安全通信系统及方法与流程

本发明涉及安全通信，特别是涉及一种安全通信系统及方法。

背景技术：

1、随着物联网技术应用的普遍化，银行不可避免的在基础设施建设，业务系统中都会接入一些传感器等物联网设备，如资产定位设备、抵押品监控传感器、网点监控摄像头等。然而由于终端技术的碎片化，智能终端的生产厂商难以安全金融级别的安全要求生产物联网设备，在接入企业级物联网平台时难以达到安全要求，尤其是计算资源受限的物联网设备，其设备端的安全机制存在一定的盲区，容易造成资产损失与信息泄露。

技术实现思路

1、有鉴于此，本发明提供一种安全通信系统及方法，通过该安全通信系统，可以保证银行的物联网设备与企业级物联网平台通信时的安全性，避免造成资产损失以及信息协议。

2、ca签发服务器、企业级物联网平台及多个边缘网关；

3、每个所述边缘网关部署在其所属的银行分支的物联网设备上；

4、所述ca签发服务器，用于生成ca证书；

5、所述企业级物联网平台部署于总行系统，用于管理各个所述边缘网关；当需要向各个所述银行分支的物联网设备发送执行指令时，从所述ca签发服务器获取所述ca签发服务器最近一次生成的目标ca证书，并向各个所述边缘网关发送的所述目标ca证书及执行指令；

6、所述边缘网关，用于在接收到所述企业级物联网平台下发的所述执行指令及目标ca证书时，并对所述目标ca证书进行认证；当通过对所述目标ca证书的认证后，将所述执行指令更新至该边缘网关所属的银行分支的物联网设备。

7、上述的安全通信系统，可选的，所述ca签发服务器生成ca证书，具体用于：按照预设的时间周期生成ca证书，并将生成的ca证书保存至预设的存储器。

8、上述的安全通信系统，可选的，所述ca签发服务器，还用于：删除历史生成的ca证书。

9、上述的安全通信系统，可选的，所述企业级物联网平台，包括：

10、总行管理模块、分行管理模块及ca证书处理模块；

11、所述总行管理模块，用于接收总行系统下发的执行指令，并确定待接收所述执行指令的各个目标银行分支；

12、所述ca证书处理模块，用于向所述ca签发服务器发送证书申请请求，并获得所述ca签发服务器基于所述证书申请请求反馈的最近一次生成的目标ca证书。

13、所述分行管理模块，用于接入属于各个所述目标银行分支的边缘网关，并将所述执行指令及目标ca证书发送至属于各个所述目标银行分支的边缘网关。

14、上述的安全通信系统，可选的，所述边缘网关，包括：

15、安全代理；

16、所述安全代理，用于基于预设ca认证规则，对所述目标ca证书进行认证；当通过对所述目标ca证书的认证后，将所述执行指令更新至物联网设备。

17、上述的安全通信系统，可选的，所述安全代理，还用于：

18、检测所述安全代理所属的银行分支的物联网设备是否存在网络攻击；若所述安全代理所属的银行分支的物联网设备存在网络攻击，则发出报警消息。

19、上述的安全通信系统，可选的，所述安全代理将所述执行指令更新至该边缘网关所属的物联网设备时，具体用于：

20、通过预设的安全传输层tls协议，将所述执行指令更新至该边缘网关所属的物联网设备。

21、上述的安全通信系统，可选的，所述安全代理通过预设的tls协议，将所述执行指令更新至该边缘网关所属的物联网设备时，具体用于：

22、确定所述安全代理所属的物联网设备支持的tls协议的协议版本；判断所述协议版本是否为所述安全代理当前支持的协议版本；若所述协议版本为所述安全代理当前支持的协议版本，则通过所述协议版本的tls协议，将所述执行指令更新至该边缘网关所属的物联网设备。

23、上述的安全通信系统，可选的，所述安全代理，还用于：

24、若所述协议版本并非所述安全代理当前支持的协议版本，则断开与所述物联网平台的连接。

25、一种安全通信方法，所述方法应用于安全通信系统的边缘网关，所述边缘网关部署在其所属的银行分支的物联网设备上，所述方法包括：

26、在接收到所述安全通信系统的企业级物联网平台下发的执行指令及目标ca证书时，对所述目标ca证书进行认证，所述企业级物联网平台部署于总行系统，用于管理所述安全通信系统的多个边缘网关；当需要向银行分支的物联网设备发送执行指令时，从所述安全通信系统的ca签发服务器获取所述ca签发服务器最近一次生成的目标ca证书，并向所述边缘网关发送的所述目标ca证书及执行指令；

27、当通过对所述目标ca证书的认证后，将所述执行指令更新至该边缘网关所属的物联网设备。

28、与现有技术相比，本发明包括以下优点：

29、本发明提供一种安全通信系统，包括：边缘网关部署在其所属的银行分支的物联网设备上；ca签发服务器，用于生成ca证书；企业级物联网平台部署于总行系统，用于管理各个所述边缘网关；当需要向各个银行分支的物联网设备发送执行指令时，从所述ca签发服务器获取所述ca签发服务器最近一次生成的目标ca证书，并向各个所述边缘网关发送的所述目标ca证书及执行指令；边缘网关，用于在接收到所述企业级物联网平台下发的所述执行指令及目标ca证书时，并对所述目标ca证书进行认证；当通过对所述目标ca证书的认证后，将所述执行指令更新至该边缘网关所属的银行分支的物联网设备。应用本发明提供的系统，可以保证银行的物联网设备与企业级物联网平台通信时的安全性，避免造成资产损失以及信息协议。

技术特征：

1.一种安全通信系统，其特征在于，包括：

2.根据权利要求1所述的安全通信系统，其特征在于，所述ca签发服务器生成ca证书，具体用于：按照预设的时间周期生成ca证书，并将生成的ca证书保存至预设的存储器。

3.根据权利要求1或2所述的安全通信系统，其特征在于，所述ca签发服务器，还用于：删除历史生成的ca证书。

4.根据权利要求1所述的安全通信系统，其特征在于，所述企业级物联网平台，包括：

5.根据权利要求1所述的安全通信系统，其特征在于，所述边缘网关，包括：

6.根据权利要求5所述的安全通信系统，其特征在于，所述安全代理，还用于：

7.根据权利要求6或5所述的安全通信系统，其特征在于，所述安全代理将所述执行指令更新至该边缘网关所属的物联网设备时，具体用于：

8.根据权利要求7所述的安全通信系统，其特征在于，所述安全代理通过预设的tls协议，将所述执行指令更新至该边缘网关所属的物联网设备时，具体用于：

9.根据权利要求8所述的安全通信系统，其特征在于，所述安全代理，还用于：

10.一种安全通信方法，其特征在于，所述方法应用于安全通信系统的边缘网关，所述边缘网关部署在其所属的银行分支的物联网设备上，所述方法包括：

技术总结
本发明提供一种安全通信系统及方法，该系统包括：边缘网关部署在其所属的银行分支的物联网设备上；CA签发服务器用于生成CA证书；企业级物联网平台部署于总行系统，用于管理各个边缘网关；当需要向各个银行分支的物联网设备发送执行指令时，从CA签发服务器获取目标CA证书，并向各个边缘网关发送的目标CA证书及执行指令；边缘网关用于在接收到企业级物联网平台下发的执行指令及目标CA证书时，并对目标CA证书进行认证；当通过认证后，将执行指令更新至该边缘网关所属的银行分支的物联网设备。应用本发明提供的系统，可以保证银行的物联网设备与企业级物联网平台通信时的安全性，避免造成资产损失以及信息协议。

技术研发人员：李娜,刘致驿,丁海兰,赵许福
受保护的技术使用者：中国银行股份有限公司
技术研发日：
技术公布日：2024/1/14