CN110809006A - 一种基于区块链的物联网访问控制架构及方法 - Google Patents
一种基于区块链的物联网访问控制架构及方法 Download PDFInfo
- Publication number
- CN110809006A CN110809006A CN201911112947.0A CN201911112947A CN110809006A CN 110809006 A CN110809006 A CN 110809006A CN 201911112947 A CN201911112947 A CN 201911112947A CN 110809006 A CN110809006 A CN 110809006A
- Authority
- CN
- China
- Prior art keywords
- certificate
- access control
- resource
- access
- subject
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Abstract
本发明公开了一种基于区块链的物联网访问控制架构及方法,本发明通过将访问控制的授权决策实体部署在区块链上实现了物联网中多机构间的相互信任并杜绝了单点故障,通过将权限抽象为非同质通证并通过通证一次申请、多次使用的方法减少了区块链共识对访问控制性能的影响,通过将区块链部署在云端实现了对轻量级物联网设备的支持。物联网中存在复杂的访问控制场景,本发明通过将访问控制架构与决策模型分离,解决了物联网中不同场景需要不同访问控制模型的问题,使物联网中可以同时运行多种访问模型,无论是基于属性的访问或者是基于角色的访问等,都可以嵌入到本架构中。
Description
本发明涉及基于区块链的访问控制领域,尤其涉及一种基于区块链的物联网访问控制架构及方法。
背景技术
物联网中产生了海量的数据,其中具有大量的个人隐私,这些隐私信息一旦泄漏会给用户带来巨大的损失。作为数据保护的基石性技术之一,访问控制可保障数据仅能被拥有相应权限的用户访问。因此,研究物联网下的访问控制机制也就成为了物联网安全和隐私保护的重要研究内容之一。
区块链是一种去中心化的分布式技术,从技术上解决了基于信任的中心化模型带来的安全问题,因此将区块链与访问控制结合来作为物联网数据保护的关键技术。尽管有许多将区块链与访问控制相结合的研究,但是目前这些访问控制模型并不成熟,没有统一考虑物联网海量性、动态性和设备轻量级的特征。事实上这三个特征在物联网中是内在联系并同时存在的,物联网中存在海量的用户,用户会随时移动,每个用户通常都拥有多个物联网终端设备,且这些设备多数是轻量级的。因此物联网中的访问控制应该满足海量性、动态性和设备轻量级所带来的挑战。
发明内容
针对现有技术的不足,本发明提出了一种基于区块链的物联网访问控制架构及方法,既解决了物联网环境下海量性、动态性和设备轻量级给访问控制带来的问题,同时又在一定程度上减少了区块链对访问控制性能的影响。
本发明的目的是通过以下技术方案来实现的:一种基于区块链的物联网访问控制架构,该架构包括模型和工作流程。架构该架构在权限授权中引入属性的概念满足了对海量性的支持;由区块链自身分布式结构和身份认证方式为模型提供了动态性的支持;区块链自身提供的安全性和多机构信任使访问控制可以将需要大规模计算和存储的部分部署在区块链中,因此本模型支持轻量级的物联网设备;将访问控制将客体资源的权限独立出来,然后权限组合成通证,通过通证的一次申请、多次使用来减少对访问控制性能的影响。
一种基于区块链的物联网访问控制模型,模型包括实体、实体间关系和属性三部分。实体分别是主体、客体、权限、资源拥有者、通证和事件;实体间的关系包括:主体和通证的关系(ST)、通证和权限(TP)、权限和客体(PO)、客体和资源拥有者(OR)、以及事件与其他主体之间的关系。由于事件的不同,各种事件与主体之间的关系也各不相同。属性包括实体属性和环境属性两类,实体属性会出现继承的现象。
一种基于区块链的访问控制流程,访问控制的流程包括:用户注册、请求权限、访问请求、权限传递、策略更新。其中请求权限的步骤如下:
第一步:主体向区块链发出请求某个资源拥有者的某个资源的某个权限的消息,请求中需要附带主体的身份标识,同时请求的权限可以是一个也可以是多个,但必须是一个资源下的权限。
第二步:区块链收到消息后首先验证消息是否正确,验证的内容包括访问请求消息发送者身份的验证、资源拥有者存在性验证和客体和资源拥有者关系验证。
第三步:区块链中的访问控制决策智能合约根据访问请求消息获得的参数做出决策。
第四步:如果确定权限授予,则根据主体、客体和权限的信息生成一个对应的通证。
若所述访问请求流程中,主体使用已请求到的通证访问客体资源,主体向客体出示通证,客体需验证如下内容:访问资源消息发送者身份的验证、资源拥有者存在性验证、客体和资源拥有者关系验证、主体和通证的关系、通证是否有效,通证是否和客体对应。如果验证通过主体即可访问客体。
本发明的有益效果如下:
本发明通过基于区块链访问控制保护了物联网中的数据安全。通过解决了物联网环境下海量性、动态性和设备轻量级给访问控制带来的问题,相对于其他基于区块链的访问控制,本发明在一定程度上减少了区块链对访问控制性能的影响。
附图说明
图1是本发明的架构中基于区块链的物联网访问控制模型图;
图2是本发明的方法中请求权限的实施例的流程示意图;
图3是本发明的方法中使用通证访问客体的实施例的流程示意图。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的访问控制模型示意图。
如图1所示,该区块链访问控制模型包括实体、实体间关系和属性三部分。资源拥有者在区块链中将其所拥有的资源注册为客体。每个客体根据其自身的物理性质可以映射出一到多个权限,这些权限都是可以向主体授予的权限。例如对于网络摄像头来说其权限有开、关、转动方向等操作权限。
主体与通证是一对多的关系,即每个主体可以同时拥有多个通证,每个通证只能对应一个主体。通证所对应的主体并不是一直不变的,通过通证传递事件可以将通证从一个主体传递给另一个主体,只要满足传递条件
通证和权限是多对多的关系,一个通证可以对应一个客体的多个权限,同时一个客体的权限可以生成多个通证分发给多个主体。
权限和客体是多对一的关系,一个客体可以会映射出多个可被访问的权限。
客体和资源拥有者是多对一的关系,即一个客体对应一个资源拥有者,一个资源拥有者可能拥有多个客体。
请求访问事件与主体、客体和权限有直接关系,其中访问请求事件与主体和客体都是一对一的关系,与权限是一对多的关系,因为主体可以同时请求客体的多项权限。
通证生成事件与客体、权限和通证有直接关系。通证生成事件与通证是一对一的关系,每个通证生成事件会创建一个新的通证。在生成通证时需要确定通证所对应的客体和权限,一个通证对应一个客体,但是可以对应同一客体下的多个权限,这些权限必须是客体自身的权限的子集。
通证传递事件与主体和通证有直接关系。每个通证传递事件和主体是一比二的关系,即一个主体发起传递,一个主体接收通证。通证传递事件和通证是一对一的关系,每个通证传递事件只能传递一个通证。
通证使用事件同样仅与主体和通证有关联,通证使用事件与主体是一对一的关系,和通证同样也是一对一的关系。
主体的属性是指主体自身固有的、与环境变化无关的、与访问控制有关的属性,如年龄、性别、职业、职务等。
客体的属性是指客体自身固有的、与环境变化无关的、与访问控制有关的属性,在物联网中客体的属性的多种多样的,例如对于公共会议室的门禁系统,同一时间段内应该只允许一个使用者,因此会议室在同一时间段只能发出一个通证;而像手机中三轴加速传感器,可以同时给多个应用传递用户的步数,因此同一时间段可以发出多个通证。
权限的属性包括自身固有属性和继承自其对应客体的属性。权限自身固有的属性包括权限是永久赋予、按时间赋予还是按次数赋予等,权限继承自其对应客体的属性受客体属性的约束。
通证的属性包括自身固有属性和从对应权限继承的属性两部分。自身固有属性包括通证拥有者、有效时间、是否可传递等。从对应权限继承的属性受权限属性的约束,同时从对应权限继承的属性会影响通证的自身固有属性。
环境属性是指除实体属性外对物联网访问控制有影响的环境因素。对物联网来说常见的环境属性有时间、位置、光照、温度、声音等。
基于上述的模型,提出区块链访问控制架构的工作流程。
参照图2,图2为本发明区块链访问控制的请求权限实施例的流程示意图。
第一步:主体向区块链发出请求某个资源拥有者的某个资源的某个权限的消息,请求中需要附带主体的身份标识,同时请求的权限可以是一个也可以是多个,但必须是一个资源下的权限。
第二步:区块链收到消息后首先验证消息是否正确,验证的内容包括访问请求消息发送者身份的验证、资源拥有者存在性验证和客体和资源拥有者关系验证。
第三步:区块链中的访问控制决策智能合约根据访问请求消息获得的参数做出决策。
第四步:如果确定权限授予,则根据主体、客体和权限的信息生成一个对应的通证。
第五步:给主体返回权限请求的结果。
主体得到通证后,可以凭借通证访问客体,仅能访问通证所具有权限的部分,第二个实施例为访问客体的流程。
参照图3,图3为本发明区块链访问控制的访问客体实施例的流程示意图。
第一步:主体凭借通证直接访问资源。
第二步:客体收到通证后在区块链中查询通证是否有效
第三步:区块链收到客体查询后,查询区块链中的内容,包括:访问资源消息发送者身份的验证、资源拥有者存在性验证、客体和资源拥有者关系验证
第四步:验证主体和通证的关系、通证是否有效,通证是否和客体对应。
第五步:给客体返回消息,如果验证通过主体即可访问客体,否则不可以访问。
本领域普通技术人员可以理解,以上所述仅为发明的优选实例而已,并不用于限制发明,尽管参照前述实例对发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在发明的精神和原则之内,所做的修改、等同替换等均应包含在发明的保护范围之内。
Claims (6)
1.一种基于区块链的物联网访问控制架构及方法,其特征在于,所述架构包括基于区块链的物联网访问控制模型以及其工作流程,还包括:模型将访问控制的参与实体分为主体、客体、权限、资源拥有者、通证和事件;工作流程将物联网中客体资源的权限独立出来,然后权限组合成通证;每个访问主体想要访问客体资源时,首先需要获取客体资源的通证;然后主体利用通证访问客体资源;通证可以多次使用,减少了区块链对访问控制性能的影响。
2.如权利1要求所述权限是主体对客体操作的范围和程度,其特征在于,权限包括数据的读、写、新建、删除和对物联网设备的操作等,可以细粒度的选择将某个权限授予主体。
3.如权利1要求所述通证,其特征在于:通证是非同质的,即每个通证都不一样;通证是可传递的,在通证失效前可以将其传递给满足通证使用要求的其他用户;每个通证都代表一个客体资源的一个或者多个权限;通证有两类属性,自身固有属性和从对应权限继承的属性;通证自身固有属性包括通证拥有者、有效时间、是否可传递等,继承的属性是继承自其对应权限的属性。
4.如权利1要求所述基于区块链的物联网访问控制流程,其特征在于,主体需要先请求资源客体的权限,若访问控制策略决策后同意授予则区块链生成一个与之对应的通证,然后主体可以凭借该通证访问资源,直到通证失效。
5.如权利1要求所述基于区块链的物联网访问控制架构中请求权限的步骤,其特征在于:第一步:主体向区块链发出请求某个资源拥有者的某个资源的某个权限的消息,请求中需要附带主体的身份标识,同时请求的权限可以是一个也可以是多个,但必须是一个资源下的权限;第二步:区块链收到消息后首先验证消息是否正确,验证的内容包括访问请求消息发送者身份的验证、资源拥有者存在性验证和客体和资源拥有者关系验证;第三步:区块链中的访问控制决策智能合约根据访问请求消息获得的参数做出决策;第四步:如果确定权限授予,则根据主体、客体和权限的信息生成一个对应的通证。
6.如权利1要求所述,主体得到通证后可以使用通证访问资源,其特征在于,主体向客体出示通证,客体需验证如下内容:访问资源消息发送者身份的验证、资源拥有者存在性验证、客体和资源拥有者关系验证、主体和通证的关系、通证是否有效,通证是否和客体对应;如果验证通过主体即可访问客体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911112947.0A CN110809006A (zh) | 2019-11-14 | 2019-11-14 | 一种基于区块链的物联网访问控制架构及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911112947.0A CN110809006A (zh) | 2019-11-14 | 2019-11-14 | 一种基于区块链的物联网访问控制架构及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110809006A true CN110809006A (zh) | 2020-02-18 |
Family
ID=69502626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911112947.0A Pending CN110809006A (zh) | 2019-11-14 | 2019-11-14 | 一种基于区块链的物联网访问控制架构及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110809006A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111800410A (zh) * | 2020-06-30 | 2020-10-20 | 远光软件股份有限公司 | 基于区块链的数据访问控制方法、电子设备和存储介质 |
| CN111797415A (zh) * | 2020-06-30 | 2020-10-20 | 远光软件股份有限公司 | 基于区块链的数据共享方法、电子设备和存储介质 |
| CN111815832A (zh) * | 2020-07-22 | 2020-10-23 | 南京航空航天大学 | 一种基于属性的智能门锁访问控制方法 |
| CN112565453A (zh) * | 2020-12-22 | 2021-03-26 | 内蒙古大学 | 一种物联网下的区块链访问控制策略模型及策略保护方案 |
| CN112688927A (zh) * | 2020-12-18 | 2021-04-20 | 重庆大学 | 一种基于区块链的分布式访问控制方法 |
| CN113489692A (zh) * | 2021-06-22 | 2021-10-08 | 河北工业大学 | 基于主侧链合作的区块链访问控制模型策略 |
| CN113612754A (zh) * | 2021-07-28 | 2021-11-05 | 中国科学院深圳先进技术研究院 | 一种基于区块链的跨域访问方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170324738A1 (en) * | 2016-05-03 | 2017-11-09 | Alcatel-Lucent Usa Inc. | Internet security |
| CN107682331A (zh) * | 2017-09-28 | 2018-02-09 | 复旦大学 | 基于区块链的物联网身份认证方法 |
| CN109617896A (zh) * | 2018-12-28 | 2019-04-12 | 浙江省公众信息产业有限公司 | 一种基于智能合约的物联网访问控制方法和系统 |
| US10325428B1 (en) * | 2018-05-23 | 2019-06-18 | Bank Of America Corporation | Access control using device location tracking and blockchains |
| CN110222518A (zh) * | 2019-05-30 | 2019-09-10 | 北京工业大学 | 基于区块链的可信权能访问控制方法 |
-
2019
- 2019-11-14 CN CN201911112947.0A patent/CN110809006A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170324738A1 (en) * | 2016-05-03 | 2017-11-09 | Alcatel-Lucent Usa Inc. | Internet security |
| CN107682331A (zh) * | 2017-09-28 | 2018-02-09 | 复旦大学 | 基于区块链的物联网身份认证方法 |
| US10325428B1 (en) * | 2018-05-23 | 2019-06-18 | Bank Of America Corporation | Access control using device location tracking and blockchains |
| CN109617896A (zh) * | 2018-12-28 | 2019-04-12 | 浙江省公众信息产业有限公司 | 一种基于智能合约的物联网访问控制方法和系统 |
| CN110222518A (zh) * | 2019-05-30 | 2019-09-10 | 北京工业大学 | 基于区块链的可信权能访问控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| RONGHUA XU等: ""BlendCAC: A Smart Contract Enabled Decentralized Capability-Based Access Control Mechanism for the IoT"", 《COMPUTERS》 * |
| SANDEEP KIRAN PINJALA等: ""DCACI: A Decentralized Lightweight Capability Based Access Control Framework using IOTA for Internet of Things"", 《2019 IEEE 5TH WORLD FORUM ON INTERNET OF THINGS (WF-IOT)》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111800410A (zh) * | 2020-06-30 | 2020-10-20 | 远光软件股份有限公司 | 基于区块链的数据访问控制方法、电子设备和存储介质 |
| CN111797415A (zh) * | 2020-06-30 | 2020-10-20 | 远光软件股份有限公司 | 基于区块链的数据共享方法、电子设备和存储介质 |
| CN111800410B (zh) * | 2020-06-30 | 2023-03-31 | 远光软件股份有限公司 | 基于区块链的数据访问控制方法、电子设备和存储介质 |
| CN111815832A (zh) * | 2020-07-22 | 2020-10-23 | 南京航空航天大学 | 一种基于属性的智能门锁访问控制方法 |
| CN112688927A (zh) * | 2020-12-18 | 2021-04-20 | 重庆大学 | 一种基于区块链的分布式访问控制方法 |
| CN112565453A (zh) * | 2020-12-22 | 2021-03-26 | 内蒙古大学 | 一种物联网下的区块链访问控制策略模型及策略保护方案 |
| CN113489692A (zh) * | 2021-06-22 | 2021-10-08 | 河北工业大学 | 基于主侧链合作的区块链访问控制模型策略 |
| CN113612754A (zh) * | 2021-07-28 | 2021-11-05 | 中国科学院深圳先进技术研究院 | 一种基于区块链的跨域访问方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110809006A (zh) | 一种基于区块链的物联网访问控制架构及方法 | |
| CN108737370B (zh) | 一种基于区块链的物联网跨域认证系统及方法 | |
| US20210073806A1 (en) | Data processing system utilising distributed ledger technology | |
| Zhu et al. | Digital asset management with distributed permission over blockchain and attribute-based access control | |
| US20190222575A1 (en) | Systems and methods for managing relationships among digital identities | |
| US8474027B2 (en) | Remote management of resource license | |
| US20180336554A1 (en) | Secure electronic transaction authentication | |
| CN112580102A (zh) | 基于区块链的多维度数字身份鉴别系统 | |
| CN106992988B (zh) | 一种跨域匿名资源共享平台及其实现方法 | |
| CN110222518B (zh) | 基于区块链的可信权能访问控制方法 | |
| Liu et al. | Enabling secure and privacy preserving identity management via smart contract | |
| CN104935590A (zh) | 一种基于角色和用户信任值的hdfs访问控制方法 | |
| CN109995791B (zh) | 一种数据授权方法及系统 | |
| CN103095720A (zh) | 一种基于会话管理服务器的云存储系统的安全管理方法 | |
| Riabi et al. | A blockchain based access control for IoT | |
| Chai et al. | BHE-AC: A blockchain-based high-efficiency access control framework for Internet of Things | |
| Pal et al. | Towards a secure access control architecture for the Internet of Things | |
| Hong et al. | Service outsourcing in F2C architecture with attribute-based anonymous access control and bounded service number | |
| Yang et al. | An access control model based on blockchain master-sidechain collaboration | |
| CN112350863B (zh) | 一种基于交易的去中心化访问控制方法和系统 | |
| Gao et al. | An OAuth2. 0-based unified authentication system for secure services in the smart campus environment | |
| Omolola et al. | Policy-based access control for the IoT and Smart Cities | |
| Ravidas et al. | An authorization framework for cooperative intelligent transport systems | |
| Foltz et al. | Enterprise level security–basic security model | |
| CN113420320A (zh) | 一种数据共享场景下的区块链权限管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200218 |