用于访问物联网设备数据的鉴权系统、方法及装置与流程

1.本发明涉及数据安全技术领域，尤其涉及一种用于访问物联网设备数据的鉴权系统、方法及装置。


背景技术：

2.近年来，随着物联网行业不断发展，各种物联网系统不断出现，物联网系统的运作基于各种物联网设备，而许多物联网设备都会采集用户的一些隐私数据。同时，许多物联网系统或者应用由于业务的需要，有时需要在不同的物联网系统或者不同应用之间相互传递由物联网设备产生的个人隐私数据。因此，为了保护个人隐私数据，物联网系统之间相互访问数据时，需要用户的授权信息才能使请求生效，但是，由于物联网系统不具备可靠的鉴权功能，难以验证授权信息的真实性，导致个人隐私数据安全性低。


技术实现要素：

3.本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明提出一种用于访问物联网设备数据的鉴权系统、方法及装置，能够提高用户在物联网系统中的个人数据的安全性。
4.一方面，本发明实施例提供了一种用于访问物联网设备数据的鉴权系统，包括数据请求平台和请求认证平台；
5.所述数据请求平台用于向所述请求认证平台发起数据认证请求，其中，所述数据认证请求包括第一设备节点、第一用户节点和主体节点；
6.所述请求认证平台用于通过预置的节点关系树对所述第一设备节点、所述第一用户节点和所述主体节点进行节点匹配，得到节点关系匹配结果；
7.所述请求认证平台还用于判断是否接收到用户的授权信息，当未接收到所述授权信息，则所述数据认证请求不通过；当接收到所述授权信息，则判断所述授权信息中的授权节点和所述节点关系匹配结果是否匹配，若所述授权节点和所述节点关系匹配结果匹配，则所述数据认证请求通过，反之，所述数据认证请求不通过。
8.根据本发明一些实施例，所述请求认证平台包括授权服务端和关系服务端；
9.所述授权服务端用于根据预置的层级关系构建所述第一设备节点、所述第一用户节点和所述主体节点的路径有向图，其中，所述主体节点和所述第一用户节点为上下层级关系，所述主体节点和所述第一设备节点为上下层级关系，所述第一用户节点和所述第一设备节点为平行层级关系；
10.所述关系服务端用于根据所述路径有向图中的路径遍历所述节点关系树，确定用于表征所述路径是否存在的反馈值，根据所述路径有向图中的所有路径的反馈值，得到所述节点关系匹配结果。
11.根据本发明一些实施例，所述授权服务端配置有第一加密算法和第一私钥，所述关系服务端配置有第一解密算法和第一公钥；
12.所述授权服务端用于根据所述第一加密算法和所述第一私钥对所述路径有向图进行加密，得到路径有向图数据包；
13.所述关系服务端用于接收所述路径有向图数据包，根据所述第一解密算法和所述第一公钥对所述路径有向图数据包进行解密，得到所述路径有向图。
14.根据本发明一些实施例，所述关系服务端配置有第二加密算法和第二私钥，所述授权服务端配置有第二解密算法和第二公钥；
15.所述关系服务端用于根据所述第二加密算法和所述第二私钥对所述节点关系匹配结果进行加密，得到节点关系匹配结果数据包；
16.所述授权服务端用于接收所述节点关系匹配结果数据包，根据所述第二解密算法和所述第二公钥对所述节点关系匹配结果数据包进行解密，得到所述节点关系匹配结果。
17.根据本发明一些实施例，所述数据请求平台包括数据资源请求服务端；
18.所述数据资源请求服务端用于向所述授权服务端发起数据认证请求；
19.所述授权服务端配置有第三加密算法和第三私钥；
20.所述授权服务端用于根据所述第三加密算法和所述第三私钥对所述节点关系匹配结果进行加密得到授权数据包，并将所述数据授权包发送至所述数据资源请求服务端。
21.根据本发明一些实施例，所述数据请求平台还包括用户操作端；
22.所述用户操作端用户获取所述授权信息，其中，所述授权信息包括授权节点，所述授权节点包括第二用户节点、第二设备节点；
23.所述数据资源请求服务端还用于封装所述授权信息和所述授权数据包得到待鉴权数据包。
24.根据本发明一些实施例，所述数据请求认证平台还包括鉴权服务端；
25.所述鉴权服务端用于接收所述待鉴权数据包，判断所述待鉴权数据包是否包括用户的授权信息，当未接收到所述授权信息，则所述数据认证请求不通过，并向所述数据资源请求服务端返回认证失败信息。
26.根据本发明一些实施例，所述鉴权服务端配置有第三解密算法和第三公钥；
27.所述鉴权服务端还用于当接收到所述授权信息，则根据所述第三解密算法和所述第三公钥对所述待鉴权数据包中的授权数据包进行解密，得到所述节点关系匹配结果；
28.所述鉴权服务端还用于判断所述授权信息中的授权节点和所述节点关系匹配结果是否匹配，若所述授权节点和所述节点关系匹配结果匹配，则所述数据认证请求通过，反之，所述数据认证请求不通过。
29.另一方面，本发明实施例还提供一种用于访问物联网设备数据的鉴权方法，包括以下步骤：
30.获取数据认证请求，其中，所述数据认证请求包括第一设备节点、第一用户节点和主体节点；
31.通过预置的节点关系树对所述第一设备节点、第一用户节点和主体节点进行节点匹配，得到节点关系匹配结果；
32.判断是否接收到用户的授权信息；
33.当未接收到所述授权信息，则所述数据认证请求不通过；
34.当接收到所述授权信息，则判断所述授权信息中的授权节点和所述节点关系匹配
结果是否匹配，若所述授权节点和所述节点关系匹配结果匹配，则所述数据认证请求通过，反之，所述数据认证请求不通过。
35.另一方面，本发明实施例还提供一种用于访问物联网设备数据的鉴权装置，包括：
36.至少一个处理器；
37.至少一个存储器，用于存储至少一个程序；
38.当所述至少一个程序被所述至少一个处理器执行，使得至少一个所述处理器实现如前面所述的用于访问物联网设备数据的鉴权方法。
39.本发明上述的技术方案至少具有如下优点或有益效果之一：当数据请求平台需要请求用户的物联网设备数据时，数据请求平台向请求认证平台发起数据认证请求，其中包括要请求的第一设备节点、第一用户节点和主体节点，请求认证平台用于通过预置的节点关系树对第一设备节点、第一用户节点和主体节点进行节点匹配，得到节点关系匹配结果，然后请求认证平台还判断是否接收到用户的授权信息，当未接收到授权信息，则数据认证请求不通过；当接收到授权信息，则判断授权信息中的授权节点和节点关系匹配结果是否匹配，若授权节点和节点关系匹配结果匹配，则数据认证请求通过，反之，数据认证请求不通过。请求认证平台通过预置的节点关系树对第一设备节点、第一用户节点和主体节点进行节点匹配确定要访问的设备和用户的合法性，并判断否有用户的授权信息，并基于用户的授权节点来确定数据认证请求是否通过，使得用户能够感知是否被物联网系统访问相关设备的数据，从而提高了用户在物联网系统中的个人数据的安全性。
附图说明
40.图1是本发明实施例提供的用于访问物联网设备数据的鉴权系统示意图；
41.图2是本发明实施例提供的用于访问物联网设备数据的鉴权方法流程图；
42.图3是本发明实施例提供的用于访问物联网设备数据的鉴权装置示意图。
具体实施方式
43.下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或者类似的标号表示相同或者类似的原件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。
44.在本发明的描述中，需要理解的是，涉及到方位描述，例如上、下、左、右等指示的方位或者位置关系为基于附图所示的方位或者位置关系，仅是为了便于描述本发明和简化描述，而不是指示或者暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
45.本发明的描述中，如果有描述到第一、第二等只是用于区分技术特征为目的，而不能理解为指示或者暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
46.本发明实施例提供了一种用于访问物联网设备数据的鉴权系统，参照图1，用于访问物联网设备数据的鉴权系统包括数据请求平台和请求认证平台；
47.数据请求平台用于向请求认证平台发起数据认证请求，其中，数据认证请求包括第一设备节点、第一用户节点和主体节点；
48.请求认证平台用于通过预置的节点关系树对第一设备节点、第一用户节点和主体节点进行节点匹配，得到节点关系匹配结果；
49.请求认证平台还用于判断是否接收到用户的授权信息，当未接收到授权信息，则数据认证请求不通过；当接收到授权信息，则判断授权信息中的授权节点和节点关系匹配结果是否匹配，若授权节点和节点关系匹配结果匹配，则数据认证请求通过，反之，数据认证请求不通过。
50.在本实施例中，当数据请求平台需要请求用户的物联网设备数据时，数据请求平台向请求认证平台发起数据认证请求，其中包括要请求的第一设备节点、第一用户节点和主体节点，请求认证平台用于通过预置的节点关系树对第一设备节点、第一用户节点和主体节点进行节点匹配，得到节点关系匹配结果，然后请求认证平台还判断是否接收到用户的授权信息，当未接收到授权信息，则数据认证请求不通过；当接收到授权信息，则判断授权信息中的授权节点和节点关系匹配结果是否匹配，若授权节点和节点关系匹配结果匹配，则数据认证请求通过，反之，数据认证请求不通过。请求认证平台通过预置的节点关系树对第一设备节点、第一用户节点和主体节点进行节点匹配确定要访问的设备和用户的合法性，并判断否有用户的授权信息，并基于用户的授权节点来确定数据认证请求是否通过，使得用户能够感知是否被物联网系统访问相关设备的数据，从而提高了用户在物联网系统中的个人数据的安全性。
51.根据本发明一些具体实施例，参照图1，请求认证平台包括授权服务端和关系服务端；
52.授权服务端用于根据预置的层级关系构建第一设备节点、第一用户节点和主体节点的路径有向图，其中，主体节点和第一用户节点为上下层级关系，主体节点和第一设备节点为上下层级关系，第一用户节点和第一设备节点为平行层级关系；
53.关系服务端用于根据路径有向图中的路径遍历节点关系树，确定用于表征路径是否存在的反馈值，根据路径有向图中的所有路径的反馈值，得到节点关系匹配结果。
54.示例性地，数据请求平台向授权服务端发起数据认证请求，数据认证请求包含第一设备节点、主体节点以及第一用户节点，其中，主体节点可以是包含任意用户节点和设备节点的一个场景，例如主体节点可以是一个公司、一个社区、一个园区等，在上述主体中，都有设备和人员在运作。
55.授权服务端根据第一设备节点、第一用户节点和主体节点进行建模。预置的层级关系用于表征不同节点的层级等级，主体节点的层级为最高，第一设备节点和第一用户节点的层级和主体节点均上下层级关系，第一设备节点和第一用户节点的层级是平行关系。预置的层级关系进行路径建模，建模的结果为三者之间的路径有向图，使得主体节点到第一设备节点存在路径，主体节点到第一节点存在路径、第一设备节点与第一用户节点之间存在路径。授权服务端需要对路径有向图进行认证，验证三者关系之间真实性，以及是否有权限，因此授权服务端需要向关系服务端进行关系验证。
56.关系服务端为某物联网系统开展业务时，记录在物联网系统中的各类信息的绑定关系，因此主体与设备、主体与人员、设备与人员之间的绑定关系会被记录下来，构成关系树。关系服务端获取来自授权服务端的路径有向图，将路径有向图拆分为不同的路径，基于不同的路径在节点关系树中进行遍历查询。首先验证主体节点是否存在，查找到主体节点
后，根据对应的主体节点到第一设备节点再到第一人员节点的路径，以及主体节点到第一人员节点的路径进行深度优先查询。根据深度优先查询的结果，对路径有向图的每一条路径进行相应反馈，假设存在路径进行正向反馈，假设不存在路径则进行负向反馈，从而确定用于表征路径是否存在的反馈值，根据路径有向图中的所有路径的反馈值，得到节点关系匹配结果，其中，节点关系匹配结果包括多个三元组，每个三元组包括分别表示两个不同节点的两个元素以及一个表示节点是否存在的反馈值元素，如《第一设备节点a，反馈值，第二用户节点b》，其中反馈值有两种定义，即存在和不存在。
57.示例性地，数据认证请求中包括主体节点为社区a、第一用户节点为人员a、第一设备节点为设备a和设备b，经过授权服务端和关系服务端的处理后，节点关系匹配结果可以为《社区a,true,设备a》、《社区a,true,设备b》、《社区a,true,人员a》、《人员a,true,设备a》、《人员a,true,设备b》。
58.根据本发明一些具体实施例，授权服务端配置有第一加密算法和第一私钥，关系服务端配置有第一解密算法和第一公钥；
59.授权服务端用于根据第一加密算法和第一私钥对路径有向图进行加密，得到路径有向图数据包；
60.关系服务端用于接收路径有向图数据包，根据第一解密算法和第一公钥对路径有向图数据包进行解密，得到路径有向图。
61.示例性地，授权服务端构建得到路径有向图之后，根据授权服务端自身的第一私钥生成一段指纹信息，根据第一加密算法将路径有向图和指纹信息加密封装成路径有向图数据包，并发送至关系服务端。
62.关系服务端配置有与第一加密算法对应的第一解密算法，以及授权服务端的第一公钥，接收到路径有向图数据包后，根据第一解密算法和第一公钥，匹配上相应指纹信息后，解密成功后获取路径有向图。
63.根据本发明一些具体实施例，关系服务端配置有第二加密算法和第二私钥，授权服务端配置有第二解密算法和第二公钥；
64.关系服务端用于根据第二加密算法和第二私钥对节点关系匹配结果进行加密，得到节点关系匹配结果数据包；
65.授权服务端用于接收节点关系匹配结果数据包，根据第二解密算法和第二公钥对节点关系匹配结果数据包进行解密，得到节点关系匹配结果。
66.在本实施例中，在关系服务端向授权服务端返回节点关系匹配结果过程中，同样基于对等第二加密算法和第二解密算法对传输过程中的数据进行加密，提高数据交互过程中的安全性。
67.根据本发明一些具体实施例，参照图1，数据请求平台包括数据资源请求服务端；
68.数据资源请求服务端用于向授权服务端发起数据认证请求；
69.授权服务端配置有第三加密算法和第三私钥；
70.授权服务端用于根据第三加密算法和第三私钥对节点关系匹配结果进行加密得到授权数据包，并将数据授权包发送至数据资源请求服务端。
71.在本实施例中，数据请求平台包括数据资源请求服务端，数据资源请求服务端用于向授权服务端发起数据认证请求。在授权服务端接收到来自关系服务端的节点关系匹配
结果后，按照授权服务端与鉴权服务端约定的第三加密算法以及自身的第三私钥对节点关系匹配结果进行加密得到授权数据包，并将数据授权包发送至数据资源请求服务端。
72.根据本发明一些具体实施例，参照图1，数据请求平台还包括用户操作端；
73.用户操作端用户获取授权信息，其中，授权信息包括授权节点，授权节点包括第二用户节点、第二设备节点；
74.数据资源请求服务端还用于封装授权信息和授权数据包得到待鉴权数据包。
75.在本实施例中，数据资源请求服务端接收到加密后授权数据包，需要通过用户操作端获取用户对设备数据的授权信息，该授权信息应该由用户在用户操作端进行人工授权后，提供给数据资源请求服务端，其中，授权信息中授权节点，授权节点包括用户授权的第二用户节点和第二设备节点。数据资源请求服务端将授权数据包和用户的授权信息封装成待鉴权数据包，并发送至鉴权服务端。
76.根据本发明一些具体实施例，参照图1，数据请求认证平台还包括鉴权服务端；
77.鉴权服务端用于接收待鉴权数据包，判断待鉴权数据包是否包括用户的授权信息，当未接收到授权信息，则数据认证请求不通过，并向数据资源请求服务端返回认证失败信息。
78.在本实施例中，鉴权服务端接收数据资源请求服务端的待鉴权数据包，然后检验报文中是否存在授权信息，当不存在授权信息，直接向数据资源请求服务端返回认证失败信息。
79.根据本发明一些具体实施例，鉴权服务端配置有第三解密算法和第三公钥；
80.鉴权服务端还用于当接收到授权信息，则根据第三解密算法和第三公钥对待鉴权数据包中的授权数据包进行解密，得到节点关系匹配结果；
81.鉴权服务端还用于判断授权信息中的授权节点和节点关系匹配结果是否匹配，若授权节点和节点关系匹配结果匹配，则数据认证请求通过，反之，数据认证请求不通过。
82.在本实施例中，当待鉴权数据包存在授权信息，鉴权服务端按照与授权服务端对等的第三解密算法与授权服务端的第三公钥对待鉴权数据包中的授权数据包进行解密，得到节点关系匹配结果。对节点关系匹配结果的三元组进行鉴权，如果任意三元组中有反馈值表示的是路径不存在，则鉴权失败。在确定节点关系匹配结果中所有路径都存在后，将授权节点进行三元组化结构化处理，如生成三元组《第二设备节点a，有权限标志，第二用户节点b》。将授权信息的三元组与节点关系匹配结果中的三元组进行比对，如果节点关系匹配结果的三元组中的第一设备节点和第二设备节点与授权信息中的三元组第二设备节点和第二用户节点匹配，且反馈值为存在，则认证通过。鉴权通过后则可以向数据资源请求服务端返回相关设备数据。
83.在另外一些实施例中，授权服务端与关系服务端之间的协商的数据加密方式可以是非对称加密，也可以是对称加密。同样地，授权服务端与鉴权服务端之间的协商的数据加密方式可以是非对称加密，也可以是对称加密。
84.在本发明实施例中，本发明实施例的用于访问物联网设备数据的鉴权系统具有以下有益效果：
85.不滥用用户个人数据，对于用户个人隐私数据的获取，对用户而言是可感知的；
86.数据权限的获取需要满足多端授权，用户操作端和授权服务端存在关联，任一方
不进行授权则无法通过鉴权。
87.数据授权的过程中对于无用户授权请求也会完成授权操作，由鉴权服务来进行拒绝权限操作，可以减轻对授权服务的处理压力。
88.本发明实施例还提供一种用于访问物联网设备数据的鉴权方法，参照图2，本发明实施例的用于访问物联网设备数据的鉴权方法包括但不限于步骤s100、步骤s200、步骤s300、步骤s400、步骤s500和步骤步骤s600。
89.步骤s100，获取数据认证请求，其中，所述数据认证请求包括第一设备节点、第一用户节点和主体节点；
90.步骤s200，通过预置的节点关系树对所述第一设备节点、第一用户节点和主体节点进行节点匹配，得到节点关系匹配结果；
91.步骤s300，判断是否接收到用户的授权信息，当未接收到所述授权信息，则执行步骤s400，当接收到所述授权信息，则执行步骤s500；
92.步骤s400，数据认证请求不通过；
93.步骤s500，判断授权信息中的授权节点和节点关系匹配结果是否匹配，当授权节点和节点关系匹配结果匹配，则执行步骤s600，当授权节点和节点关系匹配结果不匹配，执行步骤s400。
94.步骤s600，数据认证请求通过。
95.在一些实施例中，本发明实施例的用于访问物联网设备数据的鉴权方法可应用于请求认证平台中，请求认证平台获取到包括有第一设备节点、第一用户节点和主体节点的数据认证请求后，通过预置的节点关系树对第一设备节点、第一用户节点和主体节点进行节点匹配，得到节点关系匹配结果，然后判断是否接收到用户的授权信息，当未接收到授权信息，则数据认证请求不通过；当接收到授权信息，则判断授权信息中的授权节点和节点关系匹配结果是否匹配，若授权节点和节点关系匹配结果匹配，则数据认证请求通过，反之，数据认证请求不通过。通过预置的节点关系树对第一设备节点、第一用户节点和主体节点进行节点匹配确定要访问的设备和用户的合法性，并判断否有用户的授权信息，并基于用户的授权节点来确定数据认证请求是否通过，使得用户能够感知是否被物联网系统访问相关设备的数据，本技术的用于访问物联网设备数据的鉴权方法提高了用户在物联网系统中的个人数据的安全性。
96.可以理解的是，上述用于访问物联网设备数据的鉴权系统实施例中的请求认证平台内容均适用于本用于访问物联网设备数据的鉴权方法实施例中，本用于访问物联网设备数据的鉴权方法实施例所具体实现的功能与上述用于访问物联网设备数据的鉴权系统实施例的请求认证平台相同，并且达到的有益效果与上述用于访问物联网设备数据的鉴权系统实施例的请求认证平台所达到的有益效果也相同。
97.参照图3，图3是本发明一个实施例提供的一种用于访问物联网设备数据的鉴权装置的示意图。本发明实施例的用于访问物联网设备数据的鉴权装置包括一个或多个控制处理器和存储器，图3中以一个控制处理器及一个存储器为例。
98.控制处理器和存储器可以通过总线或者其他方式连接，图3中以通过总线连接为例。
99.存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非
暂态性计算机可执行程序。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器可选包括相对于控制处理器远程设置的存储器，这些远程存储器可以通过网络连接至该用于访问物联网设备数据的鉴权装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
100.本领域技术人员可以理解，图3中示出的装置结构并不构成对用于访问物联网设备数据的鉴权装置的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
101.实现上述实施例中应用于用于访问物联网设备数据的鉴权装置的用于访问物联网设备数据的鉴权方法所需的非暂态软件程序以及指令存储在存储器中，当被控制处理器执行时，执行上述实施例中应用于用于访问物联网设备数据的鉴权装置的用于访问物联网设备数据的鉴权方法。
102.上面结合附图对本发明实施例作了详细说明，但是本发明不限于上述实施例，在所属技术领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下作出各种变化。