一种面向5G网络的物联网终端安全汇聚接入方法及系统技术方案

本发明专利技术涉及一种面向5G网络的物联网终端安全汇聚接入方法，采用全新布局架构下的多端交互认证方法，通过分级式安全认证方式，针对弱计算资源的物联网终端设备，采用轻量级接入认证技术实现物联网终端设备与安全汇聚系统间的安全接入防护，并采用基于PKI系统的接入认证技术实现安全汇聚系统与目标物联网平台间的安全接入防护，能够有效提高物联终端接入汇聚实际应用中的高效性与安全性；并且进一步设计应用此方法的系统，集成串口、网口及各类局域网无线通信模组，利用数据格式与类型的分析与分类存储，最终使用5G网络完成数据的北向传输，可实现不同设备厂家的各类物联网设备统一接入汇聚，提高实际物联终端汇聚的工作效率。

【技术实现步骤摘要】
一种面向5G网络的物联网终端安全汇聚接入方法及系统
本专利技术涉及一种面向5G网络的物联网终端安全汇聚接入方法及系统，属于物联安全接入

技术介绍
5G时代的来临不仅可以为人提供更加便捷的移动互联服务，也依靠其高速率、大容量和低时延高可靠的特点，成为万物互联的关键技术。根据IoTAnalytics咨询机构预测，当前运营商物联网连接数呈指数级增长，预计2021年全球的物联网连接数将超过人联网连接数。全球IT研究与顾问咨询公司Gartner预测，全球接入互联网的设备将在2020年增至208亿台。随着5G网络中海量物联设备的持续高速接入，各种网络安全问题成为摆在政府监管和各类企业面前的一道难题。物联网设备本身存在类型繁杂和数量众多的特点，随着5G网络的高速发展，在增加物联网设备接入的数量级的同时，也提升了物联网设备安全问题的危害广泛性与传播能力，存在多方面的问题和挑战。（1）物联设备接入的高速增加为企业带来海量的原始数据，为以数据中台为核心的企业应用增加了存储扩容和海量数据高速处理的压力，必须在物联网感知层与网络层之间，通过边缘计算的方式，对海量物联网设备数据进行存储和分析，仅将企业应用所需的内容分析结果及关键原始数据传递给云/数据中心做进一步分析和长久存储。（2）物联网设备包含传感器、工业PLC、智能摄像头等多种类型各样架构的设备，难以通过统一的措施实现设备的安全管控。目前多数企业通过设备ID来实现对物联网设备的全生命周期管理，但是由于设备自身资源有限，无法对ID的篡改与伪造提供保护功能，使得物联网中仿冒终端、伪造数据、中间人攻击的安全事件频繁发生，必须通过更安全的标识手段，实现对物联设备的统一标识管理。现有技术关于物联接入技术的实际实施应用中，主要体现于以下两方面。（1）目前市场上应用广泛的边缘计算设备为传感器汇聚网关，主要为传感器设备厂家为自身设备配套生产，通过lora、zigbee、485串口等短距离通信方式采集局域网内的物联网设备数据，经过协议转换后，利用网口或GPRS/4G网络进行北向数据上送，可兼容汇聚的传感器类型有限，且自身不具备边缘计算功能。（2）目前最成熟的安全接入技术主要有IPSecVPN和SSLVPN两种，但是两种方案均对前端设备有较高的计算资源要求，一般用于智能手机、PC等智能终端设备，难以适应物联网设备多类异构且自身计算资源有限的特点。
技术实现思路
本专利技术所要解决的技术问题是提供一种面向5G网络的物联网终端安全汇聚接入方法，引入全新认证布局与过程，能够有效提高物联终端汇聚的高效性与安全性。本专利技术为了解决上述技术问题采用以下技术方案：本专利技术设计了一种面向5G网络的物联网终端安全汇聚接入方法，用于实现各物联网终端设备所采集数据向目标物联网平台的安全上传，基于内置安全认证系统的安全接入模块，以及数据接收接口、数据发送接口；在目标物联网平台与各物联网终端设备分别均通过安全接入模块中的安全认证系统实现安全认证接入后，首先由数据接收接口接收来自物联网终端设备的采集数据，然后转发至数据发送接口，最后由数据发送接口向目标物联网平台实现数据上传；并且目标物联网平台的安全认证接入方式与物联网终端设备的安全认证接入方式彼此不同；其中，安全接入模块中的安全认证系统基于与其相对接的密钥生成中心进行应用，所述各物联网终端设备分别执行如下步骤I1至步骤I8，通过安全接入模块中的安全认证系统实现安全认证接入；步骤I1.物联网终端设备向安全认证系统发送参数申请报文，获得密钥生成中心的公钥，然后进入步骤I2；步骤I2.物联网终端设备应用密钥生成中心的公钥针对其设备ID、以及随机所获的随机数进行加密，构建私钥申请报文，并经安全认证系统转发至密钥生成中心，然后进入步骤I3；步骤I3.密钥生成中心接收私钥申请报文，并应用私钥进行解密，获得其中的设备ID与随机数，然后进入步骤I4；步骤I4.密钥生成中心根据解密所获设备ID，分别计算获得终端签名私钥和终端加密私钥，并由密钥生成中心应用解密所获的随机数，针对终端签名私钥、终端加密私钥、以及密钥申请时间、密钥有效期进行加密，构成注册结果，再经安全认证系统反馈至物联网终端设备，然后进入步骤I5；步骤I5.由物联网终端设备应用步骤I2中其所获得的随机数，针对注册结果进行解密，获得其中的终端签名私钥、终端加密私钥、密钥申请时间、密钥有效期，然后进入步骤I6；步骤I6.物联网终端设备生成随机数作为对称密钥，并应用终端加密私钥针对对称密钥进行加密，并针对所获密文，结合设备ID、密钥申请时间、以及密钥有效期，构建认证申请，然后进入步骤I7；步骤I7.物联网终端设备应用终端签名私钥，针对认证申请进行签名，并将认证申请与签名发送至安全认证系统，然后进入步骤I8；步骤I8.由安全认证系统针对所接收到的认证申请与签名进行验证，若验证通过，则物联网终端设备完成安全认证接入，若验证未通过，则物联网终端设备安全认证接入失败。作为本专利技术的一种优选技术方案，所述步骤I8中包括如下：步骤I8-1.安全认证系统针对所接收到的认证申请与签名，获取其中的设备ID、加密对称密钥、密钥申请时间、以及密钥有效期，由安全认证系统验证密钥有效期是否过期，是则物联网终端设备安全认证接入失败；否则进入步骤I8-2；步骤I8-2.由安全认证系统针对认证申请进行验证，是则进入步骤I8-3；否则物联网终端设备安全认证接入失败；步骤I8-3.由安全认证系统针对加密对称密钥进行解密，获取对称密钥明文，并结合所获认证申请、签名，一并转发至物联网终端设备，然后进入步骤I8-4；步骤I8-4.物联网终端设备接收来自安全认证系统的对称密钥明文、认证申请、签名，并针对对称密钥明文与步骤I6中由物联网终端设备所生成随机数的对称密钥进行比较，若彼此相同，则物联网终端设备安全认证接入成功；若彼此不相同，则物联网终端设备安全认证接入失败。作为本专利技术的一种优选技术方案：所述目标物联网平台包括相对接的目标物联管理平台与安全接入网关，所述目标物联网平台执行如下步骤II1至步骤II4，通过安全接入模块中的安全认证系统实现安全认证接入；步骤II1.安全认证系统生成证书签发中心证书请求，由证书签发中心签发接入节点证书，并返回安全认证系统，再由安全认证系统导入接入节点证书、以及来自安全接入网关的安全接入网关证书，然后进入步骤II2；步骤II2.安全认证系统将接入节点证书发送至安全接入网关，由安全接入网关导入接入节点证书，然后进入步骤II3；步骤II3.安全认证系统建立其与安全接入网关之间的SSL连接，并由安全认证系统通过SSL扩展信息向安全接入网关上报可信启动信息，再由安全接入网关根据可信启动信息远程证明安全认证系统的完整性；同时首先由安全接入网关应用SSL协议针对安全认证系统进行身份认证，然后安全认证系统应用SSL协议对安全接入网关进行身份认证，由此实现双向认证；若上述本文档来自技高网...

