物联网设备访问控制方法及物联网设备访问控制装置

技术领域

本申请涉及计算机通信技术领域，具体涉及一种物联网设备访问控制方法、物联网设备访问控制装置、物联网设备访问方法、物联网设备、电子设备和计算机可读存储介质。

背景技术

目前，全球的物联网市场规模急剧增大，物联设备爆发式增长。预计到2020年，全球的物联网设备的接入量将达到500亿。数量如此庞大的物联网设备的目的都是与其他物联网设备和应用程序进行连接，并使用互联网传输协议来传递信息。而物联网设备和应用程序之间需由物联网平台建立互联互通的桥梁。因此，应运而生了大量的商业化物联网平台和私有物联网平台。设备需要通过协议接入物联网平台，但是由于设备接入过程复杂，导致物联网平台的市场出现碎片化。与此同时，物联网的安全问题引起广泛关注，设备安全接入已经成为物联网领域的重要研究方向。目前物联网中设备安全接入认证技术存在复杂度高、不具有普适性、设备标识等信息易被追踪从而使接入设备遭到攻击等问题。

接入认证是指用户在接入系统之前，系统需要按照某种策略对用户身份进行识别鉴定，以此来保证接入系统的用户身份的合法性，同时对于认证完成的用户进行证书备案，作为用户在系统中运行的身份凭证。接入认证是平台安全的重要一环，对于非法用户，接入认证机制限制其对平台资源进行访问；对于合法用户，接入认证准许其接入系统并对其生成身份证明，可以说接入认证是平台其他安全机制的基础。

在现有技术中，用户与系统之间一般通过以下几个因素进行接入认证：用户所知道的信息，如口令；用户所拥有的信息，如智能卡；以及用户的生物特性，如指纹、脸部轮廓、虹膜等。然而这三类方案的安全可靠性一般，认证过程中传输的用户相关信息易被追踪从而使接入设备遭到攻击。此外，现有物联网平台现有接入认证解决方案复杂度高，不具备普适性，通常需要额外定制化开发，开发和维护成本较高。同时，现有物联网平台的接入认证方式没有做细粒度的访问控制，无法针对每个接入设备能够发布和订阅什么样的主题做限制。

发明内容

有鉴于此，本申请实施例提供了一种物联网设备访问控制方法及其装置、物联网设备访问方法以及物联网设备，解决了现有接入认证方式的安全性差、不具备普适性以及控制细粒度差的问题。

根据本申请的一个方面，本申请一实施例提供的一种物联网设备访问控制方法，包括：接收来自物联网设备的访问信息，其中，所述访问信息包括与所述物联网设备对应的身份认证标识；验证所述身份认证标识是否合法；以及当所述身份认证标识验证为合法时，获取与所述身份认证标识对应的访问权限。

根据本申请的另一方面，本申请一实施例提供了一种物联网设备访问方法，包括：利用预置在本地设备的第三方证书授权中心根证书对服务端证书信息进行验证，其中所述服务端证书信息由第三方证书授权中心颁发；当服务端证书信息与所述第三方证书授权中心根证书相匹配时，向服务端发送反馈信息以建立基于安全传输层协议的数据加密传输通道；以及通过所述数据加密传输通道向服务端发送访问信息，其中，所述访问信息包括与所述本地设备对应的身份认证标识。

根据本申请的另一方面，本申请一实施例提供了一种物联网设备访问控制装置，包括：接收模块，配置为接收来自物联网设备的访问信息，其中，所述访问信息包括与所述物联网设备唯一对应的身份认证标识；第一验证模块，配置为验证所述身份认证标识是否合法；以及鉴权模块，配置为当所述身份认证标识验证为合法时，获取与所述身份认证标识对应的访问权限。

根据本申请的另一方面，本申请一实施例提供了一种物联网设备，包括：第二验证模块，配置为利用预置在本地设备的第三方证书授权中心根证书对服务端证书信息进行验证，其中所述服务端证书信息由第三方证书授权中心颁发；第一发送模块，配置为当服务端证书信息与所述第三方证书授权中心根证书相匹配时，向服务端发送反馈信息以建立基于安全传输层协议的数据加密传输通道；以及第二发送模块，配置为通过所述数据加密传输通道向服务端发送访问信息，其中，所述访问信息包括与所述本地设备对应的身份认证标识。

根据本申请的另一方面，本申请一实施例提供了一种电子设备，包括：处理器；存储器；以及存储在存储器中的计算机程序指令，计算机程序指令在被处理器运行时使得处理器执行如上述任一项所述的访问控制方法。

根据本申请的另一方面，本申请一实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行如前任一所述的访问控制方法。

根据本申请的另一方面，本申请一实施例提供了一种计算机程序产品，包括计算机程序指令，所述计算机程序指令在被处理器运行时使得处理器执行如上述任一所述的访问控制方法。

本申请实施例提供的一种物联网设备访问控制方法、物联网设备访问控制装置、物联网设备访问方法、物联网设备、电子设备和计算机可读存储介质，采用了一机一密的设备认证机制，每个物联网设备有唯一的身份认证标识，通过验证该与物联网设备对应的身份认证标识以完成接入认证，可有效降低因用户相关信息泄露而导致物联网设备被攻破的安全风险。此外，还提供设备权限管理机制，当身份认证标识验证为合法时，获取与身份认证标识对应的访问权限，这样用户可通过预先配置身份认证标识与访问权限的对应关系来实现针对每个设备的访问权限细粒度控制。

附图说明

图1所示为本申请一实施例提供的一种物联网设备访问控制方法的流程示意图。

图2所示为本申请一实施例提供的一种物联网平台的结构示意图。

图3所示为本申请一实施例提供的一种物联网设备访问控制方法中获取与身份认证标识对应的访问权限的流程示意图。

图4为本申请另一实施例提供的一种物联网设备访问控制方法的流程示意图。

图5所示为本申请一实施例提供的一种物联网设备访问方法的流程示意图。

图6所示为本申请一实施例提供的物联网设备访问控制装置的结构示意图。

图7所示为本申请另一实施例提供的物联网设备访问控制装置的结构示意图。

图8所示为本申请一实施例提供的物联网设备的结构示意图。

图9所示为本申请另一实施例提供的物联网设备的结构示意图。

图10所示为本申请一实施例提供的电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

如上所述，现有的物联网平台的接入认证方式虽然能完成对物联网设备用户的认证，但由于采用用户所知道的信息、用户所拥有的信息或用户本身的生物特征来进行认证，认证过程中传输的用户相关信息很容易被追踪从而使接入设备遭到攻击。此外，现有的物联网平台没有做细粒度的访问控制，无法针对每个接入设备能够发布和订阅什么样的主题做限制。

针对上述的技术问题，本申请的基本构思是提出一种物联网设备访问控制方式，考虑到利用用户相关信息来进行认证所存在的安全隐患，可利用与物联网设备对应的身份认证标识以完成接入认证，这样用户在使用物联网设备接入服务端时，一般是无法得知与物联网设备对应的身份认证标识的，从而可有效降低物联网设备被攻破的安全风险。此外，还提供设备权限管理机制，当身份认证标识验证为合法时，获取与身份认证标识对应的访问权限，这样用户可通过预先配置身份认证标识与访问权限的对应关系来实现针对每个设备的访问权限细粒度控制。

需要说明的是，本申请所提供的物联网设备访问控制方式可以应用于任何物联网场景下的访问控制过程。具体而言，用户可通过物联网设备对服务端进行访问的目的就是要对服务端上的资源进行特定的操作，该资源可以是计算资源也可以是存储资源，例如计算资源就可为用于完成人脸识别或机械控制的神经网络模型，存储资源就可为云存储资源等，服务端上的资源所能够满足的功能与服务端本身的应用场景有关，本申请对服务端的应用场景不做限定，也对该物联网设备访问控制方法所适用的物联网场景不做限定。

在介绍了本申请的基本原理之后，下面将参考附图来具体介绍本申请的各种非限制性实施例。

图1所示为本申请一实施例提供的一种物联网设备访问控制方法的流程示意图。该物联网设备访问控制方法具体由服务端具体执行，用户需要通过物联网设备访问服务端，以调用服务端上的资源完成具体操作。如图1所示，该物联网设备访问控制方法包括：

步骤101：接收来自物联网设备的访问信息，其中，访问信息包括与物联网设备对应的身份认证标识。

物联网设备为用户在本地所操作或交互的设备，用户需要通过物联网设备访问服务端。服务端执行本实施例所提供的方法实现对物联网设备的访问控制。应当理解，物联网设备的具体种类与具体的应用场景有关，例如在人脸识别场景下，用户在本地所交互的物联网设备就可以是摄像头，然而本申请对物联网设备的具体种类不做限定。

物联网设备通过向服务端发送该访问信息来进行接入认证，不同于现有接入方式利用用户相关信息进行接入认证，该访问信息中包括的是与物联网设备对应的身份认证标识。例如，物联网设备在进行物联网接入初始化阶段，需要传递给服务端的访问信息就可包括clientID(用户身份编号)、username(用户名)和password(用户密码)等。其中clientID作为身份认证标识，代表物联网设备接入物联网的唯一身份标识，每个设备的clientID不能相同。同时用户名和用户密码采用一机一密机制，每个物联网设备的username和password都唯一且不同。

步骤102：验证身份认证标识是否合法。

在一实施例中，可以通过查询用户提交的访问信息中的内容有无记录，若有记录则身份认证通过，该物联网设备为合法设备。若没有记录则认证失败，该物联网设备为非法设备，无法获取操作权限。

步骤103：当身份认证标识验证为合法时，获取与身份认证标识对应的访问权限。

当身份认证标识验证为合法时，说明该物联网设备为合法设备，此时获取与身份认证标识对应的访问权限其实就是获取与该物联网设备对应的访问权限，用户可在该获取的权限范围内利用该物联网设备进行对应操作。身份认证标识和访问权限之间的对应关系可预先配置，由此便可实现针对每个物联网设备的细粒度权限控制。

应当理解，访问权限的内容为用户可在该获取的权限范围内利用该物联网设备进行对应操作。仍以前述的人脸识别为例，访问权限意味着用户可通过物联网设备(例如摄像头)接入互联网后进行哪些具体操作，例如访问权限根据用户类型的不同就可分为可读取以及可读取可写入两种访问权限，用户通过摄像头接入服务端后，根据所获取到的访问权限的不同可实现可读取操作可写入操作，或仅可读取操作。

由此可见，本申请实施例提供的一种物联网设备访问控制方法，采用了一机一密的设备认证机制，每个物联网设备有唯一的身份认证标识，通过验证该与物联网设备对应的身份认证标识以完成接入认证，可有效降低因用户相关信息泄露而导致物联网设备被攻破的安全风险。此外，还提供设备权限管理机制，当身份认证标识验证为合法时，获取与身份认证标识对应的访问权限，这样用户可通过预先配置身份认证标识与访问权限的对应关系来实现针对每个设备的访问权限细粒度控制。

图2所示为本申请一实施例提供的一种物联网平台的结构示意图。如图2所示，该物联网平台可提供安全可靠的连接通信能力，服务端可向下连接海量物联网设备，支撑物联网设备数据采集上云。设备管理云端提供设备管理服务，服务端向上提供设备管理云端API(应用程序编程接口)，通过API调用下发指令数据实现设备远程控制。物联网设备端可通过MQTT(消息队列遥测传输)协议完成状态上报、事件上报，接受并执行指令，设备管理服务通过MQTT协议进行指令下发。

EMQ X是一种开源的MQTT消息服务器，目前支持MQTT 5.0协议，是开源社区中最早支持MQTT 5.0协议的消息服务器，如图2所示，该物联网平台中提供的服务端可选用EMQ X，具体可选用EMQ X中的消息服务器插件，例如MongoDB插件，来实现物联网设备接入认证和访问控制。设备管理云端和物联网设备端都相当于该MQTT服务器的客户端，通过MQTT协议和服务端(对应图2中的MQTT代理)交互。

在本申请一实施例中，在验证身份认证标识是否合法时，服务端可调用MQTT协议的消息服务器插件访问身份信息数据库，在身份信息数据库中查询是否有与身份认证标识对应的已记录身份认证标识。在本申请另一实施例中，在验证身份认证标识合法后，获取与身份认证标识对应的访问权限时，服务端可调用MQTT协议的消息服务器插件(例如EMQ X中的MongoDB插件)访问访问权限数据库，从访问权限数据库中获取与身份认证标识所对应访问权限表，其中，访问权限表包括身份认证标识所对应的用户可发布和订阅的主题分类。由于EMQ X本身具备良好的插件开发，EMQX插件可以直接访问身份信息数据库和访问权限数据库，这样不需要额外的定制化开发认证鉴权服务，不需要引入新的服务，具备广泛的通用性，进一步提高了该物联网设备访问控制方法的普适性。

具体而言，图2所示的物联网平台所实现的物联网设备访问控制过程可如下：物联网设备端在进行物联网接入初始化阶段时，需要传递给MQTT broker的信息可包括clientID、username和password。MQTT broker会加载mongoDB插件，通过查询mongoDB获知对应的username和password有无记录，若有记录则身份认证通过。在本申请一实施例中，考虑到若服务端采用明文的方式保存已记录身份认证标识容易造成安全隐患，因此可对已记录身份认证标识经过加密处理和/或加盐处理，例如可考虑用加密算法sha256对已记录的username和password进行加密和加盐处理。当物联网设备的身份认证标识被验证通过后，为了实现对物联网设备权限的细粒度管理，可对设备端发布的主题格式做如下约定：如/smarthome/{client ID}/temperature。这样物联网设备端发布和订阅主题时，会触发mongoDB插件进行ACL(访问控制列表)访问控制检查。若物联网设备发布的主题超出了ACL限定的范围，则该主题会被服务端的物联网接入层丢弃，因为该主题没有通过ACL访问控制。

在本申请一实施例中，如图3所示，为了进一步细化访问控制的细粒度，可根据物联网设备所属于的用户类型进一步区分访问权限。具体而言，当身份认证标识验证为合法时，获取与身份认证标识对应的访问权限可包括如下步骤：

步骤301：当身份认证标识验证为合法时，确定身份认证标识的用户类型。

虽然身份认证标识已被验证合法，但由于身份认证标识的用户类型不同，所获取到的访问权限是会有所不同的。应当理解，用户类型的具体内容也与具体的应用场景有关。例如当该物联网平台对应的是银行的客户服务系统时，用户所操作的物联网设备就可以是银行中的智能人机交互设备，用户类型的具体内容则可能与用户在银行注册的客户级别有关，例如普通用户和VIP用户等。然而本申请对用户类型的具体内容不做严格限定。

步骤302：基于用户类型，为身份认证标识开放与用户类型相一致的访问权限。

在本申请一实施例中，若用户类型为第一预设类型，为身份认证标识所对应的用户开放所有访问权限。若用户类型为第二预设类型，从访问权限数据库中获取与身份认证标识所对应访问权限表，其中，访问权限表包括身份认证标识所对应的用户可发布和订阅的主题分类。

以图2所示的物联网平台为例，mongoDB插件会去查找该物联网设备是否为administrator(管理员用户)，即第一预设类型。若该物联网设备为管理员用户，则对该物联网设备放行，拥有发布和订阅所有主题的权限。若该设备非管理员用户，即为第二预设类型，则mongoDB插件会对该物联网设备进行权限校验，具体可通过访问访问控制列表实现。该物联网设备只能发布在访问控制列表中授权的主题，具体规则可通过访问控制列表配置。

在本申请一实施例中，为了实现对于不同用户类型的物联网设备的差异化访问控制，若物联网设备为第二预设类型，则该物联网设备配置为订阅第一预设类型的物联网设备发布的预设主题，这样该物联网设备其实是根据第一预设类型的物联网设备发布的该预设主题的内容执行对应操作。依靠管理员用户对应的物联网设备对其他非管理员用户对应的物联网设备进行管理，管理员用户对应的物联网设备可拥有所有非管理员用户对应的物联网设备的设备标识，管理员用户对应的物联网设备发布非管理员用户对应的物联网设备所订阅的主题以及主题对应的控制指令，非管理员用户对应的物联网设备通过向管理员用户对应的物联网设备订阅这些预设主题即可执行对应的操作。

在本申请另一实施例中，为了进一步提高该物联网访问控制方法的安全性，服务端还可与物联网设备之间通过安全传输层协议(TLS)单向认证的方式建立数据加密传输通道。具体而言，如图4所示在接收来自物联网设备的访问信息之前，进一步包括：

步骤100：当接收到物联网设备反馈的预置在物联网设备中的第三方证书授权中心根证书与服务端证书信息相匹配的反馈信息时，建立与物联网设备间的基于安全传输层协议的数据加密传输通道；其中服务端证书信息由第三方证书授权中心颁发。

具体而言，物联网设备可利用预置在本地的第三方证书授权中心根证书对服务端证书信息进行验证，其中服务端证书信息由第三方证书授权中心颁发。当服务端证书信息与第三方证书授权中心根证书相匹配时，向服务端发送反馈信息。服务端当接收到该反馈信息时，则说明物联网设备已经对服务端进行了单向身份验证，此时可与物联网设备建立基于安全传输层协议的数据加密传输通道，物联网设备便可通过数据加密传输通道向服务端发送访问信息，其中，访问信息包括与本地设备对应的身份认证标识。若服务端无法收到来自物联网设备的该反馈信息，则说明服务端并没有通过物联网设备的单向身份验证，物联网设备并无法信任服务端，此时服务端与物联网设备则不建立连接。

利用据加密传输通道向服务端发送访问信息可有效保证数据的机密性和完整性，防止重要信息被窃取和篡改，进一步提高访问控制过程的安全性。

图5所示为本申请一实施例提供的一种物联网设备访问方法的流程示意图。如图5所示，该物联网设备访问方法适用于物联网设备，物联网设备通过执行该物联网设备访问方法可实现接入服务端，具体包括：

步骤501：利用预置在本地设备的第三方证书授权中心根证书对服务端证书信息进行验证，其中服务端证书信息由第三方证书授权中心颁发。

具体而言，这里的本地设备即为物联网设备。为了进一步提高该物联网访问控制方法的安全性，服务端还可与物联网设备之间通过安全传输层协议(TLS)单向认证的方式建立数据加密传输通道。物联网设备可利用预置在本地的第三方证书授权中心根证书对服务端证书信息进行验证，其中服务端证书信息由第三方证书授权中心颁发。

步骤502：当服务端证书信息与第三方证书授权中心根证书相匹配时，向服务端发送反馈信息以建立基于安全传输层协议的数据加密传输通道。

当服务端证书信息与第三方证书授权中心根证书相匹配时，物联网设备向服务端发送反馈信息。服务端当接收到该反馈信息时，则说明物联网设备已经对服务端进行了单向身份验证，此时可与物联网设备建立基于安全传输层协议的数据加密传输通道，物联网设备便可通过数据加密传输通道向服务端发送访问信息，其中，访问信息包括与本地设备对应的身份认证标识。若服务端无法收到来自物联网设备的该反馈信息，则说明服务端并没有通过物联网设备的单向身份验证，物联网设备并无法信任服务端，此时服务端与物联网设备则不建立连接。

步骤503：通过数据加密传输通道向服务端发送访问信息，其中，访问信息包括与本地设备对应的身份认证标识。

基于该数据加密传输通道，物联网设备通过向服务端发送该访问信息来进行接入认证，不同于现有接入方式利用用户相关信息进行接入认证，该访问信息中包括的是与物联网设备对应的身份认证标识。例如，物联网设备在进行物联网接入初始化阶段，需要传递给服务端的访问信息就可包括clientID(用户身份编号)、username(用户名)和password(用户密码)等。其中clientID作为身份认证标识，代表物联网设备接入物联网的唯一身份标识，每个设备的clientID不能相同。同时用户名和用户密码采用一机一密机制，每个物联网设备的username和password都唯一且不同。

在本申请一实施例中，本地设备为第二预设类型，本地设备配置为订阅第一预设类型的物联网设备发布的预设主题，该物联网设备访问方法进一步包括：根据第一预设类型的物联网设备发布的预设主题的内容执行对应操作；其中，第一预设类型的物联网设备具备服务端的所有访问权限。这里的第一预设类型和第二预设类型的概念解释可参考图3所示实施例中的相关描述，在此不再赘述。

由此可见，本申请实施例提供的一种物联网设备访问方法，采用了一机一密的设备认证机制，每个物联网设备有唯一的身份认证标识，通过验证该与物联网设备对应的身份认证标识以完成接入认证，可有效降低因用户相关信息泄露而导致物联网设备被攻破的安全风险。此外，还提供设备权限管理机制，当身份认证标识验证为合法时，获取与身份认证标识对应的访问权限，这样用户可通过预先配置身份认证标识与访问权限的对应关系来实现针对每个设备的访问权限细粒度控制。

图6所示为本申请一实施例提供的物联网设备访问控制装置的结构示意图。如图6所示，该物联网设备访问控制装置60包括：

接收模块601，配置为接收来自物联网设备的访问信息，其中，访问信息包括与物联网设备唯一对应的身份认证标识；

第一验证模块602，配置为验证身份认证标识是否合法；以及

鉴权模块603，配置为当身份认证标识验证为合法时，获取与身份认证标识对应的访问权限。

在本申请一实施例中，第一验证模块602进一步配置为：调用消息队列遥测传输协议的消息服务器插件访问身份信息数据库，在身份信息数据库中查询是否有与身份认证标识对应的已记录身份认证标识。

在本申请一实施例中，已记录身份认证标识经过加密处理和/或加盐处理。

在本申请一实施例中，鉴权模块603进一步配置为：调用消息队列遥测传输协议的消息服务器插件访问访问权限数据库，从访问权限数据库中获取与身份认证标识所对应访问权限表，其中，访问权限表包括身份认证标识所对应的用户可发布和订阅的主题分类。

在本申请一实施例中，如图7所示，鉴权模块603包括：

用户类型确定单元6031，配置为当身份认证标识验证为合法时，确定身份认证标识的用户类型；

鉴权执行单元6032，配置为基于用户类型，为身份认证标识开放与用户类型相一致的访问权限。

在本申请一实施例中，鉴权执行单元6032进一步配置为：若用户类型为第一预设类型，为身份认证标识所对应的用户开放所有访问权限；或，若用户类型为第二预设类型，从访问权限数据库中获取与身份认证标识所对应访问权限表，其中，访问权限表包括身份认证标识所对应的用户可发布和订阅的主题分类。

在本申请一实施例中，如图7所示，该物联网设备访问控制装置60进一步包括：

传输加密模块604，配置为当接收到物联网设备反馈的预置在物联网设备中的第三方证书授权中心根证书与服务端证书信息相匹配的反馈信息时，建立与物联网设备间的基于安全传输层协议的数据加密传输通道；其中服务端证书信息由第三方证书授权中心颁发。

图8所示为本申请一实施例提供的物联网设备的结构示意图。如图8所示，该物联网设备80包括：

第二验证模块801，配置为利用预置在本地设备的第三方证书授权中心根证书对服务端证书信息进行验证，其中服务端证书信息由第三方证书授权中心颁发；

第一发送模块802，配置为当服务端证书信息与第三方证书授权中心根证书相匹配时，向服务端发送反馈信息以建立基于安全传输层协议的数据加密传输通道；以及

第二发送模块803，配置为通过数据加密传输通道向服务端发送访问信息，其中，访问信息包括与本地设备对应的身份认证标识。

在本申请一实施例中，如图9所示，本地设备为第二预设类型，本地设备配置为订阅第一预设类型的物联网设备80发布的预设主题，该物联网设备80进一步包括：

订阅执行模块804，配置为根据第一预设类型的物联网设备80发布的预设主题的内容执行对应操作；其中，第一预设类型的物联网设备80具备服务端的所有访问权限。

上述物联网设备访问控制装置60/物联网设备80中的各个模块的具体功能和操作已经在上面参考图1到图5描述的物联网设备访问控制方法/物联网设备访问方法中进行了详细介绍，上述物联网设备访问控制装置60/物联网设备80中的各个模块的具体功能和操作已经在上面参考图1到图5描述的物联网设备访问控制方法/物联网设备访问方法中进行了详细介绍，因此，这里将省略其重复描述。

需要说明的是，根据本申请实施例的物联网设备访问控制装置60/物联网设备80可以作为一个软件模块和/或硬件模块而集成到电子设备90中，换言之，该电子设备90可以包括该物联网设备访问控制装置60/物联网设备80。例如，该物联网设备访问控制装置60/物联网设备80可以是该电子设备90的操作系统中的一个软件模块，或者可以是针对于其所开发的一个应用程序；当然，该物联网设备访问控制装置60/物联网设备80同样可以是该电子设备90的众多硬件模块之一。

在本申请另一实施例中，该物联网设备访问控制装置60/物联网设备80与该电子设备90也可以是分立的设备(例如，服务器)，并且该物联网设备访问控制装置60/物联网设备80可以通过有线和/或无线网络连接到该电子设备90，并且按照约定的数据格式来传输交互信息。

图10所示为本申请一实施例提供的电子设备的结构示意图。如图8所示，该电子设备90包括：一个或多个处理器901和存储器902；以及存储在存储器902中的计算机程序指令，计算机程序指令在被处理器901运行时使得处理器901执行如上述任一实施例的物联网设备访问控制方法/物联网设备访问方法。

处理器901可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备中的其他组件以执行期望的功能。

存储器902可以包括一个或多个计算机程序产品，所述计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器901可以运行所述程序指令，以实现上文所述的本申请的各个实施例的物联网设备访问控制方法/物联网设备访问方法中的步骤以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如光线强度、补偿光强度、滤光片的位置等信息。

在一个示例中，电子设备90还可以包括：输入装置903和输出装置904，这些组件通过总线系统和/或其他形式的连接机构(图7中未示出)互连。

例如，在该电子设备是如工业生产线上的机器人时，该输入装置903可以是摄像头，用于捕捉待加工零件的位置。在该电子设备是单机设备时，该输入装置903可以是通信网络连接器，用于从外部的可移动设备接收所采集的输入信号。此外，该输入设备903还可以包括例如键盘、鼠标、麦克风等等。

该输出装置904可以向外部输出各种信息，例如可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。

当然，为了简化，图7中仅示出了该电子设备90中与本申请有关的组件中的一些，省略了诸如总线、输入装置/输出接口等组件。除此之外，根据具体应用情况，电子设备90还可以包括任何其他适当的组件。

除了上述方法和设备以外，本申请的实施例还可以是计算机程序产品，包括计算机程序指令，计算机程序指令在被处理器运行时使得处理器执行如上述任一实施例的物联网设备访问控制方法/物联网设备访问方法中的步骤。

计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本申请实施例操作的程序代码，所述程序设计语言包括面向对象的程序设计语言，诸如Java、C++等，还包括常规的过程式程序设计语言，诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。

此外，本申请的实施例还可以是计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性物联网设备访问控制方法/物联网设备访问方法”部分中描述的根据本申请各种实施例的物联网设备访问控制方法/物联网设备访问方法中的步骤。

所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器((RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

以上结合具体实施例描述了本申请的基本原理，但是，需要指出的是，在本申请中提及的优点、优势、效果等仅是示例而非限制，不能认为这些优点、优势、效果等是本申请的各个实施例必须具备的。另外，上述公开的具体细节仅是为了示例的作用和便于理解的作用，而非限制，上述细节并不限制本申请为必须采用上述具体的细节来实现。

本申请中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的，可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇，指“包括但不限于”，且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”，且可与其互换使用，除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”，且可与其互换使用。

还需要指出的是，在本申请的装置、设备和方法中，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本申请的等效方案。

提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本申请。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的，并且在此定义的一般原理可以应用于其他方面而不脱离本申请的范围。因此，本申请不意图被限制到在此示出的方面，而是按照与在此公开的原理和新颖的特征一致的最宽范围。

为了例示和描述的目的已经给出了以上描述。此外，此描述不意图将本申请的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例，但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换等，均应包含在本申请的保护范围之内。