CN115913772A - 一种基于零信任的智慧家庭设备安全防护系统及方法 - Google Patents

一种基于零信任的智慧家庭设备安全防护系统及方法 Download PDF

Info

Publication number
CN115913772A
CN115913772A CN202211640258.9A CN202211640258A CN115913772A CN 115913772 A CN115913772 A CN 115913772A CN 202211640258 A CN202211640258 A CN 202211640258A CN 115913772 A CN115913772 A CN 115913772A
Authority
CN
China
Prior art keywords
access
equipment
smart home
identity
zero trust
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211640258.9A
Other languages
English (en)
Other versions
CN115913772B (zh
Inventor
黄德俊
邓密密
罗阿文
严松
石娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Qiruike Technology Co Ltd
Sichuan Changhong Electronic Holding Group Co Ltd
Original Assignee
Sichuan Qiruike Technology Co Ltd
Sichuan Changhong Electronic Holding Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Qiruike Technology Co Ltd, Sichuan Changhong Electronic Holding Group Co Ltd filed Critical Sichuan Qiruike Technology Co Ltd
Priority to CN202211640258.9A priority Critical patent/CN115913772B/zh
Publication of CN115913772A publication Critical patent/CN115913772A/zh
Application granted granted Critical
Publication of CN115913772B publication Critical patent/CN115913772B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及智慧家庭场景下智能设备的安全防护技术,其公开了一种基于零信任的智慧家庭设备安全防护系统及方法,提高对智慧家庭中的设备的安全防护能力。该系统包括分布式数字身份服务,用于为用户、设备、应用提供统一的身份管理服务,负责生成唯一的身份ID标识唯一身份,并颁发一个可验证凭证支持设备身份验证;动态数据管理模块,用于提供日志管理、智慧家庭的环境因素管理和用户配置的资源访问策略管理;持续验证引擎,用于基于动态数据管理模块提供的数据对访问主体的访问权限进行评估,评估通过后对访问主体从分布式数字身份服务获取的身份进行验证,验证通过后提供对智慧家庭咨源的访问通道。

Description

一种基于零信任的智慧家庭设备安全防护系统及方法
技术领域
本发明涉及智慧家庭场景下智能设备的安全防护技术,具体涉及一种基于零信任的智慧家庭设备安全防护系统及方法。
背景技术
随着智能技术和网络技术的快速发展,智能终端设备产品已经逐步进入人们的生活中,提升广大用户的使用体验的同时也提供了更为便捷舒适的生活体验。
智慧家庭作为智慧社区、智慧城市的重要组成单元,与智慧社区及智慧城市系统相互连接。未来将汇集产生大量的信息及数据,而这些数据的安全,包括被谁采集、如何转移、被谁使用等等成为未知的难题。探索智慧家庭的安全防护问题,保护智慧家庭的设备、数据的安全以及其给用户所带来的隐私安全显得极为重要。智慧家庭的安全问题主要为以下几种:
1、智慧家庭以家庭网络为信任域,信任家庭内部网络环境:
传统的智慧家庭终端设备以家庭的路由为安全域。默认家庭网络中的设备都是可信的,往往缺乏安全防护机制或者防护策略从系统初始化之后就保持一层不变。而随着智能化及网络技术的发展,远程控制、远程访问、数据共享已经普遍。设备的智能化水平及内外网数据的交互能力也极大的提升,智慧家庭的网络边界已经被打破。因此,单靠以局域网作为可信域的防护能力已经得不到满足。
2、智慧家庭无法进行统一的安全防护:
智慧家庭终端设备涉及到多个行业的产品,这些产品升级成为智慧家庭互联系统时,往往其安全升级的验证能力参差不齐。另外,由于一些智慧家庭终端设备,因其成本控制和配置及使用便利性等方面的考虑,往往对信息安全不够重视,会成为整个智能家居系统的安全薄弱环节,成为安全风险点。
发明内容
本发明所要解决的技术问题是:提出一种基于零信任的智慧家庭设备安全防护系统及方法,提高对智慧家庭中的设备的安全防护能力。
本发明解决上述技术问题采用的技术方案是:
一方面,本发明提供了一种基于零信任的智慧家庭设备安全防护系统,包括分布式数据身份服务、持续验证引擎和动态数据管理模块;
所述分布式数字身份服务,用于为用户、设备、应用提供统一的身份管理服务,负责生成唯一的身份ID标识唯一身份,并颁发一个可验证凭证支持设备身份验证;
所述动态数据管理模块,用于提供日志管理、智慧家庭的环境因素管理和用户配置的资源访问策略管理;
所述持续验证引擎,用于基于动态数据管理模块提供的数据对访问主体的访问权限进行评估,评估通过后对访问主体从分布式数字身份服务获取的身份进行验证,验证通过后提供对智慧家庭咨源的访问通道。
进一步的,所述访问主体包括用户及需要发起联动操作的设备。
进一步的,所述智慧家庭咨源包括智慧家庭中的设备状态、环境状态、对设备的控制和智慧家庭数据访问。
进一步的,所述日志管理包括:对用户的操作日志、设备的运行日志、联动日志的记录和管理。
另一方面,本发明还提供了一种基于零信任的智慧家庭设备安全防护方法,其包括以下步骤:
S1、访问主体向分布式数字身份服务申请DID(分布式数字身份);
S2、访问主体根据获取的DID申请向分布式数字身份服务可验证凭证;
S3、当访问主体申请访问智慧家庭资源时,持续验证引擎从动态数据管理模块获取动态数据;
S4、持续验证引擎根据所述动态数据对访问主体的访问权限进行评估;
S5、持续验证引擎对访问主体的访问权限评估通过后,验证访问主体的可验证凭证;
S6、对访问主体的可验证凭证通过后,提供对智慧家庭资源的访问通道。
进一步的,步骤S1中,访问主体向分布式数字身份服务申请DID,包括:
设备激活时,基于出厂时注入的出厂凭据向分布式数字身份服务申请DID。
进一步的,步骤S3中,持续验证引擎从动态数据管理模块获取的动态数据包括:
设备操作属性、实体属性、环境属性数据和用户配置的资源访问策略。
进一步的,所述设备操作属性包括:设备支持的操作,包括读取数据、控制设备、分享数据;所述实体属性包括:设备拥有者、家庭成员、年龄;所述环境属性包括:时间段、天气、温度、空气质量、历史操作记录和IP地址。
本发明的有益效果是:
本发明通过区块链技术构建分布式数据身份,用户/设备在访问智慧家庭资源的过程中持续验证,以保证每次对资源的访问都是经过身份认证及权限管控的,从而对智慧家庭中的设备进行安全防护,达到对设备及数据的安全保护的目的。
附图说明
图1为实施例中的基于零信任的智慧家庭设备安全防护系统结构示意图;
图2为实施例中的基于零信任的智慧家庭设备安全防护方法流程图。
具体实施方式
本发明旨在提出一种基于零信任的智慧家庭设备安全防护系统及方法,提高对智慧家庭中的设备的安全防护能力。其核心思想是:通过区块链技术构建分布式数据身份,用户/设备在访问智慧家庭资源的过程中持续验证,以保证每次对资源的访问都是经过身份认证及权限管控的,从而对智慧家庭中的设备进行安全防护,达到对设备及数据的安全保护的目的。
实施例:
本实施例提供的一种基于零信任的智慧家庭设备安全防护系统,如图1所示,其包括分布式数据身份服务、持续验证引擎和动态数据管理模块;具体说明如下:
分布式数字身份服务:
为用户、设备、应用等提供统一的身份管理服务。负责生成唯一的身份ID标识唯一身份,并颁发一个可验证凭证支持设备身份验证。在设备出厂时,需要在生产时注入一个出厂凭据,设备激活时基于该凭据完成数字身份申请。分布式数字身份包括:DID的申请、凭证模板的申请、凭证的申请。数据结构如下:
1)DID的申请
接口入参:无
返回数据:
返回参数 类型 非空 说明
did [string] 分布式数字身份标识
publicKey [string] 数字公钥
privateKey [string] 数字私钥
2)凭证模板的申请
请求参数 类型 非空 说明
name [string] 设备名称
type [string] 设备类型
sn [string] 设备sn号
status [string] 设备状态
返回参数 类型 非空 说明
cptId [string] 证书模版编号
cptVersion [string] 版本号
3)凭证的申请
请求参数 类型 非空 说明
cptId [int] CPT编号
issuer [string] 发行方身份标识did
expirationDate [long] 到期日
did [string] 证书申请者身份标识
name [string] 设备名称
type [string] 设备类型
sn [string] 设备sn号
status [string] 设备状态
privateKey [string] 数字私钥
type [string] 凭证类型
Figure BDA0004008564000000041
Figure BDA0004008564000000051
持续验证引擎:
为智慧家庭中权限评估的引擎,通过用户的明确的授权规则及设备操作属性、实体属性、环境属性等动态数据去动态识别用户/设备是否具备访问资源的权限。如果具备,在访问资源前还会进行身份认证。
其中,设备操作属性,包括读取数据、控制设备、分享数据等;实体属性包括设备拥有者、家庭成员、年龄(成年/儿童/老人、性别)等;环境属性包括时间段(早晨/中午/下午/夜晚)、天气、温度、空气质量、历史操作记录、IP地址等。
动态数据管理模块:
用于提供日志管理、智慧家庭的环境因素管理和用户配置的资源访问策略管理;其中日志管理包括用户的操作日志、设备的运行日志、联动日志等日志记录,通过统一的日志管理服务进行管理。环境因素管理包括设备的状态信息、时间段、家庭的温度、家庭的湿度、空气质量等直接或者间接通过传感器采集到的数据。
基于上述系统,在应用中,访问主体为智慧家庭中访问设备资源的主体,主要为设备的有权使用方即用户及其他需要发起联动操作的设备(如边缘网关、家庭小脑、智能音箱等。)
智慧家庭咨源是指智慧家庭中的设备控制,比如灯的开关、空调的温度调节等。还包括智慧家庭中的声音、图片、视频等信息及设备的状态(如冰箱的温度、热水器的温度等)或者设备获取到的环境状态(环境的温度、湿度等)。
本实施例提供的一种基于零信任的智慧家庭设备安全防护方法的流程如图2所示,其包括以下实施步骤:
1、用户/设备通过分布式数字身份服务申请全球唯一的数字身份;
2、分布式数字身份服务返回唯一的数字身份及相关凭证信息。凭证信息用于身份信息的验证;
3、用户/设备申请访问智慧家庭的设备或者资源;
4、持续验证引擎向动态数据管理模块获取操作日志、设备的运行日志、联动日志、用户配置的资源访问策略等数据;
5、动态数据管理模块向持续验证引擎返回操作日志、设备的运行日志、联动日志、用户配置的资源访问策略等数据;
6、持续验证引擎基于获取的数据对访问主体进行权限评估;
7、持续验证引擎对访问主体评估权限通过后,对访问主体的身份进行验证;
8、持续验证引擎对通过权限验证及身份认证后的用户/设备提供对家庭设备或者资源的访问通道。
最后应当说明的是,上述实施例仅是优选实施方式,并不用以限制本发明。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可以做出若干修改,等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于零信任的智慧家庭设备安全防护系统,其特征在于,
包括分布式数据身份服务、持续验证引擎和动态数据管理模块;
所述分布式数字身份服务,用于为用户、设备、应用提供统一的身份管理服务,负责生成唯一的身份ID标识唯一身份,并颁发一个可验证凭证支持设备身份验证;
所述动态数据管理模块,用于提供日志管理、智慧家庭的环境因素管理和用户配置的资源访问策略管理;
所述持续验证引擎,用于基于动态数据管理模块提供的数据对访问主体的访问权限进行评估,评估通过后对访问主体从分布式数字身份服务获取的身份进行验证,验证通过后提供对智慧家庭咨源的访问通道。
2.如权利要求1所述的一种基于零信任的智慧家庭设备安全防护系统,其特征在于,
所述访问主体包括用户及需要发起联动操作的设备。
3.如权利要求1或2所述的一种基于零信任的智慧家庭设备安全防护系统,其特征在于,
所述智慧家庭咨源包括智慧家庭中的设备状态、环境状态、对设备的控制和智慧家庭数据访问。
4.如权利要求1或2所述的一种基于零信任的智慧家庭设备安全防护系统,其特征在于,
所述日志管理包括:对用户的操作日志、设备的运行日志、联动日志的记录和管理。
5.一种基于零信任的智慧家庭设备安全防护方法,应用于如权利要求1-4任意一项所述的系统,其特征在于,包括以下步骤:
S1、访问主体向分布式数字身份服务申请DID;
S2、访问主体根据获取的DID申请向分布式数字身份服务可验证凭证;
S3、当访问主体申请访问智慧家庭资源时,持续验证引擎从动态数据管理模块获取动态数据;
S4、持续验证引擎根据所述动态数据对访问主体的访问权限进行评估;
S5、持续验证引擎对访问主体的访问权限评估通过后,验证访问主体的可验证凭证;
S6、对访问主体的可验证凭证通过后,提供对智慧家庭资源的访问通道。
6.如权利要求5所述的一种基于零信任的智慧家庭设备安全防护方法,其特征在于,
步骤S1中,访问主体向分布式数字身份服务申请DID,包括:
设备激活时,基于出厂时注入的出厂凭据向分布式数字身份服务申请DID。
7.如权利要求5或6所述的一种基于零信任的智慧家庭设备安全防护方法,其特征在于,
步骤S3中,持续验证引擎从动态数据管理模块获取的动态数据包括:
设备操作属性、实体属性、环境属性数据和用户配置的资源访问策略。
8.如权利要求7所述的一种基于零信任的智慧家庭设备安全防护方法,其特征在于,
所述设备操作属性包括:设备支持的操作,包括读取数据、控制设备、分享数据;所述实体属性包括:设备拥有者、家庭成员、年龄;所述环境属性包括:时间段、天气、温度、空气质量、历史操作记录和IP地址。
CN202211640258.9A 2022-12-20 2022-12-20 一种基于零信任的智慧家庭设备安全防护系统及方法 Active CN115913772B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211640258.9A CN115913772B (zh) 2022-12-20 2022-12-20 一种基于零信任的智慧家庭设备安全防护系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211640258.9A CN115913772B (zh) 2022-12-20 2022-12-20 一种基于零信任的智慧家庭设备安全防护系统及方法

Publications (2)

Publication Number Publication Date
CN115913772A true CN115913772A (zh) 2023-04-04
CN115913772B CN115913772B (zh) 2024-06-04

Family

ID=86485853

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211640258.9A Active CN115913772B (zh) 2022-12-20 2022-12-20 一种基于零信任的智慧家庭设备安全防护系统及方法

Country Status (1)

Country Link
CN (1) CN115913772B (zh)

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105577665A (zh) * 2015-12-24 2016-05-11 西安电子科技大学 一种云环境下的身份和访问控制管理系统及方法
CN110990804A (zh) * 2020-03-03 2020-04-10 支付宝(杭州)信息技术有限公司 资源访问方法、装置及设备
CN112000936A (zh) * 2020-07-31 2020-11-27 天翼电子商务有限公司 基于跨域属性异构的身份服务方法、介质及设备
CN112199721A (zh) * 2020-10-13 2021-01-08 腾讯科技(北京)有限公司 认证信息处理方法、装置、设备及存储介质
CN112765639A (zh) * 2021-01-27 2021-05-07 武汉大学 基于零信任访问策略的安全微服务架构及实现方法
CN112950220A (zh) * 2021-03-10 2021-06-11 湖南大学 一种基于区块链的企业数字身份管理系统及方法
CN112989385A (zh) * 2021-03-26 2021-06-18 中国人民解放军国防科技大学 一种云际计算环境中数据安全动态访问控制方法及系统
CN113641975A (zh) * 2021-10-18 2021-11-12 国网电子商务有限公司 身份标识注册方法、身份标识验证方法、装置及系统
CN113761497A (zh) * 2021-08-17 2021-12-07 国网山东省电力公司信息通信公司 一种分布式电力交易可信身份管理方法、系统、计算机设备
US20220043902A1 (en) * 2020-08-04 2022-02-10 International Business Machines Corporation Verifiable labels for mandatory access control
CN114186248A (zh) * 2021-11-13 2022-03-15 云南财经大学 基于区块链智能合约的零知识证明可验证凭证数字身份管理系统及方法
CN114338081A (zh) * 2021-11-29 2022-04-12 上海浦东发展银行股份有限公司 多区块链统一身份认证方法、装置、计算机设备
CN114448725A (zh) * 2022-03-22 2022-05-06 北京一砂信息技术有限公司 一种设备认证方法、系统及存储介质
US20220173891A1 (en) * 2020-11-30 2022-06-02 Electronics And Telecommunications Research Institute Apparatus and method for managing personal information
CN115348027A (zh) * 2022-07-08 2022-11-15 安徽科大国创软件科技有限公司 基于区块链的权限控制方法、系统、设备及可读存储介质
CN115412564A (zh) * 2021-05-26 2022-11-29 王哲文 一种区块链政务信息数据跨链传递并验证的方法和系统

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105577665A (zh) * 2015-12-24 2016-05-11 西安电子科技大学 一种云环境下的身份和访问控制管理系统及方法
CN110990804A (zh) * 2020-03-03 2020-04-10 支付宝(杭州)信息技术有限公司 资源访问方法、装置及设备
CN112000936A (zh) * 2020-07-31 2020-11-27 天翼电子商务有限公司 基于跨域属性异构的身份服务方法、介质及设备
US20220043902A1 (en) * 2020-08-04 2022-02-10 International Business Machines Corporation Verifiable labels for mandatory access control
CN112199721A (zh) * 2020-10-13 2021-01-08 腾讯科技(北京)有限公司 认证信息处理方法、装置、设备及存储介质
US20220173891A1 (en) * 2020-11-30 2022-06-02 Electronics And Telecommunications Research Institute Apparatus and method for managing personal information
CN112765639A (zh) * 2021-01-27 2021-05-07 武汉大学 基于零信任访问策略的安全微服务架构及实现方法
CN112950220A (zh) * 2021-03-10 2021-06-11 湖南大学 一种基于区块链的企业数字身份管理系统及方法
CN112989385A (zh) * 2021-03-26 2021-06-18 中国人民解放军国防科技大学 一种云际计算环境中数据安全动态访问控制方法及系统
CN115412564A (zh) * 2021-05-26 2022-11-29 王哲文 一种区块链政务信息数据跨链传递并验证的方法和系统
CN113761497A (zh) * 2021-08-17 2021-12-07 国网山东省电力公司信息通信公司 一种分布式电力交易可信身份管理方法、系统、计算机设备
CN113641975A (zh) * 2021-10-18 2021-11-12 国网电子商务有限公司 身份标识注册方法、身份标识验证方法、装置及系统
CN114186248A (zh) * 2021-11-13 2022-03-15 云南财经大学 基于区块链智能合约的零知识证明可验证凭证数字身份管理系统及方法
CN114338081A (zh) * 2021-11-29 2022-04-12 上海浦东发展银行股份有限公司 多区块链统一身份认证方法、装置、计算机设备
CN114448725A (zh) * 2022-03-22 2022-05-06 北京一砂信息技术有限公司 一种设备认证方法、系统及存储介质
CN115348027A (zh) * 2022-07-08 2022-11-15 安徽科大国创软件科技有限公司 基于区块链的权限控制方法、系统、设备及可读存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DAWEI SONG , FENGTONG WEN: "Efficient Identity-Based Signature Authentication Scheme for Smart Home System", 《SPRINGERLINK》, 13 September 2020 (2020-09-13) *
石娜: "物联网环境中的访问控制方法研究", 《中国优秀硕士学位论文全文数据库》, 15 December 2021 (2021-12-15) *

Also Published As

Publication number Publication date
CN115913772B (zh) 2024-06-04

Similar Documents

Publication Publication Date Title
US11762970B2 (en) Fine-grained structured data store access using federated identity management
CN110222518B (zh) 基于区块链的可信权能访问控制方法
CN109040077B (zh) 数据共享与隐私保护的方法及系统
CN106534199B (zh) 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台
CN107835195B (zh) 一种分布式网络应用节点集成管理方法
CN113132103A (zh) 一种数据跨域安全共享系统及方法
US20160139573A1 (en) System and method for access decision evaluation for building automation and control systems
CN109995791B (zh) 一种数据授权方法及系统
CN103109298A (zh) 认证协作系统以及id提供商装置
CN111177695A (zh) 一种基于区块链的智能家居设备访问控制方法
JP6940584B2 (ja) モノのインターネット(IoT)セキュリティ及び管理システム及び方法
CN113222595A (zh) 一种基于区块链技术的电力数据存储、查询方法及系统
CN101599116A (zh) 一种控制用户访问页面的方法
CN105282160A (zh) 基于信誉的动态访问控制方法
CN108881218B (zh) 一种基于云存储管理平台的数据安全增强方法及系统
CN107302524A (zh) 一种云计算环境下的密文数据共享系统
CN113761497A (zh) 一种分布式电力交易可信身份管理方法、系统、计算机设备
Chai et al. BHE-AC: A blockchain-based high-efficiency access control framework for Internet of Things
Mahalle et al. OAuth-based authorization and delegation in smart home for the elderly using decentralized identifiers and verifiable credentials
EP1838069B1 (en) Registration of peer to peer services
Jung et al. Privacy enabled web service access control using SAML and XACML for home automation gateways
CN115913772A (zh) 一种基于零信任的智慧家庭设备安全防护系统及方法
CN201557132U (zh) 基于pki/pmi技术的跨域管理装置
CN113794565A (zh) 基于环签名的多方协同权限委派方法及系统
CN113395163A (zh) 数字证书颁发和监视

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant