[发明专利]一种对物联网系统进行网络安全防护的方法

权利要求书

1.一种对物联网系统进行网络安全防护的方法，其特征在于：该方法基于在物联网系统前端的每个物联网终端（1）上串联一安全模组（2），在物联网系统服务器（4）上串联一物联网系统运维安全监管平台（3），所述的安全模组（2）与物联网系统运维安全监管平台（3）通过信息传输网络通信，所述的物联网终端（1）与物联网系统服务器（4）的通信必须通过安全模组（2）和物联网系统运维安全监管平台（3），所述的物联网终端（1）之间通信必须通过安全模组（2），该方法由服务器至端通信安全防护、端至服务器通信安全防护、端至端通信安全防护这三部分组成，各部分分别包含以下步骤：

1）、服务器至端通信安全防护：

S1.1、物联网系统服务器（4）发送至物联网终端（1）的数据包先传输到物联网系统运维安全监管平台（3）；

S1.2、物联网系统运维安全监管平台（3）根据内置的处理规则对来自物联网系统服务器（4）的数据包进行合法性判断，对非法数据包进行处理，对合法的数据包直接通过信息传输网络传输至目标物联网终端（1）对应的安全模组（2）；

S1.3、安全模组（2）接收到来自信息传输网络的数据包，根据内置的处理规则对数据包进行合法性判断，对来自物联网系统运维安全监管平台（3）的合法数据包直接转发至对应的物联网终端（1）；

2）、端至服务器通信安全防护：

S2.1、物联网终端（1）发送至物联网系统服务器（4）的数据包先发送到对应的安全模组（2）；

S2.2、安全模组（2）接收到来自物联网终端（1）的数据包，根据内置的处理规则对数据包进行合法性判断，对非法数据包进行处理，对合法数据包直接通过信息传输网络传输至物联网系统运维安全监管平台（3）；

S2.3、物联网系统运维安全监管平台（3）接收到来自信息传输网络的数据包，根据内置的处理规则对数据包进行合法性判断，对非法数据包进行处理，对合法数据包直接传输至物联网系统服务器（4）；

3）、端至端通信安全防护：

S3.1、物联网终端（1）发送至另一物联网终端（1）的数据包先发送到与发送端物联网终端（1）串联的安全模组（2）；

S3.2、发送端的安全模组（2）接收到来自发送端物联网终端（1）的数据包，并根据内置的处理规则对数据包进行合法性判断，对非法数据包进行处理，对合法数据包直接通过信息传输网络传输至与目标端物联网终端（1）串联的安全模组（2）；

S3.3、目标端的安全模组（2）接收到来自信息传输网络的数据包，根据内置的处理规则对数据包进行合法性判断，对非法数据包进行处理，对合法数据包直接转发至目标端的物联网终端（1）;

所述的物联网系统运维安全监管平台（3）与安全模组（2）之间双向通信的数据包还包括：物联网系统运维安全监管平台（3）对安全模组（2）进行设置和控制的指令及信息，以及安全模组（2）向物联网系统运维安全监管平台（3）上报的非法数据包和/或非法数据包统计信息；

所述的S1.2中物联网系统运维安全监管平台（3）还能对合法数据包先经过加密封装再通过信息传输网络传输，相应地，S1.3中安全模组（2）对合法数据包先采用与加密封装方法相对应的脱密解封方法还原再转发至对应的物联网终端（1），所述的合法数据包包括物联网系统运维安全监管平台（3）对安全模组（2）进行设置和控制的指令及信息。

2.如权利要求1所述的一种对物联网系统进行网络安全防护的方法，其特征在于：该方法基于安全模组（2）、物联网系统运维安全监管平台（3）及其间的信息传输网络构成的闭环通信安全防护系统。

3.如权利要求1所述的一种对物联网系统进行网络安全防护的方法，其特征在于：所述的S2.2中安全模组（2）还能对合法数据包先经过加密封装再通过信息传输网络传输，相应地，S2.3中物联网系统运维安全监管平台（3）对合法数据包先采用与加密封装方法相对应的脱密解封方法还原再传输至物联网系统服务器（4）。

4.如权利要求1所述的一种对物联网系统进行网络安全防护的方法，其特征在于：所述的S3.2中发送端的安全模组（2）还能对合法数据包先经过加密封装再通过信息传输网络传输，相应地，S3.3中目标端的安全模组（2）对合法数据包先采用与加密封装方法相对应的脱密解封方法还原再转发至目标端的物联网终端（1）。