物联网数据的交换方法和交换装置制造方法

物联网数据的交换方法和交换装置制造方法
【专利摘要】本发明公开一种物联网数据的交换方法和交换装置。该交换方法包括：接收感知层发送的数据包，并识别数据包采用的感知层协议；判断感知层协议是否属于预设协议类型；如果感知层协议属于预设协议类型，解析数据包得到业务数据、感知层的源地址和网络层的目的地址；判断源地址到目的地址的交换路径是否为预设路径；如果交换路径为预设路径，扫描业务数据是否存在安全风险；如果业务数据不存在安全风险，将业务数据、源地址和目的地址采用IP协议封装为IP数据包，并将IP数据包按照目的地址发送至网络层。实施本发明能够适应感知层的协议多样性，并为感知层与网络层之间的数据交换提供安全保障。
【专利说明】物联网数据的交换方法和交换装置

【技术领域】
[0001] 本发明涉及物联网领域，尤其是涉及一种物联网数据的交换方法，还涉及一种物 联网数据的交换装置。

【背景技术】
[0002] 随着无线传感器技术及现代通信技术的发展，物联网已经进入高速的发展期。物 联网包含感知层、网络层和应用层三个方面，其中，感知层由各种传感器以及传感器网关构 成，其主要功能是识别物体，采集信息；网络层由各种私有网络、互联网、有线和无线通信 网、网络管理系统和云计算平台等组成，负责传递和处理感知层的信息。
[0003] 由于感知层中传感器采用的协议种类繁多，且缺乏统一的数据交互标准，因此现 有技术在进行感知层与网络层互联互通时主要考虑如何达到高效。然而，在现有的物联网 中，感知层与网络层之间的数据交换缺乏安全保障，感知层可能通过在数据中嵌入恶意代 码等方式对网络层进行攻击，反过来，网络层也会对感知层进行攻击。因此，保障数据的传 输安全也是物联网发展过程中亟待解决的问题。


【发明内容】

[0004] 本发明所要解决的技术问题是：针对上述存在的问题，提供一种物联网数据的交 换方法和交换装置，能够适应感知层的协议多样性，并为感知层与网络层之间的数据交换 提供安全保障。
[0005] 为了解决上述技术问题，本发明采用的一种技术方案是提供一种物联网数据的交 换方法，所述交换方法包括：接收感知层发送的数据包，并识别所述数据包采用的感知层 协议；判断所述感知层协议是否属于预设协议类型；如果所述感知层协议属于预设协议类 型，解析所述数据包得到业务数据、所述感知层的源地址和网络层的目的地址；判断所述源 地址到所述目的地址的交换路径是否为预设路径；如果所述交换路径为预设路径，扫描所 述业务数据是否存在安全风险；如果所述业务数据不存在安全风险，将所述业务数据、所述 源地址和所述目的地址采用IP协议封装为IP数据包，并将所述IP数据包按照所述目的地 址发送至所述网络层。
[0006] 其中，所述如果所述交换路径为预设路径，扫描所述业务数据是否存在安全风险 的步骤包括：如果所述交换路径为预设路径，判断所述业务数据是否为合法数据；如果所 述业务数据为合法数据，扫描所述业务数据是否存在安全风险。
[0007] 其中，所述交换方法还包括：如果所述感知层协议不属于预设协议类型、所述交换 路径不为预设路径、所述业务数据不为合法数据或者所述业务数据存在安全风险，将所述 数据包丢弃。
[0008] 其中，将所述数据包丢弃后，所述交换方法还包括：将所述数据包记录在预先建立 的信息交换日志中。
[0009] 为了解决上述技术问题，本发明采用的另一种技术方案是提供一种物联网数据的 交换方法，所述交换方法包括：接收网络层发送的IP数据包，判断所述IP数据包是否携带 封装协议和感知层的目的地址；如果携带所述封装协议和所述目的地址，解析所述IP数据 包得到业务数据、所述网络层的源地址和所述目的地址；判断所述源地址到所述目的地址 的交换路径是否为预设路径；如果所述交换路径为预设路径，扫描所述业务数据是否存在 安全风险；如果所述业务数据不存在安全风险，将所述业务数据、所述源地址和所述目的地 址采用所述封装协议重新封装为数据包，并将所述重新封装的数据包按照所述目的地址发 送至所述感知层。
[0010] 其中，所述如果所述交换路径为预设路径，扫描所述业务数据是否存在安全风险 的步骤包括：如果所述交换路径为预设路径，判断所述业务数据是否为合法数据；如果所 述业务数据为合法数据，扫描所述业务数据是否存在安全风险。
[0011] 其中，所述交换方法还包括：如果所述交换路径不为预设路径、所述业务数据不为 合法数据或者所述业务数据存在安全风险，将所述数据包丢弃。
[0012] 其中，将所述数据包丢弃后，所述交换方法还包括：将所述数据包记录在预先建立 的信息交换日志中。
[0013] 为了解决上述技术问题，本发明采用的另一种技术方案是提供一种物联网数据的 交换装置，所述交换装置设置于感知层和网络层之间，所述交换装置包括识别模块、协议判 断模块、解析模块、路径判断模块、扫描模块和封装模块，其中，所述识别模块用于接收感知 层发送的数据包，并识别所述数据包采用的感知层协议；所述协议判断模块用于判断所述 感知层协议是否属于预设协议类型；所述解析模块用于在所述协议判断模块判断到所述感 知层协议属于预设协议类型时，解析所述数据包得到业务数据、所述感知层的源地址和网 络层的目的地址；所述路径判断模块用于判断所述源地址到所述目的地址的交换路径是否 为预设路径；所述扫描模块用于在所述路径判断模块判断到所述交换路径为预设路径时， 扫描所述业务数据是否存在安全风险；所述封装模块用于在所述扫描模块扫描到所述业务 数据不存在安全风险时，将所述业务数据、所述源地址和所述目的地址采用IP协议封装为 IP数据包，并将所述IP数据包按照所述目的地址发送至所述网络层。
[0014] 为了解决上述技术问题，本发明采用的另一种技术方案是提供一种物联网数据的 交换装置，所述交换装置设置于感知层和网络层之间，所述交换装置包括识别模块、解析模 块、路径判断模块、扫描模块和封装模块，其中，所述识别模块用于接收网络层发送的IP数 据包，判断所述IP数据包是否携带封装协议和感知层的目的地址；所述解析模块用于在所 述识别模块确定所述数据包携带所述封装协议和所述目的地址时，解析所述IP数据包得 到业务数据、所述网络层的源地址和所述目的地址；所述路径判断模块用于判断所述源地 址到所述目的地址的交换路径是否为预设路径；所述扫描模块用于在所述路径判断模块判 断到所述交换路径为预设路径时，扫描所述业务数据是否存在安全风险；所述封装模块用 于在所述扫描模块扫描到所述业务数据不存在安全风险时，将所述业务数据、所述源地址 和所述目的地址采用所述封装协议重新封装为数据包，并将所述重新封装的数据包按照所 述目的地址发送至所述感知层。
[0015] 综上所述，由于采用了上述技术方案，本发明的有益效果是：本发明的物联网数据 的交换方法和交换装置通过识别数据包的协议来适应感知层的协议多样性，通过判断数据 包的交换路径是否为预设路径以及扫描数据包中业务数据是否存在安全风险来为感知层 与网络层之间的数据交换提供安全保障，从而能够解决现有技术存在的问题，可以有效避 免感知层和网络层之间的双向攻击，保证区域边界安全。

【专利附图】

【附图说明】
[0016] 本发明将通过例子并参照附图的方式说明，其中：
[0017] 图1是本发明物联网数据的交换方法第一实施例的流程示意图。
[0018] 图2是本发明物联网数据的交换方法第二实施例的流程示意图。
[0019] 图3是本发明物联网数据的交换装置第一实施例的结构示意图。
[0020] 图4是本发明物联网数据的交换装置第二实施例的结构示意图。

【具体实施方式】
[0021] 本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥 的特征和/或步骤以外，均可以以任何方式组合。
[0022] 本说明书中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的 替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子 而已。
[0023] 请参见图1，是本发明物联网数据的交换方法第一实施例的流程示意图。物联网数 据的交换方法包括以下步骤：
[0024] S11 :接收感知层发送的数据包，并识别数据包采用的感知层协议。
[0025] 其中，感知层由于包含种类繁多的传感器，这些传感器采用的协议又不尽相同，所 以，在接收到感知层发送的数据包时，该数据包采用何种协议是未知的。但是数据包采用 非IP协议封装时，通常都有一个报头记录数据包的基本信息，例如RFID (Radio Frequency Identification，射频识别）协议或者无线传感器网络协议都定义了一个报头，用于记录数 据包所采用的协议等基本信息。
[0026] 在识别数据包采用的感知层协议时，可以只抓取特定字段中的关键字，通过该关 键字来识别感知层协议。
[0027] S12 :判断感知层协议是否属于预设协议类型。
[0028] 其中，预设协议类型是预先设定好的，其包含了多种协议。预设协议类型包含的内 容可以在任何时候进行更改、增加或删除。如果感知层协议是预设协议类型中的一种，那么 该感知层协议属于预设协议类型。
[0029] S13:如果感知层协议属于预设协议类型，解析数据包得到业务数据、感知层的源 地址和网络层的目的地址。
[0030] 其中，业务数据一般存在于数据包的正文部分，描述了具体的传感数据。而感知层 的源地址以及网络层的目的地址一般存在于数据包的报头中。解析数据包时，需要将业务 数据剥离出，并从报头中提取出源地址和目的地址。
[0031] S14 :判断源地址到目的地址的交换路径是否为预设路径。
[0032] 其中，预设路径可以通过权限表体现，权限表可以记录多个感知层的源地址以及 多个网络层的目的地址，一个源地址可以映射一个或多个目的地址,一个目的地址也可以 映射一个或多个源地址。源地址可以是发出数据包的传感器的名称或标识，目的地址可以 是IP(Internet Protocol，网际协议）地址。如果数据包中的源地址到目的地址的交换路 径在权限表中存在相应的映射关系，那么该交换地址即为预设路径。
[0033] S15 :如果交换路径为预设路径，扫描业务数据是否存在安全风险。
[0034] 其中，业务数据中如果存在恶意代码、攻击代码或者病毒，都可以认为存在安全风 险。
[0035] S16 :如果业务数据不存在安全风险，将业务数据、源地址和目的地址采用IP协议 封装为IP数据包，并将IP数据包按照目的地址发送至网络层。
[0036] 其中，物联网的网络层是基于互联网的，所以在网络层传输的数据包都采用IP协 议。因此业务数据、源地址和目的地址需要按照IP协议重新封装。
[0037] 可选地，在其它实施例中，步骤S15包括：如果交换路径为预设路径，判断业务数 据是否为合法数据；如果业务数据为合法数据，扫描业务数据是否存在安全风险。其中，在 一些实际应用中，数据包中的业务数据数值大小比较固定，例如温度传感器上传的温度数 据只有几个字节大小，如果某个时刻温度数据达到几十字节或者几百字节，说明该数据包 中的业务数据不是合法数据。通过对业务数据进行合法检查，可以提高安全扫描的准确性， 减少业务数据安全扫描的时间。
[0038] 进一步地，该交换方法还包括：如果感知层协议不属于预设协议类型、交换路径不 为预设路径、业务数据不为合法数据或者业务数据存在安全风险，将数据包丢弃。可选地， 在将数据包丢弃后，还可以将数据包记录在预先建立的信息交换日志中。
[0039] 可选地，步骤S14在判断到交换路径为预设路径后，还可以进一步判断该交换路 径是否允许采用步骤S11中识别出的感知层协议的数据包通过，如果允许通过，才进行扫 描业务数据是否存在安全风险的步骤。
[0040] 本发明实施例的物联网数据的交换方法针对数据包采用的感知层协议、数据包的 交换路径、以及数据包中的业务数据进行层层检查，将未通过检查的数据包丢弃，从而能够 弥补现有技术在数据包嵌入恶意代码时无法进行过滤的不足，能够适应感知层的协议多样 性，并为感知层与网络层之间的数据交换提供安全保障，实现了传感层与网络层之间高效、 安全的数据交换，避免了双向攻击，保证区域边界安全。
[0041] 请参见图2,是本发明物联网数据的交换方法第二实施例的流程示意图。物联网数 据的交换方法包括以下步骤：
[0042] S21 :接收网络层发送的IP数据包，判断IP数据包是否携带封装协议和感知层的 目的地址。
[0043] 其中，物联网的网络层是基于互联网的，所以在网络层传输的数据包都采用IP协 议，无需再判断IP数据包采用何种协议封装。网络层的数据包如果发送给感知层的某个传 感器，会在IP数据包中指定该传感器所采用的感知层协议，该感知层协议即为封装协议。 封装协议和感知层的目的地址都可以存放于数据包的报头中。
[0044] S22 :如果携带封装协议和目的地址，解析IP数据包得到业务数据、网络层的源地 址和目的地址。
[0045] 其中，业务数据一般存在于数据包的正文部分，描述了具体的网络层处理数据。而 网络层的源地址以及感知层的目的地址一般存在于数据包的报头中。解析数据包时，需要 将业务数据剥离出，并从报头中提取出源地址和目的地址。
[0046] S23 :判断源地址到目的地址的交换路径是否为预设路径。
[0047] 其中，预设路径可以通过权限表体现，权限表可以记录多个网络层的源地址以及 多个感知层的目的地址，一个源地址可以映射一个或多个目的地址，一个目的地址也可以 映射一个或多个源地址。源地址可以是IP地址，目的地址可以是接收数据包的传感器的 名称或标识。如果数据包中的源地址到目的地址的交换路径在权限表中存在相应的映射关 系，那么该交换地址即为预设路径。
[0048] S24 :如果交换路径为预设路径，扫描业务数据是否存在安全风险。
[0049] 其中，业务数据中如果存在恶意代码、攻击代码或者病毒，都可以认为存在安全风 险。
[0050] S25:如果业务数据不存在安全风险，将业务数据、源地址和目的地址采用封装协 议重新封装为数据包，并将重新封装的数据包按照目的地址发送至感知层。
[0051] 其中，由于IP数据包中已经指明与传感器适应的封装协议，因此业务数据、源地 址和目的地址需要按照封装协议重新封装。
[0052] 可选地，在其它实施例中，步骤S24包括：如果交换路径为预设路径，判断业务数 据是否为合法数据；如果业务数据为合法数据，扫描业务数据是否存在安全风险。其中，在 一些实际应用中，数据包中的业务数据数值大小比较固定，例如温度传感器上传的温度数 据只有几个字节大小，如果某个时刻温度数据达到几十字节或者几百字节，说明该数据包 中的业务数据不是合法数据。通过对业务数据进行合法检查，可以提高安全扫描的准确性， 减少业务数据安全扫描的时间。
[0053] 进一步地，该交换方法还包括：如果交换路径不为预设路径、业务数据不为合法数 据或者业务数据存在安全风险，将数据包丢弃。可选地，在将数据包丢弃后，还可以将数据 包记录在预先建立的信息交换日志中。
[0054] 可选地，步骤S23在判断到交换路径为预设路径后，还可以进一步判断该交换路 径是否允许采用步骤S21中的封装协议的数据包通过，如果允许通过，才进行扫描业务数 据是否存在安全风险的步骤。
[0055] 本发明实施例的物联网数据的交换方法针对数据包中携带的封装协议和感知层 的目的地址、数据包的交换路径、以及数据包中的业务数据进行层层检查，只有通过检查的 数据包才会被发送至感知层，从而能够弥补现有技术在数据包嵌入恶意代码时无法进行过 滤的不足，能够适应感知层的协议多样性，并为感知层与网络层之间的数据交换提供安全 保障，实现了传感层与网络层之间高效、安全的数据交换，避免了双向攻击，保证区域边界 安全。
[0056] 可以理解，本发明的上述实施例的交换方法仅记载了物联网数据的交换方向为从 感知层到网络层或者从网络层到感知层，但本领域技术人员可以根据本发明上述实施例的 描述很容易想到将上述两个实施例的交换方法组合，即将感知层的数据包交换至网络层， 同时将网络层返回的数据包交换至感知层，或者将网络层的数据包交换至感知层，同时将 感知层返回的数据包交换至网络层。因此，包含上述两个实施例的交换方法组合的技术方 案同样包括在本发明的保护范围之内。
[0057] 请参见图3,是本发明物联网数据的交换装置第一实施例的结构示意图。图中还一 并示意了感知层和网络层。物联网数据的交换装置31设置于感知层和网络层之间，包括识 别模块310、协议判断模块320、解析模块330、路径判断模块340、扫描模块350和封装模块 360。
[0058] 识别模块310用于接收感知层发送的数据包，并识别数据包采用的感知层协议。 其中，感知层由于包含种类繁多的传感器，这些传感器采用的协议又不尽相同，所以，在接 收到感知层发送的数据包时，该数据包采用何种协议是未知的。但是数据包采用非IP协议 封装时，通常都有一个报头记录数据包的基本信息，例如RFID协议或者无线传感器网络协 议都定义了一个报头，用于记录数据包所采用的协议等基本信息。在识别数据包采用的感 知层协议时，识别模块310可以只抓取特定字段中的关键字，通过该关键字来识别感知层 协议。
[0059] 协议判断模块320用于判断感知层协议是否属于预设协议类型。其中，预设协议 类型是预先设定好的，其包含了多种协议。预设协议类型包含的内容可以在任何时候进行 更改、增加或删除。如果感知层协议是预设协议类型中的一种，那么该感知层协议属于预设 协议类型。
[0060] 解析模块330用于在协议判断模块320判断到感知层协议属于预设协议类型时， 解析数据包得到业务数据、感知层的源地址和网络层的目的地址。其中，业务数据一般存在 于数据包的正文部分，描述了具体的传感数据。而感知层的源地址以及网络层的目的地址 一般存在于数据包的报头中。解析数据包时，需要将业务数据剥离出，并从报头中提取出源 地址和目的地址。
[0061] 路径判断模块340用于判断源地址到目的地址的交换路径是否为预设路径。其 中，预设路径可以通过权限表体现，权限表可以记录多个感知层的源地址以及多个网络层 的目的地址，一个源地址可以映射一个或多个目的地址，一个目的地址也可以映射一个或 多个源地址。源地址可以是发出数据包的传感器的名称或标识，目的地址可以是IP地址。 如果数据包中的源地址到目的地址的交换路径在权限表中存在相应的映射关系，那么该交 换地址即为预设路径。
[0062] 扫描模块360用于在路径判断模块340判断到交换路径为预设路径时，扫描业务 数据是否存在安全风险。其中，业务数据中如果存在恶意代码、攻击代码或者病毒，都可以 认为存在安全风险。
[0063] 封装模块370用于在扫描模块360扫描到业务数据不存在安全风险时，将业务数 据、源地址和目的地址采用IP协议封装为IP数据包，并将IP数据包按照目的地址发送至 网络层。其中，物联网的网络层是基于互联网的，所以在网络层传输的数据包都采用IP协 议。因此业务数据、源地址和目的地址需要按照IP协议重新封装。
[0064] 可选地，在其它实施例中，扫描模块360具体用于在路径判断模块340判断到交换 路径为预设路径时，判断业务数据是否为合法数据；如果业务数据为合法数据，扫描业务数 据是否存在安全风险。其中，在一些实际应用中，数据包中的业务数据数值大小比较固定， 例如温度传感器上传的温度数据只有几个字节大小，如果某个时刻温度数据达到几十字节 或者几百字节，说明该数据包中的业务数据不是合法数据。通过对业务数据进行合法检查， 可以提高安全扫描的准确性，减少业务数据安全扫描的时间。
[0065] 进一步地，可选地，在协议判断模块320判断到感知层协议不属于预设协议类型、 路径判断模块340判断到交换路径不为预设路径、扫描模块360扫描到业务数据存在安全 风险或者，扫描模块360判断到业务数据不为合法数据时，将数据包丢弃。可选地，在将数 据包丢弃后，还可以将数据包记录在预先建立的信息交换日志中。
[0066] 请参见图4,是本发明物联网数据的交换装置第二实施例的结构示意图。图中还一 并示意了感知层和网络层。物联网数据的交换装置41设置于感知层和网络层之间，包括识 别模块410、解析模块420、路径判断模块430、扫描模块440和封装模块450。
[0067] 识别模块410用于接收网络层发送的IP数据包，判断IP数据包是否携带封装协 议和感知层的目的地址。其中，物联网的网络层是基于互联网的，所以在网络层传输的数据 包都采用IP协议，无需识别模块410再判断IP数据包采用何种协议封装。网络层的数据包 如果发送给感知层的某个传感器，会在IP数据包中指定该传感器所采用的感知层协议，该 感知层协议即为封装协议。封装协议和感知层的目的地址都可以存放于数据包的报头中。
[0068] 解析模块420用于在识别模块410确定数据包携带封装协议和目的地址时，解析 IP数据包得到业务数据、网络层的源地址和目的地址。其中，业务数据一般存在于数据包的 正文部分，描述了具体的网络层处理数据。而网络层的源地址以及感知层的目的地址一般 存在于数据包的报头中。解析数据包时，需要将业务数据剥离出，并从报头中提取出源地址 和目的地址。
[0069] 路径判断模块430用于判断源地址到目的地址的交换路径是否为预设路径。其 中，预设路径可以通过权限表体现，权限表可以记录多个网络层的源地址以及多个感知层 的目的地址，一个源地址可以映射一个或多个目的地址，一个目的地址也可以映射一个或 多个源地址。源地址可以是IP地址，目的地址可以是接收数据包的传感器的名称或标识。 如果数据包中的源地址到目的地址的交换路径在权限表中存在相应的映射关系，那么该交 换地址即为预设路径。
[0070] 扫描模块440用于在路径判断模块430判断到交换路径为预设路径时，扫描业务 数据是否存在安全风险。其中，业务数据中如果存在恶意代码、攻击代码或者病毒，都可以 认为存在安全风险。
[0071] 封装模块450用于在扫描模块440扫描到业务数据不存在安全风险时，将业务数 据、源地址和目的地址采用封装协议重新封装为数据包，并将重新封装的数据包按照目的 地址发送至感知层。其中，由于IP数据包中已经指明与传感器适应的封装协议，因此业务 数据、源地址和目的地址需要按照封装协议重新封装。
[0072] 可选地，在其它实施例中，扫描模块440还用于在路径判断模块430判断到交换路 径为预设路径时，判断业务数据是否为合法数据；如果业务数据为合法数据，扫描业务数据 是否存在安全风险。其中，在一些实际应用中，数据包中的业务数据数值大小比较固定，例 如温度传感器上传的温度数据只有几个字节大小，如果某个时刻温度数据达到几十字节或 者几百字节，说明该数据包中的业务数据不是合法数据。通过对业务数据进行合法检查，可 以提高安全扫描的准确性，减少业务数据安全扫描的时间。
[0073] 进一步地，在路径判断模块430判断到交换路径不为预设路径、扫描模块440扫 描到业务数据存在安全风险或者扫描模块440判断到业务数据不为合法数据，将数据包丢 弃。可选地，在将数据包丢弃后，还可以将数据包记录在预先建立的信息交换日志中。
[0074] 实施本发明的物联网数据的交换方法和交换装置具有多种有益效果：
[0075] 1)通过对数据进行协议识别，剥离业务数据，并对业务数据内容进行安全检查， 再对业务数据进行IP协议或感知层协议重新封装完成数据的传输，有效地杜绝了非法数 据进入、敏感信息外泄以及恶意代码威胁，实现了传感层与网络层之间高效、安全的数据交 换，避免了双向攻击，保证区域边界安全。
[0076] 2)支持对感知层和网络层两种不同的网络间的数据进行安全监控。
[0077] 3)对预设协议类型或者预设路径进行管理，可以有效地防止未知感知层/网络层 源地址所带来的安全威胁，使安全风险降至最小。
[0078] 4)通过日志记录数据交换行为，有利于物联网的安全审计。
[0079] 本发明并不局限于前述的【具体实施方式】。本发明扩展到任何在本说明书中披露的 新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。
【权利要求】
1. 一种物联网数据的交换方法，其特征在于，所述交换方法包括： 接收感知层发送的数据包，并识别所述数据包采用的感知层协议； 判断所述感知层协议是否属于预设协议类型； 如果所述感知层协议属于预设协议类型，解析所述数据包得到业务数据、所述感知层 的源地址和网络层的目的地址； 判断所述源地址到所述目的地址的交换路径是否为预设路径； 如果所述交换路径为预设路径，扫描所述业务数据是否存在安全风险； 如果所述业务数据不存在安全风险，将所述业务数据、所述源地址和所述目的地址采 用IP协议封装为IP数据包，并将所述IP数据包按照所述目的地址发送至所述网络层。
2. 根据权利要求1所述的交换方法，其特征在于，所述如果所述交换路径为预设路径， 扫描所述业务数据是否存在安全风险的步骤包括： 如果所述交换路径为预设路径，判断所述业务数据是否为合法数据； 如果所述业务数据为合法数据，扫描所述业务数据是否存在安全风险。
3. 根据权利要求2所述的交换方法，其特征在于，所述交换方法还包括： 如果所述感知层协议不属于预设协议类型、所述交换路径不为预设路径、所述业务数 据不为合法数据或者所述业务数据存在安全风险，将所述数据包丢弃。
4. 根据权利要求3所述的交换方法，其特征在于，将所述数据包丢弃后，所述交换方法 还包括： 将所述数据包记录在预先建立的信息交换日志中。
5. -种物联网数据的交换方法，其特征在于，所述交换方法包括： 接收网络层发送的IP数据包，判断所述IP数据包是否携带封装协议和感知层的目的 地址； 如果携带所述封装协议和所述目的地址，解析所述IP数据包得到业务数据、所述网络 层的源地址和所述目的地址； 判断所述源地址到所述目的地址的交换路径是否为预设路径； 如果所述交换路径为预设路径，扫描所述业务数据是否存在安全风险； 如果所述业务数据不存在安全风险，将所述业务数据、所述源地址和所述目的地址采 用所述封装协议重新封装为数据包，并将所述重新封装的数据包按照所述目的地址发送至 所述感知层。
6. 根据权利要求5所述的交换方法，其特征在于，所述如果所述交换路径为预设路径， 扫描所述业务数据是否存在安全风险的步骤包括： 如果所述交换路径为预设路径，判断所述业务数据是否为合法数据； 如果所述业务数据为合法数据，扫描所述业务数据是否存在安全风险。
7. 根据权利要求6所述的交换方法，其特征在于，所述交换方法还包括： 如果所述交换路径不为预设路径、所述业务数据不为合法数据或者所述业务数据存在 安全风险，将所述数据包丢弃。
8. 根据权利要求7所述的交换方法，其特征在于，将所述数据包丢弃后，所述交换方法 还包括： 将所述数据包记录在预先建立的信息交换日志中。
9. 一种物联网数据的交换装置，所述交换装置设置于感知层和网络层之间，其特征在 于，所述交换装置包括识别模块、协议判断模块、解析模块、路径判断模块、扫描模块和封装 模块，其中， 所述识别模块用于接收感知层发送的数据包，并识别所述数据包采用的感知层协议； 所述协议判断模块用于判断所述感知层协议是否属于预设协议类型； 所述解析模块用于在所述协议判断模块判断到所述感知层协议属于预设协议类型时， 解析所述数据包得到业务数据、所述感知层的源地址和网络层的目的地址； 所述路径判断模块用于判断所述源地址到所述目的地址的交换路径是否为预设路 径； 所述扫描模块用于在所述路径判断模块判断到所述交换路径为预设路径时，扫描所述 业务数据是否存在安全风险； 所述封装模块用于在所述扫描模块扫描到所述业务数据不存在安全风险时，将所述业 务数据、所述源地址和所述目的地址采用IP协议封装为IP数据包，并将所述IP数据包按 照所述目的地址发送至所述网络层。
10. -种物联网数据的交换装置，所述交换装置设置于感知层和网络层之间，其特征在 于，所述交换装置包括识别模块、解析模块、路径判断模块、扫描模块和封装模块，其中， 所述识别模块用于接收网络层发送的IP数据包，判断所述IP数据包是否携带封装协 议和感知层的目的地址； 所述解析模块用于在所述识别模块确定所述数据包携带所述封装协议和所述目的地 址时，解析所述IP数据包得到业务数据、所述网络层的源地址和所述目的地址； 所述路径判断模块用于判断所述源地址到所述目的地址的交换路径是否为预设路 径； 所述扫描模块用于在所述路径判断模块判断到所述交换路径为预设路径时，扫描所述 业务数据是否存在安全风险； 所述封装模块用于在所述扫描模块扫描到所述业务数据不存在安全风险时，将所述业 务数据、所述源地址和所述目的地址采用所述封装协议重新封装为数据包，并将所述重新 封装的数据包按照所述目的地址发送至所述感知层。
【文档编号】H04L29/06GK104092677SQ201410308694
【公开日】2014年10月8日 申请日期:2014年7月1日 优先权日:2014年7月1日
【发明者】马晓旭, 冷冰, 曾梦岐, 陈剑锋 申请人:中国电子科技集团公司第三十研究所