CN112491788B - 一种安全云代理服务平台、实现方法及物联网系统 - Google Patents

Abstract

本发明公开了一种安全云代理服务平台、实现方法及物联网系统，该实现方法包括：云安全平台接收来自物联网的安全信息；分析所述安全信息，生成相应的安全决策；将所述安全决策发送到对应的物联网设备，执行安全服务事项。本发明的安全云代理服务实现方法，提供物联网用户共享的安全代理服务，发现新的全球物联网安全威胁后，以专业团队的力量组织防御技术手段，根据用户安全需求的级别，共享不同安全成本的代理服务，服务于广大物联网普通用户，降低物联网安全服务研发成本，解决目前广泛存在的物联网安全防御的人才、成本、技术和体系问题。

Description

一种安全云代理服务平台、实现方法及物联网系统

技术领域

本发明涉及物联网安全技术领域，尤其涉及一种安全云代理服务平台、实现方法及物联网系统。

背景技术

作为新兴技术的重要组成部分，物联网正随着智慧城市建设迅速发展，由于是新兴领域的快速发展，人们对于物联网相对陌生，企业物联网安全问题面临重大挑战，主要体现一下四个方面：

(1)物联网安全人才十分紧缺。因为是新型快速发展领域，物联网的安全人才培养还不能跟上经济的发展。对于普通的物联网用户单位而言，懂物联网安全技术的人员还十分紧缺，甚至没有。从一般单位或企业的主营业务来看，也不愿意配置专业性如此强的非主营业务人员。

(2)物联网设备和安全成本的倒挂。物联网设备的成本现在已经很低，比如RFID标签和摄像头，但要确保其安全成本确相对较大。这使得用户对于物联网安全望而却步，使全球物联网安全形势严峻。如何低成本地保障物联网安全，需要集约化的设计来适应社会需要。

(3)物联网系统攻击防护的理论研究仍处于相对薄弱的状态，致使防护方法还主要依靠经验。目前对于很多安全攻击，都不具备主动防护的能力，往往是在攻击发生之后，才能获取到相关信息，然后才能避免这类攻击。这需要随时了解全球物联网安全动态，需要更大的专业人员工作投入和成本的增加。

(4)物联网安全防御技术涉及专业面广泛，设备和技术门类众多，缺少统一的规范化标准。一般用户配备专门物联网安全人员比较困难，安全防护也缺乏统一技术资料指导。原因是物联网发展尚处于早期阶段，各厂商、设备、技术和方案尚处于各自为战的状态，应对安全问题没有体系化的理论和方案。

发明内容

基于上述问题，本发明提供一种安全云代理服务平台、实现方法及物联网系统，利用云计算技术，设计物联网安全代理服务方法，使用社会上少量的高级专业技术人员提供物联网用户共享的安全代理服务，发现新的全球物联网安全威胁后，以专业团队的力量组织防御技术手段，根据用户安全需求的级别，共享不同安全成本的代理服务，服务于广大物联网普通用户，降低物联网安全服务研发成本，解决目前广泛存在的物联网安全防御的人才、成本、技术和体系问题。

为解决上述问题，本发明一个实施例提供了一种安全云代理服务实现方法，所述方法包括：

云安全平台接收来自物联网的安全信息；

分析所述安全信息，生成相应的安全决策；

将所述安全决策发送到对应的物联网设备，执行安全服务事项。

其中，所述安全信息包括物联网设备安全信息、协议安全信息、固件升级信息和云安全平台安全信息中的一个或多个。

其中，所述物联网设备包括物联网终端、路由器、安全防火墙、业务管理平台和云安全平台。

其中，所述物联网终端的安全信息包括认证安全信息、授权安全信息、安全策略配置信息、安全事件数据收集信息、安全数据分析信息和安全操作决策信息。

其中，所述云安全平台根据物联网终端的认证安全信息，生成相应的决策，对所述物联网终端进行安全服务，具体过程包括：

云安全平台获取每个物联网终端的相互认证信息；

对所述认证信息进行分析提取对应物联网终端的指纹信息，根据所述指纹信息，对每个对应物联网终端的环境进行认证；

认证通过则允许所述物联网终端相互连接。

其中，所述物联网终端的环境包括对应物联网终端的指纹信息、用户名/密码信息、协议、登录频率信息、登录时间信息，IP/MAC地址信息。

其中，所述云安全平台根据物联网终端的授权安全信息，生成相应的决策，对所述物联网终端进行安全服务，具体过程包括：

云安全平台获取物联网终端的访问请求；

根据所述物联网终端的分类和标签，判断所述终端的访问权限；

根据所述物联网终端的访问权限，判断是否授权所述物联网终端的访问；

其中，所述物联网终端的标签，根据所述物联网终端的身份、职位、使用时段、权限设置来划分标识。

其中，所述安全信息为固件升级信息时，所述云安全平台根据固件升级信息，生成相应的决策，对所述物联网设备的固件升级进行安全服务的具体过程包括：

S11：物联网设备和云安全平台身份的相互认证，双方确认后，建立通讯连接；

S12：物联网设备和云安全代理平台进行通讯加密算法、MAC算法和密钥约定，确立安全通讯配置；

S13：所述云安全平台获取安全管理员上传的固件升级包，并根据所述固件升级包创建固件升级任务；

S14：物联网设备上报数据，云安全平台感知物联网设备上线，触发升级协商流程；

S15：云安全平台向物联网设备查询设备固件版本；

S16：云安全平台根据升级的目标版本判断设备是否需要升级；如果返回的固件版本信息与升级的目标版本信息相同，则升级流程结束，不做升级处理；如果返回的固件版本信息与升级的目标版本信息不同，则执行下一步骤；

S17：云安全平台查询终端设备所在地的无线信号和有线网络覆盖情况，并根据所在地网络情况做相应升级配置；

S18：云安全平台向物联网设备订阅固件升级的状态；

S19：云安全平台向物联网设备下发下载固件包的URL地址，通知物联网设备下载固件包；

S20：物联网设备根据该URL地址下载固件包，下载完成后，物联网设备知会云安全代理平台固件包已下载完毕。

S21：云安全代理平台向物联网设备下发升级的命令，物联网设备进行升级操作；

S21：升级完成后物联网设备向云安全平台反馈升级结束；

S22：云安全平台下发命令查询固件升级的结果；

S23：云安全平台获取升级结果后，向物联网设备取消订阅升级状态。

本发明的又一个实施例中，提供一种安全云代理服务平台，用于实现物联网安全云代理服务，所述装置包括：

接收单元，用于接收来自物联网的安全信息；

分析单元，用于分析所述安全信息，生成相应的安全决策；

发送单元，用于将所述安全决策发送到对应的物联网设备，执行安全服务事项。

本发明的再一个实施例中，提供一种物联网系统，该系统包括上述的安全云代理服务平台。

本发明的安全云代理服务平台、实现方法及物联网系统，使用了云端服务，可采用较为复杂的算法和技术，提高安全探测、分析和防范能力。另外，本发明的系统，固件可装配，设备功能参数可动态配置，提高了物联网设备的适应变化和安全操控能力。进一步地，采用安全云代理服务的方式，集约化安全管理，充分利用高级专业技术人员的业务能力，降 低了保障用户的技术门槛。

附图说明

图1示出了本发明的安全云代理服务实现方法的流程图；

图2示出了本发明的安全云代理服务的设备部署图；

图3示出了本发明的物联网终端设备安全云代理服务的逻辑关系图；

图4示出了本发明的安全数据收集代理服务的逻辑关系图；

图5示出了本发明的固件升级的云代理服务的流程图；

图6示出了本发明的安全云代理服务平台的结构框图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1示出了本发明的安全云代理服务实现方法的流程图。

如图1所示，本发明一个实施例中提供了一种安全云代理服务实现方法，该方法包括：

S1、云安全平台接收来自物联网的安全信息；

S2、分析所述安全信息，生成相应的安全决策；

S3、将所述安全决策发送到对应的物联网设备，执行安全服务事项。

上述实施例的实现方法中，安全信息包括物联网设备安全信息、协议安全信息、固件升级信息和云安全平台安全信息中的一个或多个。即本实施例的安全云代理服务设计到设备安全、协议安全、固件升级安全以及平台安全等内容。具体地，物联网设备包括物联网终端、路由器、安全防火墙、业务管理平台和云安全平台，基本逻辑拓扑关系如图2所示。云安全平台收集其他设备发送的安全相关信息，由机器自动或人工辅助自动完成数据分析和安全决策，代理处理或建议用户处理安全事件。

上述实施例中，物联网终端的安全信息包括认证安全信息、授权安全信息、安全策略配置信息、安全事件数据收集信息、安全数据分析信息和安全操作决策信息。

基于此，物联网终端的安全云代理服务，如图3所示，主要包括云端认证代理服务、云端授权代理服务、安全策略代理服务、云端安全事件数据收集、云端安全数据分析和安全操作决策等六个方面，云端安全决策反过来可以配置其他五个步骤的处理方式，形成终端设备安全防御的逻辑闭环。

一个实施例中，当物联网设备相互认证时，云安全代理服务的实现方法如下：

云安全平台获取每个物联网终端的相互认证信息；

对所述认证信息进行分析提取对应物联网终端的指纹信息，根据所述指纹信息，对每个对应物联网终端的环境进行认证；

认证通过则允许所述物联网终端相互连接。

具体地，物联网安全相关设备包括物联网终端设备、防火墙、安全路由器、物联设备管理平台(可以位于云计算中心或者用户电脑上)等，为确保只有可信的物联网设备接入网络，从而避免因非法设备接入带来的网络安全问题。通过对交互流量中单个字节的分析技术提取设备指纹，再通过对设备指纹、用户名/密码、协议、登录频率、登录时间等因素，利用分类算法对设备环境进行分类，保证IoT设备的安全性。

本实施例的物联设备认证模块分别部署在路由器和云端服务器上，物联网设备均采用固件数据可配置技术，发送指纹数据到终端设备或云端服务器，终端设备或云端服务器对指纹环境进行身份认证，设备认证通过才可允许相互连接。区别于仅部署到路由器上的技术方案，本方案的优点在于可利用云端资源允许进行海量安全数据的实时综合分析。

指纹分析主要利用流的报文总数、流持续时间、上行报文数、下行报文数和最大报文净荷长度，也可以对流量中单个字节的分析，对比分析字节所代表的含义，从中找出相应的特征信息作为认证的根本所在。本方案的终端设备指纹认证技术体量较大，由于路由器算力能力的限制，不适合完全部署在路由器上，适合部署在有强大计算和存储能力的云计算平台上；云端认证的方案主要依据设备指纹、用户名/密码、协议变化、登录频率、登录时间和IP/MAC地址等信息。

在又一个实施例中，对于物联网设备云端访问授权的安全代理服务，其实现方法为：

云安全平台获取物联网终端的访问请求；

根据所述物联网终端的分类和标签，判断所述终端的访问权限；

根据所述物联网终端的访问权限，判断是否授权所述物联网终端的访问；其中，所述物联网终端的标签，根据所述物联网终端的身份、职位、使用时段、权限设置来划分标识。

本实施例中，区别于互联网网络安全访问权限的策略机制，物联网设备体系往往具有数量庞大的特点。为适应在这种体系架构下建立不同信任关系的需要，本实施例采用设备分类和时空逻辑标签的技术对终端设备进行多维度标识，对用户进行身份、职位、使用时段和权限等多维度划分，应用白名单技术，并定义授权规则集合批量进行访问授权。因为是云端代理服务多用户，有利于共享设备分类、白名单、用户分类和时空标签等公用技术，减少复杂授权服务的使用成本。

在又一个实施例中，物联网设备安全策略配置云代理服务的实现，根据物联设备的计算和存储资源的不同配置，设置不同量级的密码策略和加密协议，设备文件系统进行反解析配置。云代理服务具体实现方式是在物联设备上仅仅嵌入行为收集和数据传输的相关代码模块，而将数据处理放到云端安全堡垒机服务器中。这台堡垒机用来分析物联设备提交上来的路由、流量、访问、密码和协议等行为情况，并定期与物联网安全技术人员和用户进行沟通，在行为规则配置方面采用“非白即黑”的策略，所有与原先设计不相符合的设备行为都被判定为是非法的。对于物联设备携带的次要功能，诸如固件版本更新、系统自愈、存储空间扫描等，在设备发生这种行为时征求云端安全技术人员和用户的同意，技术人员可以选择同意或禁止，并通过将设备厂商提供的官方平台数据包格式添加或删除白名单来对非常用行为进行监管。

进一步的实施例中，对于物联设备云端安全数据收集的云代理服务的实现，物联设备云端安全数据收集的流程包括四个步骤，如图4所示，包括量化评估风险、制定安全策略、分析威胁来源和收集威胁数据。

量化评估风险是识别企业物联网系统数据和资产的重要程度，以及泄露、劫持或破坏会给企业带来的损失的大小，通过权值打分的方式量化评估风险的级别。

制定安全策略是对于风险值最高、最为敏感的核心资产区域的网络出入口点，进行采集器布设；再按照风险值从大到小、资产重要性从高到低依次排查，按需布设；同时兼顾硬件能力和防御技术成本选择布设设备能力和采集配置。

分析威胁来源是针对核心资产防护面临的主要风险，分析主要威胁的类型和来源，采取有针对性的防御方法。

收集威胁数据是对企业的威胁来源、数据采集器和设备非正常访问信息的收集。在目前主要依据经验防御的形势下，尤其针对企业主要威胁的物联网安全事件信息和数据收集及其防护体系技术升级。

在又一个实施例中，对物联网安全操作决策的云代理服务的实现，具体包括：采集器布局或增设、固件升级、密码强度评估、加密算法选择、设备配置改变、用户建议推荐等内容。

在进一步的实施例中，当安全信息是协议信息时，由于物联网设备的存储和计算资源受限，无法运行复杂密码学的安全协议。因此云安全平台对协议的云代理服务过程为：在安全协议认证上，默认在物联网设备上布置简单的密码操作和伪随机数操作，而将复杂的哈希函数、伪随机数函数运算放置在云端。本方法采用计算/存储能力和密码强度分级分类安全协议，对应不同场景需求采用不同的物联网安全通讯安全协议。

进一步的实施例中，当安全信息是固件升级信息时，云安全平台的云代理服务的实现过程如图5所示，具体如下：

S11：物联网设备和云安全平台身份的相互认证，双方确认后，建立通讯连接；

S12：物联网设备和云安全代理平台进行通讯加密算法、MAC算法和密钥约定，确立安全通讯配置；

S13：所述云安全平台获取安全管理员上传的固件升级包，并根据所述固件升级包创建固件升级任务；

S14：物联网设备上报数据，云安全平台感知物联网设备上线，触发升级协商流程；

S15：云安全平台向物联网设备查询设备固件版本；

S16：云安全平台根据升级的目标版本判断设备是否需要升级；如果返回的固件版本信息与升级的目标版本信息相同，则升级流程结束，不做升级处理；如果返回的固件版本信息与升级的目标版本信息不同，则执行下一步骤；

S17：云安全平台查询终端设备所在地的无线信号和有线网络覆盖情况(例如位置ID、RSRP和SINR信息)，并根据所在地网络情况做相应升级配置；

S18：云安全平台向物联网设备订阅固件升级的状态；

S19：云安全平台向物联网设备下发下载固件包的URL地址，通知物联网设备下载固件包；

S20：物联网设备根据该URL地址下载固件包，下载完成后，物联网设备知会云安全代理平台固件包已下载完毕。

S21：云安全代理平台向物联网设备下发升级的命令，物联网设备进行升级操作；

S21：升级完成后物联网设备向云安全平台反馈升级结束；

S22：云安全平台下发命令查询固件升级的结果；

S23：云安全平台获取升级结果后，向物联网设备取消订阅升级状态。

在又一个实施例中，云安全平台对业务管理平台的安全代理服务中，由于业务管理要在各个业务环节融入安全的约束和探测判别能力。尤其对于业务环节各个部件，其I/O部分均应该有格式合法和非法、数据速率和数据体量等约束、探测和判别能力，形成安全的业务管理能力。所有针对业务管理平台的非法行为，均被记录并发送云安全代理服务平台，以便于统一分析和预警。这种软件内部构造结合网络安全判别的方法，同样适用于固件软件的生成。通过接口、协议、数据标准化，使异构设备和系统也能兼容，这样不仅仅是前述的外部设备采集安全数据，整个系统的业务管理自身也产生了安全能力，形成软件内外结合一体化的安全探测和防御体系。

本发明的另一个实施例中，提供一种安全云代理服务平台，用于实现上述物联网安全云代理服务，如图6所示，该装置包括：

接收单元10，用于接收来自物联网的安全信息；

分析单元20，用于分析所述安全信息，生成相应的安全决策；

发送单元30，用于将所述安全决策发送到对应的物联网设备，执行安全服务事项。

需要说明的是，本实施例的安全云代理服务平台，用于实现上述的安全云代理服务，因此前述实施例中的物联网安全云代理服务的具体内容，均可以使用本平台实现，在此不再赘述。

在进一步的实施例中，提供一种物联网系统，该系统包括上述的安全云代理服务平台。

本发明实施例的安全云代理服务平台及实现方法，通过采用云端服务的方式，可采用较为复杂的算法和技术，提高安全探测、分析和防范能力。

将安全管理能力集中部署在云端，利用云端的计算和存储能力，可以采用较为强大的认证和加密技术，存储大量疑似攻击信息；可以采用较为复杂的独立安全探测工具对安全服务对象系统进行检测；可以利用计算能力综合分析企业委托系统的安全数据；通过对多家企业类似数据的分析和互联网安全事件信息的分析，提高单个服务对象的安全防范能力。云端统一的安全服务，使系统安全的主要部分处于安全防护等级较高的云计算安全防护范围，充分利用了现有互联网的网络安全防护的技术，提高了物联网系统的安全防护水平。

进一步地，本发明实施例的具有安全云代理服务平台的物联网系统，固件可装配，设备功能参数可动态配置，提高了物联网设备的适应变化和安全操控能力。

本发明实施例的物联网系统，包含密码和协议等功能的设备固件，可以通过本方案提供的技术升级装备；设备功能参数可以动态配置，非约定配置的访问申请均被判断为非法，并将非法访问企图痕迹发送给云安全代理平台，供统一分析处理。这使得物联网设备可以适应网络安全攻防形势的最新变化，以及安全管理对设备的实际控制能力。当然，固件装配还需要综合利用加密技术、读保护技术，并在产品开发期间注意隐藏接口和芯片信息等敏感数据。

进一步地，本发明实施例的具有安全云代理服务平台的物联网系统，集约化安全管理，充分利用高级专业技术人员的业务能力，降低了保障用户的技术门槛。

通过云代理安全服务，由物联网安全专业人员集中负责社会上的物联网安全防范，避免了企业分散处理物联网安全带来的技术、资金和人员问题，使分散的资金集中使用，防御技术的应用将更快，专业物联网安全人员的技术水平将更快提升，企业有可能享受成本较低、安全性较高的安全代理服务。另一方面，少量的高级专业技术人员有了渠道服务更多的客户，便于他们了解普遍安全需求，更快更好地为不同企业用户量身定制安全策略和部署安全防范技术。云代理安全服务，降低了企业用户享受高级物联网安全服务的技术门槛，有利于物联网应用行业和国家物联网整体安全能力的提升。

此外，本发明实施例的本发明实施例的具有安全云代理服务平台的物联网系统，数据、协议和接口标准化兼容，安全监测深入软件业务流程，形成软件内外结合的一体化综合的安全防护体系。

对于物联网设备之间的I/O，有格式合法和非法、数据速率和数据体量等安全检测，对于软件内部业务模块之间，也设置有类似的安全检测。整个系统从芯片安全、TrustZone、操作系统、协议、密码、接口、数据等形成不同位置不同层级的安全监测和防御能力体系。针对不同企业用户核心数据资产的特征和国内外物联网安全态势，部署不同安全级别的防御技术和措施，实现对于企业用户物联网安全的代理服务。

进一步的，本发明实施例的本发明实施例的具有安全云代理服务平台的物联网系统，对于安全级别较高国家机关或企业部门，在安全设备、技术人员和成本允许的情况下，可以进行本地化部署，建立本地物联网安全管理中心，同样施行安全综合分析、固件升级、设备和业务部件内外I/O安全监测等策略，也可以达到综合监测和主动防御的安全效果。

本发明实施例的物联网系统，集成物联网安全框架的防御体系，实现软件内外、物联网设备内外和系统内外一体化安全数据采集和综合分析，适合于安全程度要求较高的单位采用。相对于现有技术，具有以下效果：

(1)企业安全形势的综合分析预警能力。外部安全数据采集器、安全设备和用户的安全认证数据、以及协议和业务流程所有非法的操作信息，都会在云端存储和算力的保障下实时处理；还有互联网上物联网安全事件的信息，通过云端与企业内部安全信息综合分析，对现实的威胁发出预警，或者机器自动处理和推荐，或者由安全管理员或用户采用应对措施进行处理。

(2)采用固件升级技术。对于物联网设备固件，依据安全形势，更新升级密码和固件配置，提供企业物联网系统应对安全威胁的主动防御能力。固件升级采用了加密认证协议，标准化流程和云端操作的技术，提高了安全防御能力。防止非法破解固件升级环节，威胁企业物联网安全的可能性。

(3)设备内外和业务部件内外I/O的安全监测，形成深入业务的安全监测、分析和防御能力。物联网设备内外部接口、以及业务系统软件部件接口，都会进行通讯认证、授权、加密和非法操作探测等功能设计，这样安全深入系统和业务软件内部的核心技术是本方案的重要创新点。

上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。

Claims (5)

1.一种安全云代理服务实现方法，其特征在于，所述方法包括：

云安全平台接收来自物联网的安全信息；

分析所述安全信息，生成相应的安全决策；

将所述安全决策发送到对应的物联网设备，执行安全服务事项；

所述安全信息包括物联网设备安全信息、协议安全信息、固件升级信息和云安全平台安全信息中的一个或多个；

所述物联网设备包括物联网终端、路由器、安全防火墙、业务管理平台和云安全平台；

所述物联网终端的安全信息包括认证安全信息、授权安全信息、安全策略配置信息、安全事件数据收集信息、安全数据分析信息和安全操作决策信息；

所述安全信息为授权安全信息时，所述云安全平台根据物联网终端的授权安全信息，生成相应的决策，对所述物联网终端进行安全服务，具体过程包括：

云安全平台获取物联网终端的访问请求；

根据所述物联网终端的分类和标签，判断所述终端的访问权限；

根据所述物联网终端的访问权限，判断是否授权所述物联网终端的访问；

其中，所述物联网终端的标签，根据所述物联网终端的身份、职位、使用时段、权限设置来划分标识；

所述安全信息为固件升级信息时，所述云安全平台根据固件升级信息，生成相应的决策，对所述物联网设备的固件升级进行安全服务的具体过程包括：

S11：物联网设备和云安全平台身份的相互认证，双方确认后，建立通讯连接；

S12：物联网设备和云安全代理平台进行通讯加密算法、MAC算法和密钥约定，确立安全通讯配置；

S13：所述云安全平台获取安全管理员上传的固件升级包，并根据所述固件升级包创建固件升级任务；

S14：物联网设备上报数据，云安全平台感知物联网设备上线，触发升级协商流程；

S15：云安全平台向物联网设备查询设备固件版本；

S16：云安全平台根据升级的目标版本判断设备是否需要升级；如果返回的固件版本信息与升级的目标版本信息相同，则升级流程结束，不做升级处理；如果返回的固件版本信息与升级的目标版本信息不同，则执行下一步骤；

S17：云安全平台查询终端设备所在地的无线信号和有线网络覆盖情况，并根据所在地网络情况做相应升级配置；

S18：云安全平台向物联网设备订阅固件升级的状态；

S19：云安全平台向物联网设备下发下载固件包的URL地址，通知物联网设备下载固件包；

S20：物联网设备根据该URL地址下载固件包，下载完成后，物联网设备知会云安全代理平台固件包已下载完毕；

S21：云安全代理平台向物联网设备下发升级的命令，物联网设备进行升级操作；

S21：升级完成后物联网设备向云安全平台反馈升级结束；

S22：云安全平台下发命令查询固件升级的结果；

S23：云安全平台获取升级结果后，向物联网设备取消订阅升级状态。

2.如权利要求1所述的方法，其特征在于，所述云安全平台根据物联网终端的认证安全信息，生成相应的决策，对所述物联网终端进行安全服务，具体过程包括：

云安全平台获取每个物联网终端的相互认证信息；

对所述认证信息进行分析提取对应物联网终端的指纹信息，根据所述指纹信息，对每个对应物联网终端的环境进行认证；

认证通过则允许所述物联网终端相互连接。

3.如权利要求1所述的方法，其特征在于，所述物联网终端的环境包括对应物联网终端的指纹信息、用户名/密码信息、协议、登录频率信息、登录时间信息，IP/MAC地址信息。

4.一种安全云代理服务平台，用于实现物联网安全云代理服务，其特征在于，所述平台包括：

接收单元，用于接收来自物联网的安全信息；

分析单元，用于分析所述安全信息，生成相应的安全决策；

发送单元，用于将所述安全决策发送到对应的物联网设备，执行安全服务事项；

所述安全信息包括物联网设备安全信息、协议安全信息、固件升级信息和云安全平台安全信息中的一个或多个；

所述物联网设备包括物联网终端、路由器、安全防火墙、业务管理平台和云安全平台；

所述物联网终端的安全信息包括认证安全信息、授权安全信息、安全策略配置信息、安全事件数据收集信息、安全数据分析信息和安全操作决策信息；

所述安全信息为授权安全信息时，所述云安全平台根据物联网终端的授权安全信息，生成相应的决策，对所述物联网终端进行安全服务，具体过程包括：

云安全平台获取物联网终端的访问请求；

根据所述物联网终端的分类和标签，判断所述终端的访问权限；

根据所述物联网终端的访问权限，判断是否授权所述物联网终端的访问；

其中，所述物联网终端的标签，根据所述物联网终端的身份、职位、使用时段、权限设置来划分标识；

所述安全信息为固件升级信息时，所述云安全平台根据固件升级信息，生成相应的决策，对所述物联网设备的固件升级进行安全服务的具体过程包括：

S11：物联网设备和云安全平台身份的相互认证，双方确认后，建立通讯连接；

S12：物联网设备和云安全代理平台进行通讯加密算法、MAC算法和密钥约定，确立安全通讯配置；

S13：所述云安全平台获取安全管理员上传的固件升级包，并根据所述固件升级包创建固件升级任务；

S14：物联网设备上报数据，云安全平台感知物联网设备上线，触发升级协商流程；

S15：云安全平台向物联网设备查询设备固件版本；

S16：云安全平台根据升级的目标版本判断设备是否需要升级；如果返回的固件版本信息与升级的目标版本信息相同，则升级流程结束，不做升级处理；如果返回的固件版本信息与升级的目标版本信息不同，则执行下一步骤；

S17：云安全平台查询终端设备所在地的无线信号和有线网络覆盖情况，并根据所在地网络情况做相应升级配置；

S18：云安全平台向物联网设备订阅固件升级的状态；

S19：云安全平台向物联网设备下发下载固件包的URL地址，通知物联网设备下载固件包；

S20：物联网设备根据该URL地址下载固件包，下载完成后，物联网设备知会云安全代理平台固件包已下载完毕；

S21：云安全代理平台向物联网设备下发升级的命令，物联网设备进行升级操作；

S21：升级完成后物联网设备向云安全平台反馈升级结束；

S22：云安全平台下发命令查询固件升级的结果；

S23：云安全平台获取升级结果后，向物联网设备取消订阅升级状态。

5.一种物联网系统，其特征在于，包括权利要求4所述的安全云代理服务平台。

Images