[发明专利]一种物联网边缘网关安全架构系统

权利要求书

1.一种物联网边缘网关安全架构系统，其特征是：包括业务功能模块和安全体系模块，

所述的业务功能模块包括用于通信协议的解析与封装模块、数据的运算与存储模块、数据的封装与解析模块、模型训练与应用模块，终端设备管理模块；

所述的安全体系模块包括防止接入终端设备的恶意攻击的流控策略模块，用于确认网关和终端设备的真伪、防止设备伪造的身份认证模块，通过用于确保通信安全、预防各类安全风险的通信监管和数据加密模块。

2.根据权利要求1所述的物联网边缘网关安全架构系统，其特征在于，

流控策略模块，对于接入的设备，限制每秒流量数、每分钟报文数以及单个报文大小，对于超出限定值的设备，及时断开设备连接；按设备、设备类型或协议类型设置阈值；通过流量统计分析模块分析接入设备的每秒流量数、每分钟报文数以及单个报文大小，结合流控策略库中的设定值进行流控；物联网边缘网关主动断开设备连接后，设备在一段时间内处于禁用状态，禁用时长可在流控策略库中设定；等禁用期过后设备重新启用，或通过云平台修改设备状态重新启用。

3.根据权利要求1所述的物联网边缘网关安全架构系统，其特征是在于，

身份认证模块包括身份标识和加密机制，身份标识是网关和终端设备在物联网系统中的唯一标识，加密机制：物联网边缘网关采用一机一密进行密钥分发和加密；终端设备采用一机一密或一型一密进行加密，一机一密是一个设备分配和使用一个密钥；一型一密是一个类型的终端设备共同使用一个密钥。

4.根据权利要求3所述的物联网边缘网关安全架构系统，其特征是在于，

身份标识采用身份识别卡或身份识别码，所述身份识别卡和身份识别码中包含含有终端设备生产时间、位置、编号的特征码。

5.根据权利要求1所述的物联网边缘网关安全架构系统，其特征是在于，

数据监管与通信数据加密模块包括恶意代码特征库、信息监听模块、通信数据加密模块、链路监控模块；

恶意代码特征库即病毒库，网关启动一个进程时，数据监管与通信数据加密模块就会将其特征与病毒库中的特征进行匹配，没有匹配成功则进程启动正常；匹配成功则禁止该进程启动；

信息监管模块用于监管接入设备的基本信息；

通信数据加密模块用于对物联网边缘网关与云端服务之间的通信数据加密，从云端下载网关侧加解密使用的SDK；

网关侧生成从终端到物联网边缘网关到平台相关的调用链路，链路监控模块对链轮进行监测，实现对数据流向的监控，确保数据安全和运行安全。

6.根据权利要求5所述的物联网边缘网关安全架构系统，其特征是在于，

所述的基本信息包括设备厂家、型号、操作系统、访问的用户名、密码、可访问的端口信息，当监测到进程使用未开放的端口时，禁止进程启动。

7.根据权利要求1所述的物联网边缘网关安全架构系统，其特征是在于，

通信协议的解析与封装模块用于对设备的通信协议进行识别和解释、对通信协议中的数据进行封装；通信协议的解析和封装模块接收终端设备发送的带有协议标志符的数据包，并判断协议标志符所对应的协议是否是允许进行通信的协议，所述的协议标志符为终端设备可以进行通信协议的列表。

8.根据权利要求6所述的物联网边缘网关安全架构系统，其特征是在于，

通信协议的解析和封装模块根据获得的协议标志符无法在协议数据库中调取匹配通信协议时，则将协议标志符发送到安全云服务器，从安全云服务器获得此协议标志符对应的通信协议并安装，建立与终端设备的通信。

9.根据权利要求7所述的物联网边缘网关安全架构系统，其特征是在于，

数据的封装与解析模块进行封装时，首先将数据封装成数据报文，然后再将数据报文封装成数据包。

10.根据权利要求7所述的物联网边缘网关安全架构系统，其特征是在于，

所述终端设备管理模块包括：管理库模块，用于存储终端设备的管理类型以及设备标识；信息调取模块，用于获取所述终端设备标识对应的设备固件信息；判断模块，用于判断设备标识对应的终端设备是否在线，若设备标识的对应设备离线，则等待所述设备标识对应设备接入物联网。