CN114338107A - 一种安全控制方法及装置 - Google Patents
一种安全控制方法及装置 Download PDFInfo
- Publication number
- CN114338107A CN114338107A CN202111551470.3A CN202111551470A CN114338107A CN 114338107 A CN114338107 A CN 114338107A CN 202111551470 A CN202111551470 A CN 202111551470A CN 114338107 A CN114338107 A CN 114338107A
- Authority
- CN
- China
- Prior art keywords
- electronic device
- electronic equipment
- node
- identity
- block chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000006855 networking Effects 0.000 claims description 153
- 238000012795 verification Methods 0.000 claims description 48
- 230000002159 abnormal effect Effects 0.000 claims description 37
- 238000012545 processing Methods 0.000 claims description 26
- 230000015654 memory Effects 0.000 claims description 22
- 230000005540 biological transmission Effects 0.000 claims description 11
- 230000007246 mechanism Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 abstract description 22
- 230000006870 function Effects 0.000 description 24
- 238000004458 analytical method Methods 0.000 description 12
- 238000013461 design Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 230000005856 abnormality Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 3
- 238000012502 risk assessment Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种安全控制方法及装置,涉及通信技术领域,方法包括:在接收到电子设备发送的注册请求时,将注册请求同步至多个区块链节点中除任一区块链节点之外的其他区块链节点;获取主节点生成的数据区块,数据区块包括电子设备的身份标识和电子设备对应的权限;对主节点生成的数据区块进行检查,并向其他区块链节点广播检查结果,以及接收其他区块链节点广播的检查结果;若确定多个区块链节点中第一类型节点的数量大于或等于第一预设数量,则将电子设备的身份标识和电子设备对应的权限保存在任一区块链节点的本地区块链账本中;第一类型节点包括认可主节点生成的数据区块的区块链节点。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及一种安全控制方法及装置。
背景技术
随着物联网技术的迅速发展,越来越多的电子设备可以接入物联网,具体的,包括智能家居设备、智能网联汽车设备、智能医疗设备等均可以接入物联网,因此维护物联网的安全极为重要。当前物联网对接入的电子设备进行验证,采用的是中心化的信任安全体系,基于统一的身份验证服务,实现电子设备的接入验证以及访问控制。
在上述方法中,通过中心化的信任安全体系对接入的电子设备进行验证,实现电子设备的接入验证以及访问控制,存在较大的安全隐患,例如:集中存储接入电子设备的身份信息和权限信息一旦丢失,或者服务器出现异常,会导致整个物联网系统异常;当服务器被入侵导致验证信息和权限控制信息被篡改,会发生恶意节点接入和权限提升等各类安全问题。因此当前物联网对接入的电子设备的身份信息进行验证的安全性较低,物联网的网络安全性较差。
发明内容
本发明提供一种安全控制方法及装置,用于提高物联网对接入的电子设备的身份信息进行验证的安全性,提升数据信息的安全性。
为达到上述目的,本发明采用如下技术方案:
第一方面,提供了一种安全控制方法,应用于区块链网络中,区块链网络包括多个区块链节点,对于区块链节点中的任一区块链节点,该方法包括:在接收到电子设备发送的注册请求时,将注册请求同步至多个区块链节点中除任一区块链节点之外的其他区块链节点;注册请求包括电子设备的身份信息;获取主节点生成的数据区块,数据区块包括电子设备的身份标识和电子设备对应的权限;主节点包括在多个区块链节点中,主节点为多个区块链节点通过共识机制确定出的对电子设备进行权限核实和生成身份标识的区块链节点;对主节点生成的数据区块进行检查,并向其他区块链节点广播检查结果,以及接收其他区块链节点广播的检查结果;其中检查结果包括认可主节点生成的数据区块或者不认可主节点生成的数据区块;若确定多个区块链节点中第一类型节点的数量大于或等于第一预设数量,则将电子设备的身份标识和电子设备对应的权限保存在任一区块链节点的本地区块链账本中;第一类型节点包括认可主节点生成的数据区块的区块链节点。
在一种可能的实现方式中,获取主节点生成的数据区块之前,方法还包括:从多个区块链节点中确定主节点;获取主节点生成的数据区块,包括:在通过主节点验证电子设备的身份信息合法的情况下,确定电子设备具备对应的权限,并生成数据区块。
在一种可能的实现方式中,将电子设备的身份标识和电子设备对应的权限保存在任一区块链节点的本地区块链账本中之后,方法还包括:在接收到电子设备发送的联网请求时,将联网请求同步至其他区块链节点;联网请求包括电子设备的身份信息;在验证电子设备的身份信息合法的情况下,检测是否存在电子设备对应的目标联网策略;目标联网策略为根据电子设备的历史联网信息确定的策略;在确定存在目标联网策略的情况下,基于目标联网策略确定是否允许电子设备接入网络;在确定未存在目标联网策略的情况下,获取电子设备的身份标识和电子设备对应的权限,并基于电子设备的身份标识和电子设备对应的权限,确定是否允许电子设备接入网络。
在一种可能的实现方式中,在确定存在目标联网策略的情况下,基于目标联网策略控制电子设备接入网络,包括:若多个区块链节点中第二类型节点的数量大于或等于第二预设数量,则确定存在目标联网策略;第二类型节点为确定存在目标联网策略的区块链节点;基于目标联网策略控制电子设备接入网络。
在一种可能的实现方式中,基于电子设备的身份标识和电子设备对应的权限,确定是否允许电子设备接入网络,包括:基于电子设备的身份标识和电子设备对应的权限,确定验证信息;在验证信息通过验证的情况下,确定允许电子设备接入网络。
在一种可能的实现方式中,方法还包括:在电子设备接入网络之后,获取电子设备的联网日志信息;根据联网日志信息,对电子设备进行评估,确定电子设备是否存在异常状况;异常状况包括以下至少一项:连接异常、数据采集异常、数据传输异常;在确定电子设备存在异常状况的情况下,制定目标联网策略;目标联网策略用于在接收到电子设备发送的联网请求时,确定是否允许电子设备接入网络。
第二方面,提供了一种安全控制装置,应用于区块链网络中,区块链网络包括多个区块链节点,对于区块链节点中的任一区块链节点,该一种安全控制装置包括:处理单元、获取单元、接收单元和保存单元;处理单元,用于在接收到电子设备发送的注册请求时,将注册请求同步至多个区块链节点中除任一区块链节点之外的其他区块链节点;注册请求包括电子设备的身份信息;获取单元,用于获取主节点生成的数据区块,数据区块包括电子设备的身份标识和电子设备对应的权限;主节点包括在多个区块链节点中,主节点为多个区块链节点通过共识机制确定出的对电子设备进行权限核实和生成身份标识的区块链节点;处理单元,还用于对主节点生成的数据区块进行检查,并向其他区块链节点广播检查结果;接收单元,用于接收其他区块链节点广播的检查结果;其中检查结果包括认可主节点生成的数据区块或者不认可主节点生成的数据区块;保存单元,用于若确定多个区块链节点中第一类型节点的数量大于或等于第一预设数量,则将电子设备的身份标识和电子设备对应的权限保存在任一区块链节点的本地区块链账本中;第一类型节点包括认可主节点生成的数据区块的区块链节点。
第三方面,提供了一种存储一个或多个程序的计算机可读存储介质,该一个或多个程序存储有指令,上述指令当被计算机执行时使计算机执行如第一方面的一种安全控制方法。
第四方面,一种电子设备,包括:处理器以及存储器;其中,存储器用于存储一个或多个程序,一个或多个程序包括计算机执行指令,当电子设备运行时,处理器执行存储器存储的计算机执行指令,以使电子设备执行如第一方面的一种安全控制方法。
本发明提供一种安全控制方法及装置,应用于网联设备接入物联网的场景中,在区块链节点中的任一区块链节点接收到电子设备发送的包括身份信息的注册请求时,将注册请求同步至多个区块链节点中除任一区块链节点之外的其他区块链节点,并获取多个区块链节点通过共识机制,确定出的对电子设备进行权限核实和生成身份标识的主节点生成的数据区块,从而对主节点生成的包括电子设备的身份标识和电子设备对应的权限的数据区块进行检查,并向其他区块链节点广播检查结果,以及接收其他区块链节点广播的检查结果;进一步的,若确定包括认可主节点生成的数据区块的区块链节点的数量大于或等于第一预设数量时,可以将电子设备的身份标识和电子设备对应的权限保存在任一区块链节点的本地区块链账本中。因此,可以通过区块链中所包括的多个区块链节点,分别对主节点生成的数据区块进行检查,以确定电子设备的身份信息是否合法,电子设备是否具备接入网络的权限,可以提高物联网对接入的电子设备的身份信息进行验证的安全性,并提升数据信息的安全性。
附图说明
图1为本发明的实施例提供的一种安全控制系统结构示意图一;
图2为本发明的实施例提供的一种安全控制方法流程示意图一;
图3为本发明的实施例提供的一种安全控制方法流程示意图二;
图4为本发明的实施例提供的一种安全控制方法流程示意图三;
图5为本发明的实施例提供的一种安全控制方法流程示意图四;
图6为本发明的实施例提供的一种安全控制方法流程示意图五;
图7为本发明的实施例提供的一种安全控制方法流程示意图六;
图8为本发明的实施例提供的一种安全控制系统结构示意图二;
图9为本发明的实施例提供的一种安全控制装置结构示意图一;
图10为本发明的实施例提供的一种安全控制装置结构示意图二;
图11为本发明的实施例提供的一种电子设备结构示意图一;
图12为本发明的实施例提供的一种电子设备结构示意图二。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。
在本发明的描述中,除非另有说明,“/”表示“或”的意思,例如,A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,“至少一个”“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
本发明实施例提供的一种安全控制方法,可以适用于安全控制系统。图1示出了该安全控制系统的一种结构示意图。如图1所示,安全控制系统20包括:电子设备21和区块链网络22。电子设备21与区块链网络22进行连接。电子设备21和区块链网络22之间可以采用有线方式连接,也可以采用无线方式连接,本发明实施例对此不作限定。
安全控制系统20可以用于物联网,安全控制系统20可以包括多个中央处理器(central processing unit,CPU)、多个内存、存储有多个操作系统的存储装置等硬件。
电子设备21可以用于物联网,为用户提供业务服务,用于与区块链网络22进行交互,接入物联网,发起目标业务,以实现用户所需的通信业务。
区块链网络22可以用于物联网,可以为电子设备21所对应的服务器,即区块链网络22为电子设备21中所需执行的业务对应的服务器,用于控制维护电子设备21中的业务正常执行,为电子设备21提供数据传输、数据保存的功能。该区块链网络22可以包括多个区块链节点。
需要说明的,电子设备21和区块链网络22可以为相互独立的设备,也可以集成于同一设备中,本发明对此不作具体限定。
当电子设备21和区块链网络22集成于同一设备时,电子设备21和区块链网络22之间的通信方式为该设备内部模块之间的通信。这种情况下,二者之间的通信流程与“电子设备21和区块链网络22之间相互独立的情况下,二者之间的通信流程”相同。
在本发明提供的以下实施例中,本发明以电子设备21和区块链网络22相互独立设置为例进行说明。
当前在保障海量物联网设备能够同时便捷接入网络的同时,如何验证接入设备的安全性,进行设备的安全接入控制,保证物联网的接入安全成为一项巨大的挑战。保障物联网设备接入安全是整个物联网安全的第一道关口,是最重要环节之一,如果物联网被恶意设备接入并发起攻击,会导致其他设备失控或者数据泄露,将产生非常可怕的后果。当集中存储的设备身份信息和权限信息一旦丢失,或者服务器瘫痪,会导致整个物联网系统瘫痪。示例性的,目前车联网应用场景中已存在大量车辆同时接入车联网平台,在进行身份验证时,若服务器瘫痪,则会导致车联网平台的服务无法正常接入和使用。并且,对于中心化管理的另一个问题是如果服务器被入侵,或者服务器管理员账号泄露,或者管理员直接作恶,导致验证信息和权限控制信息被篡改,将会发生恶意节点接入和权限提升等各类安全问题。对此本发明实施例提供一种安全控制方法。
下面结合附图对本发明实施例提供的一种安全控制方法进行描述。
如图2所示,本发明实施例提供的一种安全控制方法,应用于区块链网络中,该区块链网络包括多个区块链节点,对于区块链节点中的任一区块链节点,方法包括S201-S204:
S201、在接收到电子设备发送的注册请求时,将注册请求同步至多个区块链节点中除任一区块链节点之外的其他区块链节点。
其中,注册请求包括电子设备的身份信息;该身份信息可以为数字身份信息。
可选的,本发明实施例应用于电子设备接入物联网的场景中,本发明实施例中的电子设备可以有不同的名称,例如UE端、终端单元、终端站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、车辆用户设备、终端代理或终端装置等。
具体的电子设备可以为各种具有通信功能的手持设备、车载设备、可穿戴设备、计算机,本发明实施例对此不作任何限定。例如,手持设备可以是智能手机。车载设备可以是车载导航系统。可穿戴设备可以是智能手环。计算机可以是个人数字助理(personaldigital assistant,PDA)电脑、平板型电脑以及膝上型电脑(laptop computer)。
作为一种可能的实现方式,本发明实施例所应用的区块链网络可以理解为服务器,该区块链包括的多个区块链节点中,每个区块链节点通过点对点协议(Peer to Peer,P2P)形成区块链网络,且各个区块链节点是对等的。
作为一种可能的实现方式,每个区块链节点均具备验证电子设备的身份信息是否合法的功能,以及根据电子设备的实时状态,动态调整电子设备接入网络的权限。
具体的,在电子设备需要接入物联网时,如果是该电子设备首次接入物联网(即未进行身份注册),则需要向区块链网络发送注册请求,以在区块链网络注册身份标识。
可选的,上述电子设备的身份信息可以为:经过预制秘钥加密的ID、电子设备的数字证书等。
作为一种可能的实现方式,电子设备可以通过区块链中的边缘区块链节点(即与电子设备进行直接交互的节点)访问区块链,以发起身份注册请求。
进一步的,边缘区块链节点将注册请求同步(广播)到区块链网络中的其他区块链节点中,以使得区块链网络中的每个区块链节点均可以对电子设备的身份信息进行校验。
可以理解,电子设备发送的注册请求,可以发送至区块链包括的多个区块链节点中的一个对应的区块链节点,需要说明的是,无论多个区块链节点中的哪一个区块链节点接收到电子设备的注册请求,均可以将注册请求同步发送至其他全部的区块链节点。
S202、获取主节点生成的数据区块。
其中,数据区块包括电子设备的身份标识和电子设备对应的权限;主节点包括在多个区块链节点中,主节点为多个区块链节点通过共识机制确定出的对电子设备进行权限核实和生成身份标识的区块链节点。
作为一种可能的实现方式,在验证电子设备的身份信息合法的情况下,可以通过主节点确定电子设备具备对应的权限,并生成数据区块。
作为一种可能的实现方式,主节点还用于生成电子设备的身份标识。
可选的,区块链中包括的多个区块链节点可以分别校验电子设备的身份信息是否合法,在多个区块链节点中超过预设比例(例如50%)的区块链节点确定电子设备的身份信息合法的情况下,可以确定电子设备的身份信息合法。
进一步的,在确定电子设备的身份信息合法之后,可以确定电子设备具备电子设备对应的权限,并对应的获取电子设备具备哪些网络权限。即区块链网络可以进一步核实电子设备能够使用的物联网服务的权限,例如:车辆的远程锁车服务,地理围栏服务等。
作为一种可能的实现方式,在确定电子设备具备接入网络的权限之后,区块链网络可以生成该电子设备对应的身份标识,以使得区块链中的每个区块链节点可以通过该身份标识识别对应的电子设备。
S203、对主节点生成的数据区块进行检查,并向其他区块链节点广播检查结果,以及接收其他区块链节点广播的检查结果。
其中,检查结果包括认可主节点生成的数据区块或者不认可主节点生成的数据区块。
作为一种可能的实现方式,将电子设备的身份标识和电子设备对应的权限同步至多个区块链节点,并通过多个区块链节点对电子设备的身份标识和电子设备对应的权限进行校验。
作为一种可能的实现方式,区块链网络需要将电子设备的身份标识和电子设备对应的权限分别发送至区块链中的每个区块链节点,以使得区块链中的每个区块链节点均可以对电子设备的身份标识和电子设备对应的权限进行校验。
S204、若确定多个区块链节点中第一类型节点的数量大于或等于第一预设数量,则将电子设备的身份标识和电子设备对应的权限保存在任一区块链节点的本地区块链账本中。
其中,第一类型节点包括认可主节点生成的数据区块的区块链节点。
作为一种可能的实现方式,若多个区块链节点中第一类型节点的数量大于或等于第一预设数量,则确定电子设备注册成功。
作为一种可能的实现方式,在区块链中的每个区块链节点均对电子设备的身份标识和电子设备对应的权限进行校验,得到校验结果之后,可以确定多个区块链节点中,校验结果为通过校验的区块链节点的数量。
进一步的,确定校验结果为通过校验的区块链节点的数量是否大于或等于第一预设数量,以在通过校验的区块链节点的数量大于或等于第一预设数量的情况下,确定允许电子设备进行注册。
作为一种可能的实现方式,还可以通过计算校验结果为通过校验的区块链节点的数量,占区块链中包括的区块链节点的总数量的比例,以在比例大于或等于预设比例的情况下,确定允许电子设备进行注册。
可选的,在允许电子设备进行注册的情况下,可以进一步的在区块链包括的每个区块链节点中保存电子设备的身份标识和电子设备对应的权限,以在电子设备后期接入网络的情况下,可以通过电子设备的身份标识和电子设备对应的权限,验证电子设备的接入请求是否合法。
可以理解,在区块链包括的多个区块链节点中的每个区块链节点对电子设备的身份标识和电子设备对应的权限进行校验之后,均可以将校验结果发送至其他全部的区块链节点,从而统计校验结果为通过校验的区块链节点的数量。
可选的,区块链网络可以每经过一定时长之后,将该一定时长内所通过校验的多个电子设备的身份标识和电子设备对应的权限,对应保存在本地区块链账本节点中(即在区块链包括的多个区块链节点中的每个区块链节点中均保存一份电子设备的身份标识和电子设备对应的权限),记录每个电子设备的身份标识和权限数据,且无法被篡改。
本发明提供一种安全控制方法,应用于网联设备接入物联网的场景中,在区块链节点中的任一区块链节点接收到电子设备发送的包括身份信息的注册请求时,将注册请求同步至多个区块链节点中除任一区块链节点之外的其他区块链节点,并获取多个区块链节点通过共识机制,确定出的对电子设备进行权限核实和生成身份标识的主节点生成的数据区块,从而对主节点生成的包括电子设备的身份标识和电子设备对应的权限的数据区块进行检查,并向其他区块链节点广播检查结果,以及接收其他区块链节点广播的检查结果;进一步的,若确定包括认可主节点生成的数据区块的区块链节点的数量大于或等于第一预设数量时,可以将电子设备的身份标识和电子设备对应的权限保存在任一区块链节点的本地区块链账本中。因此,可以通过区块链中所包括的多个区块链节点,分别对主节点生成的数据区块进行检查,以确定电子设备的身份信息是否合法,电子设备是否具备接入网络的权限,可以提高物联网对接入的电子设备的身份信息进行验证的安全性,并提升数据信息的安全性。
在一种设计中,如图3所示,本发明实施例提供的一种安全控制方法,在上述S202之前,方法还可以包括下述S301;并且上述S202中的步骤,具体可以包括下述的S2021:
S301、从多个区块链节点中确定主节点。
作为一种可能的实现方式,可以首先通过共识机制,从多个区块链节点中确定主节点,以通过该主节点,执行验证电子设备的身份信息是否合法,以及生成电子设备的身份标识的步骤。
可以理解,在不同电子设备,或同一电子设备不同时间发送注册请求时,均需要通过共识机制从多个区块链节点中确定主节点。
进一步的,在从多个区块链节点中确定主节点之后,可以通过主节点首先验证电子设备的身份信息是否合法,并且不同电子设备对应的验证方式不同。
作为一种可能的实现方式,在主节点确定电子设备不具备接入物联网的电子设备对应的权限时,则可以直接拒绝电子设备进行注册。
S2021、在通过主节点验证电子设备的身份信息合法的情况下,确定电子设备具备对应的权限,并生成数据区块。
作为一种可能的实现方式,主节点还可以生成电子设备的身份标识。
作为一种可能的实现方式,在主节点确定电子设备具备接入物联网的电子设备对应的权限时,生成电子设备的身份标识,并将电子设备的身份标识和对应的电子设备对应的权限同步广播到其他区块链节点中。
进一步的,区块链中包括的其他区块链节点在接收到主节点发送的电子设备的身份标识和对应的电子设备对应的权限之后,可以分别对电子设备的身份标识和对应的电子设备对应的权限进行格式校验和权限检查,并在得到校验结果之后,分别将校验结果同步广播至其他区块链节点。
作为一种可能的实现方式,目标区块链节可以每经过预设时长,将该预设时长内所确定的多个电子设备的身份标识和对应的电子设备对应的权限,同步广播至其他区块链节点。
需要说明的是,在区块链包括的多个区块链节点中的每个区块链节点都会对应保存一份权限规则对照表,以根据该权限规则对照表对每个电子设备的身份标识和对应的电子设备对应的权限进行校验。
在本发明实施例中,通过从多个区块链节点中确定主节点,以通过主节点对电子设备进行权限核实和生成身份标识,从而在通过主节点确定电子设备的身份信息不合法的情况下,可以直接禁止电子设备接入网络;而在通过主节点验证电子设备的身份信息合法的情况下,才能进行下一步,确定电子设备具备电子设备对应的权限,并生成电子设备的身份标识。从而可以在电子设备的身份信息不合法的情况下,简化验证电子设备的身份信息是否合法的步骤,提高验证的效率。
在一种设计中,如图4所示,本发明实施例提供的一种安全控制方法,在上述S204之后,方法还可以包括下述S401-S404:
S401、在接收到电子设备发送的联网请求时,将联网请求同步至其他区块链节点。
其中,联网请求包括电子设备的身份信息。
进一步的,在完成电子设备的注册请求之后,若电子设备需要接入网络,则需要根据电子设备的联网请求,判断是否允许电子设备接入网络。
可选的,在电子设备需要接入网络时,可以通过边缘区块链节点访问区块链,以使得边缘区块链节点将访问请求同步发送至区块链网络中的其他区块链节点。
进一步的,区块链网络中的其他区块链节点分别验证访问请求中包括的电子设备的身份信息是否合法,以确定是否允许电子设备接入网络。
S402、在验证电子设备的身份信息合法的情况下,检测是否存在电子设备对应的目标联网策略。
其中,目标联网策略为根据电子设备的历史联网信息确定的策略。
作为一种可能的实现方式,可以理解,多个区块链节点中的每个区块链节点分别检测是否存在电子设备对应的目标联网策略。
作为一种可能的实现方式,在验证电子设备的身份合法之后,需要进一步的确定本地是否存在此电子设备对应的目标联网策略。
需要说明的是,目标联网策略为根据电子设备的历史联网信息所确定的该电子设备对应的联网策略。
需要说明的是,对于目标联网策略的具体制定规则,可以参考下述目标联网策略相关内容,此处不再赘述。
S403、在确定存在目标联网策略的情况下,基于目标联网策略确定是否允许电子设备接入网络。
作为一种可能的实现方式,在确定本地存在此电子设备对应的目标联网策略时,需要根据目标联网策略判断是否允许电子设备接入网络。
具体的,区块链中的每个区块链节点分别确定本地是否存在此电子设备对应的目标联网策略,并将确定结果发送至边缘区块链节点,在边缘区块链节点确定一定数量(或一定比例)的区块链节点所发送的结果一致的情况下,根据目标联网策略控制电子设备是否允许接入网络。
S404、在确定未存在目标联网策略的情况下,获取电子设备的身份标识和电子设备对应的权限,并基于电子设备的身份标识和电子设备对应的权限,确定是否允许电子设备接入网络。
作为一种可能的实现方式,在边缘区块链节点确定未超过一定数量(或一定比例)的区块链节点所发送的结果一致的情况下,则确定本地不存在电子设备对应的目标联网策略。
在确定本地不存在电子设备对应的目标联网策略之后,可以进一步的读取区块链账本中,该电子设备对应的身份标识和权限数据信息,以进一步的确定是否允许电子设备接入网络。
在本发明实施例中,可以通过将电子设备发送的联网请求同步至区块链包括的多个区块链节点,以使得每个区块链节点分别检测是否存在电子设备对应的目标联网策略,从而在确定存在目标联网策略的情况下,基于目标联网策略确定是否允许电子设备接入网络;在确定未存在目标联网策略的情况下,再基于获取电子设备的身份标识和电子设备对应的权限,确定是否允许电子设备接入网络。通过多个区块链节点分别确定是否允许电子设备接入网络,可以提高电子设备接入网络的安全性。
在一种设计中,如图5所示,本发明实施例提供的一种安全控制方法,上述S403中的步骤,具体可以包括下述S4031-S4032:
S4031、若多个区块链节点中第二类型节点的数量大于或等于第二预设数量,则确定存在目标联网策略。
其中,第二类型节点为确定存在目标联网策略的区块链节点。
作为一种可能的实现方式,当区块链所包括的多个区块链节点中,超过预设数量(或预设比例)的区块链节点确定本地存在目标联网策略,则可以确定存在目标联网策略。
S4032、基于目标联网策略控制电子设备接入网络。
可以理解,在本地存在目标联网策略的情况下,需要优先根据该目标联网策略判断是否允许电子设备接入网络,当该目标联网策略指示禁止电子设备接入网络时,需要禁止电子设备接入网络;当该目标联网策略指示允许电子设备接入网络时,可以允许电子设备接入网络,但需要根据对应的策略控制电子设备的联网过程。
在本发明实施例中,通过判断多个区块链节点中,确定存在目标联网策略的区块链节点的数量,最终确定是否存在目标联网策略,可以提高确定是否存在目标联网策略的准确性。
在一种设计中,如图6所示,本发明实施例提供的一种安全控制方法,上述S404中的步骤,具体可以包括下述S4041-S4042:
S4041、在确定未存在目标联网策略的情况下,获取电子设备的身份标识和电子设备对应的权限,基于电子设备的身份标识和电子设备对应的权限,确定验证信息。
作为一种可能的实现方式,在确定本地不存在电子设备对应的目标联网策略之后,可以进一步的读取区块链账本中,该电子设备对应的身份标识和权限数据信息,并确定验证信息(身份令牌)。
进一步的,将验证信息以及电子设备的电子设备对应的权限信息发送至边缘区块链节点,以使得边缘区块链节点通过验证信息,与物联网网关进行通信。
需要说明的是,因为区块链账本中记录的信息不能被篡改,所以无法修改电子设备在注册时所生成的设备标识和电子设备对应的权限账本信息,因此可以先通过检测是否存在电子设备对应的目标联网策略,来判断电子设备是否能过接入网络。
S4042、在验证信息通过验证的情况下,确定允许电子设备接入网络。
可选的,物联网网关在接收到接入请求之后,对验证信息进行验证,并在验证通过后,允许电子设备其将采集的数据存储至物联网大数据平台中,并允许其使用对应的物联网服务。
在本发明实施例中,在确定未存在目标联网策略的情况下,可以再基于本地保存的电子设备的身份标识和电子设备对应的权限,确定验证信息,从而在验证信息通过验证的情况下,允许电子设备接入网络。通过首先判断是否存在目标联网策略,可以在存在目标联网策略的情况下,简化判断步骤、提高效率;而在未存在目标联网策略的情况下,再进一步通过本地保存的电子设备的身份标识和电子设备对应的权限,确定是否允许电子设备接入网络。
在一种设计中,如图7所示,本发明实施例提供的一种安全控制方法,具体还可以包括下述S501-S503:
S501、在电子设备接入网络之后,获取电子设备的联网日志信息。
作为一种可能的实现方式,在电子设备每次接入网络之后,均对应生成联网日志信息,以记录本次电子设备接入网络中所产生的数据,从而根据联网日志信息确定本次电子设备接入网络的状态是否异常。
S502、根据联网日志信息,对电子设备进行评估,确定电子设备是否存在异常状况。
其中,异常状况包括以下至少一项:连接异常、数据采集异常、数据传输异常。
可选的,通过联网日志信息可以确定电子设备在接入网络时,是否存在连接异常、数据采集异常、数据传输异常等情况。
具体的,可以在电子设备接入网络时,可以实时的记录电子设备的连接状态,数据传输状态等,以实时(或定期)的分析存储在物联网大数据平台中的设备联网日志信息,对电子设备进行风险评估,分析确定电子设备是否存在异常情况。
