CN115622721A - 信息处理方法、装置、区块链设备、用户设备及网络设备 - Google Patents

信息处理方法、装置、区块链设备、用户设备及网络设备 Download PDF

Info

Publication number
CN115622721A
CN115622721A CN202110789467.9A CN202110789467A CN115622721A CN 115622721 A CN115622721 A CN 115622721A CN 202110789467 A CN202110789467 A CN 202110789467A CN 115622721 A CN115622721 A CN 115622721A
Authority
CN
China
Prior art keywords
equipment
information
internet
access request
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110789467.9A
Other languages
English (en)
Inventor
刘利军
柏洪涛
万莉莉
吴菡
王晓
严子易
谭飞越
龙云云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile IoT Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile IoT Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile IoT Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110789467.9A priority Critical patent/CN115622721A/zh
Publication of CN115622721A publication Critical patent/CN115622721A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种信息处理方法、装置、区块链设备、用户设备及网络设备,涉及物联网信息处理技术。该方法包括:接收用户设备发送的第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证;在所述第一设备访问请求验证通过的情况下,通过广播的方式,向所述用户设备发送许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。本发明的方案,解决了现有技术中海量物联网设备在云计算中由于访问控制权限界定不明确易导致资源使用不安全的问题。

Description

信息处理方法、装置、区块链设备、用户设备及网络设备
技术领域
本发明涉及物联网信息处理技术,特别是指一种信息处理方法、装置、区块链设备、用户设备及网络设备。
背景技术
物联网中会产生海量数据,其中涉及大量的个人隐私,这些隐私信息一旦泄漏,则会给用户带来巨大的损失。作为数据保护的基石性技术之一,访问控制可保障数据仅能被拥有相应权限的用户访问。因此,研究物联网下的访问控制机制已成为物联网安全和隐私保护的重要研究内容之一。
区块链是一种去中心化的分布式技术,从技术上解决了基于信任的中心化模型带来的安全问题,因此将区块链与访问控制结合来作为物联网数据保护的关键技术。
目前,尽管有许多将区块链与访问控制相结合的研究,但是这些访问控制模型并不成熟,没有统一考虑物联网海量性、动态性和设备轻量级的特征。事实上,这三个特征在物联网中具有内在联系并同时存在,物联网中存在海量的用户,用户会随时移动,每个用户通常都拥有多个物联网终端设备,且这些设备多数是轻量级的。因此,物联网中的访问控制应该满足海量性、动态性和设备轻量级所带来的挑战。
然而,目前的区块链在物联网方面的应用存在安全问题,比如,由于前端设备不具备完善的认证机制,导致设备与云服务器交互时很容易被黑客利用,从而非法获取授权,进行越权操作;由于众多物联网设备均需要依靠中心服务器,导致中心服务器维护困难、维护代价高、权限管理困难(权限划分不明确,即粗粒度、前端缺乏必要的认证机制)、可扩展性较弱,因此,当前在物联网与云计算的架构中难以解决众多物联网设备的权限管理不当的问题;此外,中央服务器存在单点故障的可能,比如由于依赖的中心服务器对众多物联网设备访问控制的权限设定不明,导致很容易被黑客利用后进行非法授权,从而干扰设备正常运作,而中心服务器一旦被攻击,将带来无法弥补的后果,而且,由于数据交换大多通过无线媒介进行,使得数据交换更容易受到欺骗、篡改等攻击,存在隐私泄露问题。
综上,现有技术中海量物联网设备在云计算中由于访问控制权限界定不明确,存在资源使用不安全的问题,对用户造成了一定的安全隐患。
发明内容
本发明的目的是提供一种信息处理方法、装置、区块链设备、用户设备及网络设备,解决了现有技术中海量物联网设备在云计算中由于访问控制权限界定不明确易导致资源使用不安全的问题。
为达到上述目的,本发明的实施例提供一种信息处理方法,应用于区块链设备,包括:
接收用户设备发送的第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证;
在所述第一设备访问请求验证通过的情况下,通过广播的方式,向所述用户设备发送许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。
可选地,所述合约包括以下至少一项:
用户列表信息,所述用户列表信息为具备访问权限的用户设备的信息;其中,所述访问权限为通过网络设备访问映射到所述网络设备上的物联网设备的权限;
设备映射信息,所述设备映射信息为物联网设备与所述网络设备之间的映射信息;其中,每一所述物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
可选地,所述根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证,包括:
根据所述用户列表信息,对所述第一物联网设备和所述用户设备进行验证;
在所述第一物联网设备存在,且所述用户设备具有访问所述第一物联网设备的权限的情况下,确定所述第一设备访问请求验证通过。
可选地,所述通过广播的方式,向所述用户设备发送许可信息,包括:
根据所述设备映射信息,向所述用户设备发送许可信息;
其中,所述许可信息包括以下至少一项:
哈希函数;
所述用户设备的以太坊地址或公钥;
所述许可信息的签发时间;
所述第一物联网设备的设备标识;
所述网络设备的以太坊地址或公钥。
为达到上述目的,本发明的实施例提供一种信息处理方法,应用于用户设备,包括:
向区块链设备发送第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
接收所述区块链设备根据所述第一设备访问请求发送的许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备;
根据所述许可信息,向网络设备发送第二设备访问请求;其中,所述第二设备访问请求包括所述许可信息;
在接收到所述网络设备根据所述第二设备访问请求发送的第一信息的情况下,对所述第一信息进行验证;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数;
在所述第一信息验证通过的情况下,向所述网络设备发送第二信息;其中,所述第二信息用于指示第一信息验证通过。
可选地,在所述向所述网络设备发送第二信息之后,所述信息处理方法还包括:
与所述网络设备建立会话。
可选地,所述第二设备访问请求还包括随机数。
可选地,所述对所述第一信息进行验证,包括:
对所述第一信息进行解密,得到第三信息;
将所述第三信息与所述第二设备访问请求进行匹配;
在匹配通过的情况下,确定所述第一信息验证通过。
为达到上述目的,本发明的实施例提供一种信息处理方法,应用于网络设备,包括:
接收用户设备发送的第二设备访问请求;其中,所述第二设备访问请求包括许可信息;所述许可信息用于所述用户设备访问第一物联网设备;
对所述许可信息的有效性进行检测;
在确定所述许可信息有效的情况下,向所述用户设备发送第一信息;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数。
可选地,在所述向所述用户设备发送第一信息之后,所述信息处理方法还包括:
在接收到所述用户设备发送的第二信息的情况下,与所述用户设备建立会话。
可选地,所述信息处理方法还包括:
在建立会话后,使用会话秘钥对通信过程中的信息进行加密。
可选地,每一物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
为达到上述目的,本发明的实施例提供一种区块链设备,包括处理器和收发机,其中,
所述收发机用于接收用户设备发送的第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
所述处理器用于根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证;
所述收发机还用于在所述第一设备访问请求验证通过的情况下,通过广播的方式,向所述用户设备发送许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。
可选地,所述合约包括以下至少一项:
用户列表信息,所述用户列表信息为具备访问权限的用户设备的信息;其中,所述访问权限为通过网络设备访问映射到所述网络设备上的物联网设备的权限;
设备映射信息,所述设备映射信息为物联网设备与所述网络设备之间的映射信息;其中,每一所述物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
可选地,所述处理器在根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证时,具体用于:
根据所述用户列表信息,对所述第一物联网设备和所述用户设备进行验证;
在所述第一物联网设备存在,且所述用户设备具有访问所述第一物联网设备的权限的情况下,确定所述第一设备访问请求验证通过。
可选地,所述处理器在通过广播的方式,向所述用户设备发送许可信息时,具体用于:
根据所述设备映射信息,向所述用户设备发送许可信息;
其中,所述许可信息包括以下至少一项:
哈希函数;
所述用户设备的以太坊地址或公钥;
所述许可信息的签发时间;
所述第一物联网设备的设备标识;
所述网络设备的以太坊地址或公钥。
为达到上述目的,本发明的实施例提供一种用户设备,包括处理器和收发机,其中,
所述收发机用于向区块链设备发送第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
所述收发机还用于接收所述区块链设备根据所述第一设备访问请求发送的许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备;
所述收发机还用于根据所述许可信息,向网络设备发送第二设备访问请求;其中,所述第二设备访问请求包括所述许可信息;
所述处理器用于在接收到所述网络设备根据所述第二设备访问请求发送的第一信息的情况下,对所述第一信息进行验证;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数;
所述收发机还用于在所述第一信息验证通过的情况下,向所述网络设备发送第二信息;其中,所述第二信息用于指示第一信息验证通过。
可选地,在所述向所述网络设备发送第二信息之后,所述处理器还用于:
与所述网络设备建立会话。
可选地,所述第二设备访问请求还包括随机数。
可选地,所述处理器在对所述第一信息进行验证时,具体用于:
对所述第一信息进行解密,得到第三信息;
将所述第三信息与所述第二设备访问请求进行匹配;
在匹配通过的情况下,确定所述第一信息验证通过。
为达到上述目的,本发明的实施例提供一种网络设备,包括处理器和收发机,其中,
所述收发机用于接收用户设备发送的第二设备访问请求;其中,所述第二设备访问请求包括许可信息;所述许可信息用于所述用户设备访问第一物联网设备;
所述处理器用于对所述许可信息的有效性进行检测;
所述收发机还用于在确定所述许可信息有效的情况下,向所述用户设备发送第一信息;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数。
可选地,在所述向所述用户设备发送第一信息之后,所述处理器还用于:
在接收到所述用户设备发送的第二信息的情况下,与所述用户设备建立会话。
可选地,所述处理器还用于:
在建立会话后,使用会话秘钥对通信过程中的信息进行加密。
为达到上述目的,本发明的实施例提供一种信息处理装置,应用于区块链设备,包括:
第一接收模块,用于接收用户设备发送的第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
第一验证模块,用于根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证;
第一发送模块,用于在所述第一设备访问请求验证通过的情况下,通过广播的方式,向所述用户设备发送许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。
可选地,所述合约包括以下至少一项:
用户列表信息,所述用户列表信息为具备访问权限的用户设备的信息;其中,所述访问权限为通过网络设备访问映射到所述网络设备上的物联网设备的权限;
设备映射信息,所述设备映射信息为物联网设备与所述网络设备之间的映射信息;其中,每一所述物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
可选地,所述第一验证模块包括:
信息验证单元,用于根据所述用户列表信息,对所述第一物联网设备和所述用户设备进行验证;
第一确定单元,用于在所述第一物联网设备存在,且所述用户设备具有访问所述第一物联网设备的权限的情况下,确定所述第一设备访问请求验证通过。
可选地,所述第一发送模块包括:
发送单元,用于根据所述设备映射信息,向所述用户设备发送许可信息;
其中,所述许可信息包括以下至少一项:
哈希函数;
所述用户设备的以太坊地址或公钥;
所述许可信息的签发时间;
所述第一物联网设备的设备标识;
所述网络设备的以太坊地址或公钥。
为达到上述目的,本发明的实施例提供一种信息处理装置,应用于用户设备,包括:
第二发送模块,用于向区块链设备发送第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
第二接收模块,用于接收所述区块链设备根据所述第一设备访问请求发送的许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备;
第三发送模块,用于根据所述许可信息,向网络设备发送第二设备访问请求;其中,所述第二设备访问请求包括所述许可信息;
第二验证模块,用于在接收到所述网络设备根据所述第二设备访问请求发送的第一信息的情况下,对所述第一信息进行验证;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数;
第四发送模块,用于在所述第一信息验证通过的情况下,向所述网络设备发送第二信息;其中,所述第二信息用于指示第一信息验证通过。
可选地,所述信息处理装置还包括:
第一会话模块,用于与所述网络设备建立会话。
可选地,所述第二设备访问请求还包括随机数。
可选地,所述第二验证模块包括:
信息解密单元,用于对所述第一信息进行解密,得到第三信息;
信息匹配单元,用于将所述第三信息与所述第二设备访问请求进行匹配;
第二确定单元,用于在匹配通过的情况下,确定所述第一信息验证通过。
为达到上述目的,本发明的实施例提供一种信息处理装置,应用于网络设备,包括:
第三接收模块,用于接收用户设备发送的第二设备访问请求;其中,所述第二设备访问请求包括许可信息;所述许可信息用于所述用户设备访问第一物联网设备;
信息检测模块,用于对所述许可信息的有效性进行检测;
第五发送模块,用于在确定所述许可信息有效的情况下,向所述用户设备发送第一信息;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数。
可选地,所述信息处理装置还包括:
第二会话模块,用于在接收到所述用户设备发送的第二信息的情况下,与所述用户设备建立会话。
可选地,所述信息处理装置还包括:
加密模块,用于在建立会话后,使用会话秘钥对通信过程中的信息进行加密。
可选地,每一物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
可选地,每一物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
为达到上述目的,本发明的实施例提供一种区块链设备,包括收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;所述处理器执行所程序或指令时实现如上所述的信息处理方法。
为达到上述目的,本发明的实施例提供一种用户设备,包括收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;所述处理器执行所程序或指令时实现如上所述的信息处理方法。
为达到上述目的,本发明的实施例提供一种网络设备,包括收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;所述处理器执行所程序或指令时实现如上所述的信息处理方法。
为达到上述目的,本发明的实施例提供一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现如上所述的信息处理方法中的步骤。
本发明的上述技术方案的有益效果如下:
本发明实施例的方法,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题。
附图说明
图1为本发明实施例的信息处理方法的流程图;
图2为本发明实施例的信息处理方法的系统架构图;
图3为本发明另一实施例的信息处理方法的流程图;
图4为本发明又一实施例的信息处理方法的流程图;
图5为本发明实施例的区块链设备的结构图;
图6为本发明实施例的用户设备的结构图;
图7为本发明实施例的信息处理装置的结构图;
图8为本发明另一实施例的信息处理装置的结构图;
图9为本发明又一实施例的信息处理装置的结构图;
图10为本发明另一实施例的区块链设备的结构图;
图11为本发明另一实施例的用户设备的结构图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常可互换使用。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
如图1所示,本发明实施例的一种信息处理方法,应用于区块链设备,包括:
步骤101,接收用户设备发送的第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识。
需要说明的是,物联网系统的每个物联网设备都有一个唯一的身份标识号(Identity document,ID),可以称为Device ID(即设备标识)。步骤101中,用户设备发送的第一设备访问请求可以携带该用户设备想要访问的物联网设备的设备标识。
步骤102,根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证。
这里,合约(例如智能合约)可以被开发用来管理整个系统,从系统初始化、注册和身份验证开始的功能都可以由智能合约控制,这样,通过使用区块链的智能合约,能够实现去中心化的资源受限的物联网设备访问控制。
步骤103,在所述第一设备访问请求验证通过的情况下,通过广播的方式,向所述用户设备发送许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。
该步骤中,验证通过时,智能合约将签发一张特殊的许可票(即许可信息),用户可以使用该许可票访问所需的信息。根据区块链的原则,该许可信息将被广播到网络。
该实施例中,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题。
可选地,所述合约包括以下至少一项:
用户列表信息,所述用户列表信息为具备访问权限的用户设备的信息;其中,所述访问权限为通过网络设备访问映射到所述网络设备上的物联网设备的权限;
设备映射信息,所述设备映射信息为物联网设备与所述网络设备之间的映射信息;其中,每一所述物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
这里,合约可以包括一个合法用户列表(即用户列表信息),将允许用户设备访问的网关节点(即网络设备)映射到物联网设备;合约还可以包括所有物联网设备与它们所属的网关节点之间的映射。
需要说明的是,物联网设备包括智能设备和传感器设备,每一个物联网设备均可以由管理器(即区块链设备)映射到一个特定的网关节点,而且,一个特定的物联网设备不能属于一个以上的网关节点。
该实施例中,如图2所示,可以由管理员(Manager)负责部署网络(Blockchain网络)和智能合约,其中,一个特定的系统可以有一个或多个管理员,但其中只有一个管理员(例如第一个管理员)可以编写智能合约并部署该智能合约。具体的,管理员可以将每个智能设备(即物联网设备)映射到任一网关节点,以允许终端用户(即用户设备User)访问由该智能设备收集的信息,而这些权限列表(即用户列表信息)可以被编码在智能合约中。
需要指出,本发明实施例中的网络设备可以是高功率计算机或路由器或网关节点,后文中仅以网络设备为网关节点为例进行说明,但不以此为限。
可选地,所述根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证,包括:
根据所述用户列表信息,对所述第一物联网设备和所述用户设备进行验证;
在所述第一物联网设备存在,且所述用户设备具有访问所述第一物联网设备的权限的情况下,确定所述第一设备访问请求验证通过。
需要说明的是,在身份验证阶段中,首先,可以由管理员准备智能合约并将其部署到区块链网络中;其中,根据需要,可以注册其他管理员;然后,通过“RegisterDevice”功能(即设备注册功能),可以为每个物联网设备提供一个唯一的注册号码(即设备标识)来注册设备;通过使用“mapGateway设备”功能,管理器(即区块链设备)能够将物联网设备映射到网关节点;此外,管理员还可以将访问控制列表添加到智能协议(即智能合约)中,用户(即用户设备)和物联网设备将使用该智能协议(即智能合约)进行身份验证。
该实施例中,为了访问由特定物联网设备收集的信息,用户(即用户设备)可以通过指定物联网设备的“设备ID(即设备标识)”来选择智能合约的“requestPermission(即请求权限)”功能,也即由用户设备向区块链设备发送携带有物联网设备的设备标识的设备访问请求;然后,智能合约可以检查该用户的访问控制列表(即用户列表信息):如果没有找到任何记录,则将向该用户发出“拒绝”消息;否则,将向该用户发送“Permission ticket”(即许可信息)。
作为本发明一可选实施例,在身份验证阶段,可以使用第一算法来对所述许可信息的有效性进行检测(也即对第一设备访问请求进行验证),其中,使用第一算法的认证流程如下:
用户Ui发送访问物联网设备的请求(即第一设备访问请求)后,具体验证示例如下:
Figure BDA0003160507500000131
上述过程中,根据输入的物联网设备的设备标识,可以先验证第一物联网设备是否存在;若存在,则验证用户设备是否具有访问所述第一物联网设备的权限,也即,验证该用户设备是不是一个认证用户;若是,则确定第一设备访问请求验证通过,即可输出一个验证通过的结果。验证通过后,可以通过广播的方式,发送许可信息。
可选地,所述通过广播的方式,向所述用户设备发送许可信息,包括:根据所述设备映射信息,向所述用户设备发送许可信息;
其中,所述许可信息包括以下至少一项:
哈希函数;
所述用户设备的以太坊地址或公钥;
所述许可信息的签发时间;
所述第一物联网设备的设备标识;
所述网络设备的以太坊地址或公钥。
需要说明的是,时间戳值(即许可信息的签发时间)可以用于检查许可票(即许可信息)的新鲜度,并抵抗重播攻击。
作为本发明一可选实施例,向用户设备发送的许可信息(即Permission ticket,也即许可票),可以采用如下形式:
Permission ticket=[H(EA_U||T1||Device ID||EA_G),T1];
其中,H=keccak256 Hash function,即H表示keccak256哈希函数;
EA_U=Ethereum address or Public key of the user,即EA_U表示用户设备的以太坊地址或公钥;
T1=Time at which the ticket is issued,即T1表示许可信息的签发时间;
Device ID=The ID of the required IoT device,即Device ID表示物联网设备的设备标识;
EA_G=Ethereum Address or Public key of the Gateway Node,即EA_G表示网关节点(即网络设备)的以太坊地址或公钥。
如图2所示,为本发明实施例的信息处理方法的系统架构图,该系统架构是一个使用分布式账本技术区块链的物联网系统的安全框架。在系统架构中,给出了基于区块链的资源约束物联网设备的分散认证框架,由于物联网设备不具备足够的资源运行区块链,物联网设备不被认为是区块链网络的一部分,而是利用网络设备(该网络设备可以是高功率计算机或路由器或网关节点),作为物联网设备和区块链之间的接口。其中,网络中的每个物联网设备将通过唯一的地址(也就是一个密钥对,即一个公钥和一个私钥)来标识,其中,公钥也可以为以太地址(EA)。
需要指出,本发明实施例中由于将区块链技术应用在物联网中,可以带来如下所述的多项有益效果:
区块链的数据分散化可确保物联网系统中用户的个人数据不属于任何中央或第三方系统,区块链的匿名特性使得其可以用于某些特殊的物联网系统,比如医疗保健、数据共享系统等,为用户提供隐私保障。
使用区块链技术,可以维护和提高联网系统的可靠性,能够消除多方事务时的信任需求,确保了物联网系统中的数据完整性;此外,分散式区块链技术彻底消除了单点故障,也可以提高物联网系统的可靠性,使得物联网系统中即使存在有缺陷的个体也能确保正确的操作,提高了物联网系统的整体成功率和效率。
利用区块链可以为应用程序提供安全、可靠、透明、可审计的环境,存储在区块链分类账中的数据的不变性确保了一个可靠的网络,也可以使用区块链技术对身份验证和访问管理进行处理。例如,区块链可以用来应对分布式拒绝服务(Distributed denial ofservice,DDoS)攻击。
区块链的分散架构可以利用系统所有节点的资源,从多方面提高系统的整体效率,由于区块链的分布式特性,物联网设备可以以一种分散的方式进行管理和控制。除此之外,分散式架构还增强了容错特性,使用区块链,数据可以分布在许多计算机上,而不是存储在一个中央服务器上,确保了更少的传输延迟和最小的维护开销,使用区块链开发的分布式文件系统可以有效地处理多个并发请求,从而提高系统的吞吐量。
该实施例的信息处理方法,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题。
如图3所示,本发明实施例的一种信息处理方法,应用于,包括:
步骤301,向区块链设备发送第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识。
该步骤中,由于用户(即用户设备)需要访问数据以进行进一步的分析和预测,用户设备需要具备访问智能合约所需的功能,具体的,可以通过向区块链设备发送第一设备访问请求来访问智能合约。
步骤302,接收所述区块链设备根据所述第一设备访问请求发送的许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。
该步骤中,一旦用户(即用户设备)收到许可票,就从身份验证阶段进入信息交换阶段,以便访问物联网设备上的数据。需要指出,该信息交换阶段的通信发生在区块链网络之外,以减少事务延迟,增加系统吞吐量。
步骤303,根据所述许可信息,向网络设备发送第二设备访问请求;其中,所述第二设备访问请求包括所述许可信息。
该步骤中,用户可以向网关节点发送许可票来访问物联网设备。其中,用户Ui可以向网络设备发送第二设备访问请求,该第二设备访问请求可以包括:使用网关节点的公钥加密后的许可票和随机数(即RN)。例如,Ui发送的第二设备访问请求为:EA_U,H(EA_U||T1||Device_ID||EA_G),T1,EPubKG[RNU]。其中,第二设备访问请求包括以下至少一项:用户设备的以太坊地址或公钥(即EA_U)、许可信息(即H(EA_U||T1||Device ID||EA_G),T1)和用户设备使用网关节点的公钥加密后的随机数(即EPubKG[RNU])。其中,RNU表示用户Ui发送的随机数。
步骤304,在接收到所述网络设备根据所述第二设备访问请求发送的第一信息的情况下,对所述第一信息进行验证;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数;
例如,第一信息为
Figure BDA0003160507500000161
网络设备向用户设备发送该第一信息,使得用户能够对自身进行验证。
其中,h表示哈希函数;
Figure BDA0003160507500000162
Figure BDA0003160507500000163
表示网关节点使用网关节点的私钥对EPubKG[RNU]解密后得到的结果;EPubKG[RNU]表示用户设备使用网关节点的公钥加密后的随机数;RNU表示用户设备发送的随机数;RNG表示网关节点发送的随机数;EPubKU[RNG]表示网关节点使用用户设备的公钥加密后的随机数。
步骤305,在所述第一信息验证通过的情况下,向所述网络设备发送第二信息;其中,所述第二信息用于指示第一信息验证通过。
该步骤中,第二信息为
Figure BDA0003160507500000164
其中,h表示哈希函数;
Figure BDA0003160507500000165
Figure BDA0003160507500000166
表示用户设备使用用户设备的私钥对EPubKU[RNG]解密后得到的结果;EPubKU[RNG]表示网关节点使用用用户设备的公钥加密后的随机数;RNG表示网关节点发送的随机数。
该实施例中,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题;用户设备与网络设备之间进行了双向验证,具有较好的安全性,可以抵御重播攻击、中间人攻击、女巫攻击以及拒绝服务攻击等类型的攻击。
可选地,在所述向所述网络设备发送第二信息之后,所述信息处理方法还包括:
与所述网络设备建立会话。
该实施例中,用户设备与网络设备建立会话以后,即可通过网络设备访问第一物联网设备上的数据。
可选地,所述第二设备访问请求还包括随机数。
可选地,所述对所述第一信息进行验证,包括:
对所述第一信息进行解密,得到第三信息;
将所述第三信息与所述第二设备访问请求进行匹配;
在匹配通过的情况下,确定所述第一信息验证通过。
该实施例中,用户设备Ui对第一信息
Figure BDA0003160507500000171
进行解密,解密得到第三信息,即
Figure BDA0003160507500000172
Figure BDA0003160507500000173
表示用户设备使用用户设备的私钥对EPubKU[RNG]解密后得到的结果;EPubKU[RNG]表示网关节点使用用用户设备的公钥加密后的随机数;RNG表示网关节点发送的随机数;并将
Figure BDA0003160507500000174
将与
Figure BDA0003160507500000175
进行匹配比较;如果匹配通过,则返回第二信息(即向网络设备发送第二信息,也即发送
Figure BDA0003160507500000176
其中,h表示哈希函数)。
该实施例的信息处理方法,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题;用户设备与网络设备之间进行了双向验证,具有较好的安全性,可以抵御重播攻击、中间人攻击、女巫攻击以及拒绝服务攻击等类型的攻击。
如图4所示,本发明实施例的一种信息处理方法,应用于网络设备,包括:
步骤401,接收用户设备发送的第二设备访问请求;其中,所述第二设备访问请求包括许可信息;所述许可信息用于所述用户设备访问第一物联网设备。
其中,该第二设备访问请求可以包括:使用网关节点的公钥加密后的许可票和随机数(即RN)。例如,用户设备发送的第二设备访问请求为:EA_U,H(EA_U||T1||Device_ID||EA_G),T1,EPubKG[RNU]。其中,第二设备访问请求包括以下至少一项:用户设备的以太坊地址或公钥(即EA_U)、许可信息(即H(EA_U||T1||Device ID||EA_G),T1)和用户设备使用网关节点的公钥加密后的随机数(即EPubKG[RNU])。其中,RNU表示用户Ui发送的随机数。
需要说明的是,网络设备与区块链设备和物联网设备分别连接。具体的,网关节点(即网络设备)直接连接到区块链网络,作为物联网设备与区块链网络的接口,这样,网络设备可以负责将来自物联网设备的消息转换为区块链网络用户可以理解的格式。其中,每个网络设备管理和控制一组物联网设备,用户设备和物联网设备之间的任何通信都可以通过该物联网设备所属的网络设备进行。需要指出,这些网络设备均具有较高的性能属性,以便能够处理多个同时发生的请求。
步骤402,对所述许可信息的有效性进行检测。
该步骤中,一旦网关节点(即网络设备)收到许可票(即许可信息),首先可以检查票证(即许可票)的新鲜度(即有效性)。
具体的,可以通过检测许可信息的相关时间是否满足(T2-T1)<ΔT的条件来检测许可信息的有效性,其中,T2表示网关节点当前时间(即收到许可信息的时间点),ΔT为预设时间间隔(即最大可容忍时间间隔)。需要指出,该预设时间间隔可以根据具体情况设定,比如可以在系统初始化期间被管理员固定(即配置)。
在上述检测过程中,如果相关时间不满足条件,则网关节点可以拒绝用户设备的请求(即第二设备访问请求),这种情况下,用户设备需要从上一阶段(即身份验证阶段)开始启动流程;如果相关时间满足条件,则网关节点可以通过将许可票(即第二设备访问请求中包括的许可信息)与从区块链网络接收到的“Permission ticket”(即区块链设备通过广播发送许可信息)进行比较,进一步检查该许可票(即第二设备访问请求中包括的许可信息),以确定许可信息的有效性,如果许可信息不是有效的,则请求(即第二设备访问请求)会被终止。
类似地,当一个用户设备想要访问另一个物联网设备时,相关的网关节点可以先检查智能协议(即智能合约)中的访问列表,并根据检查结果,接受或拒绝用户设备的访问请求。
