CN109617896A - 一种基于智能合约的物联网访问控制方法和*** - Google Patents
一种基于智能合约的物联网访问控制方法和*** Download PDFInfo
- Publication number
- CN109617896A CN109617896A CN201811616085.0A CN201811616085A CN109617896A CN 109617896 A CN109617896 A CN 109617896A CN 201811616085 A CN201811616085 A CN 201811616085A CN 109617896 A CN109617896 A CN 109617896A
- Authority
- CN
- China
- Prior art keywords
- node
- access
- resource
- access control
- contract
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种在物联网环境下基于智能合约的访问控制方法和***。该物联网包括通过网络连接的第一节点和第二节点,所述方法包括,在第一节点处:向第二节点发送用于请求访问第二节点的资源的资源访问请求;接收来自第二节点的重定向指令,所述重定向指令将第一节点重定向到与第二节点相关联的智能合约;调用区块链上的所述智能合约;以及接收作为所述智能合约的执行结果的响应,所述响应包括允许所述第一节点访问第二节点的资源的访问令牌或对所述资源访问请求的拒绝。
Description
技术领域
本公开涉及物联网技术领域,特别涉及一种基于智能合约的物联网访问控制方法和***。
背景技术
随着智能家居、数字医疗及车联网等技术的发展,物联网应用越发普及,其安全问题也愈加受关注。物联网安全应满足三个重要的特性:保密性、完整性和可用性。保密性是为了防止未授权对象访问敏感信息,同时确保授权对象可以访问该信息。完整性确保数据在传输过程中不被篡改。可用性是确保数据随时可用,保证冗余。身份验证和访问控制是物联网安全的重要组成部分。
因此,存在对于具有增强的安全性的物联网访问控制方法和***的需求。
发明内容
根据本公开的第一方面,提供了一种在物联网环境下基于智能合约的访问控制方法,该物联网包括通过网络连接的第一节点和第二节点,所述方法包括,在第一节点处:向第二节点发送用于请求访问第二节点的资源的资源访问请求;接收来自第二节点的重定向指令,所述重定向指令将第一节点重定向到与第二节点相关联的智能合约;调用区块链上的所述智能合约;以及接收作为所述智能合约的执行结果的响应,所述响应包括允许所述第一节点访问第二节点的资源的访问令牌或对所述资源访问请求的拒绝。。该方法还包括,在第一节点处:向第二节点发送包括所述访问令牌的访问请求;以及接收来自第二节点的用于允许或拒绝访问第二节点的资源的响应。
根据本公开的第二方面,提供了一种在物联网环境下基于智能合约的访问控制方法,该物联网包括通过网络连接的第一节点和第二节点,所述方法包括,在第二节点处:接收来自于第一节点的用于请求访问第二节点的资源的资源访问请求;以及向第一节点发送重定向指令,所述重定向指令将第一节点重定向到与第二节点相关联的智能合约。所述第一节点在接收到所述重定向指令后,调用区块链上的所述智能合约,并接收作为所述智能合约的执行结果的响应,所述响应包括允许所述第一节点访问第二节点的资源的访问令牌或对所述资源访问请求的拒绝。所述方法还包括,在第二节点处:接收来自所述第一节点的包括所述访问令牌的访问请求;向所述智能合约发送所述访问令牌以检查所述访问令牌的合法性;以及根据检查结果向所述第一节点发送用于允许或拒绝访问第二节点的资源的响应。
根据本公开的第三方面,提供了一种计算机***,包括:一个或更多个处理器;以及一个或更多个存储器,被配置为存储一系列计算机可执行指令,其中所述一系列计算机可执行指令在由所述一个或更多个处理器运行时使得所述一个或更多个处理器执行根据本公开记载的方法。
根据本公开的第四方面,提供了一种非暂态的计算机可读介质,其上存储有计算机可执行指令,所述计算机可执行指令在由一个或更多个处理器运行时使得所述一个或更多个处理器执行根据本公开记载的方法。
根据本公开的第五方面,提供了一种用于在物联网环境下基于智能合约的访问控制***,包括用于执行根据本公开记载的方法的步骤的部件。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得更为清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1示出了传统的访问控制技术。
图2示出了根据本公开示例性实施例的实施基于智能合约的访问控制方法的物联网架构。
图3示出了根据本公开示例性实施例的基于智能合约的访问控制方法的流程图。
图4示出了根据本公开示例性实施例的请求访问资源的节点执行的方法的流程图。
图5示出了根据本公开示例性实施例的被请求访问资源的节点执行的方法的流程图。
图6示出了根据本公开示例性实施例的基于区块链的智能合约***。
图7示出了根据本公开示例性实施例的交易信息的结构。
图8示出了根据本公开示例性实施例的注册合约。
图9示出了根据本公开示例性实施例的面向物联网访问控制的存储机制。
图10示出了可以实现根据本发明的实施例的计算设备的示例性配置。
具体实施方式
下面将参考附图来详细描述本发明的优选的实施例。不是本发明必需的细节和功能被省略,以便不会混淆本发明的理解。
请注意,类似的参考数字和字母指的是图中的类似的项目,因而一旦在一幅图中定义了一个项目,就不需要在之后的图中讨论了。
在本公开中,术语“第一”、“第二”等仅仅被用来在元件或步骤之间进行区分,而并不意图表示时间顺序、优先级或重要性。
图1示出了传统的访问控制技术。如图1所示,在步骤101,节点A向节点B发送资源访问请求以请求访问节点B的资源。节点B通过访问控制处理机制确定接受或拒绝节点A的访问请求。然后在步骤102,节点B向节点A发送接受和拒绝访问请求。当访问请求被接受时,在步骤103,节点A根据节点B的授权来访问节点B的数据。这种传统的技术可能存在有很多问题。一个问题是传统的访问控制技术是基于中心化架构的,当单个节点发生故障时,可能导致相关的节点的操作无法完成,即存在单点故障问题。另外,相当多的物联网设备计算能力低下,因此很难执行身份验证或访问控制处理。此外,传统技术把身份验证和访问控制委托给第三方服务器,这会破坏端到端的安全性,导致严重的安全问题。
本发明通过提供一种基于区块链的智能合约的物联网访问控制技术,来解决上述问题中的一个或多个。应当注意,本发明也可以解决其他未提到的问题。下面通过一些示例性实施例详细说明本公开的发明构思。
图2示出了根据本公开示例性实施例的实施基于智能合约的访问控制方法的物联网架构。如图2所示,物联网***200一般可以包括通过网络连接的一个或多个服务器201、诸如存储设备之类的一个或多个数据库202、诸如计算机、移动电话之类的终端设备203、一个或多个物联网网关204、一个或多个物联网设备205、206等。该物联网***还包括运行在区块链上的访问控制智能合约***207。服务器201与终端设备203交互,以从终端设备203接收请求并且返回响应。服务器201还与物联网设备204、205、数据库202交互,访问数据,并将数据和服务提供给终端设备的用户。这样的服务例如智能家居的控制、火灾报警和环境监测等。数据库202存储有关服务器、传感器和用户的数据等。终端设备203可以包括台式机、笔记本计算机、智能手机、平板计算机等设备。用户通过终端设备203发送请求并获得服务。物联网网关204用于为物联网设备205和206等接入网络并提供代理服务。物联网设备205和206可以感测环境数据(如烟感、温度和湿度等),并执行特定操作(如打开空调、启动报警等)。
物联网***200还可以包括保存在并且运行于区块链之上的用于实现访问控制的智能合约207。如本领域技术人员所知的,区块链是一种去中心化的分布式账本数据库。智能合约是一套以数字形式定义和实现的契约。区块链上的智能合约是一组可运行的计算机代码,这些代码能够实现资产的交易过程。资产可以包括数据、凭证等,可以由具体的业务场景下的合作伙伴共同定义。区块链中的所有节点中都保存了一个或多个智能合约,且所有节点上保存的智能合约的个数及种类是相同的,且对于每一种智能合约,都具有唯一的地址,该地址用于唯一地标识一种智能合约。本发明通过基于区块链的智能合约来对节点的访问进行控制。
下面结合图3描述根据本公开示例性实施例的基于智能合约的访问控制方法。节点A和节点B是物联网上的节点。这里,假定节点A想要对受保护节点B执行访问操作,例如读取或写入操作。首次执行访问控制的流程如下所述。
在步骤301,节点A向节点B发送用于请求访问节点B的资源的资源访问请求。
在步骤302,节点B向节点A发送重定向指令,所述重定向指令将节点A重定向到与节点B相关联的智能合约。
在步骤303,节点A向区块链发送所述资源访问请求以调用智能合约。
在步骤304,接收到资源访问请求的区块链生成交易,例如GetAccess交易,该交易包含节点A希望访问节点B等相关信息。在本文后面将描述交易信息的结构。
在该步骤304中,区块链将生成的交易广播到区块链上的所有节点以使得所述智能合约通过矿工挖矿行为被执行。
在步骤305中,在所述智能合约被执行后,确定所述节点A是否具有访问节点B的资源的权限;
在步骤306中,当所述节点A不具有访问节点B的资源的权限时,向节点A发送拒绝请求的响应。
在步骤307中,当所述节点A具有访问节点B的资源的权限时,将所述交易增加到所述区块链中,并且在步骤308中,向所述节点A发送包含访问令牌的响应。
至此,步骤301至308为节点A首次访问节点B时的注册过程。节点A保存该访问令牌,并在以后一直以该访问令牌作为访问节点B资源的钥匙。下面继续描述注册过程之后的访问过程。
在步骤309中,节点A向节点B发送包括所述访问令牌的访问请求。
在步骤310中,节点B在接收到包括访问令牌的访问请求时,向智能合约发送所述访问令牌以检查所述访问令牌的合法性。
在步骤311中,节点B根据检查结果向所述节点A发送用于允许或拒绝访问节点A的资源的响应。当允许节点A进行资源访问时,节点A进行对节点B的资源访问。
应当理解,本发明可以不限于上述步骤,可以包括附加的步骤或删除一些步骤,以及步骤的顺序可以不同。并且本发明不需要执行上述所有步骤,在为了特定的一个或多个目的时可以仅执行一部分步骤。
图4示出了根据本公开示例性实施例的在请求访问资源的节点A上执行的方法的流程图。
如图4所示,在步骤401中,节点A向节点B发送用于请求访问节点B的资源的资源访问请求。
在步骤402中,节点A接收来自节点B的重定向指令,所述重定向指令将节点A重定向到与节点B相关联的智能合约。
在步骤403中,节点A调用所述智能合约。
在步骤404中,节点A接收作为所述智能合约的执行结果的响应,所述响应包括允许所述第一节点访问第二节点的资源的访问令牌或拒绝访问请求的响应。
以上为节点A首次访问节点B时所执行的注册过程。下面的步骤405和406为访问过程。如果非首次访问,则可以不用执行上述注册过程而直接执行下面的访问过程。
在步骤405中,节点A向节点B发送包括所述访问令牌的访问请求。
在步骤406中,节点A接收来自节点B的用于允许或拒绝访问节点B的资源的响应。当响应为允许访问节点B的资源时,节点A开始访问节点B的资源。
图5示出了根据本公开示例性实施例的被请求访问资源的节点B执行的方法的流程图。
如图5所示,在步骤501中,节点B接收来自于节点A的用于请求访问节点B的资源的资源访问请求。
在步骤502中,向节点A发送重定向指令,所述重定向指令将节点A重定向到与节点B相关联的智能合约。
当参照图3所述的注册过程完成后,在步骤503中,节点B接收来自所述节点A的包括所述访问令牌的访问请求。
在步骤504中,节点B向所述智能合约发送所述访问令牌以检查所述访问令牌的合法性。
在步骤505中,节点B根据检查结果向所述节点A发送用于允许或拒绝访问节点B的资源的响应。
本发明通过区块链上的智能合约来进行访问控制,可以消除访问控制的单点故障问题。此外,本发明也解决了在物联网设备处理能力低下时,主体(如用户、进程或服务器等)在客体(如传感器或执行机构)上执行读、写以及运行操作的访问授权问题。
下面结合图6描述根据本公开示例性实施例的基于区块链的智能合约***。
如图6所示,区块链上保存有交易信息和智能合约。图7示出了根据示例性实施例的交易信息的结构的示意图。每条交易信息也可以构成一个策略。如图7所示,交易信息包括多个字段,包括:
·资源:定义策略的资源,如温度传感器温度、烟感传感器浓度等;
·操作:对资源执行的操作,例如读取、写入等;
·权限:在操作上预定义的权限,例如允许、拒绝等;
·上次访问时间(ToLR):最近一次访问数据的时间;
·允许访问时间:资源允许被访问的时间。
区块链上的智能合约可以包括多个访问控制合约ACC、一个法官合约JC和一个注册合约RC。访问控制合约ACC为主体-客体提供一种访问控制方法,该方法实现了基于预定义规则的访问权限验证,并提供了增加、更新以及删除访问控制策略。如果节点A想要访问节点B的数据,则节点B数据的访问控制合约由节点B其网关代理布署。访问控制合约ACC还提供以下主要编程接口来管理策略和实施访问控制。
·policyAdd():添加策略。
·policyUpdate():更新策略。
·policyDelete():删除策略。
·accessControl():请求访问资源,返回对资源的访问授权。
·setJC():为了使ACC能够执行JC的编程接口,ACC需要保留JC的实例。
·deleteACC():删除访问控制合约。
法官合约JC实现ACC的动态的访问验证。例如,法官合约JC接收来自ACC的错误行为报告,并根据错误行为确定是否访问授权,从而实现ACC的动态验证。
注册合约RC用于添加、更新和删除访问控制合约。注册合约RC维护一个查找表,该表注册所需的信息以查找和执行所有方法。图8示出了注册合约RC的一个示例。该查找表例如包含主体、客体、合约名称、合约创建者、合约地址以及编程接口等。注册合约RC提供以下接口:
·methodRegister():增加合约。
·methodUpdate():更新合约。
·methodDelete():删除合约。
·getContract():获得合约地址和编程接口。
本公开提供了一种面对物联网访问控制的存储方法和存储结构。图9示出了根据本公开示例性实施例的交易信息和智能合约的存储机制。“合约”存储了智能合约信息,策略_1、策略_2等存储了访问控制策略。
当物联网***增加新的物联网设备(例如消防***)时,物联网的代理节点(包括服务器、终端和网关等节点,以下称为物联网网关)为该物联网设备分配公钥和私钥,并以公钥作为物联网设备账户。物联网网关用该物联网设备的私钥加密合约生成ACC合约2,写入图9所示合约结构的合约列表。
用户或安全管理员可以为新的物联网设备编写物联网访问控制规则,或者修改通过AI算法生成的物联网访问控制规则,这些访问控制规则存储在区块N中。用户或安全管理员检查存储在区块N中的访问控制规则,并进一步修改访问控制规则,修改后的访问控制规则存储在区块N+1中。
如图9所示,访问控制规则通过默克儿树(Merkle Tree)数据结构组织。例如策略_2包括三条交易记录,分别是记录1、记录2、记录3。每条交易记录对应特定的物联网配置,分别是物联网1、物联网2、物联网3。物联网3包括两条安全规则、分别是安全规则4和安全规则5。每条安全规则又可以进一步分成子规则,例如规则5可以分成子规则6、子规则7、子规则8。以此类推。
如果用户对安全规则做修改,例如用户对安全规则8进行了修改从而得到安全规则8_1,修改后的规则保存到区块N+1中。在区块N+1中,新的安全规则为规则6、规则7、规则8_1。根据新安全规则重新计算默克儿哈希值得到安全规则存储根Hash_5_1,再进一步重新计算默克儿哈希值3_1,以及Policy_3。以此类推。
图10示出了可以实现根据本发明的实施例的计算设备1000的示例性配置。计算设备1000是可以应用本发明的上述方面的硬件设备的实例。计算设备1000可以是被配置为执行处理和/或计算的任何机器。计算设备1000可以是但不限制于工作站、服务器、台式计算机、膝上型计算机、平板计算机、个人数据助手(PDA)、智能电话、车载计算机或以上组合。
如图10所示,计算设备1000可以包括可能经由一个或多个接口与总线1020连接或通信的一个或多个元件。总线1002可以包括但不限于,工业标准架构(Industry StandardArchitecture,ISA)总线、微通道架构(Micro Channel Architecture,MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)局部总线、以及外设组件互连(PCI)总线等。计算设备1000可以包括例如一个或多个处理器1004、一个或多个输入设备1006、以及一个或多个输出设备1008。一个或多个处理器1004可以是任何种类的处理器,并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。输入设备1006可以是能够向计算设备输入信息的任何类型的输入设备,并且可以包括但不限于鼠标、键盘、触摸屏、麦克风和/或远程控制器。输出设备1008可以是能够呈现信息的任何类型的设备,并且可以包括但不限于显示器、扬声器、视频/音频输出终端、振动器和/或打印机。
计算设备1000还可以包括或被连接至非暂态存储设备1014,该非暂态存储设备1014可以是任何非暂态的并且可以实现数据存储的存储设备,并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、缓存存储器和/或任何其他存储芯片或模块、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。计算设备1000还可以包括随机存取存储器(RAM)1010和只读存储器(ROM)1012。ROM 1012可以以非易失性方式存储待执行的程序、实用程序或进程。RAM 1010可提供易失性数据存储,并存储与计算设备1000的操作相关的指令。计算设备1000还可包括耦接至数据链路10110的网络/总线接口1016。网络/总线接口1016可以是能够启用与外部装置和/或网络通信的任何种类的设备或***,并且可以包括但不限于调制解调器、网络卡、红外线通信设备、无线通信设备和/或芯片集(诸如蓝牙TM设备、1302.11设备、WiFi设备、WiMax设备、蜂窝通信设施等)。
可单独地或以任何组合方式来使用前述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实现前述实施方案的各个方面。
例如,前述实施方案可体现为计算机可读介质上的计算机可读代码。计算机可读介质为可存储数据的任何数据存储设备,所述数据其后可由计算机***读取。计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、DVD、磁带、硬盘驱动器、固态驱动器和光学数据存储设备。计算机可读介质还可分布在网络耦接的计算机***中使得计算机可读代码以分布式方式来存储和执行。
例如,前述实施方案可采用硬件电路的形式。硬件电路可以包括组合式逻辑电路、时钟存储设备(诸如软盘、触发器、锁存器等)、有限状态机、诸如静态随机存取存储器或嵌入式动态随机存取存储器的存储器、定制设计电路、可编程逻辑阵列等的任意组合。
在一个实施方案中,可以通过用诸如Verilog或VHDL的硬件描述语言(HDL)编码电路描述来实现根据本公开的硬件电路。可以针对给定集成电路制造技术设计的单元库合成HDL描述,并可以出于定时、功率和其他原因修改,以获得最终的设计数据库,可以将最终的设计数据库传输到工厂以通过半导体制造***生产集成电路。半导体制造***可通过(例如在可包括掩膜的晶片上)沉积半导体材料、移除材料、改变所沉积材料的形状、(例如通过掺杂材料或利用紫外处理修改介电常数)对材料改性等等来生产集成电路。集成电路可以包括晶体管并还可以包括其他电路元件(例如,诸如电容器、电阻器、电感器等无源元件)以及晶体管和电路元件之间的互连。一些实施方案可以实现耦接在一起的多个集成电路,以实现硬件电路,和/或可以在一些实施方案中使用离散元件。
