一種對用戶訪問物聯網信息的分布式控制方法

2023-08-09 19:00:11 1

專利名稱：一種對用戶訪問物聯網信息的分布式控制方法
技術領域：
本發明涉及通訊技術領域，特別是涉及一種物聯網信息的分布式控制方法。
背景技術：
無線傳感器網絡不同於一般無線網絡，其特點有能量極其有限，感知數據量巨大，通信能力有限，節點數量巨大且計算能力和存儲能力有限，網絡維護不易等。無線傳感器網絡主要以採集環境數據，並為用戶提供環境信息的數據服務為主。 隨著應用的深入和感知數據的多樣化，傳感器感知到的環境數據中將包含著大量的敏感數據和隱私數據，怎樣有效保護這些數據不被非法用戶訪問，對用戶的訪問行為進行控制，為用戶提供受限的訪問服務，是無線傳感器網絡應用中所必須解決的主要問題之一。訪問控制作為無線傳感器網絡的幾大安全策略之一，其主要目的有三個一是防止非法的主體進入受保護的網絡資源；二是允許合法用戶訪問受保護的網絡資源；三是防止合法用戶對受保護的網絡資源進行非授權的訪問。然而由於受傳感器節點計算速度、電源能量、通信能力和存儲空間非常有限等的限制，且網絡所管理的資源的分散程度和動態程度的不同，以及無線傳感器網絡安全特性的影響，直接管理節點資源工作量大且不易實現，因此現有的訪問控制技術無法直接應用到無線傳感器網絡當中來。表1為無線傳感器網絡環境中的訪問控制技術與傳統網絡環境中的訪問控制技術的區別
表1 一 WSN與傳統網絡中訪問控制的區別
3傳統網絡的訪問控制WSN中的訪問控制傳統數《庫系統擁作的對象是&經存在的確定的有PS數攝庫.對於用戶的訪_可以採用集中式的處理傳感Ii節點產生的是連續的無Pi數鄉I, WSN數攝管理系統所麗對的是大量的分布式無陋數據流，傳統的資料庫系統信息處理技術不適用於WSN傳統網絡中的節點I卩計算機可以獨立+管理大量用戶的訪問權 Pl,並對用戶的訪問請求進行處理和安全回復.，不需要考慮資麗受》的_題WSN Ψ的節點資灘極其有限，不饈獨立完成對大量用戶訪問請求的處理和回復傳統網絡中釆用 對稱加密機制保障傳輸信息安全WSN中的節點因資麗有限，i*對稱加密機制開銷 大，只支持對稱加密機制保障傳輸信息安全傳統S絡呈發生訪問的主體或對象是計算機用戶用戶能宙行創建資■並為其他用戶《S訪問該資源的權限也《為i己綬 S權爾對於WSN來說，訪問的主體是其外網的用戶或本網的網讓管理+心，訪問的對象是其網內傳感器節點的資·B庫個傳感器節點的資源是■定的它不能為e己再另行創建資也不能韋獨管理權Pl
基於以上區別，無線傳感器網絡中的訪問控制技術應滿足以下要求
1.由所有節點對用戶訪問進行處理；
2.節點只需完成對用戶訪問請求合法性的分析和處理；
3.無線傳感器網絡內部保障信息傳輸安全的加密方式不改變；
4.節點只對用戶訪問權限進行控制，但對用戶的接入控制應由能量更高的對象擔當；
5.為儘可能保證對用戶權限的靈活管理，第三方信任中心應與本地信任中心結合對用戶權限進行管理，採用廣播消息給節點的方式對用戶權限進行授予、修改、撤銷；
本發明提出了一種對用戶訪問物聯網信息的安全控制方法，針對無線傳感器網絡所面臨的外部用戶採用各種欺騙手段非法獲取、刪除、破壞、修改網絡信息的問題，結合無線傳感器網絡資源受限以及網絡管理的數據量巨大且分散程度高的特點，以資源為訪問對象， 採用可信任第三方或者網絡管理中心進行權限管理、網絡管理中心負責接入控制、傳感器節點進行權限控制的分布式控制方法，很好地解決了上述用戶對無線傳感器網絡非法訪問的問題。相對無線傳感網以往訪問控制機制所採用的用戶完全由節點控制(杜志強等，基於信息覆蓋的無線傳感器網絡訪問控制機制[J].通信學報，2010年第31卷第2期)，用戶一次只訪問一個節點的信息(一種低開銷的傳感器網絡訪問控制方法及系統.專利號 201010153096)，權限管理低效的控制方法(Donggang Liu. Efficient and Distributed Access Control for Sensor Networks[J]. Wireless Network, 2010(16):2151 - 2167), 提高了認證的安全性，減少了節點的能耗，提高了用戶訪問網絡的效率，同時使得對用戶權限的管理更加高效。

發明內容
本發明針對無線傳感器網絡現有訪問控制機制存在的用戶完全由節點控制難度大且控制安全強度低，用戶一次只訪問一個節點效率低，以及權限管理低效等缺點，結合無線傳感器網絡的安全特點，提出一種對稱加密機制與非對稱加密機制相結合的分布式訪問控制方法來限制和管理合法用戶對傳感網關鍵資源的訪問，保障關鍵資源的安全性。使得認證安全性高、節點能耗低、用戶訪問效率高且權限管理更加高效。本發明解決上述問題的技術方案為提出一種對用戶訪問物聯網信息的分布式控制方法，該方法包括步驟用戶向訪問控制伺服器WSN申請訪問網絡資源，發起訪問申請消息；訪問控制伺服器為用戶頒發訪問證書，同時記錄所述用戶的相關信息；用戶通過無線傳感器網絡WSN的網絡管理中心將證書轉發給無線傳感器節點；用戶向網絡管理中心發起訪問請求，由網絡管理中心對用戶進行接入控制，無線傳感器節點對用戶進行權限限制，並採用安全方式將訪問響應消息發送給用戶；用戶通過資源屬性進行權限委託，並通過權限委託為另一用戶授予其自身部分權限或全部權限，根據設置的訪問時限決定撤銷用戶權限。用戶向訪問控制伺服器發起訪問申請消息，具體包括用戶構造訪問申請消息，用訪問控制伺服器的公共密鑰加密訪問申請消息明文內容得到訪問申請消息，訪問申請消息明文內容包括用戶身份信息、用戶公共密鑰、網絡管理中心的唯一身份標識；訪問控制伺服器為用戶頒發訪問證書，具體包括訪問控制伺服器接收到用戶的訪問申請消息後，用自己的私有密鑰解密，得到訪問申請消息的明文信息，然後比對明文信息中的用戶身份信息與訪問控制伺服器中記錄的用戶的註冊信息是否一致，若不一致，則拒絕申請訪問，一致則為用戶構造證書並將證書發給用戶，同時設置用戶狀態為訪問網絡狀態；訪問控制伺服器通過網絡管理中心的唯一身份標識查找用戶訪問的網絡，並查看該網絡中的資源以及對應資源的屬性，每種資源分別對應保密的一個級別，訪問控制伺服器根據用戶註冊信息查找用戶級別並對應保密級別，高級別的用戶將得到所有比其級別低的資源，用戶對同級的資源只具有讀取權限，對低級別的資源具有讀取權限、寫入和刪除權限；用戶通過無線傳感器網絡(WSN)的網絡管理中心將證書轉發給無線傳感器節點，具體包括用戶接收到訪問證書後，用訪問控制伺服器的公共密鑰解密並認證籤名，若認證不成功則丟棄消息，若認證成功則保存證書明文內容中的允許訪問的資源類型標識和資源屬性，再將證書原封不動地轉發給網絡管理中心；網絡管理中心接收到訪問證書後，用訪問控制伺服器的公共密鑰解密並認證籤名，若認證失敗則丟棄證書；若認證成功，網絡管理中心則根據用戶唯一的身份標識生成WSN中具有唯一標識的網內短地址，並建立用戶信息表保存用戶唯一身份標識、用戶網內短地址、用戶公共密鑰、訪問時限信息，由此構造證書消息；用戶構造訪問驗證請求消息，訪問驗證請求消息包括訪問請求消息、認證碼，網絡管理中心接收到訪問驗證請求消息後，根據用戶的身份標識查找用戶信息表並判斷消息類型，若是訪問請求消息，則使用用戶信息表中用戶公共密鑰加密訪問請求消息重新生成認證碼，並將該認證碼與訪問驗證請求消息中的認證碼比對，若不相等，則丟棄消息並拒絕訪問；若相等，則構造廣播消息，發送給無線傳感器節點。採用基於公私鑰的認證與籤名體系，提高傳感網認證用戶的安全性。網絡管理中心保存用戶公共密鑰，用於認證用戶籤名的訪問請求消息，保證訪問請求發送者的真實性。 用戶公共密鑰來自訪問控制伺服器在訪問授權階段頒發的訪問證書，最終由網絡管理中心用訪問控制伺服器的公共密鑰解密認證得到。節點維護一張記錄用戶權限等信息的訪問控制表，訪問控制表中的內容來自訪問控制伺服器在訪問授權階段所頒發的訪問證書。節點在訪問授權階段採用對稱加密算法解密一次，即得到訪問控制表的內容，並在用戶訪問階段根據訪問控制表判斷用戶是否有權訪問網絡，計算開銷來自查找訪問控制表中對應用戶信息所消耗的能量，與非對稱加密機制所帶來的計算開銷相比可忽略不計。用戶接收到的訪問響應消息是由網絡管理中心用用戶的公共密鑰加密的，對於能量不受限的用戶來說，用其私有密鑰解密一次即可得到本次訪問的所有響應消息。相比對每個節點發送訪問請求，對每個節點響應消息進行解密的方法，用戶訪問效率顯著提高。用戶若想訪問某一無權訪問的資源，可直接向其他在線用戶請求授予權限，其他用戶可以通過權限委託為該用戶授予其自身部分權限或全部權限。用戶是否可以進行權限委託通過用戶對某類資源訪問權限的屬性來決定，屬性有兩種，一種是傳播屬性，一種是阻止屬性，具有傳播屬性的權限可以被權限委託，具有阻止屬性的權限則不能。當訪問控制伺服器在訪問授權階段下發權限給用戶時，已經設定好該權限的時限，當時限到來時，用戶權限即可自動從傳感網中被撤銷。本發明提出的訪問控制方法，節點無需保存與用戶的通信密鑰，無需消耗對用戶進行認證或與用戶直接進行安全通信所帶來的計算開銷與通信開銷，僅需建立一張記錄用戶權限信息的訪問控制表，依據訪問控制表允許與限制用戶使用自身資源，節點能耗更少； 用戶無需以單播方式一次只訪問一個節點，只需將其訪問請求發送給網絡管理中心認證， 或從網絡管理中心接收響應消息解密即可，大大提高了用戶訪問網絡的效率；合法用戶之間可以相互進行權限委託，一定程度上減少了用戶權限變動時，只能向訪問控制伺服器申請所帶來的伺服器權限管理負荷過重的問題，使得整個權限管理更加高效。


圖1是本發明用戶訪問物聯網信息的分布式控制方法示意圖。
具體實施例方式本實施例通過本發明內容中的基於公私鑰的加密認證體系來完成除節點外的各實體間的認證與傳輸數據的加密，通過本發明中的節點來控制用戶訪問網絡的權限，通過用戶之間的權限委託完成用戶權限的變動，通過網絡管理中心處理用戶越權訪問的威脅。
假設用戶申請訪問前，訪問控制伺服器已與網絡管理中心共享了各自的公共密鑰，網絡管理中心與無線傳感器節點已經建立了保障無線傳感器網絡安全所需的密鑰。該方法具體包括
訪問授權階段，用戶向訪問控制伺服器申請訪問網絡資源，訪問控制伺服器為用戶頒發訪問證書，同時記錄用戶的相關信息。用戶通過無線傳感器網絡(WSN)的網絡管理中心將證書轉發給無線傳感器節點；控制訪問階段，用戶向網絡管理中心發起訪問請求，由網絡管理中心對用戶進行接入控制，無線傳感器節點對用戶進行權限限制，訪問響應消息採用安全方式發送給用戶；用戶可以通過權限委託為另一用戶授予其自身部分權限或全部權限， 用戶是否可以進行權限委託通過資源屬性來確定；用戶權限的撤銷根據設置的訪問時限決定。用戶構造訪問申請消息，訪問申請消息明文內容包括用戶身份信息、用戶公共密鑰、網絡管理中心的唯一身份標識。訪問申請消息是用訪問控制伺服器的公共密鑰加密訪問申請消息明文內容得到的；訪問控制伺服器接收到用戶的訪問申請消息後，用自己的私有密鑰解密，得到訪問申請消息的明文信息，然後比對明文信息中的用戶身份信息與訪問控制伺服器中記錄的用戶的註冊信息是否一致，若不一致，則拒絕申請訪問；一致則為用戶構造證書並將證書發給用戶，同時設置用戶狀態為訪問網絡狀態；證書明文內容包括用戶唯一的身份標識、用戶公共密鑰、訪問時限、允許訪問的資源類型標識、資源屬性、訪問權限。訪問證書是用訪問控制伺服器的私有密鑰籤名的證書明文內容。證書明文內容中，允許訪問的資源類型標識、資源屬性和訪問權限是訪問控制伺服器根據訪問申請消息明文內容中的網絡管理中心的唯一身份標識和用戶的註冊信息確定的。訪問控制伺服器首先通過網絡管理中心的唯一身份標識查找到用戶訪問的是哪一個網絡，然後查看該網絡中有哪些資源以及對應資源的屬性，該資源和對應資源屬性是在傳感網組網階段由網絡管理中心根據網絡應用環境匯報給訪問控制伺服器的，資源屬性分為傳播屬性和阻止屬性。每種資源還對應一個級別，有絕密級、機密級、秘密級、無密級四種。 然後訪問控制伺服器再根據用戶的註冊信息查找用戶屬於哪個用戶級別，用戶級別也有四種重要級、高級、中級、普通，依次按順序對應資源的四種級別，如重要級對應秘密級，高級對應機密級。用戶可訪問的資源類型標識和訪問權限的確定原則是高級別的用戶將得到所有比其級別低的資源，用戶對同級的資源只具有讀取權限，對低級別的資源除讀取權限外，還有寫入和刪除權限。用戶接收到訪問證書後，用訪問控制伺服器的公共密鑰解密並認證籤名。若認證不成功則丟棄消息，若認證成功則保存證書明文內容中的允許訪問的資源類型標識和資源屬性，再將證書原封不動地轉發給網絡管理中心；
網絡管理中心接收到訪問證書後，用訪問控制伺服器的公共密鑰解密並認證籤名。若認證失敗則丟棄證書；若認證成功，網絡管理中心則根據用戶唯一的身份標識生成WSN中具有唯一標識的網內短地址，並建立用戶信息表，表中保存用戶唯一身份標識、用戶網內短地址、用戶公共密鑰、訪問時限信息。最後構造證書消息；證書消息明文內容包括允許訪問的資源類型標識、資源屬性、訪問權限、訪問時限、用戶網內短地址；其中，訪問權限和訪問時限指的是針對每種資源，用戶所具有的操作權限和能訪問的時間長度。資源屬性有兩種傳播屬性與阻止屬性。若為傳播屬性，則用戶可通過權限委託將該資源訪問權授予另一用戶；若為阻止屬性，則用戶不能通過權限委託將資源訪問權授予另一用戶。證書消息是用全網密鑰加密證書消息明文內容得到的，證書消息構造好後，廣播發送給無線傳感器節點。 無線傳感器節點接收到證書消息後，用全網密鑰解密消息，並查找允許訪問的資源類型標識中是否有與自身資源類型標識一致的標識，若有，則為用戶建立訪問控制表，表中保存證書消息明文內容的全部信息，並返回確認消息給用戶；若沒有則丟棄消息。通過用戶構造訪問驗證請求消息，無線傳感器節點對用戶進行權限限制，訪問驗證請求消息包括兩部分一是訪問請求消息，二是認證碼。訪問請求消息包括消息類型、 本次訪問的資源類型標識、訪問操作；認證碼是通過用用戶私有密鑰加密訪問請求消息得到的；網絡管理中心接收到訪問驗證請求消息後，根據用戶唯一的身份標識查找用戶信息表中是否有其記錄，若查找失敗則丟棄消息並拒絕訪問；若查找成功，再判斷消息類型，若是訪問請求消息，則使用用戶信息表中用戶公共密鑰加密訪問請求消息重新生成認證碼， 並將該認證碼與訪問驗證請求消息中的認證碼比對，若不相等，則丟棄消息並拒絕訪問；若相等，則構造廣播消息，發送給無線傳感器節點；廣播消息明文內容包括消息類型、用戶網內短地址、本次訪問的資源類型標識、訪問操作；廣播消息是用全網密鑰加密廣播消息明文信息得到的。無線傳感器節點接收到廣播消息後，用全網密鑰解密得到其明文信息，根據消息類型判斷接收的是何種消息，若是訪問請求消息，再根據用戶網內短地址查找訪問控制表中是否有其記錄，若查找失敗則丟棄廣播消息；若查找成功，再判斷本次訪問的資源類型標識中是否有與自己所感知的信息類型一致的標識，沒有則說明用戶請求的資源類型超出了其所能訪問的資源類型範圍，無線傳感器節點丟棄消息並拒絕訪問；有則根據訪問控制表中的訪問權限判斷訪問操作是否合法，若合法則構造訪問響應消息並發送給網絡管理中心；若非法，則丟棄消息並報警；訪問響應消息明文內容包括消息類型、用戶網內短地址、響應數據。訪問響應消息是用節點與網絡管理中心的個體密鑰加密得到的。網絡管理中心接收到訪問響應消息後，用與無線傳感器節點的個體密鑰解密消息並判斷消息類型，若為訪問響應消息，則構造響應消息，再根據用戶網內短地址在用戶信息表中查找到用戶唯一的身份標識，將響應消息發送給用戶，用戶接收後用自己的私有密鑰解密，得到響應數據；。響應消息明文內容包括消息類型、響應數據。響應消息是用用戶的公共密鑰加密明文內容得到的。用戶若為另一合法用戶授予權限，則用戶與另一用戶的關係為委託用戶與被委託用戶的關係。資源屬性分為兩種，一種是傳播屬性，一種是阻止屬性，傳播屬性的資源可以被授予給其他用戶訪問，為阻止屬性的資源則不能。當委託用戶為被委託用戶授予權限時， 構造權限委託證書並發送給被委託用戶，權限委託證書明文內容包括被委託用戶的唯一身份標識、委託的資源類型標識、委託權限、委託訪問時限。權限委託證書是通過委託用戶用私有密鑰籤名上述明文內容得到的；被委託用戶收到權限委託證書後用委託用戶的公共鑰解密並認證籤名，若認證不成功則丟棄消息；若認證成功，則記錄委託的資源類型標識和委託用戶的唯一身份標識信息，並保存權限委託證書。此時的訪問請求消息包括消息類型、本次訪問的資源類型標識、訪問操作、委託用戶的唯一身份標識、權限委託證書。消息類型顯示的是授權訪問請求消息。網絡管理中心收到訪問請求消息後，在構造廣播消息之前， 根據委託用戶的唯一身份標識查找委託用戶的公共密鑰，用委託用戶的公共密鑰解密籤名的權限委託證書，判斷證書中被委託用戶的唯一身份標識是否與發送訪問請求消息的用戶身份標識一致，若不一致，則丟棄消息；若一致，則最後構造廣播消息，用全網密鑰加密廣播發送給無線傳感器節點。廣播消息包括消息類型、被委託用戶網內短地址、本次訪問的資源類型標識、訪問操作，委託用戶網內短地址、委託的資源類型標識、委託權限、委託訪問時限，此時消息類型顯示的是授權訪問請求消息。
無線傳感器節點接收到廣播消息後，用全網密鑰解密，根據消息類型判斷接收的是何種消息，若是授權訪問請求消息，則根據委託用戶網內短地址查找訪問控制表中是否有其記錄，若查找失敗則丟棄消息，並發送訪問失敗響應；若查找成功，則再判斷委託的資源類型標識中是否有與自己一致的資源類型標識，沒有則說明委託用戶沒有授權被委託用戶對該節點的訪問，節點直接丟棄消息；有則繼續判斷本次訪問的資源類型標識中是否有與自身資源類型標識一致的標識，沒有則說明本輪被委託用戶不對該節點進行訪問；有則查看訪問控制表中對應資源的屬性，若為阻止屬性，則丟棄消息，並發送訪問失敗響應；若為傳播屬性，再根據訪問控制表中的訪問權限判斷訪問操作是否合法，若合法則生成訪問響應消息發送給被委託用戶，若非法，則丟棄消息並報警。網絡管理中心對WSN擁有最高的訪問權限，當節點報警次數超過預先在網絡管理中心中設定的次數時，網絡管理中心有權廣播撤銷消息通知節點刪除訪問控制表中對應用戶的所有信息。以下結合實施例，對本發明進行進一步詳細說明。此處所描述的具體實施例僅僅用以解釋本發明，並不限定本發明。圖1是本發明實施例的用戶訪問無線傳感器網絡控制示意圖，如圖1所示
訪問授權階段，用戶A首先向訪問控制伺服器ACS申請訪問網絡，用ACS公共密鑰加密表1所示的內容，
表1:訪問申請消息明文內容
權利要求
1.一種對用戶訪問物聯網信息的分布式控制方法，其特徵在於，包括用戶向訪問控制伺服器申請訪問網絡資源，用戶構造並發起訪問申請消息；訪問控制伺服器接收到用戶的訪問申請消息後為用戶頒發訪問證書，同時記錄所述用戶的相關信息；用戶通過無線傳感器網絡WSN的網絡管理中心ACS將訪問證書轉發給無線傳感器節點；用戶向網絡管理中心發起訪問請求，由網絡管理中心對用戶進行接入控制，並查看該網絡對應有哪些資源及各種資源對應的級別，ACS再根據用戶的註冊信息查找用戶級別，確定用戶可訪問的資源類型標識和訪問權限，通過用戶構造訪問驗證請求消息，無線傳感器節點對用戶進行權限限制，並將訪問響應消息發送給用戶；用戶通過資源屬性進行權限委託，並通過權限委託為另一用戶授予其自身部分權限或全部權限，根據設置的訪問時限決定撤銷用戶權限。
2.如權利要求1所述的方法，其特徵在於，用戶構造訪問申請消息具體為用ACS公共密鑰加密訪問申請消息明文，即根據公式MAA = FPsanfoA || PA || NM_ID)構造訪問申請消息MAA，其中，F為非對稱加密算法；Ps是ACS的公共密鑰；InfoA為用戶A的身份信息；PA為用戶A的公共密鑰；NM_ID為網絡管理中心的唯一身份標識。
3.如權利要求1所述的方法，其特徵在於，為另一用戶授予其自身部分權限或全部權限具體為若用戶A為用戶B授權，用戶A構造權限委託證書AR_CertA= Fsa (IDb | | D_R_IDI D_P_ID Μ D_Tb)發送給用戶B，其中Fsa為基於用戶A私有密鑰的非對稱加密算法，1 為B的唯一身份標識，D_R_ID為委託的資源類型標識，D_P_ID為委託權限，D_Tb為委託訪問時限，用戶B收到AR_CertA後，用A的公共密鑰Pa解密，判斷IDb是否與自己的唯一身份標識一致，一致則將D_R_ID信息加載到已有的資源類型標識中。
4.如權利要求1所述的方法，其特徵在於，訪問控制伺服器接收到用戶的訪問申請消息後，進一步包括，用自己的私有密鑰解密，得到訪問申請消息的明文信息，然後比對明文信息中的用戶身份信息與訪問控制伺服器中記錄的用戶的註冊信息是否一致，若不一致， 則拒絕申請訪問，一致則為用戶構造證書並將證書發給用戶，同時設置用戶狀態為訪問網絡狀態。
5.如權利要求1所述的方法，其特徵在於，用戶通過網絡管理中心將訪問證書轉發給無線傳感器節點，其中，證書明文內容包括資源類型標識、資源屬性、訪問權限、訪問時限、用戶網內短地址；無線傳感器節點接收到訪問證書後，用全網密鑰解密消息，並查找資源類型標識中是否有與自身一致的資源類型標識，若有，則為用戶建立訪問控制表，訪問控制表中保存證書明文，並返回確認消息給用戶，若沒有則丟棄消息。
6.如權利要求1所述的方法，其特徵在於，無線傳感器節點對用戶進行權限限制，具體為，用用戶私有密鑰加密訪問請求消息得到認證碼，網絡管理中心接收到訪問驗證請求消息後，根據用戶的身份標識查找用戶信息表並判斷消息類型，若是訪問請求消息，則使用用戶信息表中用戶公共密鑰加密訪問請求消息重新生成認證碼，並將該認證碼與訪問驗證請求消息中的認證碼比對，若不相等，則丟棄消息並拒絕訪問，若相等，則構造廣播消息，發送給無線傳感器節點。
7.如權利要求1或2所述的方法，其特徵在於，訪問權限和訪問時限是針對每種資源用戶所具有的操作權限和能訪問的時間長度，資源屬性包括傳播屬性與阻止屬性，若為傳播屬性，用戶能通過權限委託將該資源訪問權授予另一用戶，若為阻止屬性，用戶不能通過權限委託將資源訪問權授予另一用戶。
全文摘要
本發明提出了一種對用戶訪問物聯網信息的分布式控制方法，涉及通信技術領域。用戶向訪問控制伺服器申請訪問網絡資源，訪問控制伺服器為用戶頒發訪問證書，同時記錄用戶的相關信息。用戶通過無線傳感器網絡的網絡管理中心將證書轉發給無線傳感器節點；用戶向網絡管理中心發起訪問請求，由網絡管理中心對用戶進行接入控制，無線傳感器節點對用戶進行權限限制，訪問響應消息採用安全方式發送給用戶；此外，用戶可以通過權限委託為另一合法用戶授予其自身部分權限或全部權限。本發明能夠實現對用戶訪問無線傳感器網絡的有效限制與權限管理，同時具有節點低開銷等特徵。
文檔編號H04W12/00GK102404726SQ20111036777
公開日2012年4月4日 申請日期2011年11月18日 優先權日2011年11月18日
發明者孫浩, 孫龍, 屈洪春, 梁麗瑛, 王平, 王浩, 葛勁文, 金永翰 申請人:重慶郵電大學, 韓國崇實大學產學協力團