(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210262427.3 (22)申请日 2022.03.17 (71)申请人 成都安恒信息技 术有限公司 地址 610000 四川省成 都市自由贸易试验 区成都高新区天府 大道北段1480号高 新孵化园6号楼1 10室 (72)发明人 蔺宪武　范渊　吴永越　何恐　 兰星　 (74)专利代理 机构 成都君合集专利代理事务所 (普通合伙) 51228 专利代理师 尹新路 (51)Int.Cl. H04W 84/18(2009.01) H04L 9/32(2006.01) H04L 9/40(2022.01)H04L 47/10(2022.01) H04W 12/06(2021.01) H04W 84/12(2009.01) (54)发明名称 一种IoT设备组网系统及组网方法 (57)摘要 本发明提出了一种IoT设备组网系统及组网 方法， 本发明主要包含两个实体： IoT设备和控制 器， 其实施主要分为两个阶段： 初始化阶段和正 常数据传输阶段。 初始化阶段描述了设备证书的 颁发， 和设备接入控制器； 正常数据传输阶段描 述了两个IoT设备的应用是如何进行网络通信 的。 本发明通过上述设置实现了IoT设备间可以 通过一个VLAN进行通信， 减 轻设备间网络通信的 复杂度， 设备内的应用可以无感知的使用VLAN进 行通信； 同时IoT设备所有的网络通信可以实时 被审计和过滤， 保证设备网络通信的安全， 同时 可以防止一台IoT设备的网络利用传播到整个虚 拟网络内。 权利要求书2页 说明书7页 附图2页 CN 114641094 A 2022.06.17 CN 114641094 A 1.一种IoT设备组网系统， 其特 征在于， 包括控制器、 I oT设备A、 I oT设备B； 所述控制器内设置有认证组件、 网关组件、 第一TAP虚拟网络接口组件和第一IoT设备 初始化网络 接口组件I/F； 所述网关组件分别与认证组件、 第一TAP虚拟网络接口组件和第一IoT设备初始化网络 接口组件I/F 连接 所述IoT设备A和IoT设备B结构相同， 均包括第二IoT设备初始化网络接口组件I/F、 驱 动组件、 第二TAP虚拟网络 接口组件和应用程序AP P； 所述驱动组件分别与第二IoT设备初始化网络接口组件I/F、 驱动组件、 第二TAP虚拟网 络接口组件连接； 所述应用程序AP P与所述第二TAP虚拟网络 接口组件连接； 所述第一IoT设备初始化网络接口组件I/F与所述第二IoT设备初始化网络接口组件I/ F连接。 2.一种IoT设备组网系统的组网方法， 基于权利要求1所述的一种IoT设备组网系统， 其 特征在于， 包括两个阶段： 初始 化阶段和数据传输阶段； 首先在初始 化阶段使用控制器分别 将IoT设备A和IoT设备B进行虚拟网络的接入， 并对IoT设备A和IoT设备B进行设备证书 License的颁发； 然后再 数据传输阶段通过控制器进行I oT设备A和I oT设备B的网络通信。 3.如权利要求2所述的一种IoT设备组网系统的组网方法， 其特征在于， 所述初始化阶 段包括以下步骤： 步骤1： 对 控制器进行启动； 步骤2： 在IoT设备A和IoT设备B出厂前， 管理员预定义策略； 控制器根据管理员预定义 的策略颁发设备证书L icense给IoT设备A和I oT设备B； 步骤3： 在IoT设备A和IoT设备B出厂安装启动后， 配置控制器互联网地址， 对IoT设备A 和IoT设备B的第二IoT设备初始化网络接口组件I/F、 驱动组件、 第二TAP虚拟网络接口组件 进行初始化； 步骤4： 第二IoT设备初始化网络接口组件I/F、 驱动组件、 第二TAP虚拟网络接口组件根 据配置的控制器互联网地址， 携带设备证书License， 通过第二IoT设备初始化网络接口组 件I/F和第一IoT设备初始化网络接口组件I/F， 进行设备认证和网络接入； 控制器的认证组 件对认证通过的I oT设备返回认证信息和预定义的策略信息 到网关组件； 步骤5： 网关组件根据返回的认证信息和预定义的策略信息， 生成对应IoT设备的虚拟 IP地址， 并记录对应的IoT设备的实时信息； 然后将虚拟IP地址信息、 虚拟网关地址、 路由信 息、 可以访问的网络资源信息返回到对应的I oT设备上； 步骤6： 当对应的IoT设备的驱动组件接收到返回的信息后， 在第二TAP虚拟网络接口组 件上配置虚拟IP地址信息、 虚拟 网关地址， 并且将默认路 由指向虚拟网关， 完成IoT设备的 认证和虚拟网络的接入。 4.如权利要求3所述的一种IoT设备组网系统的组网方法， 其特征在于， 所述步骤1的具 体操作为： 对控制器的认证组件、 网关组件、 第一TAP虚拟网络接口组件和第一IoT设备初始 化网络接口组件I/F进 行启动； 并且在网关组件启动的时候在第一IoT设备初始 化网络接口 组件I/F进行监听， 监听是否有可用端口； 同时使用网关组件访问认证组件和第一TAP虚拟 网络接口组件。 5.如权利要求3所述的一种IoT设备组网系统的组网方法， 其特征在于， 所述步骤2中，权　利　要　求　书 1/2 页 2 CN 114641094 A 2所述设备证书License为一个非对称加密密钥； 在颁发设备证书License的过程中， 将公钥 颁发给对应的I oT设备， 将私钥 信息和对应的I oT设备的策略信息保存到认证组件中。 6.如权利要求3或4或5所述的一种IoT设备组网系统的组网方法， 其特征在于， 所述数 据传输阶段包括以下步骤： 步骤S1： 通过IoT设备A的应用程序APP发起目的地址为IoT设备B的请求到IoT设备A的 第二TAP虚拟网络 接口组件上进行处 理； 步骤S2： IoT设备A的第二TAP虚拟网络接口组件在处理请求时， 委托驱动组件进行流量 处理； 驱动组件将请求使用设备证书License进行加密， 并且二次封装， 对封装后的请求修 改目的地址为控制器的网关地址； 然后将请求通过第二IoT设备初始 化网络接口组件I/F和 第一IoT设备初始化网络 接口组件I/F发送到控制器； 步骤S3： 网关组件将接收到的请求解封后， 根据预先配置的私钥将解封后的数据包进 行解密， 并对解密后的数据包进行审计和网络分析， 判断请求的目的地址是否为允许访问 的； 对于不 允许访问的请求进 行数据包丢弃， 对于允许访问的请求， 发送请求的数据包到控 制器的虚拟地址上； 步骤S4： 控制器的第一TAP虚拟网络 接口组件接收发送请求的数据包； 步骤S5： 控制器的第一TAP虚拟网络接口组件对接收的请求的数据包进行分析， 若数据 包的目的地址是在一个虚拟局域网V LAN中， 则执行发送的流程， 使用目的地址对应的IoT设 备B的私钥对 数据包进 行加密， 并将目的地址修改为IoT设备B的互联网地址， 通过控制器将 加密封装好后的数据包发送到第一 IoT设备初始化网络 接口组件I/F； 步骤S6： 当IoT设备B的驱动组件监听到第二IoT设备初始化网络接口组件I/F接收到第 一IoT设备初始化网络接口组件I/F发送的数据包后， 请求将数据包拆包， 然后使用本地的 设备证书L icense进行解密； 步骤S7： 将解密后的数据包发送到IoT设备B的第二TAP虚拟网络接口组件进行处理， 并 发送到IoT设备B的应用程序AP P上； 步骤S8： 在数据处理完毕后， 将处理完毕的数据进行原路返回， 完成两个IoT设备间的 网络通信。权　利　要　求　书 2/2 页 3 CN 114641094 A 3