一种基于设备知识的物联网网关登录检测方法与流程

本发明涉及网络安全认证领域，尤其涉及一种基于设备知识的物联网网关登录检测方法。

背景技术：

物联网技术的出现，使我们的生活更加方便、快捷的同时，也不可避免地带来了一些安全问题。物联网中的很多应用都与我们的生活息息相关，如摄像头，智能恒温器等设备，通过对它们的信息的采集，可直接或间接地暴露用户的隐私信息。由于生产商缺乏安全意识，很多设备缺乏加密、认证、访问控制管理的安全措施，使得物联网中的数据很容易被窃取或非法访问，造成数据泄露。物联网这种新型的信息网络往往会遭受有组织的apt攻击。由此可见，物联网安全问题需要引起我们的高度重视。

认证是目前物联网隐私保护常用的安全防护手段，但是物联网环境中的部分访问无认证或认证采用默认密码、弱密码，同时作为用户，安全意识不强，并不能保证定期修改密码。在访问控制管理方面，设备的安全配置长期不更新，不核查，或者未授权访问，都会造成用户私有数据的泄漏。

物联网设备的一般连接过程，如，家庭用户登陆物联网设备，在实现准入阶段，目前采用常用方法包括，app验证或wifi接入认证，当物联网设备正常登录上线时，需要用户参与到物联网设备入网登陆验证，验证通过后，设备可以访问云端服务器的用户私有数据。

针对上述物联网设备连接过程，对应的标准设备身份验证过程应该如下：

1)设备上互联网后，需要一个激活过程；

2)设备向远程应用层平台(云平台，用户平台)申请激活，包括厂商、生产批次、生产密码、芯片唯一编码等信息；

3)应用层平台判断设备真实性及合法性，并通过激活，根据诸多信息生成全局唯一的设备编码，如果是重复激活，需要根据芯片唯一编码追溯到上一次分配给该设备的设备编码；

4)应用层平台告知硬件设备激活成功，并下发设备编码以及设备密码，设备永久保存设备编码以及设备密码；

5)设备多次激活，密码必须改变，编码不变；

6)设备激活以后，每一次连接云平台，必须提交设备编码，以及使用设备密码加密一段随机数，不要提交设备密码，以防被拦截窃取。

但是，随着家庭中智能设备的增多，设备本身的访问控制并不足以抵抗日益复杂的网络攻击，如果设备本身存在漏洞，攻击者将可能绕过设备的认证环节。因此，在传统物联网设备登陆验证过程中仅仅采用基于口令的方式实现用户私有数据保护总是显得力不从心的情况下，需要借助更广泛的信息来对设备敏感信息做验证。

技术实现要素：

为了解决上述技术所存在的不足之处，本发明提供了一种基于设备知识的物联网网关登录检测方法。

为了解决以上技术问题，本发明采用的技术方案是：一种基于设备知识的物联网网关登录检测方法，包括：

在物联网设备首次接入网关时，基于统计和频繁模式挖掘等机器学习方法，构造针对设备知识库，并将该设备知识库保存到网关；

当物联网设备再次接入网关时，采用用户提问方式，基于网关保存的设备知识库对用户进行提问，当用户答对或满足一定信任值后，准许该物联网设备连接网关通信。

进一步地，所述设备知识库包括设备层知识和用户层知识；所述设备层知识为设备登录网关时提交的数据信息，所述用户层知识为用户提供的访问登录信息；

所述设备层知识包括以下信息的一种或几种：登录ip地址、地理位置、mac地址、设备识别码、设备类型码、设备处理登陆时间；所述用户登录信息包括以下信息的一种或几种：用户名、口令、用户访问记录、用户手机验证码、辅助验证工具、用户初次配置时间。

进一步地，所述设备再次接入网关时，对用户进行提问包括：

当用户欲获取隐私数据时，网关对接入设备进行验证提问：网关对用户发出设备知识提问请求，当用户通过验证后准许用户获得隐私；云平台对设备的ip地址、mac地址、ca证书、私钥以及设备自身信息做验证，准许其接入云平台网络；

和对用户进行设备接入网关做验证：平台在用户辅助下，对设备的登录时间、登录方式、ip地址、证书、设备识别码等信息做准入，允许该设备接入网关。

进一步地，所述设备首次接入网关后，当网关与云服务器联网，网关保存的设备知识库同步到云服务器。

进一步地，所述设备再次接入网关时的实现方法包括：

步骤1、物联网设备向网关设备发起接入认证；

步骤2、网关设备采用用户提问方式向用户确认连接；

步骤3、用户通过答对或满足一定信任值确认物联网设备的连接；

步骤4、物联网设备在物联网云端进行认证；

步骤5、物联网云端确认设备连接；

步骤6、网关设备完成对物联网设备的认证。

本发明提供了一种基于设备知识的验证方法，在物联网设备所在局域网的统一出口网关上提出全新的技术方案，不仅仅实现了防止非授权用户登陆iot设备，更重要的是防范非法用户访问设备的云端服务器私有数据。在本发明提出的技术方案前提下，例如当用户需要访问手环的地理信息记录，以往用户直接接触到物理设备即可获取相关信息，现在我们在用户访问远程应用平台获取相关信息前加了一层验证，该验证实现基于用户访问信息、设备自身信息等知识构成，通过对用户进行提问方式，确认用户真实性，从而实现对个人隐私数据的保护。本发明的方法在接入网关时，不需要云端服务器参与设备接入认证与用户身份认证，可以防止中间人攻击、弱口令爆破等传统攻击方法。

附图说明

图1为本发明的方法的流程示意图。

图2为本发明中物联网设备首次接入网关时设备工作流程图。

图3为本发明中设备知识库的示意图。

图4为物联网设备接入网络的流程图。

图5为设备登录流程的流程示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

1.设备知识及提问机制

如图1所示，采用基于设备知识模型的登录验证方法，包括：

如图2所示，在物联网设备首次接入网关时，基于统计和频繁模式挖掘等机器学习方法，构造针对设备知识库，并将该设备知识库保存到网关；设备与云服务器联网后，网关保存的设备知识库与云服务器知识库同步知识。

当物联网设备再次接入网关时，采用用户提问方式，基于网关保存的设备知识库对用户进行提问，当用户答对或满足一定信任值后，准许该物联网设备连接网关通信。

如图3所示的设备知识库，分为设备层和用户层，设备层主要为设备登录网关时提交的数据信息；用户层主要为用户提供的访问登录信息，包括常登录网站、常登录方式、登录口令等内容。

2.方案实现场景

本发明中，设备知识的获取将在设备首次接入网关时进行采集，技术方案中设备知识提问机制主要针对该设备再次接入网关的情形，具体场景如表1所示。

表1

3.方案实现流程

本发明中，物联网设备接入网络的流程如图4所示，包括：

步骤1、物联网设备向网关设备发起接入认证；

步骤2、网关设备采用用户提问方式向用户确认连接；

步骤3、用户通过答对或满足一定信任值确认物联网设备的连接；

步骤4、物联网设备在物联网云端进行认证；

步骤5、物联网云端确认设备连接；

步骤6、网关设备完成对物联网设备的认证。

整个方案中，设备登录流程的示意图如图5所示，物联网设备登录发起后，网关设备基于设备知识库采用设备提问机制，完成设备登录验证，并在物联网设备确认登录。

上述实施方式并非是对本发明的限制，本发明也并不仅限于上述举例，本技术领域的技术人员在本发明的技术方案范围内所做出的变化、改型、添加或替换，也均属于本发明的保护范围。