【技术实现步骤摘要】
一种物联网终端数据安全接收、发送的系统
本专利技术涉及信息安全
,尤其是涉及一种物联网终端数据安全接收、发送的系统。
技术介绍
随着网络技术的广泛应用,小到一家企业、一栋大楼,大到一座城市,都部署了大量的网络终端,包括视频监控摄像机、视频会议系统、物联网数据采集系统等。这些系统在数据传输时,大都采用明文传输,传输数据很容易被窃取;并且一般缺少安全有效的防护手段,缺少对弱口令、系统漏洞、web漏攻等攻击手段的有效防范措施。特别在视频监控系统中,存在摄像机、监控视频被非法替换或篡改等的风险。
技术实现思路
本专利技术的目的在于提供一种物联网终端数据安全接收、发送的系统,以解决现有的物联网数据传输安全性差、抗攻击能力弱的问题。本专利技术解决上述技术问题采用的技术方案为:一种物联网终端数据安全接收、发送的系统,包括网络协议处理模块、访问控制模块和数据加解密模块,所述的网络协议处理模块,负责对网络协议的解析和重构;所述访问控制模块实现对通过安全终端的流量进行控制,系统自身流量和已经允许的业务流量,可以通过物联网终端,未经允许的非法流量、未知流量,无法通过安全终端;所述的数据加解密模块,负责对通过终端的业务数据进行加解密并作完整性鉴别,如果完整性鉴别未通过,则丢弃该数据包;所述的访问控制模块的工作方式为:物联网终端联入网络中首先登录服务端的安全网关,登录双向验证后进行密钥协商;所述协议处理模块完成协议的解析和重构功能;所述加解密模块完成业务数据的加解密和完整性鉴别功能,业 ...
【技术保护点】
1.一种物联网终端数据安全接收、发送的系统,其特征在于:包括网络协议处理模块、访问控制模块和数据加解密模块,所述的网络协议处理模块,负责对网络协议的解析和重构;所述访问控制模块实现对通过安全终端的流量进行控制,系统自身流量和已经允许的业务流量,可以通过物联网终端,未经允许的非法流量、未知流量,无法通过安全终端;所述的数据加解密模块,负责对通过终端的业务数据进行加解密并作完整性鉴别,如果完整性鉴别未通过,则丢弃该数据包。/n
【技术特征摘要】
1.一种物联网终端数据安全接收、发送的系统,其特征在于:包括网络协议处理模块、访问控制模块和数据加解密模块,所述的网络协议处理模块,负责对网络协议的解析和重构;所述访问控制模块实现对通过安全终端的流量进行控制,系统自身流量和已经允许的业务流量,可以通过物联网终端,未经允许的非法流量、未知流量,无法通过安全终端;所述的数据加解密模块,负责对通过终端的业务数据进行加解密并作完整性鉴别,如果完整性鉴别未通过,则丢弃该数据包。
2.据权利要求1所述的一种物联网终端数据安全接收、发送的系统,其特征在于:所述的访问控制模块的工作方式为:物联网终端联入网络中首先登录服务端的安全网关,登录双向验证后进行密钥协商;
所述协议处理模块完成协议的解析和重构功能;所述加解密模块完成业务数据的加解密和完整性鉴别功能,业务数据加密封装格式采用ESP协议格式,并采用ESP的隧道模式。
3.据权利要求1或2所述的一种物联网终端数据安全接收、发送的系统,其特征在于:所述的访问控制模块控制物联网终端登录服务端的安全网关,其身份认证过程为:
TokenAB=Ra||Rb||sSa(Ra||Rb)
TokenBA=Rb||Ra||sSb(Rb||Ra)
(1)发起方B产生随机数Rb,将Rb发送给应答方A;
(2)应答方A产生随机数Ra,并对Ra||Rb进行签名,组成TokenAB,将TokenAB发送给发起方B;
(3)发起方B从信任列表白名单中获得应答方A的签名公钥;
(4)发起方B验证TokenAB中的签名信息,组成TokenBA,将TokenBA发送给应答方A;
(5)应答方A从信任列表白名单中获得发起方B的签名公钥;
(6)应答方A验证TokenBA中的签名信息;
所述的访问控制模块控制物联网终端进行密钥协商的流程为:
(1)发起方B生成随机数R作为会话密钥;
(2)发起方B从信任列表白名单中获得应答方A的加密公钥;
(3)发起方B使用应答方A的加密公钥加密随机数R,并将密文值发送给应答方A;
(4)应答方使用加密私钥进行解密获得随机数R。
4.根据权利要求3所述的一种物联网终端数据安全接收、发送的系统,其特征在于:所述的ESP头部格式:
(1)安全参数索引SPI(32位):它与目的IP地址和安全协议共同标识了这个数据报文的安全联盟,用来标识发送方在处理IP数据包时使用了哪些安全策略,当接收方解析这个字段后就知道如何处理收到的包;
(2)序列号(32位):一个单调递增的计数器,为每个包赋予一个序号,当通信双方建立安全联盟(SA)时,初始化为0,SA是单向的,每发送/接收一个包,外出/进入SA的计数器增1,该字段可用于抗重放攻击;
(3)载荷数据:是变长的字段,他包含初始化向量IV和下一个头字段所描述的数据,其长度单位为字节,IV位于载荷数据的首部;
(4)填充数据:如果载荷数据的长度不是加密算法的分组长度的整数倍,则需要对不足的部分进行填充,填充以字节为单位;
(5)填充长度:以字节为单位指示填充项长度,范围为[0,255],保证加密数据的长度适应分组加密算法的长度,其中0表示没有填充字节;
(6)下一个头:表示紧跟在ESP头部后面的协议,该字段是处于保护中的传输层协议的值;
(7)鉴别数据:是变长字段,它是一个完整性校验值ICV,是对ESP报文去掉ICV外的其余部分进行完整性校验计算所得的值,只有选择了验证服务时才需要有该字段,...
【专利技术属性】
技术研发人员:李正宏,陈黎明,丁树业,
申请(专利权)人:无锡艾立德智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。