CN113987465B - 一种海量异构物联网设备的通用精准访问控制系统及方法 - Google Patents

一种海量异构物联网设备的通用精准访问控制系统及方法 Download PDF

Info

Publication number
CN113987465B
CN113987465B CN202111406046.XA CN202111406046A CN113987465B CN 113987465 B CN113987465 B CN 113987465B CN 202111406046 A CN202111406046 A CN 202111406046A CN 113987465 B CN113987465 B CN 113987465B
Authority
CN
China
Prior art keywords
user
code
characteristic information
information
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111406046.XA
Other languages
English (en)
Other versions
CN113987465A (zh
Inventor
韩玉冰
禹继国
董安明
赵桂新
张丽
刘晓慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qilu University of Technology
Original Assignee
Qilu University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qilu University of Technology filed Critical Qilu University of Technology
Publication of CN113987465A publication Critical patent/CN113987465A/zh
Application granted granted Critical
Publication of CN113987465B publication Critical patent/CN113987465B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • G06F11/1464Management of the backup or restore process for networked environments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于物联网和信息安全技术领域,公开了一种物联网海量异构物联网设备的通用精准访问控制技术,通过采用非对称加密算法结合用户特征信息结合的方式设计物联网设备通用访问验证控制机制,并引入Scode作为域内节点信息交互的通用数据格式,能够确保域内各节点之间数据高效传递的同时有效避免数据被窃取或攻击,并可以应对当前海量异构物联网设备开放端口需求和权限粗粒度问题,突破设备外部通信和内部资源的通用精准访问控制和对非授权访问的有效阻止难题。

Description

一种海量异构物联网设备的通用精准访问控制系统及方法
技术领域
本发明属于物联网和信息安全技术领域,具体涉及一种物联网海量异构物联网设备的通用精准访问控制系统及方法。
背景技术
物联网设备的精准访问控制技术是智慧城市安全可靠的重要前提。当前,物联网设备普遍存在开放端口和越权访问难题,不仅正常行为难以进行,更导致设备时时刻刻暴露在攻击威胁之下,并且现有的基于固件和权限控制的解决方案难以平衡高效的通讯需求和全面的访问控制之间的矛盾。因此,针对当前海量异构物联网设备开放端口需求和权限粗粒度问题,如何攻克设备外部通信和内部资源的通用精准访问控制实现对非授权访问的有效阻止,实现海量物联网设备的可靠运行,是当下亟需解决的关键问题。
发明内容
针对上述问题,本发明的目的在于提出一种海量异构物联网设备的通用精准访问控制系统及方法。
一种海量异构物联网设备的通用系统,其特征在于,所述系统具体包括:
所述系统由域内节点与域外节点共同组成,
其中,域内节点又分为上游节点、关键节点、中心节点、下游节点;域外节点包括物联网外围接入设备;
域内各节点之间使用通用数据格式Scode,所述通用数据格式Scode是指能够在所述海量异构物联网设备的通用精准访问控制系统域内各级节点设备之间进行信息交互时所采用的统一格式,具体为:时间信息段+节点设备识别码信息段+用户特征信息段+节点设备IP地址信息段+指令信息段共5个字段组成;
所述关键节点由中枢控制子系统组成,所述中枢控制子系统进一步由电源控制模块、用户特征信息控制管理模块、信息处理模块以及中枢控制子系统存储模块组成;
进一步,所述电源控制模块又分为主供电子模块和应急供电子模块:所述主供电子模块用于为中枢控制子系统各功能模块进行供电,并配备有主电池,优先采用外接电源进行供电,并在无法使用外接电源供电时使用主电池进行供电;所述应急供电子模块配备有备用电池用于应急供电,可与关键节点主体设备进行离体连接,并在主体设备无外接电源且主电池电量到达预设阈值时,或者关键节点主体设备无法提供服务时启动,启动的同时一并激活安全应急模式,并激活授权指令向中心节点进行授权,转移关键节点的部分功能至中心节点,由中心节点代替关键节点对各级节点进行数据传输和指令控制;
进一步,所述用户特征信息控制管理模块由用户特征信息采集子模块、用户特征信息管理控制芯片、用户特征信息存储子模块以及用户特征信息识别验证子模块组成;
所述用户特征信息采集子模块,用于采集并登记用户的特征信息,并对所述用户的特征信息进行预处理;
所述用户特征信息管理控制芯片,用于在用户特征信息采集子模块进行用户特征信息的采集时,控制用户特征信息的单向写入,并将用户特征信息存储在用户特征信息存储子模块的存储区域中进行本地存储,提供硬件级别的安全保护,确保经由用户特征信息采集子模块采集到的用户特征信息无法被其他模块访问获取读取,并且对用户特征信息采集子模块采集到的用户特征信息进行类型识别,并在识别出用户特征信息类型FType后,按照预设的提取策略对用户特征信息进行特征值提取,不同的特征值能够按照预设的规则进行组合形成一组特征值集合,所述用户特征信息管理控制芯片为每一组特征值集合分配唯一编码Fcode;所述用户特征信息管理控制芯片还用于接收关键节点以外的其他节点或域外设备发送的用户特征信息,并将其与本地存储的用户特征信息进行相同维度标准的对比,若判断结果为一致,则输出验证结果Bcode=01,否则Bcode=00;
所述用户特征信息存储子模块,用于存储用户特征信息,设置有多个不同的存储区域,每个存储区域中又分配有多个存储单元,每个存储单元均具有唯一编号Dcode并对应储存有用户特征信息的特征值;
所述用户特征信息识别验证子模块,用于接收并解析其他节点发送的生物特征信息以及Scode,并将其发送给用户特征信息管理控制芯片并获取Bcode值,并当Bcode=01时,更新Scode中的用户特征信息段;
所述信息处理模块,能够获取上游节点发送的绑定策略,并解析获取相对应的绑定策略,并利用预设的规则将Fcode与绑定指令信息形成映射关系,进而实现所述Fcode码能够与用户定制的具体的操作指令或操作指令集进行绑定,用于快速实现对物联网设备的精准访问控制;
所述中枢控制子系统存储模块,用于存储关键节点产生的除用户特征信息外的数据信息,并将其同步至中心节点并备份至备份节点;
所述中心节点为物联网中的数据汇聚处理中心,主要由服务器或服务器集群组成,直接与域内各个关键节点、上游节点以及部分下游节点相连,并为域内各节点提供算力支撑,所述中心节点为域内各个关键节点预先分配初始算力并能够根据各节点实时需求动态调整算力分配;同时为各级节点上传的同步数据进行存储;
所述上游节点为配置有能够对用户特征信息进行采集识别的智能终端设备,用户可以通过上游节点控制接入海量异构物联网设备的通用系统的外围接入设备,并利用终端设备上的适配软件可以实现包括用户特征信息、通用数据格式Scode等数据的发送,以及个性化设定绑定策略用于将用户特征信息与操作指令形成绑定指令信息;
