(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211553346.5 (22)申请日 2022.12.06 (71)申请人 信联科技 （南京） 有限公司 地址 210000 江苏省南京市江宁经济技 术 开发区东吉大道1号 (72)发明人 胡静　陈飞　张胜　 (74)专利代理 机构 南京经纬专利商标代理有限 公司 32200 专利代理师 田凌涛 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) G16Y 40/50(2020.01) G16Y 30/10(2020.01) (54)发明名称 一种面向海量异构物联网终端的安全接入 系统及接入方法 (57)摘要 本发明涉及一种面向海量异构物联网终端 的安全接入系统， 包括部署 于内网边界的物联网 安全接入网关、 以及部署于内网中彼此相通信的 统一认证系统与统一密钥管 理系统， 并且物联网 安全接入网关包括物理主机、 设于物理主机上的 统一调度与管理模块和硬件密码模块、 以及物理 主机上所虚拟化分别与各终端设备一一对应的 虚拟化安全接入服务模块， 如此结合设计接入 方 法， 根据各类物联网应用场景下终端设备的资源 特性、 网络的通信特点、 以及应用场景的安全防 护需求， 弹性调整虚拟安全接入服务的性能， 从 而实现密码计算资源的集约利用、 动态伸缩， 针 对性地实现各 终端设备的安全接入机制， 更加高 效、 灵活， 能够覆盖更多的物联网应用场景。 权利要求书3页 说明书8页 附图3页 CN 115549932 A 2022.12.30 CN 115549932 A 1.一种面向海量异构物联网终端的安全接入系统， 用于实现指定各通信协议下各终端 设备分别与内网中相应物联网应用之间的安全通信， 其特征在于： 包括部署于内网边界的 物联网安全接入网关、 以及部署于内网中彼此相通信的统一认证系统与统一密钥管理系 统； 物联网安全接入网关包括物理主机、 设于物理主机上 的统一调度与管理模块和硬件密 码模块、 以及物理主机上所虚拟化分别与各终端设备一一对应的虚拟化安全接入服务模 块， 统一调 度与管理模块分别与硬件密码模块、 以及各虚拟化安全接入服务模块相连接； 物 联网安全接入网关与内网中的统一认证系统、 各物联网应用相通信； 各终端设备分别在统一调度与管理模块的调度下、 基于其所对应通信协议连接物联网 安全接入网关中相对应的虚拟化安全接入服务模块， 并基于各虚拟化安全接入服务模块分 别与统一认证系统相通信， 结合统一密钥管理系统为统一认证系统提供关于终端身份认证 的密钥生成与管理功能， 由统一认证系统实现对各终端设备的身份认证； 基于硬件密码模块为统一调度与 管理模块提供关于数据传输的安全操作与 管理功能， 由统一调度与管理模块针对各终端设备经所连虚拟化安全接入服务模块传输的数据进行 安全操作， 实现各虚拟化安全接入服务模块分别关于其所连终端设备所对应通信协 议下安 全数据传输通道的建立， 进而基于各虚拟化安全接入服务模块分别与内网中相应物联网应 用之间的通信， 由各虚拟化安全接入服务模块分别为其所连终端设备与内网中相应物联网 应用之间提供 数据转发， 实现各终端设备分别与内网中相应物联网应用之间的安全通信。 2.根据权利要求1所述一种面向海量异构物联网终端的安全接入系统， 其特征在于： 还 包括部署于内网中的统一安全管理和态势感知系统， 基于各虚拟化安全接入服务模块分别 与统一安全管理和态势感知系统相通信， 由统一安全管理和态势感知系统采集各终端设备 的运行状态、 以及各虚拟化安全接入服务模块的运行状态， 执行状态分析与 异状态检测， 并 结合预设终端设备状态与接入权限间的映射关系， 调整各终端设备 的接入权限， 实现对各 终端设备的安全状态监测。 3.根据权利要求2所述一种面向海量异构物联网终端的安全接入系统， 其特征在于： 所 述统一安全管理和态势感知系统采集各终端设备的运行状态、 以及各虚拟化安全接入服务 模块的运行状态中， 运行状态包括运行状态数据、 运行日志数据、 网络安全 日志数据、 以及 网络流量数据， 所述状态分析与异状态检测包括状态监控、 威胁状态识别、 异常状态分析、 以及实时告警。 4.根据权利要求1所述一种面向海量异构物联网终端的安全接入系统， 其特征在于： 所 述统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与管理功能， 包括 密钥生成、 密钥存储、 密钥归档、 密钥管理、 密钥查询、 密钥恢复、 密钥统计； 所述硬件密码模 块为统一调度与管理模块提供关于数据传输的安全操作与管理功 能， 包括密钥生成、 数据 加解密、 HASH运 算、 签名、 验证 签名、 以及为密钥、 数字证书提供安全 存储。 5.根据权利要求2至4中任意一项所述一种面向海量异构物联网终端的安全接入系统， 其特征在于： 所述内网中的统一认证系统、 统一密钥管理系统、 统一安全管理和态势感知系 统位于同一局域网中， 内网中的各物联网应用与统一认证系统、 统一密钥管理系统、 统一安 全管理和态 势感知系统位于不同的局域网中。 6.一种基于权利要求2至5中任意一项所述一种面向海量异构物联网终端的安全接入 系统的接入方法， 其特征在于， 基于指 定各通信协 议包括轻量级安全通信协 议、 以及各其他权　利　要　求　书 1/3 页 2 CN 115549932 A 2安全通信协议， 则接入方法包括如下步骤： 步骤A. 基于各通信协议下各终端设备分别与物联网安全接入网关之间的网络连接， 由各终端设备向物联网安全接入网关中统一调度与管理模块发送接入请求， 并进入步骤B； 步骤B. 统一调度与管理模块根据来自各终端设备的接入请求， 结合各终端设备分别 所对应的通信协议， 若通信协议为轻量级安全通信协议， 则由统一调度与管理模块调度轻 量级安全通信协议下终端设备基于其通信协议接入物联网安全接入网关中相对应的虚拟 化安全接入服 务模块， 并进入步骤C； 若通信协议 为其他安全通信协议， 则进入步骤G； 步骤C. 基于统一密钥管理系统为统一认证系统提供关于终端身份认证的密钥生成与 管理功能， 由统一认证系统针对基于虚拟化安全接入服务模块所接入的终端设备分别进 行 身份认证， 身份认证失败则表示对应终端设备接入失败， 断开该终端设备； 身份认证成功， 则进入步骤D； 步骤D. 由统一安全管理和态势感知系统采集经身份认证成功的终端设备的运行状 态， 执行状态分析与 异状态检测实现安全状态监测， 若安全状态监测成功， 则结合预设终端 设备状态与接入权限间的映射关系， 更新终端设备的接入权限， 并进入步骤E； 若安全状态 监测未通过， 则表示对应终端设备接入失败， 断开该终端设备； 步骤E. 基于硬件密码模块为统一调度与管理模块提供关于数据传输的安全操作与管 理功能， 由统一调 度与管理模块 实现虚拟化安全接入服务模块关于其所连终端设备所对应 通信协议下安全数据传输通道的建立， 然后进入步骤F； 步骤F. 由虚拟化安全接入服务模块为其所连终端设备与内网中相应物联网应用之间 提供数据转发， 实现终端设备与内网中相应物联网应用之间的安全通信； 步骤G. 基于统一认证系统对终端设备实现身份认证、 统一安全管理和态势感知系统 对终端设备实现安全状态监测、 统一调 度与管理模块 实现虚拟化安全接入服务模块关于安 全数据传输通道建立、 以及虚拟化安全接入服务模块提供数据转发， 由统一调度与管理模 块调度其他安全通信协议下终端设备按其安全通信协议接入物联网安全接入网关中相对 应的虚拟化 安全接入服 务模块， 实现终端设备与内网中相应物联网应用之间的安全通信。 7.根据权利要求6所述一种面向海量异构物联网终端的安全接入系统的接入方法， 其 特征在于： 按如下步骤i至步骤vii， 实现所述步骤C至步骤F关于轻量级安全通信协议下终 端设备与内网中相应物联网应用之间的安全通信； 步骤i. 轻量级安全通信协议下终端设备针对标识IDT， 结合终端设备的随机网络序列 号SN0， 使用哈希算法H生成散列值H(SN0,IDT)， 并应用终端设备的私钥Dt对散列值进行签名 运算EDt， 生成签名值EDt(H(SN0,IDT))， 然后将SN0||IDT||EDt(H(SN0,IDT))发送给物联网安全 接入网关， 请求身份认证， 并进入步骤i i； 步骤ii. 物联网安全接入网关将来自终端设备的标识IDT和签名信息EDt(H(SN0,IDT)) 发送给统一认证系统， 由统一认证系统根据终端设备公钥Pt， 验证终端设备签名信息， 将解 密后的IDT与终端发送的IDT比较， 若两者一致， 则验证通过， 由物联网安全接入 网关中统一 调度与管理模块调用硬件密码模块所生成的随机数Rs， 并用终端设备的公钥Pt加密Rs得到 EPt(Rs)， 连同网络序列号SN1和经网关私钥Dg签名的信 息EDg(H( SN1,EPt(Rs)))发送给终端 设备， 并进入步骤iii； 若两者不一致， 则验证不通过， 由物联网安全接入网关将验证结果F、 网络序列号SN1和签名信息 EDg(H( SN1,F))反馈给终端设备， 并断开终端设备的网络连接；权　利　要　求　书 2/3 页 3 CN 115549932 A 3