CN112512024B - 一种面向5g网络的物联网终端安全汇聚接入方法及系统 - Google Patents
一种面向5g网络的物联网终端安全汇聚接入方法及系统 Download PDFInfo
- Publication number
- CN112512024B CN112512024B CN202110157378.2A CN202110157378A CN112512024B CN 112512024 B CN112512024 B CN 112512024B CN 202110157378 A CN202110157378 A CN 202110157378A CN 112512024 B CN112512024 B CN 112512024B
- Authority
- CN
- China
- Prior art keywords
- data
- security
- things
- internet
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本发明涉及一种面向5G网络的物联网终端安全汇聚接入方法,采用全新布局架构下的多端交互认证方法,通过分级式安全认证方式,针对弱计算资源的物联网终端设备,采用轻量级接入认证技术实现物联网终端设备与安全汇聚系统间的安全接入防护,并采用基于PKI系统的接入认证技术实现安全汇聚系统与目标物联网平台间的安全接入防护,能够有效提高物联终端接入汇聚实际应用中的高效性与安全性;并且进一步设计应用此方法的系统,集成串口、网口及各类局域网无线通信模组,利用数据格式与类型的分析与分类存储,最终使用5G网络完成数据的北向传输,可实现不同设备厂家的各类物联网设备统一接入汇聚,提高实际物联终端汇聚的工作效率。
Description
技术领域
本发明涉及一种面向5G网络的物联网终端安全汇聚接入方法及系统,属于物联安全接入技术领域。
背景技术
5G时代的来临不仅可以为人提供更加便捷的移动互联服务,也依靠其高速率、大容量和低时延高可靠的特点,成为万物互联的关键技术。根据IoT Analytics咨询机构预测,当前运营商物联网连接数呈指数级增长,预计2021年全球的物联网连接数将超过人联网连接数。全球IT研究与顾问咨询公司Gartner预测,全球接入互联网的设备将在2020年增至208亿台。随着5G网络中海量物联设备的持续高速接入,各种网络安全问题成为摆在政府监管和各类企业面前的一道难题。
物联网设备本身存在类型繁杂和数量众多的特点,随着5G网络的高速发展,在增加物联网设备接入的数量级的同时,也提升了物联网设备安全问题的危害广泛性与传播能力,存在多方面的问题和挑战。
(1)物联设备接入的高速增加为企业带来海量的原始数据,为以数据中台为核心的企业应用增加了存储扩容和海量数据高速处理的压力,必须在物联网感知层与网络层之间,通过边缘计算的方式,对海量物联网设备数据进行存储和分析,仅将企业应用所需的内容分析结果及关键原始数据传递给云/数据中心做进一步分析和长久存储。
(2)物联网设备包含传感器、工业PLC、智能摄像头等多种类型各样架构的设备,难以通过统一的措施实现设备的安全管控。目前多数企业通过设备ID来实现对物联网设备的全生命周期管理,但是由于设备自身资源有限,无法对ID的篡改与伪造提供保护功能,使得物联网中仿冒终端、伪造数据、中间人攻击的安全事件频繁发生,必须通过更安全的标识手段,实现对物联设备的统一标识管理。
现有技术关于物联接入技术的实际实施应用中,主要体现于以下两方面。
(1)目前市场上应用广泛的边缘计算设备为传感器汇聚网关,主要为传感器设备厂家为自身设备配套生产,通过lora、zigbee、485串口等短距离通信方式采集局域网内的物联网设备数据,经过协议转换后,利用网口或GPRS/4G网络进行北向数据上送,可兼容汇聚的传感器类型有限,且自身不具备边缘计算功能。
(2)目前最成熟的安全接入技术主要有IPSec VPN和SSL VPN两种,但是两种方案均对前端设备有较高的计算资源要求,一般用于智能手机、PC等智能终端设备,难以适应物联网设备多类异构且自身计算资源有限的特点。
发明内容
本发明所要解决的技术问题是提供一种面向5G网络的物联网终端安全汇聚接入方法,引入全新认证布局与过程,能够有效提高物联终端汇聚的高效性与安全性。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种面向5G网络的物联网终端安全汇聚接入方法,用于实现各物联网终端设备所采集数据向目标物联网平台的安全上传,基于内置安全认证系统的安全接入模块,以及数据接收接口、数据发送接口;
在目标物联网平台与各物联网终端设备分别均通过安全接入模块中的安全认证系统实现安全认证接入后,首先由数据接收接口接收来自物联网终端设备的采集数据,然后转发至数据发送接口,最后由数据发送接口向目标物联网平台实现数据上传;
并且目标物联网平台的安全认证接入方式与物联网终端设备的安全认证接入方式彼此不同;其中,安全接入模块中的安全认证系统基于与其相对接的密钥生成中心进行应用,所述各物联网终端设备分别执行如下步骤I1至步骤I8,通过安全接入模块中的安全认证系统实现安全认证接入;
步骤I1. 物联网终端设备向安全认证系统发送参数申请报文,获得密钥生成中心的公钥,然后进入步骤I2;
步骤I2. 物联网终端设备应用密钥生成中心的公钥针对其设备ID、以及随机所获的随机数进行加密,构建私钥申请报文,并经安全认证系统转发至密钥生成中心,然后进入步骤I3;
步骤I3. 密钥生成中心接收私钥申请报文,并应用私钥进行解密,获得其中的设备ID与随机数,然后进入步骤I4;
步骤I4. 密钥生成中心根据解密所获设备ID,分别计算获得终端签名私钥和终端加密私钥,并由密钥生成中心应用解密所获的随机数,针对终端签名私钥、终端加密私钥、以及密钥申请时间、密钥有效期进行加密,构成注册结果,再经安全认证系统反馈至物联网终端设备,然后进入步骤I5;
步骤I5. 由物联网终端设备应用步骤I2中其所获得的随机数,针对注册结果进行解密,获得其中的终端签名私钥、终端加密私钥、密钥申请时间、密钥有效期,然后进入步骤I6;
步骤I6. 物联网终端设备生成随机数作为对称密钥,并应用终端加密私钥针对对称密钥进行加密,并针对所获密文,结合设备ID、密钥申请时间、以及密钥有效期,构建认证申请,然后进入步骤I7;
步骤I7. 物联网终端设备应用终端签名私钥,针对认证申请进行签名,并将认证申请与签名发送至安全认证系统,然后进入步骤I8;
步骤I8. 由安全认证系统针对所接收到的认证申请与签名进行验证,若验证通过,则物联网终端设备完成安全认证接入,若验证未通过,则物联网终端设备安全认证接入失败。
作为本发明的一种优选技术方案,所述步骤I8中包括如下:
步骤I8-1. 安全认证系统针对所接收到的认证申请与签名,获取其中的设备ID、加密对称密钥、密钥申请时间、以及密钥有效期,由安全认证系统验证密钥有效期是否过期,是则物联网终端设备安全认证接入失败;否则进入步骤I8-2;
步骤I8-2. 由安全认证系统针对认证申请进行验证,是则进入步骤I8-3;否则物联网终端设备安全认证接入失败;
步骤I8-3. 由安全认证系统针对加密对称密钥进行解密,获取对称密钥明文,并结合所获认证申请、签名,一并转发至物联网终端设备,然后进入步骤I8-4;
步骤I8-4. 物联网终端设备接收来自安全认证系统的对称密钥明文、认证申请、签名,并针对对称密钥明文与步骤I6中由物联网终端设备所生成随机数的对称密钥进行比较,若彼此相同,则物联网终端设备安全认证接入成功;若彼此不相同,则物联网终端设备安全认证接入失败。
作为本发明的一种优选技术方案:所述目标物联网平台包括相对接的目标物联管理平台与安全接入网关,所述目标物联网平台执行如下步骤II1至步骤II4,通过安全接入模块中的安全认证系统实现安全认证接入;
步骤II1. 安全认证系统生成证书签发中心证书请求,由证书签发中心签发接入节点证书,并返回安全认证系统,再由安全认证系统导入接入节点证书、以及来自安全接入网关的安全接入网关证书,然后进入步骤II2;
步骤II2. 安全认证系统将接入节点证书发送至安全接入网关,由安全接入网关导入接入节点证书,然后进入步骤II3;
步骤II3. 安全认证系统建立其与安全接入网关之间的SSL连接,并由安全认证系统通过SSL扩展信息向安全接入网关上报可信启动信息,再由安全接入网关根据可信启动信息远程证明安全认证系统的完整性;
同时首先由安全接入网关应用SSL协议针对安全认证系统进行身份认证,然后安全认证系统应用SSL协议对安全接入网关进行身份认证,由此实现双向认证;
若上述远程证明与双向认证均通过,则进入步骤II4;反之则目标物联网平台的安全认证接入失败;
步骤II4. 安全认证系统由安全接入网关下载安全接入网关证书,并解析其中的SN,再由安全认证系统根据SN和安全接入网关,通过从安全接入网关上签发后导入的安全接入网关证书进行认证,然后由安全接入网关注册安全认证系统到物联管理平台,完成目标物联网平台的安全认证接入。
作为本发明的一种优选技术方案:所述安全接入模块中还内置数据加解密系统,还基于数据汇聚模块、数据库模块、协议转换模块,执行如下步骤A至步骤F;
步骤A. 由数据接收接口接收来自物联网终端设备的采集数据,并转发至安全接入模块中的数据加解密系统,然后进入步骤B;
步骤B. 由安全接入模块中的数据加解密系统,针对所接收到的采集数据进行解密,获得相对应的明文采集数据,并转发至数据汇聚模块,然后进入步骤C;
步骤C. 由数据汇聚模块针对所接收到的明文采集数据,执行数据格式分析、以及统一指定数据格式的转换,获得相对应的格式化明文采集数据,然后进入步骤D;
步骤D. 由数据汇聚模块将格式化明文采集数据存储至数据库模块中,同时由数据汇聚模块将格式化明文采集数据转发至协议转换模块,然后进入步骤E;
步骤E. 由协议转换模块针对所接收数据进行数据协议转换处理,并发送至安全接入模块中的数据加解密系统,由数据加解密系统对其进行加密处理,获得加密数据,然后进入步骤F;
步骤F. 由安全接入模块中的数据加解密系统针对处理所获加密数据,经数据发送接口转发至目标物联网平台。
作为本发明的一种优选技术方案:所述目标物联网平台包括相对接的目标物联管理平台与安全接入网关,按如下步骤III1至步骤III5,实现针对目标物联管理平台的访问请求应用;
步骤III1. 由安全接入模块中的数据加解密系统针对访问请求进行加密,并经数据发送接口转发至安全接入网关,然后进入步骤III2;
步骤III2. 安全接入网关针对所接收到的加密访问请求进行解密,获得访问请求明文,并转发至目标物联管理平台,然后进入步骤III3;
步骤III3. 目标物联管理平台接收访问请求明文,并查找相应的响应数据,返回至安全接入网关,然后进入步骤III4;
步骤III4. 安全接入网关针对所接收到的响应数据进行加密,并经数据发送接口返回至安全接入模块中的数据加解密系统,然后进入步骤III5;
步骤III5. 由安全接入模块中的数据加解密系统,针对所接收到的加密响应数据进行解密,获得响应数据明文。
作为本发明的一种优选技术方案:还基于内置指定各物联网终端设备厂商的业务微应用的容器进行应用,所述步骤D中,针对数据汇聚模块将格式化明文采集数据转发至协议转换模块的过程包括如下:
数据汇聚模块根据格式化明文采集数据的数据类型,将格式化明文采集数据转发至容器中相应物联网终端设备厂商的业务微应用,由相应业务微应用针对格式化明文采集数据执行边缘计算,获得相应数据结果,并将相应数据结果转发至协议转换模块。
作为本发明的一种优选技术方案:还基于本地展示模块进行应用,所述步骤D中由相应业务微应用针对格式化明文采集数据执行边缘计算,获得相应数据结果转发至协议转换模块的同时,相应业务微应用将相应数据结果转发本地展示模块进行展示。
与上述相对应,本发明所要解决的技术问题是提供一种应用面向5G网络的物联网终端安全汇聚接入方法的系统,应用模块化进行功能划分,通过执行全新布局的认证方法,能够有效提高物联终端汇聚的高效性与安全性。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种应用面向5G网络的物联网终端安全汇聚接入方法的系统,包括接入层、汇聚分析层、功能应用层、以及展示层,其中,所述安全接入模块、数据汇聚模块、协议转换模块位于功能应用层中,所述数据接收接口、数据发送接口位于接入层中,所述数据库模块、容器位于汇聚分析层中;所述本地展示模块位于展示层中;
汇聚分析层中还包括数据类型分析功能、数据格式化功能、数据实时存储功能、边缘计算功能,所述位于功能应用层中的数据汇聚模块调用汇聚分析层中的数据类型分析功能、数据格式化功能、数据实时存储功能分别执行相应操作;
所述功能应用层中还包括边缘计算模块,边缘计算模块用于控制位于汇聚分析层中容器内的相应业务微应用、调用汇聚分析层中的边缘计算功能执行相应边缘计算。
作为本发明的一种优选技术方案:所述汇聚分析层中还包括基于EdgeX的边缘计算框架,所述容器内的相应业务微应用,在基于EdgeX的边缘计算框架下,调用汇聚分析层中的边缘计算功能执行相应边缘计算。
本发明所述一种面向5G网络的物联网终端安全汇聚接入方法及系统及应用,采用以上技术方案与现有技术相比,具有以下技术效果:
本发明所设计一种面向5G网络的物联网终端安全汇聚接入方法,采用全新布局架构下的多端交互认证方法,通过分级式安全认证方式,针对弱计算资源的物联网终端设备,采用轻量级接入认证技术实现物联网终端设备与安全汇聚系统间的安全接入防护,并采用基于PKI系统的接入认证技术实现安全汇聚系统与目标物联网平台间的安全接入防护,能够有效提高物联终端接入汇聚实际应用中的高效性与安全性;并且基于此物联网终端安全汇聚接入方法,进一步设计应用此方法的系统,通过模块化设计理念,集成串口、网口及各类局域网无线通信模组,利用数据格式与类型的分析与分类存储,最终使用5G网络完成数据的北向传输,可实现不同设备厂家的各类物联网设备统一接入汇聚,提高实际物联终端汇聚的工作效率。
附图说明
图1是本发明所设计物联网终端安全汇聚接入方法中物联网终端设备安全认证接入流程示意图;
图2是本发明所设计物联网终端安全汇聚接入方法中目标物联网平台安全认证接入流程示意图;
图3是本发明所设计物联网终端安全汇聚接入方法中物联数据采集上传流程示意图;
图4是本发明所设计应用物联网终端安全汇聚接入方法的系统的架构示意图;
图5是本发明所设计应用物联网终端安全汇聚接入方法的系统的产品结构布局示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明设计了一种面向5G网络的物联网终端安全汇聚接入方法,用于实现各物联网终端设备所采集数据向目标物联网平台的安全上传,基于内置安全认证系统的安全接入模块,以及数据接收接口、数据发送接口。
在目标物联网平台与各物联网终端设备分别均通过安全接入模块中的安全认证系统实现安全认证接入后,首先由数据接收接口接收来自物联网终端设备的采集数据,然后转发至数据发送接口,最后由数据发送接口向目标物联网平台实现数据上传。
并且目标物联网平台的安全认证接入方式与物联网终端设备的安全认证接入方式彼此不同。
本专利设计在物联网设备接入企业内网过程进行分级式的安全认证与数据加密,在物联网终端接入至安全汇聚系统的过程中采用轻量级的标识认证方式,在安全汇聚系统接入企业物联网平台层过程中采用基于PKI的SSL认证。
本专利接入认证方法适用于感知层设备汇聚接入时的通信安全防护,主要基于IBC标识认证体系实现,不使用数字证书,去中心化认证,降低现场实施难度,提高实体身份认证效率。
上述所设计技术方案在具体的实际应用当中,设计所述安全接入模块中的安全认证系统基于与其相对接的密钥生成中心进行应用,如图1所示,各物联网终端设备分别执行如下步骤I1至步骤I8,通过安全接入模块中的安全认证系统实现安全认证接入。
步骤I1. 物联网终端设备向安全认证系统发送参数申请报文,获得密钥生成中心的公钥,然后进入步骤I2,实际应用当中,诸如以国密SM9为基础,物联网终端设备向安全认证系统发送参数申请报文,获取SM9系统参数。
步骤I2. 物联网终端设备应用密钥生成中心的公钥针对其设备ID、以及随机所获的随机数进行加密,构建私钥申请报文,并经安全认证系统转发至密钥生成中心,然后进入步骤I3。
步骤I3. 密钥生成中心接收私钥申请报文,并应用私钥进行解密,获得其中的设备ID与随机数,然后进入步骤I4。
步骤I4. 密钥生成中心根据解密所获设备ID,分别计算获得终端签名私钥和终端加密私钥,并由密钥生成中心应用解密所获的随机数,针对终端签名私钥、终端加密私钥、以及密钥申请时间、密钥有效期进行加密,构成注册结果,再经安全认证系统反馈至物联网终端设备,然后进入步骤I5。
步骤I5. 由物联网终端设备应用步骤I2中其所获得的随机数,针对注册结果进行解密,获得其中的终端签名私钥、终端加密私钥、密钥申请时间、密钥有效期,然后进入步骤I6。
步骤I6. 物联网终端设备生成随机数作为对称密钥,并应用终端加密私钥针对对称密钥进行加密,并针对所获密文,结合设备ID、密钥申请时间、以及密钥有效期,构建认证申请,然后进入步骤I7。
步骤I7. 物联网终端设备应用终端签名私钥,针对认证申请进行签名,并将认证申请与签名发送至安全认证系统,然后进入步骤I8。
步骤I8. 由安全认证系统针对所接收到的认证申请与签名进行验证,若验证通过,则物联网终端设备完成安全认证接入,若验证未通过,则物联网终端设备安全认证接入失败。
实际应用中,上述步骤I8具体执行如下步骤I8-1至步骤I8-4。
步骤I8-1. 安全认证系统针对所接收到的认证申请与签名,获取其中的设备ID、加密对称密钥、密钥申请时间、以及密钥有效期,由安全认证系统验证密钥有效期是否过期,是则物联网终端设备安全认证接入失败;否则进入步骤I8-2。
步骤I8-2. 由安全认证系统针对认证申请进行验证,是则进入步骤I8-3;否则物联网终端设备安全认证接入失败。
步骤I8-3. 由安全认证系统针对加密对称密钥进行解密,获取对称密钥明文,并结合所获认证申请、签名,一并转发至物联网终端设备,然后进入步骤I8-4。
步骤I8-4. 物联网终端设备接收来自安全认证系统的对称密钥明文、认证申请、签名,并针对对称密钥明文与步骤I6中由物联网终端设备所生成随机数的对称密钥进行比较,若彼此相同,则物联网终端设备安全认证接入成功;若彼此不相同,则物联网终端设备安全认证接入失败。
上述步骤I1至步骤I8中涉及到了多个类型的报文,诸如参数申请报文如下表1所示。
表1
基于参数申请报文所获参数构成的参数应答报文如下表2所示。
表2
此外还涉及到私钥申请报文如下表3所示。
表3
基于私钥申请报文所获私钥构成的私钥应答报文如下表4所示。
表4
应用过程中,所涉及到的公钥申请报文,如下表5所示。
表5
与公钥申请报文相对应的公钥应答报文如下表6所示。
表 6
本接入认证方法适用于安全汇聚系统接入至目标物联网平台,采用基于PKI体系的接入认证方法,利用数字证书进行数字签名与验签,实现安全汇聚系统与目标物联网平台边界安全接入网关的双向身份认证。
实际应用当中,所述目标物联网平台包括相对接的目标物联管理平台与安全接入网关,如图2所示,所述目标物联网平台执行如下步骤II1至步骤II4,通过安全接入模块中的安全认证系统实现安全认证接入。
步骤II1. 安全认证系统生成证书签发中心证书请求,由证书签发中心签发接入节点证书,并返回安全认证系统,再由安全认证系统导入接入节点证书、以及来自安全接入网关的安全接入网关证书,然后进入步骤II2。
步骤II2. 安全认证系统将接入节点证书发送至安全接入网关,由安全接入网关导入接入节点证书,然后进入步骤II3。
步骤II3. 安全认证系统建立其与安全接入网关之间的SSL连接,并由安全认证系统通过SSL扩展信息向安全接入网关上报可信启动信息,再由安全接入网关根据可信启动信息远程证明安全认证系统的完整性;同时首先由安全接入网关应用SSL协议针对安全认证系统进行身份认证,然后安全认证系统应用SSL协议对安全接入网关进行身份认证,由此实现双向认证。
若上述远程证明与双向认证均通过,则进入步骤II4;反之则目标物联网平台的安全认证接入失败。
安全认证系统是和安全接入网关认证过程是通过标准SSL协议,在协议中会协商出加解密用的共同密钥。
步骤II4. 安全认证系统由安全接入网关下载安全接入网关证书,并解析其中的SN,再由安全认证系统根据SN和安全接入网关,通过从安全接入网关上签发后导入的安全接入网关证书进行认证,然后由安全接入网关注册安全认证系统到物联管理平台,完成目标物联网平台的安全认证接入。
进一步按图2所示,按如下步骤III1至步骤III5,实现针对目标物联管理平台的访问请求应用。
步骤III1. 由安全接入模块中的数据加解密系统针对访问请求进行加密,并经数据发送接口转发至安全接入网关,然后进入步骤III2。
步骤III2. 安全接入网关针对所接收到的加密访问请求进行解密,获得访问请求明文,并转发至目标物联管理平台,然后进入步骤III3。
步骤III3. 目标物联管理平台接收访问请求明文,并查找相应的响应数据,返回至安全接入网关,然后进入步骤III4。
步骤III4. 安全接入网关针对所接收到的响应数据进行加密,并经数据发送接口返回至安全接入模块中的数据加解密系统,然后进入步骤III5。
步骤III5. 由安全接入模块中的数据加解密系统,针对所接收到的加密响应数据进行解密,获得响应数据明文。
在本专利所设计面向5G网络的物联网终端安全汇聚接入方法,在实际应用当中,整个方式还涉及的认证申请报文如下表7所示。
表7
与上述认证申请报文相对应的,认证应答报文如下表8所示。
表8
并且进一步还涉及到认证确认报文如下表9所示。
表9
在具体的实际应用当中,进一步设计所述安全接入模块中还内置数据加解密系统,还基于数据汇聚模块、数据库模块、协议转换模块,如图3所示,具体执行如下步骤A至步骤F。
步骤A. 由数据接收接口接收来自物联网终端设备的采集数据,并转发至安全接入模块中的数据加解密系统,然后进入步骤B。
步骤B. 由安全接入模块中的数据加解密系统,针对所接收到的采集数据进行解密,获得相对应的明文采集数据,并转发至数据汇聚模块,然后进入步骤C。
步骤C. 由数据汇聚模块针对所接收到的明文采集数据,执行数据格式分析、以及统一指定数据格式的转换,获得相对应的格式化明文采集数据,然后进入步骤D。
步骤D. 由数据汇聚模块将格式化明文采集数据存储至数据库模块中,同时由数据汇聚模块将格式化明文采集数据转发至协议转换模块,然后进入步骤E。
步骤E. 由协议转换模块针对所接收数据进行数据协议转换处理,并发送至安全接入模块中的数据加解密系统,由数据加解密系统对其进行加密处理,获得加密数据,然后进入步骤F。
步骤F. 由安全接入模块中的数据加解密系统针对处理所获加密数据,经数据发送接口转发至目标物联网平台。
在实际应用当中,涉及到数据传输报文如下表10所示。
表10
进一步在实际应用当中的设计,还基于内置指定各物联网终端设备厂商的业务微应用的容器进行应用,其中,所述步骤D中,针对数据汇聚模块将格式化明文采集数据转发至协议转换模块的过程包括如下:
数据汇聚模块根据格式化明文采集数据的数据类型,将格式化明文采集数据转发至容器中相应物联网终端设备厂商的业务微应用,由相应业务微应用针对格式化明文采集数据执行边缘计算,获得相应数据结果,并将相应数据结果转发至协议转换模块。
实际应用中,还进一步设计加入本地展示模块,基于本地展示模块进行应用,所述步骤D中由相应业务微应用针对格式化明文采集数据执行边缘计算,获得相应数据结果转发至协议转换模块的同时,相应业务微应用将相应数据结果转发本地展示模块进行展示。
与上述相对应,本发明设计了一种应用面向5G网络的物联网终端安全汇聚接入方法的系统,如图4所示,包括接入层、汇聚分析层、功能应用层、以及展示层,其中,所述安全接入模块、数据汇聚模块、协议转换模块位于功能应用层中,所述数据接收接口、数据发送接口位于接入层中,所述数据库模块、容器位于汇聚分析层中;所述本地展示模块位于展示层中;
汇聚分析层中还包括数据类型分析功能、数据格式化功能、数据实时存储功能、边缘计算功能、以及基于EdgeX的边缘计算框架,所述位于功能应用层中的数据汇聚模块调用汇聚分析层中的数据类型分析功能、数据格式化功能、数据实时存储功能分别执行相应操作,所述容器内的相应业务微应用,在基于EdgeX的边缘计算框架下,调用汇聚分析层中的边缘计算功能执行相应边缘计算。
所述功能应用层中还包括边缘计算模块,边缘计算模块用于控制位于汇聚分析层中容器内的相应业务微应用、调用汇聚分析层中的边缘计算功能执行相应边缘计算。
实际应用当中,接入层中:
数据接收接口:支持以太网、串口、lora和zigbee;
数据接收协议:支持基于TCP/IP及mudbus协议,对终端数据进行统一采集;
数据发送接口:5G
数据发送协议:支持基于TCP/IP、MQTT及HTTP等协议,对数据进行统一发送。
汇聚分析层:
配置数据格式化模块、实时数据库及容器,实现对汇聚数据的统一存储,同时可转发至容器中设备厂商的微应用,供物联网终端设备厂商进行边缘计算;
数据类型分析:根据网络及数据规约解析业务数据类型;
数据格式分析:判断业务数据格式,进行结构化存储;
容器:集成终端设备厂商的业务微应用;
实时存储:存储汇聚到的原始数据。
功能应用层:
安全接入:实现针对物联网终端设备的安全认证及数据加解密;
数据汇聚:实现数据统一汇聚存储,同时可进行必要的格式转换;
协议转换:实现数据的规约统一转换,同时支持面向云端/数据中台的数据代理转发;
边缘计算:通过构建独立运行的容器,可支持装置厂商微应用的边缘计算本地实现;
报表:实现数据的综合统计、物联网终端设备运行异常情况统计
业务展示层
物联网设备画像:统一展示物联网设备资产;
数据分析预警:实时展示数据分析中的异常情况;
状态评估:基于数据分析、模型分析,实现对物联网设备运行状态的综合评估。
针对上述所设计应用面向5G网络的物联网终端安全汇聚接入方法的系统,在实际的产品实施中,硬件部分为基于ARM Linux系统架构的工控机,外部接口包括:网口、485串口、232串口、Lora通信模组、ZigBee通信模组和5G通信模组,接口设计布局如图5所示。
上述技术方案所设计面向5G网络的物联网终端安全汇聚接入方法,采用全新布局架构下的多端交互认证方法,通过分级式安全认证方式,针对弱计算资源的物联网终端设备,采用轻量级接入认证技术实现物联网终端设备与安全汇聚系统间的安全接入防护,并采用基于PKI系统的接入认证技术实现安全汇聚系统与目标物联网平台间的安全接入防护,能够有效提高物联终端接入汇聚实际应用中的高效性与安全性;并且基于此物联网终端安全汇聚接入方法,进一步设计应用此方法的系统,通过模块化设计理念,集成串口、网口及各类局域网无线通信模组,利用数据格式与类型的分析与分类存储,最终使用5G网络完成数据的北向传输,可实现不同设备厂家的各类物联网设备统一接入汇聚,提高实际物联终端汇聚的工作效率。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (8)
1.一种面向5G网络的物联网终端安全汇聚接入方法,用于实现各物联网终端设备所采集数据向目标物联网平台的安全上传,其特征在于:基于内置安全认证系统的安全接入模块,以及数据接收接口、数据发送接口;
在目标物联网平台与各物联网终端设备分别均通过安全接入模块中的安全认证系统实现安全认证接入后,首先由数据接收接口接收来自物联网终端设备的采集数据,然后转发至数据发送接口,最后由数据发送接口向目标物联网平台实现数据上传;
并且目标物联网平台的安全认证接入方式与物联网终端设备的安全认证接入方式彼此不同;
其中,安全接入模块中的安全认证系统基于与其相对接的密钥生成中心进行应用,所述各物联网终端设备分别执行如下步骤I1至步骤I8,通过安全接入模块中的安全认证系统实现安全认证接入;
步骤I1.物联网终端设备向安全认证系统发送参数申请报文,获得密钥生成中心的公钥,然后进入步骤I2;
步骤I2.物联网终端设备应用密钥生成中心的公钥针对其设备ID、以及随机所获的随机数进行加密,构建私钥申请报文,并经安全认证系统转发至密钥生成中心,然后进入步骤I3;
步骤I3.密钥生成中心接收私钥申请报文,并应用私钥进行解密,获得其中的设备ID与随机数,然后进入步骤I4;
步骤I4.密钥生成中心根据解密所获设备ID,分别计算获得终端签名私钥和终端加密私钥,并由密钥生成中心应用解密所获的随机数,针对终端签名私钥、终端加密私钥、以及密钥申请时间、密钥有效期进行加密,构成注册结果,再经安全认证系统反馈至物联网终端设备,然后进入步骤I5;
步骤I5.由物联网终端设备应用步骤I2中其所获得的随机数,针对注册结果进行解密,获得其中的终端签名私钥、终端加密私钥、密钥申请时间、密钥有效期,然后进入步骤I6;
步骤I6.物联网终端设备生成随机数作为对称密钥,并应用终端加密私钥针对对称密钥进行加密,并针对所获密文,结合设备ID、密钥申请时间、以及密钥有效期,构建认证申请,然后进入步骤I7;
步骤I7.物联网终端设备应用终端签名私钥,针对认证申请进行签名,并将认证申请与签名发送至安全认证系统,然后进入步骤I8;
步骤I8.由安全认证系统针对所接收到的认证申请与签名进行验证,若验证通过,则物联网终端设备完成安全认证接入,若验证未通过,则物联网终端设备安全认证接入失败;
上述步骤I8中包括如下:
步骤I8-1.安全认证系统针对所接收到的认证申请与签名,获取其中的设备ID、加密对称密钥、密钥申请时间、以及密钥有效期,由安全认证系统验证密钥有效期是否过期,是则物联网终端设备安全认证接入失败;否则进入步骤I8-2;
步骤I8-2.由安全认证系统针对认证申请进行验证,是则进入步骤I8-3;否则物联网终端设备安全认证接入失败;
步骤I8-3.由安全认证系统针对加密对称密钥进行解密,获取对称密钥明文,并结合所获认证申请、签名,一并转发至物联网终端设备,然后进入步骤I8-4;
步骤I8-4.物联网终端设备接收来自安全认证系统的对称密钥明文、认证申请、签名,并针对对称密钥明文与步骤I6中由物联网终端设备所生成随机数的对称密钥进行比较,若彼此相同,则物联网终端设备安全认证接入成功;若彼此不相同,则物联网终端设备安全认证接入失败。
2.根据权利要求1所述一种面向5G网络的物联网终端安全汇聚接入方法,其特征在于:所述目标物联网平台包括相对接的目标物联管理平台与安全接入网关,所述目标物联网平台执行如下步骤II1至步骤II4,通过安全接入模块中的安全认证系统实现安全认证接入;
步骤II1.安全认证系统生成证书签发中心证书请求,由证书签发中心签发接入节点证书,并返回安全认证系统,再由安全认证系统导入接入节点证书、以及来自安全接入网关的安全接入网关证书,然后进入步骤II2;
步骤II2.安全认证系统将接入节点证书发送至安全接入网关,由安全接入网关导入接入节点证书,然后进入步骤II3;
步骤II3.安全认证系统建立其与安全接入网关之间的SSL连接,并由安全认证系统通过SSL扩展信息向安全接入网关上报可信启动信息,再由安全接入网关根据可信启动信息远程证明安全认证系统的完整性;
同时首先由安全接入网关应用SSL协议针对安全认证系统进行身份认证,然后安全认证系统应用SSL协议对安全接入网关进行身份认证,由此实现双向认证;
若上述远程证明与双向认证均通过,则进入步骤II4;反之则目标物联网平台的安全认证接入失败;
步骤II4.安全认证系统由安全接入网关下载安全接入网关证书,并解析其中的SN,再由安全认证系统根据SN和安全接入网关,通过从安全接入网关上签发后导入的安全接入网关证书进行认证,然后由安全接入网关注册安全认证系统到物联管理平台,完成目标物联网平台的安全认证接入。
3.根据权利要求1所述一种面向5G网络的物联网终端安全汇聚接入方法,其特征在于:所述安全接入模块中还内置数据加解密系统,还基于数据汇聚模块、数据库模块、协议转换模块,执行如下步骤A至步骤F;
步骤A.由数据接收接口接收来自物联网终端设备的采集数据,并转发至安全接入模块中的数据加解密系统,然后进入步骤B;
步骤B.由安全接入模块中的数据加解密系统,针对所接收到的采集数据进行解密,获得相对应的明文采集数据,并转发至数据汇聚模块,然后进入步骤C;
步骤C.由数据汇聚模块针对所接收到的明文采集数据,执行数据格式分析、以及统一指定数据格式的转换,获得相对应的格式化明文采集数据,然后进入步骤D;
步骤D.由数据汇聚模块将格式化明文采集数据存储至数据库模块中,同时由数据汇聚模块将格式化明文采集数据转发至协议转换模块,然后进入步骤E;
步骤E.由协议转换模块针对所接收数据进行数据协议转换处理,并发送至安全接入模块中的数据加解密系统,由数据加解密系统对其进行加密处理,获得加密数据,然后进入步骤F;
步骤F.由安全接入模块中的数据加解密系统针对处理所获加密数据,经数据发送接口转发至目标物联网平台。
4.根据权利要求3所述一种面向5G网络的物联网终端安全汇聚接入方法,其特征在于:所述目标物联网平台包括相对接的目标物联管理平台与安全接入网关,按如下步骤III1至步骤III5,实现针对目标物联管理平台的访问请求应用;
步骤III1.由安全接入模块中的数据加解密系统针对访问请求进行加密,并经数据发送接口转发至安全接入网关,然后进入步骤III2;
步骤III2.安全接入网关针对所接收到的加密访问请求进行解密,获得访问请求明文,并转发至目标物联管理平台,然后进入步骤III3;
步骤III3.目标物联管理平台接收访问请求明文,并查找相应的响应数据,返回至安全接入网关,然后进入步骤III4;
步骤III4.安全接入网关针对所接收到的响应数据进行加密,并经数据发送接口返回至安全接入模块中的数据加解密系统,然后进入步骤III5;
步骤III5.由安全接入模块中的数据加解密系统,针对所接收到的加密响应数据进行解密,获得响应数据明文。
5.根据权利要求3所述一种面向5G网络的物联网终端安全汇聚接入方法,其特征在于:还基于内置指定各物联网终端设备厂商的业务微应用的容器进行应用,所述步骤D中,针对数据汇聚模块将格式化明文采集数据转发至协议转换模块的过程包括如下:
数据汇聚模块根据格式化明文采集数据的数据类型,将格式化明文采集数据转发至容器中相应物联网终端设备厂商的业务微应用,由相应业务微应用针对格式化明文采集数据执行边缘计算,获得相应数据结果,并将相应数据结果转发至协议转换模块。
6.根据权利要求5所述一种面向5G网络的物联网终端安全汇聚接入方法,其特征在于:还基于本地展示模块进行应用,所述步骤D中由相应业务微应用针对格式化明文采集数据执行边缘计算,获得相应数据结果转发至协议转换模块的同时,相应业务微应用将相应数据结果转发本地展示模块进行展示。
7.一种应用于权利要求1至6中任意一项所述一种面向5G网络的物联网终端安全汇聚接入方法的系统,其特征在于:包括接入层、汇聚分析层、功能应用层、以及展示层,其中,所述安全接入模块、数据汇聚模块、协议转换模块位于功能应用层中,所述数据接收接口、数据发送接口位于接入层中,数据库模块、容器位于汇聚分析层中;本地展示模块位于展示层中;
汇聚分析层中还包括数据类型分析功能、数据格式化功能、数据实时存储功能、边缘计算功能,所述位于功能应用层中的数据汇聚模块调用汇聚分析层中的数据类型分析功能、数据格式化功能、数据实时存储功能分别执行相应操作;
所述功能应用层中还包括边缘计算模块,边缘计算模块用于控制位于汇聚分析层中容器内的相应业务微应用、调用汇聚分析层中的边缘计算功能执行相应边缘计算。
8.根据权利要求7所述一种应用面向5G网络的物联网终端安全汇聚接入方法的系统,其特征在于:所述汇聚分析层中还包括基于EdgeX的边缘计算框架,所述容器内的相应业务微应用,在基于EdgeX的边缘计算框架下,调用汇聚分析层中的边缘计算功能执行相应边缘计算。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110157378.2A CN112512024B (zh) | 2021-02-05 | 2021-02-05 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110157378.2A CN112512024B (zh) | 2021-02-05 | 2021-02-05 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112512024A CN112512024A (zh) | 2021-03-16 |
CN112512024B true CN112512024B (zh) | 2021-05-11 |
Family
ID=74952658
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110157378.2A Active CN112512024B (zh) | 2021-02-05 | 2021-02-05 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112512024B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113518118B (zh) * | 2021-05-20 | 2022-03-29 | 常州皓晨科技有限公司 | 基于物联网安全服务的信息处理方法及系统 |
CN113472845B (zh) * | 2021-05-27 | 2023-05-09 | 四川大学华西医院 | 一种基于容器技术的医学物联网智能系统 |
CN113746632B (zh) * | 2021-07-20 | 2022-11-04 | 南京邮电大学 | 一种物联网系统多级身份认证方法 |
CN113765713B (zh) * | 2021-08-27 | 2024-02-27 | 中国人民解放军国防大学军事管理学院 | 一种基于物联网设备采集的数据交互方法 |
CN113783893A (zh) * | 2021-09-29 | 2021-12-10 | 远景智能国际私人投资有限公司 | 数据传输方法、装置及系统 |
CN114189510B (zh) * | 2021-11-30 | 2023-07-25 | 国网四川省电力公司南充供电公司 | 一种基于apn的物联网数据采集系统及方法 |
CN114978591B (zh) * | 2022-04-15 | 2024-02-23 | 国网上海能源互联网研究院有限公司 | 一种基于安全防护的场域网数据交互系统及方法 |
CN114928491A (zh) * | 2022-05-20 | 2022-08-19 | 国网江苏省电力有限公司信息通信分公司 | 基于标识密码算法的物联网安全认证方法、装置及系统 |
CN115549932B (zh) * | 2022-12-06 | 2023-05-02 | 信联科技(南京)有限公司 | 一种面向海量异构物联网终端的安全接入系统及接入方法 |
CN117118783A (zh) * | 2023-10-20 | 2023-11-24 | 国网(天津)综合能源服务有限公司 | 一种标准化数据采集智能网关适配系统及设备定义方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790590A (zh) * | 2016-12-28 | 2017-05-31 | 珠海国芯云科技有限公司 | 基于云平台的物联网终端通信管控系统及其方法 |
CN108989318A (zh) * | 2018-07-26 | 2018-12-11 | 中国电子科技集团公司第三十研究所 | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 |
CN110753344A (zh) * | 2019-11-04 | 2020-02-04 | 信联科技(南京)有限公司 | 基于NB-IoT的智能表安全接入系统 |
CN111355571A (zh) * | 2018-12-21 | 2020-06-30 | 中国电信股份有限公司 | 生成身份认证私钥的方法、终端、连接管理平台和系统 |
CN112218294A (zh) * | 2020-09-08 | 2021-01-12 | 深圳市燃气集团股份有限公司 | 基于5g的物联网设备的接入方法、系统及存储介质 |
-
2021
- 2021-02-05 CN CN202110157378.2A patent/CN112512024B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790590A (zh) * | 2016-12-28 | 2017-05-31 | 珠海国芯云科技有限公司 | 基于云平台的物联网终端通信管控系统及其方法 |
CN108989318A (zh) * | 2018-07-26 | 2018-12-11 | 中国电子科技集团公司第三十研究所 | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 |
CN111355571A (zh) * | 2018-12-21 | 2020-06-30 | 中国电信股份有限公司 | 生成身份认证私钥的方法、终端、连接管理平台和系统 |
CN110753344A (zh) * | 2019-11-04 | 2020-02-04 | 信联科技(南京)有限公司 | 基于NB-IoT的智能表安全接入系统 |
CN112218294A (zh) * | 2020-09-08 | 2021-01-12 | 深圳市燃气集团股份有限公司 | 基于5g的物联网设备的接入方法、系统及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112512024A (zh) | 2021-03-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112512024B (zh) | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 | |
US20230017740A1 (en) | Electric Border Gateway Device and Method for Chaining and Storage of Sensing Data Based on the Same | |
Ni et al. | Toward edge-assisted Internet of Things: From security and efficiency perspectives | |
CN108632293B (zh) | 基于区块链技术的建筑设备物联网系统与方法 | |
CN112291230B (zh) | 一种用于物联网终端的数据安全认证传输方法及装置 | |
US11350286B2 (en) | Device identifier obtaining method and apparatus | |
CN103765842A (zh) | 用于建立端到端的安全连接和用于安全地传送数据分组的方法、设备以及系统 | |
CN113765713A (zh) | 一种基于物联网设备采集的数据交互方法 | |
CN113766019B (zh) | 基于云端以及边缘计算相结合的物联网系统 | |
CN112583796B (zh) | 一种终端设备接入电力物联网的方法、系统、物联管理平台及存储介质 | |
WO2023108871A1 (zh) | 一种v2x协议栈的通讯方法 | |
Wang et al. | Neighborhood trustworthiness‐based vehicle‐to‐vehicle authentication scheme for vehicular ad hoc networks | |
CN114390051A (zh) | 一种基于物流边缘网关的数据管理设备及其控制方法 | |
CN115549932B (zh) | 一种面向海量异构物联网终端的安全接入系统及接入方法 | |
CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
CN103441850A (zh) | 无线安全路由器、配电网数据传输系统及其工作方法 | |
CN110691358B (zh) | 无线传感器网络中基于属性密码体制的访问控制系统 | |
CN111212105A (zh) | 一种风光储数据远程安全传输方法及系统 | |
CN103441849B (zh) | 无线安全路由器、配电网数据传输系统及其工作方法 | |
CN114205375A (zh) | 一种基于边缘物联代理设备的电力数据采集系统 | |
CN112822216A (zh) | 一种用于物联网子设备绑定的认证方法 | |
US10972912B1 (en) | Dynamic establishment of trust between locally connected devices | |
Xiande et al. | Framework Design of Edge IoT Agent Used in State Grid Electrical Internet of Things | |
Cai et al. | An Improved Abnormal Power Consumption Detection System Based on Federated Learning | |
CN114500003B (zh) | 轻量的泛在电力物联网终端的云准入认证方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |