本发明涉及物联网技术领域,特别是指一种基于虚拟标识的物联网跨域访问控制方法。
背景技术:
物联网技术已经广泛应用于我们的生产和生活。为了唯一区分物联网中的实体(其中,实体也可以成为节点),需要对接入物联网中的实体进行标识,即物联网标识。在物联网标识方面,rfid的全球市场规模到2023年将到达314.2亿美元,传感器的市场规模在2017年就超过了1800亿美元。在互联网标识数量方面,我国拥有超过3亿个ipv4地址,23430块/32的ipv6地址,3840万个域名(其中,cn域名1109万个)。随着海量物联网设备的泛在接入,产生了大量的物联网跨域访问控制需求。
现有的访问控制技术,如传统的密文策略属性基加密(ciphertext-policyattribute-basedencryption,cpabe)技术需要为每一个物联网实体设置相应的多个属性,且cpabe加解密策略没有相应的签名验证方法来实现跨域认证,因此,cpabe技术不用直接应用于物联网环境跨域访问控制,无法满足物联网环境下细粒度跨域访问控制与通信需求,主要由以下两方面的点原因:
1)每个物联网实体的属性多样且不确定。物联网跨域分级授权和访问控制场景下,每个物联网实体的属性是处于动态变化中的。当源节点使用cpabe技术设置访问控制数时,需要了解每个物联网实体的属性,增加了访问控制的难度。
2)物联网实体的计算和存储资源有限。物联网中的通信实体在进行跨域通信时,所需要的资源较多,如果能简化加解密算法,减少资源的使用,将大大提升通信效率。
技术实现要素:
本发明要解决的技术问题是提供一种基于虚拟标识的物联网跨域访问控制方法,以解决现有技术所存在的cpabe技术无法满足物联网环境下细粒度跨域访问控制与通信需求的问题。
为解决上述技术问题,本发明实施例提供一种基于虚拟标识的物联网跨域访问控制方法,包括:
将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识;
生成虚拟标识对应的私钥,对生成的虚拟标识私钥进行反向加密;
跨域通信路径中的中间节点及目的节点对加密后的虚拟标识私钥进行反向解密,目的节点得到虚拟标识对应的私钥;
源节点使用虚拟标识对待发送的物联网消息进行标识加密,并将加密后的物联网消息沿跨域通信路径发送至目的节点;
目的节点根据得到的虚拟标识对应的私钥对加密后的物联网消息进行解密。
进一步地,在将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识之前,所述方法还包括:
信任域内所有的域内应用管理服务器向密钥管理服务器发送注册请求,并提交自身的标识信息;
密钥管理服务器根据接收到的域内应用管理服务器的标识,生成相应的私钥返回给相应的注册请求者,并将域内应用管理服务器节点的标识存储到本地。
进一步地,在将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识之前,所述方法还包括:
信任域内所有的物联网实体向其所在的域内应用管理服务器发起注册请求,提交自身的标识,所在的域内应用管理服务器存储接收到的物联网实体的标识,并将物联网实体的注册请求发送给密钥管理服务器;
密钥管理服务器将接收到的物联网实体的标识及物联网实体所在的域标识存储到本地,并根据接收到的物联网实体的标识生成相应的私钥返回给相应的物联网实体;
其中,所述物联网实体为物联网节点。
进一步地,所述将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识包括:
源节点向所在的域内应用管理服务器发起域内路径动态搜索请求,所在的域内应用管理服务器在本域内搜索目的节点的标识,若搜索不到,则源节点通过所在的域内应用管理服务器向密钥管理服务器发起跨域路径动态搜索请求,密钥管理服务器根据源节点与目的节点的标识进行跨域路径动态搜索,生成源节点到目的节点的跨域通信路径;
将所述跨域通信路径作为源节点到目的节点间通信的虚拟标识,其中,所述虚拟标识为标识密码体制对应的公钥。
进一步地,所述生成虚拟标识对应的私钥,对生成的虚拟标识私钥进行反向加密包括:
源节点根据虚拟标识向密钥管理服务器发起请求,生成虚拟标识对应的私钥;
源节点根据跨域通信路径的反向路径对生成的虚拟标识私钥进行反向加密。
进一步地,加密后的虚拟标识私钥每经过一个中间节点都需要相应的中间节点执行一次虚拟标识解密操作,并将解密后的内容作为新的密文沿跨域通信路径传递,直至目的节点得到虚拟标识对应的私钥。
进一步地,中间节点接收到加密后的物联网消息后,根据消息类型标志将加密后的物联网消息沿跨域通信路径往下传递,直至到达目的节点。
进一步地,所述目的节点根据得到的虚拟标识对应的私钥对加密后的物联网消息进行解密包括:
目的节点接收到加密后的物联网消息后,根据消息类型标志从本地反序列化恢复出虚拟标识私钥;
利用恢复出的虚拟标识私钥解密加密后的物联网消息。
本发明的上述技术方案的有益效果如下:
上述方案中,将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识;生成虚拟标识对应的私钥,对生成的虚拟标识私钥进行反向加密;跨域通信路径中的中间节点及目的节点对加密后的虚拟标识私钥进行反向解密,目的节点得到虚拟标识对应的私钥;源节点使用虚拟标识对待发送的物联网消息进行标识加密,并将加密后的物联网消息沿跨域通信路径发送至目的节点;目的节点根据得到的虚拟标识对应的私钥对加密后的物联网消息进行解密,从而实现精准的物联网跨域访问控制和安全通信。
附图说明
图1为本发明实施例提供的基于虚拟标识的物联网跨域访问控制方法的流程示意图;
图2为本发明实施例提供的基于虚拟标识的物联网跨域访问控制方法的原理示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的cpabe技术无法满足物联网环境下细粒度跨域访问控制与通信需求的问题,提供一种基于虚拟标识的物联网跨域访问控制方法。
如图1所示,本发明实施例提供的基于虚拟标识的物联网跨域访问控制方法,包括:
s101,将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识;
s102,生成虚拟标识对应的私钥,对生成的虚拟标识私钥进行反向加密;
s103,跨域通信路径中的中间节点及目的节点对加密后的虚拟标识私钥进行反向解密,目的节点得到虚拟标识对应的私钥;
s104,源节点使用虚拟标识对待发送的物联网消息进行标识加密,并将加密后的物联网消息沿跨域通信路径发送至目的节点;
s105,目的节点根据得到的虚拟标识对应的私钥对加密后的物联网消息进行解密。
本发明实施例所述的基于虚拟标识的物联网跨域访问控制方法,将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识;生成虚拟标识对应的私钥,对生成的虚拟标识私钥进行反向加密;跨域通信路径中的中间节点及目的节点对加密后的虚拟标识私钥进行反向解密,目的节点得到虚拟标识对应的私钥;源节点使用虚拟标识对待发送的物联网消息进行标识加密,并将加密后的物联网消息沿跨域通信路径发送至目的节点;目的节点根据得到的虚拟标识对应的私钥对加密后的物联网消息进行解密,从而实现精准的物联网跨域访问控制和安全通信。
如图2所示,本发明实施例提供的基于虚拟标识的物联网跨域访问控制方法,主要涉及三种主体:密钥管理服务器、域内应用管理服务器as和域内物联网实体,所述方法具体可以包括以下步骤:
a1,参数初始化
本实施例中,密钥管理服务器随机选取阶为p,生成元为g的双线性群,生成公钥pk(是一种公共参数)和主密钥mk,然后将公钥pk公开,将主密钥mk保留;密钥管理服务器还设置用于加密的椭圆曲线的参数、哈希函数和双线性映射函数。
a2,域内应用管理服务器(以asa为例)信任域内所有的域内应用管理服务器(例如,asa、asc)向密钥管理服务器发起注册请求,提交自身的标识信息。密钥管理服务器在接收到域内应用管理服务器的注册请求后,调用密钥生成算法根据接收到的域内应用管理服务器的标识和主密钥mk生成相应的私钥,并返回给相应的注册请求者。密钥管理服务器还将域内应用管理服务器的标识记录到本地。
a3,域asa(域内应用管理服务器asa简称域asa)内的物联网实体向其所在的域asa发起注册请求,提交自身的标识等信息。域asa将该物联网实体的标识记录到本地。
a4,转发注册请求
本实施例中,域asa将注册请求发送给密钥管理服务器。
a5,私钥生成
本实施例中,密钥管理服务器首先记录物联网实体的标识及物联网实体所在的域标识;然后调用密钥生成算法根据物联网实体的标识和主密钥mk生成对应的标识私钥,并将该私钥直接发送给相应的物联网实体。
本实施例中,通过步骤a3-a5实现信任域内所有的域内应用管理服务器和物联网实体的注册。
a6,域内路径动态搜索请求
本实施例中,假设,物联网实体a1为消息发起者,即a1为源节点,且a1所在的域为域asa;物联网实体c1为消息接收者,即c1为目的节点,且c1所在的域为域asc。
本实施例中,源节点a1首先确定目的节点c1的标识,然后a1向所在的域asa发起域内路径动态搜索请求。
a7,域内路径动态搜索
本实施例中,域asa在本域内搜索目的节点c1的标识,确定c1是否在本域内。并将搜索结果发送给源节点a1。
a8,跨域路径动态搜索请求
本实施例中,若搜索不到,即:目的节点c1与源节点a1不在同一个域内,则a1向所在的域asa发起跨域路径动态搜索请求。若a1与c1在同一个域内,则不执行跨域路径动态搜索。
a9,转发跨域路径动态搜索请求
本实施例中,域asa向密钥管理服务器发送跨域路径动态搜索请求。
a10,跨域路径动态搜索
本实施例中,密钥管理服务器根据源节点a1与目的节点c1的标识执行跨域路径动态搜索算法,生成源节点到目的节点的跨域通信路径(a1→asa→asc→c1),并将该路径返回给源节点a1。
本实施例中,根据步骤a6-a10可知,首先进行域内路径动态搜索,确定目的节点与源节点是否在同一个域内;若两者不在同一个域内,再向密钥管理服务器发起跨域路径动态搜索请求,得到一条从源节点到目的节点的跨域通信路径。
a11,反向加密
本实施例中,源节点a1将路径a1→asa→asc→c1作为a1→c1间通信的虚拟标识。将该虚拟标识作为标识密码体制对应的公钥,即虚拟标识id=(a1,asa,asc,c1);源节点根据虚拟标识id=(a1,asa,asc,c1)向密钥管理服务器发起请求,生成虚拟标识对应的私钥
本实施例中,两个物联网实体在初次通信时,源节点加密的明文是与通信路径对应的私钥
a12,反向解密一
本实施例中,加密得到的密文ct3每经过一个中间节点(asa、asc)都需要执行一次虚拟标识解密操作,并将解密后的内容作为新的密文沿路经传递,直至目的节点得到虚拟标识对应的私钥:
签名完成之后,源节点a1向域asa发起域内认证请求,同时将密文ct3、源节点a1的数字签名、消息类型标志以及消息传递链asa→asc→c1发送给域asa;asa使用标识密码算法验证源节点a1的数字签名,验证通过后使用标识密码算法解密密文ct3得到密文ct2,并解析消息传递链得到下一个节点的标识为asc;asa首先在域内进行查找,判断asc是否在本域内,若asc不在本域内,则将密文ct2、消息类型标志以及消息传递链asc→c1发送给asc。
a13,反向解密二
本实施例中,asc使用标识密码算法解密密文ct2得到密文ct1,并解析消息传递链得到下一个节点的标识为c1;asc首先在域内进行查找,判断c1是否在本域内;若c1不在本域内,则asc将密文ct1、消息类型标志以及消息传递链c1发送给目的节点c1。
a14,解密虚拟标识私钥
本实施例中,c1直接接收密文ct1并根据消息类型标志使用c1的标识私钥解密密文ct1,c1解析消息传递链得到下一个节点的标识为空,即c1就是目的节点,且解密得到内容就是明文。根据消息类型标志得到解密的明文即为a1对应于路径a1→asa→asc→c1的虚拟标识私钥
本实施例中,根据步骤a12-a14可知,每个中间节点及目的节点接收到反向解密请求之后,每个中间节点及目的节点用自身的标识私钥执行一次标识解密操作,并将解密后的密文沿路径往下传递,直至完成加密后的虚拟标识私钥的反向解密。
a15,物联网消息加密
本实施例中,两个物联网实体在二次通信时,根据虚拟标识加密真正的明文消息(即:待发送的物联网消息)得到密文ct,即:加密后的物联网消息,并将此次消息类型标志设为阶段二:
源节点a1使用虚拟标识对待发送的物联网消息进行标识加密,得到密文ct;a1将密文ct、消息类型标志以及消息传递链asa→asc→c1发送给域asa,即:中间节点接收到密文ct之后,直接将密文ct沿路径往下传递。
a16,转发密文一
本实施例中,asa根据消息类型标志直接将密文ct、消息类型标志以及消息传递链asc→c1发送给域asc。
a17,转发密文二
本实施例中,asc根据消息类型标志直接将密文ct、消息类型标志以及消息传递链c1发送给目的节点c1。
a18,解密真正明文
本实施例中,目的节点c1接收到密文ct后,根据消息类型标志从本地反序列化恢复出虚拟标识私钥
综上,本实施例提供的基于虚拟标识的物联网跨域访问控制方法,具有以下技术效果:
1)本发明利用标识加密算法的密文层次特性,提出物联网环境下虚拟标识的概念与定义,并通过执行跨域路径动态搜索算法搜索到的源节点到目的节点的跨域通信路径作为源节点到目的节点安全通信的虚拟标识。
2)本发明提出物联网实体虚拟标识对应私钥的生成和传输方法,由源节点根据虚拟标识生成向密钥管理服务器发起请求,生成对应私钥,并通过标识密码算法对该私钥,根据反向路径进行加密,从而保证私钥传输过程中的安全。
3)本发明提出基于虚拟标识的物联网跨域访问控制方法,目的节点通过反向解密得到虚拟标识对应私钥,源节点通过虚拟标识对待发送的物联网消息进行标识加密,并将加密后的物联网消息沿跨域通信路径发送至目的节点,在物联网消息传输阶段二过程中,中间节点只需传输,不需要进行解密操作,从而减少了物联网中间节点的计算和存储资源消耗,在实现精准的物联网跨域访问控制的同时,提高了物联网跨域数据访问的安全,从而解决在资源有限的物联网环境下,物联网实体细粒度跨域访问控制和安全通信问题。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
1.一种基于虚拟标识的物联网跨域访问控制方法,其特征在于,包括:
将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识;
生成虚拟标识对应的私钥,对生成的虚拟标识私钥进行反向加密;
跨域通信路径中的中间节点及目的节点对加密后的虚拟标识私钥进行反向解密,目的节点得到虚拟标识对应的私钥;
源节点使用虚拟标识对待发送的物联网消息进行标识加密,并将加密后的物联网消息沿跨域通信路径发送至目的节点;
目的节点根据得到的虚拟标识对应的私钥对加密后的物联网消息进行解密。
2.根据权利要求1所述的基于虚拟标识的物联网跨域访问控制方法,其特征在于,在将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识之前,所述方法还包括:
信任域内所有的域内应用管理服务器向密钥管理服务器发送注册请求,并提交自身的标识信息;
密钥管理服务器根据接收到的域内应用管理服务器的标识,生成相应的私钥返回给相应的注册请求者,并将域内应用管理服务器节点的标识存储到本地。
3.根据权利要求1所述的基于虚拟标识的物联网跨域访问控制方法,其特征在于,在将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识之前,所述方法还包括:
信任域内所有的物联网实体向其所在的域内应用管理服务器发起注册请求,提交自身的标识,所在的域内应用管理服务器存储接收到的物联网实体的标识,并将物联网实体的注册请求发送给密钥管理服务器;
密钥管理服务器将接收到的物联网实体的标识及物联网实体所在的域标识存储到本地,并根据接收到的物联网实体的标识生成相应的私钥返回给相应的物联网实体;
其中,所述物联网实体为物联网节点。
4.根据权利要求1所述的基于虚拟标识的物联网跨域访问控制方法,其特征在于,所述将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识包括:
源节点向所在的域内应用管理服务器发起域内路径动态搜索请求,所在的域内应用管理服务器在本域内搜索目的节点的标识,若搜索不到,则源节点通过所在的域内应用管理服务器向密钥管理服务器发起跨域路径动态搜索请求,密钥管理服务器根据源节点与目的节点的标识进行跨域路径动态搜索,生成源节点到目的节点的跨域通信路径;
将所述跨域通信路径作为源节点到目的节点间通信的虚拟标识,其中,所述虚拟标识为标识密码体制对应的公钥。
5.根据权利要求1所述的基于虚拟标识的物联网跨域访问控制方法,其特征在于,所述生成虚拟标识对应的私钥,对生成的虚拟标识私钥进行反向加密包括:
源节点根据虚拟标识向密钥管理服务器发起请求,生成虚拟标识对应的私钥;
源节点根据跨域通信路径的反向路径对生成的虚拟标识私钥进行反向加密。
6.根据权利要求5所述的基于虚拟标识的物联网跨域访问控制方法,其特征在于,加密后的虚拟标识私钥每经过一个中间节点都需要相应的中间节点执行一次虚拟标识解密操作,并将解密后的内容作为新的密文沿跨域通信路径传递,直至目的节点得到虚拟标识对应的私钥。
7.根据权利要求1所述的基于虚拟标识的物联网跨域访问控制方法,其特征在于,中间节点接收到加密后的物联网消息后,根据消息类型标志将加密后的物联网消息沿跨域通信路径往下传递,直至到达目的节点。
8.根据权利要求1所述的基于虚拟标识的物联网跨域访问控制方法,其特征在于,所述目的节点根据得到的虚拟标识对应的私钥对加密后的物联网消息进行解密包括:
目的节点接收到加密后的物联网消息后,根据消息类型标志从本地反序列化恢复出虚拟标识私钥;
利用恢复出的虚拟标识私钥解密加密后的物联网消息。
技术总结