(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111406046.X (22)申请日 2021.11.24 (65)同一申请的已公布的文献号 申请公布号 CN 113987465 A (43)申请公布日 2022.01.28 (66)本国优先权数据 202110951316.9 2021.08.18 CN (73)专利权人 齐鲁工业大学 地址 250353 山东省济南市长清区大 学路 3501号 (72)发明人 韩玉冰　禹继国　董安明　赵桂新　 张丽　刘晓慧　 (74)专利代理 机构 上海迎向知识产权代理事务 所(普通合伙) 31439 专利代理师 李芳芳 (51)Int.Cl. G06F 21/45(2013.01)G06F 21/32(2013.01) G06F 21/62(2013.01) G06F 21/64(2013.01) G06F 21/60(2013.01) G06F 21/78(2013.01) G06F 11/14(2006.01) H04L 9/40(2022.01) H04L 67/12(2022.01) H04L 67/1097(2022.01) G16Y 30/10(2020.01) G16Y 40/50(2020.01) (56)对比文件 WO 20201 15002 A1,2020.0 6.11 CN 110601844 A,2019.12.20 US 2020404023 A1,2020.12.24 审查员 邢爽 (54)发明名称 一种海量异构物联网设备的通用精准访问 控制系统及方法 (57)摘要 本发明属于物联网和 信息安全技术领域， 公 开了一种物联网海量异构物联网设备的通用精 准访问控制技术， 通过采用非对称加密算法结合 用户特征信息结合的方式设计物联网设备通用 访问验证控制机制， 并引入Scode作为域内节点信 息交互的通用数据格式， 能够确保域内各节点之 间数据高效传递的同时有效避免数据被窃取或 攻击， 并可以应对当前海量异构物联网设备开放 端口需求和权限粗粒度问题， 突破设备外部通信 和内部资源的通用精准访问控制和对非授权访 问的有效阻止难题。 权利要求书4页 说明书7页 附图2页 CN 113987465 B 2022.05.17 CN 113987465 B 1.一种海量异构物联网设备的通用精准访问控制系统， 其特征在于， 所述系统由域内 节点与域外节点共同组成， 其中， 域内节点又分为上游节点、 关键节点、 中心节点、 下游节点； 域外节点包括物联网 外围接入设备； 域内各节点之间使用具有通用数据格式的Scode数据作为信息交互的基础， 所述通用数 据格式是指能够在所述海量异构物联网设备的通用精准访问控制系统域内各级节点设备 之间进行信息交互时所采用的统一格式， Scode数据的通用数据 格式具体为： 时间信息段+节 点设备识别码信息段+用户特征信息段+节点设备IP地址信息段+数据内容段共5个字段组 成； 所述关键节点由中枢控制子系统组成， 所述中枢控制子系统进一步由 电源控制模块、 用户特征信息控制管理模块、 信息处 理模块以及中枢 控制子系统存 储模块组成； 进一步， 所述电源控制模块又分为主供电子模块和应急供电子模块： 所述主供电子模 块用于为中枢控制 子系统各功能模块进行供电， 并配备有主电池， 优先采用外接电源进行 供电， 并在无法使用外接电源供电时使用主电池进行供电； 所述应急供电子模块配备有备 用电池用于应急供电， 可与关键节点主体设备进行离体连接， 并在主体设备无外接电源且 主电池电量到达预设阈值时， 或者关键节点主体设备无法提供服务时启动， 启动的同时一 并激活安全应急模式， 并激活授权指令 向中心节点进行授权， 转移关键节点的部分功能至 中心节点， 由中心 节点代替关键节点对各级节点进行 数据传输和指令控制； 进一步， 所述用户特征信息控制管理模块由用户特征信息采集子模块、 用户特征信息 管理控制芯片、 用户特 征信息存 储子模块以及用户特 征信息识别验证子模块组成； 所述用户特征信息采集子模块， 用于采集并登记用户的特征信息， 并对所述用户的特 征信息进行 预处理； 所述用户特征信 息管理控制芯片， 用于在用户特征信 息采集子模块进行用户特征信 息 的采集时， 控制用户特征信息的单向写入， 并将用户特征信息存储在用户特征信息存储子 模块的存储区域中进行本地存储， 提供硬件级别的安全保护， 确保经 由用户特征信息采集 子模块采集到的用户特征信息无法被其他模块访问获取读取， 并且对用户特征信息采集子 模块采集到的用户特征信息进行类型识别， 并在识别出用户特征信息类型FType后， 按照预 设的提取策略对用户特征信息进 行特征值提取， 不同的特征值能够按照预设的规则进 行组 合形成一组特征值集合， 所述用户特征信息管理控制芯片采用随机算法为每一组特征值集 合分配唯一编码 Fcode； 所述用户特征信息管理控制芯片还用于接收关键节点以外的其他节 点或域外设备发送的用户特征信息， 并将其与本地存储的用户特征信息进 行相同维度标准 的对比， 若判断结果 为一致， 则输出验证结果Bcode=01， 否则Bcode=00； 所述用户特征信 息存储子模块， 用于存储用户特征信息， 设置有多个不同的存储区域， 每个存储区域中又分配有多个存储单元， 每个存储单元均具有唯一编号Dcode并对应储存有 用户特征信息的特 征值； 所述用户特征信 息识别验证子模块， 用于接收并解析其他节点发送的生物特征信 息以 及Scode， 并将其发送给用户特征信息管理控制芯片并获取Bcode值， 并当Bcode=01时， 更新Scode 中的用户特 征信息段； 所述信息处理模块， 能够获取上游节点发送的绑定策略， 并解析获取相对应的绑定策权　利　要　求　书 1/4 页 2 CN 113987465 B 2略， 并利用预设的规则将Fcode与绑定指令信息形成映射关系， 进而实现所述Fcode能够与用户 定制的具体的操作指 令或操作指令集进行绑定， 用于快速实现对物联网设备的精准访问控 制； 所述中枢控制子系统存储模块， 用于存储关键节点产生的除用户特征信 息外的数据信 息， 并将其同步至中心 节点并备份至备份节点； 所述中心节点为物联网中的数据汇聚处理中心， 主要由服务器或服务器集群组成， 直 接与域内各个关键节点、 上游节点以及部 分下游节点相连， 并为域内各节点提供算力支撑， 所述中心节点为域内各个关键节点预先分配初始算力并能够根据各节点实时需求动态调 整算力分配； 同时为各级节点上传的同步数据进行存储； 同时所述中心节点还部署在去中 心化的基于区块链的分布式云存 储系统； 所述上游节点为配置有能够对用户特征信 息进行采集识别的智能终端设备， 用户可以 通过上游节点控制接入海量异构物联网设备的通用系统的外围接入设备， 并利用终端设备 上的适配软件可以实现用户特征信息、 通用数据格式Scode数据的发送， 以及个性化设定绑 定策略以用于将用户特 征信息与操作指令形成绑定指令信息； 所述下游节点作为域内底层节点部署在外围接入设备的邻 近范围内， 并与邻 近范围内 的接入设备进行绑定， 能够发挥物联网智能网关的作用， 使用中间件或抽象映射模型行业 内成熟的解决方案， 消除异构设备之间由于设备类型、 设备支持的控制指令及标准协议的 不同而造成的异构设备之 间无法实现信息交互的问题， 能够实现与域外多种异构物联网设 备的信息传递解析； 所述下游节点还用于接收域内其他节点发送的通用数据 格式Scode并将 其解译为接入设备所能识别的数据指令与格式， 随后 发送至邻近范围内的接入设备， 同时 还可以接收并解析所述接入设备发送或反馈的数据， 并将其转化为通用数据 格式Scode传输 给上游节点。 2.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统， 其特 征在于， 所述用户分为个人用户、 企业级用户以及定制用户； 所述用户特 征信息具体为表征用户身份特性的唯一指向型信息； 当所述用户为个人用户时， 所述用户特征信息可以为用户个人的生物识别信息， 包括 但不限于指纹信息、 虹膜信息、 面部识别信息、 掌纹信息或声纹信息中的一种或多种的组 合； 当所述用户为企业级用户时， 所述用户特征信息可以为企业认证信息， 包括但不 限于 认证数字证书、 电子公章、 电子签名中的一种或多种的组合； 此外， 企业级用户的用户特征 信息同样也可以为企业负责人或授权人员的生物 识别信息； 当所述用户为定制用户时， 所述定制用户的用户特征信息可以为USB  Key， 其内存储定 制用户的私钥以及数字证书， 可以利用USB  Key内置的公钥算法实现对用户身份的认证； 所述定制用户的用户特征信 息还可以是上述生物识别信 息、 企业认证信 息其中一种或 多种的组合或者多个用户多种特 征的组合。 3.根据权利要求2所述的海量异构物联网设备的通用精准访问控制系统， 其特征在于， 所述与本地存 储的用户特 征信息进行相同维度标准的对比， 具体为： 当用户特征信 息为生物特征信 息时， 可以将生物特征信 息与本地存储的已知用户生物 特征信息进行1:1比对 验证和1:N的检索， 仅当生物特 征信息匹配即对比成功。权　利　要　求　书 2/4 页 3 CN 113987465 B 3