CN113747428A - 一种基于iot设备的网络安全风险分析方法 - Google Patents
一种基于iot设备的网络安全风险分析方法 Download PDFInfo
- Publication number
- CN113747428A CN113747428A CN202110969209.9A CN202110969209A CN113747428A CN 113747428 A CN113747428 A CN 113747428A CN 202110969209 A CN202110969209 A CN 202110969209A CN 113747428 A CN113747428 A CN 113747428A
- Authority
- CN
- China
- Prior art keywords
- data
- iot
- equipment
- risk analysis
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012502 risk assessment Methods 0.000 title claims abstract description 42
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000007405 data analysis Methods 0.000 claims abstract description 15
- 230000005540 biological transmission Effects 0.000 claims abstract description 13
- 238000004458 analytical method Methods 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims description 10
- 150000003839 salts Chemical class 0.000 claims description 4
- 238000012217 deletion Methods 0.000 claims description 2
- 230000037430 deletion Effects 0.000 claims description 2
- 230000003993 interaction Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及计算机安全技术领域,公开了一种基于IOT设备的网络安全风险分析方法,包括以下步骤:S1.通过IOT设备终端连接网关;S2.根据网关获取IOT设备上传数据的HTTP请求;S3.根据HTTP请求在数据分析平台上获取IOT设备的传输数据;S4.预设网络安全分析规则,对传输数据进行风险分析。本发明能够对IOT设备进行设备风险分析、身份权限风险分析和第三方软件对IOT设备平台的访问风险分析,并对IOT设备进行权限管理。
Description
技术领域
本发明涉及计算机安全技术领域,具体地说,是一种基于IOT设备的网络安全风险分析方法,用于在对IOT设备进行设备风险分析、身份权限风险分析和第三方软件对IOT设备平台的访问风险分析,并进行权限管理。
背景技术
在物联网应用越来越广泛的今天,IOT设备的安全问题成为一大挑战,现有IOT设备安全问题分别为技术挑战和安全挑战。其中,安全挑战包括身份验证、保密性、完整性和端到端安全性,目前百分之九十八的IOT流量均未加密。对IOT设备相关的安全风险处理不当,这主要是因为IOT设备无法定期更新而出现。目前市面上的IOT设备大多分为两类,一类是PaaS类,另一类是SaaS类,对于前者,不需要管理服务器,可以理论上无限增长设备数量,但是需要自己自定义IOT设备方案,后者提供了一个完全解决的方案,但是非常不稳定,基于此,本发明提供了一种基于IOT设备的网络安全风险分析方法,基于PaaS类和SaaS类结合的服务网关,同时对IOT设备进行设备风险分析、身份权限风险分析和第三方软件对IOT设备平台的访问风险分析、权限管理,达到更加安全的效果。
发明内容
本发明的目的在于提供一种基于IOT设备的网络安全风险分析方法,实现对IOT设备进行设备风险分析、身份权限风险分析和第三方软件对IOT设备平台的访问风险分析的功能,具有更加安全的效果。
本发明通过下述技术方案实现:一种基于IOT设备的网络安全风险分析方法,包括以下步骤:
S1.通过IOT设备终端连接网关;
S2.根据网关获取IOT设备上传数据的HTTP请求;
S3.根据HTTP请求在数据分析平台上获取IOT设备的传输数据;
S4.预设网络安全分析规则,对传输数据进行风险分析。
在本技术方案中,在IOT设备连接网关获取数据的整个过程中,首先在应用层将数据用相应的协议进行包装,再发给传输层,在本技术方案中主要是用超文本传输协议(HTTP协议)进行抓取HTTP请求,然后发送给传输层,在本技术方案中传输层中然后通过传输控制协议和用户数据协议中报文源端口查出发送该HTTP请求的进程名,然后再将进程名写进报文的网络层中IP层的options字段中,在数据分析平台上去获取传输数据,在本技术方案中使用的数据分析平台为PaaS和SaaS结合的服务网关,最后预设网络安全分析规则,通过request.getParameterNames(),返回一个包含请求消息中的所有参数名的Enumeration对象。此时我们可以通过遍历这个Enumeration对象,就可以获取HTTP请求消息中所有的参数名,通过Enumeration类中的hasMoreElements()判断是否还有参数名,获取当前参数名,再通过request.getParameter的方法在获取对应的参数名称和值,也就是将IOT设备的参数名称和值都整个到Map里,使用request.getParameter和Map定义成 getParameterMap(),即通过返回一个保存了HTTP请求消息中的所有参数名称和值的Map对象。Map对象的key是字符串类型的参数名,value是这个参数所对应的Object类型的值数组,最后作出风险分析。
为了更好地实现本发明,进一步地,步骤S1包括:
S1.1.进入IOT设备终端管理平台;
S1.2.查看与IOT设备终端管理平台对应的数据分析平台;
S1.3.根据数据分析平台获取网关数据,网关数据包括网关IP和DNS。
在本技术方案中,网关IP和DNS是域名系统,用来初次验证IOT设备的设备数据是否合法,只有合法才能接入。
为了更好地实现本发明,进一步地,步骤S2包括:
判断HTTP请求是否有敏感或个人可识别信息,如果有,删除后进入步骤S1重新连接,如果没有,进入步骤S3。
在本技术方案中,在HTTP请求中对个人可识别信息和敏感信息进行风险分析,如果有风险信息进行删除,并重新连接IOT设备。
为了更好地实现本发明,进一步地,数据分析平台包括:PaaS和SaaS结合的服务网关。
在本技术方案中,目前市面上的IOT设备大多分为两类,一类是PaaS类,另一类是SaaS类,对于前者,不需要管理服务器,可以理论上无限增长设备数量,但是需要自己自定义IOT设备方案,后者提供了一个完全解决的方案,但是非常不稳定,因此使用PaaS和SaaS结合的服务网关能够满足更多的个性化需求。
为了更好地实现本发明,进一步地,步骤S3包括:
S3.1.在数据分析平台上对HTTP请求进行解析,解析HTTP消息报文中request的请求头和请求体;
S3.2.获取请求头中存储的RSA公钥、sign签名数据和设备标识码;
S3.3.通过设备标识码查询数据库获取RSA加密salt和RSA私钥;
S3.4.通过请求头获取到的RSA公钥和本地私钥解密获取AES加密数据;
S3.5.通过请求体获取到的AES秘钥解密获取MD5加密数据;
S3.6.根据数据库中获取到的salt解码MD5数据,验证请求头中签名是否合法。
在本技术方案中,对签名是否合法进行风险分析。
为了更好地实现本发明,进一步地,步骤S3.6包括:
验证请求头中的签名合法,则判断签名验证成功;
验证请求头中的签名非法,则判断签名有风险,进行风险通知。
在本技术方案中,在所需的请求头前加上警告标签进行注解,如果签名有风险会提示黄色警告。
为了更好地实现本发明,进一步地,步骤S4中的网络安全分析规则包括:
S4.1.将IOT设备的设备数据和身份权限数据集合到MapA里,获取Map数据集合A;
S4.2.将第三方软件的访问数据集合到MapB里,获取Map数据集合B;
S4.3.根据Map数据集合A、Map数据集合B和步骤S3中的HTTP请求参数进行校验;
S4.4.根据校验结果进行设备风险分析。
在本技术方案中,预设网络安全分析规则,通过request.getParameterNames(),返回一个包含请求消息中的所有参数名的Enumeration对象。此时我们可以通过遍历这个Enumeration对象,就可以获取HTTP请求消息中所有的参数名,通过Enumeration类中的hasMoreElements()判断是否还有参数名,获取当前参数名,再通过request.getParameter的方法在获取对应的参数名称和值,也就是将IOT设备的参数名称和值都整个到Map里,使用request.getParameter和Map定义成 getParameterMap(),即通过返回一个保存了HTTP请求消息中的所有参数名称和值的Map对象。Map对象的key是字符串类型的参数名,value是这个参数所对应的Object类型的值数组,返回值时Map中各个键值对映射关系的集合,最后对这个集合进行遍历获得校验结果,校验结果包括参数是否合法,是否成功解码以及sign签名是否校验成功等。
为了更好地实现本发明,进一步地,步骤S4.3包括:
根据Map数据集合A中的参数是否合法,是否成功解码以及sign签名是否校验成功对IOT设备权限进行风险分析。
为了更好地实现本发明,进一步地,步骤S4.3还包括:
对Map数据集合B中的第三方软件的访问数据进行校验,判断IOT设备交互时回传的加密信息,当加密信息不合法时,第三方软件的访问数据会提示校验失败。
为了更好地实现本发明,进一步地,步骤S4.4中的校验结果包括:
RSA公钥是否完整和AES公钥是否有效。
在本技术方案中通过参数加密对HTTP请求进行验证,参数加密是参数采用RSA加密后传递,原则上只有持有私钥的服务端才能解密客户端公钥加密的参数,避免了参数篡改的问题,同时采用一套签名算法,对请求进行签名验证,来保证请求的唯一性。
本发明与现有技术相比,具有以下优点及有益效果:
(1)能够对IOT设备进行设备风险分析、身份权限风险分析和第三方软件对IOT设备平台的访问风险分析;
(2)通过对网络的权限管理,能够达到更加安全的效果。
附图说明
本发明结合下面附图和实施例做进一步说明,本发明所有构思创新应视为所公开内容和本发明保护范围。
图1为本发明所提供的一种基于IOT设备的网络安全风险分析方法的流程图;
图2为本发明所提供的一种基于IOT设备的网络安全风险分析方法的IOT设备终端连接网关的连接流程图;
图3为本发明所提供的一种基于IOT设备的网络安全风险分析方法的获取IOT设备的传输数据的流程图;
图4为本发明所提供的一种基于IOT设备的网络安全风险分析方法的网络安全分析规则流程图。
具体实施方式
实施例1:
本实施例的一种基于IOT设备的网络安全风险分析方法,如图1所示,在本实施例中,在IOT设备连接网关获取数据的整个过程中,首先在应用层将数据用相应的协议进行包装,再发给传输层,在本实施例中主要是用超文本传输协议(HTTP协议)进行抓取HTTP请求,然后发送给传输层,在本实施例中传输层中然后通过传输控制协议和用户数据协议中报文源端口查出发送该HTTP请求的进程名,然后再将进程名写进报文的网络层中IP层的options字段中,在数据分析平台上去获取传输数据,在本实施例中使用的数据分析平台为PaaS和SaaS结合的服务网关,最后预设网络安全分析规则,通过request.getParameterNames(),返回一个包含请求消息中的所有参数名的Enumeration对象。此时我们可以通过遍历这个Enumeration对象,就可以获取HTTP请求消息中所有的参数名,通过Enumeration类中的hasMoreElements()判断是否还有参数名,获取当前参数名,再通过request.getParameter的方法在获取对应的参数名称和值,也就是将IOT设备的参数名称和值都整个到Map里,使用request.getParameter和Map定义成 getParameterMap(),即通过返回一个保存了HTTP请求消息中的所有参数名称和值的Map对象。Map对象的key是字符串类型的参数名,value是这个参数所对应的Object类型的值数组,最后作出风险分析。
实施例2:
本实施例在实施例1的基础上做进一步优化,如图2所示,网关IP和DNS是域名系统,用来初次验证IOT设备的设备数据是否合法,只有合法才能接入。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例3:
本实施例在上述实施例1的基础上做进一步优化,在HTTP请求中对个人可识别信息和敏感信息进行风险分析,如果有风险信息则对风险信息进行删除,并重新连接IOT设备。
本实施例的其他部分与上述实施例1或2相同,故不再赘述。
实施例4:
本实施例在上述实施例1-3任一项的基础上做进一步优化,目前市面上的IOT设备大多分为两类,一类是PaaS类,另一类是SaaS类,对于前者,不需要管理服务器,可以理论上无限增长设备数量,但是需要自己自定义IOT设备方案,后者提供了一个完全解决的方案,但是非常不稳定,因此使用PaaS和SaaS结合的服务网关能够满足更多的个性化需求。
本实施例的其他部分与上述实施例1-3任一项相同,故不再赘述。
实施例5:
本实施例在上述实施例1-4任一项基础上做进一步优化,如图3所示,本实施例的其他部分与上述实施例1-4任一项相同,故不再赘述。
实施例6:
本实施例在上述实施例5的基础上做进一步优化,在所需的请求头前加上警告标签进行注解,如果签名有风险会提示黄色警告,本实施例的其他部分与上述实施例1-5任一项相同,故不再赘述。
实施例7:
本实施例预设网络安全分析规则,如图4所示,通过request.getParameterNames(),返回一个包含请求消息中的所有参数名的Enumeration对象。此时我们可以通过遍历这个Enumeration对象,就可以获取HTTP请求消息中所有的参数名,通过Enumeration类中的hasMoreElements()判断是否还有参数名,获取当前参数名,再通过request.getParameter的方法在获取对应的参数名称和值,也就是将IOT设备的参数名称和值都整个到Map里,使用request.getParameter和Map定义成 getParameterMap(),即通过返回一个保存了HTTP请求消息中的所有参数名称和值的Map对象。Map对象的key是字符串类型的参数名,value是这个参数所对应的Object类型的值数组,返回值时Map中各个键值对映射关系的集合,最后对这个集合进行遍历获得校验结果,校验结果包括参数是否合法,是否成功解码以及sign签名是否校验成功等。
实施例8-10:
本实施例通过参数加密对HTTP请求进行验证,参数加密是参数采用RSA加密后传递,原则上只有持有私钥的服务端才能解密客户端公钥加密的参数,避免了参数篡改的问题,同时采用一套签名算法,对请求进行签名验证,来保证请求的唯一性。本实施例的其他部分与上述实施例1-7任一项相同,故不再赘述。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (10)
1.一种基于IOT设备的网络安全风险分析方法,其特征在于,包括以下步骤: S1.通过IOT设备终端连接网关;
S2.根据网关获取IOT设备上传数据的HTTP请求; S3.根据HTTP请求在数据分析平台上获取IOT设备的传输数据; S4.预设网络安全分析规则,对传输数据进行风险分析。
2.根据权利要求1所述的一种基于IOT设备的网络安全风险分析方法,其特征在于,所述步骤S1包括: S1.1.进入IOT设备终端管理平台; S1.2.查看与IOT设备终端管理平台对应的数据分析平台; S1.3.根据数据分析平台获取网关数据,网关数据包括网关IP和DNS。
3.根据权利要求1所述的一种基于IOT设备的网络安全风险分析方法,其特征在于,所述步骤S2包括: 判断HTTP请求是否有敏感或个人可识别信息,如果有,删除后进入步骤S1重新连接,如果没有,进入步骤S3。
4.根据权利要求1-3任一项所述的一种基于IOT设备的网络安全风险分析方法,其特征在于,所述数据分析平台包括:
PaaS和SaaS结合的服务网关。
5.根据权利要求1所述的一种基于IOT设备的网络安全风险分析方法,其特征在于,所述步骤S3包括:
S3.1.在数据分析平台上对HTTP请求进行解析,解析HTTP消息报文中request的请求头和请求体; S3.2.获取请求头中存储的RSA公钥、sign签名数据和设备标识码; S3.3.通过设备标识码查询数据库获取RSA加密salt和RSA私钥; S3.4.通过请求头获取到的RSA公钥和本地私钥解密获取AES加密数据; S3.5.通过请求体获取到的AES秘钥解密获取MD5加密数据; S3.6.根据数据库中获取到的salt解码MD5数据,验证请求头中签名是否合法。
6.根据权利要求5所述的一种基于IOT设备的网络安全风险分析方法,其特征在于,所述步骤S3.6包括: 验证请求头中的签名合法,则判断签名验证成功; 验证请求头中的签名非法,则判断签名有风险,进行风险通知。
7.根据权利要求1所述的一种基于IOT设备的网络安全风险分析方法,其特征在于,所述步骤S4中的网络安全分析规则包括: S4.1.将IOT设备的设备数据和身份权限数据集合到MapA里,获取Map数据集合A;
S4.2.将第三方软件的访问数据集合到MapB里,获取Map数据集合B;
S4.3.根据Map数据集合A、Map数据集合B和步骤S3中的HTTP请求参数进行校验;
S4.4.根据校验结果进行设备风险分析。
8.根据权利要求7所述的一种基于IOT设备的网络安全风险分析方法,其特征在于,所述步骤S4.3包括: 根据Map数据集合A中的参数是否合法,是否成功解码以及sign签名是否校验成功对IOT设备权限进行风险分析。
9.根据权利要求7所述的一种基于IOT设备的网络安全风险分析方法,其特征在于,所述步骤S4.3还包括: 对Map数据集合B中的第三方软件的访问数据进行校验,判断IOT设备交互时回传的加密信息,当加密信息不合法时,第三方软件的访问数据会提示校验失败。
10.根据权利要求7任一项所述的一种基于IOT设备的网络安全风险分析方法,其特征在于,所述步骤S4.4中的校验结果包括: RSA公钥是否完整和AES公钥是否有效。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110969209.9A CN113747428A (zh) | 2021-08-23 | 2021-08-23 | 一种基于iot设备的网络安全风险分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110969209.9A CN113747428A (zh) | 2021-08-23 | 2021-08-23 | 一种基于iot设备的网络安全风险分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113747428A true CN113747428A (zh) | 2021-12-03 |
Family
ID=78732308
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110969209.9A Pending CN113747428A (zh) | 2021-08-23 | 2021-08-23 | 一种基于iot设备的网络安全风险分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113747428A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106355319A (zh) * | 2016-08-26 | 2017-01-25 | 南京安全无忧网络科技有限公司 | 一种安全风险评估系统和方法 |
| CN107277061A (zh) * | 2017-08-08 | 2017-10-20 | 四川长虹电器股份有限公司 | 基于iot设备的端云安全通信方法 |
| CN110505216A (zh) * | 2019-08-02 | 2019-11-26 | 阿里巴巴集团控股有限公司 | 一种物联网风险防控方法、装置、系统及电子设备 |
| CN112968908A (zh) * | 2021-03-26 | 2021-06-15 | 中国电子科技集团公司第三十研究所 | 具有数据汇聚和单向传输的物联网安全网关及实现方法 |
| CN113285807A (zh) * | 2021-05-14 | 2021-08-20 | 广东美房智高机器人有限公司 | 一种智能设备入网鉴权的方法和系统 |
-
2021
- 2021-08-23 CN CN202110969209.9A patent/CN113747428A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106355319A (zh) * | 2016-08-26 | 2017-01-25 | 南京安全无忧网络科技有限公司 | 一种安全风险评估系统和方法 |
| CN107277061A (zh) * | 2017-08-08 | 2017-10-20 | 四川长虹电器股份有限公司 | 基于iot设备的端云安全通信方法 |
| CN110505216A (zh) * | 2019-08-02 | 2019-11-26 | 阿里巴巴集团控股有限公司 | 一种物联网风险防控方法、装置、系统及电子设备 |
| CN112968908A (zh) * | 2021-03-26 | 2021-06-15 | 中国电子科技集团公司第三十研究所 | 具有数据汇聚和单向传输的物联网安全网关及实现方法 |
| CN113285807A (zh) * | 2021-05-14 | 2021-08-20 | 广东美房智高机器人有限公司 | 一种智能设备入网鉴权的方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 黄爽;黄必清;: "云制造平台安全体系架构", 计算机集成制造系统, no. 04 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9954687B2 (en) | Establishing a wireless connection to a wireless access point | |
| EP2963958B1 (en) | Network device, terminal device and information security improving method | |
| US10554406B1 (en) | Authorized data sharing using smart contracts | |
| US11829502B2 (en) | Data sharing via distributed ledgers | |
| US10278069B2 (en) | Device identification in service authorization | |
| WO2019062666A1 (zh) | 一种实现安全访问内部网络的系统、方法和装置 | |
| US11968302B1 (en) | Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator | |
| JP5602165B2 (ja) | ネットワーク通信を保護する方法および装置 | |
| CN111510288B (zh) | 密钥管理方法、电子设备及存储介质 | |
| CN109729000B (zh) | 一种即时通信方法及装置 | |
| WO2017066995A1 (zh) | 一种非法访问服务器防止方法以及装置 | |
| CN110474921A (zh) | 一种面向局域物联网的感知层数据保真方法 | |
| CN111935187A (zh) | 一种数据访问方法及装置 | |
| CN104579657A (zh) | 身份认证方法及装置 | |
| CN106789987B (zh) | 移动终端单点登录多业务互联app的方法及系统 | |
| US12015721B1 (en) | System and method for dynamic retrieval of certificates with remote lifecycle management | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| KR20170096780A (ko) | 침해사고 정보 연동 시스템 및 방법 | |
| CN113747428A (zh) | 一种基于iot设备的网络安全风险分析方法 | |
| CN114861144A (zh) | 基于区块链的数据权限处理方法 | |
| CN116015961B (zh) | 下挂终端设备的控制处理方法、安全cpe、系统及介质 | |
| CN115334505B (zh) | 面向5g+北斗的多模智能终端安全通信方法及系统 | |
| US12132846B2 (en) | System and method for extended attributes in certificates for dynamic authorization | |
| CN116074129B (zh) | 一种集成与兼容第三方认证的登录方法及系统 | |
| CN113242249B (zh) | 一种会话控制方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |