CN113987465A

CN113987465A - 一种海量异构物联网设备的通用精准访问控制系统及方法

Info

Publication number: CN113987465A
Application number: CN202111406046.XA
Authority: CN
Inventors: 韩玉冰; 禹继国; 董安明; 赵桂新; 张丽; 刘晓慧
Original assignee: Qilu University of Technology
Current assignee: Qilu University of Technology
Priority date: 2021-08-18
Filing date: 2021-11-24
Publication date: 2022-01-28
Anticipated expiration: 2041-11-24
Also published as: CN113987465B

Abstract

本发明属于物联网和信息安全技术领域，公开了一种物联网海量异构物联网设备的通用精准访问控制技术，通过采用非对称加密算法结合用户特征信息结合的方式设计物联网设备通用访问验证控制机制，并引入S_code作为域内节点信息交互的通用数据格式，能够确保域内各节点之间数据高效传递的同时有效避免数据被窃取或攻击，并可以应对当前海量异构物联网设备开放端口需求和权限粗粒度问题，突破设备外部通信和内部资源的通用精准访问控制和对非授权访问的有效阻止难题。

Description

一种海量异构物联网设备的通用精准访问控制系统及方法

技术领域

本发明属于物联网和信息安全技术领域，具体涉及一种物联网海量异构物联网设备的通用精准访问控制系统及方法。

背景技术

物联网设备的精准访问控制技术是智慧城市安全可靠的重要前提。当前，物联网设备普遍存在开放端口和越权访问难题，不仅正常行为难以进行，更导致设备时时刻刻暴露在攻击威胁之下，并且现有的基于固件和权限控制的解决方案难以平衡高效的通讯需求和全面的访问控制之间的矛盾。因此，针对当前海量异构物联网设备开放端口需求和权限粗粒度问题，如何攻克设备外部通信和内部资源的通用精准访问控制实现对非授权访问的有效阻止，实现海量物联网设备的可靠运行，是当下亟需解决的关键问题。

发明内容

针对上述问题，本发明的目的在于提出一种海量异构物联网设备的通用精准访问控制系统及方法。

一种海量异构物联网设备的通用系统，其特征在于，所述系统具体包括：

所述系统由域内节点与域外节点共同组成，

其中，域内节点又分为上游节点、关键节点、中心节点、下游节点；域外节点包括物联网外围接入设备；

域内各节点之间使用通用数据格式S_code，所述通用数据格式S_code是指能够在所述海量异构物联网设备的通用精准访问控制系统域内各级节点设备之间进行信息交互时所采用的统一格式，具体为：时间信息段+节点设备识别码信息段+用户特征信息段+节点设备IP地址信息段+指令信息段共5个字段组成；

所述关键节点由中枢控制子系统组成，所述中枢控制子系统进一步由电源控制模块、用户特征信息控制管理模块、信息处理模块以及中枢控制子系统存储模块组成；

进一步，所述电源控制模块又分为主供电子模块和应急供电子模块：所述主供电子模块用于为中枢控制子系统各功能模块进行供电，并配备有主电池，优先采用外接电源进行供电，并在无法使用外接电源供电时使用主电池进行供电；所述应急供电子模块配备有备用电池用于应急供电，可与关键节点主体设备进行离体连接，并在主体设备无外接电源且主电池电量到达预设阈值时，或者关键节点主体设备无法提供服务时启动，启动的同时一并激活安全应急模式，并激活授权指令向中心节点进行授权，转移关键节点的部分功能至中心节点，由中心节点代替关键节点对各级节点进行数据传输和指令控制；

进一步，所述用户特征信息控制管理模块由用户特征信息采集子模块、用户特征信息管理控制芯片、用户特征信息存储子模块以及用户特征信息识别验证子模块组成；

所述用户特征信息采集子模块，用于采集并登记用户的特征信息，并对所述用户的特征信息进行预处理；

所述用户特征信息管理控制芯片，用于在用户特征信息采集子模块进行用户特征信息的采集时，控制用户特征信息的单向写入，并将用户特征信息存储在用户特征信息存储子模块的存储区域中进行本地存储，提供硬件级别的安全保护，确保经由用户特征信息采集子模块采集到的用户特征信息无法被其他模块访问获取读取，并且对用户特征信息采集子模块采集到的用户特征信息进行类型识别，并在识别出用户特征信息类型F_Type后，按照预设的提取策略对用户特征信息进行特征值提取，不同的特征值能够按照预设的规则进行组合形成一组特征值集合，所述用户特征信息管理控制芯片为每一组特征值集合分配唯一Fcode码；所述用户特征信息管理控制芯片还用于接收关键节点以外的其他节点或域外设备发送的用户特征信息，并将其与本地存储的用户特征信息进行相同维度标准的对比，若判断结果为一致，则输出验证结果B_code=01，否则B_code=00；

所述用户特征信息存储子模块，用于存储用户特征信息，设置有多个不同的存储区域，每个存储区域中又分配有多个存储单元，每个存储单元均具有唯一编号D_code并对应储存有用户特征信息的特征值；

所述用户特征信息识别验证子模块，用于接收并解析其他节点发送的生物特征信息以及Scode，并将其发送给用户特征信息管理控制芯片并获取B_code值，并当B_code=01时，更新Scode中的用户特征信息段；

所述信息处理模块，能够获取上游节点发送的绑定策略，并解析获取相对应的绑定策略，并利用预设的规则将Fcode与绑定指令信息形成映射关系，进而实现所述Fcode码能够与用户定制的具体的操作指令或操作指令集进行绑定，用于快速实现对物联网设备的精准访问控制；

所述中枢控制子系统存储模块，用于存储关键节点产生的除用户特征信息外的数据信息，并将其同步至中心节点并备份至备份节点；

所述中心节点为物联网中的数据汇聚处理中心，主要由服务器或服务器集群组成，直接与域内各个关键节点、上游节点以及部分下游节点相连，并为域内各节点提供算力支撑，所述中心节点为域内各个关键节点预先分配初始算力并能够根据各节点实时需求动态调整算力分配；同时为各级节点上传的同步数据进行存储；

所述上游节点为配置有能够对用户特征信息进行采集识别的智能终端设备，用户可以通过上游节点控制接入海量异构物联网设备的通用系统的外围接入设备，并利用终端设备上的适配软件可以实现包括用户特征信息、通用数据格式S_code等数据的发送，以及个性化设定绑定策略用于将用户特征信息与操作指令形成绑定指令信息；

所述下游节点作为域内底层节点部署在外围接入设备的邻近范围内，并与邻近范围内的接入设备进行绑定，能够发挥物联网智能网关的作用，使用中间件或抽象映射模型等行业内成熟的解决方案，消除异构设备之间由于设备类型、设备支持的控制指令及标准协议的不同而造成的异构设备之间无法实现信息交互的问题，能够实现与域外多种异构物联网设备的信息传递解析；所述下游节点还用于接收域内其他节点发送的通用数据格式S_code并将其解译为接入设备所能识别的数据指令与格式，随后发送至邻近范围内的接入设备，同时还可以接收并解析所述接入设备发送或反馈的数据，并将其转化为通用数据格式S_code传输给上层节点。

此外，还提出一种基于海量异构物联网设备的通用精准访问控制系统的身份验证方法，其特征在于，所述方法包括：

步骤S1，初始化某一用户G的用户特征信息，具体又包括：

步骤S1-1，用户G借助于上游节点或关键节点完成用户特征信息的采集录入，并对用户特征信息进行类型识别，并利用预设的提取策略对用户特征信息进行特征值提取，按照预设的规则对提取出的特征值进行组合形成特征值集合，并为每一组特征值集合均生成唯一Fcode码与之对应；

步骤S1-2，用户G选定其中一个Fcode码作为私钥；

步骤S2，利用数字签名技术对Scode信息进行验证，具体又包括：

步骤S2-1，用户G通过上游节点将Scode数据发送给关键节点时，先用哈希函数将Scode数据生成一段摘要 [Digest，Hash(Scode)]，然后将摘要 [Digest，Hash(Scode) - >DigestScode]用私钥加密生成数字签名[Digital Signature，Encrypt(DigestScode) - >SignatureScode],将SignatureScode附在Scode之后(SignatureScode + Scode)发送给关键节点；

步骤S2-2，关键节点在接收到消息之后先用用户的公钥解密数字签名[Decrypt(SignatureX)-> DigestX ]，若能顺利解密，则说明消息是用户G发送的；

步骤S2-3，随后关键节点再将MessageX Hash生成摘要[Hash(MessageX) – >DigestX2]，如果DigestX和DigestX2相等，则说明消息没有被修改过，即(MessageX ==Scode)，从而验证该文件确实是用户G发过来的且Scode内容是未经修改过的；

步骤S3，在确认用户G发送的Scode未经修改后，使用私钥对Scode信息进行解密，并提取Scode中包含的用户特征信息，并将其与关键节点本地存储的用户特征信息进行相同维度标准的对比，若判断结果为一致，则输出验证结果B_code=01时，执行步骤S4;，否则B_code=00，执行步骤S5；

步骤S4，通过验证，将Scode数据传输至目标节点，并将Scode数据同步上传至中心节点，所述中心节点还部署在使用区块链和加密技术来保护文件的、分散式点对点加密云存储平台上；

步骤S5，验证失败，将验证失败信息反馈给发送节点。

有益效果

本申请创新面向复杂开放城市服务的通用精准访问控制技术，通过统一域内节点信息交互格式，并在授权访问过程中采用非对称加密算法结合用户特征信息实现物联网域内外节点及设备间的精准访问控制技术，设计物联网设备通用访问控制机制，应对当前海量异构物联网设备开放端口需求和权限粗粒度问题，突破设备外部通信和内部资源的通用精准访问控制和对非授权访问的有效阻止难题。

具体而言与现有技术相比，本申请具备以下有益效果：

（1）通过采用非对称加密算法结合用户特征信息结合的方式设计物联网设备通用访问验证控制机制，应对当前海量异构物联网设备开放端口需求和权限粗粒度问题，突破设备外部通信和内部资源的通用精准访问控制和对非授权访问的有效阻止难题；

（2）针对域内节点之间的数据存储及访问控制环节，对于作为授权验证用途的用户特征信息等敏感性高、隐私性强的对安全性要求高的特殊数据，使用关键节点中的用户特征信息存储子模块对其进行本地隔离式存储，提供硬件级别的防护加固，避免特殊数据被其他节点非法访问和篡改；同时为了满足海量异构物联网设备数据交互对于低延迟、高并发的实际需求，对于访问频率高、复用性强的普通数据，除在数据所在节点进行数据存储外，还可同步至中心节点服务器进行云存储，以及在临近节点进行数据备份，同时用户可以依据实际防护需求对普通数据进行软件算法层面的加密防护；因此既能满足海量异构物联网设备的通用系统之间数据数据存储及访问控制的安全性要求，又能满足性能需求；

（3）针对数据传输保护环节，域内各节点之间采用Scode形式进行数据传输，能够确保域内各节点之间数据高效传递的同时有效避免数据被窃取或攻击，同时将关键节点作为上下游节点与中心节点之间进行数据验证的枢纽，只有在信息发送节点Scode中所携带的用户特征信息与关键节点本地存储的Fcode比对验证一致或Bcode=01时，方可通过验证继续并最终完成数据传输，否则验证失败中止信息传输；

（4）为了确保互联网的平稳运行，当某一关键节点无法提供服务时，为了提供稳定可靠的数据服务以保证业务的持续性，启动安全应急模式，在安全应急模式下，中心节点可以代替关键节点的部分功能，确保各级节点信息的正常传输，维持数据可用性；

（5）采用Scode形式同样可以满足数据监管的需求，可以通过解析时间信息段可以精准获取信息的产生时间，通过解析节点设备识别码信息段可以精准获取节点的类型及其固有属性，通过解析用户生物特征可以精准定位操控指令的发送者，通过解析节点设备IP地址信息段可以精准定位信息的发送地址，通过解析数据内容段可以精准获取信息的执行内容。

附图说明

图1为本申请结构示意图；

图2为本申请S_code标准字段组成；

图3为本申请域内外节点进行通信时所支持的多样化感知接入网通信技术。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

正如背景技术所介绍的，现有技术中存在的不足，为了解决如上的技术问题，本申请提出了一种海量异构物联网设备的通用精准访问控制系统及方法。

如图1所示，所述系统由域内节点和域外节点201组成，所述域内节点包括：下游节点101，关键节点102，中心节点103和上游节点104组成。

所述系统由域内节点与域外节点201共同组成，

其中，域内节点又分为上游节点104、关键节点102、中心节点103、下游节点101；域外节点201包括物联网外围接入设备；

引入通用数据格式S_code作为域内各节点之间信息数据传输的标准格式，所述通用数据格式S_code能够在所述海量异构物联网设备的通用精准访问控制系统域内各级节点设备之间进行信息交互时所采用的统一格式，其格式具体为：时间信息段+节点设备识别码信息段+用户特征信息段+节点设备IP地址信息段+指令信息段共5个字段组成；

所述关键节点102由中枢控制子系统组成，所述中枢控制子系统进一步由电源控制模块、用户特征信息控制管理模块、信息处理模块以及中枢控制子系统存储模块组成；

进一步，所述电源控制模块又分为主供电子模块和应急供电子模块：所述主供电子模块用于为中枢控制子系统各功能模块进行供电，并配备有主电池，优先采用外接电源进行供电，并在无法使用外接电源供电时使用主电池进行供电；所述应急供电子模块配备有备用电池用于应急供电，可与关键节点102主体设备进行离体连接，并在主体设备无外接电源且主电池电量到达预设阈值（用户可以根据自身需求进行设置，例如设置为10%，即当主电池电量为消耗至10%）时，或者关键节点102的主体设备无法提供服务时启动（例如离线或响应时长到达阈值时启动，用户同样可以自行设置），启动的同时一并激活安全应急模式，并激活授权指令向中心节点103进行授权，转移关键节点102的部分功能至中心节点103，由中心节点103代替关键节点102对各级节点进行数据传输和指令控制；参考图1，若当前关键节点启动安全应急模式时，此时无法借助存储于当前关键节点内的用户生物特征相关信息对包括S_code信息进行授权确权，为了维持与当前关键节点直接连接各级节点的正常运行，可以选择域内与当前关键节点连接的其他关键节点进行应急授权，以用户预设的备用访问授权方案进行授权，例如安全码以及传统的密码验证、短信验证、动态密码等形式；

所述用户特征信息采集子模块，用于采集并登记用户的特征信息，并对所述用户的特征信息进行预处理；预处理具体为将用户的特征信息进行标准化处理，例如当用户特征信息涉及传输的图像时，对图像进行数字化、归一化、几何变换、平滑、增强、降噪等；当用户特征信息涉及传输的声纹等音频信息时，对音频信息的优化降噪等处理；以及对相关电子认证信息的核实认证等；

所述用户特征信息管理控制芯片，用于在用户特征信息采集子模块进行用户特征信息的采集时，控制用户特征信息的单向写入，并将用户特征信息存储在用户特征信息存储子模块的存储区域中进行本地存储，提供硬件级别的安全保护，确保经由用户特征信息采集子模块采集到的用户特征信息无法被其他模块访问获取读取，并且对用户特征信息采集子模块采集到的用户特征信息进行类型识别，并在识别出用户特征信息类型F_Type后，按照预设的提取策略对用户特征信息进行特征值提取，不同的特征值能够按照预设的规则进行组合形成一组特征值集合，所述用户特征信息管理控制芯片为每一组特征值集合分配唯一Fcode码；所述用户特征信息管理控制芯片还用于接收关键节点102以外的其他节点或域外设备发送的用户特征信息，并将其与本地存储的用户特征信息进行相同维度标准的对比，若判断结果为一致，则输出验证结果B_code=01，否则B_code=00；

优选地，相同维度标准的对比，例如当用户特征信息为生物特征信息时，可以将生物特征信息与本地存储的的已知用户生物特征信息进行1:1比对验证和1:N的检索，仅当生物特征信息匹配即验证/检索成功；

所述信息处理模块，能够获取上游节点104发送的绑定策略，并解析获取相对应的绑定策略，并利用预设的规则将Fcode与绑定指令信息形成映射关系，进而实现所述Fcode码能够与用户定制的具体的操作指令或操作指令集进行绑定，用于快速实现对物联网设备的精准访问控制；

例如，F_code可以实现与具体的S_code信息直接进行绑定，由于S_code信息中包含有具体的节点信息和操作指令，当关键节点将S_code信息传递给下游节点时，接收到S_code信息的下游节点能够对其中的数据内容段信息进行提取，并将其中的操作执行信息转译传递给外围接入设备，实现对外围接入设备的精准操控，由于F_code值又直接对应于用户特征信息，因而用户可以通过自身的生物特征信息实现对物联网外围接入设备的精确操控；

需要说明的是，F_code还可以与多个S_code信息进行绑定，从而用户能够凭借其特征信息实现对多个外围接入设备的一系列操作指令集。

所述中枢控制子系统存储模块，用于存储关键节点102产生的除用户特征信息外的数据信息，并将其同步至中心节点103并备份至备份节点；

所述中心节点103为物联网中的数据汇聚处理中心，主要由服务器或服务器集群组成，直接与域内各个关键节点102、上游节点104以及部分下游节点101相连，并为域内各节点提供算力支撑，所述中心节点103为域内各个关键节点102预先分配初始算力并能够根据各节点实时需求动态调整算力分配；同时为各级节点上传的同步数据进行存储；

优选地，中心节点103中还可以包括公钥管理模块，能为域内用户分配公钥。

所述上游节点104为配置有能够对用户特征信息进行采集识别的智能终端设备，用户可以通过上游节点104控制接入海量异构物联网设备的通用系统的外围接入设备，并利用终端设备上的适配软件可以实现包括用户特征信息、通用数据格式S_code等数据的发送，以及个性化设定绑定策略用于将用户特征信息与操作指令形成绑定指令信息；

所述下游节点101作为域内底层节点部署在外围接入设备的邻近范围内，并与邻近范围内的接入设备进行绑定，能够发挥物联网智能网关的作用，使用中间件或抽象映射模型等行业内成熟的解决方案，消除异构设备之间由于设备类型、设备支持的控制指令及标准协议的不同而造成的异构设备之间无法实现信息交互的问题，能够实现与域外多种异构物联网设备的信息传递解析；所述下游节点101还用于接收域内其他节点发送的通用数据格式S_code并将其解译为接入设备所能识别的数据指令与格式，随后发送至邻近范围内的接入设备，同时还可以接收并解析所述接入设备发送或反馈的数据，并将其转化为通用数据格式S_code传输给上层节点。

步骤S1，初始化某一用户G的用户特征信息，具体又包括：

步骤S1-1，用户G借助于上游节点104或关键节点102完成用户特征信息的采集录入，并对用户特征信息进行类型识别，并利用预设的提取策略对用户特征信息进行特征值提取，按照预设的规则对提取出的特征值进行组合形成特征值集合，并为每一组特征值集合均生成唯一Fcode码与之对应；

步骤S1-2，用户G可以在上游节点中设定自己的公钥，或者通过中心节点中的公钥管理模块为用户G分配公钥，同时用户从步骤S1-1中获取的Fcode码中指定一个作为私钥；

步骤S2-1，用户G通过上游节点104将Scode数据发送给关键节点102时，先用哈希函数将Scode数据生成一段摘要 [Digest，Hash(Scode)]，然后将摘要 [Digest，Hash(Scode) - > DigestScode]用私钥加密生成数字签名[Digital Signature，Encrypt(DigestScode) - > SignatureScode],将SignatureScode附在Scode之后(SignatureScode + Scode)发送给关键节点102；

步骤S2-2，关键节点102在接收到消息之后先用用户的公钥解密数字签名[Decrypt(SignatureX)-> DigestX ]，若能顺利解密，则说明消息是用户G发送的；

步骤S2-3，随后关键节点102再将MessageX Hash生成摘要[Hash(MessageX) – >DigestX2]，如果DigestX和DigestX2相等，则说明消息没有被修改过，即(MessageX ==Scode)，从而验证该文件确实是用户G发过来的且Scode内容是未经修改过的；

步骤S3，在确认用户G发送的Scode未经修改后，使用私钥对Scode信息进行解密，并提取Scode中包含的用户特征信息，并将其与关键节点102本地存储的用户特征信息进行相同维度标准的对比，若判断结果为一致，则输出验证结果B_code=01时，执行步骤S4;，否则B_code=00，执行步骤S5；

步骤S4，通过验证，将Scode数据传输至目标节点，并将Scode数据同步上传至中心节点103，所述中心节点103还部署在使用区块链和加密技术来保护文件的、分散式点对点加密云存储平台上；

步骤S5，验证失败，将验证失败信息反馈给发送节点。

Claims

1.一种海量异构物联网设备的通用精准访问控制系统，其特征在于，所述系统具体包括：

所述系统由域内节点与域外节点共同组成，

域内各节点之间使用具有通用数据格式的S_code数据作为信息交互的基础，所述通用数据格式是指能够在所述海量异构物联网设备的通用精准访问控制系统域内各级节点设备之间进行信息交互时所采用的统一格式，S_code数据的通用数据格式具体为：时间信息段+节点设备识别码信息段+用户特征信息段+节点设备IP地址信息段+数据内容段共5个字段组成；

所述用户特征信息管理控制芯片，用于在用户特征信息采集子模块进行用户特征信息的采集时，控制用户特征信息的单向写入，并将用户特征信息存储在用户特征信息存储子模块的存储区域中进行本地存储，提供硬件级别的安全保护，确保经由用户特征信息采集子模块采集到的用户特征信息无法被其他模块访问获取读取，并且对用户特征信息采集子模块采集到的用户特征信息进行类型识别，并在识别出用户特征信息类型F_Type后，按照预设的提取策略对用户特征信息进行特征值提取，不同的特征值能够按照预设的规则进行组合形成一组特征值集合，所述用户特征信息管理控制芯片采用随机算法为每一组特征值集合分配唯一Fcode码；所述用户特征信息管理控制芯片还用于接收关键节点以外的其他节点或域外设备发送的用户特征信息，并将其与本地存储的用户特征信息进行相同维度标准的对比，若判断结果为一致，则输出验证结果B_code=01，否则B_code=00；

所述用户特征信息识别验证子模块，用于接收并解析其他节点发送的生物特征信息以及S_code，并将其发送给用户特征信息管理控制芯片并获取B_code值，并当B_code=01时，更新S_code中的用户特征信息段；

所述信息处理模块，能够获取上游节点发送的绑定策略，并解析获取相对应的绑定策略，并利用预设的规则将F_code与绑定指令信息形成映射关系，进而实现所述F_code码能够与用户定制的具体的操作指令或操作指令集进行绑定，用于快速实现对物联网设备的精准访问控制；

所述中心节点为物联网中的数据汇聚处理中心，主要由服务器或服务器集群组成，直接与域内各个关键节点、上游节点以及部分下游节点相连，并为域内各节点提供算力支撑，所述中心节点为域内各个关键节点预先分配初始算力并能够根据各节点实时需求动态调整算力分配；同时为各级节点上传的同步数据进行存储；同时所述中心节点还部署在去中心化的基于区块链的分布式云存储系统；

2.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统，其特征在于，

所述用户分为个人用户、企业级用户以及定制用户；

所述用户特征信息具体为表征用户身份特性的唯一指向型信息；

当所述用户为个人用户时，所述用户特征信息可以为用户个人的生物识别信息，包括但不限于指纹信息、虹膜信息、面部识别信息、掌纹信息或声纹信息中的一种或多种的组合；

当所述用户为企业级用户时，所述用户特征信息优选为企业认证信息，包括但不限于认证数字证书、电子公章、电子签名等企业权威电子认证信息中的一种或多种的组合；此外，企业级用户的用户特征信息同样也可以为企业负责人或授权人员的生物识别信息；

当所述用户为定制用户时，所述定制用户的用户特征信息优选为USB Key，其内存储定制用户的私钥以及数字证书，可以利用USB Key内置的公钥算法实现对用户身份的认证；

所述定制用户的用户特征信息还可以是上述生物识别信息、电子认证信息其中一种或多种的组合或者多个用户多种特征的组合。

3.根据权利要求2所述的海量异构物联网设备的通用精准访问控制系统，其特征在于，所述与本地存储的用户特征信息进行相同维度标准的对比，具体为：

当用户特征信息为生物特征信息时，可以将生物特征信息与本地存储的的已知用户生物特征信息进行1:1比对验证和1:N的检索，仅当生物特征信息匹配即对比成功。

4.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统，其特征在于，所述通用数据格式S_code中，所述时间信息段具体为能够提供不可篡改的准确时间的信息的数据段，优选为时间戳；所述节点设备识别码具体可以为IMEI、MEID、ESN、IDFA、IDF或设备的ID号等能够表征设备型号的识别码。

5.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统，其特征在于，当前关键节点启动安全应急模式时，为了维持与当前关键节点直接连接各级节点的正常运行，选择域内与当前关键节点连接的其他关键节点进行应急授权，以用户预设的备用访问授权方案进行授权，例如安全码以及传统的密码验证、短信验证、动态密码等形式。

6.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统，其特征在于，所述实现所述F_code码能够与用户定制的具体的操作指令或操作指令集进行绑定，用于快速实现对物联网设备的精准访问控制，具体为：将F_code与具体的S_code信息直接进行绑定，关键节点将此S_code信息传递给下游节点，接收到S_code信息的下游节点能够对其中的数据内容段信息进行提取，并将其中的操作执行信息转译传递给外围接入设备，实现对外围接入设备的精准操控。

7.根据权利要求6所述的海量异构物联网设备的通用精准访问控制系统，其特征在于，F_code还可以与多个S_code信息进行绑定，实现对多个外围接入设备的一系列操作指令集。

8.一种基于海量异构物联网设备的通用精准访问控制系统的身份验证方法，其特征在于，所述方法包括：

步骤S1，初始化某一用户G的用户特征信息，具体又包括：

步骤S5，验证失败，将验证失败信息反馈给发送节点。