CN113542117B - 一种基于分层区块链的物联网设备资源访问控制方法 - Google Patents

一种基于分层区块链的物联网设备资源访问控制方法 Download PDF

Info

Publication number
CN113542117B
CN113542117B CN202110777499.7A CN202110777499A CN113542117B CN 113542117 B CN113542117 B CN 113542117B CN 202110777499 A CN202110777499 A CN 202110777499A CN 113542117 B CN113542117 B CN 113542117B
Authority
CN
China
Prior art keywords
internet
cluster head
things equipment
access control
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110777499.7A
Other languages
English (en)
Other versions
CN113542117A (zh
Inventor
柴蓉
杨锡政
蒋汶航
陈前斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile IoT Co Ltd
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN202110777499.7A priority Critical patent/CN113542117B/zh
Publication of CN113542117A publication Critical patent/CN113542117A/zh
Application granted granted Critical
Publication of CN113542117B publication Critical patent/CN113542117B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/46Cluster building
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于分层区块链的物联网设备资源访问控制方法,属于物联网设备资源访问控制领域。该方法包括:构建全局、本地区块链网络并部署智能合约;采用DA算法确定物联网设备成簇策略;物联网设备制定访问控制策略,生成访问控制消息,发送至簇头节点,簇头节点调用智能合约将访问控制策略存储在本地区块链网络中;簇头节点将访问控制消息转发至网关节点,网关节点调用智能合约将访问控制策略存储在全局区块链网络中;簇头节点发送设备资源标识消息至网关节点,网关节点调用智能合约将设备资源标识存储在全局区块链网络中;簇头节点对第一物联网设备进行身份认证,从而选择域内/间访问控制机来实现设备资源访问。

Description

一种基于分层区块链的物联网设备资源访问控制方法
技术领域
本发明属于物联网设备资源访问控制领域,涉及一种基于分层区块链的物联网设备资源访问控制方法。
背景技术
随着物联网技术的快速发展,各类物联网应用如智能可穿戴设备、智能家电、智能网联汽车、智能机器人、智慧医疗等得到广泛普及,数以万亿计的物联网设备将接入网络。物联网设备数量庞大且呈现分布式部署,相关应用在给人们生产生活带来便利的同时,也产生安全隐患,设备数据资源的可靠有效访问控制面临着巨大的挑战。大规模物联网设备的数据交互和信息通信可能导致部分数据,特别是一些隐私和敏感数据的安全访问难以保障,不法分子可通过系统漏洞或业务逻辑缺陷劫持终端设备中存储、管理以及传输的用户数据,从而导致用户个人数据泄露。为解决这一问题,物联网的数据访问控制技术应运而生。该项技术通过拒绝权限受限的实体访问物联网数据,仅支持具有完备访问权限的设备访问相关数据,可大幅提高物联网数据的安全性。
目前较为主流的物联网访问控制方法包括:基于角色的访问控制(Role-BasedAccess Control,RBAC),基于属性的访问控制(Attributes Based Access Control,ABAC),基于使用控制模型(Usage Control,UCON)的访问控制以及基于权能的访问控制(Capability-Based Access Control,CapBAC)。上述方案中,如RBAC、ABAC、UCON等多采用集中式策略,即基于一个高度可信任的中央实体而运行接入控制策略。然而,物联网应用中集中式实体的高度可信任性难以保障,同时与用户日益增长的隐私保护需求产生了矛盾。而CapBAC方案虽采用分布式架构,避免了集中式架构中单点故障问题和中央实体不可信问题,但这种方法可能存在被恶意攻击者利用漏洞威胁接入控制机制的可能性,难以保障轻量级设备的数据安全性。
区块链技术可解决基于信任的中心化模型带来的安全问题。针对当前物联网数据访问控制机制存在的问题不足,亟需一种基于区块链技术的物联网数据访问控制方法。
发明内容
有鉴于此,本发明的目的在于提供一种基于分层区块链的物联网设备资源访问控制方法,构建全局区块链和本地区块链,利用区块链存储物联网设备、簇头节点的身份信息及物联网设备资源信息,设计基于属性的访问控制策略构建安全可信、支持跨域的物联网访问控制系统,实现对资源的访问控制管理,有效避免集中式架构的单点故障问题,并防止出现越权访问等情况。
为达到上述目的,本发明提供如下技术方案:
一种基于分层区块链的物联网设备资源访问控制方法,包括以下步骤:
S1:网关节点构建全局区块链网络并部署智能合约;
S2:簇头节点发送入网请求消息至网关节点进行身份注册;
S3:注册成功的簇头节点与所关联的网关节点构建本地区块链网络,并部署智能合约;
S4:采用延迟接受(Deferred-Acceptance,DA)算法确定物联网设备成簇策略;
S5:网关与其关联的簇头、物联网设备构成物联网域;
S6:物联网设备发送入网请求消息至所关联簇头节点进行身份注册;
S7:物联网设备将其所收集资源发送至簇头节点,簇头节点调用智能合约将资源存储在本地区块链网络中;
S8:物联网设备制定访问控制策略,生成访问控制消息,发送至簇头节点,簇头节点调用智能合约将访问控制策略存储在本地区块链网络中;
S9:簇头节点将访问控制消息转发至网关节点,网关节点调用智能合约将访问控制策略存储在全局区块链网络中;
S10:簇头节点发送设备资源标识消息至网关节点,网关节点调用智能合约将设备资源标识存储在全局区块链网络中;
S11:第一物联网设备发送访问请求消息至所关联簇头节点;
S12:簇头节点接收第一物联网设备访问请求消息,对第一物联网设备进行身份认证,具体为簇头节点查询本地区块链网络中存储的物联网设备身份信息,验证第一设备身份是否合法;
S13:若第一物联网设备身份合法,簇头节点在本地区块链网络查询第二物联网设备的访问控制策略;
S14:若本地区块链网络已存储第二物联网设备的访问控制策略,则采用域内访问控制机制实现设备资源访问;
S15:若本地区块链网络未存储第二物联网设备的访问控制策略,则采用域间访问控制机制实现设备资源访问。
进一步,步骤S1中,所述全局区块链网络中存储簇头节点基本属性、物联网设备资源标识及访问控制策略等信息;网关节点部署的智能合约包括注册合约、设备关联合约和策略合约,注册合约用于实现簇头节点身份注册管理,定义如下函数:
(1)设备注册函数:网关节点与此函数交互,完成簇头节点注册;
(2)设备注销函数:网关节点与此函数交互,注销已认证簇头节点;
设备关联合约定义设备关联函数,网关节点与此函数交互,存储物联网设备、簇头及网关之间关联关系。
策略合约用于实现物联网设备的访问控制,定义如下函数:
(1)策略生成函数:网关节点与此函数交互,存储访问控制策略;
(2)策略更新函数:网关节点与此函数交互,更新访问控制策略;
(3)策略撤销函数:网关节点与此函数交互,撤销访问控制策略;
(4)策略查询函数:网关节点与此函数交互,查询访问控制策略。
进一步,步骤S2中,簇头节点发送的入网请求消息包括入网请求消息标识、簇头标识符、簇头关联的网关标识符及当前时间戳等信息。
进一步,步骤S3中,所述本地区块链网络中存储物联网设备基本属性信息、资源及访问控制策略;注册成功的簇头节点部署的智能合约包括注册合约、资源合约和策略合约,其中注册合约用于实现物联网设备的身份管理,定义了如下函数:
(1)设备注册函数:簇头节点与此函数交互,完成物联网设备的身份注册;
(2)设备注销函数:簇头节点与此函数交互,撤销已认证的物联网设备;
资源合约用于实现第二设备资源的存储,定义如下函数:
(3)资源存储函数:簇头节点与此函数交互,完成物联网设备资源的存储;
(4)资源撤销函数:簇头节点与此函数交互,撤销物联网设备收集的资源;
策略合约用于实现物联网设备的访问控制管理,所采用访问控制策略为基于属性的访问模型,包括主体属性、客体属性、权限属性和环境属性,其中主体属性为第一设备属性信息;客体属性为第二设备的属性信息;权限属性为数据可读、可写的组合;环境属性为策略生成时间和策略结束时间;策略合约定义了如下函数:
(1)策略生成函数:簇头节点与此函数交互,存储访问控制策略;
(2)策略更新函数:簇头节点与此函数交互,更新访问控制策略;
(3)策略撤销函数:簇头节点与此函数交互,撤销访问控制策略;
(4)策略查询函数:簇头节点与此函数交互,查询访问控制策略;
其中,第一设备为发起访问请求的设备,第一设备可以是任意物联网设备;第二设备为接收访问请求的设备,第二设备可以是任意物联网设备。
进一步,所述步骤S4具体包括:假设物联网域中包含M个物联网设备,N个簇头节点,其中第m个物联网设备表示为IoTm,位置坐标为
Figure BDA0003156248210000041
1≤m≤M;第n个簇头节点表示为CHn,位置坐标为
Figure BDA0003156248210000042
1≤n≤N;采用DA算法确定物联网设备成簇策略,具体包括以下步骤:
S41:建立初始偏好列表
计算物联网设备与簇头节点之间距离,分别建立偏好列表;令ζ表示物联网设备集合ζ={IoT1,IoT2,…,IoTM},Γ表示簇头节点集合Γ={CH1,CH2,…,CHN};令Dm,n表示 IoTm与CHn之间距离,建模为
Figure BDA0003156248210000043
令IoTm所建立的偏好列表为Φm,CHn所建立的偏好列表为Ψn;若IoTm到CHn的距离满足
Figure BDA0003156248210000044
则Φm
Figure BDA0003156248210000045
若CHn到IoTm的距离满足
Figure BDA0003156248210000046
则Ψn
Figure BDA0003156248210000047
S42:物联网设备发起匹配请求
物联网设备向偏好列表中位列第一的簇头节点发起匹配请求,并在偏好列表删除该簇头节点;对于IoTm∈ζ,发送匹配请求至
Figure BDA0003156248210000048
并在Φm移除
Figure BDA0003156248210000049
S43:簇头节点响应物联网设备请求
簇头节点比较发送请求的物联网设备数目与其最大可接收物联网设备数目,接收或拒绝物联网设备的匹配请求;令簇头节点最大可接收物联网设备数目为Z0;对于CHn,令物联网设备发送匹配请求的数目为Z,若Z≤Z0,CHn暂时接收所有物联网设备的匹配请求;若Z>Z0,CHn检查其偏好列表,接收偏好列表中前Z0个物联网设备的请求,并向相应物联网设备发送接收响应,向其余物联网设备发送拒绝响应;
S44:更新物联网设备集合
若物联网设备接收到来自簇头节点的匹配接收响应,物联网设备与该簇头节点相关联,在物联网设备集合中删除该设备;若IoTm接收到来自于
Figure BDA00031562482100000410
的匹配接收响应,则建立与
Figure BDA00031562482100000411
的关联,更新物联网设备集合和簇头节点集合ζ=ζ/{IoTm},
Figure BDA00031562482100000412
S45:检查算法是否终止
若所有的物联网设备均完成匹配,算法终止;否则,返回步骤S42。
进一步,步骤S6中,物联网设备发送的入网请求消息包括入网请求消息标识、物联网设备标识符、物联网设备关联的簇头节点标识及当前时间戳等信息。
进一步,步骤S7中,物联网设备收集的资源包括物联网设备标识、资源标识及具体收集资源。
进一步,步骤S8中,物联网设备制定的访问控制策略包括:访问的主体对象(即第一物联网设备)、客体对象(即第二物联网设备的资源)、操作权限和环境属性;所述访问控制消息包括:访问消息标识、访问控制策略及当前时间戳等信息。
进一步,步骤S10中,所述簇头节点发送的设备资源标识消息包括:物联网设备的资源标识、物联网设备关联的簇头节点和网关节点信息及当前时间戳等信息。
进一步,步骤S11中,所述第一物联网设备发送的访问请求消息包括:访问请求消息标识、第一物联网设备属性信息、所请求数据的第二物联网设备标识、资源标识、资源访问动作,拟修改的数据(可选)。
进一步,步骤S14具体为:若本地区块链网络已存储第二设备的访问控制策略,也即第一、二设备同属相同物联网域,则基于域内资源访问机制实现设备资源访问,具体为簇头节点查询访问控制策略,验证策略主体对象是否存在第一设备,若不存在,则拒绝第一设备的访问请求;若主体对象中存在第一设备,判断访问请求消息中资源访问动作与访问控制策略中权限操作是否一致,若访问权限一致且为可读,簇头节点调用智能合约在本地区块链中获取第二设备相应资源,并将资源返回至第一设备;若访问权限一致且为可写,簇头节点调用智能合约将拟修改的数据存储在本地区块链中;若返回的访问权限不一致,则拒绝第一设备的访问请求。
进一步,步骤S15具体为:若本地区块链网络未存储第二设备的访问控制策略,也即第一、二设备属于不同物联网域,则基于域间资源访问机制实现设备资源访问;具体为簇头节点将访问请求消息转发至第一网关节点;第一网关节点验证簇头节点的身份,若簇头节点身份不合法,拒绝簇头节点转发的访问请求;若簇头节点身份合法,第一网关节点在全局区块链网络中查询第二设备的访问控制策略;若查询到第二设备的访问控制策略,第一网关节点验证策略的主体对象是否存在第一设备,若不存在,拒绝簇头节点转发的访问请求;若主体对象中存在第一设备,第一网关节点判断访问请求消息中资源访问的动作与访问控制策略中权限操作是否一致;若访问权限一致且为可读,第一网关节点通过全局区块链查询第二设备的关联消息,向第二设备所关联的第二网关节点转发访问请求,第二网关节点调用智能合约在本地区块链中获取第二设备的资源,并将资源返回至第一网关节点,进而转发第一设备;若访问权限一致且为可写,第一网关节点通过全局区块链查询第二设备的关联消息,向所关联的第二网关节点转发访问请求,第二网关节点调用智能合约将拟修改的数据存储在本地区块链中;若返回的访问权限不一致,则拒绝第一设备的访问请求。
本发明的有益效果在于:本发明根据物联网设备能力差异,将其划分为网关、簇头节点和物联网设备,在不同类型的节点之间构成分层的区块链网络,包括全局区块链和本地区块链。同时考虑物联网设备能力有限,基于DA算法确定物联网设备成簇策略。引入分层区块链技术、基于属性的访问控制构建了一个安全和跨域的物联网访问控制系统,利用区块链存储物联网设备和簇头节点的身份信息,实现物联网设备和簇头节点的认证和物联网设备对资源的访问控制管理,有效避免单点攻击,克服集中式实体的单点故障问题,防止出现越权访问等情况,使访问控制系统具备安全、可伸缩性、轻量级和细粒度等特性。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作优选的详细描述,其中:
图1为物联网设备分层架构图;
图2为基于分层的区块链模型图;
图3为基于分层区块链的物联网设备资源访问控制流程图;
图4为基于分层区块链域内的访问控制流程图;
图5为基于分层区块链域间的访问控制流程图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
请参阅图1~图5,本实施例是基于图1的物联网设备分层系统结构,此架构中包括网关、簇头节点及物联网设备,其中:
网关节点:管理域下簇头节点和物联网设备,网关节点具备丰富的计算能力和存储资源,网关节点具备高可信度,网关节点之间可直接建立连接。
簇头节点:簇头节点主要用于处理和转发消息,簇头节点具备丰富的计算能力和存储资源,每个簇头节点只可关联一个网关节点。
物联网设备:物联网设备如(智能家居、摄像头、传感器等),通常位于网络边缘,用于感知各种数据,每个物联网设备只允许关联一个簇头节点,物联网设备用于感知和传输数据,计算和存储能力较弱,无法进行复杂的数据操作和数据处理,其中第一设备为发起访问请求的设备,第一设备可以是任意物联网设备;第二设备为接收访问请求的设备,第二设备可以是任意物联网设备。
图2为本实施例基于分层的区块链模型图,如图2所示,分层的区块链包括全局区块链网络和本地区块链网络,其中:
全局区块链网络:基于超级账本(Hyperledger Fabric)搭建全局区块链网络,网关节点为全局区块链的节点,其中全局区块链网络存储簇头节点基本属性、物联网设备资源标识及访问控制策略等信息;部署的智能合约包括注册合约、设备关联合约和策略合约。
本地区块链网络:基于超级账本(Hyperledger Fabric)搭建本地区块链网络,网关节点和簇头节点为本地区块链的节点,其中本地区块链网络存储物联网设备基本属性信息、资源及访问控制策略;部署的智能合约包括注册合约、资源合约和策略合约。
图3为本实施例基于分层区块链的物联网设备资源访问控制流程图,如图3所示,物联网设备资源访问控制方法具体包括以下步骤:
1)网关节点构建全局区块链网络并部署智能合约;
2)簇头节点发送入网请求消息至网关节点进行身份注册;
3)簇头节点与所关联的网关节点构建本地区块链网络,并部署智能合约;
4)基于DA算法确定物联网设备成簇策略;
5)网关与其关联的簇头、物联网设备构成物联网域;
6)物联网设备发送入网请求消息至所关联簇头节点进行身份注册;
7)物联网设备将其所收集资源发送至簇头节点,簇头节点调用智能合约将资源存储在本地区块链网络中;
8)物联网设备制定访问控制策略,生成访问控制消息,发送至簇头节点,簇头节点调用智能合约将访问控制策略存储在本地区块链网络中;
9)簇头节点将访问控制消息转发至网关节点,网关节点调用智能合约将访问控制策略存储在全局区块链网络中;
10)簇头节点发送设备资源标识消息至网关节点,网关节点调用智能合约将设备资源标识存储在全局区块链网络中;
11)第一设备发送访问请求消息至所关联簇头节点;
12)簇头节点接收设备访问请求消息,对第一设备进行身份认证;
13)若第一设备身份合法,簇头节点在本地区块链网络查询第二设备的访问控制策略;
14)若本地区块链网络已存储第二设备的访问控制策略,则基于域内访问控制机制实现设备资源访问;
15)若本地区块链网络未存储第二设备的访问控制策略,则基于域间访问控制机制实现设备资源访问。
图4为本实施例基于分层区块链域内的访问控制流程图,如图4所示,区块链域内的访问控制方法具体包括以下步骤:
1)第一设备发送访问请求消息至所关联簇头节点;
2)簇头节点接收设备访问请求消息,对第一设备进行身份认证;
3)若第一设备身份合法,簇头节点在本地区块链网络查询第二设备的访问控制策略;
4)若本地区块链网络已存储第二设备的访问控制策略,则基于域内访问控制机制实现设备资源访问;
5)簇头节点根据所查询的访问控制策略,验证策略的主体对象是否存在第一设备;
6)若不存在;拒绝第一设备的访问请求;
7)若主体对象中存在第一设备,判断访问请求消息中资源访问动作与访问控制策略中权限操作是否一致,
8)若访问权限一致且为可读,簇头节点调用智能合约在本地区块链中获取第二设备相应资源,并将资源返回至给第一设备;
9)若访问权限一致且为可写,簇头节点调用智能合约将拟修改的数据存储在本地区块链中。
10)若返回的访问权限不一致,则拒绝第一设备的访问请求。
图5为本实施例基于分层区块链域间的访问控制流程图,如图5所示,块链域间的访问控制方法具体包括以下步骤:
1)第一设备发送访问请求消息至所关联簇头节点;
2)簇头节点接收设备访问请求消息,对第一设备进行身份认证;
3)若第一设备身份合法,簇头节点在本地区块链网络查询第二设备的访问控制策略;
4)若本地区块链网络未存储第二设备的访问控制策略,则基于域间访问控制机制实现设备资源访问;
5)簇头节点将访问请求消息转发至第一网关节点;
6)第一网关节点验证簇头节点的身份,若簇头节点身份不合法,拒绝簇头节点转发的访问请求;
7)若簇头节点身份合法,在全局区块链网络中查询第二设备的访问控制策略;
8)若查询到第二设备的访问控制策略,第一网关节点验证策略的主体对象是否存在第一设备,若不存在,拒绝簇头节点转发的访问请求;
9)若主体对象中存在第一设备,第一网关节点判断访问请求消息中资源访问的动作与访问控制策略中权限操作是否一致;
10)若访问权限一致且为可读,第一网关节点通过全局区块链查询第二设备的关联消息,向第二设备所关联的第二网关节点转发访问请求,第二网关节点调用智能合约在本地区块链中获取第二设备的资源,并将资源返回至第一网关节点,进而转发第一设备;
11)若访问权限一致且为可写,第一网关节点通过全局区块链查询第二设备的关联消息,向所关联的第二网关节点转发访问请求,第二网关节点调用智能合约将拟修改的数据存储在本地区块链中;
12)若返回的访问权限不一致,则拒绝第一设备的访问请求。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种基于分层区块链的物联网设备资源访问控制方法,其特征在于,该方法包括以下步骤:
S1:网关节点构建全局区块链网络并部署智能合约;
S2:簇头节点发送入网请求消息至网关节点进行身份注册;
S3:注册成功的簇头节点与所关联的网关节点构建本地区块链网络,并部署智能合约;
S4:采用延迟接受(Deferred-Acceptance,DA)算法确定物联网设备成簇策略;具体包括:假设物联网域中包含M个物联网设备,N个簇头节点,其中第m个物联网设备表示为IoTm,位置坐标为
Figure FDA0003612234490000011
第n个簇头节点表示为CHn,位置坐标为
Figure FDA0003612234490000012
采用DA算法确定物联网设备成簇策略,具体包括以下步骤:
S41:建立初始偏好列表;
计算物联网设备与簇头节点之间距离,分别建立偏好列表;令ζ表示物联网设备集合ζ={IoT1,IoT2,…,IoTM},Γ表示簇头节点集合Γ={CH1,CH2,…,CHN};令Dm,n表示IoTm与CHn之间距离,建模为
Figure FDA0003612234490000013
令IoTm所建立的偏好列表为Φm,CHn所建立的偏好列表为Ψn;若IoTm到CHn的距离满足
Figure FDA0003612234490000014
则Φm
Figure FDA0003612234490000015
若CHn到IoTm的距离满足
Figure FDA0003612234490000016
则Ψn
Figure FDA0003612234490000017
S42:物联网设备发起匹配请求;
物联网设备向偏好列表中位列第一的簇头节点发起匹配请求,并在偏好列表删除该簇头节点;对于IoTm∈ζ,发送匹配请求至
Figure FDA0003612234490000018
并在Φm移除
Figure FDA0003612234490000019
S43:簇头节点响应物联网设备请求;
簇头节点比较发送请求的物联网设备数目与其最大可接收物联网设备数目,接收或拒绝物联网设备的匹配请求;令簇头节点最大可接收物联网设备数目为Z0;对于CHn,令物联网设备发送匹配请求的数目为Z,若Z≤Z0,CHn暂时接收所有物联网设备的匹配请求;若Z>Z0,CHn检查其偏好列表,接收偏好列表中前Z0个物联网设备的请求,并向相应物联网设备发送接收响应,向其余物联网设备发送拒绝响应;
S44:更新物联网设备集合;
若物联网设备接收到来自簇头节点的匹配接收响应,物联网设备与该簇头节点相关联,在物联网设备集合中删除该设备;若IoTm接收到来自于
Figure FDA0003612234490000021
的匹配接收响应,则建立与
Figure FDA0003612234490000022
的关联,更新物联网设备集合和簇头节点集合ζ=ζ/{IoTm},
Figure FDA0003612234490000023
S45:检查算法是否终止;
若所有的物联网设备均完成匹配,算法终止;否则,返回步骤S42;
S5:网关与其关联的簇头、物联网设备构成物联网域;
S6:物联网设备发送入网请求消息至所关联簇头节点进行身份注册;
S7:物联网设备将其所收集资源发送至簇头节点,簇头节点调用智能合约将资源存储在本地区块链网络中;
S8:物联网设备制定访问控制策略,生成访问控制消息,发送至簇头节点,簇头节点调用智能合约将访问控制策略存储在本地区块链网络中;
S9:簇头节点将访问控制消息转发至网关节点,网关节点调用智能合约将访问控制策略存储在全局区块链网络中;
S10:簇头节点发送设备资源标识消息至网关节点,网关节点调用智能合约将设备资源标识存储在全局区块链网络中;
S11:第一物联网设备发送访问请求消息至所关联簇头节点;
S12:簇头节点接收第一物联网设备访问请求消息,对第一物联网设备进行身份认证;
S13:若第一物联网设备身份合法,簇头节点在本地区块链网络查询第二物联网设备的访问控制策略;
S14:若本地区块链网络已存储第二物联网设备的访问控制策略,则采用域内访问控制机制实现设备资源访问;
S15:若本地区块链网络未存储第二物联网设备的访问控制策略,则采用域间访问控制机制实现设备资源访问。
2.根据权利要求1所述的物联网设备资源访问控制方法,其特征在于,步骤S1中,所述全局区块链网络中存储簇头节点基本属性、物联网设备资源标识及访问控制策略;网关节点部署的智能合约包括注册合约、设备关联合约和策略合约,注册合约用于实现簇头节点身份注册管理。
3.根据权利要求1所述的物联网设备资源访问控制方法,其特征在于,步骤S2中,簇头节点发送的入网请求消息包括入网请求消息标识、簇头标识符、簇头关联的网关标识符及当前时间戳。
4.根据权利要求1所述的物联网设备资源访问控制方法,其特征在于,步骤S3中,所述本地区块链网络中存储物联网设备基本属性信息、资源及访问控制策略;注册成功的簇头节点部署的智能合约包括注册合约、资源合约和策略合约。
5.根据权利要求1所述的物联网设备资源访问控制方法,其特征在于,步骤S6中,物联网设备发送的入网请求消息包括入网请求消息标识、物联网设备标识符、物联网设备关联的簇头节点标识及当前时间戳。
6.根据权利要求1所述的物联网设备资源访问控制方法,其特征在于,步骤S7中,物联网设备收集的资源包括物联网设备标识、资源标识及具体收集资源。
7.根据权利要求1所述的物联网设备资源访问控制方法,其特征在于,步骤S8中,物联网设备制定的访问控制策略包括:访问的主体对象即第一物联网设备、客体对象即第二物联网设备的资源、操作权限和环境属性;所述访问控制消息包括:访问消息标识、访问控制策略及当前时间。
8.根据权利要求1所述的物联网设备资源访问控制方法,其特征在于,步骤S10中,所述簇头节点发送的设备资源标识消息包括:物联网设备的资源标识、物联网设备关联的簇头节点和网关节点信息及当前时间戳。
9.根据权利要求1所述的物联网设备资源访问控制方法,其特征在于,步骤S11中,所述第一物联网设备发送的访问请求消息包括:访问请求消息标识、第一物联网设备属性信息、所请求数据的第二物联网设备标识、资源标识和资源访问动作,或拟修改的数据。
CN202110777499.7A 2021-07-09 2021-07-09 一种基于分层区块链的物联网设备资源访问控制方法 Active CN113542117B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110777499.7A CN113542117B (zh) 2021-07-09 2021-07-09 一种基于分层区块链的物联网设备资源访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110777499.7A CN113542117B (zh) 2021-07-09 2021-07-09 一种基于分层区块链的物联网设备资源访问控制方法

Publications (2)

Publication Number Publication Date
CN113542117A CN113542117A (zh) 2021-10-22
CN113542117B true CN113542117B (zh) 2022-06-10

Family

ID=78098214

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110777499.7A Active CN113542117B (zh) 2021-07-09 2021-07-09 一种基于分层区块链的物联网设备资源访问控制方法

Country Status (1)

Country Link
CN (1) CN113542117B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114157487A (zh) * 2021-12-03 2022-03-08 上海交通大学 一种基于区块链技术的大规模物联网访问控制方法
CN114268493B (zh) * 2021-12-21 2023-07-21 联想(北京)有限公司 区块链上的跨域访问方法及服务器
CN114867119A (zh) * 2022-05-24 2022-08-05 中国联合网络通信集团有限公司 一种资源调度方法、装置及存储介质
CN115051989B (zh) * 2022-06-10 2024-04-05 中国华能集团清洁能源技术研究院有限公司 工业物联网中基于区块链的精细化分布式访问控制方法
CN115390980B (zh) * 2022-10-27 2023-04-07 深圳开鸿数字产业发展有限公司 分布式交互的处理方法、计算机设备及可读存储介质
CN115766170B (zh) * 2022-11-08 2023-09-26 敏于行(北京)科技有限公司 可信的sdp网络的控制方法、装置、存储介质及电子装置
CN115987683B (zh) * 2023-03-15 2023-07-28 中国信息通信研究院 区块链网络中节点访问控制方法、装置、设备和介质
CN116599574B (zh) * 2023-07-14 2023-09-19 成都本原星通科技有限公司 一种基于低轨卫星网络的轻量化智能合约访问控制方法
CN117376352B (zh) * 2023-10-07 2024-03-12 山东山科智能科技有限公司 基于区块链的物联网系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107682331A (zh) * 2017-09-28 2018-02-09 复旦大学 基于区块链的物联网身份认证方法
CN108810073A (zh) * 2018-04-05 2018-11-13 西安电子科技大学 一种基于区块链的物联网多域访问控制系统及方法
WO2020133333A1 (en) * 2018-12-29 2020-07-02 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for a hierarchical blockchain network
CN111371739A (zh) * 2020-02-14 2020-07-03 重庆邮电大学 一种基于区块链技术的物联网数据接入控制方法
CN111683101A (zh) * 2020-06-16 2020-09-18 铭数科技(青岛)有限公司 一种基于区块链的自主跨域访问控制方法
CN111797404A (zh) * 2020-06-28 2020-10-20 电子科技大学 一种基于区块链及智能合约的IIoT设备安全架构
CN112333159A (zh) * 2020-10-22 2021-02-05 北京梆梆安全科技有限公司 基于区块链的移动物联网终端访问控制方法、装置及系统
CN112364317A (zh) * 2020-11-17 2021-02-12 中国传媒大学 一种基于区块链技术的物联网雾环境管理架构及方法
CN112600892A (zh) * 2020-12-07 2021-04-02 北京邮电大学 面向物联网的区块链设备、系统及工作方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108737370B (zh) * 2018-04-05 2020-10-16 西安电子科技大学 一种基于区块链的物联网跨域认证系统及方法
US11489816B2 (en) * 2018-07-31 2022-11-01 Ezblock Ltd. Blockchain joining for a limited processing capability device and device access security
CN109617896B (zh) * 2018-12-28 2021-07-13 浙江省公众信息产业有限公司 一种基于智能合约的物联网访问控制方法和系统
US11196771B2 (en) * 2019-07-16 2021-12-07 International Business Machines Corporation Multi-domain blockchain network with data flow control
CN111600845A (zh) * 2020-04-21 2020-08-28 上海上实龙创智慧能源科技股份有限公司 一种物联网数据访问控制方法及系统
CN112364366B (zh) * 2020-11-26 2024-04-16 中国人民解放军国防科技大学 基于区块链的联盟数据共享访问控制方法及系统
CN113067861A (zh) * 2021-03-16 2021-07-02 四川大学 基于区块链的分布式可扩展访问控制授权系统和方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107682331A (zh) * 2017-09-28 2018-02-09 复旦大学 基于区块链的物联网身份认证方法
CN108810073A (zh) * 2018-04-05 2018-11-13 西安电子科技大学 一种基于区块链的物联网多域访问控制系统及方法
WO2020133333A1 (en) * 2018-12-29 2020-07-02 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for a hierarchical blockchain network
CN111371739A (zh) * 2020-02-14 2020-07-03 重庆邮电大学 一种基于区块链技术的物联网数据接入控制方法
CN111683101A (zh) * 2020-06-16 2020-09-18 铭数科技(青岛)有限公司 一种基于区块链的自主跨域访问控制方法
CN111797404A (zh) * 2020-06-28 2020-10-20 电子科技大学 一种基于区块链及智能合约的IIoT设备安全架构
CN112333159A (zh) * 2020-10-22 2021-02-05 北京梆梆安全科技有限公司 基于区块链的移动物联网终端访问控制方法、装置及系统
CN112364317A (zh) * 2020-11-17 2021-02-12 中国传媒大学 一种基于区块链技术的物联网雾环境管理架构及方法
CN112600892A (zh) * 2020-12-07 2021-04-02 北京邮电大学 面向物联网的区块链设备、系统及工作方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"Blockchain and smart contract for IOT";Mohammad Shurman等;《IEEE》;20200427;全文 *
"基于区块链和智能合约的物联网访问控制架构";马嘉杰等;《电脑知识与技术》;20210131;第17卷(第3期);全文 *
"基于区块链的物联网访问控制框架";史锦山等;《CNKI》;20191217;全文 *

Also Published As

Publication number Publication date
CN113542117A (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
CN113542117B (zh) 一种基于分层区块链的物联网设备资源访问控制方法
US20200304999A1 (en) Integrated physical and logical security management via a portable device
US10567438B2 (en) Providing privileged access to non-privileged accounts
CN113051602B (zh) 一种基于零信任架构的数据库细粒度访问控制方法
CN108702360B (zh) 使用动态网络属性的数字资产保护策略
CN108810073B (zh) 一种基于区块链的物联网多域访问控制系统及方法
US9288193B1 (en) Authenticating cloud services
WO2016169324A1 (zh) 一种云计算数据中心访问管理方法和云计算数据中心
CN110622490A (zh) 核心网络访问提供商
CN109951485B (zh) 一种基于sdn的物联网访问控制方法
CN112765639A (zh) 基于零信任访问策略的安全微服务架构及实现方法
Yutaka et al. Using ethereum blockchain for distributed attribute-based access control in the internet of things
Gwak et al. Taras: Trust-aware role-based access control system in public internet-of-things
CN112437441B (zh) 面向物联网的基于智能合约的访问控制系统及方法
CN114268493B (zh) 区块链上的跨域访问方法及服务器
US12120253B2 (en) System and method to facilitate an account protection check through blockchain
CN113242230A (zh) 一种基于智能合约的多级认证与访问控制系统及方法
Alkhresheh et al. DACIoT: Dynamic access control framework for IoT deployments
CN115987644A (zh) 智能配电物联安全认证系统
US20200218819A1 (en) Sfs access control method and system, sfs and terminal device
CN118041667A (zh) 一种边缘计算环境下基于区块链的物联网属性访问控制系统和方法
US7475422B1 (en) Securing internet browser-based email system through session management
CN116260656B (zh) 基于区块链的零信任网络中主体可信认证方法和系统
KR20210026710A (ko) 공공 IoT용 신뢰-인식 역할-기반 액세스 제어 시스템
Chai et al. Sfac: A smart contract-based fine-grained access control for internet of things

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20230327

Address after: 401336 Yuen Road, Nanan District, Chongqing City, No. 8

Patentee after: CHINA MOBILE IOT Co.,Ltd.

Address before: 400065 Chongqing Nan'an District huangjuezhen pass Chongwen Road No. 2

Patentee before: CHONGQING University OF POSTS AND TELECOMMUNICATIONS

TR01 Transfer of patent right