CN111082940B - 物联网设备控制方法、装置及计算设备、存储介质 - Google Patents
物联网设备控制方法、装置及计算设备、存储介质 Download PDFInfo
- Publication number
- CN111082940B CN111082940B CN201911133261.XA CN201911133261A CN111082940B CN 111082940 B CN111082940 B CN 111082940B CN 201911133261 A CN201911133261 A CN 201911133261A CN 111082940 B CN111082940 B CN 111082940B
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- things equipment
- equipment
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种物联网设备控制方法、装置及计算设备、存储介质,涉及物联网技术领域,包括:接收物联网设备发送的接入请求,接入请求中包括物联网设备的待校验全局唯一标识以及物联网设备的签名;待校验全局唯一标识用于标识物联网设备在物联网平台中的唯一身份;基于预先存储的物联网设备的全局唯一标识对待校验全局唯一标识进行校验,并对物联网设备的签名进行校验;若待校验全局唯一标识校验通过,且物联网设备的签名校验通过,则发送允许接入的消息给物联网设备;并,对物联网设备进行监控,得到监控分析结果;若根据监控分析结果确定物联网设备存在异常时,对物联网设备进行相应异常处理操作。该方式控制物联网设备更加安全可靠。
Description
技术领域
本申请涉及物联网技术领域,尤其涉及一种物联网设备控制方法、装置及计算设备、存储介质。
背景技术
随着物联网技术的不断发展,物联网被应用在生产和生活的方方面面,如:智慧城市、智慧出行以及智慧养老等,通过物联网的应用给人们的生产和生活带来了极大的方便。
相关技术中,对待接入物联网平台的设备有所限制,仅仅物联网平台已经认证数字证书的设备才能接入,该接入认证的方式比较单一,一旦有不法分子篡改某些设备接入请求,将该设备加入到物联网平台,会造成数据泄露。故此,如何提高物联网的安全性有待解决。
发明内容
本申请实施例提供一种物联网设备控制方法、装置及计算设备、存储介质,用以解决相关技术中物联网设备接入物联网平台的安全性差的问题。
第一方面本申请实施例提供一种物联网设备控制方法,所述方法包括:
接收所述物联网设备发送的接入请求,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份;
基于预先存储的所述物联网设备的全局唯一标识对所述待校验全局唯一标识进行校验,并对所述物联网设备的签名进行校验;
若所述待校验全局唯一标识校验通过,且所述物联网设备的签名校验通过,则发送允许接入的消息给所述物联网设备;并,
对所述物联网设备进行监控,得到监控分析结果;
若根据监控分析结果确定所述物联网设备存在异常时,对所述物联网设备进行相应异常处理操作。
在一个实施例中,根据以下方法生成所述全局唯一标识:
获取所述物联网设备的物理标识;
根据所述物理标识,生成所述物联网设备的全局唯一标识,其中,所述物理标识与所述全局唯一标识一一对应。
在一个实施例中,所述获取所述物联网设备的物理标识,包括:
通过所述物联网设备的提供的标识获取接口,获取所述物联网设备的第一设备标识作为所述物理标识;
若所述第一设备标识获取失败,则根据所述物联网设备的设备说明中的存储位置标识,从所述物联网设备的所述存储位置标识对应的存储空间中获取所述物联网设备的第二设备标识作为所述物理标识;
若所述第二设备标识获取失败,则生成所述物联网设备的虚拟物理标识作为所述物理标识。
在一个实施例中,所述方法还包括:
记录所述物理标识的获取方式,其中所述获取方式包括:来源于标识获取接口,来源于设备说明以及来源于虚拟物理标识;
所述对所述物联网设备进行监控,包括:
从所述物联网平台的数据库中查询所述物联网设备的所述物理标识的获取方式;
若所述获取方式为来源于标识获取接口,则采用第一监控规则对所述物联网设备进行监控;
若所述获取方式为来源于设备说明,则采用第二监控规则对所述物联网设备进行监控;
若所述获取方式为来源于虚拟物理标识,则采用第三监控规则对所述物联网设备进行监控;
其中,所述第三监控规则、所述第二监控规则以及所述第一监控规则的监控力度依次变小;
其中,随着监控力度的增加,物联网设备被判断为异常的概率越大。
在一个实施例中,所述第一监控规则,所述第二监控规则以及所述第三监控规则中包括以下规则中的至少一种:
规则1:信息统计周期长度及同一统计周期内被判定为异常时发送的最少信息数量;
规则2:物联网设备发送的正常信息的格式和/或内容;
规则3:允许的操作行为。
在一个实施例中,所述方法还包括:
根据所述物联网设备的所述全局唯一标识,为所述物联网设备创建登录信息并存储,所述登录信息中包括用户名及其对应的登录密码;所述用户名为所述全局唯一标识;
所述物联网设备发送的接入请求中还包括所述物联网设备的待认证登录信息;所述方法还包括:
根据存储的所述物联网设备的登录信息对所述待认证登录信息进行身份验证;
所述允许所述物联网设备接入所述物联网平台之前,所述方法还包括:
确定所述身份验证的结果为验证通过。
在一个实施例中,所述物联网设备的用于签名的证书和私钥是受信任的认证中心证书颁发机构(Certificate Authority,CA)对所述物联网设备的身份认证后颁发的;且所述数字证书的公用名为所述物联网设备的全局唯一标识符;则所述对所述物联网设备的签名进行校验,包括:
根据所述物联网设备的所述全局唯一标识符获取所述物联网设备的数字证书的公钥;
根据获取的所述数字证书的公钥对所述物联网设备的签名进行校验;所述签名是所述物联网设备利用所述数字证书的私钥对所述物联网设备的全局唯一标识符以及所述待认证登录信息进行加密得到的;
在确定签名校验通过后,执行所述根据存储的所述物联网设备的登录信息对所述待认证登录信息进行身份验证的步骤。
在一个实施例中,所述基于预先存储的所述物联网设备的全局唯一标识对所述待校验全局唯一标识进行校验,包括:
确定物联网平台的已接入物联网设备的全局唯一标识集合中是否包括所述物联网设备的所述全局唯一标识;
若所述全局唯一标识集合中包括所述物联网设备的所述全局唯一标识,则确定校验失败,否则,确定校验通过。
在一个实施例中,所述对所述物联网设备进行监控之前,还包括:
为所述物联网设备分配操作行为权限,所述操作行为包括发布信息和/或读取信息;
所述对所述物联网设备进行监控,包括:
根据分配的操作行为权限,监控所述物联网设备。
在一个实施例中,所述若根据监控分析结果确定所述物联网设备存在异常时,对所述物联网设备进行相应异常处理操作,包括:
若根据监控分析结果确定所述物联网设备存在异常时,则输出告警信息;
基于所述告警信息重新配置所述操作行为权限为禁止操作;和/或,
基于所述告警信息断开与所述物联网设备的连接。
第二方面,本申请实施例提供一种物联网设备控制方法,所述方法包括:
发送接入请求给物联网平台,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份;
当接收到所述物联网平台发送的允许接入的消息后,接入所述物联网平台,所述消息是所述物联网平台在确定所述待校验全局唯一标识校验通过且所述物联网设备的签名校验通过后发送的,且所述物联网平台用于对接入的物联网设备进行监控。
在一个实施例中,所述接入请求中还包括述物联网设备的待认证登录信息,所述待认证登录信息是所述物联网平台根据所述物联网设备的所述全局唯一标识为所述物联网设备创建的;
所述物联网设备的用于签名的证书和私钥是受信任的认证中心CA对所述物联网设备的身份认证后颁发的;且所述数字证书的公用名为所述物联网设备的全局唯一标识符;
生成所述签名包括:
利用所述数字证书的私钥对所述物联网设备的全局唯一标识符以及所述待认证登录信息进行加密得到所述签名。
第三方面,本申请实施例提供一种物联网设备控制装置,所述装置包括:
接收模块,用于接收所述物联网设备发送的接入请求,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份;
校验模块,用于基于预先存储的所述物联网设备的全局唯一标识对所述待校验全局唯一标识进行校验,并对所述物联网设备的签名进行校验;
接入模块,用于若所述待校验全局唯一标识校验通过,且所述物联网设备的签名校验通过,则发送允许接入的消息给所述物联网设备;
监控模块,用于对所述物联网设备进行监控,得到监控分析结果;
确定模块,用于若根据监控分析结果确定所述物联网设备存在异常时,对所述物联网设备进行相应异常处理操作。
在一个实施例中,还包括:全局唯一标识生成模块,用于通过所述物联网设备提供的标识获取接口,获取所述物联网设备的第一设备标识作为所述物理标识;
若所述第一设备标识获取失败,则根据所述物联网设备的设备说明中的存储位置标识,从所述物联网设备的所述存储位置标识对应的存储空间中获取所述物联网设备的第二设备标识作为所述物理标识;
若所述第二设备标识获取失败,则生成所述物联网设备的虚拟物理标识作为所述物理标识;
根据所述物理标识,生成所述物联网设备的全局唯一标识,其中,所述物理标识与所述全局唯一标识一一对应。
在一个实施例中,还包括:记录模块用于记录所述物理标识的获取方式,其中所述获取方式包括:来源于标识获取接口,来源于设备说明以及来源于虚拟物理标识;
所述监控模块具体用于:从所述物联网平台的数据库中查询所述物联网设备的所述物理标识的获取方式;
若所述获取方式为来源于标识获取接口,则采用第一监控规则对所述物联网设备进行监控;
若所述获取方式为来源于设备说明,则采用第二监控规则对所述物联网设备进行监控;
若所述获取方式为来源于虚拟物理标识,则采用第三监控规则对所述物联网设备进行监控;
其中,所述第三监控规则、所述第二监控规则以及所述第一监控规则的监控力度依次变小;
其中,随着监控力度的增加,物联网设备被判断为异常的概率越大。
在一个实施例中,所述装置还包括:创建模块,用于根据所述物联网设备的所述全局唯一标识,为所述物联网设备创建登录信息并存储,所述登录信息中包括用户名及其对应的登录密码;所述用户名为所述全局唯一标识;
所述物联网设备发送的接入请求中还包括所述物联网设备的待认证登录信息;所述装置还包括:存储模块,用于根据存储的所述物联网设备的登录信息对所述待认证登录信息进行身份验证;
所述允许所述物联网设备接入所述物联网平台之前,所述方法还包括:
确定所述身份验证的结果为验证通过。
在一个实施例中,所述物联网设备的用于签名的证书和公钥是受信任的认证中心CA对所述物联网设备的身份认证后颁发的;且所述数字证书的公用名为所述物联网设备的全局唯一标识符;则所述监控模块,具体用于:
根据所述物联网设备的所述全局唯一标识符获取所述物联网设备的数字证书的公钥;
根据获取的所述数字证书的公钥对所述物联网设备的签名进行校验;所述签名是所述物联网设备利用所述数字证书的私钥对所述物联网设备的全局唯一标识符以及所述待认证登录信息进行加密得到的;
在确定签名校验通过后,执行所述根据存储的所述物联网设备的登录信息对所述待认证登录信息进行身份验证的步骤。
在一个实施例中,所述装置还包括:分配模块,用于为所述物联网设备分配操作行为权限,所述操作行为包括发布信息和/或读取信息;
所述对所述物联网设备进行监控,包括:
根据分配的操作行为权限,监控所述物联网设备。
第四方面,本申请实施例提供一种物联网设备控制装置,所述装置包括:
发送模块,用于发送接入请求给物联网平台,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份;
接入模块,用于当接收到所述物联网平台发送的允许接入的消息后,接入所述物联网平台,所述消息是所述物联网平台在确定所述待校验全局唯一标识校验通过且所述物联网设备的签名校验通过后发送的,且所述物联网平台用于对接入的物联网设备进行监控。
第五方面,本申请实施例还提供一种计算设备,包括:
存储器以及处理器;
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序第一方面或第二方面任一项所述的物联网设备控制方法。
第六方面,本申请实施例还提供一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行本申请实施例中的任一物联网设备控制方法。
本申请实施例提供的一种物联网设备控制方法、装置以及计算设备、存储介质,包括:首先接收物联网设备发送的接入请求,接入请求中包括物联网设备的待校验全局唯一标识以及物联网设备的签名,其中,待校验全局唯一标识用于标识物联网设备在物联网平台中的唯一身份,然后基于预先存储的物联网设备的全局唯一标识对待校验全局唯一标识进行校验,并对物联网设备的签名进行校验,之后若待校验全局唯一标识校验通过,且物联网设备的签名校验通过,则发送允许接入的消息给物联网设备,并对物联网设备进行监控,得到监控分析结果,最后若根据监控分析结果确定物联网设备存在异常时,对物联网设备进行相应异常处理操作。该方式控制物联网设备更加安全可靠,且该方式中在物联网设备接入物联网平台进行身份认证,在物联网设备接入物联网平台后对物联网设备的运行状况进行监控,基于此使得物联网平台对接入该物联网平台的物联网设备控制更加严格,使得物联网平台更加安全。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种物联网设备控制方法的应用场景示意图;
图2为本申请实施例提供的数字安全凭据生成方法的流程示意图;
图3为本申请实施例提供的一种物联网设备控制方法的流程示意图;
图4为本申请实施例提供的权限配置方法的流程示意图;
图5为本申请实施例提供的监控方法的流程示意图;
图6为本申请实施例提供的一种物联网设备控制方法的流程图;
图7为本申请实施例提供的物联网设备接入物联网平台的参数调整示意图;
图8为本申请实施例提供的一种物联网设备控制装置的结构示意图:
图9为本申请实施例提供的一种物联网设备控制装置的结构示意图:
图10为本申请实施例提供一种计算设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为***、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“***”。
基于物联网的应用给人们的生活带来极大的方便,如:用户在公司上班可操作打开家中的空调、路灯可根据环境的变化自动开启和关闭等。但是发明人发现针对如此庞大的一个万物互联的异构网络,如何保证接入物联网平台设备是安全的,亦或如何确保物联网平台不会因为黑客或者不法分子某些行为造成机密数据泄露以及恶意攻击而导致网络工作出现异常。因此对物联网设备的控制非常必要,且必须要尽力对用户接入到物联网的设备进行安全接入控制以及接入后的监控行为权限控制,使得合法身份的设备才可以接入并能够得到有效的监控。即便出现物联网设备的身份信息被窃取导致非法接入物联网平台,也可以通过监控来发现异常工作的物联网设备,通过该方式对其异常设备连接进行剔除以确保物联网平台的正常运行。该方案实现了接入前通过多重安全凭据的认证,提高接入认证的准确性,提高非法设备接入成本,并实现事后的监控处理,实现及时发现异常物联网设备,并对其进行相关的控制。
