本發(fā)明公開(kāi)了一種基于時(shí)間能力樹(shù)的物聯(lián)網(wǎng)訪問(wèn)控制方法及裝置，該方法包括：根據(jù)訪問(wèn)控制權(quán)限生成對(duì)應(yīng)的初始能力令牌，加密后發(fā)送至第一用戶；接收第一用戶發(fā)送的第一資源請(qǐng)求以及能力令牌，在判斷到能力令牌合法后，將第一資源請(qǐng)求對(duì)應(yīng)的資源對(duì)象發(fā)送至第一用戶；建立時(shí)間能力樹(shù)，將時(shí)間能力樹(shù)存儲(chǔ)至資源對(duì)象的時(shí)間能力樹(shù)庫(kù)中，并將使用時(shí)間能力樹(shù)的時(shí)間記入節(jié)點(diǎn)時(shí)間序列；根據(jù)第二用戶發(fā)送的第二資源請(qǐng)求，更新時(shí)間能力樹(shù)；接收第一用戶發(fā)送的第三資源請(qǐng)求，將第三資源請(qǐng)求的對(duì)象發(fā)送至第一用戶，并將此時(shí)的時(shí)間記入節(jié)點(diǎn)時(shí)間序列。本發(fā)明實(shí)施例能夠有效減少物聯(lián)網(wǎng)訪問(wèn)控制的工作量，以及降低安全隱患。

技術(shù)領(lǐng)域

本發(fā)明涉及物聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其是涉及一種基于時(shí)間能力樹(shù)的物聯(lián)網(wǎng)訪問(wèn)控制方法及裝置。

背景技術(shù)

物聯(lián)網(wǎng)的出現(xiàn)改變了人們的生活，在交通、醫(yī)療、工業(yè)自動(dòng)化等領(lǐng)域帶來(lái)了巨大的飛躍。隨著物聯(lián)網(wǎng)的普及，越來(lái)越多的設(shè)備以前所未有的規(guī)模接入到網(wǎng)絡(luò)，這些物聯(lián)網(wǎng)設(shè)備的接入給用戶增加了隱私泄漏和遭受攻擊的風(fēng)險(xiǎn)。訪問(wèn)控制是一個(gè)過(guò)程，它決定了哪些對(duì)象具有哪些權(quán)限，在物聯(lián)網(wǎng)面臨的一系列安全挑戰(zhàn)中，訪問(wèn)控制對(duì)資源和信息的保護(hù)至關(guān)重要。

現(xiàn)有的物聯(lián)網(wǎng)訪問(wèn)控制通常是基于能力的訪問(wèn)控制來(lái)實(shí)現(xiàn)的，具體為通過(guò)建立能力模型，從資源的能力出發(fā)，通過(guò)發(fā)放能力令牌的方式進(jìn)行能力的發(fā)放和傳遞，從而實(shí)現(xiàn)物聯(lián)網(wǎng)訪問(wèn)控制。現(xiàn)有的物聯(lián)網(wǎng)訪問(wèn)控制方法存在計(jì)算量大，以及安全隱患較大的問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明提供了一種基于時(shí)間能力樹(shù)的物聯(lián)網(wǎng)訪問(wèn)控制方法及裝置，以解決現(xiàn)有的物聯(lián)網(wǎng)訪問(wèn)控制方法存在計(jì)算量大，以及安全隱患較大的技術(shù)問(wèn)題。

本發(fā)明的第一實(shí)施例提供了一種基于時(shí)間能力樹(shù)的物聯(lián)網(wǎng)訪問(wèn)控制方法，包括：

接收第一用戶發(fā)送的第一權(quán)限信息，在驗(yàn)證到所述第一權(quán)限信息符合訪問(wèn)控制策略后，將訪問(wèn)控制權(quán)限授予所述第一用戶；

根據(jù)所述訪問(wèn)控制權(quán)限生成對(duì)應(yīng)的初始能力令牌，對(duì)所述初始能力令牌進(jìn)行數(shù)字簽名加密后得到能力令牌，并將所述能力令牌發(fā)送至所述第一用戶；其中所述初始能力令牌包括初始能力樹(shù)；

接收所述第一用戶發(fā)送的第一資源請(qǐng)求以及所述能力令牌，在判斷到所述能力令牌合法后，將所述第一資源請(qǐng)求對(duì)應(yīng)的資源對(duì)象發(fā)送至所述第一用戶；

建立時(shí)間能力樹(shù)，將所述時(shí)間能力樹(shù)存儲(chǔ)至所述資源對(duì)象的時(shí)間能力樹(shù)庫(kù)中，并將使用所述時(shí)間能力樹(shù)的時(shí)間記入節(jié)點(diǎn)時(shí)間序列；

接收第二用戶根據(jù)所述能力令牌發(fā)送的第二資源請(qǐng)求，在驗(yàn)證所述能力令牌合法后，發(fā)送所述第二資源請(qǐng)求對(duì)應(yīng)的資源對(duì)象至所述第二用戶，并更新所述時(shí)間能力樹(shù)；

接收所述第一用戶發(fā)送的第三資源請(qǐng)求，檢測(cè)所述第三資源請(qǐng)求的資源對(duì)象對(duì)應(yīng)的時(shí)間能力樹(shù)是否存在所述第一用戶中，若是，則將所述第三資源請(qǐng)求的對(duì)象發(fā)送至所述第一用戶，并將此時(shí)的時(shí)間記入所述節(jié)點(diǎn)時(shí)間序列。

進(jìn)一步的，所述方法還包括：

根據(jù)預(yù)設(shè)的權(quán)限獲取對(duì)應(yīng)時(shí)間能力樹(shù)，并對(duì)所述時(shí)間能力樹(shù)的所有用戶發(fā)送所述權(quán)限對(duì)應(yīng)的能力令牌，同時(shí)使所有所述用戶對(duì)應(yīng)的原始能力令牌失效。

進(jìn)一步的，所述方法還包括：

根據(jù)資源服務(wù)器的受損時(shí)間、資源位置及相關(guān)權(quán)限，對(duì)所述時(shí)間能力樹(shù)的節(jié)點(diǎn)進(jìn)行檢索確認(rèn)嫌疑用戶。

進(jìn)一步的，所述時(shí)間能力樹(shù)包括能力樹(shù)名稱(chēng)、能力樹(shù)節(jié)點(diǎn)、節(jié)點(diǎn)關(guān)系、節(jié)點(diǎn)對(duì)應(yīng)的有效時(shí)間和節(jié)點(diǎn)時(shí)間序列。

進(jìn)一步的，在將所述能力令牌發(fā)送至所述第一用戶之后，還包括:

使用公鑰對(duì)所述能力令牌的數(shù)字簽名進(jìn)行驗(yàn)證，在驗(yàn)證到所述數(shù)字簽名合法時(shí)，判斷所述第一用戶滿足使用所述能力令牌的條件。

進(jìn)一步的，所述建立時(shí)間能力樹(shù)，包括：