一种物联网资源访问系统、方法、介质、设备及终端与流程

本发明属于区块链，尤其涉及一种物联网资源访问系统、方法、介质、设备及终端。

背景技术：

1、目前，随着计算机、物联网技术的发展，分布式物联网的概念是一种很有前景的发展方向，用户可以更好地控制他们生成的数据的粒度。但是用户的一个简单的错误或配置错误可能会导致他们的隐私遭到严重破坏，现有的在设备端实现当前的安全标准和访问控制解决方案都非常复杂。所以目前需要一种复杂度低的分布式的访问控制方法，而且对正常的访问安全有效。

2、田圣彪在其发表的论文《面向物联网的用户中心化认证授权系统设计与实现》中针对面向物联网的用户中心化认证授权系统进行相关的研究与实现，其中分别面向物联网的用户中心化认证授权系统的需求分析以及总体架构设计，面向物联网的用户中心化认证授权系统的相关研究工作，在以用户为中心的认证授权协议openid connect 1.0的基础上，实现物联网环境下具有良好用户互操作性的认证授权及访问控制流程。但是该授权逻辑委托给外部服务需要被委托的实体和设备之间有很强的信任关系。此外，它们之间的所有通信都必须是安全的并相互验证的，以便委托的实体安全级别至少与内部实现授权逻辑一样高。

3、李永娇等作者在其发表的论文《物联网安全资源共享关键技术的研究》一文中针对物联网环境下数据资源共享过程中容易造成隐私信息泄露、非法用户窃取数据等安全威胁，提出一种基于密文属性认证的安全资源共享协议，该协议采用隐藏属性的身份认证方法对物联网中各终端设备进行身份认证，首先对终端设备的属性进行加密隐藏，然后用加密后的属性进行身份认证。在保障参与数据共享的终端设备的合法性的同时，避免终端设备的隐私信息泄露。认证后的终端设备计算加解密密钥对其共享的资源进行加密存储，也可以通过权限和身份双重认证，下载并解密共享资源。但是这种方案需要基于在离散对数问题和双线性计算diffie-hellman问题假设下，该条件不满足的情况下也可能导致数据泄露，降低平台的防御能力。

4、通过上述分析，现有技术存在的问题及缺陷为：

5、(1)现有在设备端实现当前的安全标准和访问控制解决方案都非常复杂。

6、(2)现有授权逻辑委托给外部服务需要被委托的实体和设备之间有很强的信任关系；此外，它们之间的所有通信都必须是安全的并相互验证的。

7、(3)现有技术需要基于在离散对数问题和双线性计算diffie-hellman问题假设下，该条件不满足的情况下也可能导致数据泄露，降低平台的防御能力。

8、解决以上问题及缺陷的难度为：在物联网中，访问控制面临巨大挑战。由于智能对象的局限性，目前的访问控制标准很难在智能对象上实现，而引入强大且可信的第三方来处理访问控制逻辑可能会损害用户隐私。如果将访问控制权限全部交给客户，一个简单的错误或错误的配置都可能导致他们的隐私遭到严重侵犯。目前典型的安全和访问控制标准都是围绕信任的概念构建的，其中总是引入集中式的受信任实体。然而，当在实际的物联网部署中考虑集中式方法时，会出现重大缺陷。一方面，为每个访问请求包含一个中心实体显然不利于端到端的通信安全性。另一方面，大量设备的物联网场景使得中心实体的信任管理复杂化。此外，服务器的资源非常有限，这导致了服务器端功能需要更加精简。

9、解决以上问题及缺陷的意义为：通过利用区块链技术中的协议，作为最解决前面提到的所有物联网授权挑战。分布式物联网目前的设备计算力都在提高，更多的智能化、个性化功能会出现在每个设备上，同时为了避免放权到个人，保证整个物联网系统的正常、安全运转，提出利用区块链技术完成访问控制。同时需要一个新的访问控制框架适合当前物联网发展的分布式特性，用户可以控制他们自己的隐私，而不是由一个集中控制的权力，同时可以集中处理物联网设备的授权功能。

技术实现思路

1、针对现有技术存在的问题，本发明提供了一种物联网资源访问系统、方法、介质、设备及终端，尤其涉及一种基于区块链的物联网资源访问系统、方法、介质、设备及终端，旨在解决现有数据安全平台中第三方仲裁机构信任危机，防御能力弱等问题。

2、本发明是这样实现的，一种物联网资源访问方法，所述物联网资源访问方法包括以下步骤：

3、步骤一，注册一个具有相应地址的新资源区块，请求模块发起一个请求；

4、用户访问请求需要经过注册步骤，注册之后可以向系统中发送数据，以便后续流程进行；

5、步骤二，请求模块将当前请求提交到授权管理点，判断当前请求的类型；

6、典型的访问控制系统中，当请求模块需要访问一个受保护的资源，需要将请求提交给管理员，便于管理员进行验证，批准等安全步骤；

7、步骤三，若当前请求的类型为授权访问，则执行对应的协议流程；

8、若当前请求的类型为请求访问，则执行对应的协议流程；

9、若当前请求的类型为代理访问，则执行对应的协议流程；

10、本步骤作为具体执行策略的决策点，需要将不同类型的请求，按照安全控制等级分配不同的区块进行处理；

11、步骤四，资源管理者为访问事务制定所述类型的请求；

12、本步骤需要利用编码脚本，根据不同类型请求，定制不同的访问秘钥；

13、步骤五，资源管理者将该事务广播给其他网络节点，直到到达资源请求者；

14、本步骤为了保证当前的操作能同步在分布式物联网中的各节点；

15、步骤六，资源请求者稍后充当分布式策略决策者，并对事务进行评估；

16、本步骤为资源请求者的转换过程，为后续步骤中策略决策者操作进行铺垫；

17、步骤七，策略决策者使用定义的策略检查请求，将此事务的解锁脚本与前一个授权请求事务的锁定脚本进行比较；

18、本步骤在物联网中检查请求方已经满足了访问条件，可以利用解码脚本进行信息处理，同时令牌现在是有效的，可以供请求方使用。

19、步骤八，策略决策者决定是允许请求还是拒绝请求；

20、本步骤表示策略决策者可以作为请求是否执行的结果；

21、如果允许则将该请求记录在区块链中，否则该事务将被拒绝并向其发送方发送一个拒绝通知，并终止当前流程。

22、进一步，所述步骤一中的注册一个具有相应地址的新资源区块包括：

23、在框架中，定义一个授权令牌。此令牌只是一个数字签名，表示事务的创建者为访问由其地址设计的特定资源而对其接收者定义的访问权限或授权。

24、所述请求模块发起一个请求包括：

25、智能设备a在申请访问设备b前，获取接入令牌；a向设备b发送一个请求，指示目标资源的地址和要执行的操作；设备b定义他的访问控制策略，并通过授权事务将其重新加载到区块链中。

26、进一步，所述步骤二中的授权管理点充当管理受保护资源的策略实施点。

27、进一步，所述步骤三中，若当前请求的类型为授权访问，则：

28、(1)资源管理者对当前请求制定一个规则；

29、(2)认证管理者将当前的请求规则转换为脚本；

30、(3)资源管理者对请求者的公钥加密生成一个令牌；

31、(4)资源管理者利用如下公式生成一个交易请求：

32、tx＝(m,sigrs(m))wherem＝(idx,input(rs),output(rq,πx,tknrs,rq))；

33、(5)每一个节点在交易过程中验证交易请求tx的合法性；

34、(6)若当前事务是一个未被交易的对象，则当前交易会被记录在区块链中，并展示在请求者的钱包中，作为请求者可用的对象；

35、(7)若当前事务是一个已经交易过的对象，则当前的交易请求会被拒绝。

36、进一步，所述步骤三中，若当前请求的类型为请求访问，则：

37、(1)请求者将扫描其可用的数据库；

38、(2)资源管理者会解密当前访问请求携带的秘钥；

39、(3)资源管理者执行锁定任务，保证其他请求者暂时无法获取当前请求者请求的资源；

40、(4)校验请求者满足访问当前资源的控制条件，执行访问任务，生成一个解锁脚本；

41、(5)资源管理者按照如下公式生成访问请求事务：

42、

43、(6)资源管理者将生成的事务传播到整个网络中；

44、(7)网络节点验证和验证事务，如果它是有效的，它将被包含在区块链中，否则它将被拒绝并向其发送方发送通知；

45、(8)一旦事务出现在区块链中，则意味着网络见证请求者已经完成访问条件，解锁脚本，那么token现在是有效的，可以使用；

46、(9)请求者设备将令牌发送到目标设备；

47、(10)目标设备通过检查区块链中是否包含请求事务来检查令牌的有效性；如果是有效的，则允许访问，否则拒绝访问。

48、进一步，所述步骤三中，若当前请求的类型为代理访问，则：

49、(1)若请求设备a通过代理c访问资源管理者，利用如下公式产生事务：

50、tx＝(m,siga(m))wherem＝(idx,input(ref,rs,ψ),output(c.pk,πx,tknc.pk,rs))；

51、(2)资源管理者广播当前的事务tx；

52、(3)区块链中的各区块验证事务有效性；

53、(4)如果当前请求事务有效，则将当前的事务tx记录在区块链中，同时由代理c作为当前资源的管理者；

54、(5)当代理c需要提供访问当前资源时，创建一个访问事务，必须通过代理c创建的一个满足访问条件的脚本来解锁。

55、本发明的另一目的在于提供一种实施所述的物联网资源访问方法的物联网资源访问系统，所述物联网资源访问系统包括：

56、新资源区块注册模块，用于注册一个具有相应地址的新资源区块；

57、请求发起及提交模块，用于通过请求模块发起一个请求，并将当前请求提交到授权管理点，

58、请求类型判断模块，用于判断当前请求的类型；若当前请求的类型为授权访问，则执行对应的协议流程；若当前请求的类型为请求访问，则执行对应的协议流程；若当前请求的类型为代理访问，则执行对应的协议流程；

59、请求制定模块，用于通过资源管理者为访问事务制定所述类型的请求；

60、事务广播模块，用于通过资源管理者将该事务广播给其他网络节点，直到到达资源请求者；

61、事务评估模块，用于通过资源请求者稍后充当分布式策略决策者，并对事务进行评估；

62、请求检查模块，用于通过策略决策者使用定义的策略检查请求，将此事务的解锁脚本与前一个授权请求事务的锁定脚本进行比较；策略决策者决定是允许请求还是拒绝请求；如果允许则将该请求记录在区块链中，否则该事务将被拒绝并向其发送方发送一个拒绝通知，并终止当前流程。

63、本发明的另一目的在于提供一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：

64、注册一个具有相应地址的新资源区块；请求模块发起一个请求；请求模块将当前请求提交到授权管理点；判断当前请求的类型；若当前请求的类型为授权访问，则执行对应的协议流程；若当前请求的类型为请求访问，则执行对应的协议流程；若当前请求的类型为代理访问，则执行对应的协议流程；

65、资源管理者为访问事务制定所述类型的请求；资源管理者将该事务广播给其他网络节点，直到它到达资源请求者；资源请求者稍后充当分布式策略决策者，并对事务进行评估；策略决策者使用定义的策略检查请求，将此事务的解锁脚本与前一个授权请求事务的锁定脚本进行比较；策略决策者决定是允许请求还是拒绝请求；如果允许则将该请求记录在区块链中，否则该事务将被拒绝并向其发送方发送一个拒绝通知，并终止当前流程。

66、本发明的另一目的在于提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如下步骤：

67、注册一个具有相应地址的新资源区块；请求模块发起一个请求；请求模块将当前请求提交到授权管理点；判断当前请求的类型；若当前请求的类型为授权访问，则执行对应的协议流程；若当前请求的类型为请求访问，则执行对应的协议流程；若当前请求的类型为代理访问，则执行对应的协议流程；

68、资源管理者为访问事务制定所述类型的请求；资源管理者将该事务广播给其他网络节点，直到它到达资源请求者；资源请求者稍后充当分布式策略决策者，并对事务进行评估；策略决策者使用定义的策略检查请求，将此事务的解锁脚本与前一个授权请求事务的锁定脚本进行比较；策略决策者决定是允许请求还是拒绝请求；如果允许则将该请求记录在区块链中，否则该事务将被拒绝并向其发送方发送一个拒绝通知，并终止当前流程。

69、本发明的另一目的在于提供一种信息数据处理终端，所述信息数据处理终端用于实现所述的物联网资源访问系统。

70、结合上述的所有技术方案，本发明所具备的优点及积极效果为：本发明提供的物联网资源访问方法，首次结合了访问控制模型和加密货币区块链机制，本发明采用智能合约来表达细粒度的上下文访问控制策略，以做出授权决策；选择授权令牌作为访问控制机制，通过紧急加密资源来解决方案交付；区块链可以确保在没有中央权威机构/管理员的分布式环境中评估访问策略，并保证策略将被所有交互实体正确执行，其次是为了确保令牌重用检测。本发明可用于车联网、互联网信息管理、教育资源管理和医疗设备管理等涉及用户个人隐私信息的领域。

71、本发明在针对物联网资源访问流程中，首先设计了授权管理者，资源管理者，认证管理者，策略决策者等角色，然后按照不同的请求方式设计了一个完整的数据流交互关系，最终使得用户可以安全的存储和取用自己的信息。相较于普通的物联网访问控制等系统，开创了区块链的一个新的应用领域，即通过本发明提到的框架进行访问控制，利用基于区块链提供的一致性来解决物联网单中心多分布模块的访问控制问题。

72、本发明在针对访问资源令牌的设计中，采用了智能编程控制算法，该算法这使得区块资源能够实现更细粒度的访问控制策略，只要该系统中加密解密算法可以转换为脚本语言，就可以用任何访问控制模型表示，并且通过相同的机制，可以添加额外的操作和安全保护。