一种面向物联网控制系统的智能网关平台
技术领域
本发明涉及物联网安全技术领域,特别是指一种面向物联网控制系统的智能网关平台。
背景技术
物联网是推动信息技术高速发展的“重要生产力”,是继通信网络之后的另一个万亿级市场,构建物联网控制系统安全生态涉及到系统智能设备节点、网关、云端服务、移动终端等多个组成部分,需要形成完整的物联网控制系统信任体系与隐私保护机制。
现有技术中,物联网控制系统的服务体系欠缺对智能设备安全、远程安全管控和用户隐私安全的考虑,同时极少能安全有效的利用云服务资源,在智能和安全方面面临着诸多挑战,具体表现为以下几个方面:
(1)传统的物联网控制系统无信任组网,在物联网控制系统中普遍采用无线组网方案,其首要解决的问题是智能设备间的信任互联,也就是使不同的智能设备之间能够相互信任识别,协同工作。
(2)单一域内的服务如何向云端服务转变,单一域内的局部产品已无法满足人们对服务能力的日益需求,物联网控制系统服务模式正逐渐向云服务转变,而缺乏安全机制的传统云服务方案使用户的隐私数据面临极大的威胁
(3)传统的物联网控制系统混杂,移动终端参差不齐,使借助移动终端的远程访问控制没有形成统一的标准,用户的控制系统随时面临着被非法入侵和财产损失的威胁,因此,极需一种统一的安全访问模型,规范控制系统的访问标准,保证用户系统能够抵御非法入侵者。
发明内容
本发明要解决的技术问题是提供一种面向物联网控制系统的智能网关平台,以解决现有技术中物联网安全服务体系存在的弊端。
为解决上述技术问题,本发明实施例提供一种面向物联网控制系统的智能网关平台,包括:智能网关、通信协议转换模块、安全模块、智能设备及云服务器;
其中,所述智能网关与所述通信协议转换模块进行通信连接;
所述通信协议转换模块与所述安全模块进行通信连接;
所述安全模块与所述智能设备进行通信连接;
所述云服务器与所述智能设备和智能网关进行通信连接,用于利用白名单认证机制对所述安全模块进行安全认证,若通过认证,则集成该安全模块的智能设备自主地与所述智能网关进行信任组网并根据协商的密钥进行安全通信。
进一步地,所述智能网关平台还包括:
在所述安全模块投入使用前,通过所述云服务器对所述安全模块进行初始化。
进一步地,所述通过所述云服务器对所述安全模块进行初始化包括:
生成公私钥对及硬件PIN码,并基于预置的加密算法生成统一密钥;
利用所述硬件PIN码对安全模块的私钥进行加密,并将加密后的私钥信息保存在所述安全模块的可信区域;
将公钥以及混淆后的所述硬件PIN码保存在所述安全模块的指定区域;
将安全模块的公钥和安全模块标识上传到所述云服务器。
进一步地,所述指定区域为只能被所述安全模块内部程序读取的区域。
进一步地,所述若通过认证,则集成该安全模块的智能设备自主地与所述智能网关进行信任组网并根据协商的密钥进行安全通信包括:
若通过认证,则判定集成该安全模块的智能设备是可信的;
所述智能设备与所述智能网关进行信任组网,并协商通信加密秘钥;
当所述智能网关与所述智能设备完成信任组网后,根据协商的密钥对所述智能网关与所述智能设备之间的通信信息进行加密。
进一步地,所述智能网关平台还包括:移动终端;
通过所述智能网关绑定要访问该智能网关的移动终端的手机号码,并根据所述手机号码生成相应的访问密钥,同时将该手机号码和访问密钥传送至云服务器;
当通过所述移动终端访问该智能网关时,在所述移动终端输入该智能网关的网关名、与该智能网关绑定的手机号码及该手机号码对应的访问密钥,并通过所述云服务器对该智能网关进行访问。
进一步地,所述通过所述智能网关绑定要访问该智能网关的移动终端的手机号码之前还包括:
在所述智能网关上为该智能网关注册网关名和密码/密钥;
将注册的网关名和密码/密钥发送至所述云服务器;
在所述云服务器上建立新的数据表,并以所述网关名命名该数据表。
进一步地,所述通信协议转换模块包括:蓝牙模块和第一ZigBee模块;
其中,所述蓝牙模块与所述第一ZigBee模块通过串口进行通信;
所述蓝牙模块与所述智能网关通过蓝牙技术进行通信连接。
进一步地,所述安全模块包括:加解密模块和第二ZigBee模块;
其中,所述加解密模块与所述第二ZigBee模块进行通信;
所述第二ZigBee模块与所述通信协议转换模块的第一ZigBee模块通过ZigBee技术进行通信。
进一步地,所述加解密模块与所述智能设备通过串口进行通信。
本发明的上述技术方案的有益效果如下:
上述方案中,通过智能网关与通信协议转换模块进行通信连接;通信协议转换模块与安全模块进行通信连接;安全模块与智能设备进行通信连接;云服务器与所述智能设备和智能网关进行通信连接,并利用云服务器白名单认证机制对安全模块进行安全认证,若通过认证,则集成该安全模块的智能设备自主地与智能网关进行信任组网并根据协商的密钥进行安全通信,从而能够确保物联网控制系统的安全性,并保证物联网控制系统能够抵御非法入侵者。
附图说明
图1为本发明实施例提供的面向物联网控制系统的智能网关平台的结构示意图;
图2为本发明实施例提供的面向物联网控制系统的智能网关平台的交互流程示意图;
图3为本发明实施例提供的云服务器白名单认证机制示意图;
图4为本发明实施例提供的设备内部组网与密钥协商机制示意图;
图5为本发明实施例提供的移动终端远程安全访问智能设备示意图;
图6为本发明实施例提供的通信协议转换模块的结构示意图;
图7为本发明实施例提供的安全模块的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的物联网安全服务体系存在的弊端,提供一种面向物联网控制系统的智能网关平台。
实施例一
如图1和图2所示为本发明实施例提供的一种面向物联网控制系统的智能网关平台,包括:智能网关、通信协议转换模块、安全模块、智能设备及云服务器;
其中,所述智能网关与所述通信协议转换模块进行通信连接;
所述通信协议转换模块与所述安全模块进行通信连接;
所述安全模块与所述智能设备进行通信连接;
所述云服务器与所述智能设备和智能网关进行通信连接,用于利用白名单认证机制对所述安全模块进行安全认证,若通过认证,则集成该安全模块的智能设备自主地与所述智能网关进行信任组网并根据协商的密钥进行安全通信。
本发明实施例所述的面向物联网控制系统的智能网关平台,通过智能网关与通信协议转换模块进行通信连接;通信协议转换模块与安全模块进行通信连接;安全模块与智能设备进行通信连接;云服务器与所述智能设备和智能网关进行通信连接,并利用云服务器白名单认证机制对安全模块进行安全认证,若通过认证,则集成该安全模块的智能设备自主地与智能网关进行信任组网并根据协商的密钥进行安全通信,从而能够确保物联网控制系统的安全性,并保证物联网控制系统能够抵御非法入侵者。
如图3所示,为了使用户能便捷的实现智能设备的信任组网,需在安全模块(也可以称为设备安全模块)投入使用前,通过云服务器的数据服务中心对其完成初始化工作,其安全模块生成公私钥对[Kpub,Kpri]、硬件PIN码、并基于预置的加密算法生成统一密钥Ks,再利用硬件PIN码对安全模块的私钥Kpri进行加密保护并将加密后的私钥信息保存在安全模块的可信区域(该可信区域只能被所述安全模块的内部安全计算模块读取,即只能被加密芯片读取),还需将硬件PIN码混淆后以及公钥保存在安全模块内部指定的区域(该区域只能被安全模块内部程序读取),同时将安全模块的公钥Kpub和安全模块标识id上传到云服务器,以便在所述安全模块出厂使用后,能够利用云服务器白名单认证机制对集成安全模块的智能设备进行安全认证,从而确保智能设备的可信性。
本发明实施例中,硬件PIN码混淆是指通过所述安全模块自身的硬件信息与生成的PIN码在某一些数据位进行冗余或者替换处理,保证混淆后的PIN码只能在生成该PIN码的安全模块上才能正确的解析出来。
如图4所示,例如,对于集成了安全模块的物联网控制系统中的智能设备D,主要通过智能设备D对应的安全模块取得非对称秘钥对[Kpub,Kpri]和统一密钥Ks,并利用云服务器的数据服务中心的白名单认证机制对智能设备D对应的安全模块进行安全认证,若认证通过,则说明集成了安全模块的智能设备D是可信的,可以自主地与智能网关进行信任组网并协商随机性的通信加密秘钥KG,D,从而实现智能网关与智能设备D的可信身份映射绑定。
当智能网关与智能设备D完成信任组网后,便可使用双方协商的随机性通信加密密钥对智能网关与智能设备D之间的通信信息进行加密保护,从而保证通信信息的安全。
在前述面向物联网控制系统的智能网关平台的具体实施方式中,进一步地,所述智能网关平台还包括:移动终端;
通过所述智能网关绑定要访问该智能网关的移动终端的手机号码,并根据所述手机号码生成相应的访问密钥,同时将该手机号码和访问密钥传送至云服务器;
当通过所述移动终端访问该智能网关时,在所述移动终端输入该智能网关的网关名、与该智能网关绑定的手机号码及该手机号码对应的访问密钥,并通过所述云服务器对该智能网关进行访问。
本发明实施例中,还提供了基于安全防护的远程访问管控策略,规范物联网控制系统的访问标准,以便完成用户身份的在移动终端本地认证,并利用基于隐私保护技术提供云数据服务,从而实现移动终端对智能设备的远程安全控制和管理。
具体的,如图5所示,为了移动终端能够对系统内的智能设备进行控制,首先需在智能网关上为该智能网关注册网关名和密码/密钥,完成智能网关管理小组的建立,注册用户利用注册的网关名和密码/密钥登录智能网关后承担起智能网关的管理员职责,同时将注册的网关名和密码/密钥发送至云服务器,在云服务器上建立新的分组,以当前网关名命名数据表;其次需要在智能网关上绑定要访问该智能网关的手机号码信息,智能网关会为当前手机号码信息生成相应的访问密钥,智能网关会将手机号码和访问密钥经由安全通道传送至云服务器,由云服务器来管理用户的登录操作,最后,当用户使用移动终端访问对应的智能网关时,只需填写对应智能网关的网关名,与该智能网关绑定的手机号码以及该手机号码对应的访问密钥即可完成访问登录操作,同时实现对系统内智能设备的控制。
本发明实施例中,所述智能网关可以是基于Android系统的平板电脑。
本发明实施例中,所述智能网关与通信协议转换模块通过蓝牙技术进行通信连接,具体的,如图6所示,所述通信协议转换模块包括:电源模块、蓝牙模块和第一ZigBee模块;其中,所述蓝牙模块与所述第一ZigBee模块通过串口进行通信;所述蓝牙模块与所述智能网关通过蓝牙技术进行通信连接。其中,所述蓝牙模块可以是CZ-HC-05蓝牙模块、所述第一ZigBee模块可以是CC2530 ZigBee模块。
本发明实施例中,所述通信协议转换模块与安全模块通过ZigBee技术进行通信连接;具体的,如图7所示,所述安全模块包括:加解密模块和第二ZigBee模块,所述第二ZigBee模块与所述通信协议转换模块的第一ZigBee模块通过ZigBee技术进行通信,所述加解密模块与所述第二ZigBee模块进行通信;其中,所述加解密模块采用A980加密芯片实现,用于对接收到的信息进行加解密,所述第二ZigBee模块可以由CC2530 ZigBee模块实现。
本发明实施例中,所述安全模块与智能设备通过串口进行通信连接,具体的,所述加解密模块与所述智能设备通过串口进行通信。
综上,智能网关、通信协议转换模块、安全模块、智能设备之间的通信步骤包括:
1)将平板电脑的蓝牙与通信协议转换模块的蓝牙模块进行连接,操作平板电脑上的Android系统,将智能设备控制命令通过蓝牙发送到通信协议转换模块的蓝牙模块。
2)通信协议转换的蓝牙模块收到平板电脑发来的智能设备控制命令之后,通过串口将智能设备控制命令发送到第一ZigBee模块。
3)通信协议转换模块的第一ZigBee模块收到蓝牙模块发来的智能设备控制命令之后,将智能设备控制命令发送给安全模块的第二ZigBee模块。
4)安全模块的第二ZigBee模块收到智能设备控制命令之后,通过加解密模块对智能设备控制命令进行解析,并对智能设备控制命令进行解密,例如,可以采用AES算法对智能设备控制命令进行解密。
5)加解密模块将解密后的智能设备控制命令通过串口发送给智能设备。
6)智能设备在接收到智能设备控制命令之后,对命令进行解析和校验,进而控制智能设备。
本发明实施例中,所述智能设备包括:智能家电,但是不局限于智能家电,所述智能家电可以智能灯,冰箱,空调等等,所述智能灯可以采用STC11F32XE作为主控单元。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。