CN113114632A - 一种可插配式智能财务审核平台 - Google Patents
一种可插配式智能财务审核平台 Download PDFInfo
- Publication number
- CN113114632A CN113114632A CN202110302315.1A CN202110302315A CN113114632A CN 113114632 A CN113114632 A CN 113114632A CN 202110302315 A CN202110302315 A CN 202110302315A CN 113114632 A CN113114632 A CN 113114632A
- Authority
- CN
- China
- Prior art keywords
- server
- service
- safety
- platform
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/12—Accounting
- G06Q40/125—Finance or payroll
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/35—Utilities, e.g. electricity, gas or water
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/50—Finance; Insurance
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computing Systems (AREA)
- Finance (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Business, Economics & Management (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于电力物联网技术领域,涉及一种可插配式智能财务审核平台,包括一财务审核应用的业务服务端及业务客户端,以及为业务服务端和业务客户端建立安全通道的安全交互平台;业务服务端从财务审核应用的二级系统和/或三级系统获取财务审核数据并在安全通道上对业务客户端的业务请求做出业务响应;业务服务端设于电力信息网络的信息内网或信息外网,业务客户端设于互联网,安全交互平台设于信息外网与互联网通信一侧的边缘。本发明技术方案能够应用于新形式的“端、边、云”的物联基础软硬件环境,在财务审核应用架构从内外网模式调整为“端、边、云”模式过程中具有较低的迁移成本。
Description
技术领域
本发明属于电力物联网技术领域,尤其涉及一种跨越信息内网和信息外网的财务信息管理系统。
背景技术
随着物联网(IoT)的兴起,万物互联让传统网络安全借助物联网延伸到基础设施、产业发展、民生服务、居民生活等各个物联网领域,特别是交通、水利、能源、电力、通信等行业物联网安全形势日益严峻,突发的物联网安全问题有可能影响整个经济社会稳定。
近年来,全球物联网安全事件频发,破坏力极大,安全形势严峻。2015年12月,乌克兰配电公司约60座变电站遭到网络攻击导致140万名居民家中停电。2016年10月,美国DNS服务商受到Mirai僵尸网络大规模DDoS攻击,导致大半个美国断网;随后德国电信受Mirai影响也发生大规模断网事件。2017年除夕夜,上海900多户人家智能电表被恶意攻击,导致用户在除夕夜断电。特斯拉Models漏洞,可被定位车辆,盗取个人信息。St-Jude植入起搏器和心血管仪器,可被恶意篡改,引起脉冲发生器中止工作,危及患者生命。普华永道发布的《2017年全球信息安全状况调查报告》报告显示,经过对中国内地和香港地区的审计,在过去12个月中,中国内地及香港企业检测到的各类信息安全事件平均数量为2577起,是去年同期的两倍,较2014年则飙升了969%。面对着日益严峻的物联网安全状况,现有的物联网安全接入方案出现了诸多弊端,比如物联网安全接入方案大多基于封堵、查杀等被动防御手段,缺乏应对未知安全威胁的能力;安全策略的下发需要较大开销,导致方案不能满足物联网中海量、异构资源的接入需求,不能动态适应物联网中种类众多的异构网络;目前缺乏对数据源头的远程可信证明机制,且对泛在物联网感知节点的身份证明尚不能满足动态、匿名和远程证明的需求等等不足。
现有技术中,电力公司网络划分为物理隔离的生产控制大区和管理信息大区,并建成了“分区分域、安全接入、动态感知、全面防护”的主动防御体系,以及正在逐步完善“可管可控、精准防护、可视可信、智能防御”的网络安全智能防御体系。2019年以来,为了建设世界一流能源互联网企业的具体要求,泛在电力物联网建设的一个重点是拓展类似于光伏云网和车联网的新兴业务应用,通过服务开放和数据共享对接社会,驱动新的价值创造,而现有以隔离为主的安全防护体系完全不能适应这一发展需求。另一方面,泛在电力物联网终端连接广泛、平台开放共享、网络边界模糊,导致当前安全防护体系的对外暴露面逐渐增加,潜在的定制化恶意攻击对海量异构计算节点的本质安全和智能监测感知等提出了更高要求。基于可信计算等本质安全技术实现“端-管-云”的安全免疫,支撑可信互联和安全互动,实现动态信任评估体系和智能防御是必然趋势,同时,随着“等级保护2.0”系列标准和要求的发布,泛在电力物联网安全防护面临以下需求:
(1)计算节点高度智能化、广泛互联、开放交互情况下面临的恶意代码威胁问题。泛在电力物联网建设过程中,海量异构的端、边、云物联基础软硬件环境在泛在连接、开放共享等特点下,传统防护措施难以有效应对上述环境中日益增长的安全风险,无法抵御新型未知恶意代码,无法从计算架构根源上消除海量异构计算环境的脆弱性,需要引入可信计算安全防护机制解决上述问题。
(2)现有安全防护手段无法从根源上解决计算节点体系结构简化带来的安全风险。物联网作为互联网的继承和发展,由于互联网被创造时就没有将“安全”作为首要考虑因素,这就导致物联网自其诞生之初就存在着与互联网相近的“安全免疫缺陷”,未从计算架构的根源上解决安全风险的问题在物联网自身的特异性条件下,使得这一“安全免疫缺陷”被进一步放大,物联网面临的安全问题更为严重和复杂。
(3)业务应用缺乏体系化的安全可信框架支撑和运行状态的动态信任评估机制。一些电力公司已面向服务器和云平台方向开展电力可信计算技术研究,对泛在电力物联网端、边领域尚未进行有针对性的深入探索,且先期开展的研究工作未包含对计算环境的动态评估,仅从计算节点自身的安全着手而非体系性、交互性的解决问题,难以满足泛在开放、互联新业态下的应用需求。
现有技术中,财务审核系统的基本流程和对应的操作界面模块已有多种已公开的技术方案,然而,这些现有财务审核系统提供的技术方案,难以直接应用于新形式的“端、边、云物联基础软硬件环境”。
发明内容
为解决泛在电力物联网中财务审核问题,本发明目的在于提供一种通过泛在电力物联可信计算应用框架及动态信任评估体系、物联“端、边、云”基础软硬件可信计算技术以及可信计算技术在泛在电力物联网业务的应用机制,实现与“枢纽型、平台型、共享型”现代电力企业相匹配、与泛在电力物联网业务高效交互相适应的物联基础软硬件可信计算下的财务审核系统,即一种包含面向物联计算节点基于可信计算技术的安全防护核心组件的财务审核系统。
本发明提供的是技术方案是,一种可插配式智能财务审核平台,包括一财务审核应用的业务服务端及业务客户端,以及为所述业务服务端和所述业务客户端建立安全通道的安全交互平台;所述业务服务端从所述财务审核应用的二级系统和/或三级系统获取财务审核数据并在所述安全通道上对所述业务客户端的业务请求做出业务响应;所述业务服务端设于电力信息网络的信息内网或信息外网,所述业务客户端设于互联网,所述安全交互平台设于所述信息外网与互联网通信一侧的边缘。
本发明的各个实施例中,财务审核应用是基于财务审核数据和预配置的财务审核应用流程的业务应用服务,采用服务端-客户端(S/C)的方式实现软件架构。财务审核数据来自于通过作为一级系统的财务审核应用中的配置、操作和存储数据以及同在电力信息网络中其他二级系统和/或三级系统。安全交互平台用于实现基于业务场景的动态访问控制,包括至少三方面的技术方案:基于业务场景自适应的泛在电力物联网安全框架,是在完成对泛在电力物联网边缘侧接入网络低可信业务场景的网络安全分析,总结影响泛在电力物联网业务安全的关键要素,完成业务场景要素与动态访问控制相关技术分析后,所设计的一种边缘侧接入网络低可信环境下网络安全防护框架;边缘侧低可信环境下终端设备安全信任度度量技术,是通过完成采用终端设备标识、业务资产台账、基础配置信息等多重因素判断终端设备归属状态的方法研究,结合泛在电力物联网终端设备识别、状态探测及分析技术,所设计的一种对终端设备安全信任度的度量方法;多维数据融合的用户身份智能鉴别和授权策略动态控制技术,其目的在于完成基于短时令牌、业务访问状态的用户身份智能鉴别、访问授权策略动态控制方案后,设计泛在电力物联网业务访问代理原型,以支持短时令牌授信、用户身份智能识别和访问授权的自适应调整。本发明中,安全交互平台为使用现有技术实现的任何可以实现基于业务场景的在服务端-客户端之间建立动态访问控制的系统,即可插配式业务应用交互系统。示范的,本发明的一些具体实施方式的说明中,提供了多种安全交互平台的实现方式。
在一些实施例中,所述安全交互平台包括安全交互网关以及在所述业务客户端上以虚拟化方式运行的安全交互客户端。使用基于硬件定制的开发套件和浏览器插件,以及分布式计算,独立于业务客户端本身操作系统和硬件之上的使用虚拟化技术建立虚拟的安全交互客户端,并利用安全交互客户端与业务服务端建立强加密的会话连接。该方案还适用于一种适于现有模式的兼容升级手段,即,在升级过渡期,仅需要变更原有用户终端的硬件结构,如增加加密芯片等,而不必更改业务应用的软件体系结构,并且随着边缘设备的算力提高,通过分布式的虚拟化的完善,使得除非业务应用本身业务逻辑有所修改,否则,也不必为表计等边缘设备另外进行软件升级。容易看出,该类方案中,安全交互平台包含了在互联网中的溢出部分,但更适用于向更高级别安全网络过度。
在另一些实施例中,安全交互平台由边界安全接入网实现,边界安全接入网设于所述信息外网与互联网通信一侧的边缘,基本上属于信息外网;所述边界安全接入网第一侧通过数据安全交换系统与所述信息内网通信,第二侧通过安全交互网关与所述互联网通信;所述安全交互平台包括所述安全交互网关,以及,设于所述边界安全接入网的身份认证服务器、集中监管服务器和虚拟化服务器;所述财务审核应用的业务服务端设于所述安全交互平台的虚拟化服务器。该类方案中,安全交互平台主要位于信息外网一侧,在安全交互网关配合身份认证服务器、集中监管服务器的条件下,可靠性进一步提高,同时,虚拟化服务器为业务应用提供业务响应,更适用于泛在电力物联网的强信息安全要求。
上述技术方案的一个改进在于,所述安全交互平台的虚拟化服务器的真实业务数据仅在所述信息内网的设备之间交换。
上述技术方案的另一个改进在于,所述业务客户端仅向所述业务服务端发送外设操作数据,所述业务服务端仅向所述业务客户端发送多媒体响应数据。
上述技术方案的另一个改进在于,所述财务审核应用的二级系统和/或三级系统的服务端设于所述安全交互平台的虚拟化服务器。
上述技术方案的另一个改进在于,所述财务审核应用与其二级系统或三级系统之间通过数据库代理隔离装置访问所述财务审核数据。
上述技术方案的另一个改进在于,所述业务服务器设于所述信息外网。
上述技术方案的另一个改进在于,所述二级系统和/或三级系统的服务器与客户端之间也通过所述安全交互平台通信。
上述技术方案的进一步改进在于,所述财务审核应用的二级系统和/或三级系统的客户端包括设于互联网的边缘计算设备。
本发明技术方案通过基于业务场景自适应的泛在电力物联网安全框架,提出边缘侧接入网络低可信环境下网络安全防护框架下的财务审核应用体系结构,构建“设备安全可信、环境安全可知、威胁安全可辨”的业务环境,融入用户身份智能鉴别和授权策略动态控制技术,构建了面向泛在电力物联网的端到端安全防护体系,满足泛在电力物联网零信任、可信计算、设备识别、状态探测、信任度模型、用户身份智能鉴别、动态访问控制等多方面技术要求。
附图说明
图1 为现有技术中财务审核平台的系统结构示意图;
图2为本发明一实施例中可插配式智能财务审核平台的系统结构示意图;
图3为本发明一实施例中可插配式智能财务审核平台中业务客户端与业务服务端通过虚拟专用通道进行业务会话的流程示意图;
图4为本发明一实施例中可插配式智能财务审核平台的安全交互平台的所处的网络层级示意图;
图5为本发明另一实施例中可插配式智能财务审核平台的系统结构示意图;
图6为本发明一实施例中可插配式智能财务审核平台的一个三级系统的部署结构示意图;
图7为本发明一实施例中可插配式智能财务审核平台的一个综合办公系统的部署结构示意图;
图8为本发明一实施例中可插配式智能财务审核平台的一个用电信息采集系统的部署结构示意图;
图9本发明另一实施例中可插配式智能财务审核平台的系统结构示意图;
图10本发明另一实施例中可插配式智能财务审核平台的系统结构示意图。
具体实施方式
首先需要说明的是,现有技术中,电力公司的财务审核平台中的财务审核应用是与电力信息网络中各个业务应用连接最广泛的业务应用系统,其作为一个一级系统部署并配置于信息内网一侧,财务审核应用通过与其二级系统、三级系统中的各个业务应用系统交换财务审核数据根据配置规则实现财务审核流程管理。示范的,如图1所示现有的财务审核平台结构,信息内网一侧运行有包括生产管理系统、协同办公系统等业务应用的二级系统,以及包括财务管理系统、销售管理系统等业务应用的三级系统,信息内网一侧各个业务应用通过内网的移动终端、无线抄表等内网终端向内网用户提供服务,同时,信息内网一侧各个业务应用如果涉及与信息外网的数据交换时,则分别通过安全网关提供的独立安全通信方式与其运行在信息外网的部分分别进行安全通信,外网用户可以通过在信息外网的外网终端访问和/或操作各个业务应用运行在信息外网的部分的数据。容易理解的,现有模式中有明确的接入终端,包括内网终端和外网终端,两种设备是严格区别使用的,并且有底层的软硬件配置致使相关终端不能通用互换使用。
现有各种财务审核平台的技术方案中,至少在接入终端(即图1中的内网终端和外网终端)、数据传输(包括接入终端与应用服务器之间,跨安全网关的应用服务器之间的传输链路)以及应用系统(即图1中各种部署方式的业务应用)三个方面存在明显缺陷,不能适用于基于泛在电力物联网的结构部署。
对于接入终端方面:PDA、手机等移动终端,存在IMSI码、扰码可伪造,软件安装和使用流程缺乏统一规范,丢失后存储的数据存在安全隐患,自身安全无法保证,权限和认证机制不完善等问题;无线表计等智能终端,一方面存在大部分表计中存储的数据未加密,另一方面具有加密功能的表计加密算法强度较弱的问题;运行linux、windows高级操作系统的PC终端,则存在“一机两网”(连接内网的同时连接外网),认证和访问控制粒度不够,敏感数据未进行加密存储等风险, 同时自身也容易存在如病毒、木马的攻击等潜在安全风险。
对于传输通道方面:专线方式,一般使用专用光纤的物理线路,采用数据加密传输,安全性较高,但是铺设成本高,利用率低,同等成本下网络可靠性差;GPRS/CDMA/APN专线方式,GPRS等无线方式传输的数据存在被篡改,传输错误等问题,大部分数据以明文形式传输,易被窃听、篡改、破坏,部分加密算法强度较弱;Internet方式,数据以明文形式传输,易被窃听、篡改、破坏。
对于应用系统方面:在防护措施上,信息外网的某些应用系统采用防火墙进行防护,存在被渗透攻击的风险,应用系统对用户的身份认证机制不完善,一旦用户被冒充,系统就会面临威胁;在访问控制上,用户的访问权限、访问时间(尤其是远程维护)未进行有效控制,用户的并发数未进行有效控制,存在DOS风险。
因此,现有访问财务审核应用的终端必须使用部署于信息内网的终端,以实现信息安全。
本发明的构思在于,将安全交互平台部署在电力信息网络中信息外网的边界,即信息外网与互联网之间,以重新部署财务审核应用的系统结构,以适应泛在电力物联网中“端、边、云”的网络结构。本发明涉及的安全交互平台是一套信息外网和互联网边界的统一安全防护设备,针对通过互联网进行的公司内部数据交互,及有高安全需求的对公交互业务,提供专用安全传输通道,应用高强度密码算法,保障传输数据的机密性和完整性。如图2所示的一个实施例中,安全交互平台对外部接入节点的身份信息进行认证,同时对外部接入节点到企业内部节点间的通信进行加密与访问控制,从而保障电力信息网络业务系统在节点层和网络层的安全。安全交互平台主要由安全交互网关(以下可简称交互网关)以及安全交互客户端(以下可简称交互客户端)组成,网关和客户端配合共同实现安全功能。其中,交互客户端是使用业务客户端硬件平台由终端侧交互软件实现的虚拟机。如图3的一个实施例中,运行财务审核应用的业务服务端设于信息内网或者信息外网,访问该业务的业务客户端设于互联网中,在一个客户端对服务端的访问中,使用安全交互平台实现的虚拟专用通道模式实施通信,通过身份认证机制建立业务客户端与业务服务端的安全通道,然后在安全通道上实现双向通信链路,并在此通信链路上,业务服务端实现对业务客户端业务请求的业务响应。
根据上述描述,本领域技术人员可以通过多种方式实现本发明的安全交互平台,如图4所示的,本发明的一个实施例中,在应用层和基础设施层之间实现安全交互平台。示范的,本实施例中,安全交互平台在各层级上的配置如下:
在接入层,包含的部署节点有安全交互平台服务端设备(DU01),以及新增的iOS内嵌浏览器代理(DU02)、Android内嵌浏览器代理(DU03)。
在展现层,通过Socket技术与业务逻辑层通信,iOS/Android SDK/WebView:实现加密通信功能,供移动客户端调用。浏览器插件:加密传输浏览器访问所产生的网络流量。
在控制层,不涉及功能实现。
在应用层,系统应用架构中的功能分别为:移动SDK内嵌浏览器代理:移动接入客户端及其他类型的电力业务移动客户端WebView控件,集成安全交互平台移动SDK后,在使用WebView访问业务系统时,调用移动SDK内嵌浏览器代理的接口与安全交互平台进行交互,为其提供身份认证与加密通信等安全交互功能。根据移动终端操作系统,分iOS内嵌浏览器代理以及Android内嵌浏览器代理两个二级模块。分项阐述如下:
(1) iOS内嵌浏览器代理:iOS移动APP通过设置访问URL的转换,将数据牵引至相应的SDK监听端口,iOS内嵌浏览器安全传输概要为:获取WebView数据的思路与SDK发送“应用连接”请求后获取数据的思路是类似的,都是根据业务地址+端口查询到本地动态监听端口后,通过本地监听端口获取服务端响应的数据。iOS6中,发起数据请求的类是NSURLRequest,其封装了一个NSURL(请求地址)对象。通过SDK提供的接口,将NSURL中的业务服务端host及port,修改为本地环回地址及动态监听端口。iOS6以上版本,支持iOS6中使用NSURLRequest进行数据请求的方法。在WebView用到NSURLRequest的地方,都需要调用该接口修改NSURL后再进行请求。
(2) Android内嵌浏览器代理:Android移动APP通过设置Http代理,将数据牵引至相应的SDK监听端口,Android内嵌浏览器安全传输概要参考iOS配置,区别在于Android对于一个App主线程可以启动另外WebView本地代理线程,以换取异步执行。
在基础服务层:基于并发事件处理框架实现网络通信调度模块以及基于密码算法组件实现算法库与证书处理。通过函数调用机制及操作系统标准接口与系统与驱动层进行通信。完成通道机密性保护、通道完整性保护、不可抵赖/可信保护、访问控制与过滤、日志审计与告警等功能。
在数据层,安全交互平台管理用户通过网关配置界面,设置网关相关参数,制定业务上的访问策略,并通过日志信息实现审计功能。平台用户,包括PC客户端用户、PC浏览器用户以及iOS、Android移动智能终端用户,通过获取访问控制列表,获取相关外网资源,整个过程都进行日志记录。
在基础设施层,一方面的,作为基础设施的硬件层:采用定制工业级服务器;采用PCI-E国密算法密码卡;另一方面的,作为基础设施的系统与驱动层:采用凝思Linux安全操作系统;基于Linux内核模块机制实现专用密码硬件驱动。
参考图5至8,一个可插配式智能财务审核平台实施例中,安全交互平台由边界安全接入网实现,边界安全接入网设于信息外网与互联网通信一侧的边缘,基本上属于信息外网;边界安全接入网第一侧通过数据安全交换系统与信息内网通信,第二侧通过安全交互网关与互联网通信;安全交互平台包括安全交互网关,以及,设于边界安全接入网的身份认证服务器、集中监管服务器和虚拟化服务器;财务审核应用的业务服务端设于安全交互平台的虚拟化服务器。
示范的,该实施例包括一个三级系统的结构示意图,参考图6所示的,该三级系统可以是营销管理系统的抄表模块,其通过专用的加密模块与接入平台间加密通讯,保证信息的唯一和不可篡改;通过数字证书进行终端合法性认证;通过使用安全SIM/UIM卡,保证无线表计及采集终端的安全入网。边界安全接入网的前置应用服务器为财务审核应用的三级系统架设其服务端的虚拟化服务器。财务审核应用与该三级系统之间通过数据库代理隔离装置访问所述财务审核数据。边界安全接入网的前置应用服务器仍位于信息外网中,在一些具体的应用中,通过逐步将信息外网的服务器根据功能分割,逐步移入边界安全接入网中,最终实现由内外网络的隔离切换为零信任的身份认证的安全框架。显然,为了达到较高的安全级别,本实施例中,财务审核应用的其他二级系统和/或三级系统的服务器与客户端之间也通过与图6所示的安全交互平台通信方式实现业务处理。示范的,表计作为三级系统的客户端被更新为设于互联网的边缘计算设备,通过边缘节点的交换机连入专用网络。图7、8分别示范的给出了一些具体的二级系统或三级系统的网络拓扑结构示意图。
容易理解的,该实施例的三级系统建立在边界安全接入网与互联网之间的服务端和客户端之间的通信是基于一种零信任安全架构,其本质是访问控制范式的转变,从传统的以网络为中心转变为以身份为中心进行访问控制。这种转变的必然性是因为企业的边界正在瓦解,已经无法区分内外网,如传统电力信息网络中的信息外网和信息内网。因此,索性将企业网按照互联网安全的思路进行建设。在一种实现中,零信任安全架构由三大子系统构成:基于设备和用户的认证机制、基于信任的访问控制模型和基于多元的身份标识。其中,
(1)基于设备和用户的认证机制
设备认证是零信任安全的关键实践,在零信任架构中,终端设备包括4类状态:非受控终端、受控终端、可信终端和不可信终端。通过3大关键举措来实现设备的状态迁移:设备初始化和注册、设备认证、设备持续评估。
1)默认情况所有的终端设备都标记为非受控终端,非受控终端没有任何权限,必须完成设备注册后,非受控终端才变为受控终端。
2)受控终端要变为可信终端,必须经过设备认证。只有可信终端可进行后续的用户认证和业务访问。设备认证的技术手段包括设备证书、设备指纹、设备硬件绑定等技术。
3)另外,必须通过持续的终端风险监测和评估,确保可信设备的持续可信。如果评估发现设备风险过高,可信终端将退化为不可信终端,访问权限将被撤销。
设备认证通过后需要进行用户认证。用户认证也包括3个关键举措:初始认证、持续认证和二次认证。
在零信任安全的逻辑中,认为仅仅对用户进行一次性的初始认证并不安全,即便是采用了多种认证因子仍然无法保证用户身份在访问业务过程中的安全性,因此,需要采用持续认证手段,通过用户业务流量分析、用户操作行为分析持续的评估用户身份的合法性。在发现安全风险时,需要提示用户进行二次认证。
(2)基于信任的访问控制模型
零信任安全的本质是基于信任的访问控制,具体实践中需要充分考虑授权策略的自适应、可管理、可扩展几方面的平衡。建议采用基于角色的访问控制模型RBAC和基于属性的访问控制模型ABAC相结合的方式。
1)通过RBAC实现粗粒度授权,建立满足最小权限原则的权限基线;
2)通过ABAC模型,基于主体、客体和环境属性实现角色的动态映射,满足灵活的管理需求;
3)通过风险评估和分析,对角色和权限进行过滤,实现场景和风险感知的动态授权。
为了对所有业务访问进行强制认证和授权,需要可信接入网关。可信接入网关接管所有的业务访问请求并和智能身份平台联动进行认证和授权。另外,可信接入网关作为业务的访问代理,可以提供统一的传输加密机制和全流量日志导出能力。因此可信接入网关即是策略强制执行点也是流量加密网关。
信任通常包括基于身份的信任(Identity Trust)和基于行为的信任(BehaviorTrust)。基于身份的信任采用静态验证机制(Static Authentication Mechanism)来决定是否给一个实体授权。常用的技术包括加密(Encryption)、数据隐藏(Data Hiding)、数字签名(Digital Signatures)、授权协议(Authentication protocols)以及访问控制策略等。基于行为的信任通过实体的行为历史一记录和当前行为的特征来动态判断实体的可信任度。在一个封闭的或者小型的系统中,由于节点是固定或者节点的数量不大,节点间的信任建立也是可以采用静态的方式。但是在普适计算环境中,由于普适计算环境的开放性、分布性、共享性和动态性的大大提高,使得普适计算环境中节点间的信任不能仅仅依靠静态的方式来建立,必须充分的考虑到普适计算本身的特点。
为了进一步说明信任关系,需要阐明信任的定义。由于信任是无形的,因此很难对它进行严格精确的定义。而且每个人对术语“信任”的理解并不完全相同。目前有很多学者都对信任进行了定义,但基本上没有广泛接受的标准。本发明参考在ITUT推荐标准X.509规范中给出的对术语“信任”的定义:当实体A假定实体B会严格地按A所期望的那样行动,则A信任B。由此,在本发明述及的信任模型中,对信任的定义如下:信任是对一个实体行为的可信度的评估,与这个实体的可靠性、诚信和性能有关,信任是一个主观概念,取决于经验,我们用信任度来表示信任等级的高低,信任度随实体的行为而动态变化。从这个定义我们可以看出,信任涉及假设、期望和行为、这意味着信任是很难定量和测量的,信任是与风险相联系的,并且信任关系的建立不可能总是全自动的。但为了实现普适计算系统中的行为评估,必须给出信任的定量表示方法。
信任度是信任程度的定量表示,它是用来度量信任大小的。信任度可以用直接信任度和推荐信任度来综合衡量,推荐信任度又称为声誉(Reputation)。直接信任源于其他实体的直接接触,声誉则是一种口头传播的名望。随着时间的推移,用户和应用的信任程度会发生变化,当一个原来可信的用户或应用变成不可信时,普适计算系统管理员和普适计算资源管理器应该适时地发现,否则会对普适计算系统造成很大破坏。因此,普适计算系统需要引入信任模型,用来初始化实体之间的信任关系,确定实体的信任程度及其变化趋势。
(3)基于多元的身份标识
在零信任安全架构中,智能身份分析为自适应访问控制和身份治理提供智能支撑。
1)通过采集各种设备、用户、环境相关的属性和业务访问的日志信息,智能身份分析引擎可实时评估当前访问请求的风险分,并将这个风险分作为访问控制的关键判定因子。
2)智能身份分析也是身份治理的关键能力,通过对等组分析、权限合规分析等模型,持续对权限策略进行优化和风险评估,并触发工作流引擎对策略进行调整,形成身份和权限的智能闭环治理。
零信任安全架构的核心控制平面智能身份平台需要基于现代身份管理技术进行构建,相对于传统身份管理,现代身份管理平台具备敏捷、安全、智能的优势。
1)基于敏捷的身份生命周期管理机制,满足企业对内部、外部、客户等不同身份的管理;
2)基于智能身份分析和动态访问控制技术,具备对未知风险的防护能力;
3)基于现代的云计算和微服务等技术手段进行构建,满足现代企业弹性的部署需求,并且由于这些新架构的运用,也大幅提升了客户的部署效率,降低上线成本。
为实现泛在电力物联网中新的网络结构的过度,另一些实施例中,可以采用不同的方式实现可插配式。这些可插配式智能财务审核平台中,同样的,信息外网与互联网通信一侧的边缘设有边界安全接入网;边界安全接入网第一侧通过数据安全交换系统与信息内网通信,第二侧通过安全交互网关与互联网通信,并在部署中逐步完全覆盖原有信息外网以最终替代信息外网;安全交互平台包括安全交互网关,以及,设于边界安全接入网的身份认证服务器、集中监管服务器和虚拟化服务器;财务审核应用的业务服务端设于安全交互平台的虚拟化服务器。不同之处在于,如图9、10所示的,财务审核应用的业务服务端完全位于信息内网中,业务客户端仅通过边界安全接入网的安全网络平台向所述业务服务端发送外设操作数据,如RDP(远程桌面操作过程)操作数据,如鼠标移动信号、键盘输入信号等,所述业务服务端被虚拟化的建立于内网的服务器上,RDP通信链路仍然采用基于身份的加密通道,仅向所述业务客户端发送多媒体响应数据,如鼠标动作回显、屏幕刷新、键盘操作回显等,而不在通信链路上传递任何真实数据,不管加密还是不加密。相比于现有的电力信息网络中的RDP操作,基于安全交互平台的RDP附加了基于硬件的身份识别,同时,进行严格的权限控制,所有数据从不离开信息内网,只在信息内网交换,更容易实现业务应用在超低带宽下流畅远程接入。本实施例中,财务审核应用中一级系统、二级系统或者三级系统的部分或者全部可以采用本实施例中RDP方式的安全交互,并且在信息内网实现数据交换,全部业务均基于虚拟服务器实施迁移,对于业务应用软件不必针对技术设施重新修改处理流程,容易实现平稳过渡。
容易理解的,本发明各个实施例通过结合安全交互平台实现了可插配式智能财务审核平台的系统部署,按照本发明各个实施例揭示的技术方案部署的可插配式智能财务审核平台,采用基于终端用户行为和环境属性的动态信任授权技术的安全交互平台,相比传统权限管理架构难以对用户的行为状态进行实施追踪权限变更的问题,一些实施例可以通过采集和分析终端用户行为和物理位置等环境属性,提取交互业务所属终端(如本发明的业务服务端)、用户及业务的上下文信息,包括身份标识、网络行为、行为特征等,结合终端的环境属性生成当前状态的信任度,对感知层设备上行的业务应用和数据以及对感知层设备下行的访问控制实施分级控制,实现动态信任评估、实时权限跟踪及动态变更管理,进而实现存在高级别,多数据层级的财务审核的业务应用从原有电力信息网络向新的网络结构转移。
以上各实施例中包括业务客户端在内的各级系统的客户端,可选的使用不同的改进形式,不限于操作系统底层改造加固、定制(windows mobile/windows xp等),安全通信模块 (加密通讯及连接),加密卡( USBKEY/TF加密卡)等。示范的,移动笔记本终端,采用安全USBKEY加密卡硬件(内含数字证书)、安全通信模块、安全检查模块以及主机行为控制系统。如安全生产应用中,除能进行标准化作业操作进行在线数据同步外,不能进行其他操作;PDA、智能手机等移动终端,采用安全TF卡硬件(内含数字证书)、安全检查模块、安全通信模块和绑定特定APN的安全SIM/UIM卡,对终端的硬件特征检查、安全健康检查,使用数字证书进行强身份认证,杜绝非法移动终端接入;无线表计及采集终端,嵌入硬件加密芯片,安全通信模块,使用安全SIM/UIM卡绑定特定APN,数字证书,通过专用加密算法芯片和接入平台间加密通讯,保证信息的唯一和不可篡改。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接囗,装置或单元的间接耦合或通信连接,如对外部神经网络单元的调用,可以是本地的,远程的或混合的资源配置形式。
所述作为分离说明的设备可以是或者也可以不是物理上分开的,作为设备出现的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理设备中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个处理设备中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-0nlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本发明所提供的一种可插配式智能财务审核平台进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种可插配式智能财务审核平台,包括一财务审核应用的业务服务端及业务客户端,以及为所述业务服务端和所述业务客户端建立安全通道的安全交互平台;所述业务服务端从所述财务审核应用的二级系统和/或三级系统获取财务审核数据并在所述安全通道上对所述业务客户端的业务请求做出业务响应;所述业务服务端设于电力信息网络的信息内网或信息外网,所述业务客户端设于互联网,所述安全交互平台设于所述信息外网与互联网通信一侧的边缘。
2.根据权利要求1所述的可插配式智能财务审核平台,其特征在于:所述安全交互平台包括安全交互网关以及在所述业务客户端上以虚拟化方式运行的安全交互客户端。
3.根据权利要求1所述的可插配式智能财务审核平台,其特征在于:所述信息外网与互联网通信一侧的边缘设有边界安全接入网;所述边界安全接入网第一侧通过数据安全交换系统与所述信息内网通信,第二侧通过安全交互网关与所述互联网通信;所述安全交互平台包括所述安全交互网关,以及,设于所述边界安全接入网的身份认证服务器、集中监管服务器和虚拟化服务器;所述财务审核应用的业务服务端设于所述安全交互平台的虚拟化服务器。
4.根据权利要求3所述的可插配式智能财务审核平台,其特征在于:所述安全交互平台的虚拟化服务器的真实业务数据仅在所述信息内网的设备之间交换。
5.根据权利要求1或3所述的可插配式智能财务审核平台,其特征在于:所述业务客户端仅向所述业务服务端发送外设操作数据,所述业务服务端仅向所述业务客户端发送多媒体响应数据。
6.根据权利要求3所述的可插配式智能财务审核平台,其特征在于:所述财务审核应用的二级系统和/或三级系统的服务端设于所述安全交互平台的虚拟化服务器。
7.根据权利要求1所述的可插配式智能财务审核平台,其特征在于:所述财务审核应用与其二级系统或三级系统之间通过数据库代理隔离装置访问所述财务审核数据。
8.根据权利要求1所述的可插配式智能财务审核平台,其特征在于:所述业务服务器设于所述信息外网。
9.根据权利要求1或2所述的可插配式智能财务审核平台,其特征在于:所述二级系统和/或三级系统的服务器与客户端之间也通过所述安全交互平台通信。
10.根据权利要求9所述的可插配式智能财务审核平台,其特征在于:所述财务审核应用的二级系统和/或三级系统的客户端包括设于互联网的边缘计算设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110302315.1A CN113114632B (zh) | 2021-03-22 | 2021-03-22 | 一种可插配式智能财务审核平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110302315.1A CN113114632B (zh) | 2021-03-22 | 2021-03-22 | 一种可插配式智能财务审核平台 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113114632A true CN113114632A (zh) | 2021-07-13 |
CN113114632B CN113114632B (zh) | 2022-09-06 |
Family
ID=76710317
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110302315.1A Active CN113114632B (zh) | 2021-03-22 | 2021-03-22 | 一种可插配式智能财务审核平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113114632B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113378131A (zh) * | 2021-06-30 | 2021-09-10 | 深圳竹云科技有限公司 | 一种用户数据认证的方法、装置及存储介质 |
CN114285686A (zh) * | 2021-11-24 | 2022-04-05 | 广东电网有限责任公司电力调度控制中心 | 一种电力物联设备通信系统及方法 |
CN114979279A (zh) * | 2022-05-23 | 2022-08-30 | 河南北斗空间科技有限公司 | 一种用于数据请求的微服务模块调度方法 |
CN116382740A (zh) * | 2023-04-10 | 2023-07-04 | 广州锦高信息科技有限公司 | 应用软件的自动升级发布系统及方法 |
CN117478427A (zh) * | 2023-12-26 | 2024-01-30 | 广东省能源集团贵州有限公司 | 网络安全数据处理方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104683332A (zh) * | 2015-02-10 | 2015-06-03 | 杭州优稳自动化系统有限公司 | 一种工业控制网络中的安全隔离网关及其安全隔离方法 |
CN106209801A (zh) * | 2016-06-28 | 2016-12-07 | 广东电网有限责任公司信息中心 | 移动应用平台与内外网数据安全交换平台集成系统 |
US20170264493A1 (en) * | 2015-03-09 | 2017-09-14 | Vapor IO Inc. | Autonomous distributed workload and infrastructure scheduling |
CN110933176A (zh) * | 2019-12-05 | 2020-03-27 | 国家电网有限公司 | 一种电力物联网管理及服务平台 |
CN111371737A (zh) * | 2019-08-19 | 2020-07-03 | 国网天津市电力公司 | 一种基于NB-IoT的物联网安全接入系统 |
CN111371830A (zh) * | 2019-11-26 | 2020-07-03 | 航天科工网络信息发展有限公司 | 一种万网融合场景下基于数据驱动的智能协同云架构 |
CN111970232A (zh) * | 2020-06-29 | 2020-11-20 | 国网江苏省电力有限公司营销服务中心 | 一种电力营业厅智能服务机器人的安全接入系统 |
CN112511618A (zh) * | 2020-11-25 | 2021-03-16 | 全球能源互联网研究院有限公司 | 边缘物联代理防护方法及电力物联网动态安全可信系统 |
-
2021
- 2021-03-22 CN CN202110302315.1A patent/CN113114632B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104683332A (zh) * | 2015-02-10 | 2015-06-03 | 杭州优稳自动化系统有限公司 | 一种工业控制网络中的安全隔离网关及其安全隔离方法 |
US20170264493A1 (en) * | 2015-03-09 | 2017-09-14 | Vapor IO Inc. | Autonomous distributed workload and infrastructure scheduling |
CN106209801A (zh) * | 2016-06-28 | 2016-12-07 | 广东电网有限责任公司信息中心 | 移动应用平台与内外网数据安全交换平台集成系统 |
CN111371737A (zh) * | 2019-08-19 | 2020-07-03 | 国网天津市电力公司 | 一种基于NB-IoT的物联网安全接入系统 |
CN111371830A (zh) * | 2019-11-26 | 2020-07-03 | 航天科工网络信息发展有限公司 | 一种万网融合场景下基于数据驱动的智能协同云架构 |
CN110933176A (zh) * | 2019-12-05 | 2020-03-27 | 国家电网有限公司 | 一种电力物联网管理及服务平台 |
CN111970232A (zh) * | 2020-06-29 | 2020-11-20 | 国网江苏省电力有限公司营销服务中心 | 一种电力营业厅智能服务机器人的安全接入系统 |
CN112511618A (zh) * | 2020-11-25 | 2021-03-16 | 全球能源互联网研究院有限公司 | 边缘物联代理防护方法及电力物联网动态安全可信系统 |
Non-Patent Citations (3)
Title |
---|
WEIYONG YANG: "《EdgeKeeper: a trusted edge computing framework for》", 《FITEE》 * |
刘义江: "《浅议低碳经济下电力会计管理的完善策略》", 《工作研究》 * |
李娜娜: "《基于MPLS 技术的医院内外网融合网络架构研究与仿真设计》", 《科技创新与应用》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113378131A (zh) * | 2021-06-30 | 2021-09-10 | 深圳竹云科技有限公司 | 一种用户数据认证的方法、装置及存储介质 |
CN114285686A (zh) * | 2021-11-24 | 2022-04-05 | 广东电网有限责任公司电力调度控制中心 | 一种电力物联设备通信系统及方法 |
CN114979279A (zh) * | 2022-05-23 | 2022-08-30 | 河南北斗空间科技有限公司 | 一种用于数据请求的微服务模块调度方法 |
CN114979279B (zh) * | 2022-05-23 | 2023-11-17 | 河南北斗空间科技有限公司 | 一种用于数据请求的微服务模块调度方法 |
CN116382740A (zh) * | 2023-04-10 | 2023-07-04 | 广州锦高信息科技有限公司 | 应用软件的自动升级发布系统及方法 |
CN116382740B (zh) * | 2023-04-10 | 2023-11-14 | 广州锦高信息科技有限公司 | 应用软件的自动升级发布系统及方法 |
CN117478427A (zh) * | 2023-12-26 | 2024-01-30 | 广东省能源集团贵州有限公司 | 网络安全数据处理方法及系统 |
CN117478427B (zh) * | 2023-12-26 | 2024-04-02 | 广东省能源集团贵州有限公司 | 网络安全数据处理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113114632B (zh) | 2022-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Si et al. | IoT information sharing security mechanism based on blockchain technology | |
CN113114632B (zh) | 一种可插配式智能财务审核平台 | |
Da Xu et al. | Embedding blockchain technology into IoT for security: A survey | |
Sookhak et al. | Security and privacy of smart cities: a survey, research issues and challenges | |
Kumar et al. | Leveraging blockchain for ensuring trust in IoT: A survey | |
He et al. | A survey on zero trust architecture: Challenges and future trends | |
US10469496B2 (en) | Fabric assisted identity and authentication | |
Wang et al. | A system framework of security management in enterprise systems | |
EP3149582B1 (en) | Method and apparatus for a scoring service for security threat management | |
Shore et al. | Zero trust: the what, how, why, and when | |
Pathak et al. | TABI: Trust-based ABAC mechanism for edge-IoT using blockchain technology | |
Aladwan et al. | Common security criteria for vehicular clouds and internet of vehicles evaluation and selection | |
Sukiasyan et al. | Secure data exchange in Industrial Internet of Things | |
Duy et al. | B-DAC: a decentralized access control framework on northbound interface for securing SDN using blockchain | |
Moradi et al. | Security‐Level Improvement of IoT‐Based Systems Using Biometric Features | |
Qazi | Study of zero trust architecture for applications and network security | |
Williams et al. | Security aspects of internet of things–a survey | |
Madsen | Zero-trust–An Introduction | |
Noor et al. | Decentralized Access Control using Blockchain Technology for Application in Smart Farming | |
CN116208401A (zh) | 一种基于零信任的云主站访问控制方法及装置 | |
Chen et al. | Blockchain-based internet of things security architecture and applications | |
Zhu | Building a secure infrastructure for IoT systems in distributed environments | |
Ma et al. | Security of edge computing based on trusted computing | |
Li et al. | [Retracted] Network Blockchain Security Sharing Model Based on Fuzzy Logic | |
Cusack et al. | Defining cloud identity security and privacy issues: A Delphi method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |