(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211342125.3 (22)申请日 2022.10.31 (71)申请人 深圳万物安全科技有限公司 地址 518000 广东省深圳市福田区梅林街 道孖岭社区凯丰路10号翠林大厦6层 601 (72)发明人 董兴水　陈志伟　 (74)专利代理 机构 深圳市恒程创新知识产权代 理有限公司 4 4542 专利代理师 钟永翠 (51)Int.Cl. H04L 69/24(2022.01) H04L 9/40(2022.01) H04L 67/12(2022.01) (54)发明名称 物联网访问控制方法、 装置、 设备与介质 (57)摘要 本发明涉及网络安全技术领域， 公开了一种 物联网访问控制方法、 装置、 设备与介质。 本发明 通过在第一网关下的物联网设备发起数据连接 请求时， 通过第一网关向多个第二网关发送协商 报文， 以对多个第二网关进行基于资产属性的访 问控制能力的协商； 确定支持基于资产属性的访 问控制能力的目标网关， 并确定第一网关与目标 网关的标准能力集； 基于标准能力集， 通过第一 网关向目标网关发送数据流， 其中， 数据流包括 物联网设备的第一资产类型； 查询第一资产类型 和目标网关下的存活设备的第二资产类型是否 满足预设访问控制规则， 并根据查询结果对物联 网设备进行访问控制； 从而实现物联网设备之间 的安全数据连接， 提高物联网网络的安全和可靠 性。 权利要求书2页 说明书13页 附图5页 CN 115396537 A 2022.11.25 CN 115396537 A 1.一种物联网访问控制方法， 其特征在于， 所述物联网访问控制方法应用于物联网访 问控制系统， 所述物联网访问控制系统包括第一网关和多个第二网关， 所述物联网访问控 制方法包括如下步骤： 在所述第一网关下的物联网设备发起数据连接请求 时， 通过所述第 一网关向所述多个 第二网关发送协商报文， 以对所述多个第二网关进行基于资产属性的访问控制能力的协 商， 其中， 所述协商报文包括所述第一网关支持的多个不同规范定义的能力集； 确定支持所述基于资产属性的访问控制能力的目标网关， 并确定所述第 一网关与 所述 目标网关的标准能力集； 基于所述标准能力集， 通过所述第 一网关向所述目标网关发送数据流， 其中， 所述数据 流包括所述物联网设备的第一资产类型； 查询所述第一资产类型和所述目标网关下的存活设备的第二资产类型是否满足预设 访问控制规则， 并根据查询结果对所述物联网设备进行访问控制。 2.如权利要求1所述的物联网访问控制方法， 其特征在于， 所述在所述第 一网关下的物 联网设备发起数据连接请求时， 通过所述第一网关向所述多个第二网关发送协商报文， 以 对所述多个第二网关进行基于资产属 性的访问控制能力的协商， 其中， 所述协商报文包括 所述第一网关支持的多个不同规范定义的能力集的步骤 包括： 在所述第一网关下的物联网设备发起数据连接请求时， 查询所述第一网关的目标地 址； 通过路由跟踪探测所述目标地址的路径上的多个第 二网关， 并通过所述第 一网关向所 述多个第二网关发起协商报文， 其中， 所述协商报文包括所述第一网关支持的多个不同规 范定义的能力集； 在所述多个第二网关接收到所述协商报文时， 根据预设探测协议， 比对所述多个第二 网关的自身能力集合与所述第一网关支持的多个不同规范定义的能力集， 以检测所述多个 第二网关是否支持基于资产属性的访问控制能力。 3.如权利要求2所述的物联网访问控制方法， 其特征在于， 所述确定支持所述基于资产 属性的访问控制能力的目标网关， 并确定所述第一网关与所述目标网关的能力集标准的步 骤包括： 选取出所述多个第 二网关中支持所述基于资产属性的访问控制能力的预选网关， 并将 所述预选网关中距离所述目标地址最近的网关确定为目标网关； 根据所述目标网关的自身能力集， 确定所述第一网关与所述目标网关的标准能力集。 4.如权利要求1所述的物联网访 问控制方法， 其特征在于， 所述基于所述标准能力集， 通过所述第一网关向所述目标网关发送数据流的步骤 包括： 在所述第一网关接收所述目标网关发送的所述标准 能力集后， 通过所述第 一网关确定 五元组信息， 其中， 所述五元组信息包括所述物联网设备的IP地址、 所述物联网设备的端 口、 所述目标网关的目标设备IP地址、 所述目标网关的目标设备端口以及 传输层协议； 通过所述第一网关对所述五元组信息和所述物联网设备的第一资产类型进行加密封 装， 生成对应的数据流， 并通过所述第一网关向所述 目标网关发送所述数据流； 其中， 所述 第一资产类型由所述物联网设备确定 。 5.如权利要求1所述的物联网访 问控制方法， 其特征在于， 所述基于所述标准能力集，权　利　要　求　书 1/2 页 2 CN 115396537 A 2通过所述第一网关向所述目标网关发送数据流的步骤 包括： 在所述第一网关接收所述目标网关发送的所述标准 能力集后， 通过所述第 一网关确定 所述目标网关的IP地址； 基于预设封装方式， 通过所述第一网关对第一网关的IP地址、 所述目标网关的IP地址、 所述协商报文以及所述物联网设备 的第一资产类型进行加密封装， 生成对应的数据流， 并 通过所述第一网关向所述 目标网关发送所述数据流； 其中， 所述第一资产类型 由所述物联 网设备确定 。 6.如权利要求1所述的物联网访问控制方法， 其特征在于， 所述查询所述第 一资产类型 和所述目标网关下的存活设备的第二资产类型是否满足预设访问控制规则， 并根据查询结 果对所述物联网设备进行访问控制的步骤 包括： 在所述目标网关接收到所述数据流后， 通过所述目标网关对所述数据流进行解密， 以 获得所述物联网设备的第一资产类型； 确定所述目标网关下的存活设备的第 二资产类型， 并查询所述第 一资产类型和所述第 二资产类型 是否符合预设访问控制规则； 在所述第一资产类型和所述第 二资产类型满足预设访问控制规则的情况下， 允许所述 物联网设备进行访问控制； 在所述第一资产类型和所述第 二资产类型不满足预设访问控制规则的情况下， 阻断所 述物联网设备进行访问控制。 7.如权利要求1所述的物联网访问控制方法， 其特征在于， 所述根据查询结果对所述物 联网设备进行访问控制的步骤之后， 还 包括： 响应于针对所述第一网关的资产表信息的刷新操作， 更新所述第一网关中资产表信 息。 8.一种物联网访问控制装置， 其特 征在于， 所述物联网访问控制装置包括： 协商模块， 用于在第一网关下的物联网设备发起数据连接请求时， 通过所述第一网关 向多个第二网关发送协商报文， 以对所述多个第二网关进 行基于资产属性的访问控制能力 的协商， 其中， 所述协商报文包括所述第一网关支持的多个不同规范定义的能力集； 确定模块， 用于确定支持所述基于资产属性的访 问控制能力的目标网关， 并确定所述 第一网关与所述目标网关的标准能力集； 发送模块， 用于基于所述标准能力集， 通过所述第 一网关向所述目标网关发送数据流， 其中， 所述数据流包括所述物联网设备的第一资产类型； 控制模块， 用于查询所述第 一资产类型和所述目标网关下的存活设备的第 二资产类型 是否满足预设访问控制规则， 并根据查询结果对所述物联网设备进行访问控制。 9.一种物联网访 问控制设备， 其特征在于， 所述物联网访 问控制设备包括： 存储器、 处 理器及存储在所述存储器上并可在所述处理器上运行的物联网访问控制程序， 所述物联网 访问控制程序被所述处理器执行时实现如权利要求1至7中任一项所述的物联网访问控制 方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有物联网 访问控制程序， 所述物联网访问控制程序被处理器执行时实现如权利要求 1至7中任一项 所 述的物联网访问控制方法的步骤。权　利　要　求　书 2/2 页 3 CN 115396537 A 3