[发明专利]一种物联网的访问控制方法、用户设备以及系统

权利要求书

1.一种物联网的访问控制方法，其特征在于，所述访问控制方法包括：

根据第一用户的输入操作，生成第一访问信息，从中心服务器获取代理服务器的主题名称，并以所述代理服务器的主题名称作为公共密钥，对所述第一访问信息 进行基于身份的加密，以生成第一访问控制请求；所述第一访问信息包括第一用户设备当前存储的第一权能令牌链以及所述第一用户需控制的第一物联网设备；所述第一权能令牌链包括验证过数字证书的一个或多个第一权能令牌；

根据预设的消息列队传输协议，通过代理服务器向网关转发所述第一访问控制请求，以使所述网关在对所述第一访问控制请求进行解密后，对所有第一权能令牌分别进行签名验证，并在根据解密后的内容生成第一控制指令后，向所述第一物联网设备发送所述第一控制指令；

根据预设的消息列队传输协议，通过代理服务器接收所述网关发送的所述第一控制结果；其中，所述第一控制结果由所述第一物联网设备在执行所述第一控制指令后生成并反馈给所述网关。

2.根据权利要求1所述的物联网的访问控制方法，其特征在于，所述访问控制方法还包括：

当第一权能令牌链的长度达到预设的阈值时，向具有令牌归并权限的第二用户发送所述第一权能令牌链以及令牌归并请求，以使所述第二用户在确认所述第一权能令牌链合法后，对所有第一有权能令牌进行归并，以生成包括一个或多个第二权能令牌的第二权能令牌链，并使用所述第二用户的用户私钥对所述第二权能令牌链中的所有第二权能令牌分别进行签名；所述第二权能令牌链的长度短于所述第一权能令牌链的长度，所述第一权能令牌链的权限与所述第二权能令牌链的权限相同；

接收所述第二权能令牌链，并在对所述第二权能令牌链进行验证后，保存所述第二权能令牌链。

3.根据权利要求2所述的物联网的访问控制方法，其特征在于，所述访问控制方法还包括：

当接收到第一用户输入的权限传递指令时，通过预设的验证方法，验证待接受传递权限的第三用户是否满足传递条件；

当验证通过时，生成与所述第三用户对应的公钥证书，并根据所述公钥证书以及所述第一权能令牌链，派生出与所述权限传递指令对应的第三权能令牌链，并将所述第三权能令牌链发送给所述第三用户。

4.根据权利要求3所述的物联网的访问控制方法，其特征在于，所述访问控制方法还包括：

当接收到第一用户输入的授权撤销指令时，生成第一撤销授权信息并以预设的加密方式对所述第一撤销授权信息进行基于身份的加密，以获取撤销授权信息；所述第一撤销授权信息包括权限待撤销的第四用户的用户信息；

根据预设的消息队列传输协议，将所述撤销授权信息通过所述代理服务器发送给所述网关，以使所述网关对所述撤销授权信息进行解密，并将所述第四用户的用户信息加入所述网关的权限撤销列表中，以使当网关再次接收到所述第四用户发送的第四访问请求时，拒绝所述第四访问请求；

根据预设的消息队列传输协议，通过所述代理服务器接收所述网关发送的反馈信息，从而完成权限撤销；所述反馈信息由所述网关在将所述第四用户的用户信息加入所述网关的权限撤销列表中后产生。

5.根据权利要求4所述的物联网的访问控制方法，其特征在于，所述访问控制方法还包括：

当接收到第一用户输入的权能令牌请求指令时，生成第一权能令牌请求信息并使用所述第一用户的用户私钥进行签名，以获取第一权能令牌请求信息；

将所述第一权能令牌请求信息发送给中心服务器，以使所述中心服务器根据用户公钥对所述权能令牌请求信息进行验证，并根据用户属性信息与访问控制策略进行决策，在验证和决策均通过后，根据所述权能令牌请求信息生成相应的第一权能令牌链；

接收所述中心服务器发送的所述第一权能令牌链并进行保存。