CN111885196B - 用于访问物联网云平台的设备数据的方法、装置及系统 - Google Patents

用于访问物联网云平台的设备数据的方法、装置及系统 Download PDF

Info

Publication number
CN111885196B
CN111885196B CN202010759613.9A CN202010759613A CN111885196B CN 111885196 B CN111885196 B CN 111885196B CN 202010759613 A CN202010759613 A CN 202010759613A CN 111885196 B CN111885196 B CN 111885196B
Authority
CN
China
Prior art keywords
identity
access
device data
subject
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010759613.9A
Other languages
English (en)
Other versions
CN111885196A (zh
Inventor
张鸿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202010759613.9A priority Critical patent/CN111885196B/zh
Publication of CN111885196A publication Critical patent/CN111885196A/zh
Application granted granted Critical
Publication of CN111885196B publication Critical patent/CN111885196B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本说明书实施例提供物联网云平台的设备数据访问方法。设备数据访问请求发起主体向访问管理平台发送设备数据访问请求,设备数据访问请求包括设备数据访问请求发起主体和待访问主体的身份信息以及目标设备数据信息,访问管理平台相关联地存储主体的加密主体访问密钥以及该主体的身份信息。访问管理平台基于设备数据访问请求中的身份信息进行身份访问授权验证。在身份访问授权验证通过后,访问管理平台使用待访问主体的身份信息获取对应的加密主体访问密钥,并调用可信计算平台中的密钥解密模块来解密加密主体访问密钥得到主体访问授权信息。主体访问授权信息被可信计算平台或者设备数据访问请求发起主体使用来访问物联网云平台得到目标设备数据。

Description

用于访问物联网云平台的设备数据的方法、装置及系统
技术领域
本说明书实施例通常涉及物联网领域,尤其涉及用于访问物联网云平台的设备数据的方法、装置及系统。
背景技术
物联网(The Internet of Things,IoT)是通过将各个物联网设备与互联网结合起来而形成的网络,其是互联网基础上的延伸和扩展,可以实现任何时间和任何地点处的人、机、物之间的互联互通。然而,各个物联网设备所采集的设备数据是企业或个人私有数据,不能或者不愿意共享给物联网中的其他设备或系统使用,从而形成数据孤岛。因此,提出一种物联网设备数据访问机制来解决数据孤岛之间的数据联通,成为亟待解决的问题。
发明内容
鉴于上述,本说明书实施例提供用于访问物联网云平台的设备数据的方法、装置及系统。在该设备数据访问方法中,在访问管理平台中相关联地存储主体的加密主体访问密钥以及该主体的身份信息。在从设备数据访问请求发起主体接收到设备数据访问请求后,访问管理平台基于设备数据访问请求中的身份信息进行身份访问授权验证,在身份访问授权验证通过后,访问管理平台使用待访问主体的身份信息来获取对应的加密主体访问密钥,并调用可信计算平台中的密钥解密模块来解密加密主体访问密钥得到主体访问授权信息。随后,可信计算平台或者设备数据访问请求发起主体将主体访问授权信息附接于设备数据访问请求来访问物联网云平台得到目标设备数据,从而实现针对物联网云平台的设备数据的可信访问,由此在确保设备数据访问安全的情况下,解决数据孤岛之间的数据联通。
根据本说明书实施例的一个方面,提供一种用于访问物联网云平台的设备数据的方法,所述方法由访问管理平台执行,所述方法包括:获取设备数据访问请求发起主体发送的设备数据访问请求,所述设备数据访问请求包括设备数据访问请求发起主体的身份信息、待访问主体的身份信息以及目标设备数据信息,所述访问管理平台相关联地存储期望共享设备数据的主体的加密主体访问密钥以及该主体的身份信息;基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息进行身份访问授权验证;在所述身份访问授权验证通过后,使用所述待访问主体的身份信息来获取对应的加密主体访问密钥,并调用可信计算平台中的密钥解密模块来对所述加密主体访问密钥进行解密,得到所述待访问主体的主体访问授权信息,所得到的主体访问授权信息返回给所述访问管理平台,或者被所述可信计算平台使用来附接于设备数据访问请求来访问物联网云平台得到所述待访问主体的目标设备数据并返回给所述访问管理平台;以及将所述可信计算平台返回的信息提供给所述设备数据访问请求发起主体。
可选地,在上述方面的一个示例中,所述访问管理平台是基于区块链的访问管理平台,所述访问管理平台在所述区块链上为主体注册唯一链上身份,以及所述区块链上记录有主体之间的链上身份关联关系,基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息进行身份访问授权验证包括:基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息,根据所述区块链上记录的链上身份关联关系进行身份访问授权验证。
可选地,在上述方面的一个示例中,所述方法还可以包括:响应于接收到主体的身份注册请求,根据所述身份注册请求中的身份注册信息来完成所述区块链上的身份注册。
可选地,在上述方面的一个示例中,所述区块链上部署有智能合约,响应于接收到主体的身份注册请求,根据所述身份注册请求中的身份注册信息来完成所述区块链上的身份注册可以包括:响应于接收到主体的身份注册请求,调用所述区块链上的对应智能合约,根据所述身份注册请求中的身份注册信息来完成所述区块链上的身份注册。
可选地,在上述方面的一个示例中,所述主体之间的链上身份关联关系基于所述主体的身份注册信息确定。
可选地,在上述方面的一个示例中,在所述物联网云平台将所述待访问主体的目标设备数据返回给所述可信计算平台后,所述方法还可以包括:从所述可信计算平台获取所述目标设备数据;以及将所述目标设备数据发送给所述设备数据访问请求发起主体。
可选地,在上述方面的一个示例中,所述方法还可以包括:在从所述可信计算平台获取所述目标设备数据后,将与所述设备数据访问请求对应的设备数据访问行为存证在所述区块链上。
可选地,在上述方面的一个示例中,所述主体的身份注册请求经由所述主体位于的物联网云平台或者所述主体的业务系统发出。
根据本说明书的实施例的另一方面,提供一种用于访问物联网云平台的设备数据的方法,包括:设备数据访问请求发起主体向访问管理平台发送设备数据访问请求,所述设备数据访问请求包括设备数据访问请求发起主体的身份信息、待访问主体的身份信息以及目标设备数据信息,所述访问管理平台相关联地存储期望共享设备数据的主体的加密主体访问密钥以及该主体的身份信息;所述访问管理平台基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息进行身份访问授权验证;在所述身份访问授权验证通过后,所述访问管理平台使用所述待访问主体的身份信息来获取对应的加密主体访问密钥,并调用可信计算平台中的密钥解密模块来对所述加密主体访问密钥进行解密,得到所述待访问主体的主体访问授权信息;所述可信计算平台或者所述设备数据访问请求发起主体使用附接有所述主体访问授权信息的设备数据访问请求来访问物联网云平台;以及所述物联网云平台在设备数据访问鉴权通过后,将所述待访问主体的目标设备数据返回给所述可信计算平台或者所述设备数据访问请求发起主体。
可选地,在上述方面的一个示例中,所述可信计算平台是基于SGX的可信计算平台,所述加密主体访问密钥通过对主体的账户名和账户密钥进行信封加密而得到,以及所述主体访问授权信息是基于所述账户名和所述账户密钥得到的数字签名或者令牌信息。
根据本说明书的实施例的另一方面,提供一种用于访问物联网云平台的设备数据的装置,所述装置应用于访问管理平台,所述装置包括:访问请求获取单元,获取设备数据访问请求发起主体发送的设备数据访问请求,所述设备数据访问请求包括设备数据访问请求发起主体的身份信息、待访问主体的身份信息以及目标设备数据信息;访问授权验证单元,基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息进行身份访问授权验证;主体访问密钥存储单元,相关联地存储期望共享设备数据的主体的加密主体访问密钥以及该主体的身份信息;主体访问密钥获取单元,在所述身份访问授权验证通过后,使用所述待访问主体的身份信息来获取对应的加密主体访问密钥;可信计算调用单元,调用可信计算平台中的密钥解密模块来对所述加密主体访问密钥进行解密,得到所述待访问主体的主体访问授权信息,所得到的主体访问授权信息被返回给所述访问管理平台,或者被所述可信计算平台使用来附接于所述设备数据访问请求来访问物联网云平台得到所述待访问主体的目标设备数据;以及信息提供单元,将所述可信计算平台返回的信息提供给所述设备数据访问请求发起主体。
可选地,在上述方面的一个示例中,所述访问管理平台是基于区块链的访问管理平台,所述访问管理平台在所述区块链上为主体注册唯一链上身份,以及所述区块链上记录有主体之间的链上身份关联关系,所述访问授权验证单元基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息,根据所述区块链上记录的链上身份关联关系进行身份访问授权验证。
可选地,在上述方面的一个示例中,所述装置还可以包括:身份注册单元,响应于接收到主体的身份注册请求,根据所述身份注册请求中的身份注册信息来完成所述区块链上的身份注册。
可选地,在上述方面的一个示例中,所述区块链上部署有智能合约,所述身份注册单元响应于接收到主体的身份注册请求,调用所述区块链上的对应智能合约,根据所述身份注册请求中的身份注册信息来完成所述区块链上的身份注册。
可选地,在上述方面的一个示例中,所述主体之间的链上身份关联关系基于所述主体的身份注册信息确定。
可选地,在上述方面的一个示例中,所述装置还可以包括:存证单元,在从所述可信计算平台获取所述目标设备数据后,将与所述设备数据访问请求对应的设备数据访问行为存证在所述区块链上。
根据本说明书的实施例的另一方面,提供一种用于访问物联网云平台的设备数据的系统,包括:访问管理平台,包括如上所述的装置;可信计算平台,对所述加密主体访问密钥进行解密,得到所述待访问主体的主体访问授权信息,所得到的主体访问授权信息被返回给所述访问管理平台以经由所述访问管理平台提供给设备数据访问请求发起主体,由所述设备数据访问请求发起主体使用来附接于所述设备数据访问请求访问物联网云平台得到所述待访问主体的目标设备数据,或者所得到的主体访问授权信息被所述可信计算平台使用来附接于所述设备数据访问请求访问物联网云平台得到所述待访问主体的目标设备数据,并返回给所述访问管理平台,并经由所述访问管理平台提供给所述设备数据访问请求发起主体。
根据本说明书的实施例的另一方面,提供一种电子设备,包括:至少一个处理器,以及与所述至少一个处理器耦合的存储器,所述存储器存储指令,当所述指令被所述至少一个处理器执行时,使得所述至少一个处理器执行如上所述的在访问管理平台上执行的方法。
根据本说明书的实施例的另一方面,提供一种机器可读存储介质,其存储有可执行指令,所述指令当被执行时使得所述机器执行如上所述的在访问管理平台上执行的方法。
附图说明
通过参照下面的附图,可以实现对于本说明书内容的本质和优点的进一步理解。在附图中,类似组件或特征可以具有相同的附图标记。
图1示出了根据本说明书的实施例的物联网云平台的设备数据访问过程的示例环境的示意图。
图2示出了根据本说明书的实施例的设备身份注册信息的示例示意图。
图3A和图3B示出了根据本说明书的实施例的空间身份注册信息的示例示意图。
图4示出了根据本说明书的实施例的组织身份注册信息的示例示意图。
图5示出了根据本说明书的实施例的用户身份注册信息的示例示意图。
图6示出了根据本说明书的实施例的设备身份、空间身份、用户身份和组织身份之间的关联关系的示例示意图。
图7示出了根据本说明书的实施例的SDK的框架示意图。
图8示出了根据本说明书的实施例的用于访问物联网云平台的设备数据的方法的流程图。
图9示出了根据本说明书的实施例的用于访问物联网云平台的设备数据的装置的示例方框图。
图10示出了根据本说明书的实施例的用于实现在访问管理平台处执行的设备数据访问过程的电子设备的示意图。
具体实施方式
现在将参考示例实施方式讨论本文描述的主题。应该理解,讨论这些实施方式只是为了使得本领域技术人员能够更好地理解从而实现本文描述的主题,并非是对权利要求书中所阐述的保护范围、适用性或者示例的限制。可以在不脱离本说明书内容的保护范围的情况下,对所讨论的元素的功能和排列进行改变。各个示例可以根据需要,省略、替代或者添加各种过程或组件。例如,所描述的方法可以按照与所描述的顺序不同的顺序来执行,以及各个步骤可以被添加、省略或者组合。另外,相对一些示例所描述的特征在其它例子中也可以进行组合。
如本文中使用的,术语“包括”及其变型表示开放的术语,含义是“包括但不限于”。术语“基于”表示“至少部分地基于”。术语“一个实施例”和“一实施例”表示“至少一个实施例”。术语“另一个实施例”表示“至少一个其他实施例”。术语“第一”、“第二”等可以指代不同的或相同的对象。下面可以包括其他的定义,无论是明确的还是隐含的。除非上下文中明确地指明,否则一个术语的定义在整个说明书中是一致的。
图1示出了根据本说明书的实施例的物联网云平台的设备数据访问过程的示例环境1的示意图。
如图1所示,示例环境1包括可信访问系统10、业务系统20和物联网云平台30。
可信访问系统10包括访问管理平台110、可信计算平台120和区块链130。
访问管理平台110用于管理针对物联网云平台30上保存的设备数据的设备数据访问。为了实现针对设备数据访问的管理,访问管理平台110具有身份注册模块。利用该身份注册模块,访问管理平台110可以为主体注册唯一身份。在图1中示出的示例中,访问管理平台110是基于区块链130的访问管理平台。相应地,访问管理平台110响应于接收到主体的身份注册请求,根据身份注册请求中的身份注册信息来完成身份注册,并将注册后的主体身份记录在区块链130上。
在本说明书中,区块链130用于记录所注册的主体身份。此外,区块链130中还记录主体身份之间的链上身份关联关系。所述链上身份关联关系用于描述各种主体身份之间的关联关系,所述关联关系用于反映主体身份之间的设备数据访问授权关系。在本说明书中,可信访问系统10所涉及的主体可以包括物联网设备、设备用户(业务方)、设备组织(物联网设备所有方/物联网设备运营方)和空间位置(物联网设备部署位置)中的至少一种。
访问管理平台110可以响应于接收到主体的身份注册请求,根据身份注册请求中的身份注册信息为每个主体在区块链上注册唯一的链上身份(即,主体身份)。所述身份注册请求可以包括设备身份注册请求、空间身份注册请求、用户身份注册请求和组织身份注册请求。各个身份注册请求包括或者携带有对应的身份注册信息,所述身份注册信息包括创建各种身份所需的信息。
在本说明书中,设备身份的身份注册信息(下文中称为“设备身份注册信息”)例如可以包括下述信息中的至少一种:设备类型、设备原始身份标识、设备所有者信息、设备运营者信息、设备版本信息,设备分组信息,设备空间关联属性和设备服务节点信息。这里,设备原始身份标识可以是各中心化身份认证中心认证的设备身份标识。图2示出了根据本说明书的实施例的设备身份注册信息的示例示意图。
空间身份的身份注册信息(下文中称为“空间身份注册信息”)可以包括下述信息中的至少一种:空间类型、空间所有者信息、空间运营者信息、空间原始身份标识、空间版本信息、空间三维坐标信息、空间设备关联属性和空间服务节点信息。这里,空间原始身份标识例如可以是各地图POI空间身份编码,以及所述空间三维坐标信息例如可以是经纬度高度。图3A和图3B示出了根据本说明书的实施例的空间身份注册信息的示例示意图。其中,图3A示出了与仓库对应的空间身份注册信息的示例,以及图3B示出了与仓库中的仓位对应的空间身份注册信息的示例。
组织身份的身份注册信息(下文中称为“组织身份注册信息”)例如可以包括唯一组织标识信息、分布式身份DID和/或描述名称等等。唯一组织标识信息例如可以包括组织邮箱等。图4示出了根据本说明书的实施例的组织身份注册信息的示例示意图。
用户身份的身份注册信息(下文中称为“用户身份注册信息”)例如可以包括唯一用户标识信息、分布式身份DID和/或描述名称等等。唯一用户标识信息例如可以包括用户手机号等。图5示出了根据本说明书的实施例的用户身份注册信息的示例示意图。
在一个示例中,区块链上可以部署多方共识执行的智能合约,并且利用智能合约来为物联网设备、设备用户、设备组织和空间位置注册符合W3C分布式身份体系的DID身份。所述智能合约可以包括设备身份智能合约、空间身份智能合约、用户身份智能合约和/或组织身份智能合约。可选地,也可以利用统一的智能合约来执行各种身份注册过程。相应地,访问管理平台110可以具有合约调用模块。
例如,在一个示例中,可以响应于接收到设备身份注册请求,利用合约调用模块,将设备身份注册请求中的设备身份注册信息作为设备身份智能合约的输入参数,调用区块链上的设备身份智能合约来生成唯一设备身份。按照这种方式,在区块链上为每个物联网设备注册符合W3C分布式身份体系的DID身份。
在一个示例中,可以响应于接收到空间身份注册请求,利用合约调用模块,将空间身份注册请求中的空间身份注册信息作为空间身份智能合约的输入参数,调用区块链上的空间身份智能合约来生成唯一空间身份。按照这种方式,在区块链上为每个空间注册符合W3C分布式身份体系的DID身份。此外,还可以借助于地图技术,进行去重聚合,验证空间身份注册的有效性。此外,在物资监管场景中,可以将空间身份和设备身份进行有效关联,由此完成监管数据的聚合分类。
在一个示例中,可以响应于接收到组织身份注册请求,利用合约调用模块,将组织身份注册请求中的组织身份注册信息作为组织身份智能合约的输入参数,调用区块链链上的组织身份智能合约来生成唯一组织身份。此外,可以响应于接收到用户身份注册请求,利用合约调用模块,将用户身份注册请求中的用户身份注册信息作为用户身份智能合约的输入参数,调用区块链上的用户身份智能合约来生成唯一用户身份。
利用在区块链上所注册的设备身份,可以打通多个设备数据主体之间的DID隔断。区块链技术的不可篡改、哈希加密的特性,可以实现身份标识唯一的去中心化可信身份系统。
在本说明书中,在主体(例如,具有业务系统开发能力的主体)具有业务系统的情况下,主体的身份注册请求可以经由该主体的业务系统发出。在主体(例如,不具有业务系统开发能力的主体等)不具有单独的业务系统的情况下,主体的身份注册请求可以经由该主体所位于的物联网云平台发出。
在如上完成设备身份、空间身份、用户身份和组织身份的身份注册后,将所注册的设备身份、空间身份、用户身份和组织身份记录在区块链130上,例如,可以通过多方共识处理后记录在区块链130上。
此外,还可以基于设备身份、空间身份、用户身份和组织身份各自的身份注册信息来进行身份关联,由此得到设备身份、空间身份、用户身份和组织身份之间的身份关联关系(即,图1中示出的关联关系)。
在本说明书中,身份关联关系例如可以包括所有者、运营者、使用者和观察者。所有者、经营者、使用者和观察者分别被赋予不同的数据权限等级,其中,数据权限等级按照所有者、经营者、使用者和观察者的顺序依次降低。例如,假设A是B的所有者,则A对B的数据具有数据访问管理权限和无限制访问权限。这里,数据访问管理权限是指可以对哪些设备可以具有数据访问权限进行管理的权限。即,A可以授权或禁止哪些设备访问B的数据,并且A可以对B的数据具有查询权限和读/写权限。假设C是B的经营者,则C对B的数据具有无限制访问权限,即,C可以对B的数据具有查询权限和读/写权限。假设D是B的使用者,则D对B的数据具有有限制访问权限(例如,使用权限),即,D可以对B的数据具有查询权限和读取权限。换言之,D对B的数据具有使用权限,但没有数据修改权限。假设E是B的使用者,则E对B的数据具有有限制访问权限(比D的数据权限更低的数据权限,例如,观察权限),即,E可以对B的数据仅仅具有查询权限。图6示出了根据本说明书的实施例的设备身份、空间身份、用户身份和组织身份之间的关联关系的示例示意图。
在本说明书中,所得到的设备身份、空间身份、用户身份和组织身份之间的身份关联关系被记录在区块链130上,用于在接收到设备数据访问请求时,针对设备数据访问请求中的身份信息来进行身份访问授权验证。
此外,区块链130上还可以记录有可验证授权声明,所述可验证授权声明(VC)用于指示用户或组织之间的数据访问许可。例如,如果组织B具有组织A的可验证授权声明,则组织B对组织A所具有的物联网设备或空间的设备数据具有可验证授权声明中限定的数据访问权限。所述可验证授权声明可以利用可信访问系统10中的VC发布模块(或功能)来发布。此外,可信访问系统10还可以具有VC验证模块。VC验证模块被使用来对可验证授权声明进行有效性验证。在这种情况下,设备数据主体身份之间的身份关联关系可以基于设备数据主体的身份注册信息和可验证授权声明确定。
此外,设备身份、空间身份、用户身份和组织身份还可以具有生命周期。生命周期可以基于身份存活周期和/或物联网设备在信物链系统中的物理存活周期确定。身份存活周期是指身份有效时间段,以及物联网设备的物理存储周期是指物联网设备在信物链系统中的部署时间周期。
访问管理平台110还可以具有密钥托管模块。相应地,在访问管理平台110中相关联地存储期望共享设备数据的主体的加密主体访问密钥以及该主体的身份信息。该主体的设备数据存储在物联网云平台30中。在一个示例中,主体访问密钥可以是物联网云平台30的平台登录信息,例如,该主体在物联网云平台30上的账户名和账户密码。主体的加密主体访问密钥是在该主体处利用该主体的私钥对账户名和账户密钥进行加密后得到。然后,主体将所得到的加密主体访问密钥发送给访问管理平台110。访问管理平台110将所得到的加密主体访问密钥与对应的主体身份信息相关联地存储。
访问管理平台110还可以具有授权管理模块。利用该授权管理模块,在从设备数据访问请求发起主体接收到设备数据访问请求后,访问管理平台110可以使用设备数据访问请求中的设备数据访问请求发起主体的身份信息和待访问主体的身份信息,根据区块链130中记录的链上身份关联关系来进行身份访问授权验证。具体地,根据区块链130中记录的链上身份关联关系,查询设备数据访问请求发起主体的身份信息与待访问主体的身份信息之间是否存在连通途径。如果存在连通途径,则可以认为设备数据访问请求发起主体有权限访问待访问主体的设备数据,由此身份访问授权验证通过。或者,进一步地,在一个示例中,在存在连通途径的情况下,可以根据该连通途径上的链上身份关联关系,确定设备数据访问请求发起主体针对待访问主体的设备数据的访问权限,并且在访问权限满足针对目标设备数据的访问权限时,认为身份访问授权验证通过。
在一个示例中,访问管理平台110可以将设备数据访问请求发起主体的身份信息和待访问主体的身份信息一起发送到区块链,在区块链上查询所存储的链上身份关联关系,由此确认请求发起主体是否具有待访问主体的目标设备数据的数据访问权限。在另一示例中,在设备数据访问请求发起主体和待访问主体都是经由本地身份注册模块在区块链上完成身份注册,并且在本地存储有对应的链上身份关联信息的情况下,可以在本地完成上述身份访问授权验证过程。
此外,访问管理平台110还具有计算调用模块。在身份访问授权验证通过后,访问管理平台110使用待访问主体的身份信息来获取对应的加密主体访问密钥,并使用计算调用模块来调用可信计算平台120中的密钥解密模块对所获取的加密主体访问密钥进行解密,得到待访问主体的主体访问授权信息。在一个示例中,加密主体访问密钥可以是通过对主体的账户名和账户密钥进行加密而得到。相应地,主体访问授权信息可以是基于账户名和账户密钥得到的数字签名或者令牌(Token)信息。
例如,可信计算平台120可以具有数字签名模块。在使用密钥解密模块对加密主体访问密钥进行解密得到账户名和账户密钥后,数字签名模块对账户名和账户密钥进行数字签名计算,由此得到数字签名。或者,可信计算平台120可以具有Token访问模块。在使用密钥解密模块对加密主体访问密钥进行解密得到账户名和账户密钥后,利用Token访问模块得到与该账户名和账户密钥对应的Token信息。
可选地,在一个示例中,所得到的主体访问授权信息可以返回给访问管理平台110。访问管理平台110将主体访问授权信息提供给设备数据访问请求发起主体。设备数据访问请求发起主体将该主体访问授权信息附接到设备数据访问请求,然后使用附接有主体访问授权信息的设备数据访问请求访问物联网云平台30。物联网云平台30使用主体访问授权信息来进行设备数据访问鉴权。在设备数据访问鉴权通过后,物联网云平台30将待访问主体的目标设备数据返回给设备数据访问请求发起主体。
在本说明书中,物联网云平台30可以是经过认证的头部物联网云平台,例如,华为云平台、国民技术云平台、海康云平台或大康云平台等。
可选地,在另一示例中,所得到的主体访问授权信息可以被可信计算平台120使用来附接于设备数据访问请求,并且可信计算平台120使用附接有主体访问授权信息的设备数据访问请求来访问物联网云平台30。物联网云平台30使用主体访问授权信息来进行设备数据访问鉴权。在设备数据访问鉴权通过后,物联网云平台30将待访问主体的目标设备数据返回给可信计算平台120。可信计算平台120将所得到的目标设备数据返回给访问管理平台110。随后,访问管理平台110将目标设备数据返回给设备数据访问请求发起主体。
此外,可选地,可信计算平台120返回给访问管理平台110的目标设备数据可以是经过可信计算后的目标设备数据。所述可信计算的示例例如可以包括但不限于数据统计、数据加密或AI计算。
在本说明书中,可信计算平台120的示例例如可以包括但不限于基于SGX的可信计算服务,基于TrustZone的可信计算服务等。可信硬件SGX的内部可以分成两部分环境,Enclave之外的不可信执行环境和Enclave中的可信执行环境。需要执行的代码被内嵌到Enclave中,代码的执行环境和外部环境之间形成隔离,从而使得Enclave成为相对安全的运行环境,Enclave也可以称为TEE可信执行环境。Enclave按照黑盒子一样执行操作,外界无法知晓Enclave的执行逻辑。在Enclave中,输入按照固定的逻辑运行得到输出。在这个过程中,只有可信硬件内部能够接触到原始设备数据,任何一方不能窃取设备数据。这个算法和数据的运行时,可以称为TAPP。借助Enclave内的TAPP能力,可以实现云资源账户隐私数据的处理,进行不可篡改的可信计算。
此外,可选地,访问管理平台110还可以具有访问存证模块。在可信计算平台120将目标设备数据返回给访问管理平台110后,访问管理平台110将与设备数据访问请求对应的设备数据访问行为存证在区块链130上。在完成该次设备数据访问后,访问管理平台110可以将该次设备数据访问过程以及身份访问过程存证在区块链上。
此外,可选地,访问管理模块110还可以包括上链接入模块(未示出)。上链接入模块被配置为将物联网设备的设备数据(例如,设备数据的索引信息,以及需要的话,还记录设备数据本身)记录到区块链130。在区块链130上记录的设备数据可以具有设备身份、空间身份、用户身份和/或组织身份。设备身份可以是产生该物联网设备数据的物联网设备的身份标识。空间身份可以是产生该物联网设备数据的物联网设备的空间位置的身份标识。空间身份可以是绝对空间位置身份标识,比如,空间坐标位置标识,也可以是相对空间位置身份标识,比如具体空间中的编号位置标识。用户身份可以是产生该物联网设备数据的物联网设备的使用者的身份标识。组织身份可以是产生该物联网设备数据的物联网设备的设备所有者的身份标识。
在本说明书中,可以使用设备SDK植入方式或者云端泛化接入方式来将设备数据记录到区块链。例如,对于具备OTA能力或者新增物联网设备,可以使用安全SDK来按照设备SDK植入方式将物联网设备数据直接记录到区块链。图7示出了根据本说明书的实施例的SDK的框架示意图。
如图7所示,可以使用支持安全芯片/SIM卡或者软件安全沙箱的技术来链路层和应用层进行密钥存储、数据加解密和签名验签等安全操作。通过TSM接入连接权威认证中心来对物联网设备进行身份认证并颁发设备CA证书。SDK层采集周围环境信息,所述周围环境信息包括GPS、CELL、WIFI、BT、IMU等传感信息和可信时间,并且获取操作人核身信息。与应用层的数据一起调用SDK的加密和签名函数,调用链路层发送往云端接入服务。云端接入服务对用户身份和设备身份进行认证,并结合周围环境数据进行多维度验真。在通过多维度验真后,送往区块链存证或者业务系统使用。利用设备SDK植入技术,可以实现安全的密钥分享、关键数据加密、远程安全控制、用户身份认证和代码安全升级等高安全等级业务。同时,还可以保障业务数据的不可抵赖性、完整性和保密性。
在另一示例中,可以为物联网设备提供可信泛化接入能力,从而物联网设备可以按照云端泛化接入的方式来将设备数据记录到区块链。云端泛化接入可以支持存量物联网设备和绝大多数市面上的物联网设备。
此外,可信计算平台120还可以具有异构接入模块(未示出)。利用该异构接入模块,可以对直接上链的设备数据和经过数据清洗后上链的设备数据进行可信的多维交叉验证,由此构建数据采集、数据传输和数据计算全部可信的完整闭环链路。
图8示出了根据本说明书的实施例的用于访问物联网云平台的设备数据的方法(下文中称为“设备数据访问方法”)800的流程图。在图8中示出的设备数据访问方法800中,已经部署好基于SGX的可信计算平台,并且主体已经在区块链上注册有链上唯一身份信息。可信计算平台具有信封解密模块、Token访问模块和数字签名模块。访问管理平台相关联地存储期望共享设备数据的主体的加密主体访问密钥以及该主体的身份信息。
如图8所示,在801,设备数据访问请求发起主体向访问管理平台发送设备数据访问请求,所述设备数据访问请求包括设备数据访问请求发起主体的身份信息、待访问主体的身份信息以及目标设备数据信息。
在802,访问管理平台基于设备数据访问请求发起主体的身份信息和待访问主体的身份信息进行身份访问授权验证。例如,访问管理平台可以使用设备数据访问请求发起主体的身份信息和待访问主体的身份信息,根据区块链中记录的链上身份关联关系来进行身份访问授权验证。
在身份访问授权验证通过后,在803,访问管理平台使用待访问主体的身份信息来获取对应的加密主体访问密钥。
在得到加密主体访问密钥后,调用(804)可信计算平台中的密钥解密模块来对加密主体访问密钥进行信封解密(805),并且对经过信封解密后的加密主体访问密钥进行数字签名计算,得到数字签名(806),作为主体访问授权信息。要说明的是,在另一示例中,对加密主体访问密钥进行信封解密后,还可以使用经过信封解密后的加密主体访问密钥来得到令牌信息,作为主体访问授权信息。
可选地,在一个示例中,在807,可信计算平台使用附接有主体访问授权信息的设备数据访问请求来访问物联网云平台。在808,物联网云平台使用主体访问授权信息来进行设备数据访问鉴权。在设备数据访问鉴权通过后,在809,物联网云平台将待访问主体的目标设备数据返回给可信计算平台。在810,可信计算平台将目标设备数据发送给访问管理平台,随后,在811,访问管理平台将目标设备数据发送给设备数据访问请求发起主体。
在另一示例中,在812,可信计算平台将数字签名发送给访问管理平台。在813,访问管理平台将数字签名发送给设备数据访问请求发起主体。在814,设备数据访问请求发起主体使用附接有主体访问授权信息的设备数据访问请求来访问物联网云平台。在815,物联网云平台使用主体访问授权信息来进行设备数据访问鉴权。在设备数据访问鉴权通过后,在816,物联网云平台将待访问主体的目标设备数据返回给设备数据访问请求发起主体。
图9示出了根据本说明书的实施例的用于访问物联网云平台的设备数据的装置(下文中称为“访问管理装置”)900的示例方框图。如图9所示,访问管理装置900包括访问请求获取单元910、访问授权验证单元920、主体访问密钥存储单元930、主体访问密钥获取单元940、可信计算调用单元950和信息提供单元960。
访问请求获取单元910被配置为获取设备数据访问请求发起主体发送的设备数据访问请求,所述设备数据访问请求包括设备数据访问请求发起主体的身份信息、待访问主体的身份信息以及目标设备数据信息。
访问授权验证单元920被配置为基于设备数据访问请求发起主体的身份信息和待访问主体的身份信息进行身份访问授权验证。
主体访问密钥存储单元930被配置为相关联地存储期望共享设备数据的主体的加密主体访问密钥以及该主体的身份信息。
主体访问密钥获取单元940被配置为在身份访问授权验证通过后,使用待访问主体的身份信息来获取对应的加密主体访问密钥。
可信计算调用单元950被配置为调用可信计算平台中的密钥解密模块来对加密主体访问密钥进行解密,得到待访问主体的主体访问授权信息,所得到的主体访问授权信息被返回给访问管理平台,或者被可信计算平台使用来附接于设备数据访问请求来访问物联网云平台得到待访问主体的目标设备数据。
信息提供单元960被配置为将可信计算平台返回的信息提供给设备数据访问请求发起主体。在可信计算平台返回的信息是主体访问授权信息的情况下,信息提供单元960将主体访问授权信息提供给设备数据访问请求发起主体。设备数据访问请求发起主体将主体访问授权信息附接于设备数据访问请求来访问物联网云平台得到待访问主体的目标设备数据。在可信计算平台返回的是目标设备数据的情况下,信息提供单元960将目标设备数据提供给设备数据访问请求发起主体。
此外,可选地,在一个示例中,访问管理平台可以是基于区块链的访问管理平台。相应地,访问管理平台在区块链上为主体注册唯一链上身份,以及区块链上记录有主体之间的链上身份关联关系。在这种情况下,访问授权验证单元920基于设备数据访问请求发起主体的身份信息和待访问主体的身份信息,根据区块链上记录的链上身份关联关系进行身份访问授权验证。
此外,可选地,访问管理装置900还可以包括身份注册单元(未示出)。身份注册单元响应于接收到主体的身份注册请求,根据身份注册请求中的身份注册信息来完成区块链上的身份注册。
此外,可选地,在一个示例中,所述区块链上部署有智能合约。所述身份注册单元响应于接收到主体的身份注册请求,调用区块链上的对应智能合约,根据身份注册请求中的身份注册信息来完成区块链上的身份注册。
此外,可选地,主体之间的链上身份关联关系可以基于主体的身份注册信息确定。
此外,可选地,访问管理装置900还可以包括存证单元(未示出)。存在单元被配置为在从可信计算平台获取目标设备数据后,将与设备数据访问请求对应的设备数据访问行为存证在区块链上。
利用上述设备数据访问方法,通过在区块链上为物联网系统中的主体注册唯一身份,并且存储各个主体的唯一身份之间的身份关联关系,可以在接收到设备数据访问请求时,根据区块链中存储的身份关联关系来进行身份访问授权验证,并且在可信计算平台中对主体授权访问信息执行可信计算处理,从而实现针对物联网云平台中的设备数据的可信数据访问,解决了不同数据孤岛之间的数据联通问题。
如上参照图1到图9,对根据本说明书实施例的设备数据访问方法、访问管理装置及可信访问系统进行了描述。上面的访问管理装置可以采用硬件实现,也可以采用软件或者硬件和软件的组合来实现。
图10示出了根据本说明书的实施例的用于实现在访问管理平台处执行的设备数据访问过程的电子设备1000的示意图。如图10所示,电子设备1000可以包括至少一个处理器1010、存储器(例如,非易失性存储器)1020、内存1030和通信接口1040,并且至少一个处理器1010、存储器1020、内存1030和通信接口1040经由总线1060连接在一起。至少一个处理器1010执行在存储器中存储或编码的至少一个计算机可读指令(即,上述以软件形式实现的元素)。
在一个实施例中,在存储器中存储计算机可执行指令,其当执行时使得至少一个处理器1010:获取设备数据访问请求发起主体发送的设备数据访问请求,设备数据访问请求包括设备数据访问请求发起主体的身份信息、待访问主体的身份信息以及目标设备数据信息,访问管理平台相关联地存储期望共享设备数据的主体的加密主体访问密钥以及该主体的身份信息;基于设备数据访问请求发起主体的身份信息和待访问主体的身份信息进行身份访问授权验证;在身份访问授权验证通过后,使用待访问主体的身份信息来获取对应的加密主体访问密钥,并调用可信计算平台中的密钥解密模块来对加密主体访问密钥进行解密,以得到待访问主体的主体访问授权信息,所得到的主体访问授权信息返回给访问管理平台,或者被可信计算平台使用来附接于设备数据访问请求来访问物联网云平台得到待访问主体的目标设备数据并返回给访问管理平台;以及将可信计算平台返回的信息提供给设备数据访问请求发起主体。
应该理解,在存储器中存储的计算机可执行指令当执行时使得至少一个处理器1010进行本说明书的各个实施例中以上结合图1-9描述的各种操作和功能。
根据一个实施例,提供了一种比如机器可读介质(例如,非暂时性机器可读介质)的程序产品。机器可读介质可以具有指令(即,上述以软件形式实现的元素),该指令当被机器执行时,使得机器执行本说明书的各个实施例中以上结合图1-9描述的各种操作和功能。具体地,可以提供配有可读存储介质的系统或者装置,在该可读存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机或处理器读出并执行存储在该可读存储介质中的指令。
在这种情况下,从可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此机器可读代码和存储机器可读代码的可读存储介质构成了本发明的一部分。
可读存储介质的实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD-RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上或云上下载程序代码。
本领域技术人员应当理解,上面公开的各个实施例可以在不偏离发明实质的情况下做出各种变形和修改。因此,本发明的保护范围应当由所附的权利要求书来限定。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和单元都是必须的,可以根据实际的需要忽略某些步骤或单元。各步骤的执行顺序不是固定的,可以根据需要进行确定。上述各实施例中描述的装置结构可以是物理结构,也可以是逻辑结构,即,有些单元可能由同一物理实体实现,或者,有些单元可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元或模块可以通过机械方式或电气方式实现。例如,一个硬件单元、模块或处理器可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件单元或处理器还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上面结合附图阐述的具体实施方式描述了示例性实施例,但并不表示可以实现的或者落入权利要求书的保护范围的所有实施例。在整个本说明书中使用的术语“示例性”意味着“用作示例、实例或例示”,并不意味着比其它实施例“优选”或“具有优势”。出于提供对所描述技术的理解的目的,具体实施方式包括具体细节。然而,可以在没有这些具体细节的情况下实施这些技术。在一些实例中,为了避免对所描述的实施例的概念造成难以理解,公知的结构和装置以框图形式示出。
本公开内容的上述描述被提供来使得本领域任何普通技术人员能够实现或者使用本公开内容。对于本领域普通技术人员来说,对本公开内容进行的各种修改是显而易见的,并且,也可以在不脱离本公开内容的保护范围的情况下,将本文所定义的一般性原理应用于其它变型。因此,本公开内容并不限于本文所描述的示例和设计,而是与符合本文公开的原理和新颖性特征的最广范围相一致。

Claims (17)

1.一种用于访问物联网云平台的设备数据的方法,所述方法由访问管理平台执行,所述方法包括:
获取设备数据访问请求发起主体发送的设备数据访问请求,所述设备数据访问请求包括设备数据访问请求发起主体的身份信息、待访问主体的身份信息以及目标设备数据信息,所述访问管理平台相关联地存储期望共享设备数据的主体的加密主体访问密钥以及该主体的身份信息;
基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息进行身份访问授权验证;
在所述身份访问授权验证通过后,使用所述待访问主体的身份信息来获取对应的加密主体访问密钥,并调用可信计算平台中的密钥解密模块来对所述加密主体访问密钥进行解密,得到所述待访问主体的主体访问授权信息,所得到的主体访问授权信息返回给所述访问管理平台,或者被所述可信计算平台使用来附接于设备数据访问请求来访问物联网云平台得到所述待访问主体的目标设备数据并返回给所述访问管理平台;以及
将所述可信计算平台返回的信息提供给所述设备数据访问请求发起主体,
其中,所述访问管理平台是基于区块链的访问管理平台,所述访问管理平台在所述区块链上为主体注册唯一链上身份,以及所述区块链上记录有主体之间的链上身份关联关系,
基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息进行身份访问授权验证包括:
基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息,根据所述区块链上记录的链上身份关联关系进行身份访问授权验证。
2.如权利要求1所述的方法,还包括:
响应于接收到主体的身份注册请求,根据所述身份注册请求中的身份注册信息来完成所述区块链上的身份注册。
3.如权利要求2所述的方法,其中,所述区块链上部署有智能合约,响应于接收到主体的身份注册请求,根据所述身份注册请求中的身份注册信息来完成所述区块链上的身份注册包括:
响应于接收到主体的身份注册请求,调用所述区块链上的对应智能合约,根据所述身份注册请求中的身份注册信息来完成所述区块链上的身份注册。
4.如权利要求2所述的方法,其中,所述主体之间的链上身份关联关系基于所述主体的身份注册信息确定。
5.如权利要求1所述的方法,其中,在所述物联网云平台将所述待访问主体的目标设备数据返回给所述可信计算平台后,所述方法还包括:
从所述可信计算平台获取所述目标设备数据;以及
将所述目标设备数据发送给所述设备数据访问请求发起主体。
6.如权利要求5所述的方法,还包括:
在从所述可信计算平台获取所述目标设备数据后,将与所述设备数据访问请求对应的设备数据访问行为存证在所述区块链上。
7.如权利要求2所述的方法,其中,所述主体的身份注册请求经由所述主体位于的物联网云平台或者所述主体的业务系统发出。
8.一种用于访问物联网云平台的设备数据的方法,包括:
设备数据访问请求发起主体向访问管理平台发送设备数据访问请求,所述设备数据访问请求包括设备数据访问请求发起主体的身份信息、待访问主体的身份信息以及目标设备数据信息,所述访问管理平台相关联地存储有期望共享设备数据的主体的加密主体访问密钥以及该主体的身份信息;
所述访问管理平台基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息进行身份访问授权验证;
在所述身份访问授权验证通过后,所述访问管理平台使用所述待访问主体的身份信息来获取对应的加密主体访问密钥,并调用可信计算平台中的密钥解密模块来对所述加密主体访问密钥进行解密,得到所述待访问主体的主体访问授权信息;
所述可信计算平台或者所述设备数据访问请求发起主体使用附接有所述主体访问授权信息的设备数据访问请求来访问物联网云平台;以及
所述物联网云平台在设备数据访问鉴权通过后,将所述待访问主体的目标设备数据返回给所述可信计算平台或者所述设备数据访问请求发起主体,
其中,所述访问管理平台是基于区块链的访问管理平台,所述访问管理平台在所述区块链上为主体注册唯一链上身份,以及所述区块链上记录有主体之间的链上身份关联关系,
所述访问管理平台基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息进行身份访问授权验证包括:
所述访问管理平台基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息,根据所述区块链上记录的链上身份关联关系进行身份访问授权验证。
9.如权利要求8所述的方法,其中,所述可信计算平台是基于SGX的可信计算平台,所述加密主体访问密钥通过对主体的账户名和账户密钥进行信封加密而得到,以及所述主体访问授权信息是基于所述账户名和所述账户密钥得到的数字签名或者令牌信息。
10.一种用于访问物联网云平台的设备数据的装置,所述装置应用于访问管理平台,所述装置包括:
访问请求获取单元,获取设备数据访问请求发起主体发送的设备数据访问请求,所述设备数据访问请求包括设备数据访问请求发起主体的身份信息、待访问主体的身份信息以及目标设备数据信息;
访问授权验证单元,基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息进行身份访问授权验证;
主体访问密钥存储单元,相关联地存储期望共享设备数据的主体的加密主体访问密钥以及该主体的身份信息;
主体访问密钥获取单元,在所述身份访问授权验证通过后,使用所述待访问主体的身份信息来获取对应的加密主体访问密钥;
可信计算调用单元,调用可信计算平台中的密钥解密模块来对所述加密主体访问密钥进行解密,得到所述待访问主体的主体访问授权信息,所得到的主体访问授权信息被返回给所述访问管理平台,或者被所述可信计算平台使用来附接于所述设备数据访问请求来访问物联网云平台得到所述待访问主体的目标设备数据;以及
信息提供单元,将所述可信计算平台返回的信息提供给所述设备数据访问请求发起主体,
其中,所述访问管理平台是基于区块链的访问管理平台,所述访问管理平台在所述区块链上为主体注册唯一链上身份,以及所述区块链上记录有主体之间的链上身份关联关系,
所述访问授权验证单元基于所述设备数据访问请求发起主体的身份信息和所述待访问主体的身份信息,根据所述区块链上记录的链上身份关联关系进行身份访问授权验证。
11.如权利要求10所述的装置,还包括:
身份注册单元,响应于接收到主体的身份注册请求,根据所述身份注册请求中的身份注册信息来完成所述区块链上的身份注册。
12.如权利要求11所述的装置,其中,所述区块链上部署有智能合约,所述身份注册单元响应于接收到主体的身份注册请求,调用所述区块链上的对应智能合约,根据所述身份注册请求中的身份注册信息来完成所述区块链上的身份注册。
13.如权利要求10所述的装置,其中,所述主体之间的链上身份关联关系基于所述主体的身份注册信息确定。
14.如权利要求10所述的装置,还包括:
存证单元,在从所述可信计算平台获取所述目标设备数据后,将与所述设备数据访问请求对应的设备数据访问行为存证在所述区块链上。
15.一种用于访问物联网云平台的设备数据的系统,包括:
访问管理平台,包括如权利要求10到14中任一所述的装置;
可信计算平台,对所述加密主体访问密钥进行解密,得到所述待访问主体的主体访问授权信息,
所得到的主体访问授权信息被返回给所述访问管理平台以经由所述访问管理平台提供给设备数据访问请求发起主体,由所述设备数据访问请求发起主体使用来附接于所述设备数据访问请求访问物联网云平台得到所述待访问主体的目标设备数据,或者
所得到的主体访问授权信息被所述可信计算平台使用来附接于所述设备数据访问请求访问物联网云平台得到所述待访问主体的目标设备数据,并返回给所述访问管理平台,并经由所述访问管理平台提供给所述设备数据访问请求发起主体。
16.一种电子设备,包括:
至少一个处理器,以及
与所述至少一个处理器耦合的存储器,所述存储器存储指令,当所述指令被所述至少一个处理器执行时,使得所述至少一个处理器执行如权利要求1到7中任一所述的方法。
17.一种机器可读存储介质,其存储有可执行指令,所述指令当被执行时使得所述机器执行如权利要求1到7中任一所述的方法。
CN202010759613.9A 2020-07-31 2020-07-31 用于访问物联网云平台的设备数据的方法、装置及系统 Active CN111885196B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010759613.9A CN111885196B (zh) 2020-07-31 2020-07-31 用于访问物联网云平台的设备数据的方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010759613.9A CN111885196B (zh) 2020-07-31 2020-07-31 用于访问物联网云平台的设备数据的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN111885196A CN111885196A (zh) 2020-11-03
CN111885196B true CN111885196B (zh) 2022-07-08

Family

ID=73205846

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010759613.9A Active CN111885196B (zh) 2020-07-31 2020-07-31 用于访问物联网云平台的设备数据的方法、装置及系统

Country Status (1)

Country Link
CN (1) CN111885196B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112200585B (zh) * 2020-11-10 2021-08-20 支付宝(杭州)信息技术有限公司 业务处理方法、装置、设备及系统
CN113613190A (zh) * 2021-06-22 2021-11-05 国网思极网安科技(北京)有限公司 终端安全接入单元、系统及方法
CN113609463B (zh) * 2021-10-08 2022-01-04 湖南宸瀚信息科技有限责任公司 一种基于区块链身份管理的物联网系统
CN114091027B (zh) * 2021-12-01 2023-08-29 海光信息技术股份有限公司 信息配置方法、数据访问方法及相关装置、设备
CN114422596B (zh) * 2022-03-30 2022-06-14 中国人民解放军96901部队 一种基于数据主题的跨域数据共享方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107682331A (zh) * 2017-09-28 2018-02-09 复旦大学 基于区块链的物联网身份认证方法
CN109327314A (zh) * 2018-11-08 2019-02-12 阿里巴巴集团控股有限公司 业务数据的访问方法、装置、电子设备和系统
CN111082941A (zh) * 2019-11-22 2020-04-28 天翼物联科技有限公司 基于区块链技术的物联网数据共享方法和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10819684B2 (en) * 2017-11-24 2020-10-27 International Business Machines Corporation Cognitive blockchain for internet of things

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107682331A (zh) * 2017-09-28 2018-02-09 复旦大学 基于区块链的物联网身份认证方法
CN109327314A (zh) * 2018-11-08 2019-02-12 阿里巴巴集团控股有限公司 业务数据的访问方法、装置、电子设备和系统
CN111082941A (zh) * 2019-11-22 2020-04-28 天翼物联科技有限公司 基于区块链技术的物联网数据共享方法和系统

Also Published As

Publication number Publication date
CN111885196A (zh) 2020-11-03

Similar Documents

Publication Publication Date Title
CN111885196B (zh) 用于访问物联网云平台的设备数据的方法、装置及系统
Sookhak et al. Security and privacy of smart cities: a survey, research issues and challenges
US20210273815A1 (en) Trusted Contextual Content
CN110580413B (zh) 基于链下授权的隐私数据查询方法及装置
KR101641809B1 (ko) 일회용 비밀번호를 이용한 분산된 오프-라인 로그온을 위한 방법 및 시스템
CN109327314A (zh) 业务数据的访问方法、装置、电子设备和系统
EP3850518A1 (en) Peripheral device
US20100205431A1 (en) System, method and program product for checking revocation status of a biometric reference template
CN111523110A (zh) 基于链代码的权限查询配置方法及装置
US8700909B2 (en) Revocation of a biometric reference template
Sanchez et al. Towards privacy preserving data provenance for the Internet of Things
CN107066885A (zh) 跨平台可信中间件的实现系统及实现方法
CN111783051B (zh) 身份认证方法及装置和电子设备
CN104717643B (zh) 一种移动设备安全通信平台
Cui et al. IoT data management and lineage traceability: A blockchain-based solution
CN111932261A (zh) 一种基于可验证声明的资产数据管理方法和装置
Jerald et al. Secure IoT architecture for integrated smart services environment
Biswal et al. Authenticating IoT devices with blockchain
Brock et al. Toward a framework for cloud security
CN109802927B (zh) 一种安全服务提供方法及装置
Ahmed et al. Uniroam: An anonymous and accountable authentication scheme for cross-domain access
Jerald et al. Algorithmic approach to security architecture for integrated IoT smart services environment
Catuogno et al. A Fine-grained General Purpose Secure Storage Facility for Trusted Execution Environment.
JP2023543515A (ja) ブロックチェーン上に応答値を記憶する物理複製困難関数
Li Context-aware attribute-based techniques for data security and access control in mobile cloud environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant