logo好方法网

一种物联网数据访问控制方法及系统

发布时间:2020-09-16 发布人:admin 分类:专利技术 资料大小:1.11M 资料格式:pdf

技术摘要:
本发明涉及一种物联网数据访问控制方法及系统,其中,方法包括:通过代理设备收集客户端设备的身份识别数据和物联网设备的设备安全策略;将收集的数据加密后发布到分布式数据存储库;网关从分布式数据存储库接收身份识别数据,以对客户端设备进行身份认证;网关从分布  全部
背景技术:
近年来物联网设备的开发与应用发展飞速,物联网设备多种多样,从工业设备的 控制器到普通民众的智能手表、可穿戴设备,均属于物联网设备。然而,安全基础设施并没 有跟上物联网设备被广泛使用的步伐,据业界估计,在未来几年内,将有数十亿台物联网设 备同时运行并连接到互联网上,但目前还缺乏有效的安全体系结构来有效地保障物联网设 备的安全便捷使用,这主要是由于物联网设备的处理能力有限、内存有限和用户交互界面 有限(甚至不存在),物联网设备的这些特点使得它们很难集成到现有的客户机-服务器安 全系统中,因此,在工业、民生工程等重点领域的关键系统中,如果攻击者或未授权用户能 够获得对嵌入式物联网设备的控制,则会引发灾难性的后果。 在现有的数据访问控制中,常通过应用程序使用工业协议、并通过串行或以太网 远程访问物联网设备,无需进行强身份验证,甚至无需进行任何类型的身份验证。而在现有 的一些安全控制方法中,设备应用程序可以使用锁定机制,以防止物联网设备被其他用户 访问,但这种传统方法易受漏洞的影响,因为物联网设备可以被网络上的任何人锁定,例 如,恶意软件可能会锁定物联网设备,而一旦物联网设备被锁定,则无法由合法用户控制并 使用。此外,在现有系统中,物联网设备之间的通信是不安全的,因为这些通信是以纯文本 的进行传输,容易受到未经授权的窃听,任何人都可以在网络上收听到这些通信。
技术实现要素:
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种物联网数据访 问控制方法,通过集中分布式管理用户、应用程序、用户设备标识和相应的访问控制策略, 并由网关进行实施、实现安全启用网络访问的目的,防止对物联网设备进行未经授权的访 问。 本发明的目的可以通过以下技术方案来实现:一种物联网数据访问控制方法,包 括以下步骤: S1、通过代理设备分别收集客户端设备的身份识别数据和物联网设备的设备安全 策略; S2、将收集的身份识别数据和设备安全策略加密后发布到分布式数据存储库; S3、由网关从分布式数据存储库接收并解密身份识别数据,以对请求访问物联网 设备的客户端设备进行身份认证,若认证通过,则执行步骤S4,否则拒绝该客户端设备对物 联网设备的访问请求; S4、由网关从分布式数据存储库接收并解密设备安全策略,结合身份识别数据,以 建立防火墙规则; 4 CN 111600845 A 说 明 书 2/8 页 S5、通过网关创建客户端设备与物联网设备通信的会话,并将会话相关信息加密 后作为认证会话信息发布到分布式数据存储库; S6、客户端设备从分布式数据存储库中接收并解密认证会话信息,并将该认证会 话信息发送给网关,以保持客户端设备对物联网设备的访问,当认证会话信息过期或无效, 则网关终止客户端设备与物联网设备之间的通信。 进一步地,所述身份识别数据包括身份信息及其相应的访问控制策略,该访问控 制策略即为身份权限。 进一步地,所述步骤S3中对请求访问物联网设备的客户端设备进行身份认证的具 体过程为:首先根据身份信息确定客户端设备是否可以对网关进行访问,之后根据访问控 制策略确定客户端设备是否有权限访问物联网设备。 进一步地,所述步骤S5中创建客户端设备与物联网设备通信的会话具体是在网关 上打开端口,利用该端口进行客户端设备与物联网设备之间的通信。 进一步地,所述会话相关信息包括与通信端点信息、身份认证信息、防火墙信息和 时间信息。 一种物联网数据访问控制系统,包括分别与网络双向连接的代理设备、分布式数 据存储库和网关,所述网关还与多个物联网设备双向连接,所述代理设备通过网络从客户 端设备收集身份识别数据,并通过网络从与网关连接的物联网设备收集设备安全策略,之 后将身份识别数据和设备安全策略分别加密后通过网络发布到分布式数据存储库; 所述分布式数据存储库用于分布式存储身份识别数据和设备安全策略,所述设备 安全策略具体是对应于设备的被访问权限; 所述网关基于身份识别数据和设备安全策略来控制客户端设备对物联网设备的 访问,并建立用于控制输入和输出网络访问的防火墙规则,此外,还对认证的客户端设备做 出响应,以创建客户端设备与物联网设备通信的会话。 进一步地,所述分布式数据存储库包括具有多个区块的分布式账本,每一个区块 中包含索引号、时间戳、数据值、加密值及先前加密值,多个区块按时间顺序链接在一起构 成区块链,所述区块链中后一个区块中的先前加密值即为前一个区块中的加密值。 进一步地,所述客户端设备中包含用于加密解密数据的客户端代理。 与现有技术相比,本发明具有以下优点: 一、本发明结合代理设备和分布式数据存储库,能够对客户端设备的身份识别数 据和物联网设备的设备安全策略进行集中分布式管理,并通过网关从分布式数据存储库检 索身份识别数据和设备安全策略,以对客户端设备的访问请求进行身份认证、建立防火墙, 不仅能够提高访问控制的效率,同时避免了未经授权的访问、保证访问控制的安全性。 二、本发明通过在代理设备、分布式存储数据库、网关以及客户端设备设置数据加 密解密操作,使得网络中通信传输的数据不再以纯文本方式体现,防止通信数据被窃听,进 一步提高了访问控制的安全性。 三、本发明采用分布式数据存储库的方式,利用区块链中每个区块与前一个区块 链接的特性,能够保证存储数据的完整性,并使得存储数据无法被随意篡改,从而加强存储 数据的安全性,保证了后续网关对访问控制进行身份认证的准确性、杜绝恶意锁定现象的 发生。 5 CN 111600845 A 说 明 书 3/8 页 附图说明 图1为本发明的方法流程示意图; 图2为本发明的系统连接示意图; 图3为实施例中代理设备的结构示意图; 图4为实施例中分布式数据存储库的结构示意图; 图5为实施例中网关的结构示意图。
下载此资料需消耗2积分,
分享到:
收藏

相关推荐