物联网场景下跨域逻辑强隔离与安全访问控制方法及装置制造方法及图纸

本发明专利技术公开了一种物联网场景下跨域逻辑强隔离与安全访问控制方法及装置，其中，该方法包括：当某台物联网网关接收到身份认证请求后，该网关将此请求广播到域内的其它物联网网关上；域内的物联网网关接收到身份认证请求后，开始独立验证是否该身份认证请求是否合法；某台物联网网关得出身份认证结果后，启动分布式共识机制；域内的物联网网关通过分布式共识机制对认证结果达成共识，而后身份认证结果被写入区块存储起来，这些区块形成区块链。由此，域内的物联网网关以分布式共识机制进行访问控制，实现跨域逻辑强隔离，有效提升了物联网系统的安全性，并且身份认证结果存储在区块链中的区块上，具有公开透明和可追溯的特性。

Cross-domain Logical Strong Isolation and Secure Access Control Method and Device in the Internet of Things Scenario

【技术实现步骤摘要】
物联网场景下跨域逻辑强隔离与安全访问控制方法及装置
本专利技术涉及网络空间安全
，特别涉及一种物联网场景下跨域逻辑强隔离与安全访问控制方法及装置。
技术介绍
访问控制技术是网络空间安全领域的重要研究内容，该技术旨在防止对任何资源进行的未授权访问，确保计算机系统在合法的范围内使用。根据国际电信联盟的定义，物联网主要解决物品与物品、物品与人、人与人之间的互联。在物联网(InternetofThings)场景中，物联网节点通常算力有限，难以完成复杂的计算操作和访问控制，所以被劫持的风险很高；物联网节点数量大，如果物联网节点被劫持，黑客可以借助物联网节点在数量上的优势实施DDoS(DistributedDenialofService，分布式拒绝服务)攻击，极大危害网络安全；物联网节点与人类生活息息相关，因此物联网节点通常记录了人们的隐私数据，若被劫持，可能会造成严重的隐私泄漏。瑞士苏黎世大学的Mattern团队曾经总结了从互联网到物联网的转变过程中可能会面临的一系列安全问题,其中尤为强调了访问控制问题。因此，研究物联网场景下的访问控制机制具有重要意义。近年来，随着物联网的广泛应用，物联网场景中有大量关于访问控制方面的研究。目前，物联网中的访问控制解决方案大致从两个层面开展工作。第一，是从协议和框架(ProtocolsandFrameworks)层面入手，代表性工作包括XACML(ExtensibleAccessControlMarkupLanguage)、OAUTH(AccesscontrolsolutionsbasedonOpenAuthorizationprotocol)、UMA(User-ManagedAccess)等；第二，是从模型(Models)层面入手，代表性工作包括RBAC(Role-BasedAccessControl)、ABAC(Attribute-BasedAccessControl)、CAPBAC(Capability-basedaccesscontrol)、UCON(usagecontrol)、ORBAC(Organizational-BasedAccessControl)等。尽管这些方案从各个层面上增强了物联网系统的安全性，但是从宏观来看，在上述解决方案中，访问控制通常由单一认证节点(比如物联网网关)完成，并且通常假设这个认证节点是可信的、安全的。这导致一个问题：如果该认证节点被劫持，该域内的所有物联网设备和用户数据就处于风险之中；尽管在某些解决方案中，域内可以部署多个认证节点，但是这些认证节点之间通常互为备份，这仅为提升系统可靠性考虑，只要多个认证节点中有一个认证节点被劫持，即可极大威胁身份认证安全，并无法有效提升系统安全性。此外，尽管相对于物联网节点来说，物联网网关具备较多的计算资源，但是仍然无法支持复杂的身份认证过程，总是假设认证节点是安全的或者可信的是不现实的，所以上述采用单认证节点的访问控制方案安全性仍有提升空间。
技术实现思路
本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本专利技术的一个目的在于提出一种物联网场景下跨域逻辑强隔离与安全访问控制方法，该方法克服单认证节点方案存在的弊端，具有高安全性、透明和可追溯等特点。本专利技术的另一个目的在于提出一种物联网场景下跨域逻辑强隔离与安全访问控制装置。为达到上述目的，本专利技术一方面实施例提出了一种物联网场景下跨域逻辑强隔离与安全访问控制方法，包括：S1，域内目标物联网网关获取域外主机的身份认证请求，将所述身份认证请求封装为请求发布数据包，并以广播的方式发送所述请求发布数据包至域内其它的物联网网关；S2，域内所有的物联网网关对所述请求发布数据包进行认证以生成身份认证结果；S3，域内任一物联网网关生成所述身份认证结果后，启动分布式共识机制，并计算与所述分布式共识机制相符合的合法数字串，将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关；S4，域内其它的物联网网关通过所述分布式共识机制和节点同步机制对所述身份认证结果和所述合法数字串进行验证达成共识，将所述身份认证结果写入区块进行存储，生成区块链；S5，所述域内目标物联网网关扫描本地通过所述节点同步机制同步更新并存储的所述区块链是否存在所述身份认证结果，若存在，则将所述身份认证结果发送给所述域外主机，若不存在，则继续扫描。本专利技术实施例的物联网场景下跨域逻辑强隔离与安全访问控制方法，当某台物联网网关接收到身份认证请求后，将此认证请求发布给域内的其它物联网网关，域内的物联网网关分别对此发送此请求的主机进行身份认证，并以分布式共识机制对身份认证的结果达成共识。由此，域内的物联网网关以分布式共识机制进行访问控制，实现跨域逻辑强隔离，有效提升了物联网系统的安全性，并且身份认证结果以区块形式存储，便于检索查阅，具有公开透明和可追溯的特性。另外，根据本专利技术上述实施例的物联网场景下跨域逻辑强隔离与安全访问控制方法还可以具有以下附加的技术特征：进一步地，所述域内所有的物联网网关对所述请求发布数据包进行认证生成身份认证结果，包括：域内所有的物联网网关接收到所述请求发布数据包后，提取所述请求发布数据包中的身份信息，并根据本地存储的合法身份证书对所述身份信息进行认证生成身份认证结果。进一步地，所述S3，还包括：所述域内任一物联网网关生成所述身份认证结果后，若在计算出与所述分布式共识机制相符合的合法数字串之前，域内另一物联网网关计算出所述身份认证结果和所述合法数字串，则由另一域内物联网网关启动所述分布式共识机制，将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关。进一步地，所述S4，进一步包括：S41，域内所有的物联网网关验证接收到的所述身份认证结果与本物联网网关生成的认证结果是否相同，若不同，则不认可所述身份认证结果，丢弃所述身份认证结果，执行S42，若相同，则执行S43；S42，计算与所述分布式共识机制相符合的所述合法数字串，计算完成后，启动所述分布式共识机制，将本物联网网关的认证结果和所述合法数字串发送至域内所有的物联网网关，执行S41；S43，验证所述合法数字串是否符合所述分布式共识机制规定的条件，若不符合，则执行S42，若符合，通过所述分布式共识机制和所述节点同步机制对所述身份认证结果和所述合法数字串达成共识，将所述身份认证结果写入区块进行存储，生成所述区块链。进一步地，所述节点同步机制为域内所有的物联网网关在对所述身份认证结果和所述合法数字串进行验证时，域内所有的物联网网关的区块链进行信息交互，将所述区块链进行同步存储。为达到上述目的，本专利技术另一方面实施例提出了一种物联网场景下跨域逻辑强隔离与安全访问控制装置，包括：获取模块，用于域内目标物联网网关获取域外主机的身份认证请求，将所述身份认证请求封装为请求发布数据包，并以广播的方式发送所述请求发布数据包至域内其它的物联网网关；生成模块，用于域内所有的物联网网关对所述请求发布数据包进行认证以生成身份认证结果；发送模块，用于域内任一物联网网关生成所述身份认证结果后，启动分布式共识机制，并计算与所述分布式共识机制相符合的合法数字串，将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关；验证模块，用于域内其它的物本文档来自技高网...

【技术保护点】
1.一种物联网场景下跨域逻辑强隔离与安全访问控制方法，其特征在于，包括以下步骤：S1，域内目标物联网网关获取域外主机的身份认证请求，将所述身份认证请求封装为请求发布数据包，并以广播的方式发送所述请求发布数据包至域内其它的物联网网关；S2，域内所有的物联网网关对所述请求发布数据包进行认证以生成身份认证结果；S3，域内任一物联网网关生成所述身份认证结果后，启动分布式共识机制，并计算与所述分布式共识机制相符合的合法数字串，将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关；S4，域内其它的物联网网关通过所述分布式共识机制和节点同步机制对所述身份认证结果和所述合法数字串进行验证达成共识，将所述身份认证结果写入区块进行存储，生成区块链；S5，所述域内目标物联网网关扫描本地通过所述节点同步机制同步更新并存储的所述区块链是否存在所述身份认证结果，若存在，则将所述身份认证结果发送给所述域外主机，若不存在，则继续扫描。

【技术特征摘要】
1.一种物联网场景下跨域逻辑强隔离与安全访问控制方法，其特征在于，包括以下步骤：S1，域内目标物联网网关获取域外主机的身份认证请求，将所述身份认证请求封装为请求发布数据包，并以广播的方式发送所述请求发布数据包至域内其它的物联网网关；S2，域内所有的物联网网关对所述请求发布数据包进行认证以生成身份认证结果；S3，域内任一物联网网关生成所述身份认证结果后，启动分布式共识机制，并计算与所述分布式共识机制相符合的合法数字串，将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关；S4，域内其它的物联网网关通过所述分布式共识机制和节点同步机制对所述身份认证结果和所述合法数字串进行验证达成共识，将所述身份认证结果写入区块进行存储，生成区块链；S5，所述域内目标物联网网关扫描本地通过所述节点同步机制同步更新并存储的所述区块链是否存在所述身份认证结果，若存在，则将所述身份认证结果发送给所述域外主机，若不存在，则继续扫描。2.根据权利要求1所述的方法，其特征在于，所述域内所有的物联网网关对所述请求发布数据包进行认证生成身份认证结果，包括：域内所有的物联网网关接收到所述请求发布数据包后，提取所述请求发布数据包中的身份信息，并根据本地存储的合法身份证书对所述身份信息进行认证生成身份认证结果。3.根据权利要求1所述的方法，其特征在于，所述S3，还包括：所述域内任一物联网网关生成所述身份认证结果后，若在计算出与所述分布式共识机制相符合的合法数字串之前，域内另一物联网网关计算出所述身份认证结果和所述合法数字串，则由另一域内物联网网关启动所述分布式共识机制，将所述身份认证结果和所述合法数字串发送至域内其它的物联网网关。4.根据权利要求1所述的方法，其特征在于，所述S4，进一步包括：S41，域内所有的物联网网关验证接收到的所述身份认证结果与本物联网网关生成的认证结果是否相同，若不同，则不认可所述身份认证结果，丢弃所述身份认证结果，执行S42，若相同，则执行S43；S42，计算与所述分布式共识机制相符合的所述合法数字串，计算完成后，启动所述分布式共识机制，将本物联网网关的认证结果和所述合法数字串发送至域内所有的物联网网关，执行S41；S43，验证所述合法数字串是否符合所述分布式共识机制规定的条件，若不符合，则执行S42，若符合，通过所述分布式共识机制和所述节点同步机制对所述身份认证结果和所述合法数字串达成共识，将所述身份认证结果写入区块进行存储，生成所述区块链。5.根据权利要求4所述的方法，其特征在于，所述节点同步机制为域内所有的物联网网关在对所述身份认证结果和所述合法数字串进行验证时，域内所有的物联网网关的区块链进行信息交互，将所述区块链进行同步存储。6.一种物联网场景下跨域逻辑强隔离与安全访问控制...

【专利技术属性】
技术研发人员：徐恪，吕亮，吴波，谭崎，赵乙，
申请(专利权)人：清华大学，
类型：发明
国别省市：北京,11