社交網(wǎng)絡(luò)環(huán)境下物聯(lián)網(wǎng)的跨域細粒度控制系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及物聯(lián)網(wǎng)技術(shù)領(lǐng)域,具體地���,涉及一種社交網(wǎng)絡(luò)環(huán)境下物聯(lián)網(wǎng)的跨域細 粒度控制系統(tǒng)���。
【背景技術(shù)】
[0002] 物聯(lián)網(wǎng)和社交網(wǎng)絡(luò)的融合�����,是未來網(wǎng)絡(luò)技術(shù)發(fā)展的重要趨勢之一���。在物聯(lián)網(wǎng)把物 與物相連的基礎(chǔ)上,再把物與人相連�����,形成一個萬物相連的巨大的復(fù)雜的社交網(wǎng)絡(luò)�,讓物聯(lián) 網(wǎng)的節(jié)點覺有社交特性,形成更靈活高效的網(wǎng)絡(luò)系統(tǒng)����。
[0003] 現(xiàn)在的很多系統(tǒng)都將社交網(wǎng)絡(luò)環(huán)境下的物聯(lián)網(wǎng)假設(shè)為單一領(lǐng)域的傳感器網(wǎng)絡(luò)系 統(tǒng)�����,并且給系統(tǒng)中所有節(jié)點提供統(tǒng)一的訪問方法和安全服務(wù)�。然而在很多的應(yīng)用場景中�����,社 交網(wǎng)絡(luò)環(huán)境下的物聯(lián)網(wǎng)系統(tǒng)是被不同部門所控制的����,分屬于不同域的網(wǎng)絡(luò)節(jié)點通過標準協(xié) 議分享傳感器數(shù)據(jù)。同時����,通過物聯(lián)網(wǎng)節(jié)點所生成的各種類型的數(shù)據(jù)往往分屬于不同的安 全級別并且只能被特定的用戶所訪問��。因此����,社交網(wǎng)絡(luò)環(huán)境下的物聯(lián)網(wǎng)系統(tǒng)的訪問控制是 十分重要的�。綜上����,如何實現(xiàn)安全的跨域細粒度訪問是社交網(wǎng)絡(luò)環(huán)境下的物聯(lián)網(wǎng)系統(tǒng)所亟 需解決的問題之一。
[0004] 事實上����,現(xiàn)在也已有很多關(guān)于跨域安全的研究����,例如以基于屬性訪問控制為基礎(chǔ) 的跨域訪問控制系統(tǒng)��,這其中加入了一個包含了主體、客體�����、權(quán)限�、環(huán)境屬性的安全域并以 此作為決策的基礎(chǔ)���。這解決了跨域訪問控制問題,并在一定程度上提高了系統(tǒng)的可擴展性 和可變性����。然而��,這些現(xiàn)有的系統(tǒng)都沒有考慮到社交網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)的開放性��、復(fù)雜性和動 態(tài)性,而這些特性恰恰增加了安全風(fēng)險�����,使得這些系統(tǒng)并不能完全滿足實際需求�����。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明針對現(xiàn)有技術(shù)中存在的上述不足�����,在考慮了社交網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)的開放 性���、復(fù)雜性和動態(tài)性的基礎(chǔ)上�,為滿足實際的安全需求,提供了一種社交網(wǎng)絡(luò)環(huán)境下物聯(lián)網(wǎng) 的跨域細粒度控制系統(tǒng)�。
[0006] 為實現(xiàn)上述目的��,本發(fā)明是通過以下技術(shù)方案實現(xiàn)的�����。
[0007] -種社交網(wǎng)絡(luò)環(huán)境下物聯(lián)網(wǎng)的跨域細粒度控制系統(tǒng)��,包括:認證授權(quán)模塊��、用戶登 錄模塊�、跨域安全認證模塊和跨域細粒度訪問控制模塊;其中,
[0008] 所述認證授權(quán)模塊提供網(wǎng)絡(luò)在開放的前提下接入用戶的可靠性;
[0009] 所述用戶登錄模塊提供用戶訪問數(shù)據(jù)的安全性;
[0010] 所述跨域安全認證模塊提供用戶跨域訪問數(shù)據(jù)的安全性���;
[0011] 所述跨域細粒度訪問控制模塊用于細化用戶在域內(nèi)���、域問的安全等級��。
[0012] 優(yōu)選地��,認證授權(quán)模塊采用基于X. 509的證書分配方法的可信模型��,所述基于 X. 509的證書分配方法的可信模型�����,在一個域中為層狀樹結(jié)構(gòu)���,在多個域中為網(wǎng)狀結(jié)構(gòu)。
[0013] 優(yōu)選地����,所述基于X. 509的證書分配方法的可信模型,在每一個域中均包括一個 根���,記為CAx��,其中����,下標X為自然數(shù),根CA#為基站或匯聚節(jié)點�。
[0014] 優(yōu)選地,所述基于X. 509的證書分配方法的可信模型���,在每一個域中還包括至少一 個子層����,記為CAxn���,其中,下標η為自然數(shù)��。
[0015] 優(yōu)選地��,所述用戶登錄模塊采用如下協(xié)議:
[0016] 步驟 S1�����,
[0017] 當用戶U登錄時�,用戶登錄模塊生成一個隨意數(shù)RN1,之后用戶登錄模塊通過公鑰 PKas加密用戶密碼Ρ����、個人標識符號IDu和隨意數(shù)1?他得到密文a�����,用戶將密文a發(fā)送給存儲數(shù) 據(jù)的訪問服務(wù)器AS;
[0018] 步驟 S2�����,
[0019] 當訪問服務(wù)器AS接收到用戶U發(fā)出的請求信息時����,訪問服務(wù)器AS通過自己的私鑰 SKas解密密文a得到用戶U的個人標識符號IDu���、用戶密碼P��、隨意數(shù)RN1并且驗證用戶U的個人 身份信息;驗證完成后��,訪問服務(wù)器AS生成一個隨機數(shù)RN 2,再用解密得到的隨機數(shù)RN1充當 對稱密鑰加密隨機數(shù)RN2和個人標識符號IDu����,并將所得到的密文b發(fā)送給用戶U;
[0020] 步驟S3���,用戶U接收到來自訪問服務(wù)器AS的密文b后�,通過隨機數(shù)RN1解密得到隨機 數(shù)RN 2,也就是用戶U訪問AS時所使用的會話密鑰Ku, as����。
[0021 ]優(yōu)選地,所述跨域安全認證模塊采用如下協(xié)議:
[0022] 步驟al��,
[0023] 用戶U發(fā)送訪問請求給用戶U域內(nèi)的訪問服務(wù)器ASh以請求訪問在其他域中的服務(wù) 器S;其中�����,Ku,as是用戶登錄模塊采用的協(xié)議中最后得到的會話密鑰;Nu是由用戶U生成的隨 機數(shù)以保證請求的新鮮性;時間信息Tu和隨機數(shù)Ru是用來抵制重放攻擊的兩個額外的元素����; h()表示時間信息Tu、隨機數(shù)Ru的哈希值���;IDs表示服務(wù)器S的標志符號;其中用戶U與服務(wù)器S 的關(guān)系為:用戶U希望可以訪問的對象為服務(wù)器S;
[0024] 步驟 a2,
[0025] 訪問服務(wù)器ASh解密從用戶U處得到的信息���,并且通過IDs核實用戶U所想訪問的服 務(wù)器S屬于哪一個域;之后訪問服務(wù)器AS h生成隨機數(shù)Nhv并且計算心=?~fflodP ;最后訪問 服務(wù)器ASh將自己的標識IDAsh以及Shv發(fā)送給服務(wù)器S所屬的域的訪問服務(wù)器AS v;其中�,Shv表 示通過隨機數(shù)Nhv和P計算得出結(jié)果;P為用戶U自己產(chǎn)生并且與根CA Ash交換的密碼�����;
[0026] 步驟 a3,
[0027] 在服務(wù)器S所屬的訪問服務(wù)器ASv生成隨機數(shù)Nvh并且計算
1的同時���,根 據(jù)D i f f i e-He I Iman密鑰交換協(xié)議�,計算出心=知..=modi*=.?/14 .modi3;
[0028] 其中����,Kvh充當訪問服務(wù)器ASv和訪問服務(wù)器AS h問的臨時會話密鑰;訪問服務(wù)器ASv 通過臨時會話密鑰Kvh加密訪問服務(wù)器ASh的公鑰證書鏈和數(shù)字簽名h(Svh,S hv)����,并將以此得 到的密文c和Svh發(fā)送給訪問服務(wù)器ASv;其中,S vh表示通過隨機數(shù)Nvh和P計算得出結(jié)果;Khv表 示充當訪問服務(wù)器AS v和訪問服務(wù)器ASh問的臨時會話密鑰���;
[0029] 步驟 a4���,
[0030] 訪問服務(wù)器ASh接收到密文c后得到Svh,并通過步驟a3中的方法計算出K hv和Kvh�,從 而解密得到訪問服務(wù)器ASv的證書鏈和用于驗證身份的數(shù)字簽名;驗證了訪問服務(wù)器AS v的 身份后���,訪問服務(wù)器ASh發(fā)送給訪問服務(wù)器ASv通過Khv加密的信息;該通過K hv加密的信息中 包括:訪問服務(wù)器ASh的認證鏈���、數(shù)字簽名��、用戶U和服務(wù)器S的身份信息����、用戶U和服務(wù)器S之 間作為會話密鑰的隨機數(shù)sk以及證明書丨
[0031] 步驟 a5���,
[0032] 訪問服務(wù)器ASv通過步驟a4中的方法驗證訪問服務(wù)器ASh的身份�����,然后發(fā)送給服務(wù) 器S通過Ks,AS加密得到的信息�����,其中Ks,AS是在步驟a4中服務(wù)器ASh發(fā)送給服務(wù)器ASv的服務(wù)器 S與訪問服務(wù)器ASv之間交換的對稱密鑰;該通過Ks,as加密得到的信息中包括:用戶U和服務(wù) 器S的身份信息���、用戶U和服務(wù)器S之間作為會話密鑰的隨機數(shù)sk、時間信息Tu和隨機數(shù)Rln證 明書丨�����、由V生成的隨機數(shù)Nv�����,其中�����,用戶U所要訪問的服務(wù)器所在域的根服務(wù)器V;
[0033] 步驟 a6�,
[0034] 服務(wù)器S接收到信息后,通過對稱密鑰Ks, AS解密收到的信息���,之后發(fā)送證明書 給用戶u���,同時,服務(wù)器S通過隨機數(shù)Sk加密個人信息并發(fā)送給用戶U;
[0035] 步驟 a7�����,U-S:Ns+l:
[0036] 用戶U通過隨機數(shù)Nu解密AU����,再通過隨機數(shù)sk解密得到服務(wù)器S的地址;之 后用戶U發(fā)送給服務(wù)器S作為響應(yīng)信息的Ns+1并且證實服務(wù)器S的身份;最后用戶U通過會話 密鑰Ku, 5訪問服務(wù)器S上的數(shù)據(jù),即隨機數(shù)sk;其中�����,Ns表示由服務(wù)器S生成的隨機數(shù)����。
[0037] 優(yōu)選地��,所述跨域細粒度訪問控制模塊包括用戶分配單元����、權(quán)利分配單元���、授權(quán)單 元�����、義務(wù)單元和條件單元;其中:
[0038] 所述用戶分配單元和權(quán)利分配單元分別用于正確的分配用戶角色和用戶操作權(quán) 限���;
[0039] 所述授權(quán)單元、義務(wù)單元和條件單元用于正確的移除用戶之前所分配的用戶角色 和用戶操作權(quán)限�。<