[发明专利]一种基于虚拟标识的物联网跨域访问控制方法

说明书

本发明提供一种基于虚拟标识的物联网跨域访问控制方法，能够实现精准的物联网跨域访问控制和安全通信。所述方法包括：将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识；生成虚拟标识对应的私钥，对生成的虚拟标识私钥进行反向加密；跨域通信路径中的中间节点及目的节点对加密后的虚拟标识私钥进行反向解密，目的节点得到虚拟标识对应的私钥；源节点使用虚拟标识对待发送的物联网消息进行标识加密，并将加密后的物联网消息沿跨域通信路径发送至目的节点；目的节点根据得到的虚拟标识对应的私钥对加密后的物联网消息进行解密。本发明涉及物联网技术领域。

技术领域

本发明涉及物联网技术领域，特别是指一种基于虚拟标识的物联网跨域访问控制方法。

背景技术

物联网技术已经广泛应用于我们的生产和生活。为了唯一区分物联网中的实体(其中，实体也可以成为节点)，需要对接入物联网中的实体进行标识，即物联网标识。在物联网标识方面，RFID的全球市场规模到2023年将到达314.2亿美元，传感器的市场规模在2017年就超过了1800亿美元。在互联网标识数量方面，我国拥有超过3亿个IPv4地址，23430块/32的IPv6地址，3840万个域名(其中，CN域名1109万个)。随着海量物联网设备的泛在接入，产生了大量的物联网跨域访问控制需求。

现有的访问控制技术，如传统的密文策略属性基加密(Ciphertext-PolicyAttribute-Based Encryption，CPABE)技术需要为每一个物联网实体设置相应的多个属性，且CPABE加解密策略没有相应的签名验证方法来实现跨域认证，因此，CPABE技术不用直接应用于物联网环境跨域访问控制，无法满足物联网环境下细粒度跨域访问控制与通信需求，主要由以下两方面的点原因：

1)每个物联网实体的属性多样且不确定。物联网跨域分级授权和访问控制场景下，每个物联网实体的属性是处于动态变化中的。当源节点使用CPABE技术设置访问控制数时，需要了解每个物联网实体的属性，增加了访问控制的难度。

2)物联网实体的计算和存储资源有限。物联网中的通信实体在进行跨域通信时，所需要的资源较多，如果能简化加解密算法，减少资源的使用，将大大提升通信效率。

发明内容

本发明要解决的技术问题是提供一种基于虚拟标识的物联网跨域访问控制方法，以解决现有技术所存在的CPABE技术无法满足物联网环境下细粒度跨域访问控制与通信需求的问题。

为解决上述技术问题，本发明实施例提供一种基于虚拟标识的物联网跨域访问控制方法，包括：

将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识；

生成虚拟标识对应的私钥，对生成的虚拟标识私钥进行反向加密；

跨域通信路径中的中间节点及目的节点对加密后的虚拟标识私钥进行反向解密，目的节点得到虚拟标识对应的私钥；

源节点使用虚拟标识对待发送的物联网消息进行标识加密，并将加密后的物联网消息沿跨域通信路径发送至目的节点；

目的节点根据得到的虚拟标识对应的私钥对加密后的物联网消息进行解密。

进一步地，在将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识之前，所述方法还包括：

信任域内所有的域内应用管理服务器向密钥管理服务器发送注册请求，并提交自身的标识信息；

密钥管理服务器根据接收到的域内应用管理服务器的标识，生成相应的私钥返回给相应的注册请求者，并将域内应用管理服务器节点的标识存储到本地。

进一步地，在将源节点到目的节点的跨域通信路径作为源节点到目的节点间通信的虚拟标识之前，所述方法还包括：