参阅图1为本申请实施例提供的一种物联网设备控制方法的应用场景示意图,包括:物联网设备10以及物联网平台11。其中物联网设备10与物联网平台11之间可通过通信网络连接,所述通信网络包括:无线通信网络以及有线通信网络。其中,物联网设备10包括多个智能设备,分别为智能设备1、智能设备2、智能设备3、智能设备4以及智能设备X,智能设备均属于物联网设备,物联网平台中设置有接入子***、监控子***、剔除管控***、安全控制中心。
其中,所述接入子***用于对物联网设备10的设备身份进行验证;所述监控子***用于监控接入物联网平台11的物联网设备10的操作行为,物联网设备,在物联网平台上主要进行数据发布操作,或者数据订阅操作,极少数是物联网设备的Topic既可以用作发布也可以用作订阅,针对物联网设备在相应Topic上有异常报文,或者异常频次的操作,物联网平台都给予报警提醒;所述剔除管控***用于对操作行为异常的物联网设备限制操作行为或拒绝接入该操作行为异常的物联网设备;所述安全控制中心可以获取物联网设备接入物联网平台的状况以及剔除管控***对物联网设备的管理状况,可对物联网平台进行全局管理。该物联网设备10在接入物联网平台11时,需要进行身份认证,当其身份认证通过后,可接入物联网平台,物联网平台会对接入的物联网设备进行监控,当发现物联网设备存在异常时,若物联网设备还未接入物联网平台则禁止物联网设备接入物联网平台,或者若物联网设备已接入物联网平台则限制物联网设备的行为甚至从物联网平台中剔除该物联网设备,以便保护整个物联网平台的安全。
需要说明的是,参照图2为物联网设备创建安全凭据,待接入物联网平台的物联网设备初次发出接入请求给物联网平台之后,物联网平台要获取物联网设备的物理标识,该物理标识用于标识物理设备的身份,如:物理地址(Media Access Control Address,MAC)地址、设备编号等,基于获取的物联网设备的物理标识生成全局唯一标识构建第一组数字安全凭据信息。采用全局唯一标识能够实现对异构网络的物联网设备采用统一的命名方式,且该全局唯一标识是物联网平台生成的,非法设备无法得知,也即,物联网设备即使能够仿冒其他物联网设备的物理标识如MAC地址,其也难以获得全局唯一标识,使得后续采用全局唯一标识对物联网设备进行认证时,能够通过全局唯一标识有效的识别出一些非法接入的物联网设备。
此外,作为安全凭据的还包括签名认证的证书。物联网平台可采用第三方受信任的机构为物联网设备颁发证书并从该机构获取证书公钥以便于进行签名校验。此外,物联网平台也可以支持构建证书。例如物联网平台可支持多种证书构建的方式,此时物联网平台可先确定物联网平台支持的加密算法类型,如:是否支持RSA算法(一种非对称加密算法,RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。RSA就是他们三人姓氏开头字母拼在一起组成的。)亦或是否支持椭圆曲线密码学(Elliptic curve cryptography,ECC)算法,图2中以是否支持RSA加密算法为例进行说明,若是,则基于X.509规范(密码学里公钥证书的格式标准)利用RSA构造设备证书,若否,则基于X.509规范利用ECC构造设备证书,该设备证书均通过CA签发。并将全局唯一标识作为证书的公用名common name,通过该方式可保障每个设备都有自己唯一的证书,保障证书不被错用;接入子***上安全套接层(Secure Sockets Layer,SSL)认证配置为双向认证,确保设备证书得到校验,基于此构建第二组数字安全凭据信息。在创建数字安全凭据信息是,可执行如下步骤:
步骤201:启动安全控制中心。
步骤202:为待接入物联网平台的物联网设备创建全局唯一标识;
步骤203:确定物联网平台是否支持RSA算法进行加密;若是,执行步骤204;若否,执行步骤205。
步骤204:基于X.509规范利用RSA构造设备证书。在执行了步骤204后,执行步骤206。
步骤205:基于X.509规范利用ECC构造设备证书。在执行了步骤205后,执行步骤206。
步骤206:将全局唯一标识作为设备证书的common name。
步骤207:为物联网设备配置用户名和密码。
步骤208:将安全凭据信息发送给待接入物联网平台的物联网设备。
将全局唯一标识作为username用户名,并基于SHA256算法,结合物理标识和加密算法,创建密码,基于此构建第三组数字安全凭据信息,即物联网设备接入物联网所需的用户名和密码。
综上所述,物联网设备接入物联网平台需要三组数字安全凭据信息,包括:
1、物联网平台生成的全局唯一标识;
2、物联网设备的证书,用于进行签名校验;
3、物联网设备接入物联网平台所需要的用户名和密码。
进一步的,物联网设备和物联网平台为了通信安全,可以采用密文传输双方通信的内容。实施时,上述三组数字安全凭据信息,在物联网平台接入子***和物联网设备之间基于约定的非对称加密算法,在物联网平台侧用私钥进行加密,物联网设备侧使用安全凭据信息前基于公钥进行解密,确保上述数字安全凭据不被窃取。如前文所述,物联网平台分配给物联网设备的数字安全凭据信息包括:基于X.509规范的CA根证书(由该CA签发),设备证书及对应私钥,设备用户名和密码。
需要说明的是,物联网设备的全局唯一标识是基于物联网设备的物理标识生成的,该物理标识用于表示物联网设备自身的标识例如MAC地址。物联网设备的物理标识来源可不同,可通过以下三种方式获取物联网设备的物理标识:
方式一:物联网设备提供的标识获取接口,获取物联网设备的第一设备标识作为所述物理标识。
方式二:若物联网设备未提供标识获取接口,则根据物联网设备的设备说明中的存储位置标识,从物联网设备的存储位置标识对应的存储空间中获取物联网设备的第二设备标识作为所述物理标识。
方式三:若第二设备标识获取失败,则生成物联网设备的虚拟物理标识作为所述物理标识,如:通过虚拟物理标识123作为物联网设备1的物理标识。
通过上述三种方式获取的物理标识涉及的物联网设备更加广泛,以使更多的设备有机会加入到物联网平台中。
进一步地,基于上述三种方式获取的物理标识,可生成物联网设备的全局唯一标识,其中,物理标识和全局唯一标识一一对应。全局唯一标识为登录物联网平台的设置的同一信息格式的标识,用于登录物联网平台进行身份认证。可将物理标识的来源、物理标识以及全局唯一标识存储在一个数据库中,以便于物联网平台调用处理。
物联网平台和物联网设备可以预先约定通信隧道的密钥,可设置为同样的密钥,还可以物联网平台和物联网设备具有各自的公私钥,可交换双方数据传输的公钥,当物联网设备向物联网平台发布消息时,物联网设备通过物联网平台的公钥解密通信隧道,向物联网平台发布消息;当物联网设备向物联网平台订阅消息时,物联网平台通过物联网设备的公钥解密通信隧道,平台向物联网设备发布消息。
此外,还可以设置随机验证码,在物联网设备每次登录物联网平台时均会变化。
基于已经创建好安全凭据信息的物联网设备,可通过图3所示的物联网设备的控制方法的流程示意图,应用于物联网平台,可执行为:
步骤301:接收所述物联网设备发送的接入请求,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份。
步骤302:基于预先存储的所述物联网设备的全局唯一标识对所述待校验全局唯一标识进行校验,并对所述物联网设备的签名进行校验;若校验通过,执行步骤303;若所述待校验全局唯一标识校验通过,且所述物联网设备的签名校验通过,执行步骤304;若所述待校验全局唯一标识以及所述物联网设备的签名有至少一项未校验通过,则执行步骤305。
在一个实施例中,物联网平台根据所述物联网设备的所述全局唯一标识,为所述物联网设备创建登录信息并存储,所述登录信息中包括用户名及其对应的登录密码;所述用户名为所述全局唯一标识;所述物联网设备发送的接入请求中还包括所述物联网设备的待认证登录信息;可根据存储的所述物联网设备的登录信息对所述待认证登录信息进行身份验证;当确定身份认证通过,则确定所述身份验证的结果为验证通过。
即物联网设备的用户名和密码验证通过,则确认物联网设备的身份认证通过,则可接入物联网平台。如:物联网平台记录的物联网设备的用户名为1@3¥%678,密码为1234556,若物联网设备登录物联网平台采用用户名1@3¥%678,密码为1134556,则身份认证不通过。在实际操作时,若用户名输入准确,可设置密码错误允许次数为预设次数,如为3次,当物联网设备发送的用户名正确,在密码输入3次正确即可,当时当物联网设备发送给物联网平台的用户名不准确的情况下,无论密码是否正确,均认定身份认证不通过。
在一个实施例中,物联网设备的用于签名的证书和私钥是受信任的认证中心CA对所述物联网设备的身份认证后颁发的;且所述数字证书的公用名为所述物联网设备的全局唯一标识符;可通过如下步骤对所述物联网设备的签名进行校验,包括:
步骤A1:根据所述物联网设备的所述全局唯一标识符获取所述物联网设备的数字证书的公钥。
步骤A2:根据获取的所述数字证书的公钥对所述物联网设备的签名进行校验;所述签名是所述物联网设备利用所述数字证书的私钥对所述物联网设备的全局唯一标识符以及所述待认证登录信息进行加密得到的。
基于上述待认证信息为用户名和密码,可知,物联网设备的签名中包括以下信息:全局唯一标识符、用户名以及密码。通过数据证书的公钥对物联网设备的签名进行解密,可获取签名中的信息。
步骤A3:在确定签名校验通过后,执行所述根据存储的所述物联网设备的登录信息对所述待认证登录信息进行身份验证的步骤。
通过该方式对物联网设备的签名验证后在对其身份进行验证,即接入物联网平台的设备需要经过层层认证,故而使得接入物联网平台的设备更加安全。
在一个实施例中,可先确定物联网平台的已接入物联网设备的全局唯一标识集合中是否包括所述物联网设备的所述全局唯一标识;若所述全局唯一标识集合中包括所述物联网设备的所述全局唯一标识,则确定校验失败,否则,确定校验通过。
需要说明的是,若物联网设备的身份已经认证通过,则有不法分子冒充该物联网设备的全局唯一标识是不能登录物联网平台,由于物联网设备已经在平台中,且正常工作的情况下,不会存在再次接入物联网平台的情况。
通过该方式有效的阻止部分不法的身份的物联网设备登录物联网平台。
步骤303:发送允许接入的消息给所述物联网设备,并继续执行步骤305。
步骤304:不发送允许接入的消息给所述物联网设备。
步骤305:对所述物联网设备进行监控,得到监控分析结果。
在步骤305之前,还需为物联网设备分配操作行为权限,操作行为包括发布信息和/或读取信息,并根据分配的操作行为权限,监控所述物联网设备。可参照图4所示的方法,物联网设备的操作行为需要通过配置访问控制列表(Access Control Lists,ACL)权限信息来实现。该方法步骤是在图1所示的安全控制中心完成的,ACL权限和设备身份进行关联的,即ACL管控逻辑通过用户名或者ip地址或者全局唯一标识三元组进行锁定ACL的权限,三元组信息,必须至少一项且不为Null,三元组数据起到身份过滤锁定作用,越全面锁定设备范围越准确,范围越小。基于锁定的ACL执行物联网设备的操作行为的配置操作。为待接入物联网设备配置ACL权限信息,待接入物联网平台的物联网设备,需要在平台上为其配置相应的主题Topic,此设备在对应的Topic上具有相应的订阅/发布权限;权限控制分允许和拒绝;在允许的权限下,针对每个Topic进行细分控制其订阅,发布以及发布订阅权限,可执行:
步骤401:将物联网设备连接到物联网平台的接入子***。
步骤402:基于物联网设备的全局唯一标识、用户名或者IP地址锁定ACL进行信息配置。
步骤403:确定ACL是否锁定;若是执行步骤404;若否执行步骤405。
步骤404:确定是否允许进行配置操作行为;若是执行步骤406;若否,执行步骤405。
步骤405:拒绝操作行为。
步骤406:确定是否允许发布的操作;若是执行步骤407;若否,执行步骤408。
步骤407:执行发布操作行为的配置。
步骤408:确定是否允许订阅的操作;若是执行步骤409;若否,执行步骤410。
步骤409:执行订阅操作行为的配置。
步骤410:确定是否允许发布和订阅的操作;若是执行步骤411;若否,执行步骤405。
步骤411:执行发布和订阅操作行为的配置。
需要说明的是,物联网设备的操作行为权限可根据物联网平台读取的物联网设备的设备属性进行分配,也可以直接为物联网设备分配操作权限,如:物联网设备为智能温度传感器,由于温度计是用来记录温度,因此在物联网平台中仅仅可以发布信息;物联网设备为智能手表既可以发布信息又可以读取消息,物联网平台可限定智能手表仅可以发布消息;物联网设备为扫地机器人既可以发布消息又可以读取消息,物联网平台可设定扫地机器人既可以发布消息又可以读取消息。
在一个实施例中,从物联网平台的数据库中查询物联网设备的所述物理标识的获取方式,可通过如图5所述的方法对物联网设备进行物联网设备的控制,当接入物联网平台的物联网设备异常时,则基于异常物联网设备的全局唯一标识对物联网设备进行告警,对物联网设备进行相应异常处理操作,由于根据物联网设备的全局唯一标识可以找到物联网设备,假定物联网设备的全局唯一标识为123,该对应的物联网设备出现异常,则物联网平台可提醒123出现异常。
可执行如下步骤:
步骤501:通过接入子***对接入物联网平台的物联网设备的操作行为进行监听。
步骤502:确定全局唯一标识是否来源于方式一,若是,执行步骤503;若否,执行步骤504。
步骤503:采用第一监控规则进行监听物联网设备的操作行为。
步骤504:确定全局唯一标识是否来源为方式二,若是,执行步骤505;若夫,执行步骤506。
步骤505:采用第二监控规则进行监听物联网设备的操作行为。
步骤506:确定全局唯一标识是否来源于方式三,若是,执行步骤507;若否,执行步骤508。
步骤507:采用第三监控规则进行监听物联网设备的操作行为。
步骤508:禁止物联网设备接入物联网平台。
步骤509:确定物联网设备操作行为是否存在异常,若是,执行步骤510,若否,执行步骤508。
步骤510:发布携带存在异常行为的物联网设备的全局唯一标识的警告信息。
步骤511:重新配置ACL的权限信息。
需要说明的是,在执行步骤511后,还可以继续执行步骤508,以保证物联网平台的安全。
若所述获取方式为来源于方式一的标识获取接口,则采用第一监控规则对所述物联网设备进行监控。若所述获取方式二为来源于设备说明,则采用第二监控规则对所述物联网设备进行监控。若所述获取方式三为来源于虚拟物理标识,则采用第三监控规则对所述物联网设备进行监控。
其中,所述第三监控规则、所述第二监控规则以及所述第一监控规则的监控力度依次变小;随着监控力度的增加,物联网设备被判断为异常的概率越大。需要说明是,基于标识获取接口获取的物理标识、基于设备说明获取的物理标识以及基于虚拟物理标识获取的物理标识的可靠性依次降低,因此监控力度依次增强,也即设备越可信其监控力度越小,以便于加到对不可信设备的监控力度。如:针对方式三获取的物理标识在采用第三监控规则时,设置监控力度为每分钟监控1次;针对方式二获取的物理标识在采用第二监控规则时,设置监控力度为每15分钟监控1次;针对方式一获取的物理标识在采用第一监控规则时,设置监控力度为每30分钟监控1次。其他方式的监控规则均适用于本申请,只有满足上述要求即可。
在一个实施例中,第一监控规则,第二监控规则以及第三监控规则中包括以下规则中的至少一种:
规则1:信息统计周期长度及同一统计周期内被判定为异常时发送的最少信息数量。需要说明的是,若信息统计周期为一周,一周内判定信息异常若采用第一监控规进行监控,发送100条消息允许出现错误信息的条数为小于等于10,若有2条信息异常,则认为该联网设备正常,若采用第三监控规则进行监控发送100条消息允许出现错误信息的条数为小于等于1,若有2条信息异常则判定物联网设备出现异常。
规则2:物联网设备发送的正常信息的格式和/或内容。如:规定智能温度传感器发送的信息的格式为数字+摄氏度,智能温度传感器若发送的信息格式为英文字母+厘米则确定信息格式错误,亦或者物联网平台规定智能显示屏只能显示的内容为:欢迎,但是智能显示屏实际显示内容为:高兴,则确定物联网设备发送的信息内容异常。亦或者物联网平台规定智能显示屏显示信息的格式为字符内容为:I LOVE YOU,但是智能显示屏在实际显示时显示:我爱你,信息格式和内容均不符合规定。
规则3:允许的操作行为。如:物联网设备可以发布消息又可以订阅消息,但是在物联网平台规定接入物联网平台的该物联网设备仅可以发布消息,但是该物联网设备订阅消息,则确定该物联网设备出现异常。
步骤306:基于所述监控分析结果对所述物联网设备是否存在异常进行判断,若所述物联网设备存在异常,则执行步骤307,若所述物联网设备不存在异常,则执行步骤308。
步骤307:对所述物联网设备进行相应异常处理操作。
步骤308:不对所述物联网设备进行相应异常处理操作。
在一个实施中,若根据监控分析结果确定所述物联网设备存在异常时,则输出告警信息;基于所述告警信息重新配置所述操作行为权限为禁止操作;和/或,基于所述告警信息断开与所述物联网设备的连接。
需要说明的是,若物联网设备在物联网平台的操作行为出现异常,可限制物联网设备接入物联网平台,也可以限制物联网设备的操作行为权限,如:物联网设备的操作权限为发布消息,可限制物联网设备读取消息。通过该方式管控物联网平台,可以在物联网设备接入平台后,监控物联网设备的操作行为,在物联网设备操作行为出现异常时,及时管控物联网设备,该方式进一步地保证了物联网平台的安全。
本申请实施例提供一种物联网设备的控制方法如图6所示,该方法应用于物联网设备,可先执行步骤601:发送接入请求给物联网平台,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份。
步骤602:当接收到所述物联网平台发送的允许接入的消息后,接入所述物联网平台,所述消息是所述物联网平台在确定所述待校验全局唯一标识校验通过且所述物联网设备的签名校验通过后发送的,且所述物联网平台用于对接入的物联网设备进行监控。
在一个实施例中,所述接入请求中还包括所述物联网设备的待认证登录信息,所述待认证登录信息是所述物联网平台根据所述物联网设备的所述全局唯一标识为所述物联网设备创建的。
所述物联网设备的用于签名的证书和私钥是受信任的认证中心CA对所述物联网设备的身份认证后颁发的;且所述数字证书的公用名为所述物联网设备的全局唯一标识符,之后利用所述数字证书的私钥对所述物联网设备的全局唯一标识符以及所述待认证登录信息进行加密得到所述签名。
通过该方式可确保登录物联网平台的物联网设备信息是安全可靠的。
参阅图7,假定物联网设备的物理标识为MAC地址为:00:50:56:8b:90:8b,基于分布式全局唯一标识生成器为此待接入物联网设备创建全局唯一标识g0yeqg8xbeo,此全局唯一标识和该设备的物理标识信息MAC00:50:56:8b:90:8b绑定映射关系,之后通过物联网平台为物联网设备创建数字安全凭据信息,包括:全局唯一标识、设备证书、设备私钥以及用户名和密码。设备是基于(macuser,Null,g0yeqg8xbeo)三元组信息锁定对应的许可权限permit和right,其中,所述permit相当于一个控制开关,用于控制物联网设备的接入权限,是1表示允许配置操作,0表示不允许配置操作。Right用于指示在物联网设备允许配置的前提条件下,允许的操作行为,其中,pub表示发布操作,sub表示订阅操作,pubsub表示既可以进行发布也可以进行订阅。图7中示出的物联网设备可执行发布操作,所有权限体现在对topic的操作上。
针对次此设备选择第二监控规则,若此设备在topic为iot/+/typeX/actionY主题上有异常数据上报,例如上报数据的频率不符合该物理设备原本的频率,或者数据报文大小不符合要求等自定义规则,持续一段时间监控模块即触发告警信息,运维管理人员接收到告警后,运维人员即可以修改ACL(权限控制列表),限制该设备的行为权限,采取对该接入物联网设备的连接进行剔除操作,防止物联网平台受到侵害。
本申请提供的物联网设备控制方法,从接入设备身份认证到接入后基于监控和剔除管控手段,实现设备入网前后全流程安全管控。接入设备物理标识信息获取手段多样,支持从严格到宽松多样获取方式,基于芯片固化的或者类似的基于应用程序接口(Application Programming Interface,API)方式获取,也支持基于设备说明信息提供的能够唯一标识物理身份标识的,也可以是来自于平台给定的虚拟物理标识信息。对应每一种物理标识信息获取方式,基于规则配置监控策略,越严格的物理信息获取途径,对应的监控方式相对可以宽松,即便出现安全隐患,异常监控后,也可以采取连接剔除操作,保障物联网平台不受侵害。
参阅图8为本申请实施例提供的一种物联网设备控制装置,包括:接收模块80、校验模块81、接入模块82、监控模块83以及确定模块84。
接收模块80,用于接收所述物联网设备发送的接入请求,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份;
校验模块81,用于基于预先存储的所述物联网设备的全局唯一标识对所述待校验全局唯一标识进行校验,并对所述物联网设备的签名进行校验;
接入模块82,用于若所述待校验全局唯一标识校验通过,且所述物联网设备的签名校验通过,则发送允许接入的消息给所述物联网设备;
监控模块83,用于对所述物联网设备进行监控,得到监控分析结果;
确定模块84,用于若根据监控分析结果确定所述物联网设备存在异常时,对所述物联网设备进行相应异常处理操作。
在一个实施例中,还包括:全局唯一标识生成模块,用于通过所述物联网设备提供的标识获取接口,获取所述物联网设备的第一设备标识作为所述物理标识;
若所述第一设备标识获取失败,则根据所述物联网设备的设备说明中的存储位置标识,从所述物联网设备的所述存储位置标识对应的存储空间中获取所述物联网设备的第二设备标识作为所述物理标识;
若所述第二设备标识获取失败,则生成所述物联网设备的虚拟物理标识作为所述物理标识;
根据所述物理标识,生成所述物联网设备的全局唯一标识,其中,所述物理标识与所述全局唯一标识一一对应。
在一个实施例中,还包括:记录模块用于记录所述物理标识的获取方式,其中所述获取方式包括:来源于标识获取接口,来源于设备说明以及来源于虚拟物理标识;
所述监控模块具体用于:从所述物联网平台的数据库中查询所述物联网设备的所述物理标识的获取方式;
若所述获取方式为来源于标识获取接口,则采用第一监控规则对所述物联网设备进行监控;
若所述获取方式为来源于设备说明,则采用第二监控规则对所述物联网设备进行监控;
若所述获取方式为来源于虚拟物理标识,则采用第三监控规则对所述物联网设备进行监控;
其中,所述第三监控规则、所述第二监控规则以及所述第一监控规则的监控力度依次变小;
其中,随着监控力度的增加,物联网设备被判断为异常的概率越大。
在一个实施例中,所述装置还包括:创建模块,用于根据所述物联网设备的所述全局唯一标识,为所述物联网设备创建登录信息并存储,所述登录信息中包括用户名及其对应的登录密码;所述用户名为所述全局唯一标识;
所述物联网设备发送的接入请求中还包括所述物联网设备的待认证登录信息;所述装置还包括:存储模块,用于根据存储的所述物联网设备的登录信息对所述待认证登录信息进行身份验证;
所述允许所述物联网设备接入所述物联网平台之前,所述方法还包括:
确定所述身份验证的结果为验证通过。
在一个实施例中,所述物联网设备的用于签名的证书和私钥是受信任的认证中心CA对所述物联网设备的身份认证后颁发的;且所述数字证书的公用名为所述物联网设备的全局唯一标识符;则所述监控模块,具体用于:
根据所述物联网设备的所述全局唯一标识符获取所述物联网设备的数字证书的公钥;
根据获取的所述数字证书的公钥对所述物联网设备的签名进行校验;所述签名是所述物联网设备利用所述数字证书的私钥对所述物联网设备的全局唯一标识符以及所述待认证登录信息进行加密得到的;
在确定签名校验通过后,执行所述根据存储的所述物联网设备的登录信息对所述待认证登录信息进行身份验证的步骤。
在一个实施例中,所述装置还包括:分配模块,用于为所述物联网设备分配操作行为权限,所述操作行为包括发布信息和/或读取信息;
所述对所述物联网设备进行监控,包括:
根据分配的操作行为权限,监控所述物联网设备。
参阅图9为本申请实施例提供的一种物联网设备控制装置,所述装置包括:发送模块90以及接入模块91。
发送模块90,用于发送接入请求给物联网平台,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份;
接入模块91,用于当接收到所述物联网平台发送的允许接入的消息后,接入所述物联网平台,所述消息是所述物联网平台在确定所述待校验全局唯一标识校验通过且所述物联网设备的签名校验通过后发送的,且所述物联网平台用于对接入的物联网设备进行监控。
在一些可能的实施方式中,根据本申请的计算设备可以至少包括至少一个处理器、以及至少一个存储器。其中,存储器存储有计算机程序,当计算机程序被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的终端的物联网设备控制方法中的步骤。例如,处理器可以执行如图3所示的步骤301-步骤308或如图6中所示的步骤601-步骤602。
下面参照图10来描述根据本申请的这种实施方式的计算设备130。图10显示的计算设备130仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图10所示,计算设备130以通用计算装置的形式表现。计算设备130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同***组件(包括存储器132和处理器131)的总线133。
总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、***总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(ROM)1323。
存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算设备130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,和/或与使得该计算设备130能与一个或多个其它计算装置进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口135进行。并且,计算设备130还可以通过网络适配器136与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于计算设备130的其它模块通信。应当理解,尽管图中未示出,可以结合计算设备130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
在一些可能的实施方式中,本申请提供的终端的物联网设备控制方法的各个方面还可以实现为一种程序产品的形式,其包括计算机程序,当程序产品在计算机设备上运行时,计算机程序用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的终端的物联网设备控制方法中的步骤,例如,计算机设备可以执行如图3所示的步骤301-步骤308或如图6中所示的步骤601-步骤602。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的用于参数处理的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括计算机程序,并可以在计算装置上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读计算机程序。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的计算机程序可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的计算机程序,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。计算机程序可以完全地在目标对象计算装置上执行、部分地在目标对象设备上执行、作为一个独立的软件包执行、部分在目标对象计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。在涉及远程计算装置的情形中,远程计算装置可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到目标对象计算装置,或者,可以连接到外部计算装置(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用计算机程序的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (9)
1.一种物联网设备控制方法,其特征在于,应用于物联网平台,所述方法包括:
接收所述物联网设备发送的接入请求,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份;
基于预先存储的所述物联网设备的全局唯一标识对所述待校验全局唯一标识进行校验,并对所述物联网设备的签名进行校验;
若所述待校验全局唯一标识校验通过,且所述物联网设备的签名校验通过,则发送允许接入的消息给所述物联网设备;并,
对所述物联网设备进行监控,得到监控分析结果;
若根据监控分析结果确定所述物联网设备存在异常时,对所述物联网设备进行相应异常处理操作;
所述方法还包括,根据以下方法生成所述全局唯一标识:
通过所述物联网设备提供的标识获取接口,获取所述物联网设备的第一设备标识作为物理标识;
若所述第一设备标识获取失败,则根据所述物联网设备的设备说明中的存储位置标识,从所述物联网设备的所述存储位置标识对应的存储空间中获取所述物联网设备的第二设备标识作为所述物理标识;
若所述第二设备标识获取失败,则生成所述物联网设备的虚拟物理标识作为所述物理标识;
根据所述物理标识,生成所述物联网设备的全局唯一标识,其中,所述物理标识与所述全局唯一标识一一对应。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
记录所述物理标识的获取方式,其中所述获取方式包括:来源于标识获取接口,来源于设备说明以及来源于虚拟物理标识;
所述对所述物联网设备进行监控,包括:
从所述物联网平台的数据库中查询所述物联网设备的所述物理标识的获取方式;
若所述获取方式为来源于标识获取接口,则采用第一监控规则对所述物联网设备进行监控;
若所述获取方式为来源于设备说明,则采用第二监控规则对所述物联网设备进行监控;
若所述获取方式为来源于虚拟物理标识,则采用第三监控规则对所述物联网设备进行监控;
其中,所述第三监控规则、所述第二监控规则以及所述第一监控规则的监控力度依次变小;
其中,随着监控力度的增加,物联网设备被判断为异常的概率越大。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述物联网设备的所述全局唯一标识,为所述物联网设备创建登录信息并存储,所述登录信息中包括用户名及其对应的登录密码;所述用户名为所述全局唯一标识;
所述物联网设备发送的接入请求中还包括所述物联网设备的待认证登录信息;所述方法还包括:
根据存储的所述物联网设备的登录信息对所述待认证登录信息进行身份验证;
所述允许所述物联网设备接入所述物联网平台之前,所述方法还包括:
确定所述身份验证的结果为验证通过。
4.根据权利要求3所述的方法,其特征在于,所述物联网设备的用于签名的数字证书和私钥是受信任的认证中心CA对所述物联网设备的身份认证后颁发的;且所述数字证书的公用名为所述物联网设备的全局唯一标识符;则所述对所述物联网设备的签名进行校验,包括:
根据所述物联网设备的所述全局唯一标识符获取所述物联网设备的数字证书的公钥;
根据获取的所述数字证书的公钥对所述物联网设备的签名进行校验;所述签名是所述物联网设备利用所述数字证书的私钥对所述物联网设备的全局唯一标识符以及所述待认证登录信息进行加密得到的;
在确定签名校验通过后,执行所述根据存储的所述物联网设备的登录信息对所述待认证登录信息进行身份验证的步骤。
5.根据权利要求1所述的方法,其特征在于,所述对所述物联网设备进行监控之前,还包括:
为所述物联网设备分配操作行为权限,所述操作行为包括发布信息和/或读取信息;
所述对所述物联网设备进行监控,包括:
根据分配的操作行为权限,监控所述物联网设备。
6.一种物联网设备控制方法,其特征在于,应用于物联网设备,所述方法包括:
发送接入请求给物联网平台,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份;
当接收到所述物联网平台发送的允许接入的消息后,接入所述物联网平台,所述消息是所述物联网平台在确定所述待校验全局唯一标识校验通过且所述物联网设备的签名校验通过后发送的,且所述物联网平台用于对接入的物联网设备进行监控;
所述物联网平台中存储有所述物联网设备的全局唯一标识,所述物联网设备的全局唯一标识是所述物联网平台根据以下方法生成的:
通过所述物联网设备提供的标识获取接口,获取所述物联网设备的第一设备标识作为物理标识;
若所述第一设备标识获取失败,则根据所述物联网设备的设备说明中的存储位置标识,从所述物联网设备的所述存储位置标识对应的存储空间中获取所述物联网设备的第二设备标识作为所述物理标识;
若所述第二设备标识获取失败,则生成所述物联网设备的虚拟物理标识作为所述物理标识;
根据所述物理标识,生成所述物联网设备的全局唯一标识,其中,所述物理标识与所述全局唯一标识一一对应。
7.一种物联网设备控制装置,其特征在于,所述装置包括:
接收模块,用于接收所述物联网设备发送的接入请求,所述接入请求中包括所述物联网设备的待校验全局唯一标识以及所述物联网设备的签名;所述待校验全局唯一标识用于标识所述物联网设备在物联网平台中的唯一身份;
校验模块,用于基于预先存储的所述物联网设备的全局唯一标识对所述待校验全局唯一标识进行校验,并对所述物联网设备的签名进行校验;
接入模块,用于若所述待校验全局唯一标识校验通过,且所述物联网设备的签名校验通过,则发送允许接入的消息给所述物联网设备;
监控模块,用于对所述物联网设备进行监控,得到监控分析结果;
确定模块,用于若根据监控分析结果确定所述物联网设备存在异常时,对所述物联网设备进行相应异常处理操作;
全局唯一标识生成模块,用于通过所述物联网设备提供的标识获取接口,获取所述物联网设备的第一设备标识作为物理标识;
若所述第一设备标识获取失败,则根据所述物联网设备的设备说明中的存储位置标识,从所述物联网设备的所述存储位置标识对应的存储空间中获取所述物联网设备的第二设备标识作为所述物理标识;
若所述第二设备标识获取失败,则生成所述物联网设备的虚拟物理标识作为所述物理标识;
根据所述物理标识,生成所述物联网设备的全局唯一标识,其中,所述物理标识与所述全局唯一标识一一对应。
8.一种计算设备,其特征在于,包括:存储器以及处理器;
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行权利要求1-5或6任一项所述的方法。
9.一种计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令用于执行如权利要求1-5或6中任一权利要求所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911133261.XA CN111082940B (zh) | 2019-11-19 | 2019-11-19 | 物联网设备控制方法、装置及计算设备、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911133261.XA CN111082940B (zh) | 2019-11-19 | 2019-11-19 | 物联网设备控制方法、装置及计算设备、存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111082940A CN111082940A (zh) | 2020-04-28 |
CN111082940B true CN111082940B (zh) | 2022-11-04 |
Family
ID=70311006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911133261.XA Active CN111082940B (zh) | 2019-11-19 | 2019-11-19 | 物联网设备控制方法、装置及计算设备、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111082940B (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111770100B (zh) * | 2020-06-30 | 2022-08-16 | 贵州云尚物联科技股份有限公司 | 校验外部设备安全接入物联网终端的方法及其*** |
CN111818155A (zh) * | 2020-07-07 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 基于物联网的设备控制方法、装置及计算机程序产品 |
CN112039674B (zh) * | 2020-08-06 | 2021-07-20 | 珠海格力电器股份有限公司 | 中控***访问和签名标识生成方法、装置及存储介质 |
CN112218294B (zh) * | 2020-09-08 | 2021-08-27 | 深圳市燃气集团股份有限公司 | 基于5g的物联网设备的接入方法、***及存储介质 |
CN112565233A (zh) * | 2020-11-30 | 2021-03-26 | 上海瑞眼科技有限公司 | 一种用于消防物联网接入平台的数据验证方法及*** |
CN112532458B (zh) * | 2020-12-03 | 2023-04-07 | 瀚云科技有限公司 | 一种物联网设备的协同配置方法、装置及电子设备 |
CN113452668B (zh) * | 2021-03-12 | 2022-08-09 | 深圳市百佳华网络科技有限公司 | 物联网终端接入监控方法、计算机程序及存储介质 |
CN113240553A (zh) * | 2021-05-08 | 2021-08-10 | 广州富融信息技术有限公司 | 基于物联网的物管监控方法、装置、设备及存储介质 |
CN115460211A (zh) * | 2021-06-07 | 2022-12-09 | 中移物联网有限公司 | 一种信息交互方法及装置 |
CN113452704B (zh) * | 2021-06-28 | 2022-08-09 | 湖南天河国云科技有限公司 | 基于分布式身份标识的异构工业设备可信互联方法及装置 |
CN113556736A (zh) * | 2021-07-21 | 2021-10-26 | 元心信息科技集团有限公司 | 接入方法、服务端、待接入端、电子设备及存储介质 |
CN113595785A (zh) * | 2021-07-27 | 2021-11-02 | 创维光电科技(深圳)有限公司 | 物联网设备管理装置和方法 |
CN113900386B (zh) * | 2021-11-17 | 2022-02-25 | 北京联盛德微电子有限责任公司 | 一种物联网设备自适应联动控制方法及*** |
CN114024781B (zh) * | 2022-01-07 | 2022-03-25 | 广东电力信息科技有限公司 | 基于边缘计算的电力物联网低速稳定设备准入方法 |
CN114978776B (zh) * | 2022-07-29 | 2022-09-27 | 中诚华隆计算机技术有限公司 | 一种电力物联网终端可信数据交互方法、装置及电子设备 |
CN116032889B (zh) * | 2023-03-30 | 2023-07-21 | 新华三技术有限公司 | 一种ip地址的分配方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102801723A (zh) * | 2012-08-09 | 2012-11-28 | 福建物联天下信息科技有限公司 | 物联网接入设备及方法 |
CN105993156A (zh) * | 2015-10-23 | 2016-10-05 | 深圳还是威健康科技有限公司 | 服务器访问验证方法以及装置 |
CN109347875A (zh) * | 2018-11-29 | 2019-02-15 | 深圳力维智联技术有限公司 | 物联网设备、物联网平台及接入物联网平台的方法和*** |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9247078B2 (en) * | 2014-05-23 | 2016-01-26 | Kabushiki Kaisha Toshiba | Accessing a service cloud from a mobile device |
-
2019
- 2019-11-19 CN CN201911133261.XA patent/CN111082940B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102801723A (zh) * | 2012-08-09 | 2012-11-28 | 福建物联天下信息科技有限公司 | 物联网接入设备及方法 |
CN105993156A (zh) * | 2015-10-23 | 2016-10-05 | 深圳还是威健康科技有限公司 | 服务器访问验证方法以及装置 |
CN109347875A (zh) * | 2018-11-29 | 2019-02-15 | 深圳力维智联技术有限公司 | 物联网设备、物联网平台及接入物联网平台的方法和*** |
Also Published As
Publication number | Publication date |
---|---|
CN111082940A (zh) | 2020-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111082940B (zh) | 物联网设备控制方法、装置及计算设备、存储介质 | |
CN111201530B (zh) | 用于安全应用监测的***和方法 | |
US11036869B2 (en) | Data security with a security module | |
US7937760B2 (en) | System security agent authentication and alert distribution | |
US10211977B1 (en) | Secure management of information using a security module | |
CN109379369A (zh) | 单点登录方法、装置、服务器及存储介质 | |
CN113014539B (zh) | 一种物联网设备安全保护***及方法 | |
US9560523B2 (en) | Mobile device authentication | |
CN104756127A (zh) | 通过虚拟机进行安全数据处理 | |
CN104320389A (zh) | 一种基于云计算的融合身份保护***及方法 | |
CN109936555A (zh) | 一种基于云平台的数据存储方法、装置及*** | |
JP2019517228A (ja) | モノのインターネット(IoT)セキュリティ及び管理システム及び方法 | |
CN113132318A (zh) | 面向配电自动化***主站信息安全的主动防御方法及*** | |
CN110768963B (zh) | 一种分布式架构的可信安全管理平台 | |
CN111212077B (zh) | 主机访问***及方法 | |
CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
CN117389974A (zh) | 一种基于超融合***的文件安全共享方法 | |
US10805079B2 (en) | Method for securing an automated system | |
CN116881936A (zh) | 可信计算方法及相关设备 | |
KR20210060282A (ko) | 하드웨어 보안 모듈을 이용한 클라우드를 통한 IoT(Internet of Thing) 디바이스 인증 시스템 및 방법 | |
CN110830507A (zh) | 资源访问方法、装置、电子设备及*** | |
CN109117625B (zh) | Ai软件***安全状态的确定方法及装置 | |
CN111049657B (zh) | 一种can总线网络设备节点访问权限管理方法及*** | |
CN113282950A (zh) | 加密机的运维方法、装置、设备及*** | |
CN112769784A (zh) | 文本的处理方法和装置、计算机可读存储介质及处理器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |