[实用新型]一种物联网安全接入网关

说明书

本实用新型涉及一种物联网安全接入网关,属于网络信息交换与安全隔离技术领域。

目前，传统的安全接入网关主要针对互联网、局域网中实现用户针对特定资源的信息交换、访问控制和行为审计；针对大型网络存在边界不清、安全风险高、纵深防御不足等问题，传统的防火墙等安全防护技术已难支撑，而网闸等设备又面临着成本高，难以适应传感层多协议设备的接入要求、工程实施复杂等问题。并且传统的网关大多是针对TCP协议、大数据包，不能针对小包进行优化的。而针对物联网感知数据多为UDP协议、64字节以下的小包居多的情况，功能单一的传统网关已无法进行相应处理。

目前，物联网的发展不可避免的伴生着物联网安全问题。物联网感知层的各种业务感知节点和汇聚设备组成感知网络；基于现有的通信网络进行数据传输的网络层和借助网络层进行通信、数据处理、应用的应用层组成核心网络。感知层网络由于其自身技术特点安全防护能力差，安全级别相对于核心网络来说相对较低。物联网安全问题中除了解决各层次中面临的问题以外，不同安全级别的网络之间在保障网络隔离的情况下，如何完成数据的安全交换也是当前存在的技术难题。

本实用新型的目的在于提供一种能够克服上述技术问题的物联网安全接入网关，用于解决物联网中感知层网络与核心网络之间在网络隔离的情况下，实现业务数据和控制指令的安全交换。

本实用新型的硬件结构采用2+1的三部件架构，即包括外主机、隔离交换部件、内主机；所述隔离交换部件采用基于可编程门阵列集成电路（FPGA芯片）开发的双通道隔离交换卡，实现网络的隔离和数据的安全、快速交换。

本实用新型的外主机、内主机提供物联网节点的接入控制和数据接入服务，隔离交换部件采用基于可编程门阵列集成电路（FPGA芯片）开发的双通道隔离交换卡（包括PCI和PCIE两种接口），实现协议解析、数据摆渡、接入数据流向控制等功能。本实用新型的外主机、内主机为网关设备提供统一的配置管理界面，实现接入业务的配置、安全策略下发、白名单维护等功能。

所述感知节点接入设备认证用于实现前部件对物联网的感知节点或数据汇集节点进行身份确认，判别是否是合法接入节点，包括感知设备（如网络摄像头、RFID读写器等）的设备认证或接入服务器（如GPS定位接入服务器等）的设备认证。

本实用新型采用专用安全芯片（FPGA芯片）作为隔离交换部件，其具有如下的特点：

a)硬件独立控制逻辑；

芯片本身具有独立控制逻辑，不受任何软系统控制，数据传输不受任何外部信号和指令控制，前后部件只能负责往指定的交换区存放或读写数据，不对传输过程做其他任何控制；

b)可靠传输；

b)可靠传输；

支持CRC校验，保证数据的可靠传输。系统自动进行CRC校验，当出现CRC校验错时，支持数据重传；

c)双摆渡技术；

通过硬件控制逻辑隔离交换部件。所述外主机、内主机把需要交换的数据写入或者读出制定的交换区，完成一次摆渡，然后隔离交换部件通过硬件控制逻辑断开与所述外主机、内主机的连接，彼此之间建立连接，自动进行协商，实现数据交换，完成二次摆渡。通过双摆渡技术，内外网络永远不会直接连接，并在此基础上实现内外网络的安全隔离。

d)硬件自动协商；

隔离交换部件设计有独立控制硬件逻辑，在实现双摆渡技术中，隔离交换部件自动进行协商，数据传输实现硬件互斥访问，按照分时轮询机制实现对连接的自动、高效的控制，防止信号死锁；

e)专有协议交换；

接入网关只能按照专有的格式进行数据传输。任何数据必须经过分析、过滤，并按照确定的方式进行交换。系统底层实现了专有信息传输，自动完成数据的协议剥离与封装；

f)数据分片重组；

由于实现了协议和数据的分离，系统只会传递静态纯数据，为了实现用户的透明访问，保障任意大小的数据块都能顺利传输，系统底层自动实现了数据文件按照交换区大小进行自动的分片传输，在系统另一侧，自动按照约定的专有协议进行数据重组，从而实现任意数据的交换；

g)实现总线独享，高速流水线操作。无需CPU调度，无需总线竞争和申请，每步操作无需等待，实现高效交换。

h)接入数据的流向控制；

h)接入数据的流向控制；

在FPGA程序中，设定了业务数据传输和信令控制数据传输的不同通道，其中业务数据采用单向传输通道而信令控制数据采用双向传输通道，处理程序固化在FPGA芯片中进行数据分拣。