【技术实现步骤摘要】
一种NB
‑
IOT物联网终端安全接入系统及接入方法
[0001]本专利技术涉及一种NB
‑
IOT物联网终端安全接入系统及接入方法,属于物联终端安全接入
技术介绍
[0002]NB
‑
IoT技术作为5G的先行者,具有低功耗、强连接、深覆盖、低成本等优点,目前已在全国基本实现全覆盖,在各行业得到了广泛应用。但是NB
‑
IoT在实际应用中也存在潜在风险,主要体现在:(1)使用NB
‑
IoT的终端大多部署于露天、无人看守等安全性较低的户外环境,存在被替换或非法接入的风险;(2)使用NB
‑
IoT的终端多为计算、存储、供电等能力较弱的弱资源终端,自身安全防护能力较弱,极易被攻破,造成拒绝服务攻击;(3)NB
‑
IoT完全借助于运营商提供的公共无线信道,存在敏感信息泄露的风险。
[0003]现有NB
‑
IoT终端的接入过程涉及NB
‑
IoT终端、运营商物联网平台和业务主站三类实体,NB
‑
IoT终端向业务主站传输数据的过程包括两个阶段:1) NB
‑
IoT终端与运营商物联网平台基于DTLS协议建立安全数据传输通道,将数据加密后发送至物联网平台;2) 物联网平台将数据解密,并与业务主站基于SSL/TLS协议建立安全通道,重新将数据加密后发送至业务主站。反之,业务主站向NB
‑
IoT终端发送指令的过程类 ...
【技术保护点】
【技术特征摘要】
1.一种NB
‑
IOT物联网终端安全接入系统,其特征在于:包括运营商物联网平台、布设于用户现场的各个安全NB
‑
IoT物联网终端、以及布设于业务企业内网的NB
‑
IoT安全接入网关、安全认证系统、业务主站;其中,NB
‑
IoT安全接入网关部署于业务企业内网中的边界安全接入区,安全认证系统部署于业务企业内网中的安全基础设施区;NB
‑
IoT安全接入网关分别连接业务主站、安全认证系统进行通信;各个安全NB
‑
IoT物联网终端分别经运营商物联网平台对接业务企业内网中的NB
‑
IoT安全接入网关进行通信;各个安全NB
‑
IoT物联网终端分别用于对现场数据进行采集、以及对发送接收数据的加解密;NB
‑
IoT安全接入网关用于实现与安全NB
‑
IoT物联网终端之间安全数据传输通道的建立、以及对安全NB
‑
IoT物联网终端进行身份认证、对传输数据进行加解密;安全认证系统用于来自安全NB
‑
IoT物联网终端和NB
‑
IoT安全接入网关的终端证书的申请进行审核、并将终端证书分发给相应NB
‑
IoT物联网终端和NB
‑
IoT安全接入网关,同时安全认证系统用于对终端证书的时效性和合法性进行验证;各个安全NB
‑
IoT物联网终端基于NB
‑
IoT安全接入网关的身份认证、以及安全认证系统的审核与验证,进而实现与业务主站之间的业务数据通信。2.根据权利要求1所述一种NB
‑
IOT物联网终端安全接入系统,其特征在于:还包括布设于业务企业内网中安全基础设施区的统一管理与监测系统,NB
‑
IoT安全接入网关连接统一管理与监测系统进行通信;由统一管理与监测系统用于针对各安全NB
‑
IoT物联网终端和NB
‑
IoT安全接入网关的运行状态、在线/离线状态、安全状态进行实时监控。3.根据权利要求1或2所述一种NB
‑
IOT物联网终端安全接入系统,其特征在于:所述各安全NB
‑
IoT物联网终端的结构彼此相同,各安全NB
‑
IoT物联网终端分别均包括数据采集模块、安全检测模块、安全通信模块、以及硬件密码模块;其中,数据采集模块与安全检查模块相连进行通信,数据采集模块用于对现场数据进行采集、以及用于接收来自业务主站下发的控制指令进行工作,并将采集所获数据转发到安全检查模块;安全检查模块用于对来自数据采集模块的数据和来自业务主站下发的控制指令进行格式检查和内容检查,过滤预设非法数据,并继续向安全通信模块或数据采集模块发送;安全通信模块分别与安全检查模块和硬件密码模块相连进行通信,安全通信模块调用所连硬件密码模块所提供的加解密安全服务对来自安全检查模块过滤后的数据进行安全保护,并向运营商物联网平台发送,以及安全通信模块调用所连硬件密码模块所提供的加解密安全服务对自业务主站下发的控制指令解除安全保护,并向安全检查模块发送。4.根据权利要求1或2所述一种NB
‑
IOT物联网终端安全接入系统,其特征在于:所述NB
‑
IoT安全接入网关包括安全接入服务模块、安全过滤模块、数据转发模块、硬件密码模块;安全接入服务模块分别与安全过滤模块和硬件密码模块相连进行通信,由安全接入服务模块读取存储在所连硬件密码模块中各安全NB
‑
IoT物联网终端对应的终端证书列表,验证安全NB
‑
IoT物联网终端的身份;并且由安全接入服务模块调用所连硬件密码模块所提供的加解密安全服务、针对来自安全NB
‑
IoT物联网终端的数据进行解密,并转发给安全过滤模块;以及由安全接入服务模块调用所连硬件密码模块所提供的加解密安全服务、针对自业务主站下发的控制指令进行加密;安全过滤模块分别与数据转发模块和硬件密码模块相连进行通信,由安全过滤模块读
取存储在所连硬件密码模块中的安全策略文件,针对来自安全接入服务模块的数据和自业务主站下发、来自数据转发模块的控制指令,依据安全策略文件中过滤策略进行格式和内容检查,将符合策略的进行转发,不符合策略进行丢弃;数据转发模块用于将经过安全过滤模块过滤的数据转发给业务主站,以及数据转发模块用于将自业务主站下发的控制指令转发给安全过滤模块。5.根据权利要求2所述一种NB
‑
IOT物联网终端安全接入系统,其特征在于:所述运营商物联网平台包括交换机与物联网平台,各个安全NB
‑
IoT物联网终端分别经NB
‑
IoT网络对接运营商物联网平台中的交换机,并经该交换机分别对接物联网平台、以及业务企业内网;业务企业内网中还包括第一交换机与第二交换机,各安全NB
‑
IoT物联网终端分别经运营商物联网平台中的交换机后、通过公共有线网络对接业务企业内网中的第一交换机,并经该第一交换机通过企业局域网对接NB
‑
IoT安全接入网关进行通信,同时NB
‑
IoT安全接入网关通过企业局域网经第二交换机分别对接统一管理与监测系统、业务主站、安全认证系统进行通信。6.一种基于权利要求2至5中任意一项所述一种NB
‑
IOT物联网终端安全接入系统的接入方法,其特征在于:基于以下四点初始化操作,然后执行如下步骤i至步骤v,实现安全NB
‑
IoT物联网终端的身份认证、以及会话密钥的确认;初始化各安全NB
‑
IoT物联网终端中安全通信模块的唯一标识和硬件密码模块的唯一标识,组合作为各安全NB
‑
IoT物联网终端的终端可信标识,实现各安全NB
‑
IoT物联网终端的终端证书分别与其终端可信标识的一一对应;初始化将各安全NB
‑
IoT物联网终端的终端证书预先存储到NB
‑
IoT安全接入网关的硬件密码模块中终端证书列表中,不同安全NB
‑
IoT物联网终端的终端证书用通过终端可信标识进行区分;初始化各安全NB
‑
IoT物联网终端...
【专利技术属性】
技术研发人员:陈飞,胡静,张云,
申请(专利权)人:信联科技南京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。