CN115103350A

CN115103350A - 一种基于5g+云边端协同的物联网终端认证方法及系统

Info

Publication number: CN115103350A
Application number: CN202210570582.1A
Authority: CN
Inventors: 赵刚; 胡卫国; 黄舒泉
Original assignee: Zhejiang 99Cloud Information Service Co Ltd
Current assignee: Zhejiang 99Cloud Information Service Co Ltd
Priority date: 2022-05-24
Filing date: 2022-05-24
Publication date: 2022-09-23

Abstract

本发明提供的一种基于5G+云边端协同的物联网终端认证方法及系统，方法包括：通过物联网终端进行首次认证；所述物联网终端按照设定的周期进行周期性认证，获得周期认证结果；根据所述周期认证结果进行数据安全认证。实现了对物联网终端数据的自动采集以及远程控制，同时实现物联网终端的安全接入认证，也实现了终端在使用过程中的安全保护，在被恶意篡改或者黑客控制时能够及时的发现，进行处置，避免了造成更大的危害以及损失。

Description

一种基于5G+云边端协同的物联网终端认证方法及系统

技术领域

本发明涉及物联网领域，尤其涉及一种基于5G+云边端协同的物联网终端认证方法。

背景技术

物联网终端绝大部分都属于弱计算终端，本身的防病毒和防攻击能力比较弱，而又由于厂家众多，设计水平良莠不齐，为了维护方便，经常还会备留系统后门，极易成为黑客攻击和利用的目标。物联网终端数量巨大，一旦被黑客控制，对网络安全影像非常巨大，近几年已经发生多起黑客利用物联网终端对网络进行攻击的恶劣事件。

现有技术中也有采用电子证书或者电子串号实现对物联网终端的认证，但是这种方式只能保证终端接入合法性，并不能保障物联网终端的安全性。

发明内容

鉴于上述问题，提出了本发明以便提供克服上述问题或者至少部分地解决上述问题的一种基于5G+云边端协同的物联网终端认证方法。

根据本发明的一个方面，提供了一种基于5G+云边端协同的物联网终端认证方法包括：

通过物联网终端进行首次认证；

所述物联网终端按照设定的周期进行周期性认证，获得周期认证结果；

根据所述周期认证结果进行数据安全认证。

可选的，所述通过物联网终端进行首次认证具体包括：

物联网终端安装开通后，通过5G网络发送电子编号给区域平台；

所述区域平台接收到所述电子编号，通过MEP得到MSISDN和 CellID；

所述区域平台查询本地数据库，无信息，将电子编号和MSISDN、 CellID发送到中心平台；

所述中心平台接收到数据，通过所述本地数据库的电子编号和 MSISDN进行首次认证，获得首次认证结果；

将所述首次认证结果发送给所述区域平台，如果是通过，将具体地址以及数据包特性发送给所述区域平台，同时将CellID更新到所述本地数据库；

所述区域平台接收到所述首次认证结果，如果为不通过，远程关闭终端，并发告警信息给管理员，如果为通过，更新所述本地数据库，并将结果反馈给终端。

可选的，所述物联网终端按照设定的周期进行周期性认证，获得周期认证结果具体包括：

物联网终端按照设定的周期或接收到平台的指令，将电子编号通过5G网络发送到区域平台；

区域平台通过MEP，接收MSISDN和CellID；

区域平台查询本地数据库，进行电子编号和MSISDN、CellID的对比；

如果不同，发送指令远程关闭终端，并发送告警信息到中央平台；如果相同，认证通过。

可选的，所述根据所述周期认证结果进行数据安全认证具体包括：

物联网终端根据配置周期性的或者根据接收到的平台的指令，将当前的数据通过5G网络进行回传；

所述区域平台通过MEP接收MSISDN和CellID；

所述区域平台接入认证，对比电子编号，MSISDN和CellID；

在通过认证之后，所述区域平台对数据包进行解析，同时和本地数据库中数据包特性进行对比，如果不同，判断终端有被控制风险，发送指令远程关闭终端，并进行系统升级，同时发送告警信息到中央平台；如果相同，判断数据安全，将数据存档，并发送到中央平台进行最终的计费处理。

本发明还提供了一种基于5G+云边端协同的物联网终端认证系统，应用上述所述的基于5G+云边端协同的物联网终端认证方法，所述认证系统包括：5G物联网终端、区域认证和管理平台、中心认证和管理平台；

所述5G物联网终端，用于当物联网终端完成部署和激活之后，会通过5G网络将本身的电子编号进行上传，以完成首次认证。在使用过程中，物联网终端按照事前设定的周期将电子编号进行上传，以完成周期性认证；

所述区域认证和管理平台与所述5G物联网终端连接，用于将周期认证结果按照提前设定的周期或者在接收到管理平台的命令之后，将数据通过5G网络回传到区域认证和管理平台；

所述中心认证管理平台与所述区域认证和管理平台连接，负责本市范围的物联网终端的管理系统。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的一种基于5G+云边端协同的物联网终端认证系统的网络连接图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明的说明书实施例和权利要求书及附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元。

下面结合附图和实施例，对本发明的技术方案做进一步的详细描述。

如图1所示，本发明提出一种基于5G+云边端协同的物联网终端认证方法，尤其是针对没有移动性要求的物联网终端，实现了物联网终端在接入系统时的首次认证和周期性认证，同时提供了物联网终端在使用过程中的业务安全性保证。

本发明所提出的系统和方法包括了5G网络、5G物联网终端、区域认证和管理平台、中心认证和管理平台。

5G网络为运行商的5G公网，共用5G公网的无线接入设备和传输设备，同时在区域UPF侧，部署MEP设备，区域认证和管理系统部署在MEP之上。5G系统为物联网业务分配不同的专用DNN，UPF 通过DNN识别不同的物联网业务，同时将业务数据分流到部署在 MEP上的区域认证和管理平台。MEP和区域认证和管理平台通过开放的接口传输数据，除了物联网终端的业务数据，还包括平台需要的 5G网络参数，如物联网终端SIM卡的号码MSISDN以及位置参数 CellID。

5G物联网终端，包括5G传输模组的物联网终端。当物联网终端完成部署和激活之后，会通过5G网络将本身的电子编号进行上传，以完成首次认证。在使用过程中，物联网终端按照事前设定的周期将电子编号进行上传，以完成周期性认证。同时物联网终端还需要按照提前设定的周期或者在接收到管理平台的命令之后，将数据通过5G 网络回传到区域认证和管理平台，另外还需要支持区域认证和管理平台的远程管理命令。

区域认证和管理平台，指的是管理一个固定区域内物联网终端的系统，部署在UPF侧的MEP之上。

平台的第一个功能是区域内物联网终端的认证接入工作，认证包括两种，一种是首次认证，一种是周期性认证。当物联网终端完成安装部署和激活之后，会进行首次认证，通过5G网络将电子编号进行上传，区域认证和管理平台在收到电子编号之后，进行本地数据库搜索，如果没有该信息，确认为首次认证，通过MEP获得该物联网终端的SIM卡MSISDN以及所在的CellID，将这三个数据传送到中心认证和管理平台进行首次认证，如果认证不通过，拒绝掉本次认证，如果认证通过，将该物联网终端的信息(电子编号，MSISDN，CellID，具体地址)存储在本地数据库。周期性认证是指物联网终端按照设定好的周期或者根据平台的命令进行认证，将电子编号上传，区域认证和管理平台在收到电子编号之后，通过MEP获得该终端的MSISDN 以及CellID，并将这三个数据与本地存储数据进行比较，如果相同，通过认证，如果不同，拒绝认证，并将信息通知中心认证和管理平台，同时发送指令暂时关闭物联网终端业务，等待管理员现场确认，或直接通过5G网络对物联网终端进行系统重置、升级。

平台的第二个功能是对物联网终端的数据进行安全保障。在物联网终端完成首次认证之后，区域认证和管理平台从中心认证和管理平台接收到该终端的业务特征数据，包括数据包的类型，目的IP地址，数据包长，也可根据设定，对终端发送的数据包进行机器学习，判定终端标准的业务特征，并进行存储。

当区域认证和管理平台在接收到物联网终端发送的业务数据包时，会进行包解析，与业务特征进行对比，如果相同，确认数据包未被篡改，将数据结果进行记录并抄送中心认证和管理平台，如果不相同，说明数据包有可能被篡改或终端存在被控制的风险，将告警发送到中心平台，同时发送指令，暂时远程关闭物联网终端，等待管理员现场确认，或通过5G网络对物联网终端进行重置、升级。

区域认证和管理平台部署在MEP之上，可以通过MEP获得物联网终端SIM卡的MSISDN和CellID。

区域认证和管理平台能够远程发送命令控制物联网终端。

区域认证和管理平台能够和中心认证和管理平台互通，实现认证数据的共享以及告警信息、业务数据的传送。

中心认证和管理平台，负责本市或更大范围的物联网终端的管理系统，部署在私有云或公有云。

中心认证和管理平台，存储范围内所有物联网终端的初始认证数据(电子编号，MSISDN，具体地址)以及数据包的特征数据(数据包的类型，目的IP地址，数据包长)。

在接收到区域平台的首次认证请求之后，进行首次认证，对比电子编号和MSISDN，将认证结果和数据包的特征数据发送到区域平台，并将物联网终端的CellID更新到本地数据库。

接收区域平台发送的物联网终端业务数据。

接收区域平台发送的告警信息，并通知管理员进行实地处理，并完成后续的处理，如更换终端或对终端进行固件升级等工作。

首次认证包括：物联网终端安装开通后，通过5G网络发送电子编号给区域平台；

区域平台接收到电子编号，通过MEP得到MSISDN和CellID；

区域平台查询本地数据库，无信息，将电子编号和MSISDN、 CellID发送到中心平台；

中心平台接收到数据，通过本地数据库的电子编号和MSISDN 进行首次认证；

将认证结果发送给区域平台，如果是通过，将具体地址以及数据包特性发送给区域平台，同时将CellID更新到本地数据库；

区域平台接收到认证结果，如果为不通过，远程关闭终端，并发告警信息给管理员，如果为通过，更新本地数据库，并将结果反馈给终端。

周期性认证包括：物联网终端按照设定的周期或接收到平台的指令，将电子编号通过5G网络发送到区域平台；

区域平台通过MEP，接收MSISDN和CellID；

数据安全认证包括：物联网终端根据配置周期性的或者根据接收到的平台的指令，将当前的数据通过5G网络进行回传；

区域平台通过MEP接收MSISDN和CellID；

区域平台接入认证，对比电子编号，MSISDN和CellID；

在通过认证之后，区域平台对数据包进行解析，同时和本地数据库中数据包特性进行对比，如果不同，判断终端有被控制风险，发送指令远程关闭终端或进行系统升级，同时发送告警信息到中央平台；如果相同，判断数据安全，将数据存档，并发送到中央平台进行最终的计费处理。

有益效果：实现了对物联网终端数据的自动采集以及远程控制，同时实现物联网终端的安全接入认证，也实现了终端在使用过程中的安全保护，在被恶意篡改或者黑客控制时能够及时的发现，进行处置，避免了造成更大的危害以及损失。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于5G+云边端协同的物联网终端认证方法，其特征在于，所述认证方法包括：

通过物联网终端进行首次认证；

根据所述周期认证结果进行数据安全认证。

2.根据权利要求1所述的一种基于5G+云边端协同的物联网终端认证方法，其特征在于，所述通过物联网终端进行首次认证具体包括：

所述区域平台接收到所述电子编号，通过MEP得到MSISDN和CellID；

所述区域平台查询本地数据库，无信息，将电子编号和MSISDN、CellID发送到中心平台；

所述中心平台接收到数据，通过所述本地数据库的电子编号和MSISDN进行首次认证，获得首次认证结果；

3.根据权利要求1所述的一种基于5G+云边端协同的物联网终端认证方法，其特征在于，所述物联网终端按照设定的周期进行周期性认证，获得周期认证结果具体包括：

区域平台通过MEP，接收MSISDN和CellID；

区域平台查询本地数据库，进行电子编号和MSISDN、CellID的对比；如果不同，发送指令远程关闭终端，并发送告警信息到中央平台；如果相同，认证通过。

4.根据权利要求1所述的一种基于5G+云边端协同的物联网终端认证方法，其特征在于，所述根据所述周期认证结果进行数据安全认证具体包括：

所述区域平台通过MEP接收MSISDN和CellID；

所述区域平台接入认证，对比电子编号，MSISDN和CellID；

5.一种基于5G+云边端协同的物联网终端认证系统，应用上述权利要求1-4任意一项所述的基于5G+云边端协同的物联网终端认证方法，其特征在于，所述认证系统包括：5G物联网终端、区域认证和管理平台、中心认证和管理平台；