CN110933057B - 物联网安全终端及其安全控制方法 - Google Patents
物联网安全终端及其安全控制方法 Download PDFInfo
- Publication number
- CN110933057B CN110933057B CN201911151464.1A CN201911151464A CN110933057B CN 110933057 B CN110933057 B CN 110933057B CN 201911151464 A CN201911151464 A CN 201911151464A CN 110933057 B CN110933057 B CN 110933057B
- Authority
- CN
- China
- Prior art keywords
- safety
- security
- service
- management platform
- control system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种物联网安全终端及其安全控制方法,该物联网安全终端包括安全微控制器,该安全微控制器包括中央处理器,以及除了包括存储有用于实现业务控制的业务系统的业务存储区外,还包括只有中央处理器才有权限访问的安全存储区域,该安全存储区域存储有安全控制系统,且安全控制系统的管理权限高于业务系统的管理权限,中央处理器可调用安全控制系统对业务系统进行安全校验,从而避免业务系统被恶意篡改或破坏等,并可在安全校验失败时,进行相应安全控制;从而实现在物联网终端侧的安全控制,因此可有效提升物联网的安全性。
Description
技术领域
本发明涉及物联网(The Internet of Things,IOT)领域,特别涉及一种物联网安全终端及其安全控制方法。
背景技术
物联网是新一代信息技术的重要组成部分,也是“信息化”时代的重要发展阶段,智能工厂、智能家居、智能交通等一系列物联网随着通信技术的发展也都逐渐走进了人们的工作和生活。
物联网通过各类可能的网络接入,实现物与物、物与人的泛在连接,实现对物品和过程的智能化感知、识别和管理。物联网是一个基于互联网、传统电信网等的信息承载体,它让所有能够被独立寻址的普通物理对象形成互联互通的网络;一般的物联网架构请参见图1所示,包括外网、防火墙和内网中的对应相应的物联网终端;这种物物相连带来革新的同时也带来了安全隐患。目前的物联网架构中,都是以防火墙的方式在边界隔离出安全的物理环境,在内网(也即隔离区)内的安全控制则是出于空白,当防火墙被攻破或攻击方通过其他方式对内网内的物联网终端被恶意篡改或植入时,则目前通过防火墙防范的方式毫无招架之力。因此,如何进一步提升物联网的安全性是物联网快速发展过程中,急需解决的核心问题。
发明内容
本发明要解决的主要技术问题是,提供一种物联网安全终端及其安全控制方法,解决如何提升物联网的安全性的问题。
为解决上述问题,本发明提供一种物联网安全终端,包括安全微控制器、与所述安全微控制器连接的业务执行模块和通讯模块;
所述安全微控制器包括中央处理器,仅供所述中央处理器访问的安全存储区域,以及能供所述中央处理器访问的业务存储区域;
所述安全存储区域存储有安全控制系统,所述业务存储区域存储有用于控制所述业务执行模块执行业务的业务系统;所述安全控制系统的管理权限高于所述业务系统的管理权限;
所述中央处理器用于在上电时,优先启动所述安全控制系统,并将系统管理权限交付给所述安全控制系统,通过所述安全控制系统对所述业务系统进行第一安全校验,所述系统管理权限包括所述通讯模块的管理权限;
在所述第一安全校验通过时,所述中央处理器再启动所述业务系统,并将所述系统管理权限交付给所述业务系统。
在本发明的一种实施例中,在上电时,所述中央处理器优先启动所述安全控制系统后,通过所述安全控制系统对所述业务系统进行第一安全校验之前,还包括:
所述安全控制系统通过所述通讯模块将自身的身份认证信息发给外部管理平台的安全管理平台进行身份认证;
所述安全控制系统通过所述通讯模块接收到所述安全管理平台发送的身份认证通过消息后,再对所述业务系统进行第一安全校验。
在本发明的一种实施例中,所述安全控制系统在所述第一安全校验失败时,进行以下安全控制:
在所述第一安全校验失败时,禁止启动所述业务系统;
或,
在所述第一安全校验失败时,允许启动所述业务系统,并将第一安全校验失败结果通过所述通讯模块发给外部管理平台的安全管理平台。
在本发明的一种实施例中,所述中央处理器调用所述安全控制系统,通过所述安全控制系统对所述业务系统进行安全校验还包括:
在所述中央处理器启动所述业务系统后,所述安全控制系统在检测到预设动态校验条件触发时,对处于运行中的所述业务系统进行第二安全校验。