虽然已通过示例详细展示了本发明的一些具体实施例,但是本领域技术人员应当理解,上述示例仅意图是说明性的而不限制本发明的范围。本领域技术人员应该理解,上述实施例可以在不脱离本发明的范围和实质的情况下被修改。本发明的范围是通过所附的权利要求限定的。
Claims (16)
1.一种在物联网环境下基于智能合约的访问控制方法,该物联网包括通过网络连接的第一节点和第二节点,所述方法包括,在第一节点处:
向第二节点发送用于请求访问第二节点的资源的资源访问请求;
接收来自第二节点的重定向指令,所述重定向指令将第一节点重定向到与第二节点相关联的智能合约;
调用区块链上的所述智能合约;以及
接收作为所述智能合约的执行结果的响应,所述响应包括允许所述第一节点访问第二节点的资源的访问令牌或对所述资源访问请求的拒绝。
2.如权利要求1所述的访问控制方法,还包括,在第一节点处:
向第二节点发送包括所述访问令牌的访问请求;以及
接收来自第二节点的用于允许或拒绝访问第二节点的资源的响应。
3.如权利要求2所述的访问控制方法,其中所述第二节点在接收到包括所述访问令牌的访问请求时,向所述智能合约发送所述访问令牌以检查所述访问令牌的合法性,并且根据检查结果向所述第一节点发送用于允许或拒绝访问第二节点的资源的所述响应。
4.如权利要求1所述的访问控制方法,其中所述区块链被配置为:
接收所述资源访问请求;
生成交易信息;
将该交易信息广播到区块链上的所有节点以使得所述智能合约被区块链上的节点执行;
在所述智能合约被区块链上的节点执行后,确定所述第一节点是否具有访问第二节点的资源的权限;
当所述第一节点具有访问第二节点的资源的权限时,将所述交易信息增加到所述区块链中,并且向所述第一节点发送包含所述访问令牌的所述响应;以及
当所述第一节点不具有访问第二节点的资源的权限时,向所述第一节点发送包含对所述资源访问请求的拒绝的所述响应。
5.如权利要求4所述的访问控制方法,其中所述交易信息包括与第二节点的资源、对第二节点执行的操作、所述操作的权限、上次访问时间、以及允许访问时间有关的信息。
6.如权利要求1所述的访问控制方法,其中所述智能合约包括访问控制合约、注册合约和法官合约,
其中访问控制合约定义所述物联网上的一个节点对另一个节点的访问控制方法,所述访问控制方法包括访问权限;
所述注册合约包括有关所述访问控制合约的信息,用于管理所述访问控制合约;以及
所述法官合约接收来自所述访问控制合约的报告,并确定是否授权访问。
7.如权利要求4所述的访问控制方法,其中交易信息和智能合约以默克尔树结构被存储在区块链上,所述交易信息对应于至少一个规则,
其中当所述至少一个规则被在当前区块上修改时,修改后的规则以及相对应的修改后的交易信息被存储到所述当前区块的下一个区块上。
8.一种在物联网环境下基于智能合约的访问控制方法,该物联网包括通过网络连接的第一节点和第二节点,所述方法包括,在第二节点处:
接收来自于第一节点的用于请求访问第二节点的资源的资源访问请求;以及
向第一节点发送重定向指令,所述重定向指令将第一节点重定向到与第二节点相关联的智能合约。
9.如权利要求8所述的访问控制方法,其中所述第一节点在接收到所述重定向指令后,调用区块链上的所述智能合约,并接收作为所述智能合约的执行结果的响应,所述响应包括允许所述第一节点访问第二节点的资源的访问令牌或对所述资源访问请求的拒绝,
其中所述方法还包括,在第二节点处:
接收来自所述第一节点的包括所述访问令牌的访问请求;
向所述智能合约发送所述访问令牌以检查所述访问令牌的合法性;以及
根据检查结果向所述第一节点发送用于允许或拒绝访问第二节点的资源的响应。
10.如权利要求8所述的访问控制方法,其中所述区块链被配置为:
接收所述资源访问请求;
生成交易信息;
将该交易信息广播到区块链上的所有节点以使得所述智能合约被区块链上的节点执行;
在所述智能合约被区块链上的节点执行后,确定所述第一节点是否具有访问第二节点的资源的权限;
当所述第一节点具有访问第二节点的资源的权限时,将所述交易信息增加到所述区块链中,并且向所述第一节点发送包含所述访问令牌的所述响应;以及
当所述第一节点不具有访问第二节点的资源的权限时,向所述第一节点发送包含对所述资源访问请求的拒绝的所述响应。
11.如权利要求10所述的访问控制方法,其中所述交易信息包括与第二节点的资源、对第二节点执行的操作、所述操作的权限、上次请求的时间、以及允许访问时间有关的信息。
12.如权利要求8所述的访问控制方法,其中所述智能合约包括访问控制合约、注册合约和法官合约,
其中访问控制合约定义所述物联网上的一个节点对另一个节点的访问控制方法,所述访问控制方法包括访问权限;
所述注册合约包括有关所述访问控制合约的信息,用于管理所述访问控制合约;以及
所述法官合约接收来自所述访问控制合约的报告,并确定是否授权访问。
13.如权利要求12所述的访问控制方法,其中交易信息和智能合约以默克尔树结构被存储在区块链上,所述交易信息对应于至少一个规则,
其中当所述至少一个规则被在当前区块上修改时,修改后的规则以及相对应的修改后的交易信息被存储到所述当前区块的下一个区块上。
14.一种计算机***,包括:
一个或更多个处理器;以及
一个或更多个存储器,被配置为存储一系列计算机可执行指令,
其中所述一系列计算机可执行指令在由所述一个或更多个处理器运行时使得所述一个或更多个处理器执行根据权利要求1-13中的任意一个所述的方法。
15.一种非暂态的计算机可读介质,其上存储有计算机可执行指令,所述计算机可执行指令在由一个或更多个处理器运行时使得所述一个或更多个处理器执行根据权利要求1-13中的任意一个所述的方法。
16.一种用于在物联网环境下基于智能合约的访问控制***,包括用于执行根据权利要求1-13中的任意一个所述的方法的步骤的部件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811616085.0A CN109617896B (zh) | 2018-12-28 | 2018-12-28 | 一种基于智能合约的物联网访问控制方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811616085.0A CN109617896B (zh) | 2018-12-28 | 2018-12-28 | 一种基于智能合约的物联网访问控制方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109617896A true CN109617896A (zh) | 2019-04-12 |
| CN109617896B CN109617896B (zh) | 2021-07-13 |
Family
ID=66011682
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811616085.0A Active CN109617896B (zh) | 2018-12-28 | 2018-12-28 | 一种基于智能合约的物联网访问控制方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109617896B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110278255A (zh) * | 2019-06-13 | 2019-09-24 | 深圳前海微众银行股份有限公司 | 一种基于区块链的物联网iot设备间通信的方法及装置 |
| CN110535880A (zh) * | 2019-09-25 | 2019-12-03 | 四川师范大学 | 物联网的访问控制方法以及*** |
| CN110716441A (zh) * | 2019-11-08 | 2020-01-21 | 北京金茂绿建科技有限公司 | 一种控制智能化设备的方法、智能家居***、设备及介质 |
| CN110809006A (zh) * | 2019-11-14 | 2020-02-18 | 内蒙古大学 | 一种基于区块链的物联网访问控制架构及方法 |
| CN112116348A (zh) * | 2020-08-12 | 2020-12-22 | 北京智融云河科技有限公司 | 一种对节点资源的访问控制方法 |
| CN112560077A (zh) * | 2019-09-10 | 2021-03-26 | 北京国双科技有限公司 | 一种访问控制方法、装置及*** |
| CN112910996A (zh) * | 2021-01-30 | 2021-06-04 | 上海上实龙创智能科技股份有限公司 | 一种物联网设备访问控制方法、***、装置及存储介质 |
| CN113542117A (zh) * | 2021-07-09 | 2021-10-22 | 重庆邮电大学 | 一种基于分层区块链的物联网设备资源访问控制方法 |
| CN113615140A (zh) * | 2019-08-30 | 2021-11-05 | Oppo广东移动通信有限公司 | 集合资源的访问方法、装置、设备及存储介质 |
| CN113938493A (zh) * | 2021-10-09 | 2022-01-14 | 中国人民大学 | 物联网中的点对点资源共享方法、***、介质及计算设备 |
| CN115277168A (zh) * | 2022-07-25 | 2022-11-01 | 绿盟科技集团股份有限公司 | 一种访问服务器的方法以及装置、*** |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682331A (zh) * | 2017-09-28 | 2018-02-09 | 复旦大学 | 基于区块链的物联网身份认证方法 |
| CN108270780A (zh) * | 2018-01-08 | 2018-07-10 | 中国电子科技集团公司第三十研究所 | 一种异构网络环境多中心数字身份管理方法 |
| CN108763955A (zh) * | 2018-05-20 | 2018-11-06 | 深圳市图灵奇点智能科技有限公司 | 行驶数据共享方法和装置、***和计算机存储介质 |
| CN108848063A (zh) * | 2018-05-24 | 2018-11-20 | 中链科技有限公司 | 基于区块链的数据处理方法、***和计算机可读存储介质 |
| CN108965299A (zh) * | 2018-07-19 | 2018-12-07 | 清华大学 | 一种数据访问方法、访问验证设备及数据存储*** |
| CN108989357A (zh) * | 2018-09-12 | 2018-12-11 | 中国人民解放军国防科技大学 | 一种基于区块链的用户授权与数据共享访问控制方法 |
-
2018
- 2018-12-28 CN CN201811616085.0A patent/CN109617896B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682331A (zh) * | 2017-09-28 | 2018-02-09 | 复旦大学 | 基于区块链的物联网身份认证方法 |
| CN108270780A (zh) * | 2018-01-08 | 2018-07-10 | 中国电子科技集团公司第三十研究所 | 一种异构网络环境多中心数字身份管理方法 |
| CN108763955A (zh) * | 2018-05-20 | 2018-11-06 | 深圳市图灵奇点智能科技有限公司 | 行驶数据共享方法和装置、***和计算机存储介质 |
| CN108848063A (zh) * | 2018-05-24 | 2018-11-20 | 中链科技有限公司 | 基于区块链的数据处理方法、***和计算机可读存储介质 |
| CN108965299A (zh) * | 2018-07-19 | 2018-12-07 | 清华大学 | 一种数据访问方法、访问验证设备及数据存储*** |
| CN108989357A (zh) * | 2018-09-12 | 2018-12-11 | 中国人民解放军国防科技大学 | 一种基于区块链的用户授权与数据共享访问控制方法 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110278255B (zh) * | 2019-06-13 | 2021-10-15 | 深圳前海微众银行股份有限公司 | 一种基于区块链的物联网iot设备间通信的方法及装置 |
| CN110278255A (zh) * | 2019-06-13 | 2019-09-24 | 深圳前海微众银行股份有限公司 | 一种基于区块链的物联网iot设备间通信的方法及装置 |
| CN113615140B (zh) * | 2019-08-30 | 2023-04-04 | Oppo广东移动通信有限公司 | 集合资源的访问方法、装置、设备及存储介质 |
| CN113615140A (zh) * | 2019-08-30 | 2021-11-05 | Oppo广东移动通信有限公司 | 集合资源的访问方法、装置、设备及存储介质 |
| CN112560077A (zh) * | 2019-09-10 | 2021-03-26 | 北京国双科技有限公司 | 一种访问控制方法、装置及*** |
| CN110535880A (zh) * | 2019-09-25 | 2019-12-03 | 四川师范大学 | 物联网的访问控制方法以及*** |
| CN110535880B (zh) * | 2019-09-25 | 2022-06-14 | 四川师范大学 | 物联网的访问控制方法以及*** |
| CN110716441A (zh) * | 2019-11-08 | 2020-01-21 | 北京金茂绿建科技有限公司 | 一种控制智能化设备的方法、智能家居***、设备及介质 |
| CN110809006A (zh) * | 2019-11-14 | 2020-02-18 | 内蒙古大学 | 一种基于区块链的物联网访问控制架构及方法 |
| CN112116348A (zh) * | 2020-08-12 | 2020-12-22 | 北京智融云河科技有限公司 | 一种对节点资源的访问控制方法 |
| CN112116348B (zh) * | 2020-08-12 | 2024-05-03 | 北京智融云河科技有限公司 | 一种对节点资源的访问控制方法 |
| CN112910996A (zh) * | 2021-01-30 | 2021-06-04 | 上海上实龙创智能科技股份有限公司 | 一种物联网设备访问控制方法、***、装置及存储介质 |
| CN113542117A (zh) * | 2021-07-09 | 2021-10-22 | 重庆邮电大学 | 一种基于分层区块链的物联网设备资源访问控制方法 |
| CN113938493A (zh) * | 2021-10-09 | 2022-01-14 | 中国人民大学 | 物联网中的点对点资源共享方法、***、介质及计算设备 |
| CN115277168A (zh) * | 2022-07-25 | 2022-11-01 | 绿盟科技集团股份有限公司 | 一种访问服务器的方法以及装置、*** |
| CN115277168B (zh) * | 2022-07-25 | 2023-05-26 | 绿盟科技集团股份有限公司 | 一种访问服务器的方法以及装置、*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109617896B (zh) | 2021-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109617896A (zh) | 一种基于智能合约的物联网访问控制方法和*** | |
| CN110990804B (zh) | 资源访问方法、装置及设备 | |
| CN110060162B (zh) | 基于区块链的数据授权、查询方法和装置 | |
| KR102068349B1 (ko) | 블록체인 시스템과 데이터 저장 방법 및 장치 | |
| TWI736705B (zh) | 業務處理方法和裝置 | |
| CN111539813B (zh) | 业务行为的回溯处理方法、装置、设备及*** | |
| US9727751B2 (en) | Method and apparatus for applying privacy policies to structured data | |
| US9049013B2 (en) | Trusted security zone containers for the protection and confidentiality of trusted service manager data | |
| WO2021114937A1 (zh) | 一种基于区块链的业务处理方法、装置及设备 | |
| CN109522751A (zh) | 访问权限控制方法、装置、电子设备及计算机可读介质 | |
| CN114254336A (zh) | 用于通过使用边界标签来实施数据边界的方法、装置和*** | |
| CN112182506A (zh) | 一种数据的合规检测方法、装置及设备 | |
| JP2023520212A (ja) | クラウド環境におけるプライバシー中心のデータ・セキュリティ | |
| CN113221142A (zh) | 授权业务的处理方法、装置、设备及*** | |
| Abdul et al. | Enhancing Security of Mobile Cloud Computing by Trust‐and Role‐Based Access Control | |
| CN111737304B (zh) | 一种区块链数据的处理方法、装置及设备 | |
| Ghosh et al. | Securing loosely-coupled collaboration in cloud environment through dynamic detection and removal of access conflicts | |
| CN115022039B (zh) | 信息处理方法、装置、设备和存储介质 | |
| Kumar et al. | Real geo‐time‐based secured access computation model for e‐Health systems | |
| CN112837776A (zh) | 一种基于处方流转平台的区块链数据隐私安全保护方法 | |
| CN114301710B (zh) | 确定报文是否被篡改的方法、密管平台和密管*** | |
| Silva et al. | Privacy preservation in temporary use of iot environments | |
| Semwal et al. | Blockchain graphs (BCGs) to support right-to-be-forgotten “RTBF” in blockchains | |
| CN112818380B (zh) | 业务行为的回溯处理方法、装置、设备及*** | |
| US20230367898A1 (en) | System and method for data privacy control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |