本发明涉及物联网技术领域,具体涉及一种面向感知层的物联网可信连接方法和系统。
背景技术:
物联网感知层的一项重要的工作是网络连接,在网络连接时,感知层节点采用的是身份认证机制,但是身份认证的可信不代表节点功能的可信,因此现有的身份认证机制不能抵制非法终端的接入,因此物联网的网络连接是不安全的。
节点的身份在物联网的网络连接模型中的重要性相比节点在传统的网络连接模型中的重要性更大,物联网的快速发展带来了愈加严重的安全威胁,一般的身份认证不能达到物联网的安全要求。
技术实现要素:
本发明旨在针对现有技术存在的问题,提供一种面向感知层的物联网可信连接方法,所述物联网包括感知层节点、簇头节点和汇聚节点,其特征在于,方法包括:感知层节点分别向汇聚节点和簇头节点发送接入网络请求;感知层节点响应于汇聚节点和簇头节点根据接入网络请求返回的信息执行感知层节点与汇聚节点的双向身份鉴别以及感知层节点与簇头节点的双向身份鉴别;
若双向身份认证均通过,则执行平台可信性鉴别以及平台完整性校验;
若平台可信性鉴别以及平台完整性校验均通过则建立可信网络连接。
进一步地,建立可信网络连接之后,所述方法还包括:
汇聚节点或簇头节点向感知层节点请求行为属性度量,感知层节点行为属性收集者收集行为属性信息并将所述行为属性信息信发送给属性校验者;属性校验者对感知层节点行为属性进行校验,所述校验包括判断感知层节点行为属性是否符合预定的访问策略,若是,则允许感知层节点后续的网络行为,否则通知汇聚节点或簇头节点对感知层节点网络连接进行控制。
进一步地,所述方法还包括对感知层节点行为属性的可信性进行验证,
所述行为属性包括直接行为属性和间接行为属性;
所述对行为属性的可信性进行验证,包括:
对所述直接行为属性和所述间接行为属性进行可信性验证;
当感知层节点的直接行为属性和间接行为属性均可信,则所述感知层节点可信;当所述感知层节点的直接行为属性和间接行为属性中的任意一个不可信,则所述感知层节点不可信。
第二方面,本发明提供一种面向感知层的物联网可信连接系统,包括:感知层节点、簇头节点和汇聚节点;
所述感知层节点,用于分别向汇聚节点和簇头节点发送接入网络请求;并响应于汇聚节点和簇头节点根据接入网络请求返回的信息执行感知层节点与汇聚节点的双向身份鉴别以及感知层节点与簇头节点的双向身份鉴别;若双向身份认证均通过,则执行平台可信性鉴别以及平台完整性校验;若平台可信性鉴别以及平台完整性校验均通过则建立可信网络连接;
所述簇头节点,用于根据接入网络请求返回请求感知层节点与簇头节点的双向身份鉴别的信息;
所述汇聚节点,用于根据接入网络请求返回请求感知层节点与汇聚节点的双向身份鉴别的信息。进一步地,所述系统还包括网络访问控制及可信平台评估层;
所述网络访问控制及可信平台评估层用于为感知层节点分别向汇聚节点和簇头节点发送接入网络请求,汇聚节点和簇头节点向感知层节点返回根据接入网络请求返回的信息,以及执行感知层节点与汇聚节点的双向身份鉴别以及感知层节点与簇头节点的双向身份鉴别提供通道支持。
再进一步地,所述网络访问控制及可信平台评估层设置完整性度量层,所述完整性度量层是感知层节点、汇聚节点和族头节点平台完整性度量的执行层,用于收集感知层节点、汇聚节点和族头节点所在平台的完整性信息,将完整性信息提供给物联网安全认证中心执行平台完整性鉴别。
再进一步地,所述完整性度量层包括完整性度量收集者和完整性校验者,所述完整性度量收集者用于收集感知层节点、汇聚节点和簇头节点的平台完整性信息;完整性校验者用于校验感知层节点、汇聚节点和簇头节点的平台完整性信息。
进一步地,所述网络访问控制及可信平台评估层设置物联网安全认证中心,所述物联网安全认证中心作为可信第三方协助完成感知层节点与汇聚节点的双向身份鉴别以及感知层节点与簇头节点的双向身份鉴别以及平台完整性鉴别,将感知层节点的pik证书验证结果和平台完整性校验结果发送感知层节点、汇聚节点和簇头节点。
进一步地,所述物联网安全认证中心还用于验证感知层节点行为属性的可信性,所述行为属性包括直接行为属性和间接行为属性;
所述对行为属性的可信性进行验证,包括:
对所述直接行为属性和所述间接行为属性进行可信性验证;
当感知层节点的直接行为属性和间接行为属性均可信,则所述感知层节点可信;当所述感知层节点的直接行为属性和间接行为属性中的任意一个不可信,则所述感知层节点不可信。
进一步地,所述系统还包括行为属性度层,所述系统还包括行为属性度量层,所述行为属性度层包括感知层节点行为属性收集者和属性校验者,所述感知层节点行为属性收集用于收集行为属性信息并将获取的感知层节点行为属性信息发送给属性校验者;属性校验者对感知层节点行为属性进行校验,所述校验包括判断感知层节点行为属性是否符合预定的访问策略,若是,则允许感知层节点后续的网络行为,否则通知汇聚节点或簇头节点对感知层节点网络连接进行控制。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任意一种可能的实施例提供的所述方法的步骤。
本发明所取得的有益技术效果:本发明基于节点的可信度量机制,实现了感知层节点和其他节点的双向身份验证和行为的属性鉴别。提出了面向感知层的可信连接方案,实现了各个节点的双向认证、行为属性认证,本发明的对物联网中的节点有很好的适用性,具备节点可监控、可度量的特点,能够保障数据信息的可信性,提高了网络的可用性。
具体实施方式
以下结合具体实施例对本发明做进一步说明。
物联网感知层节点工作的第一步是进行网络连接,当前感知层节点进行网络连接时多采用传统的基于身份的认证机制,然而身份的可信并不能保证感知层节点内部功能的可信,因而现有机制难以防范非可信感知终端的恶意接入,使得物联网网络连接存在安全隐患。
本发明提出了面向感知层的物联网可信连接架构,实现了感知层节点与物联网网络接入方之间的双向身份认证和平台完整性认证,以及物联网中心对感知层节点行为可信的认证。
与传统的可信网络连接模型相比,物联网的可信连接模型更注重对感知层节点的身份的认证,以及节点的行为度量。随着物联网的快速发展,物联网面临的安全威胁越来越严重,传统的基于身份鉴别的安全认证方式已经不能满足物联网的安全性要求。现阶段的网络连接架构主要局限性表现在下面几个方面:
首先,感知层节点内部机制完整性度量不能持续。感知层节点的内部机制的可信状态并非一成不变的,随着感知层节点运行环境变化发生改变。因此,仅仅在启动阶段进行平台的完整性度量是不充分的。感知节点加入感知网环境后,其采集和发送信息,转发信息等都会对感知层网络环境产生影响,此时需要对感知节点进行动态的可信度量。其次,缺乏对感知层节点的属性证明。平台完整性证明仅能保证感知层节点自身全机制的保证。而感知层节点接入网络后,感知层节点的网络行为对于感知层网络的可信性具有直接的影响,因此如何针对感知层节点的行为属性进行证明对于保障感知层节点的可信具有重要的意义。
因此,传统的可信网络连接模型无法满足物联网环境的可信性,无法保证感知层节点网络连接后,感知层节点内部机制和网络行为的可信性,因此需要提出新的面向感知层的物联网可信连接框架。
研究面向感知层的物联网可信连接技术的关键是研宄适用于物联网感知层节点的可信证明方案,该方案需要结合感知节点自身的属性和可信度量完成感知节点数据来源可信的证明,然而目前己有的信任评估方法大多是针对于不同的应用场景以及节点过往行为特征所提出的,而在评估方法被设计的时候,并没有将将客观评价与主观判断进行结合
因此,本发明为了保证介入物联网的感知层节点的可信,提出了一种适用于物联网感知层的可信证明方案,在不暴露节点的隐私同时,完成对节点的可信证明。
实施例1:一种面向感知层的物联网可信连接方法,包括:
步骤一:初始化过程。感知层节点在网络连接前,对自身平台的可行性进行度量。
步骤二:感知层节点向汇聚节点和续头节点发送接入请求;
步骤三:汇聚节点和簇头节点接收到请求之后,在物联网安全认证中心的协助下,实现与感知层节点的双向身份鉴别;
步骤四:汇聚节点和簇头节点分别向感知层节点发送平台完整性鉴别请求;
步骤五:感知层节点接收到汇聚节点和簇头节点平台完整性鉴别请求信息,启动鉴别进程,执行鉴别协议来实现感知层节点平台可信性的鉴别;物联网安全认证中心验证感知层节点pik证书,完成平台完整性校验,生成校验结果。并将pik证书验证结果和平台完整性校验结果发送给感知层节点、汇聚节点和簇头节点,实现对感知层节点的身份鉴别和平台完整性鉴别。同上述过程实现对感知层节点、汇聚节点和簇头节点的身份鉴别和平台完整性鉴别。
步骤六:依据鉴别结果,汇聚节点和簇头节点根据执行访问控制,实现可信网络连接。
步骤七:建立可信网络连接。
具体实施例中可选地所述方法还包括对感知层节点行为属性的可信性进行验证,对感知层行为属性可信性进行验证过程如下:
步骤一:对感知层节点的直接行为属性可信性进行验证,所述直接行为属性包括感知层节点的环境属性;
步骤二:对感知层节点的间接行为属性的可信性进行验证,所述间接行为属性包括提取的感知层节点行为属性;
步骤三:当感知层节点直接行为属性和间接行为属性均为可信的,则所述感知层节点可信;当所述感知层节点的直接行为属性和间接行为属性中的任意一个不可信,则所述感知层节点不可信。
对感知层节点的间接行为属性的可信性进行验证具体包括:利用卷积神经网络提取感知层节点的行为属性,并对行为属性进行验证获得验证结果。
实施例2:在实施例1的基础上,本实施例提供的一种面向感知层的物联网可信连接方法,步骤七之后还包括以下步骤:
步骤八:汇聚节点和簇头节点向感知层节点请求行为属性度量。步骤九:感知层节点行为属性收集者收集行为属性信息参量并将收集的行为属性信息传递给属性校验者。
步骤十:属性校验者对感知层节点行为属性信息进行校验包括根据行为属性信息判断感知层节点行为属性是否符合具体的访问策略,若符合具体的访问策略,则允许感知层节点后续的网络行为,否则通知汇聚节点和簇头节点对感知层节点网络连接进行控制。
其中建立可信网络连接之后汇聚节点或簇头节点向感知层节点请求行为属性度量,感知层节点行为属性收集者收集行为属性信息并将收集的感知层节点行为属性信息发送给属性校验者;属性校验者对感知层节点行为属性进行校验,若符合预定的访问策略,则允许感知层节点后续的网络行为,否则通知汇聚节点或簇头节点对感知层节点网络连接进行控制。
实施例3:在实施例1或者实施例2的的基础上,本实施例提供的一种面向感知层的物联网可信连接方法,还包括对感知层节点的行为属性可信性进行验证。
通过感知层节点的行为属性可信性进行验证,结合感知层节点的行为属性度量和平台完整性度量,保障节点的可信连接。
感知层节点的行为属性由直接行为属性和间接行为属性构成。直接行为属性包括感知层节点的主体属性、客体属性和环境属性,间接行为属性是指利用卷积神经网络提取的感知层节点行为属性。
感知层节点网络连接中行为属性的可信性校验过程如下:
步骤一:对节点的环境属性和行为属性进行验证,筛选感知层的节点的行为,对节点的行为进行度量;
步骤二:对通过卷积神经网络提取的节点属性进行验证,初步筛选出来的节点,通过卷积神经网络,筛选出节点的间接的属性,度量节点的隐秘行为;
步骤三:如果节点的行为均为可信的,即直接行为和间接行为均为可信的,那么这个节点为可信的,如果有一个不可信,那么这个节点为不可信的。
实施例4:与以上实施例相对应的,本实施例提供了一种面向感知层的物联网可信连接系统,包括:感知层节点、簇头节点和汇聚节点;
所述感知层节点分别向汇聚节点和簇头节点发送接入网络请求;
所述簇头节点根据接入网络请求返回请求感知层节点与簇头节点的双向身份鉴别的信息;
所述汇聚节点根据接入网络请求返回请求感知层节点与汇聚节点的双向身份鉴别的信息;
所述感知层节点响应于汇聚节点和簇头节点根据接入网络请求返回的信息执行感知层节点与汇聚节点的双向身份鉴别以及感知层节点与簇头节点的双向身份鉴别;若双向身份认证均通过,则执行平台可信性鉴别以及平台完整性校验;若平台可信性鉴别以及平台完整性校验均通过则建立可信网络连接。
实施例5:在实施例4的基础上,本实施例提供的一种面向感知层的物联网可信连接系统还包括:网络访问控制及可信平台评估层和完整性度量层,在所述网络访问控制及可信平台评估层设置物联网安全认证中心,所述网络访问控制及可信平台评估层用于为感知层节点分别向汇聚节点和簇头节点发送接入网络请求,汇聚节点和簇头节点向感知层节点返回根据接入网络请求返回的信息,以及执行感知层节点与汇聚节点的双向身份鉴别以及感知层节点与簇头节点的双向身份鉴别提供通道支持;
所述物联网安全认证中心作为可信第三方协助完成感知层节点与汇聚节点的双向身份鉴别以及感知层节点与簇头节点的双向身份鉴别以及平台完整性鉴别,将感知层节点的pik证书验证结果和平台完整性校验结果发送感知层节点、汇聚节点和簇头节点;
所述完整性度量层是感知层节点、汇聚节点和族头节点平台完整性度量的执行层,用于收集感知层节点、汇聚节点和族头节点所在平台的完整性信息,将完整性信息提供给物联网安全认证中心执行平台完整性鉴别。
实施例6:在实施例4或5的基础上,本实施例提供的一种面向感知层的物联网可信连接系统,所述系统还包括行为属性度量层,所述行为属性度量层包括感知层节点行为属性收集者和属性校验者,所述感知层节点行为属性收集用于收集行为属性信息并将这些感知层节点行为属性信息发送给属性校验者;属性校验者对感知层节点行为属性进行校验,若符合预定的访问策略,则允许感知层节点后续的网络行为,否则通知汇聚节点或簇头节点对感知层节点网络连接进行控制。
本实施例中感知层节点发送网络接入请求信息,在物联网安全认证中心支持下,通过上下层的交互,实现与汇聚节点/簇头节点之间的双向身份鉴别和平台完整性鉴别。
汇聚节点和簇头节点:接受网络接入请求信息,在物联网安全认证中心支持下,通过上下层的交互,实现与感知层之间的双向身份鉴别和平台完整性鉴别,以及对感知层节点的行为属性鉴别。依据鉴别结果,对感知层节点进行访问控制。
物联网安全认证中心:物联网安全认证中心与感知层节点和汇聚节点以及感知层节点和簇头节点共同执行双向身份鉴别协议和可信平台评估协议,并作为身份鉴别协议的可信第三方,实现感知层节点和汇聚节点和簇头节点之间的双向身份鉴别和可信平台评估;验证感知层节点行为属性的可信性。
完整性度量收集者收集感知层节点和汇聚节点/簇头节点平台的平台完整性信息。
完整性校验者校验感知层节点和汇聚节点/簇头节点平台的平台完整性信息。
感知层节点行为属性请求者请求收集感知层节点的行为属性信息。
感知层节点行为属性收集者收集所需的行为属性信息,并将信息发送给行为属性校验者。
行为属性校验者接收感知层节点行为属性收集者发送的属性信息,校验信息并将校验结果发送汇聚节点和簇头节点。
面向感知层的物联网可信连接架构主要优势在于:第一,面向感知层的物联网可信连接架构针对感知层网络的特点设计,能够实现感知层网络连接更加细粒度的安全策略,实施和部署也更加便利。第二,集成身份鉴别,平台完整性鉴别和行为属性鉴别,能够实现对感知层网络进行全局性、实时性和一致性的可信防护。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,以及其中装置和单元等的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
以上对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。