物联网系统、物联网设备访问方法、访问授权方法及设备

摘要

本发明提供一种物联网系统中物联网设备的访问授权方法，所述物联网包括多个物联网设备，包括：对登录凭证进行验证；当所述登录凭证通过验证时，生成与所述登录凭证对应的访问权限码，所述访问权限码对应于所述登录凭证权限内所有物联网设备；向授权服务器发送令牌请求，所述令牌请求包括所述访问权限码；接收所述授权服务器生成的对应于所述令牌请求的令牌，根据所述令牌能够访问所述登录凭证权限内的所有物联网设备。

说明书

技术领域

本发明涉及物联网领域，具体地，涉及一种物联网系统中物联网设备的访问授权方法、执行该访问授权方法的访问授权设备、物联网系统中物联网设备的访问方法、和一种物联网系统。

背景技术

目前，物联网在很多领域(例如，医疗、交通、家居等领域)都得到了广泛的应用，每个物联网中都包括多个物联网设备。用户可以通过物联网设备与厂商通信，以解决一些问题。例如，当用户正在使用的物联网设备发生故障时，可以通过物联网向厂商反应，而厂商的管理员需要远程访问物联网设备。为了保障安全性，管理员每登录一个物联网设备都需要进行一次验证，降低了处理效率。

因此，如何提高物联网中的数据处理效率成为本领域接待解决的技术问题。

发明内容

本发明的目的在于提供一种物联网系统中物联网设备的访问授权方法、执行该访问授权方法的访问授权设备、物联网系统中物联网设备的访问方法、和一种物联网系统。所述访问授权方法可以提高物联网中的数据处理效率。

为了实现上述目的，作为本发明的一个方面，提供一种物联网系统中物联网设备的访问授权方法，所述物联网包括多个物联网设备，其中，所述访问授权方法包括：

对登录凭证进行验证；

当所述登录凭证通过验证时，生成与所述登录凭证对应的访问权限码，所述访问权限码对应于所述登录凭证权限内所有物联网设备；

向授权服务器发送令牌请求，所述令牌请求包括所述访问权限码；

接收所述授权服务器生成的对应于所述令牌请求的令牌，根据所述令牌能够访问所述登录凭证权限内的所有物联网设备。

优选地，所述访问授权方法还包括：

根据接收到的登录信息生成登录凭证。

作为本发明的第二个方面，提供一种物联网系统中物联网设备的访问授权设备，所述物联网系统还包括多个物联网设备，所述访问授权设备包括设备管理装置、认证服务器和授权服务器；

所述设备管理装置用于将登陆凭证发送至所述认证服务器；

所述认证服务器用于对接收到的登陆凭证进行验证，且所述认证服务器还用于在所述登陆凭证验证通过时生成访问权限码，并将所述访问权限码发送至所述设备管理装置，所述访问权限码对应于所述登录凭证能够访问的所有物联网设备；

所述设备管理装置还用于根据所述访问权限码生成令牌请求，并将所述令牌请求发送至所述授权服务器；

所述授权服务器用于根据所述令牌请求生成令牌，并将所述令牌发送至所述设备管理装置，其中，根据所述令牌能够访问所述登录凭证权限内所有物联网设备。

优选地，所述设备管理装置用于接收登录信息，并根据登录信息生成相应的登录凭证。

作为本发明的第三个方面，提供一种物联网系统中物联网设备的访问方法，所述物联网系统包括网关和多个所述物联网设备，其中，所述访问方法包括：

获取令牌，包括根据本发明所提供的上述访问授权方法获取所述令牌；

所述访问方法还包括：

在访问所述令牌权限内的任意一个所述物联网设备时，向待访问的物联网设备对应的网关发送所述令牌和访问指令；以及

当所述令牌验证通过后，控制所述网关将所述访问指令发送至所述物联网设备。

优选地，所述访问方法包括在获取令牌的步骤和向待访问的物联网设备对应的网关发送所述令牌的步骤之间进行的：

获取发送服务请求的物联网设备的信息；

根据发送服务请求的物联网的设备信息生成所述访问指令，其中，所述访问指令包括对应于所述服务请求的服务请求应答信息。

优选地，所述物联网设备的信息包括会话密钥、会话密钥索引值、所述物联网设备的设备ID和与该物联网设备对应的网关的地址，根据所述物联网的设备信息生成所述访问指令的步骤包括：

获取所述服务请求的会话密钥以及会话密钥索引值；

根据获取到的会话密钥以及会话密钥索引值对所述服务请求进行解码；

根据解码后的服务请求生成所述访问指令，所述访问指令包括所述物联网设备的设备ID、所述会话密钥索引值、所述令牌和所述服务请求应答信息。

优选地，所述访问指令包括回呼请求信息，所述回呼请求信息包括所述令牌、所述物联网设备的信息和回呼服务编号，所述物联网设备的信息包括物联网设备的设备ID和与该物联网设备对应的网关的地址，所述访问方法包括在获取令牌的步骤和向待访问的物联网设备对应的网关发送所述令牌的步骤之间进行的：

发送获取待访问的物联网设备的信息的请求信息，所述请求信息包括待访问的物联网设备的信息和所述令牌；

对所述令牌进行验证，当所述令牌通过验证时，返回待访问的所述物联网设备的信息。作为本发明的第三个方面，提供一种物联网系统，所述物联网系统包括网关和多个物联网设备，其特征在于，所述物联网系统还包括本发明所提供的上述访问授权设备以及客户服务装置，其中，

所述设备管理装置还用于向待访问的物联网设备对应的网关发送所述令牌，并且所述设备管理装置还用于向所述网关发送所述处理指令，

所述网关用于在接收到所述令牌后，将所述令牌发送至所述授权服务器，所述授权服务器用于在接收到所述令牌后对所述令牌进行验证；

所述客户服务装置用于接收到所述令牌后对所述令牌进行验证，并且，所述客户服务装置还用于接收并存储所述物联网设备发送的信息，以及用于对查询请求进行响应。

优选地，所述设备管理装置包括密钥获取模块、解码模块和处理指令生成模块，所述密钥获取模块用于获取所述请求中的会话密钥以及会话密钥索引值，所述解码模块用于根据所述密钥获取模块获得的所述会话密钥以及所述会话密钥索引值对所述请求进行解码，所述处理指令生成模块用于根据解码后的请求生成所述处理指令。

在对物联网进行管理时，根据管理员权限的不同，该管理员能够访问的物联网设备的数量以及地址也不同。每个管理员具有一个登录凭证，因此，每个登录凭证所对应的物联网的数量及地址也不同。在本发明中，访问权限码对应于所述登录凭证能够访问的所有物联网设备。所述令牌是由授权服务器生成的，由于所述令牌请求中包括所述访问权限码，因此，所述令牌具有访问所述访问权限码权限内所有物联网设备的权限。管理员在通过物联网获取到所述令牌后，可以利用令牌访问该管理员权限范围内的所有互联网设备。当接收到物联网设备发送的请求(例如，服务请求、回呼请求等)后，管理员仅需要利用设备管理系统将令牌发送至物联网设备进行验证即可，无需重复登录，从而提高了处理物联网设备请求的效率。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。在附图中：

图1是本发明所提供的物联网系统中物联网设备的访问授权方法的流程图；

图2是本发明所提供的访问授权设备执行所述访问授权方法的流程图；

图3是物联网设备的服务请求流程图；

图4是本发明所提供的访问方法的流程图；

图5是本发明所提供的物联网系统的示意图；

图6是本发明所提供的物联网系统执行访问方法的一种实施例的示意图；

图7是本发明所提供的物联网系统执行访问方法的另一种实施例的示意图。

附图标记说明

210：设备管理装置 220：认证服务器

230：授权服务器 310：客户服务装置

410：设备管理装置 510：网关

520：物联网设备

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

实施例1

本发明实施例1提供一种物联网系统中物联网设备的访问授权方法，所述物联网包括多个物联网设备，其中，如图1所示，所述访问授权方法包括：

在步骤S110中，对登录凭证进行验证；

在步骤S120中，当所述登录凭证通过验证时，生成与所述登录凭证对应的访问权限码，所述访问权限码对应于所述登录凭证能够访问的所有物联网设备；

在步骤S130中，向授权服务器发送令牌请求，所述令牌请求包括所述访问权限码；

在步骤S140中，接收所述授权服务器生成的对应于所述令牌请求的令牌。

在对物联网进行管理时，根据管理员权限的不同，该管理员能够访问的物联网设备的数量以及地址也不同。每个管理员具有一个登录凭证，因此，每个登录凭证所对应的物联网的数量及地址也不同。在本发明中，访问权限码对应于所述登录凭证能够访问的所有物联网设备。所述令牌是由授权服务器生成的，由于所述令牌请求中包括所述访问权限码，因此，所述令牌具有访问所述访问权限码权限内所有物联网设备的权限。管理员在通过物联网获取到所述令牌后，可以利用令牌访问该管理员权限范围内的所有互联网设备。当接收到物联网设备发送的请求(例如，服务请求等)后，管理员仅需要利用设备管理系统将令牌发送至物联网设备进行验证即可，无需重复登录，从而提高了处理物联网设备请求的效率。

在本发明中，对如何生成登录凭证并没有特殊的要求，例如，可以在接收到管理员输入的登录信息后生成登录凭证。即，所述访问授权方法还包括在步骤S110之前进行的：

在步骤S100中，根据接收到的登录信息生成登录凭证。

登录信息是由管理员手动输入的，例如，登录信息包括管理员的用户名、用户密码、验证码等信息。

在本发明中，步骤S100和步骤S110都是由设备管理系统所执行的。即，管理员通过输入设备(例如，键盘、触摸屏等)将登录信息输入至登录界面中，设备管理系统会根据该登录信息生成登录凭证，并对该登录凭证进行验证。验证的主要内容为，验证该登录凭证是否合法。当所述登录凭证通过验证时，表明该登录凭证是合法的。由于所述登录凭证是合法的，因此，在步骤S130中接收到的令牌能够作为登录管理员权限范围内所有物联网设备的合法凭证。

实施例2

在本发明实施2中，提供一种物联网系统中物联网设备的访问授权设备，所述物联网系统包括多个物联网设备，所述访问授权设备用于执行本发明实施例1所提供的上述访问授权方法。具体地，如图2所示，所述访问授权设备包括设备管理装置210、认证服务器220和授权服务器230。

设备管理装置210用于执行步骤S110，即，设备管理装置210用于将登陆凭证发送至认证服务器220。

认证服务器220用于执行步骤S120，即，认证服务器220用于对接收到的登陆凭证进行验证，且认证服务器220还用于在所述登陆凭证验证通过时生成访问权限码，并将所述访问权限码发送至设备管理装置210，所述访问权限码对应于所述登录凭证能够访问的所有物联网设备。

设备管理装置210还用于执行步骤S130，即，设备管理装置210还用于根据所述访问权限码生成令牌请求，并将所述令牌请求发送至授权服务器230。

授权服务器230用于执行步骤S140，即，授权服务器用于根据所述令牌请求生成令牌，并将所述令牌发送至设备管理装置210，其中，根据所述令牌能够访问所述登录凭证能够方法的所有物联网设备。

在本发明实施例1中已经详细描述了物联网的访问授权方法的工作原理以及有益效果，因此，这里不再一一赘述。

如上文中所述，优选地，设备管理装置210还用于接收登录信息，并根据登录信息生成相应的登录凭证。

实施例3

作为本发明的第三个方面，提供一种物联网系统中物联网设备的访问方法。

所述物联网系统包括网关和多个物联网设备，其中，如图4所示，所述访问方法包括：

在步骤S310中，获取令牌，该获取令牌的步骤包括根据本发明所提供的上述访问授权方法获取令牌。

所述访问方法还包括：

在步骤S320中，在访问所述令牌权限内的任意一个所述物联网设备时，向待访问的物联网设备对应的网关发送所述令牌和访问指令；以及

在步骤S330中，当所述令牌验证通过后，控制所述网关将所述访问指令发送至所述物联网设备。

在本实施例中所提供的访问方法中，仅执行一次步骤S310。步骤S320和步骤S330可以执行多次。

如上文中所述，利用所述访问授权方法获得的令牌能够访问该令牌对应的登录凭证访问权限内所有的物联网设备，因此，当访问多个物联网设备时，仅需要登录一次获得所述令牌即可。在后续的访问过程中，只需要将所述令牌发送至网关进行验证即可，不需要重复输入登录信息，从而简化了维护方法，降低了对物联网设备进行维护的时间成本。

在本发明中，所述访问指令可以是主动访问物联网设备的指令(例如，信息采集指令)，也可以是被动访问指令，(例如，维修指令)，这里不做特殊的限制。

容易理解的是，当所述令牌通过验证后，控制所述网关将所述访问指令发送至相应的物联网设备，以根据所述访问指令访问所述物联网设备。

如上文中所述，本发明所提供的访问指令可以是主动访问所述物联网设备的访问指令，也可以是被动访问所述物联网设备的访问指令。下面分别结合实施例4和实施例5对这两种场景进行详细的描述

实施例4

在本实施例中，所述访问指令为被动访问指令，即，所述物联网设备主动发起服务请求，根据所述服务请求对该发起服务请求的物联网设备进行访问。相应地，所述访问方法包括在步骤S310和步骤S320之间进行的以下步骤：

获取发送服务请求的物联网设备的信息；

根据发送服务请求的物联网的设备信息生成所述访问指令，其中，所述访问指令包括对应于所述服务请求的服务请求应答信息。

在利用本发明实施例所提供的方法时，如物联网设备主动发起服务请求(例如，维护请求)，该服务请求中包括发送该请求的物联网设备的信息。因此，管理员通过所述设备管理装置接收到所述请求后，可以获取到发送所述请求的物联网设备的信息，并生成相应的服务请求应答信息。

随后，将所述服务请求应答信息以及所述令牌发送至相应的网关。此时，管理员无需重新登录，在通过网关访问相应的物联网设备时，只需要发送令牌即可。当令牌验证通过时，所述网关将所述服务请求应答信息转发至相应的物联网设备，以对所述物联网设备进行相应的服务。并且，利用本实施例所提供的访问方法可以降低维护成本。

在本发明中，对服务请求的具体格式并没有特殊的要求，并且，对物联网设备如何发送所述服务请求也没有特殊的要求。下面结合图3介绍一种安全性能较高的服务请求发送方法：

步骤1、物联网设备520向网关510发送一条会话密钥信息，该会话密钥信息包括该物联网设备的ID(例如，设备串号)、使用主密钥MK加密的会话密钥信息(SK+随机数N)以及客户服务装置的地址信息，其中，N可以为时间戳，随机数N可以避免重复攻击。

步骤2、网关510从收到的会话密钥信息中获取客户服务装置310的地址，将IoT网络环境信息解析为互联网网络环境的信息，将服务请求信息转发给客户服务装置310。

步骤3、客户服务装置310根据服务请求信息中的物联网设备520的ID取得相应的设备主密钥MK(客户服务装置中存储了物联网设备的ID以及各个物联网设备的ID所对应的主密钥MK)，随后客户服务装置310将利用主密钥MK加密的信息进行解密，得到会话密钥SK和随机数N，客户服务装置310存储所述会话密钥SK，并为该会话密钥SK设置会话密钥索引值。

步骤4、客户服务装置310对接收到的随机数N加1，然后使用会话密钥SK对信息进行加密，得到加密信息，随后所述客户服务装置将物联网设备的ID、会话密钥索引值、加密信息作为会话密钥应答信息发送给网关510。

步骤5、网关510接收到所述应答信息后，将物联网设备520的ID与会话密钥索引值进行一一对应的存储(即，一个物联网设备的ID对应一个会话密钥索引值)。在之后的传输过程中，通过会话密钥索引值即可对应到相应的物联网设备，因此，不需要再发送物联网设备的ID，网关510将互联网网络环境的信息解析为IoT网络环境的信息，然后将信息转发给物联网设备520。

步骤6、物联网设备520接收到信息后，将信息进行解密，验证随机数N+1，说明收到的信息来自客户服务装置310。物联网设备520将服务请求和新的随机数进行加密，得到加密信息，将会话密钥索引值、加密信息、客户服务装置310地址作为服务请求发送给网关510。

步骤7、网关510从接收到的服务请求中读取客户服务装置310的地址，将IoT网络环境的信息解析为互联网网络环境的信息，将服务请求信息转发给客户服务装置310。

所述服务请求信息可以是激活请求信息、维修请求信息或者其他服务请求信息。

相应地，所述物联网设备的信息包括所述服务请求对应的会话密钥、会话密钥索引值、所述物联网设备的设备ID和与该物联网设备对应的网关的地址，根据所述物联网的设备信息生成所述访问指令的步骤包括的步骤包括：

获取所述服务请求中的会话密钥以及会话密钥索引值；

根据获取到的会话密钥以及会话密钥索引值对所述服务请求进行解码；

根据解码后的服务请求生成所述访问指令，所述访问指令包括所述物联网设备的设备ID、所述会话密钥索引值、所述令牌和所述服务请求应答信息。其中，所述服务请求应答信息为加密信息。

在本实施例中，网关可以对所述令牌进行验证。当验证通过时，所述网关将所述服务请求应答信息转发至所述物联网设备，所述物联网设备对所述服务请求应答信息进行解码，并执行相应的操作。由于所述会话密钥索引值是与物联网设备的ID相对应的，因此，在本发明所提供的方法访问方法中，物联网设备的ID并未出现在通信过程中，从而提高了访问的安全性。

实施例5

在本实施例中，由管理员主动发起访问请求。作为一种具体实施方式，所述访问指令可以包括回呼请求，通过所述回呼请求可以采集相应物联网设备的信息。所述回呼请求信息包括所述令牌、所述物联网设备的信息和回呼服务编号。此处的物联网设备的信息包括该物联网设备的设备ID和与该物联网设备对应的网关的地址。

具体地，所述访问指令包括所述令牌、所述物联网设备的信息和回呼服务编号。

相应地，所述访问方法还可以包括在步骤S310和步骤S320之间进行的：

发送获取待访问的物联网设备的信息的请求信息，所述请求信息包括待访问的物联网设备的信息和所述令牌；

对所述令牌进行验证，当所述令牌通过验证时，返回待访问的所述物联网设备的信息。

当令牌通过验证时，网关将回呼请求中的回呼服务编号发送至相应的物联网设备。

同样地，利用本发明所提供的访问方法对不同的物联网设备进行信息采集时，仅需要进行一次登录，采集不同的物联网设备的信息也只需要向相应的网关发送令牌进行验证即可。当令牌通过验证时，直接将所述回呼请求发送至待采集的物联网设备即可。由此可知，利用本发明所提供的维护方法对不同的物联网设备进行信息采集时不需要多次登录，节约了维护步骤，减低了信息采集的成本。

实施例6

本发明实施例提供一种物联网系统，如图5所示，所述物联网系统包括网关510和多个物联网设备520，所述物联网系统还包括本发明所提供的上述访问授权设备，其中，

设备管理装置210还用于向待访问的物联网设备520对应的网关510发送所述令牌，并且设备管理装置210还用于向网关520发送所述处理指令。

网关510用于在接收到所述令牌后，将所述令牌发送至授权服务器230，该授权服务器230用于在接收到所述令牌后对所述令牌进行验证。

客户服务装置310用于接收到所述令牌后对所述令牌进行验证，并且，客户服务装置310还用于接收并存储所述物联网设备发送的信息，以及用于对查询请求进行响应。

容易理解的是，所述物联网系统不仅能够执行本发明所提供的上述访问授权方法对登录所述物联网的设备管理装置的管理员进行授权，还能够按照本发明所提供的上述访问方法对所述物联网系统中的物联网设备进行访问。

如上文中所述，在所述物联网设备发送的服务请求包括会话密钥和会话密钥索引值的具体实施方式中，所述设备管理装置可以根据该类型的服务请求进行处理。

具体地，所述设备管理装置包括密钥获取模块、解码模块和处理指令生成模块，所述密钥获取模块用于获取所述请求中的会话密钥以及会话密钥索引值，所述解码模块用于根据所述密钥获取模块获得的所述会话密钥以及所述会话密钥索引值对所述请求进行解码，所述处理指令生成模块用于根据解码后的请求生成所述处理指令。

下面结合图6和图7详细介绍本发明所提供的物联网系统如何执行实施例4和实施例5中的访问方法。

图6所示的是利用所述物联网系统执行实施例4中所提供的访问方法。

设备管理装置410向客户服务装置310发送请求指令，以获取服务请求的设备信息。

客户服务装置310将服务请求对应的会话密钥和会话密钥索引值、物联网设备的设备ID、和与该物联网设备对应的网关的地址发送给设备管理装置410。

设备管理装置410使用会话密钥和会话密钥索引值进行解码，获得服务请求，并生成服务请求应答信息。设备管理装置410还将服务请求应答信息发送至网关510。

网关510将服务请求应答信息中的令牌发送至授权服务器230，该授权服务器230对令牌进行验证。当验证通过时，授权服务器230向网关510发送通过信号。

网关510接收到通过信号时，将服务器应答请求发送至物联网设备520。该物联网设备520对服务应答信息进行解密并执行相应的操作。

图7所示的是利用所述物联网系统执行实施例5中所提供的访问方法。

设备管理装置410向客户服务装置发送获取物联网设备信息的请求信息，该请求信息包括令牌和物联网设备的ID。

客户服务装置310将令牌发送至授权服务器230进行验证，验证通过时向客户服务装置310提供通过信号。客户服务装置接收到通过信号后将物联网设备信息(包括网关地址和物联网设备ID)发送至设备管理装置。

设备管理装置410将回呼请求信息发送至网关510，网关510将回呼请求信息中的令牌发送至授权服务器230，令牌通过验证时，授权服务器230向网关发送通过信号。

网关510接收到通过信号时，将回呼请求信息发送至相应的物联网设备520。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。