[发明专利]一种访问控制系统及其进行访问控制的方法

说明书

技术领域

本发明属于信息通信技术领域，涉及一种访问控制系统及其进行访问控制的方法。

背景技术

近年来，随着射频标签技术、传感网技术、遥感技术、大数据挖掘技术等先进信息通信技术突飞猛进的发展，物联网的概念在人们的脑海中愈发清晰。从最初概念性的提出，到关键技术的研究，以及当前的行业应用发展，物联网无疑占据了当今最具前景的研究领域之一。所谓物联网，是指通过部署具有一定感知、计算、执行和通信等能力的各种设备，获得物理世界的信息，通过网络实现信息的传输、协同和处理，从而实现广域的人与物、物与物之间信息交换的互联的网络。

与传统的互联网相比，物联网尤其着重于网络末端的增强能力，从而支持关于“物”的信息的采集和获取。这就要求在网络末端部署有大量的终端节点。这些节点所处位置分散，数目众多，且各自的性能和所支持的短距通信协议也多种多样。为了将多样化的终端节点整合入物联网体系中，物联网网关成为了关键的要素。物联网网关的基本功能是实现协议的转换，远端应用通过网关访问各类终端节点，即网关起到了对外屏蔽各类终端异构性的作用，因而网关也承担起如何保障终端节点安全的问题，对于网关的管理和控制变得非常重要。一方面，对网关有效的管控是保证系统性能以及提升用户体验的必要环节；此外，网关通常分布式的部署在现场范围中，很难实现现场实地检查和配置，因而需要远程实现对网关的入网认证，以及对网关进行相应的配置和管理，从而保证不会通过对网关的非法操作而造成终端节点的损坏或是数据的泄露。当部署于小范围时，可以通过手工配置网关的权限设置来实现。但在实际应用部署中，物联网系统通常面临着部署范围广泛，且需要远程登录的需求，在这种应用场景下，如何针对物联网网关实现电信运营级保障的远程访问控制变得尤为重要，直接关系到物联网系统是否能够真正应用推广。

发明内容

本发明要解决的技术问题是如何在物联网中实现集中管控、提供运营级的远程访问控制。

为了解决上述问题，本发明提供了一种访问控制系统，应用于物联网中，包括：一个或多个物联网网关；

中央访问控制器，用于当收到一物联网网关的入网申请后，判断该物联网网关能否加入本访问控制系统；如果能则保存该物联网网关的标识，创建一份对应于该物联网网关的访问控制信息，保存该访问控制信息并推送给该物联网网关；

所述物联网网关用于在初次连入物联网时，向所述中央访问控制器上报入网申请；当从中央访问控制器接收到访问控制信息时，保存该访问控制信息；当收到业务请求时，根据所保存的访问控制信息判断是否允许该业务请求；如果允许则执行该业务请求。

进一步地，所述中央访问控制器还用于在更新访问控制信息后，将更新后的访问控制信息推送给该访问控制信息所对应的物联网网关。

进一步地，所述访问控制信息为一访问控制列表，至少包括所述中央访问控制器的标识；还包括零个、一个或多个业务请求方的标识；

所述物联网网关根据所述访问控制信息判断是否允许该业务请求是指：

所述物联网网关判断发起该业务请求的业务请求方的标识是否存在于所述访问控制列表中；如果是，则判断该业务请求被允许；否则判断该业务请求不被允许。

进一步地，所述访问控制信息为一访问控制列表，至少包括所述中央访问控制器的标识；还包括零个、一个或多个业务请求方的标识；当包括一个或一个以上的业务请求方的标识时，还包括各业务请求方对应的操作权限；

所述物联网网关根据所述访问控制信息判断业务请求是否被允许是指：

所述物联网网关判断发起该业务请求的业务请求方的标识是否存在于所述访问控制列表中；如果是，则判断该业务请求是否匹配该业务请求方对应的操作权限；如果匹配，则判断该业务请求被允许；如果业务请求方的标识不在访问控制列表中、或业务请求不匹配操作权限，则判断该业务请求不被允许。

进一步地，所述物联网网关执行业务请求是指：

所述物联网网关相应地连接物联网中的传感器和/或执行器执行业务请求，并向业务请求方返回响应消息。

进一步地，所述物联网网关上报的入网申请中携带申请信息；所述申请信息至少包括该物联网网关的规格说明书；

所述中央访问控制器判断该物联网网关能否加入本访问控制系统是指：

所述中央访问控制器对物联网网关进行身份检查和匹配检查，如果物联网网关通过身份检查和匹配检查，则判断物联网网关能加入本访问控制系统；否则，判断物联网网关不能加入本访问控制系统；