所述下游节点作为域内底层节点部署在外围接入设备的邻近范围内,并与邻近范围内的接入设备进行绑定,能够发挥物联网智能网关的作用,使用中间件或抽象映射模型等行业内成熟的解决方案,消除异构设备之间由于设备类型、设备支持的控制指令及标准协议的不同而造成的异构设备之间无法实现信息交互的问题,能够实现与域外多种异构物联网设备的信息传递解析;所述下游节点还用于接收域内其他节点发送的通用数据格式Scode并将其解译为接入设备所能识别的数据指令与格式,随后发送至邻近范围内的接入设备,同时还可以接收并解析所述接入设备发送或反馈的数据,并将其转化为通用数据格式Scode传输给上层节点。
此外,还提出一种基于海量异构物联网设备的通用精准访问控制系统的身份验证方法,其特征在于,所述方法包括:
步骤S1,初始化某一用户G的用户特征信息,具体又包括:
步骤S1-1,用户G借助于上游节点或关键节点完成用户特征信息的采集录入,并对用户特征信息进行类型识别,并利用预设的提取策略对用户特征信息进行特征值提取,按照预设的规则对提取出的特征值进行组合形成特征值集合,并为每一组特征值集合均生成唯一Fcode码与之对应;
步骤S1-2,用户G选定其中一个Fcode码作为私钥;
步骤S2,利用数字签名技术对Scode信息进行验证,具体又包括:
步骤S2-1,用户G通过上游节点将Scode数据发送给关键节点时,先用哈希函数将Scode数据生成一段摘要 [Digest,Hash(Scode)],然后将摘要 [Digest,Hash(Scode) - >DigestScode]用私钥加密生成数字签名[Digital Signature,Encrypt(DigestScode) - >SignatureScode],将SignatureScode附在Scode之后(Scode + SignatureScode)发送给关键节点;
步骤S2-2,关键节点在接收到消息之后先用用户的公钥解密数字签名[Decrypt(SignatureX)-> DigestX ],若能顺利解密,则说明消息是用户G发送的;
步骤S2-3,随后关键节点再将MessageX Hash生成摘要[Hash(MessageX) – >DigestX2],如果DigestX和DigestX2相等,则说明消息没有被修改过,即(MessageX ==Scode),从而验证文件确实是用户G发过来的且Scode内容是未经修改过的;
步骤S3,在确认用户G发送的Scode未经修改后,使用私钥对Scode信息进行解密,并提取Scode中包含的用户特征信息,并将其与关键节点本地存储的用户特征信息进行相同维度标准的对比,若判断结果为一致,则输出验证结果Bcode=01时,执行步骤S4;,否则Bcode=00,执行步骤S5;
步骤S4,通过验证,将Scode数据传输至目标节点,并将Scode数据同步上传至中心节点,所述中心节点还部署在使用区块链和加密技术来保护文件的、分散式点对点加密云存储平台上;
步骤S5,验证失败,将验证失败信息反馈给发送节点。
有益效果
本申请创新面向复杂开放城市服务的通用精准访问控制技术,通过统一域内节点信息交互格式,并在授权访问过程中采用非对称加密算法结合用户特征信息实现物联网域内外节点及设备间的精准访问控制技术,设计物联网设备通用访问控制机制,应对当前海量异构物联网设备开放端口需求和权限粗粒度问题,突破设备外部通信和内部资源的通用精准访问控制和对非授权访问的有效阻止难题;
具体而言与现有技术相比,本申请具备以下有益效果:
(1)通过采用非对称加密算法结合用户特征信息结合的方式设计物联网设备通用访问验证控制机制,应对当前海量异构物联网设备开放端口需求和权限粗粒度问题,突破设备外部通信和内部资源的通用精准访问控制和对非授权访问的有效阻止难题;
(2 针对域内节点之间的数据存储及访问控制环节,对于作为授权验证用途的用户特征信息等敏感性高、隐私性强的对安全性要求高的特殊数据,使用关键节点中的用户特征信息存储子模块对其进行本地隔离式存储,提供硬件级别的防护加固,避免特殊数据被其他节点非法访问和篡改;同时为了满足海量异构物联网设备数据交互对于低延迟、高并发的实际需求,对于访问频率高、复用性强的普通数据,除在数据所在节点进行数据存储外,还可同步至中心节点服务器进行云存储,以及在临近节点进行数据备份,同时用户可以依据实际防护需求对普通数据进行软件算法层面的加密防护;因此既能满足海量异构物联网设备的通用系统之间数据存储及访问控制的安全性要求,又能满足性能需求;
(3针对数据传输保护环节,域内各节点之间采用Scode形式进行数据传输,能够确保域内各节点之间数据高效传递的同时有效避免数据被窃取或攻击,同时将关键节点作为上下游节点与中心节点之间进行数据验证的枢纽,只有在信息发送节点Scode中所携带的用户特征信息与关键节点本地存储的Fcode比对验证一致或Bcode=01时,方可通过验证继续并最终完成数据传输,否则验证失败中止信息传输;
(4)为了确保互联网的平稳运行,当某一关键节点无法提供服务时,为了提供稳定可靠的数据服务以保证业务的持续性,启动安全应急模式,在安全应急模式下,中心节点可以代替关键节点的部分功能,确保各级节点信息的正常传输,维持数据可用性;
(5)采用Scode形式同样可以满足数据监管的需求,可以通过解析时间信息段可以精准获取信息的产生时间,通过解析节点设备识别码信息段可以精准获取节点的类型及其固有属性,通过解析用户生物特征可以精准定位操控指令的发送者,通过解析节点设备IP地址信息段可以精准定位信息的发送地址,通过解析数据内容段可以精准获取信息的执行内容。
附图说明
图1为本申请结构示意图;
图2为本申请Scode标准字段组成;
图3为本申请域内外节点进行通信时所支持的多样化感知接入网通信技术;
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例;基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围;
正如背景技术所介绍的,现有技术中存在的不足,为了解决如上的技术问题,本申请提出了一种海量异构物联网设备的通用精准访问控制系统及方法;
如图1所示,所述系统由域内节点和域外节点201组成,所述域内节点包括:下游节点101,关键节点102,中心节点103和上游节点104组成;
一种海量异构物联网设备的通用系统,其特征在于,所述系统具体包括:
所述系统由域内节点与域外节点201共同组成,
其中,域内节点又分为上游节点104、关键节点102、中心节点103、下游节点101;域外节点201包括物联网外围接入设备;
引入通用数据格式Scode作为域内各节点之间信息数据传输的标准格式,所述通用数据格式Scode能够在所述海量异构物联网设备的通用精准访问控制系统域内各级节点设备之间进行信息交互时所采用的统一格式,其格式具体为:时间信息段+节点设备识别码信息段+用户特征信息段+节点设备IP地址信息段+指令信息段共5个字段组成;
所述关键节点102由中枢控制子系统组成,所述中枢控制子系统进一步由电源控制模块、用户特征信息控制管理模块、信息处理模块以及中枢控制子系统存储模块组成;
进一步,所述电源控制模块又分为主供电子模块和应急供电子模块:所述主供电子模块用于为中枢控制子系统各功能模块进行供电,并配备有主电池,优先采用外接电源进行供电,并在无法使用外接电源供电时使用主电池进行供电;所述应急供电子模块配备有备用电池用于应急供电,可与关键节点102主体设备进行离体连接,并在主体设备无外接电源且主电池电量到达预设阈值(用户可以根据自身需求进行设置,例如设置为10%,即当主电池电量为消耗至10%)时,或者关键节点102的主体设备无法提供服务时启动(例如离线或响应时长到达阈值时启动,用户同样可以自行设置),启动的同时一并激活安全应急模式,并激活授权指令向中心节点103进行授权,转移关键节点102的部分功能至中心节点103,由中心节点103代替关键节点102对各级节点进行数据传输和指令控制;参考图1,若当前关键节点启动安全应急模式时,此时无法借助存储于当前关键节点内的用户生物特征相关信息对包括Scode信息进行授权确权,为了维持与当前关键节点直接连接各级节点的正常运行,可以选择域内与当前关键节点连接的其他关键节点进行应急授权,以用户预设的备用访问授权方案进行授权,例如安全码以及传统的密码验证、短信验证、动态密码等形式;
进一步,所述用户特征信息控制管理模块由用户特征信息采集子模块、用户特征信息管理控制芯片、用户特征信息存储子模块以及用户特征信息识别验证子模块组成;
所述用户特征信息采集子模块,用于采集并登记用户的特征信息,并对所述用户的特征信息进行预处理;预处理具体为将用户的特征信息进行标准化处理,例如当用户特征信息涉及传输的图像时,对图像进行数字化、归一化、几何变换、平滑、增强、降噪等;当用户特征信息涉及传输的声纹等音频信息时,对音频信息的优化降噪等处理;以及对相关电子认证信息的核实认证等;
所述用户特征信息管理控制芯片,用于在用户特征信息采集子模块进行用户特征信息的采集时,控制用户特征信息的单向写入,并将用户特征信息存储在用户特征信息存储子模块的存储区域中进行本地存储,提供硬件级别的安全保护,确保经由用户特征信息采集子模块采集到的用户特征信息无法被其他模块访问获取读取,并且对用户特征信息采集子模块采集到的用户特征信息进行类型识别,并在识别出用户特征信息类型FType后,按照预设的提取策略对用户特征信息进行特征值提取,不同的特征值能够按照预设的规则进行组合形成一组特征值集合,所述用户特征信息管理控制芯片为每一组特征值集合分配唯一编码Fcode;所述用户特征信息管理控制芯片还用于接收关键节点102以外的其他节点或域外设备发送的用户特征信息,并将其与本地存储的用户特征信息进行相同维度标准的对比,若判断结果为一致,则输出验证结果Bcode=01,否则Bcode=00;
优选地,相同维度标准的对比,例如当用户特征信息为生物特征信息时,可以将生物特征信息与本地存储的的已知用户生物特征信息进行1:1比对验证和1:N的检索,仅当生物特征信息匹配即验证/检索成功;
所述用户特征信息存储子模块,用于存储用户特征信息,设置有多个不同的存储区域,每个存储区域中又分配有多个存储单元,每个存储单元均具有唯一编号Dcode并对应储存有用户特征信息的特征值;
所述用户特征信息识别验证子模块,用于接收并解析其他节点发送的生物特征信息以及Scode,并将其发送给用户特征信息管理控制芯片并获取Bcode值,并当Bcode=01时,更新Scode中的用户特征信息段;
所述信息处理模块,能够获取上游节点104发送的绑定策略,并解析获取相对应的绑定策略,并利用预设的规则将Fcode与绑定指令信息形成映射关系,进而实现所述Fcode码能够与用户定制的具体的操作指令或操作指令集进行绑定,用于快速实现对物联网设备的精准访问控制;
例如,Fcode可以实现与具体的Scode信息直接进行绑定,由于Scode信息中包含有具体的节点信息和操作指令,当关键节点将Scode信息传递给下游节点时,接收到Scode信息的下游节点能够对其中的数据内容段信息进行提取,并将其中的操作执行信息转译传递给外围接入设备,实现对外围接入设备的精准操控,由于Fcode值又直接对应于用户特征信息,因而用户可以通过自身的生物特征信息实现对物联网外围接入设备的精确操控;
需要说明的是,Fcode还可以与多个Scode信息进行绑定,从而用户能够凭借其特征信息实现对多个外围接入设备的一系列操作指令集;
所述中枢控制子系统存储模块,用于存储关键节点102产生的除用户特征信息外的数据信息,并将其同步至中心节点103并备份至备份节点;
所述中心节点103为物联网中的数据汇聚处理中心,主要由服务器或服务器集群组成,直接与域内各个关键节点102、上游节点104以及部分下游节点101相连,并为域内各节点提供算力支撑,所述中心节点103为域内各个关键节点102预先分配初始算力并能够根据各节点实时需求动态调整算力分配;同时为各级节点上传的同步数据进行存储;
优选地,中心节点103中还可以包括公钥管理模块,能为域内用户分配公钥;
所述上游节点104为配置有能够对用户特征信息进行采集识别的智能终端设备,用户可以通过上游节点104控制接入海量异构物联网设备的通用系统的外围接入设备,并利用终端设备上的适配软件可以实现包括用户特征信息、通用数据格式Scode等数据的发送,以及个性化设定绑定策略用于将用户特征信息与操作指令形成绑定指令信息;
所述下游节点101作为域内底层节点部署在外围接入设备的邻近范围内,并与邻近范围内的接入设备进行绑定,能够发挥物联网智能网关的作用,使用中间件或抽象映射模型等行业内成熟的解决方案,消除异构设备之间由于设备类型、设备支持的控制指令及标准协议的不同而造成的异构设备之间无法实现信息交互的问题,能够实现与域外多种异构物联网设备的信息传递解析;所述下游节点101还用于接收域内其他节点发送的通用数据格式Scode并将其解译为接入设备所能识别的数据指令与格式,随后发送至邻近范围内的接入设备,同时还可以接收并解析所述接入设备发送或反馈的数据,并将其转化为通用数据格式Scode传输给上层节点。
此外,还提出一种基于海量异构物联网设备的通用精准访问控制系统的身份验证方法,其特征在于,所述方法包括:
步骤S1,初始化某一用户G的用户特征信息,具体又包括:
步骤S1-1,用户G借助于上游节点104或关键节点102完成用户特征信息的采集录入,并对用户特征信息进行类型识别,并利用预设的提取策略对用户特征信息进行特征值提取,按照预设的规则对提取出的特征值进行组合形成特征值集合,并为每一组特征值集合均生成唯一Fcode码与之对应;
步骤S1-2,用户G可以在上游节点中设定自己的公钥,或者通过中心节点中的公钥管理模块为用户G分配公钥,同时用户从步骤S1-1中获取的Fcode码中指定一个作为私钥;
步骤S2,利用数字签名技术对Scode信息进行验证,具体又包括:
步骤S2-1,用户G通过上游节点104将Scode数据发送给关键节点102时,先用哈希函数将Scode数据生成一段摘要 [Digest,Hash(Scode)],然后将摘要 [Digest,Hash(Scode) - >DigestScode]用私钥加密生成数字签名[Digital Signature,Encrypt(DigestScode) - >SignatureScode],将SignatureScode附在Scode之后(Scode + SignatureScode)发送给关键节点102;
步骤S2-2,关键节点102在接收到消息之后先用用户的公钥解密数字签名[Decrypt(SignatureX)-> DigestX ],若能顺利解密,则说明消息是用户G发送的;
步骤S2-3,随后关键节点102再将MessageX Hash生成摘要[Hash(MessageX) – >DigestX2],如果DigestX和DigestX2相等,则说明消息没有被修改过,即(MessageX ==Scode),从而验证文件确实是用户G发过来的且Scode内容是未经修改过的;
步骤S3,在确认用户G发送的Scode未经修改后,使用私钥对Scode信息进行解密,并提取Scode中包含的用户特征信息,并将其与关键节点102本地存储的用户特征信息进行相同维度标准的对比,若判断结果为一致,则输出验证结果Bcode=01时,执行步骤S4;,否则Bcode=00,执行步骤S5;
步骤S4,通过验证,将Scode数据传输至目标节点,并将Scode数据同步上传至中心节点103,所述中心节点103还部署在使用区块链和加密技术来保护文件的、分散式点对点加密云存储平台上;
步骤S5,验证失败,将验证失败信息反馈给发送节点。

Claims (8)

1.一种海量异构物联网设备的通用精准访问控制系统,其特征在于,所述系统由域内节点与域外节点共同组成,
其中,域内节点又分为上游节点、关键节点、中心节点、下游节点;域外节点包括物联网外围接入设备;
域内各节点之间使用具有通用数据格式的Scode数据作为信息交互的基础,所述通用数据格式是指能够在所述海量异构物联网设备的通用精准访问控制系统域内各级节点设备之间进行信息交互时所采用的统一格式,Scode数据的通用数据格式具体为:时间信息段+节点设备识别码信息段+用户特征信息段+节点设备IP地址信息段+数据内容段共5个字段组成;
所述关键节点由中枢控制子系统组成,所述中枢控制子系统进一步由电源控制模块、用户特征信息控制管理模块、信息处理模块以及中枢控制子系统存储模块组成;
进一步,所述电源控制模块又分为主供电子模块和应急供电子模块:所述主供电子模块用于为中枢控制子系统各功能模块进行供电,并配备有主电池,优先采用外接电源进行供电,并在无法使用外接电源供电时使用主电池进行供电;所述应急供电子模块配备有备用电池用于应急供电,可与关键节点主体设备进行离体连接,并在主体设备无外接电源且主电池电量到达预设阈值时,或者关键节点主体设备无法提供服务时启动,启动的同时一并激活安全应急模式,并激活授权指令向中心节点进行授权,转移关键节点的部分功能至中心节点,由中心节点代替关键节点对各级节点进行数据传输和指令控制;
进一步,所述用户特征信息控制管理模块由用户特征信息采集子模块、用户特征信息管理控制芯片、用户特征信息存储子模块以及用户特征信息识别验证子模块组成;
所述用户特征信息采集子模块,用于采集并登记用户的特征信息,并对所述用户的特征信息进行预处理;
所述用户特征信息管理控制芯片,用于在用户特征信息采集子模块进行用户特征信息的采集时,控制用户特征信息的单向写入,并将用户特征信息存储在用户特征信息存储子模块的存储区域中进行本地存储,提供硬件级别的安全保护,确保经由用户特征信息采集子模块采集到的用户特征信息无法被其他模块访问获取读取,并且对用户特征信息采集子模块采集到的用户特征信息进行类型识别,并在识别出用户特征信息类型FType后,按照预设的提取策略对用户特征信息进行特征值提取,不同的特征值能够按照预设的规则进行组合形成一组特征值集合,所述用户特征信息管理控制芯片采用随机算法为每一组特征值集合分配唯一编码Fcode;所述用户特征信息管理控制芯片还用于接收关键节点以外的其他节点或域外设备发送的用户特征信息,并将其与本地存储的用户特征信息进行相同维度标准的对比,若判断结果为一致,则输出验证结果Bcode=01,否则Bcode=00;
所述用户特征信息存储子模块,用于存储用户特征信息,设置有多个不同的存储区域,每个存储区域中又分配有多个存储单元,每个存储单元均具有唯一编号Dcode并对应储存有用户特征信息的特征值;
所述用户特征信息识别验证子模块,用于接收并解析其他节点发送的生物特征信息以及Scode,并将其发送给用户特征信息管理控制芯片并获取Bcode值,并当Bcode=01时,更新Scode中的用户特征信息段;
所述信息处理模块,能够获取上游节点发送的绑定策略,并解析获取相对应的绑定策略,并利用预设的规则将Fcode与绑定指令信息形成映射关系,进而实现所述Fcode能够与用户定制的具体的操作指令或操作指令集进行绑定,用于快速实现对物联网设备的精准访问控制;
所述中枢控制子系统存储模块,用于存储关键节点产生的除用户特征信息外的数据信息,并将其同步至中心节点并备份至备份节点;
所述中心节点为物联网中的数据汇聚处理中心,主要由服务器或服务器集群组成,直接与域内各个关键节点、上游节点以及部分下游节点相连,并为域内各节点提供算力支撑,所述中心节点为域内各个关键节点预先分配初始算力并能够根据各节点实时需求动态调整算力分配;同时为各级节点上传的同步数据进行存储;同时所述中心节点还部署在去中心化的基于区块链的分布式云存储系统;
所述上游节点为配置有能够对用户特征信息进行采集识别的智能终端设备,用户可以通过上游节点控制接入海量异构物联网设备的通用系统的外围接入设备,并利用终端设备上的适配软件可以实现用户特征信息、通用数据格式Scode数据的发送,以及个性化设定绑定策略以用于将用户特征信息与操作指令形成绑定指令信息;
所述下游节点作为域内底层节点部署在外围接入设备的邻近范围内,并与邻近范围内的接入设备进行绑定,能够发挥物联网智能网关的作用,使用中间件或抽象映射模型行业内成熟的解决方案,消除异构设备之间由于设备类型、设备支持的控制指令及标准协议的不同而造成的异构设备之间无法实现信息交互的问题,能够实现与域外多种异构物联网设备的信息传递解析;所述下游节点还用于接收域内其他节点发送的通用数据格式Scode并将其解译为接入设备所能识别的数据指令与格式,随后发送至邻近范围内的接入设备,同时还可以接收并解析所述接入设备发送或反馈的数据,并将其转化为通用数据格式Scode传输给上游节点。
2.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,
所述用户分为个人用户、企业级用户以及定制用户;
所述用户特征信息具体为表征用户身份特性的唯一指向型信息;
当所述用户为个人用户时,所述用户特征信息可以为用户个人的生物识别信息,包括但不限于指纹信息、虹膜信息、面部识别信息、掌纹信息或声纹信息中的一种或多种的组合;
当所述用户为企业级用户时,所述用户特征信息可以为企业认证信息,包括但不限于认证数字证书、电子公章、电子签名中的一种或多种的组合;此外,企业级用户的用户特征信息同样也可以为企业负责人或授权人员的生物识别信息;
当所述用户为定制用户时,所述定制用户的用户特征信息可以为USB Key,其内存储定制用户的私钥以及数字证书,可以利用USB Key内置的公钥算法实现对用户身份的认证;
所述定制用户的用户特征信息还可以是上述生物识别信息、企业认证信息其中一种或多种的组合或者多个用户多种特征的组合。
3.根据权利要求2所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,所述与本地存储的用户特征信息进行相同维度标准的对比,具体为:
当用户特征信息为生物特征信息时,可以将生物特征信息与本地存储的已知用户生物特征信息进行1:1比对验证和1:N的检索,仅当生物特征信息匹配即对比成功。
4.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,所述通用数据格式Scode中,所述时间信息段具体为能够提供不可篡改的准确时间的信息的数据段;所述节点设备识别码具体可以为IMEI、MEID、ESN、IDFA、IDF、设备的ID号或能够表征设备型号的识别码。
5.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,当前关键节点启动安全应急模式时,为了维持与当前关键节点直接连接的各级节点的正常运行,选择域内与当前关键节点连接的其他关键节点进行应急授权,以用户预设的备用访问授权方案进行授权。
6.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,所述实现所述Fcode能够与用户定制的具体的操作指令或操作指令集进行绑定,用于快速实现对物联网设备的精准访问控制,具体为:将Fcode与具体的Scode信息直接进行绑定,关键节点将此Scode信息传递给下游节点,接收到Scode信息的下游节点能够对其中的数据内容段信息进行提取,并将其中的操作执行信息转译传递给外围接入设备,实现对外围接入设备的精准操控。
7.根据权利要求6所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,Fcode还可以与多个Scode信息进行绑定,实现对多个外围接入设备的一系列操作指令集。
8.一种基于海量异构物联网设备的通用精准访问控制系统的身份验证方法,其特征在于,所述方法包括:
步骤S1,初始化某一用户G的用户特征信息,具体又包括:
步骤S1-1,用户G借助于上游节点或关键节点完成用户特征信息的采集录入,并对用户特征信息进行类型识别,并利用预设的提取策略对用户特征信息进行特征值提取,按照预设的规则对提取出的特征值进行组合形成特征值集合,并为每一组特征值集合均生成唯一编码Fcode与之对应;
步骤S1-2,用户G可以在上游节点中设定自己的公钥,或者通过中心节点中的公钥管理模块为用户G分配公钥,同时用户从步骤S1-1中获取的Fcode中指定一个作为私钥;
步骤S2,利用数字签名技术对Scode信息进行验证,具体又包括:
步骤S2-1,用户G通过上游节点将Scode数据发送给关键节点时,先用哈希函数将Scode数据生成一段摘要DigestScode,然后将摘要 DigestScode用私钥加密生成数字签名SignatureScode,将SignatureScode附在Scode之后发送给关键节点;
步骤S2-2,关键节点在接收到消息之后先用用户的公钥解密数字签名,生成一段摘要DigestX ,若能顺利解密,则说明消息是用户G发送的;
步骤S2-3,随后关键节点再用哈希函数将消息MessageX生成一段摘要DigestX2,如果DigestX和DigestX2相等,则说明消息没有被修改过,从而验证文件确实是用户G发过来的且Scode内容是未经修改过的;
步骤S3,在确认用户G发送的Scode未经修改后,使用私钥对Scode信息进行解密,并提取Scode中包含的用户特征信息,并将其与关键节点本地存储的用户特征信息进行相同维度标准的对比,若判断结果为一致,则输出验证结果Bcode=01时,执行步骤S4,否则Bcode=00,执行步骤S5;
步骤S4,通过验证,将Scode数据传输至目标节点,并将Scode数据同步上传至中心节点,所述中心节点还部署在使用区块链和加密技术来保护文件的、分散式点对点加密云存储平台上;
步骤S5,验证失败,将验证失败信息反馈给发送节点。
CN202111406046.XA 2021-08-18 2021-11-24 一种海量异构物联网设备的通用精准访问控制系统及方法 Active CN113987465B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2021109513169 2021-08-18
CN202110951316 2021-08-18

