一种工业互联网设备安全接入方法及相关装置与流程
本申请涉及互联网认证领域,特别是涉及一种工业互联网设备安全接入方法及相关装置。
背景技术:
随着网络技术的发展,互联网越来越多的被应用于现代生活的各个领域。
其中,工业互联网是互联网技术在工业领域的重要应用方式之一。通过工业互联网,相关领域的技术人员可以对接入该互联网的设备进行管理,从而使工业管理更加便捷与简易。
然而,现有的工业互联网认证方式无法对接入互联网的设备的使用进行准确的监控,容易出现设备盗用的情况,认证安全性较差。
技术实现要素:
为了解决上述技术问题,本申请提供了一种工业互联网设备安全接入方法及相关装置,处理设备可以通过设备与用户之间的绑定关系对用户以及设备进行双重认证,从而一定程度上避免了设备被盗用的问题,提高了认证的安全性。
本申请实施例公开了如下技术方案:
第一方面,本申请实施例提供了一种工业互联网设备安全接入方法,所述方法包括:
获取存证凭证、第一设备标识以及第一用户标识;
获取所述存证凭证对应的绑定关系;
根据所述绑定关系中的第二设备标识,对所述第一设备标识进行第一比对;
根据所述绑定关系中的第二用户标识,对所述第一用户标识进行第二比对;
根据所述第一比对和所述第二比对的比对结果,判断所述第一用户标识对应的用户是否具有使用所述第一设备标识对应的设备的资格。
可选的,所述方法还包括:
获取所述第一设备标识对应的第一公钥;
所述获取所述存证凭证对应的绑定关系,包括:
获取所述存证凭证对应的加密信息;所述加密信息是通过所述第二设备标识对应的第一私钥加密得到的;
通过所述第一公钥对所述加密信息进行解密;
若解密失败,终止认证;
若解密成功,得到存证凭证对应的绑定关系。
可选的,所述获取存证凭证、第一设备标识以及第一用户标识,包括:
获取通过第二公钥加密后的所述存证凭证、所述第一设备标识以及所述第一用户标识;
通过所述第二公钥对应的第二私钥,对所述加密后的所述存证凭证、所述第一设备标识以及所述第一用户标识进行解密;
若解密失败,终止认证;
若解密成功,得到所述存证凭证、所述第一设备标识以及所述第一用户标识。
可选的,所述根据所述第一比对和所述第二比对的认证结果,判断所述第一用户标识对应的用户是否具有使用所述第一设备标识对应的设备的资格,包括:
若所述第一比对和所述第二比对都通过,则所述第一用户标识对应的用户具有使用所述第一设备标识对应的设备的资格;
若所述第一比对和所述第二比对中存在比对失败的情况,则所述第一用户标识对应的用户不具有使用所述第一设备标识对应的设备的资格。
可选的,所述方法还包括:
获取所述第一设备标识对应的设备类型;
根据所述设备类型,确定所述第一设备标识对应的设备安全状态模型;
获取所述第一设备标识对应的第一历史行为数据;
根据所述第一历史行为数据和所述设备安全状态模型,确定所述第一设备标识对应的第一设备安全状态;
根据所述第一设备安全状态,判断所述第一设备标识对应的设备是否能够通过认证。
可选的,所述设备安全状态模型是通过以下方法得到的:
将所述设备类型对应的第二历史行为数据作为训练样本,所述设备类型对应的第二设备安全状态作为训练标签,得到所述设备类型对应的所述设备安全状态模型。
可选的,所述根据所述第一设备安全状态,判断所述第一设备标识对应的设备是否能够通过认证,包括:
根据所述第一设备安全状态,确定所述第一设备标识对应的设备访问权限;
根据所述设备访问权限,判断所述第一设备标识对应的设备是否能够通过认证。
可选的,所述方法还包括:
存储所述第一比对和所述第二比对的比对结果。
可选的,所述设备标识是根据设备名称、设备型号、设备序列号、生产厂商、出厂日期等信息中的任意一种或多种的组合来生成的。
可选的,所述用户标识是根据用户账号、用户姓名、用户联络号码等信息中的任意一种或多种的组合来生成的。
可选的,在所述获取存证凭证、第一设备标识以及第一用户标识之前,所述方法还包括:
注册所述第一设备标识和所述第一用户标识;
生成所述第一设备标识对应的校验设备标识和所述第一用户标识对应的校验用户标识;
将所述校验设备标识和所述校验用户标识进行存储;
获取所述校验设备标识对应的第一存储地址和所述校验用户标识对应的第二存储地址。
可选的,在所述获取所述凭证对应的绑定关系之前,所述方法还包括:
获取所述第一存储地址和所述第二存储地址;
根据所述第一存储地址,获取所述校验设备标识;
根据所述第二存储地址,获取所述校验用户标识;
根据所述校验设备标识,对所述第一设备标识进行第一校验;
根据所述校验用户标识,对所述第一用户标识进行第二校验;
若所述第一校验和所述第二校验通过,则进行后续步骤。可选的,所述方法是基于区块链来实现的。
第二方面,本申请实施例提供了一种工业互联网设备安全接入装置,所述装置包括第一获取单元、第二获取单元、第一比对单元、第二比对单元和第一判断单元:
所述第一获取单元,用于获取存证凭证、第一设备标识以及第一用户标识;
所述第二获取单元,用于获取所述存证凭证对应的绑定关系;
所述第一比对单元,用于根据所述绑定关系中的第二设备标识,对所述第一设备标识进行第一比对;
所述第二比对单元,用于根据所述绑定关系中的第二用户标识,对所述第一用户标识进行第二比对;
所述第一判断单元,用于根据所述第一比对和所述第二比对的认证结果,判断所述第一用户标识对应的用户是否具有使用所述第一设备标识对应的设备的资格。
可选的,所述装置还包括第三获取单元:
所述第三获取单元,用于获取所述第一设备标识对应的第一公钥;
所述第二获取单元具体用于:
获取所述存证凭证对应的加密信息;所述加密信息是通过所述第二设备标识对应的第一私钥加密得到的;
通过所述第一公钥对所述加密信息进行解密;
若解密失败,终止认证;
若解密成功,得到存证凭证对应的绑定关系。
可选的,第一获取单元具体用于:
获取通过第二公钥加密后的所述存证凭证、所述第一设备标识以及所述第一用户标识;
通过所述第二公钥对应的第二私钥,对所述加密后的所述存证凭证、所述第一设备标识以及所述第一用户标识进行解密;
若解密失败,终止认证;
若解密成功,得到所述存证凭证、所述第一设备标识以及所述第一用户标识。
可选的,第一判断单元具体用于:
若所述第一比对和所述第二比对都通过,则所述第一用户标识对应的用户具有使用所述第一设备标识对应的设备的资格;
若所述第一比对和所述第二比对中存在比对失败的情况,则所述第一用户标识对应的用户不具有使用所述第一设备标识对应的设备的资格。
可选的,所述装置还包括第四获取单元、第一确定单元、第五获取单元、第二确定单元和第二判断单元:
所述第四获取单元,用于获取所述第一设备标识对应的设备类型;
所述第一确定单元,用于根据所述设备类型,确定所述第一设备标识对应的设备安全状态模型;
所述第五获取单元,用于获取所述第一设备标识对应的第一历史行为数据;
所述第二确定单元,用于根据所述第一历史行为数据和所述设备安全状态模型,确定所述第一设备标识对应的第一设备安全状态;
所述第二判断单元,用于根据所述第一设备安全状态,判断所述第一设备标识对应的设备是否能够通过认证。
可选的,所述设备安全状态模型是通过以下方法得到的:
将所述设备类型对应的第二历史行为数据作为训练样本,所述设备类型对应的第二设备安全状态作为训练标签,得到所述设备类型对应的所述设备安全状态模型。
可选的,第二判断单元具体用于:
根据所述第一设备安全状态,确定所述第一设备标识对应的设备访问权限;
根据所述设备访问权限,判断所述第一设备标识对应的设备是否能够通过认证。
可选的,所述装置还包括第一存储单元:
所述第一存储单元,用于存储所述第一比对和所述第二比对的比对结果。
可选的,所述设备标识是根据设备名称、设备型号、设备序列号、生产厂商、出厂日期等信息中的任意一种或多种的组合来生成的。
可选的,所述用户标识是根据用户账号、用户姓名、用户联络号码等信息中的任意一种或多种的组合来生成的。
可选的,装置还包括注册单元、生成单元、第二存储单元、第六获取单元:
注册单元,用于注册所述第一设备标识和所述第一用户标识;
生成单元,用于生成所述第一设备标识对应的校验设备标识和所述第一用户标识对应的校验用户标识;
第二存储单元,用于将所述校验设备标识和所述校验用户标识进行存储;
第六获取单元,用于获取所述校验设备标识对应的第一存储地址和所述校验用户标识对应的第二存储地址。
可选的,装置还包括第七获取单元、第八获取单元、第一校验单元、第二校验单元和执行单元:
第七获取单元,用于获取所述第一存储地址和所述第二存储地址;
第八获取单元,用于根据所述第一存储地址,获取所述校验设备标识;
根据所述第二存储地址,获取所述校验用户标识;
第一校验单元,用于根据所述校验设备标识,对所述第一设备标识进行第一校验;
第二校验单元,用于根据所述校验用户标识,对所述第一用户标识进行第二校验;
执行单元,用于若所述第一校验和所述第二校验通过,则进行后续步骤。
可选的,所述装置是基于区块链来建立的。
第三方面,本申请实施例提供了一种用于认证的设备,所述设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面中所述的工业互联网设备安全接入方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行第一方面中所述的工业互联网设备安全接入方法。
由上述技术方案可以看出,本申请实施例提供了一种工业互联网设备安全接入方法,基于该方法,处理设备可以获取此次认证对应的存证凭证,然后通过该存证凭证确定对应的绑定关系,并通过该绑定关系中对应的设备标识和用户标识,对获取到的设备标识和用户标识进行比对,从而能够确定该用户标识对应的用户是否具有使用该设备标识对应的设备的资格,在一定程度上避免了设备被盗用的情况,提高了认证的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种工业互联网设备安全接入方法的流程图;
图2a为本申请实施例提供的一种工业互联网设备安全接入装置的结构框图;
图2b为本申请实施例提供的一种工业互联网设备安全接入装置的结构框图;
图2c为本申请实施例提供的一种工业互联网设备安全接入装置的结构框图;
图2d为本申请实施例提供的一种工业互联网设备安全接入装置的结构框图;
图3为本申请实施例提供的一种用于工业互联网设备安全接入的设备的结构图;
图4为本申请实施例提供的一种服务器的结构图。
具体实施方式
下面结合附图,对本申请的实施例进行描述。
工业互联网作为当下工业领域的发展潮流,其安全性一直是相关技术人员所研究的重点问题。在相关技术中,有关工业互联网的认证仅仅是对接入工业互联网的设备进行认证,而并没有对使用该设备的用户进行认证,因此可能会出现设备并不是被该设备所对应的工作人员进行使用,即被盗用的情况。当设备被盗用时,可能会导致工业信息被泄露、产业链被恶意破坏等一系列问题。
为了解决上述技术问题,本申请提供了一种工业互联网设备安全接入方法,处理设备可以通过设备与用户之间的绑定关系对用户以及设备进行双重认证,从而一定程度上避免了设备被盗用的问题,提高了认证的安全性。
可以理解的是,该方法可以应用于处理设备上,该处理设备为具有认证功能的处理设备,例如可以是具有认证功能的终端设备或服务器。该方法可以通过终端设备或服务器独立执行,也可以应用于终端设备和服务器通信的网络场景,通过终端设备和服务器配合执行。其中,终端设备可以为计算机、个人数字助理(personaldigitalassistant,简称pda)、平板电脑等设备。服务器可以理解为是应用服务器,也可以为web服务器,在实际部署时,该服务器可以为独立服务器,也可以为集群服务器。同时,在硬件环境上,本技术已经实现的环境有:arm架构处理器、x86架构处理器;在软件环境上,本技术已经实现的环境有:android平台、windowsxp及以上操作系统或linux操作系统。
实施例一
接下来,将结合附图,对本申请实施例提供的一种工业互联网设备安全接入方法进行介绍。
参见图1,图1为本申请实施例提供的一种工业互联网设备安全接入方法的流程图,所述方法包括:
s101:获取存证凭证、第一设备标识以及第一用户标识。
在工业互联网运行的过程中,当用户想要使用接入工业互联网中的设备时,处理设备可以接收到用户通过该设备发送的认证请求。为了对使用的设备的用户进行认证,处理设备可以通过判断该第一用户标识对应的用户是否为能够使用该第一设备标识对应的设备的用户来进行。
处理设备首先需要获取此次认证所对应的第一用户标识、第一设备标识和存证凭证。其中,第一用户标识是指触发此次认证的用户所对应的用户标识,第一设备标识是指该用户想要使用的设备的设备标识,存证凭证是指该第一用户标识所对应的存证凭证。处理设备通过该存证凭证,能够从预先存储的绑定关系中确定出此次认证所对应的绑定关系。
可以理解的是,为了防止在获取的过程中出现数据异常,导致处理设备所获取到的信息与设备实际发出的信息之间出现误差,在一种可能的实现方式中,存证凭证、第一设备标识以及第一用户标识可以先通过第二公钥进行加密后再发送给处理设备。其中,第二公钥的类型可以有多种,例如可以为处理设备所对应的公钥。
处理设备可以获取通过第二公钥加密后的存证凭证、第一设备标识以及第一用户标识,然后通过第二公钥对应的第二私钥,对加密后的存证凭证、第一设备标识以及第一用户标识进行解密。根据不同的解密结果,处理设备可以做出不同的响应。例如,若解密失败,则说明在信息传输的过程中发生了异常情况导致信息出错,此时为了工业互联网的安全性,该处理设备可以终止认证;若解密成功,则可以得到该存证凭证、第一设备标识以及第一用户标识,来进行后续认证。
s102:获取存证凭证对应的绑定关系。
在获取存证凭证后,为了认证该用户是否为能够使用该设备的用户,处理设备可以根据该存证凭证,获取对应的绑定关系,该绑定关系能够标识与该用户绑定的设备。可以理解的是,为了使认证更加高效,在一种可能的实现方式中,在存储该绑定关系时,可以先用该绑定关系所对应的第二设备标识对应的第一私钥进行加密,得到该绑定关系对应的加密信息。处理设备可以获取第一设备标识所对应的第一公钥,然后获取该存证凭证对应的加密信息,并通过第一公钥对该加密信息进行解密。
若解密失败,则直接说明第一设备标识与第二设备标识为不同的设备标识,即与第一用户标识所绑定的并不是第一设备标识,此时处理设备可以直接终止认证;若解密成功,处理设备可以获取存证凭证对应的绑定关系,从而进行下一步认证。
s203:根据绑定关系中的第二设备标识,对第一设备标识进行第一比对。
在获取绑定关系后,处理设备可以通过该绑定关系,对获取到设备标识和用户标识分别进行比对。其中,处理设备可以先确定出绑定关系中所对应的第二设备标识和第二用户标识,该第二设备标识和第二用户标识为绑定的标识。处理设备可以通过比对第二设备标识与第一设备标识是否相同,来判断第一设备标识是否通过此次比对检验。
s204:根据绑定关系中的第二用户标识,对第一用户标识进行第二比对。
同理,处理设备还可以根据绑定关系中所对应的第二用户标识,来比较第一用户标识与该第二用户标识是否相同,从而判断第一用户标识是否通过比对检验。
s205:根据第一比对和第二比对的比对结果,判断第一用户标识对应的用户是否具有使用第一设备标识对应的设备的资格。
处理设备在进行第一比对和第二比对后,可以得到第一比对和第二比对的比对结果。其中,第一比对的比对结果能够体现出第一设备标识和第二设备标识是否相同,第二比对的比对结果能够体现出第一用户标识和第二用户标识是否相同。
可以理解的是,根据不同的比对结果,处理设备可以做出不同的认证响应。例如,在一种可能的实现方式中,若第一比对和第二比对都通过,则说明第一用户标识和第一设备标识具有绑定关系,此时处理设备可以判定第一用户标识对应的用户具有使用第一设备标识对应的设备的资格;若第一比对和第二比对中存在比对失败的情况,则说明第一用户标识和第一设备标识并不具有绑定关系,即该用户在盗用设备。此时,处理设备可以判定第一用户标识对应的用户不具有使用第一设备标识对应的设备的资格。
由上述技术方案可以看出,本申请实施例提供了一种工业互联网设备安全接入方法,基于该方法,处理设备可以获取此次认证对应的存证凭证,然后通过该存证凭证确定对应的绑定关系,并通过该绑定关系中对应的设备标识和用户标识,对获取到的设备标识和用户标识进行比对,从而能够确定该用户标识对应的用户是否具有使用该设备标识对应的设备的资格,在一定程度上避免了设备被盗用的情况,提高了认证的安全性。
可以理解的是,除了对用户进行认证之外,为了进一步提高认证的安全性,处理设备还可以对设备所对应的设备安全状态进行认证。其中,设备安全状态能够度量该设备当前所处的状态是否安全。在一种可能的实现方式中,处理设备可以获取第一设备标识对应的设备的设备类型,然后根据该设备类型,确定第一设备标识对应的设备的设备安全状态模型,该设备安全状态模型能够用于确定该设备类型的设备安全状态。处理设备可以获取第一设备标识对应的设备的第一历史行为数据,该历史行为数据能够体现出第一设备标识对应的设备在历史时间中的使用情况。从而,处理设备可以根据第一历史行为数据和该设备安全状态模型,确定第一设备标识对应的设备的第一设备安全状态,然后根据第一设备安全状态,判断第一设备标识对应的设备是否能够通过认证。
此外,处理设备还可以进一步的通过该设备安全状态模型,对第一设备标识对应的设备进行定期安全检查,从而对该设备对应的设备安全状态进行动态调整,进一步提高认证的安全性。
其中,设备安全状态模型的生成方法可以有多种。在一种可能的实现方式中,处理设备可以将该设备类型对应的第二历史行为数据作为训练样本,该设备类型对应的第二设备安全状态作为训练标签,得到该设备类型对应的设备安全状态模型。其中,第二历史行为数据可以为该设备类型下所有的设备对应的历史行为数据,第二设备安全状态可以为该设备类型下所有设备对应的设备安全状态。处理设备可以通过机器学习等方式进行模型训练,从而得到对应的设备安全状态模型。
此外,历史行为数据的数据类型也可以包括多种。在一种可能的实现方式中,该历史行为数据可以包括登录地点信息、登录时间信息和访问行为信息。在进行模型训练时,处理设备可以针对这三类信息进行分别训练。
针对登录地点信息,首先可以人为标注历史行为数据中不同登录地点信息对应的安全状态等级。其中,最常用的登录地点信息可以标注为1,表示设备在该登录地点登录时,设备安全性较高;偶尔使用的登录地点标注为0,表示设备在该登录地点登录时,设备安全性一般;其余登录地点标注为-1,表示设备在该登录地点登录时,设备的安全性较差。
在标注完毕后,处理设备可以将该登录地点信息作为训练样本,将标注的安全状态等级作为训练标签进行训练,在训练过程中,可以以登录地点的地理距离作为分类度量,从而使该设备安全状态模型能够根据登录地点的地理距离,判断出登录地点信息的安全状态等级。
针对登录时间信息,同样可以人为标注历史行为数据中不同登录时间信息对应的安全状态等级。其中,最常用的登录时间标注为1,表示设备在该登录时间登录时,设备安全性较高;偶尔使用的登录时间标注为0,表示设备在该登录时间登录时,设备安全性一般;其余登录时间标注为-1,表示设备在该登录时间登录时,设备的安全性较差。
在标注完毕后,处理设备可以将该登录时间信息作为训练样本,将标注的安全状态等级作为训练标签进行训练,在训练过程中,可以以登录时间的时间区间作为分类度量,从而使该设备安全状态模型能够根据登录时间所处的时间区间,判断出登录地点信息的安全状态等级。
针对访问行为信息,可以人为标注历史行为数据中不同访问行为信息对应的安全状态等级。其中,访问最常用功能的行为信息标注为1,表示设备在进行该访问行为时,设备安全性较高;访问少量不常用功能的行为信息标注为0,表示设备在进行该访问行为时,设备安全性一般;频繁访问不常用功能或频繁访问无权限功能的访问行为标注为-1,表示设备在进行该访问行为时,设备的安全性较差。
在标注完毕后,处理设备可以将该访问行为信息作为训练样本,将标注的安全状态等级作为训练标签进行训练,在训练过程中,可以以访问的功能以及访问的频率作为分类度量,从而使该设备安全状态模型能够根据所访问的功能以及访问频率,判断出访问行为信息的安全状态等级。
在通过该设备安全状态模型进行安全状态确定时,处理设备可以综合上述三类信息的安全状态等级,来确定该设备所对应的最终安全状态等级。例如,可能的判断结果如下:
设备状态为高安全:(1,1,1);
设备状态为安全:(1,1,0)、(1,0,1)、(1,0,0)、(0,1,1)、(0,1,0)、(0,0,1)、(0,0,0);
设备状态为异常:(-1,1,1)、(-1,1,0)、(-1,0,1)、(-1,0,0)、(1,-1,1)、(1,-1,0)、(0,-1,1)、(0,-1,0)、(1,1,-1)、(1,0,-1)、(0,1,-1)、(0,0,-1);
设备状态为严重异常:(-1,-1,-1)、(1,-1,-1)、(0,-1,-1)、(-1,-1,1)、(-1,-1,0)、(-1,1,-1)、(-1,0,-1)。可以理解的是,根据设备安全状态判断设备是否能够通过认证的方式可以包括多种。在一种可能的实现方式中,为了进一步提高认证的安全性,处理设备可以为不同的设备安全状态设定不同的设备访问权限。例如,当设备安全状态较高时,处理设备可以给该设备标识更高的设备访问权限。基于此,处理设备可以根据第一设备安全状态,确定第一设备标识对应的设备访问权限,然后根据该设备访问权限,判断第一设备标识对应的设备是否能够通过认证。
此外,为了能够对设备的使用情况进行追踪,方便相关人员对设备状态进行及时监控和分析,在一种可能的实现方式中,处理设备可以在得到第一比对和第二比对的比对结果后,存储该第一比对和第二比对的比对结果,从而能够根据该比对结果,确定出该设备的使用情况,进而对设备以及工业互联网的安全性进行进一步的保护和分析。
可以理解的是,为了使该工业互联网设备安全接入方法更加灵活,上述设备标识和用户标识的生成方法也可以包括多种。在一种可能的实现方式中,设备标识可以是根据设备名称、设备型号、设备序列号、生产厂商、出厂日期等信息中的任意一种或多种的组合来生成的;用户标识是根据用户账号、用户姓名、用户联络号码等信息中的任意一种或多种的组合来生成的。
此外,在进行验证时,为了进一步提高验证的准确性,处理设备还可以结合设备标识和用户标识的注册过程来进行进一步的验证。在一种可能的实现方式中,处理设备首先可以为用户以及设备注册该第一设备标识和第一用户标识。其中,注册过程可以包括多种,在本申请实施例中,注册过程可以基于国密算法sm9来进行。
为了能够对已注册的标识进行验证,处理设备可以分别生成第一设备标识对应的校验设备标识和第一用户标识对应的校验用户标识,该校验设备标识和校验用户标识用于对该第一设备标识和第一用户标识进行校验。例如,该校验设备标识和校验用户标识可以与第一设备标识和第一用户标识相同,也可以是基于该第一设备标识和第一用户标识所生成的特征标识。
随后,处理设备可以将该校验设备标识和校验用户标识进行存储,例如可以将该校验设备标识和该校验用户标识存储到区块链中。为了在后续验证过程中能够获取到该校验标识,处理设备可以获取该校验设备标识对应的第一存储地址和该校验用户标识对应的第二存储地址。
在进行验证的过程中,在获取存证凭证对应的绑定关系之前,处理设备还可以先获取该第一存储地址和第二存储地址。随后,处理设备可以根据第一存储地址,获取该校验设备标识,以及根据该第二存储地址,获取该校验用户标识。
处理设备可以通过该校验设备标识,对第一设备标识进行第一校验,以及根据该校验用户标识,对该第一用户标识进行第二校验。其中,校验主要分为两个校验过程。首先,处理设备可以先判断该第一存储地址处是否存在该校验设备标识,若存在,则说明该第一设备标识对应的设备为经过注册的设备,若不存在,则说明该设备还未进行注册,第一校验失败;随后,处理设备可以判断该校验设备标识所对应的设备标识是否为第一设备标识,若是,则该第一设备标识通过第一校验;若否,则未通过。
同理,处理设备可以判断第二存储地址处是否存在该校验用户标识,所存在,则说明该用户为经过注册的用户;若不存在,则说明该用户还未经过注册,第二校验失败;随后,处理设备可以判断该校验用户标识所对应的用户标识是否为该第一用户标识,若是,则该第一用户标识通过第二校验;若否,则未通过。
此外,为了进一步提高信息的安全性,避免出现信息被篡改的情况,处理设备在进行校验标识存储时,还可以通过国密算法sm9对应的私钥进行进一步的加密。在处理设备获取上述校验标识时,需要先通过sm9算法对应的公钥进行解密,解密成功后才可获取上述校验标识。
此外,为了进一步保证信息传输过程中的安全性,处理设备可以对该存储地址进行进一步加密。例如,在获取存储地址之前,可以通过第二公钥对该存储地址进行加密,得到该存储地址的加密信息。其中,该第二公钥可以为多种,例如,当处理设备为一种认正服务器时,该第二公钥可以为该认正服务器的公钥。
处理设备获取该存储地址的加密信息后,可以通过该第二公钥对应的第二私钥进行解密,得到解密后的存储地址。同时,值得注意的是,本申请实施例所提供的方法可以在多种架构下进行。例如,为了提高接入的安全性,在一种可能的实现方式中,该方法可以基于区块链来实现。举例来说,绑定关系等信息可以通过区块链来进行存储,从而能够利用区块链数据不易被篡改的特性,提高信息的安全度。
实施例二
接下来,将结合一种实际应用场景,对本申请实施例提供的一种工业互联网设备安全接入方法进行介绍。在该实际应用场景中,处理设备为用于认证的认证服务器。在待认证设备接入工业互联网时,该工业互联网的标识解析系统可以根据待认证设备的设备名称、设备型号、设备序列号等信息,生成该设备的设备标识,并将该设备标识发送给该待认证设备进行存储。
同时,在入网过程中,待认证设备还可以将能够使用自身的用户信息发送给该标识解析系统,使该标识解析系统生成该用户的用户标识。随后,认证服务器可以建立该用户标识和设备标识之间的绑定关系,并通过待认证设备的私钥进行加密后存储在服务器中。
其中,各种信息可以以哈希值的形式在服务器中进行存储。
在有用户想要使用该待认证设备时,待认证设备可以将该用户的用户标识、该用户标识对应的存证凭证以及自身的设备标识通过认证服务器的公钥加密后发送给认证服务器。认证服务器可以通过自己的私钥先进行解密,获取解密后的信息,然后根据其中的存证凭证,在自身存储的信息中获取对应的加密信息,然后通过待认证设备的公钥进行解密,得到对应的绑定关系。
认证服务器可以根据绑定关系中的设备标识和用户标识对获取到的到的用户标识和设备标识进行比对,当两者都通过比对时,说明该用户为该设备所绑定的用户,具有使用该设备的资格;若其中有一项不对应,则说明该用户并不是该设备所绑定的用户,不具有使用该设备的资格。
实施例三
基于上述实施例提供的一种工业互联网设备安全接入方法,本申请实施例还提供了一种工业互联网设备安全接入装置200。参见图2a,图2a为工业互联网设备安全接入装置200的结构框图,该装置200包括第一获取单元201、第二获取单元202、第一比对单元203、第二比对单元204和第一判断单元205:
第一获取单元201,用于获取存证凭证、第一设备标识以及第一用户标识;
第二获取单元202,用于获取存证凭证对应的绑定关系;
第一比对单元203,用于根据绑定关系中的第二设备标识,对第一设备标识进行第一比对;
第二比对单元204,用于根据绑定关系中的第二用户标识,对第一用户标识进行第二比对;
第一判断单元205,用于根据第一比对和第二比对的比对结果,判断第一用户标识对应的用户是否具有使用第一设备标识对应的设备的资格。
在一种可能的实现方式中,参见图2b,装置200还包括第三获取单元206:
第三获取单元206,用于获取第一设备标识对应的第一公钥;
第二获取单元202具体用于:
获取存证凭证对应的加密信息;加密信息是通过第二设备标识对应的第一私钥加密得到的;
通过第一公钥对加密信息进行解密;
若解密失败,终止认证;
若解密成功,得到存证凭证对应的绑定关系。
在一种可能的实现方式中,第一获取单元201具体用于:
获取通过第二公钥加密后的存证凭证、第一设备标识以及第一用户标识;
通过第二公钥对应的第二私钥,对加密后的存证凭证、第一设备标识以及第一用户标识进行解密;
若解密失败,终止认证;
若解密成功,得到存证凭证、第一设备标识以及第一用户标识。
在一种可能的实现方式中,第一判断单元205具体用于:
若第一比对和第二比对都通过,则第一用户标识对应的用户具有使用第一设备标识对应的设备的资格;
若第一比对和第二比对中存在比对失败的情况,则第一用户标识对应的用户不具有使用第一设备标识对应的设备的资格。
在一种可能的实现方式中,参见图2c,装置200还包括第四获取单元207、第一确定单元208、第五获取单元209、第二确定单元210和第二判断单元211:
第四获取单元207,用于获取第一设备标识对应的设备类型;
第一确定单元208,用于根据设备类型,确定第一设备标识对应的设备安全状态模型;
第五获取单元209,用于获取第一设备标识对应的第一历史行为数据;
第二确定单元210,用于根据第一历史行为数据和设备安全状态模型,确定第一设备标识对应的第一设备安全状态;
第二判断单元211,用于根据第一设备安全状态,判断第一设备标识对应的设备是否能够通过认证。
在一种可能的实现方式中,设备安全状态模型是通过以下方法得到的:
将设备类型对应的第二历史行为数据作为训练样本,设备类型对应的第二设备安全状态作为训练标签,得到设备类型对应的设备安全状态模型。
在一种可能的实现方式中,第二判断单元211具体用于:
根据第一设备安全状态,确定第一设备标识对应的设备访问权限;
根据设备访问权限,判断第一设备标识对应的设备是否能够通过认证。
在一种可能的实现方式中,参见图2d,装置200还包括第一存储单元212:
第一存储单元212,用于存储第一比对和第二比对的比对结果。
在一种可能的实现方式中,设备标识是根据设备名称、设备型号、设备序列号、生产厂商、出厂日期等信息中的任意一种或多种的组合来生成的。
在一种可能的实现方式中,用户标识是根据用户账号、用户姓名、用户联络号码等信息中的任意一种或多种的组合来生成的。
在一种可能的实现方式中,装置200还包括注册单元213、生成单元214、第二存储单元215、第六获取单元216:
注册单元213,用于注册所述第一设备标识和所述第一用户标识;
生成单元214,用于生成所述第一设备标识对应的校验设备标识和所述第一用户标识对应的校验用户标识;
第二存储单元215,用于将所述校验设备标识和所述校验用户标识进行存储;
第六获取单元216,用于获取所述校验设备标识对应的第一存储地址和所述校验用户标识对应的第二存储地址。
在一种可能的实现方式中,装置200还包括第七获取单元217、第八获取单元218、第一校验单元219、第二校验单元220和执行单元221:
第七获取单元217,用于获取所述第一存储地址和所述第二存储地址;
第八获取单元218,用于根据所述第一存储地址,获取所述校验设备标识;
根据所述第二存储地址,获取所述校验用户标识;
第一校验单元219,用于根据所述校验设备标识,对所述第一设备标识进行第一校验;
第二校验单元220,用于根据所述校验用户标识,对所述第一用户标识进行第二校验;
执行单元221,用于若所述第一校验和所述第二校验通过,则进行后续步骤。在一种可能的实现方式中,装置200是基于区块链来建立的。
实施例四
本申请实施例还提供了一种用于认证的设备,下面结合附图对该设备进行介绍。请参见图3所示,本申请实施例提供了一种设备300,该设备300还可以是终端设备,该终端设备可以为包括手机、平板电脑、个人数字助理(personaldigitalassistant,简称pda)、销售终端(pointofsales,简称pos)、车载电脑等任意智能终端,以终端设备为手机为例:
图3示出的是与本申请实施例提供的终端设备相关的手机的部分结构的框图。参考图3,手机包括:射频(radiofrequency,简称rf)电路310、存储器320、输入单元330、显示单元340、传感器350、音频电路360、无线保真(wirelessfidelity,简称wifi)模块370、处理器380、以及电源390等部件。本领域技术人员可以理解,图3中示出的手机结构并不构成对手机的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图3对手机的各个构成部件进行具体的介绍:
rf电路310可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器380处理;另外,将设计上行的数据发送给基站。通常,rf电路310包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(lownoiseamplifier,简称lna)、双工器等。此外,rf电路310还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(globalsystemofmobilecommunication,简称gsm)、通用分组无线服务(generalpacketradioservice,简称gprs)、码分多址(codedivisionmultipleaccess,简称cdma)、宽带码分多址(widebandcodedivisionmultipleaccess,简称wcdma)、长期演进(longtermevolution,简称lte)、电子邮件、短消息服务(shortmessagingservice,简称sms)等。
存储器320可用于存储软件程序以及模块,处理器380通过运行存储在存储器320的软件程序以及模块,从而执行手机的各种功能应用以及数据处理。存储器320可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储3根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器320可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元330可用于接收输入的数字或字符信息,以及产生与手机的用户设置以及功能控制有关的键信号输入。具体地,输入单元330可包括触控面板331以及其他输入设备332。触控面板331,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板331上或在触控面板331附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板331可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器380,并能接收处理器1480发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板331。除了触控面板331,输入单元330还可以包括其他输入设备332。具体地,其他输入设备332可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元340可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元340可包括显示面板341,可选的,可以采用液晶显示器(liquidcrystaldisplay,简称lcd)、有机发光二极管(organiclight-emittingdiode,简称oled)等形式来配置显示面板341。进一步的,触控面板331可覆盖显示面板341,当触控面板331检测到在其上或附近的触摸操作后,传送给处理器380以确定触摸事件的类型,随后处理器380根据触摸事件的类型在显示面板341上提供相应的视觉输出。虽然在图3中,触控面板331与显示面板341是作为两个独立的部件来实现手机的输入和输入功能,但是在某些实施例中,可以将触控面板331与显示面板341集成而实现手机的输入和输出功能。
手机还可包括至少一种传感器350,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板341的亮度,接近传感器可在手机移动到耳边时,关闭显示面板341和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路360、扬声器361,传声器362可提供用户与手机之间的音频接口。音频电路360可将接收到的音频数据转换后的电信号,传输到扬声器361,由扬声器361转换为声音信号输出;另一方面,传声器362将收集的声音信号转换为电信号,由音频电路360接收后转换为音频数据,再将音频数据输出处理器380处理后,经rf电路310以发送给比如另一手机,或者将音频数据输出至存储器320以便进一步处理。
wifi属于短距离无线传输技术,手机通过wifi模块370可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图3示出了wifi模块370,但是可以理解的是,其并不属于手机的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器380是手机的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器320内的软件程序和/或模块,以及调用存储在存储器320内的数据,执行手机的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器380可包括一个或多个处理单元;优选的,处理器380可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器380中。
手机还包括给各个部件供电的电源390(比如电池),优选的,电源可以通过电源管理系统与处理器380逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,手机还可以包括摄像头、蓝牙模块等,在此不再赘述。
在本实施例中,该终端设备所包括的处理器380还具有以下功能:
获取存证凭证、第一设备标识以及第一用户标识;
获取所述存证凭证对应的绑定关系;
根据所述绑定关系中的第二设备标识,对所述第一设备标识进行第一比对;
根据所述绑定关系中的第二用户标识,对所述第一用户标识进行第二比对;
根据所述第一比对和所述第二比对的比对结果,判断所述第一用户标识对应的用户是否具有使用所述第一设备标识对应的设备的资格。
实施例五
本申请实施例还提供一种服务器,请参见图4所示,图4为本申请实施例提供的服务器400的结构图,服务器400可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(centralprocessingunits,简称cpu)422(例如,一个或一个以上处理器)和存储器432,一个或一个以上存储应用程序442或数据444的存储介质430(例如一个或一个以上海量存储设备)。其中,存储器432和存储介质430可以是短暂存储或持久存储。存储在存储介质430的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器422可以设置为与存储介质430通信,在服务器400上执行存储介质430中的一系列指令操作。
服务器400还可以包括一个或一个以上电源426,一个或一个以上有线或无线网络接口450,一个或一个以上输入输出接口458,和/或,一个或一个以上操作系统441,例如windowsservertm,macosxtm,unixtm,linuxtm,freebsdtm等等。
上述实施例中由服务器所执行的步骤可以基于图4所示的服务器结构。
本申请实施例还提供一种计算机可读存储介质,用于存储计算机程序,该计算机程序用于执行前述各个实施例所述的工业互联网设备安全接入方法中的任意一种实施方式。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质可以是下述介质中的至少一种:只读存储器(英文:read-onlymemory,缩写:rom)、ram、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!