作为一种可能的实现方式,区块链中包括的每个区块链节点,可以通过分析对电子设备的风险评估结果,动态调整电子设备接入网络的控制权限。
具体的,区块链网络可以通过内部的信任评估模块,对电子设备进行风险评估,通过读取物联网大数据平台的设备日志数据(联网日志信息),实现对电子设备行为进行分析。对电子设备的行为分析主要包括:设备连接异常分析、设备数据采集异常分析以及设备数据传输异常分析等。
其中,设备连接异常分析,具体是分析电子设备是否存在异常或恶意连接的行为。例如,若识别到电子设备在一段时间内频繁的尝试连接,则判断该电子设备存在异常连接行为。比如规定电子设备5s内允许重复连接10次,若电子设备5s内重复连接的行为超过10次,则确定电子设备存在1次连接异常。
设备数据采集异常分析,具体是分析电子设备采集数据是否存在异常情况。例如电子设备采集数据的频率超过预设频率阈值。具体的,可以指定设备采集异常分析的规则为:每个电子设备的初始信誉分为100,电子设备的采集频率为f,预设频率阈值为k,电子设备当前信誉分为S,上一次电子设备信誉分为s,累积异常次数为n,则可以计算电子设备当前信誉分:
其中,预设频率阈值k可预先设置(例如5次/s),根据上述公式计算电子设备信誉积分,若信誉积分小于60时,则确定电子设备存在1次采集异常,然后将初始信誉分重置为100。
设备数据传输异常分析,具体是分析采集到的电子设备数据是否存在数据异常的情况。数据异常具体可以包括:数据中存在特殊非法字符、单条数据量过大、频繁缺失重要数据等。其分析规则可以为:初始信誉分为100,电子设备当前信誉分为M,上一次信誉积分m,存在特殊非法字符条数为a,特殊字符系数γ1,单条数据量过大次数b,单条数据量过大系数γ2,缺失数据条数c,缺失重要数据系数γ3,则:
M=m-(a*γ1+b*γ2+c*γ3) 公式二
其中,γ1、γ2、γ3可以根据具体情况调整,比如,分别为1.5,1.5,2.0。根据上述公式计算电子设备当前信誉分,若电子设备当前信誉分小于60时,则确定电子设备存在1次数据异常,然后将初始信誉分重置为100。
S503、在确定电子设备存在异常状况的情况下,制定目标联网策略。
其中,目标联网策略用于在接收到电子设备发送的联网请求时,确定是否允许电子设备接入网络。
具体的,目标联网策略(也可称为动态访问控制合约)可以实现对电子设备的电子设备对应的权限进行动态调整。其工作流程是,通过获取信任评估模块对电子设备的分析结果,再基于分析结果和权限控制规则,动态的调整电子设备的电子设备对应的权限得到目标联网策略,然后将该目标联网策略下达给相应的边缘区块链节点,由边缘区块链节点根据目标联网策略控制电子设备的接入。
因为在本地区块链账本节点记录的电子设备的电子设备对应的权限信息不能更改,所以需要优先判断是否存在为电子设备制定的目标联网策略,以在存在目标联网策略的情况下,根据目标联网策略控制电子设备的电子设备对应的权限;若不存在目标联网策略,则通过获取本地存储的电子设备的身份标识和电子设备对应的权限,控制电子设备的接入。即在存在目标联网策略的情况下,以目标联网策略为准。
具体的,通过分析结果和权限控制规则得到目标联网策略的具体过程为:
从电子设备第一次接入物联网时开始统计,在确定电子设备连接异常时,采取如下策略:延迟一定时间间隔后,才允许电子设备重新进行接入网络。其中,时间间隔与设备连接异常的累积次数有关,例如:时间间隔为t,设备连接异常的累积次数为n,当n大于或等于阈值(例如100次)时,则可以禁止的在市内接入网络,当n小于阈值时,时间间隔t的具体取值为:
在确定电子设备数据采集异常时,采取如下策略:若数据采集异常次数大于预设次数(例如150次)时,则将该电子设备加入黑名单,不允许该电子设备接入网络或使用对应的服务,并可选择联系运维人员维修或者更换电子设备。
在确定电子设备数据传输异常时,采取如下策略:若数据传输异常次数大于预设次数(例如1000次)时,则将该设备加入黑名单,不允许该设备接入网络或使用对应的服务,并可选择联系运维人员维修或者更换电子设备。
本申请实施例可以应用于智能家居、智能网联汽车等各类物联网设备的身份验证和权限控制场景。本方法基于区块链技术,在物联网边缘区块链节点或者物联网设备中部署的区块链节点,区块链节点之间进行p2p的交互,构建去中心化的物联网信任体系。设备身份信息和权限信息存储在区块链账本中,每个区块链节点都保存一份,以解决中心化架构面临的单点故障问题,一定数量区块链节点的损坏不影响系统正常运行。并且电子设备的身份标识和权限信息存储在区块链中,任何人都无法篡改。
在本发明实施例中,通过获取电子设备的联网日志信息,对电子设备进行评估,以确定电子设备是否存在异常状况;从而在确定电子设备存在异常状况的情况下,制定目标联网策略,以在接收到电子设备发送的联网请求时,根据制定的目标联网策略,确定是否允许电子设备接入网络。可以提高电子设备接入网络的安全性。
在一种设计中,如图8所示,本发明实施例提供的一种安全控制系统,该系统在逻辑上分为控制平面和数据平面。控制平面实现设备接入物联网的身份注册、身份验证以及访问权限控制。数据平面是依据控制平面下达的指令,执行电子设备的联网、设备数据采集与控制等功能。其中控制平面可以理解为每个区块链节点均具备:电子设备身份注册、验证功能(也可称为设备数字身份合约)、目标联网策略的制定功能(也可称为动态访问控制合约)、以及信任评估模块等。
电子设备身份注册、验证功能是基于区块链的智能合约实现电子设备的身份注册、设备身份验证和权限控制等功能。其中身份注册是边缘区块链节点通过本地的区块链节点访问区块链网络,实现设备数字身份合约调用,实现将设备的身份信息和对应的权限注册到区块链中。设备身份验证是边缘区块链节点通过本地的区块链节点访问区块链网络,实现设备身份验证合约调用,实现设备身份验证和静态权限下发。
目标联网策略的制定功能是依据信任评估模块的统计结果,动态调整设备的权限控制策略。信任评估模块是通过分析设备的活动日志(即联网日志信息),实现设备行为分析,并将分析结果推送给目标联网策略的制定功能对应的模块。
本申请通过区块链进行电子设备身份和对应权限的保存,各个区块链节点都会保存一份数据信息,进行分布式管理,而不是传统的集中式存储和管理。通过电子设备身份注册、验证功能(也可称为设备数字身份合约)、目标联网策略的制定功能(也可称为动态访问控制合约)自动进行设备的身份注册、权限的核对上链存储、身份验证和权限自动调整等。且每一步都需要进行分布式的达成共识(即区块链中全部的区块链节点意见一致),才能执行电子设备接入网络,而不是传统的集中式权限管理。并通过信任评估模块,统计评估各电子设备的异常情况,进行设备权限的动态调整。
在本申请中,通过对电子设备的身份标识和对应的电子设备对应的权限进行分布式存储,区块链中的每个区块链节点都会保存一份账本,且各节点都是对等的,只要多于预设比例(例如50%)的节点不损坏,就能够进行正常的身份验证和授权。并且区块链账本任何节点都无法更改,只要更改,就会被其他节点发现,导致更改失效。从而即使一定数量的电子设备或区块链节点损坏,系统仍能正常进行身份验证和联网授权,且权限信息不能被任何人篡改。
进一步的,本申请可以通过自动进行电子设备的注册、电子设备对应的权限的核对、身份验证以及权限动态调整等,并可以进行分布式多区块链节点确认电子设备对应的权限,而不是集中集权化管理;以及可以定期统计电子设备的异常状态,以进行电子设备对应的权限的动态调整。
上述主要从方法的角度对本发明实施例提供的方案进行了介绍。为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本发明实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明实施例可以根据上述方法示例对一种安全控制装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。可选的,本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
图9为本发明实施例提供的一种安全控制装置的结构示意图。如图9所示,一种安全控制装置40用于提高物联网对接入的电子设备的身份信息进行验证的安全性,提升数据信息的安全性,例如用于执行图2所示的一种安全控制方法。应用于区块链网络中,区块链网络包括多个区块链节点,对于区块链节点中的任一区块链节点。该一种安全控制装置40包括:处理单元401、获取单元402、接收单元403和保存单元404。
处理单元401,用于在接收到电子设备发送的注册请求时,将注册请求同步至多个区块链节点中除任一区块链节点之外的其他区块链节点;注册请求包括电子设备的身份信息。
获取单元402,用于获取主节点生成的数据区块,数据区块包括电子设备的身份标识和电子设备对应的权限;主节点包括在多个区块链节点中,主节点为多个区块链节点通过共识机制确定出的对电子设备进行权限核实和生成身份标识的区块链节点;
处理单元401,还用于对主节点生成的数据区块进行检查,并向其他区块链节点广播检查结果;
接收单元403,用于接收其他区块链节点广播的检查结果;其中检查结果包括认可主节点生成的数据区块或者不认可主节点生成的数据区块;
保存单元404,用于若确定多个区块链节点中第一类型节点的数量大于或等于第一预设数量,则将电子设备的身份标识和电子设备对应的权限保存在任一区块链节点的本地区块链账本中;第一类型节点包括认可主节点生成的数据区块的区块链节点。
可选的,在本发明实施例提供的一种安全控制装置40中,处理单元401,还用于从多个区块链节点中确定主节点。
处理单元401,具体用于在通过主节点验证电子设备的身份信息合法的情况下,确定电子设备具备对应的权限,并生成数据区块。
可选的,在本发明实施例提供的一种安全控制装置40中,处理单元401,还用于在接收到电子设备发送的联网请求时,将联网请求同步至其他区块链节点;联网请求包括电子设备的身份信息。
处理单元401,还用于在验证电子设备的身份信息合法的情况下,检测是否存在电子设备对应的目标联网策略;目标联网策略为根据电子设备的历史联网信息确定的策略。
如图10所示,本发明实施例提供的一种安全控制装置40,还可以包括:确定单元405。
确定单元405,用于在确定存在目标联网策略的情况下,基于目标联网策略确定是否允许电子设备接入网络。
获取单元402,还用于在确定未存在目标联网策略的情况下,获取电子设备的身份标识和电子设备对应的权限;
确定单元405,还用于基于电子设备的身份标识和电子设备对应的权限,确定是否允许电子设备接入网络。
可选的,在本发明实施例提供的一种安全控制装置40中,确定单元405,具体用于若多个区块链节点中第二类型节点的数量大于或等于第二预设数量,则确定存在目标联网策略;第二类型节点为确定存在目标联网策略的区块链节点。
处理单元401,还用于基于目标联网策略控制电子设备接入网络。
可选的,在本发明实施例提供的一种安全控制装置40中,确定单元405,具体用于基于电子设备的身份标识和电子设备对应的权限,确定验证信息。
确定单元405,还用于在验证信息通过验证的情况下,确定允许电子设备接入网络。
可选的,在本发明实施例提供的一种安全控制装置40中,获取单元402,还用于在电子设备接入网络之后,获取电子设备的联网日志信息。
处理单元401,还用于根据联网日志信息,对电子设备进行评估,确定电子设备是否存在异常状况;异常状况包括以下至少一项:连接异常、数据采集异常、数据传输异常。
确定单元405,还用于在确定电子设备存在异常状况的情况下,制定目标联网策略;目标联网策略用于在接收到电子设备发送的联网请求时,确定是否允许电子设备接入网络。
在采用硬件的形式实现上述集成的模块的功能的情况下,本发明实施例提供了上述实施例中所涉及的电子设备的另外一种可能的结构示意图。如图11所示,一种电子设备60,用于对商圈等级进行分级,为消费者提供准确的参考,例如用于执行图2所示的一种安全控制方法。该电子设备60包括处理器601,存储器602以及总线603。处理器601与存储器602之间可以通过总线603连接。
处理器601是通信装置的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器601可以是一个通用中央处理单元(central processing unit,CPU),也可以是其他通用处理器等。其中,通用处理器可以是微处理器或者是任何常规的处理器等。
作为一种实施例,处理器601可以包括一个或多个CPU,例如图11中所示的CPU 0和CPU 1。
存储器602可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
作为一种可能的实现方式,存储器602可以独立于处理器601存在,存储器602可以通过总线603与处理器601相连接,用于存储指令或者程序代码。处理器601调用并执行存储器602中存储的指令或程序代码时,能够实现本发明实施例提供的一种安全控制方法。
另一种可能的实现方式中,存储器602也可以和处理器601集成在一起。
总线603,可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外围设备互连(Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
需要指出的是,图11示出的结构并不构成对该电子设备60的限定。除图11所示部件之外,该电子设备60可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
作为一个示例,结合图9,电子设备中的处理单元401、获取单元402、接收单元403和保存单元404实现的功能与图11中的处理器601的功能相同。
可选的,如图11所示,本发明实施例提供的电子设备60还可以包括通信接口604。
通信接口604,用于与其他设备通过通信网络连接。该通信网络可以是以太网,无线接入网,无线局域网(wireless local area networks,WLAN)等。通信接口604可以包括用于接收数据的接收单元,以及用于发送数据的发送单元。
在一种设计中,本发明实施例提供的电子设备中,通信接口还可以集成在处理器中。
图12示出了本发明实施例中电子设备的另一种硬件结构。如图12所示,电子设备70可以包括处理器701、通信接口702、存储器703以及总线704。处理器701与通信接口702、存储器703耦合。
处理器701的功能可以参考上述处理器601的描述。此外,处理器701还具备存储功能,可以参考上述存储器602的功能。
通信接口702用于为处理器701提供数据。该通信接口702可以是通信装置的内部接口,也可以是通信装置对外的接口(相当于通信接口604)。
需要指出的是,图12中示出的结构并不构成对电子设备70的限定,除图12所示部件之外,该电子设备70可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能单元的划分进行举例说明。在实际应用中,可以根据需要而将上述功能分配由不同的功能单元完成,即将装置的内部结构划分成不同的功能单元,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当计算机执行该指令时,该计算机执行上述方法实施例所示的方法流程中的各个步骤。
本发明的实施例提供一种包含指令的计算机程序产品,当指令在计算机上运行时,使得计算机执行上述方法实施例中的一种安全控制方法。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit,ASIC)中。在本发明实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
由于本发明的实施例中的电子设备、计算机可读存储介质、计算机程序产品可以应用于上述方法,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何在本发明揭露的技术范围内的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (14)
1.一种安全控制方法,其特征在于,所述方法应用于区块链网络中,所述区块链网络包括多个区块链节点,对于所述区块链节点中的任一区块链节点,所述方法包括:
在接收到电子设备发送的注册请求时,将所述注册请求同步至所述多个区块链节点中除所述任一区块链节点之外的其他区块链节点;所述注册请求包括所述电子设备的身份信息;
获取主节点生成的数据区块,所述数据区块包括所述电子设备的身份标识和所述电子设备对应的权限;所述主节点包括在所述多个区块链节点中,所述主节点为所述多个区块链节点通过共识机制确定出的对所述电子设备进行权限核实和生成身份标识的区块链节点;
对所述主节点生成的数据区块进行检查,并向所述其他区块链节点广播检查结果,以及接收所述其他区块链节点广播的检查结果;其中所述检查结果包括认可所述主节点生成的数据区块或者不认可所述主节点生成的数据区块;
若确定所述多个区块链节点中第一类型节点的数量大于或等于第一预设数量,则将所述电子设备的身份标识和所述电子设备对应的权限保存在所述任一区块链节点的本地区块链账本中;所述第一类型节点包括认可所述主节点生成的数据区块的区块链节点。
2.根据权利要求1所述的方法,其特征在于,所述获取主节点生成的数据区块之前,所述方法还包括:
从所述多个区块链节点中确定所述主节点;
所述获取主节点生成的数据区块,包括:
在通过所述主节点验证所述电子设备的身份信息合法的情况下,确定所述电子设备具备对应的权限,并生成所述数据区块。
3.根据权利要求1所述的方法,其特征在于,所述将所述电子设备的身份标识和所述电子设备对应的权限保存在所述任一区块链节点的本地区块链账本中之后,所述方法还包括:
在接收到所述电子设备发送的联网请求时,将所述联网请求同步至所述其他区块链节点;所述联网请求包括所述电子设备的身份信息;
在验证所述电子设备的身份信息合法的情况下,检测是否存在所述电子设备对应的目标联网策略;所述目标联网策略为根据所述电子设备的历史联网信息确定的策略;
在确定存在所述目标联网策略的情况下,基于所述目标联网策略确定是否允许所述电子设备接入网络;
在确定未存在所述目标联网策略的情况下,获取所述电子设备的身份标识和所述电子设备对应的权限,并基于所述电子设备的身份标识和所述电子设备对应的权限,确定是否允许所述电子设备接入网络。
4.根据权利要求3所述的方法,其特征在于,所述在确定存在所述目标联网策略的情况下,基于所述目标联网策略控制所述电子设备接入网络,包括:
若所述多个区块链节点中第二类型节点的数量大于或等于第二预设数量,则确定存在所述目标联网策略;所述第二类型节点为确定存在所述目标联网策略的区块链节点;
基于所述目标联网策略控制所述电子设备接入网络。
5.根据权利要求3所述的方法,其特征在于,所述基于所述电子设备的身份标识和所述电子设备对应的权限,确定是否允许所述电子设备接入网络,包括:
基于所述电子设备的身份标识和所述电子设备对应的权限,确定验证信息;
在所述验证信息通过验证的情况下,确定允许所述电子设备接入网络。
6.根据权利要求3-5中任一项所述的方法,其特征在于,所述方法还包括:
在所述电子设备接入网络之后,获取所述电子设备的联网日志信息;
根据所述联网日志信息,对所述电子设备进行评估,确定所述电子设备是否存在异常状况;所述异常状况包括以下至少一项:连接异常、数据采集异常、数据传输异常;
在确定所述电子设备存在所述异常状况的情况下,制定所述目标联网策略;所述目标联网策略用于在接收到所述电子设备发送的联网请求时,确定是否允许所述电子设备接入网络。
7.一种安全控制装置,其特征在于,应用于区块链网络中,所述区块链网络包括多个区块链节点,对于所述区块链节点中的任一区块链节点,所述装置包括:处理单元、获取单元、接收单元和保存单元;
所述处理单元,用于在接收到电子设备发送的注册请求时,将所述注册请求同步至所述多个区块链节点中除所述任一区块链节点之外的其他区块链节点;所述注册请求包括所述电子设备的身份信息;
所述获取单元,用于获取主节点生成的数据区块,所述数据区块包括所述电子设备的身份标识和所述电子设备对应的权限;所述主节点包括在所述多个区块链节点中,所述主节点为所述多个区块链节点通过共识机制确定出的对所述电子设备进行权限核实和生成身份标识的区块链节点;
所述处理单元,还用于对所述主节点生成的数据区块进行检查,并向所述其他区块链节点广播检查结果;
所述接收单元,用于接收所述其他区块链节点广播的检查结果;其中所述检查结果包括认可所述主节点生成的数据区块或者不认可所述主节点生成的数据区块;
所述保存单元,用于若确定所述多个区块链节点中第一类型节点的数量大于或等于第一预设数量,则将所述电子设备的身份标识和所述电子设备对应的权限保存在所述任一区块链节点的本地区块链账本中;所述第一类型节点包括认可所述主节点生成的数据区块的区块链节点。
8.根据权利要求7所述的安全控制装置,其特征在于,所述处理单元,还用于从所述多个区块链节点中确定所述主节点;
所述处理单元,具体用于在通过所述主节点验证所述电子设备的身份信息合法的情况下,确定所述电子设备具备对应的权限,并生成所述数据区块。
9.根据权利要求7所述的安全控制装置,其特征在于,所述处理单元,还用于在接收到所述电子设备发送的联网请求时,将所述联网请求同步至所述其他区块链节点;所述联网请求包括所述电子设备的身份信息;
所述处理单元,还用于在验证所述电子设备的身份信息合法的情况下,检测是否存在所述电子设备对应的目标联网策略;所述目标联网策略为根据所述电子设备的历史联网信息确定的策略;
所述安全控制装置还包括:确定单元;
所述确定单元,用于在确定存在所述目标联网策略的情况下,基于所述目标联网策略确定是否允许所述电子设备接入网络;
所述获取单元,还用于在确定未存在所述目标联网策略的情况下,获取所述电子设备的身份标识和所述电子设备对应的权限;
所述确定单元,还用于基于所述电子设备的身份标识和所述电子设备对应的权限,确定是否允许所述电子设备接入网络。
10.根据权利要求9所述的安全控制装置,其特征在于,所述确定单元,具体用于若所述多个区块链节点中第二类型节点的数量大于或等于第二预设数量,则确定存在所述目标联网策略;所述第二类型节点为确定存在所述目标联网策略的区块链节点;
所述处理单元,还用于基于所述目标联网策略控制所述电子设备接入网络。
11.根据权利要求9所述的安全控制装置,其特征在于,所述确定单元,具体用于基于所述电子设备的身份标识和所述电子设备对应的权限,确定验证信息;
所述确定单元,还用于在所述验证信息通过验证的情况下,确定允许所述电子设备接入网络。
12.根据权利要求9-11中任一项所述的安全控制装置,其特征在于,所述获取单元,还用于在所述电子设备接入网络之后,获取所述电子设备的联网日志信息;
所述处理单元,还用于根据所述联网日志信息,对所述电子设备进行评估,确定所述电子设备是否存在异常状况;所述异常状况包括以下至少一项:连接异常、数据采集异常、数据传输异常;
所述确定单元,还用于在确定所述电子设备存在所述异常状况的情况下,制定所述目标联网策略;所述目标联网策略用于在接收到所述电子设备发送的联网请求时,确定是否允许所述电子设备接入网络。
13.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序存储有指令,所述指令当被计算机执行时使所述计算机执行如权利要求1-6中任一项所述的一种安全控制方法。
14.一种电子设备,其特征在于,包括:处理器以及存储器;其中,所述存储器用于存储一个或多个程序,所述一个或多个程序包括计算机执行指令,当所述电子设备运行时,处理器执行所述存储器存储的所述计算机执行指令,以使所述电子设备执行权利要求1-6中任一项所述的一种安全控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111551470.3A CN114338107A (zh) | 2021-12-17 | 2021-12-17 | 一种安全控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111551470.3A CN114338107A (zh) | 2021-12-17 | 2021-12-17 | 一种安全控制方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114338107A true CN114338107A (zh) | 2022-04-12 |
Family
ID=81052211
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111551470.3A Pending CN114338107A (zh) | 2021-12-17 | 2021-12-17 | 一种安全控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338107A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109819443A (zh) * | 2018-12-29 | 2019-05-28 | 东莞见达信息技术有限公司 | 基于区块链的注册认证方法、装置及系统 |
CN110519306A (zh) * | 2019-10-09 | 2019-11-29 | 三星电子(中国)研发中心 | 一种物联网的设备访问控制方法和装置 |
CN113127569A (zh) * | 2021-05-11 | 2021-07-16 | 中国工商银行股份有限公司 | 用于区块链系统的共识方法、装置、电子设备及存储介质 |
CN113301114A (zh) * | 2021-04-13 | 2021-08-24 | 广东电网有限责任公司 | 区块链共识节点选择方法、装置、计算机设备和存储介质 |
-
2021
- 2021-12-17 CN CN202111551470.3A patent/CN114338107A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109819443A (zh) * | 2018-12-29 | 2019-05-28 | 东莞见达信息技术有限公司 | 基于区块链的注册认证方法、装置及系统 |
CN110519306A (zh) * | 2019-10-09 | 2019-11-29 | 三星电子(中国)研发中心 | 一种物联网的设备访问控制方法和装置 |
CN113301114A (zh) * | 2021-04-13 | 2021-08-24 | 广东电网有限责任公司 | 区块链共识节点选择方法、装置、计算机设备和存储介质 |
CN113127569A (zh) * | 2021-05-11 | 2021-07-16 | 中国工商银行股份有限公司 | 用于区块链系统的共识方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11303661B2 (en) | System and method for detection and prevention of attacks on in-vehicle networks | |
US10826684B1 (en) | System and method of validating Internet of Things (IOT) devices | |
CN112311735B (zh) | 可信认证方法,网络设备、系统及存储介质 | |
CN115189927B (zh) | 一种基于零信任的电力网络安全防护方法 | |
WO2021233048A1 (zh) | 基于区块链的数据检测方法、装置及计算机可读存储介质 | |
US20230037932A1 (en) | Data processing method and apparatus based on blockchain network, and computer device | |
CN113225736B (zh) | 无人机集群节点认证方法、装置、存储介质及计算机设备 | |
CN111698255A (zh) | 一种业务数据传输方法、设备及系统 | |
US20210006583A1 (en) | System and method of secure communication with internet of things devices | |
CN104202338A (zh) | 一种适用于企业级移动应用的安全接入方法 | |
CN103685204A (zh) | 基于物联网资源共享平台的资源鉴权方法 | |
CN115550069B (zh) | 一种电动汽车智能充电系统及其安全防护方法 | |
US11245699B2 (en) | Token-based device access restriction systems | |
CN112950201A (zh) | 一种应用于区块链系统的节点管理方法及相关装置 | |
CN114117264A (zh) | 基于区块链的非法网站识别方法、装置、设备及存储介质 | |
CN112862487A (zh) | 一种数字证书认证方法、设备及存储介质 | |
CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
CN111327602B (zh) | 一种设备接入处理方法、设备及存储介质 | |
CN113468276A (zh) | 链上预言机的可信数据获取方法、装置及电子设备 | |
CN111866993A (zh) | 无线局域网连接管理方法、装置、软件程序及存储介质 | |
CN114338107A (zh) | 一种安全控制方法及装置 | |
CN116170806A (zh) | 一种智能电网lwm2m协议安全访问控制方法及系统 | |
CN112235251B (zh) | 一种区块链管理方法、装置、计算机设备及存储介质 | |
CN115643039A (zh) | 物联终端的安全防护方法、装置及计算机可读存储介质 | |
CN114398600A (zh) | 身份验证方法、系统、电子设备和计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |