安全通信系统及方法技术方案

本发明专利技术提供一种安全通信系统及方法，该系统包括：边缘网关部署在其所属的银行分支的物联网设备上；CA签发服务器用于生成CA证书；企业级物联网平台部署于总行系统，用于管理各个边缘网关；当需要向各个银行分支的物联网设备发送执行指令时，从CA签发服务器获取目标CA证书，并向各个边缘网关发送的目标CA证书及执行指令；边缘网关用于在接收到企业级物联网平台下发的执行指令及目标CA证书时，并对目标CA证书进行认证；当通过认证后，将执行指令更新至该边缘网关所属的银行分支的物联网设备。应用本发明专利技术提供的系统，可以保证银行的物联网设备与企业级物联网平台通信时的安全性，避免造成资产损失以及信息协议。资产损失以及信息协议。资产损失以及信息协议。

【技术实现步骤摘要】
安全通信系统及方法


[0001]本专利技术涉及安全通信
，特别是涉及一种安全通信系统及方法。

技术介绍

[0002]随着物联网技术应用的普遍化，银行不可避免的在基础设施建设，业务系统中都会接入一些传感器等物联网设备，如资产定位设备、抵押品监控传感器、网点监控摄像头等。然而由于终端技术的碎片化，智能终端的生产厂商难以安全金融级别的安全要求生产物联网设备，在接入企业级物联网平台时难以达到安全要求，尤其是计算资源受限的物联网设备，其设备端的安全机制存在一定的盲区，容易造成资产损失与信息泄露。

技术实现思路

[0003]有鉴于此，本专利技术提供一种安全通信系统及方法，通过该安全通信系统，可以保证银行的物联网设备与企业级物联网平台通信时的安全性，避免造成资产损失以及信息协议。
[0004]CA签发服务器、企业级物联网平台及多个边缘网关；
[0005]每个所述边缘网关部署在其所属的银行分支的物联网设备上；
[0006]所述CA签发服务器，用于生成CA证书；
[0007]所述企业级物联网平台部署于总行系统，用于管理各个所述边缘网关；当需要向各个所述银行分支的物联网设备发送执行指令时，从所述CA签发服务器获取所述CA签发服务器最近一次生成的目标CA证书，并向各个所述边缘网关发送的所述目标CA证书及执行指令；
[0008]所述边缘网关，用于在接收到所述企业级物联网平台下发的所述执行指令及目标CA证书时，并对所述目标CA证书进行认证；当通过对所述目标CA证书的认证后，将所述执行指令更新至该边缘网关所属的银行分支的物联网设备。
[0009]上述的安全通信系统，可选的，所述CA签发服务器生成CA证书，具体用于：按照预设的时间周期生成CA证书，并将生成的CA证书保存至预设的存储器。
[0010]上述的安全通信系统，可选的，所述CA签发服务器，还用于：删除历史生成的CA证书。
[0011]上述的安全通信系统，可选的，所述企业级物联网平台，包括：
[0012]总行管理模块、分行管理模块及CA证书处理模块；
[0013]所述总行管理模块，用于接收总行系统下发的执行指令，并确定待接收所述执行指令的各个目标银行分支；
[0014]所述CA证书处理模块，用于向所述CA签发服务器发送证书申请请求，并获得所述CA签发服务器基于所述证书申请请求反馈的最近一次生成的目标CA证书。
[0015]所述分行管理模块，用于接入属于各个所述目标银行分支的边缘网关，并将所述执行指令及目标CA证书发送至属于各个所述目标银行分支的边缘网关。
[0016]上述的安全通信系统，可选的，所述边缘网关，包括：
[0017]安全代理；
[0018]所述安全代理，用于基于预设CA认证规则，对所述目标CA证书进行认证；当通过对所述目标CA证书的认证后，将所述执行指令更新至物联网设备。
[0019]上述的安全通信系统，可选的，所述安全代理，还用于：
[0020]检测所述安全代理所属的银行分支的物联网设备是否存在网络攻击；若所述安全代理所属的银行分支的物联网设备存在网络攻击，则发出报警消息。
[0021]上述的安全通信系统，可选的，所述安全代理将所述执行指令更新至该边缘网关所属的物联网设备时，具体用于：
[0022]通过预设的安全传输层TLS协议，将所述执行指令更新至该边缘网关所属的物联网设备。
[0023]上述的安全通信系统，可选的，所述安全代理通过预设的TLS协议，将所述执行指令更新至该边缘网关所属的物联网设备时，具体用于：
[0024]确定所述安全代理所属的物联网设备支持的TLS协议的协议版本；判断所述协议版本是否为所述安全代理当前支持的协议版本；若所述协议版本为所述安全代理当前支持的协议版本，则通过所述协议版本的TLS协议，将所述执行指令更新至该边缘网关所属的物联网设备。
[0025]上述的安全通信系统，可选的，所述安全代理，还用于：
[0026]若所述协议版本并非所述安全代理当前支持的协议版本，则断开与所述物联网平台的连接。
[0027]一种安全通信方法，所述方法应用于安全通信系统的边缘网关，所述边缘网关部署在其所属的银行分支的物联网设备上，所述方法包括：
[0028]在接收到所述安全通信系统的企业级物联网平台下发的执行指令及目标CA证书时，对所述目标CA证书进行认证，所述企业级物联网平台部署于总行系统，用于管理所述安全通信系统的多个边缘网关；当需要向银行分支的物联网设备发送执行指令时，从所述安全通信系统的CA签发服务器获取所述CA签发服务器最近一次生成的目标CA证书，并向所述边缘网关发送的所述目标CA证书及执行指令；
[0029]当通过对所述目标CA证书的认证后，将所述执行指令更新至该边缘网关所属的物联网设备。
[0030]与现有技术相比，本专利技术包括以下优点：
[0031]本专利技术提供一种安全通信系统，包括：边缘网关部署在其所属的银行分支的物联网设备上；CA签发服务器，用于生成CA证书；企业级物联网平台部署于总行系统，用于管理各个所述边缘网关；当需要向各个银行分支的物联网设备发送执行指令时，从所述CA签发服务器获取所述CA签发服务器最近一次生成的目标CA证书，并向各个所述边缘网关发送的所述目标CA证书及执行指令；边缘网关，用于在接收到所述企业级物联网平台下发的所述执行指令及目标CA证书时，并对所述目标CA证书进行认证；当通过对所述目标CA证书的认证后，将所述执行指令更新至该边缘网关所属的银行分支的物联网设备。应用本专利技术提供的系统，可以保证银行的物联网设备与企业级物联网平台通信时的安全性，避免造成资产损失以及信息协议。
附图说明
[0032]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
[0033]图1为本专利技术实施例提供的一种安全通信系统的系统结构图；
[0034]图2为本专利技术实施例提供的一种安全通信系统的又一系统结构图；
[0035]图3为本专利技术实施例提供的一种安全通信系统的实施拓扑图；
[0036]图4为本专利技术实施例提供的一种安全通信方法的方法流程图；
[0037]图5为本专利技术实施例提供的一种安全通信方法的又一方法流程图。
具体实施方式
[0038]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0039]在本申请中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全通信系统，其特征在于，包括：CA签发服务器、企业级物联网平台及多个边缘网关；每个所述边缘网关部署在其所属的银行分支的物联网设备上；所述CA签发服务器，用于生成CA证书；所述企业级物联网平台部署于总行系统，用于管理各个所述边缘网关；当需要向各个所述银行分支的物联网设备发送执行指令时，从所述CA签发服务器获取所述CA签发服务器最近一次生成的目标CA证书，并向各个所述边缘网关发送的所述目标CA证书及执行指令；所述边缘网关，用于在接收到所述企业级物联网平台下发的所述执行指令及目标CA证书时，并对所述目标CA证书进行认证；当通过对所述目标CA证书的认证后，将所述执行指令更新至该边缘网关所属的银行分支的物联网设备。2.根据权利要求1所述的安全通信系统，其特征在于，所述CA签发服务器生成CA证书，具体用于：按照预设的时间周期生成CA证书，并将生成的CA证书保存至预设的存储器。3.根据权利要求1或2所述的安全通信系统，其特征在于，所述CA签发服务器，还用于：删除历史生成的CA证书。4.根据权利要求1所述的安全通信系统，其特征在于，所述企业级物联网平台，包括：总行管理模块、分行管理模块及CA证书处理模块；所述总行管理模块，用于接收总行系统下发的执行指令，并确定待接收所述执行指令的各个目标银行分支；所述CA证书处理模块，用于向所述CA签发服务器发送证书申请请求，并获得所述CA签发服务器基于所述证书申请请求反馈的最近一次生成的目标CA证书；所述分行管理模块，用于接入属于各个所述目标银行分支的边缘网关，并将所述执行指令及目标CA证书发送至属于各个所述目标银行分支的边缘网关。5.根据权利要求1所述的安全通信系统，其特征在于，所述边缘网关，包括：安全代理；所述安全代理，用于基于预设CA认证规则，对所述目标CA证书进行认证；当通过对所述目标CA证书的认证后，将所述执...

【专利技术属性】
技术研发人员：李娜，刘致驿，丁海兰，赵许福，
申请(专利权)人：中国银行股份有限公司，
类型：发明
国别省市：