专利名称:基于虚拟机的物联网网关系统及数据交互方法
技术领域:
本发明属于通信技术领域,涉及物联网中的网关结构设计与使用,具体是一种基于虚拟机技术的物联网融合网关系统和使用方法,应用于物联网中不同网络间融合的通信 和安全领域。
背景技术:
“物联网”这一概念是在互联网概念的基础上,将其用户端延伸和扩展到任何物品 与物品之间,进行信息交换和通信的一种网络概念。其中无线传感器网络、RFID网络等作 为末端感应网络,与现有的Internet网络或无线通信网络互联,通过相应协议把实际的物 品与互联网相连接,进行信息交换和通信的一种网络结构的概念。物联网最早源于对无线 传感网络的研究。2005年,国际电信联盟(ITU)正式提出了 “物联网”的概念。物联网被认为拥有“更透彻的感知,更广泛的互联互通,更深入的智能化”,物联网 产业被认为是继计算机产业、通信产业后的又一次信息技术浪潮,据权威机构预测未来物 联网产业将是互联网产业的30倍。物联网可以应用于智能化识别、定位、跟踪、监控和管理 等诸多行业和领域。在智能家庭、医疗保健、环境监测等方面都已经开始进行了逐步的应 用。而随着“感知中国”、“智慧地球”等概念的提出,物联网进入了加速发展的阶段,逐渐开 始进行较大范围的应用。“虚拟机”最早可追溯到IBM的VM/370。使用虚拟机技术可以在在一台物理计算机 上模拟出一台或多台虚拟的计算机,这些虚拟机完全就像真正的计算机那样进行工作。而 由于虚拟机技术可以良好的隔离不同的应用,它可以用于隔离不同安全性的应用,进而防 止较为危险的应用对安全性要求较高的应用产生不良的影响。因此在安全方面已经有一些 基于虚拟机的安全方案的研究和探索。现有的物联网网络研究对于网关结构的研究不多,对于网关安全结构的研究更 少。由于物联网是一种多网融合的网络结构,一些重要的感知信息将在公共的传统网络,如 Internet或移动通信网络中传输,因此安全性对于物联网的实现十分重要。网关由于是融 合的关键位置,其安全性非常重要。如果不能有效的分离用户的服务使用和网关内的安全 信息和安全过程,则很可能使网关遭受到针对于此的恶意攻击。而且由于物联网中不同网 络间安全协议的不同,不同安全协议间的融合难度较大。同时如果不能在一个安全的网关 结构上完成安全协议的转换过程,很可能会使这些安全协议的安全性都大为降低。
发明内容
本发明为了解决上述问题,提出了一种基于虚拟机的物联网网关系统及其数据交 互方法,以有效的把安全信息和安全过程与用户和对外接口隔离,提高网关的安全性,同时 简化了物联网中各不同网络安全融合难度,提高物联网等整体安全性。为实现上述目的,本发明的物联网网关系统,包括多网络接口模块、发布模块、用 户管理模块、信息管理模块、感知节点管理模块、信息处理模块、密钥管理模块、认证模块和加解密模块,其中网关的硬件层上搭建有虚拟机监视器,在虚拟机监视器上建立安全虚拟 机和服务虚拟机;所述的密钥管理模块、认证模块加解密模块以及信息处理模块设置在安 全虚拟机内,所述的多网络接口模块、用户管理模块、信息管理模块、感知节点管理模块和 信息发布模块设置在服务虚拟机内,以实现对明文、密钥、加解密过程、认证过程和信息处 理过程与用户和外部接口的隔离。所述的安全虚拟机和服务虚拟机之间通过虚拟机监视器中的安全数据通道传输受限制的数据,该受限数据仅包括数据密文、用户数据要求、更新要求、用户身份信息、节点 身份信息以及用户和节点的认证信息。所述的服务虚拟机通过多网络接口模块对外通信,安全虚拟机没有对外通信接 口,即用户只能访问服务虚拟机,无法访问安全虚拟机。所述的安全虚拟机内设有判定模块,用于判定是否有用户的数据要求、感知节点 的报警要求或更新要求,当有更新要求时,通知服务虚拟机内的感知节点管理模块向感知 节点发送数据更新要求;当有用户数据要求或感知节点报警信息要求时发送用户身份IDu 给加解密模块并要求它加密安全虚拟机内暂存的信息。为实现上述目的,本发明基于虚拟机的物联网网关数据交互方法,包括如下步 骤(1)用户通过多网络接口模块接入网关,用户管理模块通过多网络接口模块获得 用户所在网络信息Field,将用户认证信息发送给安全虚拟机的认证模块,安全虚拟机的认 证模块验证用户身份认证信息,并将验证结果发送给用户管理模块,如果用户认证信息验 证正确,则成功认证用户,用户管理模块将用户指令、身份IDu和用户所在网络信息Field 转发给信息管理模块,否则对用户拒绝服务;(2)信息管理模块根据用户指令中的控制信息作出配置,将指令中的数据要求和 用户身份IDu通过安全数据通道发送给安全虚拟机的判定模块,并根据用户配置的时间向 判定模块定时发送数据更新要求;(3)判定模块根据是否有数据要求或警报要求产生要求加解密模块进行数据加密 的通知,若没有要求,则不对安全虚拟机内暂存的数据进行加密操作,若有要求,则产生要 求加解密模块对暂存在安全虚拟机的数据进行加密的通知,此时根据是否有更新要求进行 暂存数据的更新,若没有更新要求,则发送产生的通知和要求所涉及的用户身份IDu到加解 密模块,若有更新要求,则通过感知节点管理模块通知感知节点更新数据;(4)加解密模块收到判定模块的通知后,根据收到的用户身份10 在密钥管理模块 中查询用户通信密钥Kut并使用Kut对虚拟机中暂存的数据信息加密,之后通过安全数据通 道发送数据密文给信息管理模块;(5)信息管理模块将数据密文、用户所在网络信息Field和用户身份IDu发送给发 布模块,发布模块根据用户的身份IDu和所在网络信息Field,通过多网络接口模块选择发 送网络,将数据密文信息发送到用户;(6)感知节点收到步骤(3)的更新数据要求或者感知到事件时,通过多网络接口 模块接入感知节点管理模块,感知节点管理模块将感知节点认证信息发送给安全虚拟机的 认证模块,安全虚拟机的认证模块验证节点身份认证信息,并将验证结果发送给感知节点 管理模块,如果身份信息验证正确,则认为认证成功,将信息数据密文和感知节点身份IDN发送给安全虚拟机的加解密模块,否则拒绝接受感知节点的数据;(7)加解密模块收到数据密文后根据感知节点身份IDn在密钥管理模块中查询感 知节点通信密钥KNT,并使用Knt对密文解密,发送数据明文给数据处理模块;(9)数据处理模块对数据明文进行融合,并将融合后的数据处理为易于用户使用 的标准化的数据格式后,根据是否是警报信息进行操作,若是警报信息,则暂存处理后的数 据,并将警报要求发送给判定模块,返回步骤(3),若不是警报信息,则不发送警报要求,暂 存处理后的数据,返回步骤(3)。本发明具有如下优点 1)本发明由于提出了 一种基于虚拟机的物联网网关系统结构,通过在虚拟机监视 器上建立服务虚拟机和安全虚拟机的方式,将明文、密钥、数据处理过程、加解密过程和认 证过程与用户和对外接口隔离,保证用户和外部程序无法对安全虚拟机部分直接访问,提 高了安全性;2)本发明由于使用了隔离的结构,不要求用户设备网络和感知节点网络使用相同 的密码算法协议,使具体的安全协议的转化过程在本发明的网关中安全实现,简化了不同 网络间安全协议间的融合,在多网融合为主的物联网内有较好的适用性;
图1是本发明的应用场景示意图;图2是本发明基于虚拟机的物联网网关系统结构示意图;图3是本发明中基于虚拟机的物联网网关数据交互方法流程图。
具体实施例方式本发明所应用的场景如图1所示,基于虚拟机的物联网网关系统位于物联网中服 务提供网络和Internet或移动通信网络等通信网络之间,服务提供网络,如无线传感器网 络、RFID网络,包含大量的感知节点,而用户主要通过Internet或移动通信网络进行通信。 物联网网关通过多网络接口模块和服务提供网络中的感知节点通信,并通过多网络接口模 块接入Internet或移动通信网络,用户通过各自不同的网络接入方式接入Internet或移 动通信网络,与物联网网关通信。服务提供网络中的大量感应节点分别对各自地理范围内的事件进行感知,并把感 知数据发送给物联网网关,网关完成不同网络间数据帧格式的转换和安全协议的转换,以 及对数据进行数据融合和标准化格式的处理。之后网关根据用户所在的网络,选择合适的 网络接口,将加密后的数据发送给通过网关认证的用户。本发明提出了基于虚拟机的物联网网关系统,以及基于虚拟机的物联网网关数据 交互方法,参照图2,本发明基于虚拟机的物联网网关系统,是在物联网网关的硬件层上搭建 有虚拟机监视器,在虚拟机监视器上搭建有两个虚拟机,包括安全虚拟机和服务虚拟机。两 个虚拟机内部包括各自的功能模块。两个虚拟机的内部模块相互隔离,仅能通过虚拟机监 视器内的安全数据通道交互受限的数据,这些数据仅包括数据密文、用户数据要求、更新要 求、用户身份信息、节点身份信息以及用户和节点的认证信息。
所述的服务虚拟机,主要负责多网络的管理、用户和感知节点的管理以及信息的 发布,它是用户直接访问的虚拟机,拥有对外的接口。该服务虚拟机中包括的模块有多网 络接口模块、用户管理模块、感知节点管理模块、信息管理模块和发布模块。该多网络接口 模块,负责多网络的的协议实现和连通;该用户管理模块,负责网关对用户的管理,在安全 虚拟机认证模块的帮助下对用户进行认证和对接收到的用户指令的转发;该感知节点管理 模块负责感知节点的管理,在安全虚拟机认证模块的帮助下对感知节点认证并将节点发送 来的数据密文发送给安全虚拟机;该信息管理模块,负责信息的管理,根据用户的指令向 安全虚拟机内的判定模块发送用户数据要求和更新要求,并且接受安全虚拟机发送来的密 文;该发布模块负责将数据密文根据用户网络信息选择合适的网络发布给用户。所述的安全虚拟机,主要负责密钥和数据明文的管理和储存,它是禁止用户访问 的虚拟机,没有对外的接口。该安全虚拟机中包括的模块有密钥管理模块、加解密模块、认 证模块、信息处理模块和判定模块。该密钥管理模块,负责密钥的管理,用于存储和查询用 户和感知节点的通信密钥和认证密钥;该加解密模块,负责依据用户通信密钥或感知节点 通信密钥完成加解密过程;该认证模块,负责依据用户和感知节点的认证密钥,对接入的感 知节点和用户的身份认证信息进行验证;该信息处理模块,负责对信息的融合、标准化处理 和产生警报要求;该判定模块,负责根据用户数据要求和警报要求通知加解密模块进行加 密工作,根据更新要求通知感知节点管理模块要求感知节点更新数据。参照图3,本发明基于虚拟机技术的物联网网关系统的数据交互方法包括以下步 骤步骤1,用户接入认证和指令发送。(la)用户通过多网络接口模块接入,发送用户指令和身份认证信息给用户管理模 块;(lb)用户管理模块将用户认证信息通过安全数据通道发送给认证模块;(lc)认证模块通过认证信息声称的身份IDu在密钥管理模块中查找对应的Km,验 证身份认证信息,并将验证结果发送给用户管理模块;(Id)用户管理模块根据认证信息验证结果进行操作,如果认证信息验证正确,则 认为用户认证成功,将用户身份IDu、用户所在网络信息Field和用户的指令发送给信息管 理模块,如果身份信息验证错误,则认为用户认证失败,用户管理模块拒绝对用户服务。步骤2,信息管理模块根据用户指令进行操作。(2a)信息管理模块根据用户指令中的控制信息配置用户数据要求的更新时间,并 根据配置的更新时间向判断模块发送更新要求;(2b)信息管理模块存储用户身份IDu和用户所在网络信息Field ;(2c)信息管理模块将指令中的数据要求和用户身份ID 通过安全数据通道发送给 安全虚拟机的判定模块。步骤3,判定模块根据数据要求或警报要求产生要求加解密模块加密数据的通知。判定模块跟据当前时刻是否有来自信息管理模块的用户数据要求或者来自数据 处理模块的警报要求产生要求加解密模块进行数据加密的通知,如果用户数据要求和警报 要求两者都不存在,则不对暂存在虚拟机内的数据进行处理,继续进行步骤4 ;如果用户数 据要求或报警要求两者任一存在,则获得相应的用户数据要求或报警要求中涉及的用户身份ID 并产生要求加解密模块进行加密的通知,继续进行步骤4。步骤4,判定模块根据更新要求更新数据。安全虚拟机内的判定模块根据当前时刻是否有来自信息管理模块的更新要求更 新安全虚拟机内暂存的数据,如果有更新要求,则向感知节点管理模块发送更新要求,进入 步骤8 ;如果没有更新要求,则将步骤3中的要求加解密模块工作的通知和涉及的用户身份 ID 发送给加解密模块,进入步骤5,如果此时没有暂存的要求加解密模块工作的通知,则返 回步骤3。步骤5,加解密模块对虚拟机内暂存的数据进行加密。安全虚拟机内的加解密模块收到来自判定模块的通知后,根据涉及的用户身份 ID 在密钥管理模块中查找到相应的用户通信密钥KUT,并对用户要求的安全虚拟机内暂存 的数据进行加密,将加密后的数据和用户身份IDu通过安全数据通道发送给信息管理模块。步骤6,信息管理模块转发数据密文和用户信息给发布模块。(6a)信息管理模块在收到来自安全虚拟机的数据密文和对应的用户身份IDu后, 根据IDu查询用户所在网络信息Field ;(6b)信息管理模块将用户身份ID 、用户所在网络信息Field和数据密文发送给 发布模块。步骤7,发布模块根据用户身份ID 和用户所在网络信息Field在多网络接口模块 中选择合适的网络接口,将数据密文发送给用户。步骤8,感知节点管理模块收到步骤4中判定模块发送的更新要求后,向感知节点 发送指令,要求感知节点更新数据。步骤9,感知节点接入认证和感知数据密文发送。(9a)感知节点在收到步骤8的数据更新要求或者感知到事件发生时,将感知数据 的密文和感知节点身份认证信息发送给节点管理模块;(9b)节点管理模块通将感知节点的身份认证信息通过安全数据通道发送给安全 虚拟机内的认证模块;(9c)认证模块通过感知节点认证信息声称的IDN在密钥管理模块中查找认证密钥 KNI,验证身份认证信息并将结果发送给感知节点管理模块;(9d)感知节点管理模块根据认证信息验证结果进行操作,如果身份认证信息验证 错误,则认为感知节点认证失败,用户管理模块拒绝接受感知节点的数据;如果身份认证证 信息验证正确,则认为节点认证成功,将感知节点身份IDn和数据密文通过安全数据通道发 送给安全虚拟机。步骤10,加解密模块对感知节点发送的的数据密文进行解密。安全虚拟机内的加解密模块在收到来自感知节点管理模块的数据密文后,根据感 知节点身份皿,在密钥管理模块中查找到相应的感知节点通信密钥KNT,使用KNT对数据密文 进行解密,并将解密后得到的数据明文发送给信息处理模块。步骤11,信息处理模块对数据明文进行处理。(11a)信息处理模块将步骤10产生的数据明文进行融合,并将融合后的数据处理 为便于用户使用的标准化的数据格式;(lib)信息处理模块根据处理后的数据中是否有警报信息发送警报要求给判定模块。如果有警报信息,则发送警报要求给判定模块,将处理后的数据暂存在安全虚拟机中, 进入步骤3判断后进行发布;如果没有警报信息,则不发送警报要求给判定模块,将处理后 的数据暂存在安全虚拟机中,进入步骤3。符号说明IDU:用户身份信息IDn 感知节点身份信息Field:用户所在网络信息Kra 用户认证密钥Kni 感知节点认证密钥Kut 用户通信密钥KNT 感知节点通信密钥。
9
权利要求
一种基于虚拟机技术的物联网网关系统,包括多网络接口模块、发布模块、用户管理模块、信息管理模块、感知节点管理模块、信息处理模块、密钥管理模块、认证模块和加解密模块,其特征在于网关的硬件层上搭建有虚拟机监视器,在虚拟机监视器上建立安全虚拟机和服务虚拟机;所述的密钥管理模块、认证模块、加解密模块和信息处理模块设置在安全虚拟机内,所述的多网络接口模块、用户管理模块、信息管理模块、感知节点管理模块和信息发布模块设置在服务虚拟机内,以实现对明文、密钥、加解密过程、认证过程和信息处理过程与用户和外部接口的隔离。
2.根据权利1所述的物联网网关系统,其特征在于安全虚拟机和服务虚拟机之间通 过虚拟机监视器中的安全数据通道传输受限制的数据,该受限数据仅包括数据密文、用户 数据要求、更新要求、用户身份信息、节点身份信息以及用户和节点的认证信息。
3.根据权利1所述的物联网网关系统,其特征在于服务虚拟机通过多网络接口模块 对外通信,安全虚拟机没有对外通信接口,即用户只能访问服务虚拟机,无法访问安全虚拟 机。
4.根据权利1所述的物联网网关系统,其特征在于安全虚拟机内设有判定模块,用 于判定是否有用户的数据要求、感知节点的报警要求或更新要求,当有更新要求时,通知服 务虚拟机内的感知节点管理模块向感知节点发送数据更新要求;当有用户数据要求或感知 节点报警信息要求时发送用户身份IDu给加解密模块并要求它加密安全虚拟机内暂存的信 肩、ο
5.一种基于虚拟机的物联网网关数据交互方法,包括如下步骤(1)用户通过多网络接口模块接入网关,用户管理模块通过多网络接口模块获得用户 所在网络信息Field,将用户认证信息发送给安全虚拟机的认证模块,安全虚拟机的认证模 块验证用户身份认证信息,并将验证结果发送给用户管理模块,如果用户认证信息验证正 确,则成功认证用户,用户管理模块将用户指令、身份IDu和用户所在网络信息Field转发 给信息管理模块,否则对用户拒绝服务;(2)信息管理模块根据用户指令中的控制信息作出配置,将指令中的数据要求和用户 身份IDu通过安全数据通道发送给安全虚拟机的判定模块,并根据用户配置的时间向判定 模块定时发送数据更新要求;(3)判定模块根据是否有数据要求或警报要求产生要求加解密模块进行数据加密的通 知,若没有要求,则不对安全虚拟机内暂存的数据进行加密操作,若有要求,则产生要求加 解密模块对暂存在安全虚拟机的数据进行加密的通知,此时根据是否有更新要求进行暂存 数据的更新,若没有更新要求,则发送产生的通知和要求所涉及的用户身份IDu到加解密模 块,若有更新要求,则通过感知节点管理模块通知感知节点更新数据;(4)加解密模块收到判定模块的通知后,根据收到的用户身份IDu在密钥管理模块中查 询用户通信密钥Kut并使用Kut对虚拟机中暂存的数据信息加密,之后通过安全数据通道发 送数据密文给信息管理模块;(5)信息管理模块将数据密文、用户所在网络信息Field和用户身份IDu发送给发布模 块,发布模块根据用户的身份IDu和所在网络信息Field,通过多网络接口模块选择发送网 络,将数据密文信息发送到用户;(6)感知节点收到步骤(3)的更新数据要求或者感知到事件时,通过多网络接口模块接入感知节点管理模块,感知节点管理模块将感知节点认证信息发送给安全虚拟机的认证 模块,安全虚拟机的认证模块验证节点身份认证信息,并将验证结果发送给感知节点管理 模块,如果身份信息验证正确,则认为认证成功,将信息数据密文和感知节点身份IDn发送 给安全虚拟机的加解密模块,否则拒绝接受感知节点的数据; (7)加解密模块收到数据密文后根据感知节点身份IDn在密钥管理模块中查询感知节 点通信密钥Knt,并使用Knt对密文解密,发送数据明文给数据处理模块;(9)数据处理模块对数据明文进行融合,并将融合后的数据处理为易于用户使用的标 准化的数据格式后,根据是否是警报信息进行操作,若是警报信息,则暂存处理后的数据, 并将警报要求发送给判定模块,返回步骤(3),若不是警报信息,则不发送警报要求,暂存处 理后的数据,返回步骤(3)。
全文摘要
本发明公开一种基于虚拟机的物联网网关系统和数据交互方法,主要解决物联网用户网络和服务提供网络间的安全的融合问题。该系统是在网关的硬件层上搭建虚拟机监视器,在虚拟机监视器上建立安全虚拟机和服务虚拟机,以隔离不同的功能模块。安全虚拟机内包括密钥管理模块、认证模块、加解密模块、信息处理模块和判定模块;服务虚拟机内包括多网络接口模块、用户管理模块、信息管理模块、感知节点管理模块和信息发布模块。虚拟机之间通过虚拟机监视器中安全数据通道传输受限数据,安全虚拟机无对外接口,用户只能访问服务虚拟机。本发明提高了物联网网关的安全性,减少了物联网中不同网络间安全协议融合的难度,适用于物联网中的不同网络间的融合。
文档编号H04L12/66GK101867530SQ20101018808
公开日2010年10月20日 申请日期2010年5月31日 优先权日2010年5月31日
发明者刘阳, 唐宏, 姜晓鸿, 孙晓楠, 宁奔, 尹浩, 庞辽军, 房帅磊, 李京英, 李红宁, 李鹏, 杨亮, 沈玉龙, 裴庆祺, 谢敏, 马建峰, 高鹏, 黄洁 申请人:西安电子科技大学;中国人民解放军总参谋部第六十一研究所;中国人民解放军第四军医大学