一种物联网安全防护系统

技术领域

本发明涉及物联网技术领域，特别涉及一种物联网安全防护系统。

背景技术

随着物理网技术的发展，家庭中能够接入物联网的智能家居硬件也越来越多。这些智能家居硬件通常通过路由器连接到网络中，用户再通过手机，平板等智能终端对智能家居硬件进行远程操控，例如，不用起身就能通过手机控制窗帘的打开与关闭，在卧室就能通过手机控制客厅灯的开关等，极大提升了智能家居硬件操控的便利性。

但是，智能家居硬件接入到网络中，就存在遭受非法攻击的风险，尤其是接入到互联网中，更容易受到非法攻击。为了保证安全性，避免智能家居硬件被非法操控，有的智能家居硬件限定了处于同一局域网中才能进行操控，以降低受到非法攻击的可能性。

但是非法攻击者仍然可以通过接入局域网的方式进行非法攻击，智能家居设备仍然面临安全威胁。

发明内容

本发明提供了一种物联网安全防护系统，能够降低通过局域网入侵的风险。

为了解决上述技术问题，本申请提供如下技术方案：

一种物联网安全防护系统，包括路由器以及与路由器连接的智能家居设备，路由器用于接收设备对主WIFI的接入请求，判断请求接入的设备是否为新设备，如果是新设备，获取该设备的设备信息，基于设备信息确定该设备的显示名称，并将该设备标记为智能终端或智能家居设备；

如果标记为智能终端，路由器还用于获取该智能终端的通信数据，基于通信数据分析该智能终端的使用习惯，并基于使用习惯生成用户标签，将用户标签添加到该智能终端的显示名称中；

路由器还用于接收智能终端对智能家居设备的控制指令，判断是否为第一次对智能家居设备发送控制指令，如果是，将控制信息发送至预先绑定的主控设备，控制信息包括控制指令以及该智能终端的显示名称；

路由器还用于从主控设备获取反馈信息，如果反馈信息为请求通过，将该智能终端加入控制白名单，将控制指令发送至对应的智能家居设备，如果反馈信息为请求拒绝，将该智能终端加入控制黑名单，不进行后续操作。

基础方案原理及有益效果如下：

通常在家庭内的物联网，即局域网中，路由器会连接各种智能家居设备以及智能终端，智能终端例如手机、平板和电脑等。这些智能终端连接到家庭的局域网后，通过登录对应的APP或网页，就具有了操控局域网内智能家居设备的权限。为了保证智能家居设备不会遭受到非法攻击，需要对连入局域网内的智能终端，以及智能终端向智能家居设备发出的控制指令进行管理。

本方案中，在设备首次接入主WIFI后，通过设备信息对设备进行分类，将智能终端识别出来进行单独的管理。但是仅仅根据设备信息确定设备的显示名称不利于管理用户区分当前接入的智能终端。例如，3个智能终端为同一品牌同一型号的手机，显示名称都一样，难以分辨背后对应的使用者。本方案基于通信数据分析该智能终端的使用习惯，并基于使用习惯生成用户标签，将用户标签添加到该智能终端的显示名称中；由于不同的人使用手机的常用APP不同，生成的用户标签也不尽相同，有助于管理用户快速区分当前接入的智能终端的所有人，及早发现非法接入的智能终端，如果发现非法接入的智能终端，管理用户也能知晓当前密码已泄露。当智能终端对智能家居设备进行控制时，本方案设置第二道防线，将控制信息先发送至管理用户绑定的主控设备进行审核，如果审核不通过，即反馈信息为请求拒绝，不执行该智能终端发出的控制指令。

综上，本方案能够在智能家居设备执行控制指令前，甄别智能终端，避免智能家居设备遭受非法入侵。

进一步，所述路由器在判断接入的设备非新设备，且为智能终端时，再次判断该智能终端是否在控制黑名单中，如果在控制黑名单中，判断是否已配置访客WIFI，如果已配置，拒接该智能终端的接入，并开启访客WIFI，将访客WIFI的配置信息发送至主控设备，配置信息包括WIFI名称和WIFI密码。

二次接入的智能终端如果在控制黑名单中，表明管理用户虽然拒绝了该智能终端操控智能家居设备的权限，但是没有将其踢出主WIFI，表明该智能终端并非入侵的设备，可能是管理用户的朋友等。如果该智能终端不需要控制智能家居设备，连接访客WIFI,能进一步提高主WIFI的安全性。如果当前已配置访客WIFI，表明管理用户有使用访客WIFI的意愿，此时拒接该智能终端接入主WIFI，并开启访客WIFI，该智能终端的使用者发现无法连接主WIFI后，管理用户可以引导其连接访客WIFI，同时也避免了有的管理用户碍于情面不好意思直接拒绝他人连接主WIFI的情况。将访客WIFI的配置信息发送至主控设备，即使管理用户忘记了访客WIFI的密码，也不用花时间去查询。

进一步，所述路由器还用于在第一预设时间内没有智能终端接入访客WIFI后，关闭访客WIFI。

可以降低非法入侵者接入访客WIFI的概率。

进一步，所述路由器从主控设备获取反馈信息后，如果反馈信息为行为监控，将该智能终端加入监控名单，将控制指令发送至对应的智能家居设备；

路由器还用于在判断智能终端非第一次对智能家居设备发送控制指令时，再次判断智能终端所处的名单，如果在监控名单中，将控制指令发送至对应的智能家居设备的同时，将控制信息发送至主控设备；

如果在控制白名单中，直接将控制指令发送至对应的智能家居设备。

通过将某些智能终端加入监控名单，例如家里儿童使用的智能终端，能够对该智能终端发送的控制指令持续监控。

进一步，所述路由器还用于在判断智能终端为首次对智能家居设备发送控制指令时，判断控制指令是否为预设的第一类控制指令，如果是预设的第一类控制指令，还判断主控设备当前是否接入路由器，如果接入，将控制指令发送至对应的智能家居设备，同时，将控制信息发送至主控设备。

第一类控制指令为对安全不造成影响的控制指令，而且非法入侵是小概率事件，如果此类控制指令采用先审核后放行的方式，体验感较差，例如控制智能灯的开关，需要先审核再放行，延迟高，容易引发用户的反感。本优选方案中，针对对安全不造成影响的控制指令，如果管理用户在家中(即主控设备接入路由器)，采用先放行，再由管理用户进行判断的方式操作，在保证安全的同时，提高了用户体验。

进一步，所述路由器判断主控设备当前接入路由器后，还用于判断当前的接入智能终端数量是否大于阈值，如果未大于阈值，将控制指令发送至对应的智能家居设备，同时，将控制信息发送至主控设备；

如果大于阈值，还判断该智能终端的显示名称中是否包含用户标签，如果包含用户标签，将控制指令发送至对应的智能家居设备，同时，将控制信息发送至主控设备；如果不包含用户标签，将控制信息发送至主控设备。

如果当前的接入智能终端数量大于阈值，管理用户在事后判断时，容易出现不能分辨该智能终端的使用者的情况，因此，只有在该智能终端能够让管理用户有效分辨使用者时(即智能终端的显示名称中包含用户标签)，才启用先放行后判断的操作方式。

进一步，所述路由器还用于在接入智能终端的数量大于阈值时，获取所有智能家居设备的状态信息并记录，状态信息包括开启状态或关闭状态；

路由器还用于在当前所有智能家居设备的状态信息与记录的状态信息一致时，开启访客WIFI。

接入智能终端的数量大于阈值的场景可能是举行聚会，获取所有智能家居设备的状态信息并记录，在下一次智能家居设备的状态信息与记录的状态信息一致时，同样是举行家庭聚会的可能性较高，此时开启访客WIFI，便于参与聚会的人员直接连入访客WIFI。

进一步，所述路由器还用于在访客WIFI累计接入的智能终端数量大于设定值时，更改访客WIFI的密码，并将更改后的密码发送至主控设备；

路由器还用于在更改密码后，重新计算智能终端的接入数量。

定期更换访客WIFI的密码，降低访客WIFI密码被泄露的风险。

进一步，所述路由器还用于判断预设的智能家居设备在第二预设时间内状态信息的改变是否与设定的条件一致，如果一致，开启访客WIFI。

例如在3秒内，连续开关厨房的智能灯3次，开启访客WIFI。在聚会时，管理用户可能在忙着接待或忙着准备食物，不方便使用主控设备，采用本优选方案的方式，能够方便管理用户对访客WIFI进行控制。

进一步，所述设备信息包括IP地址和MAC地址。

附图说明

图1为实施例一一种物联网安全防护系统的示意图。

具体实施方式

下面通过具体实施方式进一步详细说明：

实施例一

如图1所示，本实施例的一种物联网安全防护系统，包括路由器、智能家居设备和主控设备。智能家居设备和主控设备均连接到路由器所建立的局域网中。智能家居设备例如智能电视机、智能灯、智能电表、智能燃气表、智能冰箱、扫地机器人、智能热水器、智能音响等能够联网操控的设备。主控设备为管理用户当前绑定的智能终端，此智能终端拥有最高的管理权限，智能终端例如手机。

路由器用于接收设备的接入请求，判断请求接入的设备是否为新设备，如果是新设备，获取该设备的设备信息，基于设备信息确定该设备的显示名称，并将该设备标记为智能终端或智能家居设备；设备信息包括IP地址和MAC地址。本实施例中，接入的为路由器的主WIFI，接入请求在正确输入WIFI密码后发送。目前联网设备的MAC地址需要备案，基于MAC地址联网查询备案信息，即可得到设备的名称，作为显示名称。当没有查询到设备的名称时，将MAC地址作为显示名称。例如，通过MAC地址查询得到设备的名称为水果手机，则确定该设备的显示名称为：水果手机，将该设备标记为智能终端。如果通过MAC地址查询得到设备的名称为xx智能音响，则确定该设备的显示名称为：xx智能音响，将该设备标记为智能家居设备。本实施例中，智能终端的类型包括手机、平板和电脑。

如果标记为智能终端，路由器还用于获取该智能终端的通信数据，基于通信数据分析该智能终端的使用习惯，并基于使用习惯生成用户标签，将用户标签添加到该智能终端的显示名称中。本实施例中，通过该通信数据，分析得出产生流量最多的一或两款应用或游戏，将游戏或应用的名称作为用户标签。将用户标签添加到该智能终端的显示名称中，例如，水果手机，使用xxx视频应用，xx牌手机，使用xxx游戏应用。

路由器还用于接收智能终端对智能家居设备的控制指令，判断是否为第一次对智能家居设备发送控制指令，如果是，将控制信息发送至预先绑定的主控设备，控制信息包括控制指令以及该智能终端的显示名称；

路由器还用于从主控设备获取反馈信息，反馈信息包括请求通过、请求拒绝或行为监控。

如果反馈信息为请求通过，将该智能终端加入控制白名单，将控制指令发送至对应的智能家居设备；

如果反馈信息为请求拒绝，将该智能终端加入控制黑名单，不进行后续操作。

如果反馈信息为行为监控，将该智能终端加入监控名单，将控制指令发送至对应的智能家居设备；

路由器还用于在判断智能终端非第一次对智能家居设备发送控制指令时，再次判断智能终端所处的名单，如果在监控名单中，将控制指令发送至对应的智能家居设备的同时，将控制信息发送至主控设备；如果在控制白名单中，直接将控制指令发送至对应的智能家居设备。

路由器在判断接入的设备非新设备，且为智能终端时，再次判断该智能终端是否在控制黑名单中，如果在控制黑名单中，判断是否已配置访客WIFI，如果已配置，拒接该智能终端的接入，并开启访客WIFI，将访客WIFI的配置信息发送至主控设备，配置信息包括WIFI名称和WIFI密码。

路由器还用于在第一预设时间内没有智能终端接入访客WIFI后，关闭访客WIFI。

实施例二

本实施例与实施例一的区别在于，本实施例中，路由器还用于在判断智能终端为第一次对智能家居设备发送控制指令时，判断控制指令是否为预设的第一类控制指令，如果是预设的第一类控制指令，还判断主控设备当前是否接入路由器，如果接入，判断当前的接入智能终端数量是否大于阈值，如果未大于阈值，将控制指令发送至对应的智能家居设备，同时，将控制信息发送至主控设备；

如果大于阈值，还判断该智能终端的显示名称中是否包含用户标签，如果包含用户标签，将控制指令发送至对应的智能家居设备，同时，将控制信息发送至主控设备；如果不包含用户标签，将控制信息发送至主控设备，根据主控设备的反馈信息执行下一步操作。阈值为3-5个，本实施例中为5个。

本实施例中，根据控制指令对安全的影响程度分为第一类控制指令、第二类控制指令和第三类控制指令；第一类控制指令例如开关智能灯、开关智能电视等；第二类控制指令例如开关智能空调、开关智能窗帘等；第三类控制指令例如开关智能热水器、开关监控摄像头、开关烟雾报警器等。

实施例三

本实施例与实施例二的区别在于，本实施例中，路由器还用于在接入设备的数量大于阈值时，获取所有智能家居设备的状态信息并记录，状态信息包括开启状态或关闭状态，还包括智能家居设备设定时间内的使用数据，设定时间为2小时。例如智能冰箱2小时内的耗电量，智能水表2小时内的使用水量。

路由器还用于在当前所有智能家居设备的状态信息与记录的状态信息一致，且使用数据的相似度大于80％时，开启访客WIFI。

接入智能终端的数量大于阈值的场景可能是举行聚会，获取所有智能家居设备的状态信息并记录，在下一次智能家居设备的状态信息与记录的状态信息一致时，同样是举行家庭聚会的可能性较高，此时开启访客WIFI，便于参与聚会的人员直接连入访客WIFI。本实施例中，为了提高场景识别的准确性，还对智能家居设备的使用数据进行判断，例如智能冰箱2小时内的耗电量相似度大于80％，表明冰箱内存储的食物量相似，例如都为了聚会冰冻了饮料，能进一步提高识别的准确性。

实施例四

本实施例与实施例三的区别在于，本实施例中，路由器还用于判断预设的智能家居设备在第二预设时间内状态信息的改变是否与设定的条件一致，如果一致，开启访客WIFI。例如在3秒内，连续开关厨房的智能灯3次。

路由器还用于在开启访客WIFI后，从当前连接主WIFI的智能终端中，筛选出非控制白名单和监控名单内的智能终端，断开非控制白名单和监控名单内的智能终端与主WIFI的连接，再将访客WIFI的配置信息发送至主控设备，配置信息包括WIFI名称和WIFI密码。

路由器还用于在访客WIFI累计接入的智能终端数量大于设定值时，更改访客WIFI的密码，并将更改后的密码发送至主控设备；路由器还用于在更改密码后，重新计算智能终端的接入数量。设定值为10-20，本实施例中为15。本实施例中，更改访客WIFI的密码时，新的密码的组成规则与初始配置的访客WIFI密码的组成规则一致。例如初始配置的访客WIFI密码为纯数字，则更改的访客WIFI的密码为纯数字，初始配置的访客WIFI密码为字母加符号，则更改的访客WIFI的密码为字母加符号。

在聚会时，管理用户可能在忙着接待或忙着准备食物，不方便使用主控设备，采用本实施例的方案的方式，能够方便管理用户对访客WIFI进行控制。断开非控制白名单和监控名单内的智能终端与主WIFI的连接，再将访客WIFI的配置信息发送至主控设备，便于管理用户引导此类用户接入访客WIFI。长时间使用后，主WIFI通常只有管理用户许可的人才能接入，其他用户都只能接入到访客WIFI中。

以上的仅是本发明的实施例，该发明不限于此实施案例涉及的领域，方案中公知的具体结构及特性等常识在此未作过多描述，所属领域普通技术人员知晓申请日或者优先权日之前发明所属技术领域所有的普通技术知识，能够获知该领域中所有的现有技术，并且具有应用该日期之前常规实验手段的能力，所属领域普通技术人员可以在本申请给出的启示下，结合自身能力完善并实施本方案，一些典型的公知结构或者公知方法不应当成为所属领域普通技术人员实施本申请的障碍。应当指出，对于本领域的技术人员来说，在不脱离本发明结构的前提下，还可以作出若干变形和改进，这些也应该视为本发明的保护范围，这些都不会影响本发明实施的效果和专利的实用性。本申请要求的保护范围应当以其权利要求的内容为准，说明书中的具体实施方式等记载可以用于解释权利要求的内容。