CN112491868B - 基于区块链的安全可信智能的设备权限管理方法 - Google Patents

基于区块链的安全可信智能的设备权限管理方法 Download PDF

Info

Publication number
CN112491868B
CN112491868B CN202011335836.9A CN202011335836A CN112491868B CN 112491868 B CN112491868 B CN 112491868B CN 202011335836 A CN202011335836 A CN 202011335836A CN 112491868 B CN112491868 B CN 112491868B
Authority
CN
China
Prior art keywords
user
information
authority
current
intelligent terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011335836.9A
Other languages
English (en)
Other versions
CN112491868A (zh
Inventor
邱晓东
吴超腾
肖永来
原良晓
李强
赵怀柏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Seari Intelligent System Co Ltd
Original Assignee
Shanghai Seari Intelligent System Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Seari Intelligent System Co Ltd filed Critical Shanghai Seari Intelligent System Co Ltd
Priority to CN202011335836.9A priority Critical patent/CN112491868B/zh
Publication of CN112491868A publication Critical patent/CN112491868A/zh
Application granted granted Critical
Publication of CN112491868B publication Critical patent/CN112491868B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • H04L61/2553Binding renewal aspects, e.g. using keep-alive messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种基于区块链的安全可信智能的设备权限管理方法,区块链是一个分布式的共享账本和数据库。区块链具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等特点。这些特点保证了区块链的“诚实”与“透明”,为区块链创造信任奠定基础。本发明将区块链与权限管理相结合,利用了区块链的上述优势,将钱包地址与智能终端设备进行绑定,从而利用区块链网络进行相应的费用结算,更为重要的是利用区块链网络存储重要的中间数据,利用区块链不可篡改、全程留痕、可以追溯的特点,确保了数据的可信度及安全性,使得数据不可抵赖。

Description

基于区块链的安全可信智能的设备权限管理方法
技术领域
本发明涉及一种设备权限管理方法,尤其涉及一种基于区块链的设备权限管理方法。
背景技术
现有的智能设备权限管理方法有:于2019年5月31日公开的公开号为CN109831410A的发明专利申请,记载了一种智能设备权限管理方法、配网设备、服务器及电子设备,方法包括:向服务器发送账号注册请求以及接收服务器根据账号注册请求发送的注册账号;将注册账号发送给与第三方配网设备配套的带有交互界面的第三方应用设备,通过第三方应用设备的交互界面向服务器发送带有注册账号的授权请求,以使服务器根据授权请求中的注册账号读取数据库获取与注册账号对应的用户端设备的账号,并为注册账号分配用户端设备的账号下的智能设备的控制权限。本发明提供的智能设备权限管理方法,可以在不增加用户交互难度的前提下,提升控制权限授权的安全性。
于2019年12月13日公开的公开号为CN110569650A的发明专利申请,记载了种基于国产操作系统的可移动存储设备权限管理方法及系统,所述系统包括:实时监控层和拦截处理层,所述实时监控层用于监控可移动存储设备的插入,分析可移动存储设备的存储控制策略,并将与所述存储控制策略相关的控制数据发送给所述拦截处理层,同时,将可移动存储设备的挂载目录以虚拟加密文件系统的指定格式重新挂载。所述拦截处理层用于拦截应用层对所述可移动存储设备的文件访问,并根据控制数据更新模块产生的控制数据对文件访问行为进行控制。根据本发明的方案,使该系统兼容性高,客户端安全性高,部署方便、灵活。不依赖特定环境,也无需特殊处理可移动存储设备,灵活度高。能够实现可移动存储设备的权限细分管理。
现有的对于智能设备的权限进行管理的方法虽然各有优点,但是安全性及可信度依然存在问题。
发明内容
本发明的目的是:利用区块链对智能设备权限进行有效管理。
为了达到上述目的,本发明的技术方案是提供了一种基于区块链的安全可信智能的设备权限管理方法,其特征在于,包括区块链网络及业务网络,区块链网络接入业务网络,用户端设备以及智能终端设备也接入业务网络,用户可以利用用户端设备通过业务网络对智能终端设备进行相应的操作,所述设备权限管理方法包括以下步骤:
步骤1、待注册的用户向区块链网络发送注册请求,该注册请求至少包括当前用户的基本用户信息、用户账号名以及用户密码;
步骤2、区块链网络接收到当前用户发送的注册请求后,将注册请求中的基本用户信息以及用户账号名与已入链存储的基本用户信息以及用户账号名进行匹配,若匹配成功,则拒绝当前的注册请求,若匹配失败,则为当前用户生成唯一的用户ID并为当前用户分配唯一的钱包地址后,将基本用户信息、用户账号名、用户密码、用户ID与钱包地址关联入链存储,随后向当前用户反馈注册成功信息;
步骤3、在区块链网络中为每个初次接入业务网络前的智能终端设备注册ROOT用户,该ROOT用户具有当前智能终端设备的完整操作权限,区块链网络将ROOT用户的ROOT用户账号名、ROOT用户密码、对应的智能终端设备的设备信息以及用于表示完整权限的权限信息关联入链存储;
步骤4、当前智能终端设备初次接入业务网络时,用户在用户端设备上输入ROOT用户账号名及ROOT用户密码后向区块链网络请求访问当前智能终端设备,用户端设备向区块链网络发送设备访问请求,该设备访问请求至少包括ROOT用户账号名、ROOT用户密码及当前智能终端设备的设备信息;
步骤5、区块链网络接收到设备访问请求后,将设备访问请求中的ROOT用户账号名与已入链存储的ROOT用户账号名进行匹配,若匹配成功,则进入步骤6,若匹配失败,则拒绝当前设备访问请求;
步骤6、区块链网络将已入链存储的与匹配得到的ROOT用户账号名相关联的ROOT用户密码及设备信息和设备访问请求中的ROOT用户密码及设备信息相匹配,若匹配成功,则允许当前用户对当前智能终端设备进行访问并获得该智能终端设备的完整操作权限,进入步骤7,若匹配失败,则拒绝当前设备访问请求;
步骤7、进行智能终端设备与已注册用户的钱包地址的绑定,包括以下步骤:
步骤701、具有绑定操作权限的用户从所有已注册的用户中选择需要与当前智能终端设备绑定的用户,向区块链网络发送设备绑定请求,该设备绑定请求至少包括:进行绑定操作的用户的用户ID,将进行绑定操作的用户定义为用户一,将用户一的用户ID定义为用户ID一;需要与当前智能终端设备绑定的用户的用户ID,将需要与当前智能终端设备绑定的用户定义为用户二,将用户二的用户ID定义为用户ID二;当前智能终端设备的设备信息;用户二的权限信息;
通过权限信息设置用户二的权限,包括绑定操作的权限、权限共享操作的权限、解除绑定操作的权限、权限修改操作的权限、修改操作定义的权限,其中,修改操作定义指将当前智能终端设备的所允许的操作定义为关键操作或非关键操作;
步骤702、区块链网络将用户ID一与已入链存储的用户ID进行匹配,若匹配失败,则拒绝当前的设备绑定请求,若匹配成功,则获得与匹配得到的用户ID关联的权限信息,若该权限信息包括绑定操作的权限,则进入步骤703,若权限信息不包括绑定操作,则拒绝当前的设备绑定请求;
步骤703、区块链网络将用户ID二与已入链存储的用户ID进行匹配,若匹配失败,则拒绝当前的设备绑定请求,若匹配成功,则获得与匹配得到的用户ID关联的钱包地址,将钱包地址与设备绑定请求中的设备信息绑定,并设置权限标志信息为通过绑定获得的权限,将设备绑定请求中的设备信息、设备绑定请求中的用户二的权限信息、权限标志信息与匹配得到的用户ID关联入链存储;
步骤8、钱包地址与设备信息绑定的用户,利用已入链存储的用户账号名及用户密码登录用户端设备后,可以对绑定的设备信息相对应的智能终端设备进行相应的与权限信息相匹配的操作,由区块链网络对每次操作是否与权限信息相匹配进行验证,仅在验证通过的情况下,区块链网络才允许当前用户对当前智能终端设备进行当前一次的操作;
步骤9、若用户通过对智能终端设备的操作获得收益,或者用户通过对智能终端设备的操作需要支付费用,则利用设备信息以及当前用户的用户ID匹配得到区块链网络中关联存储的钱包地址,利用该钱包地址在区块链网络上对费用进行结算;
若用户对智能终端设备的操作为关键操作,则将当前一次操作智能终端设备与用户端设备之间交互的所有数据与当前用户的用户ID以及当前智能终端设备的设备信息上传至区块链网络,将用户ID及设备信息与区块链网络已入链存储的用户ID及设备信息相匹配,仅在匹配成功的情况下将接收到的当前一次操作智能终端设备与用户端设备之间交互的所有数据与匹配到的用户ID及设备信息关联入链存储;
步骤10、钱包地址与当前智能终端设备绑定的用户将全部或者部分权限与钱包地址与当前智能终端设备未绑定的用户,将其中钱包地址与当前智能终端设备绑定的用户定义为被共享用户,钱包地址与当前智能终端设备未绑定的用户定义为共享用户,则包括以下步骤:
步骤1001、被共享用户向区块链网络发送权限共享请求,权限共享请求中至少包括被共享用户的用户ID、共享用户的用户ID、共享权限信息以及设备信息;
步骤1002、区块链网络将被共享用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,再获取已匹配得到的用户ID相关联的权限信息,基于该权限信息进一步判断被共享用户是否具有权限共享操作的权限,仅在被共享用户具有权限共享操作的权限的情况下,进入步骤1003;
步骤1003、判断区块链网络中被共享用户的用户ID相关联的权限标志信息是否为通过绑定获得的权限,若是,则进入步骤1004,若不是,则拒绝当前的权限共享请求;
步骤1004、区块链网络将共享用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,将权限标志信息设置为通过权限共享获得的权限,并将匹配得到的用户ID与权限共享请求中的共享权限信息、设备信息以及权限标志信息关联入链存储。
优选地,步骤1中,所述注册请求还包括用于接收动态密码的密码接收设备信息;
则在步骤2中,所述区块链网络将所述基本用户信息、所述用户账号名、所述用户密码、所述用户ID、钱包地址与密码接收设备信息关联入链存储;
步骤703中,若用户ID二与已入链存储的用户ID匹配成功,则获得与用户ID一相匹配的用户ID关联存储的密码接收设备信息,利用该密码接收设备信息向用户二的密码接收设备发送即时生成的动态密码,并通过用户端设备向用户二反馈动态验证信息,用户二利用接收到的动态密码向所述区块链网络反馈动态验证信息,若验证成功,则钱包地址与设备绑定请求中的设备信息绑定,若验证失败,则拒绝当前的设备绑定请求;
步骤9中,若用户对智能终端设备的操作为关键操作,则获得区块链网络中与当前用户的用户ID相匹配的用户ID关联存储的密码接收设备信息,利用该密码接收设备信息向用户二的密码接收设备发送即时生成的动态密码,并通过用户端设备向当前用户反馈动态验证信息,用户利用接收到的动态密码向所述区块链网络反馈动态验证信息,若验证成功,则允许用户对当前的智能终端设备进行当前的关键操作,若验证失败,则拒绝用户对当前的智能终端设备进行当前的关键操作。
优选地,解除钱包地址与当前智能终端设备绑定时,包括以下步骤:
步骤1101、操作用户通过用户账号名及用户密码进行登录后,选择需要解除与当前智能终端设备绑定的解绑用户的用户账号名,向区块链网络发送解绑请求,解绑请求中包括操作用户的用户ID、解绑用户的用户ID以及设备信息;
步骤1102、区块链网络将操作用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,再获取已匹配得到的用户ID相关联的权限信息,基于该权限信息进一步判断被共享用户是否具有解除绑定操作的权限,仅在操作用户具有解除绑定操作的权限的情况下,进入步骤1103;
步骤1103、区块链网络将解绑用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,再获取已匹配得到的用户ID相关联的设备信息,将匹配得到的设备信息与解绑请求中的设备信息匹配,仅在匹配成功的情况下进入步骤1104;
步骤1104、区块链网络取消已入链存储的用户ID以及钱包地址与设备信息的关联关系,解除解绑用户的钱包地址与当前智能终端设备的绑定。
区块链是一个分布式的共享账本和数据库。区块链具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等特点。这些特点保证了区块链的“诚实”与“透明”,为区块链创造信任奠定基础。本发明将区块链与权限管理相结合,利用了区块链的上述优势,将钱包地址与智能终端设备进行绑定,从而利用区块链网络进行相应的费用结算,更为重要的是利用区块链网络存储重要的中间数据,利用区块链不可篡改、全程留痕、可以追溯的特点,确保了数据的可信度及安全性,使得数据不可抵赖。
附图说明
图1为本发明的总体流程示意图。
具体实施方式
下面结合具体实施例,进一步阐述本发明。应理解,这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解,在阅读了本发明讲授的内容之后,本领域技术人员可以对本发明作各种改动或修改,这些等价形式同样落于本申请所附权利要求书所限定的范围。
如图1所示,在本发明提供的一种基于区块链的安全可信智能的设备权限管理方法中包括区块链网络及业务网络,区块链网络接入业务网络,用户端设备以及智能终端设备也接入业务网络,用户可以利用用户端设备通过业务网络对智能终端设备进行相应的操作。
则所述设备权限管理方法包括以下步骤:
步骤1、待注册的用户向区块链网络发送注册请求,该注册请求至少包括当前用户的基本用户信息、用户账号名、用户密码以及用于接收动态密码的密码接收设备信息;
步骤2、区块链网络接收到当前用户发送的注册请求后,将注册请求中的基本用户信息以及用户账号名与已入链存储的基本用户信息以及用户账号名进行匹配,若匹配成功,则拒绝当前的注册请求;若匹配失败,则为当前用户生成唯一的用户ID并为当前用户分配唯一的钱包地址后,将基本用户信息、用户账号名、用户密码、用户ID、密码接收设备信息与钱包地址关联入链存储,随后向当前用户反馈注册成功信息。
智能终端设备在初次接入业务网络时,由于未与任何用户的钱包地址绑定,因而,需要利用出厂时设置的ROOT用户的账户为初次接入业务网络的智能终端设备绑定相关的用户,包括以下步骤:
步骤1、在区块链网络中为每个初次接入业务网络前的智能终端设备注册ROOT用户,该ROOT用户具有当前智能终端设备的完整操作权限(即具有当前智能终端设备的最高操作权限),区块链网络将ROOT用户的ROOT用户账号名、ROOT用户密码、对应的智能终端设备的设备信息以及用于表示完整权限的权限信息关联入链存储;
步骤2、当前智能终端设备初次接入业务网络时,用户在用户端设备上输入ROOT用户账号名及ROOT用户密码后向区块链网络请求访问当前智能终端设备,用户端设备向区块链网络发送设备访问请求,该设备访问请求至少包括ROOT用户账号名、ROOT用户密码及当前智能终端设备的设备信息;
步骤3、区块链网络接收到设备访问请求后,将设备访问请求中的ROOT用户账号名与已入链存储的ROOT用户账号名进行匹配,若匹配成功,则进入步骤4,若匹配失败,则拒绝当前设备访问请求;
步骤4、区块链网络将已入链存储的与匹配得到的ROOT用户账号名相关联的ROOT用户密码及设备信息和设备访问请求中的ROOT用户密码及设备信息相匹配,若匹配成功,则允许当前用户对当前智能终端设备进行访问并获得该智能终端设备的完整操作权限,进入步骤5,若匹配失败,则拒绝当前设备访问请求;
步骤5、进行智能终端设备与已注册用户的钱包地址的绑定,包括以下步骤:
步骤501、具有绑定操作权限的用户从所有已注册的用户中选择需要与当前智能终端设备绑定的用户,向区块链网络发送设备绑定请求,该设备绑定请求至少包括:进行绑定操作的用户的用户ID,将进行绑定操作的用户定义为用户一,将用户一的用户ID定义为用户ID一;需要与当前智能终端设备绑定的用户的用户ID,将需要与当前智能终端设备绑定的用户定义为用户二,将用户二的用户ID定义为用户ID二;当前智能终端设备的设备信息;用户二的权限信息;
通过权限信息设置用户二的权限,包括绑定操作的权限、权限共享操作的权限、解除绑定操作的权限、权限修改操作的权限、修改操作定义的权限,其中,修改操作定义指将当前智能终端设备的所允许的操作定义为关键操作或非关键操作;
步骤502、区块链网络将用户ID一与已入链存储的用户ID进行匹配,若匹配失败,则拒绝当前的设备绑定请求,若匹配成功,则获得与匹配得到的用户ID关联的权限信息,若该权限信息包括绑定操作的权限,则进入步骤503,若权限信息不包括绑定操作,则拒绝当前的设备绑定请求;
步骤503、区块链网络将用户ID二与已入链存储的用户ID进行匹配,若匹配失败,则拒绝当前的设备绑定请求,若匹配成功,则获得与匹配得到的用户ID关联的钱包地址,将钱包地址与设备绑定请求中的设备信息绑定,并设置权限标志信息为通过绑定获得的权限,将设备绑定请求中的设备信息、设备绑定请求中的用户二的权限信息、权限标志信息与匹配得到的用户ID关联入链存储。
通过上述步骤完成了初次接入业务网络的智能终端设备与相应用户的钱包地址的绑定工作。
在智能设备的使用过程中,具有操作权限的用户也可以利用上述步骤5将某个智能终端设备与其他用户的钱包地址进行绑定。此时的绑定操作与上述步骤5的区别在于:
步骤503中,若用户ID二与已入链存储的用户ID匹配成功,则获得与用户ID一相匹配的用户ID关联存储的密码接收设备信息,利用该密码接收设备信息向用户二的密码接收设备发送即时生成的动态密码,并通过用户端设备向用户二反馈动态验证信息,用户二利用接收到的动态密码向所述区块链网络反馈动态验证信息,若验证成功,则钱包地址与设备绑定请求中的设备信息绑定,若验证失败,则拒绝当前的设备绑定请求。
在智能设备的使用过程中,具有操作权限的用户也可以解除某个智能终端设备与用户的钱包地址的绑定,包括以下步骤:
步骤1、操作用户通过用户账号名及用户密码进行登录后,选择需要解除与当前智能终端设备绑定的解绑用户的用户账号名,向区块链网络发送解绑请求,解绑请求中包括操作用户的用户ID、解绑用户的用户ID以及设备信息;
步骤2、区块链网络将操作用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,再获取已匹配得到的用户ID相关联的权限信息,基于该权限信息进一步判断被共享用户是否具有解除绑定操作的权限,仅在操作用户具有解除绑定操作的权限的情况下,进入步骤3;
步骤3、区块链网络将解绑用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,再获取已匹配得到的用户ID相关联的设备信息,将匹配得到的设备信息与解绑请求中的设备信息匹配,仅在匹配成功的情况下进入步骤4;
步骤4、区块链网络取消已入链存储的用户ID以及钱包地址与设备信息的关联关系,解除解绑用户的钱包地址与当前智能终端设备的绑定。
除了通过绑定,使得用户具有对某个智能终端设备的操作权限之外,还可以利用权限共享的方式使得其他用户具有对某个智能终端设备的操作权限。应得注意的是,可以共享当前用户的所有权限,也可以共享当前用户的部分权限。并且,权限共享与绑定的区别在于,接收共享权限的用户不能再将权限与其他用户进行共享。将其中钱包地址与当前智能终端设备绑定的用户定义为被共享用户,钱包地址与当前智能终端设备未绑定的用户定义为共享用户,则包括以下步骤:
步骤1、被共享用户向区块链网络发送权限共享请求,权限共享请求中至少包括被共享用户的用户ID、共享用户的用户ID、共享权限信息以及设备信息;
步骤2、区块链网络将被共享用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,再获取已匹配得到的用户ID相关联的权限信息,基于该权限信息进一步判断被共享用户是否具有权限共享操作的权限,仅在被共享用户具有权限共享操作的权限的情况下,进入步骤3;
步骤3、判断区块链网络中被共享用户的用户ID相关联的权限标志信息是否为通过绑定获得的权限,若是,则进入步骤4,若不是,则拒绝当前的权限共享请求;通过步骤3即可以确保接收共享权限的用户不能再将权限与其他用户进行共享;
步骤4、区块链网络将共享用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,将权限标志信息设置为通过权限共享获得的权限,并将匹配得到的用户ID与权限共享请求中的共享权限信息、设备信息以及权限标志信息关联入链存储。
钱包地址与设备信息绑定后,用户利用已入链存储的用户账号名及用户密码登录用户端设备后,可以对绑定的设备信息相对应的智能终端设备进行相应的与权限信息相匹配的操作,由区块链网络对每次操作是否与权限信息相匹配进行验证,仅在验证通过的情况下,区块链网络才允许当前用户对当前智能终端设备进行当前一次的操作。
比如对于某个智能终端设备的操作的定义即为上文所述的一次操作,具有相应权限的用户可以将对于某个智能终端设备的操作定义为关键操作及非关键操作。对智能终端设备进行关键操作时,需要利用动态码进行二次验证,只有在验证通过的情况下,才能进行关键操作。并且进行关键操作时产生的交互数据需要上链存储,以区别数据是可以追溯,并且是不可抵赖的。
即若用户对智能终端设备的操作为关键操作,则将当前一次操作智能终端设备与用户端设备之间交互的所有数据与当前用户的用户ID以及当前智能终端设备的设备信息上传至区块链网络,将用户ID及设备信息与区块链网络已入链存储的用户ID及设备信息相匹配,仅在匹配成功的情况下将接收到的当前一次操作智能终端设备与用户端设备之间交互的所有数据与匹配到的用户ID及设备信息关联入链存储。
并且若用户对智能终端设备的操作为关键操作,则获得区块链网络中与当前用户的用户ID相匹配的用户ID关联存储的密码接收设备信息,利用该密码接收设备信息向用户二的密码接收设备发送即时生成的动态密码,并通过用户端设备向当前用户反馈动态验证信息,用户利用接收到的动态密码向所述区块链网络反馈动态验证信息,若验证成功,则允许用户对当前的智能终端设备进行当前的关键操作,若验证失败,则拒绝用户对当前的智能终端设备进行当前的关键操作。
由于在本发明中,将钱包地址与智能终端设备进行了绑定,因此若用户通过对智能终端设备的操作获得收益,或者用户通过对智能终端设备的操作需要支付费用,则利用设备信息以及当前用户的用户ID匹配得到区块链网络中关联存储的钱包地址,利用该钱包地址就可以在区块链网络上对费用进行结算。

Claims (3)

1.一种基于区块链的安全可信智能的设备权限管理方法,其特征在于,包括区块链网络及业务网络,区块链网络接入业务网络,用户端设备以及智能终端设备也接入业务网络,用户可以利用用户端设备通过业务网络对智能终端设备进行相应的操作,所述设备权限管理方法包括以下步骤:
步骤1、待注册的用户向区块链网络发送注册请求,该注册请求至少包括当前用户的基本用户信息、用户账号名以及用户密码;
步骤2、区块链网络接收到当前用户发送的注册请求后,将注册请求中的基本用户信息以及用户账号名与已入链存储的基本用户信息以及用户账号名进行匹配,若匹配成功,则拒绝当前的注册请求,若匹配失败,则为当前用户生成唯一的用户ID并为当前用户分配唯一的钱包地址后,将基本用户信息、用户账号名、用户密码、用户ID与钱包地址关联入链存储,随后向当前用户反馈注册成功信息;
步骤3、在区块链网络中为每个初次接入业务网络前的智能终端设备注册ROOT用户,该ROOT用户具有当前智能终端设备的完整操作权限,区块链网络将ROOT用户的ROOT用户账号名、ROOT用户密码、对应的智能终端设备的设备信息以及用于表示完整权限的权限信息关联入链存储;
步骤4、当前智能终端设备初次接入业务网络时,用户在用户端设备上输入ROOT用户账号名及ROOT用户密码后向区块链网络请求访问当前智能终端设备,用户端设备向区块链网络发送设备访问请求,该设备访问请求至少包括ROOT用户账号名、ROOT用户密码及当前智能终端设备的设备信息;
步骤5、区块链网络接收到设备访问请求后,将设备访问请求中的ROOT用户账号名与已入链存储的ROOT用户账号名进行匹配,若匹配成功,则进入步骤6,若匹配失败,则拒绝当前设备访问请求;
步骤6、区块链网络将已入链存储的与匹配得到的ROOT用户账号名相关联的ROOT用户密码及设备信息和设备访问请求中的ROOT用户密码及设备信息相匹配,若匹配成功,则允许当前用户对当前智能终端设备进行访问并获得该智能终端设备的完整操作权限,进入步骤7,若匹配失败,则拒绝当前设备访问请求;
步骤7、进行智能终端设备与已注册用户的钱包地址的绑定,包括以下步骤:
步骤701、具有绑定操作权限的用户从所有已注册的用户中选择需要与当前智能终端设备绑定的用户,向区块链网络发送设备绑定请求,该设备绑定请求至少包括:进行绑定操作的用户的用户ID,将进行绑定操作的用户定义为用户一,将用户一的用户ID定义为用户ID一;需要与当前智能终端设备绑定的用户的用户ID,将需要与当前智能终端设备绑定的用户定义为用户二,将用户二的用户ID定义为用户ID二;当前智能终端设备的设备信息;用户二的权限信息;
通过权限信息设置用户二的权限,包括绑定操作的权限、权限共享操作的权限、解除绑定操作的权限、权限修改操作的权限、修改操作定义的权限,其中,修改操作定义指将当前智能终端设备的所允许的操作定义为关键操作或非关键操作;
步骤702、区块链网络将用户ID一与已入链存储的用户ID进行匹配,若匹配失败,则拒绝当前的设备绑定请求,若匹配成功,则获得与匹配得到的用户ID关联的权限信息,若该权限信息包括绑定操作的权限,则进入步骤703,若权限信息不包括绑定操作,则拒绝当前的设备绑定请求;
步骤703、区块链网络将用户ID二与已入链存储的用户ID进行匹配,若匹配失败,则拒绝当前的设备绑定请求,若匹配成功,则获得与匹配得到的用户ID关联的钱包地址,将钱包地址与设备绑定请求中的设备信息绑定,并设置权限标志信息为通过绑定获得的权限,将设备绑定请求中的设备信息、设备绑定请求中的用户二的权限信息、权限标志信息与匹配得到的用户ID关联入链存储;
步骤8、钱包地址与设备信息绑定的用户,利用已入链存储的用户账号名及用户密码登录用户端设备后,可以对绑定的设备信息相对应的智能终端设备进行相应的与权限信息相匹配的操作,由区块链网络对每次操作是否与权限信息相匹配进行验证,仅在验证通过的情况下,区块链网络才允许当前用户对当前智能终端设备进行当前一次的操作;
步骤9、若用户通过对智能终端设备的操作获得收益,或者用户通过对智能终端设备的操作需要支付费用,则利用设备信息以及当前用户的用户ID匹配得到区块链网络中关联存储的钱包地址,利用该钱包地址在区块链网络上对费用进行结算;
若用户对智能终端设备的操作为关键操作,则将当前一次操作智能终端设备与用户端设备之间交互的所有数据与当前用户的用户ID以及当前智能终端设备的设备信息上传至区块链网络,将用户ID及设备信息与区块链网络已入链存储的用户ID及设备信息相匹配,仅在匹配成功的情况下将接收到的当前一次操作智能终端设备与用户端设备之间交互的所有数据与匹配到的用户ID及设备信息关联入链存储;
步骤10、钱包地址与当前智能终端设备绑定的用户将全部或者部分权限与钱包地址与当前智能终端设备未绑定的用户共享,将其中钱包地址与当前智能终端设备绑定的用户定义为被共享用户,钱包地址与当前智能终端设备未绑定的用户定义为共享用户,则包括以下步骤:
步骤1001、被共享用户向区块链网络发送权限共享请求,权限共享请求中至少包括被共享用户的用户ID、共享用户的用户ID、共享权限信息以及设备信息;
步骤1002、区块链网络将被共享用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,再获取已匹配得到的用户ID相关联的权限信息,基于该权限信息进一步判断被共享用户是否具有权限共享操作的权限,仅在被共享用户具有权限共享操作的权限的情况下,进入步骤1003;
步骤1003、判断区块链网络中被共享用户的用户ID相关联的权限标志信息是否为通过绑定获得的权限,若是,则进入步骤1004,若不是,则拒绝当前的权限共享请求;
步骤1004、区块链网络将共享用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,将权限标志信息设置为通过权限共享获得的权限,并将匹配得到的用户ID与权限共享请求中的共享权限信息、设备信息以及权限标志信息关联入链存储。
2.如权利要求1所述的一种基于区块链的安全可信智能的设备权限管理方法,其特征在于,步骤1中,所述注册请求还包括用于接收动态密码的密码接收设备信息;
则在步骤2中,所述区块链网络将所述基本用户信息、所述用户账号名、所述用户密码、所述用户ID、钱包地址与密码接收设备信息关联入链存储;
步骤703中,若用户ID二与已入链存储的用户ID匹配成功,则获得与用户ID一相匹配的用户ID关联存储的密码接收设备信息,利用该密码接收设备信息向用户二的密码接收设备发送即时生成的动态密码,并通过用户端设备向用户二反馈动态验证信息,用户二利用接收到的动态密码向所述区块链网络反馈动态验证信息,若验证成功,则钱包地址与设备绑定请求中的设备信息绑定,若验证失败,则拒绝当前的设备绑定请求;
步骤9中,若用户对智能终端设备的操作为关键操作,则获得区块链网络中与当前用户的用户ID相匹配的用户ID关联存储的密码接收设备信息,利用该密码接收设备信息向用户二的密码接收设备发送即时生成的动态密码,并通过用户端设备向当前用户反馈动态验证信息,用户利用接收到的动态密码向所述区块链网络反馈动态验证信息,若验证成功,则允许用户对当前的智能终端设备进行当前的关键操作,若验证失败,则拒绝用户对当前的智能终端设备进行当前的关键操作。
3.如权利要求1所述的一种基于区块链的安全可信智能的设备权限管理方法,其特征在于,解除钱包地址与当前智能终端设备绑定时,包括以下步骤:
步骤1101、操作用户通过用户账号名及用户密码进行登录后,选择需要解除与当前智能终端设备绑定的解绑用户的用户账号名,向区块链网络发送解绑请求,解绑请求中包括操作用户的用户ID、解绑用户的用户ID以及设备信息;
步骤1102、区块链网络将操作用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,再获取已匹配得到的用户ID相关联的权限信息,基于该权限信息进一步判断被共享用户是否具有解除绑定操作的权限,仅在操作用户具有解除绑定操作的权限的情况下,进入步骤1103;
步骤1103、区块链网络将解绑用户的用户ID与已入链存储的用户ID进行匹配,仅在匹配成功的情况下,再获取已匹配得到的用户ID相关联的设备信息,将匹配得到的设备信息与解绑请求中的设备信息匹配,仅在匹配成功的情况下进入步骤1104;
步骤1104、区块链网络取消已入链存储的用户ID以及钱包地址与设备信息的关联关系,解除解绑用户的钱包地址与当前智能终端设备的绑定。
CN202011335836.9A 2020-11-25 2020-11-25 基于区块链的安全可信智能的设备权限管理方法 Active CN112491868B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011335836.9A CN112491868B (zh) 2020-11-25 2020-11-25 基于区块链的安全可信智能的设备权限管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011335836.9A CN112491868B (zh) 2020-11-25 2020-11-25 基于区块链的安全可信智能的设备权限管理方法

Publications (2)

Publication Number Publication Date
CN112491868A CN112491868A (zh) 2021-03-12
CN112491868B true CN112491868B (zh) 2022-07-08

Family

ID=74933877

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011335836.9A Active CN112491868B (zh) 2020-11-25 2020-11-25 基于区块链的安全可信智能的设备权限管理方法

Country Status (1)

Country Link
CN (1) CN112491868B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106941534A (zh) * 2017-04-17 2017-07-11 上海庆科信息技术有限公司 一种数据共享服务系统及智能设备监测系统
CN111127002B (zh) * 2018-11-01 2023-10-10 上海旺链信息科技有限公司 一种基于区块链的用户接入设备的统一协同管理方法、管理系统和存储介质
CN109831410B (zh) * 2018-12-20 2020-10-09 美的集团股份有限公司 智能设备权限管理方法、配网设备、服务器及电子设备
CN110351381B (zh) * 2019-07-18 2020-10-02 湖南大学 一种基于区块链的物联网可信分布式数据共享方法
CN111988338B (zh) * 2020-09-07 2022-06-24 华侨大学 基于区块链的权限可控的物联网云平台及数据交互方法

Also Published As

Publication number Publication date
CN112491868A (zh) 2021-03-12

Similar Documents

Publication Publication Date Title
CN111541656B (zh) 基于融合媒体云平台的身份认证方法及系统
CN110012015B (zh) 一种基于区块链的物联网数据共享方法及系统
US8893242B2 (en) System and method for pool-based identity generation and use for service access
US6718470B1 (en) System and method for granting security privilege in a communication system
CN102447677B (zh) 资源访问控制方法、系统和设备
CN112632575A (zh) 业务系统的权限管理方法、装置、计算机设备及存储介质
CN106452782A (zh) 为终端设备生成安全通信信道的方法和系统
CN108876669B (zh) 应用于多平台教育资源共享的课程公证系统及方法
CN100541532C (zh) 签章集中管理与委托授权电子签章安全的方法
WO2011055486A1 (ja) アクセス制御システム、通信端末、サーバ、およびアクセス制御方法
US20060100888A1 (en) System for managing identification information via internet and method of providing service using the same
CN110535807B (zh) 一种业务鉴权方法、装置和介质
CN106911627A (zh) 一种基于eID的真实身份安全控制方法及其系统
CN110611647A (zh) 一种区块链系统上的节点加入方法和装置
CN108920919A (zh) 交互智能设备的控制方法、装置和系统
US20230412400A1 (en) Method for suspending protection of an object achieved by a protection device
CN111399980A (zh) 容器编排器的安全认证方法、装置及系统
US20060059071A1 (en) Method and system for separating personal data accounts
CN103559430B (zh) 基于安卓系统的应用账号管理方法和装置
US8646099B2 (en) Midlet signing and revocation
CN112491868B (zh) 基于区块链的安全可信智能的设备权限管理方法
CN113992336B (zh) 基于区块链的加密网络离线数据可信交换方法及装置
CN109413200A (zh) 一种资源导入的方法、客户端、mes及电子设备
CN116467062A (zh) 一种基于区块链的数据处理方法、设备以及可读存储介质
KR101303026B1 (ko) 영업 비밀 원본 증명 서비스 시스템 및 그 시스템의 원본 증명 서비스 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant