本發明公開了一種基于權能的物聯網訪問控制方法及裝置，包括：通過策略決策點生成第一用戶的權限對應的初始能力令牌，將初始能力令牌發送至第一用戶；接收第一用戶發送的第一資源請求以及簽名后的初始能力令牌，驗證合法后將第一資源請求對應的資源對象發送至第一用戶；建立時間能力樹，將第一用戶的初始能力令牌發送至第二用戶，使第二用戶擁有第一用戶的能力；根據第二用戶發送的能力令牌更新時間能力樹，接收第一用戶發送的第三資源請求，將第三資源請求對應的能力發放給第一用戶，并將此時的時間記入時間能力樹的時間節點序列中。本發明實施例能夠降低資源服務器驗證能力令牌的計算量，以及能夠有效增加物聯網訪問控制的安全性。

技術領域

本發明涉及物聯網技術領域，尤其是涉及一種基于權能的物聯網訪問控制方法及裝置。

背景技術

訪問控制技術，即管理用戶是否具有對資源訪問權限的技術，在計算機誕生之初便作為計算機系統安全機制中至關重要的一員，被人們重視并發展。其發展歷程已經跨越了整個計算機發展史，誕生出了訪問控制列表(ACL)、基于角色的訪問控制模型(RBAC)、基于屬性的訪問控制模型(ABAC)、基于權能的訪問控制模型(CapBAC)等等可應用于不同場景的訪問控制方法。

物聯網作為一種新興技術，為我們的生活帶來便利的同時，其安全機制的不完備性也為我們帶來了很多安全隱患。不同于計算機系統漏洞或網頁端漏洞，物聯網漏洞在帶來隱私泄露危險的同時，更會直接關聯到我們身邊的所有物聯網設備，直接對我們的生命財產安全造成威脅。而這些物聯網漏洞中，有絕大多數是由于訪問控制機制造成的。現有的物聯網訪問控制方法需要對整條能力傳播鏈逐一驗證簽名，導致計算量較大。

發明內容

本發明提供了一種基于權能的物聯網訪問控制方法及裝置，以解決現有的物聯網訪問控制方法需要對整條能力傳播鏈逐一驗證簽名，導致計算量較大的技術問題。

本發明的第一實施例提供了一種基于權能的物聯網訪問控制方法，包括：

在第一用戶獲取訪問控制權限后，通過策略決策點生成所述第一用戶的權限對應的初始能力令牌，將所述初始能力令牌發送至所述第一用戶，使所述第一用戶接收所述初始能力令牌，并通過數字簽名對所述初始能力令牌進行加密；

接收所述第一用戶發送的第一資源請求以及簽名后的所述初始能力令牌，驗證到所述初始能力令牌是否合法，若是，將所述第一資源請求對應的資源對象發送至所述第一用戶；

建立時間能力樹，采用孩子兄弟法將所述時間能力樹存儲至所述第一用戶的時間能力樹庫中，并使用資源端公鑰進行加密，將所述第一用戶的初始能力令牌發送至第二用戶，對第二用戶的能力令牌的數字簽名進行驗證，在驗證到所述能力令牌的數字簽名合法后，使所述第二用戶擁有所述第一用戶的能力；

根據所述第二用戶發送的能力令牌更新所述時間能力樹，接收第一用戶發送的第三資源請求，若所述第三資源請求對應的時間能力樹的節點在所述第一用戶中，且所述時間能力樹在能力生效時間段內，則將所述第三資源請求對應的能力發放給所述第一用戶，并將此時的時間記入所述時間能力樹的時間節點序列中。

進一步的，在第一用戶獲取訪問控制權限之前，還包括：

接收第一用戶發送的第一權限信息，驗證所述第一權限信息是否符合訪問控制策略，若是，則將訪問控制權限授予所述第一用戶。

進一步的，所述驗證到所述初始能力令牌是否合法，具體為:

對所述初始能力令牌解密得到所述第一用戶的公鑰，根據所述公鑰驗證所述第一用戶的初始能力令牌是否合法。

進一步的，所述根據所述第二用戶發送的能力令牌更新所述時間能力樹，具體為：

接收所述第二用戶發送的能力令牌，對所述能力令牌中的數字簽名進行合法性驗證，驗證通過后向所述第二用戶發放所述能力令牌相應的能力，并更新所述時間能力樹。