一种物联网安全防护系统

本发明涉及物联网，特别涉及一种物联网安全防护系统。

背景技术：

1、随着物理网技术的发展，家庭中能够接入物联网的智能家居硬件也越来越多。这些智能家居硬件通常通过路由器连接到网络中，用户再通过手机，平板等智能终端对智能家居硬件进行远程操控，例如，不用起身就能通过手机控制窗帘的打开与关闭，在卧室就能通过手机控制客厅灯的开关等，极大提升了智能家居硬件操控的便利性。

2、但是，智能家居硬件接入到网络中，就存在遭受非法攻击的风险，尤其是接入到互联网中，更容易受到非法攻击。为了保证安全性，避免智能家居硬件被非法操控，有的智能家居硬件限定了处于同一局域网中才能进行操控，以降低受到非法攻击的可能性。

3、但是非法攻击者仍然可以通过接入局域网的方式进行非法攻击，智能家居设备仍然面临安全威胁。

技术实现思路

1、本发明提供了一种物联网安全防护系统，能够降低通过局域网入侵的风险。

2、为了解决上述技术问题，本技术提供如下技术方案：

3、一种物联网安全防护系统，包括路由器以及与路由器连接的智能家居设备，路由器用于接收设备对主wifi的接入请求，判断请求接入的设备是否为新设备，如果是新设备，获取该设备的设备信息，基于设备信息确定该设备的显示名称，并将该设备标记为智能终端或智能家居设备；

4、如果标记为智能终端，路由器还用于获取该智能终端的通信数据，基于通信数据分析该智能终端的使用习惯，并基于使用习惯生成用户标签，将用户标签添加到该智能终端的显示名称中；

5、路由器还用于接收智能终端对智能家居设备的控制指令，判断是否为第一次对智能家居设备发送控制指令，如果是，将控制信息发送至预先绑定的主控设备，控制信息包括控制指令以及该智能终端的显示名称；

6、路由器还用于从主控设备获取反馈信息，如果反馈信息为请求通过，将该智能终端加入控制白名单，将控制指令发送至对应的智能家居设备，如果反馈信息为请求拒绝，将该智能终端加入控制黑名单，不进行后续操作。

7、基础方案原理及有益效果如下：

8、通常在家庭内的物联网，即局域网中，路由器会连接各种智能家居设备以及智能终端，智能终端例如手机、平板和电脑等。这些智能终端连接到家庭的局域网后，通过登录对应的app或网页，就具有了操控局域网内智能家居设备的权限。为了保证智能家居设备不会遭受到非法攻击，需要对连入局域网内的智能终端，以及智能终端向智能家居设备发出的控制指令进行管理。

9、本方案中，在设备首次接入主wifi后，通过设备信息对设备进行分类，将智能终端识别出来进行单独的管理。但是仅仅根据设备信息确定设备的显示名称不利于管理用户区分当前接入的智能终端。例如，3个智能终端为同一品牌同一型号的手机，显示名称都一样，难以分辨背后对应的使用者。本方案基于通信数据分析该智能终端的使用习惯，并基于使用习惯生成用户标签，将用户标签添加到该智能终端的显示名称中；由于不同的人使用手机的常用app不同，生成的用户标签也不尽相同，有助于管理用户快速区分当前接入的智能终端的所有人，及早发现非法接入的智能终端，如果发现非法接入的智能终端，管理用户也能知晓当前密码已泄露。当智能终端对智能家居设备进行控制时，本方案设置第二道防线，将控制信息先发送至管理用户绑定的主控设备进行审核，如果审核不通过，即反馈信息为请求拒绝，不执行该智能终端发出的控制指令。

10、综上，本方案能够在智能家居设备执行控制指令前，甄别智能终端，避免智能家居设备遭受非法入侵。

11、进一步，所述路由器在判断接入的设备非新设备，且为智能终端时，再次判断该智能终端是否在控制黑名单中，如果在控制黑名单中，判断是否已配置访客wifi，如果已配置，拒接该智能终端的接入，并开启访客wifi，将访客wifi的配置信息发送至主控设备，配置信息包括wifi名称和wifi密码。

12、二次接入的智能终端如果在控制黑名单中，表明管理用户虽然拒绝了该智能终端操控智能家居设备的权限，但是没有将其踢出主wifi，表明该智能终端并非入侵的设备，可能是管理用户的朋友等。如果该智能终端不需要控制智能家居设备，连接访客wifi,能进一步提高主wifi的安全性。如果当前已配置访客wifi，表明管理用户有使用访客wifi的意愿，此时拒接该智能终端接入主wifi，并开启访客wifi，该智能终端的使用者发现无法连接主wifi后，管理用户可以引导其连接访客wifi，同时也避免了有的管理用户碍于情面不好意思直接拒绝他人连接主wifi的情况。将访客wifi的配置信息发送至主控设备，即使管理用户忘记了访客wifi的密码，也不用花时间去查询。

13、进一步，所述路由器还用于在第一预设时间内没有智能终端接入访客wifi后，关闭访客wifi。

14、可以降低非法入侵者接入访客wifi的概率。

15、进一步，所述路由器从主控设备获取反馈信息后，如果反馈信息为行为监控，将该智能终端加入监控名单，将控制指令发送至对应的智能家居设备；

16、路由器还用于在判断智能终端非第一次对智能家居设备发送控制指令时，再次判断智能终端所处的名单，如果在监控名单中，将控制指令发送至对应的智能家居设备的同时，将控制信息发送至主控设备；

17、如果在控制白名单中，直接将控制指令发送至对应的智能家居设备。

18、通过将某些智能终端加入监控名单，例如家里儿童使用的智能终端，能够对该智能终端发送的控制指令持续监控。

19、进一步，所述路由器还用于在判断智能终端为首次对智能家居设备发送控制指令时，判断控制指令是否为预设的第一类控制指令，如果是预设的第一类控制指令，还判断主控设备当前是否接入路由器，如果接入，将控制指令发送至对应的智能家居设备，同时，将控制信息发送至主控设备。

20、第一类控制指令为对安全不造成影响的控制指令，而且非法入侵是小概率事件，如果此类控制指令采用先审核后放行的方式，体验感较差，例如控制智能灯的开关，需要先审核再放行，延迟高，容易引发用户的反感。本优选方案中，针对对安全不造成影响的控制指令，如果管理用户在家中(即主控设备接入路由器)，采用先放行，再由管理用户进行判断的方式操作，在保证安全的同时，提高了用户体验。

21、进一步，所述路由器判断主控设备当前接入路由器后，还用于判断当前的接入智能终端数量是否大于阈值，如果未大于阈值，将控制指令发送至对应的智能家居设备，同时，将控制信息发送至主控设备；

22、如果大于阈值，还判断该智能终端的显示名称中是否包含用户标签，如果包含用户标签，将控制指令发送至对应的智能家居设备，同时，将控制信息发送至主控设备；如果不包含用户标签，将控制信息发送至主控设备。

23、如果当前的接入智能终端数量大于阈值，管理用户在事后判断时，容易出现不能分辨该智能终端的使用者的情况，因此，只有在该智能终端能够让管理用户有效分辨使用者时(即智能终端的显示名称中包含用户标签)，才启用先放行后判断的操作方式。

24、进一步，所述路由器还用于在接入智能终端的数量大于阈值时，获取所有智能家居设备的状态信息并记录，状态信息包括开启状态或关闭状态；

25、路由器还用于在当前所有智能家居设备的状态信息与记录的状态信息一致时，开启访客wifi。

26、接入智能终端的数量大于阈值的场景可能是举行聚会，获取所有智能家居设备的状态信息并记录，在下一次智能家居设备的状态信息与记录的状态信息一致时，同样是举行家庭聚会的可能性较高，此时开启访客wifi，便于参与聚会的人员直接连入访客wifi。

27、进一步，所述路由器还用于在访客wifi累计接入的智能终端数量大于设定值时，更改访客wifi的密码，并将更改后的密码发送至主控设备；

28、路由器还用于在更改密码后，重新计算智能终端的接入数量。

29、定期更换访客wifi的密码，降低访客wifi密码被泄露的风险。

30、进一步，所述路由器还用于判断预设的智能家居设备在第二预设时间内状态信息的改变是否与设定的条件一致，如果一致，开启访客wifi。

31、例如在3秒内，连续开关厨房的智能灯3次，开启访客wifi。在聚会时，管理用户可能在忙着接待或忙着准备食物，不方便使用主控设备，采用本优选方案的方式，能够方便管理用户对访客wifi进行控制。

32、进一步，所述设备信息包括ip地址和mac地址。