[发明专利]一种访问控制系统及其进行访问控制的方法

权利要求书

1.一种访问控制系统，应用于物联网中，包括：一个或多个物联网网关；

其特征在于，还包括：

中央访问控制器，用于当收到一物联网网关的入网申请后，判断该物联网网关能否加入本访问控制系统；如果能则保存该物联网网关的标识，创建一份对应于该物联网网关的访问控制信息，保存该访问控制信息并推送给该物联网网关；

所述物联网网关用于在初次连入物联网时，向所述中央访问控制器上报入网申请；当从中央访问控制器接收到访问控制信息时，保存该访问控制信息；当收到业务请求时，根据所保存的访问控制信息判断是否允许该业务请求；如果允许则执行该业务请求。

2.如权利要求1所述的系统，其特征在于：

所述中央访问控制器还用于在更新访问控制信息后，将更新后的访问控制信息推送给该访问控制信息所对应的物联网网关。

3.如权利要求1所述的系统，其特征在于：

所述访问控制信息为一访问控制列表，至少包括所述中央访问控制器的标识；还包括零个、一个或多个业务请求方的标识；

所述物联网网关根据所述访问控制信息判断是否允许该业务请求是指：

所述物联网网关判断发起该业务请求的业务请求方的标识是否存在于所述访问控制列表中；如果是，则判断该业务请求被允许；否则判断该业务请求不被允许。

4.如权利要求1所述的系统，其特征在于：

所述访问控制信息为一访问控制列表，至少包括所述中央访问控制器的标识；还包括零个、一个或多个业务请求方的标识；当包括一个或一个以上的业务请求方的标识时，还包括各业务请求方对应的操作权限；

所述物联网网关根据所述访问控制信息判断业务请求是否被允许是指：

所述物联网网关判断发起该业务请求的业务请求方的标识是否存在于所述访问控制列表中；如果是，则判断该业务请求是否匹配该业务请求方对应的操作权限；如果匹配，则判断该业务请求被允许；如果业务请求方的标识不在访问控制列表中、或业务请求不匹配操作权限，则判断该业务请求不被允许。

5.如权利要求1所述的系统，其特征在于：

所述物联网网关上报的入网申请中携带申请信息；所述申请信息至少包括该物联网网关的规格说明书；

所述中央访问控制器判断该物联网网关能否加入本访问控制系统是指：

所述中央访问控制器对物联网网关进行身份检查和匹配检查，如果物联网网关通过身份检查和匹配检查，则判断物联网网关能加入本访问控制系统；否则，判断物联网网关不能加入本访问控制系统；

所述身份检查是指检查提交的申请信息是否合法且真实，如果合法且真实，则通过身份检查；否则，未通过身份检查；

所述匹配检查是检查物联网网关是否满足本访问控制系统预设的运营策略需求和标准规范，如果满足，则通过匹配检查；否则，未通过匹配检查。

6.一种如权利要求1所述的访问控制系统进行访问控制的方法，应用在物联网中，其特征在于，所述方法包括：

物联网网关在初次连入物联网时，向中央访问控制器上报入网申请；

所述中央访问控制器当收到一物联网网关的入网申请后，判断该物联网网关能否加入本访问控制系统；如果能则根据保存该物联网网关的标识，为该物联网网关创建一份对应于该物联网网关的访问控制信息，保存该访问控制信息并推送给该物联网网关；

所述物联网网关接收所述访问控制信息并保存；

所述物联网网关当收到业务请求时，根据所保存的访问控制信息判断是否允许该业务请求；如果允许则执行该业务请求。

7.如权利要求6所述的方法，其特征在于，还包括：

所述中央访问控制器更新访问控制信息，将更新后的访问控制信息推送给该访问控制信息所对应的物联网网关。

8.如权利要求6所述的方法，其特征在于：

所述访问控制信息为一访问控制列表，至少包括所述中央访问控制器的标识；还包括零个、一个或多个业务请求方的标识；

所述物联网网关根据所述访问控制信息判断是否允许该业务请求的步骤包括：

物联网网关获取发起该业务请求的业务请求方的标识；

物联网网关判断所获取的标识是否存在于所述访问控制列表中；

如果是，则所述物联网网关判断该业务请求被允许；否则所述物联网网关判断该业务请求不被允许。