一种基于物体描述方法的具有网络面具的物联网系统与流程

本申请涉及物联网领域，具体的，涉及一种利用基于物体描述方法的网络面具的物联网系统，能够保护物联网系统中诸如传感器、网关、智能终端、服务器的各类基础物联网设备在网络活动中的安全，使其免遭信息泄露或者恶意的攻击。

背景技术

物联网(theinternetofthings)简单来说即为将所有物品借助射频识别讯息感应设备而将许多物品与互联网设备如云端加以连接，借以提供智能化识别与管理。物联网整合了信息感应设备，如红外线传感器、全球定位系统等装置与互联网结合，使各种物品在制造上如生产、物流、消费过程，应用上如使用、管理、协调之过程等都能够加以信息整合与沟通。

当前主流的物联网安全解决方案多认为物联网的安全是互联网安全的延伸，利用互联网已有的安全技术结合物联网安全问题的实际需要，将改进后的技术应用到物联网中，从而解决物联网的安全问题。如：互联网环境中的防火墙技术，主要是对tcp/ip协议数据包进行解析，而在物联网环境中，防火墙还需要对物联网中的特定协议进行解析，如工控环境中的modbus、profibus等协议。

由于物联网还有其独特性，互联网中现有的技术难以解决此类问题：如1)终端设备众多，设备之间缺乏信任；2)物联网将许多原本与网络隔离的设备连接到网络中，大大增加了设备遭受攻击的风险；3)物联网中的设备资源受限，很多设备在设计时较少考虑安全问题；4)物联网中协议众多，没有统一标准等等。上述安全隐患都可能被黑客利用，造成极大的安全问题。

当前解决物联网的安全问题的主要途径包括对于设备加密，消除漏洞等防护措施。但黑客攻击的面向来看，针对物联网的攻击对象大致上可分成硬件设备、网络连接性，以及应用程序三部分。硬件指的不只是物联网设备本身，还包含相关设施，例如网关设备以及执行应用程序的手机等，黑客可透过这些设备发动攻击。连接性指的是任何连接的阶段以及过程，包含网络流量、通讯，以及设备之间的连接，或是应用程序之间的api等。应用程序则包含物联网设备本身的软件、云端网页接口或管理者接口等。

现有技术一“一种适用于物联网智能终端的安全方法”公开了一种适用于物联网智能终端的安全方法，其主要采用采集智能终端的用户/使用者的生物信息，如声音、脸部信息、以及指纹数据，通过验证加密的用户数据的安全性，判断智能终端是否可以接入网络。但该技术只用于智能终端设备接入阶段，无法保障已接入网络的智能终端的安全性，并且智能终端设备必须有使用者/用户相应生物信息采集的传感器，适用的智能终端类型有限。

现有技术二“基于伪id的物联网安全认证方法”公开了一种基于伪id的物联网安全认证方法，其主要使用伪id进行安全认证，利用该伪id进行设备信息验证和更新的技术。但该方法不适用恶意进攻者对物品/设备进行的控制攻击，且加入单独的基于“标签认证数字”的认证环节，会增大网络信息开销，同时，相应的应用服务器需保存额外的id信息，占用网络存储空间。无法保障技术在大规模的物联网环境下的适用性。

现有技术三“用于物联网传感设备的认证授权和安全使用的方法”公开了一种用于物联网传感设备的认证授权和安全使用的方法和系统，该方案为针对物联网终端传感器设备的访问权限，采用“社交网络”式的授权方法，有传感器设备的“所有者”来管理和发起授权。但该方案不适用恶意进攻者对物品/设备层面进行的访问控制攻击，且只是在传感类设备中应用。无法保障技术在大规模的物联网环境下的适用性。

因此，综合现有技术存在的缺陷，如何能够扩大物联网设备适用的范围，保证公网以及私网下的各类物联网设备均能够既正常查询范围，又避免核心调用信息不在物联网环境下完全保护，同时减少网络开销，增强保密性，避免设备成为恶意进攻对象以及避免设备的非法调用成为现有技术亟需解决的技术问题。

技术实现要素：

本发明的目的在于提出一种基于物体描述方法的具有网络面具的物联网系统，能够使用包括诸如传感器、网关、智能终端、服务器的各类基础物联网设备在网络活动中的安全，使其免遭信息泄露或者恶意的攻击。

为达此目的，本发明采用以下技术方案：

基于物体描述方法的具有网络面具的物联网系统，包括设备管理平台、至少一个设备服务应用、和至少一个物联网设备；

所述设备管理平台，用于接收所述物联网设备的注册和所述设备服务应用的安全权限认证，根据所述设备服务应用的合法调用转发并调用所述物联网设备；

至少一个所述设备服务应用，能够向所述设备管理平台发起安全权限认证，并向所述设备管理平台调用所述物联网设备；

至少一个物联网设备，其中所述物联网设备基于物体描述模板，形成物体描述文件，利用所述物体描述文件向所述设备管理平台发送接入请求，以进行注册，并通过所述物体描述文件接受所述设备管理平台的调用，所述物体描述文件包括真实物体描述文件和伪物体描述文件，所述真实物体描述文件包括了所述物联网设备的真实调用指令和真实信息，所述伪物体描述文件包括所述物联网设备的伪调用指令或伪描述信息，伪描述信息包括不完全描述信息或虚假描述信息；

其中，所述设备管理平台与所述设备发现平台和所述设备服务应用之间的交互基于所述伪物体描述文件，所述设备管理平台与所述物联网设备之间的调用基于所述真实物体描述文件。

可选的，所述物联网设备包括公共物联网设备，

所述物联网系统还包括所述设备发现平台，用于从所述设备管理平台获取公共物联网设备的信息，并发布可供调用的公共物联网设备；

所述设备管理平台向设备发现平台通过伪物体描述文件发布所述公共物联网设备的信息，

所述设备服务应用能够从所述设备发现平台获取所述公共物联网设备的信息。

可选的，所述物联网设备与所述设备管理平台之间的通信均加密进行。

可选的，当调用私有物联网设备时，所述设备服务应用与所述设备管理平台之间的通信加密进行，当调用公共物联网设备时，所述设备服务应用与所述设备管理平台之间的通信不加密进行。

可选的，所述加密包括基于key的加密技术。

可选的，所述设备管理平台向未通过安全权限认证的设备服务应用利用所述伪物体描述文件回复信息。

可选的，设备服务应用、设备管理平台、设备发现平台以及物联网设备之间的通信内容均为物体描述文件的内容和格式。

因此，本发明具有如下优点：

(1)物体描述方法符合国家物联网物体描述标准，可用于描述物联网中的所有物体，具有兼容性和普适性；

(2)通过真实物体描述方法和伪物体描述方法，避免了恶意进攻方由于获取设备调用信息而展开针对设备本身的直接恶意进攻；

(3)伪物体描述方法可以用于对恶意攻击和非法连接的回复，从而增强了自身的伪装性，防范了非法的设备服务应用进一步升级该非法入侵或者非法注册的力度；

(4)为了使得公共设备可以方便的被发现和使用，设置设备发现平台模块，分担了负载，实现了模块化；

(5)物联网设备与设备管理平台之间使用安全加密机制，避免来自设备网络层面的安全攻击，平台中的设备全部为公共设备，应用层和设备管理平台的交互没有安全认证，降低了网络开销。

附图说明

图1是根据本发明具体实施例的基于物体描述方法的具有网络面具的物联网系统的构架图；

图2是根据本发明具体实施例的物联网系统的物联网设备的注册流程；

图3是根据本发明具体实施例的物联网系统的物联网设备的调用流程；

图4是根据本发明另一个具体实施例的基于物体描述方法的具有网络面具的物联网系统的构架图。

图中的附图标记所分别指代的技术特征为：

1、设备管理平台；2、设备服务应用；3、物联网设备；4、设备发现平台。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

对于物联网设备，能够采用物体描述方法对物联网设备的属性、感知、控制以及智能能力进行的规范化表示。物体描述建立统一物体描述元素和描述结构，定义物体的基本共性信息及扩展机制，包括公共属性，动态行为，主动能力和边界条件等。物体描述通过给出物联网环境下物理实体的物体描述模型，实现对物理世界中的物理实体与信息网络交互特征的抽象和归一化描述，使物联网系统能够对异构物体与网络的交互信息形成一致理解，提高系统之间的互操作性。

物体描述基于可扩展的描述性语言，包括xml，jason等，遵循可扩展及平台无关性。统一的物体描述是实现不同厂商异构物联网的物体接入、设备管理、服务调用及信息交互等功能的重要手段，同时也为保障物联网设备安全提供了新的解决思路。

物体描述文件作为实现设备、连接以及应用互通的信息载体和沟通工具，通过控制各环节中从描述文件中可被提取获得或交互的核心设备信息或指令，可以实现对物联网设备、连接以及应用程序的安全保障。

本发明主要采用采用物体描述方法作为物联网设备的注册和调用文件，并且物联网设备在向物联网平台注册时提供两套物体描述文件，一套为真实物体描述文件，一套为伪物体描述文件，在设备管理平台与物联网设备之间通过所述真实物体描述文件进行设备的调用，在设备管理平台与设备服务应用、以及设备发现平台之间采用伪物体描述文件，从而使得只有设备管理平台才掌握真实物体描述文件，避免在应用层的设备服务应用、以及设备发现平台通过伪物体描述文件获取真实的物联网设备的信息，从而直接对所述物联网设备进行攻击，；此外所述伪物体描述文件还能够用于所述设备管理平台在受到攻击或者非安全链接时能够释放虚假的信息，隐瞒攻击方，以避免攻击方重新发起攻击。即以伪物体描述文件作为网络面具以保护物联网设备以及设备管理平台。

具体而言，参见图1，示出了根据本发明具体实施例的基于物体描述方法的具有网络面具的物联网系统的构架图，该图中示出了该物联网系统包括的部件以及相关之间的关系，包括：设备管理平台1、至少一个设备服务应用2、和至少一个物联网设备3；

所述设备管理平台1，用于接收所述物联网设备3的注册和所述设备服务应用2的安全权限认证，根据所述设备服务应用2的合法调用转发并调用所述物联网设备；

至少一个所述设备服务应用2，能够向所述设备管理平台1发起安全权限认证，并向所述设备管理平台调用物联网设备；

至少一个物联网设备3，其中所述物联网设备3基于物体描述模板，形成物体描述文件，利用所述物体描述文件向所述设备管理平台发送接入请求，以进行注册，并通过所述物体描述文件接受所述设备管理平台的调用，具体的，所述物体描述文件包括真实物体描述文件和伪物体描述文件，所述真实物体描述文件包括了所述物联网设备的真实调用指令和真实信息，所述伪物体描述文件包括所述物联网设备的伪调用指令或伪描述信息，伪描述信息包括不完全描述信息或虚假描述信息。

参见图2，示出了物联网系统的物联网设备的注册流程，包含了真实物体描述文件和伪物体描述文件。

参见图3，示出了物联网系统的物联网设备的调用流程。

其中，所述设备管理平台1与所述设备发现平台3和所述设备服务应用2之间的交互，包括发现或者调用，基于所述伪物体描述文件，所述设备管理平台1与所述物联网设备3之间的调用基于所述真实物体描述文件。

因此，本发明通过基于物体描述方法的物联网设备网络面具，即在设备注册阶段通过提供包含伪调用指令的伪物体描述文件作为物联网设备在网络中的面具，设备管理平台与物联网设备间的交互基于真实物体描述文件，公网中用户通过设备服务应用只能获得伪物体描述文件中的伪调用指令或伪描述信息，伪描述信息包括不完全描述信息或虚假描述信息，而设备管理平台能够将真实物体描述文件和伪物体描述文件之间的信息和指令进行对应，这样，即能够合法的调用物联网设备，又能够保证物联网设备的调用信息不暴露在网络中，从而避免恶意进攻方由于获取设备调用信息而展开针对设备本身的直接恶意进攻。

只有通过设备管理平台身份认证的合法用户可以通过伪物体描述文件透过网络面具，由设备管理平台从真实的物体描述文件中获取真实的设备调用指令，将设备服务应用下发的伪设备调用指令转换为真实调用指令，成功调用设备功能，而非法用户无法获得真实的设备描述文件。从而实现物联网设备的调用保护，防止设备被恶意进攻者调用。

进一步的，所述物联网设备包括公共物联网设备，即该物联网设备属于公共设备，支持公网的搜索发现，所述物联网系统还包括所述设备发现平台4，用于从所述设备管理平台1获取公共物联网设备的信息，并发布可供调用的公共物联网设备；即用户可以通过设备服务应用与设备发现平台的交互实现对公共物联网设备发现和信息查询；

所述设备管理平台向设备发现平台3发布所述公共物联网设备的信息，

所述设备服务应用能够从所述设备发现平台3获取所述公共物联网设备的信息。

所述设备管理平台与所述设备发现平台的交互也是基于伪物体描述文件。

其中，所述设备管理平台能够从所述真实物体描述文件获取物联网设备的位置信息、用户信息、功能信息等，而所述设备发现平台仅仅能够从设备管理平台中获取用于设备服务应用发现公共物联网设备所需要的位置信息、用户信息，而且仅仅通过伪物体描述文件获取。即所述设备发现平台仅仅具备对公共物联网设备的发现功能，而所述设备管理平台不仅具有公共物联网设备的发现功能，还针对私有的物联网设备，以及针对所有物联网设备的功能的调用。

应当说明的是，设备服务应用、设备管理平台、设备发现平台以及物联网设备之间的通信内容均为物体描述文件的内容和格式。

更进一步的，在本发明中，所述设备管理平台和所述设备发现平台虽然标明为两个不同的平台，但这仅仅用于表述两者功能的不同，两者实际可以安装在同一个物理设备上，或者不同的物理设备上，一方面实现负载分担，另外一方面实现功能的模块化。

进一步的，所述伪物体描述文件不仅能够用于所述设备管理平台与通过安全权限认证的所述设备服务应用之间的通信，还能够用于对未通过安全权限认证的设备服务应用回复信息。因此，相对于向未通过安全权限认证的设备服务应用回复拒绝信息或者直接终止交互，所述未通过安全权限认证的设备服务应用无法得知设备管理平台是否已经得知自身为非法，从而增强了自身的伪装性，防范了非法的设备服务应用进一步升级该非法入侵或者非法注册的力度，使得没有权限的请求或攻击无法控制设备和拿到设备信息。

为了加强保密性，所述物联网设备与所述设备管理平台之间的通信均加密进行，所述加密包括但不限于基于key的加密技术。解析成功则可以交互，解析不成功则返回错误的信息。

当调用私有物联网设备时，所述设备服务应用与所述设备管理平台之间的通信能够加密进行，当调用公共物联网设备时，所述设备服务应用与所述设备管理平台之间的通信也能够不加密进行，所述加密包括但不限于基于key的加密技术。

因此，本发明具有如下优点：

(1)物体描述方法符合国家物联网物体描述标准，可用于描述物联网中的所有物体，具有兼容性和普适性；

(2)通过真实物体描述方法和伪物体描述方法，避免了恶意进攻方由于获取设备调用信息而展开针对设备本身的直接恶意进攻；

(3)伪物体描述方法可以用于对恶意攻击和非法连接的回复，从而增强了自身的伪装性，防范了非法的设备服务应用进一步升级该非法入侵或者非法注册的力度；

(4)为了使得公共设备可以方便的被发现和使用，设置设备发现平台模块，分担了负载，实现了模块化；

(5)物联网设备与设备管理平台之间使用安全加密机制，避免来自设备网络层面的安全攻击，平台中的设备全部为公共设备，应用层和设备管理平台的交互没有安全认证，降低了网络开销。

显然，本领域技术人员应该明白，上述的本发明的各单元或各步骤可以用通用的计算装置来实现，它们可以集中在单个计算装置上,可选地，他们可以用计算机装置可执行的程序代码来实现，从而可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件的结合。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施方式仅限于此，对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单的推演或替换，都应当视为属于本发明由所提交的权利要求书确定保护范围。