Publications (2)

Publication Number Publication Date
CN113987465A CN113987465A (zh) 2022-01-28
CN113987465B true CN113987465B (zh) 2022-05-17

Family

ID=79750361

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111406046.XA Active CN113987465B (zh) 2021-08-18 2021-11-24 一种海量异构物联网设备的通用精准访问控制系统及方法

Country Status (1)

Country Link
CN (1) CN113987465B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110601844A (zh) * 2019-08-22 2019-12-20 上海瑾琛网络科技有限公司 使用区块链技术保障物联网设备安全与认证的系统和方法
WO2020115002A1 (fr) * 2018-12-06 2020-06-11 Worldline Dispositif pour communiquer dans un reseau de passerelles heterogenes par reseau radio avec au moins un nœud et par un reseau longue distance, avec au moins un destinataire

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107864139B (zh) * 2017-11-09 2020-05-12 北京科技大学 一种基于动态规则的密码学属性基访问控制方法与系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020115002A1 (fr) * 2018-12-06 2020-06-11 Worldline Dispositif pour communiquer dans un reseau de passerelles heterogenes par reseau radio avec au moins un nœud et par un reseau longue distance, avec au moins un destinataire
CN110601844A (zh) * 2019-08-22 2019-12-20 上海瑾琛网络科技有限公司 使用区块链技术保障物联网设备安全与认证的系统和方法

Also Published As

Publication number Publication date
CN113987465A (zh) 2022-01-28

Similar Documents

Publication Publication Date Title
CN101401387B (zh) 用于嵌入式设备的访问控制方法
CN110868301B (zh) 一种基于国密算法的身份认证系统及方法
CN105656859B (zh) 税控设备软件安全在线升级方法及系统
US20190370483A1 (en) Data Protection Method and System
CN112187931A (zh) 会话管理方法、装置、计算机设备和存储介质
CN112613006B (zh) 一种电力数据共享方法、装置、电子设备及存储介质
CN105207776A (zh) 一种指纹认证方法及系统
CN101051896B (zh) 一种认证方法和系统
KR20220014095A (ko) 블록체인 기반의 데이터 분산 관리 방법 및 이를 위한 장치
CN112507320A (zh) 访问控制方法、装置、系统、电子设备和存储介质
CN105743853A (zh) 一种应用于身份认证的指纹usbkey、指纹中心服务器及系统与方法
CN109587123A (zh) 双因子验证方法及认证服务器、生物特征验证服务器
JP4426030B2 (ja) 生体情報を用いた認証装置及びその方法
CN113872751B (zh) 业务数据的监控方法、装置、设备及存储介质
CN110266653A (zh) 一种鉴权方法、系统及终端设备
CN113987465B (zh) 一种海量异构物联网设备的通用精准访问控制系统及方法
CN112565189A (zh) 一种基于云计算数据安全的访问控制系统
CN109474431A (zh) 客户端认证方法及计算机可读存储介质
CN111885057A (zh) 消息中间件访问方法、装置、设备及存储介质
CN110971609A (zh) Drm客户端证书的防克隆方法、存储介质及电子设备
CN113992336B (zh) 基于区块链的加密网络离线数据可信交换方法及装置
CN113328979A (zh) 一种访问行为的记录方法、装置
CN111371588A (zh) 基于区块链加密的sdn边缘计算网络系统、加密方法及介质
CN210157214U (zh) 燃气器具物联网信息安全传输系统
CN105743648A (zh) 一种应用于身份认证的指纹usbkey、指纹中心服务器及系统与方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant