CN114500061A - 数据传输方法、物联网系统、电子设备及存储介质 - Google Patents
数据传输方法、物联网系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114500061A CN114500061A CN202210111749.8A CN202210111749A CN114500061A CN 114500061 A CN114500061 A CN 114500061A CN 202210111749 A CN202210111749 A CN 202210111749A CN 114500061 A CN114500061 A CN 114500061A
- Authority
- CN
- China
- Prior art keywords
- data packet
- database
- feature
- server
- security platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 118
- 230000005540 biological transmission Effects 0.000 title claims abstract description 34
- 238000004891 communication Methods 0.000 claims abstract description 45
- 238000012795 verification Methods 0.000 claims description 55
- 238000000605 extraction Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 8
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 238000002955 isolation Methods 0.000 abstract description 6
- 230000007246 mechanism Effects 0.000 abstract description 6
- 238000012545 processing Methods 0.000 description 27
- 230000008569 process Effects 0.000 description 22
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 5
- 230000001815 facial effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/75—Information technology; Communication
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Medical Informatics (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了一种数据传输方法、物联网系统、电子设备及存储介质,涉及通信技术领域。本公开中,可采用边缘接入的方式,基于边缘安全平台设备完成边缘业务终端的接入,构建边缘安全子网,管理接入的业务终端,将业务终端和服务器上行、下行的业务数据通过安全平台监管,实现对边缘端和服务端的隔离,实现了传输数据的安全保护,提高了物联网系统中的数据安全性。业务终端内部可取消具备复杂安全机制的安全模块硬件,降低了单台终端成本和系统复杂度,并在大量业务终端接入系统时降低系统成本,并且,可将原先存储在业务终端中的数据库等机密的关键业务数据,转移至安全平台中进行存储,降低了机密数据被泄露和篡改的风险。
Description
技术领域
本公开涉及通信技术领域,特别是涉及一种数据传输方法、物联网系统、电子设备及存储介质。
背景技术
随着通信技术的发展,物联网的应用越来越广泛,物联网为智慧物流、智能交通、智能安防、智慧生活等领域提供了交互基础。
目前,物联网中的多个业务终端在与服务器进行通信,实现数据交换时,为了保证数据的安全性,会为每一个业务终端配置一个安全模块硬件。当业务终端进行数据发送时,数据在安全模块内完成数据加密,此外,在安全模块内还会基于某些关键数据完成业务处理,以防止关键数据泄露。当业务终端进行数据接收时,数据同样在安全模块内完成数据解密,并完成涉及到机密数据相关的业务处理。
发明内容
第一方面,本公开提供一种数据传输方法,应用于物联网系统中的安全平台,所述物联网系统还包括服务器和业务终端,所述服务器通过所述安全平台与所述业务终端通信连接,所述安全平台中存储有第一特征数据库;所述方法包括:
接收所述业务终端发送的第一请求数据包,其中,所述第一请求数据包中包括特征数据及所述特征数据对应的采集通道信息,所述特征数据由所述业务终端对通过所述采集通道采集的初始数据进行特征提取得到;
在所述第一特征数据库中对所述特征数据进行匹配;
在所述第一特征数据库中存在与所述特征数据匹配的特征信息的情况下,根据所述特征信息及所述采集通道信息,生成第一反馈数据包并发送至所述业务终端,以使所述业务终端根据所述第一反馈数据包进行操作;
生成匹配成功结果数据包,并对所述匹配成功结果数据包进行加密操作,将加密后的所述匹配成功结果数据包发送至所述服务器,以使所述服务器通过解密操作解密得到所述匹配成功结果数据包,并根据所述匹配成功结果数据包进行业务记录。
可选地,所述服务器中存储有第二特征数据库,所述第二特征数据库包括所述第一特征数据库,且所述第一特征数据库中的特征信息数量小于所述第二特征数据库中的特征信息数量;所述在所述第一特征数据库中对所述特征数据进行匹配之后,还包括:
在所述第一特征数据库中不存在与所述特征数据匹配的特征信息的情况下,根据所述特征数据、所述采集通道信息及匹配失败结果,生成第二请求数据包;
对所述第二请求数据包进行加密操作;
将加密后的所述第二请求数据包发送至所述服务器,以使所述服务器通过解密操作解密得到所述第二请求数据包,并在所述第二特征数据库中对所述第二请求数据包中的所述特征数据进行匹配。
可选地,所述将加密后的所述第二请求数据包发送至所述服务器之后,还包括:
接收所述服务器发送的加密后的第二反馈数据包,其中,所述加密后的第二反馈数据包为所述服务器在所述第二特征数据库中对所述特征数据进行匹配后,根据匹配结果及所述采集通道信息,生成第二反馈数据包,并对所述第二反馈数据包进行加密操作后得到;
对所述加密后的第二反馈数据包进行解密操作,得到所述第二反馈数据包;
将所述第二反馈数据包发送至所述业务终端,以使所述业务终端根据所述第二反馈数据包进行操作。
可选地,所述加密操作包括:通过对称算法密钥进行加密;
所述解密操作包括:通过所述对称算法密钥进行解密。
可选地,所述接收所述业务终端发送的第一请求数据包之前,还包括:
在所述物联网系统启动时,向所述服务器发送设备认证请求;
接收所述服务器发送的非对称算法公钥,其中,所述非对称算法公钥为所述服务器生成,并响应于所述设备认证请求而发送;
通过所述非对称算法公钥对设备认证信息进行加密,得到设备认证信息密文,其中,所述设备认证信息包括与所述安全平台所连接的各所述业务终端的终端标识和终端数量,以及所述安全平台的平台标识;
将所述设备认证信息密文发送至所述服务器,以使所述服务器通过解密操作解密得到所述设备认证信息,并根据所述设备认证信息,对所述安全平台以及与所述安全平台所连接的各所述业务终端进行认证;
接收所述服务器发送的设备认证通过信息,完成设备认证初始化,其中,所述设备认证通过信息为所述服务器在对所述安全平台,以及与所述安全平台所连接的各所述业务终端的认证通过时发送。
可选地,所述完成设备认证之后,还包括:
向所述服务器发送密钥获取请求,其中,所述密钥获取请求用于获取所述物联网系统本次启动后进行加密操作和解密操作所需的对称算法密钥;
接收所述服务器发送的对称算法密钥密文,其中,所述对称算法密钥密文为所述服务器生成对称算法密钥,并响应于所述密钥获取请求生成对称算法密钥,通过与所述非对称算法公钥一同生成的非对称算法私钥对所述对称算法密钥进行加密得到;
通过所述非对称算法公钥对所述对称算法密钥密文进行解密,得到所述对称算法密钥,完成密钥初始化。
可选地,所述通过所述非对称算法公钥对所述对称算法密钥密文进行解密,得到所述对称算法密钥之后,还包括:
将存储的旧版对称算法密钥替换为所述对称算法密钥,完成密钥初始化,其中,所述旧版对称算法密钥密为所述物联网系统上次启动后进行加密操作和解密操作所需的对称算法密钥。
可选地,所述完成密钥初始化之后,还包括:
向所述服务器发送数据库校验请求,其中,所述数据库校验请求携带有所述安全平台当前存储的所述第一特征数据库的数据库信息,所述数据库校验请求用于请求所述服务器根据所述数据库信息,校验所述安全平台当前存储的第一特征数据库是否为最新的第一特征数据库;
接收所述服务器发送的校验通过信息,完成数据库初始化,其中,所述校验通过信息为所述服务器根据所述数据库信息进行校验,并在确认所述安全平台当前存储的第一特征数据库是最新的第一特征数据库时发送。
可选地,所述向所述服务器发送数据库校验请求之后,还包括:
接收所述服务器发送的最新的第一特征数据库,其中,所述最新的第一特征数据库为所述服务器根据所述数据库信息进行校验,并在确认所述安全平台当前存储的第一特征数据库不是最新的第一特征数据库时发送;
将所述安全平台当前存储的第一特征数据库更新为所述最新的第一特征数据库;
再次向所述服务器发送所述数据库校验请求,直至从所述服务器接收到所述校验通过信息,完成数据库初始化。
可选地,所述向所述服务器发送数据库校验请求之前,还包括:
对所述安全平台当前存储的第一特征数据库进行哈希编码,得到第一哈希值并作为所述第一特征数据库的数据库信息;
所述向所述服务器发送数据库校验请求,包括:
向所述服务器发送所述数据库获取请求,以使所述服务器通过对比所述第一哈希值与第二哈希值是否一致,校验所述安全平台当前存储的第一特征数据库是否为最新的第一特征数据库,其中,所述第二哈希值为所述服务器对所述服务器当前存储的第一特征数据库进行哈希编码得到。
可选地,所述安全平台与所述服务器之间采用第一通信协议,所述安全平台与所述业务终端之间采用第二通信协议,所述第一通信协议与所述第二通信协议不同;
所述方法还包括:
通过所述第一通信协议,将待发送至所述服务器的上行业务数据封装为上行业务数据包,以使所述上行业务数据包可被所述服务器处理,并将所述上行业务数据包发送至所述服务器,其中,所述上行业务数据包包括所述匹配成功结果数据包和所述第二请求数据包;
通过所述第一通信协议,将从所述服务器接收到的下行业务数据包解封装为下行业务数据,以使所述下行业务数据可被所述安全平台处理,其中,所述下行业务数据包包括所述加密后的第二反馈数据包。
第二方面,本公开还提供一种数据传输方法,应用于物联网系统中的服务器,所述物联网系统还包括安全平台和业务终端,所述服务器通过所述安全平台与所述业务终端通信连接,所述安全平台中存储有第一特征数据库,所述方法包括:
接收所述安全平台发送的所述加密后的匹配成功结果数据包,其中,所述加密后的匹配成功结果数据为所述安全终端接收所述业务终端发送的第一请求数据包,其中,所述第一请求数据包中包括特征数据及所述特征数据对应的采集通道信息,所述特征数据由所述业务终端对通过采集通道采集的初始数据进行特征提取得到,在所述第一特征数据库中对特征数据进行匹配,在所述第一特征数据库中存在与所述特征数据匹配的特征信息的情况下,根据所述特征信息及所述采集通道信息,生成第一反馈数据包并发送至所述业务终端,以使所述业务终端根据所述第一反馈数据包进行操作,生成匹配成功结果数据包,并对所述匹配成功结果数据包进行加密操作得到;
对所述加密后的匹配成功结果数据包进行解密操作,得到所述匹配成功结果数据包;
根据所述匹配成功结果数据包进行业务记录。
可选地,所述服务器中存储有第二特征数据库,所述第二特征数据库包括所述第一特征数据库,且所述第一特征数据库中的特征信息数量小于所述第二特征数据库中的特征信息数量;
接收所述安全平台发送的所述加密后的第二请求数据包,其中,所述加密后的第二请求数据包为所述安全平台在所述第一特征数据库中不存在与所述特征数据匹配的特征信息的情况下,根据所述特征数据、所述采集通道信息及匹配失败结果,生成第二请求数据包,并对所述第二请求数据包进行加密操作得到;
对所述加密后的第二请求数据包进行解密操作,得到所述第二请求数据包;
在所述第二特征数据库中对所述第二请求数据包中的所述特征数据进行匹配;
根据匹配结果及所述采集通道信息,生成第二反馈数据包,并对所述第二反馈数据包进行加密操作,得到加密后的所述第二反馈数据包;
将所述加密后的第二反馈数据包发送至所述安全平台,以使所述安全平台对所述加密后的第二反馈数据包进行解密操作,得到所述第二反馈数据包,并将所述第二反馈数据包发送至所述业务终端,以使所述业务终端根据所述第二反馈数据包进行操作;
根据所述匹配结果进行业务记录。
可选地,所述接收所述安全平台发送的所述加密后的匹配成功结果数据包之前,还包括:
接收所述安全平台在所述物联网系统启动时发送的设备认证请求;
响应于所述设备认证请求,将生成的非对称算法公钥发送至所述安全终端,并存储生成的非对称算法私钥,以使所述安全终端通过所述非对称算法公钥对设备认证信息进行加密,得到设备认证信息密文,并将所述设备认证信息密文发送至所述服务器,其中,所述设备认证信息包括与所述安全平台所连接的各所述业务终端的终端标识和终端数量,以及所述安全平台的平台标识;
对所述设备认证信息密文进行解密操作,得到所述设备认证信息;
根据所述设备认证信息,对所述安全平台以及与所述安全平台所连接的各所述业务终端进行认证;
在对所述安全平台,以及与所述安全平台所连接的各所述业务终端的认证通过时,向所述安全平台发送设备认证通过信息,以使所述安全平台接收所述设备认证通过信息,完成设备认证初始化。
可选地,所述完成设备认证初始化之后,还包括:
接收所述安全平台发送的密钥获取请求,其中,所述密钥获取请求用于获取所述物联网系统本次启动后进行加密操作和解密操作所需的对称算法密钥;
响应于所述密钥获取请求,生成对称算法密钥;
通过所述非对称算法私钥对所述对称算法密钥进行加密操作,得到对称算法密钥密文;
将所述对称算法密钥密文发送至所述安全平台,以使所述安全平台通过存储的非对称算法公钥对所述对称算法密钥密文进行解密,得到所述对称算法密钥,完成密钥初始化。
可选地,所述完成密钥初始化之后,还包括:
接收所述安全平台发送的数据库校验请求,其中,所述数据库校验请求携带有所述安全平台当前存储的第一特征数据库的数据库信息,所述数据库校验请求用于请求所述服务器根据所述数据库信息,校验所述安全平台当前存储的第一特征数据库是否为最新的第一特征数据库;
根据所述数据库信息进行校验;
在确认所述安全平台当前存储的第一特征数据库是最新的第一特征数据库时,向所述安全平台发送校验通过信息,以使所述安全平台接收所述校验通过信息,完成数据库初始化。
可选地,所述根据所述数据库信息进行校验之后,还包括:
在确认所述安全平台当前存储的第一特征数据库不是最新的第一特征数据库时,向所述安全平台发送最新的第一特征数据库,以使所述安全平台接收到所述最新的第一特征数据库时,将所述安全平台当前存储的第一特征数据库更新为所述最新的第一特征数据库;
再次接收所述安全平台发送的所述数据库校验请求,直至校验成功,所述安全平台从所述服务器接收到所述校验通过信息,完成数据库初始化。
可选地,所述数据库信息为所述安全平台对所述安全平台当前存储的第一特征数据库进行哈希编码得到的第一哈希值;所述根据所述数据库信息进行校验之前,还包括:
对所述服务器当前存储的第一特征数据库进行哈希编码,得到第二哈希值;
所述根据所述数据库信息进行校验,包括:
通过对比所述第一哈希值与第二哈希值是否一致,校验所述安全平台当前存储的第一特征数据库是否为最新的第一特征数据库。
第三方面,本公开还提供一种数据传输方法,应用于物联网系统中的业务终端,所述物联网系统还包括服务器和安全平台,所述服务器通过所述安全平台与所述业务终端通信连接,所述安全平台中存储有第一特征数据库;所述方法包括:
通过采集通道采集初始数据;
对所述初始数据进行特征提取,得到特征数据;
向所述安全平台发送的第一请求数据包,其中,所述第一请求数据包中包括所述特征数据及所述特征数据对应的采集通道信息,以使所述安全平台在所述第一特征数据库中对所述特征数据进行匹配,在所述第一特征数据库中存在与所述特征数据匹配的特征信息的情况下,根据所述特征信息及所述采集通道信息,生成第一反馈数据包并发送至所述业务终端;
接收所述安全平台发送的所述第一反馈数据包;
根据所述第一反馈数据包进行操作。
可选地,所述业务终端连接有至少一个拍摄装置,所述拍摄装置与所述采集通道一一对应,所述初始数据通过所述采集通道对应的拍摄装置拍摄得到;
所述根据所述第一反馈数据包进行操作,包括:
根据所述第一反馈数据包中的所述特征信息,生成具有特征标注的图像;
显示所述图像。
第四方面,本公开还提供一种物联网系统,包括服务器、安全平台和业务终端,所述服务器通过所述安全平台与所述业务终端通信连接,所述安全平台中存储有第一特征数据库;
所述业务终端,配置为通过采集通道采集初始数据;对所述初始数据进行特征提取,得到特征数据;向所述安全平台发送的第一请求数据包,其中,所述第一请求数据包中包括所述特征数据及所述特征数据对应的采集通道信息;
所述安全平台,配置为接收所述第一请求数据包;在所述第一特征数据库中对所述特征数据进行匹配;在所述第一特征数据库中存在与所述特征数据匹配的特征信息的情况下,根据所述特征信息及所述采集通道信息,生成第一反馈数据包并发送至所述业务终端;生成匹配成功结果数据包,并对所述匹配成功结果数据包进行加密操作,将加密后的所述匹配成功结果数据包发送至所述服务器;
所述业务终端,还配置为接收所述第一反馈数据包;根据所述第一反馈数据包进行操作;
所述服务器,还配置为接收所述加密后的匹配成功结果数据包;对所述加密后的匹配成功结果数据包进行解密操作,得到所述匹配成功结果数据包;根据所述匹配成功结果数据包进行业务记录。
可选地,所述安全平台通过公网或专网与所述服务器通信连接,所述安全平台通过私网与所述业务终端通信连接。
第五方面,本公开还提供一种电子设备,包括存储器及存储在所述存储器上且可运行的程序,所述程序运行时实现如上第一方面、第二方面或第三方面所述的数据传输方法的步骤。
第六方面,本公开还提供一种计算机可读存储介质,所述存储介质存储有可运行的程序,所述程序运行时实现如上第一方面、第二方面或第三方面所述的数据传输方法的步骤。
上述说明仅是本公开技术方案的概述,为了能够更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为了让本公开的上述和其它目的、特征和优点能够更明显易懂,以下特举本公开的具体实施方式。
附图说明
为了更清楚地说明本公开实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本公开实施例的第一种数据传输方法的步骤流程图;
图2示出了本公开实施例的一种物联网系统的框图;
图3示出了本公开实施例的第二种数据传输方法的步骤流程图;
图4示出了本公开实施例的一种业务处理流程图;
图5示出了本公开实施例的一种初始化阶段及业务处理阶段的流程图;
图6示出了本公开实施例的一种具体初始化流程图;
图7示出了本公开实施例的一种设备认证初始化阶段的流程图;
图8示出了本公开实施例的一种密钥初始化阶段的流程图;
图9示出了本公开实施例的一种数据库初始化阶段的流程图;
图10示出了本公开实施例的第三种数据传输方法的步骤流程图;
图11示出了本公开实施例的第四种数据传输方法的步骤流程图。
具体实施例
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外定义,本公开使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。同样,“一个”、“一”或者“该”等类似词语也不表示数量限制,而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等方位词仅用于表示基于附图的相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
现有技术带来的问题是:
1、每一个面向用户的物联网业务终端,都必须具备独立的安全模块硬件,这样会带来硬件成本增加,包括硬件本身的成本,以及后续硬件维护和替换的成本。
2、由于业务终端的数量较多,因此,在每个业务终端的安全模块内均存储机密的关键业务数据,会增大机密数据被泄露和篡改的风险。
参照图1,示出了本公开实施例的一种数据传输方法的步骤流程图,该方法应用于如图2所示的物联网系统100,该物联网系统100包括服务器10、安全平台20和业务终端30,服务器10通过安全平台20与业务终端30通信连接,安全平台20中存储有第一特征数据库。
其中,业务终端30是物联网业务中直接面向用户的终端设备,负责业务内容中的信息采集(例如通过摄像头采集人脸信息)、信息处理、上下行通信和交互等功能。
安全平台20包括处于物联网边缘端的配置有相关安全软硬件的安全终端设备,与同一区域内的若干业务终端构成安全局域网,负责经由上行公网或专网与服务器进行加密数据交互,经由下行私网与业务终端进行业务数据交互,平台内部完成数据加密、解密等安全处理和关键业务处理。其中,第一特征数据库即为安全平台进行关键业务处理所需的机密数据,可用于用户信息的特征识别、对比等,第一特征数据库与用户信息相关,一旦被泄露或篡改,会使该物联网系统的安全性遭到破坏。
该服务器10可以是实体服务器,也可以是基于实体服务器资源的云服务器,可以是单体服务器,也可以是服务器集群,本公开实施例对此不作具体限定。服务器可负责所有业务数据的分析、监控、存储等操作,并监管所有连入其中的边缘设备,包括安全平台和业务终端。
在本公开实施例中,一个安全平台可以与至少一个业务终端,构成物联网中的一个安全子网,服务器可以管理多个这样的安全子网。
在本公开实施例中,该物联网系统可以实现用户相关的特征数据的采集、匹配、记录等物联网业务,并实现业务过程中与服务器之间传输的数据的加解密,以及进行物联网业务之前的相关初始化。可以理解的是,在实际应用中,物联网系统所实现的业务不限于如上所述的内容,只要是需要进行传输数据加解密,且需要基于机密的关键数据进行处理的业务均可。
参照图1,该方法包括以下步骤:
步骤101:业务终端通过采集通道采集初始数据;对初始数据进行特征提取,得到特征数据;向安全平台发送的第一请求数据包,其中,第一请求数据包中包括特征数据及特征数据对应的采集通道信息。
参照图2,业务终端30可连接有至少一个拍摄装置31,拍摄装置31与采集通道一一对应,初始数据即通过采集通道对应的拍摄装置31拍摄得到。
其中,每个业务终端可以具有至少一个用于采集数据的采集通道,例如,一个业务终端可以部署有多个拍摄装置,每个拍摄装置形成该业务终端的一个采集通道,业务终端可通过各个拍摄装置采集人脸图像、指纹图像、掌纹图像、工牌图像等与用户相关的私密的初始数据。
物联网业务由业务终端发起,业务终端可以通过采集通道采集初始数据,其中,该初始数据是指业务终端采集到的未经过分析处理的数据。然后,业务终端可以对初始数据进行特征提取,从而获得初始数据中的用户相关特征,例如人脸特征、指纹特征、掌纹特征、工牌上特定位置的内容等。之后,业务终端可以将特征数据及相应的采集通道信息组包为第一请求数据包,进而发送给安全平台。
步骤102:安全平台接收第一请求数据包;在第一特征数据库中对特征数据进行匹配;在第一特征数据库中存在与特征数据匹配的特征信息的情况下,根据该特征信息及采集通道信息,生成第一反馈数据包并发送至业务终端;生成匹配成功结果数据包,并对匹配成功结果数据包进行加密操作,将加密后的匹配成功结果数据包发送至服务器。
安全平台接收到业务终端发送的第一请求数据包后,可以解析得到该特征数据,进而在安全平台本地的第一特征数据库中,对特征数据进行匹配,以查找第一特征数据库中是否存在与该特征数据相匹配的特征信息,若有,则说明安全平台中记录有该特征数据对应的信息,匹配成功,若无,则说明安全平台中未记录有该特征数据对应的信息,匹配失败。
在匹配成功的情况下,一方面,安全平台可以将第一特征数据库中匹配到的特征信息及采集通道信息组包为第一反馈数据包,并发送至业务终端。另一方面,安全平台可以生成匹配成功结果数据包,匹配成功结果需要发送给服务器,因此,为保证数据安全,安全平台可以对匹配成功结果数据包进行加密,然后再将加密后的匹配成功结果数据包发送至服务器。
步骤103:业务终端接收第一反馈数据包;根据第一反馈数据包进行操作。
业务终端接收到第一反馈数据包后,可以解析得到与该特征数据相匹配的特征信息,以及该特殊数据对应的采集通道信息,从而可以针对该采集通道进行特征信息的标注、显示等相关操作。
步骤104:服务器接收加密后的匹配成功结果数据包;对加密后的匹配成功结果数据包进行解密操作,得到匹配成功结果数据包;根据匹配成功结果数据包进行业务记录。
服务器接收到加密后的匹配成功结果数据包后,首先对加密后的匹配成功结果数据包进行解密,得到匹配成功结果数据包,然后可以解析得到该特征数据的匹配成功结果,进而服务器可以根据该匹配成功结果进行业务数据记录,以记录本次业务处理的情况。在具体应用中,服务器可记录该匹配成功结果,及其对应的安全平台标识、业务终端标识、采集通道信息、时间戳等信息,本公开实施例对此不作限定。
在实际应用中,安全平台标识、业务终端标识及采集通道信息均应在该物联网系统中不存在重复。
在本公开实施例中,可采用边缘接入的方式,基于一台边缘安全平台设备完成多台物联网边缘业务终端的接入,构建边缘安全子网,管理多个接入的业务终端,将业务终端和服务器上行、下行的业务数据通过安全平台进行监管,实现对边缘端用户和服务端的隔离,实现了传输数据的安全保护等功能,提高了物联网系统中的数据安全性。业务终端内部可取消具备复杂安全机制的安全模块硬件,降低了单台终端成本和系统复杂度,并在用户选择大量边缘业务终端接入系统时,能够显著降低成本,并且,可将原先存储在边缘业务终端中的数据库等机密的关键业务数据,转移至边缘安全平台中进行存储,降低了机密数据被泄露和篡改的风险。
以下将分别对安全平台、服务器和业务终端各自所执行的步骤进行详细说明。
参照图3,示出了本公开实施例的一种数据传输方法的步骤流程图,该方法应用于物联网系统中的安全平台,物联网系统还包括服务器和业务终端,服务器通过安全平台与业务终端通信连接,安全平台中存储有第一特征数据库。
结合图4,该方法包括以下步骤:
步骤201:接收业务终端发送的第一请求数据包,其中,第一请求数据包中包括特征数据及特征数据对应的采集通道信息,特征数据由业务终端对通过采集通道采集的初始数据进行特征提取得到。
步骤202:在第一特征数据库中对特征数据进行匹配。
步骤203:在第一特征数据库中存在与特征数据匹配的特征信息的情况下,根据特征信息及采集通道信息,生成第一反馈数据包并发送至业务终端,以使业务终端根据第一反馈数据包进行操作。
步骤204:生成匹配成功结果数据包,并对匹配成功结果数据包进行加密操作,将加密后的匹配成功结果数据包发送至服务器,以使服务器通过解密操作解密得到匹配成功结果数据包,并根据匹配成功结果数据包进行业务记录。
步骤201-204的实现方式可参考上述实施例中的步骤101-104,本实施例在此不再赘述。
步骤205:在第一特征数据库中不存在与特征数据匹配的特征信息的情况下,根据特征数据、采集通道信息及匹配失败结果,生成第二请求数据包。
安全平台接收到业务终端发送的第一请求数据包后,可以解析得到特征数据,进而在安全平台本地的第一特征数据库中,对特征数据进行匹配,以查找第一特征数据库中是否存在与该特征数据相匹配的特征信息,若有,则说明安全平台中记录有该特征数据对应的信息,匹配成功,若无,则说明安全平台中未记录有该特征数据对应的信息,匹配失败。
在匹配失败的情况下,也即安全平台本地的特征数据库中不存在与该特征数据相匹配的特征信息,从而安全平台需要将该特征数据发送到服务器,进一步在服务器本地的特征数据库中查找是否存在与该特征数据相匹配的特征信息。因此,安全平台可以将该特征数据、采集通道信息及匹配失败结果组包为第二请求数据包,并经过后续步骤发送至服务器。
在本公开实施例中,一个安全平台本地的特征数据库只包括登记在本安全平台所管辖区域的特征信息,而服务器本地的特征数据库则包括所管理的所有安全平台所管辖区域的特征信息,因此,若安全平台本地对特征数据匹配失败,则需要进一步由服务器进行匹配。
步骤206:对第二请求数据包进行加密操作。
安全平台在将第二请求数据包发送至服务器之前,可以对第二请求数据包进行加密,得到加密后的第二请求数据包,从而对第二请求数据包中的数据进行安全保护。
步骤207:将加密后的第二请求数据包发送至服务器,以使服务器通过解密操作解密得到第二请求数据包,并在第二特征数据库中对第二请求数据包中的特征数据进行匹配,其中,服务器中存储有第二特征数据库,第二特征数据库包括第一特征数据库,且第一特征数据库中的特征信息数量小于第二特征数据库中的特征信息数量。
其中,服务器中的第二特征数据库可以包括所管理的所有安全平台的第二特征数据库。
安全平台将加密后的第二请求数据包发送给服务器后,服务器首先对加密后的第二请求数据包进行解密操作,得到第二请求数据包,然后从第二请求数据包中解析得到该特征数据,进而在服务器本地的第二特征数据库中对该特征数据进行匹配,以查找第一特征数据库中是否存在与该特征数据相匹配的特征信息,若有,则说明服务器中记录有该特征数据对应的信息,匹配成功,若无,则说明服务器中未记录有该特征数据对应的信息,匹配失败。
步骤208:接收服务器发送的加密后的第二反馈数据包,其中,加密后的第二反馈数据包为服务器在第二特征数据库中对特征数据进行匹配后,根据匹配结果及采集通道信息,生成第二反馈数据包,并对第二反馈数据包进行加密操作后得到。
其中,无论服务器匹配成功还是匹配失败,都需要通过安全平台,向业务终端反馈匹配结果,因此,服务器可以将匹配结果和采集通道信息组包为第二反馈数据包,并对第二反馈数据包进行加密,得到加密后的第二反馈数据包,之后,将加密后的第二反馈数据包发送至安全平台。
此外,服务器发送第二反馈数据包后,还需要根据该匹配结果进行业务数据记录,以记录本次业务处理的情况。
步骤209:对加密后的第二反馈数据包进行解密操作,得到第二反馈数据包。
安全平台接收到服务器发送的加密后的第二反馈数据包后,首先进行解密,得到第二反馈数据包。
步骤210:将第二反馈数据包发送至业务终端,以使业务终端根据第二反馈数据包进行操作。
解密得到第二反馈数据包后,安全平台可以直接将第二反馈数据包发送至业务终端,以向业务终端反馈匹配结果。业务终端接收到第二反馈数据包后,可以进行解析,得到特征数据的匹配结果,以及该特征数据对应的采集通道信息,进而业务终端可以根据该匹配结果和该采集通道信息进行操作。
若服务器匹配成功,则该匹配结果中将包括第二特征数据库中与该特征数据匹配的特征信息,业务终端进而可以通过该采集通道信息所指示的采集通道对应的显示装置,进行特征信息的标注、显示等相关操作。
若服务器匹配失败,则该匹配结果中将包括对该特征数据匹配失败的信息,业务终端进而可以通过该采集通道信息所指示的采集通道对应的显示装置,进行匹配失败信息的标注、显示等相关操作,或者,业务终端还可以提示人工介入,再或者,业务终端还可以不进行任何操作。
另外,在一些实施例中,可选地,在物联网业务处理过程中的各加密操作具体可以包括:通过对称算法密钥进行加密;在物联网业务处理过程中的各解密操作具体可以包括:通过对称算法密钥进行解密。
其中,在物联网业务处理过程中,安全平台可以对需要发送至服务器的上行业务数据包进行对称加密,以及对从服务器接收到的下行业务数据包进行对称解密,从而安全平台可以在业务终端与服务器之间,对上下行业务数据进行保护,提高了上下行业务数据的安全性。
其中,上行业务数据包可以包括上文提到的匹配成功结果数据包和第二请求数据包;下行业务数据包可以包括上文提到的加密后的第二反馈数据包。
参照图4,在执行业务处理时,安全平台可以记录和统计安全平台与业务终端的工作状态,实时回传给服务器,使服务器能够实时监控其工作状态,并记录日志。
以上即为基于安全平台的物联网系统进行业务处理的流程,而在实际应用中,由于引入了安全平台,因此,参照图5,在进入业务处理阶段之前,还需要基于该安全平台,进行物联网系统的初始化,从而为业务处理进行准备。
在本公开实施例中,参照图5,物联网系统的初始化阶段可以依次包括设备认证初始化、密钥初始化和数据库初始化。
其中,设备认证初始化过程由安全平台发起,在设备认证初始化阶段,服务器可以对接入的安全平台和业务终端进行合法性认证;密钥初始化过程也由安全平台发起,在密钥初始化阶段,安全平台需要从服务器获取本次系统启动后对传输数据进行加解密所需的对称算法密钥;数据库初始化过程仍然由安全平台发起,在数据库初始化阶段,安全平台需要从服务器获取所管辖区域对应的最新版第一特征数据库。
以下将结合图6所示的具体初始化流程,对物联网系统的初始化阶段进行介绍。
