[发明专利]物联网网络安全装置、系统及控制方法

权利要求书

1.一种物联网网络安全装置，其特征在于，包括FPGA可信安全模块和TEE模块，其中，

所述FPGA可信安全模块包括可信度量根、可信存储根、可信报告根、控制单元和加解密单元，所述可信度量根用于存储动态可信数据和多级静态可信数据，将物联网操作子系统的启动进程数据与对应级的所述静态可信数据进行可信比较，将可信的启动进程数据存储至所述可信存储根，并发送静态可信报告至所述可信报告根，所述控制单元用于根据所述可信报告根中上一级启动进程对应的静态可信报告，启动所述物联网操作子系统的下一级启动进程；

所述可信度量根用于将所述物联网操作子系统的应用进程数据与所述动态可信数据进行可信比较，将可信的应用进程数据存储至所述可信存储根，并发送动态可信报告至所述可信报告根，所述控制单元用于根据所述可信报告根中动态可信报告的可信等级为预设安全级，将所述应用进程数据发送至所述TEE模块；

所述加解密单元，用于存储所述可信度量根、可信存储根、可信报告根的算法以及所述TEE模块的算法；

所述TEE模块，与所述FPGA可信安全模块通信连接，用于处理可信等级为所述预设安全级的应用进程数据，得到加密数据或解密数据，将所述加密数据或解密数据发送到所述加解密单元，所述加解密单元用于将所述加密数据或解密数据进行相应的加密或解密后发送到所述物联网操作子系统。

2.如权利要求1所述的物联网网络安全装置，其特征在于，还包括MCU模块，所述MCU模块与所述FPGA可信安全模块通信连接，用于处理所述物联网操作子系统的中可信等级低于所述预设安全级的应用进程数据。

3.如权利要求1所述的物联网网络安全装置，其特征在于，所述静态可信数据包括FPGA自检可信数据、BIOS启动可信数据、物联网操作子系统装载可信数据和物联网操作子系统初始化可信数据。

4.如权利要求1所述的物联网网络安全装置，其特征在于，所述动态可信数据包括网络通信可信数据、执行环境可信数据和系统调用可信数据。

5.如权利要求1所述的物联网网络安全装置，其特征在于，还包括可信外设，所述可信外设与所述TEE模块通信连接。

6.如权利要求1所述的物联网网络安全装置，其特征在于，所述FPGA可信安全模块与所述TEE模块通过TEE API接口连接。

7.一种物联网网络安全系统，其特征在于，包括物联网操作子系统和权利要求1-6任一所述的所述物联网网络安全装置，所述物联网操作子系统与所述物联网网络安全装置通信连接。

8.一种物联网网络安全控制方法，其特征在于，基于权利要求6所述的物联网网络安全系统，包括:

通过物联网网络安全装置的FPGA可信安全模块启动物联网操作子系统的总启动进程；

通过所述FPGA可信安全模块对所述物联网操作子系统的总启动进程进行逐级静态可信检测及逐级推进，所述逐级推进包括根据所述总启动进程中上一级启动进程可信，启动所述总启动进程中下一级启动进程；

通过所述FPGA可信安全模块对所述物联网操作子系统的应用进程数据进行可信等级检测；

根据所述应用进程数据的可信等级为预设安全级，将所述应用进程数据发送至所述物联网网络安全装置的TEE模块；

所述TEE模块对所述预设安全级的应用进程数据进行加解密处理，得到加密数据或解密数据，将所述加密数据或解密数据发送到FPGA可信安全模块；

所述FPGA可信安全模块将所述加密数据或解密数据进行相应的加密或解密后发送至所述物联网操作子系统。