本發(fā)明涉及工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域，特別是一種動(dòng)態(tài)接入訪問(wèn)控制方法及系統(tǒng)。

背景技術(shù)：

1、隨著移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算以及大數(shù)據(jù)這類(lèi)新興信息科學(xué)技術(shù)的飛速發(fā)展，現(xiàn)有的工業(yè)發(fā)展模式，正逐漸由傳統(tǒng)以人工為主的管理運(yùn)維模式轉(zhuǎn)變?yōu)榕c新興信息科學(xué)技術(shù)進(jìn)行融合創(chuàng)新發(fā)展的智能化工業(yè)制造模式。

2、當(dāng)前，結(jié)合云計(jì)算技術(shù)的工業(yè)互聯(lián)網(wǎng)模式是工業(yè)界和學(xué)術(shù)界重點(diǎn)發(fā)展和研究的目標(biāo)和領(lǐng)域，而基于“云端融合”的工業(yè)互聯(lián)網(wǎng)云服務(wù)模式更是當(dāng)前研究和發(fā)展的熱門(mén)。相較于傳統(tǒng)基于“云端分離”的工業(yè)互聯(lián)網(wǎng)云服務(wù)模式，基于“云端融合”的工業(yè)互聯(lián)網(wǎng)云服務(wù)模式不僅可以保證工業(yè)制造決策控制過(guò)程具備實(shí)時(shí)性和準(zhǔn)確性，同時(shí)可以通過(guò)縱向和橫向地感知工業(yè)制造過(guò)程中生產(chǎn)實(shí)體的特性和狀態(tài)，進(jìn)而使資源使用者可以透明和高效地協(xié)同使用工業(yè)云和終端的計(jì)算資源、網(wǎng)絡(luò)資源、存儲(chǔ)資源、用戶(hù)資源和數(shù)據(jù)資源等資源的方式，實(shí)現(xiàn)一種更為柔性、網(wǎng)絡(luò)化以及智能化的工業(yè)制造過(guò)程。

3、因此亟需一種動(dòng)態(tài)接入訪問(wèn)控制系統(tǒng)來(lái)解決上述問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、為解決上述問(wèn)題，本技術(shù)提供了一種動(dòng)態(tài)接入訪問(wèn)控制系統(tǒng)，包括，服務(wù)提供接口、client?puzzle算力篩選模塊、接入訪問(wèn)處理模塊和區(qū)塊鏈?zhǔn)聞?wù)模塊；

2、服務(wù)提供接口包括接入模式識(shí)別合約aprc?()、接入訪問(wèn)監(jiān)控服務(wù)和算力篩選執(zhí)行合約asec?()；

3、優(yōu)選地，其中，合約aprc?()為向接入訪問(wèn)主體as提供接入訪問(wèn)控制服務(wù)的功能智能合約，也是接入訪問(wèn)處理模塊的服務(wù)提供接口；

4、接入訪問(wèn)監(jiān)控服務(wù)的為監(jiān)控接入訪問(wèn)主體as成功接入訪問(wèn)客體ao后的操作行為，并根據(jù)as的操作行為以及屬性變化等情況動(dòng)態(tài)地對(duì)as的接入訪問(wèn)權(quán)限進(jìn)行管理；

5、而合約asec?()為向as提供算力篩選服務(wù)的功能智能合約，同時(shí)也是算力篩選模塊的服務(wù)提供接口。

6、接入訪問(wèn)處理模塊包括權(quán)限撤銷(xiāo)合約prec?()、初次接入訪問(wèn)處理合約fapc?()和重復(fù)接入訪問(wèn)處理合約rapc?()；

7、優(yōu)選地，合約prec?()為向權(quán)限管理員（permission?administrator,?pa）提供接入訪問(wèn)權(quán)限管理服務(wù)的功能智能合約；

8、合約fapc?()為向初次發(fā)起請(qǐng)求來(lái)接入訪問(wèn)ao的as提供訪問(wèn)控制事務(wù)的智能合約；

9、合約rapc?()為向重復(fù)發(fā)起請(qǐng)求來(lái)接入訪問(wèn)ao的as提供訪問(wèn)控制事務(wù)的智能合約。

10、算力篩選模塊包括算力篩選執(zhí)行合約asec?()、難題生成合約puzzlegenc?()和解答驗(yàn)證合約panswervc?()；

11、優(yōu)選地，asec?()為as與區(qū)塊鏈網(wǎng)絡(luò)進(jìn)行交互的接口，為初次接入ao的as提供算力篩選服務(wù)，進(jìn)而使as通過(guò)該服務(wù)所獲取的算力篩選結(jié)果來(lái)?yè)碛邪l(fā)起初次接入訪問(wèn)請(qǐng)求的資格；

12、puzzlegenc?()為提供難題生成服務(wù)的功能智能合約，根據(jù)asec?()所輸入的參數(shù) ip as和 mac as來(lái)生成唯一標(biāo)識(shí)as的難題puzzleao；

13、panswervc?()為校驗(yàn)asec?()所輸入的as解答難題時(shí)所得出的解答答案puzzleas的時(shí)效性和完整性，然后再將校驗(yàn)結(jié)果響應(yīng)至as。

14、優(yōu)選地，算力篩選模塊包含基于client?puzzle的算力篩選算法aafs-cp；

15、所述aafs-cp由六元組acpsetup?(),apuzzlegen?(),apuzzlesolve?(),apanswerv?(),,組成設(shè)置有約束條件，其中為單向散列函數(shù)，為簽名驗(yàn)證函數(shù)。

16、優(yōu)選地，約束條件如下：

17、aafs-cp的有效算力測(cè)試答案是as在目標(biāo)時(shí)間內(nèi)解答出的；

18、aafs-cp在構(gòu)造和驗(yàn)證難題時(shí)設(shè)置有目標(biāo)時(shí)間及目標(biāo)算力代價(jià)；

19、預(yù)設(shè)有難度閾值，超過(guò)難度閾值的題通過(guò)as解答；

20、aafs-cp可以調(diào)節(jié)生成難題的難度；

21、as無(wú)法預(yù)先解答出難題的答案；

22、aafs-cp不存儲(chǔ)難題的相關(guān)信息即可驗(yàn)證as所解答難題的答案；

23、aafs-cp所生成的一道難題對(duì)應(yīng)唯一標(biāo)識(shí)一個(gè)as。

24、區(qū)塊鏈?zhǔn)聞?wù)模塊，所述區(qū)塊鏈?zhǔn)聞?wù)模塊將數(shù)據(jù)以區(qū)塊鏈?zhǔn)聞?wù)的形式存儲(chǔ)在區(qū)塊鏈中，所述數(shù)據(jù)包括接入識(shí)別過(guò)濾器aif數(shù)據(jù)、接入限制過(guò)濾器arf數(shù)據(jù)、訪問(wèn)屬性和訪問(wèn)策略數(shù)據(jù)。

25、優(yōu)選地，接入識(shí)別過(guò)濾器aif由一個(gè)指紋提取算法fex?()、一個(gè)哈希函數(shù)hash?()和n個(gè)桶組成，其中每個(gè)桶有m個(gè)插入槽位；

26、aif的每個(gè)插入槽位的單位存儲(chǔ)內(nèi)容結(jié)構(gòu)為由mac地址指紋macf、接入識(shí)別token指紋tokenf以及接入準(zhǔn)入時(shí)間ept所構(gòu)成的多內(nèi)容指紋標(biāo)簽—接入識(shí)別指紋標(biāo)簽aift；

27、其中，macf為as的mac地址通過(guò)指紋提取算法fex?()運(yùn)算得出；

28、tokenf為as的合法接入識(shí)別tokenait指紋提取算法fex()運(yùn)算得出；

29、ept為tokenf生成的時(shí)間，且該時(shí)間則為判定ait是否過(guò)期失效的唯一依據(jù)；

30、其中ait由as的ip地址 ip as、mac地址 mac as、接入碼 acc as、接入訪問(wèn)主體類(lèi)型 aot as和接入校驗(yàn)碼 apc as組成；

31、其中， ip as和 mac as為as在初次接入ao時(shí)，給ao所提供的主體信息；

32、 acc as為ao人工審核as的情況通過(guò)后授予as的接入訪問(wèn)通行碼，即as只能憑該接入碼才能發(fā)起重復(fù)接入訪問(wèn)；

33、 aot as為區(qū)分as類(lèi)型的標(biāo)識(shí)碼；

34、 apc as為ait的校驗(yàn)碼，用于校驗(yàn)ait的有效性。

35、優(yōu)選地，接入限制過(guò)濾器arf由一個(gè)指紋提取算法fex?()、一個(gè)哈希函數(shù)hash?()和n個(gè)桶組成，其中每個(gè)桶有m個(gè)插入槽位；

36、arf中的每個(gè)插入槽位的單位存儲(chǔ)內(nèi)容結(jié)構(gòu)為由mac地址指紋macf和限制接入批準(zhǔn)時(shí)間laat所構(gòu)成的多內(nèi)容指紋標(biāo)簽—限制接入指紋標(biāo)簽arft；

37、其中，macf為as的mac地址通過(guò)指紋提取算法fex?()運(yùn)算所得出的；

38、laat表示ao判定mac地址為 mac as的as自此無(wú)法再次申請(qǐng)接入ao時(shí)的系統(tǒng)時(shí)間。

39、本發(fā)明還提到一種動(dòng)態(tài)接入訪問(wèn)控制方法，當(dāng) inc pa!=null時(shí)，接入訪問(wèn)處理模塊的運(yùn)行包括以下步驟，

40、s1.當(dāng)接入模式識(shí)別合約aprc?()所輸入的參數(shù)為 inc pa, ait as, mac as時(shí)，若 inc pa=0，則跳轉(zhuǎn)至s2；

41、若 inc pa=1，則跳轉(zhuǎn)至s3；

42、否則，向aprc?()響應(yīng)執(zhí)行結(jié)果，結(jié)束；

43、s2.調(diào)用接入識(shí)別指紋標(biāo)簽刪除算法 aift_del?()并輸入?yún)?shù) ait as和 mac as來(lái)執(zhí)行刪除as在aif中所對(duì)應(yīng)的atftas的操作，當(dāng) aift_del?( ait as, mac as)執(zhí)行完畢后，向aprc?()響應(yīng)執(zhí)行結(jié)果，結(jié)束；

44、s3.調(diào)用限制接入指紋標(biāo)簽增添算法 arft_add?()并輸入?yún)?shù) mac as來(lái)執(zhí)行向arf中添加與被限制接入ao的as的接入信息相對(duì)應(yīng)的arftas的操作；

45、當(dāng) arft_add?()執(zhí)行完畢后，調(diào)用 aift_del?()并輸入?yún)?shù) ait as和 mac as來(lái)執(zhí)行刪除as在aif中所對(duì)應(yīng)的atftas的操作；最后，當(dāng) aift_del?()執(zhí)行完畢后，向aprc?()響應(yīng)執(zhí)行結(jié)果，結(jié)束。

46、優(yōu)選地，當(dāng) inc pa==null時(shí)，接入訪問(wèn)處理模塊的運(yùn)行包括以下步驟：

47、步驟1.待接入訪問(wèn)處理模塊接收請(qǐng)求發(fā)起對(duì)象向系統(tǒng)發(fā)起包含參數(shù)naras、 inc pa、 ip as、 mac as、 acc as、 ait as和 checkresult puzzle的請(qǐng)求；

48、步驟2.根據(jù)參數(shù) mac as向arf請(qǐng)求判斷請(qǐng)求發(fā)起對(duì)象as是否為限制接入ao的對(duì)象：如果arf響應(yīng)結(jié)果顯示as為限制接入ao對(duì)象，則拒絕as本次的接入訪問(wèn)請(qǐng)求，結(jié)束；否則，跳轉(zhuǎn)至步驟3；

49、步驟3.根據(jù)參數(shù) mac as向aif請(qǐng)求判斷as是否具備發(fā)起重復(fù)接入訪問(wèn)請(qǐng)求的資格：如果aif響應(yīng)結(jié)果顯示as具備發(fā)起重復(fù)接入訪問(wèn)請(qǐng)求的資格，則跳轉(zhuǎn)至步驟4；否則，跳轉(zhuǎn)至步驟10；

50、步驟4.判斷參數(shù) acc as是否為null：如果 acc as==null，則拒絕as本次的接入訪問(wèn)請(qǐng)求，結(jié)束；否則，跳轉(zhuǎn)至步驟5；

51、步驟5.接入訪問(wèn)處理模塊向aif請(qǐng)求as的 aift as，待aif向接入訪問(wèn)處理模塊響應(yīng)后 aift as，校驗(yàn) aift as的時(shí)效性：如果 aift as通過(guò)時(shí)效性檢驗(yàn)，則跳轉(zhuǎn)至步驟6；否則，跳轉(zhuǎn)至步驟10；

52、步驟6.根據(jù)參數(shù) prk ao、 ip as、 mac as、 acc as和 ait as.aot校驗(yàn) aift as的完整性：如果 aift as通過(guò)了完整性檢驗(yàn)，則跳轉(zhuǎn)至步驟7；

53、否則，拒絕as本次的接入訪問(wèn)請(qǐng)求，結(jié)束；

54、步驟7.根據(jù)參數(shù)naras評(píng)估并決策as本次能否被授予接入訪問(wèn)權(quán)限：如果naras通過(guò)了授權(quán)評(píng)估決策，則跳轉(zhuǎn)至步驟8；

55、否則，拒絕as本次的接入訪問(wèn)請(qǐng)求，結(jié)束；

56、步驟8.當(dāng)as發(fā)起的接入訪問(wèn)請(qǐng)求為初次接入訪問(wèn)請(qǐng)求時(shí)，跳轉(zhuǎn)至步驟9；當(dāng)as發(fā)起的接入訪問(wèn)請(qǐng)求為重復(fù)接入訪問(wèn)請(qǐng)求，且 aift as通過(guò)了時(shí)效性檢驗(yàn)時(shí)，授予as接入訪問(wèn)權(quán)限，結(jié)束；否則，授予as接入訪問(wèn)權(quán)限，同時(shí)向aif請(qǐng)求更新 aift as的ept以保持其的時(shí)效性，結(jié)束；

57、步驟9.接入訪問(wèn)處理模塊向pa發(fā)起審核as接入訪問(wèn)信息的請(qǐng)求，待pa響應(yīng)審核結(jié)果 acc as后，判斷 acc as是否為false：如果 acc as==false，則說(shuō)明as的接入訪問(wèn)信息未通過(guò)審核，此時(shí)拒絕as本次的接入訪問(wèn)請(qǐng)求，結(jié)束；否則，授予as接入訪問(wèn)權(quán)限并向as響應(yīng) acc as，同時(shí)向aif請(qǐng)求添加as的接入訪問(wèn)信息，進(jìn)而保證其后續(xù)具備發(fā)起重復(fù)接入訪問(wèn)請(qǐng)求的資格，結(jié)束；

58、步驟10.判斷as是否在發(fā)起接入訪問(wèn)請(qǐng)求時(shí)提交了參數(shù) checkresult puzzle：如果as未提交參數(shù) checkresult puzzle，則拒絕as本次的接入訪問(wèn)請(qǐng)求，結(jié)束；否則，跳轉(zhuǎn)至步驟11；

59、步驟11.校驗(yàn) checkresult puzzle是否滿(mǎn)足完整性：如果 checkresult puzzle未通過(guò)完整性檢驗(yàn)，則拒絕as本次的接入訪問(wèn)請(qǐng)求，同時(shí)向aif請(qǐng)求刪除 aift as，結(jié)束；否則，當(dāng)as發(fā)起的接入訪問(wèn)請(qǐng)求為初次接入訪問(wèn)請(qǐng)求時(shí)，跳轉(zhuǎn)至步驟7；而當(dāng)as發(fā)起的接入訪問(wèn)請(qǐng)求為重復(fù)接入訪問(wèn)請(qǐng)求時(shí)，跳轉(zhuǎn)至步驟6。

60、優(yōu)選地，接入訪問(wèn)處理模塊在處理as的接入訪問(wèn)請(qǐng)求時(shí)，滿(mǎn)足下述條件：

61、對(duì)于初次接入但未接入ao的as，這類(lèi)對(duì)象在申請(qǐng)接入訪問(wèn)后，不僅需要滿(mǎn)足ao的接入條件，而且需要在通過(guò)初步獲得接入訪問(wèn)權(quán)限后，通過(guò)ao的管理員的人工審核才能正式被授權(quán)并接入ao中。

62、對(duì)于已接入ao的as，這類(lèi)對(duì)象在重復(fù)接入ao時(shí)，首先需要核驗(yàn)其是否是前期已通過(guò)審核并被授權(quán)接入的as，且該as非長(zhǎng)時(shí)間未接入的過(guò)期as，然后在此基礎(chǔ)之上決策其是否滿(mǎn)足接入控制決策。

63、被ao拉入禁止接入訪問(wèn)名單的as無(wú)法申請(qǐng)新的接入訪問(wèn)權(quán)限。

64、綜上所述，本發(fā)明的一種動(dòng)態(tài)接入訪問(wèn)控制方法及系統(tǒng)，相比傳統(tǒng)技術(shù)，本方法通過(guò)將使用控制（usage?control,?ucon）的細(xì)粒度性、動(dòng)態(tài)性、決策的連續(xù)性和屬性的可變性等特性，與client?puzzle算法所具備的篩選和證明設(shè)備算力的能力相結(jié)合的方式，構(gòu)建了一種基于ucon的動(dòng)態(tài)接入訪問(wèn)控制模型確保在處理接入訪問(wèn)主體的重復(fù)接入訪問(wèn)問(wèn)題時(shí)，能具備更高的效率和更好的靈活性。

65、下面通過(guò)附圖和實(shí)施例，對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。