一种访问控制系统及其进行访问控制的方法

本发明属于信息通信技术领域，涉及一种访问控制系统及其进行访问控 制的方法。

近年来，随着射频标签技术、传感网技术、遥感技术、大数据挖掘技术 等先进信息通信技术突飞猛进的发展，物联网的概念在人们的脑海中愈发清 晰。从最初概念性的提出，到关键技术的研究，以及当前的行业应用发展， 物联网无疑占据了当今最具前景的研究领域之一。所谓物联网，是指通过部 署具有一定感知、计算、执行和通信等能力的各种设备，获得物理世界的信 息，通过网络实现信息的传输、协同和处理，从而实现广域的人与物、物与 物之间信息交换的互联的网络。

与传统的互联网相比，物联网尤其着重于网络末端的增强能力，从而支 持关于“物”的信息的采集和获取。这就要求在网络末端部署有大量的终端 节点。这些节点所处位置分散，数目众多，且各自的性能和所支持的短距通 信协议也多种多样。为了将多样化的终端节点整合入物联网体系中，物联网 网关成为了关键的要素。物联网网关的基本功能是实现协议的转换，远端应 用通过网关访问各类终端节点，即网关起到了对外屏蔽各类终端异构性的作 用，因而网关也承担起如何保障终端节点安全的问题，对于网关的管理和控 制变得非常重要。一方面，对网关有效的管控是保证系统性能以及提升用户 体验的必要环节；此外，网关通常分布式的部署在现场范围中，很难实现现 场实地检查和配置，因而需要远程实现对网关的入网认证，以及对网关进行 相应的配置和管理，从而保证不会通过对网关的非法操作而造成终端节点的 损坏或是数据的泄露。当部署于小范围时，可以通过手工配置网关的权限设 置来实现。但在实际应用部署中，物联网系统通常面临着部署范围广泛，且 需要远程登录的需求，在这种应用场景下，如何针对物联网网关实现电信运 营级保障的远程访问控制变得尤为重要，直接关系到物联网系统是否能够真 正应用推广。

本发明要解决的技术问题是如何在物联网中实现集中管控、提供运营级 的远程访问控制。

为了解决上述问题，本发明提供了一种访问控制系统，应用于物联网中， 包括：一个或多个物联网网关；

中央访问控制器，用于当收到一物联网网关的入网申请后，判断该物联 网网关能否加入本访问控制系统；如果能则保存该物联网网关的标识，创建 一份对应于该物联网网关的访问控制信息，保存该访问控制信息并推送给该 物联网网关；

所述物联网网关用于在初次连入物联网时，向所述中央访问控制器上报 入网申请；当从中央访问控制器接收到访问控制信息时，保存该访问控制信 息；当收到业务请求时，根据所保存的访问控制信息判断是否允许该业务请 求；如果允许则执行该业务请求。

进一步地，所述中央访问控制器还用于在更新访问控制信息后，将更新 后的访问控制信息推送给该访问控制信息所对应的物联网网关。

进一步地，所述访问控制信息为一访问控制列表，至少包括所述中央访 问控制器的标识；还包括零个、一个或多个业务请求方的标识；

所述物联网网关根据所述访问控制信息判断是否允许该业务请求是指：

所述物联网网关判断发起该业务请求的业务请求方的标识是否存在于所 述访问控制列表中；如果是，则判断该业务请求被允许；否则判断该业务请 求不被允许。

进一步地，所述访问控制信息为一访问控制列表，至少包括所述中央访 问控制器的标识；还包括零个、一个或多个业务请求方的标识；当包括一个 或一个以上的业务请求方的标识时，还包括各业务请求方对应的操作权限；

所述物联网网关根据所述访问控制信息判断业务请求是否被允许是指：

所述物联网网关判断发起该业务请求的业务请求方的标识是否存在于所 述访问控制列表中；如果是，则判断该业务请求是否匹配该业务请求方对应 的操作权限；如果匹配，则判断该业务请求被允许；如果业务请求方的标识 不在访问控制列表中、或业务请求不匹配操作权限，则判断该业务请求不被 允许。

进一步地，所述物联网网关执行业务请求是指：

所述物联网网关相应地连接物联网中的传感器和/或执行器执行业务请 求，并向业务请求方返回响应消息。

进一步地，所述物联网网关上报的入网申请中携带申请信息；所述申请 信息至少包括该物联网网关的规格说明书；

所述中央访问控制器判断该物联网网关能否加入本访问控制系统是指：

所述中央访问控制器对物联网网关进行身份检查和匹配检查，如果物联 网网关通过身份检查和匹配检查，则判断物联网网关能加入本访问控制系统； 否则，判断物联网网关不能加入本访问控制系统；

所述身份检查是指检查提交的申请信息是否合法且真实，如果合法且真 实，则通过身份检查；否则，未通过身份检查；

所述匹配检查是检查物联网网关是否满足本访问控制系统预设的运营策 略需求和标准规范，如果满足，则通过匹配检查；否则，未通过匹配检查。

本发明还提供了一种上述访问控制系统进行访问控制的方法，应用在物 联网中，所述方法包括：

物联网网关在初次连入物联网时，向中央访问控制器上报入网申请；

所述中央访问控制器当收到一物联网网关的入网申请后，判断该物联网 网关能否加入本访问控制系统；如果能则根据保存该物联网网关的标识，为 该物联网网关创建一份对应于该物联网网关的访问控制信息，保存该访问控 制信息并推送给该物联网网关；

所述物联网网关接收所述访问控制信息并保存；

所述物联网网关当收到业务请求时，根据所保存的访问控制信息判断是 否允许该业务请求；如果允许则执行该业务请求。

进一步地，所述的方法还包括：

所述中央访问控制器更新访问控制信息，将更新后的访问控制信息推送 给该访问控制信息所对应的物联网网关。

进一步地，所述访问控制信息为一访问控制列表，至少包括所述中央访 问控制器的标识；还包括零个、一个或多个业务请求方的标识；

所述物联网网关根据所述访问控制信息判断是否允许该业务请求的步骤 包括：

物联网网关获取发起该业务请求的业务请求方的标识；

物联网网关判断所获取的标识是否存在于所述访问控制列表中；

如果是，则所述物联网网关判断该业务请求被允许；否则所述物联网网 关判断该业务请求不被允许。

进一步地，所述访问控制信息为一访问控制列表，至少包括所述中央访 问控制器的标识；还包括零个、一个或多个业务请求方的标识；当包括一个 或一个以上的业务请求方的标识时，还包括各业务请求方对应的操作权限；

所述物联网网关根据所述访问控制信息判断业务请求是否被允许的步骤 包括：

所述物联网网关判断发起该业务请求的业务请求方的标识是否存在于所 述访问控制列表中；如果是，则判断该业务请求是否匹配该业务请求方对应 的操作权限；如果匹配，则判断该业务请求被允许；如果业务请求方的标识 不在访问控制列表中、或业务请求不匹配操作权限，则判断该业务请求不被 允许。

进一步地，所述物联网网关执行业务请求的步骤包括：

所述物联网网关相应地连接物联网中的传感器和/或执行器执行业务请 求，并向业务请求方返回响应消息。

进一步地，所述物联网网关上报的入网申请中携带申请信息；所述申请 信息至少包括该物联网网关的规格说明书；

所述中央访问控制器判断该物联网网关能否加入本访问控制系统的步骤 包括：

中央访问控制器对物联网网关进行身份检查和匹配检查，所述身份检查 是指检查提交的申请信息是否合法且真实，如果合法且真实，则通过身份检 查；否则，未通过身份检查；所述匹配检查是检查物联网网关是否满足本访 问控制系统预设的运营策略需求和标准规范，如果满足，则通过匹配检查； 否则，未通过匹配检查；

如果物联网网关通过身份检查和匹配检查，则中央访问控制器判断物联 网网关能加入本访问控制系统；否则，中央访问控制器判断物联网网关不能 加入本访问控制系统。

本发明的技术方案通过部署一个集中式的运营级管控单元：中央访问控 制器，以远程配置的方式实现对物联网网关的入网认证以及访问权限控制； 并且与物联网网关相配合，控制对物联网终端所进行的访问，进而实现物联 网网关运营级的远程访问控制。

图1为实施例一中的实施方式的架构示意图；

图2是实施例二的一个具体例子的流程示意图。

下面将结合附图及实施例对本发明的技术方案进行更详细的说明。

需要说明的是，如果不冲突，本发明实施例及实施例中各个特征可以相 互结合，均在本发明的保护范围之内。另外，虽然在流程图中示出了逻辑顺 序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

实施例一、一种访问控制系统，应用于物联网，包括：

一个或多个物联网网关；

中央访问控制器，用于当收到一物联网网关的入网申请后，判断该物联 网网关能否加入本访问控制系统；如果能则保存该物联网网关的标识，创建 一份对应于该物联网网关的访问控制信息，保存该访问控制信息并推送给该 物联网网关；

所述物联网网关用于在初次连入物联网时，向所述中央访问控制器上报 入网申请；当从中央访问控制器接收到访问控制信息时，保存该访问控制信 息；当收到业务请求时，根据所保存的访问控制信息判断是否允许该业务请 求；如果允许则执行该业务请求。

本实施例可通过对访问控制信息的调整，来控制对物联网终端(包括传 感器、执行器等)的访问；相比于现在只能通过隐藏物联网终端来保证其安 全的方案，本实施例既能在物联网中公开各终端，又能有效防止对这些终端 的非法访问，最终可实现物联网网关运营级的远程访问控制。

本实施例中，所述中央访问控制器的具体实现形式不限，比如既可以是 一个新增的独立设备，也可以利用已有设备实现；再比如一个中央访问控制 器既可以是一台实际设备，也可以利用多台分布式设备共同实现一个中央访 问控制器的功能。所述中央访问控制器可以有一个或多个；当存在多个中央 访问控制器时，所述物联网网关可根据预置的策略或地址向一个中央访问控 制器发送入网申请。

本实施例的一种实施方式中的系统架构如图1所示，中央访问控制器、 物联网网关及业务请求方均通过物联网相连；物联网网关还可以另外连接传 感器、执行器。其中业务请求方可以为应用客户端或电子设备等。业务请求 方作为物联网业务的发起方，发起读取物联网数据或是控制物联网终端的业 务请求。物联网网关对判断允许的业务请求，可以相应地连接物联网中的传 感器和/或执行器执行该业务请求，并向业务请求方返回响应消息。中央访问 控制器负责对物联网网关的入网认证以及访问权限控制。

图中的S1是中央访问控制器与物联网网关之间的通信过程，包括：物联 网网关发给中央访问控制器入网申请、以及中央控制器将访问控制信息推送 给物联网网关。S2是业务请求方与物联网网关之间的通信过程，包括：业务 请求方发起业务请求，例如通过物联网网关读取物联网中传感器的数据，或 是通过物联网网关控制物联网中的执行器。物联网网关如果判断允许该业务 请求则执行相应的操作，并向业务请求方返回响应消息。

本实施例的一种实施方式中，所述中央访问控制器还可以用于当更新访 问控制信息后，将更新后的访问控制信息推送给该访问控制信息对应的物联 网网关。

另外，所述中央访问控制器还可以在预设的时刻、或收到指令的时刻、 或任何中央访问控制器选择的时刻，推送访问控制信息给相应的物联网网关。

本实施例的一种实施方式中，所述访问控制信息可以但不限于为一访问 控制列表，其它实施方式中也可以为其它形式，如文本、数组等。

该实施方式的一个备选方案中，所述中央访问控制器可以但不限于将所 述能加入本访问控制系统的物联网网关的标识保存在一受控网关列表中。中 央访问控制器维护一个受控网关列表、以及多个分别与该受控网关列表中的 网关一一对应的访问控制列表。在其它备选方案中，中央访问控制器也可以 采用别的方式保存能加入的物联网网关标识。

该实施方式的一个备选方案中，所述访问控制列表至少包括所述中央访 问控制器的标识；还包括零个、一个或多个业务请求方的标识；

该备选方案中，所述物联网网关根据所述访问控制信息判断业务请求是 否被允许是指：

所述物联网网关判断发起该业务请求的业务请求方的标识是否存在于所 述访问控制列表中；如果是，则判断该业务请求被允许；否则判断该业务请 求不被允许。

该实施方式的另一个备选方案中，所述控制列表中除了包括所述中央访 问控制器的标识、零个、一个或多个业务请求方的标识之外，当包括一个或 一个以上的业务请求方的标识时，还包括各业务请求方对应的操作权限。

一种情况下，所述操作权限可以包括以下三个级别：

只能读取传感器数据、只能控制执行器、既能读取传感器数据也能控制 执行器操作。

另一种情况下，所述操作权限也可以具体限定为只能对某一个或某几个 物联网网关所连接的传感器/执行器进行操作。

所述操作权限也可以是上述两种情况的综合，假设一物联网网关连接了 传感器a、传感器b和传感器c，以及执行器a、执行器b和执行器c。所述 控制列表中可以设定：业务请求方A的操作权限是读取传感器a、传感器b 的数据，以及控制执行器a；而业务请求方B的操作权限是控制执行器b、执 行器c；业务请求方C的操作权限是读取传感器c的数据；业务请求方D的 操作权限是读取传感器的数据(即读取该物联网网关所能连接到的任一传感 器的数据)；业务请求方E的操作权限是控制执行器(即控制该物联网网关 所能连接到的任一执行器)。

该备选方案中，所述物联网网关根据所述访问控制信息判断业务请求是 否被允许是指：

所述物联网网关判断发起该业务请求的业务请求方的标识是否存在于所 述访问控制列表中；如果是，则判断该业务请求是否匹配该业务请求方对应 的操作权限；如果匹配，则判断该业务请求被允许；如果业务请求方的标识 不在访问控制列表中、或业务请求不匹配操作权限，则判断该业务请求不被 允许。

比如上述的业务请求方A的业务请求如果是读取传感器c的数据，或控 制执行器b/c，则判断该业务请求不被允许；业务请求方C的业务请求中只有 “读取传感器c的数据”被允许，业务请求方C其它的业务请求都不被允许。

本实施例的一种实施方式中，所述物联网网关上报的入网申请中携带申 请信息；所述申请信息可包括该物联网网关规格说明书等在内的一切该物联 网网关的相关信息。

所述中央访问控制器判断该物联网网关能否加入本访问控制系统是指：

所述中央访问控制器对物联网网关进行身份检查和匹配检查，如果物联 网网关通过身份检查和匹配检查，则物联网网关能加入系统；否则，物联网 网关不能加入系统；

所述身份检查是检查提交的申请信息是否合法且真实，如果合法且真实， 则通过身份检查；否则，未通过身份检查；

所述匹配检查是检查物联网网关是否满足本访问控制系统预设的运营策 略需求和标准规范，如果满足，则通过匹配检查；否则，未通过匹配检查。

实施例二、一种实施例一中的访问控制系统进行访问控制的方法，应用 在物联网中，所述方法包括：

物联网网关在初次连入物联网时，向中央访问控制器上报入网申请；

所述中央访问控制器当收到一物联网网关的入网申请后，判断该物联网 网关能否加入本访问控制系统；如果能则根据保存该物联网网关的标识，为 该物联网网关创建一份对应于该物联网网关的访问控制信息，保存该访问控 制信息并推送给该物联网网关；

所述物联网网关接收所述访问控制信息并保存；

所述物联网网关当收到业务请求时，根据所保存的访问控制信息判断是 否允许该业务请求；如果允许则执行该业务请求。

本实施例的一种实施方式中，所述方法还包括：

所述中央访问控制器更新访问控制信息，将更新后的访问控制信息推送 给该访问控制信息所对应的物联网网关。

本实施例的一种实施方式中，所述访问控制信息为一访问控制列表。

本实施方式的一种备选方案中，所述访问控制信息可以但不限于为一访 问控制列表，其它实施方式中也可以为其它形式，如文本、数组等。

所述物联网网关根据所述访问控制信息判断是否允许该业务请求的步骤 包括：

物联网网关获取发起该业务请求的业务请求方的标识；

物联网网关判断所获取的标识是否存在于所述访问控制列表中；

如果是，则所述物联网网关判断该业务请求被允许；否则所述物联网网 关判断该业务请求不被允许。

该实施方式的另一个备选方案中，所述控制列表中除了包括所述中央访 问控制器的标识、零个、一个或多个业务请求方的标识之外，当包括一个或 一个以上的业务请求方的标识时，还包括各业务请求方对应的操作权限。

一种情况下，所述操作权限可以包括以下三个级别：

只能读取传感器数据、只能控制执行器、既能读取传感器数据也能控制 执行器操作。

另一种情况下，所述操作权限也可以具体限定为只能对某一个或某几个 物联网网关所连接的传感器/执行器进行操作。

所述操作权限也可以是上述两种情况的综合，假设一物联网网关连接了 传感器a、传感器b和传感器c，以及执行器a、执行器b和执行器c。所述 控制列表中可以设定：业务请求方A的操作权限是读取传感器a、传感器b 的数据，以及控制执行器a；而业务请求方B的操作权限是控制执行器b、执 行器c；业务请求方C的操作权限是读取传感器c的数据；业务请求方D的 操作权限是读取传感器的数据(即读取该物联网网关所能连接到的任一传感 器的数据)；业务请求方E的操作权限是控制执行器(即控制该物联网网关 所能连接到的任一执行器)。

该备选方案中，所述物联网网关根据所述访问控制信息判断业务请求是 否被允许的步骤包括：

所述物联网网关判断发起该业务请求的业务请求方的标识是否存在于所 述访问控制列表中；如果是，则判断该业务请求是否匹配该业务请求方对应 的操作权限；如果匹配，则判断该业务请求被允许；如果业务请求方的标识 不在访问控制列表中、或业务请求不匹配操作权限，则判断该业务请求不被 允许。

本实施例的一种实施方式中，所述物联网网关执行业务请求的步骤包括：

所述物联网网关相应地连接物联网中的传感器和/或执行器执行业务请 求，并向业务请求方返回响应消息。

本实施例的一种实施方式中，所述物联网网关上报的入网申请中携带申 请信息；所述申请信息至少包括该物联网网关的规格说明书；

本实施例的一个具体例子如图2所示，包括步骤201～211：

201、物联网网关启动并联网后，向中央访问控制器发起入网申请，提交 申请信息。申请信息可包括物联网网关规格说明书等在内的一切相关信息。

202、中央访问控制器判断发送入网申请的物联网网关是否可以加入，如 果可以，则执行步骤203；否则返回失败消息；如果有另一物联网网关启动 并联网，则重新从步骤201开始执行。

中央访问控制器判断申请网关是否可以加入系统具体是对申请入网的物 联网网关进行身份检查和匹配检查，如果物联网网关通过身份检查和匹配检 查，则物联网网关可以加入；否则，物联网网关不可以加入。

身份检查是检查提交的申请信息是否合法且真实，如果合法且真实，则 通过身份检查；否则，未通过身份检查。

匹配检查是检查物联网网关是否满足系统的运营策略需求和标准规范， 如果满足，则通过匹配检查；否则，未通过匹配检查。

203、中央访问控制器将物联网网关加入到受控网关列表；位于受控网关 列表中的物联网网关可称为受控网关。

204、中央访问控制器为加入到受控网关列表中的物联网网关创建一份针 对业务请求方的访问控制列表。访问控制列表缺省的包括中央访问控制器， 此外可选的包括0个，1个，或多个业务请求方的标识。

205、中央访问控制器将访问控制列表推送至物联网网关。

由将访问控制列表推送至物联网网关具体可由中央访问控制器在创建该 访问控制列表时推送、在访问控制列表更新时推送、以及在任何中央访问控 制器选择的时刻推送。

206、物联网网关将接收的访问控制列表存储在本地。

207、物联网网关监测业务请求方发起的业务请求。

208、物联网网关判断是否有来自业务请求方发起业务请求，如果有，则 执行步骤209；否则，返回步骤207。

209、物联网网关根据本地存储的访问控制列表判断是否允许业务请求方 的业务请求，如果通过，则执行步骤10；否则，执行步骤11。

判断是否允许业务请求方的业务请求具体是判断发起业务请求的业务请 求方的标识是否出现在物联网网关本地存储的访问控制列表中，如果存在， 则允许业务请求方的业务请求；否则，拒绝业务请求方的请求。

210、物联网网关执行业务请求方发起的业务请求。

211、物联网网关拒绝执行业务请求方发起的业务请求，可选的返回错误 信息。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读 存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用 硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任 何特定形式的硬件和软件的结合。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的 情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形， 但这些相应的改变和变形都应属于本发明的权利要求的保护范围。