步骤403,在确定所述许可信息有效的情况下,向所述用户设备发送第一信息;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数。
该步骤中,如果确定许可票有效,网关节点对用户进行身份验证,例如,可以按照如下方式进行验证操作:首先,可以计算
Figure BDA0003160507500000191
Figure BDA0003160507500000192
表示网关节点使用网关节点的私钥对EPubKG[RNU]解密后得到的结果;EPubKG[RNU]表示用户设备使用网关节点的公钥加密后的随机数;RNU表示用户设备发送的随机数;然后,网络设备向用户设备发送该第一信息,使得用户能够对自身进行验证,其中,第一信息可以为
Figure BDA0003160507500000193
其中,h表示哈希函数;RNG表示网关节点发送的随机数;EPubKU[RNG]表示网关节点使用用户设备的公钥加密后的随机数。
该实施例中,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题;用户设备与网络设备之间进行了双向验证,具有较好的安全性,可以抵御重播攻击、中间人攻击、女巫攻击以及拒绝服务攻击等类型的攻击。
可选地,在所述向所述用户设备发送第一信息之后,所述信息处理方法还包括:
在接收到所述用户设备发送的第二信息的情况下,与所述用户设备建立会话。
该实施例中,网关节点可以接收第二信息(即h(RN_G))并验证,根据验证的结果,网关节点可以接受(或者拒绝)与用户(即用户设备)的会话。通过这种方式,可以实现用户和网关节点之间的双向身份验证,从而能够抵抗中间人攻击。
可选地,所述信息处理方法还包括:
在建立会话后,使用会话秘钥对通信过程中的信息进行加密。
该实施例中,可以使用会话密钥对通信过程中的信息进行加密,以保护用户与物联网设备之间的数据(即信息)交换。例如,作为一可选实施例,会话密钥可以为h(RNU||RNG||Device_ID||EA_U),其中,RNU表示用户设备发送的随机数;RNG表示网络设备发送的随机数;Device_ID表示物联网设备的设备标识;EA_U表示用户设备的以太坊地址或公钥。
可选地,每一物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
该实施例的信息处理方法,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题;用户设备与网络设备之间进行了双向验证,具有较好的安全性,可以抵御重播攻击、中间人攻击、女巫攻击以及拒绝服务攻击等类型的攻击。
如图5所示,本发明实施例的一种区块链设备500,包括处理器510和收发机520,其中,
所述收发机520用于接收用户设备发送的第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
所述处理器510用于根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证;
所述收发机520还用于在所述第一设备访问请求验证通过的情况下,通过广播的方式,向所述用户设备发送许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。
可选地,所述合约包括以下至少一项:
用户列表信息,所述用户列表信息为具备访问权限的用户设备的信息;其中,所述访问权限为通过网络设备访问映射到所述网络设备上的物联网设备的权限;
设备映射信息,所述设备映射信息为物联网设备与所述网络设备之间的映射信息;其中,每一所述物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
可选地,所述处理器510在根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证时,具体用于:
根据所述用户列表信息,对所述第一物联网设备和所述用户设备进行验证;
在所述第一物联网设备存在,且所述用户设备具有访问所述第一物联网设备的权限的情况下,确定所述第一设备访问请求验证通过。
可选地,所述处理器510在通过广播的方式,向所述用户设备发送许可信息时,具体用于:
根据所述设备映射信息,向所述用户设备发送许可信息;
其中,所述许可信息包括以下至少一项:
哈希函数;
所述用户设备的以太坊地址或公钥;
所述许可信息的签发时间;
所述第一物联网设备的设备标识;
所述网络设备的以太坊地址或公钥。
该实施例的区块链设备,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题。
如图6所示,本发明实施例的一种用户设备600,包括处理器610和收发机620,其中,
所述收发机620用于向区块链设备发送第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
所述收发机620还用于接收所述区块链设备根据所述第一设备访问请求发送的许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备;
所述收发机620还用于根据所述许可信息,向网络设备发送第二设备访问请求;其中,所述第二设备访问请求包括所述许可信息;
所述处理器610用于在接收到所述网络设备根据所述第二设备访问请求发送的第一信息的情况下,对所述第一信息进行验证;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数;
所述收发机620还用于在所述第一信息验证通过的情况下,向所述网络设备发送第二信息;其中,所述第二信息用于指示第一信息验证通过。
可选地,在所述向所述网络设备发送第二信息之后,所述处理器610还用于:
与所述网络设备建立会话。
可选地,所述第二设备访问请求还包括随机数。
可选地,所述处理器610在对所述第一信息进行验证时,具体用于:
对所述第一信息进行解密,得到第三信息;
将所述第三信息与所述第二设备访问请求进行匹配;
在匹配通过的情况下,确定所述第一信息验证通过。
该实施例的用户设备,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题;用户设备与网络设备之间进行了双向验证,具有较好的安全性,可以抵御重播攻击、中间人攻击、女巫攻击以及拒绝服务攻击等类型的攻击。
如图5所示,本发明实施例的一种网络设备500,其结构与如图5所示的区块链设备的结构相同,包括处理器510和收发机520,其中,
所述收发机520用于接收用户设备发送的第二设备访问请求;其中,所述第二设备访问请求包括许可信息;所述许可信息用于所述用户设备访问第一物联网设备;
所述处理器510用于对所述许可信息的有效性进行检测;
所述收发机520还用于在确定所述许可信息有效的情况下,向所述用户设备发送第一信息;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数。
可选地,在所述向所述用户设备发送第一信息之后,所述处理器510还用于:
在接收到所述用户设备发送的第二信息的情况下,与所述用户设备建立会话。
可选地,所述处理器510还用于:
在建立会话后,使用会话秘钥对通信过程中的信息进行加密。
可选地,每一物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
该实施例的网络设备,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题;用户设备与网络设备之间进行了双向验证,具有较好的安全性,可以抵御重播攻击、中间人攻击、女巫攻击以及拒绝服务攻击等类型的攻击。
如图7所示,本发明实施例的一种信息处理装置,应用于区块链设备,包括:
第一接收模块710,用于接收用户设备发送的第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
第一验证模块720,用于根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证;
第一发送模块730,用于在所述第一设备访问请求验证通过的情况下,通过广播的方式,向所述用户设备发送许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。
可选地,所述合约包括以下至少一项:
用户列表信息,所述用户列表信息为具备访问权限的用户设备的信息;其中,所述访问权限为通过网络设备访问映射到所述网络设备上的物联网设备的权限;
设备映射信息,所述设备映射信息为物联网设备与所述网络设备之间的映射信息;其中,每一所述物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
可选地,所述第一验证模块720包括:
信息验证单元,用于根据所述用户列表信息,对所述第一物联网设备和所述用户设备进行验证;
第一确定单元,用于在所述第一物联网设备存在,且所述用户设备具有访问所述第一物联网设备的权限的情况下,确定所述第一设备访问请求验证通过。
可选地,所述第一发送模块730包括:
发送单元,用于根据所述设备映射信息,向所述用户设备发送许可信息;
其中,所述许可信息包括以下至少一项:
哈希函数;
所述用户设备的以太坊地址或公钥;
所述许可信息的签发时间;
所述第一物联网设备的设备标识;
所述网络设备的以太坊地址或公钥。
该实施例的信息处理装置,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题。
如图8所示,本发明实施例的一种信息处理装置,应用于用户设备,包括:
第二发送模块810,用于向区块链设备发送第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
第二接收模块820,用于接收所述区块链设备根据所述第一设备访问请求发送的许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备;
第三发送模块830,用于根据所述许可信息,向网络设备发送第二设备访问请求;其中,所述第二设备访问请求包括所述许可信息;
第二验证模块840,用于在接收到所述网络设备根据所述第二设备访问请求发送的第一信息的情况下,对所述第一信息进行验证;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数;
第四发送模块850,用于在所述第一信息验证通过的情况下,向所述网络设备发送第二信息;其中,所述第二信息用于指示第一信息验证通过。
可选地,所述信息处理装置还包括:
第一会话模块,用于与所述网络设备建立会话。
可选地,所述第二设备访问请求还包括随机数。
可选地,所述第二验证模块840包括:
信息解密单元,用于对所述第一信息进行解密,得到第三信息;
信息匹配单元,用于将所述第三信息与所述第二设备访问请求进行匹配;
第二确定单元,用于在匹配通过的情况下,确定所述第一信息验证通过。
该实施例的信息处理装置,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题;用户设备与网络设备之间进行了双向验证,具有较好的安全性,可以抵御重播攻击、中间人攻击、女巫攻击以及拒绝服务攻击等类型的攻击。
如图9所示,本发明实施例的一种信息处理装置,应用于网络设备,包括:
第三接收模块910,用于接收用户设备发送的第二设备访问请求;其中,所述第二设备访问请求包括许可信息;所述许可信息用于所述用户设备访问第一物联网设备;
信息检测模块920,用于对所述许可信息的有效性进行检测;
第五发送模块930,用于在确定所述许可信息有效的情况下,向所述用户设备发送第一信息;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数。
可选地,所述信息处理装置还包括:
第二会话模块,用于在接收到所述用户设备发送的第二信息的情况下,与所述用户设备建立会话。
可选地,所述信息处理装置还包括:
加密模块,用于在建立会话后,使用会话秘钥对通信过程中的信息进行加密。
可选地,每一物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
该实施例的信息处理装置,利用区块链智能合约,实现了去中心的资源受限的物联网设备访问控制,使得物联网设备的访问控制权限较为安全,避免了物联网中资源使用不安全的问题;用户设备与网络设备之间进行了双向验证,具有较好的安全性,可以抵御重播攻击、中间人攻击、女巫攻击以及拒绝服务攻击等类型的攻击。
本发明另一实施例的区块链设备,如图10所示,包括收发器1010、处理器1000、存储器1020及存储在所述存储器1020上并可在所述处理器1000上运行的程序或指令;所述处理器1000执行所述程序或指令时实现上述应用于区块链设备的信息处理方法。
所述收发器1010,用于在处理器1000的控制下接收和发送数据。
其中,在图10中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1000代表的一个或多个处理器和存储器1020代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器1010可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器1000负责管理总线架构和通常的处理,存储器1020可以存储处理器1000在执行操作时所使用的数据。
本发明另一实施例的一种用户设备,如图11所示,包括收发器1110、处理器1100、存储器1120及存储在所述存储器1120上并可在所述处理器1100上运行的程序或指令;所述处理器1100执行所述程序或指令时实现上述应用于用户设备的信息处理方法。
所述收发器1110,用于在处理器1100的控制下接收和发送数据。
其中,在图11中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1100代表的一个或多个处理器和存储器1120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器1110可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口1130还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器1100负责管理总线架构和通常的处理,存储器1120可以存储处理器1100在执行操作时所使用的数据。
本发明另一实施例的网络设备,如图10所示,其结构与如图10所示的区块链设备的结构相同,包括收发器1010、处理器1000、存储器1020及存储在所述存储器1020上并可在所述处理器1000上运行的程序或指令;所述处理器1000执行所述程序或指令时实现上述应用于网络设备的信息处理方法。
所述收发器1010,用于在处理器1000的控制下接收和发送数据。
其中,在图10中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1000代表的一个或多个处理器和存储器1020代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器1010可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器1000负责管理总线架构和通常的处理,存储器1020可以存储处理器1000在执行操作时所使用的数据。
本发明实施例的一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现如上所述的信息处理方法中的步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-OnlyMemory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
进一步需要说明的是,此说明书中所描述的终端包括但不限于智能手机、平板电脑等,且所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。
本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同位里上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
上述范例性实施例是参考该些附图来描述的,许多不同的形式和实施例是可行而不偏离本发明精神及教示,因此,本发明不应被建构成为在此所提出范例性实施例的限制。更确切地说,这些范例性实施例被提供以使得本发明会是完善又完整,且会将本发明范围传达给那些熟知此项技术的人士。在该些图式中,组件尺寸及相对尺寸也许基于清晰起见而被夸大。在此所使用的术语只是基于描述特定范例性实施例目的,并无意成为限制用。如在此所使用地,除非该内文清楚地另有所指,否则该单数形式“一”、“一个”和“该”是意欲将该些多个形式也纳入。会进一步了解到该些术语“包含”及/或“包括”在使用于本说明书时,表示所述特征、整数、步骤、操作、构件及/或组件的存在,但不排除一或更多其它特征、整数、步骤、操作、构件、组件及/或其族群的存在或增加。除非另有所示,陈述时,一值范围包含该范围的上下限及其间的任何子范围。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (22)

1.一种信息处理方法,应用于区块链设备,其特征在于,包括:
接收用户设备发送的第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证;
在所述第一设备访问请求验证通过的情况下,通过广播的方式,向所述用户设备发送许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。
2.根据权利要求1所述的信息处理方法,其特征在于,所述合约包括以下至少一项:
用户列表信息,所述用户列表信息为具备访问权限的用户设备的信息;其中,所述访问权限为通过网络设备访问映射到所述网络设备上的物联网设备的权限;
设备映射信息,所述设备映射信息为物联网设备与所述网络设备之间的映射信息;其中,每一所述物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
3.根据权利要求2所述的信息处理方法,其特征在于,所述根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证,包括:
根据所述用户列表信息,对所述第一物联网设备和所述用户设备进行验证;
在所述第一物联网设备存在,且所述用户设备具有访问所述第一物联网设备的权限的情况下,确定所述第一设备访问请求验证通过。
4.根据权利要求2所述的信息处理方法,其特征在于,所述通过广播的方式,向所述用户设备发送许可信息,包括:
根据所述设备映射信息,向所述用户设备发送许可信息;
其中,所述许可信息包括以下至少一项:
哈希函数;
所述用户设备的以太坊地址或公钥;
所述许可信息的签发时间;
所述第一物联网设备的设备标识;
所述网络设备的以太坊地址或公钥。
5.一种信息处理方法,应用于用户设备,其特征在于,包括:
向区块链设备发送第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
接收所述区块链设备根据所述第一设备访问请求发送的许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备;
根据所述许可信息,向网络设备发送第二设备访问请求;其中,所述第二设备访问请求包括所述许可信息;
在接收到所述网络设备根据所述第二设备访问请求发送的第一信息的情况下,对所述第一信息进行验证;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数;
在所述第一信息验证通过的情况下,向所述网络设备发送第二信息;其中,所述第二信息用于指示第一信息验证通过。
6.根据权利要求5所述的信息处理方法,其特征在于,在所述向所述网络设备发送第二信息之后,所述信息处理方法还包括:
与所述网络设备建立会话。
7.根据权利要求5所述的信息处理方法,其特征在于,所述第二设备访问请求还包括随机数。
8.根据权利要求5所述的信息处理方法,其特征在于,所述对所述第一信息进行验证,包括:
对所述第一信息进行解密,得到第三信息;
将所述第三信息与所述第二设备访问请求进行匹配;
在匹配通过的情况下,确定所述第一信息验证通过。
9.一种信息处理方法,应用于网络设备,其特征在于,包括:
接收用户设备发送的第二设备访问请求;其中,所述第二设备访问请求包括许可信息;所述许可信息用于所述用户设备访问第一物联网设备;
对所述许可信息的有效性进行检测;
在确定所述许可信息有效的情况下,向所述用户设备发送第一信息;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数。
10.根据权利要求9所述的信息处理方法,其特征在于,在所述向所述用户设备发送第一信息之后,所述信息处理方法还包括:
在接收到所述用户设备发送的第二信息的情况下,与所述用户设备建立会话。
11.根据权利要求10所述的信息处理方法,其特征在于,还包括:
在建立会话后,使用会话秘钥对通信过程中的信息进行加密。
12.根据权利要求9所述的信息处理方法,其特征在于,每一物联网设备对应一个所述网络设备;每一所述网络设备对应至少一个所述物联网设备。
13.一种信息处理装置,应用于区块链设备,其特征在于,包括:
第一接收模块,用于接收用户设备发送的第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
第一验证模块,用于根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证;
第一发送模块,用于在所述第一设备访问请求验证通过的情况下,通过广播的方式,向所述用户设备发送许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。
14.一种信息处理装置,应用于用户设备,其特征在于,包括:
第二发送模块,用于向区块链设备发送第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
第二接收模块,用于接收所述区块链设备根据所述第一设备访问请求发送的许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备;
第三发送模块,用于根据所述许可信息,向网络设备发送第二设备访问请求;其中,所述第二设备访问请求包括所述许可信息;
第二验证模块,用于在接收到所述网络设备根据所述第二设备访问请求发送的第一信息的情况下,对所述第一信息进行验证;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数;
第四发送模块,用于在所述第一信息验证通过的情况下,向所述网络设备发送第二信息;其中,所述第二信息用于指示第一信息验证通过。
15.一种信息处理装置,应用于网络设备,其特征在于,包括:
第三接收模块,用于接收用户设备发送的第二设备访问请求;其中,所述第二设备访问请求包括许可信息;所述许可信息用于所述用户设备访问第一物联网设备;
信息检测模块,用于对所述许可信息的有效性进行检测;
第五发送模块,用于在确定所述许可信息有效的情况下,向所述用户设备发送第一信息;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数。
16.一种区块链设备,其特征在于,包括:收发机和处理器;
所述收发机用于接收用户设备发送的第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
所述处理器用于根据所述区块链设备上部署的合约,对所述第一设备访问请求进行验证;
所述收发机还用于在所述第一设备访问请求验证通过的情况下,通过广播的方式,向所述用户设备发送许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备。
17.一种用户设备,其特征在于,包括:收发机和处理器;
所述收发机用于向区块链设备发送第一设备访问请求;其中,所述第一设备访问请求用于请求访问第一物联网设备;所述第一设备访问请求携带有所述第一物联网设备的设备标识;
所述收发机还用于接收所述区块链设备根据所述第一设备访问请求发送的许可信息;其中,所述许可信息用于所述用户设备访问所述第一物联网设备;
所述收发机还用于根据所述许可信息,向网络设备发送第二设备访问请求;其中,所述第二设备访问请求包括所述许可信息;
所述处理器用于在接收到所述网络设备根据所述第二设备访问请求发送的第一信息的情况下,对所述第一信息进行验证;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数;
所述收发机还用于在所述第一信息验证通过的情况下,向所述网络设备发送第二信息;其中,所述第二信息用于指示第一信息验证通过。
18.一种网络设备,其特征在于,包括:收发机和处理器;
所述收发机用于接收用户设备发送的第二设备访问请求;其中,所述第二设备访问请求包括许可信息;所述许可信息用于所述用户设备访问第一物联网设备;
所述处理器用于对所述许可信息的有效性进行检测;
所述收发机还用于在确定所述许可信息有效的情况下,向所述用户设备发送第一信息;其中,所述第一信息包括用所述用户设备的公钥加密后的随机数。
19.一种区块链设备,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;其特征在于,所述处理器执行所述程序或指令时实现如权利要求1-4任一项所述的信息处理方法。
20.一种用户设备,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;其特征在于,所述处理器执行所述程序或指令时实现如权利要求5-8任一项所述的信息处理方法。
21.一种网络设备,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;其特征在于,所述处理器执行所述程序或指令时实现如权利要求9-12任一项所述的信息处理方法。
22.一种可读存储介质,其上存储有程序或指令,其特征在于,所述程序或指令被处理器执行时实现如权利要求1-4任一项所述的信息处理方法中的步骤,或者如权利要求5-8任一项所述的信息处理方法中的步骤,或者如权利要求9-12任一项所述的信息处理方法中的步骤。
CN202110789467.9A 2021-07-13 2021-07-13 信息处理方法、装置、区块链设备、用户设备及网络设备 Pending CN115622721A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110789467.9A CN115622721A (zh) 2021-07-13 2021-07-13 信息处理方法、装置、区块链设备、用户设备及网络设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110789467.9A CN115622721A (zh) 2021-07-13 2021-07-13 信息处理方法、装置、区块链设备、用户设备及网络设备

Publications (1)

Publication Number Publication Date
CN115622721A true CN115622721A (zh) 2023-01-17

Family

ID=84855601

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110789467.9A Pending CN115622721A (zh) 2021-07-13 2021-07-13 信息处理方法、装置、区块链设备、用户设备及网络设备

Country Status (1)

Country Link
CN (1) CN115622721A (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107682331A (zh) * 2017-09-28 2018-02-09 复旦大学 基于区块链的物联网身份认证方法
CN108737348A (zh) * 2017-04-21 2018-11-02 中国科学院信息工程研究所 一种基于区块链的智能合约的物联网设备访问控制方法
CN109450910A (zh) * 2018-11-26 2019-03-08 远光软件股份有限公司 基于区块链的数据共享方法、数据共享网络及电子设备
CN109918878A (zh) * 2019-04-24 2019-06-21 中国科学院信息工程研究所 一种基于区块链的工业物联网设备身份认证及安全交互方法
CN110099055A (zh) * 2019-04-29 2019-08-06 北京工业大学 基于轻量级区块链节点的物联网服务架构
KR102025837B1 (ko) * 2018-11-15 2019-09-26 주식회사 트라이앵글랩 블록체인 네트워크 및 이를 활용한 스마트컨트랙트가 적용된 출입통제 시스템
CN110535880A (zh) * 2019-09-25 2019-12-03 四川师范大学 物联网的访问控制方法以及系统
CN110809006A (zh) * 2019-11-14 2020-02-18 内蒙古大学 一种基于区块链的物联网访问控制架构及方法
CN110971569A (zh) * 2018-09-29 2020-04-07 北京奇虎科技有限公司 网络访问权限管理方法、装置及计算设备
CN110995759A (zh) * 2019-12-23 2020-04-10 中国联合网络通信集团有限公司 物联网的接入方法以及装置
CN112307116A (zh) * 2020-09-17 2021-02-02 北京沃东天骏信息技术有限公司 基于区块链的数据访问控制方法、装置及设备
CN112543105A (zh) * 2020-11-26 2021-03-23 齐鲁工业大学 一种智能合约下基于角色的完全访问控制方法
CN112560077A (zh) * 2019-09-10 2021-03-26 北京国双科技有限公司 一种访问控制方法、装置及系统

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108737348A (zh) * 2017-04-21 2018-11-02 中国科学院信息工程研究所 一种基于区块链的智能合约的物联网设备访问控制方法
CN107682331A (zh) * 2017-09-28 2018-02-09 复旦大学 基于区块链的物联网身份认证方法
CN110971569A (zh) * 2018-09-29 2020-04-07 北京奇虎科技有限公司 网络访问权限管理方法、装置及计算设备
KR102025837B1 (ko) * 2018-11-15 2019-09-26 주식회사 트라이앵글랩 블록체인 네트워크 및 이를 활용한 스마트컨트랙트가 적용된 출입통제 시스템
CN109450910A (zh) * 2018-11-26 2019-03-08 远光软件股份有限公司 基于区块链的数据共享方法、数据共享网络及电子设备
CN109918878A (zh) * 2019-04-24 2019-06-21 中国科学院信息工程研究所 一种基于区块链的工业物联网设备身份认证及安全交互方法
CN110099055A (zh) * 2019-04-29 2019-08-06 北京工业大学 基于轻量级区块链节点的物联网服务架构
CN112560077A (zh) * 2019-09-10 2021-03-26 北京国双科技有限公司 一种访问控制方法、装置及系统
CN110535880A (zh) * 2019-09-25 2019-12-03 四川师范大学 物联网的访问控制方法以及系统
CN110809006A (zh) * 2019-11-14 2020-02-18 内蒙古大学 一种基于区块链的物联网访问控制架构及方法
CN110995759A (zh) * 2019-12-23 2020-04-10 中国联合网络通信集团有限公司 物联网的接入方法以及装置
CN112307116A (zh) * 2020-09-17 2021-02-02 北京沃东天骏信息技术有限公司 基于区块链的数据访问控制方法、装置及设备
CN112543105A (zh) * 2020-11-26 2021-03-23 齐鲁工业大学 一种智能合约下基于角色的完全访问控制方法

Similar Documents

Publication Publication Date Title
CN114553568B (zh) 一种基于零信任单包认证与授权的资源访问控制方法
RU2444156C1 (ru) Способ управления доступом к защищенной сети на основе трехэлементной аутентификации одноранговых объектов
US11432150B2 (en) Method and apparatus for authenticating network access of terminal
US20080005359A1 (en) Method and apparatus for OS independent platform based network access control
Wang et al. NOTSA: Novel OBU with three-level security architecture for internet of vehicles
CN112651037B (zh) 区块链系统的链外数据访问方法和系统
KR20170106515A (ko) 다중 팩터 인증 기관
US20090199009A1 (en) Systems, methods and computer program products for authorising ad-hoc access
CN108282779B (zh) 天地一体化空间信息网络低时延匿名接入认证方法
US8145917B2 (en) Security bootstrapping for distributed architecture devices
Wang et al. Perm-guard: Authenticating the validity of flow rules in software defined networking
CN112436940B (zh) 一种基于零知识证明的物联网设备可信启动管理方法
CN101588245A (zh) 一种身份认证的方法、系统及存储设备
WO2023071751A1 (zh) 一种认证方法和通信装置
CN112417494A (zh) 基于可信计算的电力区块链系统
CN101145915B (zh) 一种可信路由器认证系统和方法
CN116235464A (zh) 认证方法和系统
CN115277168A (zh) 一种访问服务器的方法以及装置、系统
CN113572765A (zh) 一种面向资源受限终端的轻量级身份认证密钥协商方法
Cao et al. Towards cyber security for low-carbon transportation: Overview, challenges and future directions
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
CN105721489A (zh) 基于数字证书对ip白名单中的ip认证方法与系统
US11240661B2 (en) Secure simultaneous authentication of equals anti-clogging mechanism
CN113872986B (zh) 配电终端认证方法、装置和计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination