CN113507370A - 基于区块链的林业物联网设备授权认证访问控制方法 - Google Patents

基于区块链的林业物联网设备授权认证访问控制方法 Download PDF

Info

Publication number
CN113507370A
CN113507370A CN202110707398.2A CN202110707398A CN113507370A CN 113507370 A CN113507370 A CN 113507370A CN 202110707398 A CN202110707398 A CN 202110707398A CN 113507370 A CN113507370 A CN 113507370A
Authority
CN
China
Prior art keywords
internet
things
equipment
access
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110707398.2A
Other languages
English (en)
Other versions
CN113507370B (zh
Inventor
梁志宏
秦明明
郭致昌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southwest Forestry University
Original Assignee
Southwest Forestry University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southwest Forestry University filed Critical Southwest Forestry University
Priority to CN202110707398.2A priority Critical patent/CN113507370B/zh
Publication of CN113507370A publication Critical patent/CN113507370A/zh
Application granted granted Critical
Publication of CN113507370B publication Critical patent/CN113507370B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了基于区块链的林业物联网设备授权认证访问控制方法,包括:第一物联网设备发送授权认证请求至可信授权认证中心;基于授权认证请求,可信授权认证中心对第一物联网设备的设备ID进行加密,生成数字证书颁发指令,获得第一物联网设备的数字证书,并将数字证书的交易信息发送至第一物联网设备;第一物联网设备收到数字证书后,向目标访问物联网设备所在区域的第二协调器发送访问目标访问物联网设备的访问请求;第二协调器解析访问请求,根据解析后的访问请求,允许第一物联网设备访问控制目标访问物联网设备。本发明利用区块链技术,物联网设备主要设备签名正确,通过验证后才获得数字证书,提高了授权可信性高。

Description

基于区块链的林业物联网设备授权认证访问控制方法
技术领域
本发明属于通信技术领域,更具体地,涉及一种基于区块链的林业物联网设备授权认证访问控制方法。
背景技术
随着物联网技术的发展,越来越多的领域开始运用物联网设备。随着智慧林业的发展,人们开始将物联网技术与传统林业结合,利用林业物联网设备进行林业数据的采集、传输及通信等。由于林业物联网设备存在设备数量多、设备异构等特性,以及部署环境多存在于野外缺少人工监督,物联网应用的安全性就尤为重要,其中就涉及到设备和传输数据的隐私保护问题。由于传统的林业物联网设备野外应用布置局域较广、设备本身计算存储能力弱、设备结构异构多样等限制,无法在设备上运行复杂的授权认证访问控制策略,常采用集中式的第三方实体授权,设备的隐私、传输的数据、访问控制的请求等信息存储于集中式的第三方实体。
比如,DHILLON P K,KALRA S.A lightweight biometrics based remote userauthentication scheme for IoT services[J].Journal of Information Security andApplications,2017,34(2):255–270提出的基于生物特征的轻量级远程用户认证方案,该方案中用户与网关节点进行认证,认证成功后用户方可访问所需的传感器节点,认证策略及过程保存在网关节点。
AMIN R,ISLAM S K H,BISWAS G P,et al.Design of an anonymity-preservingthree-factor authenticated key exchange protocol for wireless sensor networks[J].Computer Networks,2016,101:42–62提出的基于bio-hashing操作的三因素认证协议,将认证协议存储于第三方智能卡设备。但该协议易遭受会话密钥泄露攻击、存储认证协议的智能卡丢失攻击,且认证设备不可跟踪,不利于后期追溯。
发明专利《基于物联网平台的轻量级设备认证及共享密钥协商方法》公开了一种利用集中式服务器完善设备认证的方法。该方法中,物联网网关设备在认证时,首先向服务器端发送入网请求消息,服务器端根据能唯一标识网关身份信息的网关号去数据库中查询是否有该网关设备来判定网关身份的合法性;服务器端认证完网关设备的合法性,经过二次加解密等操作确认密钥协商成功。该方法同样存在着集中式服务器已遭受攻击、易泄露设备隐私数据的问题。
专利《一种物联网的设备认证、数据完整和保密传输实现方法》介绍了一种物联网的设备认证、数据完整和保密传输实现方法,它是将传感器采集到的信息通过智能芯片,进行数字签名和加密后发送给网络数据中心,网络数据中心再通过认证中心进行数据解密和签名验证,获得完整、可信的传感器采集的信息,网络数据中心将发送给传感器端的操作指令,通过认证中心进行数字签名和加密。其设备认证、数据完整性校验等策略存储于集中式第三方认证中心。
由以上文献和专利可知:集中式第三方实体易遭受单点攻击,一旦实体遭受攻击或宕机,存储的信息就有可能泄露或无法对外正常提供服务。随着万物互联,物联网设备越来越多,对设备的安全性要求也越高。而且林业物联网设备由于多应用于野外,对功耗、便携性要求较高,设备本身的计算、存储能力较弱,设备结构异构突出非常有必要验证接入设备的合法性,在非可信环境中对设备进行授权认证访问控制。这就对授权策略的可信性提出较高要求。要求认证过程可追溯、认证过程信息不可篡改等。
因此,为了解决集中式第三方认证遭受攻击带来的隐私数据泄露等问题,特别需要一种授权可信性高的林业物联网设备授权认证访问控制方法。
发明内容
本发明的目的是提出一种授权可信性高的林业物联网设备授权认证访问控制方法。
为了实现上述目的,本发明提供了一种基于区块链的林业物联网设备授权认证访问控制方法,包括:第一物联网设备发送授权认证请求至可信授权认证中心,其中,所述可信授权认证中心位于区块链内;基于所述授权认证请求,所述可信授权认证中心对所述第一物联网设备的设备ID进行加密,生成数字证书颁发指令,获得第一物联网设备的数字证书,并将数字证书的交易信息发送至所述第一物联网设备;第一物联网设备收到所述数字证书后,向目标访问物联网设备所在区域的第二协调器发送访问目标访问物联网设备的访问请求;所述第二协调器解析所述访问请求,根据解析后的访问请求,允许所述第一物联网设备访问控制所述目标访问物联网设备。
优选的,所述授权认证请求包括第一申请授权认证请求和第二申请授权认证请求,所述第一物联网设备发送授权认证请求至所述可信授权认证中心包括:所述第一物联网设备采用私钥对所述第一物联网设备的信息加密,获得椭圆曲线在线数字签名;基于公钥、椭圆曲线在线数字签名和设备ID生成所述第一申请授权认证请求;向第一物联网设备所在区域的第一域协调器发送第一申请授权认证请求;所述第一域协调器在所述第一申请授权认证请求中加入所属域区域ID,生成第二申请授权认证请求,并向可信授权认证中心发送所述第二申请授权认证请求。
优选的,所述可信授权认证中心对所述第一物联网设备的设备ID进行加密,生成数字证书颁发指令包括:所述可信授权认证中心解析所述第二申请授权认证请求,获得第一物联网设备的设备ID;通过哈希算法对第一物联网设备的设备ID进行加密,获得设备ID加密密文,基于设备ID和第一加密密文,获得所述第一物联网设备的身份链接;基于所述第一物联网设备的身份链接和第二申请授权认证请求,获得数字证书颁发指令,并发送数字证书颁发指令至数字证书颁发机构。
优选的,采用下述步骤获得第一物联网设备的数字证书:所述数字证书颁发机构收到数字证书颁发指令后,对所述数字证书颁发指令进行解析,获得所述第一物联网设备的设备ID和第一加密密文;采用哈希算法对第一物联网设备的设备ID进行加密,获得第二加密密文;若所述第二加密密文与第一加密密文相同,为所述第一物联网设备生成数字证书,将数字证书的交易信息发送至所述可信授权认证中心。
优选的,所述可信授权认证中心将数字证书发送至所述第一域协调器,所述第一域协调器将数字证书发送至第一物联网设备。
优选的,所述访问请求格式如下:
acrx(A1,A2)={Grx(A1),IDx(A1),DATx(A1),Grx(A2),IDx(A2),DATx(A2),Tx}
其中,Grx(A1)表示第一物联网设备所属域区域ID,IDx(A1)表示第一物联网设备的设备ID,DATx(A1)表示第一物联网设备的设备属性标签,Grx(A2)表示目标访问物联网设备所属域区域ID,IDx(A2)表示目标访问物联网设备的设备ID,DATx(A2)表示目标访问物联网设备的设备属性标签,Tx表示访问控制请求时间。
优选的,所述根据解析后的访问请求,允许所述第一物联网设备访问控制所述目标访问物联网设备包括:若第一物联网设备所属域区域ID等于目标访问物联网设备所属域区域ID,允许所述第一物联网设备访问控制所述目标访问物联网设备,并将第一物联网设备所属域区域ID和目标访问物联网设备所属域区域ID加入域白名单。
优选的,所述根据解析后的访问请求,允许所述第一物联网设备访问控制所述目标访问物联网设备还包括:若第一物联网设备所属域区域ID不等于目标访问物联网设备所属域区域ID,比较所述第一物联网设备的设备属性标签和所述目标访问物联网设备的设备属性标签;若所述第一物联网设备的设备属性标签等于所述目标访问物联网设备的设备属性标签,允许所述第一物联网设备访问控制所述目标访问物联网设备;若所述第一物联网设备的设备属性标签不等于所述目标访问物联网设备的设备属性标签,不允许所述第一物联网设备访问控制所述目标访问物联网设备,发送驳回访问请求至目标访问物联网设备。
优选的,所述第一申请授权认证请求格式为:
aacx={Pux,IDx(A1),SigBx,Tx}
其中,Pux表示第一物联网设备的公钥,DATx(A1)表示第一物联网设备的设备ID,SigBx表示利用第一物联网设备A的私钥加密的椭圆曲线在线数字签名,Tx表示申请授权认证的时间戳;
所述数字证书颁发指令格式为:
indix={Grx,Pux,joinx,SigBx,Tx}
其中,Grx表示物联网设备所属域区域ID,joinx表示物联网设备的身份链接。
优选的,所述可信授权认证中心将数字证书的交易信息打包成新区块,广播至区块链边缘网络。
本发明的有益效果在于:本发明的基于区块链的林业物联网设备授权认证访问控制方法利用区块链技术,物联网设备主要设备签名正确,通过验证后才获得数字证书,提高了授权可信性高,由于区块链使用了椭圆曲线加密方案,就可在任意时间、地点申请加入网络而且,区块链本身采用P2P网络,并不是基于物联网设备的地理位置,当有物联网设备申请授权时,只要连接到网络中其他区块链节点,就可以申请授权认证还可以解决物联网设备动态接入、退出的问题。
本发明的系统具有其它的特性和优点,这些特性和优点从并入本文中的附图和随后的具体实施例中将是显而易见的,或者将在并入本文中的附图和随后的具体实施例中进行详细陈述,这些附图和具体实施例共同用于解释本发明的特定原理。
附图说明
通过结合附图对本发明示例性实施方式进行更详细的描述,本发明的上述以及其它目的、特征和优势将变得更加明显。其中,在本发明示例性实施方式中,相同的附图标记通常代表相同部件。
图1示出了根据本发明的一个实施例的一种基于区块链的林业物联网设备授权认证访问控制方法的流程图。
图2示出了根据本发明的一个实施例的一种基于区块链的林业物联网设备授权认证访问控制方法的设备授权认证流程图。
图3示出了根据本发明的一个实施例的一种基于区块链的林业物联网设备授权认证访问控制方法的设备访问控制流程图。
具体实施方式
下面将参照附图更详细地描述本发明的优选实施例。虽然附图中显示了本发明的优选实施例,然而应该理解,可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本发明更加透彻和完整,并且能够将本发明的范围完整地传达给本领域的技术人员。
根据本发明的一种基于区块链的林业物联网设备授权认证访问控制方法,包括:第一物联网设备发送授权认证请求至可信授权认证中心,其中,所述可信授权认证中心位于区块链内;基于授权认证请求,可信授权认证中心对第一物联网设备的设备ID进行加密,生成数字证书颁发指令,获得第一物联网设备的数字证书,并将数字证书的交易信息发送至第一物联网设备;第一物联网设备收到数字证书后,向目标访问物联网设备所在区域的第二协调器发送访问目标访问物联网设备的访问请求;第二协调器解析访问请求,根据解析后的访问请求,允许第一物联网设备访问控制目标访问物联网设备。
林业物联网系统相比较于其他传统物联网,具有以下特点:
1)林业物联网设备多运行于野外无人值守区域,相比于工业或家居类物联网设备,人工更不易干预,不易搭建可信第三方实体环境。
2)林业物联网与家居类物联网设备等单一使用场景相比,其使用场景丰富,导致其物联网设备结构异构多样,包括:林业病虫害防治、林业环境多要素采集、林火防治、林木管理、林业碳汇等多种物联网设备结构,相比较于传统的物联网场景,会出现跨组织或跨域的访问控制需求,这些组织或域相互间并不信任,设备间的访问控制策略较复杂。而区块链系统可利用智能合约编写、设计、管理、实现多种访问控制策略。
3)林业物联网设备因多工作于野外,和工业物联网设备相比,受环境和功耗限制较大,为了便于安装和长时间工作,林业物联网设备多采用轻CPU、轻存储设计,减小系统功耗,延长设备工作时间,设备本身不易运行授权认证访问控制机制,需要引入可信第三方。
因此,采用区块链系统,区块链系统采用的是P2P网络,不受设备的地理位置限制,设备只需要选择周围存在的区块链节点即可申请授权认证访问控制。
具体的,所有监测区域内林业物联网设备在工作前,需要向基于区块链的授权认证中心申请注册认证,获得授权认证后,才可以进行下一步访问控制工作;
否则,未能获得授权,将不能加入网络,不能与其他物联网设备进行访问控制。
根据物联网设备所负责监测的林业区域,将处于同一监测区域的物联网设备划分为同一监测域;同一域的设备可相互访问,不同域的设备一般不能相互访问,不过不同域的设备,属于具有同一属性的设备可通过特定端口相互访问。
同一域的设备在完成授权认证后,进行相互访问时,第一次需要进行域校验,完成校验后,加入域白名单,后续相互访问时,无需校验,直接访问;系统内的恶意设备加入黑名单,不得进行授权认证。
根据示例性的实施方式,基于区块链的林业物联网设备授权认证访问控制方法利用区块链技术,物联网设备主要设备签名正确,通过验证后才获得数字证书,提高了授权可信性高,由于区块链使用了椭圆曲线加密方案,就可在任意时间、地点申请加入网络而且,区块链本身采用P2P网络,并不是基于物联网设备的地理位置,当有物联网设备申请授权时,只要连接到网络中其他区块链节点,就可以申请授权认证还可以解决物联网设备动态接入、退出的问题。
作为优选方案,授权认证请求包括第一申请授权认证请求和第二申请授权认证请求,第一物联网设备发送授权认证请求至可信授权认证中心包括:第一物联网设备采用私钥对第一物联网设备的信息加密,获得椭圆曲线在线数字签名;基于公钥、椭圆曲线在线数字签名和设备ID生成第一申请授权认证请求;向第一物联网设备所在区域的第一域协调器发送第一申请授权认证请求;第一域协调器在第一申请授权认证请求中加入所属域区域ID,生成第二申请授权认证请求,并向可信授权认证中心发送第二申请授权认证请求。
具体的,第一物联网设备以终端设备角色身份生成授权所需公私钥,向物联网设备所在区域的第一域协调器发起第一申请授权认证请求,申请授权请求格式为:
aacx={Pux,IDX,SigBx,Tx}
式中,Pux表示第一物联网设备的公钥,IDX表示物联网设备的唯一ID,SigBx表示利用第一物联网设备的私钥加密的椭圆曲线在线数字签名,Tx表示申请授权认证的时间戳;
第一域协调器将所在区域的域ID(Gr)绑定到物联网设备的申请授权认证请求内,获得第二申请授权认证请求,然后向附近的区块链网络内的可信授权认证中心发送第二申请授权认证请求。
作为优选方案,可信授权认证中心对第一物联网设备的设备ID进行加密,生成数字证书颁发指令包括:可信授权认证中心解析第二申请授权认证请求,获得第一物联网设备的设备ID;通过哈希算法对第一物联网设备的设备ID进行加密,获得设备ID加密密文,基于设备ID和第一加密密文,获得第一物联网设备的身份链接;基于第一物联网设备的身份链接和第二申请授权认证请求,获得数字证书颁发指令,并发送数字证书颁发指令至数字证书颁发机构。
具体的,可信授权认证中心收到请求后,通过哈希算法HASH_SHA256(IDx)对第一物联网设备的设备ID加密,并保存物联网设备ID的身份链接关系,便于后续追踪。生成第一物联网设备的身份链接f,然后将数字证书颁发指令indi发送给数字证书颁发机构D;
joinx=(IDx,HASH_SHA256(IDx))
上式是指可信授权认证中心,利用哈希算法对第一物联网设备的设备IDx进行哈希运算,并以键值对的形式将设备IDx与HASH_SHA256(IDx)链接关系joinx保存,实现对设备的匿名,起到设备隐私保护作用和后期有争议时,可信授权认证中心便于确认设备真实身份。
数字证书颁发指令格式为:
indix={Grx,Pux,joinx,SigBx,Tx}
式中,Grx表示物联网设备所属区域的域ID,根据其负责监测区域划分,joinx表示物联网设备A的身份链接。
作为优选方案,采用下述步骤获得第一物联网设备的数字证书:数字证书颁发机构收到数字证书颁发指令后,对数字证书颁发指令进行解析,获得第一物联网设备的设备ID和第一加密密文;采用哈希算法对第一物联网设备的设备ID进行加密,获得第二加密密文;若第二加密密文与第一加密密文相同,为第一物联网设备生成数字证书,将数字证书的交易信息发送至可信授权认证中心。
具体的,数字证书颁发机构收到数字证书颁发指令后,解析数字证书颁发指令,对解析后的信息进行哈希验证,验证通过后为第一物联网设备生成数字证书Dx,并将数字证书Dx作为默克尔树叶子节点,添加到CouchDB中;数字证书颁发机构将产生数字证书的交易信息msg回传给区块链网络内的可信授权认证中心。
作为优选方案,可信授权认证中心将数字证书发送至第一域协调器,第一域协调器将数字证书发送至第一物联网设备。
作为优选方案,访问请求格式如下:
acrx(A1,A2)={Grx(A1),IDx(A1),DATx(A1),Grx(A2),IDx(A2),DATx(A2),Tx}
其中,Grx(A1)表示第一物联网设备所属域区域ID,IDx(A1)表示第一物联网设备的设备ID,DATx(A1)表示第一物联网设备的设备属性标签,Grx(A2)表示目标访问物联网设备所属域区域ID,IDx(A2)表示目标访问物联网设备的设备ID,DATx(A2)表示目标访问物联网设备的设备属性标签,Tx表示访问控制请求时间。
作为优选方案,根据解析后的访问请求,允许第一物联网设备访问控制目标访问物联网设备包括:若第一物联网设备所属域区域ID等于目标访问物联网设备所属域区域ID,允许第一物联网设备访问控制目标访问物联网设备,并将第一物联网设备所属域区域ID和目标访问物联网设备所属域区域ID加入域白名单。
具体的,第一物联网设备与目标访问控制物联网设备第一次相互访问控制时,首先第一物联网设备向希望访问控制的物联网设备所在的第二域协调器发送访问目标访问控制物联网设备的请求,访问控制请求格式如下:acrx(A1,A2)={Grx(A1),IDx(A1),DATx(A1),Grx(A2),IDx(A2),DATx(A2),Tx}
式中,Grx(A1)表示第一物联网设备所属域区域ID,IDx(A1)表示第一物联网设备的设备ID,DATx(A1)表示第一物联网设备的设备属性标签,Grx(A2)表示目标访问控制物联网设备所属域区域ID,IDx(A2)表示目标访问控制物联网设备的设备ID,DATx(A2)表示目标访问控制物联网设备的设备属性标签,Tx表示访问控制请求时间;
第二域协调器解析访问请求,判断比较第一物联网设备与目标访问控制物联网设备的域ID(Grx)是否相等;
若(域ID(Grx))相等,允许当前访问控制请求,并将第一物联网设备与目标访问控制物联网设备的设备ID加入域白名单DWL(Domain of White List),后续访问无需比较域ID(Grx),直接访问控制。
作为优选方案,根据解析后的访问请求,允许第一物联网设备访问控制目标访问物联网设备还包括:若第一物联网设备所属域区域ID不等于目标访问物联网设备所属域区域ID,比较第一物联网设备的设备属性标签和目标访问物联网设备的设备属性标签;若第一物联网设备的设备属性标签等于目标访问物联网设备的设备属性标签,允许第一物联网设备访问控制目标访问物联网设备;若第一物联网设备的设备属性标签不等于目标访问物联网设备的设备属性标签,不允许第一物联网设备访问控制目标访问物联网设备,发送驳回访问请求至目标访问物联网设备。
若域ID(Grx)不相等,则判定第一物联网设备与目标访问控制物联网设备不属于同一域,然后比较第一物联网设备与目标访问控制物联网设备设备属性标签DAT(DeviceAttribute Tag);
若设备属性标签DAT相同,则认定第一物联网设备与目标访问控制物联网设备是跨域可相互访问控制设备,允许当前访问控制请求;
若设备属性标签DAT不相同,则认定第一物联网设备与物联网设备目标访问控制物联网设备不可访问控制,驳回相互访问控制请求;
若第一物联网设备或目标访问控制物联网设备在访问控制过程中,恶意破坏系统,则将第一物联网设备或目标访问控制物联网设备加入系统黑名单SBL(System BlackList),后续不允许其访问控制请求。
作为优选方案,第一申请授权认证请求格式为:
aacx={Pux,IDx(A1),SigBx,Tx}
其中,Pux表示第一物联网设备的公钥,DATx(A1)表示第一物联网设备的设备ID,SigBx表示利用第一物联网设备A的私钥加密的椭圆曲线在线数字签名,Tx表示申请授权认证的时间戳;
数字证书颁发指令格式为:
indix={Grx,Pux,joinx,SigBx,Tx}
其中,Grx表示物联网设备所属域区域ID,joinx表示物联网设备的身份链接。
作为优选方案,可信授权认证中心将数字证书的交易信息打包成新区块,广播至区块链边缘网络。
具体的,可信授权认证中心收到数字证书的交易信息后,将交易信息打包成新区块,广播至区块链边缘网络,数字证书交易信息msg格式为:
msgx={indix,Ty}
式中,indiX表示数字证书颁发指令,Ty表示产生交易的时间戳。
区块链边缘网络收到新交易信息msg后,通过共识算法和智能合约,将交易信息打包区块上链,完成第一物联网设备的申请授权认证过程。;
基于区块链的林业物联网设备授权认证访问控制方法,相比较于传统集中式第三方物联网授权认证,具有以下特点:
1)可解决林业物联网设备多运行于野外无人值守区域,人工更不易干预,不易搭建可信第三方实体环境的难题。利用区块链系统的P2P网络架构,林业物联网设备可不受地理位置限制,只需要选择周围存在的区块链节点即可申请授权认证访问控制。
2)可解决林业物联网使用场景丰富,导致的物联网设备结构异构多样而出现的跨组织或跨域的访问控制需求。这些组织或域相互间并不信任,设备间的访问控制策略较复杂。而区块链系统可利用智能合约编写、设计、管理、实现多种个域或多域访问控制策略。
3)可解决林业物联网设备为节省功耗而采用的轻CPU、轻存储设计,设备本身不易运行授权认证访问控制机制,为了实现安全可靠的授权认证、访问控制,需要引入可信第三方的难题,区块链技术能够胜任可信第三方角色。
实施例
图1示出了根据本发明的一个实施例的一种基于区块链的林业物联网设备授权认证访问控制方法的流程图。图2示出了根据本发明的一个实施例的一种基于区块链的林业物联网设备授权认证访问控制方法的设备授权认证流程图。图3示出了根据本发明的一个实施例的一种基于区块链的林业物联网设备授权认证访问控制方法的设备访问控制流程图。
结合图1、图2和图3所示,该基于区块链的林业物联网设备授权认证访问控制方法,包括:
步骤1:第一物联网设备发送授权认证请求至可信授权认证中心,其中,所述可信授权认证中心位于区块链内;
其中,授权认证请求包括第一申请授权认证请求和第二申请授权认证请求,第一物联网设备发送授权认证请求至可信授权认证中心包括:第一物联网设备采用私钥对第一物联网设备的信息加密,获得椭圆曲线在线数字签名;基于公钥、椭圆曲线在线数字签名和设备ID生成第一申请授权认证请求;向第一物联网设备所在区域的第一域协调器发送第一申请授权认证请求;第一域协调器在第一申请授权认证请求中加入所属域区域ID,生成第二申请授权认证请求,并向可信授权认证中心发送第二申请授权认证请求。
步骤2:基于授权认证请求,可信授权认证中心对第一物联网设备的设备ID进行加密,生成数字证书颁发指令,获得第一物联网设备的数字证书,并将数字证书的交易信息发送至第一物联网设备;
其中,可信授权认证中心对第一物联网设备的设备ID进行加密,生成数字证书颁发指令包括:可信授权认证中心解析第二申请授权认证请求,获得第一物联网设备的设备ID;通过哈希算法对第一物联网设备的设备ID进行加密,获得设备ID加密密文,基于设备ID和第一加密密文,获得第一物联网设备的身份链接;基于第一物联网设备的身份链接和第二申请授权认证请求,获得数字证书颁发指令,并发送数字证书颁发指令至数字证书颁发机构。
其中,采用下述步骤获得第一物联网设备的数字证书:数字证书颁发机构收到数字证书颁发指令后,对数字证书颁发指令进行解析,获得第一物联网设备的设备ID和第一加密密文;采用哈希算法对第一物联网设备的设备ID进行加密,获得第二加密密文;若第二加密密文与第一加密密文相同,为第一物联网设备生成数字证书,将数字证书的交易信息发送至可信授权认证中心。
其中,可信授权认证中心将数字证书发送至第一域协调器,第一域协调器将数字证书发送至第一物联网设备。
其中,第一申请授权认证请求格式为:
aacx={Pux,IDx(A1),SigBx,Tx}
其中,Pux表示第一物联网设备的公钥,DATx(A1)表示第一物联网设备的设备ID,SigBx表示利用第一物联网设备A的私钥加密的椭圆曲线在线数字签名,Tx表示申请授权认证的时间戳;
数字证书颁发指令格式为:
indix={Grx,Pux,joinx,SigBx,Tx}
其中,Grx表示物联网设备所属域区域ID,joinx表示物联网设备的身份链接。
其中,可信授权认证中心将数字证书的交易信息打包成新区块,广播至区块链边缘网络。
步骤3:第一物联网设备收到数字证书后,向目标访问物联网设备所在区域的第二协调器发送访问目标访问物联网设备的访问请求;
步骤4:第二协调器解析访问请求,根据解析后的访问请求,允许第一物联网设备访问控制目标访问物联网设备。
其中,根据解析后的访问请求,允许第一物联网设备访问控制目标访问物联网设备包括:若第一物联网设备所属域区域ID等于目标访问物联网设备所属域区域ID,允许第一物联网设备访问控制目标访问物联网设备,并将第一物联网设备所属域区域ID和目标访问物联网设备所属域区域ID加入域白名单。
其中,根据解析后的访问请求,允许第一物联网设备访问控制目标访问物联网设备还包括:若第一物联网设备所属域区域ID不等于目标访问物联网设备所属域区域ID,比较第一物联网设备的设备属性标签和目标访问物联网设备的设备属性标签;若第一物联网设备的设备属性标签等于目标访问物联网设备的设备属性标签,允许第一物联网设备访问控制目标访问物联网设备;若第一物联网设备的设备属性标签不等于目标访问物联网设备的设备属性标签,不允许第一物联网设备访问控制目标访问物联网设备,发送驳回访问请求至目标访问物联网设备。
其中,访问请求格式如下:
acrx(A1,A2)={Grx(A1),IDx(A1),DATx(A1),Grx(A2),IDx(A2),DATx(A2),Tx}
其中,Grx(A1)表示第一物联网设备所属域区域ID,IDx(A1)表示第一物联网设备的设备ID,DATx(A1)表示第一物联网设备的设备属性标签,Grx(A2)表示目标访问物联网设备所属域区域ID,IDx(A2)表示目标访问物联网设备的设备ID,DATx(A2)表示目标访问物联网设备的设备属性标签,Tx表示访问控制请求时间。
以上已经描述了本发明的实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的实施例。在不偏离所说明的实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。

Claims (10)

1.一种基于区块链的林业物联网设备授权认证访问控制方法,其特征在于,包括:
第一物联网设备发送授权认证请求至可信授权认证中心,其中,所述可信授权认证中心位于区块链内;
基于所述授权认证请求,所述可信授权认证中心对所述第一物联网设备的设备ID进行加密,生成数字证书颁发指令,获得第一物联网设备的数字证书,并将数字证书的交易信息发送至所述第一物联网设备;
第一物联网设备收到所述数字证书后,向目标访问物联网设备所在区域的第二协调器发送访问目标访问物联网设备的访问请求;
所述第二协调器解析所述访问请求,根据解析后的访问请求,允许所述第一物联网设备访问控制所述目标访问物联网设备。
2.根据权利要求1所述的基于区块链的林业物联网设备授权认证访问控制方法,所述授权认证请求包括第一申请授权认证请求和第二申请授权认证请求,其特征在于,所述第一物联网设备发送授权认证请求至所述可信授权认证中心包括:
所述第一物联网设备采用私钥对所述第一物联网设备的信息加密,获得在椭圆曲线线数字签名;
基于公钥、椭圆曲线在线数字签名和设备ID生成所述第一申请授权认证请求;
向第一物联网设备所在区域的第一域协调器发送第一申请授权认证请求;
所述第一域协调器在所述第一申请授权认证请求中加入所属域区域ID,生成第二申请授权认证请求,并向可信授权认证中心发送所述第二申请授权认证请求。
3.根据权利要求2所述的基于区块链的林业物联网设备授权认证访问控制方法,其特征在于,所述可信授权认证中心对所述第一物联网设备的设备ID进行加密,生成数字证书颁发指令包括:
所述可信授权认证中心解析所述第二申请授权认证请求,获得第一物联网设备的设备ID;
通过哈希算法对第一物联网设备的设备ID进行加密,获得设备ID加密密文,基于设备ID和第一加密密文,获得所述第一物联网设备的身份链接;
基于所述第一物联网设备的身份链接和第二申请授权认证请求,获得数字证书颁发指令,并发送数字证书颁发指令至数字证书颁发机构。
4.根据权利要求3所述的基于区块链的林业物联网设备授权认证访问控制方法,其特征在于,采用下述步骤获得第一物联网设备的数字证书:
所述数字证书颁发机构收到数字证书颁发指令后,对所述数字证书颁发指令进行解析,获得所述第一物联网设备的设备ID和第一加密密文;
采用哈希算法对第一物联网设备的设备ID进行加密,获得第二加密密文;
若所述第二加密密文与第一加密密文相同,为所述第一物联网设备生成数字证书,将数字证书的交易信息发送至所述可信授权认证中心。
5.根据权利要求4所述的基于区块链的林业物联网设备授权认证访问控制方法,其特征在于,所述可信授权认证中心将数字证书发送至所述第一域协调器,所述第一域协调器将数字证书发送至第一物联网设备。
6.根据权利要求1所述的基于区块链的林业物联网设备授权认证访问控制方法,其特征在于,所述访问请求格式如下:
acrx(A1,A2)={Grx(A1),IDx(A1),DATx(A1),Grx(A2),IDx(A2),DATx(A2),Tx}
其中,Grx(A1)表示第一物联网设备所属域区域ID,IDx(A1)表示第一物联网设备的设备ID,DATx(A1)表示第一物联网设备的设备属性标签,Grx(A2)表示目标访问物联网设备所属域区域ID,IDx(A2)表示目标访问物联网设备的设备ID,DATx(A2)表示目标访问物联网设备的设备属性标签,Tx表示访问控制请求时间。
7.根据权利要求6所述的基于区块链的林业物联网设备授权认证访问控制方法,其特征在于,所述根据解析后的访问请求,允许所述第一物联网设备访问控制所述目标访问物联网设备包括:
若第一物联网设备所属域区域ID等于目标访问物联网设备所属域区域ID,允许所述第一物联网设备访问控制所述目标访问物联网设备,并将第一物联网设备所属域区域ID和目标访问物联网设备所属域区域ID加入域白名单。
8.根据权利要求7所述的基于区块链的林业物联网设备授权认证访问控制方法,其特征在于,所述根据解析后的访问请求,允许所述第一物联网设备访问控制所述目标访问物联网设备还包括:
若第一物联网设备所属域区域ID不等于目标访问物联网设备所属域区域ID,比较所述第一物联网设备的设备属性标签和所述目标访问物联网设备的设备属性标签;
若所述第一物联网设备的设备属性标签等于所述目标访问物联网设备的设备属性标签,允许所述第一物联网设备访问控制所述目标访问物联网设备;
若所述第一物联网设备的设备属性标签不等于所述目标访问物联网设备的设备属性标签,不允许所述第一物联网设备访问控制所述目标访问物联网设备,发送驳回访问请求至目标访问物联网设备。
9.根据权利要求4所述的基于区块链的林业物联网设备授权认证访问控制方法,其特征在于,所述第一申请授权认证请求格式为:
aacx={Pux,IDx(A1),SigBx,Tx}
其中,Pux表示第一物联网设备的公钥,DATx(A1)表示第一物联网设备的设备ID,SigBx表示利用第一物联网设备A的私钥加密的椭圆曲线在线数字签名,Tx表示申请授权认证的时间戳;
所述数字证书颁发指令格式为:
indix={Grx,Pux,joinx,SigBx,Tx}
其中,Grx表示物联网设备所属域区域ID,joinx表示物联网设备的身份链接。
10.根据权利要求1所述的基于区块链的林业物联网设备授权认证访问控制方法,其特征在于,所述可信授权认证中心将数字证书的交易信息打包成新区块,广播至区块链边缘网络。
CN202110707398.2A 2021-06-24 2021-06-24 基于区块链的林业物联网设备授权认证访问控制方法 Active CN113507370B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110707398.2A CN113507370B (zh) 2021-06-24 2021-06-24 基于区块链的林业物联网设备授权认证访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110707398.2A CN113507370B (zh) 2021-06-24 2021-06-24 基于区块链的林业物联网设备授权认证访问控制方法

