本申请涉及一种确定Matter设备本地访问控制权限的方法和系统,该方法应用于云端服务器,包括:为用户配备在当前fabric下的唯一标识;针对所述fabric下的Matter设备,为所述用户确定控制权限等级;以及将所述唯一标识和所述控制权限等级分享至所述Matter设备,与所述Matter设备进行同步。根据本申请的方案,使得每个用户在当前的fabric里拥有访问控制的唯一标识,使得安全性得到的有效保证;其次,云端为用户分配访问控制的唯一标识,不仅有效解决了唯一标识本地分配时带来的重复问题,而且,由于云端是针对每个用户的账号进行唯一标识的分配,解决多客户端的数据同步问题;另外,Matter设备的ACL权限进行云端管理,解决了本地ACL权限数据与云端权限数据的一致性问题。地ACL权限数据与云端权限数据的一致性问题。地ACL权限数据与云端权限数据的一致性问题。
【技术实现步骤摘要】
确定Matter设备本地访问控制权限的方法和系统
[0001]本申请涉及智能家居
,尤其涉及一种确定Matter设备本地访问控制权限的方法和系统。
技术介绍
[0002]Matter协议是CSA联盟与Google、Amazon、Apple共同推进的物联网标准连接方案,旨在实现所有IoT设备的兼容性,实现一套协议控制所有设备。
[0003]Matter协议中有Fabric(对应中文为“织物”)功能,其解释为:同一网络下的一组设备共享相同的安全域,允许节点之间安全通信,这组设备称为Fabric。可以把Fabric比作一张网,每个Matter设备都是这张网上的一个节点,每个节点在fabric下都有一个唯一的节点标识nodeID,所以如果想要使用Matter设备,首先需要创建fabric。
[0004]目前各大厂商的客户端APP中,基本都是以家庭作为载体,用来展示相关设备,用户添加设备时,需要先创建一个家庭,即用户与家庭建立关系,然后配网之后,设备就与家庭建立关联关系,进而产生用户与设备之间的关系。Matter设备也不例外,其如果想在APP里进行使用,一般的做法通常是为家庭创建一个1对1的fabric,然后在家庭对应的fabric里为设备分为对应的节点nodeID,这样就达到的Matter设备的接入。实际上,是各个节点根据秘钥或凭证组成一个fabric,以家庭为载体创建fabric是比较常见和容易理解的方式。另外每个节点对应的设备内部都维护了一个ACL(Access Control List,访问控制列表)。ACL功能旨在确保只有授权的节点才能通过交互模型访问数据模型公开给定的应用层功能,访问控制是安全通道和交互模型之间的基本链接。所以ACL功能中其中非常重要的一点是:授予其他节点访问和控制此节点的能力,并且授予是有权限等级的,在一个具体实施例中,权限等级如表1所示:
[0005]表1
[0006][0007]在表1中,等级越大,授予的权限基本越高,Administer是最高权限,为管理员角色
的权限,这个权限比较特殊,因为它跟访问控制集群有关,而且只有授予此权限级别的节点才有修改访问控制的能力;当节点被授予特定权限时,它也被隐式授予所有逻辑上较低的权限级别,例如赋值某个节点的权限等级为5,那么该节点自动拥有等级1、2、3和4的功能权限。
[0008]按照Matter官方给出的规范里,在Matter设备激活阶段,会通过内部方法自动为整个节点默认创建一个授予权限等级为Administer的权限控制列表项,并把它加入到ACL中。例如,Matter设备授予索引为1的Fabric下的一个nodeID为0xAAAA_AAAA_AAAA_AAAA的节点的访问控制权限为Administer,授予之后,此节点就有了访问控制当前Matter设备的能力。例如现在需要通过客户端APP来控制Matter设备,首先要通过客户端APP与Matter设备建立会话,然后就需要传入访问控制的nodeID(前述0xAAAA_AAAA_AAAA_AAAA)进行验证是否有权限。验证通过之后,会话才能建立成功,后续才能进行控制。
[0009]按照Matter官方给出的规范,设备激活阶段,这个授予权限为Administer的nodeID可以自行定义,只要不超出nodeID的设置范围即可[范围:总体范围在0x0000_0000_0000_0001(10进制:1)到0xFFFF_FFEF_FFFF_FFFF(10进制:18446744004990075000)之间]。按照以往的设计方案,技术人员在做Matter设备ACL方案时,通常的做法都是同一个fabric下通过算法生成一个nodeID,为一对一关系,然后设计激活时设置相关的权限等级为administer,并写入到Matter设备的ACL里。然后后续任何客户端APP或者其他Matter设备想要访问或控制此设备时,都是通过这个生成的nodeID与此设备建立会话。
技术实现思路
[0010]专利技术人发现,对于现有技术中“同一个fabric下通过算法生成一对一的nodeID”的方式,会带来加大的安全风险:首先,如果nodeID与fabric的关联关系不通过云端来维护,那么每次创建一个新的fabric网络时,为了保持同一个设备可以被多个客户端APP进行控制,那么就需要将所有客户端APP的nodeID是一样的,即每个fabric对应的nodeID都是相同的,这样的设计虽然做法很简单,但是安全性大大降低,另外不通过云端来维护关系的方案很容易造成nodeID生成重复导致业务受损的问题;其次,如果nodeID与fabric的关联关系通过云端来维护,这样每次创建新的fabric时,可以为之随机分配一个一对一的nodeID,这样安全性确实增高了,但是相同的fabric授权多个用户进行使用。那么每个用户可以知道其他用户也是通过相同的nodeID对设备进行访问控制,那么安全性还是没有得到有效保证。
[0011]有鉴于此,本申请提供一种确定Matter设备本地访问控制权限的方案,在本方案中,为每个用户在当前fabric里分配唯一的访问控制的唯一标识(例如,nodeID),从而提高系统的安全性。
[0012]根据本申请的第一个方面,本申请提供一种确定Matter设备本地访问控制权限的方法,应用于云端服务器,其包括:
[0013]为用户配备在当前fabric下的唯一标识;
[0014]针对所述fabric下的Matter设备,为所述用户确定控制权限等级;以及
[0015]将所述唯一标识和所述控制权限等级分享至所述Matter设备,与所述Matter设备进行同步。
[0016]根据本申请的第二个方面,本申请提供一种确定Matter设备本地访问控制权限的系统,包括Matter设备、客户端和云端服务器,其中:
[0017]所述云端服务器用于执行如第一个方面所述的方法;
[0018]所述Matter设备响应于所述客户端的同步状态更新消息,向所述云端服务器发送访问控制权限请求,并接收所述云端服务器发送的唯一标识和控制权限等级;或者,接收来自所述客户端的所述唯一标识和所述控制权限等级;
[0019]所述客户端向所述Matter设备发送同步状态更新消息;或者向所述云端服务器发送访问控制权限请求,接收所述云端服务器发送的唯一标识和控制权限等级,并将所述唯一标识和所述控制权限等级发送至所述Matter设备。
[0020]根据本申请的第三个方面,提供一种电子设备,其特征在于,包括:
[0021]处理器;以及
[0022]存储器,存储有计算机指令,当所述计算机指令被所述处理器执行时,使得所述处理器执行如第一个方面所述的方法。
[0023]根据本申请的第四个方面,提供一种非瞬时性计算机存储介质,存储有计算机程序,当所述计算机程序被多个处理器执行时,使得所述处理器执行如第一个方面所述的方法。
[0024]根据本申请提供的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种确定Matter设备本地访问控制权限的方法,应用于云端服务器,其包括:为用户配备在当前fabric下的唯一标识;针对所述fabric下的Matter设备,为所述用户确定控制权限等级;以及将所述唯一标识和所述控制权限等级分享至所述Matter设备,与所述Matter设备进行同步。2.如权利要求1所述的方法,其中,在所述用户参与所述Matter设备激活配网的情况下,所述将所述唯一标识和所述控制权限等级分享至所述Matter设备包括:在所述Matter设备激活配网的过程中,将所述唯一标识和所述控制权限等级写入所述Matter设备的访问控制列表。3.如权利要求1所述的方法,其中,所述将所述唯一标识和所述控制权限等级分享至所述Matter设备包括:响应于所述Matter设备的访问控制权限同步请求,向所述Matter设备发送所述唯一标识和所述控制权限等级。4.如权利要求1所述的方法,其中,所述将所述唯一标识和所述控制权限等级分享至所述Matter设备包括:在所述用户为被分享用户的情况下,响应于分享用户的客户端的数据同步请求,向所述客户端发送所述唯一标识和所述控制权限等级,使得所述客户端能够将所述唯一标识和所述控制权限等级与所述Matter设备进行同步。5.如权利要求4所述的方法,还包括:获得所述唯一标...
【专利技术属性】
技术研发人员:周林,陶亚楠,潘黎明,黄小华,张瑜,
申请(专利权)人:杭州涂鸦信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。