本發(fā)明涉及一種物聯(lián)網(wǎng)終端近距離無線安全運(yùn)維方法及系統(tǒng)，屬于設(shè)備運(yùn)維。

背景技術(shù)：

1、隨著物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，物聯(lián)網(wǎng)終端設(shè)備的數(shù)量呈爆炸式增長(zhǎng)，這些終端設(shè)備廣泛應(yīng)用于各個(gè)領(lǐng)域，如智能電網(wǎng)、智能工業(yè)、智能交通等。然而，物聯(lián)網(wǎng)終端設(shè)備在運(yùn)維過程中面臨著諸多安全問題，目前，物聯(lián)網(wǎng)終端的運(yùn)維主要通過遠(yuǎn)程網(wǎng)絡(luò)連接進(jìn)行，但這種方式存在一定的安全風(fēng)險(xiǎn)，如網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等。此外，對(duì)于一些特殊場(chǎng)景，如在沒有網(wǎng)絡(luò)覆蓋的區(qū)域或者網(wǎng)絡(luò)不穩(wěn)定的情況下，如地下礦井、偏遠(yuǎn)山區(qū)等，由于網(wǎng)絡(luò)信號(hào)不穩(wěn)定，遠(yuǎn)程運(yùn)維難以實(shí)現(xiàn)。

2、而近距離無線通信技術(shù)，如藍(lán)牙、星閃、nfc等，雖然可以在一定程度上解決這些問題，但現(xiàn)有的近距離無線運(yùn)維方式缺乏有效的通信安全防護(hù)機(jī)制，容易被惡意攻擊。并且在運(yùn)維過程中，大部分運(yùn)維工具無法保證運(yùn)維人員身份的可信性以及操作的可信性，存在數(shù)據(jù)泄露和利用近距離運(yùn)維工具開展惡意攻擊的可能性，為此，亟需在突傳統(tǒng)近距離通信機(jī)制的基礎(chǔ)上，實(shí)現(xiàn)一種通信安全防護(hù)及運(yùn)維操作訪問控制方法，實(shí)現(xiàn)運(yùn)維指令安全傳輸，運(yùn)維操作按需授權(quán)，進(jìn)一步提升物聯(lián)網(wǎng)終端的安全防護(hù)水平。

3、現(xiàn)有無線運(yùn)維機(jī)制及過程涉及物聯(lián)網(wǎng)終端、運(yùn)維終端和遠(yuǎn)程運(yùn)維平臺(tái)三類實(shí)體，如圖1所示，目前終端運(yùn)維主要包括遠(yuǎn)程運(yùn)維和近距離運(yùn)維兩種方式，其中遠(yuǎn)程運(yùn)維以網(wǎng)絡(luò)通信為主，遠(yuǎn)程運(yùn)維平臺(tái)主動(dòng)發(fā)起運(yùn)維請(qǐng)求，基于標(biāo)準(zhǔn)ssh或telnet協(xié)議對(duì)物聯(lián)網(wǎng)終端進(jìn)行操作，這種運(yùn)維方式存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，容易受到黑客攻擊，并且當(dāng)物聯(lián)網(wǎng)終端網(wǎng)絡(luò)存在問題時(shí)，則無法進(jìn)行，必須依靠運(yùn)維人員到現(xiàn)場(chǎng)進(jìn)行運(yùn)維。

4、近距離運(yùn)維方式是指運(yùn)維人員在現(xiàn)場(chǎng)對(duì)物聯(lián)網(wǎng)終端進(jìn)行運(yùn)維操作，運(yùn)維通信方式包括有線的串口、網(wǎng)口方式，無線的藍(lán)牙、紅外、wifi等方式。但目前近距離通信中身份認(rèn)證功能較為匱乏，而物聯(lián)網(wǎng)終端部署位置較為分散，物理環(huán)境較為開放。因此，在進(jìn)行近距離運(yùn)維時(shí)必須考慮運(yùn)維終端的合法性問題以及運(yùn)維操作的訪問控制問題。

5、現(xiàn)有的運(yùn)維技術(shù)和方法在一定程序上提升了終端的運(yùn)維安全性，但是存在以下不足：

6、（1）對(duì)運(yùn)維終端缺乏有效的身份認(rèn)證機(jī)制，運(yùn)維過程中的通信數(shù)據(jù)缺乏安全防護(hù)，存在以運(yùn)維終端為跳板對(duì)物聯(lián)網(wǎng)終端乃至內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊的安全風(fēng)險(xiǎn)；

7、（2）對(duì)運(yùn)維人員的運(yùn)維權(quán)限缺乏有效的訪問控制，存在內(nèi)部數(shù)據(jù)泄露、誤操作、惡意操作的安全風(fēng)險(xiǎn)。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明所要解決的技術(shù)問題是提供一種物聯(lián)網(wǎng)終端近距離無線安全運(yùn)維方法，以運(yùn)維終端作為目標(biāo)物聯(lián)網(wǎng)終端與運(yùn)維平臺(tái)之間的中繼，建立高效安全運(yùn)維操作。

2、本發(fā)明為了解決上述技術(shù)問題采用以下技術(shù)方案：本發(fā)明設(shè)計(jì)了一種物聯(lián)網(wǎng)終端近距離無線安全運(yùn)維方法，基于目標(biāo)物聯(lián)網(wǎng)終端經(jīng)運(yùn)維終端與運(yùn)維平臺(tái)相通信，且目標(biāo)物聯(lián)網(wǎng)終端不與運(yùn)維平臺(tái)直接通信，以加密通信方式，經(jīng)運(yùn)維終端實(shí)現(xiàn)目標(biāo)物聯(lián)網(wǎng)終端向運(yùn)維平臺(tái)的身份認(rèn)證、以及由運(yùn)維平臺(tái)獲得目標(biāo)物聯(lián)網(wǎng)終端所對(duì)應(yīng)的訪問控制規(guī)則，再依據(jù)訪問控制規(guī)則，以加密通信方式，應(yīng)用運(yùn)維終端針對(duì)目標(biāo)物聯(lián)網(wǎng)終端進(jìn)行運(yùn)維。

3、作為本發(fā)明的一種優(yōu)選技術(shù)方案：執(zhí)行如下步驟a至步驟f，以加密通信方式，經(jīng)運(yùn)維終端實(shí)現(xiàn)目標(biāo)物聯(lián)網(wǎng)終端向運(yùn)維平臺(tái)的身份認(rèn)證、以及由運(yùn)維平臺(tái)獲得目標(biāo)物聯(lián)網(wǎng)終端所對(duì)應(yīng)的訪問控制規(guī)則；

4、步驟a.?基于運(yùn)維終端接收運(yùn)維平臺(tái)對(duì)其下發(fā)關(guān)于目標(biāo)物聯(lián)網(wǎng)終端的運(yùn)維任務(wù)，由運(yùn)維終端向目標(biāo)物聯(lián)網(wǎng)終端發(fā)起運(yùn)維任務(wù)，并進(jìn)入步驟b；

5、步驟b.?目標(biāo)物聯(lián)網(wǎng)終端依據(jù)運(yùn)維任務(wù)，生成隨機(jī)數(shù)，并使用其預(yù)置密鑰針對(duì)其設(shè)備標(biāo)識(shí)?、隨機(jī)數(shù)、以及當(dāng)前時(shí)間戳，按進(jìn)行加密，獲得身份認(rèn)證密文，并發(fā)送給運(yùn)維終端，由運(yùn)維終端組合其設(shè)備標(biāo)識(shí)?與密文，發(fā)送給運(yùn)維平臺(tái)，然后進(jìn)入步驟c；其中，表示基于標(biāo)準(zhǔn)國(guó)密sm4的ecb加密函數(shù)；

6、步驟c.?運(yùn)維平臺(tái)依據(jù)接收的與，調(diào)用所屬運(yùn)維終端所對(duì)應(yīng)運(yùn)維任務(wù)中目標(biāo)物聯(lián)網(wǎng)終端的密鑰，按針對(duì)進(jìn)行解密，獲得其中、、，并進(jìn)入步驟d；其中，表示經(jīng)由目標(biāo)物聯(lián)網(wǎng)終端傳輸至運(yùn)維平臺(tái)后的設(shè)備標(biāo)識(shí)?，表示經(jīng)由目標(biāo)物聯(lián)網(wǎng)終端傳輸至運(yùn)維平臺(tái)后的隨機(jī)數(shù)，表示經(jīng)由目標(biāo)物聯(lián)網(wǎng)終端傳輸至運(yùn)維平臺(tái)后的時(shí)間戳，表示基于標(biāo)準(zhǔn)國(guó)密sm4的ecb解密函數(shù)；

7、步驟d.?運(yùn)維平臺(tái)判斷與所屬運(yùn)維終端所對(duì)應(yīng)運(yùn)維任務(wù)中目標(biāo)物聯(lián)網(wǎng)終端的設(shè)備標(biāo)識(shí)是否一致，以及判斷與當(dāng)前時(shí)間的時(shí)間差值是否未超出預(yù)設(shè)時(shí)差閾值，若兩判斷均為是，則運(yùn)維平臺(tái)利用目標(biāo)物聯(lián)網(wǎng)終端的密鑰，針對(duì)目標(biāo)物聯(lián)網(wǎng)終端所對(duì)應(yīng)的預(yù)設(shè)訪問控制規(guī)則，以及與，按進(jìn)行加密，獲得密文，并發(fā)送給運(yùn)維終端，由運(yùn)維終端將密文轉(zhuǎn)發(fā)給目標(biāo)物聯(lián)網(wǎng)終端，并由運(yùn)維終端按，創(chuàng)建會(huì)話密鑰，然后進(jìn)入步驟e；表示基于標(biāo)準(zhǔn)國(guó)密sm3的哈希函數(shù)；

8、否則運(yùn)維平臺(tái)終止關(guān)于目標(biāo)物聯(lián)網(wǎng)終端的運(yùn)維任務(wù)；

9、步驟e.?目標(biāo)物聯(lián)網(wǎng)終端應(yīng)用其密鑰，針對(duì)所接收密文，按進(jìn)行解密，獲得其所對(duì)應(yīng)的訪問控制規(guī)則、以及其中的隨機(jī)數(shù)，并判斷與是否一致，是則目標(biāo)物聯(lián)網(wǎng)終端存儲(chǔ)訪問控制規(guī)則，并由目標(biāo)物聯(lián)網(wǎng)終端按，創(chuàng)建會(huì)話密鑰，然后進(jìn)入步驟f；否則目標(biāo)物聯(lián)網(wǎng)終端終止運(yùn)維任務(wù)；

10、步驟f.?基于運(yùn)維終端與目標(biāo)物聯(lián)網(wǎng)終端之間依據(jù)會(huì)話密鑰、下的加密通信方式，以及目標(biāo)物聯(lián)網(wǎng)終端所對(duì)應(yīng)的訪問控制規(guī)則，應(yīng)用運(yùn)維終端針對(duì)目標(biāo)物聯(lián)網(wǎng)終端進(jìn)行運(yùn)維。

11、作為本發(fā)明的一種優(yōu)選技術(shù)方案：所述訪問控制規(guī)則包括運(yùn)維目標(biāo)文件、運(yùn)維操作、以及所述步驟b中運(yùn)維平臺(tái)依據(jù)當(dāng)前時(shí)間所設(shè)定的運(yùn)維時(shí)間域。

12、作為本發(fā)明的一種優(yōu)選技術(shù)方案：所述步驟f包括如下步驟f1至步驟f3；

13、步驟f1.?由運(yùn)維終端應(yīng)用會(huì)話密鑰，針對(duì)目標(biāo)運(yùn)維項(xiàng)目，按進(jìn)行加密，獲得密文，并發(fā)送給目標(biāo)物聯(lián)網(wǎng)終端，然后進(jìn)入步驟f2；

14、步驟f2.?目標(biāo)物聯(lián)網(wǎng)終端應(yīng)用會(huì)話密鑰，針對(duì)所接收密文，按進(jìn)行解密，獲得目標(biāo)運(yùn)維項(xiàng)目，并判斷目標(biāo)運(yùn)維項(xiàng)目是否超出訪問控制規(guī)則中的運(yùn)維目標(biāo)文件、運(yùn)維操作、運(yùn)維時(shí)間域，是則目標(biāo)物聯(lián)網(wǎng)終端禁止目標(biāo)運(yùn)維項(xiàng)目的執(zhí)行；否則目標(biāo)物聯(lián)網(wǎng)終端允許并完成目標(biāo)運(yùn)維項(xiàng)目的執(zhí)行，完成，并進(jìn)入步驟f3；

15、步驟f3.?目標(biāo)物聯(lián)網(wǎng)終端針對(duì)步驟f2中目標(biāo)物聯(lián)網(wǎng)終端的運(yùn)維結(jié)果，應(yīng)用會(huì)話密鑰、以及進(jìn)行加密，獲得運(yùn)維結(jié)果密文，并返回給運(yùn)維終端，由運(yùn)維終端應(yīng)用會(huì)話密鑰、以及，針對(duì)所接收運(yùn)維結(jié)果密文進(jìn)行解密，獲知運(yùn)維結(jié)果。

16、作為本發(fā)明的一種優(yōu)選技術(shù)方案：所述目標(biāo)物聯(lián)網(wǎng)終端與運(yùn)維終端之間采用近距離無線通信協(xié)議進(jìn)行通信，運(yùn)維終端與運(yùn)維平臺(tái)之間采用遠(yuǎn)距離無線通信協(xié)議進(jìn)行通信。

17、與上述相對(duì)應(yīng)，本發(fā)明還要解決的技術(shù)問題是提供一種物聯(lián)網(wǎng)終端近距離無線安全運(yùn)維方法的系統(tǒng)，模塊化設(shè)計(jì)分別實(shí)現(xiàn)運(yùn)維方法中的各個(gè)操作，提高設(shè)計(jì)應(yīng)用的工作效率。

18、本發(fā)明為了解決上述技術(shù)問題采用以下技術(shù)方案：本發(fā)明設(shè)計(jì)了一種物聯(lián)網(wǎng)終端近距離無線安全運(yùn)維方法的系統(tǒng)，所述運(yùn)維終端包括近距離通信模塊、身份認(rèn)證模塊、數(shù)據(jù)加解密模塊、運(yùn)維模塊、無線遠(yuǎn)程通信模塊；目標(biāo)物聯(lián)網(wǎng)終端包括近距離通信模塊、身份認(rèn)證模塊、數(shù)據(jù)加解密模塊、訪問控制模塊、運(yùn)維模塊；

19、其中，基于運(yùn)維終端中近距離通信模塊與目標(biāo)物聯(lián)網(wǎng)終端中近距離通信模塊之間的通信，實(shí)現(xiàn)運(yùn)維終端與目標(biāo)物聯(lián)網(wǎng)終端之間的近距離通信連接，基于運(yùn)維終端中無線遠(yuǎn)程通信模塊與運(yùn)維平臺(tái)之間的通信，實(shí)現(xiàn)運(yùn)維終端與運(yùn)維平臺(tái)之間的遠(yuǎn)程通信連接；

20、運(yùn)維終端中的身份認(rèn)證模塊分別與近距離通信模塊、數(shù)據(jù)加解密模塊、無線遠(yuǎn)程通信模塊相連接，身份認(rèn)證模塊用于對(duì)目標(biāo)物聯(lián)網(wǎng)終端與運(yùn)維平臺(tái)之間的通信數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，并且身份認(rèn)證模塊用于創(chuàng)建會(huì)話密鑰，并存儲(chǔ)于數(shù)據(jù)加解密模塊；數(shù)據(jù)加解密模塊分別與運(yùn)維模塊、近距離通信模塊相連，運(yùn)維模塊用于接收目標(biāo)運(yùn)維項(xiàng)目，并通過數(shù)據(jù)加解密模塊應(yīng)用會(huì)話密鑰加密后經(jīng)近距離通信模塊發(fā)送至目標(biāo)物聯(lián)網(wǎng)終端，以及數(shù)據(jù)加解密模塊針對(duì)經(jīng)近距離通信模塊接收來自目標(biāo)物聯(lián)網(wǎng)終端的運(yùn)維結(jié)果密文應(yīng)用會(huì)話密鑰進(jìn)行解密，獲得運(yùn)維結(jié)果反饋至運(yùn)維模塊；

21、目標(biāo)物聯(lián)網(wǎng)終端中身份認(rèn)證模塊分別與近距離通信模塊、數(shù)據(jù)加解密模塊、訪問控制模塊相連，由身份認(rèn)證模塊構(gòu)建身份認(rèn)證數(shù)據(jù)，并應(yīng)用數(shù)據(jù)加解密模塊進(jìn)行加密獲得身份認(rèn)證密文，再通過近距離通信模塊向運(yùn)維終端傳輸；身份認(rèn)證模塊經(jīng)近距離通信模塊接收來自運(yùn)維平臺(tái)的密文，并調(diào)用數(shù)據(jù)加解密模塊進(jìn)行解密，由身份認(rèn)證模塊依據(jù)解密結(jié)果完成身份認(rèn)證，以及將解密結(jié)果中訪問控制規(guī)則發(fā)送至訪問控制模塊進(jìn)行存儲(chǔ)；同時(shí)數(shù)據(jù)加解密模塊分別與近距離通信模塊、訪問控制模塊相連接，訪問控制模塊并與運(yùn)維模塊相連接，數(shù)據(jù)加解密模塊針對(duì)經(jīng)近距離通信模塊接收來自運(yùn)維終端的密文進(jìn)行解密，獲得目標(biāo)運(yùn)維項(xiàng)目并發(fā)送至訪問控制模塊，訪問控制模塊依據(jù)訪問控制規(guī)則對(duì)目標(biāo)運(yùn)維項(xiàng)目進(jìn)行權(quán)限控制，并由運(yùn)維模塊依據(jù)訪問控制模塊的權(quán)限控制實(shí)現(xiàn)對(duì)目標(biāo)運(yùn)維項(xiàng)目的執(zhí)行。

22、作為本發(fā)明的一種優(yōu)選技術(shù)方案：所述目標(biāo)物聯(lián)網(wǎng)終端中的訪問控制模塊包括彼此相連接的權(quán)限控制模塊與訪問控制規(guī)則庫(kù)，其中，訪問控制規(guī)則庫(kù)與目標(biāo)物聯(lián)網(wǎng)終端中的身份認(rèn)證模塊相連接，身份認(rèn)證模塊將解密結(jié)果中訪問控制規(guī)則發(fā)送至訪問控制模塊中的訪問控制規(guī)則庫(kù)進(jìn)行存儲(chǔ)，權(quán)限控制模塊分別與目標(biāo)物聯(lián)網(wǎng)終端中的數(shù)據(jù)加解密模塊、運(yùn)維模塊相連接，權(quán)限控制模塊接收數(shù)據(jù)加解密模塊對(duì)解密獲得的獲得目標(biāo)運(yùn)維項(xiàng)目，權(quán)限控制模塊依據(jù)訪問控制規(guī)則庫(kù)中的訪問控制規(guī)則對(duì)目標(biāo)運(yùn)維項(xiàng)目進(jìn)行權(quán)限控制，運(yùn)維模塊依據(jù)訪問控制規(guī)則的權(quán)限控制實(shí)現(xiàn)對(duì)目標(biāo)運(yùn)維項(xiàng)目的執(zhí)行。

23、本發(fā)明所述一種物聯(lián)網(wǎng)終端近距離無線安全運(yùn)維方法及系統(tǒng)，采用以上技術(shù)方案與現(xiàn)有技術(shù)相比，具有以下技術(shù)效果：

24、（1）本發(fā)明設(shè)計(jì)一種物聯(lián)網(wǎng)終端近距離無線安全運(yùn)維方法及系統(tǒng)，以運(yùn)維終端作為目標(biāo)物聯(lián)網(wǎng)終端與運(yùn)維平臺(tái)之間的中繼，應(yīng)用加密通信方式，實(shí)現(xiàn)目標(biāo)物聯(lián)網(wǎng)終端與運(yùn)維平臺(tái)間的身份認(rèn)證與運(yùn)維，通過建立嚴(yán)格的安全認(rèn)證機(jī)制，有效防止網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露，提高目標(biāo)物聯(lián)網(wǎng)終端設(shè)備的安全性，提升目標(biāo)物聯(lián)網(wǎng)終端對(duì)運(yùn)維終端的身份認(rèn)證能力；并且設(shè)計(jì)細(xì)粒度訪問控制機(jī)制，通過對(duì)比運(yùn)維操作過程和身份認(rèn)證過程中的運(yùn)維時(shí)間、運(yùn)維對(duì)象、運(yùn)維操作等訪問控制因子，增強(qiáng)目標(biāo)物聯(lián)網(wǎng)終端運(yùn)維階段的安全防護(hù)能力，避免了誤操作或越權(quán)訪問等惡意運(yùn)維行為對(duì)終端的影響；設(shè)計(jì)方案無需依賴目標(biāo)物聯(lián)網(wǎng)終端與運(yùn)維平臺(tái)之間的網(wǎng)絡(luò)連接，解決了目標(biāo)物聯(lián)網(wǎng)終端網(wǎng)絡(luò)受限情況下的運(yùn)維難題，減少了運(yùn)維人員的工作量，提高了運(yùn)維效率。