技术领域
本发明属于信息物理融合系统的安全防护技术领域,具体涉及智能楼宇中的移动设备认证 系统、方法。
背景技术
随着信息物理融合技术的发展,物理设备的威胁不再仅仅来自物理层面,设备的智能化使 得网络黑客可以通过网络攻击的方式攻击物理设备,对于系统的操作者来说,既希望设备的智 能化程度提高,又忌惮网络黑客从网络层面对设备发动攻击。对于信息物理融合系统,由于外 来设备的无线互联网连接,使得网络攻击造成物理设备损坏变得更加容易,尤其是和外界交互 频繁的智能楼宇系统。基于网络的传播速度以及传播范围,从网络层面对物理设备的攻击造成 的损害比单纯物理层面的攻击破坏力更强,造成的损失更严重,因此信息物理融合系统的网络 安全防护能力是其能否大范围推广使用的前提。
对于信息物理融合系统的运行和管理者来说,越来越希望对系统固有设备的访问、读写操 作能够得到更多的保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源非法占用和非 法控制等攻击事件的发生;对于涉及安全的保密单位,他们更希望对非法的、有害的或涉及国 家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损 失。
目前智能楼宇的发展正处于一个快速发展的阶段,多学科高新科技大量集成使用,智能楼 宇得到飞速发展。它已经开始向网络化、信息化、智能化方向迈进。智能楼宇运用了人工智能、 信息安全、网络通信、RFID、综合布线等多项先进技术,家居产品已经从数字化向智能化迈 进,初步构建了一个家庭智能物联网络,使得人们的生活更加安全舒适智能。然而,智能建筑 面临的安全风险也不容忽视,一旦一栋楼的控制系统被攻破,黑客们将可以轻易黑进其他楼宇 的控制系统。为了产品的兼容性和方便操作,很多楼宇的自动化控制系统采用的通信协议都是 彼此集成的。此外,如果楼宇控制系统与公司的企业网络处于同一网络的话,那其危害将更加 大。因此网络安全问题,应该像每家每户的防火防盗问题一样,必须做到防范于未然。
对于一些对外开放的智能楼宇,外来访客的不确定性对其安全防护带来了更大的挑战。随 着移动设备中涉及的个人信息越来越丰富、全面,在对外来移动设备的监测中,对用户的隐私 保护也是非常关键的。现有技术中很多接入网络设备的注册认证需要通过手机号或者短信验证 码的方式,由于电话号码往往是实名认证,与身份证绑定,很难保证用户的隐私。
发明内容
本发明的一个目的是提供一种基于挑战应答机制的安全防护系统,能够防止恶意的信息物 理融合攻击,通过网络攻击物理设备,在充分保证用户隐私的前提下,提高信息物理融合系统 的安全性。
本发明所采用的技术方案是:
基于挑战应答机制的智能楼宇移动设备认证方法,包括以下步骤:
步骤S1:进入楼宇内的用户端,申请注册账号,并发送至控制中心,控制中心生成随机 生成码返回到用户端;
步骤S2:用户端访问网络或者申请指令都会和随机生成码一起传递,随机生成码作为用 户的身份信息被其他用户访问;所有进入楼宇的用户端的随机生成码通过其连接的路由器实时 广播给周边用户端;
步骤S3:用户端向控制中心发送对楼宇内固有设备发起控制请求;
步骤S4:控制中心接收控制请求,查询信任名单,判断用户端是否在信任名单内:
A1、若用户端在信任名单中,则执行用户端发送的控制请求;
A2、若用户端不在信任名单中,则对用户端发起挑战应答:
A21、若用户端通过挑战应答,则执行客户端的控制请求;
A22、若用户端未通过挑战应答,则被标记为可疑用户,控制中心根据其随机生成码上传 时经过的路由器分析其历史行为并跟踪其接下来的行为,判断其是否为恶意用户,若用户被确 定为恶意用户,切断其网络连接,并将其随机生成码通过控制中心广播到所有曾经与恶意用户 同时接入网络的所有设备以及用户。
进一步的,步骤S4中,当某用户端被标记为恶意用户时,控制中心向与其在同一时段出 现在楼宇中的用户端发送自查二维码,通过扫描所述自查二维码,将本地保存的随机生成码上 传控制中心,控制中心将反馈给用户端是否有被恶意攻击的可能性。
进一步的,步骤S4中所述的信任名单通过以下步骤更新:
步骤S41:控制中心配置每一个固有设备的信任访问者名单;
步骤S42:当楼宇内固定设备接收到用户端的访问请求时,判断该用户端是否在信任访问名 单中:
若用户端在信任访问名单中,则判断指令是否正常:
当指令异常时,反馈控制中心根据其历史行为,判别是否移除将其信任名单;
否则正常执行指令;
若用户端不在信任访问名单中,采用挑战应答机制发出挑战,用户端接收挑战后按照预先 约定的机制生成应答码并返回到控制中心;控制中心判别应答码是否匹配,若匹配则执行该访 问者的指令,否则反馈到控制中心,标记为疑似恶意用户;
当同一用户连续N次通过挑战应答后,控制中心可以将其加入信任访问者名单。
进一步的,步骤S42中采用的挑战应答机制,包括以下步骤:
步骤S421:用户端对发起控制请求的设备以发送挑战码的形式发起挑战请求;
步骤S422:路由器接收挑战码并对挑战码进行加密后,发送给控制中心;
步骤S423:控制中心接收挑战请求,对非信任设备进行安全性验证:
如果安全性验证不通过,控制中心则不转发挑战请求;
如果安全性验证通过,控制中心将挑战请求转发给非信任用户端,非信任用户端接收到挑 战码后进行解码并生成应答码,并将应答码返回给发起设备;
挑战发起设备将应答码与其生成的期望应答结果比对,当比对结果相同时,执行控制请求; 当比对结果不同时,拒绝执行控制要求,向控制中心反馈比对结果并警示其可疑性。
进一步的,步骤S423中,控制中心通过预分析非信任设备的历史访问记录来进行安全性 验证;
若某用户端的安全性验证不通过,直接标记该用户端为高风险并跟踪其访问行为直至风险 解除;
若通过安全性验证,向用户端转发挑战码。
进一步的,步骤S423中,控制中心根据用户端访问的路由器编号拟合其活动轨迹,通过 运动轨迹上的不相关设备数量、挑战应答失败次数等判断用户端是否为恶意用户。
基于挑战应答机制的智能楼宇移动设备认证系统,包括电连接的控制中心和路由器,路由 器用于接收用户端发送的连网申请和控制请求;赋给用户端随机生成码、处理用户联网申请、 传送用户端与控制中心的挑战应答请求;控制中心用于接收路由器传递的连网申请和控制请求, 控制楼宇内所有设备的交互、判断用户端的行为是否为恶意行为,通知所有可能遭受攻击的设 备自查,切断风险设备的网络连接,分析其历史行为并跟踪控制直至风险解除。
进一步的,控制中心和路由器通过中继节点连接。
与现有技术相比,本发明至少具有以下有益的技术效果:
本发明提供一种可疑用户的检测与识别机制,一旦用户被标记为可疑用户后,控制中心分 析移动设备类型与来源以及访问固有设备的目的,并根据其随机生成码上传时经过的路由器来 分析其历史行为并跟踪其接下来在楼宇内的行为,判定其是否为恶意攻击者。
本发明通过采用挑战应答机制来进行信息物理融合系统的安全防护,并结合随机生成码的 移动设备认证,不需要获取用户端的任何隐私信息作为标识,仅仅采用随机生成码这种没有任 何用户端特征的信息来作为用户端的身份信息,在最大限度保护用户隐私的前提下,克服现有 信息物理融合系统,尤其是智能楼宇系统中存在的恶意信息物理融合攻击隐患以及网络攻击损 坏物理设备的安全风险,实现了信息物理融合系统综合安全防护,对恶意攻击者的攻击行为及 时发现的有益效果,增强了信息物理融合系统针对恶意信息物理融合攻击的防护能力。
进一步的,当某用户端被标记为恶意用户时,控制中心向与其在同一时段出现在楼宇中的 用户端发送自查二维码,通过扫描所述自查二维码,将本地保存的随机生成码上传控制中心, 控制中心将反馈给用户端是否有被恶意攻击的可能性,保证其他来访用户的安全性。
进一步的,步骤S4中所述的信任名单将根据用户端的访问情况及时进行更新,在保证楼 宇内设备安全的前提下,提高响应速度。
进一步的,控制中心通过预分析非信任设备的历史访问记录来进行安全性验证,降低恶意 用户攻击风险。
本发明所述的系统,利用楼宇内现有的系统和路由器,实现智能楼宇移动设备认证,在保 证用户隐私的前提下,保护楼宇内的设备安全,且可直接在楼宇现有的控制系统中集成相关功 能模块实现,节约成本。
附图说明
图1是本发明一种基于挑战应答的安全防护系统原理示意图;
图2是本发明一种设备的信任名单控制策略的工作流程图;
图3是本发明一种基于随机生成码控制策略的移动设备认证方法的工作流程图;
图4是本发明实施例5的工作流程图。
具体实施方式
为了使本发明的目的和技术方案更加清晰和便于理解。以下结合附图和实施例,对本发明 进行进一步的详细说明,此处所描述的具体实施例仅用于解释本发明,并非用于限定本发明。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、 “后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为 基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所 指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的 限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或 者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐 含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个 或两个以上。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、 “相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连 接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可 以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本 发明中的具体含义。
实施例1
如图1所示,一种基于挑战应答机制的智能楼宇移动设备认证系统,包括依次连接的控制 中心、中继节点、路由器和用户端,用户端包括楼宇内固有设备以及外来移动设备。
用户端用于向路由器发送连网申请、接收同一时刻连接在同一路由器下的用户端的生成码 并保存在本地、向控制中心发送控制请求以及发起并响应挑战应答;
路由器用于处理用户联网申请、传送用户端与控制中心的挑战应答请求;楼层中继节点用 于连接路由器与控制中心,记录路由器的历史访问设备数量,控制路由器的通断;
控制中心用于控制楼宇内所有设备(包括用户端、路由器以及中继节点)的交互、生成用 户端随机生成码、判断设备的行为是否为恶意行为,通知所有可能遭受攻击的设备自查,切断 风险设备的网络连接,分析其历史行为并跟踪控制直至风险解除。
其中,控制中心由少量人员和大量具备强大计算能力的计算机组成,作为智能楼宇的大脑, 可以随时介入管理决策或者处理紧急事件。
其中,中继节点起到连接控制中心和路由器的作用,可以将众多路由器分组管理并且可以 在紧急情况下切断风险路由器而不至于影响关键设备的网络连接。
其中,用户端可以是移动设备、计算机设备、嵌入式设备以及其他上网设备,移动设备可 以是基于Android或IOS的移动设备。
除此之外,控制中心中集成有生成码模块、挑战应答模块、信任访问者名单和ID生成器。 生成码模块,用于管理和更新生成码生成算法;挑战应答模块,用于管更新和设置挑战应答机 制;信任访问者名单,用于管理和检测固有设备的信任名单;ID生成器,用于生成用户端的 ID。
实施例2
一种基于挑战应答机制的智能楼宇移动设备认证方法,具体包括以下步骤:
步骤S1:用户进入楼宇内,申请注册账号,并发送至路由器,路由器将用户账号信息上 传到控制中心,控制中心生成随机生成码返回到用户端;
步骤S2:用户端每次访问网络或者申请指令都会和随机生成码一起传递,随机生成码作 为用户的身份信息被其他用户访问;所有进入楼宇的移动用户端的随机生成码通过其连接的路 由器实时广播给周边用户端,并被其他用户保存到本地,由于随机生成码是随机生成的,其他 用户无法通过随机生成码得知其他用户的信息;
步骤S3:用户端通过路由器向控制中心发送对楼宇内固有设备发起控制请求;
步骤S4:控制中心接收控制请求,查询信任名单,判断用户端是否在信任名单内:
如果用户端在信任名单中,则不需要发起挑战应答,直接执行用户端发送的控制请求;
如果用户端不在信任名单中,则对其发起挑战应答:
步骤SA1:若用户端通过了挑战应答,则执行客户端的控制请求;
步骤SA2:若用户端无法通过挑战应答,则被标记为可疑用户。用户端被标记为可疑用户 端后,控制中心根据其随机生成码上传时经过的路由器来分析其历史行为并跟踪其接下来的行 为,判断其是否为恶意用户。
用户被确定为恶意用户后,则切断其网络连接,并将其随机生成码通过控制中心广播到所 有曾经与恶意用户同时接入网络的所有设备以及用户;
步骤S5:离开楼宇的用户端将收到一个自查二维码,通过扫描这个二维码,上传给控制 中心本地保存的随机生成码,系统将反馈给用户是否有被恶意攻击的可能性。
通过以上步骤,可以实现最大限度地保护来访者隐私,每一个移动设备在控制中心都只对 应一个生成码,其他设备以及控制中心只能看到该设备的随机生成码,而无法获取具体用户端 的身份信息以及内部数据。
本发明中随机生成码是由主键+随机码的方式,具体产生步骤为:先从内嵌于控制中心的 计算机中的ID生成器生成随机ID,再填充成固定位数(比如8位)的字符串(不够位数的左边填0,超过位数直接使用该数字),最后在每个数字后面随机插入1个字母或其它非数字符号,这 样就可以得到一个唯一的随机生成码,随机生成码的算法可以根据需要随时更换。
实施例3
本实施例是对上述实例步骤S4的进一步补充,如图2所示,一种设备的信任名单控制方 法,包括以下步骤:
步骤S41:在智能楼宇接受外来访问之前,控制中心提前配置每一个固有设备的信任访问名 单;
步骤S42:当楼宇内固定设备接收到用户端的访问请求时,判断该用户端是否在信任访问名 单中:
若用户端在信任访问名单中,仅需要分析指令的可靠性,当指令异常时,反馈控制中心复 核其历史行为,判别是否移除将其信任名单,否则正常执行指令;
若用户端不在信任访问名单中,通过挑战应答模块采用挑战应答机制发出挑战:
非信任访问者接收挑战后按照预先约定的机制生成应答码并返回到控制中心;控制中心将 应答码转发到挑战发起设备,挑战发起设备判别应答是否匹配,若匹配则执行该访问者的指令, 否则反馈到控制中心,标记为疑似恶意用户;
步骤S43:当同一用户连续5次以上通过某一个固有设备的挑战应答机制后,控制中心可 以将其加入信任访问者名单。
步骤S42中采用的挑战应答机制,具体包括以下步骤:
步骤S421:用户端通过连接的路由器申请控制中心对发起控制请求的设备以发送挑战码 的形式发起挑战请求;
步骤S422:路由器接收挑战码并对挑战码进行加密后,经由中继节点发送给控制中心;
步骤S423:控制中心接收挑战请求,对非信任设备进行安全性验证:
如果安全性验证不通过,控制中心则不去转发挑战请求;
如果安全性验证通过,控制中心将挑战请求转发给非信任设备,非信任设备接收到挑战码 后进行解码并生成应答码,经由路由器和中继节点将应答码返回给控制中心;
控制中心接收到非信任设备的应答码后转发给挑战发起设备;
挑战发起设备将应答码与其生成的期望应答结果比对,当比对结果相同时,执行控制请求; 当比对结果不同时,拒绝执行控制要求,向控制中心反馈比对结果并警示其可疑性。
步骤S423具体包括以下步骤:
步骤S4231:控制中心通过提前预分析非信任设备的历史访问记录来进行安全性验证,降 低恶意用户攻击风险。
步骤S4232:安全性验证不通过,直接标记该用户为高风险并跟踪其访问行为直至风险解 除;
步骤S4233:通过安全性验证,向用户端转发挑战码。
具体地,步骤S4232中,为了保护用户隐私,控制中心无法直接访问用户数据,而是根据 用户进入智能楼宇内后访问的路由器编号拟合其活动轨迹,通过运动轨迹上的不相关设备数量、 挑战应答失败次数等判断其是否为恶意用户;
一旦用户被判定为恶意用户时,控制中心将其生成码发送给同一时刻的所用其他用户,用 户比对本地存储的生成码,自查是否被恶意攻击。
通过以上步骤,可以在每一次访问到来时,使控制中心对设备来源的判别更加准确、快速, 节省计算资源,加快响应速度。初始时刻信任名单基本都是系统的固有设备,信任名单控制策 略为后续系统设备的增加提供了便利。同时设备与信任名单一一对应,使得一些具有多次访问 某一设备需求的安全访客更加方便,但该访客对于其他设备的访问权限还是受到限制,对整个 系统的安全性更有保障。一旦某一信任设备出现一次异常行为会被立刻从信任名单中清除,这 样可以降低受信任设备被攻击者间接利用攻击系统的风险。
本发明中挑战应答机制的加密算法采用高熵密钥实现认证。为了更好地说明高熵密钥认证 机制的工作原理,基于传统的“挑战—应答”机制,假设A和B之间已经建立起共享密钥k。 A要对B发起认证,因此A发送一个随机数r给B,B使用共享密钥k对r进行加密,得到加 密结果c,然后将加密结果c作为应答发送给A,A使用共享密钥k也对r进行加密,然后比较加密结果是否与c一致,若一致,则对B的认证通过;否则认证失败。在本实施例中,A为 发起挑战的楼宇内固定用户端,B为需要做出应答的用户端。
实施例4
本实施例是对实例2步骤S5的进一步补充,如图3所示,客户端发送控制设备请求,路 由器接收请求后上传到控制中心,挑战应答模块通过则执行客户端的控制请求,否则上报控制 中心将其标记为可疑用户,控制中心分析其历史请求与踪迹并监控,判定其是否为恶意攻击用 户,若为恶意用户,则切断其网络连接,广播其随机生成码,对高风险设备进行预警;否则解 除监控。
实施例5
本实例是对实例2步骤S42中挑战应答机制的进一步补充,如图4所示,楼宇内固定设备 接收到控制请求后,向路由器发送挑战码;路由器对挑战码行校验,判断是否为合法的挑战码, 其后执行分为两种情况:
情况1:当校验失败时,控制中心接收到校验失败返回码,则挑战验证失败。
情况2:当校验通过后则对挑战码加密,经过中继节点上传到控制中心。
然后,控制中心分析挑战码是否合法,包括以下两种情况:
情况1:若不合法则不做处理;
情况2:若合法,则控制中心产生一个“挑战”随机数,发给控制请求用户端,作为“提 问”;
控制请求用户端接收到提问后,使用事先约定好的“随机生成码+H”生成应答码返回给 控制中心。控制中心收到应答码后和自己计算的结果比较,比较结果分为以下两种情况:
情况1:相等则认证通过,执行指令;
情况2:不想等则失败不执行指令,并标记应答用户为可疑用户。
以上是对本发明的较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本 领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换,这些等同的变 形或替换均包含在本申请权利要求所限定的范围内。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明 提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之 内。
机译: 随机部分数字化路径识别系统中基于两点交互作用的挑战的基于场位置的枚举模式的认证方法和基于响应的场位置的枚举模式的认证方法
机译: 用于基于移动智能卡的计算机程序的认证方法,设备和(基于移动智能卡的认证)系统
机译: 使用基于具有挑战/响应的一次性无线密码模块的移动终端的Web和/或无线网络上的用户认证方法和系统,能够保证用户认证的稳定性
