基于物联网的终端安全控制方法及系统技术方案

本发明专利技术涉及一种基于物联网的终端安全控制方法。该方法通过终端和安全管理控制平台实现，终端具备窄宽带物联网模块，该方法包括：初始化配置步骤，在窄宽带物联网模块中配置关键字段信息，获取窄宽带物联网模块的初始位置信息，将模块标识信息以及关键字段信息与初始位置信息上传到安全管理控制平台；以及终端位置监控步骤，窄宽带物联网模块获取自身的实时位置信息并比较实时位置信息与述初始位置信息的差异是否超过预设范围，在超过预设范围的情况下生成预警信息并且将模块标识信息以及关键字段信息与预警信息上传到安全管理控制平台。根据本发明专利技术，能够实现对终端位置的监控并且保证数据传输的安全性。且保证数据传输的安全性。且保证数据传输的安全性。

【技术实现步骤摘要】
基于物联网的终端安全控制方法及系统


[0001]本专利技术涉及物联网技术，具体地涉及一种基于物联网的终端安全控制方法及其安全控制系统。

技术介绍

[0002]收单机构对支付受理终端的安全管理方法主要有两种方式，第一种方式是现场人工进行资产盘点，收单机构需要派工作人员到达特约商户现场，对终端布放位置进行实地检查和盘点；第二种方式是终端自主上传定位，收单机构进行远程资产盘点，支付受理终端在开机状态下通过基站、4G、Wi
‑
Fi等方式自动上传定位等信息，可有效降低收单机构人力成本。
[0003]但是，在第一种方式下，由于采用现场人工盘点的方式，人力成本较高且耗时较长，同时可能存在因人工的疏漏导致记录不齐全等问题。在第二种方式下，远程盘点仅适用于开机状态下的终端，无法盘点关机状态下的终端。

技术实现思路

[0004]鉴于上述问题，本专利技术旨在提出一种在终端为关机状态下也能够实现安全控制的基于物联网的终端安全控制方法及其安全控制系统。
[0005]本专利技术一方面的基于物联网的终端安全控制方法，其特征在于，该方法通过终端和安全管理控制平台实现，其中，所述终端具备窄宽带物联网模块，该方法包括：
[0006]初始化配置步骤，在所述窄宽带物联网模块中配置关键字段信息，获取所述窄宽带物联网模块的初始位置信息，将所述窄宽带物联网模块的模块标识信息以及所述关键字段信息与所述初始位置信息上传到所述安全管理控制平台；以及
[0007]终端位置监控步骤，所述窄宽带物联网模块获取自身的实时位置信息并比较所述实时位置信息与所述初始位置信息的差异是否超过预设范围，在超过预设范围的情况下生成偏离预警信息并且将所述模块标识信息以及所述关键字段信息与所述偏离预警信息上传到安全管理控制平台。
[0008]可选地，所述初始化配置步骤包括：
[0009]出厂配置子步骤，将根公钥证书写入所述窄宽带物联网模块并随机生成根加密密钥；
[0010]字段信息配置子步骤，在所述窄宽带物联网模块中配置所述关键字段信息；
[0011]安全启动子步骤，在所述窄宽带物联网模块启动后，采用所述根公钥对下一级的应用程序进行验证，仅在验证通过的情况下跳转到下一级应用程序运行，其中，所述应用程序采用所述根加密密钥签名；
[0012]双向认证子步骤，通过所述窄宽带物联网模块和所述安全管理控制平台之间进行双向认证实现TLS安全连接；以及
[0013]信息绑定子步骤，将所述模块标识信息以及所述关键字段信息与所述初始位置信
息上传到所述安全管理控制平台，并且将所述模块标识信息以及所述关键字段信息与所述初始位置信息绑定并在所述窄宽带物联网模块以及/或者所述安全管理控制平台存储绑定关系。
[0014]可选地，在所述字段信息配置子步骤，在所述窄宽带物联网模块中配置所述关键字段信息并且加密存储所述关键字段信息。
[0015]可选地，所述关键字段信息包括以下的一项或者多项：
[0016]终端序列号、终端型号信息、商户信息。
[0017]可选地，所述终端位置监控步骤包括：
[0018]唤醒子步骤，所述窄宽带物联网模块通过省电模式中的定时器在追踪区域更新周期结束时，从休眠状态唤醒进入连接状态；
[0019]双向认证子步骤，通过所述窄宽带物联网模块和安全管理控制平台之间进行双向认证实现TLS安全连接；
[0020]信息比较子步骤，终端获取自身的实时位置信息并比较所述实时位置信息与所述初始位置信息之间的差异是否超过预设范围，在超过预设范围的情况下生成偏离预警信息；以及
[0021]信息上送子步骤，将所述模块标识信息、所述关键字段信息、所述实时位置信息与所述偏离预警信息上传到安全管理控制平台。
[0022]可选地，在所述信息上送子步骤之后进一步包括：
[0023]报警子步骤，所述安全管理控制平台根据所述偏离预警信息发出终端位置偏离报警。
[0024]可选地，在所述双向认证子步骤中包括：
[0025]所述窄宽带物联网模块发送窄宽带物联网模块的公钥证书到所述安全管理控制平台；
[0026]所述安全管理控制平台对收到的公钥证书认证成功之后，将平台的公钥证书发送到所述窄宽带物联网模块；以及
[0027]所述窄宽带物联网模块对接收到的平台的公钥证书进行验证，在验证成功之后建立TLS安全连接。
[0028]可选地，在所述信息上送子步骤中，将将所述模块标识信息、所述关键字段信息、所述实时位置信息以及所述偏离预警信息加密后并且采用所述窄宽带物联网模块的私钥对报文进行签名后上传到安全管理控制平台。
[0029]可选地，在所述终端位置监控步骤之后进一步包括：
[0030]终端更新步骤，从安全管理控制平台下发数据包到窄宽带物联网模块，所述窄宽带物联网模块基于所述数据包进行更新。
[0031]可选地，所述终端更新步骤包括：
[0032]双向认证子步骤，通过所述窄宽带物联网模块和安全管理控制平台之间进行双向认证实现TLS安全连接；
[0033]数据包下发子步骤，从所述安全管理控制平台将数据包签名后下发到所述窄宽带物联网模块；以及
[0034]验证子步骤，所述窄宽带物联网模块验证收到的数据包的签名，对于通过验签的
数据包则进行更新，否则将丢弃数据包。
[0035]本专利技术一方面的基于物联网的终端安全控制系统，其特征在于，包括：终端和安全管理控制平台，其中，所述终端具备窄宽带物联网模块，所述窄宽带物联网模块包括：
[0036]根信任区，用于存储根公钥证书；
[0037]安全存储模块，用于存储各种密钥并且用于存储关键字段信息；
[0038]安全证书区，用于存储终端的公钥证书和安全管理控制平台的公钥证书；
[0039]处理模块，用于获取所述窄宽带物联网模块的初始位置信息以及实时位置信息，将所述模块标识信息以及所述初始位置信息与所述关键字段信息绑定并存储绑定关系，另一方面，比较所述实时位置信息与所述初始位置信息的差异是否超过预设范围，在超过预设范围的情况下生成偏离预警信息；
[0040]第一连接模块，用于实现与安全管理控制平台的TLS连接并且用于将所述模块标识信息、所述初始位置信息、所述关键字段信息以及所述偏离预警信息上传到所述安全管理控制平台，
[0041]所述安全管理控制平台包括：
[0042]第二连接模块，用于与所述终端实现TLS连接并且接收从所述窄宽带物联网模块上传的数据。
[0043]可选地，所述窄宽带物联网模块进一步包括：
[0044]第一加密解密模块，用于加密所述关键字段信息，并且用于加密所述初始位置信息、所述实时位置信息以及所述偏离预警信息以及对报文数据进行签名以及用于对从所述安全管理控制平台接收的数据进行解密；
[0045]所述安全管理控制平台进一步包括：
[0046]第二加密解密模块，用于本文档来自技高网...

【技术保护点】

【技术特征摘要】
1. 一种基于物联网的终端安全控制方法，其特征在于，该方法通过终端和安全管理控制平台实现，其中，所述终端具备窄宽带物联网模块，该方法包括：初始化配置步骤，在所述窄宽带物联网模块中配置关键字段信息，获取所述窄宽带物联网模块的初始位置信息，将所述窄宽带物联网模块的模块标识信息、所述关键字段信息以及所述初始位置信息上传到所述安全管理控制平台；以及终端位置监控步骤，所述窄宽带物联网模块获取自身的实时位置信息并比较所述实时位置信息与所述初始位置信息的差异是否超过预设范围，在超过预设范围的情况下生成偏离预警信息并且将所述模块标识信息以及所述关键字段信息与所述偏离预警信息上传到安全管理控制平台。2.如权利要求1所述的基于物联网的终端安全控制方法，其特征在于，所述初始化配置步骤包括：出厂配置子步骤，将根公钥证书写入所述窄宽带物联网模块并随机生成根加密密钥；字段信息配置子步骤，在所述窄宽带物联网模块中配置所述关键字段信息；安全启动子步骤，在所述窄宽带物联网模块启动后，采用所述根公钥对下一级的应用程序进行验证，仅在验证通过的情况下跳转到下一级应用程序运行，其中，所述应用程序采用所述根加密密钥签名；双向认证子步骤，通过在所述窄宽带物联网模块和所述安全管理控制平台之间进行双向认证实现TLS安全连接；以及信息绑定子步骤，将所述模块标识信息、所述关键字段信息以及所述初始位置信息上传到所述安全管理控制平台，并且将所述模块标识信息、所述关键字段信息以及所述初始位置信息绑定并在所述窄宽带物联网模块以及所述安全管理控制平台存储绑定关系。3.如权利要求2所述的基于物联网的终端安全控制方法，其特征在于，在所述字段信息配置子步骤，在所述窄宽带物联网模块中配置所述关键字段信息并且加密存储所述关键字段信息。4.如权利要求3所述的基于物联网的终端安全控制方法，其特征在于，所述关键字段信息包括以下的一项或者多项：终端序列号、终端型号信息、商户信息。5.如权利要求1所述的基于物联网的终端安全控制方法，其特征在于，所述终端位置监控步骤包括：唤醒子步骤，所述窄宽带物联网模块通过省电模式中的定时器在追踪区域更新周期结束时，从休眠状态唤醒进入连接状态；双向认证子步骤，通过在所述窄宽带物联网模块和安全管理控制平台之间进行双向认证实现TLS安全连接；信息比较子步骤，终端获取自身的实时位置信息并比较所述实时位置信息与所述初始位置信息之间的差异是否超过预设范围，在超过预设范围的情况下生成偏离预警信息；以及信息上送子步骤，将所述模块标识信息、所述关键字段信息、所述实时位置信息与所述偏离预警信息上传到安全管理控制平台。6.如权利要求5所述的基于物联网的终端安全控制方法，其特征在于，在所述信息上送
子步骤之后进一步包括：报警子步骤，所述安全管理控制平台根据所述偏离预警信息发出终端位置偏离报警。7.如权利要求5所述的基于物联网的终端安全控制方法，其特征在于，在所述双向认证子步骤中包括：所述窄宽带物联网模块发送终端的公钥证书到所述安全管理控制平台；所述安全管理控制平台对收到的公钥证书认证成功之后，将平台的公钥证书发送到所述窄宽带物联网模块； 以及所述窄宽带物联网模块对接收到的平台的公钥证书进行验证，在验证成功之后建立TLS安全连接。8.如权利要求7所述的基于物联网的终端安全控制方法，其特征在于，在所述信息上送子步骤中，将所述模块标识信息、所述关键字段信息、所述实时位置信息以及所述偏离预警信息加密后并且采用所述终端的私钥对报文进行签名后上传到安全管理控制平台。9.如权利要求5所述的基于物联网的终端安全控制方法，其特征在于，在所述终端位置监控步骤之后进一步包括：终端升级更新步骤，从安全管理控制平台下发数据包到窄宽带物联网模块，所述窄宽带物联网模块基于所述数据包进行更新。10.如权利要求9所述的基于物联网的终端安全控制方法，其特征在于，所述终端更新步骤包括：双向认证子步骤，通过在所述窄宽带物联网模块和安全管理控制平台之间进行双向认证实现TLS安全连接；数据包下发子步骤，从所述安全管理控制平台将数据包签名后下发到所述窄宽带物联网模块；以及验证子步骤，所述窄宽带物联网模块验证收到的数据包的签名，对于通过验签的数据包则进行更新，否则将丢弃数据包。11.一种基于物联网的终端安全控制系统，其特征在于，包括：终端和安全管理控制平台，其中，所述终端具备窄宽带物联网模块，所述窄宽带物联网模块包括：...

【专利技术属性】
技术研发人员：辛玮婕，张炜聪，翁俊峰，
申请(专利权)人：中国银联股份有限公司，
类型：发明
国别省市：