本申请提供一种安全适配与服务的网关系统,涉及通信技术领域。系统包括:安全边缘网关、密码云服务平台、配置与策略管理系统和安全接入网关;安全边缘网关包括安全适配模块、安全服务模块、物联网设备安全能力协作模块和接入与权限控制模块;密码云服务平台用于安全边缘网关和安全接入网关构建安全凭证;配置与策略管理系统用于安全边缘网关与物联网设备或安全接入网关之间进行安全策略选择,以及为安全边缘网关和安全接入网关提供安全相关配置;安全接入网关用于对访问物联网设备的请求进行安全接入认证和访问控制,并进行路由转发。发。发。
【技术实现步骤摘要】
安全适配与服务的网关系统
[0001]本申请涉及通信
,尤其涉及一种安全适配与服务的网关系统。
技术介绍
[0002]物联网安全是提升物联网安全能力的重要保护措施,物联网安全技术的应用可规避、抵御物联网在各应用领域存在的安全威胁及风险。物联网安全架构可分为感知层安全、网络层安全和应用层安全。其中感知层安全与物联网设备异构性存在较大矛盾。
[0003]当前安全边缘网关是较为普适性的物联网感知层安全解决方案,但现有安全边缘网关在应对物联网设备与安全边缘网关之间通信信道、协议差异大时,无法满足不同物联网设备复杂、动态的安全需求。
[0004]如此,现有技术无法满足不同物联网设备复杂、动态的安全需求。
技术实现思路
[0005]本申请提供一种安全适配与服务的网关系统,能够满足不同物联网设备复杂、动态的安全需求。
[0006]为达到上述目的,本申请采用如下技术方案:
[0007]第一方面,本申请提供一种安全适配与服务的网关系统,该系统包括:安全边缘网关、密码云服务平台、配置与策略管理系统和安全接入网关;其中,安全边缘网关包括安全适配模块、安全服务模块、物联网设备安全能力协作模块和接入与权限控制模块;安全适配模块用于管理安全边缘网关中的模块,实现安全边缘网关与物联网设备或安全接入网关之间的安全通信;安全服务模块用于提供密码存储与安全计算机制;物联网设备安全能力协作模块用于获取物联网设备的安全机制,实现物联网设备与安全边缘网关的安全协作;接入与权限控制模块用于管理安全边缘网关与物联网设备或安全接入网关之间的接入认证、权限控制;密码云服务平台用于安全边缘网关和安全接入网关构建安全凭证;安全凭证包括以下至少一项:注册认证和授权、密钥处理、多种密码体制互信交换和跨域互信交换;配置与策略管理系统用于安全边缘网关与物联网设备或安全接入网关之间进行安全策略选择,以及为安全边缘网关和安全接入网关提供安全相关配置;安全相关配置包括以下至少一项:安全域清单、密码体制域清单、密码云服务平台地址、权限清单;安全接入网关用于对访问物联网设备的请求进行安全接入认证和访问控制,并进行路由转发。
[0008]基于上述技术方案,本申请实施例提供的一种安全适配与服务的网关系统,通过为安全边缘网关提供多种服务模块和物联网设备安全能力协作模块提供基础安全能力,通过安全适配模块对下实现对多种安全服务模块、物联网安全能力的管理、适配;与配置与策略管理系统联动,实现协调安全需求、能力、系统要求的安全数据处理或安全链路建立;实现多密码体制互信、跨域互信等“桥梁”能力;解决网关设备与物联网设备或其他网关设备之间安全能力与安全期待、需求和系统要求的矛盾,并为上层提供统一服务接口,实现安全接入、权限控制等安全能力,从而满足不同物联网设备复杂、动态的安全需求。
[0009]在第一方面的第一种可能的实现方式中,上述安全适配模块包括:安全凭证管理模块、安全数据处理模块、配置管理模块、策略管理模块、多密码体制互信模块和跨域互信模块;安全凭证管理模块用于对安全服务模块和物联网设备安全能力协作模块进行管理;安全数据处理模块用于对安全服务模块的安全计算能力和物联网设备安全能力协作模块的安全协作计算能力提供安全计算服务;配置管理模块用于对安全服务模块和安全适配模块的配置信息进行管理,并通过配置与策略管理系统进行配置更新;策略管理模块用于获取配置与策略管理系统的安全策略,选择安全机制,实现安全边缘网关与物联网设备或安全接入网关之间的接入认证、数据加解密、签名验签和安全链路建立;多密码体制互信模块用于多套密码体制互信交换;跨域互信模块用于跨域互信交换。
[0010]在第一方面的第二种可能的实现方式中,上述安全服务模块,具体用于进行密钥、证书和证书吊销列表(Certificate Revocation List,CRL)信息的安全存储与安全计算。
[0011]在第一方面的第三种可能的实现方式中,上述物联网设备安全能力协作模块,具体用于对与边缘网关连接的物联网设备的安全能力进行探知与管理。
[0012]在第一方面的第四种可能的实现方式中,对于具备安全能力的物联网设备,上述物联网设备安全能力协作模块,具体用于获取物联网设备的安全机制,并与物联网设备的安全机制协商,实现物联网设备与安全边缘网关直接的安全协作。
[0013]在第一方面的第五种可能的实现方式中,对于不具备安全能力的物联网设备,上述物联网设备安全能力协作模块,具体用于获取物联网设备能够支持的通信信道、协议和设备特征信息,以及建立设备指纹信息,进行持续监测,以实现物联网设备的安全能力。
[0014]在第一方面的第六种可能的实现方式中,在上述物联网设备安全能力协作模块与物联网设备间进行安全协商交互时,物联网设备安全能力协作模块用于通过安全服务模块进行安全数据处理,建立物联网设备与物联网设备安全能力协作模块之间安全的协商信道。
[0015]在第一方面的第七种可能的实现方式中,上述接入与权限控制模块包括:安全接入模块和访问控制模块;安全接入模块,用于基于物联网设备、安全边缘网关和安全接入网关支持、期望和要求的接入认证机制进行认证;访问控制模块,基于从配置与策略管理系统获取的访问控制策略,验证对物联网设备的访问请求,对访问请求进行转发。
[0016]在第一方面的第八种可能的实现方式中,上述密码云服务平台,具体用于为安全边缘网关和安全接入网关构建安全凭证,以及对安全凭证进行安全凭证管理和数据处理;其中,安全凭证管理包括以下至少一项:安全凭证申请、安全凭证存储、安全凭证更新、安全凭证注销;数据处理包括以下至少一项:数据签名与验证、数据加密与解密、多种密码体制互信交换和跨域互信交换。
[0017]在第一方面的第九种可能的实现方式中,上述配置与策略管理系统,具体用于基于物联网设备之间、或物联网设备与物联网设备系统之间的安全需求信息,为网关系统提供安全策略,更新网关系统中的安全策略和安全机制,并为安全边缘网关和安全接入网关提供安全配置。
[0018]在第一方面的第十种可能的实现方式中,上述网关系统,还包括安全适配与服务模块;安全适配与服务模块,用于为物联网设备系统提供统一适配的安全计算服务,通过物联网设备系统调用安全适配与服务模块的服务。
附图说明
[0019]图1为本申请实施例提供的一种安全适配与服务的网关系统的结构示意图;
[0020]图2为本申请实施例提供的一种安全适配模块的结构示意图;
[0021]图3为本申请实施例提供的另一种安全适配与服务的网关系统的结构示意图;
[0022]图4为本申请实施例提供的一种安全服务模块的结构示意图;
[0023]图5为本申请实施例提供的一种安全接入网关的结构示意图;
[0024]图6为本申请实施例提供的一种安全适配与服务模块的结构示意图。
具体实施方式
[0025]下面结合附图对本申请实施例提供的一种安全适配与服务的网关系统进行详细地描述。
...
【技术保护点】
【技术特征摘要】
1.一种安全适配与服务的网关系统,其特征在于,包括:安全边缘网关、密码云服务平台、配置与策略管理系统和安全接入网关;其中,所述安全边缘网关包括安全适配模块、安全服务模块、物联网设备安全能力协作模块和接入与权限控制模块;所述安全适配模块用于管理所述安全边缘网关中的模块,实现所述安全边缘网关与物联网设备或所述安全接入网关之间的安全通信;所述安全服务模块用于提供密码存储与安全计算机制;所述物联网设备安全能力协作模块用于获取物联网设备的安全机制,实现物联网设备与所述安全边缘网关的安全协作;所述接入与权限控制模块用于管理所述安全边缘网关与物联网设备或所述安全接入网关之间的接入认证、权限控制;所述密码云服务平台用于所述安全边缘网关和所述安全接入网关构建安全凭证;所述安全凭证包括以下至少一项:注册认证和授权、密钥处理、多种密码体制互信交换和跨域互信交换;所述配置与策略管理系统用于所述安全边缘网关与物联网设备或所述安全接入网关之间进行安全策略选择,以及为所述安全边缘网关和所述安全接入网关提供安全相关配置;所述安全相关配置包括以下至少一项:安全域清单、密码体制域清单、密码云服务平台地址、权限清单;所述安全接入网关用于对访问物联网设备的请求进行安全接入认证和访问控制,并进行路由转发。2.根据权利要求1所述的系统,其特征在于,所述安全适配模块包括:安全凭证管理模块、安全数据处理模块、配置管理模块、策略管理模块、多密码体制互信模块和跨域互信模块;所述安全凭证管理模块用于对所述安全服务模块和所述物联网设备安全能力协作模块进行管理;所述安全数据处理模块用于对所述安全服务模块的安全计算能力和所述物联网设备安全能力协作模块的安全协作计算能力提供安全计算服务;所述配置管理模块用于对所述安全服务模块和所述安全适配模块的配置信息进行管理,并通过所述配置与策略管理系统进行配置更新;所述策略管理模块用于获取所述配置与策略管理系统的安全策略,选择安全机制,实现所述安全边缘网关与物联网设备或所述安全接入网关之间的接入认证、数据加解密、签名验签和安全链路建立;所述多密码体制互信模块用于多套密码体制互信交换;所述跨域互信模块用于跨域互信交换。3.根据权利要求1所述的系统,其特征在于,所述安全服务模块,具体用于进行密钥、证书和证书吊销列表CRL信息的安全存储与安全计算。4.根据权利要求1所述的系统,其特征在于...
【专利技术属性】
技术研发人员:周哲,金嘉杰,管立军,程远,谢国涛,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。