1.一种海量异构物联网设备的通用精准访问控制系统,其特征在于,所述系统具体包括:
所述系统由域内节点与域外节点共同组成,其中,域内节点又分为上游节点、关键节点、中心节点、下游节点;域外节点包括物联网外围接入设备;
域内各节点之间使用具有通用数据格式的Scode数据作为信息交互的基础,所述通用数据格式是指能够在所述海量异构物联网设备的通用精准访问控制系统域内各级节点设备之间进行信息交互时所采用的统一格式,Scode数据的通用数据格式具体为:时间信息段+节点设备识别码信息段+用户特征信息段+节点设备IP地址信息段+数据内容段共5个字段组成;
所述关键节点由中枢控制子系统组成,所述中枢控制子系统进一步由电源控制模块、用户特征信息控制管理模块、信息处理模块以及中枢控制子系统存储模块组成;
进一步,所述电源控制模块又分为主供电子模块和应急供电子模块:所述主供电子模块用于为中枢控制子系统各功能模块进行供电,并配备有主电池,优先采用外接电源进行供电,并在无法使用外接电源供电时使用主电池进行供电;所述应急供电子模块配备有备用电池用于应急供电,可与关键节点主体设备进行离体连接,并在主体设备无外接电源且主电池电量到达预设阈值时,或者关键节点主体设备无法提供服务时启动,启动的同时一并激活安全应急模式,并激活授权指令向中心节点进行授权,转移关键节点的部分功能至中心节点,由中心节点代替关键节点对各级节点进行数据传输和指令控制;
进一步,所述用户特征信息控制管理模块由用户特征信息采集子模块、用户特征信息管理控制芯片、用户特征信息存储子模块以及用户特征信息识别验证子模块组成;
所述用户特征信息采集子模块,用于采集并登记用户的特征信息,并对所述用户的特征信息进行预处理;
所述用户特征信息管理控制芯片,用于在用户特征信息采集子模块进行用户特征信息的采集时,控制用户特征信息的单向写入,并将用户特征信息存储在用户特征信息存储子模块的存储区域中进行本地存储,提供硬件级别的安全保护,确保经由用户特征信息采集子模块采集到的用户特征信息无法被其他模块访问获取读取,并且对用户特征信息采集子模块采集到的用户特征信息进行类型识别,并在识别出用户特征信息类型FType后,按照预设的提取策略对用户特征信息进行特征值提取,不同的特征值能够按照预设的规则进行组合形成一组特征值集合,所述用户特征信息管理控制芯片采用随机算法为每一组特征值集合分配唯一Fcode码;所述用户特征信息管理控制芯片还用于接收关键节点以外的其他节点或域外设备发送的用户特征信息,并将其与本地存储的用户特征信息进行相同维度标准的对比,若判断结果为一致,则输出验证结果Bcode=01,否则Bcode=00;
所述用户特征信息存储子模块,用于存储用户特征信息,设置有多个不同的存储区域,每个存储区域中又分配有多个存储单元,每个存储单元均具有唯一编号Dcode并对应储存有用户特征信息的特征值;
所述用户特征信息识别验证子模块,用于接收并解析其他节点发送的生物特征信息以及Scode,并将其发送给用户特征信息管理控制芯片并获取Bcode值,并当Bcode=01时,更新Scode中的用户特征信息段;
所述信息处理模块,能够获取上游节点发送的绑定策略,并解析获取相对应的绑定策略,并利用预设的规则将Fcode与绑定指令信息形成映射关系,进而实现所述Fcode码能够与用户定制的具体的操作指令或操作指令集进行绑定,用于快速实现对物联网设备的精准访问控制;
所述中枢控制子系统存储模块,用于存储关键节点产生的除用户特征信息外的数据信息,并将其同步至中心节点并备份至备份节点;
所述中心节点为物联网中的数据汇聚处理中心,主要由服务器或服务器集群组成,直接与域内各个关键节点、上游节点以及部分下游节点相连,并为域内各节点提供算力支撑,所述中心节点为域内各个关键节点预先分配初始算力并能够根据各节点实时需求动态调整算力分配;同时为各级节点上传的同步数据进行存储;同时所述中心节点还部署在去中心化的基于区块链的分布式云存储系统;
所述上游节点为配置有能够对用户特征信息进行采集识别的智能终端设备,用户可以通过上游节点控制接入海量异构物联网设备的通用系统的外围接入设备,并利用终端设备上的适配软件可以实现包括用户特征信息、通用数据格式Scode等数据的发送,以及个性化设定绑定策略用于将用户特征信息与操作指令形成绑定指令信息;
所述下游节点作为域内底层节点部署在外围接入设备的邻近范围内,并与邻近范围内的接入设备进行绑定,能够发挥物联网智能网关的作用,使用中间件或抽象映射模型等行业内成熟的解决方案,消除异构设备之间由于设备类型、设备支持的控制指令及标准协议的不同而造成的异构设备之间无法实现信息交互的问题,能够实现与域外多种异构物联网设备的信息传递解析;所述下游节点还用于接收域内其他节点发送的通用数据格式Scode并将其解译为接入设备所能识别的数据指令与格式,随后发送至邻近范围内的接入设备,同时还可以接收并解析所述接入设备发送或反馈的数据,并将其转化为通用数据格式Scode传输给上层节点。
2.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,所述用户分为个人用户、企业级用户以及定制用户;
所述用户特征信息具体为表征用户身份特性的唯一指向型信息;
当所述用户为个人用户时,所述用户特征信息可以为用户个人的生物识别信息,包括但不限于指纹信息、虹膜信息、面部识别信息、掌纹信息或声纹信息中的一种或多种的组合;
当所述用户为企业级用户时,所述用户特征信息优选为企业认证信息,包括但不限于认证数字证书、电子公章、电子签名等企业权威电子认证信息中的一种或多种的组合;此外,企业级用户的用户特征信息同样也可以为企业负责人或授权人员的生物识别信息;
当所述用户为定制用户时,所述定制用户的用户特征信息优选为USB Key,其内存储定制用户的私钥以及数字证书,可以利用USB Key内置的公钥算法实现对用户身份的认证;
所述定制用户的用户特征信息还可以是上述生物识别信息、电子认证信息其中一种或多种的组合或者多个用户多种特征的组合。
3.根据权利要求2所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,所述与本地存储的用户特征信息进行相同维度标准的对比,具体为:当用户特征信息为生物特征信息时,可以将生物特征信息与本地存储的的已知用户生物特征信息进行1:1比对验证和1:N的检索,仅当生物特征信息匹配即对比成功。
4.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,所述通用数据格式Scode中,所述时间信息段具体为能够提供不可篡改的准确时间的信息的数据段,优选为时间戳;所述节点设备识别码具体可以为IMEI、MEID、ESN、IDFA、IDF或设备的ID号等能够表征设备型号的识别码。
5.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,当前关键节点启动安全应急模式时,为了维持与当前关键节点直接连接各级节点的正常运行,选择域内与当前关键节点连接的其他关键节点进行应急授权,以用户预设的备用访问授权方案进行授权,例如安全码以及传统的密码验证、短信验证、动态密码等形式。
6.根据权利要求1所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,所述实现所述Fcode码能够与用户定制的具体的操作指令或操作指令集进行绑定,用于快速实现对物联网设备的精准访问控制,具体为:将Fcode与具体的Scode信息直接进行绑定,关键节点将此Scode信息传递给下游节点,接收到Scode信息的下游节点能够对其中的数据内容段信息进行提取,并将其中的操作执行信息转译传递给外围接入设备,实现对外围接入设备的精准操控。
7.根据权利要求6所述的海量异构物联网设备的通用精准访问控制系统,其特征在于,Fcode还可以与多个Scode信息进行绑定,实现对多个外围接入设备的一系列操作指令集。
8.一种基于海量异构物联网设备的通用精准访问控制系统的身份验证方法,其特征在于,所述方法包括:
步骤S1,初始化某一用户G的用户特征信息,具体又包括:步骤S1‑1,用户G借助于上游节点或关键节点完成用户特征信息的采集录入,并对用户特征信息进行类型识别,并利用预设的提取策略对用户特征信息进行特征值提取,按照预设的规则对提取出的特征值进行组合形成特征值集合,并为每一组特征值集合均生成唯一Fcode码与之对应;
步骤S1‑2,用户G可以在上游节点中设定自己的公钥,或者通过中心节点中的公钥管理模块为用户G分配公钥,同时用户从步骤S1‑1中获取的Fcode码中指定一个作为私钥;
步骤S2,利用数字签名技术对Scode信息进行验证,具体又包括:步骤S2‑1,用户G通过上游节点将Scode数据发送给关键节点时,先用哈希函数将Scode数据生成一段摘要 [Digest,Hash(Scode)],然后将摘要 [Digest,Hash(Scode) ‑ > DigestScode]用私钥加密生成数字签名[Digital Signature,Encrypt(DigestScode) ‑ > SignatureScode],将SignatureScode附在Scode之后(SignatureScode + Scode)发送给关键节点;
步骤S2‑2,关键节点在接收到消息之后先用用户的公钥解密数字签名[Decrypt(SignatureX)‑> DigestX ],若能顺利解密,则说明消息是用户G发送的;
步骤S2‑3,随后关键节点再将MessageX Hash生成摘要[Hash(MessageX) – > DigestX2],如果DigestX和DigestX2相等,则说明消息没有被修改过,即(MessageX == Scode),从而验证该文件确实是用户G发过来的且Scode内容是未经修改过的;
步骤S3,在确认用户G发送的Scode未经修改后,使用私钥对Scode信息进行解密,并提取Scode中包含的用户特征信息,并将其与关键节点本地存储的用户特征信息进行相同维度标准的对比,若判断结果为一致,则输出验证结果Bcode=01时,执行步骤S4;,否则Bcode=00,执行步骤S5;
步骤S4,通过验证,将Scode数据传输至目标节点,并将Scode数据同步上传至中心节点,所述中心节点还部署在使用区块链和加密技术来保护文件的、分散式点对点加密云存储平台上;
步骤S5,验证失败,将验证失败信息反馈给发送节点。