图7示出了本公开实施例的一种设备认证初始化阶段的流程图,参照图7,在业务处理过程进行之前,也即上述步骤201之前,该方法还可以包括以下步骤:
步骤301:在物联网系统启动时,向服务器发送设备认证请求。
参照图6,物联网中的服务器、安全平台、业务终端均上电,并建立起连接后,物联网系统启动,之后,安全平台可以获取到接入的业务终端信息,并发起设备认证初始化的流程,向服务器发送设备认证请求。
其中,服务器可采用证书认证的方式,对接入的安全平台及业务终端进行认证,相应地,设备认证请求中可以包括安全平台及业务终端的证书信息。
步骤302:接收服务器发送的非对称算法公钥,其中,非对称算法公钥为服务器生成,并响应于设备认证请求而发送。
参照图6,服务器接收到安全平台发送的设备认证请求后,可以进行响应,进而将生成的非对称算法公钥发送至安全平台。安全平台可以利用该非对称算法公钥,对之后需要发送给服务器的设备认证信息进行加密,以及对之后从服务器接收到的对称算法密钥密文进行解密。
其中,服务器可以在上电后、接收设备认证请求之前一同生成非对称算法公钥及非对称算法私钥,或者在接收到设备认证请求之后,响应于该设备认证请求而一同生成非对称算法公钥及非对称算法私钥。在实际应用中,一方通过非对称算法公钥加密的数据,另一方可以通过非对称算法私钥解密,反之,一方通过非对称算法私钥加密的数据,另一方可以通过非对称算法公钥解密。在本公开实施例中,服务器可以保留非对称算法私钥,存储在服务器本地,并将非对称算法公钥发送给安全平台进行存储。
其中,非对称算法公钥和非对称算法私钥需要在物联网系统每次启动后进行更新,从而使得物联网系统每次启动后所使用的非对称算法公私密钥对不同,即使上次使用的非对称算法公私密钥被破解,也无法对本次启动后的初始化过程及业务处理过程造成影响,提高了数据安全性。在本公开实施例中,非对称算法公私密钥对的初始化过程可以在设备认证初始化阶段进行。
步骤303:通过非对称算法公钥对设备认证信息进行加密,得到设备认证信息密文,其中,设备认证信息包括与安全平台所连接的各业务终端的终端标识和终端数量,以及安全平台的平台标识。
参照图6,安全平台接收到服务器发送的非对称算法公钥后,即可通过非对称算法公钥对本安全平台及所接入业务终端的设备认证信息进行非对称加密,得到设备认证信息密文。
其中,设备认证信息中所包括的内容除与安全平台所连接的各业务终端的终端标识和终端数量,以及安全平台的平台标识之外,还可以包括时间戳等信息,本公开实施例对此不作具体限定。
步骤304:将设备认证信息密文发送至服务器,以使服务器通过解密操作解密得到设备认证信息,并根据设备认证信息,对安全平台以及与安全平台所连接的各业务终端进行认证。
参照图6,安全平台进而可以将设备认证信息密文发送至服务器,服务器通过非对称算法私钥对设备认证信息密文进行解密,得到设备认证信息,然后通过对比设备认证信息与服务器存储的安全平台和业务终端的证书信息是否一致,来对安全平台及所连接的各业务终端进行合法性认证。若一致,则认证通过,若不一致,则认证不通过,需要人工干预。
步骤305:接收服务器发送的设备认证通过信息,完成设备认证初始化,其中,设备认证通过信息为服务器在对安全平台,以及与安全平台所连接的各业务终端的认证通过时发送。
参照图6,当服务器对安全平台及业务终端认证通过时,可以向安全平台发送设备认证通过信息,安全平台接收到后,可确认认证通过,至此,设备认证初始化完成,设备认证初始化阶段结束。
图8示出了本公开实施例的一种密钥初始化阶段的流程图,参照图8,在上述步骤305之后,该方法还可以包括以下步骤:
步骤401:向服务器发送密钥获取请求,其中,密钥获取请求用于获取物联网系统本次启动后进行加密操作和解密操作所需的对称算法密钥。
参照图6,在完成设备认证初始化之后,安全平台可以发起密钥初始化的流程,向服务器发送密钥获取请求。
其中,密钥获取请求具体用于获取物联网系统本次启动后,对业务处理过程中的传输数据进行加密操作和解密操作所需的对称算法密钥。
步骤402:接收服务器发送的对称算法密钥密文,其中,对称算法密钥密文为服务器生成对称算法密钥,并响应于密钥获取请求生成对称算法密钥,通过与非对称算法公钥一同生成的非对称算法私钥对对称算法密钥进行加密得到。
参照图6,服务器接收到安全平台发送的密钥获取请求后,可以进行响应,进而将生成的对称算法密钥发送至安全平台。安全平台和服务器均可以通过该对称算法密钥,对二者之间需传输的业务数据进行加解密。
其中,服务器可以在上电后、接收密钥获取请求之前生成对称算法密钥,或者在接收到密钥获取请求之后,响应于该密钥获取请求而生成对称算法密钥。在实际应用中,一方通过对称算法密钥加密的数据,另一方可以通过对称算法密钥解密,反之,一方通过对称算法密钥加密的数据,另一方可以通过对称算法密钥解密。
在本公开实施例中,服务器可以保留一份对称算法密钥,存储在服务器本地,并向安全平台发送一份对称算法密钥进行存储。如此,在业务处理过程中,安全平台可以通过该对称算法密钥,对需要向服务器发送的上行业务数据进行加密,以及对从服务器接收到的下行业务数据进行解密,相应地,服务器可以通过该对称算法密钥,对从安全平台接收到的上行业务数据进行解密,以及对需要向安全平台发送的下行业务数据进行加密。
步骤403:通过非对称算法公钥对对称算法密钥密文进行解密,得到对称算法密钥,完成密钥初始化。
参照图6,安全平台接收到对称算法密钥密文后,可以通过非对称算法公钥对其进行解密,从而得到后续业务处理过程中进行业务数据加解密所需的对称算法密钥,至此,密钥初始化完成,密钥初始化阶段结束。
在实际应用中,在该物联网系统第一次启动后进行初始化时,安全平台中没有上次所使用的旧版对称算法密钥,因此,安全平台第一次获取到对称算法密钥时,密钥初始化即完成。但在该物联网系统第二次及之后启动后进行初始化时,安全平台中已有上次所使用的旧版对称算法密钥,因此,安全平台第二次及之后获取到对称算法密钥时,还需要对旧版对称算法密钥进行替换,才能够完成密钥初始化,从而可以释放安全平台的存储资源。
相应地,在该物联网系统第二次及之后启动后进行初始化时,在上述通过非对称算法公钥对对称算法密钥密文进行解密,得到对称算法密钥的步骤之后,安全平台还可以执行以下步骤:
将存储的旧版对称算法密钥替换为(本次获取的)对称算法密钥,完成密钥初始化,其中,旧版对称算法密钥密为物联网系统上次启动后进行加密操作和解密操作所需的对称算法密钥。
本公开实施例中,在安全平台从服务器获取后续业务处理过程中进行业务数据加解密所需的对称算法密钥时,服务器可以通过非对称算法的密钥,对对称算法密钥进行加密后再发送给安全平台,从而提高了对称算法密钥的安全性,进而提高了后续传输的业务数据的安全性。
图9示出了本公开实施例的一种数据库初始化阶段的流程图,参照图9,在上述步骤403之后,该方法还可以包括以下步骤:
步骤501:向服务器发送数据库校验请求,其中,数据库校验请求携带有安全平台当前存储的第一特征数据库的数据库信息,数据库校验请求用于请求服务器根据数据库信息,校验安全平台当前存储的第一特征数据库是否为最新的第一特征数据库。
参照图6,在完成密钥初始化之后,安全平台可以发起数据库初始化的流程,向服务器发送数据库校验请求。
在实际应用中,在该物联网系统第一次启动后进行初始化时,安全平台中并没有第一特征数据库,因此,该数据库校验请求相当于数据库获取请求,可用于获取第一特征数据库。当然,可选地,安全平台中在未存储有第一特征数据库的情况下,也可以有数据库信息,只不过该数据库信息可表示第一特征数据库为空数据库。但在该物联网系统第二次及之后启动后进行初始化时,安全平台中已有第一特征数据库,因此,该数据库校验请求即用于请求服务器校验安全平台当前存储的第一特征数据库是否为最新的第一特征数据库。
在本公开实施例中,特征信息可在服务器侧进行更新,也即通过更新服务器本地的第二特征数据库实现更新,服务器维护各安全平台对应的第一特征数据库,各安全平台可以在初始化阶段获取各自所需的最新第一特征数据库。
步骤502:接收服务器发送的校验通过信息,完成数据库初始化,其中,校验通过信息为服务器根据数据库信息进行校验,并在确认安全平台当前存储的第一特征数据库是最新的第一特征数据库时发送。
参照图6,服务器接收到安全平台发送的数据库校验请求时,根据数据库校验请求中携带的数据库信息进行校验;若数据库校验请求中的数据库信息与服务器本地维护的该安全平台的第一特征数据库的数据库信息一致,则说明安全平台当前存储的第一特征数据库已是最新的第一特征数据库;若数据库校验请求中的数据库信息与服务器本地维护的该安全平台的第一特征数据库的数据库信息不一致,则说明安全平台当前存储的第一特征数据库不是最新的第一特征数据库。
服务器在确认安全平台当前存储的第一特征数据库是最新的第一特征数据库时,可以向该安全平台发送校验通过信息,安全平台接收到后,可确认校验通过,至此,数据库初始化完成,数据库初始化阶段结束,整个初始化阶段结束。
步骤503:接收服务器发送的最新的第一特征数据库,其中,最新的第一特征数据库为服务器根据数据库信息进行校验,并在确认安全平台当前存储的第一特征数据库不是最新的第一特征数据库时发送。
参照图6,服务器在确认安全平台当前存储的第一特征数据库不是最新的第一特征数据库时,可以向该安全平台发送最新的第一特征数据库,以使安全平台对本地的第一特征数据库进行更新。
步骤504:将安全平台当前存储的第一特征数据库更新为最新的第一特征数据库。
参照图6,安全平台接收到服务器发送的最新的第一特征数据库时,将安全平台本地当前存储的第一特征数据库替换为该最新的第一特征数据库,从而实现安全平台本地的第一特征数据库的更新。
步骤505:再次向服务器发送数据库校验请求,直至从服务器接收到校验通过信息,完成数据库初始化。
参照图6,在本公开实施例中,服务器需要确认安全平台是否已更新至最新的第一特征数据库,以保证后续的业务处理过程可以顺利进行。因此,安全平台在对本地的第一特征数据库更新完毕之后,需要再次向服务器发送数据库校验请求,此时发送的数据库校验请求携带有此时安全平台本地存储的第一特征数据库的数据库信息,也即此刻最新的第一特征数据库的数据库信息,服务器需要继续进行校验,以确认安全平台与服务器中的第一特征数据库是否保持一致。若一致,则校验成功,服务器向安全平台发送校验通过信息;若不一致,则可能是服务器侧又进行了第一特征数据库更新,或者安全平台侧的第一特征数据库被篡改,则校验会失败,服务器继续向安全平台发送此刻服务器本地最新的第一特征数据库,直至服务器校验成功,安全平台从服务器接收到校验通过信息,才完成数据库初始化,数据库初始化阶段结束,整个初始化阶段结束。
进一步可选地,在一些实施例中,如图6所示,上述向服务器发送数据库校验请求的步骤之前,安全平台还可以执行以下步骤:
对安全平台当前存储的第一特征数据库进行哈希编码,得到第一哈希值并作为第一特征数据库的数据库信息;
相应地,上述向服务器发送数据库校验请求的步骤,具体包括:
向服务器发送数据库获取请求,以使服务器通过对比第一哈希值与第二哈希值是否一致,校验安全平台当前存储的第一特征数据库是否为最新的第一特征数据库,其中,第二哈希值为服务器对服务器当前存储的第一特征数据库进行哈希编码得到。
其中,安全平台可以将本地的第一特征数据库加载到内存中,然后对本地的第一特征数据库进行哈希编码,得到第一哈希值,并将该第一哈希值作为安全平台中的第一特征数据库的数据库信息。相应地,服务器也可以对服务器本地当前存储的第一特征数据库进行哈希编码,得到第二哈希值,并将该第二哈希值作为当前服务器中对应该安全平台的第一特征数据库的数据库信息。进而服务器可以通过对比第一哈希值与第二哈希值是否一致,来确定安全平台中的第一特征数据库是否为最新的第一特征数据库。若哈希值一致,则确定安全平台中的第一特征数据库是最新的第一特征数据库;若哈希值不一致,则确定安全平台中的第一特征数据库不是最新的第一特征数据库。
对于通过版本号等作为数据库信息的方案,若安全平台在上次系统启动后所获得的第一特征数据库被篡改,但服务器并未进行数据库更新,则在本次系统启动后进行数据库初始化时,由于被篡改的第一特征数据库的版本号未变化,因此会被服务器认为安全平台此时的第一特征数据库仍然是最新版,可继续使用,但实际上安全平台本地的第一特征数据库已被篡改,会导致本次系统启动后的业务处理过程出现报错、数据泄露等问题。
而在本公开实施例中,可通过数据库哈希值作为数据库信息,哈希编码能够尽量不损失原始数据的表达能力,所以,经过哈希编码所得的哈希值可体现被编码数据的完整性。因此,相较于通过版本号等作为数据库信息的方案,通过哈希值作为数据库信息的方案,不仅可以确认当前安全平台本地的第一特征数据库是否为最新版,还可以确认安全平台本地的第一特征数据库是否被篡改过,进一步提高了关键业务数据的安全性,从而提高了整个物联网系统的安全性。
此外,在本公开实施例中,安全平台可以通过公网或专网与服务器通信连接,并通过私网与业务终端通信连接,因此,安全平台与服务器之间进行通信采用的是基于该公网或专网的第一通信协议,而安全平台与业务终端之间进行通信采用的是基于该私网的第二通信协议,第一通信协议与第二通信协议不同。
相应地,参照图6,安全平台还可以执行以下步骤:
通过第一通信协议,将待发送至服务器的上行业务数据封装为上行业务数据包,以使上行业务数据包可被服务器处理,并将上行业务数据包发送至服务器,其中,上行业务数据包可以包括上文所述的匹配成功结果数据包和第二请求数据包。
通过第一通信协议,将从服务器接收到的下行业务数据包解封装为下行业务数据,以使下行业务数据可被安全平台处理,其中,下行业务数据包可以包括上文所述的加密后的第二反馈数据包。
由于安全平台与服务器之间的通信协议和安全与业务终端之间的通信协议不同,因此,在物联网业务处理过程中,安全平台在与服务器进行业务数据交互时,可以通过与服务器之间的通信协议,对需要发送给服务器的上行业务数据进行封装,以及对从服务器接收到的下行业务数据包进行解封装,实现了边缘终端与服务器的数据交互衔接。私网中的安全平台可以通过通信协议转换与接口处理,实现与公网或专网中的服务器的数据交互。
此外,还需要说明的是,在本公开实施例中,各数据包中的数据可以分别发送(如图6),也可以一起发送,本公开实施例并不旨在对此进行限定。另外,各数据包的包内数据也不限于上述实施例中所提及的数据。
在本公开实施例中,可采用边缘接入的方式,基于一台边缘安全平台设备完成多台物联网边缘业务终端的接入,构建边缘安全子网,管理多个接入的业务终端,将业务终端和服务器上行、下行的业务数据通过安全平台进行监管,实现对边缘端用户和服务端的隔离,实现了传输数据的安全保护、设备认证等功能,提高了物联网系统中的数据安全性和设备安全性。业务终端内部可取消具备复杂安全机制的安全模块硬件,降低了单台终端成本和系统复杂度,并在用户选择大量边缘业务终端接入系统时,能够显著降低成本,并且,可将原先存储在边缘业务终端中的数据库等机密的关键业务数据,转移至边缘安全平台中进行存储,降低了机密数据被泄露和篡改的风险。
参照图10,示出了本公开实施例的一种数据传输方法的步骤流程图,该方法应用于物联网系统中的服务器,物联网系统还包括安全平台和业务终端,服务器通过安全平台与业务终端通信连接,安全平台中存储有第一特征数据库,该方法包括:
步骤601:接收安全平台发送的加密后的匹配成功结果数据包,其中,加密后的匹配成功结果数据为安全终端接收业务终端发送的第一请求数据包,其中,第一请求数据包中包括特征数据及特征数据对应的采集通道信息,特征数据由业务终端对通过采集通道采集的初始数据进行特征提取得到,在第一特征数据库中对特征数据进行匹配,在第一特征数据库中存在与特征数据匹配的特征信息的情况下,根据特征信息及采集通道信息,生成第一反馈数据包并发送至业务终端,以使业务终端根据第一反馈数据包进行操作,生成匹配成功结果数据包,并对匹配成功结果数据包进行加密操作得到。
步骤602:对加密后的匹配成功结果数据包进行解密操作,得到匹配成功结果数据包。
步骤603:根据匹配成功结果数据包进行业务记录。
可选地,服务器中存储有第二特征数据库,第二特征数据库包括第一特征数据库,且第一特征数据库中的特征信息数量小于第二特征数据库中的特征信息数量;
接收安全平台发送的加密后的第二请求数据包,其中,加密后的第二请求数据包为安全平台在第一特征数据库中不存在与特征数据匹配的特征信息的情况下,根据特征数据、采集通道信息及匹配失败结果,生成第二请求数据包,并对第二请求数据包进行加密操作得到;
对加密后的第二请求数据包进行解密操作,得到第二请求数据包;
在第二特征数据库中对第二请求数据包中的特征数据进行匹配;
根据匹配结果及采集通道信息,生成第二反馈数据包,并对第二反馈数据包进行加密操作,得到加密后的第二反馈数据包;
将加密后的第二反馈数据包发送至安全平台,以使安全平台对加密后的第二反馈数据包进行解密操作,得到第二反馈数据包,并将第二反馈数据包发送至业务终端,以使业务终端根据第二反馈数据包进行操作;
根据匹配结果进行业务记录。
可选地,接收安全平台发送的加密后的匹配成功结果数据包之前,还包括:
接收安全平台在物联网系统启动时发送的设备认证请求;
响应于设备认证请求,将生成的非对称算法公钥发送至安全终端,并存储生成的非对称算法私钥,以使安全终端通过非对称算法公钥对设备认证信息进行加密,得到设备认证信息密文,并将设备认证信息密文发送至服务器,其中,设备认证信息包括与安全平台所连接的各业务终端的终端标识和终端数量,以及安全平台的平台标识;
对设备认证信息密文进行解密操作,得到设备认证信息;
根据设备认证信息,对安全平台以及与安全平台所连接的各业务终端进行认证;
在对安全平台,以及与安全平台所连接的各业务终端的认证通过时,向安全平台发送设备认证通过信息,以使安全平台接收设备认证通过信息,完成设备认证初始化。
可选地,完成设备认证初始化之后,还包括:
接收安全平台发送的密钥获取请求,其中,密钥获取请求用于获取物联网系统本次启动后进行加密操作和解密操作所需的对称算法密钥;
响应于密钥获取请求,生成对称算法密钥;
通过非对称算法私钥对对称算法密钥进行加密操作,得到对称算法密钥密文;
将对称算法密钥密文发送至安全平台,以使安全平台通过存储的非对称算法公钥对对称算法密钥密文进行解密,得到对称算法密钥,完成密钥初始化。
可选地,完成密钥初始化之后,还包括:
接收安全平台发送的数据库校验请求,其中,数据库校验请求携带有安全平台当前存储的第一特征数据库的数据库信息,数据库校验请求用于请求服务器根据数据库信息,校验安全平台当前存储的第一特征数据库是否为最新的第一特征数据库;
根据数据库信息进行校验;
在确认安全平台当前存储的第一特征数据库是最新的第一特征数据库时,向安全平台发送校验通过信息,以使安全平台接收校验通过信息,完成数据库初始化。
可选地,根据数据库信息进行校验之后,还包括:
在确认安全平台当前存储的第一特征数据库不是最新的第一特征数据库时,向安全平台发送最新的第一特征数据库,以使安全平台接收到最新的第一特征数据库时,将安全平台当前存储的第一特征数据库更新为最新的第一特征数据库;
再次接收安全平台发送的数据库校验请求,直至校验成功,安全平台从服务器接收到校验通过信息,完成数据库初始化。
可选地,数据库信息为安全平台对安全平台当前存储的第一特征数据库进行哈希编码得到的第一哈希值;根据数据库信息进行校验之前,还包括:
对服务器当前存储的第一特征数据库进行哈希编码,得到第二哈希值;
根据数据库信息进行校验,包括:
通过对比第一哈希值与第二哈希值是否一致,校验安全平台当前存储的第一特征数据库是否为最新的第一特征数据库。
本实施例中服务器所执行的步骤,可参见上述各实施例中的内容,本实施例在此不再赘述。
在本公开实施例中,可采用边缘接入的方式,基于一台边缘安全平台设备完成多台物联网边缘业务终端的接入,构建边缘安全子网,管理多个接入的业务终端,将业务终端和服务器上行、下行的业务数据通过安全平台进行监管,实现对边缘端用户和服务端的隔离,实现了传输数据的安全保护等功能,提高了物联网系统中的数据安全性。业务终端内部可取消具备复杂安全机制的安全模块硬件,降低了单台终端成本和系统复杂度,并在用户选择大量边缘业务终端接入系统时,能够显著降低成本,并且,可将原先存储在边缘业务终端中的数据库等机密的关键业务数据,转移至边缘安全平台中进行存储,降低了机密数据被泄露和篡改的风险。
参照图11,示出了本公开实施例的一种数据传输方法的步骤流程图,该方法应用于物联网系统中的业务终端,物联网系统还包括服务器和安全平台,服务器通过安全平台与业务终端通信连接,安全平台中存储有第一特征数据库;该方法包括:
步骤701:通过采集通道采集初始数据。
步骤702:对初始数据进行特征提取,得到特征数据。
步骤703:向安全平台发送的第一请求数据包,其中,第一请求数据包中包括特征数据及特征数据对应的采集通道信息,以使安全平台在第一特征数据库中对特征数据进行匹配,在第一特征数据库中存在与特征数据匹配的特征信息的情况下,根据特征信息及采集通道信息,生成第一反馈数据包并发送至业务终端。
步骤704:接收安全平台发送的第一反馈数据包。
步骤705:根据第一反馈数据包进行操作。
可选地,业务终端连接有至少一个拍摄装置,拍摄装置与采集通道一一对应,初始数据通过采集通道对应的拍摄装置拍摄得到;
根据第一反馈数据包进行操作,包括:
根据第一反馈数据包中的特征信息,生成具有特征标注的图像;
显示图像。
其中,业务终端接收到安全平台发送的第一反馈数据包时,可解析得到安全平台对特征数据匹配出的特征信息,以及该特征数据对应的采集通道信息,进而业务终端可以针对该采集通道进行特征信息的显示。
此外,业务终端接收到安全平台发送的第二反馈数据包时,可解析得到服务器对特征数据的匹配结果,以及该特征数据对应的采集通道信息。若服务器匹配成功,则该匹配结果包括服务器对该特征数据匹配出的特征信息,进而业务终端可以针对该采集通道进行特征信息的显示。若服务器匹配失败,则该匹配结果包括匹配失败信息,进而业务终端可以根据第二反馈数据包中的匹配失败信息,生成具有匹配失败标注的图像,并针对该采集通道进行匹配失败结果的显示,或者,业务终端还可以提示人工介入,再或者,业务终端还可以不进行任何操作。
在实际应用中,可选地,拍摄装置具体可以是摄像头等,显示装置具体可以是终端等,本公开实施例对此不作限定。
本实施例中业务终端所执行的步骤,可参见上述各实施例中的内容,本实施例在此不再赘述。
在本公开实施例中,可采用边缘接入的方式,基于一台边缘安全平台设备完成多台物联网边缘业务终端的接入,构建边缘安全子网,管理多个接入的业务终端,将业务终端和服务器上行、下行的业务数据通过安全平台进行监管,实现对边缘端用户和服务端的隔离,实现了传输数据的安全保护等功能,提高了物联网系统中的数据安全性。业务终端内部可取消具备复杂安全机制的安全模块硬件,降低了单台终端成本和系统复杂度,并在用户选择大量边缘业务终端接入系统时,能够显著降低成本,并且,可将原先存储在边缘业务终端中的数据库等机密的关键业务数据,转移至边缘安全平台中进行存储,降低了机密数据被泄露和篡改的风险。
结合上述内容,示例性地提供一种物联网系统通过服务器、安全平台及业务终端进行初始化和业务处理的应用实例。
在该应用实例中,某企业(例如涉密企业)的总部可以通过该物联网系统管理各地分公司的出入人员,可以针对每个分公司部署一个安全平台,用于管理该分公司区域内部署的业务终端。
该物联网系统启动后,首先可以进行设备认证初始化、密钥初始化及数据库初始化。其中,对于某个分公司,该分公司对应的安全平台中存储有该分公司所有员工及相关人员的人脸特征数据库(即上文中的第一特征数据库),而服务器中则存储有该企业所有分公司的人脸特征数据库。在数据库初始化阶段,安全平台可以对本地人脸特征数据库进行初始化。
该分公司区域内部署的各业务终端连接有多个监控摄像头(即上文中的拍摄装置),在业务处理过程中,业务终端可以通过监控摄像头拍摄进出该分公司的人员的人脸,得到人脸图像(即上文中的初始数据),然后进行人脸特征提取,获得人脸特征数据(及上文中的特征数据)。
该分公司对应的安全平台可以在平台本地人脸特征数据库中,对该人脸特征数据进行匹配,若安全平台匹配成功,说明该人脸对应的人员是该分公司的人员,则安全平台一方面组包得到第一反馈数据包,并回传给业务终端进行人脸标注和标注显示,也即标注出该人脸对应的人员是该分公司的哪个人员,安全平台另一方面组包得到匹配成功结果数据包,上传至服务器进行本次业务记录。
若安全平台匹配失败,则安全平台请求服务器在服务器本地人脸特征数据库(即上文中的第二特征数据库)中,对该人脸特征数据进行匹配。若服务器匹配成功,说明该人脸对应的人员虽然不是该分公司的人员,但确是企业中其他分公司的人员,则服务器组包得到第二反馈数据包并加密,进而回传给安全平台,并进行本次业务记录,安全平台解密后回传给业务终端进行人脸标注和标注显示,也即标注出该人脸对应的人员是该企业其他分公司的哪个人员。若服务器匹配失败,则将匹配失败的结果加密后回传给安全平台,并进行本次业务记录,安全平台解密后回传给业务终端,业务终端可以进行人脸标注和标注显示,也即标注出该人脸对应的人员不是该企业的人员。或者,业务终端也可以不进行标注,但可以提示监控人员有未知的外来人员进入该分公司。
在上述应用实例中,可以通过该物联网系统实现对特定区域出入人员的监控。
本公开实施例还提供了一种物联网系统,参照图2,该物联网系统100包括服务器10、安全平台20和业务终端30,服务器10通过安全平台20与业务终端30通信连接,安全平台20中存储有第一特征数据库;
业务终端30,配置为通过采集通道采集初始数据;对初始数据进行特征提取,得到特征数据;向安全平台发送的第一请求数据包,其中,第一请求数据包中包括特征数据及特征数据对应的采集通道信息;
安全平台20,配置为接收第一请求数据包;在第一特征数据库中对特征数据进行匹配;在第一特征数据库中存在与特征数据匹配的特征信息的情况下,根据特征信息及采集通道信息,生成第一反馈数据包并发送至业务终端;生成匹配成功结果数据包,并对匹配成功结果数据包进行加密操作,将加密后的匹配成功结果数据包发送至服务器;
业务终端30,还配置为接收第一反馈数据包;根据第一反馈数据包进行操作;
服务器10,还配置为接收加密后的匹配成功结果数据包;对加密后的匹配成功结果数据包进行解密操作,得到匹配成功结果数据包;根据匹配成功结果数据包进行业务记录。
可选地,安全平台20通过公网或专网与服务器10通信连接,安全平台20通过私网与业务终端30通信连接。
对于上述物联网系统的实施例而言,由于其与上述各方法实施例基本相似,所以描述的比较简单,相关之处参见上述各方法实施例中相关内容的说明即可。
在本公开实施例中,可采用边缘接入的方式,基于一台边缘安全平台设备完成多台物联网边缘业务终端的接入,构建边缘安全子网,管理多个接入的业务终端,将业务终端和服务器上行、下行的业务数据通过安全平台进行监管,实现对边缘端用户和服务端的隔离,实现了传输数据的安全保护等功能,提高了物联网系统中的数据安全性。业务终端内部可取消具备复杂安全机制的安全模块硬件,降低了单台终端成本和系统复杂度,并在用户选择大量边缘业务终端接入系统时,能够显著降低成本,并且,可将原先存储在边缘业务终端中的数据库等机密的关键业务数据,转移至边缘安全平台中进行存储,降低了机密数据被泄露和篡改的风险。
本公开实施例还公开了一种电子设备,包括存储器及存储在所述存储器上且可运行的程序,所述程序运行时实现如上各实施例所述的数据传输方法的步骤。
电子设备为安全平台时,所述程序运行时实现如上各实施例所述的数据传输方法中安全平台所执行的步骤;
电子设备为服务器时,所述程序运行时实现如上各实施例所述的数据传输方法中服务器所执行的步骤;
电子设备为业务终端时,所述程序运行时实现如上各实施例所述的数据传输方法中业务终端所执行的步骤。
本公开实施例还公开了一种计算机可读存储介质,所述存储介质存储有可运行的程序,所述程序运行时实现如上各实施例所述的数据传输方法的步骤。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着,结合实施例描述的特定特征、结构或者特性包括在本公开的至少一个实施例中。此外,请注意,这里“在一个实施例中”的词语例子不一定全指同一个实施例。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本公开的实施例可以在没有这些具体细节的情况下被实践。在一些应用实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本公开可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
最后应说明的是:以上实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的精神和范围。
Claims (24)
1.一种数据传输方法,其特征在于,应用于物联网系统中的安全平台,所述物联网系统还包括服务器和业务终端,所述服务器通过所述安全平台与所述业务终端通信连接,所述安全平台中存储有第一特征数据库;所述方法包括:
接收所述业务终端发送的第一请求数据包,其中,所述第一请求数据包中包括特征数据及所述特征数据对应的采集通道信息,所述特征数据由所述业务终端对通过所述采集通道采集的初始数据进行特征提取得到;
在所述第一特征数据库中对所述特征数据进行匹配;
在所述第一特征数据库中存在与所述特征数据匹配的特征信息的情况下,根据所述特征信息及所述采集通道信息,生成第一反馈数据包并发送至所述业务终端,以使所述业务终端根据所述第一反馈数据包进行操作;
生成匹配成功结果数据包,并对所述匹配成功结果数据包进行加密操作,将加密后的所述匹配成功结果数据包发送至所述服务器,以使所述服务器通过解密操作解密得到所述匹配成功结果数据包,并根据所述匹配成功结果数据包进行业务记录。
2.根据权利要求1所述的方法,其特征在于,所述服务器中存储有第二特征数据库,所述第二特征数据库包括所述第一特征数据库,且所述第一特征数据库中的特征信息数量小于所述第二特征数据库中的特征信息数量;所述在所述第一特征数据库中对所述特征数据进行匹配之后,还包括:
在所述第一特征数据库中不存在与所述特征数据匹配的特征信息的情况下,根据所述特征数据、所述采集通道信息及匹配失败结果,生成第二请求数据包;
对所述第二请求数据包进行加密操作;
将加密后的所述第二请求数据包发送至所述服务器,以使所述服务器通过解密操作解密得到所述第二请求数据包,并在所述第二特征数据库中对所述第二请求数据包中的所述特征数据进行匹配。
3.根据权利要求2所述的方法,其特征在于,所述将加密后的所述第二请求数据包发送至所述服务器之后,还包括:
接收所述服务器发送的加密后的第二反馈数据包,其中,所述加密后的第二反馈数据包为所述服务器在所述第二特征数据库中对所述特征数据进行匹配后,根据匹配结果及所述采集通道信息,生成第二反馈数据包,并对所述第二反馈数据包进行加密操作后得到;
对所述加密后的第二反馈数据包进行解密操作,得到所述第二反馈数据包;
将所述第二反馈数据包发送至所述业务终端,以使所述业务终端根据所述第二反馈数据包进行操作。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述加密操作包括:通过对称算法密钥进行加密;
所述解密操作包括:通过所述对称算法密钥进行解密。
5.根据权利要求1所述的方法,其特征在于,所述接收所述业务终端发送的第一请求数据包之前,还包括:
在所述物联网系统启动时,向所述服务器发送设备认证请求;
接收所述服务器发送的非对称算法公钥,其中,所述非对称算法公钥为所述服务器生成,并响应于所述设备认证请求而发送;
通过所述非对称算法公钥对设备认证信息进行加密,得到设备认证信息密文,其中,所述设备认证信息包括与所述安全平台所连接的各所述业务终端的终端标识和终端数量,以及所述安全平台的平台标识;
将所述设备认证信息密文发送至所述服务器,以使所述服务器通过解密操作解密得到所述设备认证信息,并根据所述设备认证信息,对所述安全平台以及与所述安全平台所连接的各所述业务终端进行认证;
接收所述服务器发送的设备认证通过信息,完成设备认证初始化,其中,所述设备认证通过信息为所述服务器在对所述安全平台,以及与所述安全平台所连接的各所述业务终端的认证通过时发送。
6.根据权利要求5所述的方法,其特征在于,所述完成设备认证之后,还包括:
向所述服务器发送密钥获取请求,其中,所述密钥获取请求用于获取所述物联网系统本次启动后进行加密操作和解密操作所需的对称算法密钥;
接收所述服务器发送的对称算法密钥密文,其中,所述对称算法密钥密文为所述服务器生成对称算法密钥,并响应于所述密钥获取请求生成对称算法密钥,通过与所述非对称算法公钥一同生成的非对称算法私钥对所述对称算法密钥进行加密得到;
通过所述非对称算法公钥对所述对称算法密钥密文进行解密,得到所述对称算法密钥,完成密钥初始化。
7.根据权利要求6所述的方法,其特征在于,所述通过所述非对称算法公钥对所述对称算法密钥密文进行解密,得到所述对称算法密钥之后,还包括:
将存储的旧版对称算法密钥替换为所述对称算法密钥,完成密钥初始化,其中,所述旧版对称算法密钥密为所述物联网系统上次启动后进行加密操作和解密操作所需的对称算法密钥。
8.根据权利要求6-7任一项所述的方法,其特征在于,所述完成密钥初始化之后,还包括:
向所述服务器发送数据库校验请求,其中,所述数据库校验请求携带有所述安全平台当前存储的所述第一特征数据库的数据库信息,所述数据库校验请求用于请求所述服务器根据所述数据库信息,校验所述安全平台当前存储的第一特征数据库是否为最新的第一特征数据库;
接收所述服务器发送的校验通过信息,完成数据库初始化,其中,所述校验通过信息为所述服务器根据所述数据库信息进行校验,并在确认所述安全平台当前存储的第一特征数据库是最新的第一特征数据库时发送。
9.根据权利要求8所述的方法,其特征在于,所述向所述服务器发送数据库校验请求之后,还包括:
接收所述服务器发送的最新的第一特征数据库,其中,所述最新的第一特征数据库为所述服务器根据所述数据库信息进行校验,并在确认所述安全平台当前存储的第一特征数据库不是最新的第一特征数据库时发送;
将所述安全平台当前存储的第一特征数据库更新为所述最新的第一特征数据库;
再次向所述服务器发送所述数据库校验请求,直至从所述服务器接收到所述校验通过信息,完成数据库初始化。
10.根据权利要求8所述的方法,其特征在于,所述向所述服务器发送数据库校验请求之前,还包括:
对所述安全平台当前存储的第一特征数据库进行哈希编码,得到第一哈希值并作为所述第一特征数据库的数据库信息;
所述向所述服务器发送数据库校验请求,包括:
向所述服务器发送所述数据库获取请求,以使所述服务器通过对比所述第一哈希值与第二哈希值是否一致,校验所述安全平台当前存储的第一特征数据库是否为最新的第一特征数据库,其中,所述第二哈希值为所述服务器对所述服务器当前存储的第一特征数据库进行哈希编码得到。
11.根据权利要求3所述的方法,其特征在于,所述安全平台与所述服务器之间采用第一通信协议,所述安全平台与所述业务终端之间采用第二通信协议,所述第一通信协议与所述第二通信协议不同;
所述方法还包括:
通过所述第一通信协议,将待发送至所述服务器的上行业务数据封装为上行业务数据包,以使所述上行业务数据包可被所述服务器处理,并将所述上行业务数据包发送至所述服务器,其中,所述上行业务数据包包括所述匹配成功结果数据包和所述第二请求数据包;
通过所述第一通信协议,将从所述服务器接收到的下行业务数据包解封装为下行业务数据,以使所述下行业务数据可被所述安全平台处理,其中,所述下行业务数据包包括所述加密后的第二反馈数据包。
12.一种数据传输方法,其特征在于,应用于物联网系统中的服务器,所述物联网系统还包括安全平台和业务终端,所述服务器通过所述安全平台与所述业务终端通信连接,所述安全平台中存储有第一特征数据库,所述方法包括:
接收所述安全平台发送的所述加密后的匹配成功结果数据包,其中,所述加密后的匹配成功结果数据为所述安全终端接收所述业务终端发送的第一请求数据包,其中,所述第一请求数据包中包括特征数据及所述特征数据对应的采集通道信息,所述特征数据由所述业务终端对通过采集通道采集的初始数据进行特征提取得到,在所述第一特征数据库中对特征数据进行匹配,在所述第一特征数据库中存在与所述特征数据匹配的特征信息的情况下,根据所述特征信息及所述采集通道信息,生成第一反馈数据包并发送至所述业务终端,以使所述业务终端根据所述第一反馈数据包进行操作,生成匹配成功结果数据包,并对所述匹配成功结果数据包进行加密操作得到;
对所述加密后的匹配成功结果数据包进行解密操作,得到所述匹配成功结果数据包;
根据所述匹配成功结果数据包进行业务记录。
13.根据权利要求12所述的方法,其特征在于,所述服务器中存储有第二特征数据库,所述第二特征数据库包括所述第一特征数据库,且所述第一特征数据库中的特征信息数量小于所述第二特征数据库中的特征信息数量;
接收所述安全平台发送的所述加密后的第二请求数据包,其中,所述加密后的第二请求数据包为所述安全平台在所述第一特征数据库中不存在与所述特征数据匹配的特征信息的情况下,根据所述特征数据、所述采集通道信息及匹配失败结果,生成第二请求数据包,并对所述第二请求数据包进行加密操作得到;
对所述加密后的第二请求数据包进行解密操作,得到所述第二请求数据包;
在所述第二特征数据库中对所述第二请求数据包中的所述特征数据进行匹配;
根据匹配结果及所述采集通道信息,生成第二反馈数据包,并对所述第二反馈数据包进行加密操作,得到加密后的所述第二反馈数据包;
将所述加密后的第二反馈数据包发送至所述安全平台,以使所述安全平台对所述加密后的第二反馈数据包进行解密操作,得到所述第二反馈数据包,并将所述第二反馈数据包发送至所述业务终端,以使所述业务终端根据所述第二反馈数据包进行操作;
根据所述匹配结果进行业务记录。
14.根据权利要求12所述的方法,其特征在于,所述接收所述安全平台发送的所述加密后的匹配成功结果数据包之前,还包括:
接收所述安全平台在所述物联网系统启动时发送的设备认证请求;
响应于所述设备认证请求,将生成的非对称算法公钥发送至所述安全终端,并存储生成的非对称算法私钥,以使所述安全终端通过所述非对称算法公钥对设备认证信息进行加密,得到设备认证信息密文,并将所述设备认证信息密文发送至所述服务器,其中,所述设备认证信息包括与所述安全平台所连接的各所述业务终端的终端标识和终端数量,以及所述安全平台的平台标识;
对所述设备认证信息密文进行解密操作,得到所述设备认证信息;
根据所述设备认证信息,对所述安全平台以及与所述安全平台所连接的各所述业务终端进行认证;
在对所述安全平台,以及与所述安全平台所连接的各所述业务终端的认证通过时,向所述安全平台发送设备认证通过信息,以使所述安全平台接收所述设备认证通过信息,完成设备认证初始化。
15.根据权利要求14所述的方法,其特征在于,所述完成设备认证初始化之后,还包括:
接收所述安全平台发送的密钥获取请求,其中,所述密钥获取请求用于获取所述物联网系统本次启动后进行加密操作和解密操作所需的对称算法密钥;
响应于所述密钥获取请求,生成对称算法密钥;
通过所述非对称算法私钥对所述对称算法密钥进行加密操作,得到对称算法密钥密文;
将所述对称算法密钥密文发送至所述安全平台,以使所述安全平台通过存储的非对称算法公钥对所述对称算法密钥密文进行解密,得到所述对称算法密钥,完成密钥初始化。
16.根据权利要求15所述的方法,其特征在于,所述完成密钥初始化之后,还包括:
接收所述安全平台发送的数据库校验请求,其中,所述数据库校验请求携带有所述安全平台当前存储的第一特征数据库的数据库信息,所述数据库校验请求用于请求所述服务器根据所述数据库信息,校验所述安全平台当前存储的第一特征数据库是否为最新的第一特征数据库;
根据所述数据库信息进行校验;
在确认所述安全平台当前存储的第一特征数据库是最新的第一特征数据库时,向所述安全平台发送校验通过信息,以使所述安全平台接收所述校验通过信息,完成数据库初始化。
17.根据权利要求16所述的方法,其特征在于,所述根据所述数据库信息进行校验之后,还包括:
在确认所述安全平台当前存储的第一特征数据库不是最新的第一特征数据库时,向所述安全平台发送最新的第一特征数据库,以使所述安全平台接收到所述最新的第一特征数据库时,将所述安全平台当前存储的第一特征数据库更新为所述最新的第一特征数据库;
再次接收所述安全平台发送的所述数据库校验请求,直至校验成功,所述安全平台从所述服务器接收到所述校验通过信息,完成数据库初始化。
18.根据权利要求16所述的方法,其特征在于,所述数据库信息为所述安全平台对所述安全平台当前存储的第一特征数据库进行哈希编码得到的第一哈希值;所述根据所述数据库信息进行校验之前,还包括:
对所述服务器当前存储的第一特征数据库进行哈希编码,得到第二哈希值;
所述根据所述数据库信息进行校验,包括:
通过对比所述第一哈希值与第二哈希值是否一致,校验所述安全平台当前存储的第一特征数据库是否为最新的第一特征数据库。
19.一种数据传输方法,其特征在于,应用于物联网系统中的业务终端,所述物联网系统还包括服务器和安全平台,所述服务器通过所述安全平台与所述业务终端通信连接,所述安全平台中存储有第一特征数据库;所述方法包括:
通过采集通道采集初始数据;
对所述初始数据进行特征提取,得到特征数据;
向所述安全平台发送的第一请求数据包,其中,所述第一请求数据包中包括所述特征数据及所述特征数据对应的采集通道信息,以使所述安全平台在所述第一特征数据库中对所述特征数据进行匹配,在所述第一特征数据库中存在与所述特征数据匹配的特征信息的情况下,根据所述特征信息及所述采集通道信息,生成第一反馈数据包并发送至所述业务终端;
接收所述安全平台发送的所述第一反馈数据包;
根据所述第一反馈数据包进行操作。
20.根据权利要求19所述的方法,其特征在于,所述业务终端连接有至少一个拍摄装置,所述拍摄装置与所述采集通道一一对应,所述初始数据通过所述采集通道对应的拍摄装置拍摄得到;
所述根据所述第一反馈数据包进行操作,包括:
根据所述第一反馈数据包中的所述特征信息,生成具有特征标注的图像;
显示所述图像。
21.一种物联网系统,其特征在于,包括服务器、安全平台和业务终端,所述服务器通过所述安全平台与所述业务终端通信连接,所述安全平台中存储有第一特征数据库;
所述业务终端,配置为通过采集通道采集初始数据;对所述初始数据进行特征提取,得到特征数据;向所述安全平台发送的第一请求数据包,其中,所述第一请求数据包中包括所述特征数据及所述特征数据对应的采集通道信息;
所述安全平台,配置为接收所述第一请求数据包;在所述第一特征数据库中对所述特征数据进行匹配;在所述第一特征数据库中存在与所述特征数据匹配的特征信息的情况下,根据所述特征信息及所述采集通道信息,生成第一反馈数据包并发送至所述业务终端;生成匹配成功结果数据包,并对所述匹配成功结果数据包进行加密操作,将加密后的所述匹配成功结果数据包发送至所述服务器;
所述业务终端,还配置为接收所述第一反馈数据包;根据所述第一反馈数据包进行操作;
所述服务器,还配置为接收所述加密后的匹配成功结果数据包;对所述加密后的匹配成功结果数据包进行解密操作,得到所述匹配成功结果数据包;根据所述匹配成功结果数据包进行业务记录。
22.根据权利要求21所述的物联网系统,其特征在于,所述安全平台通过公网或专网与所述服务器通信连接,所述安全平台通过私网与所述业务终端通信连接。
23.一种电子设备,其特征在于,包括存储器及存储在所述存储器上且可运行的程序,所述程序运行时实现如权利要求1-11中任一项所述的数据传输方法的步骤,或者如权利要求12-18中任一项所述的数据传输方法的步骤,或者如权利要求19-20中任一项所述的数据传输方法的步骤。
24.一种计算机可读存储介质,其特征在于,所述存储介质存储有可运行的程序,所述程序运行时实现如权利要求1-11中任一项所述的数据传输方法的步骤,或者如权利要求12-18中任一项所述的数据传输方法的步骤,或者如权利要求19-20中任一项所述的数据传输方法的步骤。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210111749.8A CN114500061B (zh) | 2022-01-29 | 2022-01-29 | 数据传输方法、物联网系统、电子设备及存储介质 |
| PCT/CN2023/070402 WO2023142925A1 (zh) | 2022-01-29 | 2023-01-04 | 数据传输方法、物联网系统、电子设备及存储介质 |
| US18/284,437 US20240163267A1 (en) | 2022-01-29 | 2023-01-04 | Data transmission method, internet of things system, electronic device, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210111749.8A CN114500061B (zh) | 2022-01-29 | 2022-01-29 | 数据传输方法、物联网系统、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114500061A true CN114500061A (zh) | 2022-05-13 |
| CN114500061B CN114500061B (zh) | 2024-07-12 |
Family
ID=81478300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210111749.8A Active CN114500061B (zh) | 2022-01-29 | 2022-01-29 | 数据传输方法、物联网系统、电子设备及存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20240163267A1 (zh) |
| CN (1) | CN114500061B (zh) |
| WO (1) | WO2023142925A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023142925A1 (zh) * | 2022-01-29 | 2023-08-03 | 京东方科技集团股份有限公司 | 数据传输方法、物联网系统、电子设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102036231A (zh) * | 2010-09-07 | 2011-04-27 | 北京兵港科技发展有限公司 | 一种物联网网络架构安全体系及其安全方法 |
| US8484716B1 (en) * | 2009-08-07 | 2013-07-09 | Adobe Systems Incorporated | Hosting a server application on multiple network tiers |
| US20180054490A1 (en) * | 2016-08-22 | 2018-02-22 | fybr | System for distributed intelligent remote sensing systems |
| CN109981771A (zh) * | 2019-03-22 | 2019-07-05 | 长安大学 | 一种基于5g技术的车路通信测试系统及测试方法 |
| CN111683367A (zh) * | 2020-06-17 | 2020-09-18 | 郑州信大捷安信息技术股份有限公司 | 安全通信模组、安全通信系统、方法及可读存储介质 |
| CN111917727A (zh) * | 2020-07-01 | 2020-11-10 | 国网电力科学研究院有限公司 | 基于5G和WiFi的电力物联网安全智能图传系统及方法 |
| KR102189301B1 (ko) * | 2020-04-22 | 2020-12-11 | 주식회사 한국정보보호경영연구소 | 블록체인 기반 보안이 강화된 클라우드 서비스 제공 시스템 및 방법 |
| CN112165479A (zh) * | 2020-09-22 | 2021-01-01 | 北京智芯微电子科技有限公司 | 配电网的云边协同管控系统 |
| CN112217876A (zh) * | 2020-09-22 | 2021-01-12 | 远光软件股份有限公司 | 物联网系统、物联网通信方法及电子设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11063760B2 (en) * | 2018-08-22 | 2021-07-13 | Sasken Technologies Ltd | Method for ensuring security of an internet of things network |
| CN114500061B (zh) * | 2022-01-29 | 2024-07-12 | 京东方科技集团股份有限公司 | 数据传输方法、物联网系统、电子设备及存储介质 |
-
2022
- 2022-01-29 CN CN202210111749.8A patent/CN114500061B/zh active Active
-
2023
- 2023-01-04 WO PCT/CN2023/070402 patent/WO2023142925A1/zh active Application Filing
- 2023-01-04 US US18/284,437 patent/US20240163267A1/en active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8484716B1 (en) * | 2009-08-07 | 2013-07-09 | Adobe Systems Incorporated | Hosting a server application on multiple network tiers |
| CN102036231A (zh) * | 2010-09-07 | 2011-04-27 | 北京兵港科技发展有限公司 | 一种物联网网络架构安全体系及其安全方法 |
| US20180054490A1 (en) * | 2016-08-22 | 2018-02-22 | fybr | System for distributed intelligent remote sensing systems |
| CN109981771A (zh) * | 2019-03-22 | 2019-07-05 | 长安大学 | 一种基于5g技术的车路通信测试系统及测试方法 |
| KR102189301B1 (ko) * | 2020-04-22 | 2020-12-11 | 주식회사 한국정보보호경영연구소 | 블록체인 기반 보안이 강화된 클라우드 서비스 제공 시스템 및 방법 |
| CN111683367A (zh) * | 2020-06-17 | 2020-09-18 | 郑州信大捷安信息技术股份有限公司 | 安全通信模组、安全通信系统、方法及可读存储介质 |
| CN111917727A (zh) * | 2020-07-01 | 2020-11-10 | 国网电力科学研究院有限公司 | 基于5G和WiFi的电力物联网安全智能图传系统及方法 |
| CN112165479A (zh) * | 2020-09-22 | 2021-01-01 | 北京智芯微电子科技有限公司 | 配电网的云边协同管控系统 |
| CN112217876A (zh) * | 2020-09-22 | 2021-01-12 | 远光软件股份有限公司 | 物联网系统、物联网通信方法及电子设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023142925A1 (zh) * | 2022-01-29 | 2023-08-03 | 京东方科技集团股份有限公司 | 数据传输方法、物联网系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114500061B (zh) | 2024-07-12 |
| WO2023142925A1 (zh) | 2023-08-03 |
| US20240163267A1 (en) | 2024-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108737394B (zh) | 离线验证系统、扫码设备和服务器 | |
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN105847247A (zh) | 一种认证系统及其工作方法 | |
| CN109218825B (zh) | 一种视频加密系统 | |
| CN111435913B (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
| CN109151508B (zh) | 一种视频加密方法 | |
| CN101507228A (zh) | 用于位于线缆网络中的装置的改善的认证 | |
| CN106603484A (zh) | 虚拟钥匙方法及应用该方法的装置、后台系统、用户终端 | |
| CN101958892A (zh) | 基于人脸识别的电子数据保护方法、装置及系统 | |
| CN106060073B (zh) | 信道密钥协商方法 | |
| CN112565265B (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
| CN110381075B (zh) | 基于区块链的设备身份认证方法和装置 | |
| CN113497778A (zh) | 一种数据的传输方法和装置 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN111884811B (zh) | 一种基于区块链的数据存证方法和数据存证平台 | |
| CN112436936B (zh) | 一种具备量子加密功能的云存储方法及系统 | |
| CN106789024A (zh) | 一种远程解锁方法、装置和系统 | |
| CN109905384B (zh) | 数据迁移方法及系统 | |
| CN113886771A (zh) | 一种软件授权认证方法 | |
| CN111164933A (zh) | 一种在不进行状态管理下确保通信安全的方法 | |
| CN110351254B (zh) | 访问操作的执行方法及装置 | |
| US20240163267A1 (en) | Data transmission method, internet of things system, electronic device, and storage medium | |
| CN109831782B (zh) | 一种电子卡信息的安全传输验证方法 | |
| CN110635894B (zh) | 一种基于帧协议格式的量子密钥输出方法及其系统 | |
| CN114362931A (zh) | 一种物联网设备注册和安全认证连接及指令交互方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |