本申請提供了一種物聯網網絡安全裝置、系統及控制方法，裝置包括FPGA可信安全模塊和TEE模塊。FPGA可信安全模塊包括可信度量根、可信存儲根、可信報告根、控制單元和加解密單元；TEE模塊與FPGA可信安全模塊通信連接，處理可信等級為預設安全級的應用進程數據，得到加密數據或解密數據，并發送到加解密單元，加解密單元將加密數據或解密數據進行相應的加密或解密后發送到物聯網操作子系統。物聯網網絡安全系統包括通信連接的物聯網操作子系統和物聯網網絡安全裝置。本申請通過FPGA可信安全模塊建立物聯網操作子系統的可信數據傳輸鏈，并可通過FPGA可信安全模塊不斷升級加解密算法，提高了物聯網網絡安全。

技術領域

本申請涉及物聯網網絡安全技術領域，尤其涉及一種物聯網網絡安全裝置、系統及控制方法。

背景技術

物聯網技術已在我們生活中扮演越來越重要的角色，已滲透到生活的方方面面，但是物聯網設備的安全問題還未得到有效改善。根據Fortinet的數據顯示全球受攻擊的物聯網設備呈指數級增長。

目前絕大多數嵌入式物聯網設備的安全措施有兩點：1.采用用戶名+口令的身份認證機制。2.采用類Linux系統，延續其自主訪問控制(Discretionary Access Control，DAC)方式進行權限控制。對于措施一，由于目前的物聯網設備基本都是在出廠時設定默認的用戶名和口令且允許用戶在不修改的情況下使用，極容易遭受暴力破解、字典攻擊等。對于措施二，理論已經證明，自主訪問控制模型對惡意代碼沒有防御能力。用戶、進程等實體都擁有較大的權限，幾乎可以訪問系統中的任何資源。致使利用提權、冒充等攻擊手段，一旦特權用戶權限被竊取，攻擊者就可以為所欲為。而且物聯網設備的計算資源、存儲資源都較有限，傳統的基于特征碼掃描的殺毒軟件無法在物聯網設備中運行。

相關技術中，部分嵌入式物聯網設備采用TEE(Trusted Execution Environment，可信執行環境)實現方式來保障物聯網網絡安全。通過在TEE內構建可信執行環境，利用加解密算法進行數據處理，將處理后的數據發送到物聯網操作系統。然而，TEE內的加解密算法仍然存在被破解的風險，TEE內的加解密算法被破解后，嵌入式物聯網設備的網絡安全將受到極大威脅。

發明內容

本申請提供了一種物聯網網絡安全裝置、系統及控制方法，以解決物聯網網絡安全性差的問題。

第一方面，本申請提供了一種物聯網網絡安全裝置，該裝置包括：FPGA可信安全模塊和TEE模塊，其中，

所述FPGA可信安全模塊包括可信度量根、可信存儲根、可信報告根、控制單元和加解密單元，所述可信度量根用于存儲動態可信數據和多級靜態可信數據，將物聯網操作子系統的啟動進程數據與對應級的所述靜態可信數據進行可信比較，將可信的啟動進程數據存儲至所述可信存儲根，并發送靜態可信報告至所述可信報告根，所述控制單元用于根據所述可信報告根中上一級啟動進程對應的靜態可信報告，啟動所述物聯網操作子系統的下一級啟動進程；

所述可信度量根用于將所述物聯網操作子系統的應用進程數據與所述動態可信數據進行可信比較，將可信的應用進程數據存儲至所述可信存儲根，并發送動態可信報告至所述可信報告根，所述控制單元用于根據所述可信報告根中動態可信報告的可信等級為預設安全級，將所述應用進程數據發送至所述TEE模塊；

所述加解密單元，用于存儲所述可信度量根、可信存儲根、可信報告根的算法以及所述TEE模塊的算法；

所述TEE模塊，與所述FPGA可信安全模塊通信連接，用于處理可信等級為所述預設安全級的應用進程數據，得到加密數據或解密數據，將所述加密數據或解密數據發送到所述加解密單元，所述加解密單元用于將所述加密數據或解密數據進行相應的加密或解密后發送到所述物聯網操作子系統。

可選地，還包括MCU模塊，所述MCU模塊與所述FPGA可信安全模塊通信連接，用于處理所述物聯網操作子系統的中可信等級低于所述預設安全級的應用進程數據。