物联网设备访问控制方法、物联网设备及物联网系统技术方案

本申请提出了物联网设备访问控制方法、物联网设备及物联网系统。其中，一种物联网设备访问控制方法，应用于物联网设备，所述物联网设备访问控制方法包括：接收客户端的访问请求，其中，所述访问请求包括智能密码设备的第一数字证书，所述智能密码设备与所述客户端相关联；基于所述第一数字证书，对所述客户端进行身份验证；在对所述客户端的身份验证成功时，向所述客户端发送身份验证请求，并且基于访问控制策略判断是否允许所述客户端访问所述物联网设备；在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果，并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时，确定所述客户端登录成功。成功。成功。

【技术实现步骤摘要】
物联网设备访问控制方法、物联网设备及物联网系统


[0001]本申请涉及物联网安全
，特别涉及物联网设备访问控制方法、物联网设备及物联网系统。

技术介绍

[0002]在物联网等场景中，对设备（例如路由、摄像机等物联网设备）的访问控制方案，通常在客户端的浏览器中输入设备的访问地址，并采用“用户名”+“口令”的登录方式。
[0003]目前的访问控制方案中，口令容易被窃取和冒用。
[0004]有鉴于此，如何提高设备访问控制的安全性是需要解决的技术问题。

技术实现思路

[0005]本申请提出了物联网设备访问控制方法、物联网设备及物联网系统，能够提高设备访问控制的安全性。
[0006]根据本申请一个方面，提供一种物联网设备访问控制方法，应用于物联网设备，所述物联网设备访问控制方法包括：接收客户端的访问请求，其中，所述访问请求包括智能密码设备的第一数字证书，所述智能密码设备与所述客户端相关联；基于所述第一数字证书，对所述客户端进行身份验证；在对所述客户端的身份验证成功时，向所述客户端发送身份验证请求，并且基于访问控制策略判断是否允许所述客户端访问所述物联网设备，其中，所述身份验证请求包括所述物联网设备的第二数字证书，供所述客户端基于所述第二数字证书对所述物联网设备进行身份验证，所述访问控制策略包括允许访问所述物联网设备的客户端的用户标识；在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果，并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时，确定所述客户端登录成功。
[0007]在一些实施例中，所述基于第一数字证书，对所述客户端进行身份验证，包括：验证所述第一数字证书的合法性以及所述第一数字证书是否属于所述客户端；在确定所述第一数字证书属于所述客户端，并且所述第一数字证书合法时，确定对所述客户端的身份验证成功。
[0008]在一些实施例中，所述验证所述第一数字证书的合法性以及所述第一数字证书是否属于所述客户端，包括：生成目标字符串并向所述客户端发送所述目标字符串，以便所述客户端通过智能密码设备生成由所述目标字符串与所述智能密码设备中的用户标识拼接的组合串的第一数字摘要，并利用所述智能密码设备中的私钥对所述第一数字摘要进行数字签名，得到签名结果；接收来自所述客户端的所述签名结果，并利用所述第一数字证书中的公钥对所述签名
结果进行解密，得到解密结果；生成所述目标字符串与所述访问请求中的用户标识拼接的组合串的第二数字摘要；在所述解密结果与所述第二数字摘要一致时，确定所述第一数字证书属于所述客户端。
[0009]在一些实施例中，所述访问控制策略包括：允许访问设备的用户标识的名单和用户访问期限；所述基于访问控制策略判断是否允许所述客户端访问所述物联网设备，包括：判断所述访问请求中的用户标识是否属于允许访问设备的用户标识的名单，并且判断所述访问请求的访问时间是否属于所述用户访问期限；在所述访问请求中的用户标识属于所述允许访问设备的用户标识的名单、且所述访问请求的访问时间属于用户访问期限时，确定所述访问请求符合所述访问控制策略。
[0010]在一些实施例中，所述访问控制策略包括：允许访问设备的用户标识、用户标识对应的用户角色、用户角色的操作权限和用户标识对应的特殊操作权限，所述特殊操作权限为在用户标识对应用户角色的操作权限范围之外附加配置的操作权限；所述设备访问控制方法进一步包括：在所述客户端登录成功后，根据所述访问控制策略确定所述访问请求中用户标识对应的第一用户角色，并确定所述第一用户角色的操作权限；根据所述访问请求中的用户标识对应的特殊操作权限和所述第一用户角色的操作权限，确定所述客户端的操作权限；生成并向所述客户端返回与所述客户端的操作权限对应的交互页面。
[0011]在一些实施例中，所述物联网设备访问控制方法进一步包括：接收所述客户端发送的临时权限获取请求，其中，所述临时权限获取请求包括用户标识和特殊操作权限的标识；向管理服务器发送所述临时权限获取请求，以便所述管理服务器根据所述临时权限获取请求，确定是否生成包括被请求的特殊操作权限的临时访问控制策略；在接收到来自所述管理服务器的所述临时访问控制策略时，根据所述临时访问控制策略，向客户端返回包括被请求的特殊操作权限的交互页面，以便所述客户端根据包括被请求的特殊操作权限的交互页面，执行相应的特殊操作。
[0012]在一些实施例中，所述物联网设备访问控制方法进一步包括：从管理服务器获取对所述访问控制策略进行更新的更新内容；根据从所述管理服务器获取的第三数字证书 中的公钥，对所述访问控制策略的更新内容进行签名验证，得到签名验证成功的更新内容。
[0013]在一些实施例中，在向所述客户端发送身份验证请求，并且基于访问控制策略判断是否允许所述客户端访问所述物联网设备之前，所述设备访问控制方法进一步包括：检测与管理服务器的通信状态，其中，所述管理服务器用于管理所述访问控制策略的更新；在所述通信状态表示与所述管理服务器无法通信时，从所述客户端获取最新的访问控制策略，并利用最新的访问控制策略更新本地的所述访问控制策略，其中，最新的访问控制策略由所述客户端从所述管理服务器获取。
[0014]根据本申请一个方面，提供一种设备访问控制方法，应用于客户端，包括：向物联网设备发送访问请求，其中，所述访问请求包括与所述客户端相关联的智能密码设备的第一数字证书，所述第一数字证书用于所述物联网设备基于所述第一数字证书对所述客户端进行身份验证；接收所述物联网设备在对所述客户端的身份验证成功后发送的身份验证请求，其中，所述身份验证请求包括所述物联网设备的第二数字证书，所述物联网设备基于访问控制策略判断是否允许所述客户端访问所述物联网设备，所述访问控制策略包括允许访问所述物联网设备的客户端的用户标识；基于所述第二数字证书对所述物联网设备进行身份验证，并向所述物联网设备返回身份验证结果，以供所述物联网设备在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果，并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时，确定所述客户端登录成功。
[0015]在一些实施例中，所述基于所述第二数字证书对物联网设备进行身份验证，包括：验证第二数字证书的合法性以及第二数字证书是否属于物联网设备；在第一数字证书属于物联网设备，并且第二数字证书合法时，确定对物联网设备的身份验证成功。
[0016]在一些实施例中，所述设备访问控制方法进一步包括：响应于接收到来自物联网设备的对访问控制策略的更新请求，向管理服务器发送对访问控制策略的更新请求；响应于接收到管理服务器返回的对物联网设备的最新的访问控制策略，向物联网设备发送最新的访问控制策略。
[0017]根据本申请一个方面，提供一种设备访问控制方法，应用于智能密码设备，包括：向与所述智能密码设备关联的客户端提供第一数字证书，以便所述客户端向物联网设备发送包含所述第一数字证书的访问请求，所述第一数字证书用于所述物联网设备基于所述第一数字证书对所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种物联网设备访问控制方法，其特征在于，应用于物联网设备，所述物联网设备访问控制方法包括：接收客户端的访问请求，其中，所述访问请求包括智能密码设备的第一数字证书，所述智能密码设备与所述客户端相关联；基于所述第一数字证书，对所述客户端进行身份验证；在对所述客户端的身份验证成功时，向所述客户端发送身份验证请求，并且基于访问控制策略判断是否允许所述客户端访问所述物联网设备，其中，所述身份验证请求包括所述物联网设备的第二数字证书，供所述客户端基于所述第二数字证书对所述物联网设备进行身份验证，所述访问控制策略包括允许访问所述物联网设备的客户端的用户标识；在接收到表示所述客户端对所述物联网设备的身份验证成功的身份验证结果，并且基于所述访问控制策略判断出允许所述客户端访问所述物联网设备时，确定所述客户端登录成功。2.如权利要求1所述的物联网设备访问控制方法，其特征在于，所述基于所述第一数字证书，对所述客户端进行身份验证，包括：验证所述第一数字证书的合法性以及所述第一数字证书是否属于所述客户端；在确定所述第一数字证书属于所述客户端，并且所述第一数字证书合法时，确定对所述客户端的身份验证成功。3.如权利要求2所述的物联网设备访问控制方法，其特征在于，所述验证所述第一数字证书的合法性以及所述第一数字证书是否属于所述客户端，包括：生成目标字符串并向所述客户端发送所述目标字符串，以便所述客户端通过智能密码设备生成由所述目标字符串与所述智能密码设备中的用户标识拼接的组合串的第一数字摘要，并利用所述智能密码设备中的私钥对所述第一数字摘要进行数字签名，得到签名结果；接收来自所述客户端的所述签名结果，并利用所述第一数字证书中的公钥对所述签名结果进行解密，得到解密结果；生成所述目标字符串与所述访问请求中的用户标识拼接的组合串的第二数字摘要；在所述解密结果与所述第二数字摘要一致时，确定所述第一数字证书属于所述客户端。4.如权利要求1所述的物联网设备访问控制方法，其特征在于，所述访问控制策略包括：允许访问设备的用户标识的名单和用户访问期限；所述基于访问控制策略判断是否允许所述客户端访问所述物联网设备，包括：判断所述访问请求中的用户标识是否属于允许访问设备的用户标识的名单，并且判断所述访问请求的访问时间是否属于所述用户访问期限；在所述访问请求中的用户标识属于所述允许访问设备的用户标识的名单、且所述访问请求的访问时间属于用户访问期限时，确定所述访问请求符合所述访问控制策略。5.如权利要求1所述的物联网设备访问控制方法，其特征在于，所述访问控制策略包括：允许访问设备的用户标识、用户标识对应的用户角色、用户角色的操作权限和用户标识对应的特殊操作权限，所述特殊操作权限为在用户标识对应用户角色的操作权限范围之外附加配置的操作权限；所述物联网设备访问控制方法进一步包括：
在所述客户端登录成功后，根据所述访问控制策略确定所述访问请求中用户标识对应的第一用户角色，并确定所述第一用户角色的操作权限；根据所述访问请求中的用户标识对应的特殊操作权限和所述第一用户角色的操作权限，确定所述客户端的操作权限；生成并向所述客户端返回与所述客户端的操作权限对应的交互页面。6.如权利要求5所述的物联网设备访问控制方法，其特征在于，所述物联网设备访问控制方法进一步包括：接收所述客户端发送的临时权限获取请求，其中，所述临时权限获取请求包括用户标识和特殊操作权限的标识；向管理服务器发送所述临时权限获取请求，以便所述管理服务器根据所述临时权限获取请求，确定是否生成包括被请求的特殊操作权限的临时访问控制策略；在接收到来自所述管理服务器的所述临时访问控制策略时，根据所述临时访问控制策略，向客户端返回包括被请求的特殊操作权限的交互页面，以便所述客户端根据包括被请求的特殊操作权限的交互页面，执行相应的特殊操作。7.如权利要求1所述的物联网设备访问控制方法，其特征在于，所述物联网设备访问控制方法进一步包括：从管理服务器获取对所述访问控制策略进行更新的更新内容；根据从所述管理服务器获...

【专利技术属性】
技术研发人员：王滨，陈加栋，林克章，王星，
申请(专利权)人：杭州海康威视数字技术股份有限公司，
类型：发明
国别省市：