CN113923034B - 一种联网设备监管认证系统及方法 - Google Patents

一种联网设备监管认证系统及方法 Download PDF

Info

Publication number
CN113923034B
CN113923034B CN202111193014.6A CN202111193014A CN113923034B CN 113923034 B CN113923034 B CN 113923034B CN 202111193014 A CN202111193014 A CN 202111193014A CN 113923034 B CN113923034 B CN 113923034B
Authority
CN
China
Prior art keywords
data
mobile terminal
unit
module
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111193014.6A
Other languages
English (en)
Other versions
CN113923034A (zh
Inventor
曹源
汪大明
邓罡
来飞
付宗波
周忠宝
曹宇
曹恒
陈伯彬
谭光裕
谢超良
唐奕
易江义
陈军
戴俨炯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Yankrypton Technology Co.,Ltd.
Original Assignee
Hunan Chenhan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Chenhan Technology Co ltd filed Critical Hunan Chenhan Technology Co ltd
Priority to CN202111193014.6A priority Critical patent/CN113923034B/zh
Publication of CN113923034A publication Critical patent/CN113923034A/zh
Application granted granted Critical
Publication of CN113923034B publication Critical patent/CN113923034B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明提供了一种联网设备监管认证系统,包括服务器、认证模块、反馈模块、监管模块、存储模块、连接模块和处理器,认证模块用于对各个连接的移动终端进行身份验证;反馈模块基于认证模块的数据,触发向着监管模块发送消息请求,并在监管模块需要向着移动终端发送反馈消息时,把反馈消息向着移动终端进行反馈;监管模块用于对各个移动终端的访问和数据传输进行监管;存储模块用于对各个移动终端上载的数据进行存储;连接模块用于对各个移动终端的连接状态进行监控。本发明通过监管单元用于对各个连接的移动终端各个移动终端的访问和数据传输进行监管,以实现对各个移动终端和用户的隐私数据进行防护。

Description

一种联网设备监管认证系统及方法
技术领域
本发明涉及数据监管认证技术领域,尤其涉及一种联网设备监管认证系统及方法。
背景技术
区块链一般可理解成分布式账本,从实质上说就是一个可以在多个站点、不同地理位置或者多个机构组成的网络里的分布式数据库,网络中每个站点都对数据库所有内容进行验证,在现有移动通信网络中,由于终端设备是用户的私有物品,所以运营商网络无法保证终端设备的安全,运营商的网络接入认证只保证接入网络的用户是合法用户(合法的用户是指具与某运营商签约的用户),而不能保证用户的私有物品的安全性。
如CN103517273B现有技术公开了一种认证方法、管理平台和物联网设备,但监管密钥无法进行委托,无法派生数据加密密钥;超级账本系统中可提供用户交易密钥的匿名派生,同时可支持监管,但每个交易密钥必须通过证书中心进行签发,操作复杂,也无法派生数据加密密钥。不仅有必要对接入物联网的物联网设备的合法性进行验证,另一方面,还存在着攻击者通过伪造远程管理平台发送指令,进而攻击或控制物联网设备的问题。比如不法分子伪造虚假管理平台诱使设备B接入,如果设备B不对该伪造的虚假管理平台进行认证,而是通过不法分子提供的接入方式直接接入到该虚假管理平台,则不法分子就可以通过该虚假管理平台来控制设备B的操作,进而获得设备B的所有信息以用于不法目的。因此,对远程管理平台的认证与否,与对物联网设备的认证与否一样,均会直接影响业务的正常运营。比如另一些物联网应用,使用共享秘密机制对设备进行单向认证,这种方案通常假设认证双方中有一方是可信的,即服务器侧被认为是可信的,仅验证设备身份,并不验证服务器身份,而且可以在服务器上预先存储设备的密钥或私密信息以供后续验证。这种认证方式无法适用于第三方建设远程管理平台的认证,因为这种情形下平台与物联网设备均是不可信的,两个不可信的实体之间难以共享秘密信息,因而不适合使用对称密钥机制进行认证。此外,双向认证并不是两个单向认证的叠加,已有的单向认证方案并不能简单扩展为双向认证应用于双方不可信的场景。 再者,如果在远程管理平台上保存所有物联网设备的密钥或秘密信息,当物联网设备规模急剧增加时,要保存的信息就会海量增加,维护难度极大。而且,当物联网设备由于合作策略变化需要切换远程管理平台时,两个远程管理平台之间还需要交换密钥或秘密信息,同样存在着安全隐患。
为了解决本领域普遍存在无法对联网设备进行监管、认证不准确、无法进行有效的监管、监管的手段缺乏和无法进行双向认证等等问题,作出了本发明。
发明内容
本发明的目的在于,针对目前数据监管和认证所存在的不足,提出了一种联网设备监管认证系统及方法。
为了克服现有技术的不足,本发明采用如下技术方案:
一种联网设备监管认证系统,包括服务器、认证模块、反馈模块、监管模块、存储模块、连接模块和处理器,
所述处理器分别与所述认证模块、所述反馈模块、所述监管模块、所述存储模块、所述连接模块控制连接;
所述服务器与所述处理器连接,建立服务网络供外部的移动终端进行访问或者连接;所述认证模块用于对各个连接的所述移动终端进行身份验证,以识别所述移动终端的识别信息;所述反馈模块基于所述认证模块的数据,触发向着监管模块发送消息请求,并在所述监管模块需要向着所述移动终端发送反馈消息时,把所述反馈消息向着所述移动终端进行反馈;所述监管模块用于对各个所述移动终端的访问和数据传输进行监管;所述存储模块用于对各个移动终端上载的数据进行存储,其中,存储的数据包括个人数据和共享数据;所述连接模块用于对各个移动终端的连接状态进行监控,若出现异常则触发对该连接链路的重新认证或者监管;
所述认证模块包括认证单元和注册单元,所述注册单元用于对与所述服务器建立连接或者访问的所述移动终端进行注册需求的生成,并引导所述移动终端完成注册操作;其中,所述移动终端注册时产生的注册数据作为核验数据集,且所述核验数据集在一个认证周期中有效;
所述认证单元在一个认证周期中对所述核验数据集记载的数据进行核验,若核验不通过则触发对所述移动终端的反馈;
所述认证单元包括数据拆分器和验证器,所述数据拆分器用于对核验数据集进行拆分,并送入所述验证器中进行验证;所述数据裁剪器对所述核验数据集的数据进行拆分,形成一个核验矩阵SET;
Figure 100002_DEST_PATH_IMAGE001
其中,i为数据片段个数;j为数据项数;Uij表示第i个数据片段的第j数据项数的数据值;
所述验证器对所述数据值的完整性进行检测,并生成对应的核验序列号 Q(x),其中,所述核验序列号Q(x)通过执行检测算法生成;所述检测算法如下公式求得:
Figure 399395DEST_PATH_IMAGE002
其中,x为Uij数据值中的数据;R为检验字段位数,且满足N=K+R,N为校验数据集的长度;K为信息字段;m(x)为K次信息多项式;r(x)为R-1次校验多项式;所述移动终端提交的注册数据不满足设定的最低阈值要求,则向着所述移动终端进行提示,以确保所述注册数据能够达到最低的阈值要求。
可选的,所述监管模块包括监管单元和防护单元,所述监管单元用于对各个连接的所述移动终端各个所述移动终端的访问和数据传输进行监管,以实现对各个移动终端和用户的隐私数据进行防护;所述防护单元用于对被所述监管单元确定的隐私数据进行防护;
所述监管单元包括管理子单元和管理数据库,所述管理数据库用于对所述管理子模块产生的管理数据进行存储;所述管理子单元用于对所述移动终端或者用户进行管理,以执行管理操作;其中,所述管理操作包括基于所述移动终端访问或者注册时提交的核验数据集向所述移动终端授予授权码;
所述管理子单元包括授权码生成器,所述授权码生成器用于自动生成授权码以及备份ID,所述授权码生成器通过下式公式生成授权码Authorize:
Figure 100002_DEST_PATH_IMAGE003
其中,ui为移动终端或用户i的访问总次数;taski为移动终端或用户i当天访问的次数;TIME为检测周期,i为时间,i∈TIME;zi为当前时间;di为截止时间;wi为移动终端或用户i访问时触发的等待时间;ki为移动终端或用户i上一次访问的授权码,
Figure 458487DEST_PATH_IMAGE004
其中,Cn为移动终端或用户的身份ID,其值为移动终端或者用户身份ID对应的ASCII码值;并通过下面公式进行计算:
Figure 100002_DEST_PATH_IMAGE005
其中,R(k+1)-R(k)为移动终端或者用户身份ID对应的ASCII码相邻两个序列号之间的差值;F为移动终端或者用户身份ID对应的ASCII码序列号的位数,且λ∈F;
当生成新的授权码后,对授权码进行更新;所述授权码生成器通过下式生成备份ID:
Figure 123955DEST_PATH_IMAGE006
其中,Backupi为备份ID;a和b为系数,其值跟移动终端或用户发布的项目或者需求有关;gi为移动终端或用户上传的数据总存储量;ki为上一次访问的授权码。
可选的,所述防护单元包括随机触发器和防护子单元,所述随机数触发器用于在验证或者防护的过程中生成随机数并记录;所述防护子单元用于对移动终端或用户的数据进行防护,且当所述移动终端或用户在所述服务器中上传数据时,所述防护子单元对数据进行加密操作;所述防护子单元对所述隐私数据进行隐藏,以防护所述移动终端或用户的信息安全;所述加密操作包括:获取一个需要加密操作的数据序列U={C1,C2,C3,…,Cm} ,m∈R;所述防护子单元根据下式执行加密:
Figure 35541DEST_PATH_IMAGE007
其中,
Figure 975816DEST_PATH_IMAGE008
为加密明文序列,MI为加密的秘钥;m为数据序列的元素数量;n为加密明文序列的元素数量;且m=n;
根据已经生成加密密钥MI生成相匹配的防护标签,防护标签Byte根据下面公式进行计算:
Figure 100002_DEST_PATH_IMAGE009
其中, Cm为一个需要加密操作的数据序列U中的数据;u、x为随机数,由随机触发器在执行验证时生成的,并被记录在随机存储器中。
可选的,所述反馈模块包括反馈单元和通信单元,所述反馈单元根据所述认证模块的数据,对各个所述移动终端进行消息反馈;所述通信单元根据所述反馈单元的数据触发请求指令,并把所述请求指令传输至所述移动终端和所述监管模块;其中,进行所述消息反馈的情形包括出现连接异常和运行状态。
可选的,所述连接模块包括连接单元和评估单元,所述连接单元用于与各个所述移动终端进行连接;所述评估单元用于对各个所述移动终端的连接状态进行评估,当出现在设定的最低评估分数阈值之下,则执行重新验证的操作;
所述连接单元包括若干个通信端点和通信器,各个所述通信器设置在各个所述通信端点上,并用于对各个连接的移动终端建立访问权限;各个所述通信端点基于所述通信器的数据授予各个所述移动终端的访问请求;
所述通信器接收来自通信端点的第一请求,为通信端点分配和指派通信入口生成与通信入口相关联的加密密钥,并返回加密密钥和标识通信端点的通信入口;从通信端点接收到与通信入口建立通信连接的第二请求,第二请求伴随有加密证书,使用加密密钥将证书中包含的信息与证书输入信息进行比较;确定证书中包含的信息与证书输入信息匹配,建立与所述移动座终端的通信连接。
可选的,所述存储模块包括共享数据单元、个人数据单元和公布单元,所述公布单元设置在所述共享数据单元中和个人数据单元之间,并根据所述用户或者操作者的通行码进行个人数据的公布;所述共享数据单元用于对经过所述用户或者操作者进行同意后执行共享操作,并发布在所述服务器中;所述个人数据单元用于存储由用户、使用者或者移动终端上传的个人数据,其中个人数据包括隐私数据和机密数据;所述共享数据单元和个人数据单元均设有对应的存储空间,以存储数据。
另外,本发明提供一种联网设备监管认证方法,所述认证方法包括:获取平台接入的移动终端的数量,并根据所述移动终端数量的状态进行监控;其中,监控的参数包括连接成功/失败、访问的时长、执行的操作事件;
获取各个移动终端的授权码,以验证各个所述移动终端的访问授权,若验证不通过,则需要重新验证;若验证通过,则认证操作结束。
可选的,所述认证方法包括:当出现账户异常,则需要进行重新验证,其中,状态异常的确定通过评估操作进行确定;
所述评估操作由所述评估单元进行评估,以确定各个移动终端的重新验证,并同时向着所述监管模块和认证模块发送指令,并记录重新验证的程序;其中,重新验证需要重新授予授权码。
可选的,所述认证方法包括:用户或者操作者需要把隐私数据进行公布,需要执行发布操作,其中,所述发布操作由所述公布单元执行,并发出请求指令,当获取隐私数据的权限或者同意后,将需要公布的隐私数据内容经由所述共享数据单元进行分享。
本发明所取得的有益效果是:
1. 通过采用监管单元用于对各个连接的移动终端各个移动终端的访问和数据传输进行监管,以实现对各个移动终端和用户的隐私数据进行防护;
2.通过公布单元根据操作者的选择进行设定,使得发布的内容能被精准的控制;
3. 通过采用评估单元用于对移动终端出现的异常、非正常登录、异常的操作进行评估,若评估的结果超过设定的最低阈值,则触发对移动终端的重新登录,保证数据的安全,也提升用户数据的安全性;
4.通过反馈模块与监管模块之间的配合使用,使得监管的过程能够反馈至所移动终端或者用户处,使得用户或者操作者能进行交互,以提升整个移动终端对数据的精准保护;
5.通过采用防护子单元用于对移动终端或用户的数据进行防护,且当移动终端或用户在服务器中上传数据时,防护子单元对数据进行加密操作;
6.通过防护子单元对隐私数据进行隐藏或者防护,以防护移动终端或用户的信息安全。
附图说明
从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制,而是将重点放在示出实施例的原理上。在不同的视图中,相同的附图标记指定对应的部分。
图1为本发明的控制流程示意图。
图2为所述存储模块的控制流程示意图。
图3为所述连接模块的控制流程示意图。
图4为所述监管模块的控制流程示意图。
图5为所述认证模块的控制流程示意图。
具体实施方式
为了使得本发明的目的、技术方案及优点更加清楚明白,以下结合其实施例,对本发明进行进一步详细说明;应当理解,此处所描述的具体实施例仅用于解释本发明 ,并不用于限定本发明。对于本领域技术人员而言,在查阅以下详细描述之后,本实施例的其它系统、方法和/或特征将变得显而易见。旨在所有此类附加的系统、方法、特征和优点都包括在本说明书内、包括在本发明的范围内,并且受所附权利要求书的保护。在以下详细描述描述了所公开的实施例的另外的特征,并且这些特征根据以下将详细描述将是显而易见的。
本发明实施例的附图中相同或相似的标号对应相同或相似的部件;在本发明的描述中,需要理解的是,若有术语“上”、“下”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或组件必须具有特定的方位、以特定的方位构造和操作,因此附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
实施例一:根据图1-图5,本实施例提供一种联网设备监管认证系统,包括服务器、认证模块、反馈模块、监管模块、存储模块、连接模块和处理器,所述处理器分别与所述认证模块、所述反馈模块、所述监管模块、所述存储模块、所述连接模块控制连接,并基于所述处理器的集中操作之下对所述认证模块、所述反馈模块、所述监管模块、所述存储模块、所述连接模块进行精准的控制;另外,所述处理器也能通过外部的通信设备与所述服务器进行数据的传输,以搭建服务器平台;在本实施例中,建立形成一个对外提供服务的MP(MutualPrivacy)服务器平台,以实现综合运用区块链底层技术、多方安全计算、同态加密、代理重加密、零知识证明、门限签名等技术,依托可信执行环境,提供多方安全数据隐私防护和计算服务;
所述服务器与所述处理器连接,建立服务网络供外部的移动终端进行访问或者连接;
其中,所述认证模块用于对各个连接的所述移动终端进行身份验证,以识别所述移动终端的识别信息;所述反馈模块基于所述认证模块的数据,触发向着监管模块发送消息请求,并在所述监管模块需要向着所述移动终端发送反馈消息时,把所述反馈消息向着所述移动终端进行反馈;所述监管模块用于对各个所述移动终端的访问和数据传输进行监管;所述存储模块用于对各个移动终端上载的数据进行存储,其中,存储的数据包括个人数据和共享数据;所述连接模块用于对各个移动终端的连接状态进行监控,若出现异常则触发对该连接链路的重新认证或者监管;
当各个所述移动终端与所述服务网络进行连接时,通过所述连接模块进行连接并验证各个所述移动终端的授权,若未授予授权则提示其进行注册,并获得核验数据;若已经注册过则登录,并获得新的核验数据;同时,所述认证模块基于注册时或登录生成的核验数据进行认证操作;
可选的,所述连接模块包括连接单元和评估单元,所述连接单元用于与各个所述移动终端进行连接;所述评估单元用于对各个所述移动终端的连接状态进行评估,当出现在设定的最低评估分数阈值之下,则执行重新验证的操作;
所述连接单元包括若干个通信端点和通信器,各个所述通信器设置在各个所述通信端点上,并用于对各个连接的移动终端建立访问权限;各个所述通信端点基于所述通信器的数据授予各个所述移动终端的访问请求;
所述通信器接收来自通信端点的第一请求,为通信端点分配和指派通信入口生成与通信入口相关联的加密密钥,并返回加密密钥和标识通信端点的通信入口;从通信端点接收到与通信入口建立通信连接的第二请求,第二请求伴随有加密证书,使用加密密钥将证书中包含的信息与证书输入信息进行比较;确定证书中包含的信息与证书输入信息匹配,建立与所述移动终端的通信连接;
所述通信端点由虚拟机进行管理,其中,所述证书和所述加密密钥由所述虚拟机进行生成,并通过所述通信器执行验证操作;
另外,所述证书输入信息包括:对通信端点的鉴定;对分配给通信端点的通信入口的标识的鉴定;
其中,在各个通信入口之间建立通信连接,并比较包括在证书中的信息包括使用加密密钥解密包括在证书中的信息;在本实施例中,所述加密密钥是对称加密密钥;
同时,所述通信端点与虚拟机相关联; 并在连接成功后向着所述移动终端发送包括向通信端点发送指示已经建立通信连接的通知;
另外,所述认证模块包括认证单元和注册单元,所述注册单元用于对与所述服务器建立连接或者访问的所述移动终端进行注册需求的生成,并引导所述移动终端完成注册操作;其中,所述移动终端注册时产生的注册数据作为核验数据集,且所述核验数据集在一个认证周期中有效;
所述认证单元在一个认证周期中对所述核验数据集记载的数据进行核验,若核验不通过则触发对所述移动终端的反馈;
所述认证单元包括数据拆分器和验证器,所述数据拆分器用于对核验数据集进行拆分,并送入所述验证器中进行验证;所述数据裁剪器对所述核验数据集的数据进行拆分,形成一个核验矩阵SET;
Figure 420572DEST_PATH_IMAGE010
其中,i为数据片段个数;j为数据项数;Uij表示第i个数据片段的第j数据项数的数据值;
所述验证器对所述数据值的完整性进行检测,并生成对应的核验序列号 Q(x),其中,所述核验序列号Q(x)通过执行检测算法生成;所述检测算法如下公式求得:
Figure DEST_PATH_IMAGE011
其中,x为Uij数据值中的数据;R为检验字段位数,且满足N=K+R,N为校验数据集的长度;K为信息字段;m(x)为K次信息多项式;r(x)为R-1次校验多项式;具体的操作方式为:借助于多项式除法,其余数为校验字段;若所述移动终端提交的注册数据不满足设定的最低阈值要求,则向着所述移动终端进行提示,以确保所述注册数据能够达到最低的阈值要求;
可选的,所述监管模块包括监管单元和防护单元,所述监管单元用于对各个连接的所述移动终端各个所述移动终端的访问和数据传输进行监管,以实现对各个移动终端和用户的隐私数据进行防护;所述防护单元用于对被所述监管单元确定的隐私数据进行防护;
所述监管单元包括管理子单元和管理数据库,所述管理数据库用于对所述管理子模块产生的管理数据进行存储;所述管理子单元用于对所述移动终端或者用户进行管理,以执行管理操作;其中,所述管理操作包括基于所述移动终端访问或者注册时提交的核验数据集向所述移动终端授予授权码;
所述管理子单元包括授权码生成器,所述授权码生成器用于自动生成授权码以及备份ID,所述授权码生成器通过下式公式生成授权码Authorize:
Figure 584837DEST_PATH_IMAGE012
其中,ui为移动终端或用户i的访问总次数;taski为移动终端或用户i当天访问的次数;TIME为检测周期,i为时间,i∈TIME;zi为当前时间;di为截止时间;wi为移动终端或用户i访问时触发的等待时间;ki为移动终端或用户i上一次访问的授权码,
Figure DEST_PATH_IMAGE013
其中,Cn为移动终端或用户的身份ID,其值为移动终端或者用户身份ID对应的ASCII码值;并通过下面公式进行计算:
Figure 246369DEST_PATH_IMAGE014
其中,R(k+1)-R(k)为移动终端或者用户身份ID对应的ASCII码相邻两个序列号之间的差值;F为移动终端或者用户身份ID对应的ASCII码序列号的位数,且λ∈F;
当生成新的授权码后,对授权码进行更新;所述授权码生成器通过下式生成备份ID:
Figure DEST_PATH_IMAGE015
其中,Backupi为备份ID;a和b为系数,其值跟移动终端或用户发布的项目或者需求有关;gi为移动终端或用户上传的数据总存储量;ki为上一次访问的授权码;
所述管理子单元在响应所述移动终端或用户的访问请求前,需要利用所述授权码生成器生成新的授权码和备份ID,且新下发所述授权码和备份ID与原来的授权码和备份ID需不一致才有效,使访问请求的记录可被追溯;另外,所述授权码和所述备份ID互为冗余,若所述授权码被使用后或者失效后,则启用备份ID;
可选的,所述防护单元包括随机触发器和防护子单元,所述随机数触发器用于在验证或者防护的过程中生成随机数并记录;所述防护子单元用于对移动终端或用户的数据进行防护,且当所述移动终端或用户在所述服务器中上传数据时,所述防护子单元对数据进行加密操作;所述防护子单元对所述隐私数据进行隐藏,以防护所述移动终端或用户的信息安全;所述加密操作包括:获取一个需要加密操作的数据序列U={C1,C2,C3,…,Cm} ,m∈R;所述防护子单元根据下式执行加密:
Figure 380548DEST_PATH_IMAGE016
其中,
Figure DEST_PATH_IMAGE017
为加密明文序列,MI为加密的秘钥;m为数据序列的元素数量;n为加密明文序列的元素数量;且m=n;
根据已经生成加密密钥MI生成相匹配的防护标签,防护标签Byte根据下面公式进行计算:
Figure 696122DEST_PATH_IMAGE018
其中, Cm为一个需要加密操作的数据序列U中的数据;u、x为随机数,由随机触发器在执行验证时生成,并被记录在随机存储器中;在所述触发器和所述随机存储器中,对生成随机数和随机存储器的数据进行记录,并通过执行加密操作时由所述防护子单元所调用;
可选的,所述反馈模块包括反馈单元和通信单元,所述反馈单元根据所述认证模块的数据,对各个所述移动终端进行消息反馈;所述通信单元根据所述反馈单元的数据触发请求指令,并把所述请求指令传输至所述移动终端和所述监管模块;其中,进行所述消息反馈的情形包括出现连接异常和运行状态,当出现连接异常或者运行状态的异常均会通过所述反馈模块进行反馈,以实现对消息的精准及时推送;
可选的,所述存储模块包括共享数据单元、个人数据单元和公布单元,所述公布单元设置在所述共享数据单元中和个人数据单元之间,并根据所述用户或者操作者的通行码进行个人数据的公布;所述共享数据单元用于对经过所述用户或者操作者进行同意后执行共享操作,并发布在所述服务器中;所述个人数据单元用于存储由用户、使用者或者移动终端上传的个人数据,其中个人数据包括隐私数据和机密数据;所述共享数据单元和个人数据单元均设有对应的存储空间以存储数据;
另外,本发明提供一种联网设备监管认证方法,所述认证方法包括:获取平台接入的移动终端的数量,并根据所述移动终端数量的状态进行监控;其中,监控的参数包括连接成功/失败、访问的时长、执行的操作事件;获取各个移动终端的授权码,以验证各个所述移动终端的访问授权,若验证不通过,则需要重新验证;若验证通过,则认证操作结束;另外,所述认证方法还包括对所述操作者的位置以及操作进行记录,并生成相应的报告供所述操作者自身进行查看,其中,对于提供到所服务器或者发布的数据也能进行记录,并存储在服务器中;
可选的,所述认证方法包括:当出现账户异常,则需要进行重新验证,其中,状态异常的确定通过评估操作进行确定;
所述评估操作由所述评估单元进行评估,以确定各个移动终端的重新验证,并同时向着所述监管模块和认证模块发送指令,并记录重新验证的程序;其中,重新验证需要重新授予授权码;
可选的,所述认证方法包括:用户或者操作者需要把隐私数据进行公布,需要执行发布操作,其中,所述发布操作由所述公布单元执行,并发出请求指令,当获取隐私数据的权限或者同意后,将需要公布的隐私数据内容经由所述共享数据单元进行分享。
实施例二:本实施例应当理解为至少包含前述任一一个实施例的全部特征,并在其基础上进一步改进,根据图1-图5,还在于所述公布单元的公布原则基于所述操作者的选择进行设定,使得发布的内容能被精准的控制;即:通过所述操作者的授权执行发布操作;若操作者并未执行授权操作,则不会执行公布操作;
其中,所述发布器的数据块根据下面公式进行确定:
Figure DEST_PATH_IMAGE019
其中,PRINT为发布的数据块;Authorize为授权码;g为操作者所选择要发布的数据序列,可以选定加密操作的数据序列U中的一个或者多个数据序列;Vg为对应的随机数;
Figure 516442DEST_PATH_IMAGE020
为所述操作者所选定的发布的数据块;当满足经过授权后,即,同时满足:确定授权码、确定发布的数据块和操作者的确认码后,启动发布操作;
另外,当对所述数据块进行确定后,还需要再次提示所述操作者对其进行验证;其中,对各个所述隐私数据进行分组或者合并,以区分各组数据是隐私数据或者共享数据之间的关系;对于fk为分组形成的隐私数据确认码,根据下式进行确定:
Figure DEST_PATH_IMAGE021
其中,Cm为一个需要加密操作的数据序列U中的数据;Vg为对应的随机数;fr为在对所述合并或者分组验证是为每个数据块生成的一个随机数; fk为分组形成的隐私数据确认码。
实施例三:本实施例应当理解为至少包含前述任一一个实施例的全部特征,并在其基础上进一步改进,根据图1-图5,还在于所述评估单元用于对所述移动终端出现的异常、非正常登录、异常的操作进行评估,若评估的结果超过设定的最低阈值,则触发对所述移动终端的重新登录;
其中,所述评估单元包括执行器和监控服务器,所述监控服务器用于对多个移动终端的操作或者登录状态进行监控,并接收所述反馈模块的反馈消息,并综合对各个所述移动终端进行评估;所述执行器根据所述监控服务器对多个移动终端的评估,使得所述执行器能够驱使对各个所述移动终端的重新登录,即:驱使其离线并进行重新的登录;
所述监控服务器对各个所述移动终端的操作或者状态建立对应的事件数据,各个所述事件数据仅用于对事件进行记录,并不会收集对应的事件的数据,以实现对各个操作者的隐私数据的安全;
所述监控服务器根据所述事件数据划分为事件数据字段和分数数据字段;同时,为事件数据字段和每个认证事件生成指示对应于认证事件的信任分数的数据;并且,对于分数数据字段,基于与认证事件对应的信任分数生成指示安全分数的数据;
并且响应于接收到指示与认证事件的请求数据,如果安全分数满足正常的认证条件,则根据正常指标,不触发重新登录;
其中,满足条件的安全分数根据操作者的操作状态而变化;若操作中存在异常;则操作状态产生改变,则其对应的安全分数随即产生变化;
另外,如果安全分数不满足认证条件,则生成评估数据字段的数据并将指示认证质询的数据传输到移动终端上,以采集所述操作者对认证质询的反馈;
根据从所述移动终端接收所述操作者对认证质询的反馈数据,在数据记录中为事件数据字段生成指示信任的数据对应于由身份验证质询和响应定义的另一个身份认证事件的分数;
在本实施例中,所述事件数据存在多个认证事件,且对于所述评估数据字段的分析需要结合相邻或者连续的认证事件进行评估,其中,针对评估数据字段,基于与第一认证事件对应的信任评分和另一个认证事件对应的信任评分,生成指示另一安全评分的数据;如果其他安全评分满足操作数据对应的评估条件,则根据价值指标对移动终端进行评估;
其中,为了生成安全分数,监控服务器基于与操作数据中的所有认证事件对应的信任分数生成指示安全分数的数据;
针对所述事件数据字段并且针对每个认证事件生成指示所述认证事件的时间戳的数据;
其中,对于每个信任分数,信任分数随着时间的推移而降低,并且为了生成表示信任分数的数据,所述监控服务器为生成指示降低的信任分数的数据,并且其中,为了生成指示安全分数的数据,所述监控服务器基于降低的信任分数生成指示安全分数的数据;其中,对于不同类型的认证事件,信任分数的降低率是不同的;所述监控服务器还用于为所述评估数据字段生成表示安全评分有效期的数据;响应于在所述有效期内接收到指示与所述移动终端关联的后续认证请求的请求数据,所述移动终端对应于所述有效期内的操作数据,所述执行器还用于:检索安全评分;如果安全评分满足后续交易对应的评估条件,则根据后续操作数据的指标对各个所述移动终端进行重新评估。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
虽然上面已经参考各种实施例描述了本发明,但是应当理解,在不脱离本发明的范围的情况下,可以进行许多改变和修改。也就是说上面讨论的方法,系统和设备是示例。各种配置可以适当地省略,替换或添加各种过程或组件。例如,在替代配置中,可以以与所描述的顺序不同的顺序执行方法,和/或可以添加,省略和/或组合各种部件。而且,关于某些配置描述的特征可以以各种其他配置组合,如可以以类似的方式组合配置的不同方面和元素。此外,随着技术发展其中的元素可以更新,即许多元素是示例,并不限制本公开或权利要求的范围。
在说明书中给出了具体细节以提供对包括实现的示例性配置的透彻理解。然而,可以在没有这些具体细节的情况下实践配置例如,已经示出了众所周知的电路,过程,算法,结构和技术而没有不必要的细节,以避免模糊配置。该描述仅提供示例配置,并且不限制权利要求的范围,适用性或配置。相反,前面对配置的描述将为本领域技术人员提供用于实现所描述的技术的使能描述。在不脱离本公开的精神或范围的情况下,可以对元件的功能和布置进行各种改变。
综上,其旨在上述详细描述被认为是例示性的而非限制性的,并且应当理解,以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (7)

1.一种联网设备监管认证系统,包括服务器,其特征在于,包括认证模块、反馈模块、监管模块、存储模块、连接模块和处理器,
所述处理器分别与所述认证模块、所述反馈模块、所述监管模块、所述存储模块和所述连接模块控制连接;
所述服务器用于建立服务网络供外部的移动终端进行访问或者连接;所述认证模块用于对各个连接的所述移动终端进行身份验证,以识别所述移动终端的识别信息;所述反馈模块基于所述认证模块的数据,触发向着监管模块发送消息请求,并在所述监管模块需要向着所述移动终端发送反馈消息时,把所述反馈消息向着所述移动终端进行反馈;所述监管模块用于对各个所述移动终端的访问数据传输进行监管;所述存储模块用于对各个移动终端上载的数据进行存储,其中,存储的数据包括个人数据和共享数据;所述连接模块用于对各个移动终端的连接状态进行监控,若出现异常则触发对该连接链路的重新认证或者监管;
所述认证模块包括认证单元和注册单元,所述注册单元用于对与所述服务器建立连接或者访问的所述移动终端进行注册需求的生成,并引导所述移动终端完成注册操作;其中,所述移动终端注册时产生的注册数据作为核验数据集,且所述核验数据集在一个认证周期中有效;
所述认证单元在一个认证周期中对所述核验数据集记载的数据进行核验,若核验不通过则触发对所述移动终端的反馈;
所述认证单元包括数据拆分器和验证器,所述数据拆分器用于对核验数据集进行拆分,并送入所述验证器中进行验证;所述数据拆分器对所述核验数据集的数据进行拆分,形成一个核验矩阵SET;
Figure DEST_PATH_IMAGE001
其中,i为数据片段个数;j为数据项数;Uij表示第i个数据片段的第j数据项数的数据值;
所述验证器对所述数据值的完整性进行检测,并生成对应的核验序列号 Q(x),其中,所述核验序列号Q(x)通过执行检测算法生成;所述检测算法如下公式求得:
Figure 23602DEST_PATH_IMAGE002
其中,x为Uij数据值中的数据;R为检验字段位数,且满足N=K+R,N为校验数据集的长度;K为信息字段;m(x)为K次信息多项式;r(x)为R-1次校验多项式;所述移动终端提交的注册数据不满足设定的最低阈值要求,则向着所述移动终端进行提示,以确保所述注册数据能够达到最低的阈值要求;
所述监管模块包括监管单元和防护单元,所述监管单元用于对各个连接的所述移动终端的访问数据传输进行监管,以实现对各个移动终端和用户的隐私数据进行防护;所述防护单元用于对被所述监管单元确定的隐私数据进行防护;
所述监管单元包括管理子单元和管理数据库,所述管理数据库用于对所述管理子单元产生的管理数据进行存储;所述管理子单元用于对所述移动终端或者用户进行管理,以执行管理操作;其中,所述管理操作包括基于所述移动终端访问或者注册时提交的核验数据集向所述移动终端授予授权码;
所述管理子单元包括授权码生成器,所述授权码生成器用于自动生成授权码以及备份ID,所述授权码生成器通过下式公式生成授权码Authorize:
Figure DEST_PATH_IMAGE003
其中,ui为移动终端或用户i的访问总次数;taski为移动终端或用户i当天访问的次数;TIME为检测周期,i为时间,i∈TIME;zi为当前时间;di为截止时间;wi为移动终端或用户i访问时触发的等待时间;ki为移动终端或用户i上一次访问的授权码,
Figure 775657DEST_PATH_IMAGE004
其中,Cn为移动终端或用户的身份ID,其值为移动终端或者用户身份ID对应的ASCII码值;并通过下面公式进行计算:
Figure DEST_PATH_IMAGE005
其中,R(k+1)-R(k)为移动终端或者用户身份ID对应的ASCII码相邻两个序列号之间的差值;F为移动终端或者用户身份ID对应的ASCII码序列号的位数,且λ∈F;
当生成新的授权码后,对授权码进行更新;所述授权码生成器通过下式生成备份ID:
Figure 18026DEST_PATH_IMAGE006
其中,Backupi为备份ID;a和b为系数,其值跟移动终端或用户发布的项目或者需求有关;gi为移动终端或用户上传的数据总存储量;ki为上一次访问的授权码;
所述防护单元包括随机触发器和防护子单元,所述随机触发器用于在验证或者防护的过程中生成随机数并记录;所述防护子单元用于对移动终端或用户的数据进行防护,且当所述移动终端或用户在所述服务器中上传数据时,所述防护子单元对数据进行加密操作;所述防护子单元对所述隐私数据进行隐藏,以防护所述移动终端或用户的信息安全;所述加密操作包括:获取一个需要加密操作的数据序列U={C1,C2,C3,…,Cm} ,m∈R;所述防护子单元根据下式执行加密:
Figure DEST_PATH_IMAGE007
其中,
Figure 19480DEST_PATH_IMAGE008
为加密明文序列,MI为加密的秘钥;m为数据序列的元素数量;n为加密明文序列的元素数量;且m=n;
根据已经生成加密密钥MI生成相匹配的防护标签,防护标签Byte根据下面公式进行计算:
Figure DEST_PATH_IMAGE009
其中, Cm为一个需要加密操作的数据序列U中的数据;u、x为随机数,由随机触发器在执行验证时生成的,并被记录在随机存储器中。
2.根据权利要求1所述的一种联网设备监管认证系统,其特征在于,所述反馈模块包括反馈单元和通信单元,所述反馈单元根据所述认证模块的数据,对各个所述移动终端进行消息反馈;所述通信单元根据所述反馈单元的数据触发请求指令,并把所述请求指令传输至所述移动终端和所述监管模块;其中,进行所述消息反馈的情形包括出现连接异常和运行状态。
3.根据权利要求2所述的一种联网设备监管认证系统,其特征在于,所述连接模块包括连接单元和评估单元,所述连接单元用于与各个所述移动终端进行连接;所述评估单元用于对各个所述移动终端的连接状态进行评估,当出现在设定的最低评估分数阈值之下,则执行重新验证的操作;
所述连接单元包括若干个通信端点和通信器,各个所述通信器设置在各个所述通信端点上,并用于对各个连接的移动终端建立访问权限;各个所述通信端点基于所述通信器的数据授予各个所述移动终端的访问请求;
所述通信器接收来自通信端点的第一请求,为通信端点分配和指派通信入口生成与通信入口相关联的加密密钥,并返回加密密钥和标识通信端点的通信入口;从通信端点接收到与通信入口建立通信连接的第二请求,第二请求伴随有加密证书,使用加密密钥将证书中包含的信息与证书输入信息进行比较;确定证书中包含的信息与证书输入信息匹配,建立与所述移动终端的通信连接。
4.根据权利要求3所述的一种联网设备监管认证系统,其特征在于,所述存储模块包括共享数据单元、个人数据单元和公布单元,所述公布单元设置在所述共享数据单元中和个人数据单元之间,并根据所述用户或者操作者的通行码进行个人数据的公布;所述共享数据单元用于对经过所述用户或者操作者进行同意后执行共享操作,并发布在所述服务器中;所述个人数据单元用于存储由用户、使用者或者移动终端上传的个人数据,其中个人数据包括隐私数据和机密数据;所述共享数据单元和个人数据单元均设有对应的存储空间,以存储数据。
5.一种如权利要求4所述的一种联网设备监管认证系统的认证方法,其特征在于,所述认证方法包括:获取平台接入的移动终端的数量,并根据所述移动终端数量的状态进行监控;其中,监控的参数包括连接成功/失败、访问的时长、执行的操作事件;
获取各个移动终端的授权码,以验证各个所述移动终端的访问授权,若验证不通过,则需要重新验证;若验证通过,则认证操作结束。
6.根据权利要求5所述的一种联网设备监管认证系统的认证方法,其特征在于,所述认证方法包括:当出现账户异常,则需要进行重新验证,其中,状态异常的确定通过评估操作进行确定;
所述评估操作由所述评估单元进行评估,以确定各个移动终端的重新验证,并同时向着所述监管模块和认证模块发送指令,并记录重新验证的程序;其中,重新验证需要重新授予授权码。
7.根据权利要求6所述的一种联网设备监管认证系统的认证方法,其特征在于,所述认证方法包括:用户或者操作者需要把隐私数据进行公布,需要执行发布操作,其中,所述发布操作由所述公布单元执行,并发出请求指令,当获取隐私数据的权限或者同意后,将需要公布的隐私数据内容经由所述共享数据单元进行分享。
CN202111193014.6A 2021-10-13 2021-10-13 一种联网设备监管认证系统及方法 Active CN113923034B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111193014.6A CN113923034B (zh) 2021-10-13 2021-10-13 一种联网设备监管认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111193014.6A CN113923034B (zh) 2021-10-13 2021-10-13 一种联网设备监管认证系统及方法

Publications (2)

Publication Number Publication Date
CN113923034A CN113923034A (zh) 2022-01-11
CN113923034B true CN113923034B (zh) 2022-08-26

Family

ID=79239927

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111193014.6A Active CN113923034B (zh) 2021-10-13 2021-10-13 一种联网设备监管认证系统及方法

Country Status (1)

Country Link
CN (1) CN113923034B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016065172A1 (en) * 2014-10-24 2016-04-28 Eingot Llc Records access and management
CN107911282A (zh) * 2017-11-15 2018-04-13 广州百兴网络科技有限公司 一种面向社交网络实现第三方应用植入的网络系统
CN109729168A (zh) * 2018-12-31 2019-05-07 浙江成功软件开发有限公司 一种基于区块链的数据共享交换系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2013204965B2 (en) * 2012-11-12 2016-07-28 C2 Systems Limited A system, method, computer program and data signal for the registration, monitoring and control of machines and devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016065172A1 (en) * 2014-10-24 2016-04-28 Eingot Llc Records access and management
CN107911282A (zh) * 2017-11-15 2018-04-13 广州百兴网络科技有限公司 一种面向社交网络实现第三方应用植入的网络系统
CN109729168A (zh) * 2018-12-31 2019-05-07 浙江成功软件开发有限公司 一种基于区块链的数据共享交换系统及方法

Also Published As

Publication number Publication date
CN113923034A (zh) 2022-01-11

Similar Documents

Publication Publication Date Title
US10297094B2 (en) Challenge-response access control using context-based proof
WO2021179449A1 (zh) 一种基于证书身份认证的拟态防御系统及证书签发方法
US20190294817A1 (en) Method and system for managing access to personal data by means of a smart contract
Lee et al. Modifiable public blockchains using truncated hashing and sidechains
CN106888084B (zh) 一种量子堡垒机系统及其认证方法
US10333930B2 (en) System and method for transparent multi-factor authentication and security posture checking
US20130042298A1 (en) System and method for generating trust among data network users
US8631486B1 (en) Adaptive identity classification
CN101262342A (zh) 分布式授权与验证方法、装置及系统
CN110502889B (zh) 登录方法、装置、计算机可读存储介质和计算机设备
TW201426383A (zh) 身份驗證系統及方法
Dua et al. Replay attack prevention in Kerberos authentication protocol using triple password
CN117040896A (zh) 一种物联网管理方法及物联网管理平台
CN110868415B (zh) 远程身份验证方法及装置
CN117216740A (zh) 一种基于区块链技术的数字身份认证方法
US11075944B2 (en) System and method for protection of computer networks against man-in-the-middle attacks
Al-Rawy et al. A design for blockchain-based digital voting system
CN117376026A (zh) 物联网设备身份认证方法及系统
Lv et al. A highly reliable cross-domain identity authentication protocol based on blockchain in edge computing environment
CN113923034B (zh) 一种联网设备监管认证系统及方法
Said et al. A multi-factor authentication-based framework for identity management in cloud applications
CN113647080A (zh) 以密码保护的方式提供数字证书
CN113343204B (zh) 基于区块链的数字身份管理系统及方法
Dong et al. Securing Smart UAV Delivery Systems Using Zero Trust Principle-Driven Blockchain Architecture
CN113204773A (zh) 基于公共网络的电子公证数据可信交换方法及其应用

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 410000 room 816, Hemei building, building 1, No. 189, Sany Avenue, wujialing street, Kaifu District, Changsha City, Hunan Province

Applicant after: Hunan Chenhan Technology Co.,Ltd.

Address before: 410003 No. 816, Hemei building, building 1, No. 189, Sany Avenue, wujialing street, Kaifu District, Changsha City, Hunan Province

Applicant before: HUNAN CHENHAN INFORMATION TECHNOLOGY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20221108

Address after: No. 1417, Building 1, Qixin Constellation Apartment, 266 Guyuan Road, High tech Development Zone, Changsha City, Hunan Province, 410221

Patentee after: Hunan Yankrypton Technology Co.,Ltd.

Address before: 410000 room 816, Hemei building, building 1, No. 189, Sany Avenue, wujialing street, Kaifu District, Changsha City, Hunan Province

Patentee before: Hunan Chenhan Technology Co.,Ltd.