一种物联网边缘网关安全架构系统技术方案

本发明专利技术涉及一种物联网边缘网关安全架构系统，包括业务功能模块和安全体系模块，所述的业务功能模块包括用于通信协议的解析与封装模块、数据的运算与存储模块、数据的封装与解析模块、模型训练与应用模块，终端设备管理模块；所述的安全体系模块包括防止接入终端设备的恶意攻击的流控策略模块，用于确认网关和终端设备的真伪、防止设备伪造的身份认证模块，通过用于确保通信安全、预防各类安全风险的通信监管和数据加密模块。本方案可以全面预防和防御，涉及终端攻击、网关防伪、通信过程与数据的安全隐患问题，增强物联网边缘网关与云端服务的安全性。端服务的安全性。端服务的安全性。

【技术实现步骤摘要】
一种物联网边缘网关安全架构系统


[0001]本专利技术涉及的是物联网的边缘网关领域，是一种基于物联网边缘网关的安全架构系统，可以应用于物联网领域下基于边缘计算网关实现各方面安全防护功能。

技术介绍

[0002]近年来随着物联网技术的飞速发展，物联网应用场景越来越多，接入物联网的物体数量也在快速增加，物联网安全问题也愈发凸显。受终端计算资源限制、网络时延、通信协议等因素影响，基于边缘计算节点的解决方案趋于主流，边缘网关是其中典型的一类装置，既承担终端设备的通信接入与协议转换功能，又具有一定的计算处理能力，其在整个物联网的安全性方面尤为重要，需要考虑以下三个方面：一是预防终端的恶意攻击；二是边缘网关本身的防伪认证；三是通信数据和通信过程的安全。申请号为201611168351.9，名称为“一种面向智能终端的物联网安全防御系统”的专利申请，提到的物联网安全网关，是功能包括云服务管理模块、接入终端管理模块、身份认证模块及安全策略库(IP黑名单、敏感词、攻击特征)的软网关，身份认证、IP黑名单库、敏感词库、攻击特征库按顺序逐一排查通过后调用云服务，该方案可以起到保护云服务的作用，但是降低了服务访问时效，此外，该网关和本方案的带有边缘计算能力的网关节点不是同一个概念，部署方式、位置以及使用场景均不同；其他物联网安全相关的方案大多采用以下方案中的某一种：CA数字证书和签名在物联网网关和终端中用于身份认证的改进，针对于工控网使用网盾技术实现攻击行为自动判断与拦截，添加用户与终端设备的访问权限增加安全性，防DDoS攻击等，均没有从防伪、通信、防攻击全方位的给出一种安全的解决方案。

技术实现思路

[0003]本专利技术针对上述问题，提出了一种物联网边缘网关安全架构系统，可以全面预防和防御，涉及终端攻击、网关防伪、通信过程与数据的安全隐患问题，增强物联网边缘网关与云端服务的安全性。
[0004]本专利技术提供如下技术方案：一种物联网边缘网关安全架构系统，包括业务功能模块和安全体系模块，所述的业务功能模块包括通信协议的解析与封装模块、数据的运算与存储模块、数据的封装与解析模块、模型训练与应用模块，终端设备管理模块；所述的安全体系模块包括防止接入终端设备的恶意攻击的流控策略模块，用于确认网关和终端设备的真伪、防止设备伪造的身份认证模块，通过用于确保通信安全、预防各类安全风险的通信监管和数据加密模块。
[0005]本方案中，流控策略模块，对于接入的设备，限制每秒流量数、每分钟报文数以及单个报文大小，对于超出限定值的设备，及时断开设备连接；按设备、设备类型或协议类型设置阈值；通过流量统计分析模块分析接入设备的每秒流量数、每分钟报文数以及单个报文大小，结合流控策略库中的设定值进行流控；物联网边缘网关主动断开设备连接后，设备在一段时间内处于禁用状态，禁用时长可在流控策略库中设定；等禁用期过后设备重新启
用，或通过云平台修改设备状态重新启用。
[0006]身份认证模块包括身份标识和加密机制，身份标识是网关和终端设备在物联网系统中的唯一标识，加密机制：物联网边缘网关采用一机一密进行密钥分发和加密；终端设备采用一机一密或一型一密进行加密，一机一密是一个设备分配和使用一个密钥；一型一密是一个类型的终端设备共同使用一个密钥。
[0007]身份标识采用身份识别卡或身份识别码，所述身份识别卡和身份识别码中包含含有终端设备生产时间、位置、编号的特征码，上述的两种方式可以归结为硬件芯片方案和自定义生成规则相结合的方式这样两个方向，从这两个方向来确定设备的唯一标识。
[0008]数据监管与通信数据加密模块包括恶意代码特征库、信息监听模块、通信数据加密模块、链路监控模块；恶意代码特征库即病毒库，网关启动一个进程时，数据监管与通信数据加密模块就会将其特征与病毒库中的特征进行匹配，没有匹配成功则进程启动正常；匹配成功则禁止该进程启动；信息监管模块用于监管接入设备的基本信息；通信数据加密模块用于对物联网边缘网关与云端服务之间的通信数据加密，从云端下载网关侧加解密使用的SDK，加密算法可根据实际使用需要进行选择；网关侧生成从终端到物联网边缘网关到平台相关的调用链路，链路监控模块对链轮进行监测，实现对数据流向的监控，确保数据安全和运行安全。
[0009]所述的基本信息包括设备厂家、型号、操作系统、访问的用户名、密码、可访问的端口信息，当监测到进程使用未开放的端口时，禁止进程启动。
[0010]通信协议的解析与封装模块用于对设备的通信协议进行识别和解释、对通信协议中的数据进行封装；解析和封装模块接收终端设备发送的带有协议标志符的数据包，并判断协议标志符所对应的协议是否是允许进行通信的协议，所述的协议标志符为终端设备可以进行通信协议的列表。
[0011]通信协议的解析和封装模块根据获得的协议标志符无法在协议数据库中调取匹配通信协议时，则将协议标志符发送到安全云服务器，从安全云服务器获得此协议标志符对应的通信协议并安装，建立与终端设备的通信。
[0012]数据的封装与解析模块进行封装时，首先将数据封装成数据报文，然后再将数据报文封装成数据包。
[0013]所述终端设备管理模块包括：管理库模块，用于存储终端设备的管理类型以及设备标识；信息调取模块，用于获取所述终端设备标识对应的设备固件信息；判断模块，用于判断设备标识对应的终端设备是否在线，若设备标识的对应设备离线，则等待所述设备标识对应设备接入物联网。
[0014]通过上述描述可以看出，本方案的系统可以全面预防和防御，涉及终端攻击、网关防伪、通信过程与数据的安全隐患问题，增强物联网边缘网关与云端服务的安全性。
附图说明
[0015]图1为物联网应用系统示意图。
[0016]图2为本专利技术具体实施方式的示意图。
具体实施方式
[0017]下面将结合本专利技术实施例中的附图，对本专利技术具体实施方式中的技术方案进行清楚、完整地描述，显然，所描述的具体实施方式仅仅是本专利技术一种具体实施方式，而不是全部的具体实施方式。基于本专利技术中的具体实施方式，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他具体实施方式，都属于本专利技术保护的范围。
[0018]如图1所示，物联网应用系统中各类协议的物联网终端设备通过物联网边缘网关实现与云端服务、局域网应用系统进行交互，云端服务包括但不限于业务云服务平台、安全云服务平台、消息队列服务等，局域网应用系统一般用于具体应用场景的监测、监管与运维保障，根据建设需求建设。从图中可以看出物联网边缘网关在整个体系中的核心地位，是物联网系统安全的关键。
[0019]本专利技术提供了一种物联网边缘网关安全架构系统，包括业务功能模块和安全体系模块，用于实现与云端服务、局域网应用系统进行交互。
[0020]安全体系模块包括防止接入终端设备的恶意攻击的流控策略模块，用于确认网关和终端设备的真伪、防止设备伪造的身份认证模块，通过用于确保通信安全、预防各类安全风险的通信监管和数据加密模块。
[0021]流控策本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种物联网边缘网关安全架构系统，其特征是：包括业务功能模块和安全体系模块，所述的业务功能模块包括用于通信协议的解析与封装模块、数据的运算与存储模块、数据的封装与解析模块、模型训练与应用模块，终端设备管理模块；所述的安全体系模块包括防止接入终端设备的恶意攻击的流控策略模块，用于确认网关和终端设备的真伪、防止设备伪造的身份认证模块，通过用于确保通信安全、预防各类安全风险的通信监管和数据加密模块。2.根据权利要求1所述的物联网边缘网关安全架构系统，其特征在于，流控策略模块，对于接入的设备，限制每秒流量数、每分钟报文数以及单个报文大小，对于超出限定值的设备，及时断开设备连接；按设备、设备类型或协议类型设置阈值；通过流量统计分析模块分析接入设备的每秒流量数、每分钟报文数以及单个报文大小，结合流控策略库中的设定值进行流控；物联网边缘网关主动断开设备连接后，设备在一段时间内处于禁用状态，禁用时长可在流控策略库中设定；等禁用期过后设备重新启用，或通过云平台修改设备状态重新启用。3.根据权利要求1所述的物联网边缘网关安全架构系统，其特征是在于，身份认证模块包括身份标识和加密机制，身份标识是网关和终端设备在物联网系统中的唯一标识，加密机制：物联网边缘网关采用一机一密进行密钥分发和加密；终端设备采用一机一密或一型一密进行加密，一机一密是一个设备分配和使用一个密钥；一型一密是一个类型的终端设备共同使用一个密钥。4.根据权利要求3所述的物联网边缘网关安全架构系统，其特征是在于，身份标识采用身份识别卡或身份识别码，所述身份识别卡和身份识别码中包含含有终端设备生产时间、位置、编号的特征码。5.根据权利要求1所述的物联网边缘网关安全架构系统，其特征是在于，数据监管与通信数据加密模块包括恶意代码特征库、信息监听模块、通信数据加密模块、链路监控模块；恶意代码特征库即病毒库，网关启动一个进程时，数据监管与通信数据加密模块就会将其特...

【专利技术属性】
技术研发人员：刘佩云，龚军，田承东，窦攀松，
申请(专利权)人：中国电子科技集团公司信息科学研究院，
类型：发明
国别省市：