一种控制与功能分离的物联网节点及其安全防护方法与流程

本发明属于物联网安全技术领域，具体涉及一种控制与功能分离的物联网节点安全防护方法以及一种物联网节点。

背景技术：

物联网是通过采用现代感知技术和终端智能设备对物理目标进行感知识别、信息采集，然后将采集数据进行计算和处理，通过专业通讯网络与传统网络的互联互通，实现与物理目标信息交流的网络。近年来在学术、军事和工业界得到了广泛的应用，其规模仍在不断扩大。

物联网中的节点具备如下特点：

(1)节点资源有限

受制于能耗、体积、成本等多种因素，通常物联网中节点的cpu性能相对较低、内存相对较小、能调度的资源相对有限，不宜做计算量大的工作。

(2)节点功能单一

不同种类的物联网节点功能都相对单一，尤其是不同种类的数据采集节点功能更为单一，如温度传感器、湿度传感器、光敏传感器等。另外，物联网节点的结构清晰，应用、感知功能和通信、控制功能易于区分。

(3)节点成本低

各类节点在物联网中的应用量和普及度都很高，智能家居发展的逐步成熟，如智能摄像头、智能门锁、智能微波炉、智能电视等设备的广泛应用使得这一特点更为显著，这就要求节点的制造成本必须降低。

(4)部分节点缺乏维护和升级

物联网节点应用范围广，有些节点应用周期长(如智能家电)，导致维护和升级不及时或不能长期维护；另外，许多节点将被部署在一些无人看守、环境恶劣的场所，如深海、沙漠等。这些场所的节点的生命周期即从节点部署到节点失效，节点失效后再部署下一批节点即可，期间不会做维护和升级工作。

物联网节点智能程度近年来在不断的提升，智能化的操作系统使物联网节点的开发、应用变得容易和方便。但是伴随而来的是大规模的安全问题，节点嵌入的相关智能操作系统的共性安全问题容易成为攻击者攻击、控制节点的突破口。攻击者很容易直接或通过网络攻击节点的智能操作系统，只要攻破了智能操作系统，就能够控制节点执行各种指令。

而由于节点具备上述的性能、体积、能耗、成本等特点，使得传统的网络安全防护方法(如防火墙、入侵检测、杀毒软件、可信系统等)难以得到有效应用；另外，物联网节点的应用周期长、升级换代慢、生产厂家复杂，都使节点自身有限的安全防护难以得到及时升级和维护。

因此，物联网节点安全问题层出不穷，如2016年美国黑客利用了大量的物联网设备对dns服务商dyn进行的ddos攻击，大量的网络摄像头被控制，造成了隐私的泄露；物联网安全事件给社会、生产、生活等安全带来严重隐患，而当前的安全防护方法又与物联网自身特点矛盾，急需新的有效的安全防护方法。

技术实现要素：

有鉴于此，本发明所要解决的技术问题是提出一种成本低、资源消耗少、安全性高的物联网节点防护方法。

该控制与功能分离的物联网节点安全防护方法，将物联网节点分离为相互独立的控制模块和功能模块；控制模块采用智能操作系统，功能模块采用非智能操作系统；

来自物联网节点外部的数据先在控制模块进行用户信息的合法性认证，只有用户信息认证通过，指令部分才进入功能模块；功能模块进行指令的合法性认证后，执行通过认证的指令。

本发明的另一个目的是，提出一种成本低、资源消耗少、安全性高的物联网节点。

该控制与功能分离的物联网节点，包括相互独立的控制模块和功能模块；所述控制模块采用智能操作系统，所述功能模块采用非智能操作系统；控制模块和功能模块采用私有通道进行信息交互；

所述控制模块负责第一重认证，以及与节点外部进行信息交互；

所述功能模块负责第二重认证，以及实现所在物联网节点的基本功能；

所述控制模块对来自节点外部的数据进行用户信息的合法性认证，将认证通过的数据发送给功能模块，将用户认证不通过的数据丢弃；所述功能模块对来自控制模块的数据进行指令的合法性认证，根据合法指令执行相应动作，将未通过指令合法性认证的数据丢弃。

优选地，所述控制模块完成用户的信息的合法性认证后，剥离用户信息，仅将指令及用于指令认证的签名填充发送给功能模块。

优选地，所述功能模块实现的所在物联网节点的基本功能为：节点感知功能和应用功能。

优选地，所述控制模块负责直接接入网络或直接与用户交互。

优选地，所述控制模块包括任意网络接口和与用户的直接交互接口。任意网络接口可以是互联网接口、移动通信网接口、无线局域网接口等等。

优选地，所述控制模块和功能模块之间传递指令时进行加密传递。

有益效果：

(1)将安全性较低的控制部分和安全性较高的功能部分分离，两部分的功能独立，功能部分操作系统单一、专用且封闭，加之其不直接接入网络，安全性较高，保障了整体节点的安全。而且，控制模块的功能和功能模块的功能是相互独立的，即使控制模块被攻破也不会影响到功能模块的正常工作，这进一步保证了节点整体的安全性。

(2)功能模块和控制模块的双重认证体系进一步提高了系统的安全性，即便是攻击者即使攻破控制模块，绕开身份认证，修改指令信息，虚假的指令也无法通过第二重认证，非法的用户依然不能控制功能模块，提高了系统安全性。

(3)本发明安全策略的实现不需要在节点中添加过于复杂的算法，结构清晰，易于实现，实现该安全策略的成本较低，资源消耗少。

(4)使用该安全策略在不频繁维护和升级情况下，仍能够保证功能安全，维护和升级代价低。

附图说明

图1为本发明控制与功能分离的物联网节点的功能原理图。

图2为本发明控制与功能分离的物联网节点安全防护方法的示意图。

具体实施方式

下面结合附图并举实施例，对本发明进行详细描述。

现有技术的物联网节点通常采用单操作系统，而本发明按照物联网节点的功能特性，将物联网节点分为控制和功能两部分，形成双重系统——控制系统和功能系统，系统彼此之间相互独立，采用双重认证方式，保证节点安全。本发明物联网节点的系统如图1所示。

下面从结构特性、安全特性和接口特性三个方面描述传感器芯片：

(1)结构特性

●控制与功能分离

物联网节点被分离为控制模块和功能模块，两个模块工作相互独立；控制模块可以直接接入网络或直接与用户交互，功能模块则与网络和用户隔离。两模块唯一的联系是通过二者之间的私有通道(或者说内部通道)传递状态信息和指令。

控制模块的主要作用有：

1)接入到移动通信网、无线局域网、互联网、can以及其他各种网络中与远端进行通信。

2)直接与用户进行交互，接收用户的指令(包含用户信息和操作指令)、向用户反馈节点状态等信息(通过指示灯、显示屏等)。

3)节点的第一重认证：认证用户信息，并向功能模块传递指令。

功能模块的主要作用有：

1)接收感知层传来的感知数据，如温度、湿度等。

2)接收来自控制模块的指令，向控制模块传递节点状态。

3)实现具体的应用操作，如智能摄像头的开关、智能冰箱的温度控制等。

●双重系统

物联网节点按照功能分离为两个模块，每个模块都需要其独立的操作系统。控制模块功能相对较为复杂(一般需要通信协议、加密传输、身份认证等)，一般使用智能操作系统(如os-ii、嵌入式linus、wince、android等)，这类系统往往会有很多已知或未知漏洞，安全性较低。

功能模块功能较为简单，采用简单的、专用的非智能操作系统，这类操作系统一般是与设备硬件紧耦合、非开放的系统，安全性较高。

●双重认证

节点的控制模块和功能模块都具备认证功能，控制模块的认证功能负责认证用户是否合法，功能模块的认证功能负责认证外部指令是否合法，这样形成双重认证体系。数据流认证流程如图2所示。

物联网节点从网络或用户交互接口接收到的数据是由用户信息拼接其签名填充和指令拼接其签名填充组成的拼接数据。控制模块只对来自节点外部的数据进行用户信息的合法性认证，即第一重认证，认证用户合法性。认证时提取拼接数据的用户信息及其签名填充部分，进行认证。

如果认证失败则证明用户不合法，整个数据将被丢弃。如果认证成功则处理拼接数据，使得数据只剩指令及其签名填充。指令数据对于控制模块是不透明的，因此控制模块只负责传输指令及其签名填充到功能模块。指令及其签名填充传输到功能模块后，功能模块对其进行第二重认证，认证指令的合法性。认证成功则执行指令，失败则丢弃数据。

(2)接口特性

主要的三个接口描述如下：

●控制模块与外部网络接口

控制模块通过该接口可以接入互联网、移动通信网、无线局域网等各种网络，并与外部进行通信。该接口还负责节点与用户的直接交互。

●功能模块与本地应用接口

功能模块通过该接口接收感知信息并发送指令。

●控制模块与功能模块接口

控制模块通过该接口向功能模块发送控制指令，功能模块通过该接口向控制模块发送传感器状态信息。

(3)安全特性

节点的安全性主要体现在两个方面：

●整体安全性高

物联网节点采用控制与功能相分离的设计方法，控制模块使用智能系统，智能系统功能复杂、接口开放，在其接入网络后容易被攻击者攻击，安全性较低。而功能模块的系统是一种封闭的专用操作系统，安全性较高，加之其不直接接入网络，安全性较高。控制模块的功能和功能模块的功能是相互独立的，即使控制模块被攻破也不会影响到功能模块的正常工作，这保证了系统整体的安全性。

●双重认证突破困难

控制模块的第一重认证，即身份认证，可以保障接入者身份的合法性，使得不明身份的攻击者无法接入节点。功能模块的第二重认证，即指令认证，可以保障指令的合法性，攻击者即使攻破控制模块，绕开身份认证，修改指令信息，虚假的指令也无法通过第二重认证，非法的用户依然不能控制功能模块，功能模块上的应用仍然是安全的，功能模块在认证的同时可实时加密，保护功能模块与用户的交互数据安全。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。