CN112291375A - 物联网设备访问控制方法、物联网设备及物联网系统 - Google Patents

物联网设备访问控制方法、物联网设备及物联网系统 Download PDF

Info

Publication number
CN112291375A
CN112291375A CN202011601939.5A CN202011601939A CN112291375A CN 112291375 A CN112291375 A CN 112291375A CN 202011601939 A CN202011601939 A CN 202011601939A CN 112291375 A CN112291375 A CN 112291375A
Authority
CN
China
Prior art keywords
internet
client
access control
things
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011601939.5A
Other languages
English (en)
Other versions
CN112291375B (zh
Inventor
王滨
陈加栋
林克章
王星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202011601939.5A priority Critical patent/CN112291375B/zh
Publication of CN112291375A publication Critical patent/CN112291375A/zh
Application granted granted Critical
Publication of CN112291375B publication Critical patent/CN112291375B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提出了物联网设备访问控制方法、物联网设备及物联网系统。其中,一种物联网设备访问控制方法,应用于物联网设备,所述物联网设备访问控制方法包括:接收客户端的访问请求,其中,所述访问请求包括智能密码设备的第一数字证书,所述智能密码设备与所述客户端相关联;基于所述第一数字证书,对所述客户端进行身份验证;在对所述客户端的身份验证成功时,向所述客户端发送身份验证请求,并且基于访问控制策略判断是否允许所述客户端访问所述物联网设备;在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果,并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时,确定所述客户端登录成功。

