CN112769765A - 一种基于数字证书的IoT设备互操作指令权限管理方法 - Google Patents
一种基于数字证书的IoT设备互操作指令权限管理方法 Download PDFInfo
- Publication number
- CN112769765A CN112769765A CN202011539867.6A CN202011539867A CN112769765A CN 112769765 A CN112769765 A CN 112769765A CN 202011539867 A CN202011539867 A CN 202011539867A CN 112769765 A CN112769765 A CN 112769765A
- Authority
- CN
- China
- Prior art keywords
- interoperation
- digital certificate
- instruction
- equipment
- iot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于数字证书的IoT设备互操作指令权限管理方法,包括:步骤一、源设备向目的设备发送一操作指令;步骤二、目的设备获得源设备的数字证书,所述数字证书包括源设备的身份信息;步骤三、目的设备对照预制的目的设备可响应的互操作指令列表,做出应答。通过本发明可以使得IoT设备能够防止互操作指令的伪造和篡改攻击,提高设备互操作的安全性。
Description
技术领域
本发明属于物联网(IoT)领域,特别涉及一种基于数字证书的IoT设备互操作指令权限管理方法。
背景技术
物联网的发展,使得IoT设备种类繁多,不同IoT设备之间存在互操作需求,源设备通过互操作指令将互操作请求发送到目的设备。“互操作指令”是IoT设备间协商好的,能够相互解析的一段数据,源设备针对目的设备的服务或特性构建互操作请求,目的设备在收到该请求后解析出操作指令,再根据指令完成对应操作。目的设备在收到互操作指令的时候,需要认证该指令是否合法,即使合法了,也要判断该指令是否具备执行相应互操作的权限。目前的设备操作协议只认证指令是否合法,而没有管理互操作的权限。
所以,本领域技术人员需要提供一种可以管理互操作权限的IoT设备互操作指令权限管理方法。
发明内容
本发明解决的问题是提供一种可以管理互操作权限的IoT设备互操作指令权限管理方法;为解决所述问题,本发明提供一种基于数字证书的IoT设备互操作指令权限管理方法。
本发明提供的基于数字证书的IoT设备互操作指令权限管理方法,包括:
步骤一、源设备向目的设备发送一操作指令;
步骤二、目的设备获得源设备的数字证书,所述数字证书包括源设备的身份信息;
步骤三、目的设备对照预制的目的设备可响应的互操作指令列表,做出应答。
进一步,所述步骤一包括:源设备与目的设备建立基于SSL双向认证的链接。
进一步,设备的身份信息包括厂商ID和设备类型,所述身份信息被写入所述数字证书的CommonName字段;所述步骤二通过SSL接口获取对端数字证书,并判断对端数字证书的合法性。
进一步,所述步骤三包括:如果源设备向目的设备发送的操作指令包含在所述预制的目的设备可响应的互操作指令列表中,则目的设备执行所述操作指令;否则目的设备拒绝所述操作指令。
进一步,在新的设备加入IoT生态时,进行与所述新的设备相关的互操作权限划分,并更新所述的互操作指令列表。
进一步,出厂后,所述数字证书只可读不可写。
本发明通过在设备的数字证书中加入产品的身份信息,目的设备在执行操作指令之前,读取源设备的身份信息,并对照预制的目的设备可响应的互操作指令列表,以此判断是否需要执行源设备的操作指令。从而对互操作权限进行管理。
附图说明
图1为本发明实施例提供的基于数字证书的IoT设备互操作指令权限管理方法的操作权限判断的交互时序图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其他实施例中也可以实现本申请。在其他情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”指示所述描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其他特征、整体、步骤、操作、元素、组件和/或集合的存在或添加。
为使图面简洁,各图中只示意性地表示出了与本发明相关的部分,它们并不代表其作为产品的实际结构。另外,以使图面简洁便于理解,在有些图中具有相同结构或功能的部件,仅示意性地绘示了其中的一个,或仅标出了其中的一个。在本文中,“一个”不仅表示“仅此一个”,也可以表示“多于一个”的情形。
还应当进一步理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
另外,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
首先,关于本申请中的专业术语解释如下:
IoT设备互操作:“互操作指令”是IoT设备间协商好的,能够相互解析的一段数据,源设备针对目的设备的服务或特性构建互操作请求,目的设备在收到该请求后解析出操作指令,再根据指令完成对应操作。
数字证书:是对IoT设备身份信息的一个数字认证,为IoT设备互操作提供了数据完整性和安全性的保障。
现有IoT生态中,大部分设备操作是基于服务中心完成的,所述服务中心包括网关或云端,对IoT设备的操作指令是用户操作源设备通过网关或云端转发到目的设备,此时目的设备对服务中心发来的操作指令的合法性验证逻辑如下:
当服务中心是网关时,即用户通过网关的UI/CLI向目的设备发送操作指令,此时网关与目的设备的通信安全性是通过网关保证的,即目的设备通过物理连接的方式或无线加密的方式接入了用户认可的网关,那么从网关发来的操作指令就是可信的;
当服务中心是云端时,IoT设备基于数字证书与云端建立安全连接,此时IoT设备会验证云端的合法性,云端通过此连接发给目的设备的操作指令也是可信的。
但是现有生态中,缺乏对指令权限的管理。鉴于此,本实施例提供了一种基于数字证书的互操作指令权限管理方法,使得IoT设备能够防止互操作指令的伪造和篡改攻击,提高设备互操作的安全性。
如图1所示,本发明实施例提供的基于数字证书的IoT设备互操作指令权限管理方法,包括:
步骤一、源设备向目的设备发送一操作指令;
步骤二、目的设备获得源设备的数字证书,所述数字证书包括源设备的身份信息;
每一个IoT设备需要定制一个数字证书,并将厂商ID和设备类型写入数字证书的Subject中的Common Name字段;当一种新类型的IoT设备想要接入IoT生态,需要经过适配和互操作权限划分,互操作权限就要细化到已存在的每一类设备的每一个服务上,规划好权限后即可更新云端的互操作权限列表;设备在生产时,将数字证书写入出厂后只读的安全存储区中。
步骤三、目的设备对照预制的目的设备可响应的互操作指令列表,做出应答。
继续参考图1,两个IoT设备,需要互操作前,先建立安全的连接,该连接基于SSL双向认证,可通过SSL接口获取对端证书以及判断证书合法性,再继续通过SSL接口获取对端证书的CommonName;目的设备获取到对端源设备的CommonName后,就可以获得对端厂商信息和设备类型,再对照预制的该类设备可响应的互操作指令列表,做出应答,以及执行对应的操作,这样则完成了一次安全的IoT设备间互操作。
在本发明的一个实例中,合理的操作有PIR传感器设备获知IP Camera设备具有视频录制功能,从而在感应到人体运动时向IP Camera发送视频录制操作指令;不合理的操作有温度传感器触发温度报警事件后向IP Camera发送视频录制操作指令。本实例中,PIR传感器设备向IP Camera发送视频录制操作指令在预制的互操作指令列表中;温度传感器向IP Camera发送视频录制操作指令不在预制的互操作指令列表中。
本发明将互操作指令的可操作权限识别的任务交给被操作的目的设备完成,即目的设备需要知道指令发送者是否具有操作权限,没有权限的操作指令应当被拒绝响应。使得IoT设备能够防止互操作指令的伪造和篡改攻击,提高设备互操作的安全性。
基于以上原则,识别指令权限的依据需要是不可篡改的。在一个IoT设备中,位于一个只有生产时才能被写入一次的,之后则是可读不可写的安全存储区中的数字证书,即为一个不可篡改的识别指令权限的依据。而数字证书的Subject中的CommonName字段可以帮助IoT设备进一步识别互操作指令的权限。
本发明的另一实施例,仍可参考图1进行说明,具体实施步骤如下:
(1)每一类IoT设备,均有可能提供一系列的互操作服务,而每一个服务有可能针对不同类型的IoT设备开放互操作(比如:开灯服务可以由PIR人体感应事件、IP Camera人脸识别事件等触发,则开灯操作可以对PIR传感器、IP Camera开放操作权限),这些互操作权限列表可以维护在云端,当有新类型的设备接入IoT生态时,云端下发互操作权限列表到每一个IoT设备进行更新;
(2)当一种新类型的IoT设备想要接入IoT生态,需要经过适配和互操作权限划分,互操作权限就要细化到已存在的每一类设备的每一个服务上,规划好权限后即可更新云端的互操作权限列表;
(3)每一个IoT设备需要定制一个数字证书,并将厂商ID和设备类型写入数字证书的Subject中的CommonName字段;
(4)设备在生产时,将数字证书写入出厂后只读的安全存储区中;
(5)两个IoT设备,需要互操作前,先建立安全的连接,该连接基于SSL双向认证,可通过SSL接口获取对端证书以及判断证书合法性,再继续通过SSL接口获取对端证书的CommonName;
(6)被操作方获取到对端的CommonName后,就可以获得对端厂商信息和设备类型,再对照预制的该类设备可响应的互操作指令列表,做出应答,以及执行对应的操作,这样则完成了一次安全的IoT设备间互操作。
本实施例中,IoT设备在进行互操作时,能够根据数字证书判断互操作请求的合法性,以及管理互操作权限,防止出现互操作请求与目的设备所提供的服务不匹配的问题。
综上,目的设备根据不可篡改的源设备厂商信息和设备类型,结合预制的源设备所具备的操作目的设备能力集的权限列表,判断出本次互操作是否合法以及是否具备权限,从而推导出是否应该执行该操作。
本发明的一个实施例,一种存储介质,存储介质中存储有至少一条指令,指令由处理器加载并执行以实现上述基于数字证书的IoT设备互操作指令权限管理方法实施例所执行的操作。例如,存储介质可以是只读内存(ROM)、随机存取存储器(RAM)、只读光盘(CD-ROM)、磁带、软盘和光数据存储设备等。
它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其他的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性、机械或其他的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可能集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序发送指令给相关的硬件完成,所述的计算机程序可存储于一存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述存储介质可以包括:能够携带所述计算机程序的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述存储介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如:在某些司法管辖区,根据立法和专利实践,计算机可读的存储介质不包括电载波信号和电信信号。
