[发明专利]物联网终端设备及其与远程管理平台建立TCP连接的方法

说明书

本发明提出了一种物联网终端设备及其与远程管理平台建立TCP连接的方法，基于以终端设备作为客户端、远程管理平台作为服务器建立TCP连接，完成对物联网终端设备的远程配置，根据物联网系统对终端设备的配置管理为低频事件的特性，终端设备的配置端口日常保持关闭，拒绝外部远程联接，只在终端设备预设的与服务端的远程连接启动时，采用客户服务器方式，由终端设备作为客户端、远程管理平台作为服务器建立TCP连接，完成对终端设备的远程配置即：由终端设备的配置端口向管理平台的配置端口发起访问并建立连接。能够增加攻击者入侵物联网终端设备配置管理模块的难度，保证连接的TCP连接的安全性。

技术领域

本发明涉及网络安全防护的技术领域，特别是一种物联网终端设备及其与远程管理平台建立TCP连接的方法。

背景技术

物联网没有具体定义，但无论是学术界、产业和政府管理部门，基本有以下共识：物联网的基本架构包括三个逻辑层，即感知层、网络传输层、处理应用层。感知层由数量众多的智能终端设备构成，其功能是采集周围物理环境信息并将感知数据上传；传输层实际上是以互联网为核心的传输网络，功能是将这些感知数据通过网络基础设施传输到远程的处理应用层；处理应用层实际是数据处理中心，对收到的海量数据进行智能处理，提供给物联网系统的用户使用。一个具体的物联网应用系统，通常可视作由处理应用层的应用与管理平台、感知层的终端设备和它们之间的网络构成如图1所示。应用与管理平台通过网络与分散部署的众多终端设备通过网络进行通信，通信数据包括应用数据以及系统运维数据。其中，系统运维数据对于物联网系统的安全特别重要，因为它包括实现对物联网终端设备远程设置的相关参数、指令、升级更新包等，决定了终端设备的工作模式、通信规则等重要安全相关的功能。

一个物联网系统部署完成后，需要对终端设备进行远程升级或更改设置时，处理应用层的管理平台与终端设备就要建立通信连接。TCP连接是传输层可靠通信事实上的标准，连接的端点是套接字：{IP地址：端口号}。每一个TCP连接唯一的被通信两端的两个端点所确定，即：TCP连接={socket1,socket2}={(IP1:port1)，（IP2:port2）}。连接的建立采用客户服务器方式，在实践中，出于方便运维考虑，都是以应用与管理平台作为客户端，终端设备作为服务器：即TCP的连接通常由管理平台发起，由管理平台的{源IP地址，源端口号}向终端设备的{目的IP地址，目的端口号}发起访问并建立连接。这种方式给物联网系统的运维管理带来了极大便利，系统管理者可以在需要的时候对联网的终端设备进行必要的远程运维操作。但这种方式也存在着安全隐患，主要原因在于终端设备必须随时保持TCP端点的开放，以接受来自管理平台发起的访问并建立连接。而从成本的角度考虑，终端设备往往计算资源受限，难以建立足够强度的安全机制，对通信对象的合法性进行辨别。一个攻击者伪装成管理平台地址，能够较容易地与终端设备建立通信连接，并进一步控制终端设备。

因此，针对物联网应用系统的运维需求，需要提出一种新的方法，用更安全的方式建立物联网系统管理平台与终端设备的TCP连接。

发明内容

本发明的目的就是解决现有技术中的问题，提出一种物联网终端设备及其与远程管理平台建立TCP连接的方法，能够增加攻击者入侵物联网终端设备配置管理模块的难度，保证TCP连接的安全性。