本发明属于物联网技术领域,具体而言,涉及一种物联网认证和访问控制方法及物联网安全网关系统。
背景技术:
随着信息技术和互联网的发展,越来越多的传统产品具备了网络访问功能,例如摄像头、汽车、门禁等,用户可以通过网络和这些物体进行通信,这些物体也可以通过网络进行物与物之间的通信,这使得这些物体成为了网络的一部分,我们称之为物联网。
目前,随着物联网技术的发展,物联网在许多领域都有应用(例如家居、交通、监控、医疗等领域)。用户可以通过物联网设备厂商提供的软件或方法控制和使用物联网设备。从物联网市场来看,现目前其具有以下特点:从事物联网设备研发的厂商众多,产品种类繁多,目前已经形成了一定的市场规模;但是各个物联网设备厂商所提供的物联网设备访问、授权和认证方法存在不足(例如用户直接使用默认账号和密码,用户使用其常用的密码,信息传输未加密等),容易被不法分子利用;且由于物联网厂商众多,不同厂商间的物联网设备的访问、授权和认证方法各不相同,使得用户在使用不同厂商的物联网设备时,需要使用多个物联网设备应用程序、记录好各个设备的用户名和密码等凭证,这使得用户体验变差。
上述问题容易造成用户的物联网设备容易被他人非法访问,使得用户的信息泄漏、物联网设备被非法操控、用户体验下降等严重问题,甚至一些物联网设备的重要数据被修改,可能引发设备故障和严重的安全事故。
技术实现要素:
针对上述问题,本发明的目的在于提供一种物联网认证和访问控制方法及物联网安全网关系统。
技术方案如下:
本发明的物联网认证和访问控制方法,包括以下步骤:
初始化步骤,实现物联网设备与安全网关平台的连接和绑定;
授权步骤,安全网关系统对用户和终端设备进行认证授权;
登陆认证步骤,安全网关系统对用户和终端设备进行登录认证;
访问认证步骤,登录认证成功后,安全网关系统对用户访问安全网关系统下的物联网设备的访问请求进行访问认证。
优选的,所述初始化步骤,物联网设备通过有线或无线网络实现与安全网关平台的连接并绑定;物联网与安全网关平台之间通过软件接口或硬件接口的方式实现连接和绑定。
优选的,所述授权步骤,包括:
设备认证授权,安全网关系统对所在内网中的提出认证授权请求的设备进行认证授权;
用户授权,安全网关系统对在已认证的设备上发起的用户注册申请和对物联网设备的使用或控制申请进行授权;
临时访问授权,对安全网关系统或已具备该物联网设备访问权限的用户的临时访问进行授权;
其中:安全网关平台获取终端设备特征信息并加密,所述终端特征信息包括:主板序列号、硬盘序列号、处理器序列号、网卡mac地址或芯片的唯一编码;安全网关平台生成认证终端设备特征码并下发授权证书,被认证终端设备接收并存储授权证书。
优选的,用户注册和授权操作如下:
用户开启终端设备上的安全网关系统客户端并进入注册界面;客户端查验终端授权证书是否有效;用户录入用户信息和申请物联网设备访问权;安全网关系统核验用户注册信息并对申请的物联网设备访问权进行授权。
优选的,单次访问授权以授权码的方式进行,通过授权码实现唯一标识:授权者、被授权者、授权访问物联网设备、授权日期、有效期和密钥。
优选的,所述登录步骤,用户通过已获得授权的终端设备上的客户端或以web方式以用户名、密码或生物特征信息方式登录系统,所述生物特征信息包括指纹、声纹、人脸和虹膜识别信息。
优选的,所述访问认证步骤,包括:
用户通过在认证的终端设备上成功登录后,当用户请求访问安全网关系统下的物联网设备时,安全网关系统核验用户是否具有该物联网设备的访问权限;
用户拥有临时访问授权时,当用户对设备申请访问时,安全网关系统核验临时访问授权是否真实有效。
优选的,已登录的用户发起访问请求,服务器收到请求后查验该用户是否具有其请求访问的物联网设备的访问权限,如果有则建立终端设备与其请求的物联网设备之间的连接,如果没有则拒绝请求;
临时访问时,安全网关平台首先核验临时授权访问码的有效性和合法性,如果成功则建立终端设备与物联网设备之间的连接,否则拒绝访问请求。
本发明的安全网关系统,包括:
终端设备,预先认证并发放授权证书的终端设备,或者作为临时访问的未认证授权的终端设备;
安全网关平台,用于管理系统中的物联网设备、用户管理、认证授权和用户管理;
客户端,客户端为运行在终端设备上的应用程序,或者是web方式;
物联网设备,通过相应接口直接于安全网关相连或者依托于安全网关平台相连的物联网设备。
优选的,所述安全网关系统进行用户登录身份认证时,通过用户名、密码或生物特征信息方式登录,所述生物特征信息包括指纹、声纹、人脸和虹膜识别信息。
本发明所取得的技术效果在于:
如上所述,本发明对设备和用户的认证和授权方法以及安全网关系统中,对设备的认证和授权发生在安全网关的内网中,通过设备唯一标识信息产生授权证书,这能保证访问设备的安全性。同时,用户通过已授权的设备进行认证和访问物联网设备,能够确保使用环境和数据交互的安全性。安全网关平台可以根据用户设备的授权与否决定其是否可以访问安全网关系统,以及其访问的时间限制或次数限制。对于非认证设备和临时用户访问,可以以临时访问授权方式进行物联网设备访问。由此,本发明能够有效的防止攻击和非法访问,保护用户物联网设备和数据的安全,同时,其提供临时使用授权,也不失使用的灵活性。
附图说明
图1是表示本发明实施例中基于物联网的物联网认证和访问控制方法的概要流程图。
图2是表示本发明实施例中安全网关系统的拓扑结构图。
图3是表示本发明实施例中的终端认证和授权的流程图。
图4是表示本发明实施中用户访问安全网关系统中物联网设备的流程图。
具体实施方式
为使本发明的技术方案和优点更为具体的体现,下面将以实施实例以及附图,对本发明提供的一种物联网认证和访问控制方法及物联网安全网关系统进行更为详细的说明。应当理解为,以下实施实例仅用于解释本发明,并不决定本发明的宗旨或限定本发明所要保护的范围。
首先,对本发明实施的一些要点进行说明。
本发明的物联网授权和认证方法中对终端设备的认证和授权需要借助能够唯一标识终端设备的特征信息,比如处理器序列号、硬盘序列号、网卡mac地址等,认证和授权时被认证的设备需要处于安全网关系统的内网中。用户注册、登录、申请对设备的控制权等需在已经认证和授权的终端上进行,在未被授权的终端设备上,用户可以通过web或客户端以临时授权的方式访问安全网关系统下的物联网设备。
本发明中所提及的对用户认证的部分认证方法需要借助终端的支持,比如运用生物特征信息进行认证时,终端设备需具有摄像头、指纹读取器、麦克风等该种认证方法所必需的信息采集装置。
接着,对本发明关于终端设备的认证和授权进行说明。
终端设备的认证和授权流程图如图1所示,包括以下步骤:
步骤s100:用户下载并安装安全网关系统客户端;
步骤s101:将需要认证和授权的客户端连接到安全网关系统下的网络中,或者连接到安全网关系统所在网络中;
步骤s102:用户发出设备认证和授权请求,客户端读取终端的特征信息,例如处理器序列号、硬盘序列号、主板序列号、网卡的mac地址等,并将读取的终端特征信息加密上传到安全网关系统。
步骤s103:安全网关系统根据终端特征信息计算特征信息码并下发授权证书;
步骤s104:被认证的终端接收并存储授权证书,认证和授权完成。
本发明的一种拓扑结构图如图2所示,物联网设备通过相应的设备接口与安全网关平台相连,用户只能通过安全网关平台才能访问物联网设备,合法用户可以通过已认证的设备自由访问其权限范围内的物联网设备,对于未认证的设备和临时访问需要,系统管理员或已授权的用户可以制作临时访问授权码,通过临时访问授权码,用户可以在未认证的设备上访问本次授权访问的设备。
以下,对于本发明的一个应用样例进行说明。其中,物联网设备为家用空气净化器,终端为已认证的用户安卓智能手机和未认证的用户笔记本电脑,安全网关平台安装在家庭路由器上。
初始化阶段:
物联网设备链接:用户在家中安装好空气净化器后,将空气净化器链接上家庭中的wifi,然后通过安全网关平台相应的接口将空气净化器绑定到安全网关平台上。
终端认证和授权:用户通过其安卓智能手机下载并安装安全网关系统客户端,然后连接上家庭中的wifi。用户在客户端上发起终端认证和授权之后,安全网关平台接受认证请求并通过终端上的程序读取终端设备的主板序列号、硬盘序列号、处理器序列号等并加密上传至安全网关平台,安全网关平台根据上传的数据计算特征码并生成数字证书下发给被认证的终端设备,终端设备上的客户端接收端数字证书后解密并存储在本地。至此,终端设备的认证和授权完成。
用户注册、设备访问权申请以及授权:用户通过已被认证和授权的终端进行注册操作,安全网关平台首先通过系统客户端查验用户用于注册的终端设备是否具有授权,如果终端已具有授权则允许用户注册并填写相应资料,完成之后安全网关系统管理员审核注册资料,通过并授予用户特定物联网设备的访问权。
用户访问物联网设备阶段:
已注册用户访问物联网设备:用户在智能安卓手机上开启安全网关系统客户端,并进入登录模块。客户端查验授权证书并核验证书是否属于该终端,成功则允许用户登录,失败则拒绝用户登录操作。登录阶段,用户通过智能手机读入指纹信息并加密上传到安全网关平台,安全网关平台核验指纹数据的真伪,匹配成功则用户登录操作成功。
用户在客户端进行空气净化器控制操作,例如获取室内二氧化碳浓度、pm2.5浓度等信息,安全网关平台接收到用户请求后,核验用户是否有该空气净化器操作权限,如果事先已授权,则允许用户对空气净化器的操作,如果未授权则拒绝用户操作请求。同时,如果用户没有空气净化器的操作权限,其可以申请授权,并等待管理员授权。
未注册用户或已注册用户临时访问未授权物联网设备:首先,系统管理员或具有该设备权限的用户根据临时访问要求,在安全网关平台下生成临时访问授权码,并将临时访问码告知需要临时访问物联网设备的用户。用户在取得临时访问授权码之后,在有效时间内通过安全安全网关系统客户端访问授权的物联网设备。
用户打开智能终端设备上的安全网关系统客户端,客户端启动后自动与服务器连接,用户进入临时授权访问界面并输入已获得的授权码,安全网关系统客户端上传授权码到安全网关平台查验临时访问授权码的有效性和并解析出将访问的物联网设备,如果验证码有效则给用户开放授权的物联网设备。
上述所涉及的加密传输的加密方法,本发明不予以限制,可以为任何加密方法。
在本发明中,终端设备包括但不限于:智能手机、平板电脑、智能手环、电脑、嵌入式终端设备。物联网设备可以位于互联网中,例如在街道上行驶的汽车、无人机等,也可以位于局域网中的物联网设备,例如安装在安全网关平台所在局域网中的摄像头、门禁、电视等。
如上所述,在本发明的安全网关系统中,对于终端的认证需要被认证的终端与安全网关平台在同一个局域网中或直接连接到安全网关平台,通过对设备的唯一性进行判断和识别,对于非认证设备或具有异常行为的非认证设备,安全网关系统可以直接拒绝其访问系统,故其能够保证终端环境的安全性。而且,通过用户在安全环境下登录,例如指纹登录、面部识别登录、密码登录,其中涉及的客户端与安全网关平台的通信都是通过加密处理,故能够抵御非法用户或恶意软件的攻击。
以上例子结合附图本发明的实施方式做了说明。尽管只对本发明的一些具体实施方式和技术要点做出了描述,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明的宗旨前提下做出各种变化。因此,所展示的例子与实施方式被视为示意性的而非限制性的,在不脱离如所附各权利要求所定义的本发明精神及范围的情况下,本发明可能涵盖各种的修改与替换。