应当说明的是,本发明虽然已以较佳实施例公开如上,但其并不是用来限定本发明,任何本领域技术人员在不脱离本发明的精神和范围内,都可以利用上述揭示的方法和技术内容对本发明技术方案做出可能的变动和修改,因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化及修饰,均属于本发明技术方案的保护范围。
Claims (6)
1.一种基于数字证书的IoT设备互操作指令权限管理方法,其特征在于,包括:
步骤一、源设备向目的设备发送一操作指令;
步骤二、目的设备获得源设备的数字证书,所述数字证书包括源设备的身份信息;
步骤三、目的设备对照预制的目的设备可响应的互操作指令列表,做出应答。
2.依据权利要求1所述的基于数字证书的IoT设备互操作指令权限管理方法,其特征在于,所述步骤一包括:源设备与目的设备建立基于SSL双向认证的链接。
3.依据权利要求1所述的基于数字证书的IoT设备互操作指令权限管理方法,其特征在于,设备的身份信息包括厂商ID和设备类型,所述身份信息被写入所述数字证书的CommonName字段;所述步骤二通过SSL接口获取对端数字证书,并判断对端数字证书的合法性。
4.依据权利要求1所述的基于数字证书的IoT设备互操作指令权限管理方法,其特征在于,所述步骤三包括:如果源设备向目的设备发送的操作指令包含在所述预制的目的设备可响应的互操作指令列表中,则目的设备执行所述操作指令;否则目的设备拒绝所述操作指令。
5.依据权利要求1所述的基于数字证书的IoT设备互操作指令权限管理方法,其特征在于,在新的设备加入IoT生态时,进行与所述新的设备相关的互操作权限划分,并更新所述的互操作指令列表。
6.依据权利要求1所述的基于数字证书的IoT设备互操作指令权限管理方法,其特征在于,出厂后,所述数字证书只可读不可写。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011539867.6A CN112769765B (zh) | 2020-12-23 | 2020-12-23 | 一种基于数字证书的IoT设备互操作指令权限管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011539867.6A CN112769765B (zh) | 2020-12-23 | 2020-12-23 | 一种基于数字证书的IoT设备互操作指令权限管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112769765A true CN112769765A (zh) | 2021-05-07 |
| CN112769765B CN112769765B (zh) | 2023-07-25 |
Family
ID=75694782
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011539867.6A Active CN112769765B (zh) | 2020-12-23 | 2020-12-23 | 一种基于数字证书的IoT设备互操作指令权限管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769765B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105579994A (zh) * | 2013-07-11 | 2016-05-11 | 纽拉公司 | 用于物联网集成平台的互操作性机制 |
| CN105791272A (zh) * | 2016-02-23 | 2016-07-20 | 青岛海尔智能家电科技有限公司 | 一种物联网中的安全通信方法及装置 |
| CN108600183A (zh) * | 2018-03-28 | 2018-09-28 | 湖南东方华龙信息科技有限公司 | 目标设备控制方法 |
| CN109379387A (zh) * | 2018-12-14 | 2019-02-22 | 成都三零嘉微电子有限公司 | 一种物联网设备间的安全认证和数据通信系统 |
| US20190098089A1 (en) * | 2017-09-26 | 2019-03-28 | Verizon Patent And Licensing Inc. | Distribution hub for internet-of-things data |
| CN110601895A (zh) * | 2019-09-19 | 2019-12-20 | 国家电网有限公司 | 电力通信系统数据控制方法和装置 |
| CN110855442A (zh) * | 2019-10-10 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种基于pki技术的设备间证书验证方法 |
| CN111181723A (zh) * | 2019-09-09 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 物联网设备间离线安全认证的方法和装置 |
-
2020
- 2020-12-23 CN CN202011539867.6A patent/CN112769765B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105579994A (zh) * | 2013-07-11 | 2016-05-11 | 纽拉公司 | 用于物联网集成平台的互操作性机制 |
| CN105791272A (zh) * | 2016-02-23 | 2016-07-20 | 青岛海尔智能家电科技有限公司 | 一种物联网中的安全通信方法及装置 |
| US20190098089A1 (en) * | 2017-09-26 | 2019-03-28 | Verizon Patent And Licensing Inc. | Distribution hub for internet-of-things data |
| CN108600183A (zh) * | 2018-03-28 | 2018-09-28 | 湖南东方华龙信息科技有限公司 | 目标设备控制方法 |
| CN109379387A (zh) * | 2018-12-14 | 2019-02-22 | 成都三零嘉微电子有限公司 | 一种物联网设备间的安全认证和数据通信系统 |
| CN111181723A (zh) * | 2019-09-09 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 物联网设备间离线安全认证的方法和装置 |
| CN110601895A (zh) * | 2019-09-19 | 2019-12-20 | 国家电网有限公司 | 电力通信系统数据控制方法和装置 |
| CN110855442A (zh) * | 2019-10-10 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种基于pki技术的设备间证书验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112769765B (zh) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768630B (zh) | 区块链节点的加密通信方法和系统 | |
| CN108737430B (zh) | 区块链节点的加密通信方法和系统 | |
| CN111082940B (zh) | 物联网设备控制方法、装置及计算设备、存储介质 | |
| JP7162350B2 (ja) | コアネットワークアクセスプロバイダ | |
| TW201923639A (zh) | 用於管理數位身份之間的關係的系統和方法 | |
| JP2018121328A (ja) | 電子デバイスのためのイベント証明書 | |
| KR101159370B1 (ko) | 인터넷을 통해 정보를 제공하고 안전하게 신원을 게시하기위한 방법 및 시스템 | |
| CN106100836B (zh) | 一种工业用户身份认证和加密的方法及系统 | |
| CN112787979A (zh) | 物联网设备访问控制方法及物联网设备访问控制装置 | |
| CN105488367B (zh) | 一种sam装置的保护方法、后台及系统 | |
| CN112765684B (zh) | 区块链节点终端管理方法、装置、设备及存储介质 | |
| CN113557703B (zh) | 网络摄像机的认证方法和装置 | |
| US20210249145A1 (en) | Information communication device, authentication program for information communication device, and authentication method | |
| KR102178305B1 (ko) | IoT 네트워크 접근을 제어하는 보안 시스템 | |
| US11481509B1 (en) | Device management and security through a distributed ledger system | |
| CN104363207A (zh) | 多因子安全增强授权与认证方法 | |
| CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| KR102233468B1 (ko) | 항만 인프라 보안성 강화를 위한 블록체인 기반의 보안 허브 플랫폼 | |
| CN112712372A (zh) | 联盟链跨链系统和信息调用方法 | |
| CN112235301A (zh) | 访问权限的验证方法、装置和电子设备 | |
| CN110445782B (zh) | 一种多媒体安全播控系统及方法 | |
| KR20190130206A (ko) | 분실 보안이 강화된 IoT기기 제3자 보안인증 시스템 및 방법 | |
| US9432357B2 (en) | Computer network security management system and method | |
| US11348392B2 (en) | Method for access control | |
| KR102020488B1 (ko) | IoT 디바이스의 인터넷 접근 제어를 위한 장치 및 이를 위한 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |