阅读说明：本技术 安全验证方法、系统、物联网平台、终端和可读存储介质 (Security verification method and system, Internet of things platform, terminal and readable storage medium ) 是由 彭昭 于 2018-07-16 设计创作，主要内容包括：本公开涉及一种安全验证方法、系统、物联网平台、终端和可读存储介质,涉及物联网技术领域。本公开的方法包括：物联网平台周期性接收终端发送的安全状态验证请求,安全状态验证请求包括终端根据连接状态信息和身份信息生成的当前周期安全值；物联网平台根据记录的终端连接状态信息和身份信息生成当前周期验证值；物联网平台将当前周期安全值与当前周期验证值进行比对,确定终端是否为安全终端,并向终端返回验证结果。本公开中物联网平台在终端接入后,对终端进行周期性安全验证,并且根据连接状态信息和身份信息多方面信息对终端进行验证,提高了物联网中终端的安全性和准确性,提高了物联网系统的整体安全性。(The disclosure relates to a security verification method, a security verification system, an Internet of things platform, a terminal and a readable storage medium, and relates to the technical field of Internet of things. The method of the present disclosure comprises: the method comprises the steps that an Internet of things platform periodically receives a security state verification request sent by a terminal, wherein the security state verification request comprises a current period security value generated by the terminal according to connection state information and identity information; the Internet of things platform generates a current period verification value according to the recorded terminal connection state information and identity information; and the Internet of things platform compares the current period safety value with the current period verification value, determines whether the terminal is a safety terminal, and returns a verification result to the terminal. According to the internet of things platform, after the terminal is accessed, the terminal is periodically and safely verified, and the terminal is verified according to the multi-aspect information of the connection state information and the identity information, so that the safety and the accuracy of the terminal in the internet of things are improved, and the overall safety of the internet of things system is improved.)

安全验证方法、系统、物联网平台、终端和可读存储介质

技术领域

本公开涉及物联网技术领域，特别涉及一种安全验证方法、系统、物联网平台、终端和可读存储介质。

背景技术

随着物联网规模发展，物联网终端的安全问题日益凸显。物联网终端间的隐式信任导致物联网系统内部存在隐患。物联网终端是否安全已经严重影响目前物联网端到端系统的整体安全性。

目前，物联网终端安全问题多集中于物联网终端接入安全，即在终端接入时对终端的身份进行安全验证。

发明内容

发明人发现：在终端接入后身份信息被盗用的情况下，目前在终端接入时对终端进行身份认证的方法，无法保证终端的安全。

本公开所要解决的一个技术问题是：如何提高物联网中终端的安全性。

根据本公开的一些实施例，提供的一种安全验证方法，包括：物联网平台周期性接收终端发送的安全状态验证请求，安全状态验证请求包括终端根据连接状态信息和身份信息生成的当前周期安全值；物联网平台根据记录的终端连接状态信息和身份信息生成当前周期验证值；物联网平台将当前周期安全值与当前周期验证值进行比对，确定终端是否为安全终端，并向终端返回验证结果。

在一些实施例中，当前周期安全值是终端将连接状态信息和身份信息进行组合后生成的哈希值；物联网平台根据记录的终端连接状态信息和身份信息生成当前周期验证值包括：物联网平台对记录的终端连接状态信息和身份信息进行组合后生成哈希值，作为当前周期验证值。

在一些实施例中，身份信息包括终端对应的随机数；该方法还包括：物联网平台生成当前周期的随机数发送至终端，或者，物联网平台响应于随机数更新周期到来，生成随机数发送至终端，以便终端响应于接收到当前周期的随机数发送安全状态验证请求。

在一些实施例中，连接状态信息包括在预设时间段内终端上传数据的次数；该方法还包括：物联网平台响应于接收到终端上传数据，更新终端在预设时间段内上传数据的次数。

在一些实施例中，连接状态信息包括终端与物联网平台的交互端口信息；或者，在终端被分配至固定的物联网平台的情况下，连接状态信息包括终端被分配的物联网平台的地址信息。

根据本公开的另一些实施例，提供的一种安全验证方法，包括：终端根据连接状态信息和身份信息生成当前周期安全值；终端周期性向物联网平台发送安全状态验证请求，安全状态验证请求包括当前周期安全值，以便物联网平台根据当前周期安全值与当前周期验证值对终端进行安全验证；其中，当前周期验证值是物联网平台根据记录的终端连接状态信息和身份信息生成的；终端接收物联网平台返回的验证结果。

在一些实施例中，终端根据连接状态信息和身份信息生成当前周期安全值包括：终端将连接状态信息和身份信息进行组合后生成哈希值，作为当前周期安全值；当前周期验证值是物联网平台对记录的终端连接状态信息和身份信息进行组合后生成的哈希值。

在一些实施例中，身份信息包括终端对应的随机数；该方法还包括：终端接收物联网平台发送的当前周期的随机数，或者，终端接收物联网平台响应于随机数更新周期到来，发送的随机数，以便响应于接收到当前周期的随机数发送安全状态验证请求。

在一些实施例中，连接状态信息包括在预设时间段内终端上传数据的次数；该方法还包括：终端在上传数据后，更新在预设时间段内上传数据的次数。

在一些实施例中，连接状态信息包括终端与物联网平台的交互端口信息；或者，在终端被分配至固定的物联网平台的情况下，连接状态信息包括终端被分配的物联网平台的地址信息。

根据本公开的又一些实施例，提供的一种物联网平台，包括：信息接收模块，用于周期性接收终端发送的安全状态验证请求，安全状态验证请求包括终端根据连接状态信息和身份信息生成的当前周期安全值；验证值生成模块，用于根据记录的终端连接状态信息和身份信息生成当前周期验证值；验证模块，用于将当前周期安全值与当前周期验证值进行比对，确定终端是否为安全终端，并返回验证结果。

在一些实施例中，当前周期安全值是终端将连接状态信息和身份信息进行组合后生成的哈希值；验证值生成模块用于对记录的终端连接状态信息和身份信息进行组合后生成哈希值，作为当前周期验证值。

在一些实施例中，物联网平台还包括：身份信息生成模块；身份信息包括终端对应的随机数；身份信息生成模块用于生成当前周期的随机数发送至终端，或者，响应于随机数更新周期到来，生成随机数发送至终端，以便终端响应于接收到当前周期的随机数发送安全状态验证请求。

在一些实施例中，物联网平台还包括：记录更新模块；连接状态信息包括在预设时间段内终端上传数据的次数；记录更新模块用于响应于接收到终端上传数据，更新终端在预设时间段内上传数据的次数。

在一些实施例中，连接状态信息包括终端与物联网平台的交互端口信息；或者，在终端被分配至固定的物联网平台的情况下，连接状态信息包括终端被分配的物联网平台的地址信息。

根据本公开的再一些实施例，提供的一种终端，包括：安全值生成模块，用于根据连接状态信息和身份信息生成当前周期安全值；信息发送模块，用于周期性向物联网平台发送安全状态验证请求，安全状态验证请求包括当前周期安全值，以便物联网平台根据当前周期安全值与当前周期验证值对终端进行安全验证；其中，当前周期验证值是物联网平台根据记录的终端连接状态信息和身份信息生成的；结果接收模块，用于接收物联网平台返回的验证结果。

在一些实施例中，安全值生成模块用于将连接状态信息和身份信息进行组合后生成哈希值，作为当前周期安全值；当前周期验证值是物联网平台对记录的终端连接状态信息和身份信息进行组合后生成的哈希值。

在一些实施例中，终端还包括：身份信息接收模块；身份信息包括终端对应的随机数；身份信息接收模块用于接收物联网平台发送的当前周期的随机数，或者，接收物联网平台响应于随机数更新周期到来，发送的随机数，以便响应于接收到当前周期的随机数发送安全状态验证请求。

在一些实施例中，终端还包括：信息更新模块；连接状态信息包括在预设时间段内终端上传数据的次数；信息更新模块用于在上传数据后，更新在预设时间段内上传数据的次数。

在一些实施例中，连接状态信息包括终端与物联网平台的交互端口信息；或者，在终端被分配至固定的物联网平台的情况下，连接状态信息包括终端被分配的物联网平台的地址信息。

根据本公开的又一些实施例，提供的一种安全验证装置，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器设备中的指令，执行如前述任意实施例的安全验证方法。

根据本公开的再一些实施例，提供的一种计算机可读存储介质，其上存储有计算机程序，其中，该程序被处理器执行时实现前述任意实施例的安全验证方法的步骤。

根据本公开的又一些实施例，提供的一种安全验证系统，包括：前述任意实施例的物联网平台，以及前述任意实施例的终端。

本公开中终端周期性向物联网平台发送安全状态验证请求，安全状态验证请求中包括终端根据连接状态信息和身份信息生成的当前周期安全值。物联网平台根据记录的终端连接状态信息和身份信息生成当前周期验证值，将当前周期安全值和当前周期验证值进行比对，从而确定终端是否为安全终端。本公开中物联网平台在终端接入后，对终端进行周期性安全验证，并且根据连接状态信息和身份信息多方面信息对终端进行验证，提高了物联网中终端的安全性和准确性，提高了物联网系统的整体安全性。

通过以下参照附图对本公开的示例性实施例的详细描述，本公开的其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本公开的一些实施例的安全验证方法的流程示意图。

图2示出本公开的另一些实施例的安全验证方法的流程示意图。

图3示出本公开的一些实施例的物联网平台的结构示意图。

图4示出本公开的一些实施例的终端的结构示意图。

图5示出本公开的一些实施例的安全验证装置的结构示意图。

图6示出本公开的另一些实施例的安全验证装置的结构示意图。

图7示出本公开的一些实施例的安全验证系统的结构示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

本公开提供了一种对物联网中的终端进行安全验证的方法，下面结合图1描述一些实施例。

图1为本公开安全验证方法一些实施例的流程图。如图1所示，该实施例的方法包括：步骤S102～S110。

步骤S102，终端根据连接状态信息和身份信息生成当前周期安全值。

终端的连接状态信息用于表示终端与物联网平台的连接情况。例如，连接状态信息包括在预设时间段内终端上传数据的次数。终端可以统计预设时间段内自身上传数据的次数，终端在上传数据后，更新在预设时间段内上传数据的次数。物联网平台可以响应于每次接收到终端上传数据，更新终端在预设时间段内上传数据的次数。终端和物联网平台也可以记录终端每次上报数据的时间戳。例如，终端在6小时内上报两次温度数据，物联网平台接收到相应的上行信息，并进行记录。终端和物联网平台之间的心跳包的交互可以不计入上传数据的次数。

预设时间段可以由终端和物联网平台协商确定，例如，可以是终端进行安全验证前的预设时间长度，例如安全验证前6小时；或者，预设时间段与终端进行安全验证周期的周期长度相等，即统计终端上一周期内上传数据的次数作为连接状态信息；或者，终端向物联网平台请求统计时间段，物联网平台向终端回复统计时间段作为预设时间段，即每个安全验证周期预设时间段可以动态调整。

连接状态信息还可以包括终端接入时长，预设时间段内终端接收下行数据的次数等，不限于所举示例。连接状态信息可以包括上述动态信息，非法终端即使盗用合法终端的身份信息，由于终端设备不同，也无法获知合法终端上传数据的次数等动态连接状态信息。因此，提高了终端安全认证的安全性和准确性。

连接状态信息还可以包括终端与物联网平台连接的静态信息。例如终端的地址信息，可以是终端与物联网平台交互的端口信息。存在多个物联网平台的情况下，终端可以被分配至固定的物联网平台进行数据交互。在终端被分配至固定的物联网平台的情况下，连接状态信息还可以包括终端被分配的物联网平台的地址信息。非法终端登录的地址、交互的端口，连接的物联网平台都可能与终端不同，可以根据这些信息对终端的安全性进行判断。

终端的身份信息可以是用来唯一标识终端身份的信息。例如，物联网平台为终端分配的随机数，或令牌(token)、特征串等。以随机数为例，物联网平台可以在每个安全验证周期开始时向终端发送对应的随机数。即物联网平台生成当前周期的随机数发送至终端，终端响应于接收到当前周期的随机数发送安全状态验证请求。或者，物联网平台按照随机数更新周期，可以不同于安全验证周期，向终端发送对应的随机数。即物联网平台响应于随机数更新周期到来，生成随机数发送至终端。终端接收到物联网凭他发送的随机数后更新存储的随机数。

物联网平台可以通过终端管理协议向终端发送为终端分配的身份信息。身份信息可以是固定的也可以是周期性动态变化的。身份信息的形式不限于上述所举示例。

在一些实施例中，终端将连接状态信息和身份信息进行组合后生成哈希值，作为当前周期安全值。将终端的连接状态信息和身份信息生成哈希值，增强了传输过程的安全性，避免非法用户截获这些信息。例如，当前周期安全值＝Hash(端口数组+平台地址+终端上报次数+随机数)。

步骤S104，终端周期性向物联网平台发送安全状态验证请求，相应的，物联网平台周期性接收终端发送的安全状态验证请求。

安全状态验证请求包括当前周期安全值。

步骤S106，物联网平台根据记录的终端连接状态信息和身份信息生成当前周期验证值。

步骤S102中提到，终端的连接状态信息和身份信息在物联网平台都可以进行记录和存储。物联网平台采用与终端生成当前周期安全值的方法相同的方法，生成当前周期验证值。即物联网平台可以对记录的终端连接状态信息和身份信息进行组合后生成哈希值，作为当前周期验证值。

步骤S108，物联网平台将当前周期安全值与当前周期验证值进行比对，确定终端是否为安全终端。

在当前周期安全值与当前周期验证值一致的情况下，物联网平台则确定终端为安全终端。相反的，在当前周期安全值与当前周期验证值不一致的情况下，物联网平台则确定终端为不安全终端。

步骤S110，物联网平台向终端发送验证结果，相应的，终端接收物联网平台返回的验证结果。

在确定终端不安全的情况下，物联网平台还可以向终端发出警告信息。

上述实施例的方法中终端周期性向物联网平台发送安全状态验证请求，安全状态验证请求中包括终端根据连接状态信息和身份信息生成的当前周期安全值。物联网平台根据记录的终端连接状态信息和身份信息生成当前周期验证值，将当前周期安全值和当前周期验证值进行比对，从而确定终端是否为安全终端。上述实施例的方法中物联网平台在终端接入后，对终端进行周期性安全验证，并且根据连接状态信息和身份信息多方面信息对终端进行验证，提高了物联网中终端的安全性和准确性，提高了物联网系统的整体安全性。

下面结合图2描述本公开的安全验证方法的另一些实施例。

图2为本公开安全验证方法一些实施例的流程图。如图2所示，该实施例的方法包括：步骤S202～S216。

步骤S202，物联网平台生成终端对应的当前周期的身份信息，并将身份信息发送至终端。

身份信息例如为物联网平台为终端分配的随机数、令牌、特征串等身份标识信息。

步骤S204，终端将连接状态信息和身份信息组合后生成哈希值，作为当前周期安全值。

步骤S206，终端向物联网平台发送安全状态验证请求，携带当前周期安全值。

步骤S208，物联网平台将记录的终端的连接状态信息和身份信息组合后生成哈希值，作为当前周期验证值。

步骤S210，物联网平台将当前周期安全值与当前周期验证值进行比对，如果比对一致，则执行步骤S212，否则执行步骤S214。

步骤S212，物联网平台向终端返回安全验证通过的验证结果。

步骤S214，物联网平台向终端返回安全验证未通过的验证结果。

步骤S216，物联网平台判断当前周期是否结束，如果是，则进入下一周期，从步骤S202重新开始执行。

本公开还提供一种物联网平台，下面结合图3进行描述。

图3为本公开物联网平台的一些实施例的结构图。如图3所示，该实施例的物联网平台30包括：信息接收模块302，验证值生成模块304，验证模块306。

信息接收模块302，用于周期性接收终端发送的安全状态验证请求，安全状态验证请求包括终端根据连接状态信息和身份信息生成的当前周期安全值。

在一些实施例中，当前周期安全值是终端将连接状态信息和身份信息进行组合后生成的哈希值。

在一些实施例中，连接状态信息包括终端与物联网平台的交互端口信息；或者，在终端被分配至固定的物联网平台的情况下，连接状态信息包括终端被分配的物联网平台的地址信息。

在一些实施例中，连接状态信息包括在预设时间段内终端上传数据的次数。物联网平台30还可以包括记录更新模块308用于响应于接收到终端上传数据，更新终端在预设时间段内上传数据的次数。

在一些实施例中，身份信息包括终端对应的随机数。物联网平台30还可以包括身份信息生成模块310用于生成当前周期的随机数发送至终端，或者，响应于随机数更新周期到来，生成随机数发送至终端，以便终端响应于接收到当前周期的随机数发送安全状态验证请求。

验证值生成模块304，用于根据记录的终端连接状态信息和身份信息生成当前周期验证值。

在一些实施例中，验证值生成模块304用于对记录的终端连接状态信息和身份信息进行组合后生成哈希值，作为当前周期验证值。

验证模块306，用于将当前周期安全值与当前周期验证值进行比对，确定终端是否为安全终端，并返回验证结果。

本公开还提供一种终端，下面结合图4进行描述。

图4为本公开终端的一些实施例的结构图。如图4所示，该实施例的终端40包括：安全值生成模块402，信息发送模块404，结果接收模块406。

安全值生成模块402，用于根据连接状态信息和身份信息生成当前周期安全值。

在一些实施例中，安全值生成模块402用于将连接状态信息和身份信息进行组合后生成哈希值，作为当前周期安全值。当前周期验证值是物联网平台对记录的终端连接状态信息和身份信息进行组合后生成的哈希值。

在一些实施例中，连接状态信息包括在预设时间段内终端上传数据的次数。终端40还可以包括：信息更新模块408，用于在上传数据后，更新在预设时间段内上传数据的次数。

在一些实施例中，连接状态信息包括终端与物联网平台的交互端口信息；或者，在终端被分配至固定的物联网平台的情况下，连接状态信息包括终端被分配的物联网平台的地址信息。

在一些实施例中，身份信息包括终端对应的随机数。终端40还可以包括：身份信息接收模块410，用于接收物联网平台发送的当前周期的随机数，或者，接收物联网平台响应于随机数更新周期到来，发送的随机数，以便响应于接收到当前周期的随机数发送安全状态验证请求。

信息发送模块404，用于周期性向物联网平台发送安全状态验证请求。

安全状态验证请求包括当前周期安全值，以便物联网平台根据当前周期安全值与当前周期验证值对终端进行安全验证。当前周期验证值是物联网平台根据记录的终端连接状态信息和身份信息生成的。

结果接收模块406，用于接收物联网平台返回的验证结果。

本公开的实施例中的安全验证装置，包括物联网平台或终端，可各由各种计算设备或计算机系统来实现，下面结合图5以及图6进行描述。

图5为本公开安全验证装置的一些实施例的结构图。如图5所示，该实施例的装置50包括：存储器510以及耦接至该存储器510的处理器520，处理器520被配置为基于存储在存储器510中的指令，执行本公开中任意一些实施例中的安全验证方法。

其中，存储器510例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)、数据库以及其他程序等。

图6为本公开安全验证装置的另一些实施例的结构图。如图6所示，该实施例的装置60包括：存储器610以及处理器620，分别与存储器510以及处理器520类似。还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630，640，650以及存储器610和处理器620之间例如可以通过总线660连接。其中，输入输出接口630为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口，例如可以连接到数据库服务器或者云端存储服务器等。存储接口650为SD卡、U盘等外置存储设备提供连接接口。

本公开的物联网平台或终端可以采用软件的方式实现，即通过计算机可读存储介质，实现前述任意实施例的安全验证方法。

本公开还提供一种安全验证系统，下面结合图7进行描述。

图7为本公开安全验证系统的一些实施例的结构图。如图7所示，该实施例的安全验证系统7包括：前述任意实施例的物联网平台30和终端40。安全验证系统7也可以包括前述实施例的安全验证装置50或60。

本领域内的技术人员应当明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本公开的较佳实施例，并不用以限制本公开，凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。