Publications (2)

Publication Number Publication Date
CN113507370A true CN113507370A (zh) 2021-10-15
CN113507370B CN113507370B (zh) 2023-04-18

Family

ID=78010857

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110707398.2A Active CN113507370B (zh) 2021-06-24 2021-06-24 基于区块链的林业物联网设备授权认证访问控制方法

Country Status (1)

Country Link
CN (1) CN113507370B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114866328A (zh) * 2022-05-23 2022-08-05 南京理工大学 一种边缘计算环境下基于区块链的跨域访问控制方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881252A (zh) * 2018-06-28 2018-11-23 腾讯科技(深圳)有限公司 身份认证数据处理方法、装置、计算机设备和存储介质
CN111835528A (zh) * 2020-07-16 2020-10-27 广州大学 一种去中心化的物联网跨域访问授权方法及系统
CN112637211A (zh) * 2020-12-24 2021-04-09 国网河北省电力有限公司信息通信分公司 一种基于区块链的跨域访问的认证方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881252A (zh) * 2018-06-28 2018-11-23 腾讯科技(深圳)有限公司 身份认证数据处理方法、装置、计算机设备和存储介质
CN111835528A (zh) * 2020-07-16 2020-10-27 广州大学 一种去中心化的物联网跨域访问授权方法及系统
CN112637211A (zh) * 2020-12-24 2021-04-09 国网河北省电力有限公司信息通信分公司 一种基于区块链的跨域访问的认证方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114866328A (zh) * 2022-05-23 2022-08-05 南京理工大学 一种边缘计算环境下基于区块链的跨域访问控制方法及系统

Also Published As

Publication number Publication date
CN113507370B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
CN109918878B (zh) 一种基于区块链的工业物联网设备身份认证及安全交互方法
Hong P2P networking based internet of things (IoT) sensor node authentication by Blockchain
CN107231351B (zh) 电子证件的管理方法及相关设备
CN110601844B (zh) 使用区块链技术保障物联网设备安全与认证的系统和方法
CN111970299A (zh) 基于区块链的分布式物联网设备身份认证装置和方法
CN110381075B (zh) 基于区块链的设备身份认证方法和装置
CN109687965A (zh) 一种保护网络中用户身份信息的实名认证方法
CN117040896A (zh) 一种物联网管理方法及物联网管理平台
CN111447067A (zh) 一种电力传感设备加密认证方法
CN108234119B (zh) 一种数字证书管理方法和平台
Wu et al. A decentralized lightweight blockchain-based authentication mechanism for Internet of Vehicles
Khasawneh et al. A secure and efficient authentication mechanism applied to cognitive radio networks
CN110929231A (zh) 数字资产的授权方法、装置和服务器
Chen et al. Sustainable secure communication in consumer-centric electric vehicle charging in industry 5.0 environments
WO2023236551A1 (zh) 一种面向蜂窝基站的去中心化可信接入方法
CN115967941B (zh) 电力5g终端认证方法及认证系统
CN113507370B (zh) 基于区块链的林业物联网设备授权认证访问控制方法
Feng et al. Autonomous vehicles' forensics in smart cities
CN113972995B (zh) 一种网络配置方法及装置
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
CN117119012A (zh) 城市生命线数据处理方法及设备
CN115835194B (zh) 一种nb-iot物联网终端安全接入系统及接入方法
US20230254302A1 (en) Authentication of device in network using cryptographic certificate
Wang et al. A secure solution of V2G communication based on trusted computing
CN115361684A (zh) 利用区块链的共享Wifi双向认证的接入方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant