CN113055349A - 物联网安全自动配置方法与系统 - Google Patents
物联网安全自动配置方法与系统 Download PDFInfo
- Publication number
- CN113055349A CN113055349A CN201911377532.6A CN201911377532A CN113055349A CN 113055349 A CN113055349 A CN 113055349A CN 201911377532 A CN201911377532 A CN 201911377532A CN 113055349 A CN113055349 A CN 113055349A
- Authority
- CN
- China
- Prior art keywords
- access
- access control
- internet
- things
- neural network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000003062 neural network model Methods 0.000 claims description 82
- 238000013135 deep learning Methods 0.000 claims description 41
- 238000005065 mining Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 11
- 238000012549 training Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 13
- 238000013528 artificial neural network Methods 0.000 description 12
- 230000015654 memory Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 238000003860 storage Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 239000000463 material Substances 0.000 description 5
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 4
- 238000009412 basement excavation Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种物联网安全自动配置方法与系统。物联网访问控制系统包括通过物联网连接的第一装置和第二装置,其中,所述第一装置向所述第二装置发送资源访问请求,从所述第二装置接收与所述资源访问请求相应的重定向指令,根据所述重定向指令调用区块链上的智能合约来获取访问令牌,向所述第二装置发送带所述访问令牌的访问请求,所述第二装置根据从所述第一装置接收的带访问令牌的访问请求,判断是否允许所述第一装置访问所述第二装置的资源,所述智能合约根据输入到所述区块链的访问控制规则判断所述第一装置是否能够访问所述第二装置,在判断为所述第一装置能够访问所述第二装置的情况下,输出所述访问令牌。
Description
技术领域
本公开涉及一种物联网访问控制技术,特别涉及一种基于深度学习和区块链的物联网访问控制系统、装置和方法。
背景技术
随着物联网的不断发展,物联网的隐私保护问题引起了人们的重视,而访问控制技术是保护隐私的重要方法之一。
但是目前的物联网访问控制技术还不能完善地解决物联网发展中的安全问题。而且物联网组件的计算能力低,无法支持复杂的安全方案,传统的安全解决方案在物联网环境中通常不适用。因此,存在对于具有增强的安全性的物联网访问控制技术的需求。
发明内容
本公开的实施方式的一个目的是提供一种新颖的物联网访问控制系统、访问请求装置、访问接受装置、深度学习服务器以及控制方法。
根据本公开的一个方面,提供了一种物联网访问控制系统,包括通过物联网连接的第一装置和第二装置,其中,所述第一装置包括:第一发送单元,用于向所述第二装置发送资源访问请求;第一接收单元,用于从所述第二装置接收与所述资源访问请求相应的重定向指令;以及第一控制单元,根据所述重定向指令调用区块链上的智能合约来获取访问令牌,使所述第一发送单元向所述第二装置发送带所述访问令牌的访问请求,所述第二装置包括:第二接收单元,用于接收来自所述第一装置的资源访问请求;第二发送单元,用于向所述第一装置发送与所述资源访问请求相应的重定向指令;以及第二控制单元,根据从所述第一装置接收的带访问令牌的访问请求,判断是否允许所述第一装置访问所述第二装置的资源,所述智能合约根据输入到所述区块链的访问控制规则判断所述第一装置是否能够访问所述第二装置,在判断为所述第一装置能够访问所述第二装置的情况下,输出所述访问令牌。
根据本公开的另一方面,提供了一种物联网访问控制系统中的访问请求装置,通过物联网与访问接受装置连接,包括:第一发送单元,用于向所述访问接受装置发送资源访问请求;第一接收单元,用于从所述访问接受装置接收与所述资源访问请求相应的重定向指令;以及第一控制单元,根据所述重定向指令调用区块链上的智能合约来获取访问令牌,使所述第一发送单元向所述访问接受装置发送带所述访问令牌的访问请求,所述智能合约根据输入到所述区块链的访问控制规则判断所述访问请求装置是否能够访问所述访问接受装置,在判断为所述访问请求装置能够访问所述访问接受装置的情况下,输出所述访问令牌。
根据本公开的另一方面,提供了一种物联网访问控制系统中的访问接受装置,通过物联网与访问请求装置连接,包括:第二接收单元,用于接收来自所述访问请求装置的资源访问请求;第二发送单元,用于向所述访问请求装置发送与所述资源访问请求相应的重定向指令;以及第二控制单元,从所述访问请求装置接收带访问令牌的访问请求,向区块链上的智能合约发送所述访问令牌以检查所述访问令牌的合法性,并且根据检查结果向所述访问请求装置发送用于允许或拒绝访问所述访问接受装置的资源的响应,所述访问令牌是通过如下方式产生的:所述智能合约根据输入到所述区块链的访问控制规则判断所述访问请求装置是否能够访问所述访问接受装置,在判断为所述访问请求装置能够访问所述访问接受装置的情况下,向所述访问请求装置输出访问令牌。
根据本公开的另一方面,提供了一种物联网访问控制系统中的深度学习服务器,其中,所述深度学习服务器训练并更新神经网络模型,该神经网络模型输入物联网的配置并输出相应的访问控制规则,在最初配置所述物联网的配置参数和访问控制规则到区块链的情况下,所述深度学习服务器利用该配置参数和访问控制规则训练并更新所述神经网络模型,之后将更新后的神经网络模型保存到所述区块链的后续区块,在更新所述物联网的配置参数的情况下,所述区块链上的挖矿节点以更新后的配置参数为输入运行神经网络模型来生成访问控制规则,所述区块链上的智能合约利用生成的访问控制规则判断所述物联网访问控制系统中的访问请求装置是否能够访问访问接受装置。
根据本公开的另一方面,提供了一种物联网访问控制系统中的控制方法,所述物联网访问控制系统包括通过物联网连接的第一装置和第二装置,该控制方法包括如下步骤:所述第一装置向所述第二装置发送资源访问请求;所述第二装置接收来自所述第一装置的资源访问请求,并向所述第一装置发送与所述资源访问请求相应的重定向指令;所述第一装置从所述第二装置接收重定向指令,根据所述重定向指令调用区块链上的智能合约来获取访问令牌,向所述第二装置发送带所述访问令牌的访问请求;以及所述第二装置根据从所述第一装置接收的带访问令牌的访问请求,判断是否允许所述第一装置访问所述第二装置的资源,所述智能合约根据输入到所述区块链的访问控制规则判断所述第一装置是否能够访问所述第二装置,在判断为所述第一装置能够访问所述第二装置的情况下,输出所述访问令牌。
根据本公开的另一方面,提供了一种物联网访问控制系统中的访问请求装置中的控制方法,该访问请求装置通过物联网与访问接受装置连接,该控制方法包括如下步骤:向所述访问接受装置发送资源访问请求;从所述访问接受装置接收与所述资源访问请求相应的重定向指令;以及根据所述重定向指令调用区块链上的智能合约来获取访问令牌,向所述访问接受装置发送带所述访问令牌的访问请求,所述智能合约根据输入到所述区块链的访问控制规则判断所述访问请求装置是否能够访问所述访问接受装置,在判断为所述访问请求装置能够访问所述访问接受装置的情况下,输出所述访问令牌。
根据本公开的另一方面,提供了一种物联网访问控制系统中的访问接受装置中的控制方法,该访问接受装置通过物联网与访问请求装置连接,该控制方法包括如下步骤:接收来自所述访问请求装置的资源访问请求;向所述访问请求装置发送与所述资源访问请求相应的重定向指令;从所述访问请求装置接收带访问令牌的访问请求;以及向区块链上的智能合约发送所述访问令牌以检查所述访问令牌的合法性,并且根据检查结果向所述访问请求装置发送用于允许或拒绝访问所述访问接受装置的资源的响应,所述访问令牌是通过如下方式产生的:所述智能合约根据输入到所述区块链的访问控制规则判断所述访问请求装置是否能够访问所述访问接受装置,在判断为所述访问请求装置能够访问所述访问接受装置的情况下,向所述访问请求装置输出访问令牌。
根据本公开的另一方面,提供了一种物联网访问控制系统中的深度学习服务器中的控制方法,该控制方法包括:在最初配置所述物联网的配置参数和访问控制规则到区块链的情况下,所述深度学习服务器利用该配置参数和访问控制规则训练并更新神经网络模型,之后将更新后的神经网络模型保存到所述区块链的后续区块,其中,所述神经网络模型输入物联网的配置并输出相应的访问控制规则,在更新所述物联网的配置参数的情况下,所述区块链上的挖矿节点以更新后的配置参数为输入运行神经网络模型来生成访问控制规则,所述区块链上的智能合约利用生成的访问控制规则判断所述物联网访问控制系统中的访问请求装置是否能够访问访问接受装置。
根据本公开的另一方面,提供了一种计算机可读介质,其上存储有计算机可执行指令,所述计算机可执行指令在由一个或更多个处理器运行时使得所述一个或更多个处理器执行本公开记载的控制方法。
通过本公开的实施方式,能够实现基于深度学习和区块链的安全的轻量级物联网访问控制系统、装置和方法。
通过以下参照附图的对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施方式,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1是说明传统的访问控制结构的图。
图2是说明本公开的实施方式1的访问控制结构的图。
图3是说明装置A或装置B的内部结构的图。
图4是示出作为访问请求装置的装置A中的控制方法的一个例子的流程图。
图5是示出作为访问接受装置的装置B中的控制方法的一个例子的流程图。
图6是说明本公开的实施方式2的访问控制规则的生成的图。
图7是说明区块链的一般结构的图。
图8是说明本公开的实施方式3的区块链区块结构的图。
图9是说明可以实现根据本公开的实施方式的计算设备1000的示例性配置的图。
具体实施方式
在下文中,将参照附图详细地描述本公开内容的优选实施方式。注意,在本说明书和附图中,用相同的附图标记来表示具有基本上相同的功能和结构的结构元件,并且省略对这些结构元件的重复说明。
在本公开中,术语“第一”、“第二”等仅仅被用来在元件或步骤之间进行区分,而并不意图表示时间顺序、优先级或重要性。
实施方式1
首先,说明传统的访问控制结构。图1是说明传统的访问控制结构的图。在图1中,装置A和装置B是物联网上的节点,通过物联网连接,装置A是访问请求装置,装置B是访问接受装置,装置A请求访问装置B的资源。
如图1所示,在传统的访问控制中,在步骤S101,装置A向装置B发送包括用户名、密码等的资源访问请求以请求访问装置B的资源。装置B通过访问控制处理机制确定接受或拒绝装置A的访问请求。例如,装置B通过用户名、密码等验证装置A的访问权限,并据此确定接收或拒绝装置A的访问请求。然后在步骤S102,装置B向装置A发送表示接受或拒绝访问请求的信息。当访问请求被接受时,在步骤S103,装置A根据装置B的授权来访问装置B的资源。
这种传统的访问控制采用的是集中式架构和静态的安全访问控制策略。集中式架构存在单点故障和性能瓶颈问题。另一方面,在物联网设备端应用当前的访问控制解决方案非常困难,因为当前的方案需要大多数物联网设备所不具备的密集计算能力。与此同时,把身份验证和访问控制委托给第三方服务器会破坏了端到端的安全性,导致严重的安全问题。物联网系统需要一个适合其分布式特性的安全框架,由此用户可以控制自己的隐私及安全。
此外,在静态的访问控制策略模式下,管理人员以静态方式写入所有安全或访问控制规则。这种方法的主要缺点是这种策略会随着物联网设备数量增加而增加,以手动方式管理此策略引入的工作量极为庞大。
为了解决集中式架构存在的单点故障和性能瓶颈问题,本公开提出了基于区块链的安全框架的实现。
图2是说明本公开的实施方式1的访问控制结构的图。如图2所示,实施方式1的物联网访问控制系统包括装置A和装置B。装置A和装置B是物联网上的节点,通过物联网连接。装置A是访问请求装置,装置B是访问接受装置,装置A请求访问装置B的资源。也可以是装置B是访问请求装置,装置A是访问接受装置,装置B请求访问装置A的资源。也可以是装置A或装置B同时具有访问请求装置的功能和访问接受装置的功能。装置A对装置B的访问可以是读取数据或更改数据等动作。下面,作为一个例子,说明装置A是访问请求装置且装置B是访问接受装置的情况。
图3是说明装置A或装置B的内部结构的图。装置A包括发送单元31、接收单元32以及控制单元33。装置B的内部结构与装置A相同。
在作为访问请求装置的装置A中,发送单元31用于向装置B发送资源访问请求,接收单元32用于从装置B接收与资源访问请求相应的重定向指令,控制单元33根据重定向指令调用区块链上的智能合约来获取访问令牌,使发送单元31向装置B发送带访问令牌的访问请求。
在作为访问接受装置的装置B中,接收单元32用于接收来自装置A的资源访问请求,发送单元31用于向装置A发送与资源访问请求相应的重定向指令,控制单元33根据从装置A接收的带访问令牌的访问请求,判断是否允许装置A访问装置B的资源。
下面说明本公开的实施方式1的访问控制流程。
如图2所示,在步骤S201,装置A向装置B发送资源访问请求。
在步骤S202,装置B将请求重定向到区块链的智能合约,即发送与接收到的资源访问请求相应的重定向指令。
在步骤S203,装置A根据从装置B得到的重定向指令调用区块链上的智能合约。例如,装置A将调用请求发送到区块链上的授权管理点AMP(即区块链钱包),该点扮演策略执行点PEP(Policy Enforcement Point)的角色,以保护请求的对象。
在步骤S204,执行智能合约。例如,策略执行点PEP收到智能合约的调用请求后生成交易。该交易可以是GetAcess交易。交易包含装置A希望访问装置B等相关信息。策略执行点PEP将此交易广播到区块链上的所有挖矿节点,以便通过挖矿过程执行智能合约。
此外,在执行智能合约时,对智能合约输入访问控制规则。例如,智能合约被输入装置A是否有权访问装置B。
该访问控制规则可人为静态配置、神经网络生成、或者先由神经网络生成规则再人为修改访问控制规则,神经网络进而再学习人为修改的访问控制规则来生成新规则。在采用神经网络的情况下,随着访问控制规则的增加,神经网络越来越智能。
在步骤S205,通过智能合约被执行,确定装置A是否具有访问装置B的资源的权限。该过程可以是作为分布式策略决策点PDP(Policy Decision Point)的点通过区块链的智能合约来确定接受或拒绝访问请求。该智能合约可以是GrantAccess智能合约。
在步骤S206,当装置A不具有访问装置B的资源的权限时,向装置A发送表示拒绝请求的响应。
在步骤S207,当装置A具有访问装置B的资源的权限时,将所述交易增加到区块链中。
在步骤S208,向装置A发送访问令牌。区块链可以通过例如AllowAccess智能合约给装置A发送一个访问令牌。装置A保存该令牌,并在以后一直以该令牌作为访问装置B资源的钥匙。
上述步骤S201到步骤S208是信息注册过程,以下的步骤S209到步骤S211是信息访问过程。例如,对以太坊区块链来说,信息注册主要通过挖矿(以太坊产生新区块的周期约为12秒)过程完成,可能导致该过程周期较长。但该时间只是针对注册过程。一旦完成信息注册,后续过程不需引入额外时延。
在步骤S209中,装置A向装置B发送带访问令牌的访问请求。
在步骤S210中,装置B在接收到带访问令牌的访问请求时,向智能合约发送访问令牌以检查访问令牌的合法性。
在步骤S211中,装置B根据检查结果向装置A发送用于允许或拒绝访问装置A的资源的响应。当允许装置A进行资源访问时,装置A进行对装置B的资源访问。
应当理解,本公开的技术方案可以不限于上述步骤,可以包括附加的步骤或删除一些步骤,以及步骤的顺序可以不同。并且本公开的技术方案不需要执行上述所有步骤,在为了特定的一个或多个目的时可以仅执行一部分步骤。
图4是示出作为访问请求装置的装置A中的控制方法的一个例子的流程图。
如图4所示,在步骤S401中,向装置B发送资源访问请求。
在步骤S402中,从装置B接收与资源访问请求相应的重定向指令。
在步骤S403中,根据重定向指令调用区块链上的智能合约。
在步骤S404中,智能合约根据输入到区块链的访问控制规则判断装置A是否能够访问装置B。
在步骤S405中,在智能合约判断为装置A能够访问装置B的情况下,从智能合约获取访问令牌。
在步骤S406中,向装置B发送带访问令牌的访问请求。
图5是示出作为访问接受装置的装置B中的控制方法的一个例子的流程图。
如图5所示,在步骤S501中,接收来自装置A的资源访问请求。
在步骤S502中,向装置A发送与资源访问请求相应的重定向指令。
在步骤S503中,从装置A接收带访问令牌的访问请求。
在步骤S504中,向区块链上的智能合约发送访问令牌以检查访问令牌的合法性。
在步骤S505中,根据合法性的检查结果向装置A发送用于允许或拒绝访问装置B的资源的响应。
实施方式2
在本实施方式中,作为在执行智能合约时对智能合约输入访问控制规则的优选方式,说明访问控制规则的智能生成。
由于物联网设备种类及数量非常庞大,设备之间的关系非常复杂,传统的访问控制规则输入方法通过手工配置完成,因此配置物联网系统的安全规则非常具有挑战性。
在本实施方式中,为了解决这一问题,通过引入深度神经网络(DNN)进行安全系统的管理和配置,并进一步把传感器之间的关系简化为可读、可写、可授权等几种类型。DNN通过在线学习训练,能够在新批次的标记数据到达时自适应地学习模型参数,而无需从头开始重新训练模型。
本公开的实施方式2的物联网访问控制系统在实施方式1的物联网访问控制系统的结构的基础上进一步包括深度学习服务器。该深度学习服务器训练并更新神经网络模型,该神经网络模型输入物联网的配置并输出相应的访问控制规则。
图6是说明本公开的实施方式2的访问控制规则的生成的图。如图6所示,在实施方式2的物联网访问控制系统中,在最初配置物联网的配置参数和访问控制规则到区块链的情况下,深度学习服务器利用该配置参数和访问控制规则训练并更新神经网络模型,之后将更新后的神经网络模型保存到区块链的后续区块。
在更新物联网的配置参数的情况下,区块链上的挖矿节点以更新后的配置参数为输入运行神经网络模型来生成访问控制规则。
区块链上的智能合约利用生成的访问控制规则判断装置A是否能够访问装置B。
此外,作为一个例子,用户能够修改存储在区块链中的通过运行神经网络模型来生成的访问控制规则,在用户修改访问控制规则的情况下,深度学习服务器利用修改后的访问控制规则训练并更新神经网络模型。
此外,作为一个例子,在用户修改访问控制规则的情况下,深度学习服务器将更新后的神经网络模型保存到区块链的后续区块。
下面参照图6说明本公开的实施方式2的生成访问控制规则的流程。
首先,在步骤S601中,布署物联网N(N为自然数)。该布置包括安装物联网设备、配置物联网参数等动作。在步骤S602中,配置物联网N的访问控制规则。访问控制规则和物联网参数被保存到区块链。
在步骤S603中,区块链把物联网数据加入新区块,并上传给物联网安全深度学习服务器。
在步骤S604中,深度学习服务器把这部分数据输入神经网络,对神经网络进行训练,更新神经网络模型。
在步骤S605中,将更新后的神经网络模型保存到区块链的后续区块。
在步骤S606中,布署物联网N+K(K为自然数)。与步骤S601不同的是,在布署物联网之后不需要人工配置访问控制规则,通过神经网络模型生成。
在步骤S607中,布署后续物联网设备和应用时,布署节点提取相关布署参数,提交给区块链挖矿节点。挖矿节点以物联网参数作为输入参数运行神经网络模型,模型输出即为物联网安全规则。
此外,如步骤S608所示,管理员或用户可修改生成的规则。
在步骤S609中,如果管理员或用户修改了访问控制配置,则配置参数进一步上传到深度学习服务器,以便神经网络进一步训练。
此外,在步骤S609之后,还可以将深度学习服务器更新后的神经网络模型保存到区块链的后续区块。
应当理解,本公开的技术方案可以不限于上述步骤,可以包括附加的步骤或删除一些步骤,以及步骤的顺序可以不同。并且本公开的技术方案不需要执行上述所有步骤,在为了特定的一个或多个目的时可以仅执行一部分步骤。
深度学习服务器的目的是替代人来完成物联网安全配置工作,从而减少大量简单重复性劳动。神经网络质量随训练数据的增加而提高,前K个区块链的数据对神经网络进行训练,随后通过在线学习,边训练边生成物联网访问控制规则。因此,根据本公开的实施方式2,能够解决传统的通过手工配置完成访问控制规则输入的方法中存在的工作量庞大、效率过低的问题.
实施方式3
在本实施方式中,说明在区块链中存储访问控制规则的优选方式。
区块链本质上是一种分布式账本,用户无法对区块链中的数据做修改。而在本公开的技术方案中,允许用户对通过神经网络生成的访问控制规则进行修改。下面参照附图说明本公开的访问控制规则的修改方法。
图7是说明区块链的一般结构的图。其中,Tx_Root是包括交易0~3的默克尔树结构的默克尔根哈希值。区块链通过默克儿树结构确保数据的完整性和不可篡改性。
图8是说明本实施方式的区块链区块结构的图。本实施方式的区块结构能够允许用户对区块链数据进行修改。图8中的IoT_Cfg、IoT_Security和IoT_AI是类似于图7中的Tx_Root的默克儿根哈希值。IoT_Cfg对应于物联网配置信息,IoT_Security对应于基于该物联网配置信息的安全访问规则。IoT_AI对应于神经网络模型。
此外,在本实施方式中,默克尔树可以是二叉树,也可以是多叉树。
如图8所示,在本实施方式中,区块链的各个区块包括形成默克尔树结构的物联网的配置参数的默克尔根哈希值IoT_Cfg和形成默克尔树结构的访问控制规则的默克尔根哈希值IoT_Security。
在区块链的第N-1区块中存储有当前的物联网的配置参数和访问控制规则,第N-1区块的IoT_Cfg是当前的物联网的配置参数的默克尔根哈希值,第N-1区块的IoT_Security是当前的访问控制规则的默克尔根哈希值,其中,N是大于1的自然数。
在更新了物联网的配置参数的情况下,区块链的挖矿节点以更新后的物联网的配置参数为输入来运行神经网络模型,由此获取更新后的访问控制规则,将更新后的配置参数和更新后的访问控制规则存储到区块链中的第N区块中,第N区块的IoT_Cfg是更新后的配置参数的默克尔根哈希值,第N区块的IoT_Security是更新后的访问控制规则的默克尔根哈希值。
在用户修改访问控制规则的情况下,将修改后的访问控制规则存储到区块链中的第N+1区块,第N+1区块的IoT_Security是修改后的访问控制规则的默克尔根哈希值。
此外,作为一个例子,访问控制规则形成多叉树的默克尔树结构,该默克尔树的每个节点对应一个安全规则,在用户修改访问控制规则的情况下,如果用户修改的是访问控制规则的默克尔树的某一个节点的安全规则,则将修改后的安全规则存储到第N+1区块,并重新计算该修改后的安全规则的哈希值,根据重新计算的哈希值重新计算该修改后的安全规则的父节点的哈希值,反复进行这样的重新计算,直到重新计算该默克尔树的根的哈希值为止,然后将重新计算的根的哈希值设为第N+1区块的IoT_Security值。
此外,作为一个例子,区块链的各个区块还可以包括形成默克尔树结构的神经网络模型的默克尔根哈希值IoT_AI。
在第N-1区块中存储有当前的神经网络模型,第N-1区块的IoT_AI是当前的神经网络模型的默克尔根哈希值。
在用户修改访问控制规则的情况下,深度学习服务器更新神经网络模型之后,将更新后的神经网络模型存储到区块链中的第N+1区块,第N+1区块的IoT_AI是更新后的神经网络模型的默克尔根哈希值。
下面,作为一个例子,参照图8说明本公开的实施方式3的深度学习区块链的组织步骤。
(1)布署物联网N-1以后,物联网的布署信息通过注册机制注册到区块链的区块N-1。
(2)区块链保存该信息到IoT_Cfg的交易记录中,并计算其IoT_Cfg的默克儿值。
(3)挖矿结点以物联网的布署信息作为输入,在挖矿结点运行AI模型,输出物联网访问控制规则,这些访问控制规则存储在区块N中。
(4)用户或安全管理员检查访问控制规则,如果该规则满足要求,用户可以进一步修改访问配置规则,修改后的访问控制规则存储在区块N+1中。
此外,作为一个例子,访问控制规则通过多叉树的默克儿树数据结构组织。如图8所示,Iot_Security包括三条交易记录,分别是记录1、记录2、记录3。每条交易记录对应特定的物联网配置,分别是物联网1、物联网2、物联网3。
例如,物联网3包括三条安全规则,分别是安全规则4、安全规则5。每条安全规则又可以进一步分成子规则,例如规则5可以分成子规则6、子规则7、子规则8。以此类推。
挖矿结点生成安全规则以后,用户检查安全规则。如果用户对安全规则不满意,可对安全规则做修改。例如用户对安全规则8不满意,修改安全规则8以后得到安全规则8_1,修改后的规则保存到区块N+1中。
在区块N+1中,新的安全规则为规则6、规则7、规则8_1。根据新安全规则重新计算默克儿哈希值得到安全规则存储根Hash 5_1,再进一步重新计算默克儿哈希值3_1,以及IoT_Security 3。以此类推。
图9示出了可以实现根据本公开的实施方式的计算设备1000的示例性配置。计算设备1000是可以应用本公开的上述方面的硬件设备的实例。计算设备1000可以是被配置为执行处理和/或计算的任何机器。计算设备1000可以是但不限制于工作站、服务器、台式计算机、膝上型计算机、平板计算机、个人数据助手(PDA)、智能电话、车载计算机或以上组合。
如图9所示,计算设备1000可以包括可能经由一个或多个接口与总线1002连接或通信的一个或多个元件。总线1002可以包括但不限于,工业标准架构(IndustryStandardArchitecture,ISA)总线、微通道架构(Micro Channel Architecture,MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)局部总线、以及外设组件互连(PCI)总线等。计算设备1000可以包括例如一个或多个处理器1004、一个或多个输入设备1006、以及一个或多个输出设备1008。一个或多个处理器1004可以是任何种类的处理器,并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。输入设备1006可以是能够向计算设备输入信息的任何类型的输入设备,并且可以包括但不限于鼠标、键盘、触摸屏、麦克风和/或远程控制器。输出设备1008可以是能够呈现信息的任何类型的设备,并且可以包括但不限于显示器、扬声器、视频/音频输出终端、振动器和/或打印机。
计算设备1000还可以包括或被连接至非暂态存储设备1014,该非暂态存储设备1014可以是任何非暂态的并且可以实现数据存储的存储设备,并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、缓存存储器和/或任何其他存储芯片或模块、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。计算设备1000还可以包括随机存取存储器(RAM)1010和只读存储器(ROM)1012。ROM 1012可以以非易失性方式存储待执行的程序、实用程序或进程。RAM 1010可提供易失性数据存储,并存储与计算设备1000的操作相关的指令。计算设备1000还可包括耦接至数据链路1018的网络/总线接口1016。网络/总线接口1016可以是能够启用与外部装置和/或网络通信的任何种类的设备或系统,并且可以包括但不限于调制解调器、网络卡、红外线通信设备、无线通信设备和/或芯片集(诸如蓝牙TM设备、1302.11设备、WiFi设备、WiMax设备、蜂窝通信设施等)。
可单独地或以任何组合方式来使用前述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实现前述实施方案的各个方面。
例如,前述实施方案可体现为计算机可读介质上的计算机可读代码。计算机可读介质为可存储数据的任何数据存储设备,所述数据其后可由计算机系统读取。计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、DVD、磁带、硬盘驱动器、固态驱动器和光学数据存储设备。计算机可读介质还可分布在网络耦接的计算机系统中使得计算机可读代码以分布式方式来存储和执行。
例如,前述实施方案可采用硬件电路的形式。硬件电路可以包括组合式逻辑电路、时钟存储设备(诸如软盘、触发器、锁存器等)、有限状态机、诸如静态随机存取存储器或嵌入式动态随机存取存储器的存储器、定制设计电路、可编程逻辑阵列等的任意组合。
在一个实施方案中,可以通过用诸如Verilog或VHDL的硬件描述语言(HDL)编码电路描述来实现根据本公开的硬件电路。可以针对给定集成电路制造技术设计的单元库合成HDL描述,并可以出于定时、功率和其他原因修改,以获得最终的设计数据库,可以将最终的设计数据库传输到工厂以通过半导体制造系统生产集成电路。半导体制造系统可通过(例如在可包括掩膜的晶片上)沉积半导体材料、移除材料、改变所沉积材料的形状、(例如通过掺杂材料或利用紫外处理修改介电常数)对材料改性等等来生产集成电路。集成电路可以包括晶体管并还可以包括其他电路元件(例如,诸如电容器、电阻器、电感器等无源元件)以及晶体管和电路元件之间的互连。一些实施方案可以实现耦接在一起的多个集成电路,以实现硬件电路,和/或可以在一些实施方案中使用离散元件。
虽然已通过示例详细展示了本发明的一些具体实施例,但是本领域技术人员应当理解,上述示例仅意图是说明性的而不限制本发明的范围。本领域技术人员应该理解,上述实施例可以在不脱离本发明的范围和实质的情况下被修改。本发明的范围是通过所附的权利要求限定的。
Claims (31)
1.一种物联网访问控制系统,包括通过物联网连接的第一装置和第二装置,其中,
所述第一装置包括:
第一发送单元,用于向所述第二装置发送资源访问请求;
第一接收单元,用于从所述第二装置接收与所述资源访问请求相应的重定向指令;以及
第一控制单元,根据所述重定向指令调用区块链上的智能合约来获取访问令牌,使所述第一发送单元向所述第二装置发送带所述访问令牌的访问请求,
所述第二装置包括:
第二接收单元,用于接收来自所述第一装置的资源访问请求;
第二发送单元,用于向所述第一装置发送与所述资源访问请求相应的重定向指令;以及
第二控制单元,根据从所述第一装置接收的带访问令牌的访问请求,判断是否允许所述第一装置访问所述第二装置的资源,
所述智能合约根据输入到所述区块链的访问控制规则判断所述第一装置是否能够访问所述第二装置,在判断为所述第一装置能够访问所述第二装置的情况下,输出所述访问令牌。
2.根据权利要求1所述的物联网访问控制系统,其中,
所述第二装置向所述智能合约发送所述访问令牌以检查所述访问令牌的合法性,并且根据检查结果向所述第一装置发送用于允许或拒绝访问第二装置的资源的响应。
3.根据权利要求1所述的物联网访问控制系统,其中,
所述区块链在从所述第一控制单元接收到所述智能合约的调用请求后生成交易,并将该交易广播到区块链上的所有节点以使得所述智能合约被区块链上的节点执行,通过所述智能合约的执行来确定所述第一装置是否具有访问第二装置的资源的权限,
当所述第一装置具有访问第二装置的资源的权限时,将所述交易信息增加到所述区块链中,并且向所述第一装置发送所述访问令牌,
当所述第一装置不具有访问第二装置的资源的权限时,向所述第一装置发送表示对所述资源访问请求的拒绝的响应。
4.根据权利要求1所述的物联网访问控制系统,其中,
所述访问控制规则通过如下方式之一产生:由用户输入;由神经网络模型生成;先由神经网络模型生成并经过人为修改来进行学习,然后再由学习后的神经网络模型生成。
5.根据权利要求1所述的物联网访问控制系统,其中,
所述物联网访问控制系统还包括训练并更新神经网络模型的深度学习服务器,该神经网络模型输入物联网的配置并输出相应的访问控制规则,
在最初配置所述物联网的配置参数和访问控制规则到所述区块链的情况下,所述深度学习服务器利用该配置参数和访问控制规则训练并更新所述神经网络模型,之后将更新后的神经网络模型保存到所述区块链的后续区块,
在更新所述物联网的配置参数的情况下,所述区块链上的挖矿节点以更新后的配置参数为输入运行神经网络模型来生成访问控制规则,
所述智能合约利用生成的访问控制规则判断所述第一装置是否能够访问所述第二装置。
6.根据权利要求5所述的物联网访问控制系统,其中,
用户能够修改存储在所述区块链中的通过运行神经网络模型来生成的访问控制规则,
在用户修改访问控制规则的情况下,所述深度学习服务器利用修改后的访问控制规则训练并更新所述神经网络模型。
7.根据权利要求6所述的物联网访问控制系统,其中,
在用户修改访问控制规则的情况下,所述深度学习服务器将更新后的神经网络模型保存到所述区块链的后续区块。
8.根据权利要求6或7所述的物联网访问控制系统,其中,
所述区块链的各个区块包括形成默克尔树结构的物联网的配置参数的默克尔根哈希值IoT_Cfg和形成默克尔树结构的访问控制规则的默克尔根哈希值IoT_Security,
在所述区块链的第N-1区块中存储有当前的物联网的配置参数和访问控制规则,所述第N-1区块的IoT_Cfg是当前的物联网的配置参数的默克尔根哈希值,所述第N-1区块的IoT_Security是当前的访问控制规则的默克尔根哈希值,其中,N是大于1的自然数,
在更新了所述物联网的配置参数的情况下,所述区块链的挖矿节点以更新后的物联网的配置参数为输入来运行所述神经网络模型,由此获取更新后的访问控制规则,将更新后的配置参数和更新后的访问控制规则存储到所述区块链中的第N区块中,所述第N区块的IoT_Cfg是更新后的配置参数的默克尔根哈希值,所述第N区块的IoT_Security是更新后的访问控制规则的默克尔根哈希值,
在用户修改访问控制规则的情况下,将修改后的访问控制规则存储到所述区块链中的第N+1区块,所述第N+1区块的IoT_Security是修改后的访问控制规则的默克尔根哈希值。
9.根据权利要求8所述的物联网访问控制系统,其中,
所述访问控制规则形成多叉树的默克尔树结构,该默克尔树的每个节点对应一个安全规则,
在用户修改访问控制规则的情况下,如果用户修改的是访问控制规则的默克尔树的某一个节点的安全规则,则将修改后的安全规则存储到所述第N+1区块,并重新计算该修改后的安全规则的哈希值,根据重新计算的哈希值重新计算该修改后的安全规则的父节点的哈希值,反复进行这样的重新计算,直到重新计算该默克尔树的根的哈希值为止,然后将重新计算的根的哈希值设为所述第N+1区块的IoT_Security值。
10.根据权利要求8所述的物联网访问控制系统,其中,
所述区块链的各个区块包括形成默克尔树结构的神经网络模型的默克尔根哈希值IoT_AI,
在所述第N-1区块中存储有当前的神经网络模型,所述第N-1区块的IoT_AI是当前的神经网络模型的默克尔根哈希值,
在用户修改访问控制规则的情况下,所述深度学习服务器更新神经网络模型之后,将更新后的神经网络模型存储到所述区块链中的第N+1区块,所述第N+1区块的IoT_AI是更新后的神经网络模型的默克尔根哈希值。
11.一种物联网访问控制系统中的访问请求装置,通过物联网与访问接受装置连接,包括:
第一发送单元,用于向所述访问接受装置发送资源访问请求;
第一接收单元,用于从所述访问接受装置接收与所述资源访问请求相应的重定向指令;以及
第一控制单元,根据所述重定向指令调用区块链上的智能合约来获取访问令牌,使所述第一发送单元向所述访问接受装置发送带所述访问令牌的访问请求,
所述智能合约根据输入到所述区块链的访问控制规则判断所述访问请求装置是否能够访问所述访问接受装置,在判断为所述访问请求装置能够访问所述访问接受装置的情况下,输出所述访问令牌。
12.一种物联网访问控制系统中的访问接受装置,通过物联网与访问请求装置连接,包括:
第二接收单元,用于接收来自所述访问请求装置的资源访问请求;
第二发送单元,用于向所述访问请求装置发送与所述资源访问请求相应的重定向指令;以及
第二控制单元,从所述访问请求装置接收带访问令牌的访问请求,向区块链上的智能合约发送所述访问令牌以检查所述访问令牌的合法性,并且根据检查结果向所述访问请求装置发送用于允许或拒绝访问所述访问接受装置的资源的响应,
所述访问令牌是通过如下方式产生的:所述智能合约根据输入到所述区块链的访问控制规则判断所述访问请求装置是否能够访问所述访问接受装置,在判断为所述访问请求装置能够访问所述访问接受装置的情况下,向所述访问请求装置输出访问令牌。
13.一种物联网访问控制系统中的深度学习服务器,其中,
所述深度学习服务器训练并更新神经网络模型,该神经网络模型输入物联网的配置并输出相应的访问控制规则,
在最初配置所述物联网的配置参数和访问控制规则到区块链的情况下,所述深度学习服务器利用该配置参数和访问控制规则训练并更新所述神经网络模型,之后将更新后的神经网络模型保存到所述区块链的后续区块,
在更新所述物联网的配置参数的情况下,所述区块链上的挖矿节点以更新后的配置参数为输入运行神经网络模型来生成访问控制规则,
所述区块链上的智能合约利用生成的访问控制规则判断所述物联网访问控制系统中的访问请求装置是否能够访问访问接受装置。
14.根据权利要求13所述的深度学习服务器,其中,
用户能够修改存储在所述区块链中的通过运行神经网络模型来生成的访问控制规则,
在用户修改访问控制规则的情况下,所述深度学习服务器利用修改后的访问控制规则训练并更新所述神经网络模型。
15.根据权利要求14所述的深度学习服务器,其中,
在用户修改访问控制规则的情况下,所述深度学习服务器将更新后的神经网络模型保存到所述区块链的后续区块。
16.一种物联网访问控制系统中的控制方法,所述物联网访问控制系统包括通过物联网连接的第一装置和第二装置,该控制方法包括如下步骤:
所述第一装置向所述第二装置发送资源访问请求;
所述第二装置接收来自所述第一装置的资源访问请求,并向所述第一装置发送与所述资源访问请求相应的重定向指令;
所述第一装置从所述第二装置接收重定向指令,根据所述重定向指令调用区块链上的智能合约来获取访问令牌,向所述第二装置发送带所述访问令牌的访问请求;以及
所述第二装置根据从所述第一装置接收的带访问令牌的访问请求,判断是否允许所述第一装置访问所述第二装置的资源,
所述智能合约根据输入到所述区块链的访问控制规则判断所述第一装置是否能够访问所述第二装置,在判断为所述第一装置能够访问所述第二装置的情况下,输出所述访问令牌。
17.根据权利要求16所述的控制方法,其中,
所述第二装置向所述智能合约发送所述访问令牌以检查所述访问令牌的合法性,并且根据检查结果向所述第一装置发送用于允许或拒绝访问第二装置的资源的响应。
18.根据权利要求16所述的控制方法,其中,
所述区块链在从所述第一控制单元接收到所述智能合约的调用请求后生成交易,并将该交易广播到区块链上的所有节点以使得所述智能合约被区块链上的节点执行,通过所述智能合约的执行来确定所述第一装置是否具有访问第二装置的资源的权限,
当所述第一装置具有访问第二装置的资源的权限时,将所述交易信息增加到所述区块链中,并且向所述第一装置发送所述访问令牌,
当所述第一装置不具有访问第二装置的资源的权限时,向所述第一装置发送表示对所述资源访问请求的拒绝的响应。
19.根据权利要求16所述的控制方法,其中,
所述访问控制规则通过如下方式之一产生:由用户输入;由神经网络模型生成;先由神经网络模型生成并经过人为修改来进行学习,然后再由学习后的神经网络模型生成。
20.根据权利要求16所述的控制方法,其中,
所述物联网访问控制系统还包括训练并更新神经网络模型的深度学习服务器,该神经网络模型输入物联网的配置并输出相应的访问控制规则,
在最初配置所述物联网的配置参数和访问控制规则到所述区块链的情况下,所述深度学习服务器利用该配置参数和访问控制规则训练并更新所述神经网络模型,之后将更新后的神经网络模型保存到所述区块链的后续区块,
在更新所述物联网的配置参数的情况下,所述区块链上的挖矿节点以更新后的配置参数为输入运行神经网络模型来生成访问控制规则,
所述智能合约利用生成的访问控制规则判断所述第一装置是否能够访问所述第二装置。
21.根据权利要求20所述的控制方法,其中,
用户能够修改存储在所述区块链中的通过运行神经网络模型来生成的访问控制规则,
在用户修改访问控制规则的情况下,所述深度学习服务器利用修改后的访问控制规则训练并更新所述神经网络模型。
22.根据权利要求21所述的控制方法,其中,
在用户修改访问控制规则的情况下,所述深度学习服务器将更新后的神经网络模型保存到所述区块链的后续区块。
23.根据权利要求21或22所述的控制方法,其中,
所述区块链的各个区块包括形成默克尔树结构的物联网的配置参数的默克尔根哈希值IoT_Cfg和形成默克尔树结构的访问控制规则的默克尔根哈希值IoT_Security,
在所述区块链的第N-1区块中存储有当前的物联网的配置参数和访问控制规则,所述第N-1区块的IoT_Cfg是当前的物联网的配置参数的默克尔根哈希值,所述第N-1区块的IoT_Security是当前的访问控制规则的默克尔根哈希值,其中,N是大于1的自然数,
在更新了所述物联网的配置参数的情况下,所述区块链的挖矿节点以更新后的物联网的配置参数为输入来运行所述神经网络模型,由此获取更新后的访问控制规则,将更新后的配置参数和更新后的访问控制规则存储到所述区块链中的第N区块中,所述第N区块的IoT_Cfg是更新后的配置参数的默克尔根哈希值,所述第N区块的IoT_Security是更新后的访问控制规则的默克尔根哈希值,
在用户修改访问控制规则的情况下,将修改后的访问控制规则存储到所述区块链中的第N+1区块,所述第N+1区块的IoT_Security是修改后的访问控制规则的默克尔根哈希值。
24.根据权利要求23所述的控制方法,其中,
所述访问控制规则形成多叉树的默克尔树结构,该默克尔树的每个节点对应一个安全规则,
在用户修改访问控制规则的情况下,如果用户修改的是访问控制规则的默克尔树的某一个节点的安全规则,则将修改后的安全规则存储到所述第N+1区块,并重新计算该修改后的安全规则的哈希值,根据重新计算的哈希值重新计算该修改后的安全规则的父节点的哈希值,反复进行这样的重新计算,直到重新计算该默克尔树的根的哈希值为止,然后将重新计算的根的哈希值设为所述第N+1区块的IoT_Security值。
25.根据权利要求23所述的控制方法,其中,
所述区块链的各个区块包括形成默克尔树结构的神经网络模型的默克尔根哈希值IoT_AI,
在所述第N-1区块中存储有当前的神经网络模型,所述第N-1区块的IoT_AI是当前的神经网络模型的默克尔根哈希值,
在用户修改访问控制规则的情况下,所述深度学习服务器更新神经网络模型之后,将更新后的神经网络模型存储到所述区块链中的第N+1区块,所述第N+1区块的IoT_AI是更新后的神经网络模型的默克尔根哈希值。
26.一种物联网访问控制系统中的访问请求装置中的控制方法,该访问请求装置通过物联网与访问接受装置连接,该控制方法包括如下步骤:
向所述访问接受装置发送资源访问请求;
从所述访问接受装置接收与所述资源访问请求相应的重定向指令;以及
根据所述重定向指令调用区块链上的智能合约来获取访问令牌,向所述访问接受装置发送带所述访问令牌的访问请求,
所述智能合约根据输入到所述区块链的访问控制规则判断所述访问请求装置是否能够访问所述访问接受装置,在判断为所述访问请求装置能够访问所述访问接受装置的情况下,输出所述访问令牌。
27.一种物联网访问控制系统中的访问接受装置中的控制方法,该访问接受装置通过物联网与访问请求装置连接,该控制方法包括如下步骤:
接收来自所述访问请求装置的资源访问请求;
向所述访问请求装置发送与所述资源访问请求相应的重定向指令;
从所述访问请求装置接收带访问令牌的访问请求;以及
向区块链上的智能合约发送所述访问令牌以检查所述访问令牌的合法性,并且根据检查结果向所述访问请求装置发送用于允许或拒绝访问所述访问接受装置的资源的响应,
所述访问令牌是通过如下方式产生的:所述智能合约根据输入到所述区块链的访问控制规则判断所述访问请求装置是否能够访问所述访问接受装置,在判断为所述访问请求装置能够访问所述访问接受装置的情况下,向所述访问请求装置输出访问令牌。
28.一种物联网访问控制系统中的深度学习服务器中的控制方法,该控制方法包括:
在最初配置所述物联网的配置参数和访问控制规则到区块链的情况下,所述深度学习服务器利用该配置参数和访问控制规则训练并更新神经网络模型,之后将更新后的神经网络模型保存到所述区块链的后续区块,其中,所述神经网络模型输入物联网的配置并输出相应的访问控制规则,
在更新所述物联网的配置参数的情况下,所述区块链上的挖矿节点以更新后的配置参数为输入运行神经网络模型来生成访问控制规则,
所述区块链上的智能合约利用生成的访问控制规则判断所述物联网访问控制系统中的访问请求装置是否能够访问访问接受装置。
29.根据权利要求28所述的控制方法,其中,
用户能够修改存储在所述区块链中的通过运行神经网络模型来生成的访问控制规则,
在用户修改访问控制规则的情况下,所述深度学习服务器利用修改后的访问控制规则训练并更新所述神经网络模型。
30.根据权利要求29所述的控制方法,其中,
在用户修改访问控制规则的情况下,所述深度学习服务器将更新后的神经网络模型保存到所述区块链的后续区块。
31.一种计算机可读介质,其上存储有计算机可执行指令,所述计算机可执行指令在由一个或更多个处理器运行时使得所述一个或更多个处理器执行根据权利要求16~30中的任意一个所述的控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911377532.6A CN113055349A (zh) | 2019-12-27 | 2019-12-27 | 物联网安全自动配置方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911377532.6A CN113055349A (zh) | 2019-12-27 | 2019-12-27 | 物联网安全自动配置方法与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113055349A true CN113055349A (zh) | 2021-06-29 |
Family
ID=76506394
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911377532.6A Pending CN113055349A (zh) | 2019-12-27 | 2019-12-27 | 物联网安全自动配置方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113055349A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124428A (zh) * | 2021-07-21 | 2022-03-01 | 远光软件股份有限公司 | 基于区块链的物联网设备的访问方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109617896A (zh) * | 2018-12-28 | 2019-04-12 | 浙江省公众信息产业有限公司 | 一种基于智能合约的物联网访问控制方法和系统 |
| KR101992963B1 (ko) * | 2018-11-20 | 2019-06-26 | 주식회사 넷앤드 | 머신러닝을 통한 화이트리스트 명령어 정책 자동 생성 시스템 |
-
2019
- 2019-12-27 CN CN201911377532.6A patent/CN113055349A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101992963B1 (ko) * | 2018-11-20 | 2019-06-26 | 주식회사 넷앤드 | 머신러닝을 통한 화이트리스트 명령어 정책 자동 생성 시스템 |
| CN109617896A (zh) * | 2018-12-28 | 2019-04-12 | 浙江省公众信息产业有限公司 | 一种基于智能合约的物联网访问控制方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 梅颖;: "基于区块链的物联网访问控制简化模型构建", 中国传媒大学学报(自然科学版), no. 05, 25 October 2017 (2017-10-25) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124428A (zh) * | 2021-07-21 | 2022-03-01 | 远光软件股份有限公司 | 基于区块链的物联网设备的访问方法及装置 |
| CN114124428B (zh) * | 2021-07-21 | 2024-01-12 | 远光软件股份有限公司 | 基于区块链的物联网设备的访问方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109617896B (zh) | 一种基于智能合约的物联网访问控制方法和系统 | |
| US10055561B2 (en) | Identity risk score generation and implementation | |
| CN107426169A (zh) | 一种基于权限的业务处理方法及装置 | |
| US11553000B2 (en) | Systems and methods for using namespaces to access computing resources | |
| US20180260921A1 (en) | Remote machine operation through distributed permissioning | |
| US11153327B2 (en) | Data classification and access control for cloud based data | |
| CN112583810B (zh) | 一种基于上下文的虚拟网络零信任方法 | |
| CN113676455B (zh) | 一种自适应跨域访问认证方法、系统、终端以及存储介质 | |
| TWI814556B (zh) | 一種模型保護方法、資料處理方法、裝置、設備及介質 | |
| EP3834116A1 (en) | System and method for accessing a data repository | |
| CN113055349A (zh) | 物联网安全自动配置方法与系统 | |
| CN114417278A (zh) | 一种接口统一管理系统和平台接口管理系统 | |
| US8635692B2 (en) | System and method for user friendly detection of spammers | |
| WO2023241366A1 (zh) | 数据处理方法、系统、电子设备及计算机可读存储介质 | |
| CN111355583B (zh) | 一种业务提供系统、方法、装置、电子设备及存储介质 | |
| CN116506206A (zh) | 基于零信任网络用户的大数据行为分析方法及系统 | |
| CN113497735A (zh) | 开放接口的管理方法、电子设备以及存储介质 | |
| WO2021147652A1 (zh) | 一种权限管理的方法及装置 | |
| CN113489738B (zh) | 一种宽带账号的违规处理方法、装置、设备和介质 | |
| US11212292B2 (en) | Network access control authorization process chaining | |
| US11431711B2 (en) | Method, device and computer program product for service access | |
| Katevas et al. | Policy-based federated learning | |
| US20200081995A1 (en) | Data-centric approach to analysis | |
| CN112671569B (zh) | 一种基于配置分级的网络管理方法和系统 | |
| CN113641966B (zh) | 一种应用集成方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |