CN111600845A - 一种物联网数据访问控制方法及系统 - Google Patents

一种物联网数据访问控制方法及系统 Download PDF

Info

Publication number
CN111600845A
CN111600845A CN202010316856.5A CN202010316856A CN111600845A CN 111600845 A CN111600845 A CN 111600845A CN 202010316856 A CN202010316856 A CN 202010316856A CN 111600845 A CN111600845 A CN 111600845A
Authority
CN
China
Prior art keywords
internet
data
things
gateway
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010316856.5A
Other languages
English (en)
Inventor
石保亚
蒋秋明
徐晓琴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Siic Longchuang Smarter Energy Technology Co ltd
Original Assignee
Shanghai Siic Longchuang Smarter Energy Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Siic Longchuang Smarter Energy Technology Co ltd filed Critical Shanghai Siic Longchuang Smarter Energy Technology Co ltd
Priority to CN202010316856.5A priority Critical patent/CN111600845A/zh
Publication of CN111600845A publication Critical patent/CN111600845A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种物联网数据访问控制方法及系统,其中,方法包括:通过代理设备收集客户端设备的身份识别数据和物联网设备的设备安全策略;将收集的数据加密后发布到分布式数据存储库;网关从分布式数据存储库接收身份识别数据,以对客户端设备进行身份认证;网关从分布式数据存储库接收设备安全策略,结合身份识别数据,以建立防火墙规则;通过网关创建设备之间通信的会话,并存储认证会话信息;客户端设备从分布式数据存储库中接收认证会话信息并发送给网关,以保持访问,当认证会话信息过期或无效,则终止设备间通信。与现有技术相比,本发明利用分布式存储数据库集中管理数据,并对通信数据进行加密,能够有效保证物联网数据访问的安全性。

Description

一种物联网数据访问控制方法及系统
技术领域
本发明涉及物联网数据通讯技术领域,尤其是涉及一种物联网数据访问控制方法及系统。
背景技术
近年来物联网设备的开发与应用发展飞速,物联网设备多种多样,从工业设备的控制器到普通民众的智能手表、可穿戴设备,均属于物联网设备。然而,安全基础设施并没有跟上物联网设备被广泛使用的步伐,据业界估计,在未来几年内,将有数十亿台物联网设备同时运行并连接到互联网上,但目前还缺乏有效的安全体系结构来有效地保障物联网设备的安全便捷使用,这主要是由于物联网设备的处理能力有限、内存有限和用户交互界面有限(甚至不存在),物联网设备的这些特点使得它们很难集成到现有的客户机-服务器安全系统中,因此,在工业、民生工程等重点领域的关键系统中,如果攻击者或未授权用户能够获得对嵌入式物联网设备的控制,则会引发灾难性的后果。
在现有的数据访问控制中,常通过应用程序使用工业协议、并通过串行或以太网远程访问物联网设备,无需进行强身份验证,甚至无需进行任何类型的身份验证。而在现有的一些安全控制方法中,设备应用程序可以使用锁定机制,以防止物联网设备被其他用户访问,但这种传统方法易受漏洞的影响,因为物联网设备可以被网络上的任何人锁定,例如,恶意软件可能会锁定物联网设备,而一旦物联网设备被锁定,则无法由合法用户控制并使用。此外,在现有系统中,物联网设备之间的通信是不安全的,因为这些通信是以纯文本的进行传输,容易受到未经授权的窃听,任何人都可以在网络上收听到这些通信。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种物联网数据访问控制方法,通过集中分布式管理用户、应用程序、用户设备标识和相应的访问控制策略,并由网关进行实施、实现安全启用网络访问的目的,防止对物联网设备进行未经授权的访问。
本发明的目的可以通过以下技术方案来实现:一种物联网数据访问控制方法,包括以下步骤:
S1、通过代理设备分别收集客户端设备的身份识别数据和物联网设备的设备安全策略;
S2、将收集的身份识别数据和设备安全策略加密后发布到分布式数据存储库;
S3、由网关从分布式数据存储库接收并解密身份识别数据,以对请求访问物联网设备的客户端设备进行身份认证,若认证通过,则执行步骤S4,否则拒绝该客户端设备对物联网设备的访问请求;
S4、由网关从分布式数据存储库接收并解密设备安全策略,结合身份识别数据,以建立防火墙规则;
S5、通过网关创建客户端设备与物联网设备通信的会话,并将会话相关信息加密后作为认证会话信息发布到分布式数据存储库;
S6、客户端设备从分布式数据存储库中接收并解密认证会话信息,并将该认证会话信息发送给网关,以保持客户端设备对物联网设备的访问,当认证会话信息过期或无效,则网关终止客户端设备与物联网设备之间的通信。
进一步地,所述身份识别数据包括身份信息及其相应的访问控制策略,该访问控制策略即为身份权限。
进一步地,所述步骤S3中对请求访问物联网设备的客户端设备进行身份认证的具体过程为:首先根据身份信息确定客户端设备是否可以对网关进行访问,之后根据访问控制策略确定客户端设备是否有权限访问物联网设备。
进一步地,所述步骤S5中创建客户端设备与物联网设备通信的会话具体是在网关上打开端口,利用该端口进行客户端设备与物联网设备之间的通信。
进一步地,所述会话相关信息包括与通信端点信息、身份认证信息、防火墙信息和时间信息。
一种物联网数据访问控制系统,包括分别与网络双向连接的代理设备、分布式数据存储库和网关,所述网关还与多个物联网设备双向连接,所述代理设备通过网络从客户端设备收集身份识别数据,并通过网络从与网关连接的物联网设备收集设备安全策略,之后将身份识别数据和设备安全策略分别加密后通过网络发布到分布式数据存储库;
所述分布式数据存储库用于分布式存储身份识别数据和设备安全策略,所述设备安全策略具体是对应于设备的被访问权限;
所述网关基于身份识别数据和设备安全策略来控制客户端设备对物联网设备的访问,并建立用于控制输入和输出网络访问的防火墙规则,此外,还对认证的客户端设备做出响应,以创建客户端设备与物联网设备通信的会话。
进一步地,所述分布式数据存储库包括具有多个区块的分布式账本,每一个区块中包含索引号、时间戳、数据值、加密值及先前加密值,多个区块按时间顺序链接在一起构成区块链,所述区块链中后一个区块中的先前加密值即为前一个区块中的加密值。
进一步地,所述客户端设备中包含用于加密解密数据的客户端代理。
与现有技术相比,本发明具有以下优点:
一、本发明结合代理设备和分布式数据存储库,能够对客户端设备的身份识别数据和物联网设备的设备安全策略进行集中分布式管理,并通过网关从分布式数据存储库检索身份识别数据和设备安全策略,以对客户端设备的访问请求进行身份认证、建立防火墙,不仅能够提高访问控制的效率,同时避免了未经授权的访问、保证访问控制的安全性。
二、本发明通过在代理设备、分布式存储数据库、网关以及客户端设备设置数据加密解密操作,使得网络中通信传输的数据不再以纯文本方式体现,防止通信数据被窃听,进一步提高了访问控制的安全性。
三、本发明采用分布式数据存储库的方式,利用区块链中每个区块与前一个区块链接的特性,能够保证存储数据的完整性,并使得存储数据无法被随意篡改,从而加强存储数据的安全性,保证了后续网关对访问控制进行身份认证的准确性、杜绝恶意锁定现象的发生。
附图说明
图1为本发明的方法流程示意图;
图2为本发明的系统连接示意图;
图3为实施例中代理设备的结构示意图;
图4为实施例中分布式数据存储库的结构示意图;
图5为实施例中网关的结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例
本实施例以单个联盟和单个企业为例,对本发明提出的物联网数据访问控制方法及系统进行说明,本发明同样适用于多联盟和多企业的情况。
如图1所示,一种物联网数据访问控制方法100,从步骤105开始,其中Broker代理设备将多个客户端设备的身份识别数据发布到分布式数据存储库,身份识别数据可以来自联盟中的多个目录服务,身份识别数据可以通过Broker代理设备的图形用户界面(GUI)输入,身份识别数据包括用户、应用、客户端设备的身份及其相应的访问控制策略,Broker代理设备在将身份识别数据发布到分布式数据存储库之前,生成散列并加密身份识别数据;
步骤110,网关从分布式数据存储库接收身份识别数据;
步骤115,网关使用来自分布式数据存储库的身份识别数据,来认证请求访问企业设备的客户端设备,身份识别数据包括用户的身份和用户的访问策略,通过用户的身份来确定客户端设备是否具有通过网关的访问权限,并且通过用户的访问策略来确定客户端设备是否具有对物联网设备的访问权限,网关还可以应用RBAC规则(Role-Based AccessControl,基于角色的访问控制)来基于其用户在企业中的角色来限制客户端设备的网络访问,一旦对客户端设备进行认证,则向客户端设备提供令牌或标识标签,以向其他网关认证其自身,从而创建单点登录体验;
步骤120,响应对设备、联网硬件设备的认证,创建用于客户端设备与IoT(Internet of Things,物联网)设备通信的会话,特别地,网关上的端口被打开,使得客户端设备和至少一个物联网设备之间的通信通过该端口。网关将与会话相关的信息作为认证会话信息发送到分布式数据存储库,并且也在本地存储该信息,客户端设备可以从分布式数据存储库中访问认证会话信息,并将该数据提供给网关,以便继续对物联网设备进行访问,会话可以是基于时间的,并且在预定的时间量之后自动过期,或者在物联网设备主动注销之前保持有效,当会话无效或未经认证时,网关可以阻塞客户端设备与物联网设备之间的通信。
如图2所示,本发明提出的物联网数据访问控制系统包括:
计算机系统200包括由硬件在一个或多个设备上实现的架构,例如,一个或多个硬件处理器执行存储在一个或多个存储器中的用于执行本发明所述功能的程序指令。上述的指令是可执行指令,并且可以包括一个或多个可执行文件或程序,这些文件或程序是基于源代码在JAVA、C++或任何其他合适的编程环境中编译或以其他方式构建的。
计算机系统200可以使Broker代理210、分布式账本计算机215、网关230、企业设备235和客户端设备240之间的数据安全交换。网关230可以在客户端设备240和企业设备235之间串联。虽然图2中所展示的客户机设备240的位置在企业225之外远程访问,但其实客户机设备240也可以位于企业225之内。
联盟是一组实体,如目录服务,以集体方式商定用户身份和访问控制的标准。这允许目录服务将集体权限委托给例如一个或多个防火墙实现,例如网关230或企业225内的专用基于身份的防火墙。在一些实施例中,Broker代理210和与同一联盟相关联的其他Broker代理210可以一起生成哈希值,并加密从属于同一联盟的目录服务访问的所有身份识别数据,并且通过网络205将信息发送到数字分布式账本220以供存储。以这种方式,所有身份识别数据由与同一联盟相关联的所有Broker代理210集中管理。
Broker代理210可以是计算机、软件与硬件或存储指令的组合,这些指令被编程或配置为从一个或多个目录服务访问身份识别数据,包括但不限于用户、应用程序或客户端设备的身份(例如,生物特征、多因素认证、映射到用户的IP地址、应用程序协议、端口号或任何其他特定于应用程序的标识数据)及其相应的访问控制策略。例如,用户身份可以指定具有访问网关230权限的用户,并且用户访问控制策略可以控制用户的访问内容。Broker代理210还可以存储可编辑程序或配置成从设备管理服务访问设备安全策略的指令。在一些场景中,设备安全策略指定企业设备235的身份和设备控制,以及与这些企业设备235对应的加密/解密算法。可以提供图形用户界面(GUI)作为Broker代理210的一部分,用于管理员将身份识别数据、设备安全策略输入时的交互界面。Broker代理210生成哈希值,并加密身份识别数据和设备安全策略,并通过网络205将信息发送到分布式账本220进行存储。
网络205表示一个或多个无线、有线网络的组合,例如局域网(LAN)、广域网(WAN)、城域网(MAN)、全球互联网络(例如公共因特网)或其组合。每个这样的网络可以使用或执行根据诸如开放系统互连(OSI)多层网络模型等标准实现互连协议的存储程序,包括但不限于传输控制协议(TCP)或用户数据报协议(UDP)、因特网协议(IP)、超文本传输协议(HTTP)等。本发明所说的所有计算机都可以被配置成连接到网络105,并且本发明图2所示计算机系统的所有元件经由网络205进行通信耦合(图2中描绘的各种元件,也可以经由图2中未描绘的直接通信链路彼此通信)
分布式账本220,包括存储在互连的计算机网络中的链接数据块,这些计算机上具有适当的存储程序,以支持分布式账本数据的有序创建和传输。分布式账本220形成分布式数据库,由被成为区块的不断增长的有序记录构成,一系列区块中的每个块按时间顺序链接在一起,每个新的区块包含前一个区块的哈希值。计算机网络中的每台计算机215可以存储链接数据块的整个记录,这创建了计算机的一致性网络,该网络可以验证每个数据块的完整性和分布式账本220的完整性。分布式账本220用作分布式数据库,该分布式数据库通过利用哈希函数将每个块链接到其上一个块并在每个节点存储数据块的整个记录来确保数据的完整性。
访问控制服务是由网关230以可编辑程序方式提供的计算机服务。网关230可以是计算机、软件与硬件或存储指令的组合,所述指令被配置为访问存储在分布式账本220中的身份识别数据和设备安全策略,并控制进入和来自私有网络(例如企业225)的网络访问,基于身份识别数据和设备安全策略来强制用户对设备的访问、应用程序对设备的访问和设备对设备的访问。例如,网关230可以通过定期检查分布式账本220中的更新数据来将身份识别数据和设备安全策略的副本存储在本地数据库中。网关230可以使用身份识别数据和设备安全策略在网关230处建立防火墙规则,这些规则用于控制输入和输出网络访问。网关230还可以使用本地存储和更新的信息定期更新分布式账本220,以更新身份识别数据和设备安全策略。
网关230可以被配置成使用规则来过滤和应用RBAC,以基于企业内用户的角色来限制用户的网络访问。例如,网关230可以允许用户根据用户分配的角色,仅允许其访问网关230后面若干个企业设备235组成的子集。
网关230可被配置成在分布式账本220中生成和存储认证会话信息。存储在分布式账本220中的认证会话信息可用于企业内的多个网关230,使用户无需通过手动方式对企业内的多个网关230进行认证。比如,对用户进行认证的网关230可以向用户提供基于其访问控制策略的令牌或身份标签,令牌或标识标记可以包含在会话头或负载中,并由企业内的其他网关或其他节点实施。用户可以在网关的整个分布式部署中进行身份验证,从而创建单点登录体验。
客户端设备240可以是计算机、虚拟计算机,也可以是其他物联网设备,它们是具有网络连接能力的物理设备,使得这些物理设备能够收集和交换数据。客户端设备140也可以是使用计算机或物联网设备的特定用户。客户端设备240也可以是在计算机或物联网设备上运行的应用程序。
配置成与网关230、分布式账本220通信的客户端Agent代理245,可以在客户端设备240上执行。客户端Agent代理245可以对客户端设备240和网关230之间的通信进行加密和解密。客户端Agent代理245还可以访问分布式账本220的认证会话信息,并将数据提供给网关230。
企业设备235可以是位于企业225内的计算机、虚拟计算机、设备等,还可以是计算机网络设备,例如网关、调制解调器、路由器、无线接入点、交换机、集线器和防火墙,也可以是其他物联网设备,它们是具有网络连接能力的物理设备,使得这些物理设备能够收集和交换数据。企业设备235也可以是使用计算机或物联网设备的特定用户,或运行于计算机、物联网设备上的应用。
具体的,如图3所示,Broker代理300即为图2中Broker代理210,可以与联盟相关联,在一些应用中,Broker代理300是联盟中单个目录服务的专用代理。在一些应用中,Broker代理300是与联盟相关联的多个代理之一。
Broker代理300使用数据库305来存储使用数据管理指令310从联盟中的一个或多个目录服务检索的身份识别数据,Broker代理300还可以使用数据库305存储使用数据管理指令310从一个或多个设备管理服务检索的设备安全策略。
在一些应用中,Broker代理300可以通过图形用户界面(GUI)接收身份识别数据、设备安全策略作为输入。
在一些应用中,身份识别数据和设备安全策略可以由加密指令315加密。例如,加密指令315可将诸如MDS、SHA256或任何其它哈希函数的哈希算法应用于标识感知数据以生成一个或多个哈希值或加密的数据对象。数据对象的任何更改都将更改哈希值,从而在当前哈希值与以前的哈希值间形成差异。
一个或多个加密的数据对象通过网络205发送到分布式账本220,以使用分布式账本事务处理程序指令320进行存储。分布式账本交易指令320通过在分布式账本220中创建一个或多个新的条目(区块)来更新分布式账本220。
如图4所示,分布式数据存储库400包括具有区块410、420、430的分布式账本220,分布式账本220实际可以包括任意数量的块。本实施例中,每个块410、420、430可以包括其自己的索引号411、421、431、时间戳412、422、432、数据413、423、433、哈希值414、424、434和先前的哈希值415、425、435。
索引号411、421、431可以是表示块在链中的位置的数字索引,时间戳412、422、432可以是创建块的日期和时间,数据413、423、433可以是分别在块410、420、430中存储为数据的加密共享,Hash414、424、434可以是加密规则的哈希值,例如MD5、SHA256或RIPEMD等,PreHash415、425、435是前一个块的Hash,它按顺序链接这些区块。在图4中,块430存储前一个块Hash424的记录,块420存储前一个块Hash414的记录。这些PreHash的记录将每个新块链接到先前的块,以形成可对每个块进行完整性检查的链。
如图5所示,网关500即为图2中网关230,具有数据库505,该数据库505存储身份识别数据和设备安全策略,数据管理指令510可以定期检查分布式账本220以获取更新的数据,并将更新的数据存储在本地数据库505中。身份识别数据和设备安全策略以及对它们的任何改变可以由网关500散列加密并存储在分布式账本220中。网关500使用身份识别数据和设备安全策略来配置其防火墙规则,监视指令515监视网络通信量,并使用防火墙规则,基于用户客户端设备、操作客户端设备的用户身份、访问策略来控制用户的通信量,并且还基于企业设备的安全策略,控制来自企业设备的通信量。除了使用身份识别数据控制网关500处的用户通信量之外,网关500还可以实现RBAC,以根据操作客户端设备的用户角色来启用细粒度的访问管理。
网关500还可以使用身份识别数据来管理企业内的基于身份的专用防火墙,从而消除了在每个基于身份的防火墙上分别提供身份信息的必要性,并且创建无摩擦的体验。
网关500可以被编程以适应不同的通信协议,例如HTTP、RTSP、SSH、Telnet、MQTT、Modbus、DNP3或任何其他适用协议,以直接与客户端设备240通信。客户端设备240可以通过安装在客户端设备240上的可用通信协议或客户端代理向网关500提供认证信息。网关500通过将客户端设备240提供的认证信息与存储在分布式账本220中的身份识别数据进行比较,并应用任何RBAC规则来认证客户端设备240。
网关500可以从经认证的客户端设备240接收一个或多个企业设备235的标识信息,以连接从分布式账本220访问的认证会话信息。如果客户端设备240不提供认证会话信息,则网关500使用存储在分布式账本220、RBAC规则中的身份识别数据来确定是否允许客户端设备240与标识的企业设备235建立通信。假设客户端设备240具有基于用户访问策略、RBAC规则的企业设备235访问权限,网关500将网关500上的可用端口专用于与标识的企业设备235连接,并将与该连接相关的会话数据作为认证会话信息存储在分布式账本220中,以供客户机设备240和本地数据库505随后检索。会话数据可以包括与通信端点相关的信息(如网络地址)、认证信息、防火墙信息(如通信端口)和时间信息。会话可以基于时间并且自动过期,会话也可以保持有效至用户从企业设备235主动注销为止。
加密/解密指令520对来自企业设备235的传出数据进行加密,并对传入数据进行解密。例如,网关500可以接收已经由客户端Agent代理245加密的传入数据,并且可以在将数据转发到企业设备235之前使用指令520解密数据。加密/解密指令520还根据设备安全策略加密/解密来自和访问企业设备235的业务。例如,加密/解密指令520可以对来自企业设备235的业务应用哈希算法并签名以确保数据完整性。
综上所述,本发明一种可通过计算机实现的物联网数据访问控制方法及系统,基于分布式账本,使得用户、应用程序、用户设备标识和相应的访问控制策略能够被集中管理,并由网关实施。此外,连接会话由网关创建和保存,可以防止对缺乏足够安全功能的物联网设备进行未经授权的访问。
其中,该方法主要包括:
由Broker代理设备将多个客户端设备的身份识别数据发布到分布式数据存储库;
通过Broker代理设备将多个物联网设备的设备安全策略发布到分布式数据存储库;
通过网关从分布式数据存储库接收身份识别数据;
通过网关,使用来自分布式数据存储库的身份识别数据对请求访问物联网设备的客户端设备进行认证;
由网关从分布式数据存储库接收设备安全策略,并使用所接收的设备安全策略在网关上建立防火墙规则;
通过网关创建客户端设备与物联网设备通信的会话,其中创建会话包括:在网关上打开端口,其中客户端设备与物联网设备之间的通信通过该端口进行;将与会话相关的信息作为身份验证会话信息发布到分布式数据存储库。
构建的系统主要包括:分布式数据存储库;
与分布式数据存储库通信的Broker代理设备,其中,Broker代理设备包括非临时性数据存储介质,存储第一组指令:将多个客户端设备的身份识别数据发布到分布式数据存储库;将多个物联网设备的设备安全策略发布到分布式数据存储库;
与分布式数据存储库通信的网关,其中,网关包括非临时性数据存储介质,存储第二组指令:从分布式数据仓库接收身份识别数据;使用来自分布式数据存储库的身份识别数据来认证请求访问物联网设备的客户端设备;从分布式数据仓库接收设备安全策略,并使用接收到的设备安全策略在网关上建立防火墙规则;对认证的客户端设备做出响应,创建客户端设备与物联网设备通信的会话,其中创建会话包括:在网关上打开端口,客户端设备与物联网设备之间的通信通过该端口进行;将与会话相关的信息作为身份验证会话信息,发布到分布式数据存储库。
本发明公开的方法提高了数据安全性和数据完整性。使用分布式数据存储库,可以保护存储在分布式数据存储库中的任何数据的完整性。分布式数据存储库的性质还确保每个新的数据块都链接到上一个块,从而创建了一种改进的记录更改和拒绝未经批准的更改的方法。因此,分布式数据存储库可以作为具有高拜占庭容错性的敏感数据的安全备份;
本发明公开的方法可以对身份识别数据和设备安全策略集中管理并供网关使用,提高访问控制的效率和安全。本发明利用专用代理来接收身份识别数据和设备安全策略,并将数据发送到分布式数据存储库,网关从分布式数据存储库检索身份识别数据和设备安全策略,而不是分别从各种来源检索。
本发明公开的方法可以确保通信的完整性和隐私性。身份识别数据和设备安全策略自动在网关上生效,并控制来自用户的应用程序与物联网设备间的通信,与网关开放端口相关的身份验证会话信息存储在分布式数据存储库中,只要会话保持有效,网关就会将通信转发到预期的物联网设备。

Claims (10)

1.一种物联网数据访问控制方法,其特征在于,包括以下步骤:
S1、通过代理设备分别收集客户端设备的身份识别数据和物联网设备的设备安全策略;
S2、将收集的身份识别数据和设备安全策略加密后发布到分布式数据存储库;
S3、由网关从分布式数据存储库接收并解密身份识别数据,以对请求访问物联网设备的客户端设备进行身份认证,若认证通过,则执行步骤S4,否则拒绝该客户端设备对物联网设备的访问请求;
S4、由网关从分布式数据存储库接收并解密设备安全策略,结合身份识别数据,以建立防火墙规则;
S5、通过网关创建客户端设备与物联网设备通信的会话,并将会话相关信息加密后作为认证会话信息发布到分布式数据存储库;
S6、客户端设备从分布式数据存储库中接收并解密认证会话信息,并将该认证会话信息发送给网关,以保持客户端设备对物联网设备的访问,当认证会话信息过期或无效,则网关终止客户端设备与物联网设备之间的通信。
2.根据权利要求1所述的一种物联网数据访问控制方法,其特征在于,所述身份识别数据包括身份信息及其相应的访问控制策略,该访问控制策略即为身份权限。
3.根据权利要求2所述的一种物联网数据访问控制方法,其特征在于,所述步骤S3中对请求访问物联网设备的客户端设备进行身份认证的具体过程为:首先根据身份信息确定客户端设备是否可以对网关进行访问,之后根据访问控制策略确定客户端设备是否有权限访问物联网设备。
4.根据权利要求1所述的一种物联网数据访问控制方法,其特征在于,所述步骤S5中创建客户端设备与物联网设备通信的会话具体是在网关上打开端口,利用该端口进行客户端设备与物联网设备之间的通信。
5.根据权利要求1所述的一种物联网数据访问控制方法,其特征在于,所述会话相关信息包括与通信端点信息、身份认证信息、防火墙信息和时间信息。
6.一种应用如权利要求1所述方法的物联网数据访问控制系统,其特征在于,包括分别与网络双向连接的代理设备、分布式数据存储库和网关,所述网关还与多个物联网设备双向连接,所述代理设备通过网络从客户端设备收集身份识别数据,并通过网络从与网关连接的物联网设备收集设备安全策略,之后将身份识别数据和设备安全策略分别加密后通过网络发布到分布式数据存储库;
所述分布式数据存储库用于分布式存储身份识别数据和设备安全策略,所述设备安全策略具体是对应于设备的被访问权限;
所述网关基于身份识别数据和设备安全策略来控制客户端设备对物联网设备的访问,并建立用于控制输入和输出网络访问的防火墙规则,此外,还对认证的客户端设备做出响应,以创建客户端设备与物联网设备通信的会话。
7.根据权利要求6所述的一种物联网数据访问控制方法,其特征在于,所述分布式数据存储库包括具有多个区块的分布式账本。
8.根据权利要求7所述的一种物联网数据访问控制方法,其特征在于,所述分布式账本中的每一个区块包含索引号、时间戳、数据值、加密值及先前加密值。
9.根据权利要求6所述的一种物联网数据访问控制方法,其特征在于,多个区块按各自时间戳的时间顺序链接在一起构成区块链,所述区块链中后一个区块中的先前加密值即为前一个区块中的加密值。
10.根据权利要求6所述的一种物联网数据访问控制方法,其特征在于,所述客户端设备中包含用于加密解密数据的客户端代理。
CN202010316856.5A 2020-04-21 2020-04-21 一种物联网数据访问控制方法及系统 Pending CN111600845A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010316856.5A CN111600845A (zh) 2020-04-21 2020-04-21 一种物联网数据访问控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010316856.5A CN111600845A (zh) 2020-04-21 2020-04-21 一种物联网数据访问控制方法及系统

Publications (1)

Publication Number Publication Date
CN111600845A true CN111600845A (zh) 2020-08-28

Family

ID=72189002

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010316856.5A Pending CN111600845A (zh) 2020-04-21 2020-04-21 一种物联网数据访问控制方法及系统

Country Status (1)

Country Link
CN (1) CN111600845A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112421768A (zh) * 2020-10-09 2021-02-26 深圳华工能源技术有限公司 一种适用于配用电系统节能领域的区块链系统架构
CN112491788A (zh) * 2020-10-20 2021-03-12 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统
CN112883424A (zh) * 2021-03-18 2021-06-01 广西科技师范学院 一种物联网数据安全管理方法
CN113542242A (zh) * 2021-06-30 2021-10-22 广东省安心加科技有限公司 设备管理方法及设备管理装置
CN113542117A (zh) * 2021-07-09 2021-10-22 重庆邮电大学 一种基于分层区块链的物联网设备资源访问控制方法
CN114019933A (zh) * 2021-11-27 2022-02-08 河南中烟工业有限责任公司 一种工业控制系统的网络安全控制方法及装置
CN114157487A (zh) * 2021-12-03 2022-03-08 上海交通大学 一种基于区块链技术的大规模物联网访问控制方法
CN114520734A (zh) * 2021-12-31 2022-05-20 华能信息技术有限公司 一种基于双向传输的网络数据安全管控方法及系统
CN115412925A (zh) * 2022-09-02 2022-11-29 广州爱浦路网络技术有限公司 网络安全防护方法、装置及安全防护功能网元

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10326802B1 (en) * 2018-12-04 2019-06-18 Xage Security, Inc. Centrally managing data for orchestrating and managing user accounts and access control and security policies remotely across multiple devices
CN109981689A (zh) * 2019-04-29 2019-07-05 清华大学 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置
CN110086821A (zh) * 2019-05-07 2019-08-02 国网江苏省电力有限公司无锡供电分公司 基于区块链的电力物联网网关和电力物联网终端接入的认证方法
US20190245856A1 (en) * 2017-04-11 2019-08-08 Xage Security, Inc. Single authentication portal for diverse industrial network protocols across multiple osi layers
US10581865B1 (en) * 2019-02-20 2020-03-03 Xage Security, Inc. Inline filtering to secure access and data between user and application to device and between device to device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190245856A1 (en) * 2017-04-11 2019-08-08 Xage Security, Inc. Single authentication portal for diverse industrial network protocols across multiple osi layers
US10326802B1 (en) * 2018-12-04 2019-06-18 Xage Security, Inc. Centrally managing data for orchestrating and managing user accounts and access control and security policies remotely across multiple devices
US10581865B1 (en) * 2019-02-20 2020-03-03 Xage Security, Inc. Inline filtering to secure access and data between user and application to device and between device to device
CN109981689A (zh) * 2019-04-29 2019-07-05 清华大学 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置
CN110086821A (zh) * 2019-05-07 2019-08-02 国网江苏省电力有限公司无锡供电分公司 基于区块链的电力物联网网关和电力物联网终端接入的认证方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112421768A (zh) * 2020-10-09 2021-02-26 深圳华工能源技术有限公司 一种适用于配用电系统节能领域的区块链系统架构
CN112421768B (zh) * 2020-10-09 2023-08-11 深圳华工能源技术有限公司 一种适用于配用电系统节能领域的区块链系统架构
CN112491788A (zh) * 2020-10-20 2021-03-12 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统
CN112491788B (zh) * 2020-10-20 2023-04-25 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统
CN112883424A (zh) * 2021-03-18 2021-06-01 广西科技师范学院 一种物联网数据安全管理方法
CN113542242A (zh) * 2021-06-30 2021-10-22 广东省安心加科技有限公司 设备管理方法及设备管理装置
CN113542117A (zh) * 2021-07-09 2021-10-22 重庆邮电大学 一种基于分层区块链的物联网设备资源访问控制方法
CN114019933A (zh) * 2021-11-27 2022-02-08 河南中烟工业有限责任公司 一种工业控制系统的网络安全控制方法及装置
CN114157487A (zh) * 2021-12-03 2022-03-08 上海交通大学 一种基于区块链技术的大规模物联网访问控制方法
CN114520734A (zh) * 2021-12-31 2022-05-20 华能信息技术有限公司 一种基于双向传输的网络数据安全管控方法及系统
CN114520734B (zh) * 2021-12-31 2024-01-26 华能信息技术有限公司 一种基于双向传输的网络数据安全管控方法及系统
CN115412925A (zh) * 2022-09-02 2022-11-29 广州爱浦路网络技术有限公司 网络安全防护方法、装置及安全防护功能网元

Similar Documents

Publication Publication Date Title
CN111600845A (zh) 一种物联网数据访问控制方法及系统
US11201872B2 (en) Inline filtering to secure access and data between user and application to device and between device to device
Jemel et al. Decentralized access control mechanism with temporal dimension based on blockchain
US11005812B2 (en) Autonomous decentralization of centralized stateful security services with systematic tamper resistance
US6807181B1 (en) Context based control data
Mosteiro-Sanchez et al. Securing IIoT using defence-in-depth: towards an end-to-end secure industry 4.0
US9781114B2 (en) Computer security system
US6823462B1 (en) Virtual private network with multiple tunnels associated with one group name
US8082574B2 (en) Enforcing security groups in network of data processors
US20080083011A1 (en) Protocol/API between a key server (KAP) and an enforcement point (PEP)
Cynthia et al. Security protocols for IoT
Fotiou et al. Access control for the internet of things
US20230037520A1 (en) Blockchain schema for secure data transmission
US10951605B2 (en) Centrally managing data for distributed identity-based firewalling
Gupta et al. Fog computing and its security challenges
US10154045B2 (en) Method of communicating between secured computer systems as well as computer network infrastructure
Kim et al. Security issues in peer-to-peer systems
Oey et al. Security in large-scale open distributed multi-agent systems
CN116633576A (zh) 安全可信NC-Link代理器、控制方法、设备及终端
SUJATHA et al. EFFICIENT MUTUAL USER AUTHENTICATION PROTOCOL TO SHARE FILES USING ID IN CLOUD STORAGE
CN114666341A (zh) 一种去中心化sdp控制器实现方法及计算机存储介质
Dahiya et al. IMPLEMENTING MULTILEVEL DATA SECURITY IN CLOUD COMPUTING.
WO2009005698A1 (en) Computer security system
Oberhofer et al. Market Research on IIoT Standard Compliance Monitoring Providers and deriving Attributes for IIoT Compliance Monitoring
JP7433620B1 (ja) 通信方法、通信装置及びコンピュータプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200828

RJ01 Rejection of invention patent application after publication