[发明专利]一种面向智能终端的物联网安全防御系统

说明书

技术领域

本发明涉及物联网安全技术，具体涉及一种面向智能终端的物联网安全防御系统。

背景技术

随着移动互联网技术迅猛发展，移动互联网终端特别是智能终端开始广泛地进入千家万户，智能电视、智能冰箱、智能空调、智能网关、智能家居、互联网汽车、机器人等渗透到人们生活的方方面面，安全问题也逐渐成为社会和设备厂商普遍关注的课题。

在当前的主流智能终端交互方案中，普遍采用基于云端服务的方式，实现人机远程控制与交互，因此，云端服务的安全性成为整个技术方案的木桶短板，一旦云端服务遭到攻击，轻则造成服务崩溃、数据泄露，重则机毁人亡，酿成重大安全事故。如何保护云服务的安全，成为整个智能终端解决方案的关键技术要点。本申请有必要提出一种面向智能终端的物联网安全防御系统。

发明内容

本发明所要解决的技术问题是：提出一种面向智能终端的物联网安全防御系统，确保智能终端云服务运行可靠、安全可控。

本发明解决其技术问题所采用的技术方案是：

一种面向智能终端的物联网安全防御系统，包括部署于云服务前端的物联网安全网关，所述物联网安全网关包括云服务管理模块、接入终端管理模块、身份认证模块及安全策略库；

所述云服务管理模块提供对所有开放的云服务的注册和管理功能；

所述接入终端管理模块提供对接入终端的注册和管理功能；

所述身份认证模块用于在接收到终端访问云服务的请求后验证终端的合法性；

所述安全策略库提供相应的安全策略，用于在终端请求合法性验证通过后提供安全检测和网络流量分析功能。

作为进一步优化，所述安全策略库包括：IP黑名单模块、敏感词模块、攻击特征模块；

所述IP黑名单模块用于提供IP黑名单管理，被加入黑名单中的IP在向云服务发送请求时会被物联网安全网关自动过滤；

所述敏感词模块用于提供敏感词管理，安全网关在检测到请求中的敏感词时，自动过滤该请求并向终端反馈请求中含非法信息的提示信息；

所述攻击特征模块用于提供攻击特征管理，安全网关在检测请求数据时匹配攻击特征，若匹配成功则判定为攻击行为，则进行攻击预警并过滤该请求，同时将发送请求的对应IP加入IP黑名单中。

作为进一步优化，接入终端管理模块还用于在注册通过后，为该终端分配唯一的终端标识以及终端证书，同时，终端开发者可下载网关SDK以及开发者手册，开发者手册中详细说明服务代码、服务参数以及接入规范。

作为进一步优化，所述网关SDK用于供终端通过网关SDK的管道接口建立HTTP/HTTPS安全通道，之后终端通过服务代码访问云端服务。

作为进一步优化，所述身份认证模块用于在接收到终端访问云服务的请求后根据访问票据验证终端的合法性，所述访问票据包括终端标识及服务代码。

作为进一步优化，所述IP黑名单模块管理的IP黑名单包括：

用户手动设置的IP黑名单及安全网关检测到的单位时间内流量异常而自动添加的IP黑名单，其中对于安全网关自动加入的IP黑名单在锁定一定时间后自动解除黑名单限制。

本发明的有益效果是：本发明提出的物联网安全网关系统是一套完善的物联网安全防御方案，其通过身份认证、IP黑名单过滤、敏感词过滤以及攻击特征库过滤，可有效保护物联网云服务的安全，有效抵御网络渗透以及网络攻击行为，同时，通过高可用的安全部署实施，可真正确保物联网云服务运行可靠，安全可控。

附图说明

图1为本发明实施例中的物联网安全网关对流量处理的流程图。

具体实施方式

本发明旨在提出一种面向智能终端的物联网安全防御系统，确保智能终端云服务运行可靠、安全可控。本发明中的物联网安全防御系统的实现要点包括：

(1)将物联网安全网关部署在云服务前端，所有开放的云服务需要在安全网关中进行注册和管理。

(2)访问云服务的终端业务，需要在安全网关中进行注册和管理，同时，明确该终端业务能够访问的云服务权限范围以及终端证书。

(3)终端接入审批通过后，为该终端分配唯一的终端标识APPKey，以及终端证书，同时，终端开发者可下载网关SDK以及开发者手册，开发者手册中会详细说明服务代码、服务参数以及接入规范等。

(4)终端通过网关SDK的管道接口，建立HTTP/HTTPS安全通道，通过服务代码访问云端服务。