一種感知通信網際網路關及數據處理方法

2023-08-08 04:22:06

一種感知通信網際網路關及數據處理方法
【專利摘要】本發明公開了一種感知通信網際網路關及數據處理方法，整個方案包括硬體部分和軟體功能部分。硬體部分由主控制部分、感知通信部分、應用網絡連接部分、數據安全處理部分、系統擴展部分和電源部分組成。軟體部分由嵌入式作業系統、web服務、無線短程通信、總線通信、視頻採傳、安全接入等構成。本發明通過嵌入式系統和安全硬體加固的設計方案，一方面實現了感知終端安全接入的管理和感知數據加密通信保障，另一方面實現了網關與應用服務端的安全連接和加密通信。該網關兼容無線短程、總線、多類型視頻等多類感知終端的接入和數據轉發，支持多種協議，具備安全性和易用性。
【專利說明】一種感知通信網際網路關及數據處理方法

【技術領域】
[0001]本發明涉及物聯網和信息安全【技術領域】，具體涉及信息感知和通信的網絡連接設備。

【背景技術】
[0002]感知通信網際網路網關是物聯網相關技術產物之一，物聯網技術主要解決的是物與物、人與物的通信問題，物聯網是在IP網絡的基礎上進行擴展和延伸，通過感知通信使得物與物、人與物之間能夠相互聯繫。物聯網架構可分為三層:感知層、網絡層和應用層，其中連接感知層和網絡層的關鍵設備之一就是感知通信網關，它是物聯網應用中的一個至關重要的環節。
[0003]感知通信網際網路關是一種通信設備，它的主要功能是提供有線或無線類感知終端與接入(IP)網絡的連接互通，並實現數據通信協議的轉換。一方面，它將來自接入網絡的數據和指令進行解析和協議轉換，使其滿足感知通網絡的協議要求，並發送到指定的感知終端設備上；另一方面，它將來自感知網絡的數據和指令，進行解析和協議轉換，使其滿足接入網絡的協議要求，並發送到指定的接入網絡中去。從而實現跨越通信層次和網絡協議的數據交換功能。
[0004]感知通信網際網路關根據其應用不同，通常會有多個類型的通信接口，如:RS_485、RS-232、短程無線通信、WiF1、2G/3G/4G無線公網、Lan等。它可以將不同類型的網絡通過其具備的接口連接起來，並實現數據轉發。這種網關在視頻監控、交通、工業控制、社區安防、智能家居、環境監測等領域有著廣泛的應用。
[0005]感知通信網際網路關除了廣泛的通信支持和網絡互聯的功能外，更重要的一點它也是實現物聯網應用信息安全的關鍵設備。
[0006]但是現有的感知通信網際網路關在感知數據採集及系統互連上信息安全保障方面存在不足，大大影響物聯網中信息數據傳輸的安全性。


【發明內容】

[0007]針對現有產品在感知數據採集及系統互連上信息安全保障不足的問題，本發明的目的之一在於提供一種具備信息安全功能感知網際網路關。
[0008]本發明的目的之二在於提供一種上述感知網際網路關進行數據處理的方法。
[0009]為了達到上述目的，本發明採用如下的技術方案:
[0010]一種感知通信網際網路關，其包括:
[0011]感知通信部分，所述感知通信部分與主控制部分連接，用於與感知終端形成有線/無線連接，並在此基礎上進行符合終端通信協議的感知數據採集或數據傳輸操作；
[0012]應用網絡連接部分，所述應用網絡連接部分與主控制部分連接，用於與應用乙太網絡的互聯，實現終端、網關與乙太網絡互聯的功能支持，並實現感知數據向乙太網絡傳輸的通路；
[0013]數據安全處理部分，所述數據安全處理部分與主控制部分連接，用於進行數據信息的加解密計算和密鑰及密鑰材料的安全存儲；
[0014]系統擴展部分，所述系統擴展部分與主控制部分連接，用於提供系統調試接口，系統時鐘，外部存儲和顯示，防物理拆卸；
[0015]主控制部分，所述主控制部分控制感知通信部分、應用網絡連接部分、數據安全處理部分、系統擴展部分，實現感知終端安全接入的管理和感知數據加密通信保障以及網關與應用服務端的安全連接和加密通信；
[0016]電源部分，所述電源部分向網關提供電源供給。
[0017]在該網際網路關的優選方案中，所述主控制部分包括:
[0018]ARM主控制晶片，所述ARM主控制晶片用於數據安全處理和存儲；
[0019]嵌入式系統，所述嵌入式系統嵌入在ARM主控制晶片中，對網關實現系統管理；
[0020]web服務模塊，所述web服務模塊運行於嵌入式系統，實現本地/網絡登錄網關時的web服務；
[0021]安全無線短程通信模塊，所述安全無線短程通信模塊運行於嵌入式系統，實現網關與無線短程通信終端的信息交互；
[0022]RS-485/RS-232應用通信模塊，所述RS-485/RS-232應用通信模塊運行於嵌入式系統，實現了網關與總線式終端的信息交互；
[0023]加密視頻採集傳輸模塊，所述加密視頻採集傳輸模塊運行於嵌入式系統，實現網關的多類視頻信息採集；
[0024]安全接入客戶端模塊，所述安全接入客戶端模塊運行於嵌入式系統，實現網關與接入應用網絡的乙太網絡可信通信功能。
[0025]進一步的，所述感知通信部分包括:RS232/RS485通信接口、無線射頻模塊、USB通信接口、GPS定位模塊、音視頻通信接口。
[0026]進一步的，所述應用網絡連接部分包括乙太網模塊、WiFi模塊以及移動網際網路通信模塊。
[0027]進一步的，所述數據安全處理部分包括安全協處理器和安全加密卡。
[0028]進一步的，所述系統擴展部分包括外部顯示接口、調試接口、RTC模塊、防拆報警電路以及外部存儲SD接口。
[0029]一種感知通信網際網路關的數據處理方法，所述網關進行數據處理的方法如下:
[0030](I)網關通過存儲於本地的用戶信息資料庫進行用戶認證，進行遠程/本地用戶登錄管理；
[0031](2)網關通過乙太網和安全接入客戶端模塊與應用服務端的安全接入伺服器進行基於公鑰PKI機制的雙向認證並建立可信連接，網關與應用服務端數據通信採用加密方式；
[0032](3)網關與無線短程類、RS-485/RS-232總線類、視頻類終端進行基於預共享密鑰或公鑰協商的認證，並建立可信連接，網關獲取感知終端信息數據採用加密方式；
[0033](4)網關採用指令通道與數據通道分隔的傳輸方式與應用伺服器進行數據通信；
[0034](5)網關通過獨立的日誌和審計方式進行基於安全事件觸發的日誌和審計記錄。
[0035]在該數據處理方法的優選方案中，所述網關進行遠程/本地用戶登錄管理時，網關採用用戶登錄時提供的輸入信息與本地用戶信息進行對比的方式來進行用戶鑑別。
[0036]進一步的，所述網關與應用服務端的網絡伺服器之間的數據通信採用硬體數字證書為認證介質，該證書的授權和註銷由應用服務端的網絡伺服器的證書伺服器來管理和控制。
[0037]進一步的，所述網關與應用服務端的網絡伺服器之間的通信均採用VPN隧道模式，數據包格式可以區分指令所作用的埠類型。
[0038]進一步的，所述指令通道與數據通道分隔的傳輸方式中指令通道採用雙向傳輸模式，並在網關處和安全接入網關的數據入口處具備協議檢查、病毒防護和數據過濾功能；數據通道採用單向傳輸方式。
[0039]進一步的，網關與無線短程類、RS-485/RS-232總線類、視頻類終端的通信預共享密鑰，是通過網關的本地串行接口，使用特定的密鑰傳輸協議單向輸入的，協議不給予反饋信息。
[0040]進一步的，所述網關通過安全接入客戶端模塊將用戶數據存儲於網關的ARM主控制晶片存儲區內。
[0041]進一步的，所述網關還進行指令協議格式檢查和數據包過濾，其中協議格式檢查是通過對比預先設定的應用協議資料庫來進行的，不符合協議的指令和數據會被丟棄，並根據埠丟棄數據的多少，來輔助判定埠安全威脅級別。
[0042]進一步的，所述網關還進行指令數據的病毒、攻擊檢查，對符合協議格式的數據進行病毒、攻擊等特徵資料庫比對，並將疑似指令數據丟棄；並根據埠丟棄數據的多少，來輔助判定埠安全威脅級別。
[0043]進一步的，所述網關還進行時鐘運行校正，由應用服務端的網絡統一授時伺服器提供，並對數據流中的時間信息進行加密，保障數據的時效性及安全性。
[0044]進一步的，所述網關進行網關的日誌/審計時，記錄並審計由以下安全事件觸發的信息:
[0045]觸發條件:
[0046]①用戶登錄失敗事件；
[0047]②應用系統接入認證失敗事件；
[0048]③記錄病毒、攻擊數據丟棄事件。
[0049]本發明提供的方案通過嵌入式系統和安全硬體加固的設計方案，一方面實現了感知終端安全接入的管理和感知數據加密通信保障，另一方面實現了網關與應用服務端的安全連接和加密通信。該網關兼容無線短程、總線、多類型視頻等多類感知終端的接入和數據轉發，支持多種協議，具備安全性和易用性。

【專利附圖】

【附圖說明】
[0050]以下結合附圖和【具體實施方式】來進一步說明本發明。
[0051]圖1為本發明實例中感知通信網關的硬體結構框圖；
[0052]圖2為本發明實例中感知通信網關作業系統上的應用軟體關係圖。

【具體實施方式】
[0053]為了使本發明實現的技術手段、創作特徵、達成目的與功效易於明白了解，下面結合具體圖示，進一步闡述本發明。
[0054]本實例提供的感知通信網際網路關主要由兩方面構成:一方面實現多類感知終端通過感知網際網路關與應用乙太網絡的互聯通信；另一方面實現感知網際網路關對感知終端的接入管理，數據傳輸安全保障等功能；以及實現感知網際網路關接入應用乙太網絡時的雙向認證、訪問控制、數據安全等功能的支持；並通過網關建立應用乙太網絡與感知終端的安全數據鏈路並實現可信通信。
[0055]據此，本實例提供的感知通信網際網路關主要由模塊化的硬體和軟體兩部分組成，並整體上實現具備安全功能的信息感知、數據處理和傳輸:
[0056]①持多種數據接口和多種感知數據採集；
[0057]②支持無線短程網絡的管理；
[0058]③支持感知終端鑑別、感知數據、傳輸的信息安全機制。
[0059]結合圖示案例，本實例提供的感知應用網關主要包括硬體部分和軟體部分。
[0060]參見圖1，其所不為本實例感知應用網關中的硬體部分結構不意圖。感知應用網關中的硬體結構主要包括:一 ARM主控制部分101，一感知通信部分102，一應用網絡通信部分103，一數據安全處理部分104，一系統擴展部分105，一電源部分106。
[0061]其中，ARM主控制部分101為整個網關結構的中樞系統，用於數據安全處理和存儲。該ARM主控制部分101與其它硬體模塊相連，具備控制和管理其它硬體模塊進行數據交互的功能。特別的，ARM主控制部分101和數據安全處理部分104配合構成了網關的信息安全處理系統。
[0062]具體的由ARM C0TEXA7雙核處理器、2G內存晶片、IGFlash存儲晶片、多種接口電路連接器等構成，並具備對稱/非對稱安全算法、硬體真隨機數發生器、總線加/解擾、安全存儲區等功能。
[0063]感知通信部分102通過與ARM主控制部分101的連接，用於實現感知通信數據的採集。該部分主要由RS-232/RS-485通信接口 102a、2.4GHz無線射頻模塊102b、USB通信接口 102c、GPS定位模塊102d以及音視頻通信接口 102e等感知通信埠構成，並由ARM主控制部分101控制其埠使能，分別實現RS-232、RS-485總線傳感/控制通信，2.4GHz無線短程數據通信，USB總線數據通信(I個USB-0TG、2個USB-H0ST)，GPS衛星定位及時鐘信息採集，模擬音視頻信息採集等。
[0064]應用網絡通信部分103通過與ARM主控制部分的連接，用於實現與應用IP網絡的數據傳輸。其主要由乙太網模塊103a、WiFi模塊103b以及移動網際網路通信模塊103c組成，並由ARM主控制部分101控制分別實現乙太網連接的數據通信、WiFi無線連接的數據通信、2G/3G/4G移動網際網路連接的數據通信。
[0065]數據安全處理部分104通過與ARM主控制部分的連接，用於實現信息安全相關的加解密計算和密鑰材料信息存儲的功能。該處理部分由安全協處理器104a和安全加密卡104b構成，其中安全協處理器104a用於處理來自於感知通信部分的數據加解密計算、密碼材料存儲等安全功能，並將結果反饋給ARM主控制部分；安全加密卡104b用於實現網關與應用網絡的雙向認證、數據通信、密碼材料存儲等計算和安全功能。
[0066]系統擴展部分105主要由ARM主控制部分101的周邊電路構成，用於實現本地顯示、本地存儲擴展、系統實時時鐘、防拆報警等功能。該部分主要由外部顯示接口 105a、調試接口 105b、RTC模塊105c、防拆報警電路105d以及外部存儲SD接口 105e，並由ARM主控制模塊控制根據不同的電路模塊連接對應的實現網關板上軟體的本地顯示外擴HDM1、VGA等接口，本地存儲的外擴SD接口，RTC系統實時時鐘，防拆報警等功能。
[0067]其中，調試接口 105b只與ARM主控制部分101進行通信，ARM主控制部分101的處理器上沒有調試接口，且不可改寫固件。
[0068]防拆報警電路105d由電池供電並獨立記錄拆卸情況，在網關開機時可通過乙太網發出拆機報警。
[0069]電源模塊106由多種電源輸入轉換和保護電路構成,用於實現向所有的板載模塊和晶片的供電，以及提供對上述供電的管理和保護功能。具體的通過多路的電源轉換電路與ARM主控制模塊的連接，實現板上多路/多類電源的供電和控制功能。
[0070]參見圖2，其所示為配合上述感知應用網關中硬體部分的軟體系統及應用軟體的關係圖。由圖可知，本實例感知應用網關中的軟體部分包括:一基於嵌入式Linux的Ubuntu系統或Android系統軟體201，一 WEB服務模塊202，一安全無線短程通信模塊203，一RS-485/RS-232應用通信模塊204，一加密視頻採集傳輸模塊205，一應用網絡接入客戶端模塊206。
[0071]其中，嵌入式作業系統201其嵌入運行在ARM主控制部分101中，實現了整個網關的系統管理，即實現所有硬體通信接口的驅動和管理，網關上的本地存儲和擴展存儲管理，顯示和輸入的支持，應用程式管理等功能。特別的，實現了基於硬體的系統安全加固功能，如數字證書加載、更新，應用軟體授權安裝等功能。
[0072]WEB服務模塊202其運行在嵌入式作業系統201中，實現了本地/網絡登錄網關時的web服務，包括:登錄保護，系統基本信息查詢，無線短程通信網絡連接查詢和管理、乙太網連接狀態查詢、設置和管理，RS-232串口設置、視頻編解碼/傳輸設置，安全日誌審計等功能。特別的，其提供了與安全無線短程通信模塊203，RS-485/RS-232應用通信模塊204，加密視頻採集傳輸模塊205，應用網絡接入客戶端模塊206的設置和狀態信息交互，實現了網關管理的WEB頁面服務。
[0073]安全無線短程通信模塊203其運行在嵌入式作業系統201中，實現了網關與無線短程通信終端的信息交互，具體的通過對ARM主控制部分101中的硬體安全算法的調用和計算，實現了基於預置密鑰、真隨機數、256位ECC算法的ECDH密鑰交換及無線短程通信設備接入認證,實現了感知信息數據傳輸的AES-128位算法加解密，並實現了感知數據的協議轉換和乙太網絡轉發功能。
[0074]RS-485/RS-232應用通信模塊204其運行在嵌入式作業系統201中，實現了網關與總線式終端的信息交互，具體實現了 RS-485/RS-232等接口的總線式終端的接入和數據通信，具備安全協議支持終端接入認證及數據加密，並實現了總線感知數據的協議轉換和乙太網絡轉發功能。
[0075]加密視頻採集傳輸模塊205其運行在嵌入式作業系統201中，實現了網關的多類視頻信息採集功能，具體的實現了:
[0076]①基於TV和YPbPr的模擬視頻輸入的模數轉換、數據壓縮編碼，數據流控制及傳輸協議，數據流加密，加密本地存儲及乙太網傳輸功能；
[0077]②基於USB接口的視頻輸入的壓縮編碼，數據流控制及傳輸協議，數據流加密，力口密本地存儲及乙太網傳輸功能；
[0078]③實現了網關本地通過VGA、HDMI等接口的視頻採集實時顯示及回放功能。
[0079]應用網絡接入客戶端模塊206其運行在嵌入式作業系統201中，實現了網關與接入應用網絡的乙太網絡可信通信功能，具體的實現了網關與應用接入伺服器的基於硬體(軟體)數字證書的雙向認證，並在此基礎上的隧道模式通信連接和128位AES算法數據加密傳輸。特別的客戶端提供了存儲區訪問控制機制，可以設定用戶對網關本地存儲內容的訪問控制。
[0080]由上述硬體和軟體部分構成的感知通信網際網路關在進行信息感知和數據處理時，將具備如下功能:
[0081](I)網關通過存儲於本地的用戶信息資料庫進行用戶認證，具備遠程/本地用戶登錄管理功能。
[0082]網關採用用戶登錄時提供的輸入信息與本地用戶信息進行對比的方式來進行用戶鑑別，本地用戶信息包括在網關上註冊的:用戶名、密碼，以及配置的訪問權限。
[0083](2)網關通過乙太網和安全網絡接入客戶端模塊與應用服務端的安全接入伺服器進行基於公鑰PKI機制的雙向認證並建立可信連接，網關與應用服務端數據通信採用加密方式，具體由網關中的ARM主控制部分調用安全加密卡來實現。
[0084]網關與應用服務端的網絡伺服器進行加密數據通信時，採用硬體數字證書為認證介質，該證書的授權和註銷由應用服務端的網絡伺服器的證書伺服器來管理和控制。
[0085]所述應用服務端的網絡伺服器與網關的通信均採用VPN隧道模式，數據包格式可以區分指令所作用的埠類型，類型包括:限定的串行接口、無線通信接口、USB接口、音視頻模擬接口、乙太網接口。
[0086](3)網關與無線短程類、RS-485/RS-232總線類、視頻類終端進行基於預共享密鑰或公鑰協商的認證，並建立可信連接，網關獲取感知終端信息數據採用加密方式，具體由網關中的ARM主控制部分調用安全協處理器來實現。
[0087]網關與無線短程類、RS-485/RS-232總線類、視頻類終端的通信預共享密鑰，是通過網關的本地串行接口，使用特定的密鑰傳輸協議單向輸入的，協議不給予反饋信息。
[0088](4)網關與應用伺服器之間數據通信，採用指令通道與數據通道分隔的傳輸方式，①指令通道採用雙向傳輸模式，並在網關處和安全接入網關的數據入口處具備協議檢查、病毒防護和數據過濾功能；②數據通道採用單向傳輸方式，即網關向安全接入網關單向傳輸數據。
[0089](5)網關具備獨立的日誌和審計功能，可進行基於安全事件觸發的日誌和審計記錄。網關在進行日誌/審計時，記錄並審計由以下安全事件觸發的信息。
[0090]觸發條件:
[0091]①用戶登錄失敗事件；
[0092]②應用系統接入認證失敗事件；
[0093]③記錄病毒、攻擊數據丟棄事件。
[0094]日誌格式為:日期/時間、事件類型、事件主體、成功/失敗。
[0095]除此之外，本網關還具有指令協議格式檢查和數據包過濾功能，協議格式檢查是通過對比預先設定的應用協議資料庫來進行的，不符合協議的指令和數據會被丟棄，並根據埠丟棄數據的多少，來輔助判定埠安全威脅級別。
[0096]本網關還具有指令數據的病毒、攻擊檢查功能，對符合協議格式的數據進行病毒、攻擊等特徵資料庫比對，並將疑似指令數據丟棄。並根據埠丟棄數據的多少，來輔助判定埠安全威脅級別。
[0097]本網關還進行時鐘運行校正，由應用服務端的網絡伺服器統一授時伺服器提供，並對數據流中的時間信息進行加密，保障數據的時效性及安全性。
[0098]該網關在使用過程中，用戶數據(包括用戶信息資料庫、密鑰材料、特殊信息等)採用安全接入客戶端模塊提供的加密存儲功能，並存儲於網關的ARM主控制部分的存儲區內，該處理器具備多種物理安全防護功能，只有具備訪問權限，即具備讀取密鑰的用戶方可訪問加密數據內容。
[0099]由上可知，本實例提供的感知通信網際網路關除了廣泛的通信支持和網絡互聯的功能外，還能夠保證物聯網應用信息安全。其通過部署的安全模塊，一方面可以保障感知層的信息安全，另一方面，還可以保障接入網絡不受感知層的入侵。
[0100]再者，通過本實例提供的感知通信網際網路關能夠實現物聯網應用系統擁有對連接的網絡和終端的強大管理能力，通過本網關可實現對接入的例如註冊、訪問、狀態反饋等管理支持功能，通過本網關還可對接入感知終端進行管理和必要的數據傳輸保護支持。通過感知通信網際網路關上部署的信息安全模塊，可以提供對以上兩種管理能力充分支持和安全保障。
[0101]以上顯示和描述了本發明的基本原理、主要特徵和本發明的優點。本行業的技術人員應該了解，本發明不受上述實施例的限制，上述實施例和說明書中描述的只是說明本發明的原理，在不脫離本發明精神和範圍的前提下，本發明還會有各種變化和改進，這些變化和改進都落入要求保護的本發明範圍內。本發明要求保護範圍由所附的權利要求書及其等效物界定。
【權利要求】
1.一種感知通信網際網路關，其特徵在於，所述網關包括: 感知通信部分，所述感知通信部分與主控制部分連接，用於與感知終端形成有線/無線連接，並在此基礎上進行符合終端通信協議的感知數據採集或數據傳輸操作； 應用網絡連接部分，所述應用網絡連接部分與主控制部分連接，用於與應用乙太網絡的互聯，實現終端、網關與乙太網絡互聯的功能支持，並實現感知數據向乙太網絡傳輸的通路； 數據安全處理部分，所述數據安全處理部分與主控制部分連接，用於進行數據信息的加解密計算和密鑰及密鑰材料的安全存儲； 系統擴展部分，所述系統擴展部分與主控制部分連接，用於提供系統調試接口，系統時鐘，外部存儲和顯示，防物理拆卸； 主控制部分，所述主控制部分控制感知通信部分、應用網絡連接部分、數據安全處理部分、系統擴展部分，實現感知終端安全接入的管理和感知數據加密通信保障以及網關與應用服務端的安全連接和加密通信； 電源部分，所述電源部分向網關提供電源供給。
2.根據權利要求1所述的一種感知通信網際網路關，其特徵在於，所述主控制部分包括: 八咖主控制晶片，所述仙1主控制晶片用於數據安全處理和存儲； 嵌入式系統，所述嵌入式系統嵌入在仙1主控制晶片中，對網關實現系統管理； 服務模塊，所述冊13服務模塊運行於嵌入式系統，實現本地/網絡登錄網關時的 服務； 安全無線短程通信模塊，所述安全無線短程通信模塊運行於嵌入式系統，實現網關與無線短程通信終端的信息交互； ^8-485/1^8-232應用通信模塊，所述1^-485作3-232應用通信模塊運行於嵌入式系統，實現了網關與總線式終端的信息交互； 加密視頻採集傳輸模塊，所述加密視頻採集傳輸模塊運行於嵌入式系統，實現網關的多類視頻信息採集； 安全接入客戶端模塊，所述安全接入客戶端模塊運行於嵌入式系統，實現網關與接入應用網絡的乙太網絡可信通信功能。
3.根據權利要求1所述的一種感知通信網際網路關，其特徵在於，所述感知通信部分包括:舊232作3485通信接口、無線射頻模塊、^88通信接口、6？8定位模塊、音視頻通信接口。
4.根據權利要求1所述的一種感知通信網際網路關，其特徵在於，所述應用網絡連接部分包括乙太網模塊、模塊以及移動網際網路通信模塊。
5.根據權利要求1所述的一種感知通信網際網路關，其特徵在於，所述數據安全處理部分包括安全協處理器和安全加密卡。
6.根據權利要求1所述的一種感知通信網際網路關，其特徵在於，所述系統擴展部分包括外部顯示接口、調試接口、模塊、防拆報警電路以及外部存儲30接口。
7.—種感知通信網際網路關的數據處理方法，其特徵在於，所述網關進行數據處理的方法如下: (1)網關通過存儲於本地的用戶信息資料庫進行用戶認證，進行遠程/本地用戶登錄管理； (2)網關通過乙太網和安全接入客戶端模塊與應用服務端的安全接入伺服器進行基於公鑰機制的雙向認證並建立可信連接，網關與應用服務端數據通信採用加密方式； (3)網關與無線短程類、^8-485/^8-232總線類、視頻類終端進行基於預共享密鑰或公鑰協商的認證，並建立可信連接，網關獲取感知終端信息數據採用加密方式； (4)網關採用指令通道與數據通道分隔的傳輸方式與應用伺服器進行數據通信； (5)網關通過獨立的日誌和審計方式進行基於安全事件觸發的日誌和審計記錄。
8.根據權利要求7所述的一種感知通信網際網路關的數據處理方法，其特徵在於，所述網關進行遠程/本地用戶登錄管理時，網關採用用戶登錄時提供的輸入信息與本地用戶信息進行對比的方式來進行用戶鑑別。
9.根據權利要求7所述的一種感知通信網際網路關的數據處理方法，其特徵在於，所述網關與應用服務端的網絡伺服器之間的數據通信採用硬體數字證書為認證介質，該證書的授權和註銷由應用服務端的網絡伺服器的證書伺服器來管理和控制。
10.根據權利要求7所述的一種感知通信網際網路關的數據處理方法，其特徵在於，所述網關與應用服務端的網絡伺服器之間的通信均採用隧道模式，數據包格式可以區分指令所作用的埠類型。
11.根據權利要求7所述的一種感知通信網際網路關的數據處理方法，其特徵在於，所述指令通道與數據通道分隔的傳輸方式中指令通道採用雙向傳輸模式，並在網關處和安全接入網關的數據入口處具備協議檢查、病毒防護和數據過濾功能；數據通道採用單向傳輸方式。
12.根據權利要求7所述的一種感知通信網際網路關的數據處理方法，其特徵在於，網關與無線短程類、^8-485/^8-232總線類、視頻類終端的通信預共享密鑰，是通過網關的本地串行接口，使用特定的密鑰傳輸協議單向輸入的，協議不給予反饋信息。
13.根據權利要求7所述的一種感知通信網際網路關的數據處理方法，其特徵在於，所述網關通過安全接入客戶端模塊將用戶數據存儲於網關的仙1主控制晶片存儲區內。
14.根據權利要求7所述的一種感知通信網際網路關的數據處理方法，其特徵在於，所述網關還進行指令協議格式檢查和數據包過濾，其中協議格式檢查是通過對比預先設定的應用協議資料庫來進行的，不符合協議的指令和數據會被丟棄，並根據埠丟棄數據的多少，來輔助判定埠安全威脅級別。
15.根據權利要求7所述的一種感知通信網際網路關的數據處理方法，其特徵在於，所述網關還進行指令數據的病毒、攻擊檢查，對符合協議格式的數據進行病毒、攻擊等特徵資料庫比對，並將疑似指令數據丟棄；並根據埠丟棄數據的多少，來輔助判定埠安全威脅級別。
16.根據權利要求7所述的一種感知通信網際網路關的數據處理方法，其特徵在於，所述網關還進行時鐘運行校正，由應用服務端的網絡統一授時伺服器提供，並對數據流中的時間信息進行加密，保障數據的時效性及安全性。
17.根據權利要求7所述的一種感知通信網際網路關的數據處理方法，其特徵在於，所述網關進行網關的日誌/審計時，記錄並審計由以下安全事件觸發的信息: 觸發條件: ①用戶登錄失敗事件；②應用系統接入認證失敗事件；③記錄病毒、攻擊數據丟棄事件。
【文檔編號】H04L12/66GK104410569SQ201410696853
【公開日】2015年3月11日 申請日期:2014年11月26日 優先權日:2014年11月26日
【發明者】楊明, 鞏思亮, 梁辰, 梅林 , 齊力, 吳軼軒, 唐前進 申請人:公安部第三研究所