CN115549932B - 一种面向海量异构物联网终端的安全接入系统及接入方法 - Google Patents
一种面向海量异构物联网终端的安全接入系统及接入方法 Download PDFInfo
- Publication number
- CN115549932B CN115549932B CN202211553346.5A CN202211553346A CN115549932B CN 115549932 B CN115549932 B CN 115549932B CN 202211553346 A CN202211553346 A CN 202211553346A CN 115549932 B CN115549932 B CN 115549932B
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- unified
- internet
- security
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 16
- 230000006854 communication Effects 0.000 claims description 97
- 238000004891 communication Methods 0.000 claims description 96
- 230000005540 biological transmission Effects 0.000 claims description 21
- 238000012544 monitoring process Methods 0.000 claims description 21
- 230000002159 abnormal effect Effects 0.000 claims description 12
- 238000012795 verification Methods 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 9
- 231100000279 safety data Toxicity 0.000 claims description 8
- 238000013507 mapping Methods 0.000 claims description 7
- 238000012790 confirmation Methods 0.000 claims description 6
- 230000006855 networking Effects 0.000 claims description 5
- 239000002131 composite material Substances 0.000 claims description 3
- 238000011084 recovery Methods 0.000 claims description 3
- 238000013461 design Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Abstract
本发明涉及一种面向海量异构物联网终端的安全接入系统,包括部署于内网边界的物联网安全接入网关、以及部署于内网中彼此相通信的统一认证系统与统一密钥管理系统,并且物联网安全接入网关包括物理主机、设于物理主机上的统一调度与管理模块和硬件密码模块、以及物理主机上所虚拟化分别与各终端设备一一对应的虚拟化安全接入服务模块,如此结合设计接入方法,根据各类物联网应用场景下终端设备的资源特性、网络的通信特点、以及应用场景的安全防护需求,弹性调整虚拟安全接入服务的性能,从而实现密码计算资源的集约利用、动态伸缩,针对性地实现各终端设备的安全接入机制,更加高效、灵活,能够覆盖更多的物联网应用场景。
Description
技术领域
本发明涉及一种面向海量异构物联网终端的安全接入系统及接入方法,属于物联网终端接入技术领域。
背景技术
随着物联网与各行业的深度融合,越来越多的智能传感器、智能表计、视频终端、移动巡检终端、无人机、机器人等异构物联网终端通过2/3/4/5G移动通信网络、无线网络、北斗卫星网络等各类公共网络接入企业内网,带来了更为复杂的安全风险:
(1) 数量巨大且物理位置分散,很多设备均处在户外,无人值守,难于统一管理,容易遭受物理攻击、篡改和仿冒,存在违规接入的风险;
(2) 普遍存在弱口令、维护后门、漏洞和大量开放端口等安全风险,容易被恶意代码感染形成僵尸主机,进而构成僵尸网络;
(3) 采用明文通信或加密强度较低的加密算法进行通信保护,通信过程易发生劫持、重放、篡改和窃听等中间人攻击。
一旦这些终端被入侵利用,将成为新型高容量分布式拒绝服务攻击源,给内网带来极大的安全威胁。
针对上述问题,如图1所示,现有的解决方案通过在企业内网边界部署多台VPN安全接入网关,采用SSL VPN或IPSec VPN技术,对终端进行基于数字证书的身份认证和安全状态检查,对通信进行基于国密算法的加密和认证保护,不同类型的终端分别接入到不同的安全接入网关,实现安全接入。
现有技术在一定程度上解决了海量异构终端的安全接入问题,但是仍存在如下不足:
(1)需要部署多台网关实现不同类型终端的接入,终端接入量较小的网关存在资源浪费,而接入量大的网关需要增加成本进行扩容,不能实现网关资源的按需分配、灵活调度、灵活扩展;
(2)只支持SSL VPN或IPSec VPN,虽然能实现终端的安全接入,但是密钥协商和身份认证流程复杂,需要交互大量数据包,既需要占用较多的终端计算资源,通信效率也较低,对于表计等资源受限终端无法直接应用。
发明内容
本发明所要解决的技术问题是提供一种面向海量异构物联网终端的安全接入系统,基于物理主机上的虚拟化服务技术,结合内网认证、安全技术,能够高效实现多异构物联网终端向内网的安全接入。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种面向海量异构物联网终端的安全接入系统,用于实现指定各通信协议下各终端设备分别与内网中相应物联网应用之间的安全通信,包括部署于内网边界的物联网安全接入网关、以及部署于内网中彼此相通信的统一认证系统与统一密钥管理系统;物联网安全接入网关包括物理主机、设于物理主机上的统一调度与管理模块和硬件密码模块、以及物理主机上所虚拟化分别与各终端设备一一对应的虚拟化安全接入服务模块,统一调度与管理模块分别与硬件密码模块、以及各虚拟化安全接入服务模块相连接;物联网安全接入网关与内网中的统一认证系统、各物联网应用相通信;
各终端设备分别在统一调度与管理模块的调度下、基于其所对应通信协议连接物联网安全接入网关中相对应的虚拟化安全接入服务模块,并基于各虚拟化安全接入服务模块分别与统一认证系统相通信,结合统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与管理功能,由统一认证系统实现对各终端设备的身份认证;
基于硬件密码模块为统一调度与管理模块提供关于数据传输的安全操作与管理功能,由统一调度与管理模块针对各终端设备经所连虚拟化安全接入服务模块传输的数据进行安全操作,实现各虚拟化安全接入服务模块分别关于其所连终端设备所对应通信协议下安全数据传输通道的建立,进而基于各虚拟化安全接入服务模块分别与内网中相应物联网应用之间的通信,由各虚拟化安全接入服务模块分别为其所连终端设备与内网中相应物联网应用之间提供数据转发,实现各终端设备分别与内网中相应物联网应用之间的安全通信。
作为本发明的一种优选技术方案:还包括部署于内网中的统一安全管理和态势感知系统,基于各虚拟化安全接入服务模块分别与统一安全管理和态势感知系统相通信,由统一安全管理和态势感知系统采集各终端设备的运行状态、以及各虚拟化安全接入服务模块的运行状态,执行状态分析与异状态检测,并结合预设终端设备状态与接入权限间的映射关系,调整各终端设备的接入权限,实现对各终端设备的安全状态监测。
作为本发明的一种优选技术方案:所述统一安全管理和态势感知系统采集各终端设备的运行状态、以及各虚拟化安全接入服务模块的运行状态中,运行状态包括运行状态数据、运行日志数据、网络安全日志数据、以及网络流量数据,所述状态分析与异状态检测包括状态监控、威胁状态识别、异常状态分析、以及实时告警。
作为本发明的一种优选技术方案:所述统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与管理功能,包括密钥生成、密钥存储、密钥归档、密钥管理、密钥查询、密钥恢复、密钥统计;所述硬件密码模块为统一调度与管理模块提供关于数据传输的安全操作与管理功能,包括密钥生成、数据加解密、HASH运算、签名、验证签名、以及为密钥、数字证书提供安全存储。
作为本发明的一种优选技术方案:所述内网中的统一认证系统、统一密钥管理系统、统一安全管理和态势感知系统位于同一局域网中,内网中的各物联网应用与统一认证系统、统一密钥管理系统、统一安全管理和态势感知系统位于不同的局域网中。
与上述相对应,本发明还要解决的技术问题是提供一种基于面向海量异构物联网终端的安全接入系统的接入方法,采用全新设计逻辑,基于不同通信协议策略,高效实现各终端设备分向内网的安全接入。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种基于面向海量异构物联网终端的安全接入系统的接入方法,基于指定各通信协议包括轻量级安全通信协议、以及各其他安全通信协议,则接入方法包括如下步骤:
步骤A. 基于各通信协议下各终端设备分别与物联网安全接入网关之间的网络连接,由各终端设备向物联网安全接入网关中统一调度与管理模块发送接入请求,并进入步骤B;
步骤B. 统一调度与管理模块根据来自各终端设备的接入请求,结合各终端设备分别所对应的通信协议,若通信协议为轻量级安全通信协议,则由统一调度与管理模块调度轻量级安全通信协议下终端设备基于其通信协议接入物联网安全接入网关中相对应的虚拟化安全接入服务模块,并进入步骤C;若通信协议为其他安全通信协议,则进入步骤G;
步骤C. 基于统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与管理功能,由统一认证系统针对基于虚拟化安全接入服务模块所接入的终端设备分别进行身份认证,身份认证失败则表示对应终端设备接入失败,断开该终端设备;身份认证成功,则进入步骤D;
步骤D. 由统一安全管理和态势感知系统采集经身份认证成功的终端设备的运行状态,执行状态分析与异状态检测实现安全状态监测,若安全状态监测成功,则结合预设终端设备状态与接入权限间的映射关系,更新终端设备的接入权限,并进入步骤E;若安全状态监测未通过,则表示对应终端设备接入失败,断开该终端设备;
步骤E. 基于硬件密码模块为统一调度与管理模块提供关于数据传输的安全操作与管理功能,由统一调度与管理模块实现虚拟化安全接入服务模块关于其所连终端设备所对应通信协议下安全数据传输通道的建立,然后进入步骤F;
步骤F. 由虚拟化安全接入服务模块为其所连终端设备与内网中相应物联网应用之间提供数据转发,实现终端设备与内网中相应物联网应用之间的安全通信;
步骤G. 基于统一认证系统对终端设备实现身份认证、统一安全管理和态势感知系统对终端设备实现安全状态监测、统一调度与管理模块实现虚拟化安全接入服务模块关于安全数据传输通道建立、以及虚拟化安全接入服务模块提供数据转发,由统一调度与管理模块调度其他安全通信协议下终端设备按其安全通信协议接入物联网安全接入网关中相对应的虚拟化安全接入服务模块,实现终端设备与内网中相应物联网应用之间的安全通信。
作为本发明的一种优选技术方案:按如下步骤i至步骤vii,实现所述步骤C至步骤F关于轻量级安全通信协议下终端设备与内网中相应物联网应用之间的安全通信;
步骤i. 轻量级安全通信协议下终端设备针对标识IDT,结合终端设备的随机网络序列号SN0,使用哈希算法H生成散列值H(SN0,IDT),并应用终端设备的私钥Dt对散列值进行签名运算EDt,生成签名值EDt(H(SN0,IDT)),然后将SN0||IDT||EDt(H(SN0,IDT))发送给物联网安全接入网关,请求身份认证,并进入步骤ii;
步骤ii. 物联网安全接入网关将来自终端设备的标识IDT和签名信息EDt(H(SN0,IDT))发送给统一认证系统,由统一认证系统根据终端设备公钥Pt,验证终端设备签名信息,将解密后的IDT与终端发送的IDT比较,若两者一致,则验证通过,由物联网安全接入网关中统一调度与管理模块调用硬件密码模块所生成的随机数Rs,并用终端设备的公钥Pt加密Rs得到EPt(Rs),连同网络序列号SN1和经网关私钥Dg签名的信息EDg(H( SN1,EPt(Rs)))发送给终端设备,并进入步骤iii;若两者不一致,则验证不通过,由物联网安全接入网关将验证结果F、网络序列号SN1和签名信息EDg(H( SN1,F))反馈给终端设备,并断开终端设备的网络连接;
步骤iii. 终端设备进行自身安全检查,若自身安全检查通过,则由物联网安全接入网关中统一调度与管理模块调用硬件密码模块所生成的随机数Rt,连同终端设备安全状态信息ST,使用物联网安全接入网关的公钥Pg加密EPg(Rt,ST)后,连同网络序列号SN2和签名信息EDt(H(EPg(Rt,ST)))发送给物联网安全接入网关,请求进行远程验证,并进入步骤iv;
步骤iv. 物联网安全接入网关将终端设备安全状态信息ST发送给统一安全管理和态势感知系统,执行终端设备的安全状态监测,若验证通过,则将验证结果F、网络序列号SN3和两者散列后的签名信息EPt(H(EDg(SN3,F)))返回给终端设备,并进入步骤v;若验证不通过,则将验证结果F、网络序列号SN3和两者散列后的签名信息EPt(H(EDg(SN3,F)))返回给终端设备,并断开终端设备的网络连接;
步骤v. 终端设备针对Rs和Rt的合成会话密钥Rs∧Rt进行哈希运算,生成哈希值H(Rt∧Rs),然后使用物联网安全接入网关的公钥Pg对哈希值和网络序列号SN4进行加密EPg(SN4,H(Rt∧Rs)),并发送给物联网安全接入网关进行会话密钥确认,再进入步骤vi;
步骤vi. 物联网安全接入网关使用私钥Dg解密信息,对先前合成的会话密钥Rs∧Rt进行哈希运算H(Rs∧Rt),并进行二值比较,然后返回比较结果F、网络序列号SN5和二者哈希的签名给终端设备,再进入步骤vii;
步骤vii. 会话密钥确认成功,实现终端设备所对应通信协议下安全数据传输通道的建立,进而实现终端设备与内网中相应物联网应用之间的安全通信。
作为本发明的一种优选技术方案:所述各其他安全通信协议包括SSL安全通信协议、IPSec安全通信协议。
作为本发明的一种优选技术方案:所述终端设备安全状态信息ST包括软硬件组件的版本号、端口开放情况、连网情况。
本发明所述一种面向海量异构物联网终端的安全接入系统及接入方法,采用以上技术方案与现有技术相比,具有以下技术效果:
本发明所设计一种面向海量异构物联网终端的安全接入系统,包括部署于内网边界的物联网安全接入网关、以及部署于内网中彼此相通信的统一认证系统与统一密钥管理系统,并且物联网安全接入网关包括物理主机、设于物理主机上的统一调度与管理模块和硬件密码模块、以及物理主机上所虚拟化分别与各终端设备一一对应的虚拟化安全接入服务模块,如此结合设计接入方法,根据各类物联网应用场景下终端设备的资源特性、网络的通信特点、以及应用场景的安全防护需求,弹性调整虚拟安全接入服务的性能,从而实现密码计算资源的集约利用、动态伸缩,针对性地实现各终端设备的安全接入机制,更加高效、灵活,能够覆盖更多的物联网应用场景。
附图说明
图1是现有技术关于多终端经多VPN安全接入网关执行接入的架构示意图;
图2是本发明设计面向海量异构物联网终端的安全接入系统的架构示意图;
图3是本发明设计中物联网安全接入网关的架构示意图;
图4是本发明设计基于面向海量异构物联网终端的安全接入系统的接入方法流程图;
图5是本发明设计中轻量级安全通信协议的流程图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明设计了一种面向海量异构物联网终端的安全接入系统,用于实现指定各通信协议下各终端设备分别与内网中相应物联网应用之间的安全通信,实际应用当中,如图2所示,安全接入系统包括部署于内网边界的物联网安全接入网关、以及部署于内网中的统一认证系统、统一密钥管理系统、统一安全管理和态势感知系统;其中,统一认证系统与统一密钥管理系统彼此相通信;如图3所示,物联网安全接入网关包括物理主机、设于物理主机上的统一调度与管理模块和硬件密码模块、以及物理主机上所虚拟化分别与各终端设备一一对应的虚拟化安全接入服务模块,统一调度与管理模块分别与硬件密码模块、以及各虚拟化安全接入服务模块相连接;物联网安全接入网关与内网中的统一认证系统、各物联网应用相通信。
实际应用当中,具体设计内网中的统一认证系统、统一密钥管理系统、统一安全管理和态势感知系统位于同一局域网中,内网中的各物联网应用与统一认证系统、统一密钥管理系统、统一安全管理和态势感知系统位于不同的局域网中,物联网安全接入网关通过交换机与统一认证系统、统一密钥管理系统、统一安全管理和态势感知系统进行通信连接。
统一调度与管理模块实现对硬件密码资源和虚拟化接入服务的智能调度与管理,根据接入终端设备的类型自动分配相应的虚拟化接入服务,并根据虚拟化接入服务的状态动态、智能调整所需的密码资源和计算、存储、通信等资源,即各终端设备分别在统一调度与管理模块的调度下、基于其所对应通信协议连接物联网安全接入网关中相对应的虚拟化安全接入服务模块,如图2所示,诸如NB-IoT终端、北斗终端、表计终端、移动巡检终端、视频终端以及厂站子网等不同种类物联网终端,连接NB-IoT接入、北斗接入、采集接入、SSL接入、视频接入、IPSec接入等虚拟化接入服务模块。
进一步基于各虚拟化安全接入服务模块分别与统一认证系统相通信,结合统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与管理功能,由统一认证系统实现对各终端设备的身份认证,包括数字证书认证或标识认证,即统一认证系统接收来自终端设备和物联网安全接入网关的数字证书的申请、对申请进行审核、将数字证书发放给终端设备和物联网安全接入网关、以及对数字证书的时效性和合法性进行验证。实际应用当中,统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与管理功能,包括密钥生成、密钥存储、密钥归档、密钥管理、密钥查询、密钥恢复、密钥统计。
基于各虚拟化安全接入服务模块分别与统一安全管理和态势感知系统相通信,由统一安全管理和态势感知系统采集各终端设备的运行状态、以及各虚拟化安全接入服务模块的运行状态,执行状态分析与异状态检测,并结合预设终端设备状态与接入权限间的映射关系,调整各终端设备的接入权限,实现对各终端设备的安全状态监测;实际应用当中,各终端设备的运行状态、以及各虚拟化安全接入服务模块的运行状态包括运行状态数据、运行日志数据、网络安全日志数据、以及网络流量数据,所述状态分析与异状态检测包括状态监控、威胁状态识别、异常状态分析、以及实时告警。
基于硬件密码模块为统一调度与管理模块提供包括诸如密钥生成、数据加解密、HASH运算、签名、验证签名、以及为密钥、数字证书提供安全存储的关于数据传输的安全操作与管理功能,由统一调度与管理模块针对各终端设备经所连虚拟化安全接入服务模块传输的数据进行安全操作,实现各虚拟化安全接入服务模块分别关于其所连终端设备所对应通信协议下安全数据传输通道的建立,进而基于各虚拟化安全接入服务模块分别与内网中相应物联网应用之间的通信,由各虚拟化安全接入服务模块分别为其所连终端设备与内网中相应物联网应用之间提供数据转发,实现各终端设备分别与内网中相应物联网应用之间的安全通信。
实际应用当中,上述所设计面向海量异构物联网终端的安全接入系统,基于指定各通信协议包括轻量级安全通信协议、以及诸如SSL安全通信协议、IPSec安全通信协议的各其他安全通信协议,本发明进一步设计了基于此系统的接入方法,如图4所示,包括如下步骤A至步骤G。
步骤A. 基于各通信协议下各终端设备分别与物联网安全接入网关之间的网络连接,由各终端设备向物联网安全接入网关中统一调度与管理模块发送接入请求,并进入步骤B。
步骤B. 统一调度与管理模块根据来自各终端设备的接入请求,结合各终端设备分别所对应的通信协议,若通信协议为轻量级安全通信协议,则由统一调度与管理模块调度轻量级安全通信协议下终端设备基于其通信协议接入物联网安全接入网关中相对应的虚拟化安全接入服务模块,并进入步骤C;若通信协议为其他安全通信协议,则进入步骤G。
步骤C. 基于统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与管理功能,由统一认证系统针对基于虚拟化安全接入服务模块所接入的终端设备分别进行身份认证,身份认证失败则表示对应终端设备接入失败,断开该终端设备;身份认证成功,则进入步骤D。
步骤D. 由统一安全管理和态势感知系统采集经身份认证成功的终端设备的运行状态,执行状态分析与异状态检测实现安全状态监测,若安全状态监测成功,则结合预设终端设备状态与接入权限间的映射关系,更新终端设备的接入权限,并进入步骤E;若安全状态监测未通过,则表示对应终端设备接入失败,断开该终端设备。
步骤E. 基于硬件密码模块为统一调度与管理模块提供关于数据传输的安全操作与管理功能,由统一调度与管理模块实现虚拟化安全接入服务模块关于其所连终端设备所对应通信协议下安全数据传输通道的建立,然后进入步骤F。
步骤F. 由虚拟化安全接入服务模块为其所连终端设备与内网中相应物联网应用之间提供数据转发,实现终端设备与内网中相应物联网应用之间的安全通信。
步骤G. 基于统一认证系统对终端设备实现身份认证、统一安全管理和态势感知系统对终端设备实现安全状态监测、统一调度与管理模块实现虚拟化安全接入服务模块关于安全数据传输通道建立、以及虚拟化安全接入服务模块提供数据转发,由统一调度与管理模块调度其他安全通信协议下终端设备按其安全通信协议接入物联网安全接入网关中相对应的虚拟化安全接入服务模块,实现终端设备与内网中相应物联网应用之间的安全通信。
上述步骤C至步骤F关于轻量级安全通信协议下终端设备与内网中相应物联网应用之间的安全通信,如图5所示,具体执行如下步骤i至步骤vii实现上述步骤C至步骤F。
步骤i. 轻量级安全通信协议下终端设备针对标识IDT,结合终端设备的随机网络序列号SN0,使用哈希算法H生成散列值H(SN0,IDT),并应用终端设备的私钥Dt对散列值进行签名运算EDt,生成签名值EDt(H(SN0,IDT)),然后将SN0||IDT||EDt(H(SN0,IDT))发送给物联网安全接入网关,请求身份认证,并进入步骤ii。
步骤ii. 物联网安全接入网关将来自终端设备的标识IDT和签名信息EDt(H(SN0,IDT))发送给统一认证系统,由统一认证系统根据终端设备公钥Pt,验证终端设备签名信息,将解密后的IDT与终端发送的IDT比较,若两者一致,则验证通过,由物联网安全接入网关中统一调度与管理模块调用硬件密码模块所生成的随机数Rs,并用终端设备的公钥Pt加密Rs得到EPt(Rs),连同网络序列号SN1和经网关私钥Dg签名的信息EDg(H( SN1,EPt(Rs)))发送给终端设备,并进入步骤iii;若两者不一致,则验证不通过,由物联网安全接入网关将验证结果F、网络序列号SN1和签名信息EDg(H( SN1,F))反馈给终端设备,并断开终端设备的网络连接。
步骤iii. 终端设备进行自身安全检查,若自身安全检查通过,则由物联网安全接入网关中统一调度与管理模块调用硬件密码模块所生成的随机数Rt,连同终端设备包括包括软硬件组件的版本号、端口开放情况、连网情况的安全状态信息ST,使用物联网安全接入网关的公钥Pg加密EPg(Rt,ST)后,连同网络序列号SN2和签名信息EDt(H(EPg(Rt,ST)))发送给物联网安全接入网关,请求进行远程验证,并进入步骤iv。
步骤iv. 物联网安全接入网关将终端设备安全状态信息ST发送给统一安全管理和态势感知系统,执行终端设备的安全状态监测,若验证通过,则将验证结果F、网络序列号SN3和两者散列后的签名信息EPt(H(EDg(SN3,F)))返回给终端设备,并进入步骤v;若验证不通过,则将验证结果F、网络序列号SN3和两者散列后的签名信息EPt(H(EDg(SN3,F)))返回给终端设备,并断开终端设备的网络连接。
步骤v. 终端设备针对Rs和Rt的合成会话密钥Rs∧Rt进行哈希运算,生成哈希值H(Rt∧Rs),然后使用物联网安全接入网关的公钥Pg对哈希值和网络序列号SN4进行加密EPg(SN4,H(Rt∧Rs)),并发送给物联网安全接入网关进行会话密钥确认,再进入步骤vi。
步骤vi. 物联网安全接入网关使用私钥Dg解密信息,对先前合成的会话密钥Rs∧Rt进行哈希运算H(Rs∧Rt),并进行二值比较,然后返回比较结果F、网络序列号SN5和二者哈希的签名给终端设备,再进入步骤vii。
步骤vii. 会话密钥确认成功,实现终端设备所对应通信协议下安全数据传输通道的建立,进而实现终端设备与内网中相应物联网应用之间的安全通信,实际应用中诸如传输信息m,则发送内容为SN6||ERt∧Rs(H( SN6,m))。
上述技术方案所设计面向海量异构物联网终端的安全接入系统,包括部署于内网边界的物联网安全接入网关、以及部署于内网中彼此相通信的统一认证系统与统一密钥管理系统,并且物联网安全接入网关包括物理主机、设于物理主机上的统一调度与管理模块和硬件密码模块、以及物理主机上所虚拟化分别与各终端设备一一对应的虚拟化安全接入服务模块,如此结合设计接入方法,根据各类物联网应用场景下终端设备的资源特性、网络的通信特点、以及应用场景的安全防护需求,弹性调整虚拟安全接入服务的性能,从而实现密码计算资源的集约利用、动态伸缩,针对性地实现各终端设备的安全接入机制,更加高效、灵活,能够覆盖更多的物联网应用场景。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (6)
1.一种面向海量异构物联网终端的安全接入系统,用于实现指定通信协议下终端设备分别与内网中相应物联网应用之间的安全通信,其特征在于:所述指定通信协议包括轻量级安全通信协议、以及SSL安全通信协议、IPSec安全通信协议,所述安全接入系统包括部署于内网边界的物联网安全接入网关、部署于内网中的统一安全管理和态势感知系统、以及部署于内网中彼此相通信的统一认证系统与统一密钥管理系统;物联网安全接入网关包括物理主机、设于物理主机上的统一调度与管理模块和硬件密码模块、以及物理主机上所虚拟化分别与终端设备一一对应的虚拟化安全接入服务模块,统一调度与管理模块分别与硬件密码模块、以及虚拟化安全接入服务模块相连接;物联网安全接入网关与内网中的统一认证系统、物联网应用相通信;
终端设备分别在统一调度与管理模块的调度下、基于其所对应通信协议连接物联网安全接入网关中相对应的虚拟化安全接入服务模块,并基于虚拟化安全接入服务模块分别与统一认证系统相通信,结合统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与管理功能,由统一认证系统实现对终端设备的身份认证;
基于硬件密码模块为统一调度与管理模块提供关于数据传输的安全操作与管理功能,由统一调度与管理模块针对终端设备经所连虚拟化安全接入服务模块传输的数据进行安全操作,实现虚拟化安全接入服务模块分别关于其所连终端设备所对应通信协议下安全数据传输通道的建立,进而基于虚拟化安全接入服务模块分别与内网中相应物联网应用之间的通信,由虚拟化安全接入服务模块分别为其所连终端设备与内网中相应物联网应用之间提供数据转发,实现终端设备分别与内网中相应物联网应用之间的安全通信;
基于虚拟化安全接入服务模块分别与统一安全管理和态势感知系统相通信,由统一安全管理和态势感知系统采集终端设备的运行状态、以及虚拟化安全接入服务模块的运行状态,执行状态分析与异状态检测,并结合预设终端设备状态与接入权限间的映射关系,调整终端设备的接入权限,实现对终端设备的安全状态监测;
内网中的统一认证系统、统一密钥管理系统、统一安全管理和态势感知系统位于同一局域网中,内网中的物联网应用与统一认证系统、统一密钥管理系统、统一安全管理和态势感知系统位于不同的局域网中。
2.根据权利要求1所述一种面向海量异构物联网终端的安全接入系统,其特征在于:所述统一安全管理和态势感知系统采集终端设备的运行状态、以及虚拟化安全接入服务模块的运行状态,运行状态包括运行状态数据、运行日志数据、网络安全日志数据、以及网络流量数据,所述状态分析与异状态检测包括状态监控、威胁状态识别、异常状态分析、以及实时告警。
3.根据权利要求1所述一种面向海量异构物联网终端的安全接入系统,其特征在于:所述统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与管理功能,包括密钥生成、密钥存储、密钥归档、密钥管理、密钥查询、密钥恢复、密钥统计;所述硬件密码模块为统一调度与管理模块提供关于数据传输的安全操作与管理功能,包括密钥生成、数据加解密、HASH运算、签名、验证签名、以及为密钥、数字证书提供安全存储。
4.一种基于权利要求1至3中任意一项所述一种面向海量异构物联网终端的安全接入系统的接入方法,其特征在于,所述接入方法包括如下步骤;
步骤A.基于通信协议下终端设备分别与物联网安全接入网关之间的网络连接,由终端设备向物联网安全接入网关中统一调度与管理模块发送接入请求,并进入步骤B;
步骤B.统一调度与管理模块根据来自终端设备的接入请求,结合终端设备分别所对应的通信协议,若通信协议为轻量级安全通信协议,则由统一调度与管理模块调度轻量级安全通信协议下终端设备基于其通信协议接入物联网安全接入网关中相对应的虚拟化安全接入服务模块,并进入步骤C;若通信协议为SSL安全通信协议或IPSec安全通信协议,则进入步骤G;
步骤C.基于统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与管理功能,由统一认证系统针对基于虚拟化安全接入服务模块所接入的终端设备分别进行身份认证,身份认证失败则表示对应终端设备接入失败,断开该终端设备;身份认证成功,则进入步骤D;
步骤D.由统一安全管理和态势感知系统采集经身份认证成功的终端设备的运行状态,执行状态分析与异状态检测实现安全状态监测,若安全状态监测成功,则结合预设终端设备状态与接入权限间的映射关系,更新终端设备的接入权限,并进入步骤E;若安全状态监测未通过,则表示对应终端设备接入失败,断开该终端设备;
步骤E.基于硬件密码模块为统一调度与管理模块提供关于数据传输的安全操作与管理功能,由统一调度与管理模块实现虚拟化安全接入服务模块关于其所连终端设备所对应通信协议下安全数据传输通道的建立,然后进入步骤F;
步骤F.由虚拟化安全接入服务模块为其所连终端设备与内网中相应物联网应用之间提供数据转发,实现终端设备与内网中相应物联网应用之间的安全通信;
步骤G.基于统一认证系统对终端设备实现身份认证、统一安全管理和态势感知系统对终端设备实现安全状态监测、统一调度与管理模块实现虚拟化安全接入服务模块关于安全数据传输通道建立、以及虚拟化安全接入服务模块提供数据转发,由统一调度与管理模块调度SSL安全通信协议或IPSec安全通信协议下终端设备按其安全通信协议接入物联网安全接入网关中相对应的虚拟化安全接入服务模块,实现终端设备与内网中相应物联网应用之间的安全通信。
5.根据权利要求4所述的接入方法,其特征在于:按如下步骤i至步骤vii,实现所述步骤C至步骤F关于轻量级安全通信协议下终端设备与内网中相应物联网应用之间的安全通信;
步骤i.轻量级安全通信协议下终端设备针对标识IDT,结合终端设备的随机网络序列号SN0,使用哈希算法H生成散列值H(SN0,IDT),并应用终端设备的私钥Dt对散列值进行签名运算EDt,生成签名值EDt(H(SN0,IDT)),然后将SN0||IDT||EDt(H(SN0,IDT))发送给物联网安全接入网关,请求身份认证,并进入步骤ii;
步骤ii.物联网安全接入网关将来自终端设备的标识IDT和签名信息EDt(H(SN0,IDT))发送给统一认证系统,由统一认证系统根据终端设备公钥Pt,验证终端设备签名信息,将解密后的IDT与终端发送的IDT比较,若两者一致,则验证通过,由物联网安全接入网关中统一调度与管理模块调用硬件密码模块所生成的随机数Rs,并用终端设备的公钥Pt加密Rs得到EPt(Rs),连同网络序列号SN1和经网关私钥Dg签名的信息EDg(H(SN1,EPt(Rs)))发送给终端设备,并进入步骤iii;若两者不一致,则验证不通过,由物联网安全接入网关将验证结果F、网络序列号SN1和签名信息EDg(H(SN1,F))反馈给终端设备,并断开终端设备的网络连接;
步骤iii.终端设备进行自身安全检查,若自身安全检查通过,则由物联网安全接入网关中统一调度与管理模块调用硬件密码模块所生成的随机数Rt,连同终端设备安全状态信息ST,使用物联网安全接入网关的公钥Pg加密EPg(Rt,ST)后,连同网络序列号SN2和签名信息EDt(H(EPg(Rt,ST)))发送给物联网安全接入网关,请求进行远程验证,并进入步骤iv;
步骤iv.物联网安全接入网关将终端设备安全状态信息ST发送给统一安全管理和态势感知系统,执行终端设备的安全状态监测,若验证通过,则将验证结果F、网络序列号SN3和两者散列后的签名信息EPt(H(EDg(SN3,F)))返回给终端设备,并进入步骤v;若验证不通过,则将验证结果F、网络序列号SN3和两者散列后的签名信息EPt(H(EDg(SN3,F)))返回给终端设备,并断开终端设备的网络连接;
步骤v.终端设备针对Rs和Rt的合成会话密钥Rs∧Rt进行哈希运算,生成哈希值H(Rt∧Rs),然后使用物联网安全接入网关的公钥Pg对哈希值和网络序列号SN4进行加密EPg(SN4,H(Rt∧Rs)),并发送给物联网安全接入网关进行会话密钥确认,再进入步骤vi;
步骤vi.物联网安全接入网关使用私钥Dg解密信息,对先前合成的会话密钥Rs∧Rt进行哈希运算H(Rs∧Rt),并进行二值比较,然后返回比较结果F、网络序列号SN5和二者哈希的签名给终端设备,再进入步骤vii;
步骤vii.会话密钥确认成功,实现终端设备所对应通信协议下安全数据传输通道的建立,进而实现终端设备与内网中相应物联网应用之间的安全通信。
6.根据权利要求5所述的接入方法,其特征在于:所述终端设备安全状态信息ST包括软硬件组件的版本号、端口开放情况、连网情况。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211553346.5A CN115549932B (zh) | 2022-12-06 | 2022-12-06 | 一种面向海量异构物联网终端的安全接入系统及接入方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211553346.5A CN115549932B (zh) | 2022-12-06 | 2022-12-06 | 一种面向海量异构物联网终端的安全接入系统及接入方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115549932A CN115549932A (zh) | 2022-12-30 |
CN115549932B true CN115549932B (zh) | 2023-05-02 |
Family
ID=84721954
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211553346.5A Active CN115549932B (zh) | 2022-12-06 | 2022-12-06 | 一种面向海量异构物联网终端的安全接入系统及接入方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115549932B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115695053A (zh) * | 2023-01-03 | 2023-02-03 | 国网浙江省电力有限公司金华供电公司 | 一种配电物联网接入系统 |
CN115835194B (zh) * | 2023-02-15 | 2023-06-06 | 信联科技(南京)有限公司 | 一种nb-iot物联网终端安全接入系统及接入方法 |
CN117097519B (zh) * | 2023-08-04 | 2024-02-13 | 广东职业技术学院 | 一种设备通讯接入认证方法、装置、系统和介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111343588A (zh) * | 2018-12-18 | 2020-06-26 | 南京爱体智能科技有限公司 | 一种蓝牙布防井盖异动智能感知系统 |
CN112512024A (zh) * | 2021-02-05 | 2021-03-16 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
CN113642946A (zh) * | 2021-10-18 | 2021-11-12 | 南京派光智慧感知信息技术有限公司 | 一种基于城市重要基础设施的感知信息集成接入系统 |
CN113783836A (zh) * | 2021-08-02 | 2021-12-10 | 南京邮电大学 | 基于区块链和ibe算法的物联网数据访问控制方法及系统 |
CN115150208A (zh) * | 2022-09-06 | 2022-10-04 | 信联科技(南京)有限公司 | 一种基于零信任的物联网终端安全接入方法及系统 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1475936A1 (en) * | 2003-05-06 | 2004-11-10 | Alcatel | Method, apparatuses and software product for establishing a network connection or invoking a communication service automatically |
US10541926B2 (en) * | 2012-06-06 | 2020-01-21 | The Trustees Of Columbia University In The City Of New York | Unified networking system and device for heterogeneous mobile environments |
US20200145493A1 (en) * | 2018-07-22 | 2020-05-07 | TieJun Wang | Multimode Heterogeneous IOT Networks |
CN111355571B (zh) * | 2018-12-21 | 2023-04-07 | 中国电信股份有限公司 | 生成身份认证私钥的方法、终端、连接管理平台和系统 |
CN109873815B (zh) * | 2019-01-28 | 2021-07-02 | 西安电子科技大学 | 基于边缘计算的异构物联网认证方法、物联网安全平台 |
CN112637189B (zh) * | 2020-12-18 | 2022-06-24 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
US11734044B2 (en) * | 2020-12-31 | 2023-08-22 | Nutanix, Inc. | Configuring virtualization system images for a computing cluster |
CN112995612B (zh) * | 2021-05-06 | 2021-07-23 | 信联科技(南京)有限公司 | 一种电力视频监控终端安全接入方法及系统 |
-
2022
- 2022-12-06 CN CN202211553346.5A patent/CN115549932B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111343588A (zh) * | 2018-12-18 | 2020-06-26 | 南京爱体智能科技有限公司 | 一种蓝牙布防井盖异动智能感知系统 |
CN112512024A (zh) * | 2021-02-05 | 2021-03-16 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
CN113783836A (zh) * | 2021-08-02 | 2021-12-10 | 南京邮电大学 | 基于区块链和ibe算法的物联网数据访问控制方法及系统 |
CN113642946A (zh) * | 2021-10-18 | 2021-11-12 | 南京派光智慧感知信息技术有限公司 | 一种基于城市重要基础设施的感知信息集成接入系统 |
CN115150208A (zh) * | 2022-09-06 | 2022-10-04 | 信联科技(南京)有限公司 | 一种基于零信任的物联网终端安全接入方法及系统 |
Non-Patent Citations (1)
Title |
---|
罗剑文 ; .引入物联网概念的实验室仪器开放管理模型.实验室研究与探索.2016,(第10期),全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN115549932A (zh) | 2022-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111478902B (zh) | 电力边缘网关设备及基于该设备的传感数据上链存储方法 | |
CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入系统 | |
CN115549932B (zh) | 一种面向海量异构物联网终端的安全接入系统及接入方法 | |
CN109088870B (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
CN106789015B (zh) | 一种智能配电网通信安全系统 | |
Li et al. | Smart applications in edge computing: Overview on authentication and data security | |
CN113783836A (zh) | 基于区块链和ibe算法的物联网数据访问控制方法及系统 | |
US20100077454A1 (en) | Trusted network connect method based on tri-element peer authentication | |
CN111447067A (zh) | 一种电力传感设备加密认证方法 | |
CN108712364B (zh) | 一种sdn网络的安全防御系统及方法 | |
CN110999223A (zh) | 安全加密的心跳协议 | |
CN112995612B (zh) | 一种电力视频监控终端安全接入方法及系统 | |
CN111935213B (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及系统 | |
CN111371543B (zh) | 基于双区块链结构的物联网设备访问控制方法 | |
CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
CN111447283A (zh) | 一种用于实现配电站房系统信息安全的方法 | |
CN102811225A (zh) | 一种ssl中间代理访问web资源的方法及交换机 | |
WO2024027070A1 (zh) | 一种基于标识公钥的终端设备认证方法、系统及计算机可读存储介质 | |
CN112911588A (zh) | 一种轻量级的窄带物联网安全传输方法和系统 | |
Zhang et al. | An adaptive encryption-as-a-service architecture based on fog computing for real-time substation communications | |
CN115941236A (zh) | 配电网边缘侧零信任安全防护方法 | |
CN112069487B (zh) | 一种基于物联网的智能设备网络通讯安全实现方法 | |
Chen et al. | Research on meteorological information network security system based on VPN Technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A secure access system and access method for massive heterogeneous IoT terminals Granted publication date: 20230502 Pledgee: Nanjing Branch of Jiangsu Bank Co.,Ltd. Pledgor: XINLIAN TECHNOLOGY (NANJING) Co.,Ltd. Registration number: Y2024980009823 |