[发明专利]一种物联网边缘网关安全架构系统

说明书

本发明涉及一种物联网边缘网关安全架构系统，包括业务功能模块和安全体系模块，所述的业务功能模块包括用于通信协议的解析与封装模块、数据的运算与存储模块、数据的封装与解析模块、模型训练与应用模块，终端设备管理模块；所述的安全体系模块包括防止接入终端设备的恶意攻击的流控策略模块，用于确认网关和终端设备的真伪、防止设备伪造的身份认证模块，通过用于确保通信安全、预防各类安全风险的通信监管和数据加密模块。本方案可以全面预防和防御，涉及终端攻击、网关防伪、通信过程与数据的安全隐患问题，增强物联网边缘网关与云端服务的安全性。

技术领域

本发明涉及的是物联网的边缘网关领域，是一种基于物联网边缘网关的安全架构系统，可以应用于物联网领域下基于边缘计算网关实现各方面安全防护功能。

背景技术

近年来随着物联网技术的飞速发展，物联网应用场景越来越多，接入物联网的物体数量也在快速增加，物联网安全问题也愈发凸显。受终端计算资源限制、网络时延、通信协议等因素影响，基于边缘计算节点的解决方案趋于主流，边缘网关是其中典型的一类装置，既承担终端设备的通信接入与协议转换功能，又具有一定的计算处理能力，其在整个物联网的安全性方面尤为重要，需要考虑以下三个方面：一是预防终端的恶意攻击；二是边缘网关本身的防伪认证；三是通信数据和通信过程的安全。申请号为201611168351.9，名称为“一种面向智能终端的物联网安全防御系统”的专利申请，提到的物联网安全网关，是功能包括云服务管理模块、接入终端管理模块、身份认证模块及安全策略库(IP黑名单、敏感词、攻击特征)的软网关，身份认证、IP黑名单库、敏感词库、攻击特征库按顺序逐一排查通过后调用云服务，该方案可以起到保护云服务的作用，但是降低了服务访问时效，此外，该网关和本方案的带有边缘计算能力的网关节点不是同一个概念，部署方式、位置以及使用场景均不同；其他物联网安全相关的方案大多采用以下方案中的某一种：CA数字证书和签名在物联网网关和终端中用于身份认证的改进，针对于工控网使用网盾技术实现攻击行为自动判断与拦截，添加用户与终端设备的访问权限增加安全性，防DDoS攻击等，均没有从防伪、通信、防攻击全方位的给出一种安全的解决方案。

发明内容

本发明针对上述问题，提出了一种物联网边缘网关安全架构系统，可以全面预防和防御，涉及终端攻击、网关防伪、通信过程与数据的安全隐患问题，增强物联网边缘网关与云端服务的安全性。

本发明提供如下技术方案：一种物联网边缘网关安全架构系统，包括业务功能模块和安全体系模块，所述的业务功能模块包括通信协议的解析与封装模块、数据的运算与存储模块、数据的封装与解析模块、模型训练与应用模块，终端设备管理模块；所述的安全体系模块包括防止接入终端设备的恶意攻击的流控策略模块，用于确认网关和终端设备的真伪、防止设备伪造的身份认证模块，通过用于确保通信安全、预防各类安全风险的通信监管和数据加密模块。

本方案中，流控策略模块，对于接入的设备，限制每秒流量数、每分钟报文数以及单个报文大小，对于超出限定值的设备，及时断开设备连接；按设备、设备类型或协议类型设置阈值；通过流量统计分析模块分析接入设备的每秒流量数、每分钟报文数以及单个报文大小，结合流控策略库中的设定值进行流控；物联网边缘网关主动断开设备连接后，设备在一段时间内处于禁用状态，禁用时长可在流控策略库中设定；等禁用期过后设备重新启用，或通过云平台修改设备状态重新启用。

身份认证模块包括身份标识和加密机制，身份标识是网关和终端设备在物联网系统中的唯一标识，加密机制：物联网边缘网关采用一机一密进行密钥分发和加密；终端设备采用一机一密或一型一密进行加密，一机一密是一个设备分配和使用一个密钥；一型一密是一个类型的终端设备共同使用一个密钥。

身份标识采用身份识别卡或身份识别码，所述身份识别卡和身份识别码中包含含有终端设备生产时间、位置、编号的特征码，上述的两种方式可以归结为硬件芯片方案和自定义生成规则相结合的方式这样两个方向，从这两个方向来确定设备的唯一标识。