述数字串验证单元;
所述计算单元,用于计算与所述分布式共识机制相符合的所述合法数字串,计算完成后,启动所述分布式共识机制,将本物联网网关的认证结果和所述合法数字串发送至域内所有的物联网网关,执行所述身份认证单元;
所述数字串验证单元,用于验证所述合法数字串是否符合所述分布式共识机制规定的条件,若不符合,则执行所述计算单元,若符合,通过所述分布式共识机制和所述节点同步机制对所述身份认证结果和所述合法数字串达成共识,将所述身份认证结果写入区块进行存储,生成所述区块链。
进一步地,所述节点同步机制为域内所有的物联网网关在对所述身份认证结果和所述合法数字串进行验证时,域内所有的物联网网关的区块链进行信息交互,将所述区块链进行同步存储。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明一个实施例的物联网场景下跨域逻辑强隔离与安全访问控制方法流程图;
图2为根据本发明一个实施例的物联网网关发送的请求发布数据包结构示意图;
图3为根据本发明一个实施例的广播身份认证结果数据包的示意图;
图4为根据本发明另一个实施例的物联网场景下跨域逻辑强隔离与安全访问控制方法流程图;
图5为根据本发明一个实施例的记录身份认证结果的区块链结构示意图;
图6为根据本发明一个实施例的物联网场景下跨域逻辑强隔离与安全访问控制方法的系统结构图;
图7为根据本发明又一个实施例的物联网场景下跨域逻辑强隔离与安全访问控制方法流程图;
图8为根据本发明一个实施例的物联网场景下跨域逻辑强隔离与安全访问控制装置结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参照附图描述根据本发明实施例提出的物联网场景下跨域逻辑强隔离与安全访问控制方法及装置。
首先将参照附图描述根据本发明实施例提出的物联网场景下跨域逻辑强隔离与安全访问控制方法。
图1为根据本发明一个实施例的物联网场景下跨域逻辑强隔离与安全访问控制方法流程图。
如图1所示,该物联网场景下跨域逻辑强隔离与安全访问控制方法包括以下步骤:
步骤S1,域内目标物联网网关获取域外主机的身份认证请求,将身份认证请求封装为请求发布数据包,并以广播的方式发送请求发布数据包至域内其它的物联网网关。
具体地,域内的物联网网关自组成网,域内的某台物联网网关收到域外的主机的身份认证请求后,将身份认证请求中携带的信息封装到请求发布数据包中,并以广播的方式将请求发布数据包发送给域内的其它的物联网网关,共享该身份认证请求的信息。
比如,域内物联网有A、B、C、D和E共5个网关组成,网关A收到一个身份认证请求R,将R中携带的信息进行封装后发送给B、C、D和E,5个网关共同对该身份认证请求R进行处理。
如图2所示,展示了物联网网关发送的请求发布数据包结构,其中,时间戳Timestamp字段128位,表示本消息发送的时刻;消息类型MsgType字段64位,表明消息类型;ID字段128位,填写发送本消息的物联网网关的独有编码;认证信息AuthInfo字段4096位,填写身份认证信息。
步骤S2,域内所有的物联网网关对请求发布数据包进行认证以生成身份认证结果。
具体地,域内其它的物联网网关收到域内目标物联网网关发送的携带身份认证请求信息的请求发布数据包后,通过预先设定的方式对请求发布数据包进行认证,生成身份认证结果。
对请求数据包进行认证有多种方式,作为一种可能实现的方式,域内所有的物联网网关可以在接收到请求发布数据包后,提取请求发布数据包中的身份信息,并根据本地存储的合法身份证书对身份信息进行认证生成身份认证结果。
需要说明的是,域内所有的物联网网关都对请求发布数据包进行认证,生成身份认证结果,多个身份认证结果可以相同,也可以不相同。并且每个物联网网关的计算速度不同,多个物联网网关先后计算出多个身份认证结果。
比如,根据上述的实施例,A、B、C、D和E,5个物联网网关都对请求发布数据包进行认证,生成对应的5个身份认证结果,5个身份认证结果可以相同,也可以不相同。
步骤S3,域内任一物联网网关生成身份认证结果后,启动分布式共识机制,并计算与分布式共识机制相符合的合法数字串,将身份认证结果和合法数字串发送至域内其它的物联网网关。
具体地,由于物联网网关的计算速度有差异,因此,首先计算出身份认证结果的域内任一物联网网关,启动分布式共识机制将计算出的身份认证结果在域内广播至域内除自身外的其它物联网网关,在广播身份认证结果之前,还要计算与分布式共识机制相符合的合法数字串,将身份认证结果和合法数字串一同在域内广播至其它的物联网网关。
需要说明的是,域内任一物联网网关生成身份认证结果后,若在计算出与分布式共识机制相符合的合法数字串之前,域内另一物联网网关先计算出身份认证结果和合法数字串,则由另一域内物联网网关启动所述分布式共识机制,将身份认证结果和所述合法数字串发送至域内其它的物联网网关。
可以理解的是,域内所有的物联网网关都在计算身份认证结果与分布式共识机制相符的合法数字串,首先计算出二者的物联网网关才可以将身份认证结果和合法数字串发送至其它物联网网关。
举例而言,根据上述的实施例,比如,A、B、C、D和E,5个物联网网关都生成身份认证结果,其中,C首先生成身份认证结果,再计算合法数字串,在C完成合法数字串的计算时,其它4个物联网网关都没有完成合法数字串的计算,则C启动分布式机制,将C生成的身份认证结果和合法数字串在域内以广播的方式发送给A、B、D和E,4个物联网网关。
又如,A、B、C、D和E,5个物联网网关都生成身份认证结果,其中,C首先生成身份认证结果,在C计算合法数字串的过程中,E生成身份认证结果后,在C之前计算出符合分布式共识机制的合法数字串,则E启动分布式共识机制,将E生成的身份认证结果和合法数字串在域内以广播的方式发送给A、B、C和D,4个物联网网关。
如图3所示,展示了认证完成且得出合法数字串的物联网网关发送的广播数据包结构,广播数据包中包括身份认证结果和合法数字串,其中,时间戳Timestamp字段128位,表示本消息发送的时刻;消息类型MsgType字段64位,表明消息类型;ID字段128位,填写发送本消息的物联网网关的独有编码;数字字串NumString字段1024位,填写本物联网网关得到的符合分布式共识机制规定的合法数字串;认证结果AuthResult字段长度可变,最短不低于128位,最长不超过3776位,填写本物联网网关得到的身份认证结果。
步骤S4,域内其它的物联网网关通过分布式共识机制和节点同步机制对身份认证结果和合法数字串进行验证达成共识,将身份认证结果写入区块进行存储,生成区块链。
可以理解的是,在每个物联网网关内都存在身份认证结果和合法数字串后,通过分布式共识机制和节点同步机制对二者进行验证,验证通过后才认可身份认证结果。
其中,分布式共识机制有很多种,具体使用哪种分布式共识机制不做限定,区块链也有自身的节点同步机制,节点之间通过节点同步机制可以将各自存储的区块链统一起来,不同的区块链系统的同步机制可能有所不同,在某个区块链系统中可能有多种同步机制,具体使用哪种节点同步机制不做限定,比如可以使用比特币区块链中的初始化区块下载(Initial Block Download,IBD)同步机制,也可使用其它节点同步机制。
作为一种可能实现的方式,分布式共识机制采用工作量证明的方式(Proof ofWork,PoW),如图4所示,步骤S4具体包括:
S41,域内所有的物联网网关验证接收到的身份认证结果与本物联网网关生成的认证结果是否相同,若不同,则不认可身份认证结果,丢弃身份认证结果,执行S42,若相同,则执行S43;
S42,计算与分布式共识机制相符合的合法数字串,计算完成后,启动分布式共识机制,将本物联网网关的认证结果和合法数字串发送至域内所有的物联网网关,执行S41;
S43,验证合法数字串是否符合分布式共识机制规定的条件,若不符合,则执行S42,若符合,通过分布式共识机制和节点同步机制对身份认证结果和合法数字串达成共识,将身份认证结果写入区块进行存储,生成区块链。
具体地,和通常的PoW(工作量证明)分布式共识机制相比,当某个物联网网关计算出PoW所需的合法数字串后,该网关需要将其得到的身份认证结果和该合法数字串一同在域内广播。其它物联网网关接收到该广播后,首先核对该广播数据包中的身份认证结果是否与本网关得到的身份认证结果相同,若不同,则直接丢弃该数据包;若相同,则验证合法数字串是否符合PoW规定的条件。只有广播数据包中的身份认证结果与本网关得到的身份认证结果相同并且广播数据包携带的合法数字串符合特定条件时,本物联网网关才认可身份认证结果和合法数字串对应的物联网网关生成新的区块,最终将其链接到域内的区块链中。
举例而言,根据上述的实施例,A、B、D、E收到C发送的身份认证结果和合法数字串后,进行验证,比如,A验证C发送的身份认证结果与本网关生成的身份认证结果是否相同,若相同,则再验证合法数字串,若合法数字串也符合要求,则认可C将该身份认证结果写入区块,存入区块链,并结束合法数字串的计算;若A验证C发送的身份认证结果与本网关生成的身份认证结果不相同,则丢弃该身份认证结果,继续计算合法数字串,计算完成后启动分布式共识机制,过程如上述的实施例,不做赘述;若A验证C发送的身份认证结果与本网关生成的身份认证结果相同,但合法数字串不符合要求,则计算合法数字串,计算完成后启动分布式共识机制,过程如上述实施例,不做赘述。B、D和E同理进行验证,不做赘述。
需要说明的是,域内所有的物联网网关在对身份认证结果和合法数字串进行验证时,域内所有的物联网网关的区块链进行信息交互,将区块链进行同步存储,由此,可以对身份认证结果达成共识,生成区块,写入区块链。
如图5所示,展示了记录身份认证结果的区块链结构示意图,其中,前一区块ID、当前区块ID、时间戳和随机数都是当前主流区块链系统中区块结构的固有内容,其中前一区块ID表示本区块所链接的前一区块的ID,当前区块ID表示本区块的ID,每个区块的ID都是全网唯一的;时间戳表示本区块生成的时刻,随机数是生成本区块的物联网网关得出的符合PoW规定的数字串。DataRecord部分记录了与身份认证相关的数据记录,这些数据记录可以是网络状态、主机信息和身份认证的日志记录等。区块链中的数据记录对于域内的物联网网关而言是公开透明的,且一旦写入区块链就无法被篡改。
步骤S5,域内目标物联网网关扫描本地通过节点同步机制同步更新并存储的区块链是否存在身份认证结果,若存在,则将身份认证结果发送给域外主机,若不存在,则继续扫描。
具体地,在进行验证的过程中,接收到身份认证请求的物联网网关持续扫描本地通过节点同步机制同步更新并存储的区块链,当确认区块链中的区块上包含对身份认证请求的认证结果后,将区块中的身份认证结果反馈给发送身份认真该请求的域外主机。
可以理解的是,不同的分布式共识机制和节点同步机制在生成区块链时有所差异,作为一种可能实现的方式,比如,若采用比特币区块链的分布式共识机制以及区块链的节点同步机制,在扫描时,如果含有该身份认证结果的区块已经在链上并且其该区块后已经链接了6个其它区块,则说明该身份认证结果已经被域内的大多数网关认可,则将身份认证结果返回给发送身份认证请求的域外网关;否则,持续扫描区块链。
进一步地,域内的物联网网关互联成网,共享本域内所有合法主机的身份证书,克服当前物联网场景中,单物联网网关访问控制机制在安全性不足方面的问题,具有高安全性、公开透明和可追溯的特点。
如图6所示,用户(域外主机)向物联网网关发起身份认证请求,域内的物联网网关通过分布式共识机制对身份认证结果达成共识,并将认证结果以区块链的形式存储起来。
在上述实施例中,采用工作量证明(Power of Work)机制达成共识,即物联网网关利用散列算法计算进行大量尝试,生成一串难于计算但易于验证的数字。所谓难于计算,是指物联网网关通常需要经过大量计算才能计算出一个符合条件的数字串;所谓易于验证,是指其它物联网网关可以很容易的验证这个数字串是否符合特定的条件。在这个过程中,因为需要不断尝试不同的随机数,物联网网关需要付出一定的计算资源才能得到符合条件的字符串进而形成新区块,并链接至区块链中。物联网网关的工作量越大(计算时间越长、计算次数越多),就越有可能计算生成新的区块,保证了入侵者只有劫持超过50%的计算资源才有可能篡改身份认证结果。另外,所有成功链接至区块链中的区块都是不可篡改的,也都是所有物联网网关公开可见且获得所有物联网网关认可的。
