一种物联网系统及物联网系统的安全管理方法

文档序号:7896028阅读:199来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种物联网系统及物联网系统的安全管理方法
技术领域
本发明涉及物联网技术,特别是涉及一种物联网系统及物联网系统的安全管理方法。
背景技术
物联网是新一代信息技术的重要组成部分,物联网的英文名称叫“Thehternet of things”,顾名思义,物联网就是“物物相连的互联网”。这有两层意思第一,物联网的核心和基础仍然是互联网,是在互联网的基础上延伸和扩展的网络;第二,其用户端延伸和扩展到了任何物体与物体之间,进行信息交换和通信。因此,物联网的定义是通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物体与互联网相连接,进行信息交换和通信,以实现对物体的智能化识别、定位、跟踪、监控和管理的一种网络。在这个网络中,物品能够彼此进行“交流”,而无需人的干预。物联网概念的提出迄今已有十多年,从概念的诞生起,世界各地都是先从应用出发,根据当地的情况开发针对性的应用产品,到目前为止还没有形成比较完备的标准规范。 而包含移动通信网的电信网是目前覆盖面积最广阔的网络,如果能够实现物联网与电信网的融合,将大大推动物联网的发展。但是物联网具有节点多样、网络复杂等特点,如何构建一个能够融合电信网、可管理的、安全的物联网,成为了目前需要解决的一项关键技术。

发明内容
本发明提供一种物联网系统及物联网系统的安全管理方法,以解决物联网与电信网的融合问题。为了解决上述问题,本发明公开了一种物联网系统,包括本地物联网、接入网、核心网和物联网服务器,其中,本地物联网,包括物联网路由器以及与物联网路由器相连的节点设备,节点设备通过物联网路由器与接入网通信;接入网,用于转发本地物联网与核心网之间的通信数据或命令;核心网,用于在接入网和物联网服务器之间进行通信数据或命令交换,还用于在不同接入网之间转发通信数据或命令;物联网服务器,用于对本地物联网中的物联网路由器和节点设备进行安全认证。优选的,所述物联网系统还包括用户终端,用于接入核心网,通过核心网和接入网对本地物联网中的物联网路由器和节点设备进行监控管理。优选的,所述本地物联网包括至少一个子网,每个子网包括一个物联网路由器以及与该子网的物联网路由器相连的节点设备,子网内的每个节点设备具有一个在子网内唯一的本地ID,每个子网内的物联网路由器具有一个在物联网系统内唯一的全局ID;子网内的节点设备为移动设备或者为固定设备。优选的,所述本地物联网还包括具有全局唯一 ID的节点设备,每个具有全局唯一ID的节点设备对应一个物联网路由器。优选的,所述物联网服务器对本地物联网中的物联网路由器和具有全局唯一 ID 的节点设备进行安全认证。优选的,所述本地物联网中每个子网内的物联网路由器对该子网内的节点设备进行安全认证。优选的,所述本地物联网中的物联网路由器对用户终端进行安全认证,所述用户终端是对该物联网路由器进行监控管理的用户终端。本发明还提供了一种物联网系统的安全管理方法,所述物联网系统包括本地物联网、接入网、核心网、物联网服务器和用户终端,所述本地物联网包括物联网路由器以及与物联网路由器相连的节点设备;所述安全管理方法包括物联网服务器对物联网路由器的认证,所述认证包括物联网服务器接收物联网路由器依次通过接入网和核心网发送来的认证请求;生成包含随机数、预期响应和认证令牌的认证向量,并将认证向量中的随机数和认证令牌返回给所述物联网路由器;接收物联网路由器发来的认证响应,所述认证响应由物联网路由器根据接收到的随机数和认证令牌计算得到;将接收到的认证响应与所述认证向量中的预期响应进行比较,如果相同,则对该物联网路由器的认证成功;如果不同,则认证失败。优选的,所述物联网服务器对物联网路由器的认证还包括物联网路由器先根据接收到的认证令牌计算信息确认码,并将所述信息确认码与认证令牌中的对应信息进行比较,如果相同,再根据接收到的随机数和认证令牌计算认证响应;如果不同,则认证失败。优选的,所述物联网服务器对物联网路由器的认证还包括物联网服务器接收的认证请求中包含物联网路由器的全局ID和物联网路由器所在的服务网络编号;验证所述物联网路由器的全局ID是否与物联网路由器所在的服务网络编号相对应,如果对应,则对物联网路由器所在服务网络的验证通过,然后再生成认证向量;如果不对应,则认证失败。优选的,所述本地物联网包括具有全局ID的节点设备,每个具有全局ID的节点设备对应一个物联网路由器;所述安全管理方法还包括物联网服务器对具有全局ID的节点设备的认证,所述认证包括物联网服务器接收具有全局ID的节点设备依次通过物联网路由器、接入网和核心网发送来的认证请求;生成包含随机数、预期响应和认证令牌的认证向量,并将认证向量中的随机数和认证令牌返回给所述具有全局ID的节点设备;接收具有全局ID的节点设备发来的认证响应,所述认证响应由具有全局ID的节点设备根据接收到的随机数和认证令牌计算得到;将接收到的认证响应与所述认证向量中的预期响应进行比较,如果相同,则对该具有全局ID的节点设备的认证成功;如果不同,则认证失败。优选的,所述物联网服务器对具有全局ID的节点设备的认证还包括具有全局ID 的节点设备先根据接收到的认证令牌计算信息确认码,并将所述信息确认码与认证令牌中的对应信息进行比较,如果相同,再根据接收到的随机数和认证令牌计算认证响应;如果不同,则认证失败。优选的,所述物联网服务器对具有全局ID的节点设备的认证还包括物联网服务器接收的认证请求中包含节点设备的全局ID和节点设备所在的服务网络编号;验证所述节点设备的全局ID是否与节点设备所在的服务网络编号相对应,如果对应,则对节点设备所在服务网络的验证通过,然后再生成认证向量;如果不对应,则认证失败。优选的,还包括物联网路由器对用户终端的认证,所述认证包括物联网路由器根据预设的用户终端名单,对用户终端进行认证,如果该用户终端ID在所述用户终端名单中,则认证成功;否则,认证失败;其中,所述用户终端是对该物联网路由器进行监控管理的用户终端。优选的,还包括物联网路由器对用户终端的认证,所述认证包括所述本地物联网包括至少一个子网,每个子网包括一个物联网路由器以及与该子网的物联网路由器相连的节点设备,子网内的每个节点设备具有一个在子网内唯一的本地ID ;所述安全管理方法还包括每个子网内的物联网路由器对该子网内的节点设备的认证,所述认证包括每个子网内的物联网路由器根据预设的节点设备名单,对该子网内的节点设备进行认证,如果节点设备ID在所述节点设备名单中,则认证成功;否则,认证失败。与现有技术相比,本发明具有以下优点首先,本发明提出一种可融合电信网的物联网系统,所述物联网系统主要包括本地物联网、接入网、核心网和物联网服务器,其中所述接入网即包括电信网,所述本地物联网包括物联网路由器以及与物联网路由器相连的节点设备,本地物联网通过物联网路由器可接入电信网(即接入网),而物联网服务器又可通过核心网和接入网对物联网路由器和节点设备进行统一管理和安全认证。由此可知,本发明提供的物联网架构通过增强路由器的功能使之成为物联网路由器,并增加物联网服务器,即可在当前包含移动通信网的电信网不需要大规模改动的情况下实现与物联网的有机融合。其次,本发明提出基于机卡分离的方法,对物联网路由器进行高可靠度的安全性管理,保证了物联网的数据和命令的安全性,使得本地物联网可以通过电信网络进行运营管理。再次,提出对物联网的节点设备的分类安全管理办法,从而对物联网内的节点设备实现有序化管理。


图1是本发明实施例所述一种物联网系统的结构图;图2是本发明实施例所述物联网系统中用户终端与节点设备的交互流程图;图3是本发明实施例所述物联网系统中节点设备之间的交互流程图;图4是本发明实施例所述物联网系统中对物联网路由器的安全认证流程图;图5是本发明实施例所述物联网系统中对第一类节点设备的安全认证流程图。
具体实施例方式为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式
对本发明作进一步详细的说明。本发明提出一种网络架构,能够将物联网与电信网络(包含移动通信网)有机融合,并可对物联网内的关键设备进行安全管理。其中,所述电信网(telecommunication network)是构成多个用户相互通信的多个电信系统互连的通信体系,是人类实现远距离通
7信的重要基础设施,利用电缆、无线、光纤或者其它电磁系统,传送、发射和接收标识、文字、 图像、声音或其它信号。电信网按电信业务的种类可分为电话网、电报网、用户电报网、数据通信网,传真通信网、图像通信网、有线电视网等;按服务区域范围可分为本地电信网、 农村电信网、长途电信网、移动通信网、国际电信网等。参照图1,是本发明实施例所述一种物联网系统的结构图。所述物联网系统主要包括本地物联网11、接入网12、核心网13和物联网服务器 14,其中本地物联网11,包括物联网路由器15以及与物联网路由器15相连的节点设备 16,节点设备16通过物联网路由器15与接入网12通信;接入网12,用于提供本地物联网11接入到核心网13的业务承载,主要包括转发本地物联网11与核心网13之间的通信数据或命令;核心网13,用于在接入网12和物联网服务器14之间进行通信数据或命令交换,还用于在不同接入网12之间转发通信数据或命令;物联网服务器14,用于对本地物联网11中的物联网路由器15和节点设备16进行安全认证。优选的,所述物联网系统还可以包括用户终端17,用于接入核心网13,通过核心网13对本地物联网11中的物联网路由器15和节点设备16进行监控管理。如图1所示,用户终端17形式多样,可以为台式电脑,也可以是手机等移动终端;而且,用户终端17可以通过接入网直接接入核心网(例如移动终端),也可以通过hternet网接入核心网(例如远程控制的电脑)。下面对上述物联网系统的结构进行详细说明。1、本地物联网在所述本地物联网中,物联网路由器具有以下特点和功能(1)具有全局唯一标识(ID),可以作为物联网路由器所在的本地物联网的全局标识,从而可有序管理,其中所述全局是指整个物联网系统;(2)实现物联网路由器所在的本地物联网内各节点设备之间的数据交换和路由;(3)实现物联网路由器所在的本地物联网内的节点设备与外部网络之间的数据交换与路由;(4)实现协议的转换,本地物联网内部的通信协议可能是多种多样的,要实现本地物联网与外部接入网的互联,就需要进行协议的转换;(5)完成对物联网路由器所在的本地物联网内节点设备的安全认证和管理。所述本地物联网的节点设备是安装了 RFID或植入了通信模块的设备或物品,主要功能包括将收集的感知信息数据通过通信芯片进行发送或接收;或者将收集的感知信息数据通过RFID被物联网路由器等设备识别管理。在所述本地物联网中,被管理的节点设备可分为以下三类第一类,具有高优先级的设备,这类节点设备包括大宗物品或重要设备等,一般造价很高并具有移动性,如私人汽车、公交车、集装箱等。这类节点设备具有全局唯一的ID,每个节点设备对应一个物联网路由器,物联网路由器可直接安装或集成到节点设备上随节点设备移动,因此这类节点设备的全局ID即为其上集成的物联网路由器的全局ID,这类节点设备也可认为具有物联网路由器的功能。而且,由于物联网路由器具有通信模块,因此这类具有全局ID的节点设备可直接被接在核心网的用户终端访问和控制。第二类,一般的移动设备,如钥匙、钱包、相机等物品,其上可加装相应的通信模块或RFID。这类物品数量巨大,如果拥有全局ID,成本高,资源消耗大。所以,这些随身携带的物品可构成一个子网,如图1中的子网1,该子网通过一个物联网路由器与外部网络通信, 这个物联网路由器分别与子网中的各节点设备相连,子网内的每个节点设备具有一个在子网内唯一的本地ID,而子网内的物联网路由器具有一个在物联网系统内唯一的全局ID。子网内的物联网路由器可以集成在手机等移动终端上,方便携带。这类物品的特点是具有移动性,并只在子网内具有唯一 ID,由于没有全局的ID,所以核心网不能直接访问,需通过子网内的物联网路由器进行间接访问。在实际应用中,如何判别物品是否属于贵重物品,是属于第一类节点设备还是属于第二类节点设备,可以让用户自行设置。第三类,低优先级的固定设备,如冰箱、电视、洗衣机、热水器等家电,其上加装通信模块或RFID。这些设备接入到物联网路由器,以家庭为单位组成一个子网,如图1中的子网2所示。子网内的各节点设备都通过一个物联网路由器与外部网络通信,这个物联网路由器可以是家庭网关,物联网路由器具有一个在物联网系统内唯一的全局ID,而子网内的每个节点设备具有一个在子网内唯一的本地ID。同样,这类固定设备由于没有全局的ID, 所以核心网不能直接访问,需通过子网内的物联网路由器进行间接访问。基于以上设备分类可知,本地物联网可以包括若干子网,每个子网包括一个物联网路由器以及与该子网的物联网路由器相连的各种节点设备,子网内的每个节点设备具有一个在子网内唯一的本地ID,每个子网内的物联网路由器具有一个在物联网系统内唯一的全局ID,子网内的节点设备可为上述第二类的移动设备,或者为上述第三类的固定设备。此夕卜,本地物联网还可包括上述第一类的节点设备,每个节点设备对应一个物联网路由器,所述对应是指这类节点设备上通常集成一个具有通信模块的物联网路由器,或者本身具有物联网路由器的功能模块,节点设备和物联网路由器具有全局唯一的相同ID。上述三类节点设备中,用户终端可以直接地监控管理所有的物联网路由器以及第一类节点设备,间接监控管理第二类和第三类节点设备。这里的监控管理主要指访问、控制节点。用户也可以把手机、电脑等用户终端设置成本地物联网内的节点设备,并对它进行控制。而用户终端和物联网节点设备的区别在于用户终端可以不在本地物联网内,用户终端可以任何方式接入核心网,而物联网中的节点设备或者通过物联网路由器接入网络,或者本身就具有物联网路由器的功能。2、接入网接入网部分即为电信网,如图1所示,接入网可以是设置基站的无线移动通信网, 也可以是有线的宽带接入网络。接入网可支持不同终端节点的接入,包括物联网路由器、用户终端等。接入网的功能是转发本地物联网与核心网之间的通信数据或命令。3、核 4、网核心网的功能是进行数据的可靠传输,可在接入网和物联网服务器之间进行通信数据或命令交换,如协议转换,并将物联网服务器的数据请求路由至不同的接入网络,或者将接入网的数据请求路由至物联网服务器;同时还可在不同接入网之间转发通信数据或命令,如在移动通信网和宽带网络间进行转发,并保证与接入网相关联的安全。4、物联网服务器物联网服务器可提供物联网路由器或第一类节点设备的注册服务以及安全认证服务。其中,注册服务被用来登记物联网路由器以及第一类节点设备的信息,包括网络中的节点ID以及对应的安全参数等;安全认证服务用于保证物联网相关数据信息的安全,可对物联网路由器和第一类节点设备进行安全认证。综上所述,上述物联网系统在物联网路由器上直接集成通信模块,而用通信模块集成读写功能。如图1所示,考虑以某一特定应用场景为基本单位的本地物联网网络,主要功能是实现家庭传感器节点的管理(比如家电、汽车等物品的监控,或者工业设备的管理和操作,照明系统的智能化和安防等)。其中每个场景内存在物联网路由器,物联网路由器与其它现场设备共同组成一个子网络,所有现场设备的加入必须通过物联网路由器来完成,加入后,子网内部的信息交互可以通过物联网路由器来完成,或在物联网路由器授权的情况下,由节点之间直接通讯完成;而子网内部和子网外部的信息交互需通过物联网路由器、接入网和核心网协作完成。其中物联网路由器和核心传输网的连接可以通过有线或者无线,分别对应着图1的子网1和子网2的运作模式。下面通过图2和图3详细说明上述物联网系统的通信过程。参照图2,是本发明实施例所述物联网系统中用户终端与节点设备的交互流程图。所述用户终端可通过各种方式接入核心网,用户通过用户终端可访问、控制本地物联网中的各节点设备,所述节点设备包括上述三类节点设备。下面以用户对节点设备的实时监控过程为例,用户终端与节点设备的一次交互流程如下步骤201,用户终端向核心网发送控制命令/数据;步骤202,核心网转发所述控制命令/数据给节点设备所在的接入网;步骤203,节点设备所在的接入网继续转发所述控制命令/数据给与节点设备相连的物联网路由器(Router);步骤204,与节点设备相连的物联网路由器(Router)进行协议转换,将所述控制命令/数据转换为物联网内的节点标准数据格式,并将转换后的控制命令/数据发给节点设备;步骤205,节点设备根据所述控制命令/数据,将实时监控数据返回给与该节点设备相连的物联网路由器(Router);步骤206,所述物联网路由器(Router)进行协议转换,将所述实时监控数据转换为符合接入网标准的数据格式,并将转换后的实时监控数据发给接入网;步骤207,接入网向核心网转发所述实时监控数据;步骤208,核心网将所述实时监控数据返回给用户终端。参照图3,是本发明实施例所述物联网系统中节点设备之间的交互流程图。所述节点设备包括上述三类节点设备,不同子网的节点设备之间以及第一类节点设备与子网的第二类或第三类节点设备之间都可相互访问。下面以节点设备1和节点设备2之间的数据交互为例,节点设备1和节点设备2 分别通过物联网路由器(Router)接入不同的接入网,一次交互流程如下
步骤301,节点设备1向与该节点设备1相连的Routerl发送数据;步骤302,Routerl进行协议转换,并将转换后的数据转发给Routerl接入的接入网1 ;步骤303,接入网1将所述数据转发给核心网;步骤304,核心网向Router2接入的接入网2转发所述数据;步骤305,接入网2将所述数据转发给与节点设备2相连的Routerf ;步骤306,Router2进行协议转换,并将转换后的数据转发给节点设备2。基于上述交互流程,上述物联网系统在有机融合了电信网的同时,还可实现对整个系统的安全管理。所述安全管理包括第一,物联网服务器对本地物联网中物联网路由器进行的安全认证;第二,物联网服务器对本地物联网中具有全局唯一 ID的第一类节点设备进行的安全认证;第三,本地物联网中的物联网路由器对对其进行监控管理的用户终端进行的安全认证;第四,本地物联网中每个子网内的物联网路由器对该子网内的节点设备进行的安全认证。下面分别详细说明。1、物联网服务器对本地物联网中物联网路由器进行的安全认证参照图4,是本发明实施例所述物联网系统中对物联网路由器的安全认证流程图。由物联网路由器(Router)到接入网的安全管理如下步骤401,Router通过接入网将认证请求发给核心网;首先Router发起认证请求,需要接入到核心网进行注册,注册接入核心网后,还需通过物联网服务器的认证。步骤402,核心网转发所述认证请求给物联网服务器;Router接入核心网后,核心网在认证请求中添加Router的全局ID和Router所在的服务网络编号,并转发给物联网服务器,请求对Router的身份和其所在的服务网络进行认证。其中,所述服务网络编号是指核心网的网络编号。优选步骤403,物联网服务器对Router所在的服务网络进行验证;物联网服务器接收到核心网发来的认证请求后,为了进一步加强安全性,先根据认证请求中的服务网络编号对Router所在的服务网络进行验证,如果验证失败则拒绝所述认证请求,如果验证通过则执行步骤404。具体的,物联网服务器验证所述Router的全局ID是否与Router所在的服务网络编号相对应,即Router所在的服务网络编号是否真实存在,Router的全局ID是否真实存在,该Router是否注册到了该服务网络编号下。如果对应,则对Router所在服务网络的验证通过;如果不对应,则认证失败,整个认证流程结束。步骤404,物联网服务器生成包含随机数、预期响应和认证令牌的认证向量,并将认证向量中的随机数和认证令牌返回给Router ;物联网服务器可采用多种算法生成认证向量,例如3GPP中的fl、f2、f3、f4、f5 算法等。物联网服务器将随机数和认证令牌发送给核心网,核心网进行存储,并转发给Router。优选步骤405,Router先根据接收到的认证令牌计算信息确认码,并将所述信息确认码与认证令牌中的对应信息进行比较,如果相同,再执行步骤406 ;如果不同,则认证失败;为了防止认证令牌在传输过程中被篡改,Router可以先对接收到的认证令牌进行安全验证,验证方法是根据认证令牌计算信息确认码,如果认证令牌没有被篡改,则计算出来的信息确认码应该与认证令牌中规定位置的信息(即对应信息)相同;如果不同,则说明认证令牌被篡改,则向核心网发送拒绝认证消息,并放弃该过程,整个认证流程结束。步骤406,Router根据接收到的随机数和认证令牌计算认证响应,并将认证响应发给物联网服务器;Router可采用多种算法生成认证响应,例如3GPP中的fl、f2、f3、f4、f5算法等。 Router将用户认证响应发送给核心网,核心网转发给物联网服务器。步骤407,物联网服务器将接收到的认证响应与所述认证向量中的预期响应进行比较,如果相同,则对Router的认证成功;如果不同,则认证失败。在上述对Router的认证过程中,Router和物联网服务器还可进行密钥协商,协商过程是物联网服务器在生成认证向量时,同时生成第一密钥;而Router可根据认证向量中的随机数、认证令牌和自身具有的一些信息计算第二密钥,在上述认证过程通过的基础上,则第一密钥与第二密钥相同,第一密钥与第二密钥成为一对密钥。在后续的Router和物联网服务器之间的数据传输过程中,Router对发给物联网服务器的数据采用第二密钥加密,物联网服务器采用第一密钥进行相应的解密,从而完成安全通信。2、物联网服务器对本地物联网中具有全局唯一 ID的第一类节点设备进行的安全认证物联网服务器对第一类节点设备的认证过程与对物联网路由器(Router)的认证过程类似,具体如图5所示。参照图5,是本发明实施例所述物联网系统中对第一类节点设备的安全认证流程图。由于第一类节点设备集成了物联网路由器或自身具有物联网路由器的功能,因此物联网服务器可直接对第一类节点设备进行安全管理,流程如下步骤501,第一类节点设备通过接入网将认证请求发给核心网;首先第一类节点设备发起认证请求,需要接入到核心网进行注册,注册接入核心网后,还需通过物联网服务器的认证。步骤502,核心网转发所述认证请求给物联网服务器;第一类节点设备接入核心网后,核心网在认证请求中添加第一类节点设备的全局 ID和第一类节点设备所在的服务网络编号,并转发给物联网服务器,请求对第一类节点设备的身份和其所在的服务网络进行认证。其中,所述服务网络编号是指核心网的网络编号。优选步骤503,物联网服务器对第一类节点设备所在的服务网络进行验证;物联网服务器接收到核心网发来的认证请求后,为了进一步加强安全性,先根据认证请求中的服务网络编号对第一类节点设备所在的服务网络进行验证,如果验证失败则拒绝所述认证请求,如果验证通过则执行步骤504。
具体的,物联网服务器验证所述第一类节点设备的全局ID是否与第一类节点设备所在的服务网络编号相对应,即第一类节点设备所在的服务网络编号是否真实存在,第一类节点设备的全局ID是否真实存在,该第一类节点设备是否注册到了该服务网络编号下。如果对应,则对第一类节点设备所在服务网络的验证通过;如果不对应,则认证失败,整个认证流程结束。步骤504,物联网服务器生成包含随机数、预期响应和认证令牌的认证向量,并将认证向量中的随机数和认证令牌返回给第一类节点设备;物联网服务器可采用多种算法生成认证向量,例如3GPP中的fl、f2、f3、f4、f5算法等。物联网服务器将随机数和认证令牌发送给核心网,核心网进行存储,并转发给第一类节点设备。优选步骤505,第一类节点设备先根据接收到的认证令牌计算信息确认码,并将所述信息确认码与认证令牌中的对应信息进行比较,如果相同,再执行步骤506;如果不同, 则认证失败;为了防止认证令牌在传输过程中被篡改,第一类节点设备可以先对接收到的认证令牌进行安全验证,验证方法是根据认证令牌计算信息确认码,如果认证令牌没有被篡改, 则计算出来的信息确认码应该与认证令牌中规定位置的信息(即对应信息)相同;如果不同,则说明认证令牌被篡改,则向核心网发送拒绝认证消息,并放弃该过程,整个认证流程结束。步骤506,第一类节点设备根据接收到的随机数和认证令牌计算认证响应,并将认证响应发给物联网服务器;第一类节点设备可采用多种算法生成认证响应,例如3GPP中的fl、f2、f3、f4、f5 算法等。第一类节点设备将用户认证响应发送给核心网,核心网转发给物联网服务器。步骤507,物联网服务器将接收到的认证响应与所述认证向量中的预期响应进行比较,如果相同,则对第一类节点设备的认证成功;如果不同,则认证失败。在上述对第一类节点设备的认证过程中,第一类节点设备和物联网服务器还可进行密钥协商,协商过程是物联网服务器在生成认证向量时,同时生成第一密钥;而第一类节点设备可根据认证向量中的随机数、认证令牌和自身具有的一些信息计算第二密钥,在上述认证过程通过的基础上,第一密钥与第二密钥相同,第一密钥与第二密钥成为一对密钥。在后续的第一类节点设备和物联网服务器之间的数据传输过程中,第一类节点设备对发给物联网服务器的数据采用第二密钥加密,物联网服务器采用第一密钥进行相应的解密,从而完成安全通信。3、本地物联网中的物联网路由器对对其进行监控管理的用户终端进行的安全认证用户终端可通过各种方式接入核心网,进而通过核心网和接入网对本地物联网中的物联网路由器进行监控管理。但是,物联网路由器需要对其所属管理员进行鉴权,防止其他未经授权的用户获取其相应信息。具体的鉴权过程是物联网路由器根据预设的用户终端名单,对用户终端进行认证,所述用户终端是对该物联网路由器进行监控管理的用户终端,如果该用户终端ID在所述用户终端名单中,则认证成功;否则,认证失败。其中,所述用户终端名单中可设置主用户
13终端的ID以及其他用户终端的ID,用户可通过主用户终端对所述用户终端名单进行上述设置,假设用户使用其他用户终端进行操作,如果其他用户终端的ID是主用户终端在名单中设定好的用户ID,则允许其接入并进行操作(操作时可能需要相应的密码),如果是名单之外的其他ID,则拒绝接入。4、本地物联网中每个子网内的物联网路由器对该子网内的节点设备进行的安全认证当物联网路由器对用户终端的鉴权通过后,用户可使用该用户终端对物联网路由器进行访问、控制,如在该物联网路由器所在的子网内加入或删除哪些节点设备等。如果要加入节点设备,则物联网路由器需要对加入的节点设备进行安全认证管理。子网内部的鉴权和管理可采用现有物联网中的安全认证方法,例如子网内的物联网路由器根据预设的节点设备名单,对该子网内的节点设备的认证,如果节点设备ID在所述节点设备名单中,则认证成功;否则,认证失败。综上所述,本发明提供的物联网系统及物联网系统的安全管理方法具有以下优占.
^ \\\ ·第一,所述物联网架构通过增强路由器的功能使之成为物联网路由器,并增加物联网服务器,即可在当前包含移动通信网的电信网不需要大规模改动的情况下实现与物联网的有机融合;第二,本发明提出基于机卡分离的方法,对物联网路由器进行高可靠度的安全性管理,保证了物联网的数据和命令的安全性,使得本地物联网可以通过电信网络进行运营
管理;第三,提出对物联网的节点设备的分类安全管理办法,从而对物联网内的节点设备实现有序化管理。本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。以上对本发明所提供的一种物联网系统及物联网系统的安全管理方法,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种物联网系统,其特征在于,包括本地物联网、接入网、核心网和物联网服务器, 其中,本地物联网,包括物联网路由器以及与物联网路由器相连的节点设备,节点设备通过物联网路由器与接入网通信;接入网,用于转发本地物联网与核心网之间的通信数据或命令; 核心网,用于在接入网和物联网服务器之间进行通信数据或命令交换,还用于在不同接入网之间转发通信数据或命令;物联网服务器,用于对本地物联网中的物联网路由器和节点设备进行安全认证。
2.根据权利要求1所述的物联网系统,其特征在于,还包括用户终端,用于接入核心网,通过核心网和接入网对本地物联网中的物联网路由器和节点设备进行监控管理。
3.根据权利要求1或2所述的物联网系统,其特征在于所述本地物联网包括至少一个子网,每个子网包括一个物联网路由器以及与该子网的物联网路由器相连的节点设备,子网内的每个节点设备具有一个在子网内唯一的本地ID, 每个子网内的物联网路由器具有一个在物联网系统内唯一的全局ID ; 子网内的节点设备为移动设备或者为固定设备。
4.根据权利要求3所述的物联网系统,其特征在于所述本地物联网还包括具有全局唯一 ID的节点设备,每个具有全局唯一 ID的节点设备对应一个物联网路由器。
5.根据权利要求4所述的物联网系统,其特征在于所述物联网服务器对本地物联网中的物联网路由器和具有全局唯一 ID的节点设备进行安全认证。
6.根据权利要求3所述的物联网系统,其特征在于所述本地物联网中每个子网内的物联网路由器对该子网内的节点设备进行安全认证。
7.根据权利要求2所述的物联网系统,其特征在于所述本地物联网中的物联网路由器对用户终端进行安全认证,所述用户终端是对该物联网路由器进行监控管理的用户终端。
8.一种物联网系统的安全管理方法,其特征在于,所述物联网系统包括本地物联网、接入网、核心网、物联网服务器和用户终端,所述本地物联网包括物联网路由器以及与物联网路由器相连的节点设备;所述安全管理方法包括物联网服务器对物联网路由器的认证,所述认证包括 物联网服务器接收物联网路由器依次通过接入网和核心网发送来的认证请求; 生成包含随机数、预期响应和认证令牌的认证向量,并将认证向量中的随机数和认证令牌返回给所述物联网路由器;接收物联网路由器发来的认证响应,所述认证响应由物联网路由器根据接收到的随机数和认证令牌计算得到;将接收到的认证响应与所述认证向量中的预期响应进行比较,如果相同,则对该物联网路由器的认证成功;如果不同,则认证失败。
9.根据权利要求8所述的安全管理方法,其特征在于,所述物联网服务器对物联网路由器的认证还包括物联网路由器先根据接收到的认证令牌计算信息确认码,并将所述信息确认码与认证令牌中的对应信息进行比较,如果相同,再根据接收到的随机数和认证令牌计算认证响应; 如果不同,则认证失败。
10.根据权利要求8或9所述的安全管理方法,其特征在于,所述物联网服务器对物联网路由器的认证还包括物联网服务器接收的认证请求中包含物联网路由器的全局ID和物联网路由器所在的服务网络编号;验证所述物联网路由器的全局ID是否与物联网路由器所在的服务网络编号相对应, 如果对应,则对物联网路由器所在服务网络的验证通过,然后再生成认证向量;如果不对应,则认证失败。
11.根据权利要求8所述的安全管理方法,其特征在于所述本地物联网包括具有全局ID的节点设备,每个具有全局ID的节点设备对应一个物联网路由器;所述安全管理方法还包括物联网服务器对具有全局ID的节点设备的认证,所述认证包括物联网服务器接收具有全局ID的节点设备依次通过物联网路由器、接入网和核心网发送来的认证请求;生成包含随机数、预期响应和认证令牌的认证向量,并将认证向量中的随机数和认证令牌返回给所述具有全局ID的节点设备;接收具有全局ID的节点设备发来的认证响应,所述认证响应由具有全局ID的节点设备根据接收到的随机数和认证令牌计算得到;将接收到的认证响应与所述认证向量中的预期响应进行比较,如果相同,则对该具有全局ID的节点设备的认证成功;如果不同,则认证失败。
12.根据权利要求11所述的安全管理方法,其特征在于,所述物联网服务器对具有全局ID的节点设备的认证还包括具有全局ID的节点设备先根据接收到的认证令牌计算信息确认码,并将所述信息确认码与认证令牌中的对应信息进行比较,如果相同,再根据接收到的随机数和认证令牌计算认证响应;如果不同,则认证失败。
13.根据权利要求11或12所述的安全管理方法,其特征在于,所述物联网服务器对具有全局ID的节点设备的认证还包括物联网服务器接收的认证请求中包含节点设备的全局ID和节点设备所在的服务网络编号;验证所述节点设备的全局ID是否与节点设备所在的服务网络编号相对应,如果对应, 则对节点设备所在服务网络的验证通过,然后再生成认证向量;如果不对应,则认证失败。
14.根据权利要求8或11所述的安全管理方法,其特征在于,还包括物联网路由器对用户终端的认证,所述认证包括物联网路由器根据预设的用户终端名单,对用户终端进行认证,如果该用户终端ID在所述用户终端名单中,则认证成功;否则,认证失败;其中,所述用户终端是对该物联网路由器进行监控管理的用户终端。
15.根据权利要求8或11所述的安全管理方法,其特征在于,还包括物联网路由器对用户终端的认证,所述认证包括所述本地物联网包括至少一个子网,每个子网包括一个物联网路由器以及与该子网的物联网路由器相连的节点设备,子网内的每个节点设备具有一个在子网内唯一的本地ID ; 所述安全管理方法还包括每个子网内的物联网路由器对该子网内的节点设备的认证, 所述认证包括每个子网内的物联网路由器根据预设的节点设备名单,对该子网内的节点设备进行认证,如果节点设备ID在所述节点设备名单中,则认证成功;否则,认证失败。
全文摘要
本发明提供了一种物联网系统及物联网系统的安全管理方法,以解决物联网与电信网的融合问题。所述一种物联网系统,包括本地物联网,包括物联网路由器以及与物联网路由器相连的节点设备,节点设备通过物联网路由器与接入网通信;接入网,用于转发本地物联网与核心网之间的通信数据或命令;核心网,用于在接入网和物联网服务器之间进行通信数据或命令交换,还用于在不同接入网之间转发通信数据或命令;物联网服务器,用于对本地物联网中的物联网路由器和节点设备进行安全认证。本发明可在当前包含移动通信网的电信网不需要大规模改动的情况下实现与物联网的有机融合。
文档编号H04W12/00GK102547680SQ201010594880
公开日2012年7月4日 申请日期2010年12月17日 优先权日2010年12月17日
发明者任海豹, 张辉, 王西强, 赵明, 黄少英 申请人:北京创毅视讯科技有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:张辉;王西强;赵明;黄少英;任海豹
  • 技术所有人:北京创毅视讯科技有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
物联网管理系统相关技术
物联网卡管理系统相关技术
物联网设备管理系统相关技术
物联网仓储管理系统相关技术
物联网云端管理系统相关技术
物联网资产管理系统相关技术
物联网系统管理员相关技术
移动物联网管理系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2