Description

物联网设备访问控制方法、物联网设备及物联网系统
技术领域
本申请涉及物联网安全技术领域,特别涉及物联网设备访问控制方法、物联网设备及物联网系统。
背景技术
在物联网等场景中,对设备(例如路由、摄像机等物联网设备)的访问控制方案,通常在客户端的浏览器中输入设备的访问地址,并采用“用户名”+“口令”的登录方式。
目前的访问控制方案中,口令容易被窃取和冒用。
有鉴于此,如何提高设备访问控制的安全性是需要解决的技术问题。
发明内容
本申请提出了物联网设备访问控制方法、物联网设备及物联网系统,能够提高设备访问控制的安全性。
根据本申请一个方面,提供一种物联网设备访问控制方法,应用于物联网设备,所述物联网设备访问控制方法包括:
接收客户端的访问请求,其中,所述访问请求包括智能密码设备的第一数字证书,所述智能密码设备与所述客户端相关联;
基于所述第一数字证书,对所述客户端进行身份验证;
在对所述客户端的身份验证成功时,向所述客户端发送身份验证请求,并且基于访问控制策略判断是否允许所述客户端访问所述物联网设备,其中,所述身份验证请求包括所述物联网设备的第二数字证书,供所述客户端基于所述第二数字证书对所述物联网设备进行身份验证,所述访问控制策略包括允许访问所述物联网设备的客户端的用户标识;
在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果,并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时,确定所述客户端登录成功。
在一些实施例中,所述基于第一数字证书,对所述客户端进行身份验证,包括:
验证所述第一数字证书的合法性以及所述第一数字证书是否属于所述客户端;
在确定所述第一数字证书属于所述客户端,并且所述第一数字证书合法时,确定对所述客户端的身份验证成功。
在一些实施例中,所述验证所述第一数字证书的合法性以及所述第一数字证书是否属于所述客户端,包括:
生成目标字符串并向所述客户端发送所述目标字符串,以便所述客户端通过智能密码设备生成由所述目标字符串与所述智能密码设备中的用户标识拼接的组合串的第一数字摘要,并利用所述智能密码设备中的私钥对所述第一数字摘要进行数字签名,得到签名结果;
接收来自所述客户端的所述签名结果,并利用所述第一数字证书中的公钥对所述签名结果进行解密,得到解密结果;
生成所述目标字符串与所述访问请求中的用户标识拼接的组合串的第二数字摘要;
在所述解密结果与所述第二数字摘要一致时,确定所述第一数字证书属于所述客户端。
在一些实施例中,所述访问控制策略包括:允许访问设备的用户标识的名单和用户访问期限;
所述基于访问控制策略判断是否允许所述客户端访问所述物联网设备,包括:
判断所述访问请求中的用户标识是否属于允许访问设备的用户标识的名单,并且判断所述访问请求的访问时间是否属于所述用户访问期限;
在所述访问请求中的用户标识属于所述允许访问设备的用户标识的名单、且所述访问请求的访问时间属于用户访问期限时,确定所述访问请求符合所述访问控制策略。
在一些实施例中,所述访问控制策略包括:允许访问设备的用户标识、用户标识对应的用户角色、用户角色的操作权限和用户标识对应的特殊操作权限,所述特殊操作权限为在用户标识对应用户角色的操作权限范围之外附加配置的操作权限;所述设备访问控制方法进一步包括:
在所述客户端登录成功后,根据所述访问控制策略确定所述访问请求中用户标识对应的第一用户角色,并确定所述第一用户角色的操作权限;
根据所述访问请求中的用户标识对应的特殊操作权限和所述第一用户角色的操作权限,确定所述客户端的操作权限;
生成并向所述客户端返回与所述客户端的操作权限对应的交互页面。
在一些实施例中,所述物联网设备访问控制方法进一步包括:
接收所述客户端发送的临时权限获取请求,其中,所述临时权限获取请求包括用户标识和特殊操作权限的标识;
向管理服务器发送所述临时权限获取请求,以便所述管理服务器根据所述临时权限获取请求,确定是否生成包括被请求的特殊操作权限的临时访问控制策略;
在接收到来自所述管理服务器的所述临时访问控制策略时,根据所述临时访问控制策略,向客户端返回包括被请求的特殊操作权限的交互页面,以便所述客户端根据包括被请求的特殊操作权限的交互页面,执行相应的特殊操作。
在一些实施例中,所述物联网设备访问控制方法进一步包括:
从管理服务器获取对所述访问控制策略进行更新的更新内容;
根据从所述管理服务器获取的第三数字证书 中的公钥,对所述访问控制策略的更新内容进行签名验证,得到签名验证成功的更新内容。
在一些实施例中,在向所述客户端发送身份验证请求,并且基于访问控制策略判断是否允许所述客户端访问所述物联网设备之前,所述设备访问控制方法进一步包括:
检测与管理服务器的通信状态,其中,所述管理服务器用于管理所述访问控制策略的更新;
在所述通信状态表示与所述管理服务器无法通信时,从所述客户端获取最新的访问控制策略,并利用最新的访问控制策略更新本地的所述访问控制策略,其中,最新的访问控制策略由所述客户端从所述管理服务器获取。
根据本申请一个方面,提供一种设备访问控制方法,应用于客户端,包括:
向物联网设备发送访问请求,其中,所述访问请求包括与所述客户端相关联的智能密码设备的第一数字证书,所述第一数字证书用于所述物联网设备基于所述第一数字证书对所述客户端进行身份验证;
接收所述物联网设备在对所述客户端的身份验证成功后发送的身份验证请求,其中,所述身份验证请求包括所述物联网设备的第二数字证书,所述物联网设备基于访问控制策略判断是否允许所述客户端访问所述物联网设备,所述访问控制策略包括允许访问所述物联网设备的客户端的用户标识;
基于所述第二数字证书对所述物联网设备进行身份验证,并向所述物联网设备返回身份验证结果,以供所述物联网设备在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果,并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时,确定所述客户端登录成功。
在一些实施例中,所述基于所述第二数字证书对物联网设备进行身份验证,包括:
验证第二数字证书的合法性以及第二数字证书是否属于物联网设备;
在第一数字证书属于物联网设备,并且第二数字证书合法时,确定对物联网设备的身份验证成功。
在一些实施例中,所述设备访问控制方法进一步包括:
响应于接收到来自物联网设备的对访问控制策略的更新请求,向管理服务器发送对访问控制策略的更新请求;
响应于接收到管理服务器返回的对物联网设备的最新的访问控制策略,向物联网设备发送最新的访问控制策略。
根据本申请一个方面,提供一种设备访问控制方法,应用于智能密码设备,包括:
向与所述智能密码设备关联的客户端提供第一数字证书,以便所述客户端向物联网设备发送包含所述第一数字证书的访问请求,所述第一数字证书用于所述物联网设备基于所述第一数字证书对所述客户端进行身份验证;
获取所述客户端接收的由所述物联网设备发出的身份验证请求,其中,所述身份验证请求包括所述物联网设备的第二数字证书,所述物联网设备基于访问控制策略判断是否允许所述客户端访问所述物联网设备,所述访问控制策略包括允许访问所述物联网设备的客户端的用户标识;
基于所述第二数字证书对所述物联网设备进行身份验证,并向所述客户端返回对所述物联网设备的身份验证结果,以供所述物联网设备在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果,并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时,确定所述客户端登录成功。
根据本申请一个方面,提供一种物联网设备,包括:
存储器;
处理器;
程序,存储在该存储器中并被配置为由所述处理器执行,所述程序包括用于执行物联网设备访问控制方法的指令。
根据本申请一个方面,提供一种存储介质,存储有程序,所述程序包括指令,所述指令当由物联网设备执行时,使得所述物联网设备执行如前所述的物联网设备访问控制方法。
根据本申请一个方面,提供一种物联网系统,包括:
物联网设备,用于执行如前所述的物联网设备访问控制方法;
客户端,用于执行如前所述的应用于客户端的设备访问控制方法;
智能密码设备,与所述客户端连接,用于执行如前所述的应用于智能密码设备的设备访问控制方法;
管理服务器,用于管理所述物联网设备的访问控制策略。
综上,根据本申请实施例的设备访问控制方案,通过对客户端进行身份验证和向客户端发送用于验证物联网设备身份的第二数字证书,以及通过访问控制策略判断客户端的访问权限,能够提高设备访问的安全性。特别是,通过对客户端进行身份验证和由客户端对物联网设备进行身份验证,本申请实施例的设备访问控制方案可以支持客户端利用智能密码设备对大量的物联网设备进行安全访问,而可以避免需要分别为每个物联网设备更新用户名及口令的繁琐操作,从而提高了物联网设备的管理方便性和安全性。
附图说明
图1示出了根据本申请一些实施例的物联网系统的示意图;
图2示出了根据本申请一些实施例的物联网设备访问控制方法200的流程图;
图3示出了根据本申请一些实施例的对智能密码设备进行身份验证的方法300的流程图;
图4示出了根据本申请一些实施例的验证第一数字证书是否属于客户端的方法400的流程图;
图5示出了根据本申请一些实施例的基于访问控制策略判断是否允许客户端访问物联网设备的方法500的流程图;
图6示出了根据本申请一些实施例的物联网设备访问控制方法600的流程图;
图7示出了根据本申请一些实施例的物联网设备访问控制方法700的流程图;
图8示出根据本申请一些实施例的设备访问控制方法800的流程图;
图9示出了根据本申请一些实施例的对物联网设备进行身份验证的方法900的流程图;
图10示出了根据本申请一些实施例的设备访问控制方法1000的流程图;
图11示出根据本申请一些实施例的设备访问控制方法1100的流程图;
图12示出了根据本申请一些实施例的物联网设备的示意图。
具体实施方式
为使本申请的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本申请进一步详细说明。
图1示出了根据本申请一些实施例的物联网系统的示意图。
如图1所示,物联网系统示出了物联网设备110、客户端120、智能密码设备130和管理服务器140。
物联网设备110例如可以是路由器、摄像机或者智能家居等各种设备。
客户端120例如可以是个人计算机、移动电话等各种计算设备。
智能密码设备130可以与客户端120连接。这里,智能密码设备130用于对物联网设备110进行访问。智能密码设备130具有第一非对称密钥对。这里,非对称密钥对可以是基于RSA(Ron Rivest,Adi Shamir,Leonard Adleman,罗纳德·李维斯特、阿迪·萨莫尔、伦纳德·阿德曼)或者SM2(国家商用密码)等算法的密钥。
物联网设备110具有第二非对称密钥对。
管理服务器140具有第三非对称密钥对。
智能密码设备130中存储有用户标识、用户拥有的第一数字证书。第一数字证书包括第一非对称密钥对的公钥。
管理服务器140包括第三数字证书。第三数字证书包括第三非对称密钥对的公钥。
另外,智能密码设备130还存储有管理服务器140的第三数字证书。
物联网设备110存储有物联网设备110拥有的第二数字证书和管理服务器140的第二数字证书。第二数字证书包括第二非对称密钥对的公钥。
其中,第一数字证书、第二数字证书和第三数字证书可以由管理服务器140或者其他证书发布机构签发。
在客户端120访问物联网设备110时,客户端120可以向物联网设备110发送第一数字证书,和接收来自物联网设备110的第二数字证书。客户端120可以通过智能密码设备130,利用从管理服务器140获取的第三数字证书中公钥,对物联网设备110的第二数字证书进行合法性验证。类似的,物联网设备110可以利用从管理服务器140获取的第三数字证书中公钥,对客户端120的第二数字证书进行验证。
另外,管理服务器140可以向物联网设备110提供访问控制策略。这里,访问控制策略可以限定智能密码设备110中用户标识的访问权限。这里,客户端120的访问权限取决于智能密码设备110中用户标识的访问权限。因此,访问控制策略也可以认为是用于限定客户端120的访问权限。管理服务器140可以根据业务需求,灵活地确定各用户标识的访问权限。
综上,根据本申请的物联网系统,通过数字证书方式的验证方式,可以提高对物联网设备进行访问的安全性。另外,物联网系统通过访问控制策略,可以进一步提高设备访问的安全性。
图2示出了根据本申请一些实施例的物联网设备访问控制方法200的流程图。方法200例如可以由物联网设备110执行。
如图2所示,在步骤S201中,接收客户端的访问请求。访问请求可以包括智能密码设备的第一数字证书。智能密码设备与客户端相关联。
在步骤S202中,基于第一数字证书,对客户端进行身份验证。
在对客户端的身份验证成功时,方法200可以执行步骤S203,向客户端发送身份验证请求,并且基于访问控制策略判断是否允许客户端访问物联网设备。其中,身份验证请求包括物联网设备的第二数字证书。客户端基于第二数字证书对物联网设备进行身份验证。访问控制策略包括允许访问所述物联网设备的客户端的用户标识。
在步骤S204中,在接收到表示客户端对物联网设备的身份验证成功的身份验证结果,并且基于访问控制策略判断出允许客户端访问物联网设备时,确定客户端登录成功。
综上,根据本申请实施例的方法200,通过对客户端进行身份验证和向客户端发送用于验证物联网设备身份的第二数字证书,以及通过访问控制策略判断客户端的访问权限,能够提高设备访问的安全性。特别是,通过对客户端进行身份验证和由客户端对物联网设备进行身份验证,本申请实施例的方法200可以支持客户端利用智能密码设备对大量的物联网设备进行安全访问,而可以避免需要分别为每个物联网设备更新用户名及口令的繁琐操作,从而提高了物联网设备的管理方便性和安全性。
在一些实施例中,步骤S202可以实施为方法300。
如图3所示,在步骤S301中,验证第一数字证书的合法性和第一数字证书是否属于客户端。
