[发明专利]基于通信链路监控对物联网设备进行网络安全防护的方法

权利要求书

1.基于通信链路监控对物联网设备进行网络安全防护的方法，其特征在于：该方法基于一个网络通信链路监控模组(10)，所述网络通信链路监控模组(10)串联在物联网终端设备的网络通信链路上，功能和控制均独立于物联网设备自身的软硬件系统，所述网络通信链路监控模组(10)包括网络通信接口模块A(1)、终端设备通信接口模块B(2)和数据包安全监控模块C(3)，所述数据包安全监控模块C(3)负责对数据包进行合法性判断和处理，所述数据包安全监控模块C(3)通过网络通信接口模块A(1)与网络层通信连接，所述数据包安全监控模块C(3)通过终端设备通信接口模块B(2)与物联网终端设备的核心系统通信连接，该网络安全防护的方法通过以下方式实现：

所述网络通信链路监控模组(10)被串联在物联网终端设备与网络层通信的数据链路上，物联网终端设备与网络层的所有通信均需要通过网络通信链路监控模组(10)才能实现，所述数据包安全监控模块C(3)根据内置的规则对经过的数据包进行合法性判断和处理，合法的数据包可透明传输，不合法的数据包被阻截，从而基于通信链路监控对物联网终端设备实现网络通信安全防护功能。

2.如权利要求1所述的基于通信链路监控对物联网设备进行网络安全防护的方法，其特征在于：所述网络通信链路监控模组(10)的数据包安全监控模块C(3)可对经过的数据包进行解析，实施网络通信安全控制策略，所述网络通信安全控制策略包括防火墙、防病毒、入侵检测、身份认证和数据签名、数据包加解密、网络安全态势监测，根据应用场景、所防护物联网终端设备应用特性和安全要求的不同，数据包安全监控模块C(3)的安全控制策略采取上述安全技术中的一种或数种的组合。

3.如权利要求1所述的基于通信链路监控对物联网设备进行网络安全防护的方法，其特征在于：所述网络通信链路监控模组(10)的数据包安全监控模块C(3)可对异常通信数据包进行特征聚类、统计、缓存并通过网络上报至远程安全管理平台(4)，为管理者提供海量的态势采集数据。

4.如权利要求1所述的基于通信链路监控对物联网设备进行网络安全防护的方法，其特征在于：所述网络通信链路监控模组(10)的数据包安全监控模块C(3)还包括管理子模块(31)，所述管理子模块(31)与数据包安全监控模块C(3)通信连接，所述管理子模块(31)具备对数据包处理模块中的处理规则进行设置管理的功能，所述管理子模块(31)通过网络通信接口模块A(1)与远程安全管理平台(4)通信连接。

5.如权利要求1或4所述的基于通信链路监控对物联网设备进行网络安全防护的方法，其特征在于：所述网络通信链路监控模组(10)还包含配置拔位开关模块(32)，所述配置拔位开关模块(32)与数据包安全监控模块C(3)通信连接并控制数据包安全监控模块C(3)的设置模式，当配置拔位开关模块(32)的开关位于不同开关位时，安全监控模块C(3)的设置模式分别为不允许设置、仅允许本地设置和允许远程设置三种模式。

6.如权利要求1所述的基于通信链路监控对物联网设备进行网络安全防护的方法，其特征在于：所述网络通信链路监控模组(10)还包含本地配置接口模块(33)，所述本地配置接口模块(33)与安全监控模块C(3)通信连接，可对数据包过滤规则、不合规数据包处理和上报规则进行本地设置，所述本地配置接口模块包括但不限于UART接口、SPI接口、IIC接口或SDIO接口。

7.如权利要求1所述的基于通信链路监控对物联网设备进行网络安全防护的方法，其特征在于：所述网络通信链路监控模组(10)的网络通信接口模块A(1)、终端设备通信接口模块B(2)的接口形式包括多种标准有线通信接口，以适用于不同的物联网终端设备有线接入方式。

8.如权利要求1所述的基于通信链路监控对物联网设备进行网络安全防护的方法，其特征在于：所述网络通信链路监控模组(10)用于无线组网的物联网终端设备时，所述终端设备通信接口模块B(2)与物联网设备串接接口的方式包括设备外设接口、芯片内置插槽，所述网络通信接口模块A(1)与无线通信协议通信接口的方式采用无线通信协议通信接口。