[0001] 本发明涉及网络安全信息化传输技术领域，尤其涉及一种基于物联网的网络安全信息化传输系统

[0002] 网络安全信息化传输系统旨在保障信息在传输过程中的安全性和完整性。该系统通常涉及将语音、数据、图像等信息转变为电信号，经过调制后在特定的媒质内进行传输，并在接收端通过解调还原为原始信息。物联网的核心是将任何物体与网络相连接，实现智能化识别、定位、跟踪、监管等功能。它基于互联网、传统电信网等信息承载体，让所有能够被独立寻址的普通物理对象实现互联互通。

[0003] 现有技术中，传统网络通常具有层次繁多的设备和复杂的网络拓扑，这增加了网络的管理和维护难度。复杂的结构使得网络变得僵化，不易适应快速变化的业务环境，另外，传统网络安全技术主要是基于固定网络环境下的威胁，而当前的网络环境已经发生了巨大变化，给网络安全带来了新的威胁，因此，提出一种基于物联网的网络安全信息化传输系统

[0030] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

[0031] 请参阅图1‑图2所示，本发明为一种基于物联网的网络安全信息化传输系统，包括感知层、网络层与应用层；

[0032] 感知层包括数据采集模块与初步加密模块，数据采集模块负责通过物联网感知设备(如传感器、摄像头等)实时采集数据，初步加密模块在数据采集过程中，对敏感数据进行初步加密，以保障数据传输的安全性；

[0033] 网络层包括物联网安全模块、物联网安全网关与密钥管理服务器，物联网安全模块串接在临近物联网感知设备的网络中，对感知设备的通信数据进行加密，确保数据在传输过程中的机密性，物联网安全网关部署于物联网管理平台的网络边界处，对进出流量进行加密和解密，防止非法流量通过，同时提供安全防护功能，密钥管理服务器部署于物联网管理平台的内部网络中，负责密钥的管理，包括生成、分发、更新、归档等功能，以及基于密钥的身份认证服务；

[0034] 应用层包括数据存储模块、数据加密模块、数据传输控制模块、数据分析模块、可视化操作界面与API接口模块，数据存储模块位于云平台中，负责数据的集中存储和管理，支持海量数据的存储和高效检索，数据加密模块在数据存储过程中对数据进行加密处理，确保数据的隐私性和安全性，数据传输控制模块负责数据的传输控制，确保数据的传输效率和安全性，数据分析模块对存储在云平台中的数据进行实时分析和挖掘，帮助用户发现潜在的安全威胁和业务机会，可视化操作界面提供用户友好的操作界面，方便用户进行设备的添加、删除、配置和查询等操作，API接口模块提供API接口，支持第三方应用的接入和数据的共享，方便用户进行二次开发和集成。

[0035] 本发明提出的一种基于物联网的网络安全信息化传输系统的工作原理是，物联网感知设备(如传感器、摄像头等)开始工作，实时采集环境或设备的数据数据采集模块将这些原始数据发送给初步加密模块，初步加密模块接收到原始数据后，根据预设的加密算法和密钥，对敏感数据进行初步加密处理，加密后的数据被发送到物联网安全模块进行进一步处理；

[0036] 物联网安全模块接收到初步加密后的数据，根据网络安全策略和需要，再次对数据进行加密或封装，确保数据在网络传输中的安全性，加密或封装后的数据包将被发送到物联网安全网关，物联网安全网关作为进出流量的控制点，对来自感知层的数据包进行验证和过滤，确保只有合法的数据包才能通过，安全网关对数据包进行解密，检查数据的完整性和真实性，验证通过后，安全网关对数据包进行再次加密，确保数据在网络传输中的安全性，安全网关将加密并验证后的数据包传输至应用层；

[0037] 在数据传输和存储过程中，密钥管理服务器与应用层中的模块进行交互，提供必要的密钥服务，以支持加密、解密和身份认证等操作，数据存储模块接收来自网络层的数据包，并将其存储在云平台中，在存储过程中，数据存储模块与密钥管理服务器交互，使用适当的密钥对数据进行加密处理，确保数据在存储过程中的安全性；

[0038] 数据传输控制模块管理数据在应用层和网络层之间的传输，根据业务需求和网络状况，控制数据的传输速率、传输方式等，数据分析模块从数据存储模块中检索需要分析的数据，利用预先设定的算法和模型对数据进行实时分析和挖掘。

[0039] 在一个实施例中，对于上述数据采集模块来说，数据采集模块(感知层)通过物联网感知设备(如传感器、摄像头等)实时采集数据，初步加密模块(感知层)对采集到的敏感数据进行初步加密处理，物联网安全模块(网络层)接收来自感知层加密后的数据，并可能再次进行加密或封装，以确保数据在网络传输中的安全性，物联网安全网关(网络层)作为进出流量的控制点，对来自感知层的数据进行加密和解密操作，同时防止非法流量通过。

[0040] 在一个实施例中，对于上述物联网安全网关来说，物联网安全网关(网络层)将加密并验证后的数据传输至应用层，密钥管理服务器(网络层)与应用层中的模块进行交互，提供密钥的生成、分发、更新等服务，以支持加密、解密和身份认证等操作，数据存储模块(应用层)接收来自网络层的数据，并将其存储在云平台中，同时，数据存储模块与密钥管理服务器交互，以确保数据在存储过程中的加密安全性，数据传输控制模块(应用层)管理数据在应用层和网络层之间的传输，确保传输的效率和安全性。

[0041] 在一个实施例中，对于上述数据分析模块来说，数据分析模块(应用层)从数据存储模块中检索数据，进行实时分析和挖掘，可视化操作界面(应用层)为用户提供与其他模块(数据分析模块、数据存储模块等)交互的界面，方便用户进行数据查询、配置和管理等操作，API接口模块(应用层)作为第三方应用与系统内部模块之间的桥梁，实现数据的共享和集成。

[0042] 在一个实施例中，对于上述物联网安全模块来说，物联网安全模块包括加密单元、感知设备单元、传输单元、安全控制单元与日志记录单元，加密单元负责对感知设备的通信数据进行加密处理，确保数据在传输过程中不被非法获取或篡改，加密单元接收来自感知设备单元的原始数据，对数据进行加密处理后，将加密数据发送给传输单元，感知设备单元负责采集物联网环境中的各种信息，如温度、湿度、压力等，将采集到的原始数据发送给加密单元进行加密处理，同时接收来自安全控制单元的管理指令，如数据采集频率、数据格式等，传输单元负责将加密后的数据通过物联网网络传输到指定的接收端，传输单元接收来自加密单元的加密数据，将数据通过物联网网络发送到接收端，并接收来自接收端的反馈信息，如数据接收状态、错误信息等，安全控制单元对整个物联网安全模块进行管理和控制，包括配置加密参数、监控数据传输状态等，安全控制单元向感知设备单元发送管理指令，配置数据采集参数，接收来自加密单元和传输单元的状态信息，如加密状态、传输状态等，根据需要对加密参数进行调整，以确保数据传输的安全性，日志记录单元记录物联网安全模块的运行日志，包括数据加密记录、传输记录等，以便进行后续的安全审计和故障排查，日志记录单元接收来自加密单元、传输单元和安全控制单元的运行日志信息，并进行存储和管理。

[0043] 在一个实施例中，对于上述物联网安全网关来说，物联网安全网关包括流量控制单元、加密解密单元、安全防护单元与协议转换单元，流量控制单元负责监控、控制和管理进出物联网管理平台的网络流量，加密解密单元使用专业的加密算法对流量进行加密和解密，确保数据的机密性，安全防护单元包括防火墙、入侵检测、漏洞扫描等功能，提供多层次的安全防护，协议转换单元支持多种物联网协议，如MQTT、CoAP、HTTP等，并进行必要的协议转换，流量控制单元将检测到的流量信息传递给安全防护单元，安全防护单元根据预设的安全策略对流量进行过滤和检查，如果发现非法流量，安全防护单元将阻止其通过，并通知流量控制单元进行记录或采取其他措施，当流量控制单元检测到合法的入站流量时，它将流量传递给加密解密单元进行解密，对于出站流量，流量控制单元将流量传递给加密解密单元进行加密，以确保数据在传输过程中的机密性，协议转换单元接收来自物联网感知设备的原始数据，并将其转换为物联网管理平台可以理解的格式，协议转换单元将物联网管理平台的指令转换为物联网感知设备可以理解的格式。

[0044] 在一个实施例中，对于上述密钥管理服务器来说，密钥管理服务器包括密钥生成单元、密钥存储单元、密钥分发单元、密钥使用单元、密钥撤销单元、密钥更新单元与身份认证单元，密钥生成单元负责生成新的密钥，包括一级密钥、二级密钥和三级密钥等，密钥的生成基于强加密算法和随机数生成器，以确保其安全性和随机性，密钥存储单元负责存储生成的密钥，通常包括在用库、历史库和备份库等，密钥存储单元通过抽象封装与底层数据存储管理软件的交互接口，为其他单元提供密钥存储相关服务，密钥分发单元负责将生成的密钥安全地分发给需要使用它们的系统或用户，分发过程中需要采用加密传输、身份验证等安全措施，以确保密钥的安全传输，密钥使用单元负责在使用密钥的过程中提供必要的服务，如加密、解密、签名验证等，使用单元通常会与存储单元进行交互，以获取所需的密钥，密钥撤销单元负责在密钥不再需要或存在安全风险时撤销密钥的访问权限，撤销操作通常需要在存储单元中更新密钥的状态或删除密钥，密钥更新单元负责在密钥需要更新时生成新的密钥，并更新系统中相关的密钥信息，更新操作可能涉及到密钥的替换、过期时间的设置等，身份认证单元基于密钥的身份认证服务，负责验证用户或系统的身份，并授权其访问特定的资源或服务，密钥生成单元生成新的密钥后，将其传递给密钥存储单元进行存储，存储单元负责将密钥保存在安全的存储介质中，并提供必要的访问控制和备份机制，密钥分发单元从密钥存储单元中获取需要分发的密钥，并通过安全的传输通道将其分发给目标系统或用户，密钥使用单元在需要使用密钥时，向密钥存储单元请求所需的密钥，当密钥需要被撤销时，密钥撤销单元向密钥存储单元发送撤销请求，密钥更新单元在需要更新密钥时，通知密钥存储单元生成新的密钥并更新相关的密钥信息，身份认证单元在验证用户或系统的身份时，从密钥存储单元中获取用户或系统的密钥信息。

[0045] 在一个实施例中，对于上述密钥生成单元来说，密钥生成单元密钥生成的具体操作方法为：

[0046] 一级密钥的生成：使用CSPRNG生成一个足够长的随机数作为一级密钥，一级密钥的长度应根据所选加密算法的要求来确定，例如AES算法要求密钥长度为128位、192位或256位；

[0047] 二级密钥的生成：基于一级密钥，使用KDF生成二级密钥，KDF可以将一个密钥作为输入，并输出一个或多个派生密钥，这些派生密钥的长度和数量可以根据需要进行调整；

[0048] 三级密钥的生成：使用二级密钥作为输入，通过KDF生成三级密钥，三级密钥的生成方法可以根据具体的安全需求进行定制。

[0049] 在一个实施例中，对于上述数据传输控制模块来说，数据传输控制模块包括数据捕获单元、数据处理单元、数据传输单元、数据监控单元与安全认证单元，数据捕获单元负责从源端捕获待传输的数据，在数据传输的起点，捕获所有需要进行传输的数据包，数据处理单元对捕获的数据包进行必要的处理，如数据格式转换、加密、压缩等，根据需要，对数据包进行拆分或合并，以适应不同的传输需求，数据传输单元负责将处理后的数据包通过无线或有线方式传输到目标端，在传输过程中，确保数据的完整性和安全性，数据监控单元实时监控数据传输的状态，包括传输速度、丢包率、延迟等，在发现异常情况时，及时采取相应措施，如重传、暂停传输等，安全认证单元负责对传输的数据进行安全认证，确保数据的来源和目的地的合法性，采用加密算法和身份验证机制，防止数据被篡改或伪造，数据捕获单元将捕获的数据包传递给数据处理单元，数据处理单元将处理后的数据包传递给数据传输单元，数据传输单元在传输过程中，将传输状态信息实时发送给数据监控单元，数据监控单元在发现潜在的安全威胁时，通知安全认证单元进行安全认证，安全认证单元在认证通过后，将认证结果通知数据传输单元。

[0050] 在一个实施例中，对于上述数据分析模块来说，数据分析模块包括数据捕获单元、数据预处理单元、数据存储单元与数据分析单元，数据捕获单元负责从云平台中捕获待分析的数据，数据捕获可以是实时的，也可以是批处理的，取决于数据分析的实时性要求，数据预处理单元对捕获的数据进行清洗、转换和标准化，去除重复、错误和无效数据，将数据转换为适合分析的格式，数据预处理是确保数据分析准确性和效率的关键步骤，数据存储单元将处理后的数据存储在一个或多个数据库或数据仓库中，数据存储单元需要支持高效的数据检索和查询，数据分析单元对存储的数据进行实时分析和挖掘，分析可能包括统计分析、机器学习、数据挖掘等，目标是发现潜在的安全威胁和业务机会，数据捕获单元将捕获的数据传递给数据预处理单元，数据预处理单元将处理后的数据传递给数据存储单元，数据分析单元根据用户需求或预定义的分析计划，从数据存储单元检索数据。

[0051] 尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。