CN110519306B - 一种物联网的设备访问控制方法和装置 - Google Patents

一种物联网的设备访问控制方法和装置 Download PDF

Info

Publication number
CN110519306B
CN110519306B CN201910952631.6A CN201910952631A CN110519306B CN 110519306 B CN110519306 B CN 110519306B CN 201910952631 A CN201910952631 A CN 201910952631A CN 110519306 B CN110519306 B CN 110519306B
Authority
CN
China
Prior art keywords
equipment
user
access
user equipment
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910952631.6A
Other languages
English (en)
Other versions
CN110519306A (zh
Inventor
汤宇超
柴柏君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics China R&D Center
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics China R&D Center
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics China R&D Center, Samsung Electronics Co Ltd filed Critical Samsung Electronics China R&D Center
Priority to CN201910952631.6A priority Critical patent/CN110519306B/zh
Publication of CN110519306A publication Critical patent/CN110519306A/zh
Priority to KR1020200024194A priority patent/KR20210042241A/ko
Priority to PCT/KR2020/002807 priority patent/WO2021071032A1/en
Application granted granted Critical
Publication of CN110519306B publication Critical patent/CN110519306B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/564Enhancement of application control based on intercepted application data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Abstract

本申请公开了一种物联网的设备访问控制方法和装置,其中方法包括:当物联网的中继服务设备接收到用户设备的设备连接请求时,所述中继服务设备在所述用户设备通过身份验证后,确定所述用户设备对物联网内设备的访问权限;所述中继服务设备根据所述访问权限和所述用户设备请求连接的设备相关信息,判断是否允许所述用户设备访问其请求连接的设备,并根据判断结果执行相应的访问控制操作;所述相关信息包括设备的隐私等级和当前的设备使用情况。应用本申请公开的技术方案,能够有效提高设备连接速度、增强设备连接的稳定性以及保障数据的安全性。

Description

一种物联网的设备访问控制方法和装置
技术领域
本申请涉及物联网技术领域,特别涉及一种物联网的设备访问控制方法和装置。
背景技术
物联网(The Internet of things)起源于传媒领域,是信息科学技术产业的第三次革命。物联网是基于互联网、广播电视网、传统电信网等信息承载体,让所有能够被独立寻址的普通物理对象实现互联互通的网络。“物联网概念”是在“互联网概念”的基础上,将其用户端延伸和扩展到任何物品与物品之间,进行信息交换和通信的一种网络概念。
物联网中最重要的部署是物联网平台,物联网平台作为:开发、运行环境的载体;设备通讯的管理平台;数据的载体;赋能工具的载体;应用的载体;承载未来的商业生态。是物联网架构中,最有价值的部分。
物联网每天都在连接更多的设备,这种增长带来了一些好处,因为它将改变人们执行日常任务的方式,并有可能改变世界。庞大的数据在人工智能的加持下会让物联网系统变得更加智能方便。但所有这些好处都带来了风险,连接设备的增加为黑客和网络罪犯提供了更多的切入点。
申请人在实现本发明的过程中发现现有的物联网设备访问方案存在设备连接速度低、隐私信息存在安全隐患以及连接的稳定性差等问题。具体分析如下:
在当前物联网平台架构下,所有数据都需要汇集到云端进行处理分发。如此,将会带来三个问题:一是,连接速度变慢,如果受到网络状况的影响很容易造成连接不稳定甚至断开连接;二是,在网络传输过程中的安全很难保证,数据容易被窃取篡改;三是,一切控制都需要云端介入,如果云端服务器受到攻击或者宕机,用户就无法正常使用物联网设备。
发明内容
本申请提供了一种物联网的设备访问控制方法和装置,能够有效提高设备连接速度、增强设备连接的稳定性以及保障数据的安全性。
一种物联网的设备访问控制方法,包括:
当物联网的中继服务设备接收到用户设备的设备连接请求时,所述中继服务设备在所述用户设备通过身份验证后,确定所述用户设备对物联网内设备的访问权限;
所述中继服务设备根据所述访问权限和所述用户设备请求连接的设备相关信息,判断是否允许所述用户设备访问其请求连接的设备,并根据判断结果执行相应的访问控制操作;所述相关信息包括设备的隐私等级和当前的设备使用情况。
较佳地,所述确定所述用户设备对物联网内设备的访问权限包括:
所述中继服务设备根据所述用户设备对应的用户类型、所述用户设备与本中继服务设备的连接方式、是否已为所述用户设备设置访问权限和所述用户设备与本中继服务设备的历史连接情况,按照预设的访问控制策略,得到所述用户设备对物联网内设备的访问权限。
较佳地,所述访问控制策略包括:
如果所述用户设备对应的用户为所述物联网的主用户,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内的所有设备;
如果所述用户设备对应的用户不是所述物联网的主用户,当前与本中继服务设备的连接方式为本地访问,且是首次接入所述中继服务设备,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内隐私等级为中级和/或低级的设备;
如果所述用户设备对应的用户不是所述物联网的主用户,当前与所述中继服务设备的连接方式为远程访问,属于首次接入所述中继服务设备,并且所述物联网的主用户当前未连接到所述中继服务设备上或者所述主用户未为其设置访问权限,则所述用户设备没有对物联网内设备的访问权限;
如果此前所述用户设备已被设置访问权限,则确定所述用户设备对物联网内设备的访问权限与已设置的相应访问权限一致。
较佳地,所述判断是否允许所述用户设备访问其请求连接的设备包括:
如果所述请求连接的设备在该用户设备的所述访问权限内,且当前正在使用该设备的用户设备的数量未达到该设备对应的数量阈值,则允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中,正在使用该设备的用户设备的用户优先级均高于所述用户设备的用户优先级,则不允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中正在使用该设备的用户设备中存在一个用户设备UEi的用户优先级低于所述用户设备的用户优先级,则允许所述用户设备访问该设备,并中断所述用户设备UEi对该设备的访问,直至所述用户设备完成对该设备的访问;
如果所述请求连接的设备不在该用户设备的所述访问权限内,则不允许所述用户设备访问该设备。
较佳地,所述方法进一步包括:所述中继服务设备在所述用户设备通过身份验证后,根据所述用户设备的所述访问权限、当前与云端服务器之间的网络连接状态以及最近指定时间段内的异常接入情况,按照预设的设备连接策略,确定所述用户设备当前采用的设备连接方式,所述设备连接方式包括本地访问和云端访问;
当判断出允许所述用户设备访问其请求连接的设备时,配置所述用户设备采用所述设备连接方式与相应设备连接。
较佳地,所述方法进一步包括:
当所述用户设备采用的设备连接方式为本地访问,且所连接的设备的隐私等级高于预设的级别时,对于所述用户设备传输给相应设备的访问指令,由所述中继服务设备进行解析,并直接将相应数据发送给相应设备,对于相应设备需要返回给所述用户设备的数据,由所述中继服务设备采用本地转发的方式,发送给所述用户设备。
较佳地,所述方法进一步包括:当所述用户设备采用的设备连接方式为本地访问时,所述中继服务设备在所述用户设备访问相应设备时记录用户的操作指令,仅当所述用户设备与相应设备的连接断开,且网络处于空闲状态时,将所述用户的操作指令上传给云端服务器。
较佳地,所述方法进一步包括:
当设备首次接入所述物联网时,所述中继服务设备为所述设备设置隐私等级,包括:
如果设备具有用户定义的隐私等级,则根据设置设备的隐私等级与用户定义的隐私等级一致;
如果设备没有用户定义的隐私等级,则根据设备的使用场景、设备出厂时设置的隐私权限和设备采集数据的隐私程度,利用预先训练的隐私等级网络模型,得到设备的隐私等级,所述隐私等级网络模型为神经网络模型。
较佳地,所述中继服务设备采用密钥验证的方式,进行所述身份验证。
较佳地,所述方法进一步包括:
当所述用户设备与所述设备之间的本地连接发生故障时,所述中继服务设备触发用户采用手动配置的方式,将所述用户设备与相应设备之间的连接方式调整为云端访问的方式。
较佳地,所述方法进一步包括:
当所述中继服务设备与云端服务器之间的网络连接处于不稳定状态,且所述中继服务设备无法将当前采用云端访问的用户设备的设备连接方式自动调整为本地访问时,断开该采用云端访问的用户设备与相应设备的连接,将相应设备的控制方式切换为手动并通知相应用户。
较佳地,所述方法进一步包括:
当异常访问的次数达到预设阈值时,所述中继服务设备将当前与物联网内设备连接的所有用户设备的连接方式调整为本地访问,其中,对于所述异常访问的判断包括:
如果所述用户设备没有通过所述身份验证,则确定相应的设备连接请求为异常访问;
如果所述中继服务设备在确定所述访问权限时,判断出所述用户设备没有访问权限,则确定相应的设备连接请求为异常访问。
一种物联网的设备访问控制装置,设于物联网的中继服务设备中,包括:处理器,所述处理器用于:
当物联网的中继服务设备接收到用户设备的设备连接请求时,在所述用户设备通过身份验证后,确定所述用户设备对物联网内设备的访问权限;
根据所述访问权限和所述用户设备请求连接的设备相关信息,判断是否允许所述用户设备访问其请求连接的设备,并根据判断结果执行相应的访问控制操作;所述相关信息包括设备的隐私等级和当前的设备使用情况。
较佳地,所述处理器具体用于:确定所述用户设备对物联网内设备的访问权限,包括:
根据所述用户设备对应的用户类型、所述用户设备与本中继服务设备的连接方式、是否已为所述用户设备设置访问权限和所述用户设备与本中继服务设备的历史连接情况,按照预设的访问控制策略,得到所述用户设备对物联网内设备的访问权限。
较佳地,所述访问控制策略包括:
如果所述用户设备对应的用户为所述物联网的主用户,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内的所有设备;
如果所述用户设备对应的用户不是所述物联网的主用户,当前与本中继服务设备的连接方式为本地访问,且是首次接入所述中继服务设备,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内隐私等级为中级和/或低级的设备;
如果所述用户设备对应的用户不是所述物联网的主用户,当前与所述中继服务设备的连接方式为远程访问,属于首次接入所述中继服务设备,并且所述物联网的主用户当前未连接到所述中继服务设备上或者所述主用户未为其设置访问权限,则所述用户设备没有对物联网内设备的访问权限;
如果此前所述用户设备已被设置访问权限,则确定所述用户设备对物联网内设备的访问权限与已设置的相应访问权限一致。
较佳地,所述处理器具体用于:判断是否允许所述用户设备访问其请求连接的设备,包括:
如果所述请求连接的设备在该用户设备的所述访问权限内,且当前正在使用该设备的用户设备的数量未达到该设备对应的数量阈值,则允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中,正在使用该设备的用户设备的用户优先级均高于所述用户设备的用户优先级,则不允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中正在使用该设备的用户设备中存在一个用户设备UEi的用户优先级低于所述用户设备的用户优先级,则允许所述用户设备访问该设备,并中断所述用户设备UEi对该设备的访问,直至所述用户设备完成对该设备的访问;
如果所述请求连接的设备不在该用户设备的所述访问权限内,则不允许所述用户设备访问该设备。
较佳地,在所述用户设备通过身份验证后,根据所述用户设备的所述访问权限、当前与云端服务器之间的网络连接状态以及最近指定时间段内的异常接入情况,按照预设的设备连接策略,确定所述用户设备当前采用的设备连接方式,所述设备连接方式包括本地访问和云端访问;
当判断出允许所述用户设备访问其请求连接的设备时,配置所述用户设备采用所述设备连接方式与相应设备连接。
较佳地,所述处理器进一步用于:
当所述用户设备采用的设备连接方式为本地访问,且所连接的设备的隐私等级高于预设的级别时,解析所述用户设备传输给相应设备的访问指令,并直接将相应数据发送给相应设备,将相应设备需要返回给所述用户设备的数据,采用本地转发的方式,发送给所述用户设备。
较佳地,所述处理器进一步用于:
当所述用户设备采用的设备连接方式为本地访问时,在所述用户设备访问相应设备时记录用户的操作指令,仅当所述用户设备与相应设备的连接断开,且网络处于空闲状态时,将所述用户的操作指令上传给云端服务器。
较佳地,所述处理器进一步用于:当设备首次接入所述物联网时,为所述设备设置隐私等级,包括:
如果设备具有用户定义的隐私等级,则根据设置设备的隐私等级与用户定义的隐私等级一致;
如果设备没有用户定义的隐私等级,则根据设备的使用场景、设备出厂时设置的隐私权限和设备采集数据的隐私程度,利用预先训练的隐私等级网络模型,得到设备的隐私等级,所述隐私等级网络模型为神经网络模型。
较佳地,所述处理器具体用于:采用密钥验证的方式,进行所述身份验证。
较佳地,所述处理器进一步用于:
当所述用户设备与所述设备之间的本地连接发生故障时,触发用户采用手动配置的方式,将所述用户设备与相应设备之间的连接方式调整为云端访问的方式。
较佳地,所述处理器进一步用于:
当所述中继服务设备与云端服务器之间的网络连接处于不稳定状态,且所述中继服务设备无法将当前采用云端访问的用户设备的设备连接方式自动调整为本地访问时,断开该采用云端访问的用户设备与相应设备的连接,将相应设备的控制方式切换为手动并通知相应用户。
较佳地,所述处理器进一步用于:
当异常访问的次数达到预设阈值时,将当前与物联网内设备连接的所有用户设备的连接方式调整为本地访问,其中,对于所述异常访问的判断包括:
如果所述用户设备没有通过所述身份验证,则确定相应的设备连接请求为异常访问;
如果所述中继服务设备在确定所述访问权限时,判断出所述用户设备没有访问权限,则确定相应的设备连接请求为异常访问。
本申请还公开了一种非易失性计算机可读存储介质,所述非易失性计算机可读存储介质存储指令,所述指令在由处理器执行时使得所述处理器执行如前所述的物联网的设备访问控制方法的步骤。
本申请还公开了一种电子设备,包括如前所述的非易失性计算机可读存储介质、以及可访问所述非易失性计算机可读存储介质的所述处理器。
由上述技术方案可见,本申请提出的物联网的设备访问控制方法和装置,由物联网的中继服务设备对物联网内设备的访问进行控制,如此,由于较大程度降低了对云端的依赖,从而可以减少外网的网络状况以及云端故障对设备访问的影响,并且可以降低网络传输过程中的安全隐患对数据的安全性影响,从而可以有效提高设备连接速度、增强设备连接的稳定性以及保障数据的安全性。
附图说明
图1为本发明实施例的方法流程示意图;
图2为本发明实施例在家庭场景的工作流程示意图;
图3为本发明实施例在工厂场景的工作流程示意图。
具体实施方式
为使本申请的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本申请作进一步详细说明。
图1为本发明实施例的方法流程示意图,如图1所示,该实施例实现的物联网的设备访问控制方法主要包括:
步骤101、当物联网的中继服务设备接收到用户设备的设备连接请求时,所述中继服务设备在所述用户设备通过身份验证后,确定所述用户设备对物联网内设备的访问权限。
本步骤中,需要由物联网的中继服务设备,而不是由云端对物联网内设备的访问权限进行控制,这样,由于不依赖于云端的控制,可以减少外网的网络状况以及云端故障对设备访问的影响,并且可以降低网络传输过程中的安全隐患对数据的安全性影响,从而可以有效提高设备连接速度、增强设备连接的稳定性以及保障数据的安全性。
在实际应用中,所述中继服务设备,即Hub,是指具有连接控制物联网设备的中继服务设备,具有一定的运算能力,并且可与云端进行通讯。如智能路由,智能音箱等。
所述物联网内设备,主要指一些可以连接到物联网中的智能设备。具有一些特定的功能,可以与Hub进行本地连接(连接方式如蓝牙,Wifi,zigbee等)。如网络摄像头,智能电视,智能门锁等。
所述用户设备,是指面向用户的终端设备可以访问Hub实现物联网设备的控制。如手机,平板,PC等。
在实际应用中,所述身份验证可以采用公密钥验证的方法实现,即每个接入的用户设备都必须和Hub有一组匹配的公密钥,用户设备需提供正确的密码才能连接上Hub。Hub有本地的密钥管理系统以验证用户提供的密码。
较佳地,为了确保对物联网内设备访问的安全性,中继服务设备可以综合考虑用户设备对应的用户类型、用户设备与本中继服务设备的连接方式、是否已为用户设备设置访问权限和用户设备与本中继服务设备的历史连接情况,来确定所述用户设备对物联网内设备的访问权限,即:
所述中继服务设备根据所述用户设备对应的用户类型、所述用户设备与本中继服务设备的连接方式、是否已为所述用户设备设置访问权限和所述用户设备与本中继服务设备的历史连接情况,按照预设的访问控制策略,得到所述用户设备对物联网内设备的访问权限。
在实际应用中,本领域技术人员根据实际需要,综合考虑上述因素,设置合适的访问控制策略。较佳地,可以将访问控制策略设置如下:
如果所述用户设备对应的用户为所述物联网的主用户,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内的所有设备;
如果所述用户设备对应的用户不是所述物联网的主用户,当前与本中继服务设备的连接方式为本地访问,且是首次接入所述中继服务设备,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内隐私等级为中级和/或低级的设备;
如果所述用户设备对应的用户不是所述物联网的主用户,当前与所述中继服务设备的连接方式为远程访问,属于首次接入所述中继服务设备,并且所述物联网的主用户当前未连接到所述中继服务设备上或者所述主用户未为其设置访问权限,则所述用户设备没有对物联网内设备的访问权限;
如果此前所述用户设备已被设置访问权限,则确定所述用户设备对物联网内设备的访问权限与已设置的相应访问权限一致。
在上述策略中,如果所述用户设备对应的用户不是所述物联网的主用户,当前与所述中继服务设备的连接方式为远程访问,属于首次接入所述中继服务设备,并且所述物联网的主用户当前未连接到所述中继服务设备上或者所述主用户未为其设置访问权限,则说明当前发送所述设备连接请求的用户设备很可能是非法用户,因此,为了确保物联网设备访问的安全性,这里将所述用户设备设置为:没有对物联网内设备的访问权限。
步骤102、所述中继服务设备根据所述访问权限和所述用户设备请求连接的设备相关信息,判断是否允许所述用户设备访问其请求连接的设备,并根据判断结果执行相应的访问控制操作;所述相关信息包括设备的隐私等级和当前的设备使用情况。
本步骤中,将在步骤101所确定出的对物联网内设备的访问权限的基础上,结合当前请求连接的设备的隐私等级和当前的设备使用情况等信息,进一步判断是否允许相应用户设备访问其请求连接的设备,并据此执行相应的访问控制操作,以确保用户在相应的访问权限范围内对物联网内设备进行访问,从而可以确保物联网内设备访问的安全性。
较佳地,本步骤中可以采用下述方法判断是否允许所述用户设备访问其请求连接的设备:
如果所述请求连接的设备在该用户设备的所述访问权限内,且当前正在使用该设备的用户设备的数量未达到该设备对应的数量阈值,则允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中,正在使用该设备的用户设备的用户优先级均高于所述用户设备的用户优先级,则不允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中正在使用该设备的用户设备中存在一个用户设备UEi的用户优先级低于所述用户设备的用户优先级,则允许所述用户设备访问该设备,并中断所述用户设备UEi对该设备的访问,直至所述用户设备完成对该设备的访问;
如果所述请求连接的设备不在该用户设备的所述访问权限内,则不允许所述用户设备访问该设备。
较佳地,为了减少对云端服务器的依赖,进一步提高设备连接速度、增强设备连接的稳定性以及保障数据的安全性,中继服务设备还可以对用户设备当前采用的设备连接方式进行控制,具体可以采用下述方法:
所述中继服务设备在所述用户设备通过身份验证后,根据所述用户设备的所述访问权限、当前与云端服务器之间的网络连接状态以及最近指定时间段内的异常接入情况,按照预设的设备连接策略,确定所述用户设备当前采用的设备连接方式,所述设备连接方式包括本地访问和云端访问;
当判断出允许所述用户设备访问其请求连接的设备时,配置所述用户设备采用所述设备连接方式与相应设备连接。
较佳地,所述设备连接策略可以设置为下表1,但不限于此。在下述连接策略中,需要对用户当前环境进行安全性判定,如果判定为安全环境,则可以进行本地局域网访问,以提高连接稳定性,并且在安全环境内可以无需云端即可访问高隐私IOT设备,以保证高隐私数据不会通过云端泄密。
Figure BDA0002226248440000131
表1
较佳地,在本地访问高隐私设备时,可以采用由中继服务设备本地转发的方式实现用户与设备之间的信息交互,避免云端参与,以进一步保障隐私数据的安全性,具体可以采用下述方法:
当所述用户设备采用的设备连接方式为本地访问,且所连接的设备的隐私等级高于预设的级别时,对于所述用户设备传输给相应设备的访问指令,由所述中继服务设备进行解析,并直接将相应数据发送给相应设备,对于相应设备需要返回给所述用户设备的数据,由所述中继服务设备采用本地转发的方式,发送给所述用户设备。
较佳地,考虑到本地访问连接会使得云端运营商损失一部分数据并且设备状态可能不同步,针对该问题,可以进一步提供一种闲时上传的解决方案,当用户在本地连接环境下,由中继服务设备保存用户指令,但不保存数据(如摄像头视频信息),在网络状况良好,闲时上传这部分用户指令,以便云端进行数据分析,以及状态同步,具体可以采用下述方法实现:
当所述用户设备采用的设备连接方式为本地访问时,所述中继服务设备在所述用户设备访问相应设备时记录用户的操作指令,仅当所述用户设备与相应设备的连接断开,且网络处于空闲状态时,将所述用户的操作指令上传给云端服务器。
具体地,网络处于空闲状态的判断方法可采用现有技术实现,例如当网络流量小于预设阈值时可以判断为空闲状态,但不限于此。
在实际应用中,对于设备的隐私等级,可以采用用户自定义的方式或者人工智能的方式进行设置,具体可以采用下述方法实现:
当设备首次接入所述物联网时,所述中继服务设备为所述设备设置隐私等级,包括:
如果设备具有用户定义的隐私等级,则根据设置设备的隐私等级与用户定义的隐私等级一致;
如果设备没有用户定义的隐私等级,则根据设备的使用场景、设备出厂时设置的隐私权限和设备采集数据的隐私程度,利用预先训练的隐私等级网络模型,得到设备的隐私等级,所述隐私等级网络模型为神经网络模型。
上述方法中,将优先根据用户定义来设置设备的隐私等级,当用户没有定义设备的隐私等级时,可以将当前设备的使用场景、设备出厂时设置的隐私权限和设备采集数据的隐私程度,作为模型参数输入至基于神经网络获得的隐私等级网络模型,得到对应设备的隐私等级。
所述隐私等级网络模型的具体训练方法为本领域技术人员所掌握,在此不再赘述。
基于上述方法,具体可以获得类似下表2所示的设备隐私等级映射关系,但不限于此,具体可以根据实际安全需要设置模型训练样本,以获得与实际需要更匹配的隐私等级网络模型,从而可以确保物联网设备的安全性:
Figure BDA0002226248440000151
表2
较佳地,所述中继服务设备采用密钥验证的方式,进行所述身份验证。
较佳地,为了增强设备连接的稳定性,当所述用户设备与所述设备之间的本地连接发生故障时,所述中继服务设备可以触发用户采用手动配置的方式,将所述用户设备与相应设备之间的连接方式调整为云端访问的方式。
较佳地,为了增强设备连接的稳定性,当所述中继服务设备与云端服务器之间的网络连接处于不稳定状态,且所述中继服务设备无法将当前采用云端访问的用户设备的设备连接方式自动调整为本地访问时,可以断开该采用云端访问的用户设备与相应设备的连接,将相应设备的控制方式切换为手动并通知相应用户。
较佳地,为了增强访问的安全性,降低非法访问对物联网安全性影响,当中继服务设备检测到异常访问时,可以根据异常访问的情况,中断所有用户设备对物联网内设备的连接,具体可以采用下述方法实现:
当异常访问的次数达到预设阈值时,所述中继服务设备将当前与物联网内设备连接的所有用户设备的连接方式调整为本地访问,其中,对于所述异常访问的判断包括:
如果所述用户设备没有通过所述身份验证,则确定相应的设备连接请求为异常访问;
如果所述中继服务设备在确定所述访问权限时,判断出所述用户设备没有访问权限,则确定相应的设备连接请求为异常访问。
与上述方法相对应,本申请还提出一种物联网的设备访问控制装置,设于物联网的中继服务设备中,包括:处理器,所述处理器用于:
当物联网的中继服务设备接收到用户设备的设备连接请求时,在所述用户设备通过身份验证后,确定所述用户设备对物联网内设备的访问权限;
根据所述访问权限和所述用户设备请求连接的设备相关信息,判断是否允许所述用户设备访问其请求连接的设备,并根据判断结果执行相应的访问控制操作;所述相关信息包括设备的隐私等级和当前的设备使用情况。
较佳地,所述处理器具体用于:确定所述用户设备对物联网内设备的访问权限,包括:
根据所述用户设备对应的用户类型、所述用户设备与本中继服务设备的连接方式、是否已为所述用户设备设置访问权限和所述用户设备与本中继服务设备的历史连接情况,按照预设的访问控制策略,得到所述用户设备对物联网内设备的访问权限。
较佳地,所述访问控制策略包括:
如果所述用户设备对应的用户为所述物联网的主用户,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内的所有设备;
如果所述用户设备对应的用户不是所述物联网的主用户,当前与本中继服务设备的连接方式为本地访问,且是首次接入所述中继服务设备,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内隐私等级为中级和/或低级的设备;
如果所述用户设备对应的用户不是所述物联网的主用户,当前与所述中继服务设备的连接方式为远程访问,属于首次接入所述中继服务设备,并且所述物联网的主用户当前未连接到所述中继服务设备上或者所述主用户未为其设置访问权限,则所述用户设备没有对物联网内设备的访问权限;
如果此前所述用户设备已被设置访问权限,则确定所述用户设备对物联网内设备的访问权限与已设置的相应访问权限一致。
较佳地,所述处理器具体用于:判断是否允许所述用户设备访问其请求连接的设备,包括:
如果所述请求连接的设备在该用户设备的所述访问权限内,且当前正在使用该设备的用户设备的数量未达到该设备对应的数量阈值,则允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中,正在使用该设备的用户设备的用户优先级均高于所述用户设备的用户优先级,则不允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中正在使用该设备的用户设备中存在一个用户设备UEi的用户优先级低于所述用户设备的用户优先级,则允许所述用户设备访问该设备,并中断所述用户设备UEi对该设备的访问,直至所述用户设备完成对该设备的访问;
如果所述请求连接的设备不在该用户设备的所述访问权限内,则不允许所述用户设备访问该设备。
较佳地,在所述用户设备通过身份验证后,根据所述用户设备的所述访问权限、当前与云端服务器之间的网络连接状态以及最近指定时间段内的异常接入情况,按照预设的设备连接策略,确定所述用户设备当前采用的设备连接方式,所述设备连接方式包括本地访问和云端访问;
当判断出允许所述用户设备访问其请求连接的设备时,配置所述用户设备采用所述设备连接方式与相应设备连接。
较佳地,所述处理器进一步用于:
当所述用户设备采用的设备连接方式为本地访问,且所连接的设备的隐私等级高于预设的级别时,解析所述用户设备传输给相应设备的访问指令,并直接将相应数据发送给相应设备,将相应设备需要返回给所述用户设备的数据,采用本地转发的方式,发送给所述用户设备。
较佳地,所述处理器进一步用于:
当所述用户设备采用的设备连接方式为本地访问时,在所述用户设备访问相应设备时记录用户的操作指令,仅当所述用户设备与相应设备的连接断开,且网络处于空闲状态时,将所述用户的操作指令上传给云端服务器。
较佳地,所述处理器进一步用于:当设备首次接入所述物联网时,为所述设备设置隐私等级,包括:
如果设备具有用户定义的隐私等级,则根据设置设备的隐私等级与用户定义的隐私等级一致;
如果设备没有用户定义的隐私等级,则根据设备的使用场景、设备出厂时设置的隐私权限和设备采集数据的隐私程度,利用预先训练的隐私等级网络模型,得到设备的隐私等级,所述隐私等级网络模型为神经网络模型。
较佳地,所述处理器具体用于:采用密钥验证的方式,进行所述身份验证。
较佳地,所述处理器进一步用于:
当所述用户设备与所述设备之间的本地连接发生故障时,触发用户采用手动配置的方式,将所述用户设备与相应设备之间的连接方式调整为云端访问的方式。
较佳地,所述处理器进一步用于:
当所述中继服务设备与云端服务器之间的网络连接处于不稳定状态,且所述中继服务设备无法将当前采用云端访问的用户设备的设备连接方式自动调整为本地访问时,断开该采用云端访问的用户设备与相应设备的连接,将相应设备的控制方式切换为手动并通知相应用户。
较佳地,所述处理器进一步用于:
当异常访问的次数达到预设阈值时,将当前与物联网内设备连接的所有用户设备的连接方式调整为本地访问,其中,对于所述异常访问的判断包括:
如果所述用户设备没有通过所述身份验证,则确定相应的设备连接请求为异常访问;
如果所述中继服务设备在确定所述访问权限时,判断出所述用户设备没有访问权限,则确定相应的设备连接请求为异常访问。
通过上述技术方案可以看出采用本申请的实施例,利用中继服务设备综合设备隐私等级划分、物联网络安全性判定、控制终端权限区分等因素,智能地提供给接入用户访问/控制的设备权限并提供安全、稳定的本地接入方式,从而使整个物联网络的任务分发、设备连接、网络管理更高效且便利,有效提高了设备连接速度、增强了设备连接的稳定性以及数据的安全性。下而结合几种应用场景对本发明的具体实现作进一步阐述。
一、家庭场景:
1.设备接入家庭物联网Hub,包括:智能门锁、智能家用摄像头、智能空调、智能温度计。
2.家庭主用户控制终端(手机/平板/可穿戴设备等)接入Hub,设置终端接入密钥,并可在网络环境安全的情况下访问和控制物联网内所有设备。
3.家庭主用户(即网络管理员)手动设定接入家庭物联网设备的隐私等级,设定门锁、摄像头为高隐私等级,空调、温度计为低隐私等级。
4.若主用户未手动设定设备隐私等级,Hub将根据设备类型,设备数据隐私程度综合判定该设备的隐私等级,并反馈给主用户的控制终端。
5.Hub对整个网络进行安全性判定并赋予其他接入控制终端访问控制设备权限。
图2为家庭场景工作流程图,如图2所示,根据以上的家庭场景工作流程图延伸几个例子:
1)用户A通过蓝牙连接,使用正确的密钥接入Hub成为一个控制终端。Hub开始进行网络安全性判定,发现该用户A已经多次接入Hub,且主用户目前通过蓝牙也在网络内,那么用户A大概率是家庭成员,此时判定网络情况为安全,用户A可通过其终端访问并控制物联网内所有设备。
2)用户B通过蓝牙连接,使用正确的密钥接入Hub成为一个控制终端。Hub开始进行网络安性判定,发现该用户B是第一次接入Hub,且主用户目前通过蓝牙也在网络内,那么用户B可能是客人,此时判定网络情况为安全,但用户B只可通过其终端访问并控制物联网内的低隐私级别设备,如智能空调、智能温度计。
3)用户C通过远程网络连接,使用正确的密钥接入Hub成为一个控制终端。Hub开始进行网络安性判定,发现该用户C是第一次接入Hub,但主用户目前没有连接在Hub上,那么用户C的接入可能不是合法访问,而且密钥泄露等原因导致的非法接入。此时判定网络情况为不安全,用户C不可通过其终端访问并控制物联网内的任何设备。
6.用户获得设备访问控制权限后,对设备进行访问时,Hub可根据设备使用情况进行访问优先级判定以及访问权限的暂时性限制。如智能摄像头只允许同时有一个用户访问,那么在用户A访问的时候,如果主用户进行访问,可暂时性断开A的连接,由主用户来访问并控制智能摄像头。
7.如果用户访问终端在通过wifi或蓝牙连接在物联网内并合法访问高隐私级别设备的时候,数据可不通过云端上传解析、下载,而是直接由Hub解析指令并直接分发到指定设备,设备返回数据经由Hub直接本地返回给控制终端。
8.用户在访问设备时,将显示该设备的隐私等级以及访问方式,用户也可根据网络情况手动调整访问方式。例如,在本地安全访问高隐私设备的时候,如果遇到本地wifi或蓝牙连接出现故障,可手动调整为远程云端连接的方式,通过灵活的连接方式切换,保证连接的稳定性。
9.当处在本地连接访问模式下,Hub会记录用户的操作指令。当本地连接结束,闲时会上传这部分指令给云端,以确保状态同步。
二、工厂场景:
1.智能设备接入工厂物联网Hub,包括监控摄像头、车间温控器、生产机器、工作配置器、安全警报器等。
2.工厂主用户(在现实场景中可为工厂安全负责人,厂长)控制终端(手机/平板/工厂管理终端等)接入Hub,设置终端接入密钥。并可在网络环境安全的情况下访问和控制物联网内所有设备。
3.工厂主用户(即网络管理员)手动设定接入工厂物联网设备的隐私等级,如设定车间温控器、监控摄像头、安全警报器为高隐私等级,生产机器、工作配置器为低隐私等级。
4.若主用户未手动设定设备隐私等级,Hub将根据设备类型,设备数据隐私程度综合判定该设备的隐私等级,并反馈给主用户的控制终端。
5.主用户可对其他接入用户的访问权限进行限定。例如:用户A为车间1员工,则分配给其访问车间1低隐私设备的权限。用户B为车间1负责人,则分配给其访问车间1所有设备的权限,用户C为生产数据管理员,则分配给其访问所有车间低隐私设备权限,用户D为车间总负责人,则分配给其访问所有车间所有设备访问权限。
6.Hub对整个网络进行安全性判定并赋予接入控制终端访问控制设备权限。
图3为车间场景工作流程图,如图3所示,根据以上的工厂场景工作流程图延伸几个例子:
1)用户A通过蓝牙连接,使用正确的密钥接入Hub成为一个控制终端。Hub开始进行网络安全性判定,发现该用户A已经多次接入Hub,且被自己主用户分配了访问车间1所有设备的权限,那么用户A大概率是车间1负责人,此时判定网络情况为安全,用户A可通过其终端访问并控制车间1内所有设备。
2)用户B通过蓝牙连接,使用正确的密钥接入Hub成为一个控制终端。Hub开始进行网络安性判定,发现该用户B是第一次接入Hub,且主用户未对其分配访问权限,此时Hub根据信号强度和终端位置,判定用户B处于车间2,那么用户B可能是车间2的新工人,此时判定网络情况为安全,但用户B只可通过其终端访问并控制车间2所属区域的低隐私设备。
3)用户C通过远程网络连接,使用正确的密钥接入Hub成为一个控制终端。Hub开始进行网络安性判定,发现该用户C是第一次接入Hub,其连接方式为远程连接,且未被主用户分配访问权限。那么用户C的接入可能不是合法访问,而且密钥泄露等原因导致的非法接入。此时判定网络情况为不安全,用户C不可通过其终端访问并控制物联网内的任何设备。
7.用户获得设备访问控制权限后,对设备进行访问时,Hub可根据设备使用情况进行访问优先级判定以及访问权限的暂时性限制。在工厂环境下,还可根据网络安全情况智能启动/停止智能设备的使用。有如下两个例子:
1)车间1温控器只允许同时有一个用户访问,那么车间1负责人用户A访问的时候,如果主用户进行访问,可暂时性断开A的连接,由主用户来访问并控制温控器。
2)在生产过程中,如果有上述第六点第三例中用户C的访问或多个被判定为可能非法的访问,网络环境被判定为不安全,那么Hub将所有用户的访问方式跟改为本地方法。。
8.如果用户访问终端在通过wifi或蓝牙连接在物联网内并合法访问高隐私级别设备的时候,数据可不通过云端上传解析、下载,而是直接由Hub解析指令并直接分发到指定设备,设备返回数据经由Hub直接本地返回给控制终端。
9.用户在访问设备时,将显示该设备的隐私等级以及访问方式,用户也可根据网络情况手动调整访问方式。例如,在本地安全访问高隐私设备的时候,如果遇到本地wifi或蓝牙连接出现故障,可手动调整为远程云端连接的方式,通过灵活的连接方式切换,保证连接的稳定性。
10.在远程网络连接不稳定,且无法转为本地连接的情况下,Hub可自动断开与生产设备连接,将所控制生产设备控制权限转为手动,并提示拥有该设备访问权限的用户进行手动控制操作。
此外,本申请还提供了一种非易失性计算机可读存储介质,所述非易失性计算机可读存储介质存储指令,所述指令在由处理器执行时使得所述处理器执行如前所述的物联网的设备访问控制方法的步骤。
此外,本申请还提供了一种电子设备,包括如上所述的非易失性计算机可读存储介质、以及可访问所述非易失性计算机可读存储介质的所述处理器。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (22)

1.一种物联网的设备访问控制方法,其特征在于,包括:
当物联网的中继服务设备接收到用户设备的设备连接请求时,所述中继服务设备在所述用户设备通过身份验证后,根据所述用户设备对应的用户类型、所述用户设备与本中继服务设备的连接方式、是否已为所述用户设备设置访问权限和所述用户设备与本中继服务设备的历史连接情况,按照预设的访问控制策略,确定所述用户设备对物联网内设备的访问权限;
所述中继服务设备根据所述访问权限和所述用户设备请求连接的设备相关信息,判断是否允许所述用户设备访问其请求连接的设备,并根据判断结果执行相应的访问控制操作;所述相关信息包括设备的隐私等级和当前的设备使用情况;
所述访问控制策略包括:
如果所述用户设备对应的用户为所述物联网的主用户,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内的所有设备;
如果所述用户设备对应的用户不是所述物联网的主用户,当前与本中继服务设备的连接方式为本地访问,且是首次接入所述中继服务设备,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内隐私等级为中级和/或低级的设备;
如果所述用户设备对应的用户不是所述物联网的主用户,当前与所述中继服务设备的连接方式为远程访问,属于首次接入所述中继服务设备,并且所述物联网的主用户当前未连接到所述中继服务设备上或者所述主用户未为其设置访问权限,则所述用户设备没有对物联网内设备的访问权限;
如果此前所述用户设备已被设置访问权限,则确定所述用户设备对物联网内设备的访问权限与已设置的相应访问权限一致。
2.如权利要求1所述的方法,其特征在于:所述判断是否允许所述用户设备访问其请求连接的设备包括:
如果所述请求连接的设备在该用户设备的所述访问权限内,且当前正在使用该设备的用户设备的数量未达到该设备对应的数量阈值,则允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中,正在使用该设备的用户设备的用户优先级均高于所述用户设备的用户优先级,则不允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中正在使用该设备的用户设备中存在一个用户设备UEi的用户优先级低于所述用户设备的用户优先级,则允许所述用户设备访问该设备,并中断所述用户设备UEi对该设备的访问,直至所述用户设备完成对该设备的访问;
如果所述请求连接的设备不在该用户设备的所述访问权限内,则不允许所述用户设备访问该设备。
3.如权利要求1所述的方法,其特征在于:所述方法进一步包括:所述中继服务设备在所述用户设备通过身份验证后,根据所述用户设备的所述访问权限、当前与云端服务器之间的网络连接状态以及最近指定时间段内的异常接入情况,按照预设的设备连接策略,确定所述用户设备当前采用的设备连接方式,所述设备连接方式包括本地访问和云端访问;
当判断出允许所述用户设备访问其请求连接的设备时,配置所述用户设备采用所述设备连接方式与相应设备连接。
4.如权利要求1所述的方法,其特征在于:所述方法进一步包括:
当所述用户设备采用的设备连接方式为本地访问,且所连接的设备的隐私等级高于预设的级别时,对于所述用户设备传输给相应设备的访问指令,由所述中继服务设备进行解析,并直接将相应数据发送给相应设备,对于相应设备需要返回给所述用户设备的数据,由所述中继服务设备采用本地转发的方式,发送给所述用户设备。
5.如权利要求1所述的方法,其特征在于:所述方法进一步包括:当所述用户设备采用的设备连接方式为本地访问时,所述中继服务设备在所述用户设备访问相应设备时记录用户的操作指令,仅当所述用户设备与相应设备的连接断开,且网络处于空闲状态时,将所述用户的操作指令上传给云端服务器。
6.如权利要求1所述的方法,其特征在于:所述方法进一步包括:
当设备首次接入所述物联网时,所述中继服务设备为所述设备设置隐私等级,包括:
如果设备具有用户定义的隐私等级,则根据设置设备的隐私等级与用户定义的隐私等级一致;
如果设备没有用户定义的隐私等级,则根据设备的使用场景、设备出厂时设置的隐私权限和设备采集数据的隐私程度,利用预先训练的隐私等级网络模型,得到设备的隐私等级,所述隐私等级网络模型为神经网络模型。
7.如权利要求1所述的方法,其特征在于:所述中继服务设备采用密钥验证的方式,进行所述身份验证。
8.如权利要求1所述的方法,其特征在于:所述方法进一步包括:
当所述用户设备与所述设备之间的本地连接发生故障时,所述中继服务设备触发用户采用手动配置的方式,将所述用户设备与相应设备之间的连接方式调整为云端访问的方式。
9.如权利要求1所述的方法,其特征在于:所述方法进一步包括:
当所述中继服务设备与云端服务器之间的网络连接处于不稳定状态,且所述中继服务设备无法将当前采用云端访问的用户设备的设备连接方式自动调整为本地访问时,断开该采用云端访问的用户设备与相应设备的连接,将相应设备的控制方式切换为手动并通知相应用户。
10.如权利要求1所述的方法,其特征在于:所述方法进一步包括:
当异常访问的次数达到预设阈值时,所述中继服务设备将当前与物联网内设备连接的所有用户设备的连接方式调整为本地访问,其中,对于所述异常访问的判断包括:
如果所述用户设备没有通过所述身份验证,则确定相应的设备连接请求为异常访问;
如果所述中继服务设备在确定所述访问权限时,判断出所述用户设备没有访问权限,则确定相应的设备连接请求为异常访问。
11.一种物联网的设备访问控制装置,设于物联网的中继服务设备中,其特征在于,包括:处理器,所述处理器用于:
当物联网的中继服务设备接收到用户设备的设备连接请求时,在所述用户设备通过身份验证后,根据所述用户设备对应的用户类型、所述用户设备与本中继服务设备的连接方式、是否已为所述用户设备设置访问权限和所述用户设备与本中继服务设备的历史连接情况,按照预设的访问控制策略,确定所述用户设备对物联网内设备的访问权限;所述访问控制策略包括:如果所述用户设备对应的用户为所述物联网的主用户,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内的所有设备;如果所述用户设备对应的用户不是所述物联网的主用户,当前与本中继服务设备的连接方式为本地访问,且是首次接入所述中继服务设备,则所述用户设备对物联网内设备的访问权限为允许访问所述物联网内隐私等级为中级和/或低级的设备;如果所述用户设备对应的用户不是所述物联网的主用户,当前与所述中继服务设备的连接方式为远程访问,属于首次接入所述中继服务设备,并且所述物联网的主用户当前未连接到所述中继服务设备上或者所述主用户未为其设置访问权限,则所述用户设备没有对物联网内设备的访问权限;如果此前所述用户设备已被设置访问权限,则确定所述用户设备对物联网内设备的访问权限与已设置的相应访问权限一致;
根据所述访问权限和所述用户设备请求连接的设备相关信息,判断是否允许所述用户设备访问其请求连接的设备,并根据判断结果执行相应的访问控制操作;所述相关信息包括设备的隐私等级和当前的设备使用情况。
12.如权利要求11所述的装置,其特征在于,所述处理器具体用于:判断是否允许所述用户设备访问其请求连接的设备,包括:
如果所述请求连接的设备在该用户设备的所述访问权限内,且当前正在使用该设备的用户设备的数量未达到该设备对应的数量阈值,则允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中,正在使用该设备的用户设备的用户优先级均高于所述用户设备的用户优先级,则不允许所述用户设备访问该设备;
如果所述请求连接的设备在该用户设备的所述访问权限内,并且当前正在使用该设备的用户设备的数量已达到该设备对应的数量阈值,其中正在使用该设备的用户设备中存在一个用户设备UEi的用户优先级低于所述用户设备的用户优先级,则允许所述用户设备访问该设备,并中断所述用户设备UEi对该设备的访问,直至所述用户设备完成对该设备的访问;
如果所述请求连接的设备不在该用户设备的所述访问权限内,则不允许所述用户设备访问该设备。
13.如权利要求11所述的装置,其特征在于,所述处理器进一步用于:在所述用户设备通过身份验证后,根据所述用户设备的所述访问权限、当前与云端服务器之间的网络连接状态以及最近指定时间段内的异常接入情况,按照预设的设备连接策略,确定所述用户设备当前采用的设备连接方式,所述设备连接方式包括本地访问和云端访问;
当判断出允许所述用户设备访问其请求连接的设备时,配置所述用户设备采用所述设备连接方式与相应设备连接。
14.如权利要求11所述的装置,其特征在于,所述处理器进一步用于:
当所述用户设备采用的设备连接方式为本地访问,且所连接的设备的隐私等级高于预设的级别时,解析所述用户设备传输给相应设备的访问指令,并直接将相应数据发送给相应设备,将相应设备需要返回给所述用户设备的数据,采用本地转发的方式,发送给所述用户设备。
15.如权利要求11所述的装置,其特征在于,所述处理器进一步用于:
当所述用户设备采用的设备连接方式为本地访问时,在所述用户设备访问相应设备时记录用户的操作指令,仅当所述用户设备与相应设备的连接断开,且网络处于空闲状态时,将所述用户的操作指令上传给云端服务器。
16.如权利要求11所述的装置,其特征在于,所述处理器进一步用于:当设备首次接入所述物联网时,为所述设备设置隐私等级,包括:
如果设备具有用户定义的隐私等级,则根据设置设备的隐私等级与用户定义的隐私等级一致;
如果设备没有用户定义的隐私等级,则根据设备的使用场景、设备出厂时设置的隐私权限和设备采集数据的隐私程度,利用预先训练的隐私等级网络模型,得到设备的隐私等级,所述隐私等级网络模型为神经网络模型。
17.如权利要求11所述的装置,其特征在于,所述处理器具体用于:采用密钥验证的方式,进行所述身份验证。
18.如权利要求11所述的装置,其特征在于,所述处理器进一步用于:
当所述用户设备与所述设备之间的本地连接发生故障时,触发用户采用手动配置的方式,将所述用户设备与相应设备之间的连接方式调整为云端访问的方式。
19.如权利要求11所述的装置,其特征在于,所述处理器进一步用于:
当所述中继服务设备与云端服务器之间的网络连接处于不稳定状态,且所述中继服务设备无法将当前采用云端访问的用户设备的设备连接方式自动调整为本地访问时,断开该采用云端访问的用户设备与相应设备的连接,将相应设备的控制方式切换为手动并通知相应用户。
20.如权利要求11所述的装置,其特征在于,所述处理器进一步用于:
当异常访问的次数达到预设阈值时,将当前与物联网内设备连接的所有用户设备的连接方式调整为本地访问,其中,对于所述异常访问的判断包括:
如果所述用户设备没有通过所述身份验证,则确定相应的设备连接请求为异常访问;
如果所述中继服务设备在确定所述访问权限时,判断出所述用户设备没有访问权限,则确定相应的设备连接请求为异常访问。
21.一种非易失性计算机可读存储介质,所述非易失性计算机可读存储介质存储指令,其特征在于,所述指令在由处理器执行时使得所述处理器执行如权利要求1至10中任一项所述的物联网的设备访问控制方法的步骤。
22.一种电子设备,其特征在于,包括如权利要求21所述的非易失性计算机可读存储介质、以及可访问所述非易失性计算机可读存储介质的所述处理器。
CN201910952631.6A 2019-10-09 2019-10-09 一种物联网的设备访问控制方法和装置 Active CN110519306B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201910952631.6A CN110519306B (zh) 2019-10-09 2019-10-09 一种物联网的设备访问控制方法和装置
KR1020200024194A KR20210042241A (ko) 2019-10-09 2020-02-27 사물 인터넷을 위한 디바이스 액세스 제어 방법 및 장치
PCT/KR2020/002807 WO2021071032A1 (en) 2019-10-09 2020-02-27 Device access control method and apparatus for internet of things

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910952631.6A CN110519306B (zh) 2019-10-09 2019-10-09 一种物联网的设备访问控制方法和装置

Publications (2)

Publication Number Publication Date
CN110519306A CN110519306A (zh) 2019-11-29
CN110519306B true CN110519306B (zh) 2022-02-08

Family

ID=68634212

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910952631.6A Active CN110519306B (zh) 2019-10-09 2019-10-09 一种物联网的设备访问控制方法和装置

Country Status (3)

Country Link
KR (1) KR20210042241A (zh)
CN (1) CN110519306B (zh)
WO (1) WO2021071032A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541730B (zh) * 2020-02-25 2021-07-13 中联重科股份有限公司 搅拌车系统、泵送系统和远程服务端及其执行方法
CN112347460A (zh) * 2020-10-29 2021-02-09 深圳市裕展精密科技有限公司 用户权限管理方法、电子装置及存储介质
CN113419993A (zh) * 2021-05-19 2021-09-21 北京达佳互联信息技术有限公司 读写请求处理方法、装置、电子设备及存储介质
CN113467966A (zh) * 2021-05-31 2021-10-01 珠海大横琴科技发展有限公司 一种数据处理的方法和装置
CN114338107A (zh) * 2021-12-17 2022-04-12 中寰卫星导航通信有限公司 一种安全控制方法及装置
CN114915498B (zh) * 2022-07-14 2022-09-27 国网思极网安科技(北京)有限公司 一种基于密钥保护的安全接入网关
CN116614447A (zh) * 2023-05-08 2023-08-18 黑龙江图启信息技术工程有限公司 一种实验室信息管理平台
CN116669018B (zh) * 2023-07-28 2023-10-13 陕西通信规划设计研究院有限公司 一种基于物联网通信的数据处理方法及设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105933188A (zh) * 2016-03-30 2016-09-07 宁波三博电子科技有限公司 一种基于不同控制权限的智能家居控制方法及系统
CN106506442A (zh) * 2016-09-14 2017-03-15 上海百芝龙网络科技有限公司 一种智能家居多用户身份识别及其权限管理系统
CN107070756A (zh) * 2017-02-27 2017-08-18 宁夏宁信信息科技有限公司 智能家居中去中心化验证的家庭网关访问方法及系统
CN107465580A (zh) * 2016-06-01 2017-12-12 北京京东尚科信息技术有限公司 智能终端设备接入智点网络的控制方法
CN109525537A (zh) * 2017-09-19 2019-03-26 中兴通讯股份有限公司 一种访问智能家居系统的控制方法及装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1413116A1 (en) * 2001-08-03 2004-04-28 Matsushita Electric Industrial Co., Ltd. Access control system
US20050138380A1 (en) * 2003-12-22 2005-06-23 Fedronic Dominique L.J. Entry control system
US8281010B2 (en) * 2006-12-29 2012-10-02 Prodea Systems, Inc. System and method for providing network support services and premises gateway support infrastructure
US10015720B2 (en) * 2014-03-14 2018-07-03 GoTenna, Inc. System and method for digital communication between computing devices
US20160128043A1 (en) * 2014-10-30 2016-05-05 Qualcomm Incorporated Dynamic mobile ad hoc internet of things (iot) gateway
US10375172B2 (en) * 2015-07-23 2019-08-06 Centurylink Intellectual Property Llc Customer based internet of things (IOT)—transparent privacy functionality
WO2017062601A1 (en) * 2015-10-09 2017-04-13 Interdigital Technology Corporation Multi-level dynamic privacy management in an internet of things environment with multiple personalized service providers
KR101931128B1 (ko) * 2017-01-25 2018-12-20 한국과학기술원 사물 인터넷 환경에서 디바이스의 신뢰도를 평가하는 방법과 장치, 및 컴퓨터 판독가능 매체

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105933188A (zh) * 2016-03-30 2016-09-07 宁波三博电子科技有限公司 一种基于不同控制权限的智能家居控制方法及系统
CN107465580A (zh) * 2016-06-01 2017-12-12 北京京东尚科信息技术有限公司 智能终端设备接入智点网络的控制方法
CN106506442A (zh) * 2016-09-14 2017-03-15 上海百芝龙网络科技有限公司 一种智能家居多用户身份识别及其权限管理系统
CN107070756A (zh) * 2017-02-27 2017-08-18 宁夏宁信信息科技有限公司 智能家居中去中心化验证的家庭网关访问方法及系统
CN109525537A (zh) * 2017-09-19 2019-03-26 中兴通讯股份有限公司 一种访问智能家居系统的控制方法及装置

Also Published As

Publication number Publication date
KR20210042241A (ko) 2021-04-19
WO2021071032A1 (en) 2021-04-15
CN110519306A (zh) 2019-11-29

Similar Documents

Publication Publication Date Title
CN110519306B (zh) 一种物联网的设备访问控制方法和装置
KR101634295B1 (ko) IoT 보안을 위한 인증 서비스 제공 시스템 및 방법
CN101340444B (zh) 防火墙和服务器策略同步方法、系统和设备
US11206532B2 (en) Method and systems for pairing a mobile device with a wireless network
US10139789B2 (en) System and method for access decision evaluation for building automation and control systems
CN109445300B (zh) 智能家居的控制方法及智能家居系统
CN109918924A (zh) 动态访问权限的控制方法及系统
CN105009131A (zh) 促进智能家庭设备与基于云的服务器间通信的多层认证方法
US10096951B1 (en) Contraband detection through smart power components
US10068077B2 (en) False alarm avoidance
CN112153088A (zh) 一种用于物联网设备的控制系统
EP3466136B1 (en) Method and system for improving network security
CN105704157A (zh) 远程控制方法及系统、所适用的智能终端和服务端
CN110798459B (zh) 一种基于安全功能虚拟化的多安全节点联动防御方法
CN114422201B (zh) 一种网络靶场大规模用户远程接入方法和系统
CN111049711A (zh) 设备控制权分享方法、装置、计算机设备和存储介质
CN105262823A (zh) 一种终端的控制方法、装置和系统
CN106656995A (zh) 设备控制方法和装置
CN104301437A (zh) 一种基于多点传输的私有云平台
US20120210399A1 (en) Location-enabled access control lists for real-world devices
KR101772144B1 (ko) 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법
WO2016202083A1 (zh) 监控设备控制方法及装置
CN105681352B (zh) 一种无线网络访问安全管控方法和系统
CN107484165B (zh) 无线局域网接入控制方法及装置
CN105812338A (zh) 一种数据访问管控方法及网络管理设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant