一种海量异构物联网设备的通用精准访问控制系统及方法技术方案

本发明专利技术属于物联网和信息安全技术领域，公开了一种物联网海量异构物联网设备的通用精准访问控制技术，通过采用非对称加密算法结合用户特征信息结合的方式设计物联网设备通用访问验证控制机制，并引入S

【技术实现步骤摘要】
一种海量异构物联网设备的通用精准访问控制系统及方法


[0001]本专利技术属于物联网和信息安全
，具体涉及一种物联网海量异构物联网设备的通用精准访问控制系统及方法。

技术介绍

[0002]物联网设备的精准访问控制技术是智慧城市安全可靠的重要前提。当前，物联网设备普遍存在开放端口和越权访问难题，不仅正常行为难以进行，更导致设备时时刻刻暴露在攻击威胁之下，并且现有的基于固件和权限控制的解决方案难以平衡高效的通讯需求和全面的访问控制之间的矛盾。因此，针对当前海量异构物联网设备开放端口需求和权限粗粒度问题，如何攻克设备外部通信和内部资源的通用精准访问控制实现对非授权访问的有效阻止，实现海量物联网设备的可靠运行，是当下亟需解决的关键问题。

技术实现思路

[0003]针对上述问题，本专利技术的目的在于提出一种海量异构物联网设备的通用精准访问控制系统及方法。
[0004]一种海量异构物联网设备的通用系统，其特征在于，所述系统具体包括：所述系统由域内节点与域外节点共同组成，其中，域内节点又分为上游节点、关键节点、中心节点、下游节点；域外节点包括物联网外围接入设备；域内各节点之间使用通用数据格式S
code
，所述通用数据格式S
code
是指能够在所述海量异构物联网设备的通用精准访问控制系统域内各级节点设备之间进行信息交互时所采用的统一格式，具体为：时间信息段+节点设备识别码信息段+用户特征信息段+节点设备IP地址信息段+指令信息段共5个字段组成；所述关键节点由中枢控制子系统组成，所述中枢控制子系统进一步由电源控制模块、用户特征信息控制管理模块、信息处理模块以及中枢控制子系统存储模块组成；进一步，所述电源控制模块又分为主供电子模块和应急供电子模块：所述主供电子模块用于为中枢控制子系统各功能模块进行供电，并配备有主电池，优先采用外接电源进行供电，并在无法使用外接电源供电时使用主电池进行供电；所述应急供电子模块配备有备用电池用于应急供电，可与关键节点主体设备进行离体连接，并在主体设备无外接电源且主电池电量到达预设阈值时，或者关键节点主体设备无法提供服务时启动，启动的同时一并激活安全应急模式，并激活授权指令向中心节点进行授权，转移关键节点的部分功能至中心节点，由中心节点代替关键节点对各级节点进行数据传输和指令控制；进一步，所述用户特征信息控制管理模块由用户特征信息采集子模块、用户特征信息管理控制芯片、用户特征信息存储子模块以及用户特征信息识别验证子模块组成；所述用户特征信息采集子模块，用于采集并登记用户的特征信息，并对所述用户的特征信息进行预处理；
所述用户特征信息管理控制芯片，用于在用户特征信息采集子模块进行用户特征信息的采集时，控制用户特征信息的单向写入，并将用户特征信息存储在用户特征信息存储子模块的存储区域中进行本地存储，提供硬件级别的安全保护，确保经由用户特征信息采集子模块采集到的用户特征信息无法被其他模块访问获取读取，并且对用户特征信息采集子模块采集到的用户特征信息进行类型识别，并在识别出用户特征信息类型F
Type
后，按照预设的提取策略对用户特征信息进行特征值提取，不同的特征值能够按照预设的规则进行组合形成一组特征值集合，所述用户特征信息管理控制芯片为每一组特征值集合分配唯一Fcode码；所述用户特征信息管理控制芯片还用于接收关键节点以外的其他节点或域外设备发送的用户特征信息，并将其与本地存储的用户特征信息进行相同维度标准的对比，若判断结果为一致，则输出验证结果B
code
=01，否则B
code
=00；所述用户特征信息存储子模块，用于存储用户特征信息，设置有多个不同的存储区域，每个存储区域中又分配有多个存储单元，每个存储单元均具有唯一编号D
code
并对应储存有用户特征信息的特征值；所述用户特征信息识别验证子模块，用于接收并解析其他节点发送的生物特征信息以及Scode，并将其发送给用户特征信息管理控制芯片并获取B
code
值，并当B
code
=01时，更新Scode中的用户特征信息段；所述信息处理模块，能够获取上游节点发送的绑定策略，并解析获取相对应的绑定策略，并利用预设的规则将Fcode与绑定指令信息形成映射关系，进而实现所述Fcode码能够与用户定制的具体的操作指令或操作指令集进行绑定，用于快速实现对物联网设备的精准访问控制；所述中枢控制子系统存储模块，用于存储关键节点产生的除用户特征信息外的数据信息，并将其同步至中心节点并备份至备份节点；所述中心节点为物联网中的数据汇聚处理中心，主要由服务器或服务器集群组成，直接与域内各个关键节点、上游节点以及部分下游节点相连，并为域内各节点提供算力支撑，所述中心节点为域内各个关键节点预先分配初始算力并能够根据各节点实时需求动态调整算力分配；同时为各级节点上传的同步数据进行存储；所述上游节点为配置有能够对用户特征信息进行采集识别的智能终端设备，用户可以通过上游节点控制接入海量异构物联网设备的通用系统的外围接入设备，并利用终端设备上的适配软件可以实现包括用户特征信息、通用数据格式S
code
等数据的发送，以及个性化设定绑定策略用于将用户特征信息与操作指令形成绑定指令信息；所述下游节点作为域内底层节点部署在外围接入设备的邻近范围内，并与邻近范围内的接入设备进行绑定，能够发挥物联网智能网关的作用，使用中间件或抽象映射模型等行业内成熟的解决方案，消除异构设备之间由于设备类型、设备支持的控制指令及标准协议的不同而造成的异构设备之间无法实现信息交互的问题，能够实现与域外多种异构物联网设备的信息传递解析；所述下游节点还用于接收域内其他节点发送的通用数据格式S
code
并将其解译为接入设备所能识别的数据指令与格式，随后发送至邻近范围内的接入设备，同时还可以接收并解析所述接入设备发送或反馈的数据，并将其转化为通用数据格式S
code
传输给上层节点。
[0005]此外，还提出一种基于海量异构物联网设备的通用精准访问控制系统的身份验证
方法，其特征在于，所述方法包括：步骤S1，初始化某一用户G的用户特征信息，具体又包括：步骤S1
‑
1，用户G借助于上游节点或关键节点完成用户特征信息的采集录入，并对用户特征信息进行类型识别，并利用预设的提取策略对用户特征信息进行特征值提取，按照预设的规则对提取出的特征值进行组合形成特征值集合，并为每一组特征值集合均生成唯一Fcode码与之对应；步骤S1
‑
2，用户G选定其中一个Fcode码作为私钥；步骤S2，利用数字签名技术对Scode信息进行验证，具体又包括：步骤S2
‑
1，用户G通过上游节点将Scode数据发送给关键节点时，先用哈希函数将Scode数据生成一段摘要 [Digest，Hash(Scode)]，然后将摘要 [Digest，Hash(Scode)
ꢀ‑ꢀ
> DigestSc本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种海量异构物联网设备的通用精准访问控制系统，其特征在于，所述系统具体包括：所述系统由域内节点与域外节点共同组成，其中，域内节点又分为上游节点、关键节点、中心节点、下游节点；域外节点包括物联网外围接入设备；域内各节点之间使用具有通用数据格式的S
code
数据作为信息交互的基础，所述通用数据格式是指能够在所述海量异构物联网设备的通用精准访问控制系统域内各级节点设备之间进行信息交互时所采用的统一格式，S
code
数据的通用数据格式具体为：时间信息段+节点设备识别码信息段+用户特征信息段+节点设备IP地址信息段+数据内容段共5个字段组成；所述关键节点由中枢控制子系统组成，所述中枢控制子系统进一步由电源控制模块、用户特征信息控制管理模块、信息处理模块以及中枢控制子系统存储模块组成；进一步，所述电源控制模块又分为主供电子模块和应急供电子模块：所述主供电子模块用于为中枢控制子系统各功能模块进行供电，并配备有主电池，优先采用外接电源进行供电，并在无法使用外接电源供电时使用主电池进行供电；所述应急供电子模块配备有备用电池用于应急供电，可与关键节点主体设备进行离体连接，并在主体设备无外接电源且主电池电量到达预设阈值时，或者关键节点主体设备无法提供服务时启动，启动的同时一并激活安全应急模式，并激活授权指令向中心节点进行授权，转移关键节点的部分功能至中心节点，由中心节点代替关键节点对各级节点进行数据传输和指令控制；进一步，所述用户特征信息控制管理模块由用户特征信息采集子模块、用户特征信息管理控制芯片、用户特征信息存储子模块以及用户特征信息识别验证子模块组成；所述用户特征信息采集子模块，用于采集并登记用户的特征信息，并对所述用户的特征信息进行预处理；所述用户特征信息管理控制芯片，用于在用户特征信息采集子模块进行用户特征信息的采集时，控制用户特征信息的单向写入，并将用户特征信息存储在用户特征信息存储子模块的存储区域中进行本地存储，提供硬件级别的安全保护，确保经由用户特征信息采集子模块采集到的用户特征信息无法被其他模块访问获取读取，并且对用户特征信息采集子模块采集到的用户特征信息进行类型识别，并在识别出用户特征信息类型F
Type
后，按照预设的提取策略对用户特征信息进行特征值提取，不同的特征值能够按照预设的规则进行组合形成一组特征值集合，所述用户特征信息管理控制芯片采用随机算法为每一组特征值集合分配唯一Fcode码；所述用户特征信息管理控制芯片还用于接收关键节点以外的其他节点或域外设备发送的用户特征信息，并将其与本地存储的用户特征信息进行相同维度标准的对比，若判断结果为一致，则输出验证结果B
code
=01，否则B
code
=00；所述用户特征信息存储子模块，用于存储用户特征信息，设置有多个不同的存储区域，每个存储区域中又分配有多个存储单元，每个存储单元均具有唯一编号D
code
并对应储存有用户特征信息的特征值；所述用户特征信息识别验证子模块，用于接收并解析其他节点发送的生物特征信息以及S
code
，并将其发送给用户特征信息管理控制芯片并获取B
code
值，并当B
code
=01时，更新S
code
中的用户特征信息段；
所述信息处理模块，能够获取上游节点发送的绑定策略，并解析获取相对应的绑定策略，并利用预设的规则将F
code
与绑定指令信息形成映射关系，进而实现所述F
code
码能够与用户定制的具体的操作指令或操作指令集进行绑定，用于快速实现对物联网设备的精准访问控制；所述中枢控制子系统存储模块，用于存储关键节点产生的除用户特征信息外的数据信息，并将其同步至中心节点并备份至备份节点；所述中心节点为物联网中的数据汇聚处理中心，主要由服务器或服务器集群组成，直接与域内各个关键节点、上游节点以及部分下游节点相连，并为域内各节点提供算力支撑，所述中心节点为域内各个关键节点预先分配初始算力并能够根据各节点实时需求动态调整算力分配；同时为各级节点上传的同步数据进行存储；同时所述中心节点还部署在去中心化的基于区块链的分布式云存储系统；所述上游节点为配置有能够对用户特征信息进行采集识别的智能终端设备，用户可以通过上游节点控制接入海量异构物联网设备的通用系统的外围接入设备，并利用终端设备上的适配软件可以实现包括用户特征信息、通用数据格式S
code
等数据的发送，以及个性化设定绑定策略用于将用户特征信息与操作指令形成绑定指令信息；所述下游节点作为域内底层节点部署在外围接入设备的邻近范围内，并与邻近范围内的接入设备进行绑定，能够发挥物联网智能网关的作用，使用中间件或抽象映射模型等行业内成熟的解决方案，消除异构设备之间由于设备类型、设备支持的控制指令及标准协议的不同而造成的异构设备之间无法实现信息交互的问题，能够实现与域外多种异构物联网设备的信息传递解析；所述下游节点还用于接收域内其他节点发送的通用数据格式S
code
并将其解译为接入设备所能识别的数据指令与格式，随后发送至邻近范围内的接入设备，同时还可以接收并解析所述接入设备发送或反馈的数据，并将其转化为通用数据格式S
code
传输给上层节点。2.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统，其特征在于，所述用户分为个人用户、企业级用户以及定制用户；所述用户特征信息具体为表征用户身份特性的唯一指向型信息；当所述用户为个人用户时，所述用户特征信息可以为用户个人...

【专利技术属性】
技术研发人员：韩玉冰，禹继国，董安明，赵桂新，张丽，刘晓慧，
申请(专利权)人：齐鲁工业大学，
类型：发明
国别省市：