CN109086616A - 一种物联网网络构架安全体系及其安全方法 - Google Patents

一种物联网网络构架安全体系及其安全方法 Download PDF

Info

Publication number
CN109086616A
CN109086616A CN201810908502.2A CN201810908502A CN109086616A CN 109086616 A CN109086616 A CN 109086616A CN 201810908502 A CN201810908502 A CN 201810908502A CN 109086616 A CN109086616 A CN 109086616A
Authority
CN
China
Prior art keywords
security
subsystem
management
internet
realizing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810908502.2A
Other languages
English (en)
Inventor
李波
宋苗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing Institute of Engineering
Original Assignee
Chongqing Institute of Engineering
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing Institute of Engineering filed Critical Chongqing Institute of Engineering
Priority to CN201810908502.2A priority Critical patent/CN109086616A/zh
Publication of CN109086616A publication Critical patent/CN109086616A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种物联网网络构架安全体系,包括物理安全子系统、安全计算环境子系统、安全区域边界子系统、安全通信网络子系统、安全管理中心子系统、应急响应恢复与处置子系统;所述安全计算环境子系统用于实现计算环境内部的安全保护;所述安全区域边界子系统用于实现出/入区域边界的数据流向控制;所述安全通信子系统用于实现网络传输和交换的数据信息的保密性和完整性的安全保护;所述系统管理子系统用于实现系统资源的配置、管理和运行控制;所述安全管理子系统主要实现系统主体、客体的统一标记和主体的授权管理,以及系统安全策略和分布式安全机制的统一管理;安全审计子系统用于实现分布在系统各个组成部分的安全审计策略和机制的集中管理。

Description

一种物联网网络构架安全体系及其安全方法
技术领域
本发明涉及物联网网络构架领域,特别涉及一种物联网网络构架安全体系及其安全方法。
背景技术
目前,物联网安全问题越来越受到关注。物联网和互联网一样,都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统,其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。物联网技术的推广和运用,—方面将显著提高经济和社会运行效率,但由于物联网在很多场合都需要无线传输。这种暴露在公开场所之中的信号很容易被窃取,也更容易被干扰,这将直接影响到物联网体系的安全。
物联网规模很大,与人类社会的联系十分紧密,一旦受到病毒攻击,很r口『能出现世界范围内的工厂停产、商店停业、交通瘫痪,让人类社会陷入·片混乱,影响巨大;另—方面物联网对国家和企业、公民的信息安全和隐私保护问题提出了严峻的挑战,在未来的物联网中,每个人拥有的每件物品都将随时随地连接在这个网络上,随时随地被感知。在这种环境中。如何确保信息的安全性和隐私性。防止个人信息、业务信息和财产丢失或被他人盗用,将是物联网推进过程中需要突破的重大障碍之一。
发明内容
有鉴于此,本发明的目的是提出一种物联网网络构架安全技术体系和安全方法,该体系从横向和纵向两个方面提升物联网防护水平。
本发明的物联网网络构架安全体系,包括物理安全子系统、安全计算环境子系统、安全区域边界子系统、安全通信网络子系统、安全管理中心子系统、应急响应恢复与处置子系统;所述安全计算环境子系统用于实现计算环境内部的安全保护;所述安全区域边界子系统用于实现出/入区域边界的数据流向控制;所述安全通信子系统用于实现网络传输和交换的数据信息的保密性和完整性的安全保护;所述系统管理子系统用于实现系统资源的配置、管理和运行控制;所述安全管理子系统主要实现系统主体、客体的统一标记和主体的授权管理,以及系统安全策略和分布式安全机制的统一管理;安全审计子系统用于实现分布在系统各个组成部分的安全审计策略和机制的集中管理;
进一步,所述物理安全子系统包括物理访问控制系统、环境安全监控系统、电磁屏蔽安全系统、EPC设备安全控制系统;
进一步,所述安全计算环境子系统包括感知节点身份鉴别系统、自主/强制/角色访问控制系统、授权管理系统、感知节点安全防护系统、标签数据源可信系统、数据保密性和完整性系统、EPC业务认证系统、系统安全审计系统;
进一步,所述安全区域边界子系统包括节点控制系统、信息安全交换系统、节点完整性系统、和边界审计系统;
进一步,所述安全通信网络包括物理专用或逻辑隔离系统以及加密控制、消息摘要或数字签名系统;
进一步,所述安全管理中心包括业务与系统管理系统、安全检测系统和安全管理系统;
进一步,应急响应恢复与处置系统包括容灾备份系统、故障恢复系统、安全事件处理与分析系统和应急机制系统;
本发明还公开了一种物联网网络构架安全方法:通过不同可信计算机平台之间通信网络过程中基于可信计算技术的相互认证操作,确保系统各可信平台之间的通信网络关系满足特定的安全策略;每个可信计算机平台在启动时都将进行硬件检查和操作系统版本检查,以确定设备是某个安全区域的内部设备,操作系统是可信操作系统;在用户登录并执行具体的安全程序之后,可信认证将据此确定用户所属的安全域,并在用户与外界进行通信网络连接时,将相关的信息发送给对方;在通信网络连接的另一端,系统将根据这些信息决定通信网络连接是否允许、确定通信网络连接的流向控制,并可以在接人端根据这些信息标识通信网络连接相关的主体与客体。
本发明的有益效果:本发明的物联网网络构架安全体系该体系从物联网物理安全、安全计算环境、安全区域边界、安全通信网络及应急响应恢复与处置等方面对物联网进行防护。
具体实施方式
本发明的物联网网络构架安全体系包括物理安全、安全计算环境、安全区域边界、安全通信网络、安全管理中心、应急响应恢复与处置六个子系统.其中物理安全是基础。应急响应处置与恢复是保障。安全计算环境子系统主要实现计算环境内部的安全保护;安全区域边界子系统主要实现出,人区域边界的数据流向控制;安全通信子系统主要实现网络传输和交换的数据信息的保密性和完整性的安全保护;系统管理子系统主要实现系统资源的配置、管理和运行控制;安全管理子系统主要实现统主体、客体的统一标记和主体的授权管理,以及系统安全策略和分布式安全机制的统一管理;安全审计子系统主要实现分布在系统各个组成部分的安全审计策略和机制的集中管理。
安全体系中的安全技术范围涵盖以下内容:物理安全主要包括物理访问控制、环境安全(监控、报警系统、防雷、防火、防水、防潮、静电消除器等装置)、电磁屏蔽安全、EPC设备安全。
安全计算环境主要包括感知节点身份鉴别、自主,强制,角色访问控制、授权管理(PKI/PMI系统)、感知节点安全防护(恶意节点、节点失效识别)、标签数据源可信、数据保密性和完整性、EPC业务认证、系统安全审计。
安全区域边界主要包括节点控制(网络访问控制、节点设备认证)、信息安全交换(数据机密性与完整性、指令数据与内容数据分离、数据单向传输)、节点完整性(防护非法外联、入侵行为、恶意代码防范)、边界审计。
安全通信网络主要包括链路安全(物理专用或逻辑隔离)、传输安全(加密控制、消息摘要或数字签名)。
安全管理中心主要包括业务与系统管理(业务准人接人与控制、用户管理、资源配置、EPCIS管理)、安全检测系统(入侵检测、违规检查、EPC数字取证)、安全管理(EPC策略管理、审计管理、授权管理、异常与报警管理)。
应急响应恢复与处置主要包括容灾备份、故障恢复、安全事件处理与分析、应急机制。
本发明采用可信接入技术,可信接入技术是通过不同可信计算机平台之间通信网络
过程中基于可信计算技术的相互认证操作,确保系统各可信平台之间的通信网络关系满足特定的安全策略。每个可信计算机平台在启动时都将进行硬件检查和操作系统版本检查,以确定设备是某个安全区域的内部设备,操作系统是可信操作系统。在用户登录并执行具体的安全程序之后,可信认证将据此确定用户所属的安全域,并在用户与外界进行通信网络连接时,将相关的信息发送给对方。在通信网络连接的另一端,系统将根据这些信息决定通信网络连接是否允许、确定通信网络连接的流向控制,并可以在接人端根据这些信息标识通信网络连接相关的主体与客体。
可信接入可以用于安全管理中心与安全计算环境之间的连接,实现安全管理中心到安全计算环境的可信安全策略管理机制的单向信息流动;可信接人也可以用于安全审计/监测中心与安全计算环境之间的连接,实现安全计算环境中的可信审计,监测机制到安全审计,监测中心的单向信息流动。这样,安全计算环境中的用户将无法攻击安全管理中心,也无法从审计,监测中心窃取信息。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种物联网网络构架安全体系,其特征在于,包括物理安全子系统、安全计算环境子系统、安全区域边界子系统、安全通信网络子系统、安全管理中心子系统、应急响应恢复与处置子系统;所述安全计算环境子系统用于实现计算环境内部的安全保护;所述安全区域边界子系统用于实现出/入区域边界的数据流向控制;所述安全通信子系统用于实现网络传输和交换的数据信息的保密性和完整性的安全保护;所述系统管理子系统用于实现系统资源的配置、管理和运行控制;所述安全管理子系统主要实现系统主体、客体的统一标记和主体的授权管理,以及系统安全策略和分布式安全机制的统一管理;安全审计子系统用于实现分布在系统各个组成部分的安全审计策略和机制的集中管理。
2.根据权利要求1所述的物联网网络构架安全体系,其特征在于:所述物理安全子系统包括物理访问控制系统、环境安全监控系统、电磁屏蔽安全系统、EPC设备安全控制系统。
3.根据权利要求2所述的物联网网络构架安全体系,其特征在于:所述安全计算环境子系统包括感知节点身份鉴别系统、自主/强制/角色访问控制系统、授权管理系统、感知节点安全防护系统、标签数据源可信系统、数据保密性和完整性系统、EPC业务认证系统、系统安全审计系统。
4.根据权利要求3所述的物联网网络构架安全体系,其特征在于:所述安全区域边界子系统包括节点控制系统、信息安全交换系统、节点完整性系统、和边界审计系统。
5.根据权利要求3所述的物联网网络构架安全体系,其特征在于:所述安全通信网络包括物理专用或逻辑隔离系统以及加密控制、消息摘要或数字签名系统。
6.根据权利要求3所述的物联网网络构架安全体系,其特征在于:所述安全管理中心包括业务与系统管理系统、安全检测系统和安全管理系统。
7.根据权利要求3所述的物联网网络构架安全体系,其特征在于:应急响应恢复与处置系统包括容灾备份系统、故障恢复系统、安全事件处理与分析系统和应急机制系统。
8.一种物联网网络构架安全方法,其特征在于:通过不同可信计算机平台之间通信网络过程中基于可信计算技术的相互认证操作,确保系统各可信平台之间的通信网络关系满足特定的安全策略;每个可信计算机平台在启动时都将进行硬件检查和操作系统版本检查,以确定设备是某个安全区域的内部设备,操作系统是可信操作系统;在用户登录并执行具体的安全程序之后,可信认证将据此确定用户所属的安全域,并在用户与外界进行通信网络连接时,将相关的信息发送给对方;在通信网络连接的另一端,系统将根据这些信息决定通信网络连接是否允许、确定通信网络连接的流向控制,并可以在接人端根据这些信息标识通信网络连接相关的主体与客体。
CN201810908502.2A 2018-08-10 2018-08-10 一种物联网网络构架安全体系及其安全方法 Pending CN109086616A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810908502.2A CN109086616A (zh) 2018-08-10 2018-08-10 一种物联网网络构架安全体系及其安全方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810908502.2A CN109086616A (zh) 2018-08-10 2018-08-10 一种物联网网络构架安全体系及其安全方法

Publications (1)

Publication Number Publication Date
CN109086616A true CN109086616A (zh) 2018-12-25

Family

ID=64834509

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810908502.2A Pending CN109086616A (zh) 2018-08-10 2018-08-10 一种物联网网络构架安全体系及其安全方法

Country Status (1)

Country Link
CN (1) CN109086616A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995271A (zh) * 2021-01-01 2021-06-18 广西锐武信息技术有限公司 一种防控枪支轨迹管控平台的安全保护环境系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102036231A (zh) * 2010-09-07 2011-04-27 北京兵港科技发展有限公司 一种物联网网络架构安全体系及其安全方法
CN102663278A (zh) * 2012-03-09 2012-09-12 浪潮通信信息系统有限公司 云计算模式物联网平台数据处理安全保护方法
CN102891840A (zh) * 2012-06-12 2013-01-23 北京可信华泰信息技术有限公司 基于三权分立的信息安全管理系统及信息安全的管理方法
CN103916397A (zh) * 2014-04-13 2014-07-09 北京工业大学 一种分布式网络环境下安全监控方法
CN105897787A (zh) * 2014-10-22 2016-08-24 北京航天长峰科技工业集团有限公司 一种物联网应用体系架构方法
CN107493271A (zh) * 2017-07-28 2017-12-19 大唐高鸿信安(浙江)信息科技有限公司 可信安全网络系统
US20180041546A1 (en) * 2016-08-08 2018-02-08 Sap Se Automated security design for internet of things systems
CN108200067A (zh) * 2018-01-05 2018-06-22 国网山东省电力公司聊城供电公司 基于可信计算的大数据信息网络自适应安全防护系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102036231A (zh) * 2010-09-07 2011-04-27 北京兵港科技发展有限公司 一种物联网网络架构安全体系及其安全方法
CN102663278A (zh) * 2012-03-09 2012-09-12 浪潮通信信息系统有限公司 云计算模式物联网平台数据处理安全保护方法
CN102891840A (zh) * 2012-06-12 2013-01-23 北京可信华泰信息技术有限公司 基于三权分立的信息安全管理系统及信息安全的管理方法
CN103916397A (zh) * 2014-04-13 2014-07-09 北京工业大学 一种分布式网络环境下安全监控方法
CN105897787A (zh) * 2014-10-22 2016-08-24 北京航天长峰科技工业集团有限公司 一种物联网应用体系架构方法
US20180041546A1 (en) * 2016-08-08 2018-02-08 Sap Se Automated security design for internet of things systems
CN107493271A (zh) * 2017-07-28 2017-12-19 大唐高鸿信安(浙江)信息科技有限公司 可信安全网络系统
CN108200067A (zh) * 2018-01-05 2018-06-22 国网山东省电力公司聊城供电公司 基于可信计算的大数据信息网络自适应安全防护系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
吴黎琴: "物联网信息安全技术体系相关问题", 《计算机光盘软件与应用》 *
姚洪磊 等: "互联网环境下铁路信息安全等级保护设计方案研究", 《铁路计算机应用》 *
李强: "网络安全等级保护物联网安全防护技术体系设计", 《警察技术》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995271A (zh) * 2021-01-01 2021-06-18 广西锐武信息技术有限公司 一种防控枪支轨迹管控平台的安全保护环境系统

Similar Documents

Publication Publication Date Title
Idrees et al. Blockchain-based digital contact tracing apps for COVID-19 pandemic management: Issues, challenges, solutions, and future directions
CN103795735B (zh) 安全设备、服务器及服务器信息安全实现方法
CN110233817B (zh) 一种基于云计算的容器安全系统
CN101534300B (zh) 多访问控制机制结合的系统保护架构及方法
CN101425903A (zh) 一种基于身份的可信网络架构
CN105282178A (zh) 一种云计算安全技术平台
CN106982204A (zh) 可信安全平台
CN204465588U (zh) 一种基于服务器架构的主机监控与审计系统
Zhou et al. Study on the e-government security risk management
CN113132318A (zh) 面向配电自动化系统主站信息安全的主动防御方法及系统
CN108810035A (zh) 一种可实时监控的网络安全设备
CN109086616A (zh) 一种物联网网络构架安全体系及其安全方法
Okereafor et al. A review of application challenges of digital forensics
KR101871406B1 (ko) 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템
CN111343276A (zh) 一种安全生产教育培训系统框架
Okereafor et al. New approaches to the application of digital forensics in cybersecurity: a proposal
CN112437050A (zh) 一种计算机网络安全防护系统
CN207612279U (zh) 一种食品加工厂网络安全管理系统
CN112000953A (zh) 一种大数据终端安全防护系统
Zhou Construction of Computer Network Security Defense System Based On Big Data
Huang Computer network security hazards and preventive strategies
Xia Data security risk and preventive measures of virtual cloud server based on cloud computing
CN202353603U (zh) 应急指挥平台安全保护系统
Wang Design of Intelligent Operation and Maintenance System for Information Security Based on Web
Salama et al. The Main Threat to Computer Network Security in Smart Cities

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20181225