在本发明的一种实施例中,所述预设动态校验条件触发包括以下至少之一:
定时安全校验策略中的定时时间值到达,或随机安全校验策略中的随机条件触发;
通过所述业务系统接收到外部管理平台的安全管理平台通过所述通讯模块下发的安全校验指令;所述安全校验指令为所述安全管理平台直接下发给所述通讯模块的,或为所述安全管理平台通过所述管理平台的业务管理平台下发给所述通讯模块的,且所述安全校验指令对于所述业务系统为不可见的。
在本发明的一种实施例中,所述安全控制系统在检测到预设动态校验条件触发时,对处于运行中的所述业务系统进行第二安全校验包括:
所述安全控制系统在检测到预设动态校验条件触发时,从所述业务系统抢回所述系统管理权限,并在对处于运行中的所述业务系统进行第二安全校验后,将所述第二安全校验的结果通过所述通讯模块直接发给外部管理平台的安全管理平台,或通过所述通讯模块发给所述外部管理平台的业务管理平台,进而通过所述业务管理平台发给所述安全管理平台;
或,
所述安全控制系统在检测到预设动态校验条件触发时,在对处于运行中的所述业务系统进行第二安全校验后,将所述第二安全校验的结果以所述业务系统不可见的方式,通过所述业务系统发给所述通讯模块,所述通讯模块将所述结果直接发给外部管理平台的安全管理平台,或发给所述外部管理平台的业务管理平台,进而通过所述业务管理平台发给所述安全管理平台。
为了解决上述问题,本发明还提供了一种物联网安全终端的安全控制方法,所述物联网安全终端包括安全微控制器、与所述安全微控制器连接的业务执行模块和通讯模块;所述安全微控制器包括中央处理器,仅供所述中央处理器访问的安全存储区域,以及能供所述中央处理器访问的业务存储区域;所述安全存储区域存储有安全控制系统,所述业务存储区域存储有用于控制所述业务执行模块执行业务的业务系统;所述安全控制系统的管理权限高于所述业务系统的管理权限;
所述安全控制方法包括:
所述中央处理器在上电时,优先启动所述安全控制系统,并将系统管理权限交付给所述安全控制系统,通过所述安全控制系统对所述业务系统进行第一安全校验,所述系统管理权限包括所述通讯模块的管理权限;
在所述第一安全校验通过时,所述中央处理器再启动所述业务系统,并将所述系统管理权限交付给所述业务系统。
在本发明的一种实施例中,所述中央处理器优先启动所述安全控制系统后,通过所述安全控制系统对所述业务系统进行第一安全校验之前,还包括:
所述安全控制系统通过所述通讯模块将自身的身份认证信息发给外部管理平台的安全管理平台进行身份认证;
所述安全控制系统通过所述通讯模块接收到所述安全管理平台发送的身份认证通过消息后,再对所述业务系统进行第一安全校验。
在本发明的一种实施例中,所述中央处理器启动所述业务系统后,还包括:
所述安全控制系统还用于在检测到预设动态校验条件触发时,对处于运行中的所述业务系统进行第二安全校验。
在本发明的一种实施例中,所述预设动态校验条件触发包括以下至少之一:
定时安全校验策略中的定时时间值到达,或随机安全校验策略中的随机条件触发;
通过所述业务系统接收到外部管理平台的安全管理平台通过所述通讯模块下发的安全校验指令;所述安全校验指令为所述安全管理平台直接下发给所述通讯模块的,或为所述安全管理平台通过所述管理平台的业务管理平台下发给所述通讯模块的,且所述安全校验指令对于所述业务系统为不可见的。
本发明的有益效果是:
本发明提供的物联网安全终端包括安全微控制器,该安全微控制器包括中央处理器,以及除了包括存储有用于实现业务控制的业务系统的业务存储区外,还包括只有中央处理器才有权限访问的安全存储区域,该安全存储区域存储有安全控制系统,且安全控制系统的管理权限高于业务系统的管理权限,中央处理器可调用安全控制系统对业务系统进行安全校验,包括中央处理器用于在上电时,优先启动安全控制系统,并将系统管理权限交付给安全控制系统,系统管理权限包括通讯模块的管理权限;通过安全控制系统对业务系统进行第一安全校验,在所述第一安全校验通过时,中央处理器再启动业务系统,并将系统管理权限交付给所述业务系统;从而避免业务系统被恶意篡改或破坏等,实现在物联网终端侧(也即内网侧)的安全控制,因此可有效提升物联网的安全性;
另外,本发明提供的物联网安全终端可通过一个安全微控制器承载安全控制系统和业务系统双系统,集成度高、成本低且通用性好,可提升物联网终端的核心竞争力。
附图说明
图1为一种物联网架构示意图;
图2为本发明实施例提供的物联网安全终端结构示意图;
图3为本发明实施例提供的物联网安全终端与管理平台连接示意图;
图4为本发明实施例提供的物联网系统的通信通道示意图一;
图5为本发明实施例提供的物联网系统的通信通道示意图二;
图6为本发明实施例提供的物联网系统的通信通道示意图三;
图7为本发明实施例提供的物联网系统的通信通道示意图四;
图8为本发明实施例提供的物联网系统的通信通道示意图五。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解的是,本实施例所提供的物联网安全终端可以为任意物联网领域或应用场景中的物联网终端,例如可以为但不限于智能工厂、智能家居、智能交通、智能医疗、智能学校等各种物联网应用场景下的物联网终端。
本实施例所提供的物联网安全终端请参见图2所示,其包括安全微控制器、与安全微控制器连接的业务执行模块,其中:
安全微控制器包括中央处理器,仅供中央处理器访问的安全存储区域,该安全存储区域内存储有安全控制系统;以及能供中央处理器访问的业务存储区域,业务存储区域存储有用于控制业务执行模块执行业务的业务系统。
本实施例中的安全存储区域具有在安全控制系统写入后,仅向中央处理器提供安全访问的权限,安全微控制器的外部不能对该安全存储区域进行访问,因此可保证该存储区内所存储的安全控制系统不会被外部植入恶意信息或被外部篡改或破坏。例如,在一些示例中,该安全存储区域可以通过但不限于可信密码模块实现。
本实施例中的安全控制系统包括用于实现对需要进行安全校验的对象进行安全校验的各种数据,例如可包括但不限于各种安全校验算法、策略,以及实现各种安全校验算法、策略的计算机程序,还可包括各种用于安全校验的各种配置数据,该配置数据可包括但不限于各种算法、策略自身所需的配置数据、密码、身份信息等;在需要时,还可包括支持安全控制系统能够正常运行启动的各种固件。在本实施例中,设置安全控制系统的管理权限高于业务系统的管理权限,从而可使得安全控制系统在任意阶段实现对业务系统的安全校验,例如可以在上电阶段(也即业务系统未启动之前的阶段)、业务系统启动后的运行阶段中至少一个阶段,可根据具体需求对业务系统进行安全校验,以保证物联网安全终端内的业务系统的安全性。
在本实施例中,业务存储区域可以采用普通的存储器实现,以降低成本;当然,在一些应用场景中,其也可以采用与安全存储区域具有相同或类似安全特征的存储器实现,从而进一步提升其内部所存储的内容的安全性,进而提进一步提升物联网终端的综合安全性。
本实施例中的业务系统可以理解为被中央处理器调用运行启动后,控制业务执行模块执行对应业务功能所需的各种数据,例如在一些示例中,该数据可包括但不限于基础的系统固件(例如基本输入输出系统BIOS、引导扇区、引导程序等)、操作系统内核、系统软件、相应的应用软件,以及实现相应业务所需的配置信息、配置参数等。而业务执行模块则包括实现执行对应业务所需的各种硬件模块,例如可包括但不限于各种传感器、各种执行器(例如各种功能电路或器件)等。具体可根据物联网的具体应用场景灵活选择设置。
通俗而言,如果将本实施例中的物联网安全终端看做是一个人的话,则上述安全微控制器则相当于人的大脑,其利用安全控制系统控制业务系统的安全性,同时利用业务系统控制业务执行模块中的传感器、执行器执行相应的动作从而实现相应的业务,而业务执行模块中的传感器当于人的眼睛、耳朵、鼻子、舌头这些感知器官,用来接收外界的刺激;物联网安全终端可使用的传感器包括但不限于声、光、电、气等各种不同类型;业务执行模块中的执行器相当于人的四肢,接收微控制器的指令,根据该指令命令来执行对应的任务;其中执行器可是由继电器、开关、电机等各种器件加上对应的基础电路构成。
另外,应当理解的是,本实施例中的物联网安全终端除了可以为一般的接入物联网的在线终端外,也可以为非实时接入物联网的离线终端。对于离线终端而言,其可以不包括与外部通信的通信接口;当然,可选地,该离线终端也可包括能实现与外部通信的通信接口。
在本实施例的一些示例中,请参见图3所示,可设置物联网安全终端包括通讯模块,物联网安全终端可通过该通讯模块与外部实现通信,从而与外部完成各种数据交互。例如,请参见图3所示,物联网安全终端可通过该通讯模块与外部的管理平台实现通信连接,从而实现与该管理平台进行数据交互。应当理解的是,本实施例中的通讯模块可以为能实现通信的各种通信单元,例如可包括但不限于网口(可以为有线网口,也可以各种无线通讯网口)通讯电路、并口通讯电路、串口通讯电路、串行外设接口通讯电路中的至少一种。本实施例中的管理平台为包括安全管理平台和业务管理平台的双平台结构,可实现安全管理和业务管理的分离管理,提升管理架构的合理性和安全性。
如上所述,本实施例中的安全控制系统可以在上电阶段和业务系统启动运行后的阶段中的其中至少一个阶段,对业务系统进行安全校验,安全控制方式灵活多变,从而具有更好的适应性;并可在安全控制系统在安全校验失败时,进行灵活的安全控制,从而尽可能避免因业务系统的安全隐患而造成各种损失。
可选地,在本实施例的一些应用场景中,在物理网终端上电阶段,通过安全控制系统对业务进行进行安全校验之前,在安全控制系统启动后,可通过管理平台的安全管理平台对物联网安全终端进行身份认证,在身份认证通过之后,再通过安全控制系统对业务系统进行安全校验。
例如,请参见图4所示,中央处理器在上电时优先启动安全控制系统后,安全控制系统获取到系统管理权限,其可调用通讯模块与管理平台的安全管理平台建立通信通道,其中一种通信通道参见图4中加粗实线箭头所示,该通信通道上包括安全控制系统
通讯模块
安全管理平台;在另一些示例中,该通信通道请参见图6中加粗实线箭头所示,包括安全控制系统
通讯模块
业务管理平台
安全管理平台。在一种应用场景,该身份认证过程可包括:
安全控制系统启动后,通过通讯模块将自身的身份认证信息通过图4或图6所示的通信通道发给外部管理平台的安全管理平台进行身份认证;通过图6所示的通信通道发给安全管理平台时,以业务管理平台不可见的方式发送,此处的业务管理平台不可见的方式包括:任意能避免业务管理平台在转发该身份认证请求时,从该身份认证消息中获取到物联网安全终端的身份信息方式,例如可包括通过加密、权限设置等方式实现。
安全管理平台在接收到身份认证请求后,可从中提取出对应的身份认证消息,并采用对应的身份认证策略(应当理解的是具体的身份认证策略可以是各种能实现身份认证的方式,在此不再赘述)进行认证,并将认证结果通过图4或图6所示的通信通道发给安全控制系统;通过图6所示通道发送时仍以业务管理平台不可见的方式发送。
安全控制系统通过通讯模块接收到安全管理平台发送的身份认证通过消息时,则可启动对业务系统在上电阶段和/或业务系统运行阶段的安全校验。
在一些应用场景中,根据需要,安全控制系统也可通过图4或图6所示的通信通道实现对管理平台的身份认证,也即根据需求可通过图4或图6所示的通信通道实现双向的身份认证。
当在物理网终端上电阶段实现对业务系统进行安全校验,从而保证业务系统在启动之前就是安全的时。在本实施例中,在物理网终端上电时,中央处理器优先启动安全控制系统,并将系统管理权限(其中系统管理权限包括通讯模块的管理权限,只有获取了通讯模块的管理权限,才能通过该通讯模块实现与外部的通讯)交付给安全控制系统。安全控制系统启动后,可对业务系统进行第一安全校验,在第一安全校验通过时,此时才表明该业务系统是安全可信的,中央处理器再启动业务系统,并将系统管理权限交付给业务系统,由业务系统控制业务执行模块执行相应的业务;此时业务系统可调用通讯模块与管理平台的业务管理平台建立业务通信通道实现数据的交互,其中一种业务通信通道可参见图5中加粗线条的箭头所示,包括业务系统
通讯模块
业务管理平台。
而当第一安全校验失败时,此时表明业务系统可能被篡改或破坏,此时安全控制系统可采用但不限于以下任意一种方式进行安全控制:
方式一:在第一安全校验失败时,禁止中央处理器启动业务系统;可选地,还可发出报警,该报警可通过但不限于通过相应的显示界面显示报警信息,通过声和/或光进行报警,将第一安全校验失败的结果通过图4或图6所示的通信通道发往管理平台等中的任意一种。
方式二:在第一安全校验失败时,仍然允许中央处理器启动业务系统,并将第一安全校验失败结果通过通讯模块发给外部管理平台的安全管理平台;从而让安全管理平台知晓该物联网安全终端当前为不可信终端,进而便于安全管理平台根据相应的安全管理方式对该物联网安全终端进行安全控制。例如,安全管理平台可将该物联网安全终端进行隔离管理、向安全控制系统发送安全控制指令,让安全控制系统停止该业务系统的运行等。
在上述本方式二中,安全控制系统可以在自身当前获取了系统管理权限时,在一些示例中,安全控制系统可以将第一安全校验失败结果通过图4或图6所示的通信通路发给安全管理平台后,再将系统管理权限交付给业务系统,或在将第一安全校验失败结果通过图4或图6所示的通信通路发给安全管理平台后,并在接收到安全管理平台通过图4或图6所示的通信通路发送的指示业务系统可以启动运动的指令后,再将系统管理权限交付给业务系统。在上述示例中,通过图6所示通道发送时,都通过业务管理平台不可见的方式发送,以进一步保证安全性。
在另一些示例中,安全控制系统在第一安全校验失败时,在中央处理器启动业务系统后,将系统管理权限交付给业务系统,然后可将第一安全校验失败的结果以业务系统不可见的方式发给业务系统,通过业务系统调用通讯模块转发发给管理平台的安全管理平台。此时的通信通路可包括但不限于图7和图8所示的两种通信通路,其中:
图7所示的通信通路包括安全控制系统
业务系统
通讯模块
安全管理平台,图8所示的通信通路包括安全控制系统
业务系统
通讯模块
业务管理平台
安全管理平台。其中,业务系统不可见的方式包括任意能实现:业务系统在转发过程中不能获取到转发内容的任何方式,例如也可通过但不限于加密、权限限制等方式实现。
在本实施例中,当在中央处理器启动业务系统后,安全控制系统需要对业务系统进行动态的安全校验时,可以预设动态校验条件;然后在中央处理器启动业务系统后,安全控制系统在检测到预设动态校验条件触发时,对处于运行中的业务系统进行第二安全校验。在本实施例中,该预设动态校验条件可包括主动校验和根据指令被动校验中的至少一种,其中:
主动校验条件触发可包括但不限于:定时安全校验策略中的定时时间值(应当理解的是该定时时间值可根据具体应用场景灵活设定)到达,或随机安全校验策略中的随机条件触发(本实施例中可以在业务系统的整个运行过程中都对其进行随机的安全校验,也可在业务系统运行的某一些时间段内,对其进行随机的安全校验,具体可根据应用场景灵活设定);
根据指令被动校验条件触发可包括但不限于:通过业务系统接收到外部管理平台的安全管理平台通过通讯模块下发的安全校验指令;安全校验指令可为安全管理平台通过图7所示通信通道直接下发给通讯模块的,也可为安全管理平台通过管理平台的业务管理平台下发给通讯模块的(也即通过图8所示通信通道下发给通讯模块的),且安全校验指令对于业务系统和业务管理平台是不可见的。
在本实施例中,安全控制系统在检测到预设动态校验条件触发时,对处于运行中的业务系统进行第二安全校验可采用但不限于以下方式中的任意一种:
方式一:安全控制系统在检测到预设动态校验条件触发时,从业务系统抢回系统管理权限,然后对处于运行中的业务系统进行第二安全校验,将得到的第二安全校验的结果利用图4所示的通信通道,通过通讯模块直接发给外部管理平台的安全管理平台,或利用图6所示的通信通道,通过通讯模块发给外部管理平台的业务管理平台,进而通过业务管理平台发给安全管理平台;
方式二:安全控制系统在检测到预设动态校验条件触发时,可直接对处于运行中的业务系统进行第二安全校验(此时通讯模块的管理权限仍由业务系统使用);然后将第二安全校验的结果以业务系统不可见的方式,利用图7所示的通信通道,通过业务系统发给通讯模块,通讯模块将结果直接发给外部管理平台的安全管理平台,利用图8所示的通信通道,通过业务系统发给通讯模块,通讯模块将结果发给外部管理平台的业务管理平台,进而通过业务管理平台发给安全管理平台。
应当理解的是,本实施例中,上述第一安全校验和第二安全校验可以采用相同的安全校验方式,例如可信认证或完整性认证,也可采用不同的安全校验方式,且校验过程中具体采用的安全算法可以灵活选定,例如可采用但不限于RSA、DES、SSF33、SM1、SM2、SM3、SM4、SCB2、SHA、AES等中的至少一种。
在本实施例的一些应用场景中,当安全管理平台接收到的第二安全校验的结果为失败时,也可动态的对物联网安全终端进行安全控制,该安全控制也可包括但不限于将其进行隔离管理、从物联网组网中剔除、报警、向该物联网安全终端的安全控制系统发送控制业务系统停止运行的安全控制指令中的至少一种。且在一些应用场景中,当安全控制系统得到的第二安全校验的结果为失败时,其可也根据需求直接进行本地报警、控制业务系统停止运行等安全控制方式中的至少一种进行安全控制。
可见,通过本实施例提供的物联网安全终端及其安全控制方法,根据需求,可在物联网安全终端上电过程中,利用其具有可信特性的安全控制系统,可与安全管理平台交互完成身份认证,以及在上电过程中,利用具有可信特性的安全控制系统对业务系统进行第一安全校验,以及在业务系统运行过程中,根据需求采用灵活的动态检测策略,主动或被动的对业务系统进行动态的第二安全校验,从多个维度、多个阶段实现物联网终端侧的安全控制和防护,因此在很大程度上弥补现有仅通过防火墙物理隔离安全控制方式的不足,提升物联网控制的安全性。
另外,本实施例所提供的物联网安全终端可通过只设置一个微控制器承载安全控制系统和业务系统,既能提升终端产品的集成度和通用性,又能降低产品成本,提升资源利用率,进而可提升物联网终端和系统的核心竞争力。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,上述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种物联网安全终端,其特征在于,包括安全微控制器、与所述安全微控制器连接的业务执行模块和通讯模块;
所述安全微控制器包括中央处理器,仅供所述中央处理器访问的安全存储区域,以及能供所述中央处理器访问的业务存储区域;
所述安全存储区域存储有安全控制系统,所述业务存储区域存储有用于控制所述业务执行模块执行业务的业务系统;所述安全控制系统的管理权限高于所述业务系统的管理权限;
所述中央处理器用于在上电时,优先启动所述安全控制系统,并将系统管理权限交付给所述安全控制系统,通过所述安全控制系统对所述业务系统进行第一安全校验,所述系统管理权限包括所述通讯模块的管理权限;
在所述第一安全校验通过时,所述中央处理器再启动所述业务系统,并将所述系统管理权限交付给所述业务系统;
所述中央处理器启动所述业务系统后,所述安全控制系统还用于在检测到预设动态校验条件触发时,对处于运行中的所述业务系统进行第二安全校验。
2.如权利要求1所述的物联网安全终端,其特征在于,所述中央处理器优先启动所述安全控制系统后,通过所述安全控制系统对所述业务系统进行第一安全校验之前,还包括:
所述安全控制系统通过所述通讯模块将自身的身份认证信息发给外部管理平台的安全管理平台进行身份认证;
所述安全控制系统通过所述通讯模块接收到所述安全管理平台发送的身份认证通过消息后,再对所述业务系统进行第一安全校验。
3.如权利要求2所述的物联网安全终端,其特征在于,所述安全控制系统在所述第一安全校验失败时,进行以下安全控制:
禁止启动所述业务系统;
或,
允许启动所述业务系统,并将第一安全校验失败结果通过所述通讯模块发给外部管理平台的安全管理平台。
4.如权利要求1所述的物联网安全终端,其特征在于,所述预设动态校验条件触发包括以下至少之一:
定时安全校验策略中的定时时间值到达,或随机安全校验策略中的随机条件触发;
通过所述业务系统接收到外部管理平台的安全管理平台通过所述通讯模块下发的安全校验指令;所述安全校验指令为所述安全管理平台直接下发给所述通讯模块的,或为所述安全管理平台通过所述管理平台的业务管理平台下发给所述通讯模块的,且所述安全校验指令对于所述业务系统为不可见的。
5.如权利要求1所述的物联网安全终端,其特征在于,所述安全控制系统在检测到预设动态校验条件触发时,对处于运行中的所述业务系统进行第二安全校验包括:
所述安全控制系统在检测到预设动态校验条件触发时,从所述业务系统抢回所述系统管理权限,并在对处于运行中的所述业务系统进行第二安全校验后,将所述第二安全校验的结果通过所述通讯模块直接发给外部管理平台的安全管理平台,或通过所述通讯模块发给所述外部管理平台的业务管理平台,进而通过所述业务管理平台发给所述安全管理平台;
或,
所述安全控制系统在检测到预设动态校验条件触发时,在对处于运行中的所述业务系统进行第二安全校验后,将所述第二安全校验的结果以所述业务系统不可见的方式,通过所述业务系统发给所述通讯模块,所述通讯模块将所述结果直接发给外部管理平台的安全管理平台,或发给所述外部管理平台的业务管理平台,进而通过所述业务管理平台发给所述安全管理平台。
6.一种物联网安全终端的安全控制方法,其特征在于,所述物联网安全终端包括安全微控制器、与所述安全微控制器连接的业务执行模块和通讯模块;所述安全微控制器包括中央处理器,仅供所述中央处理器访问的安全存储区域,以及能供所述中央处理器访问的业务存储区域;所述安全存储区域存储有安全控制系统,所述业务存储区域存储有用于控制所述业务执行模块执行业务的业务系统;所述安全控制系统的管理权限高于所述业务系统的管理权限;
所述安全控制方法包括:
所述中央处理器在上电时,优先启动所述安全控制系统,并将系统管理权限交付给所述安全控制系统,通过所述安全控制系统对所述业务系统进行第一安全校验,所述系统管理权限包括所述通讯模块的管理权限;
在所述第一安全校验通过时,所述中央处理器再启动所述业务系统,并将所述系统管理权限交付给所述业务系统;
所述中央处理器启动所述业务系统后,还包括:
所述安全控制系统还用于在检测到预设动态校验条件触发时,对处于运行中的所述业务系统进行第二安全校验。
7.如权利要求6所述的物联网安全终端的安全控制方法,其特征在于,所述中央处理器优先启动所述安全控制系统后,通过所述安全控制系统对所述业务系统进行第一安全校验之前,还包括:
所述安全控制系统通过所述通讯模块将自身的身份认证信息发给外部管理平台的安全管理平台进行身份认证;
所述安全控制系统通过所述通讯模块接收到所述安全管理平台发送的身份认证通过消息后,再对所述业务系统进行第一安全校验。
8.如权利要求6所述的物联网安全终端的安全控制方法,其特征在于,所述预设动态校验条件触发包括以下至少之一:
定时安全校验策略中的定时时间值到达,或随机安全校验策略中的随机条件触发;
通过所述业务系统接收到外部管理平台的安全管理平台通过所述通讯模块下发的安全校验指令;所述安全校验指令为所述安全管理平台直接下发给所述通讯模块的,或为所述安全管理平台通过所述管理平台的业务管理平台下发给所述通讯模块的,且所述安全校验指令对于所述业务系统为不可见的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911151464.1A CN110933057B (zh) | 2019-11-21 | 2019-11-21 | 物联网安全终端及其安全控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911151464.1A CN110933057B (zh) | 2019-11-21 | 2019-11-21 | 物联网安全终端及其安全控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110933057A CN110933057A (zh) | 2020-03-27 |
| CN110933057B true CN110933057B (zh) | 2021-11-23 |
Family
ID=69851505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911151464.1A Active CN110933057B (zh) | 2019-11-21 | 2019-11-21 | 物联网安全终端及其安全控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110933057B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220174076A1 (en) * | 2020-11-30 | 2022-06-02 | Microsoft Technology Licensing, Llc | Methods and systems for recognizing video stream hijacking on edge devices |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101504705A (zh) * | 2009-03-17 | 2009-08-12 | 武汉大学 | 可信平台模块及其计算机启动控制方法 |
| CN102024115A (zh) * | 2010-11-19 | 2011-04-20 | 紫光股份有限公司 | 一种具有用户安全子系统的计算机 |
| CN102034047A (zh) * | 2010-12-21 | 2011-04-27 | 姚志浩 | 一种计算机病毒自动防护方法 |
| CN105787376A (zh) * | 2014-12-26 | 2016-07-20 | 深圳市中兴微电子技术有限公司 | 一种数据安全存取方法和装置 |
| CN106125627A (zh) * | 2016-08-25 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种基于tpm芯片的可信物联网实现方法 |
| CN107403098A (zh) * | 2017-06-13 | 2017-11-28 | 北京溢思得瑞智能科技研究院有限公司 | 可信工业控制计算机启动阶段的主动安全防护方法及可信工业控制计算机 |
| CN108307674A (zh) * | 2016-12-02 | 2018-07-20 | 华为技术有限公司 | 一种保障终端安全的方法和设备 |
| CN109614799A (zh) * | 2018-11-28 | 2019-04-12 | 北京可信华泰信息技术有限公司 | 一种信息权鉴方法 |
| CN109697351A (zh) * | 2018-12-18 | 2019-04-30 | 山东超越数控电子股份有限公司 | 一种可信度量系统及方法 |
-
2019
- 2019-11-21 CN CN201911151464.1A patent/CN110933057B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101504705A (zh) * | 2009-03-17 | 2009-08-12 | 武汉大学 | 可信平台模块及其计算机启动控制方法 |
| CN102024115A (zh) * | 2010-11-19 | 2011-04-20 | 紫光股份有限公司 | 一种具有用户安全子系统的计算机 |
| CN102034047A (zh) * | 2010-12-21 | 2011-04-27 | 姚志浩 | 一种计算机病毒自动防护方法 |
| CN105787376A (zh) * | 2014-12-26 | 2016-07-20 | 深圳市中兴微电子技术有限公司 | 一种数据安全存取方法和装置 |
| CN106125627A (zh) * | 2016-08-25 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种基于tpm芯片的可信物联网实现方法 |
| CN108307674A (zh) * | 2016-12-02 | 2018-07-20 | 华为技术有限公司 | 一种保障终端安全的方法和设备 |
| CN107403098A (zh) * | 2017-06-13 | 2017-11-28 | 北京溢思得瑞智能科技研究院有限公司 | 可信工业控制计算机启动阶段的主动安全防护方法及可信工业控制计算机 |
| CN109614799A (zh) * | 2018-11-28 | 2019-04-12 | 北京可信华泰信息技术有限公司 | 一种信息权鉴方法 |
| CN109697351A (zh) * | 2018-12-18 | 2019-04-30 | 山东超越数控电子股份有限公司 | 一种可信度量系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110933057A (zh) | 2020-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI643508B (zh) | 用於物聯網智能設備的智慧路由系統 | |
| JP2021511561A (ja) | 資産管理方法および装置ならびに電子デバイス | |
| KR20200084009A (ko) | 자산 관리 방법 및 장치, 및 전자 디바이스 | |
| US8892904B2 (en) | Hardware enforced security governing access to an operating system | |
| KR101907486B1 (ko) | 보안성이 우수한 실행환경을 제공하는 이동 컴퓨팅 시스템 | |
| US20180012025A1 (en) | Dynamic security module terminal device and method of operating same | |
| CN104320389A (zh) | 一种基于云计算的融合身份保护系统及方法 | |
| US20140150104A1 (en) | Electronic assembly comprising a disabling module | |
| US8510819B2 (en) | System and method for managing and securing mobile devices | |
| CN114329496A (zh) | 操作系统的可信启动方法和电子设备 | |
| CN107835185B (zh) | 一种基于ARM TrustZone的移动终端安全服务方法及装置 | |
| US9882931B1 (en) | Systems and methods for detecting potentially illegitimate wireless access points | |
| CN110933057B (zh) | 物联网安全终端及其安全控制方法 | |
| CN106548096B (zh) | 数据传输方法及装置 | |
| CN105391673B (zh) | 安全访问方法及装置 | |
| CN110933058A (zh) | 物联网系统及其安全控制方法 | |
| CN111353150B (zh) | 一种可信启动方法、装置、电子设备及可读存储介质 | |
| CN107943622B (zh) | 备用运维方法、装置和系统 | |
| US10609030B1 (en) | Systems and methods for identifying untrusted devices in peer-to-peer communication | |
| CN105357670B (zh) | 一种路由器 | |
| CN211239883U (zh) | 物联网终端及物联网系统 | |
| CN108228219B (zh) | 一种带外刷新bios时验证bios合法性的方法及装置 | |
| US9805180B2 (en) | Message sender authentication | |
| US9535874B2 (en) | Host embedded controller interface bridge | |
| US20210385640A1 (en) | Method and apparatus for protected authenticated emergency system halt mechanism for disaster and cyber scenarios |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |