一种基于商用密码保护闸机物联网安全的方法及系统与流程

1.本发明涉及闸机通信技术领域，更具体地说，它涉及一种基于商用密码保护闸机物联网安全的方法及系统。


背景技术：

2.物联网通信的端点不是传统的服务器或pc终端，而是闸机设备这样的具有物联网终端特性的独特终端类型，其本身的操作系统防护能力和计算资源均具有一定的局限性。如何将身份认证、数据加密等安全防护机制在这样的物联网终端上进行实现是技术难点之一。
3.其次，闸机设备数量较多，对网络通信的并发连接数要求较高，对可用性和稳定性均提出了较高的要求，那么如何在尽可能的不影响系统性能和稳定性的前提下，解决网络安全问题，也成为了建设过程中需要考虑的重要环节。
4.此外，由于闸机设备所处的环境为开放式的工地环境，其物理安全防护措施较为有限，使恶意人员能够更容易的接触闸机设备，以便侵入正常的网络交互通信，仿冒闸机设备对平台服务发起网络攻击。这也就对系统的身份认证机制，尤其是对闸机设备的身份认证提出了更高的安全防护要求等。


技术实现要素：

5.本发明要解决的技术问题是针对现有技术的上述不足，本发明的目的一是提供一种可以提高安全性的基于商用密码保护闸机物联网安全的方法。
6.本发明的目的二是提供一种可以提高安全性的基于商用密码保护闸机物联网安全的系统。
7.为了实现上述目的一，本发明提供一种基于商用密码保护闸机物联网安全的方法，包括：
8.采用基于商用密码算法sm2对闸机设备与后端闸机物联网安全系统网关进行认证；
9.所述闸机物联网安全系统网关采用内外网双主机方式，内网主机与外网主机之间通过非网络方式隔离；
10.采用商用密码算法sm4和ipsecvpn协议方式建立安全加密隧道对所述闸机设备与闸机物联网安全系统网关的传输数据进行保护。
11.作为进一步地改进，所述认证包括：
12.通过与数字证书系统进行联动对所述闸机设备进行安全认证；
13.对模块和管理员进行安全认证。
14.进一步地，对所述模块采用x.509证书认证。
15.进一步地，对所述管理员采用usbkey/ic卡、证书、口令三重认证机制。
16.进一步地，还包括对所述闸机设备进行指纹认证，所述指纹至少包括网卡硬件信
息、设备主板信息、系统运行信息中的一种。
17.进一步地，所述闸机物联网安全系统网关支持基于ip地址、协议、端口的网络访问控制，并与加密机制分离独立工作，所述闸机物联网安全系统网关利用web界面通过https协议来管理配置安全加密通讯接口、安全协议、端口、工作时间、加密通道，同时可以监控加密状态，并对应用进行授权管理。
18.进一步地，所述闸机设备开机运行后，根据设备的安全策略信息主动尝试与所述闸机物联网安全系统网关进行密钥协商直到成功。
19.进一步地，还包括对所述闸机设备的运行状态进行远程管理，包括设备注册、设备运行、设备位置、设备软件升级。
20.进一步地，还包括对所述闸机物联网安全系统网关进行安全管理，包括人员角色、操作权限、操作日志、密钥管理、设备自身监控。
21.为了实现上述目的二，本发明提供一种基于商用密码保护闸机物联网安全的系统，包括闸机设备、服务平台，还包括与闸机设备网络连接的闸机物联网安全系统网关，闸机物联网安全系统网关部署于服务平台的应用系统所属网络与互联网的边界处；闸机物联网安全系统网关与闸机设备之间上述的一种基于商用密码保护闸机物联网安全的方法进行认证，以及对传输数据进行保护。
22.有益效果
23.本发明与现有技术相比，具有的优点为：
24.本发明通过将国家商用密码技术与闸机设备系统软件进行了高度结合，使原本并不具备任何安全防护能力的闸机成为了具备国产密码运算能力，具备相应安全防护机制的高安全性物联网终端设备；通过将网络隔离技术与ipsec vpn技术进行了高度结合，形成了不仅支持网络隔离功能，还具备指纹身份认证、密码认证与数据加解密机制的高性能闸机物联网安全网关设备，不仅可以通过数字证书验证闸机设备的合法身份，还可以通过提取硬件信息的方式，防止闸机设备内部零部件被恶意篡改，充分弥补了闸机设备物理安全防护机制不够健全的缺陷。
附图说明
25.图1为本发明的功能示意图；
26.图2为本发明的esp协议格式图；
27.图3为本发明的esp协议数据封装图；
28.图4为本发明中系统的结构示意图。
具体实施方式
29.下面结合附图中的具体实施例对本发明做进一步的说明。
30.参阅图1
‑
4，一种基于商用密码保护闸机物联网安全的方法，包括：
31.采用基于商用密码算法sm2对闸机设备1与后端闸机物联网安全系统网关3进行认证，高强度的算法认证机制保障闸机设备1接入认证安全；
32.闸机物联网安全系统网关3采用内外网双主机方式，内网主机与外网主机之间通过非网络方式隔离，可以实现平台应用与互联网的安全隔离；
33.采用商用密码算法sm4和ipsecvpn协议方式建立安全加密隧道对闸机设备1与闸机物联网安全系统网关3的传输数据进行保护，可以保障闸机设备1数据在互联网上传输的安全性，保障传输数据的机密性和完整性，防止数据被篡改或破坏。
34.认证包括：
35.通过与数字证书系统进行联动对闸机设备1进行安全认证，数字证书为pki/ca体系为闸机及平台应用系统签发相应的数字证书，只有符合安全要求和权限管理的，认证通过后才能进行安全方式和数据传输，保证闸机终端的合法性；
36.对模块和管理员进行安全认证，对模块采用x.509证书认证，对管理员采用usbkey/ic卡、证书、口令三重认证机制。
37.本发明还包括对闸机设备1进行指纹认证，指纹至少包括网卡硬件信息、设备主板信息、系统运行信息中的一种，对不同的闸机设备1生成特定硬件指纹信息，保障闸机设备1在经过密码认证后并同时进行设备指纹认证后，闸机设备1才能接入到建筑工人实名制管理的服务平台2。通过采用ipsec vpn技术、pki/ca体系及设备指纹技术实现了平台应用与闸机设备1之间的双向身份认证。
38.闸机物联网安全系统网关3支持基于ip地址、协议、端口的网络访问控制，并与加密机制分离独立工作，闸机物联网安全系统网关3利用web界面通过https协议来管理配置安全加密通讯接口、安全协议、端口、工作时间、加密通道，同时可以监控加密状态，并对应用进行授权管理，具有网络层防火墙功能，实现基于ip地址和端口的访问控制功能，防止各类网络攻击，阻断黑客利用网络协议漏洞和操作系统漏洞入侵，阻止非法数据的进入。
39.闸机设备1开机运行后，根据设备的安全策略信息主动尝试与闸机物联网安全系统网关3进行密钥协商直到成功。在运行过程中被动接受闸机物联网安全系统网关3发起的密钥协商，如果出现密钥失步，能根据解密错误阀值主动与闸机物联网安全系统网关3进行密钥协商直到成功为止。
40.本发明还包括对闸机设备1的运行状态进行远程管理，包括设备注册、设备运行、设备位置、设备软件升级，能够从后端远程对闸机设备1进行远程维护与监控管理。
41.本发明还包括对闸机物联网安全系统网关3进行安全管理，包括人员角色、操作权限、操作日志、密钥管理、设备自身监控。闸机物联网安全系统主要技术指标：
42.1)具有ip地址和端口的访问控制功能；
43.2)支持商用密码算法和《ipsec vpn技术规范》；
44.3)闸机物联网安全系统网关3单台设备支持1000台闸机设备1的管理能力，支持500台闸机设备1并发接入能力。
45.密码认证功能采用《ipsec vpn技术规范》中的isakmp协议实现。isakmp是用于完成对等设备之间的认证，密钥生成以及密钥交换。
46.isakmp协议包括第一阶段和第二阶段。
47.在第一阶段交换中，通信双方建立了一个isakmp sa。该sa是协商双方为保护它们之间的通信而使用的共享策略和密钥。用这个sa来保护ipsec sa的协商过程。一个isakmp sa可以用于建立多个ipsec sa。
48.在第二阶段交换中，通信双方使用第一阶段isakmp sa协商建立ipsec sa，ipsec sa是为保护它们之间的数据通信而使用的共享策略和密钥。
49.isakmp协议包含两种交换模式，主模式和快速模式。交换使用标准isakmp载荷语法、属性编码、消息的超时和重传以及通知消息。
50.其中主模式用于第一阶段的交换，实现通信双方的身份鉴别和密钥交换，得到工作密钥，该工作密钥用于保护第二阶段的协商过程。其交换过程由6个消息组成。双方身份的鉴别采用数字证书的方式。其交换过程如下。
[0051][0052]
表1
[0053]
快速模式用于第二阶段的交换，实现通信双方ipsec sa的协商，确定通信双方的ipsec安全策略及会话密钥。其交换过程由3个消息组成。其交换过程如下所示：
[0054]
消息序列 发起方i 方向 响应方r
[0055]
1 hdr*,hash(1),sa,ni[,idci,idcr]
‑‑‑‑
>
[0056]
2<
‑‑‑‑
hdr*,hash(2),sa,nr[,idci,idcr]
[0057]
3 hdr*,hash(3)
‑‑‑‑
>
[0058][0059]
表2
[0060]
闸机物联网安全系统安全防护功能采用《ipsec vpn技术规范》中的esp协议实现。esp协议是属于ipsec的一种协议，用于提供ip数据包的机密性、数据完整性以及对数据源鉴别以及抗重放攻击的功能。其协议头格式如图2所示。
[0061]
各字段含义如下：
[0062]
1)安全参数索引
[0063]
安全参数索引spi是一个4字节值，它与目的ip地址和安全协议共同标识了这个数据报文的安全联盟。从1至255范围内的spi值是保留给将来使用的，“0”值保留给本地的特定实现使用并且不能在网络上传送，通信协商得到的spi值不能小于256。
[0064]
2)序列号
[0065]
序列号是一个无符号的4字节单调递增计数器，发送方对使用该sa的每个数据报文进行计数，接收方必须检测这个字段来实现sa的抗重放攻击服务。发送方的计数器和接收方的计数器在建立一个sa时被初始化为0，该序列号在一个sa生存期内不能循环使用，在这个计数器溢出之前，通信的双方应协商出一个新的sa来使这个字段复位为0。
[0066]
3)载荷数据
[0067]
载荷数据是一个变长的字段，它包含初始化向量iv和下一个头字段所描述的数据，其长度单位为字节。
[0068]
iv应置于载荷数据首部。
[0069]
4)填充字段
[0070]
如果载荷数据的长度不是加密算法的分组长度的整数倍，则需要对不足的部分进行填充，填充以字节为单位。如果需要，也可以提供更多的填充数据，但必须符合加密算法分组长度的要求。填充的方法和内容应由指定的加密算法规定。如果加密算法没有规定，则附加在报文之后的第一个字节为1，后续的填充字节按单调递增的顺序拼凑。
[0071]
5)填充长度
[0072]
填充长度字段指出了填充字节的个数。有效值范围是0至255，其中0表明没有填充字节。
[0073]
6)下一个头
[0074]
下一个头是一个1字节的字段，该字段指定了esp头后面下一个载荷的类型。这个字段的值是由internet分配数字机构(iana)的最新“分配数字”[std
‑
2]中定义的ip协议数字集合分配的。
[0075]
7)鉴别数据
[0076]
鉴别数据是一个变长字段，它是一个完整性校验值icv，是对esp报文去掉icv外的其余部分进行完整性校验计算所得的值。该字段的长度由选择的完整性校验算法决定。鉴别数据字段是可选的，只有当sa选择了完整性校验服务时才包含鉴别数据字段。
[0077]
安全防护封装
[0078]
esp协议包含传输模式和隧道模式，闸机物联网安全系统使用其隧道模式。用户业务数据ip报文在esp协议中的封装格式如图3所示。
[0079]
管理模式
[0080]
闸机物联网安全系统采用c/s模式架构，使用tcp协议承载，并使用序列号来进行抗重放攻击。
[0081]
进行设备管理时，对通信数据进行了加密传输和完整性保护，能防止攻击者通过网络抓包来分析管理数据协议格式，进而篡改或伪造管理数据。
[0082]
设备管理操作具备超时登出保护，管理员如果在规定时间内无操作将自动登出，需要重新登录才可以继续进行管理。
[0083]
角色管理
[0084]
为了降低管理权限过于集中带来的隐患，物联网准入认证系统对管理员进行了分权管理，将管理员根据管理权限分为了系统管理员，安全管理员和审计管理员。
[0085][0086][0087]
表3
[0088]
一种基于商用密码保护闸机物联网安全的系统，包括闸机设备1、服务平台2，还包括与闸机设备1网络连接的闸机物联网安全系统网关3，闸机物联网安全系统网关3部署于
服务平台2的应用系统所属网络与互联网的边界处；闸机物联网安全系统网关3与闸机设备1之间上述的一种基于商用密码保护闸机物联网安全的方法进行认证，以及对传输数据进行保护。
[0089]
数据中部署闸机物联网安全系统硬件网关设备，随着闸机设备数量增加，闸机物联网安全系统网关可以进行集群方式扩容来满足接入闸机设备需求，硬件网关设备因业务原因可以在本地进行系统软件更新升级。
[0090]
所有工地闸机设备在工地可以进行闸机设备通信初始化注册和认证。因系统软件业务功能更新，可以在后端硬件网关设备进行远程推送升级更新客户端软件功能。
[0091]
以上仅是本发明的优选实施方式，应当指出对于本领域的技术人员来说，在不脱离本发明结构的前提下，还可以作出若干变形和改进，这些都不会影响本发明实施的效果和专利的实用性。