CN114866980A - 一种适用于IoT设备的路由器装置及多通道指令执行方法 - Google Patents

Abstract

本发明涉及一种适用于IoT设备的路由器装置及多通道指令执行方法，所述路由器装置包含：控制模块，所述控制模块根据存储于设定区的环境设定资讯、存储于状态区的状态资讯，以及预定的冲突管理机制，决定是否执行与输入讯息有关的路由过程，当所述控制模块根据优先权资讯判定出来源端口的优先权高于请求端口的优先级，并且根据所述预定冲突管理机制及I/O端口占用资讯判定出所述来源端口未被占用时，所述控制模块确定执行与所述输入讯息有关的路由过程，暂停执行并暂存通过当前注册的通道执行的所有应用程序，并对应地更新所述状态资讯。

Description

一种适用于IoT设备的路由器装置及多通道指令执行方法

本分案申请的原始基础是申请号为201780073691.X，申请日为2017年12月21日，发明名称为“用于IoT设备的安全路由系统”的专利申请，其要求了申请号为62/438150的专利申请的优先权，优先权日为2016年12月22日。

技术领域

本发明涉及路由系统，特别是涉及一种适用于IoT设备的路由器装置及多通道指令执行方法。

背景技术

在传统的物联网应用中，移动通讯装置经常连接到网络启用设备(物品)，例如智能锁，智能设备，自动驾驶汽车，通过例如所述网络启用设备的WiFi模块、蓝牙模块、BLE(蓝牙低功耗)、Zigbee模块、基带模块(2G/3G/4G/5G LTE/NB-IoT(窄带IoT)，用作其主通讯控制器，从而通过移动网络或互联网，对网络启用设备的受控装置(执行网络启用设备的正常操作及功能的部件，例如智能锁的实体锁，智能空调的空调部件，自动驾驶车的发动机控制单元(ECU))执行操作控制。

但是，受控设备和主通讯控制器中可能存在安全漏洞，特别是对于开源操作系统(OS)，如Linux、Android，也就是说实时操作系统(RTOS)等。黑客可能会利用安全漏洞入侵受控装置和主通讯控制器，导致大问题。

发明内容

因此，如何增强可能有益于物联网技术发展的开源操作系统中的物联网应用的安全性是相关行业的目标。

因此，本发明的目的是提供一种可以减轻现有技术的至少一个缺点的路由系统。

根据本发明，所述安全路由系统适用于物联网(IoT)设备，其包含支持多个通讯协议的主通讯控制模块、及受控装置。所述安全路由系统包含路由器装置，所述路由器装置包含多输入多输出(MIMO)单元、开关模块、控制模块、存储模块、及身份验证模块。

所述MIMO单元符合于所述通讯协议，并包括多个输入输出(I/O)端口，所述I/O端口包含要电连接所述主通讯控制模块并支持来自所述主通讯控制模块的任何讯息的协议转换的第一I/O端口，以及要电连接所述受控装置并支持来自所述受控装置的任何讯息的协议转换的第二I/O端口。

所述开关模块电连接所述MIMO单元，并能操作来选择性地建立所述I/O端口间的通讯路径。

所述控制模块电连接所述开关模块，用以控制其切换操作并支持多通道操作。

所述存储模块电连接所述控制模块，并包含存储了多个分别对应于不同应用程序识别符的应用程序的程序区、存储了与所述MIMO单元有关的环境设定资讯的设定区及存储了指示出所述路由器装置的当前执行状态的状态资讯的状态区。所述环境设定资讯包含指示出对应于能通过所述I/O端口使用的所述应用程序的应用程序识别符的应用程序识别符资讯以及指示出所述I/O端口的优先权的优先权资讯。

所述身份验证模块电连接所述控制模块，存储了与用于至少一个连接所述主通讯控制模块的用户装置或所述至少一个用户装置的至少一个用户的身份验证有关的身份验证数据及密码数据，以及用于讯息传输的加密操作及所述讯息的加解密操作的密钥数据。

当所述控制模块通过所述开关模块及所述I/O端口其中的来源端口接收到输入讯息时，所述控制模块根据所述设定区所存储的环境设定资讯、所述状态区所存储的状态资讯及预定冲突管理机制来决定是否执行与所述输入讯息有关的路由过程。

当所述控制模块决定不执行与所述输入讯息有关的路由过程时，所述控制模块控制所述开关模块的切换操作，以便通过所述开关模块将通知忙碌状态及等待指令其中一者的忙碌响应传送至所述来源端口。

当所述控制模块决定要执行与所述输入讯息有关的路由过程时，所述控制模块执行与所述输入讯息有关的所述路由过程。

所述路由过程包含：在判定出所述输入讯息包含多通道管理指令时，根据所述多通道管理指令打开对应于特定核心的特定通道，关闭对应于所述特定核心的其他对应通道，控制所述开关模块的切换操作以便通过所述开关模块将通道管理结果传送至所述来源端口，并根据所述通道管理结果更新所述状态区所存储的状态资讯；在判定出所述输入讯息包含与生成所述输入讯息的待鉴权的用户装置有关的用户-装置鉴权指令时，将所述输入讯息传送至所述身份验证模块，与所述身份验证模块合作来根据所述身份验证数据、所述密码数据及所述输入讯息执行对应于所述用户-装置鉴权指令的验证程序，并在接收到来自所述身份验证模块的成功验证结果时，控制所述开关模块的切换操作以将所述成功验证结果传送至所述来源端口；及在判定出所述输入讯息与应用程序指令及应用程序鉴权指令其中一个指令有关时，执行特定操作。

所述特定操作包含：执行所述程序区所存储的应用程序其中的一个对应于所述指令的应用程序以获得执行结果的操作；在判定出对应于所述指令的所述应用程序包含与所述I/O端口中的另一个I/O端口有关的控制指令时，控制所述开关模块的切换操作以通过所述开关模块将所述控制指令传送至所述另一个I/O端口并更新所述状态区所存储的状态资讯的操作；及在判定出所述执行结果不含任何错误讯息或异常讯息时，控制所述开关模块的切换操作以将对应于所述输入讯息的完成响应传送至所述来源端口用于通知所述路由过程已完成的操作。

附图说明

本发明的其他的特征及功效，将于参照图式的实施例的以下具体实施方式中清楚地呈现，其中：

图1是说明根据本发明的路由系统的第一实施例的方块图；

图2及图3合作地形成一个说明通过本发明路由系统所执行的安全路由的步骤的流程图；

图4是说明第一实施例的变化实施态样的方块图；

图5是说明第一实施例的另一个变化实施态样的方块图；

图6是说明根据本发明的路由系统的第二实施例的方块图；

图7是说明第二实施例的变化实施态样；及

图8是说明根据本发明的路由系统的第三实施例的方块图。

具体实施方式

在本发明被详细描述前，应当注意在认为合适的情况下，附图中重复使用附图标记或附图标记的末端部分以指示对应或类似的元件，其可任选地具有类似的特征。

参阅图1，根据本发明的安全路由系统的第一实施例适用于智能物联网设备(例如，无人驾驶飞行器(UAV)、智能车辆、智能设备、远程医疗设备、网络摄像机设备)等)。在本实施例中，智能IoT设备包括主通讯控制模块200，用于接收来自用户端(例如，智能电话，未示出)和受控装置300(执行智能IoT设备的正常操作和功能的部分，例如，无人驾驶飞行器或智能车辆的发动机控制单元(ECU)、智能冰箱的制冷部件、远程医疗装置的诊断和/或治疗目的的部件等，并且配置为由用户端提供的指令所控制)的指令。所述受控装置300不限于上述示例。所述主通讯控制模块200支持多个通讯协议，每个通讯协议能选自例如WiFi、BLE、Zigbee、2G、3G、4GLTE(4G长期演进)、NB-IoT(窄带物联网)、LoRa(长程)等，但本发明不限于此方面。在本实施例中，所述主通讯控制模块200还提供电力(例如，源自电源插座、电池等)及所述安全路由系统100的操作所需的时钟信号，并且包括安全路由器装置10。

所述安全路由器装置10具有虚拟机的体系结构，其被例示为符合GlobalPlatform架构，并且能够进行空中(OTA)更新。注意，在本实施例中，所述安全路由器装置10被配置为在硬件和软件方面符合等于或高于评估保证等级4(EAL 4)的级别的通用规范标准，从而使得能确保操作的安全性，并且所述安全路由器装置10能被认为是安全元件。在本实施例中，所述安全路由器装置10包括多输入多输出(MIMO)单元1、存储模块2、开关模块3、身份验证模块4、控制模块5和天线模块6。

所述MIMO单元1符合由所述主通讯控制模块200所支持的通讯协议，并包括多个输入输出(I/O)端口，其包括第一I/O端口11、第二I/O端口12和第三I/O端口13，但是本发明不限于此。所述第一I/O端口11电耦接到所述主通讯控制模块200并且支持来自所述主通讯控制模块200的任何讯息的协议转换。为了更清楚，所述第一I/O端口11可以具有符合ISO7816规范或通用异步接收器-发送器(UART)规范的接口，所述第二I/O端口12可以具有符合UART规范的接口，所述第三I/O端口13可以具有符合ISO 14443规范的接口，以及图1中未示出的其他I/O端口可以各自配置为通用输入输出(GPIO)端口，或者具有符合内部集成电路(I2C)规范、串行周边接口(SPI)规范、脉冲宽度调制(PWM)规范等的接口，但是本发明不限于此方面。

所述存储模块2包括程序区21，设定区22和状态区23。所述程序区21存储多个分别对应于不同应用程序识别符(AID)的应用程序。所述设定区22存储与所述MIMO单元1有关的环境设定资讯。所述状态区23存储指示出所述安全路由器装置10的虚拟机结构的当前执行状态的状态资讯。所述应用程序包括一个或多个与所述受控制装置300的操作有关的应用程序指令(例如，Java小程序)，以及一个或多个SIM(用户身份模块)应用程序工具包。所述环境设定信息包括指示出对应于能够由所述I/O端口11-13使用的应用程序的应用程序识别符的应用程序识别符资讯，以及指示出所述I/O端口11-13的优先权的优先权资讯。用户可以根据所述受控装置300的特性和功能，和/或向所述安全路由器装置10提供输入的装置来定义所述I/O端口11-13的优先权。在本实施例中，所述状态资讯包括例如：通道旗标资讯，其指示出当前已由所述I/O端口其中一个请求端口注册的通道注册情况；应用程序执行资讯，其指示出对应于当前通过当前注册的通道执行的所述应用程序的所述应用程序识别符；I/O端口占用资讯，其指示出所述I/O端口的占用情况；及通道状态资讯，其指示出当前由执行的程序注册的通道的状态。

所述开关模块3电连接所述MIMO单元1，并且操作来选择性地建立在所述I/O端口11-13间的通讯路径。

所述身份验证模块4其中存储了与用户装置(连接到所述主通讯控制模块200；所述用户装置的示例包括智能手机，智能手表等)和(所述用户装置的)用户的身份验证有关的身份验证数据和密码数据(术语“用户”可以指虚拟用户，例如服务提供商的云服务，或实体用户，例如所述用户装置或政府机构的所有者)，用于验证所述用户装置的身份，以及密钥数据，用于执行在讯息的传输(例如，安全套接字层(SSL)、传输层安全性(TLS)等)上的加密操作，以及对讯息的加解密操作(例如，对称密钥演算法，如高级加密标准(AES)、数据加密标准(DES)和Blowfish，或非对称密钥演算法，如公钥基础设施(PKI)、椭圆曲线加密(ECC)和SM2-ECC)。在本实施例中，所述身份验证模块4能用作用于验证用户身份模块(SIM)的SIM验证模块，其可以用于公共部门或私有部门中的验证系统，例如用于银行、公共安全、交通，医疗保险等。

所述控制模块5电连接所述MIMO单元1、所述存储模块2、所述开关模块3和所述身份验证模块4，控制所述开关模块3的切换操作，并支持多通道操作。在本实施例中，所述控制模块5包括加密解密电路51和错误-异常处理电路52。所述加解密电路51配置来根据存储于所述身份验证模块4的密钥数据以及一种或多种上述对称密钥算法和非对称密钥演算法执行加解密操作。所述错误-异常处理电路52配置来对不利事件执行分析，所述不利事件可以是错误/假事件或异常事件，并且确定对应于所分析的不利事件的操作。在一个实施例中，所述控制模块5还在所述加解密电路51执行对加密的讯息的解密操作前，使用检查演算法(例如，安全散列算法(SHA)、讯息摘要算法5(MD5)、循环冗余校验(CRC)等)来检查所述加密讯息是否已被篡改，并且所述加解密电路51仅在所述加密讯息被检查为未被篡改时执行解密操作。

在本实施例中，所述天线模块6电连接所述第三I/O端口13，支持射频识别(RFID)技术，并且符合ISO 14443规范。所述天线模块6用作所述安全路由系统100的备选通讯装置。在其他实施例中，可以根据用户需求而省略所述天线模块6和所述第三I/O端口13。

在本实施例中，所述控制模块5和所述开关模块3被配置为两个独立的硬件单元。在其他实施例中，所述控制模块5和所述开关模块3可以通过硬件、软件或其组合集成为单核心单元或多核心单元。

注意，当连接到所述第一I/O端口11的主通讯控制模块200被初始化时(例如，在工厂制造期间用于所述安全路由器装置10的初始化过程)应用程序，所述控制模块5可以使用空中下载技术，通过连接到所述第一I/O端口11的所述主通讯控制模块200将所述应用程序和所述环境设定资讯从数据源终端(未示出)载入到所述存储模块2中，并且通过所述主通讯控制模块200将所述身份验证数据、所述密码数据和所述密钥数据从所述数据源终端载入到所述身份验证模块4中。用于所述安全路由器装置10的操作系统和相关的管理设定也可以在初始化过程期间载入所述安全路由器装置10中。另外，当所述安全路由器装置10被重置时，或者响应于从所述I/O端口11-13其中一者接收并由所述控制模块5验证的更新指令，允许所述控制模块5更新所述环境设定资讯。

参见图1至3，说明了由所述安全路由器装置10执行安全路由的步骤。

当所述控制模块5通过所述开关模块3和为所述I/O端口11-13其中一者的来源端口接收输入讯息时(步骤S201)，所述控制模块5根据存储于所述设定区22的环境设定资讯、存储于所述状态区23的状态资讯，以及预定的冲突管理机制，决定是否执行与所述输入讯息有关的路由过程(步骤S202)。当所述控制模块5判定不执行与所述输入讯息有关的路由过程时，所述控制模块5控制所述开关模块3的切换操作以通过所述开关模块3将通用于忙碌状态和等待指令其中一者的忙碌响应传送至所述来源端口(步骤S203)，并且等待接收到来自所述来源端口且对应于所述忙碌响应的确认响应。当所述控制模块5判定执行与所述输入讯息有关的路由过程时，所述控制模块5执行与所述输入讯息有关的路由过程，并且流程进入步骤S204。具体地，在步骤S202中，当所述控制模块5根据所述优先权资讯判定出所述来源端口的优先权高于(当前)请求端口(其为所述I/O端口11-13其中的另一者)的优先级，并且根据所述预定冲突管理机制及所述I/O端口占用资讯判定出所述来源端口未被占用时，所述控制模块5确定执行与所述输入讯息有关的路由过程，暂停执行并暂存通过当前注册的通道执行的所有应用程序，并对应地更新所述状态资讯；当所述控制模块5根据所述优先权资讯判定出所述来源端口的优先权低于所述请求端口的优先权时，所述控制模块5确定不执行与所述输入讯息有关的路由过程；并且当所述控制模块5根据所述预定的冲突管理机制和所述I/O端口占用资讯判定出所述来源端口已被占用时，所述控制模块5确定不执行与所述输入讯息有关的路由过程。

下面的表1示例性地示出了应用程序识别符资讯和优先权资讯。

表1

根据表1，当所述输入讯息对应于NB-IoT协议时，适配对应于情况1的优先权资讯，并且所述主通讯控制模块200所连接的第一I/O端口11具有第一优先权(最高优先权)；当所述输入讯息对应于WiFi协议时，适配对应于情况2的优先权资讯，并且所述主通讯控制模块200所连接的第一I/O端口11具有第一优先权；并且当所述智能IoT设备是火警警报设备时，适配对应于情况3的优先权资讯，并且所述受控装置300(例如，火警警报器)所连接的第二I/O端口12具有第一优先权。

表2示例性地示出了所述状态信息，其包括通道旗标资讯(参见“旗标”栏)、应用程序执行信息(参见“AID”栏)、I/O端口占用资讯和通道状态资讯。所述通道旗标资讯指示出与所述第一I/O端口11(I/O端口1)有关并且分别标记为“当前通道”和“虚拟通道”(也就是说，信道0和1)的注册通道。所述应用程序执行资讯指示出对应于通过通道0和1执行的应用程序相对应的应用程序识别符(也就是说“AID001”和“AID003”)。所述I/O端口占用资讯指示出呼叫另一个应用程序的应用程序(参见“请求I/O”栏)，以及可用作请求端口(参见“请求I/O”栏)或输出端口(参见“输出I/O”栏)的I/O端口的占用条件，其中所述输出端口可以用于输出已执行应用程序的执行结果。所述通道状态资讯指示出通道0和1的状态，如“通道状态”栏中所示。请注意，“已注册/暂停”的状态表示该通道由当前正在执行的应用程序注册，但该通道暂时被暂停，“已注册/正在执行”的状态表示该通道已由当前正在执行的应用程序，该通道当前正用于执行应用程序。

表2

基于表1和2中所示的示例性条件，在所述输入讯息来自所述第二I/O端口12以呼叫应用程序“AID002”并且适配情况3的优先权资讯的第一种情况下，所述控制模块5确定在步骤S202中执行与所述输入讯息有关的路由过程，因为所述第二I/O端口12的优先权高于情况3下的第一I/O端口11的优先权，并且被所述输入讯息呼叫的应用程序“AID002”不同于当前执行的应用程序“AID001”和“AID003”，其不违反预定的冲突管理机制。在所述输入讯息来自所述第二I/O端口12以呼叫应用程序“AID001”并且适配情况3的优先权资讯的第二种情况下，所述控制模块5确定在步骤S202中不执行与所述输入讯息有关的路由过程，因为当前正在执行被所述输入讯息呼叫的应用程序“AID001”，这违反了预定的冲突管理机制(尽管根据优先信息，所述第二I/O端口12的优先权高于所述第一I/O端口11)。

在本实施例中，与所述输入讯息有关的路由过程包括以下步骤S204至S219。

在步骤S204中，所述控制模块5判定所述输入讯息是否包括多通道管理指令。在步骤S204中判定出所述输入讯息包括一个多通道管理指令时，所述控制模块5根据所述多通道管理指令打开对应于特定核心的特定通道，关闭对应于所述特定核心的其他通道，控制所述开关模块3的切换操作以通过所述开关模块3将通道管理结果传送至所述来源端口，并根据所述通道管理结果更新所述状态区23中存储的状态资讯(步骤S205)。然后，所述来源端口成为当前请求端口。

在上述第一种情况之后，当判定所述输入讯息包括多通道管理指令时，所述控制模块5将对应于表2的状态资讯更新为表3中所示的条件。

表3

在表3中，所述特定信道(也就是说，通道2)被打开，对应于相同如通道2的核心的其他通道(也就是说，通道0和通道1)被关闭，并且通道0,1和2分别被标记为“睡眠通道”、“虚拟通道1”和“当前通道”。

当步骤S204中做出的判定是否定时，流程进行到步骤S206，其中所述控制模块5判定所述输入讯息是否包括与生成所述输入讯息的待鉴权的用户装置有关的用户-装置鉴权指令。在进行判定前，如果所述输入讯息还包括密文(也就是说，加密讯息)，则可能需要使用所述加解密电路51在成功执行一个检查以确认密码未被篡改之后解密密文。在判定出所述输入讯息包括与生成所述输入讯息的待鉴权的用户装置有关的用户-装置鉴权指令时，所述控制模块5将(解密的)输入讯息传送至所述身份验证模块4，并与身份验证模块4合作，以根据所述身份验证数据、所述密码数据和所述输入消息，执行对应于所述用户-装置鉴权指令的验证程序(步骤S207)。在步骤S208中，所述控制模块5根据是否从所述身份验证模块4接收到成功的验证结果，判定对应于所述用户-装置鉴权指令的验证是否成功。当从所述身份验证模块接收到成功的验证结果，所述控制模块5控制所述开关模块3的切换操作，以将成功的验证结果传送到所述来源端口(步骤S209)。当在步骤S208中所述控制模块5从所述身份验证模块4接收到失败的验证结果(一个预定类型的不利事件)(也就是说，所述控制模块5判定出对应于所述用户-装置鉴权指令的验证不成功)时，流程进入步骤S216。

在步骤S206中确定所述输入讯息不包括与生成所述输入消息的待鉴权的用户装置有关的用户-装置鉴权指令时，流程进行到步骤S210，其中所述控制模块5判定是否所述输入讯息涉及应用程序(例如，Java小程序)指令和应用程序鉴权(例如，Java鉴权)指令其中一者。如果在步骤S210中作出的判定是肯定的，则所述控制模块5执行存储在所述程序区21中且对应于所述应用程序指令和所述应用程序鉴权指令其中一者的应用程序，并获取执行结果(步骤S211)。当在步骤S210中做出的判定为否定时(也就是说，所述控制模块5判定出所述输入讯息与应用程序指令或应用程序鉴权指令无关)，所述控制模块5确定所述输入讯息是错误指令(一个预定类型的不利事件)，流程进入步骤S216。

在步骤S212中，所述控制模块5判定在步骤S211中执行的应用程序是否包括与所述I/O端口11-13其中除所述来源端口以外的另一者有关的控制指令。在判定出在步骤S211中执行的应用程序包括与所述I/O端口11-13其中的另一者有关的控制指令时，所述控制模块5控制所述开关模块3的切换操作以通过所述开关模块3将所述控制指令传送到所述I/O端口11-13其中的该另一者，并更新存储在所述状态区21中的状态信息(例如，将所述I/O端口11-13其中的该另一者添加所述状态资讯中的“输出I/O”栏)(步骤S213)。例如，在所述智能IoT设备是智能空调设备并且所述输入讯息是从所述第一I/O端口11(来源端口)接收且与用于智能空调装置的空调器(所述受控装置300)的温度控制的应用程序(例如，Java小程序)有关的情况下，当所述控制模块5判定出所述应用程序(例如，Java小程序)包括与所述空调器的温度控制有关的控制指令时，所述控制模块5将所述控制指令传送到所述第二I/O端口(所述I/O端口其中的该另一者)，使得所述空调器根据从所述第二I/O端口12接收的控制指令执行与温度控制有关的操作。当所述控制模块5判定出所述输入讯息不包括与所述I/O端口11-13其中的该另一者有关的任何控制指令时，则流程进入步骤S214。

在步骤S214中，所述控制模块5判定在步骤S211中获取的执行结果是否包含错误讯息或异常讯息。在判定出执行结果不包含任何错误讯息或异常讯息时，所述控制模块5控制所述开关模块3的切换操作，以将对应于所述输入讯息的完成响应传送至所述来源端口，用于通知路由过程已经完成(步骤S215)，并等待从所述来源端口接收到对应于所述完成响应的确认响应。当所述控制模块5判定出执行结果包含错误讯息或异常讯息(一种预定类型的不利事件)时，流程进入步骤S216。

在步骤S216中，所述控制模块5的错误-异常处理电路52分析不利事件以获得分析结果，并将分析结果记录在特定的一个应用程序中(步骤S216)。

在步骤S217中，所述控制模块5判定不利事件的发生是否满足预定警告条件。当在步骤S217中作出的判定为否定时，所述控制模块5控制所述开关模块3的切换操作，以通过所述开关模块3将与不利事件有关的事件响应传送到所述来源端口(步骤S218)，用于通知发生不利事件，并等待从所述来源端口接收对应于所述事件响应的确认响应。所述预定警告条件可以是，例如，与相同类型的不利事件的累积发生次数有关的预定事件发生次数。在这种情况下，当不利事件的发生导致相同类型的不利事件的累积发生次数达到预定事件发生次数时，错误-异常处理电路52判定出预定不利事件的发生满足预定警告条件，但是本发明不限于此方面。例如，在其他实施例中，预定警告条件可以涉及所述I/O端口11-13未正常响应的次数，或者其他中断服务的发布次数(例如超时中断，忙绿中断等)。注意，所述错误-异常处理电路52可以包括人工智能或深度学习机制，其可以以电路的形式或通过执行软件程序来实现，以随时间学习和/或演变，从而收敛异常和/或攻击模式，但本发明不限于此方面。当在步骤S217中作出的判定为肯定时，所述控制模块5控制所述开关模块3的切换操作，以通过所述开关模块3选择性地将操作警告讯息传送到所述来源端口以及所述I/O端口11-13中的一个特定者(可以依照用户要求在对应的应用程序中预先定义)(步骤S219)。例如，当所述控制模块5确定将操作警告讯息传送到特定I/O端口时，可以通过电连接所述特定I/O端口的通讯模块(未示出)将所述操作警告讯息传送到管理服务器端和/或供应商服务器端。具体地，当不利事件由恶意攻击引起时，可以将所述操作警告讯息有效且及时地报告给智能IoT设备的管理员和/或供应商，以便随后处理这种情况。

在路由过程结束之后(例如，步骤S215，S218或S219)，所述控制模块5在所述状态资讯已被更新之后等待下一个输入讯息(如果需要，如步骤S205和S213)。

应当注意，在其他实施例中，所述错误-异常处理电路52可以由软件程序代替，该软件程序可以由所述控制模块5执行以执行相同的功能。

图4示出了第一实施例的变型，其与图1所示的第一实施例不同之处在于：所述错误-异常处理电路52(参见图1)被省略；所述安全路由系统100还包括错误-异常处理模块7，其功能类似于上述错误-异常处理电路52的功能，并且电连接第四I/O端口14，所述第四I/O端口14是所述MIMO单元1其中的一个I/O端口并且用作所述控制模块5和所述错误-异常处理模块7的报告端口。所述第四I/O端口14可以是GPIO端口，但是本发明不限于这样。因此，在此变型中，路由过程由所述安全路由器装置10和所述错误-异常处理模块7协同执行，并且如图3所示的路由过程的步骤S216-219可以如下所述改变。

在此变型中，当发生不利事件时，所述控制模块5控制所述开关模块3的切换操作，以通过所述切换模块3和所述报告端口将与不利事件有关的事件资讯传送到所述错误-异常处理模块7，使得所述错误-异常处理模块7能随后执行步骤S216以根据所述事件资讯分析不利事件，以获得分析结果并将其存储在例如特定应用程序中。在步骤S217中，所述错误-异常处理模块7执行所述特定应用程序以确定不利事件的发生是否满足预定警告条件以获得判定结果，并将所述判定结果传送到所述报告端口。当所述控制模块5接收到指示出不利事件的发生不满足所述预定警告条件的判定结果时，所述控制模块5执行步骤S218。当所述控制模块5接收到指示出不利事件的发生满足预定警告条件的判定结果时，所述控制模块5执行步骤S219。

图5示出了第一实施例的另一变型，其不同于图1所示的第一实施例之处在于所述安全路由器装置10还包括电连接在所述天线模块6和所述第三I/O端口13之间的近场通讯(NFC)模块8，并且用作所述安全路由器装置10的另一通讯装置。

图6示出了根据本发明的安全路由系统100的第二实施例。第二实施例类似于第一实施例，其不同之处在于：所述安全路由系统100还包括主通讯控制模块200，其中所述主通讯控制模块200可在安全服务模式和正常服务模式之间操作。所述正常服务模式和所述安全服务模式是所述主通讯控制模块200的不同/独立的服务实例。即使所述主通讯控制模块200在所述正常服务模式下受到攻击而使得在所述正常服务模式下提供的服务被中断或者在所述正常服务模式下无法提供必要的功能服务，所述安全服务模式的启动不会受到影响。在本实施例中，所述第一I/O端口11可以实现为内部总线，从而能更有效地集成所述安全路由器装置10和所述主通讯控制模块200。

当预定的异常情况发生时，所述控制模块5标记指示出所述主通讯控制模块200异常的通讯状况的旗标，并控制所述开关模块3的切换操作以通过重置端口将重置信号传送至所述主通讯控制模块200，其中所述重置端口是所述I/O端口中除了所述第一I/O端口11以外的一个I/O端口并且能连接到所述主通讯控制模块200(例如，第四I/O端口14，其可以是但不是限于GPIO端口)。在本实施例中，所述重置信号可以由包括在所述控制模块5中的重置电路产生，或者由所述控制模块5执行的重置信号产生程序产生。所述预定异常条件可以是：所述控制模块未接收到与所述控制模块5先前通过所述来源端口输出的通知响应(例如，忙碌响应、完成响应、事件响应)相关的确认响应的条件；或者，所述第一I/O端口11连续接收讯息(例如，恶意封包)的条件，其中讯息中包括的数据量超过所述路由系统100的处理上限(也就是说，超过所述路由系统100的处理能力)，或在预定的时间长度内超过预定量。

然后，所述主通讯控制模块200响应于其所接收的重置信号执行重置程序。当所述主通讯控制模块200正被重置时，所述主通讯控制模块200可以与所述安全路由器装置10通讯以使所述控制模块5执行相应的重置操作。在所述主通讯控制模块200完成所述重置程序的执行之后(也就是说，在所述控制模块5被重置之后)，当所述控制模块5判定出旗标仍然标记为异常时，所述控制模块5通过所述开关模块3将指示出异常通讯条件的通讯警告讯息传送到所述第一I/O端口11，使得所述主通讯控制模块200响应于其所接收的通讯警告讯息将其操作从当前操作的正常服务模式切换到安全服务模式。当所述主通讯控制模块200在所述安全服务模式下操作时，所述主通讯控制模块200仍然允许所述安全路由器装置10通过所述主通讯控制模块200与云管理端500进行有限的通讯，以使所述安全路由器装置10的当前状态资讯和所述云管理端500所需的特定资讯能提供给所述云管理端500，但是本发明不限于此方面。

在安全服务模式中(例如，所述主通讯控制模块200停止在正常服务模式中提供的除了与管理端的通讯以外的所有服务，以便向其提供重要/必要的讯息，例如用于故障排除目的)，所述主通讯控制模块200通过通讯网络400向所述云管理端500、用户端(未示出)或两者发送指示出所述主通讯控制模块200具有安全问题的安全通知。如果所述主通讯控制模块200仍具有正常的外部通讯能力，所述安全通知可以成功传送到所述云管理端500，并且响应于所述安全通知，所述云管理端500可以向所述主通讯控制模块200反馈安全通知响应讯息，其表示所述主通讯控制模块200的正常通讯。在收到所述安全通知响应讯息后，所述主通讯控制模块200将其操作从所述安全服务模式切换回所述正常服务模式，并将所述安全通知响应讯息传送到所述第一I/O端口11，以使所述控制模块5在通过所述第一I/O端口11接收到来自所述主通讯控模块200的安全通知响应消息时取消旗标的异常标记。通过上述操作，能确认所述主通讯控制模块200的正常通讯能力，并且能有效排除恶意攻击。在所述主通讯控制模块200的外部通讯能力由于例如所述主通讯控制模块200的WiFi模块(未示出)被损坏而导致安全通知不能成功地被传输到所述云管理端500而异常的情况下，当所述主通讯控制模块200从发送所述安全通知的时间起的预定时间期间内未接收到所述安全通知响应讯息时，所述主通讯控制模块200重复重置程序。当重复执行重置程序的次数已经达到预定的重置次数时，所述主通讯控制模块200可以例如与所述控制模块5通讯以使所述控制模块5通过所述开关模块3向电连接另一个I/O端口的通讯模块(未示出)发送异常通讯讯息。然后，所述通讯模块可以通过另一个通讯网络(未示出)将异常通讯讯息发送到所述云管理端500，但是本发明不限于此方面。

图7示出了第二实施例的变型，其与图6所示的实施例不同之处在于：所述安全路由系统100还包括重置模块9，所述重置模块9电连接在所述重置端口(所述第四I/O端口14)和所述主通讯控制模块200之间，并且所述重置模块9响应于接收到的驱动信号产生所述重置信号，并将所述重置信号传送到所述主通讯控制模块200，以使所述主通讯控制模块200响应于接收到的重置信号执行重置程序；并且所述控制模块5配置来在预定的异常情况发生时产生所述驱动信号，并控制所述开关模块3的切换操作，以通过所述开关模块3和所述重置端口将所述驱动信号传送至所述重置模块9。

图8示出了根据本发明的安全路由系统100的第三实施例，其类似于第一实施例。在第三实施例中，所述智能IoT设备被实现为网络摄像机设备，并且所述受控装置300包括网络摄像模块302和串流加密模块301。

在本实施例中，所述安全路由系统100还包括所述主通讯控制模块200，并且所述主通讯控制模块200所支持的通讯协议还包括用于外部通讯的串流协议，所述串流协议相关于串流服务。存储在所述身份验证模块4中的密钥数据还包括用于串流加密的多个串流加密密钥，以及用于串流解密的多个串流解密密钥。所述串流解密密钥分别对应于所述串流加密密钥。

在使用时，在从远程用户端600接收到分散密钥的请求时，所述主通讯控制模块200将分散密钥的请求传送到所述第一I/O端口11。在这种情况下，分散密钥的请求用作输入讯息，并且所述第一I/O端口11作为来源端口。然后，所述控制模块5可以在步骤S210判定出通过所述开关模块3和所述第一I/O端口11接收的分散密钥的请求与应用程序鉴权(例如，Java鉴权)指令有关(参见图2)，并在步骤S211中执行所述应用程序其中一个对应于所述应用程序鉴权(例如，Java鉴权)指令的应用程序(参见图2)。在步骤S211中，所述控制模块5与所述身份验证模块4通讯，以使所述身份验证模块4在成功验证所述远程用户端600的身份后，提供一个或多个串流加密密钥和一个或多个对应所述一个或多个串流加密密钥的串流解密密钥以用作执行结果。然后，所述控制模块5控制所述开关模块3的切换操作，以通过所述第二I/O端口12将所述一个或多个串流加密密钥传送到所述受控装置300，使得所述串流加密模块301使用所述一个或多个串流加密密钥来加密由所述网络摄像模块302捕获的串流数据，并通过另一个传输路径303(例如，但不限于，直接连接在所述受控装置300和所述主通讯控制模块200之间的实体电线/电缆)将加密的串流数据传送到所述主通讯控制模块200。所述控制模块5还使用特定加密方法加密所述一个或多个串流解密密钥以获得例如密文，并通过所述第一I/O端口11将所述密文(也就是说，加密的一个或多个串流解密密钥)传送到所述主通讯控制模块200。所述密文用作完成响应。

然后，所述主通讯控制模块200通过向所述远程用户端600传送从所述第一I/O端口11接收的密文和从所述受控装置300接收的加密的串流数据来完成串流服务。于是，所述远程用户端600能使用对应于所述控制模块5使用的特定加密方法的特定解密方法来解密从所述主通讯控制模块200接收的密文(也就是说，加密的一个或多个串流解密密钥)以获取所述一个或多个串流解密密钥，并使用所述一个或多个串流解密密钥来解密从所述主通讯控制200接收的加密串流数据。结果，所述远程用户端600可以使用串流媒体播放器(未示出)再生串流数据，用户因此能观看由所述网络摄像模块302捕获的影像/视频。在这种配置中，即使具有开源系统架构的所述主通讯控制模块200具有安全缺陷，所述安全路由系统100仍然能确保用于串流数据的通讯以及加密/解密的密钥的安全性，从而避免了隐私问题并防止服务丢失密钥。

总之，由于所述安全路由器装置10具有符合开放规范的虚拟机架构，并且在硬件和软件方面符合等于或超过EAL 4的级别的通用规范标准，因此所述安全路由器装置10能用作所述主通讯控制模块200和所述受控装置300之间的硬件防火墙，并且能在可靠的安全性的基础上提供应用程序开发的通用性，而不受所述主通讯控制模块200和所述受控装置300的不同硬件架构或性能的限制，从而可广泛应用于各种智能IoT设备。另外，所述安全路由器装置10使用身份验证数据，密码数据，密钥数据和/或相关应用程序的执行来执行与输入讯息有关的安全性识别和/或用于控制所述受控装置300的指令的转换和传输，其中可以通过OTA下载更新所述应用程序和所述密钥数据，从而降低更新的成本。此外，所述安全路由系统100可以有效地检测和收集所述主通讯控制模块200或所述受控装置300可能导致其受到攻击的异常情况，并且及时向管理端和/或供应商端发出警告讯息。

在上面的描述中，出于解释的目的，已经阐述了许多具体细节以便提供对实施例的透彻理解。然而，对于本领域技术人员显而易见的是，可以在没有这些具体细节中的一些的情况下实践一个或多个其他实施例。还应当理解，在整个说明书中对“一个实施例”，“实施例”，具有序数的指示等的实施例的引用意味着特定的特征、结构或特性可以包括在本发明的实践中。应当进一步理解，在说明书中，为了简化本发明并帮助理解各种发明方面，各种特征有时在单个实施例，附图或其描述中组合在一起。

虽然已经结合被认为是示例性实施例的内容描述了本发明，但是应该理解，本发明不限于所公开的实施例，而是旨在涵盖包括在精神内的各种布置和最广泛的解释范围，以包含所有这些修改和等同安排。

Claims (11)

1.一种适用于IoT设备的路由器装置，其特征在于，所述路由器装置包含：

控制模块，所述控制模块根据环境设定资讯、状态资讯，以及预定冲突管理机制，决定是否执行与输入讯息有关的路由过程，

当所述控制模块根据优先权资讯判定出来源端口的优先权高于其他请求端口的优先级，并且根据预定冲突管理机制及I/O端口占用资讯判定出来源端口未被占用时，所述控制模块确定执行与输入讯息有关的路由过程。

2.根据权利要求1所述的路由器装置，其特征在于，当所述控制模块决定不执行与输入讯息有关的路由过程时，所述控制模块控制开关模块的切换操作，以便通过开关模块将通知忙碌状态及等待指令其中一者的忙碌响应传送至来源端口；及

当所述控制模块决定要执行与输入讯息有关的路由过程时，所述控制模块执行与输入讯息有关的路由过程。

3.根据权利要求1或2所述的路由器装置，其特征在于，当所述控制模块根据优先权资讯判定出来源端口的优先权低于请求端口的优先权时，所述控制模块决定不执行与输入讯息有关的路由过程；及

当所述控制模块根据预定冲突管理机制及I/O端口占用资讯判定出来源端口已被占用时，所述控制模块决定不执行与输入讯息有关的路由过程。

4.一种适用于IoT设备的路由器装置，其特征在于，所述路由器装置包含：

控制模块，所述控制模块控制开关模块的切换操作，以通过第二I/O端口将一个或多个串流加密密钥传送到受控装置，使得串流加密模块使用一个或多个串流加密密钥来加密由网络摄像模块捕获的串流数据，并通过另一个传输路径将加密的串流数据传送到主通讯控制模块。

5.根据权利要求4所述的路由器装置，其特征在于，控制模块在判定出对应于应用程序指令及应用程序鉴权指令其中一个指令的应用程序的其中一个程序包含与I/O端口中的另一个I/O端口有关的控制指令时，控制开关模块的切换操作，以通过开关模块将控制指令传送至另一个I/O端口，并更新状态区所存储的状态资讯的操作，及

在判定出执行结果不含任何错误讯息或异常讯息时，控制开关模块的切换操作，以将对应于输入讯息的完成响应传送至来源端口，用于通知路由过程已完成的操作。

6.根据权利要求4或5所述的路由器装置，其特征在于，状态资讯包含：

通道旗标资讯，其指示出当前已由I/O端口其中一个请求端口注册的通道注册情况；

应用程序执行资讯，其指示出对应于当前通过当前注册的通道执行的应用程序的所述应用程序识别符；

I/O端口占用资讯，其指示出I/O端口的占用情况；及

通道状态资讯，其指示出当前注册的通道的状态。

7.根据权利要求4～6任一项所述的路由器装置，其特征在于，当所述控制模块判定出通过开关模块及第一I/O端口接收到的分散密钥请求与应用程序鉴权指令有关且执行对应于应用程序鉴权指令的应用程序其中之一时，所述控制模块与身份验证模块通讯以使身份验证模块提供至少一个串流加密密钥及对应于至少一个串流加密密钥的至少一个串流解密密钥，以作为执行结果。

8.一种适用于IoT设备的路由器装置，其特征在于，所述路由器装置包含：

控制模块，所述控制模块通过第一I/O端口收到主通讯模块加密受控装置数据需求后，通过第二I/O端口将一个或多个加密密钥传送到受控装置，使得受控装置加密后的数据对于主通讯模块都是密文。

9.根据权利要求1～8任一项所述的路由器装置，其特征在于，所述路由器装置具有虚拟机架构，应用程序指令为小程序指令，且应用程序鉴权指令为小程序鉴权指令；

所述路由器装置在硬体及软体方面符合等于或高于评估保证等级4EAL4的级别的通用准则CC标准；及

其中虚拟机架构符合全球平台GlobalPlatform GP标准。

10.根据权利要求1～9任一项所述的路由器装置，其特征在于，所述控制模块和所述开关模块能够通过硬件、软件或其组合集成为单核心单元或多核心单元。

11.一种适用于IoT设备的多通道指令执行方法，其包括：

控制模块在判定出输入讯息包含多通道管理指令时，

根据所述多通道管理指令打开对应于特定核心的特定通道；

关闭对应于所述特定核心的其他通道；

并根据通道管理结果更新状态区所存储的状态资讯；

其特征在于，

在判定出所述输入讯息包含与生成所述输入讯息的待鉴权的用户装置有关的用户-装置鉴权指令时，将所述输入讯息传送至身份验证模块，与身份验证模块合作来根据身份验证数据、密码数据及所述输入讯息执行对应于所述用户-装置鉴权指令的验证程序。

Images