【技术保护点】
1.一种面向5G网络的物联网终端安全汇聚接入方法，用于实现各物联网终端设备所采集数据向目标物联网平台的安全上传，其特征在于：基于内置安全认证系统的安全接入模块，以及数据接收接口、数据发送接口；/n在目标物联网平台与各物联网终端设备分别均通过安全接入模块中的安全认证系统实现安全认证接入后，首先由数据接收接口接收来自物联网终端设备的采集数据，然后转发至数据发送接口，最后由数据发送接口向目标物联网平台实现数据上传；/n并且目标物联网平台的安全认证接入方式与物联网终端设备的安全认证接入方式彼此不同；/n其中，安全接入模块中的安全认证系统基于与其相对接的密钥生成中心进行应用，所述各物联网终端设备分别执行如下步骤I1至步骤I8，通过安全接入模块中的安全认证系统实现安全认证接入；/n步骤I1. 物联网终端设备向安全认证系统发送参数申请报文，获得密钥生成中心的公钥，然后进入步骤I2；/n步骤I2. 物联网终端设备应用密钥生成中心的公钥针对其设备ID、以及随机所获的随机数进行加密，构建私钥申请报文，并经安全认证系统转发至密钥生成中心，然后进入步骤I3；/n步骤I3. 密钥生成中心接收私钥申请报文，并应用私钥进行解密，获得其中的设备ID与随机数，然后进入步骤I4；/n步骤I4. 密钥生成中心根据解密所获设备ID，分别计算获得终端签名私钥和终端加密私钥，并由密钥生成中心应用解密所获的随机数，针对终端签名私钥、终端加密私钥、以及密钥申请时间、密钥有效期进行加密，构成注册结果，再经安全认证系统反馈至物联网终端设备，然后进入步骤I5；/n步骤I5. 由物联网终端设备应用步骤I2中其所获得的随机数，针对注册结果进行解密，获得其中的终端签名私钥、终端加密私钥、密钥申请时间、密钥有效期，然后进入步骤I6；/n步骤I6. 物联网终端设备生成随机数作为对称密钥，并应用终端加密私钥针对对称密钥进行加密，并针对所获密文，结合设备ID、密钥申请时间、以及密钥有效期，构建认证申请，然后进入步骤I7；/n步骤I7. 物联网终端设备应用终端签名私钥，针对认证申请进行签名，并将认证申请与签名发送至安全认证系统，然后进入步骤I8；/n步骤I8. 由安全认证系统针对所接收到的认证申请与签名进行验证，若验证通过，则物联网终端设备完成安全认证接入，若验证未通过，则物联网终端设备安全认证接入失败。/n...

【技术特征摘要】
1.一种面向5G网络的物联网终端安全汇聚接入方法，用于实现各物联网终端设备所采集数据向目标物联网平台的安全上传，其特征在于：基于内置安全认证系统的安全接入模块，以及数据接收接口、数据发送接口；
在目标物联网平台与各物联网终端设备分别均通过安全接入模块中的安全认证系统实现安全认证接入后，首先由数据接收接口接收来自物联网终端设备的采集数据，然后转发至数据发送接口，最后由数据发送接口向目标物联网平台实现数据上传；
并且目标物联网平台的安全认证接入方式与物联网终端设备的安全认证接入方式彼此不同；
其中，安全接入模块中的安全认证系统基于与其相对接的密钥生成中心进行应用，所述各物联网终端设备分别执行如下步骤I1至步骤I8，通过安全接入模块中的安全认证系统实现安全认证接入；
步骤I1.物联网终端设备向安全认证系统发送参数申请报文，获得密钥生成中心的公钥，然后进入步骤I2；
步骤I2.物联网终端设备应用密钥生成中心的公钥针对其设备ID、以及随机所获的随机数进行加密，构建私钥申请报文，并经安全认证系统转发至密钥生成中心，然后进入步骤I3；
步骤I3.密钥生成中心接收私钥申请报文，并应用私钥进行解密，获得其中的设备ID与随机数，然后进入步骤I4；
步骤I4.密钥生成中心根据解密所获设备ID，分别计算获得终端签名私钥和终端加密私钥，并由密钥生成中心应用解密所获的随机数，针对终端签名私钥、终端加密私钥、以及密钥申请时间、密钥有效期进行加密，构成注册结果，再经安全认证系统反馈至物联网终端设备，然后进入步骤I5；
步骤I5.由物联网终端设备应用步骤I2中其所获得的随机数，针对注册结果进行解密，获得其中的终端签名私钥、终端加密私钥、密钥申请时间、密钥有效期，然后进入步骤I6；
步骤I6.物联网终端设备生成随机数作为对称密钥，并应用终端加密私钥针对对称密钥进行加密，并针对所获密文，结合设备ID、密钥申请时间、以及密钥有效期，构建认证申请，然后进入步骤I7；
步骤I7.物联网终端设备应用终端签名私钥，针对认证申请进行签名，并将认证申请与签名发送至安全认证系统，然后进入步骤I8；
步骤I8.由安全认证系统针对所接收到的认证申请与签名进行验证，若验证通过，则物联网终端设备完成安全认证接入，若验证未通过，则物联网终端设备安全认证接入失败。


2.根据权利要求1所述一种面向5G网络的物联网终端安全汇聚接入方法，其特征在于，所述步骤I8中包括如下：
步骤I8-1.安全认证系统针对所接收到的认证申请与签名，获取其中的设备ID、加密对称密钥、密钥申请时间、以及密钥有效期，由安全认证系统验证密钥有效期是否过期，是则物联网终端设备安全认证接入失败；否则进入步骤I8-2；
步骤I8-2.由安全认证系统针对认证申请进行验证，是则进入步骤I8-3；否则物联网终端设备安全认证接入失败；
步骤I8-3.由安全认证系统针对加密对称密钥进行解密，获取对称密钥明文，并结合所获认证申请、签名，一并转发至物联网终端设备，然后进入步骤I8-4；
步骤I8-4.物联网终端设备接收来自安全认证系统的对称密钥明文、认证申请、签名，并针对对称密钥明文与步骤I6中由物联网终端设备所生成随机数的对称密钥进行比较，若彼此相同，则物联网终端设备安全认证接入成功；若彼此不相同，则物联网终端设备安全认证接入失败。


3.根据权利要求1所述一种面向5G网络的物联网终端安全汇聚接入方法，其特征在于：所述目标物联网平台包括相对接的目标物联管理平台与安全接入网关，所述目标物联网平台执行如下步骤II1至步骤II4，通过安全接入模块中的安全认证系统实现安全认证接入；
步骤II1.安全认证系统生成证书签发中心证书请求，由证书签发中心签发接入节点证书，并返回安全认证系统，再由安全认证系统导入接入节点证书、以及来自安全接入网关的安全接入网关证书，然后进入步骤II2；
步骤II2.安全认证系统将接入节点证书发送至安全接入网关，由安全接入网关导入接入节点证书，然后进入步骤II3；
步骤II3.安全认证系统建立其与安全接入网关之间的SSL连接，并由安全认证系统通过SSL扩展信息向安全接入网关上报可信启动信息，再由安全接入网关根据可信启动信息远程证明安全认证系统的完整性；
同时首先由安全接入网关应用SSL协议针对安全认证系统进行身份认证，然后安全认证系统应用SSL协议对安全接入网关进行身份认证，由此实现双向认证；
若上述远程证明与双向认证均通过，则进入步骤II4；反之则目标物联网平台的安全认证接入失败；
步骤II4.安全认证...

【专利技术属性】
技术研发人员：张云，张胜，
申请(专利权)人：信联科技南京有限公司，
类型：发明
国别省市：江苏;32