以一个具体实施例对物联网场景下跨域逻辑强隔离与安全访问控制方法详细说明,如图7所示,物联网网关1接收到某主机H发送的身份认证请求R。物联网网关1将身份认证请求R中携带的身份信息封装到请求发布数据包中,并将该请求发布数据包发送给域内的其它物联网网关。
域内的物联网网关接收到请求发布数据包后,提取数据包内携带的身份信息,并根据本地存储的合法身份证书对该身份信息进行认证。
当物联网网关得到认证结果后,即开始启动分布式共识机制。假设物联网网关采用工作量证明(Proof of Work,PoW)作为分布式共识机制。假设物联网网关3最先计算得到符合PoW规定的合法数字串。
当物联网网关3计算出PoW所需的合法数字串后,该网关将其得到的身份认证结果和该数字串封装在广播数据包中,发送给域内的其它物联网网关。其余物联网网关接收到该广播后,首先核对广播数据包中的身份认证结果是否与本网关得到的身份认证结果相同,若不同,则直接丢弃该数据包,同时继续计算数字串,进行分布式共识机制;若相同,则验证数字串是否符合PoW规定的条件;若不符合条件,则继续计算数字串,进行分布式共识机制;只有广播数据包中的身份认证结果与本网关得到的身份认证结果相同并且广播数据包携带的数字串符合特定条件时,本物联网网关才认可由物联网网关B生成新的区块,停止计算符合条件的数字串,该区块最终链接到域内的区块链中。
在此过程中,接收到身份认证请求的物联网网关1持续扫描域内的区块链,当确认区块链中的区块上包含对身份认证请求R的认证结果后,将区块中的身份认证结果反馈给R的发送者。
根据上述的实施例,物联网场景下跨域逻辑强隔离与安全访问控制方法面向物联网场景,将传统访问控制方案中的单个节点进行认证的模式,扩展为由域中的所有物联网网关通过分布式共识机制完成认证。理论上,只有当域中超过50%的计算资源都被劫持时,才会导致域内的物联网设备受到安全威胁。实现了跨域强逻辑隔离,有效提升了系统安全性。
根据本发明实施例提出的物联网场景下跨域逻辑强隔离与安全访问控制方法,当某台物联网网关接收到身份认证请求后,将此认证请求发布给域内的其它物联网网关,域内的物联网网关分别对此发送此请求的主机进行身份认证,并以分布式共识机制对身份认证的结果达成共识。由此,域内的物联网网关以分布式共识机制进行访问控制,实现跨域逻辑强隔离,有效提升了物联网系统的安全性,并且身份认证结果以区块形式存储,便于检索查阅,具有公开透明和可追溯的特性。
其次参照附图描述根据本发明实施例提出的物联网场景下跨域逻辑强隔离与安全访问控制装置。
图8为根据本发明一个实施例的物联网场景下跨域逻辑强隔离与安全访问控制装置结构示意图。
如图8所示,该物联网场景下跨域逻辑强隔离与安全访问控制装置包括:获取模块100、生成模块200、发送模块300、验证模块400和扫描模块500。
其中,获取模块100,用于域内目标物联网网关获取域外主机的身份认证请求,将身份认证请求封装为请求发布数据包,并以广播的方式发送请求发布数据包至域内其它的物联网网关。
生成模块200,用于域内所有的物联网网关对请求发布数据包进行认证以生成身份认证结果。
发送模块300,用于域内任一物联网网关生成身份认证结果后,启动分布式共识机制,并计算与分布式共识机制相符合的合法数字串,将身份认证结果和合法数字串发送至域内其它的物联网网关。
验证模块400,用于域内其它的物联网网关通过分布式共识机制和节点同步机制对身份认证结果和合法数字串进行验证达成共识,将身份认证结果写入区块进行存储,生成区块链。
扫描模块500,用于域内目标物联网网关扫描本地通过节点同步机制同步更新并存储的区块链是否存在身份认证结果,若存在,则将身份认证结果发送给域外主机,若不存在,则继续扫描。
该装置克服了单认证节点方案存在的弊端,具有高安全性、透明和可追溯等特点。
进一步地,生成模块,具体用于,
域内所有的物联网网关接收到请求发布数据包后,提取请求发布数据包中的身份信息,并根据本地存储的合法身份证书对身份信息进行认证生成身份认证结果。
进一步地,发送模块,还用于,
域内任一物联网网关生成身份认证结果后,若在计算出与分布式共识机制相符合的合法数字串之前,域内另一物联网网关计算出身份认证结果和合法数字串,则由另一域内物联网网关启动分布式共识机制,将身份认证结果和合法数字串发送至域内其它的物联网网关。
进一步地,包括身份认证单元、计算单元和数字串验证单元;
身份认证单元,用于域内所有的物联网网关验证接收到的身份认证结果与本物联网网关生成的认证结果是否相同,若不同,则不认可身份认证结果,丢弃身份认证结果,执行计算单元,若相同,则执行数字串验证单元;
计算单元,用于计算与分布式共识机制相符合的合法数字串,计算完成后,启动分布式共识机制,将本物联网网关的认证结果和合法数字串发送至域内所有的物联网网关,执行身份认证单元;
数字串验证单元,用于验证合法数字串是否符合分布式共识机制规定的条件,若不符合,则执行计算单元,若符合,通过分布式共识机制和节点同步机制对身份认证结果和合法数字串达成共识,将身份认证结果写入区块进行存储,生成区块链
进一步地,节点同步机制为域内所有的物联网网关在对身份认证结果和合法数字串进行验证时,域内所有的物联网网关的区块链进行信息交互,将区块链进行同步存储。
需要说明的是,前述对物联网场景下跨域逻辑强隔离与安全访问控制方法实施例的解释说明也适用于该实施例的装置,此处不再赘述。
根据本发明实施例提出的物联网场景下跨域逻辑强隔离与安全访问控制装置,当某台物联网网关接收到身份认证请求后,将此认证请求发布给域内的其它物联网网关,域内的物联网网关分别对此发送此请求的主机进行身份认证,并以分布式共识机制对身份认证的结果达成共识。由此,域内的物联网网关以分布式共识机制进行访问控制,实现跨域逻辑强隔离,有效提升了物联网系统的安全性,并且身份认证结果以区块形式存储,便于检索查阅,具有公开透明和可追溯的特性。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种物联网场景下跨域逻辑强隔离与安全访问控制方法,其特征在于,包括以下步骤:
S1,域内目标物联网网关获取域外主机的身份认证请求,将所述身份认证请求封装为请求发布数据包,并以广播的方式发送所述请求发布数据包至域内其它的物联网网关;
S2,域内所有的物联网网关对所述请求发布数据包进行认证以生成身份认证结果;
S3,域内任一物联网网关生成所述身份认证结果后,启动分布式共识机制,并计算与所述分布式共识机制相符合的合法数字串,将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关;
S4,域内其它的物联网网关通过所述分布式共识机制和节点同步机制对所述身份认证结果和所述合法数字串进行验证达成共识,将所述身份认证结果写入区块进行存储,生成区块链;
S5,所述域内目标物联网网关扫描本地通过所述节点同步机制同步更新并存储的所述区块链是否存在所述身份认证结果,若存在,则将所述身份认证结果发送给所述域外主机,若不存在,则继续扫描。
2.根据权利要求1所述的方法,其特征在于,所述域内所有的物联网网关对所述请求发布数据包进行认证生成身份认证结果,包括:
域内所有的物联网网关接收到所述请求发布数据包后,提取所述请求发布数据包中的身份信息,并根据本地存储的合法身份证书对所述身份信息进行认证生成身份认证结果。
3.根据权利要求1所述的方法,其特征在于,所述S3,还包括:所述域内任一物联网网关生成所述身份认证结果后,若在计算出与所述分布式共识机制相符合的合法数字串之前,域内另一物联网网关计算出所述身份认证结果和所述合法数字串,则由另一域内物联网网关启动所述分布式共识机制,将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关。
4.根据权利要求1所述的方法,其特征在于,所述S4,进一步包括:
S41,域内所有的物联网网关验证接收到的所述身份认证结果与本物联网网关生成的认证结果是否相同,若不同,则不认可所述身份认证结果,丢弃所述身份认证结果,执行S42,若相同,则执行S43;
S42,计算与所述分布式共识机制相符合的所述合法数字串,计算完成后,启动所述分布式共识机制,将本物联网网关的认证结果和所述合法数字串发送至域内所有的物联网网关,执行S41;
S43,验证所述合法数字串是否符合所述分布式共识机制规定的条件,若不符合,则执行S42,若符合,通过所述分布式共识机制和所述节点同步机制对所述身份认证结果和所述合法数字串达成共识,将所述身份认证结果写入区块进行存储,生成所述区块链。
5.根据权利要求4所述的方法,其特征在于,所述节点同步机制为域内所有的物联网网关在对所述身份认证结果和所述合法数字串进行验证时,域内所有的物联网网关的区块链进行信息交互,将所述区块链进行同步存储。
6.一种物联网场景下跨域逻辑强隔离与安全访问控制装置,其特征在于,包括:
获取模块,用于域内目标物联网网关获取域外主机的身份认证请求,将所述身份认证请求封装为请求发布数据包,并以广播的方式发送所述请求发布数据包至域内其它的物联网网关;
生成模块,用于域内所有的物联网网关对所述请求发布数据包进行认证以生成身份认证结果;
发送模块,用于域内任一物联网网关生成所述身份认证结果后,启动分布式共识机制,并计算与所述分布式共识机制相符合的合法数字串,将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关;
验证模块,用于域内其它的物联网网关通过所述分布式共识机制和节点同步机制对所述身份认证结果和所述合法数字串进行验证达成共识,将所述身份认证结果写入区块进行存储,生成区块链;
扫描模块,用于所述域内目标物联网网关扫描本地通过所述节点同步机制同步更新并存储的所述区块链是否存在所述身份认证结果,若存在,则将所述身份认证结果发送给所述域外主机,若不存在,则继续扫描。
7.根据权利要求6所述的装置,其特征在于,所述生成模块,具体用于,
域内所有的物联网网关接收到所述请求发布数据包后,提取所述请求发布数据包中的身份信息,并根据本地存储的合法身份证书对所述身份信息进行认证生成身份认证结果。
8.根据权利要求6所述的装置,其特征在于,所述发送模块,还用于,
所述域内任一物联网网关生成所述身份认证结果后,若在计算出与所述分布式共识机制相符合的合法数字串之前,域内另一物联网网关计算出所述身份认证结果和所述合法数字串,则由另一域内物联网网关启动所述分布式共识机制,将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关。
9.根据权利要求6所述的装置,其特征在于,所述验证模块,包括身份认证单元、计算单元和数字串验证单元;
所述身份认证单元,用于域内所有的物联网网关验证接收到的所述身份认证结果与本物联网网关生成的认证结果是否相同,若不同,则不认可所述身份认证结果,丢弃所述身份认证结果,执行所述计算单元,若相同,则执行所述数字串验证单元;
所述计算单元,用于计算与所述分布式共识机制相符合的所述合法数字串,计算完成后,启动所述分布式共识机制,将本物联网网关的认证结果和所述合法数字串发送至域内所有的物联网网关,执行所述身份认证单元;
所述数字串验证单元,用于验证所述合法数字串是否符合所述分布式共识机制规定的条件,若不符合,则执行所述计算单元,若符合,通过所述分布式共识机制和所述节点同步机制对所述身份认证结果和所述合法数字串达成共识,将所述身份认证结果写入区块进行存储,生成所述区块链。
10.根据权利要求9所述的装置,其特征在于,所述节点同步机制为域内所有的物联网网关在对所述身份认证结果和所述合法数字串进行验证时,域内所有的物联网网关的区块链进行信息交互,将所述区块链进行同步存储。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910354377.XA CN109981689B (zh) | 2019-04-29 | 2019-04-29 | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 |
PCT/CN2019/114985 WO2020220627A1 (zh) | 2019-04-29 | 2019-11-01 | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 |
US16/958,029 US11546330B2 (en) | 2019-04-29 | 2019-11-01 | Method and device for cross-domain strong logical isolation and secure access control in the internet of things |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910354377.XA CN109981689B (zh) | 2019-04-29 | 2019-04-29 | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109981689A true CN109981689A (zh) | 2019-07-05 |
CN109981689B CN109981689B (zh) | 2020-05-12 |
Family
ID=67087055
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910354377.XA Active CN109981689B (zh) | 2019-04-29 | 2019-04-29 | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11546330B2 (zh) |
CN (1) | CN109981689B (zh) |
WO (1) | WO2020220627A1 (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110855637A (zh) * | 2019-10-28 | 2020-02-28 | 西北工业大学 | 一种基于属性的区块链物联网分布式访问控制方法 |
CN111010376A (zh) * | 2019-11-28 | 2020-04-14 | 国网河南省电力公司信息通信公司 | 基于主从链的物联网认证系统及方法 |
CN111163084A (zh) * | 2019-12-27 | 2020-05-15 | 清创网御(合肥)科技有限公司 | 一种基于动态选举和共识机制的安全存储算法 |
CN111404896A (zh) * | 2020-03-06 | 2020-07-10 | 杭州云象网络技术有限公司 | 一种基于sgx的非中心身份认证方法 |
CN111585984A (zh) * | 2020-04-24 | 2020-08-25 | 清华大学 | 面向分组全生存周期的去中心化安全保障方法及装置 |
CN111585985A (zh) * | 2020-04-24 | 2020-08-25 | 广东职业技术学院 | 一种基于区块链的商业身份识别认证方法及系统 |
CN111600845A (zh) * | 2020-04-21 | 2020-08-28 | 上海上实龙创智慧能源科技股份有限公司 | 一种物联网数据访问控制方法及系统 |
CN111683101A (zh) * | 2020-06-16 | 2020-09-18 | 铭数科技(青岛)有限公司 | 一种基于区块链的自主跨域访问控制方法 |
WO2020220627A1 (zh) * | 2019-04-29 | 2020-11-05 | 清华大学 | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 |
CN111917724A (zh) * | 2020-06-29 | 2020-11-10 | 普瑞达建设有限公司 | 一种物联网应用安全控制方法及系统 |
CN112261155A (zh) * | 2020-12-21 | 2021-01-22 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于联盟区块链具有动态共识的物联网访问控制方法 |
CN112733532A (zh) * | 2021-01-15 | 2021-04-30 | 河北大学 | IoT CapBAC规则语义中时间间隔粗糙性分析方法 |
CN113315634A (zh) * | 2021-05-21 | 2021-08-27 | 广州大学 | 一种物联网的轻量访问控制方法、装置以及系统 |
CN113935016A (zh) * | 2021-11-03 | 2022-01-14 | 北京邮电大学 | 命名数据网中基于区块链的可信访问与跨域认证方法 |
CN114338076A (zh) * | 2021-11-11 | 2022-04-12 | 清华大学 | 适用于智能家居环境的分布式跨设备访问控制方法及装置 |
CN114500088A (zh) * | 2022-02-23 | 2022-05-13 | 北京中科锐链科技有限公司 | 基于区块链和边缘计算的物联网设备接入认证方法、系统 |
US11641364B2 (en) | 2020-03-03 | 2023-05-02 | International Business Machines Corporation | Cross-domain state synchronization |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111049799B (zh) * | 2019-11-13 | 2022-01-21 | 华为终端有限公司 | 控制方法、装置和系统 |
CN112487443A (zh) * | 2020-11-11 | 2021-03-12 | 昆明理工大学 | 一种基于区块链的能源数据细粒度访问控制方法 |
CN114024749B (zh) * | 2021-11-05 | 2022-11-29 | 西北工业大学 | 一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法 |
CN114050932A (zh) * | 2021-11-10 | 2022-02-15 | 安徽健坤通信股份有限公司 | 分布式系统的网络安全验证方法和系统 |
CN114745137A (zh) * | 2022-05-10 | 2022-07-12 | 山东鲁软数字科技有限公司 | 一种实现安全通信方法及区块链物联代理装置 |
CN115452046A (zh) * | 2022-09-01 | 2022-12-09 | 康志文 | 一种基于物联网的环保监测系统及方法 |
CN115396537B (zh) * | 2022-10-31 | 2023-01-13 | 深圳万物安全科技有限公司 | 物联网访问控制方法、装置、设备与介质 |
CN116055055A (zh) * | 2022-11-29 | 2023-05-02 | 北京笔新互联网科技有限公司 | 跨域认证方法及系统 |
CN116155514B (zh) * | 2023-03-01 | 2024-06-21 | 电子科技大学 | 一种基于区块链的跨域物联网设备隐私保护认证方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105701372A (zh) * | 2015-12-18 | 2016-06-22 | 布比(北京)网络技术有限公司 | 一种区块链身份构建及验证方法 |
CN107360238A (zh) * | 2017-07-25 | 2017-11-17 | 光载无限(北京)科技有限公司 | 基于区块链cpow共识算法的智能合约网关 |
CN109218981A (zh) * | 2018-11-20 | 2019-01-15 | 太原理工大学 | 基于位置信号特征共识的Wi-Fi接入认证方法 |
US20190044735A1 (en) * | 2016-03-21 | 2019-02-07 | Sebastien Dupont | Method for managing the validation of messages relating to a message chain individually via a decentralised validation network |
CN109495516A (zh) * | 2019-01-07 | 2019-03-19 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网终端接入方法 |
CN109617929A (zh) * | 2019-02-12 | 2019-04-12 | 浪潮通用软件有限公司 | 在区块链网络模式下的节点与用户交互认证方法及系统 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10164983B2 (en) * | 2017-01-20 | 2018-12-25 | Verizon Patent And Licensing Inc. | Distributed authentication for internet-of-things resources |
US20180225661A1 (en) * | 2017-02-07 | 2018-08-09 | Microsoft Technology Licensing, Llc | Consortium blockchain network with verified blockchain and consensus protocols |
EP3596880B1 (en) * | 2017-04-18 | 2022-06-01 | Samsung Electronics Co., Ltd. | Method and apparatus for access control in distributed blockchain-based internet of things (iot) network |
CN107424066B (zh) * | 2017-07-19 | 2020-11-10 | 武汉凤链科技有限公司 | 一种基于价值量建立共识机制的方法及其系统 |
US10924466B2 (en) * | 2017-07-28 | 2021-02-16 | SmartAxiom, Inc. | System and method for IOT security |
US10972463B2 (en) * | 2018-06-06 | 2021-04-06 | Cisco Technology, Inc. | Blockchain-based NB-IoT devices |
CN108964924B (zh) * | 2018-07-24 | 2020-06-05 | 腾讯科技(深圳)有限公司 | 数字证书校验方法、装置、计算机设备和存储介质 |
GB2577751A (en) * | 2018-10-05 | 2020-04-08 | Dragon Infosec Ltd | A consensus method and framework for a blockchain system |
CN109981689B (zh) * | 2019-04-29 | 2020-05-12 | 清华大学 | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 |
-
2019
- 2019-04-29 CN CN201910354377.XA patent/CN109981689B/zh active Active
- 2019-11-01 US US16/958,029 patent/US11546330B2/en active Active
- 2019-11-01 WO PCT/CN2019/114985 patent/WO2020220627A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105701372A (zh) * | 2015-12-18 | 2016-06-22 | 布比(北京)网络技术有限公司 | 一种区块链身份构建及验证方法 |
US20190044735A1 (en) * | 2016-03-21 | 2019-02-07 | Sebastien Dupont | Method for managing the validation of messages relating to a message chain individually via a decentralised validation network |
CN107360238A (zh) * | 2017-07-25 | 2017-11-17 | 光载无限(北京)科技有限公司 | 基于区块链cpow共识算法的智能合约网关 |
CN109218981A (zh) * | 2018-11-20 | 2019-01-15 | 太原理工大学 | 基于位置信号特征共识的Wi-Fi接入认证方法 |
CN109495516A (zh) * | 2019-01-07 | 2019-03-19 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网终端接入方法 |
CN109617929A (zh) * | 2019-02-12 | 2019-04-12 | 浪潮通用软件有限公司 | 在区块链网络模式下的节点与用户交互认证方法及系统 |
Non-Patent Citations (2)
Title |
---|
BO WU等: "SmartRetro: Blockchain-based Incentives for Distributed IoT Retrospective Detection", 《2018 IEEE 15TH INTERNATIONAL CONFERENCE ON MOBILE AD-HOC AND SENSOR SYSTEMS》 * |
徐恪等: "区块链:描绘物联网安全新愿景", 《中兴通讯技术》 * |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020220627A1 (zh) * | 2019-04-29 | 2020-11-05 | 清华大学 | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 |
CN110855637A (zh) * | 2019-10-28 | 2020-02-28 | 西北工业大学 | 一种基于属性的区块链物联网分布式访问控制方法 |
CN111010376A (zh) * | 2019-11-28 | 2020-04-14 | 国网河南省电力公司信息通信公司 | 基于主从链的物联网认证系统及方法 |
CN111010376B (zh) * | 2019-11-28 | 2022-01-21 | 国网河南省电力公司信息通信公司 | 基于主从链的物联网认证系统及方法 |
CN111163084A (zh) * | 2019-12-27 | 2020-05-15 | 清创网御(合肥)科技有限公司 | 一种基于动态选举和共识机制的安全存储算法 |
CN111163084B (zh) * | 2019-12-27 | 2021-11-09 | 清创网御(合肥)科技有限公司 | 一种基于动态选举和共识机制的安全存储方法 |
US11641364B2 (en) | 2020-03-03 | 2023-05-02 | International Business Machines Corporation | Cross-domain state synchronization |
CN111404896A (zh) * | 2020-03-06 | 2020-07-10 | 杭州云象网络技术有限公司 | 一种基于sgx的非中心身份认证方法 |
CN111404896B (zh) * | 2020-03-06 | 2022-03-04 | 杭州云象网络技术有限公司 | 一种基于sgx的非中心身份认证方法 |
CN111600845A (zh) * | 2020-04-21 | 2020-08-28 | 上海上实龙创智慧能源科技股份有限公司 | 一种物联网数据访问控制方法及系统 |
CN111585985A (zh) * | 2020-04-24 | 2020-08-25 | 广东职业技术学院 | 一种基于区块链的商业身份识别认证方法及系统 |
CN111585984A (zh) * | 2020-04-24 | 2020-08-25 | 清华大学 | 面向分组全生存周期的去中心化安全保障方法及装置 |
CN111683101A (zh) * | 2020-06-16 | 2020-09-18 | 铭数科技(青岛)有限公司 | 一种基于区块链的自主跨域访问控制方法 |
CN111917724B (zh) * | 2020-06-29 | 2021-05-04 | 普瑞达建设有限公司 | 一种物联网应用安全控制方法及系统 |
CN111917724A (zh) * | 2020-06-29 | 2020-11-10 | 普瑞达建设有限公司 | 一种物联网应用安全控制方法及系统 |
CN112261155A (zh) * | 2020-12-21 | 2021-01-22 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于联盟区块链具有动态共识的物联网访问控制方法 |
CN112733532A (zh) * | 2021-01-15 | 2021-04-30 | 河北大学 | IoT CapBAC规则语义中时间间隔粗糙性分析方法 |
CN112733532B (zh) * | 2021-01-15 | 2023-03-31 | 河北大学 | IoT CapBAC规则语义中时间间隔粗糙性分析方法 |
CN113315634A (zh) * | 2021-05-21 | 2021-08-27 | 广州大学 | 一种物联网的轻量访问控制方法、装置以及系统 |
CN113315634B (zh) * | 2021-05-21 | 2022-04-08 | 广州大学 | 一种物联网的轻量访问控制方法、装置以及系统 |
CN113935016A (zh) * | 2021-11-03 | 2022-01-14 | 北京邮电大学 | 命名数据网中基于区块链的可信访问与跨域认证方法 |
CN114338076A (zh) * | 2021-11-11 | 2022-04-12 | 清华大学 | 适用于智能家居环境的分布式跨设备访问控制方法及装置 |
CN114500088A (zh) * | 2022-02-23 | 2022-05-13 | 北京中科锐链科技有限公司 | 基于区块链和边缘计算的物联网设备接入认证方法、系统 |
CN114500088B (zh) * | 2022-02-23 | 2024-02-23 | 北京中科锐链科技有限公司 | 基于区块链和边缘计算的物联网设备接入认证方法、系统 |
Also Published As
Publication number | Publication date |
---|---|
US20210218740A1 (en) | 2021-07-15 |
WO2020220627A1 (zh) | 2020-11-05 |
US11546330B2 (en) | 2023-01-03 |
CN109981689B (zh) | 2020-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109981689A (zh) | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 | |
TWI749061B (zh) | 區塊鏈身份系統 | |
US11468151B2 (en) | System and method for memetic authentication and identification | |
CN106789047B (zh) | 一种区块链身份系统 | |
US6148404A (en) | Authentication system using authentication information valid one-time | |
US9094823B2 (en) | Data processing for securing local resources in a mobile device | |
EP2098006B1 (en) | Authentication delegation based on re-verification of cryptographic evidence | |
US8209744B2 (en) | Mobile device assisted secure computer network communication | |
CN108964885A (zh) | 鉴权方法、装置、系统和存储介质 | |
CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
CN107222476B (zh) | 一种认证服务方法 | |
CN110430065B (zh) | 一种应用服务调用方法、装置及系统 | |
CN108234509A (zh) | 基于tee和pki证书的fido认证器、认证系统及方法 | |
CN105681470A (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
CN106453361A (zh) | 一种网络信息的安全保护方法及系统 | |
CN108900309A (zh) | 一种鉴权方法及鉴权系统 | |
CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
CN101986598A (zh) | 认证方法、服务器及系统 | |
CN103516524A (zh) | 安全验证方法和系统 | |
JP2001249901A (ja) | 認証装置およびその方法、並びに、記憶媒体 | |
CN108964895A (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
CN108650219A (zh) | 一种用户身份识别方法、相关装置、设备和系统 | |
CN114826574A (zh) | 智能家居安全通信系统及通信方法 | |
CN104410498B (zh) | 一种动态口令认证方法及其系统 | |
Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |