一種訪問控制系統(tǒng)及其進行訪問控制的方法

文檔序號：7998942閱讀：272來源：國知局

一種訪問控制系統(tǒng)及其進行訪問控制的方法
【專利摘要】本發(fā)明提供了一種訪問控制系統(tǒng)及其進行訪問控制的方法；所述訪問控制系統(tǒng)應用于物聯(lián)網(wǎng)中，包括：一個或多個物聯(lián)網(wǎng)網(wǎng)關；中央訪問控制器，用于當收到一物聯(lián)網(wǎng)網(wǎng)關的入網(wǎng)申請后，判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)；如果能則保存該物聯(lián)網(wǎng)網(wǎng)關的標識，創(chuàng)建一份對應于該物聯(lián)網(wǎng)網(wǎng)關的訪問控制信息，保存該訪問控制信息并推送給該物聯(lián)網(wǎng)網(wǎng)關；所述物聯(lián)網(wǎng)網(wǎng)關用于在初次連入物聯(lián)網(wǎng)時，向中央訪問控制器上報入網(wǎng)申請；當從中央訪問控制器接收到訪問控制信息時，保存該訪問控制信息；當收到業(yè)務請求時，根據(jù)所保存的訪問控制信息判斷是否允許該業(yè)務請求；如果允許則執(zhí)行該業(yè)務請求。本發(fā)明能夠在物聯(lián)網(wǎng)中實現(xiàn)集中管控、提供運營級的遠程訪問控制。
【專利說明】一種訪問控制系統(tǒng)及其進行訪問控制的方法

【技術領域】
[0001]本發(fā)明屬于信息通信【技術領域】，涉及一種訪問控制系統(tǒng)及其進行訪問控制的方法。

【背景技術】
[0002]近年來，隨著射頻標簽技術、傳感網(wǎng)技術、遙感技術、大數(shù)據(jù)挖掘技術等先進信息通信技術突飛猛進的發(fā)展，物聯(lián)網(wǎng)的概念在人們的腦海中愈發(fā)清晰。從最初概念性的提出，到關鍵技術的研究，以及當前的行業(yè)應用發(fā)展，物聯(lián)網(wǎng)無疑占據(jù)了當今最具前景的研究領域之一。所謂物聯(lián)網(wǎng)，是指通過部署具有一定感知、計算、執(zhí)行和通信等能力的各種設備，獲得物理世界的信息，通過網(wǎng)絡實現(xiàn)信息的傳輸、協(xié)同和處理，從而實現(xiàn)廣域的人與物、物與物之間信息交換的互聯(lián)的網(wǎng)絡。
[0003]與傳統(tǒng)的互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)尤其著重于網(wǎng)絡末端的增強能力，從而支持關于“物”的信息的采集和獲取。這就要求在網(wǎng)絡末端部署有大量的終端節(jié)點。這些節(jié)點所處位置分散，數(shù)目眾多，且各自的性能和所支持的短距通信協(xié)議也多種多樣。為了將多樣化的終端節(jié)點整合入物聯(lián)網(wǎng)體系中，物聯(lián)網(wǎng)網(wǎng)關成為了關鍵的要素。物聯(lián)網(wǎng)網(wǎng)關的基本功能是實現(xiàn)協(xié)議的轉換，遠端應用通過網(wǎng)關訪問各類終端節(jié)點，即網(wǎng)關起到了對外屏蔽各類終端異構性的作用，因而網(wǎng)關也承擔起如何保障終端節(jié)點安全的問題，對于網(wǎng)關的管理和控制變得非常重要。一方面，對網(wǎng)關有效的管控是保證系統(tǒng)性能以及提升用戶體驗的必要環(huán)節(jié)；此夕卜，網(wǎng)關通常分布式的部署在現(xiàn)場范圍中，很難實現(xiàn)現(xiàn)場實地檢查和配置，因而需要遠程實現(xiàn)對網(wǎng)關的入網(wǎng)認證，以及對網(wǎng)關進行相應的配置和管理，從而保證不會通過對網(wǎng)關的非法操作而造成終端節(jié)點的損壞或是數(shù)據(jù)的泄露。當部署于小范圍時，可以通過手工配置網(wǎng)關的權限設置來實現(xiàn)。但在實際應用部署中，物聯(lián)網(wǎng)系統(tǒng)通常面臨著部署范圍廣泛，且需要遠程登錄的需求，在這種應用場景下，如何針對物聯(lián)網(wǎng)網(wǎng)關實現(xiàn)電信運營級保障的遠程訪問控制變得尤為重要，直接關系到物聯(lián)網(wǎng)系統(tǒng)是否能夠真正應用推廣。

【發(fā)明內(nèi)容】

[0004]本發(fā)明要解決的技術問題是如何在物聯(lián)網(wǎng)中實現(xiàn)集中管控、提供運營級的遠程訪問控制。
[0005]為了解決上述問題，本發(fā)明提供了一種訪問控制系統(tǒng)，應用于物聯(lián)網(wǎng)中，包括:一個或多個物聯(lián)網(wǎng)網(wǎng)關；
[0006]中央訪問控制器，用于當收到一物聯(lián)網(wǎng)網(wǎng)關的入網(wǎng)申請后，判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)；如果能則保存該物聯(lián)網(wǎng)網(wǎng)關的標識，創(chuàng)建一份對應于該物聯(lián)網(wǎng)網(wǎng)關的訪問控制信息，保存該訪問控制信息并推送給該物聯(lián)網(wǎng)網(wǎng)關；
[0007]所述物聯(lián)網(wǎng)網(wǎng)關用于在初次連入物聯(lián)網(wǎng)時，向所述中央訪問控制器上報入網(wǎng)申請；當從中央訪問控制器接收到訪問控制信息時，保存該訪問控制信息；當收到業(yè)務請求時，根據(jù)所保存的訪問控制信息判斷是否允許該業(yè)務請求；如果允許則執(zhí)行該業(yè)務請求。
[0008]進一步地，所述中央訪問控制器還用于在更新訪問控制信息后，將更新后的訪問控制信息推送給該訪問控制信息所對應的物聯(lián)網(wǎng)網(wǎng)關。
[0009]進一步地，所述訪問控制信息為一訪問控制列表，至少包括所述中央訪問控制器的標識；還包括零個、一個或多個業(yè)務請求方的標識；
[0010]所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷是否允許該業(yè)務請求是指:
[0011]所述物聯(lián)網(wǎng)網(wǎng)關判斷發(fā)起該業(yè)務請求的業(yè)務請求方的標識是否存在于所述訪問控制列表中；如果是，則判斷該業(yè)務請求被允許；否則判斷該業(yè)務請求不被允許。
[0012]進一步地，所述訪問控制信息為一訪問控制列表，至少包括所述中央訪問控制器的標識；還包括零個、一個或多個業(yè)務請求方的標識；當包括一個或一個以上的業(yè)務請求方的標識時，還包括各業(yè)務請求方對應的操作權限；
[0013]所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷業(yè)務請求是否被允許是指:
[0014]所述物聯(lián)網(wǎng)網(wǎng)關判斷發(fā)起該業(yè)務請求的業(yè)務請求方的標識是否存在于所述訪問控制列表中；如果是，則判斷該業(yè)務請求是否匹配該業(yè)務請求方對應的操作權限；如果匹配，則判斷該業(yè)務請求被允許；如果業(yè)務請求方的標識不在訪問控制列表中、或業(yè)務請求不匹配操作權限，則判斷該業(yè)務請求不被允許。
[0015]進一步地，所述物聯(lián)網(wǎng)網(wǎng)關執(zhí)行業(yè)務請求是指:
[0016]所述物聯(lián)網(wǎng)網(wǎng)關相應地連接物聯(lián)網(wǎng)中的傳感器和/或執(zhí)行器執(zhí)行業(yè)務請求，并向業(yè)務請求方返回響應消息。
[0017]進一步地，所述物聯(lián)網(wǎng)網(wǎng)關上報的入網(wǎng)申請中攜帶申請信息；所述申請信息至少包括該物聯(lián)網(wǎng)網(wǎng)關的規(guī)格說明書；
[0018]所述中央訪問控制器判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)是指:
[0019]所述中央訪問控制器對物聯(lián)網(wǎng)網(wǎng)關進行身份檢查和匹配檢查，如果物聯(lián)網(wǎng)網(wǎng)關通過身份檢查和匹配檢查，則判斷物聯(lián)網(wǎng)網(wǎng)關能加入本訪問控制系統(tǒng)；否則，判斷物聯(lián)網(wǎng)網(wǎng)關不能加入本訪問控制系統(tǒng)；
[0020]所述身份檢查是指檢查提交的申請信息是否合法且真實，如果合法且真實，則通過身份檢查；否則，未通過身份檢查；
[0021]所述匹配檢查是檢查物聯(lián)網(wǎng)網(wǎng)關是否滿足本訪問控制系統(tǒng)預設的運營策略需求和標準規(guī)范，如果滿足，則通過匹配檢查；否則，未通過匹配檢查。
[0022]本發(fā)明還提供了一種上述訪問控制系統(tǒng)進行訪問控制的方法，應用在物聯(lián)網(wǎng)中，所述方法包括:
[0023]物聯(lián)網(wǎng)網(wǎng)關在初次連入物聯(lián)網(wǎng)時，向中央訪問控制器上報入網(wǎng)申請；
[0024]所述中央訪問控制器當收到一物聯(lián)網(wǎng)網(wǎng)關的入網(wǎng)申請后，判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)；如果能則根據(jù)保存該物聯(lián)網(wǎng)網(wǎng)關的標識，為該物聯(lián)網(wǎng)網(wǎng)關創(chuàng)建一份對應于該物聯(lián)網(wǎng)網(wǎng)關的訪問控制信息，保存該訪問控制信息并推送給該物聯(lián)網(wǎng)網(wǎng)關；
[0025]所述物聯(lián)網(wǎng)網(wǎng)關接收所述訪問控制信息并保存；
[0026]所述物聯(lián)網(wǎng)網(wǎng)關當收到業(yè)務請求時，根據(jù)所保存的訪問控制信息判斷是否允許該業(yè)務請求；如果允許則執(zhí)行該業(yè)務請求。
[0027]進一步地,所述的方法還包括:
[0028]所述中央訪問控制器更新訪問控制信息，將更新后的訪問控制信息推送給該訪問控制信息所對應的物聯(lián)網(wǎng)網(wǎng)關。
[0029]進一步地，所述訪問控制信息為一訪問控制列表，至少包括所述中央訪問控制器的標識；還包括零個、一個或多個業(yè)務請求方的標識；
[0030]所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷是否允許該業(yè)務請求的步驟包括:
[0031]物聯(lián)網(wǎng)網(wǎng)關獲取發(fā)起該業(yè)務請求的業(yè)務請求方的標識；
[0032]物聯(lián)網(wǎng)網(wǎng)關判斷所獲取的標識是否存在于所述訪問控制列表中；
[0033]如果是，則所述物聯(lián)網(wǎng)網(wǎng)關判斷該業(yè)務請求被允許；否則所述物聯(lián)網(wǎng)網(wǎng)關判斷該業(yè)務請求不被允許。
[0034]進一步地，所述訪問控制信息為一訪問控制列表，至少包括所述中央訪問控制器的標識；還包括零個、一個或多個業(yè)務請求方的標識；當包括一個或一個以上的業(yè)務請求方的標識時，還包括各業(yè)務請求方對應的操作權限；
[0035]所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷業(yè)務請求是否被允許的步驟包括:
[0036]所述物聯(lián)網(wǎng)網(wǎng)關判斷發(fā)起該業(yè)務請求的業(yè)務請求方的標識是否存在于所述訪問控制列表中；如果是，則判斷該業(yè)務請求是否匹配該業(yè)務請求方對應的操作權限；如果匹配，則判斷該業(yè)務請求被允許；如果業(yè)務請求方的標識不在訪問控制列表中、或業(yè)務請求不匹配操作權限，則判斷該業(yè)務請求不被允許。
[0037]進一步地，所述物聯(lián)網(wǎng)網(wǎng)關執(zhí)行業(yè)務請求的步驟包括:
[0038]所述物聯(lián)網(wǎng)網(wǎng)關相應地連接物聯(lián)網(wǎng)中的傳感器和/或執(zhí)行器執(zhí)行業(yè)務請求，并向業(yè)務請求方返回響應消息。
[0039]進一步地，所述物聯(lián)網(wǎng)網(wǎng)關上報的入網(wǎng)申請中攜帶申請信息；所述申請信息至少包括該物聯(lián)網(wǎng)網(wǎng)關的規(guī)格說明書；
[0040]所述中央訪問控制器判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)的步驟包括:
[0041]中央訪問控制器對物聯(lián)網(wǎng)網(wǎng)關進行身份檢查和匹配檢查，所述身份檢查是指檢查提交的申請信息是否合法且真實，如果合法且真實，則通過身份檢查；否則，未通過身份檢查；所述匹配檢查是檢查物聯(lián)網(wǎng)網(wǎng)關是否滿足本訪問控制系統(tǒng)預設的運營策略需求和標準規(guī)范，如果滿足，則通過匹配檢查；否則，未通過匹配檢查；
[0042]如果物聯(lián)網(wǎng)網(wǎng)關通過身份檢查和匹配檢查，則中央訪問控制器判斷物聯(lián)網(wǎng)網(wǎng)關能加入本訪問控制系統(tǒng)；否則，中央訪問控制器判斷物聯(lián)網(wǎng)網(wǎng)關不能加入本訪問控制系統(tǒng)。
[0043]本發(fā)明的技術方案通過部署一個集中式的運營級管控單元:中央訪問控制器，以遠程配置的方式實現(xiàn)對物聯(lián)網(wǎng)網(wǎng)關的入網(wǎng)認證以及訪問權限控制；并且與物聯(lián)網(wǎng)網(wǎng)關相配合，控制對物聯(lián)網(wǎng)終端所進行的訪問，進而實現(xiàn)物聯(lián)網(wǎng)網(wǎng)關運營級的遠程訪問控制。

【專利附圖】

【附圖說明】
[0044]圖1為實施例一中的實施方式的架構示意圖；
[0045]圖2是實施例二的一個具體例子的流程示意圖。

【具體實施方式】
[0046]下面將結合附圖及實施例對本發(fā)明的技術方案進行更詳細的說明。
[0047]需要說明的是，如果不沖突，本發(fā)明實施例及實施例中各個特征可以相互結合，均在本發(fā)明的保護范圍之內(nèi)。另外，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
[0048]實施例一、一種訪問控制系統(tǒng),應用于物聯(lián)網(wǎng),包括:
[0049]一個或多個物聯(lián)網(wǎng)網(wǎng)關；
[0050]中央訪問控制器，用于當收到一物聯(lián)網(wǎng)網(wǎng)關的入網(wǎng)申請后，判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)；如果能則保存該物聯(lián)網(wǎng)網(wǎng)關的標識，創(chuàng)建一份對應于該物聯(lián)網(wǎng)網(wǎng)關的訪問控制信息，保存該訪問控制信息并推送給該物聯(lián)網(wǎng)網(wǎng)關；
[0051]所述物聯(lián)網(wǎng)網(wǎng)關用于在初次連入物聯(lián)網(wǎng)時，向所述中央訪問控制器上報入網(wǎng)申請；當從中央訪問控制器接收到訪問控制信息時，保存該訪問控制信息；當收到業(yè)務請求時，根據(jù)所保存的訪問控制信息判斷是否允許該業(yè)務請求；如果允許則執(zhí)行該業(yè)務請求。
[0052]本實施例可通過對訪問控制信息的調(diào)整，來控制對物聯(lián)網(wǎng)終端(包括傳感器、執(zhí)行器等)的訪問；相比于現(xiàn)在只能通過隱藏物聯(lián)網(wǎng)終端來保證其安全的方案，本實施例既能在物聯(lián)網(wǎng)中公開各終端，又能有效防止對這些終端的非法訪問，最終可實現(xiàn)物聯(lián)網(wǎng)網(wǎng)關運營級的遠程訪問控制。
[0053]本實施例中，所述中央訪問控制器的具體實現(xiàn)形式不限，比如既可以是一個新增的獨立設備，也可以利用已有設備實現(xiàn)；再比如一個中央訪問控制器既可以是一臺實際設備，也可以利用多臺分布式設備共同實現(xiàn)一個中央訪問控制器的功能。所述中央訪問控制器可以有一個或多個；當存在多個中央訪問控制器時，所述物聯(lián)網(wǎng)網(wǎng)關可根據(jù)預置的策略或地址向一個中央訪問控制器發(fā)送入網(wǎng)申請。
[0054]本實施例的一種實施方式中的系統(tǒng)架構如圖1所示，中央訪問控制器、物聯(lián)網(wǎng)網(wǎng)關及業(yè)務請求方均通過物聯(lián)網(wǎng)相連；物聯(lián)網(wǎng)網(wǎng)關還可以另外連接傳感器、執(zhí)行器。其中業(yè)務請求方可以為應用客戶端或電子設備等。業(yè)務請求方作為物聯(lián)網(wǎng)業(yè)務的發(fā)起方，發(fā)起讀取物聯(lián)網(wǎng)數(shù)據(jù)或是控制物聯(lián)網(wǎng)終端的業(yè)務請求。物聯(lián)網(wǎng)網(wǎng)關對判斷允許的業(yè)務請求，可以相應地連接物聯(lián)網(wǎng)中的傳感器和/或執(zhí)行器執(zhí)行該業(yè)務請求，并向業(yè)務請求方返回響應消息。中央訪問控制器負責對物聯(lián)網(wǎng)網(wǎng)關的入網(wǎng)認證以及訪問權限控制。
[0055]圖中的SI是中央訪問控制器與物聯(lián)網(wǎng)網(wǎng)關之間的通信過程，包括:物聯(lián)網(wǎng)網(wǎng)關發(fā)給中央訪問控制器入網(wǎng)申請、以及中央控制器將訪問控制信息推送給物聯(lián)網(wǎng)網(wǎng)關。S2是業(yè)務請求方與物聯(lián)網(wǎng)網(wǎng)關之間的通信過程，包括:業(yè)務請求方發(fā)起業(yè)務請求，例如通過物聯(lián)網(wǎng)網(wǎng)關讀取物聯(lián)網(wǎng)中傳感器的數(shù)據(jù)，或是通過物聯(lián)網(wǎng)網(wǎng)關控制物聯(lián)網(wǎng)中的執(zhí)行器。物聯(lián)網(wǎng)網(wǎng)關如果判斷允許該業(yè)務請求則執(zhí)行相應的操作，并向業(yè)務請求方返回響應消息。
[0056]本實施例的一種實施方式中，所述中央訪問控制器還可以用于當更新訪問控制信息后，將更新后的訪問控制信息推送給該訪問控制信息對應的物聯(lián)網(wǎng)網(wǎng)關。
[0057]另外，所述中央訪問控制器還可以在預設的時刻、或收到指令的時刻、或任何中央訪問控制器選擇的時刻，推送訪問控制信息給相應的物聯(lián)網(wǎng)網(wǎng)關。
[0058]本實施例的一種實施方式中，所述訪問控制信息可以但不限于為一訪問控制列表，其它實施方式中也可以為其它形式，如文本、數(shù)組等。
[0059]該實施方式的一個備選方案中，所述中央訪問控制器可以但不限于將所述能加入本訪問控制系統(tǒng)的物聯(lián)網(wǎng)網(wǎng)關的標識保存在一受控網(wǎng)關列表中。中央訪問控制器維護一個受控網(wǎng)關列表、以及多個分別與該受控網(wǎng)關列表中的網(wǎng)關一一對應的訪問控制列表。在其它備選方案中，中央訪問控制器也可以采用別的方式保存能加入的物聯(lián)網(wǎng)網(wǎng)關標識。
[0060]該實施方式的一個備選方案中，所述訪問控制列表至少包括所述中央訪問控制器的標識；還包括零個、一個或多個業(yè)務請求方的標識；
[0061]該備選方案中，所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷業(yè)務請求是否被允許是指:
[0062]所述物聯(lián)網(wǎng)網(wǎng)關判斷發(fā)起該業(yè)務請求的業(yè)務請求方的標識是否存在于所述訪問控制列表中；如果是，則判斷該業(yè)務請求被允許；否則判斷該業(yè)務請求不被允許。
[0063]該實施方式的另一個備選方案中，所述控制列表中除了包括所述中央訪問控制器的標識、零個、一個或多個業(yè)務請求方的標識之外，當包括一個或一個以上的業(yè)務請求方的標識時，還包括各業(yè)務請求方對應的操作權限。
[0064]一種情況下，所述操作權限可以包括以下三個級別:
[0065]只能讀取傳感器數(shù)據(jù)、只能控制執(zhí)行器、既能讀取傳感器數(shù)據(jù)也能控制執(zhí)行器操作。
[0066]另一種情況下，所述操作權限也可以具體限定為只能對某一個或某幾個物聯(lián)網(wǎng)網(wǎng)關所連接的傳感器/執(zhí)行器進行操作。
[0067]所述操作權限也可以是上述兩種情況的綜合，假設一物聯(lián)網(wǎng)網(wǎng)關連接了傳感器a、傳感器b和傳感器c，以及執(zhí)行器a、執(zhí)行器b和執(zhí)行器C。所述控制列表中可以設定:業(yè)務請求方A的操作權限是讀取傳感器a、傳感器b的數(shù)據(jù)，以及控制執(zhí)行器a ;而業(yè)務請求方B的操作權限是控制執(zhí)行器b、執(zhí)行器c ;業(yè)務請求方C的操作權限是讀取傳感器c的數(shù)據(jù)；業(yè)務請求方D的操作權限是讀取傳感器的數(shù)據(jù)(即讀取該物聯(lián)網(wǎng)網(wǎng)關所能連接到的任一傳感器的數(shù)據(jù))；業(yè)務請求方E的操作權限是控制執(zhí)行器(即控制該物聯(lián)網(wǎng)網(wǎng)關所能連接到的任一執(zhí)行器)。
[0068]該備選方案中，所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷業(yè)務請求是否被允許是指:
[0069]所述物聯(lián)網(wǎng)網(wǎng)關判斷發(fā)起該業(yè)務請求的業(yè)務請求方的標識是否存在于所述訪問控制列表中；如果是，則判斷該業(yè)務請求是否匹配該業(yè)務請求方對應的操作權限；如果匹配，則判斷該業(yè)務請求被允許；如果業(yè)務請求方的標識不在訪問控制列表中、或業(yè)務請求不匹配操作權限，則判斷該業(yè)務請求不被允許。
[0070]比如上述的業(yè)務請求方A的業(yè)務請求如果是讀取傳感器c的數(shù)據(jù)，或控制執(zhí)行器b/c，則判斷該業(yè)務請求不被允許；業(yè)務請求方C的業(yè)務請求中只有“讀取傳感器c的數(shù)據(jù)”被允許，業(yè)務請求方C其它的業(yè)務請求都不被允許。
[0071]本實施例的一種實施方式中，所述物聯(lián)網(wǎng)網(wǎng)關上報的入網(wǎng)申請中攜帶申請信息；所述申請信息可包括該物聯(lián)網(wǎng)網(wǎng)關規(guī)格說明書等在內(nèi)的一切該物聯(lián)網(wǎng)網(wǎng)關的相關信息。
[0072]所述中央訪問控制器判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)是指:
[0073]所述中央訪問控制器對物聯(lián)網(wǎng)網(wǎng)關進行身份檢查和匹配檢查，如果物聯(lián)網(wǎng)網(wǎng)關通過身份檢查和匹配檢查，則物聯(lián)網(wǎng)網(wǎng)關能加入系統(tǒng)；否則，物聯(lián)網(wǎng)網(wǎng)關不能加入系統(tǒng)；
[0074]所述身份檢查是檢查提交的申請信息是否合法且真實，如果合法且真實，則通過身份檢查；否則，未通過身份檢查；
[0075]所述匹配檢查是檢查物聯(lián)網(wǎng)網(wǎng)關是否滿足本訪問控制系統(tǒng)預設的運營策略需求和標準規(guī)范，如果滿足，則通過匹配檢查；否則，未通過匹配檢查。
[0076]實施例二、一種實施例一中的訪問控制系統(tǒng)進行訪問控制的方法，應用在物聯(lián)網(wǎng)中，所述方法包括:
[0077]物聯(lián)網(wǎng)網(wǎng)關在初次連入物聯(lián)網(wǎng)時，向中央訪問控制器上報入網(wǎng)申請；
[0078]所述中央訪問控制器當收到一物聯(lián)網(wǎng)網(wǎng)關的入網(wǎng)申請后，判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)；如果能則根據(jù)保存該物聯(lián)網(wǎng)網(wǎng)關的標識，為該物聯(lián)網(wǎng)網(wǎng)關創(chuàng)建一份對應于該物聯(lián)網(wǎng)網(wǎng)關的訪問控制信息，保存該訪問控制信息并推送給該物聯(lián)網(wǎng)網(wǎng)關；
[0079]所述物聯(lián)網(wǎng)網(wǎng)關接收所述訪問控制信息并保存；
[0080]所述物聯(lián)網(wǎng)網(wǎng)關當收到業(yè)務請求時，根據(jù)所保存的訪問控制信息判斷是否允許該業(yè)務請求；如果允許則執(zhí)行該業(yè)務請求。
[0081]本實施例的一種實施方式中，所述方法還包括:
[0082]所述中央訪問控制器更新訪問控制信息，將更新后的訪問控制信息推送給該訪問控制信息所對應的物聯(lián)網(wǎng)網(wǎng)關。
[0083]本實施例的一種實施方式中，所述訪問控制信息為一訪問控制列表。
[0084]本實施方式的一種備選方案中，所述訪問控制信息可以但不限于為一訪問控制列表，其它實施方式中也可以為其它形式，如文本、數(shù)組等。
[0085]所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷是否允許該業(yè)務請求的步驟包括:
[0086]物聯(lián)網(wǎng)網(wǎng)關獲取發(fā)起該業(yè)務請求的業(yè)務請求方的標識；
[0087]物聯(lián)網(wǎng)網(wǎng)關判斷所獲取的標識是否存在于所述訪問控制列表中；
[0088]如果是，則所述物聯(lián)網(wǎng)網(wǎng)關判斷該業(yè)務請求被允許；否則所述物聯(lián)網(wǎng)網(wǎng)關判斷該業(yè)務請求不被允許。
[0089]該實施方式的另一個備選方案中，所述控制列表中除了包括所述中央訪問控制器的標識、零個、一個或多個業(yè)務請求方的標識之外，當包括一個或一個以上的業(yè)務請求方的標識時，還包括各業(yè)務請求方對應的操作權限。
[0090]一種情況下，所述操作權限可以包括以下三個級別:
[0091]只能讀取傳感器數(shù)據(jù)、只能控制執(zhí)行器、既能讀取傳感器數(shù)據(jù)也能控制執(zhí)行器操作。
[0092]另一種情況下，所述操作權限也可以具體限定為只能對某一個或某幾個物聯(lián)網(wǎng)網(wǎng)關所連接的傳感器/執(zhí)行器進行操作。
[0093]所述操作權限也可以是上述兩種情況的綜合，假設一物聯(lián)網(wǎng)網(wǎng)關連接了傳感器a、傳感器b和傳感器c，以及執(zhí)行器a、執(zhí)行器b和執(zhí)行器C。所述控制列表中可以設定:業(yè)務請求方A的操作權限是讀取傳感器a、傳感器b的數(shù)據(jù)，以及控制執(zhí)行器a ;而業(yè)務請求方B的操作權限是控制執(zhí)行器b、執(zhí)行器c ;業(yè)務請求方C的操作權限是讀取傳感器c的數(shù)據(jù)；業(yè)務請求方D的操作權限是讀取傳感器的數(shù)據(jù)(即讀取該物聯(lián)網(wǎng)網(wǎng)關所能連接到的任一傳感器的數(shù)據(jù))；業(yè)務請求方E的操作權限是控制執(zhí)行器(即控制該物聯(lián)網(wǎng)網(wǎng)關所能連接到的任一執(zhí)行器)。
[0094]該備選方案中，所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷業(yè)務請求是否被允許的步驟包括:
[0095]所述物聯(lián)網(wǎng)網(wǎng)關判斷發(fā)起該業(yè)務請求的業(yè)務請求方的標識是否存在于所述訪問控制列表中；如果是，則判斷該業(yè)務請求是否匹配該業(yè)務請求方對應的操作權限；如果匹配，則判斷該業(yè)務請求被允許；如果業(yè)務請求方的標識不在訪問控制列表中、或業(yè)務請求不匹配操作權限，則判斷該業(yè)務請求不被允許。
[0096]本實施例的一種實施方式中，所述物聯(lián)網(wǎng)網(wǎng)關執(zhí)行業(yè)務請求的步驟包括:
[0097]所述物聯(lián)網(wǎng)網(wǎng)關相應地連接物聯(lián)網(wǎng)中的傳感器和/或執(zhí)行器執(zhí)行業(yè)務請求，并向業(yè)務請求方返回響應消息。
[0098]本實施例的一種實施方式中，所述物聯(lián)網(wǎng)網(wǎng)關上報的入網(wǎng)申請中攜帶申請信息；所述申請信息至少包括該物聯(lián)網(wǎng)網(wǎng)關的規(guī)格說明書；
[0099]本實施例的一個具體例子如圖2所示,包括步驟201?211:
[0100]201、物聯(lián)網(wǎng)網(wǎng)關啟動并聯(lián)網(wǎng)后，向中央訪問控制器發(fā)起入網(wǎng)申請，提交申請信息。申請?目息可包括物聯(lián)網(wǎng)網(wǎng)關規(guī)格說明書等在內(nèi)的一切相關?目息。
[0101]202、中央訪問控制器判斷發(fā)送入網(wǎng)申請的物聯(lián)網(wǎng)網(wǎng)關是否可以加入，如果可以，則執(zhí)行步驟203 ;否則返回失敗消息；如果有另一物聯(lián)網(wǎng)網(wǎng)關啟動并聯(lián)網(wǎng)，則重新從步驟201開始執(zhí)行。
[0102]中央訪問控制器判斷申請網(wǎng)關是否可以加入系統(tǒng)具體是對申請入網(wǎng)的物聯(lián)網(wǎng)網(wǎng)關進行身份檢查和匹配檢查，如果物聯(lián)網(wǎng)網(wǎng)關通過身份檢查和匹配檢查，則物聯(lián)網(wǎng)網(wǎng)關可以加入；否則，物聯(lián)網(wǎng)網(wǎng)關不可以加入。
[0103]身份檢查是檢查提交的申請信息是否合法且真實，如果合法且真實，則通過身份檢查；否則，未通過身份檢查。
[0104]匹配檢查是檢查物聯(lián)網(wǎng)網(wǎng)關是否滿足系統(tǒng)的運營策略需求和標準規(guī)范，如果滿足，則通過匹配檢查；否則，未通過匹配檢查。
[0105]203、中央訪問控制器將物聯(lián)網(wǎng)網(wǎng)關加入到受控網(wǎng)關列表；位于受控網(wǎng)關列表中的物聯(lián)網(wǎng)網(wǎng)關可稱為受控網(wǎng)關。
[0106]204、中央訪問控制器為加入到受控網(wǎng)關列表中的物聯(lián)網(wǎng)網(wǎng)關創(chuàng)建一份針對業(yè)務請求方的訪問控制列表。訪問控制列表缺省的包括中央訪問控制器，此外可選的包括O個，I個，或多個業(yè)務請求方的標識。
[0107]205、中央訪問控制器將訪問控制列表推送至物聯(lián)網(wǎng)網(wǎng)關。
[0108]由將訪問控制列表推送至物聯(lián)網(wǎng)網(wǎng)關具體可由中央訪問控制器在創(chuàng)建該訪問控制列表時推送、在訪問控制列表更新時推送、以及在任何中央訪問控制器選擇的時刻推送。
[0109]206、物聯(lián)網(wǎng)網(wǎng)關將接收的訪問控制列表存儲在本地。
[0110]207、物聯(lián)網(wǎng)網(wǎng)關監(jiān)測業(yè)務請求方發(fā)起的業(yè)務請求。
[0111]208、物聯(lián)網(wǎng)網(wǎng)關判斷是否有來自業(yè)務請求方發(fā)起業(yè)務請求，如果有，則執(zhí)行步驟209 ;否則，返回步驟207。
[0112]209、物聯(lián)網(wǎng)網(wǎng)關根據(jù)本地存儲的訪問控制列表判斷是否允許業(yè)務請求方的業(yè)務請求，如果通過，則執(zhí)行步驟10 ;否則，執(zhí)行步驟11。
[0113]判斷是否允許業(yè)務請求方的業(yè)務請求具體是判斷發(fā)起業(yè)務請求的業(yè)務請求方的標識是否出現(xiàn)在物聯(lián)網(wǎng)網(wǎng)關本地存儲的訪問控制列表中，如果存在，則允許業(yè)務請求方的業(yè)務請求；否則，拒絕業(yè)務請求方的請求。
[0114]210、物聯(lián)網(wǎng)網(wǎng)關執(zhí)行業(yè)務請求方發(fā)起的業(yè)務請求。
[0115]211、物聯(lián)網(wǎng)網(wǎng)關拒絕執(zhí)行業(yè)務請求方發(fā)起的業(yè)務請求，可選的返回錯誤信息。
[0116]本領域普通技術人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關硬件完成，所述程序可以存儲于計算機可讀存儲介質中，如只讀存儲器、磁盤或光盤等。可選地，上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現(xiàn)。相應地，上述實施例中的各模塊/單元可以采用硬件的形式實現(xiàn)，也可以采用軟件功能模塊的形式實現(xiàn)。本發(fā)明不限制于任何特定形式的硬件和軟件的結合。
[0117]當然，本發(fā)明還可有其他多種實施例，在不背離本發(fā)明精神及其實質的情況下，熟悉本領域的技術人員當可根據(jù)本發(fā)明作出各種相應的改變和變形，但這些相應的改變和變形都應屬于本發(fā)明的權利要求的保護范圍。
【權利要求】
1.一種訪問控制系統(tǒng)，應用于物聯(lián)網(wǎng)中，包括:一個或多個物聯(lián)網(wǎng)網(wǎng)關；其特征在于，還包括: 中央訪問控制器，用于當收到一物聯(lián)網(wǎng)網(wǎng)關的入網(wǎng)申請后，判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)；如果能則保存該物聯(lián)網(wǎng)網(wǎng)關的標識，創(chuàng)建一份對應于該物聯(lián)網(wǎng)網(wǎng)關的訪問控制信息，保存該訪問控制信息并推送給該物聯(lián)網(wǎng)網(wǎng)關；所述物聯(lián)網(wǎng)網(wǎng)關用于在初次連入物聯(lián)網(wǎng)時，向所述中央訪問控制器上報入網(wǎng)申請；當從中央訪問控制器接收到訪問控制信息時，保存該訪問控制信息；當收到業(yè)務請求時，根據(jù)所保存的訪問控制信息判斷是否允許該業(yè)務請求；如果允許則執(zhí)行該業(yè)務請求。
2.如權利要求1所述的系統(tǒng)，其特征在于: 所述中央訪問控制器還用于在更新訪問控制信息后，將更新后的訪問控制信息推送給該訪問控制信息所對應的物聯(lián)網(wǎng)網(wǎng)關。
3.如權利要求1所述的系統(tǒng)，其特征在于: 所述訪問控制信息為一訪問控制列表，至少包括所述中央訪問控制器的標識；還包括零個、一個或多個業(yè)務請求方的標識；所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷是否允許該業(yè)務請求是指: 所述物聯(lián)網(wǎng)網(wǎng)關判斷發(fā)起該業(yè)務請求的業(yè)務請求方的標識是否存在于所述訪問控制列表中；如果是，則判斷該業(yè)務請求被允許；否則判斷該業(yè)務請求不被允許。
4.如權利要求1所述的系統(tǒng)，其特征在于: 所述訪問控制信息為一訪問控制列表，至少包括所述中央訪問控制器的標識；還包括零個、一個或多個業(yè)務請求方的標識；當包括一個或一個以上的業(yè)務請求方的標識時，還包括各業(yè)務請求方對應的操作權限；所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷業(yè)務請求是否被允許是指: 所述物聯(lián)網(wǎng)網(wǎng)關判斷發(fā)起該業(yè)務請求的業(yè)務請求方的標識是否存在于所述訪問控制列表中；如果是，則判斷該業(yè)務請求是否匹配該業(yè)務請求方對應的操作權限；如果匹配，則判斷該業(yè)務請求被允許；如果業(yè)務請求方的標識不在訪問控制列表中、或業(yè)務請求不匹配操作權限，則判斷該業(yè)務請求不被允許。
5.如權利要求1所述的系統(tǒng)，其特征在于: 所述物聯(lián)網(wǎng)網(wǎng)關上報的入網(wǎng)申請中攜帶申請信息；所述申請信息至少包括該物聯(lián)網(wǎng)網(wǎng)關的規(guī)格說明書；所述中央訪問控制器判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)是指: 所述中央訪問控制器對物聯(lián)網(wǎng)網(wǎng)關進行身份檢查和匹配檢查，如果物聯(lián)網(wǎng)網(wǎng)關通過身份檢查和匹配檢查，則判斷物聯(lián)網(wǎng)網(wǎng)關能加入本訪問控制系統(tǒng)；否則，判斷物聯(lián)網(wǎng)網(wǎng)關不能加入本訪問控制系統(tǒng)；所述身份檢查是指檢查提交的申請信息是否合法且真實，如果合法且真實，則通過身份檢查；否則，未通過身份檢查；所述匹配檢查是檢查物聯(lián)網(wǎng)網(wǎng)關是否滿足本訪問控制系統(tǒng)預設的運營策略需求和標準規(guī)范，如果滿足，則通過匹配檢查；否則，未通過匹配檢查。
6.—種如權利要求1所述的訪問控制系統(tǒng)進行訪問控制的方法，應用在物聯(lián)網(wǎng)中，其特征在于，所述方法包括: 物聯(lián)網(wǎng)網(wǎng)關在初次連入物聯(lián)網(wǎng)時，向中央訪問控制器上報入網(wǎng)申請；所述中央訪問控制器當收到一物聯(lián)網(wǎng)網(wǎng)關的入網(wǎng)申請后，判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)；如果能則根據(jù)保存該物聯(lián)網(wǎng)網(wǎng)關的標識，為該物聯(lián)網(wǎng)網(wǎng)關創(chuàng)建一份對應于該物聯(lián)網(wǎng)網(wǎng)關的訪問控制信息，保存該訪問控制信息并推送給該物聯(lián)網(wǎng)網(wǎng)關；所述物聯(lián)網(wǎng)網(wǎng)關接收所述訪問控制信息并保存；所述物聯(lián)網(wǎng)網(wǎng)關當收到業(yè)務請求時，根據(jù)所保存的訪問控制信息判斷是否允許該業(yè)務請求；如果允許則執(zhí)行該業(yè)務請求。
7.如權利要求6所述的方法，其特征在于，還包括: 所述中央訪問控制器更新訪問控制信息，將更新后的訪問控制信息推送給該訪問控制信息所對應的物聯(lián)網(wǎng)網(wǎng)關。
8.如權利要求6所述的方法，其特征在于: 所述訪問控制信息為一訪問控制列表，至少包括所述中央訪問控制器的標識；還包括零個、一個或多個業(yè)務請求方的標識；所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷是否允許該業(yè)務請求的步驟包括: 物聯(lián)網(wǎng)網(wǎng)關獲取發(fā)起該業(yè)務請求的業(yè)務請求方的標識；物聯(lián)網(wǎng)網(wǎng)關判斷所獲取的標識是否存在于所述訪問控制列表中；如果是，則所述物聯(lián)網(wǎng)網(wǎng)關判斷該業(yè)務請求被允許；否則所述物聯(lián)網(wǎng)網(wǎng)關判斷該業(yè)務請求不被允許。
9.如權利要求6所述的方法，其特征在于: 所述訪問控制信息為一訪問控制列表，至少包括所述中央訪問控制器的標識；還包括零個、一個或多個業(yè)務請求方的標識；當包括一個或一個以上的業(yè)務請求方的標識時，還包括各業(yè)務請求方對應的操作權限；所述物聯(lián)網(wǎng)網(wǎng)關根據(jù)所述訪問控制信息判斷業(yè)務請求是否被允許的步驟包括: 所述物聯(lián)網(wǎng)網(wǎng)關判斷發(fā)起該業(yè)務請求的業(yè)務請求方的標識是否存在于所述訪問控制列表中；如果是，則判斷該業(yè)務請求是否匹配該業(yè)務請求方對應的操作權限；如果匹配，則判斷該業(yè)務請求被允許；如果業(yè)務請求方的標識不在訪問控制列表中、或業(yè)務請求不匹配操作權限，則判斷該業(yè)務請求不被允許。
10.如權利要求6所述的方法，其特征在于: 所述物聯(lián)網(wǎng)網(wǎng)關上報的入網(wǎng)申請中攜帶申請信息；所述申請信息至少包括該物聯(lián)網(wǎng)網(wǎng)關的規(guī)格說明書；所述中央訪問控制器判斷該物聯(lián)網(wǎng)網(wǎng)關能否加入本訪問控制系統(tǒng)的步驟包括: 中央訪問控制器對物聯(lián)網(wǎng)網(wǎng)關進行身份檢查和匹配檢查，所述身份檢查是指檢查提交的申請信息是否合法且真實，如果合法且真實，則通過身份檢查；否則，未通過身份檢查；所述匹配檢查是檢查物聯(lián)網(wǎng)網(wǎng)關是否滿足本訪問控制系統(tǒng)預設的運營策略需求和標準規(guī)范，如果滿足，則通過匹配檢查；否則，未通過匹配檢查；如果物聯(lián)網(wǎng)網(wǎng)關通過身份檢查和匹配檢查，則中央訪問控制器判斷物聯(lián)網(wǎng)網(wǎng)關能加入本訪問控制系統(tǒng)；否則，中央訪問控制器判斷物聯(lián)網(wǎng)網(wǎng)關不能加入本訪問控制系統(tǒng)。
【文檔編號】H04L29/08GK104135459SQ201310159971
【公開日】2014年11月5日申請日期:2013年5月3日優(yōu)先權日:2013年5月3日
【發(fā)明者】谷晨, 江連山申請人:北京優(yōu)聯(lián)實科信息科技有限公司

完整全部詳細技術資料下載