一种物联网终端m2m访问控制系统及方法
【专利摘要】本发明公开了一种物联网终端M2M访问控制系统及方法,系统包括:物联网终端及关守系统;方法包括:发送访问请求到关守系统,所述访问请求携带身份识别标志;关守系统根据访问请求携带的身份识别标志判断是否向应答终端发送请求访问终端的访问请求,是,向应答终端发送访问请求,否则,拒绝访问;所述访问请求携带有应答终端的身份识别信息;接收访问请求,并根据访问请求,发送准许访问信号到关守系统;关守系统将准许访问信号发送到请求访问终端,所述准许访问信号携带有应答终端的身份识别信息及准许访问信号报文;发送应答终端提供的准许访问信号报文到应答终端;根据接收到的准许访问报文,应答访问终端与请求访问终端建立基于TCP/IP协议的会话。
【专利说明】一种物联网终端M2M访问控制系统及方法
【技术领域】
[0001]本发明涉及物联网和互联网【技术领域】,尤其涉及一种物联网终端的M2M访问控制系统及方法。
【背景技术】
[0002]在当今的物联网应用中,物联网终端的M2M通信,已成为物联网应用的主要形式。为了实现有效的M2M通信,每个物联网终端都需要一个唯一的身份识别标志,并在身份识别标志的基础上,实现终端之间的M2M访问控制。现有的物联网终端M2M访问控制机制和架构有以下几个缺点:
[0003]1、物联网终端的唯一身份识别标志,主要是建立在电信运营商配发的SM卡编号的唯一性基础上,并且依赖于该电信运营商的M2M通信管理平台提供的身份验证功能,因此,物联网终端无法实现跨电信运营商的身份交叉认证识别。
[0004]2、今后越来越多的物联网终端将可以通过普通的ADSL、WLAN等形式接入互联网,而这类终端实现M2M通信是不需要SM卡的,现有的、以SM卡为载体的物联网终端身份识别方法已不能满足这类应用的需要。
[0005]3、目前物联网终端的M2M访问授权,是在电信运营商的M2M管理平台上实现的,用不同电信运营商的SM卡标识的物联网终端,无法实现跨电信运营商的M2M访问控制。
【发明内容】
[0006]为解决上述技术问题,本发明的目的是提供一种物联网终端的M2M访问控制系统及方法,通过该系统或方法,(I)物联网终端对应的身份识别标志可由终端的所有者自行定义,可以不需要SIM卡;(2)物联网终端的访问控制由终端的所有者在关守系统上自由设置。突破了物联网终端的跨电信运营商身份识别和访问授权难题,提高了物联网终端M2M通信的灵活性。物联网终端所有者自主指定终端身份识别标志和访问授权的所述技术方案如下:
[0007]一种物联网终端M2M访问控制系统,包括:
[0008]物联网终端、及关守系统;所述物联网终端包括请求访问终端和应答终端;所述
[0009]请求访问终端,用于发送访问请求到关守系统,所述访问请求携带身份识别标志;
[0010]关守系统,接收请求访问终端发送的访问请求,根据访问请求携带身份识别标志判断是否需要向应答终端发送请求访问终端的访问请求,如果是,向应答终端发送访问请求,否则,拒绝访问;所述访问请求携带有应答终端的身份识别信息;
[0011]应答终端,根据接收到的访问请求,发送准许访问信号到关守系统;
[0012]及
[0013]关守系统将准许访问信号发送到请求访问终端,所述准许访问信号携带有应答终端的身份识别信息及准许访问信号报文;[0014]请求访问终端发送应答终端提供的准许访问信号报文到应答终端;
[0015]应答访问终端根据接收到的准许访问报文,与请求访问终端建立基于TCP/IP协议的会话。
[0016]一种物联网终端M2M访问控制方法,包括:
[0017]发送访问请求到关守系统,所述访问请求携带身份识别标志;
[0018]关守系统根据访问请求携带的身份识别标志判断是否需要向应答终端发送请求访问终端的访问请求,如果是,向应答终端发送访问请求,否则,拒绝访问;所述访问请求携带有应答终端的身份识别信息;
[0019]接收访问请求,并根据访问请求,发送准许访问信号到关守系统;
[0020]及
[0021]关守系统将准许访问信号发送到请求访问终端,所述准许访问信号携带有应答终端的身份识别信息及准许访问信号报文;
[0022]发送应答终端提供的准许访问信号报文到应答终端;
[0023]根据接收到的准许访问报文,应答访问终端与请求访问终端建立基于TCP/IP协议的会话。
[0024]与现有技术相比,本发明的一个或多个实施例可以具有如下优点:
[0025]物联网终端M2M访问控制的方法,是一个物联网终端身份识别标志的设定方法和在关守系统上完成的物联网终端身份识别过程和访问授权过程,关守系统部署在互联网上并分配有固定的IP地址。一个物联网终端如果要以M2M的方式访问另一个物联网终端上的资源,则关守系统需要先对访问者的身份的真实性判别,然后判定是否具有被访问的授权,被访问终端不需要亲自验证访问者身份的真实性,也不需要亲自判定访问者是否有访问其资源的授权,且访问终端对被访问终端的资源访问的整个过程,不需要借助于电信运营商的SIM卡和M2M管理平台;访问终端与被访问终端的身份识别与访问授权的过程与访问终端或被访问终端的网络接入电信运营商无关。
[0026]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
【专利附图】
【附图说明】
[0027]附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例共同用于解释本发明,并不构成对本发明的限制。在附图中:
[0028]图1是物联网终端M2M访问控制方法的功能结构示意图;
[0029]图2是物联网终端M2M访问控制方法流程图。
【具体实施方式】
[0030]容易理解,根据本发明的技术方案,在不变更本发明的实质精神下,本领域的一般技术人员可以提出本发明的多个结构方式和制作方法。因此以下【具体实施方式】以及附图仅是本发明的技术方案的具体说明,而不应当视为本发明的全部或者视为本发明技术方案的限定或限制。[0031]下面结合实施例及附图对本发明作进一步详细的描述。
[0032]图1是根据本发明实施例的物联网终端M2M访问控制方法的结构示意图,下面参考图1,详细说明本发明实施例的各个部分和各个部分的功能。
[0033]如图1所示,本发明的物联网终端M2M访问控制方法的系统结构图,包括:物联网终端、及关守系统;所述物联网终端包括请求访问终端和应答终端;所述
[0034]请求访问终端,用于发送访问请求到关守系统,所述访问请求携带身份识别标志;
[0035]关守系统,接收请求访问终端发送的访问请求,根据访问请求携带身份识别标志判断是否需要向应答终端发送请求访问终端的访问请求,如果是,向应答终端发送访问请求,否则,拒绝访问;所述访问请求携带有应答终端的身份识别信息;
[0036]应答终端,根据接收到的访问请求,发送准许访问信号到关守系统;
[0037]及
[0038]关守系统将准许访问信号发送到请求访问终端,所述准许访问信号携带有应答终端的身份识别信息及准许访问信号报文;
[0039]请求访问终端发送应答终端提供的准许访问信号报文到应答终端;
[0040]应答访问终端根据接收到的准许访问报文,与请求访问终端建立基于TCP/IP协议的会话。
[0041]所述系统还包括互联网接入链路和管理用PC机,所述管理用PC机通过互联网接入链路接入互联网。
[0042]上述关守系统是指部署在互联网上,并运行有一个基于数据库管理系统的服务程序,该服务程序负责接收和维护物联网终端发送来的IP地址、终端身份识别标志等信息。同时,在关守系统上运行的服务程序,还负责维护物联网终端的用户数据,使经过授权的用户可以注册和维护该用户所管理的终端的属性数据。
[0043]上述物联网终端在接入网络之前,终端的所有者首先需要通过管理用PC机在关守系统上注册相关的终端,终端的注册过程包括为终端指定唯一编号、识别密码、访问授权等。物联网终端在投入工作之前,终端的所有者需要对每一个终端进行初始化设置;终端的初始化设置包括终端的唯一编号、识别密码等。
[0044]物联网终端在接入网络后,将自动、定时地与关守系统进行联络(如图1所示),以刷新该终端在关守系统上对应的属性数据中的IP地址信息;物联网终端接入互联网的IP地址可以是固定的,也可以是动态的,甚至是经过NAT转换后的内部IP地址;物联网终端与关守系统的全部数据通信均需要采用加密通信的方式,以保证终端的安全。
[0045]如图1所示,如果一个物联网终端A要以M2M的方式访问灵一个物联网终端B上的资源,则A先向关守系统发出对B的访问请求;关守系统收到A发来的访问请求后,先核对A的身份标志,再判定A是否有访问B的授权;如果A有访问B的授权,则关守系统根据B的属性数据中的IP地址信息,向B转发A的访问请求;B收到经过关守系统转发来的访问请求后,B向关守系统发出访问准许信号;关守系统收到来自B的访问准许信号后,将该访问准许信号以及B的IP地址转发给A汸收到由关守系统转发的、由B发出的访问准许信号和B的IP地址后,直接向B的IP地址发出携带有B提供的访问准许信号的报文;B收到来自A的、携带有B提供的访问准许信号的报文后,就可以确认A的访问是经过合法授权的,随后B与A就可以建立起基于TCP/IP协议的会话。
[0046]本实施例还提供了一种物联网终端M2M访问控制方法,如图2所示,所述方法包括:
[0047]发送访问请求到关守系统,所述访问请求携带身份识别标志;
[0048]关守系统根据访问请求携带的身份识别标志判断是否需要向应答终端发送请求访问终端的访问请求,如果是,向应答终端发送访问请求,所述访问请求携带有应答终端的身份识别信息;
[0049]接收访问请求,并根据访问请求,发送准许访问信号到关守系统;
[0050]及
[0051]关守系统将准许访问信号发送到请求访问终端,所述准许访问信号携带有应答终端的身份识别信息及准许访问信号报文;
[0052]发送应答终端提供的准许访问信号报文到应答终端;
[0053]根据接收到的准许访问报文,应答访问终端与请求访问终端建立基于TCP/IP协议的会话。
[0054]上述身份识别标志包括物联网终端对应的唯一编号或名称以及识别密码,所述编号或名称以及识别密码存储在物联网终端上,且物联网终端的使用者通过管理用PC机将所述编号或名称以及识别密码注册到关守系统上。
[0055]上述请求访问终端与应答终端之间的访问授权是由终端使用者通过管理用PC机在所述关守系统上设定。
[0056]上所述访问授权是一个在所述关守系统上维护的一个终端访问列表或一个终端所属的组别设定。
[0057]上述组别是能够进行相互M2M访问的一组物联网终端的集合,同一个组可容纳若干个终端,同一个终端可分属若干个组别。所述的组别的命名仅对终端的所有者所管理的全部终端有效;不同的终端所有者所命名的组别可以是重名的。
[0058]基于对所述物联网终端M2M访问控制机制的信任,一个物联网终端不需要亲自验证其它物联网终端身份真实性,也不需要亲自判定对方是否有访问其资源的授权,这就极大地简化了物联网终端的M2M通信准备过程,简化了物联网终端的硬件架构和软件架构;物联网终端之间的整个访问过程,不需要借助于电信运营商的SM卡和M2M管理平台,降低了物联网终端采用M2M通信的准入门槛;物联网终端之间身份识别与访问授权的全过程与物联网终端的网络接入电信运营商无关,增加了物联网应用系统的部署灵活性。
[0059]上述物联网终端的有线或无线接入链路包括WiF1、4G/3G、以太网等。
[0060]上述物联网终端包括传感器节点、服务器、智能手持终端、笔记本电脑、PC机等设备。
[0061]虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属【技术领域】内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
【权利要求】
1.一种物联网终端M2M访问控制系统,所述系统包括:物联网终端、及关守系统;所述物联网终端包括请求访问终端和应答终端;所述 请求访问终端,用于发送访问请求到关守系统,所述访问请求携带身份识别标志; 关守系统,接收请求访问终端发送的访问请求,根据访问请求携带身份识别标志判断是否需要向应答终端发送请求访问终端的访问请求,如果是,向应答终端发送访问请求,否贝U,拒绝访问;所述访问请求携带有应答终端的身份识别信息; 应答终端,根据接收到的访问请求,发送准许访问信号到关守系统; 及 关守系统将准许访问信号发送到请求访问终端,所述准许访问信号携带有应答终端的身份识别信息及准许访问信号报文; 请求访问终端发送应答终端提供的准许访问信号报文到应答终端; 应答访问终端根据接收到的准许访问报文,与请求访问终端建立基于TCP/IP协议的会话。
2.根据权利要求1所述的物联网终端M2M访问控制系统,其特征在于,所述系统还包括互联网接入链路和管理用PC机,所述管理用PC机通过互联网接入链路接入互联网。
3.一种物联网终端M2M访问控制方法,其特征在于,所述方法包括: 发送访问请求到关守系统,所述访问请求携带身份识别标志; 关守系统根据访问请求携带的身份识别标志判断是否需要向应答终端发送请求访问终端的访问请求,如果是,向应答终端发送访问请求,否则,拒绝访问;所述访问请求携带有应答终端的身份识别信息; 接收访问请求,并根据访问请求,发送准许访问信号到关守系统; 及 关守系统将准许访问信号发送到请求访问终端,所述准许访问信号携带有应答终端的身份识别信息及准许访问信号报文; 发送应答终端提供的准许访问信号报文到应答终端; 根据接收到的准许访问报文,应答访问终端与请求访问终端建立基于TCP/IP协议的会话。
4.根据权利要求1所述的物联网终端M2M访问控制方法,其特征在于,所述身份识别标志包括物联网终端对应的唯一编号或名称以及识别密码,所述编号或名称以及识别密码存储在物联网终端上,且物联网终端的使用者通过管理用PC机将所述编号或名称以及识别密码注册到关守系统上。
5.根据权利要求1所述的物联网终端M2M访问控制方法,其特征在于,所述请求访问终端与应答终端之间的访问授权是由终端使用者通过管理用PC机在所述关守系统上设定。
6.根据权利要求5所述的物联网终端M2M访问控制方法,其特征在于,所述访问授权是一个在所述关守系统上维护的一个终端访问列表或一个终端所属的组别设定。
7.根据权利要求6所述的物联网终端M2M访问控制方法,其特征在于,所述组别是能够进行相互M2M访问的一组物联网终端的集合,同一个组可容纳若干个终端,同一个终端可分属若干个组别。
【文档编号】H04L9/32GK103441842SQ201310308725
【公开日】2013年12月11日 申请日期:2013年7月22日 优先权日:2013年7月22日
【发明者】全渝娟, 韦炜, 刘小丽, 何振宇, 林龙新 申请人:暨南大学