例如,步骤S301可以基于哈希算法等摘要生成方式生成第一数字证书的内容的数字摘要(也可以称为指纹)。另外,步骤S301可以利用从管理服务器获取的第三数字证书的公钥对第一数字证书的数字签名进行解密,以得到解密结果。在此基础上,步骤S301可以将生成的数字摘要与解密结果进行匹配分析。在数字摘要与解密结果一致时,步骤S301可以确定第一数字证书合法,即确定第一数字证书由合法证书颁发机构发布。步骤S302中,在确定第一数字证书属于客户端,并且第一数字证书合法时,确定对客户端的身份验证成功。
综上,方法300通过对客户端进行身份验证,能够支持客户端利用智能密码设备对大量的物联网设备进行安全访问,并可以避免需要分别为每个物联网设备更新用户名和口令的繁琐操作,从而提高了物联网设备的管理方便性和安全性。
在一些实施例中,步骤S302中验证第一数字证书是否属于客户端的方式可以实施为方法400。
如图4所示,在步骤S401中,生成目标字符串并向客户端发送该目标字符串,以便客户端通过智能密码设备生成由目标字符串与智能密码设备中的用户标识拼接的组合串的第一数字摘要,并利用智能密码设备中的私钥对第一数字摘要进行数字签名,得到签名结果。这里,目标字符串例如为一个随机数,但不限于此。
需要说明的是,用户标识例如为工业互联网标识或者基于其他方式命名的标识。工业互联网标识是指基于句柄(handle)机制而生成的标识。工业互联网标识由命名授权部分和本地命名部分两部分组成。两部分之间通过ASCII 字符“/”分开。命名授权部分编码由安全标识管理与解析平台统一分派,本地命名部分唯一标识命名授权下的设备。为了便于与原有设备标识系统兼容,本地命名例如可以采用设备序列号。例如,基于handle机制生成标识的规则为 “handle:86.nnnn.nnnn/XXXXXXXXXX”,其中,n代表0-9的任意数字,X表示字符。例如,一个用户标识为“handle:86.1005.16/DS-7816H-ST0120110527AA”,其中“handle:86.1005.16”为命名授权,其中“86”为全球辅根节点(标识中国),“10005”为最高授权管理者(MPA)辅根节点,“16”为对应的行业节点,“DS-7816H-ST0120110527AA”为本地命名。
在步骤S402中,接收来自客户端的签名结果,并利用第一数字证书中的公钥对签名结果进行解密,得到解密结果。
在步骤S403中,生成目标字符串与访问请求中的用户标识的组合串的第二数字摘要。
在步骤S404中,验证解密结果与第二数字摘要是否一致。
在解密结果与第二数字摘要一致时,方法400可以执行步骤S405,确定第一数字证书属于客户端。
综上,方法400通过判断解密结果是否与第二数字摘要一致,能够确定第一数字证书的公钥与智能密码设备的私钥是否为一个密钥对,从而能够确定第一数字证书是否属于客户端,进而提高设备访问的安全性。
在一些实施例中,访问控制策略包括:允许访问设备的用户标识的名单和用户访问期限。
步骤S203可以实施为方法500。
如图5所示,在步骤S501中,判断访问请求中的用户标识是否属于允许访问设备的用户标识的名单,并且判断访问请求的访问时间是否属于用户访问期限。其中,用户访问期限例如为每天的允许访问的时间段和/或一个截止日期。
在一些场景中,本申请实施例可以为允许访问设备的用户标识的名单中每个用户标识分配一个用户访问期限,或者为允许访问设备的用户标识的名单中用户标识分配一个统一的用户访问期限。
在一些场景中,本申请实施例的访问控制策略包括:允许访问设备的用户标识对应的用户角色。本申请实施例可以为每种用户角色配置相应的用户访问期限。
在步骤S502中,在用户标识属于所述允许访问设备的用户标识的名单,且访问时间属于用户访问期限时,确定访问请求符合访问控制策略。另外,在用户标识不属于允许访问设备的用户标识的名单,或者访问时间不属于用户访问期限时,方法500可以确定访问请求不符合访问控制策略。
综上,方法500能够通过访问控制策略,确定客户端是否可以对物联网设备进行访问。由于访问控制策略可以进行灵活配置,方法500能够极大提高对设备访问控制的灵活性和安全性。
图6示出了根据本申请一些实施例的物联网设备访问控制方法600的流程图。方法600例如可以由物联网设备110执行。
如图6所示,在步骤S601中,接收客户端的访问请求。访问请求可以包括智能密码设备的第一数字证书。智能密码设备与客户端相关联。
在步骤S602中,基于第一数字证书,对客户端进行身份验证。
在对客户端的身份验证成功时,方法200可以执行步骤S603,向客户端发送身份验证请求,并且基于访问控制策略判断是否允许客户端访问物联网设备。其中,身份验证请求包括物联网设备的第二数字证书。客户端基于第二数字证书对物联网设备进行身份验证。访问控制策略包括允许访问所述物联网设备的客户端的用户标识。
在步骤S604中,在接收到表示客户端对物联网设备身份验证成功的身份验证结果,并且基于访问控制策略判断出允许客户端访问时,确定客户端登录成功。
在一些实施例中,访问控制策略还包括:允许访问设备的用户标识、用户标识对应的用户角色、用户角色的操作权限和用户标识对应的特殊操作权限。这里,用户标识对应的特殊操作权限为在用户标识对应用户角色的操作权限范围之外附加配置的操作权限。
在步骤S605中,在客户端登录成功后,根据访问控制策略确定访问请求中用户标识的第一用户角色,并确定第一用户角色的操作权限。
在步骤S606中,根据访问请求中的用户标识对应的特殊操作权限和第一用户角色的操作权限,确定客户端的操作权限。这里,客户端的操作权限包括访问请求中用户标识对应的特殊操作权限和第一用户角色的操作权限。
在步骤S607中,生成并向客户端返回与客户端的操作权限对应的交互页面。
综上,根据本申请实施例的方法600,通过步骤S605-S607,能够利用用户标识和访问控制策略,确定客户端的操作权限,从而能够保证客户端对物联网设备进行操作权限内的操作,从而提高物联网设备的数据安全性。
在一些实施例中,方法600还可以执行步骤S608,从管理服务器获取对访问控制策略的更新内容。这里,管理服务器可以实时向物联网设备推送更新内容,也可由物联网设备端周期性主动获取更新内容。
在步骤S609中,根据管理服务器的第三数字证书中公钥,对更新内容进行签名验证,得到签名验证成功的更新内容。在此基础上,本申请实施例可以通过签名验证,防止更新内容被非法篡改。
在一些实施例中,更新内容的数据格式如下:
用户标识 || 用户角色 || 特殊权限项 || 用户访问期限 ||
这里,更新内容中每个用户标识对应一条记录。每条记录包括用户标识、用户角色、特殊权限项和用户访问期限。另外,更新内容中的用户标识字段的合集为允许访问设备的用户标识的名单。
用户角色:可以为预设角色,如系统管理员、安全管理员、安全审计员、操作员等。不同的用户角色对应不同的操作权限。本申请实施例可以在物联网设备中预置每个用户角色的操作权限或者在用户角色的属性内容中添加用户角色对应的操作权限。
例如,系统管理员的操作权限涉及设备启动、设备停止、软件更新、增加新用户和删除用户等设备运行的日常事务操作。安全管理员的操作权限涉及设备安全相关的配置操作,如数字证书的导入、更新,安全模式的启用、关闭等。安全审计员的操作权限涉及按照一定的安全策略,利用日志记录、设备活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能。操作员的操作权限涉及具体业务层面的操作。
用户标识对应的特殊操作权限为在用户标识对应角色类型的操作权限范围之外附加配置的操作权限。比如,用户标识对应的特殊操作权限涉及对一关键配置项的修改。该特殊操作权限例如属于安全管理员。即,安全管理员可以对关键配置项进行修改。该关键配置项可以是证书更换等敏感性高的操作。
用户访问期限,也可以称为有效期,如每天的某个时间段和/或某一截止日期。格式可为XXXXXXYYYYMMDD。其中,XXXXXX表示每天的时间段,转换为二进制位表示每天的整点时间。如XXXXXX为“FFFFFF”,转换为对应的二进制为“11111111 11111111 11111111”,每一个二进制bit位表示一个整点(高位为24点),1为有权限,0为无权限,即整天24小时都有权限。如每天早9点到晚5点有权限,则XXXXXX为“01FC00”,即二进制位的9到16位为1,其余为均为0。YYYYMMDD表示权限截止日期,分别为年月日。如有效期截止到2020年11月17日,则YYYYMMDD为20201117。每天9点到17点有权限,且有效期到2020年12月31日,则XXXXXXYYYYMMDD字段为“01FC0020201231”。
另外,更新内容还可以包括发布时间和数字签名。
发布时间为更新内容的发布时间。格式可为YYYYMMDDHHMMSS,表示年月日时分秒。本申请实施例的物联网设备可以根据发布时间,确定更新内容的时效性。例如,在发布时间与接收到更新内容的时间差小于时间阈值,物联网设备可以应用该更新内容。否者,物联网设备不会应用该更新内容。时间阈值例如为1天或者一周。
数字签名为管理服务器对更新内容的数字签名,用于避免更新内容被非法篡改。只有验签通过的内容,才被物联网设备所接受。综上,通过步骤S608和S609,方法600能够通过管理服务器对大量物联网设备的访问控制策略进行灵活调整,而无需在物联网设备上进行逐一操作,从而提高了物联网访问控制的方便性和安全性。
在一些实施例中,方法600还可以执行步骤S610,接收客户端发送的临时权限获取请求,临时权限获取请求包括用户标识和特殊操作权限的标识。这里,客户端可以针对用户没有的操作权限发出临时权限获取请求。
在步骤S611中,向管理服务器发送临时权限获取请求,以便管理服务器根据临时权限获取请求,确定是否生成包括被请求的特殊操作权限的临时访问控制策略。这里,管理服务器例如可以根据审核人员的审核操作,确定是否生成临时访问控制策略。例如,管理服务器接收到临时权限获取请求后,会向审核人员的终端发送审核请求,并接收终端返回的审核结果。在审核结果表示同意获取临时权限时,管理服务器可以生成临时访问控制策略。否则,在审核结果表示同意获取临时权限时,管理服务器不会生成临时访问控制策略。
在步骤S612中,在接收到来自管理服务器的临时访问控制策略时,根据临时访问控制策略,向客户端返回包括被请求的特殊操作权限的交互页面,以便客户端根据包括被请求的特殊操作权限的交互页面,执行相应的特殊操作。
在步骤S613中,在客户端执行特殊操作后,删除包括请求的特殊操作权限的临时访问控制策略。
需要说明的是,在一些情况下,用户需要临时获取特殊操作权限(例如为删除某条数据)。通过步骤S610-S613,方法600能够在用户需要获取特殊操作权限时,向管理服务器申请临时访问控制策略,从而能够方便于用户获取临时操作权限,并且不会改变用户通常情况下的操作权限范围,进而提高用户访问控制的灵活性。
图7示出了根据本申请一些实施例的物联网设备访问控制方法700的流程图。方法700例如可以由物联网设备110执行。
如图7所示,在步骤S701中,接收客户端的访问请求。访问请求可以包括智能密码设备的第一数字证书。智能密码设备与客户端相关联。
在步骤S702中,基于第一数字证书,对客户端进行身份验证。
在对客户端的身份验证成功时,方法700可以执行步骤S703,检测与管理服务器的通信状态。管理服务器用于管理访问控制策略的更新。
在通信状态表示与管理服务器无法通信时,方法700可以执行步骤S704,从客户端获取最新的访问控制策略,并利用最新的访问控制策略更新本地的访问控制策略。这里,最新的访问控制策略由客户端从管理服务器获取。在一些实施例中,物联网设备可以向客户端发送访问控制策略更新请求。客户端可以将访问控制策略更新请求发送到管理服务器,以便管理服务器向客户端返回最新的访问控制策略。客户端可以将最新的访问控制策略提供给物联网设备。
需要说明的是,在物联网设备与管理服务器网络连接失败的情况下,通过步骤S703和S704,本申请实施例能够通过客户端从管理服务器获取最新的访问控制策略,以便物联网设备能够更新访问控制策略。在此基础上,本申请实施例能够避免由于物联网设备无法更新访问控制策略而导致客户端无法正常访问的情况出现,从而提高了物联网设备的访问控制的准确性。例如,旧版的访问控制策略限制一个用户无法访问物联网设备,而最新的访问控制策略允许该用户访问物联网设备。本申请实施例通过利用客户端更新访问控制策略,能够准确控制用户访问权限。
在步骤S705中,向客户端发送身份验证请求,并且基于访问控制策略判断是否允许客户端访问物联网设备。其中,身份验证请求包括物联网设备的第二数字证书。客户端基于第二数字证书对物联网设备进行身份验证。访问控制策略包括允许访问所述物联网设备的客户端的用户标识。
在步骤S706中,在接收到表示客户端对物联网设备身份验证成功的身份验证结果,并且基于访问控制策略判断出允许客户端访问时,确定客户端登录成功。
在一些实施例中,访问控制策略还包括:允许访问设备的用户标识、用户标识对应的用户角色、用户角色的操作权限和用户标识对应的特殊操作权限。这里,用户标识对应的特殊操作权限为在用户标识对应用户角色的操作权限范围之外附加配置的操作权限。
在步骤S707中,根据访问控制策略确定访问请求中的用户标识的第一用户角色,并确定第一用户角色的操作权限。
在步骤S708中,根据访问请求中的用户标识对应的特殊操作权限和第一用户角色的操作权限,确定客户端的操作权限。这里,客户端的操作权限包括访问请求中的用户标识对应的特殊操作权限和第一用户角色的操作权限。
在步骤S709中,生成并向客户端返回与客户端的操作权限对应的交互页面。
图8示出了根据本申请一些实施例的设备访问控制方法800的流程图。方法800例如可以由客户端120执行。
如图8所示,在步骤S801中,向物联网设备发送访问请求,其中,访问请求包括与客户端相关联的智能密码设备的第一数字证书,第一数字证书用于物联网设备基于第一数字证书对客户端进行身份验证。
在步骤S802中,接收物联网设备在对客户端的身份验证成功后发送的身份验证请求,其中,身份验证请求包括物联网设备的第二数字证书,物联网设备基于访问控制策略判断是否允许客户端访问所述物联网设备,访问控制策略包括允许访问物联网设备的客户端的用户标识。
在步骤S803中,基于第二数字证书对物联网设备进行身份验证,并向物联网设备返回身份验证结果,以供物联网设备在接收到表示客户端对物联网设备的身份验证成功的身份验证结果,并且基于访问控制策略判断出允许客户端访问物联网设备时,确定客户端登录成功。综上,根据本申请实施例的方法800,通过对物联网设备进行身份验证和向物联网设备发送用于验证客户端身份的第一数字证书,能够提高设备访问的安全性。特别是,通过对物联网设备进行身份验证和由物联网设备对客户端进行身份验证,本申请实施例的方法800可以支持客户端利用智能密码设备对大量的物联网设备进行安全访问,而可以避免需要分别向每个物联网设备输入用户名及口令的繁琐操作,从而提高了访问物联网设备的方便性和安全性。另外,本申请实施例的方法800通过提供对物联网设备的身份验证结果,以供物联网设备在接收到表示客户端对物联网设备的身份验证成功的身份验证结果,并且基于访问控制策略判断出允许客户端访问物联网设备时,确定客户端登录成功,从而能够提高设备访问的安全性。
图9示出了根据本申请一些实施例的对物联网设备进行身份验证的方法900的流程图。在一些实施例中,步骤S803中对物联网设备进行身份验证的方式可以实施为方法900。
在步骤S901中,验证第二数字证书的合法性以及第二数字证书是否属于物联网设备。
在步骤S902中,在第一数字证书属于物联网设备,并且第二数字证书合法时,确定对物联网设备的身份验证成功。
图10示出了根据本申请一些实施例的设备访问控制方法1000的流程图。方法1000例如可以由客户端120执行。
如图10所示,在步骤S1001中,向物联网设备发送访问请求,其中,访问请求包括与客户端相关联的智能密码设备的第一数字证书,第一数字证书用于物联网设备基于第一数字证书对客户端进行身份验证。
在步骤S1002中,接收物联网设备在对客户端的身份验证成功后发送的身份验证请求,其中,身份验证请求包括物联网设备的第二数字证书,物联网设备基于访问控制策略判断是否允许客户端访问物联网设备,访问控制策略包括允许访问物联网设备的客户端的用户标识。
在步骤S1003中,响应于接收到来自物联网设备的对访问控制策略的更新请求,向管理服务器发送对访问控制策略的更新请求。
在步骤S1004中,响应于接收到管理服务器返回的对物联网设备的最新的访问控制策略,向物联网设备发送最新的访问控制策略。
综上,通过步骤S1003和S1004,本申请实施例可以在物联网设备与管理服务器之间网络断开时,由客户端从管理服务器获取最新的访问控制策略和向物联网设备返回最新的访问控制策略。在此基础上,本申请实施例能够避免由于物联网设备无法更新访问控制策略而导致客户端无法正常访问的情况出现,从而提高了物联网设备的访问控制的准确性。例如,旧版的访问控制策略限制一个用户无法访问物联网设备,而最新的访问控制策略允许该用户访问物联网设备。本申请实施例通过利用客户端更新访问控制策略,能够准确控制用户访问权限。
在步骤S1005中,基于第二数字证书对物联网设备进行身份验证,并向物联网设备返回身份验证结果,以供物联网设备在接收到表示客户端对物联网设备的身份验证成功的身份验证结果,并且基于访问控制策略判断出允许客户端访问物联网设备时,确定客户端登录成功。
图11示出根据本申请一些实施例的设备访问控制方法1100的流程图。方法1100例如可以由智能密码设备130执行。
在步骤S1101中,向与智能密码设备关联的客户端提供第一数字证书,以便客户端向物联网设备发送包含第一数字证书的访问请求,其中,第一数字证书用于物联网设备基于第一数字证书对客户端进行身份验证。
在步骤S1102中,获取客户端接收的由物联网设备发出的身份验证请求,其中,身份验证请求包括物联网设备的第二数字证书,物联网设备基于访问控制策略判断是否允许客户端访问物联网设备,访问控制策略包括允许访问物联网设备的客户端的用户标识。
在步骤S1103中,基于第二数字证书对物联网设备进行身份验证,并向客户端返回对物联网设备的身份验证结果,以供物联网设备在接收到表示客户端对物联网设备的身份验证成功的身份验证结果,并且基于访问控制策略判断出允许客户端访问物联网设备时,确定客户端登录成功。
综上,根据本申请实施例的设备访问控制方法1100通过对物联网设备进行身份验证和提供用于验证客户端身份的第一数字证书,能够提高设备访问的安全性。特别是,通过对物联网设备进行身份验证和由物联网设备对客户端进行身份验证,本申请实施例的方法1100可以支持客户端利用智能密码设备对大量的物联网设备进行安全访问,而可以避免需要分别向每个物联网设备输入用户名及口令的繁琐操作,从而提高了访问物联网设备的方便性和安全性。另外,本申请实施例的方法1100通过提供对物联网设备的身份验证结果,以供物联网设备在接收到表示客户端对物联网设备的身份验证成功的身份验证结果,并且基于访问控制策略判断出允许客户端访问所述物联网设备时,确定客户端登录成功,从而能够提高设备访问的安全性。
图12示出了根据本申请一些实施例的物联网设备的示意图。物联网设备例如为摄像机等设备。如图12所示,该物联网设备包括一个或者多个处理器(CPU)1202、通信模块1204、存储器1206、摄像头1210,以及用于互联这些组件的通信总线1208。
处理器1202可通过通信模块1204接收和发送数据以实现网络通信和/或本地通信。
存储器1206可以是高速随机存取存储器,诸如DRAM、SRAM、DDR RAM、或其他随机存取固态存储设备;或者非易失性存储器,诸如一个或多个磁盘存储设备、光盘存储设备、闪存设备,或其他非易失性固态存储设备。
存储器1206存储处理器1202可执行的指令集,包括:
操作系统1212,包括用于处理各种基本系统服务和用于执行硬件相关任务的程序;
应用1214,包括用于实现上述方案的各种程序。这种程序能够实现上述各实例中的处理流程,比如可以包括设备访问控制方法。
另外,本申请的每一个实施例可以通过由数据处理设备如计算机执行的数据处理程序来实现。显然,数据处理程序构成了本发明。此外,通常存储在一个存储介质中的数据处理程序通过直接将程序读取出存储介质或者通过将程序安装或复制到数据处理设备的存储设备(如硬盘和\或内存)中执行。因此,这样的存储介质也构成了本发明。存储介质可以使用任何类型的记录方式,例如纸张存储介质(如纸带等)、磁存储介质(如软盘、硬盘、闪存等)、光存储介质(如CD-ROM等)、磁光存储介质(如MO等)等。
因此本申请还公开了一种非易失性存储介质,其中存储有程序。该程序包括指令,所述指令当由处理器执行时,使得物联网设备执行根据本申请的设备访问控制方法。
另外,本申请所述的方法步骤除了可以用数据处理程序来实现,还可以由硬件来实现,例如,可以由逻辑门、开关、专用集成电路(ASIC)、可编程逻辑控制器和嵌微控制器等来实现。因此这种可以实现本申请所述确定对象之间关系信息的方法的硬件也可以构成本申请。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (15)

1.一种物联网设备访问控制方法,其特征在于,应用于物联网设备,所述物联网设备访问控制方法包括:
接收客户端的访问请求,其中,所述访问请求包括智能密码设备的第一数字证书,所述智能密码设备与所述客户端相关联;
基于所述第一数字证书,对所述客户端进行身份验证;
在对所述客户端的身份验证成功时,向所述客户端发送身份验证请求,并且基于访问控制策略判断是否允许所述客户端访问所述物联网设备,其中,所述身份验证请求包括所述物联网设备的第二数字证书,供所述客户端基于所述第二数字证书对所述物联网设备进行身份验证,所述访问控制策略包括允许访问所述物联网设备的客户端的用户标识;
在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果,并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时,确定所述客户端登录成功。
2.如权利要求1所述的物联网设备访问控制方法,其特征在于,所述基于所述第一数字证书,对所述客户端进行身份验证,包括:
验证所述第一数字证书的合法性以及所述第一数字证书是否属于所述客户端;
在确定所述第一数字证书属于所述客户端,并且所述第一数字证书合法时,确定对所述客户端的身份验证成功。
3.如权利要求2所述的物联网设备访问控制方法,其特征在于,所述验证所述第一数字证书的合法性以及所述第一数字证书是否属于所述客户端,包括:
生成目标字符串并向所述客户端发送所述目标字符串,以便所述客户端通过智能密码设备生成由所述目标字符串与所述智能密码设备中的用户标识拼接的组合串的第一数字摘要,并利用所述智能密码设备中的私钥对所述第一数字摘要进行数字签名,得到签名结果;
接收来自所述客户端的所述签名结果,并利用所述第一数字证书中的公钥对所述签名结果进行解密,得到解密结果;
生成所述目标字符串与所述访问请求中的用户标识拼接的组合串的第二数字摘要;
在所述解密结果与所述第二数字摘要一致时,确定所述第一数字证书属于所述客户端。
4.如权利要求1所述的物联网设备访问控制方法,其特征在于,所述访问控制策略包括:允许访问设备的用户标识的名单和用户访问期限;
所述基于访问控制策略判断是否允许所述客户端访问所述物联网设备,包括:
判断所述访问请求中的用户标识是否属于允许访问设备的用户标识的名单,并且判断所述访问请求的访问时间是否属于所述用户访问期限;
在所述访问请求中的用户标识属于所述允许访问设备的用户标识的名单、且所述访问请求的访问时间属于用户访问期限时,确定所述访问请求符合所述访问控制策略。
5.如权利要求1所述的物联网设备访问控制方法,其特征在于,所述访问控制策略包括:允许访问设备的用户标识、用户标识对应的用户角色、用户角色的操作权限和用户标识对应的特殊操作权限,所述特殊操作权限为在用户标识对应用户角色的操作权限范围之外附加配置的操作权限;所述物联网设备访问控制方法进一步包括:
在所述客户端登录成功后,根据所述访问控制策略确定所述访问请求中用户标识对应的第一用户角色,并确定所述第一用户角色的操作权限;
根据所述访问请求中的用户标识对应的特殊操作权限和所述第一用户角色的操作权限,确定所述客户端的操作权限;
生成并向所述客户端返回与所述客户端的操作权限对应的交互页面。
6.如权利要求5所述的物联网设备访问控制方法,其特征在于,所述物联网设备访问控制方法进一步包括:
接收所述客户端发送的临时权限获取请求,其中,所述临时权限获取请求包括用户标识和特殊操作权限的标识;
向管理服务器发送所述临时权限获取请求,以便所述管理服务器根据所述临时权限获取请求,确定是否生成包括被请求的特殊操作权限的临时访问控制策略;
在接收到来自所述管理服务器的所述临时访问控制策略时,根据所述临时访问控制策略,向客户端返回包括被请求的特殊操作权限的交互页面,以便所述客户端根据包括被请求的特殊操作权限的交互页面,执行相应的特殊操作。
7.如权利要求1所述的物联网设备访问控制方法,其特征在于,所述物联网设备访问控制方法进一步包括:
从管理服务器获取对所述访问控制策略进行更新的更新内容;
根据从所述管理服务器获取的第三数字证书中的公钥,对所述访问控制策略的更新内容进行签名验证,得到签名验证成功的更新内容。
8.如权利要求1所述的物联网设备访问控制方法,其特征在于,在向所述客户端发送身份验证请求,并且基于访问控制策略判断是否允许所述客户端访问所述物联网设备之前,所述物联网设备访问控制方法进一步包括:
检测与管理服务器的通信状态,其中,所述管理服务器用于管理所述访问控制策略的更新;
在所述通信状态表示与所述管理服务器无法通信时,从所述客户端获取最新的访问控制策略,并利用最新的访问控制策略更新本地的所述访问控制策略,其中,最新的访问控制策略由所述客户端从所述管理服务器获取。
9.一种设备访问控制方法,其特征在于,应用于客户端,包括:
向物联网设备发送访问请求,其中,所述访问请求包括与所述客户端相关联的智能密码设备的第一数字证书,所述第一数字证书用于所述物联网设备基于所述第一数字证书对所述客户端进行身份验证;
接收所述物联网设备在对所述客户端的身份验证成功后发送的身份验证请求,其中,所述身份验证请求包括所述物联网设备的第二数字证书,所述物联网设备基于访问控制策略判断是否允许所述客户端访问所述物联网设备,所述访问控制策略包括允许访问所述物联网设备的客户端的用户标识;
基于所述第二数字证书对所述物联网设备进行身份验证,并向所述物联网设备返回身份验证结果,以供所述物联网设备在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果,并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时,确定所述客户端登录成功。
10.如权利要求9所述的设备访问控制方法,其特征在于,所述基于所述第二数字证书对物联网设备进行身份验证,包括:
验证所述第二数字证书的合法性以及所述第二数字证书是否属于所述物联网设备;
在所述第二数字证书属于所述物联网设备,并且所述第二数字证书合法时,确定对所述物联网设备的身份验证成功。
11.如权利要求9所述的设备访问控制方法,其特征在于,所述设备访问控制方法进一步包括:
响应于接收到来自所述物联网设备的对访问控制策略的更新请求,向所述管理服务器发送对访问控制策略的更新请求;
响应于接收到所述管理服务器返回的对所述物联网设备的最新的访问控制策略,向所述物联网设备发送最新的访问控制策略。
12.一种设备访问控制方法,其特征在于,应用于智能密码设备,包括:
向与所述智能密码设备关联的客户端提供第一数字证书,以便所述客户端向物联网设备发送包含所述第一数字证书的访问请求,所述第一数字证书用于所述物联网设备基于所述第一数字证书对所述客户端进行身份验证;
获取所述客户端接收的由所述物联网设备发出的身份验证请求,其中,所述身份验证请求包括所述物联网设备的第二数字证书,所述物联网设备基于访问控制策略判断是否允许所述客户端访问所述物联网设备,所述访问控制策略包括允许访问所述物联网设备的客户端的用户标识;
基于所述第二数字证书对所述物联网设备进行身份验证,并向所述客户端返回对所述物联网设备的身份验证结果,以供所述物联网设备在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果,并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时,确定所述客户端登录成功。
13.一种物联网设备,其特征在于,包括:
存储器;
处理器;
程序,存储在该存储器中并被配置为由所述处理器执行,所述程序包括用于执行权利要求1-8中任一项所述的物联网设备访问控制方法的指令。
14.一种存储介质,存储有程序,所述程序包括指令,其特征在于,所述指令当由物联网设备执行时,使得所述物联网设备执行如权利要求1-8中任一项所述的物联网设备访问控制方法。
15.一种物联网系统,其特征在于,包括:
物联网设备,用于执行如权利要求1-8中任一项所述的物联网设备访问控制方法;
客户端,用于执行如权利要求9-11中任一项所述的设备访问控制方法;
智能密码设备,与所述客户端连接,用于执行如权利要求12所述的设备访问控制方法;
管理服务器,用于管理所述物联网设备的访问控制策略。
CN202011601939.5A 2020-12-30 2020-12-30 物联网设备安全访问控制方法、物联网设备及物联网系统 Active CN112291375B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011601939.5A CN112291375B (zh) 2020-12-30 2020-12-30 物联网设备安全访问控制方法、物联网设备及物联网系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011601939.5A CN112291375B (zh) 2020-12-30 2020-12-30 物联网设备安全访问控制方法、物联网设备及物联网系统

Publications (2)

Publication Number Publication Date
CN112291375A true CN112291375A (zh) 2021-01-29
CN112291375B CN112291375B (zh) 2021-03-26

Family

ID=74426665

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011601939.5A Active CN112291375B (zh) 2020-12-30 2020-12-30 物联网设备安全访问控制方法、物联网设备及物联网系统

Country Status (1)

Country Link
CN (1) CN112291375B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113993131A (zh) * 2021-10-28 2022-01-28 中国联合网络通信集团有限公司 访问控制方法及装置
CN114615030A (zh) * 2022-02-27 2022-06-10 江苏欧软信息科技有限公司 一种基于工业互联网平台的身份认证方法和系统
CN114697084A (zh) * 2022-03-14 2022-07-01 浙江大豪科技有限公司 缝纫设备数据访问方法
CN115348300A (zh) * 2022-07-12 2022-11-15 厦门盈趣科技股份有限公司 一种物联网控制方法、装置、设备及可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106878122A (zh) * 2017-04-14 2017-06-20 天地融科技股份有限公司 一种网络接入方法及系统
CN107968778A (zh) * 2017-11-09 2018-04-27 上海斐讯数据通信技术有限公司 一种路由器的权限管理方法、终端、路由器及系统
CN110021086A (zh) * 2018-10-29 2019-07-16 深圳市微开互联科技有限公司 一种基于openid的临时授权开启门禁的方法
US10498598B1 (en) * 2016-12-20 2019-12-03 Amazon Technologies, Inc. Preconfigured device representations
CN111737711A (zh) * 2020-06-16 2020-10-02 苏州浪潮智能科技有限公司 一种时限的用户临时角色管理方法、装置
CN112149186A (zh) * 2020-10-19 2020-12-29 福建天晴在线互动科技有限公司 一种基于摘要算法的数据防篡改的方法及其系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10498598B1 (en) * 2016-12-20 2019-12-03 Amazon Technologies, Inc. Preconfigured device representations
CN106878122A (zh) * 2017-04-14 2017-06-20 天地融科技股份有限公司 一种网络接入方法及系统
CN107968778A (zh) * 2017-11-09 2018-04-27 上海斐讯数据通信技术有限公司 一种路由器的权限管理方法、终端、路由器及系统
CN110021086A (zh) * 2018-10-29 2019-07-16 深圳市微开互联科技有限公司 一种基于openid的临时授权开启门禁的方法
CN111737711A (zh) * 2020-06-16 2020-10-02 苏州浪潮智能科技有限公司 一种时限的用户临时角色管理方法、装置
CN112149186A (zh) * 2020-10-19 2020-12-29 福建天晴在线互动科技有限公司 一种基于摘要算法的数据防篡改的方法及其系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113993131A (zh) * 2021-10-28 2022-01-28 中国联合网络通信集团有限公司 访问控制方法及装置
CN113993131B (zh) * 2021-10-28 2023-06-30 中国联合网络通信集团有限公司 访问控制方法及装置
CN114615030A (zh) * 2022-02-27 2022-06-10 江苏欧软信息科技有限公司 一种基于工业互联网平台的身份认证方法和系统
CN114615030B (zh) * 2022-02-27 2023-09-19 江苏欧软信息科技有限公司 一种基于工业互联网平台的身份认证方法和系统
CN114697084A (zh) * 2022-03-14 2022-07-01 浙江大豪科技有限公司 缝纫设备数据访问方法
CN114697084B (zh) * 2022-03-14 2024-03-26 浙江大豪科技有限公司 缝纫设备数据访问方法
CN115348300A (zh) * 2022-07-12 2022-11-15 厦门盈趣科技股份有限公司 一种物联网控制方法、装置、设备及可读存储介质

Also Published As

Publication number Publication date
CN112291375B (zh) 2021-03-26

Similar Documents

Publication Publication Date Title
CN112291375B (zh) 物联网设备安全访问控制方法、物联网设备及物联网系统
CN111213147B (zh) 用于基于区块链的交叉实体认证的系统和方法
US20180219687A1 (en) Secure sharing
US8997198B1 (en) Techniques for securing a centralized metadata distributed filesystem
JP5516821B2 (ja) 仮想化及び認証を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法
US8756416B2 (en) Checking revocation status of a biometric reference template
EP2396921B1 (en) Trusted cloud computing and services framework
EP2396922B1 (en) Trusted cloud computing and services framework
US20110276490A1 (en) Security service level agreements with publicly verifiable proofs of compliance
US20180020008A1 (en) Secure asynchronous communications
JP2005141746A (ja) 文書制御システムにおけるオフラインアクセス
CN103095720B (zh) 一种基于会话管理服务器的云存储系统的安全管理方法
JP2017225054A (ja) プロファイルデータ配信制御装置、プロファイルデータ配信制御方法およびプロファイルデータ配信制御プログラム
US11121876B2 (en) Distributed access control
CA2725992A1 (en) Authenticated database connectivity for unattended applications
KR100656402B1 (ko) 디지털 콘텐츠를 안전하게 배포하는 방법 및 그 장치
US20150143107A1 (en) Data security tools for shared data
CN111917711B (zh) 数据访问方法、装置、计算机设备和存储介质
US10158623B2 (en) Data theft deterrence
Kim et al. Can we create a cross-domain federated identity for the industrial Internet of Things without Google?
CN111769956B (zh) 业务处理方法、装置、设备及介质
KR20000059245A (ko) 생체정보 저장 시스템 및 이를 이용한 인터넷 이용자 인증방법
Adlam et al. Applying Blockchain Technology to Security-Related Aspects of Electronic Healthcare Record Infrastructure
KR102648908B1 (ko) 사용자 인증 시스템 및 방법
CN113961970B (zh) 跨网段网盘登录身份验证方法、装置、网盘及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant