CN114268508B - 物联网设备安全接入方法、装置、设备及介质 - Google Patents
物联网设备安全接入方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114268508B CN114268508B CN202111647375.3A CN202111647375A CN114268508B CN 114268508 B CN114268508 B CN 114268508B CN 202111647375 A CN202111647375 A CN 202111647375A CN 114268508 B CN114268508 B CN 114268508B
- Authority
- CN
- China
- Prior art keywords
- target
- equipment
- information
- access
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 239000000284 extract Substances 0.000 claims description 5
- 230000006855 networking Effects 0.000 claims 2
- 238000007726 management method Methods 0.000 description 25
- 238000012545 processing Methods 0.000 description 20
- 230000006870 function Effects 0.000 description 17
- 238000004891 communication Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 9
- 238000012550 audit Methods 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 241000700605 Viruses Species 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 238000013473 artificial intelligence Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 210000001503 joint Anatomy 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000003032 molecular docking Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及物联网领域,提供一种物联网设备安全接入方法、装置、设备及介质,从安全策略列表中获取目标设备的目标策略,不同安全等级的待接入设备执行不同的安全策略,不仅更有针对性,且能够避免资源的过度消耗,根据目标策略从目标设备的设备信息中提取目标信息,并根据目标信息生成待认证数据,不同的设备能够生成不同的待认证数据,便于后续进行针对性认证,将目标策略及待认证数据发送至云平台及目标设备进行安全认证,接收云平台对目标设备的安全认证结果,当安全认证结果显示目标设备通过认证时,允许目标设备接入云平台,进而通过边缘网关辅助进行设备的接入认证,降低了云计算的压力。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及一种物联网设备安全接入方法、装置、设备及介质。
背景技术
物联网中的边缘网关能够实现对感知类和视频类等非标设备的边缘侧统一接入,在接入云平台时,需要安全的终端准入控制,才能保证安全,避免有设备恶意接入,造成安全隐患。
但是,在目前的物联网设备安全接入模式下,通常都是在云平台上根据统一的认证方式进行处理,不仅缺乏灵活性,且云计算的资源消耗较高,成本也较高,给云平台造成较高的运行负担。
发明内容
鉴于以上内容,有必要提供一种物联网设备安全接入方法、装置、设备及介质,旨在解决设备请求接入云平台时消耗资源高,且不够灵活的问题。
一种物联网设备安全接入方法,所述物联网设备安全接入方法包括:
响应于目标设备对所述云平台的接入请求,根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略,及获取所述目标设备的设备信息;
根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据;
将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证;
接收所述云平台对所述目标设备的安全认证结果;
当所述安全认证结果显示所述目标设备通过认证时,允许所述目标设备接入所述云平台。
根据本发明优选实施例,在根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略前,所述方法还包括:
每隔预设时间间隔采集所述边缘网关的接入设备的设备信息;
根据所述边缘网关的接入设备的设备信息确定每个接入设备是否具有设备指纹标识码、采用的接入协议类型、是否有密钥安全防护、是否具有设备特征码,得到每个接入设备的确定结果;
根据每个接入设备的确定结果得到每个接入设备的安全策略阈值;
根据每个接入设备的安全策略阈值构建并更新所述安全策略列表。
根据本发明优选实施例,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据包括:
当所述目标策略为第一策略时,从所述目标设备的设备信息中提取MAC地址、设备类型、厂商、型号、操作系统作为所述目标信息;
对所述MAC地址、所述设备类型、所述厂商、所述型号、所述操作系统进行编码,得到所述目标设备的设备指纹标识码;
根据所述设备指纹标识码对所述目标设备进行注册;
注册成功后,获取所述目标设备的注册结果作为所述待认证数据。
根据本发明优选实施例,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第二策略时,从所述目标设备的设备信息中提取设备协议及所述设备协议中设备ID、设备类型、厂商、型号、固件版本号作为所述目标信息;
根据所述设备协议及所述设备协议中设备ID、设备类型、厂商、型号、固件版本号生成目标名单;
将所述目标名单确定为所述待认证数据。
根据本发明优选实施例,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第三策略时,从所述目标设备的设备信息中提取基于密钥密码技术生成的数据加密信息作为所述目标信息;
从所述基于密钥密码技术生成的数据加密信息中获取私钥作为所述待认证数据。
根据本发明优选实施例,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第四策略时,从所述目标设备的设备信息中提取IP地址、MAC地址,生成所述目标设备的设备特征码作为所述目标信息;
绑定所述目标设备的设备特征码与所述目标设备的设备ID,并作为所述待认证数据。
一种物联网设备安全接入方法,应用于云平台,所述云平台与边缘网关相通信,所述物联网设备安全接入方法包括:
响应于目标设备对所述云平台的接入请求,接收所述边缘网关发送的与所述目标设备对应的目标策略及待认证数据;
根据所述目标策略获取基准数据,并利用所述基准数据对所述待认证数据进行安全认证,得到安全认证结果;
将所述安全认证结果发送至所述边缘网关。
一种物联网设备安全接入装置,运行于边缘网关,所述边缘网关与云平台相通信,所述物联网设备安全接入装置包括:
获取单元,用于响应于目标设备对所述云平台的接入请求,根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略,及获取所述目标设备的设备信息;
生成单元,用于根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据;
认证单元,用于将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证;
接收单元,用于接收所述云平台对所述目标设备的安全认证结果;
接入单元,用于当所述安全认证结果显示所述目标设备通过认证时,允许所述目标设备接入所述云平台。
一种物联网设备安全接入系统,运行于云平台,所述云平台与边缘网关相通信,所述物联网设备安全接入系统包括:
接收模块,用于响应于目标设备对所述云平台的接入请求,接收所述边缘网关发送的与所述目标设备对应的目标策略及待认证数据;
认证模块,用于根据所述目标策略获取基准数据,并利用所述基准数据对所述待认证数据进行安全认证,得到安全认证结果;
发送模块,用于将所述安全认证结果发送至所述边缘网关。
一种计算机设备,所述计算机设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现所述物联网设备安全接入方法。
一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被计算机设备中的处理器执行以实现所述物联网设备安全接入方法。
由以上技术方案可以看出,本发明能够响应于目标设备对所述云平台的接入请求,根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略,不同安全等级的待接入设备执行不同的安全策略,不仅更有针对性,且能够避免资源的过度消耗,获取所述目标设备的设备信息,根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据,不同的设备能够生成不同的待认证数据,便于后续进行针对性认证,将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证,接收所述云平台对所述目标设备的安全认证结果,当所述安全认证结果显示所述目标设备通过认证时,允许所述目标设备接入所述云平台,进而通过边缘网关辅助进行设备的接入认证,降低了云计算的压力。
附图说明
图1是本发明物联网设备安全接入方法的较佳实施例的流程图。
图2是本发明物联网设备安全接入方法的另一较佳实施例的流程图。
图3是本发明物联网设备安全接入装置的较佳实施例的功能模块图。
图4是本发明物联网设备安全接入系统的较佳实施例的功能模块图。
图5是本发明实现物联网设备安全接入方法的较佳实施例的计算机设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
如图1所示,是本发明物联网设备安全接入方法的较佳实施例的流程图。根据不同的需求,该流程图中步骤的顺序可以改变,某些步骤可以省略。
所述物联网设备安全接入方法应用于一个或者多个计算机设备中,所述计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(DigitalSignal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是任何一种可与用户进行人机交互的电子产品,例如,个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)、游戏机、交互式网络电视(Internet Protocol Television,IPTV)、智能式穿戴式设备等。
所述计算机设备还可以包括网络设备和/或用户设备。其中,所述网络设备包括,但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量主机或网络服务器构成的云。
所述服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDelivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network,VPN)等。
在本实施例中,所述物联网设备安全接入方法应用于边缘网关,所述边缘网关与云平台相通信。
S10,响应于目标设备对所述云平台的接入请求,根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略,及获取所述目标设备的设备信息。
在本发明的至少一个实施例中,所述安全需求数据可以包括不同系统间约定的策略选择方案、当前的安全等级与策略间的对应关系等。
在根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略前,所述方法还包括:
当检测到所述边缘网关的接入设备首次请求接入所述云平台时,提取所述边缘网关的接入设备的设备信息;
根据所述边缘网关的接入设备的设备信息,向所述云平台请求注册所述边缘网关的接入设备;
在完成注册后,从所述云平台上采集所述边缘网关的接入设备的设备信息;
根据所述边缘网关的接入设备的设备信息确定每个接入设备是否具有设备指纹标识码、采用的接入协议类型、是否有密钥安全防护、是否具有设备特征码,得到每个接入设备的确定结果;
根据每个接入设备的确定结果得到每个接入设备的安全策略阈值;
根据每个接入设备的安全策略阈值构建并更新所述安全策略列表。
例如:当所述目标设备具有所述设备标识码时,编码为1,否则为0。依次类推,当目标设备A具有所述设备标识码,不具有所述设备注册码,没有所述国标协议接入,没有所述私有协议接入,且没有安全防护时,则所述目标设备A的所述安全策略阈值为10000。
在本发明的至少一个实施例中,所述设备信息可以包括,但不限于以下一种或者多种信息的组合:
IP(Internet Protocol,网际互连协议)地址、MAC(Media Access ControlAddress,局域网地址)地址、设备的系统信息、设备类型、设备标识、设备名称。
具体地,在注册时,可以从所述边缘网关的接入设备的设备信息中提取MAC地址、设备类型、厂商、型号、操作系统等信息进行编码,得到所述边缘网关的接入设备的设备特征码,将生成的设备特征码与对应的接入设备进行绑定,并上传至所述云平台(例如:可以上传至所述云平台的资产管理模块),进而实现对所述边缘网关的接入设备的注册。
通过上述实施方式,构建所述安全策略列表,并周期性的维护,能够提前为每个设备的认证做准备,避免实时认证时再计算造成计算资源的过度消耗,影响认证速度。
进一步地,可以根据所述目标设备的名称、设备标识等信息从所述安全策略列表中获取所述目标设备的安全策略作为所述目标策略,本发明对获取的方式不限制。
S11,根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据。
在本发明的至少一个实施例中,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据包括:
当所述目标策略为第一策略时,从所述目标设备的设备信息中提取MAC地址、设备类型、厂商、型号、操作系统作为所述目标信息;
对所述MAC地址、所述设备类型、所述厂商、所述型号、所述操作系统进行编码,得到所述目标设备的设备指纹标识码;
根据所述设备指纹标识码对所述目标设备进行注册;
注册成功后,获取所述目标设备的注册结果作为所述待认证数据。
在本实施例中,对编码的方式不做限制,例如,可以采用独热编码等编码算法。
需要说明的是,注册成功后才能判断是否生效,并进一步判断所述目标设备是否具备接入所述云平台的权限。
在本发明的至少一个实施例中,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第二策略时,从所述目标设备的设备信息中提取设备协议及所述设备协议中设备ID、设备类型、厂商、型号、固件版本号作为所述目标信息;
根据所述设备协议及所述设备协议中设备ID、设备类型、厂商、型号、固件版本号生成目标名单;
将所述目标名单确定为所述待认证数据。
其中,所述设备协议可以属于:国标协议特征库、主流安防厂家的私有协议特征库等。
其中,所述目标名单相当于一个白名单,在所述目标名单中的设备具有接入所述云平台的权限。
在本发明的至少一个实施例中,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第三策略时,从所述目标设备的设备信息中提取基于密钥密码技术生成的数据加密信息作为所述目标信息;
从所述基于密钥密码技术生成的数据加密信息中获取私钥作为所述待认证数据。
其中,所述秘钥信息可以包括数字身份证书等,本发明不限制。
进一步地,可以利用公钥密码体系实现对所述目标设备的准入认证。
在本发明的至少一个实施例中,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第四策略时,从所述目标设备的设备信息中提取IP地址、MAC地址,生成所述目标设备的设备特征码作为所述目标信息;
绑定所述目标设备的设备特征码与所述目标设备的设备ID,并作为所述待认证数据。
在本实施例中,根据每个待接入设备不同的安全等级配置不同的安全认证策略进行有针对性的认证,避免由于采用统一的认证方式造成不必要的计算负担,在保证安全的同时,认证更加灵活,且效率也较高。
S12,将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证。
在本实施例中,可以通过与所述云平台及所述目标设备分别建立会话的方式,将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证,在此不赘述。
S13,接收所述云平台对所述目标设备的安全认证结果。
具体地,所述安全认证结果可以包括:
通过认证:表示允许所述目标设备接入所述云平台;
未通过认证:表示禁止所述目标设备接入所述云平台。
S14,当所述安全认证结果显示所述目标设备通过认证时,允许所述目标设备接入所述云平台。
通过上述实施方式,能够以所述边缘网关对所述设备的安全接入进行辅助认证,降低了云平台的计算压力,保证了所述云平台的性能。
由以上技术方案可以看出,本发明能够响应于目标设备对所述云平台的接入请求,根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略,不同安全等级的待接入设备执行不同的安全策略,不仅更有针对性,且能够避免资源的过度消耗,获取所述目标设备的设备信息,根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据,不同的设备能够生成不同的待认证数据,便于后续进行针对性认证,将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证,接收所述云平台对所述目标设备的安全认证结果,当所述安全认证结果显示所述目标设备通过认证时,允许所述目标设备接入所述云平台,进而通过边缘网关辅助进行设备的接入认证,降低了云计算的压力。
如图2所示,是本发明物联网设备安全接入方法的另一较佳实施例的流程图。根据不同的需求,该流程图中步骤的顺序可以改变,某些步骤可以省略。
在本实施例中,所述物联网设备安全接入方法应用于云平台,所述云平台与边缘网关相通信。
S20,响应于目标设备对所述云平台的接入请求,接收所述边缘网关发送的与所述目标设备对应的目标策略及待认证数据。
其中,所述目标设备可以为摄像装置、视频服务器等。
在本实施例中,所述云平台可以包括资产管理模块及安全防护模块。
其中,所述资产管理模块用于存储每个接入设备的注册数据等,以作为接入时认证的比对基础。
其中,所述安全防护模块用于进行接入设备的识别、认证及管理。
在本实施例中,所述云平台还可以包括,但不限于以下功能子模块:
视频设备控制服务:集成摄像机厂家SDK(软件开发工具包),处理非国标信令报文、流媒体报文,在视频设备和视频中心之间起“翻译”作用。
虚拟专用网服务:为视频数据提供传输加密服务,与APU(AcceleratedProcessing Unit,加速处理器)建立端到端的隧道站点。
应用处理引擎:负责网络应用报文的控制,包括设备/应用的准入、阻断、允许、带宽控制、时间控制等;提供大包(视频数据)加速转发能力。
设备指纹库:DPI(深度报文识别)库子集。对各厂家流量特征包进行识别,形成设备指纹信息。
入侵检测库:用于识别通信流量中携带的攻击行为,如服务探测、远程代码执行、非法外连。
深度报文识别库:用于识别视频设备和视频中心的通信流量,提供协议识别支持,可识别数千种应用特征。
病毒查杀库:用于检测视频设备和视频中心的通信流量中携带的可执行文件病毒(木马、病毒)。支持检测POP3(Post Office Protocol 3,邮局协议的第3个版本)、SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)、HTTP(Hyper Text TransferProtocol,超文本传输协议)的附件。
防火墙模块:对视频云平台提供基础安全防护,抵御TCP/UDP、IP等层级的DDOS攻击;对建立的会话进行状态检测、控制。
日志采集模块:详细记录各类安全日志,如IPS(n-Plane Switching,平面转换)、AV、信令转发、流媒体播放、身份认证日志等。
视频处理引擎:为流量中的视频图像进行加密;加载视频水印。
日志管理模块:对接日志采集模块和视频云平台内部系统日志,提供日志对接及存储能力。
安全资产管理模块:对视频云平台所有接入设备的安全信息进行统一管理。
数据处理引擎:提供日志分析、态势分析、数据处理等功能。
安全审计模块:对接视频云平台操作审计信息,收集视频云平台内部各种审计数据。
密钥服务模块:开放统一密钥服务接口,为前端设备和视频云内部系统提供证书签发、查询、验证等管理功能,同时具备对称密钥管理功能。
安全管理模块:提供统一管理平台入口,方便管理员对安全接入网关、安全防护等进行统一管理。
态势感知模块:根据日志、资产、审计等信息,预测平台整体安全态势。
在本实施例中,所述安全防护模块可以从所述资产管理模块中获取用于认证的基准数据,并利用所述基准数据与所述待认证数据进行对比,得到并下发安全认证的结果。
S21,根据所述目标策略获取基准数据,并利用所述基准数据对所述待认证数据进行安全认证,得到安全认证结果。
其中,所述基准数据包括秘钥信息(如公钥)、设备的注册结果、存储设备协议的名单等。
具体地,所述利用所述基准数据对所述待认证数据进行安全认证,得到安全认证结果包括:
当所述目标策略为第一策略时,判断所述目标设备的注册结果是否生效,当所述注册结果生效,且显示所述目标设备注册成功时,确定所述目标设备通过认证;或者
当所述目标策略为第二策略时,判断所述目标设备是否在所述目标名单中,当所述目标设备在所述目标名单中时,确定所述目标设备通过认证;或者
当所述目标策略为第三策略时,验证所述秘钥信息,当通过所述秘钥信息能够成功解密时,确定所述目标设备通过认证。
通过上述实施方式,能够对不同安全等级的设备进行有针对性的安全认证,在保证安全的同时,降低了认证时的计算成本。
S22,将所述安全认证结果发送至所述边缘网关。
具体地,可以通过与所述边缘网关建立会话的方式将所述安全认证结果发送至所述边缘网关。
由以上技术方案可以看出,本发明能够通过边缘网关辅助进行设备的接入认证,降低了云计算的压力。
如图3所示,是本发明物联网设备安全接入装置的较佳实施例的功能模块图。所述物联网设备安全接入装置11包括获取单元110、生成单元111、认证单元112、接收单元113、接入单元114。本发明所称的模块/单元是指一种能够被处理器13所执行,并且能够完成固定功能的一系列计算机程序段,其存储在存储器12中。在本实施例中,关于各模块/单元的功能将在后续的实施例中详述。
在本实施例中,所述物联网设备安全接入装置11运行于边缘网关,所述边缘网关与云平台相通信。
响应于目标设备对所述云平台的接入请求,获取单元110根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略,及获取所述目标设备的设备信息。
在本发明的至少一个实施例中,所述安全需求数据可以包括不同系统间约定的策略选择方案、当前的安全等级与策略间的对应关系等。
在根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略前,当检测到所述边缘网关的接入设备首次请求接入所述云平台时,提取所述边缘网关的接入设备的设备信息;
根据所述边缘网关的接入设备的设备信息,向所述云平台请求注册所述边缘网关的接入设备;
在完成注册后,从所述云平台上采集所述边缘网关的接入设备的设备信息;
根据所述边缘网关的接入设备的设备信息确定每个接入设备是否具有设备指纹标识码、采用的接入协议类型、是否有密钥安全防护、是否具有设备特征码,得到每个接入设备的确定结果;
根据每个接入设备的确定结果得到每个接入设备的安全策略阈值;
根据每个接入设备的安全策略阈值构建并更新所述安全策略列表。
例如:当所述目标设备具有所述设备标识码时,编码为1,否则为0。依次类推,当目标设备A具有所述设备标识码,不具有所述设备注册码,没有所述国标协议接入,没有所述私有协议接入,且没有安全防护时,则所述目标设备A的所述安全策略阈值为10000。
在本发明的至少一个实施例中,所述设备信息可以包括,但不限于以下一种或者多种信息的组合:
IP(Internet Protocol,网际互连协议)地址、MAC(Media Access ControlAddress,局域网地址)地址、设备的系统信息、设备类型、设备标识、设备名称。
具体地,在注册时,可以从所述边缘网关的接入设备的设备信息中提取MAC地址、设备类型、厂商、型号、操作系统等信息进行编码,得到所述边缘网关的接入设备的设备特征码,将生成的设备特征码与对应的接入设备进行绑定,并上传至所述云平台(例如:可以上传至所述云平台的资产管理模块),进而实现对所述边缘网关的接入设备的注册。
通过上述实施方式,构建所述安全策略列表,并周期性的维护,能够提前为每个设备的认证做准备,避免实时认证时再计算造成计算资源的过度消耗,影响认证速度。
进一步地,可以根据所述目标设备的名称、设备标识等信息从所述安全策略列表中获取所述目标设备的安全策略作为所述目标策略,本发明对获取的方式不限制。
生成单元111根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据。
在本发明的至少一个实施例中,所述生成单元111根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据包括:
当所述目标策略为第一策略时,从所述目标设备的设备信息中提取MAC地址、设备类型、厂商、型号、操作系统作为所述目标信息;
对所述MAC地址、所述设备类型、所述厂商、所述型号、所述操作系统进行编码,得到所述目标设备的设备指纹标识码;
根据所述设备指纹标识码对所述目标设备进行注册;
注册成功后,获取所述目标设备的注册结果作为所述待认证数据。
在本实施例中,对编码的方式不做限制,例如,可以采用独热编码等编码算法。
需要说明的是,注册成功后才能判断是否生效,并进一步判断所述目标设备是否具备接入所述云平台的权限。
在本发明的至少一个实施例中,所述生成单元111根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第二策略时,从所述目标设备的设备信息中提取设备协议及所述设备协议中设备ID、设备类型、厂商、型号、固件版本号作为所述目标信息;
根据所述设备协议及所述设备协议中设备ID、设备类型、厂商、型号、固件版本号生成目标名单;
将所述目标名单确定为所述待认证数据。
其中,所述设备协议可以属于:国标协议特征库、主流安防厂家的私有协议特征库等。
其中,所述目标名单相当于一个白名单,在所述目标名单中的设备具有接入所述云平台的权限。
在本发明的至少一个实施例中,所述生成单元111根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第三策略时,从所述目标设备的设备信息中提取基于密钥密码技术生成的数据加密信息作为所述目标信息;
从所述基于密钥密码技术生成的数据加密信息中获取私钥作为所述待认证数据。
其中,所述秘钥信息可以包括数字身份证书等,本发明不限制。
进一步地,可以利用公钥密码体系实现对所述目标设备的准入认证。
在本发明的至少一个实施例中,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第四策略时,从所述目标设备的设备信息中提取IP地址、MAC地址,生成所述目标设备的设备特征码作为所述目标信息;
绑定所述目标设备的设备特征码与所述目标设备的设备ID,并作为所述待认证数据。
在本实施例中,根据每个待接入设备不同的安全等级配置不同的安全认证策略进行有针对性的认证,避免由于采用统一的认证方式造成不必要的计算负担,在保证安全的同时,认证更加灵活,且效率也较高。
认证单元112将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证。
在本实施例中,可以通过与所述云平台及所述目标设备分别建立会话的方式,将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证,在此不赘述。
接收单元113接收所述云平台对所述目标设备的安全认证结果。
具体地,所述安全认证结果可以包括:
通过认证:表示允许所述目标设备接入所述云平台;
未通过认证:表示禁止所述目标设备接入所述云平台。
当所述安全认证结果显示所述目标设备通过认证时,接入单元114允许所述目标设备接入所述云平台。
通过上述实施方式,能够以所述边缘网关对所述设备的安全接入进行辅助认证,降低了云平台的计算压力,保证了所述云平台的性能。
由以上技术方案可以看出,本发明能够响应于目标设备对所述云平台的接入请求,根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略,不同安全等级的待接入设备执行不同的安全策略,不仅更有针对性,且能够避免资源的过度消耗,获取所述目标设备的设备信息,根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据,不同的设备能够生成不同的待认证数据,便于后续进行针对性认证,将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证,接收所述云平台对所述目标设备的安全认证结果,当所述安全认证结果显示所述目标设备通过认证时,允许所述目标设备接入所述云平台,进而通过边缘网关辅助进行设备的接入认证,降低了云计算的压力。
如图4所示,是本发明物联网设备安全接入系统的较佳实施例的功能模块图。所述物联网设备安全接入系统22包括接收模块220、认证模块221、发送模块222。本发明所称的模块/单元是指一种能够被处理器13所执行,并且能够完成固定功能的一系列计算机程序段,其存储在存储器12中。在本实施例中,关于各模块/单元的功能将在后续的实施例中详述。
在本实施例中,所述物联网设备安全接入系统22应用于云平台,所述云平台与边缘网关相通信。
响应于目标设备对所述云平台的接入请求,接收模块220接收所述边缘网关发送的与所述目标设备对应的目标策略及待认证数据。
其中,所述目标设备可以为摄像装置、视频服务器等。
在本实施例中,所述云平台可以包括资产管理模块及安全防护模块。
其中,所述资产管理模块用于存储每个接入设备的注册数据等,以作为接入时认证的比对基础。
其中,所述安全防护模块用于进行接入设备的识别、认证及管理。
在本实施例中,所述云平台还可以包括,但不限于以下功能子模块:
视频设备控制服务:集成摄像机厂家SDK(软件开发工具包),处理非国标信令报文、流媒体报文,在视频设备和视频中心之间起“翻译”作用。
虚拟专用网服务:为视频数据提供传输加密服务,与APU(AcceleratedProcessing Unit,加速处理器)建立端到端的隧道站点。
应用处理引擎:负责网络应用报文的控制,包括设备/应用的准入、阻断、允许、带宽控制、时间控制等;提供大包(视频数据)加速转发能力。
设备指纹库:DPI(深度报文识别)库子集。对各厂家流量特征包进行识别,形成设备指纹信息。
入侵检测库:用于识别通信流量中携带的攻击行为,如服务探测、远程代码执行、非法外连。
深度报文识别库:用于识别视频设备和视频中心的通信流量,提供协议识别支持,可识别数千种应用特征。
病毒查杀库:用于检测视频设备和视频中心的通信流量中携带的可执行文件病毒(木马、病毒)。支持检测POP3(Post Office Protocol 3,邮局协议的第3个版本)、SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)、HTTP(Hyper Text TransferProtocol,超文本传输协议)的附件。
防火墙模块:对视频云平台提供基础安全防护,抵御TCP/UDP、IP等层级的DDOS攻击;对建立的会话进行状态检测、控制。
日志采集模块:详细记录各类安全日志,如IPS(n-Plane Switching,平面转换)、AV、信令转发、流媒体播放、身份认证日志等。
视频处理引擎:为流量中的视频图像进行加密;加载视频水印。
日志管理模块:对接日志采集模块和视频云平台内部系统日志,提供日志对接及存储能力。
安全资产管理模块:对视频云平台所有接入设备的安全信息进行统一管理。
数据处理引擎:提供日志分析、态势分析、数据处理等功能。
安全审计模块:对接视频云平台操作审计信息,收集视频云平台内部各种审计数据。
密钥服务模块:开放统一密钥服务接口,为前端设备和视频云内部系统提供证书签发、查询、验证等管理功能,同时具备对称密钥管理功能。
安全管理模块:提供统一管理平台入口,方便管理员对安全接入网关、安全防护等进行统一管理。
态势感知模块:根据日志、资产、审计等信息,预测平台整体安全态势。
在本实施例中,所述安全防护模块可以从所述资产管理模块中获取用于认证的基准数据,并利用所述基准数据与所述待认证数据进行对比,得到并下发安全认证的结果。
认证模块221根据所述目标策略获取基准数据,并利用所述基准数据对所述待认证数据进行安全认证,得到安全认证结果。
其中,所述基准数据包括秘钥信息(如公钥)、设备的注册结果、存储设备协议的名单等。
具体地,所述认证模块221利用所述基准数据对所述待认证数据进行安全认证,得到安全认证结果包括:
当所述目标策略为第一策略时,判断所述目标设备的注册结果是否生效,当所述注册结果生效,且显示所述目标设备注册成功时,确定所述目标设备通过认证;或者
当所述目标策略为第二策略时,判断所述目标设备是否在所述目标名单中,当所述目标设备在所述目标名单中时,确定所述目标设备通过认证;或者
当所述目标策略为第三策略时,验证所述秘钥信息,当通过所述秘钥信息能够成功解密时,确定所述目标设备通过认证。
通过上述实施方式,能够对不同安全等级的设备进行有针对性的安全认证,在保证安全的同时,降低了认证时的计算成本。
发送模块222将所述安全认证结果发送至所述边缘网关。
具体地,可以通过与所述边缘网关建立会话的方式将所述安全认证结果发送至所述边缘网关。
由以上技术方案可以看出,本发明能够通过边缘网关辅助进行设备的接入认证,降低了云计算的压力。
如图5所示,是本发明实现物联网设备安全接入方法的较佳实施例的计算机设备的结构示意图。
所述计算机设备1可以包括存储器12、处理器13和总线,还可以包括存储在所述存储器12中并可在所述处理器13上运行的计算机程序,例如物联网设备安全接入程序。
本领域技术人员可以理解,所述示意图仅仅是计算机设备1的示例,并不构成对计算机设备1的限定,所述计算机设备1既可以是总线型结构,也可以是星形结构,所述计算机设备1还可以包括比图示更多或更少的其他硬件或者软件,或者不同的部件布置,例如所述计算机设备1还可以包括输入输出设备、网络接入设备等。
需要说明的是,所述计算机设备1仅为举例,其他现有的或今后可能出现的电子产品如可适应于本发明,也应包含在本发明的保护范围以内,并以引用方式包含于此。
其中,存储器12至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器12在一些实施例中可以是计算机设备1的内部存储单元,例如该计算机设备1的移动硬盘。存储器12在另一些实施例中也可以是计算机设备1的外部存储设备,例如计算机设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)等。进一步地,存储器12还可以既包括计算机设备1的内部存储单元也包括外部存储设备。存储器12不仅可以用于存储安装于计算机设备1的应用软件及各类数据,例如物联网设备安全接入程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器13在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。处理器13是所述计算机设备1的控制核心(Control Unit),利用各种接口和线路连接整个计算机设备1的各个部件,通过运行或执行存储在所述存储器12内的程序或者模块(例如执行物联网设备安全接入程序等),以及调用存储在所述存储器12内的数据,以执行计算机设备1的各种功能和处理数据。
所述处理器13执行所述计算机设备1的操作系统以及安装的各类应用程序。所述处理器13执行所述应用程序以实现上述各个物联网设备安全接入方法实施例中的步骤,例如图1、图2所示的步骤。
示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器12中,并由所述处理器13执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令段,该指令段用于描述所述计算机程序在所述计算机设备1中的执行过程。例如,所述计算机程序可以被分割成获取单元110、生成单元111、认证单元112、接收单元113、接入单元114,及/或接收模块220、认证模块221、发送模块222。
上述以软件功能模块的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、计算机设备,或者网络设备等)或处理器(processor)执行本发明各个实施例所述物联网设备安全接入方法的部分。
所述计算机设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指示相关的硬件设备来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。
其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器等。
进一步地,计算机可读存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
总线可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,在图5中仅用一根直线表示,但并不表示仅有一根总线或一种类型的总线。所述总线被设置为实现所述存储器12以及至少一个处理器13等之间的连接通信。
尽管未示出,所述计算机设备1还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器13逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述计算机设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
进一步地,所述计算机设备1还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该计算机设备1与其他计算机设备之间建立通信连接。
可选地,该计算机设备1还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在计算机设备1中处理的信息以及用于显示可视化的用户界面。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
图5仅示出了具有组件12-13的计算机设备1,本领域技术人员可以理解的是,图5示出的结构并不构成对所述计算机设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
结合图1,所述计算机设备1中的所述存储器12存储多个指令以实现一种物联网设备安全接入方法,所述处理器13可执行所述多个指令从而实现:
响应于目标设备对所述云平台的接入请求,根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略,及获取所述目标设备的设备信息;
根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据;
将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证;
接收所述云平台对所述目标设备的安全认证结果;
当所述安全认证结果显示所述目标设备通过认证时,允许所述目标设备接入所述云平台。
结合图2,所述计算机设备1中的所述存储器12存储多个指令以实现一种物联网设备安全接入方法,所述处理器13可执行所述多个指令从而实现:
响应于目标设备对所述云平台的接入请求,接收所述边缘网关发送的与所述目标设备对应的目标策略及待认证数据;
根据所述目标策略获取基准数据,并利用所述基准数据对所述待认证数据进行安全认证,得到安全认证结果;
将所述安全认证结果发送至所述边缘网关。
具体地,所述处理器13对上述指令的具体实现方法可参考图1及图2对应实施例中相关步骤的描述,在此不赘述。
需要说明的是,本案中所涉及到的数据均为合法取得。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
本发明可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。本发明中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种物联网设备安全接入方法,应用于边缘网关,所述边缘网关与云平台相通信,其特征在于,所述物联网设备安全接入方法包括:
响应于目标设备对所述云平台的接入请求,根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略,及获取所述目标设备的设备信息;
根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据;
将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证;
接收所述云平台对所述目标设备的安全认证结果;
当所述安全认证结果显示所述目标设备通过认证时,允许所述目标设备接入所述云平台。
2.如权利要求1所述的物联网设备安全接入方法,其特征在于,在根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略前,所述方法还包括:
当检测到所述边缘网关的接入设备首次请求接入所述云平台时,提取所述边缘网关的接入设备的设备信息;
根据所述边缘网关的接入设备的设备信息,向所述云平台请求注册所述边缘网关的接入设备;
在完成注册后,从所述云平台上采集所述边缘网关的接入设备的设备信息;
根据所述边缘网关的接入设备的设备信息确定每个接入设备是否具有设备指纹标识码、采用的接入协议类型、是否有密钥安全防护、是否具有设备特征码,得到每个接入设备的确定结果;
根据每个接入设备的确定结果得到每个接入设备的安全策略阈值;
根据每个接入设备的安全策略阈值构建并更新所述安全策略列表。
3.如权利要求1所述的物联网设备安全接入方法,其特征在于,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据包括:
当所述目标策略为第一策略时,从所述目标设备的设备信息中提取MAC地址、设备类型、厂商、型号、操作系统作为所述目标信息;
对所述MAC地址、所述设备类型、所述厂商、所述型号、所述操作系统进行编码,得到所述目标设备的设备指纹标识码;
根据所述设备指纹标识码对所述目标设备进行注册;
注册成功后,获取所述目标设备的注册结果作为所述待认证数据。
4.如权利要求1所述的物联网设备安全接入方法,其特征在于,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第二策略时,从所述目标设备的设备信息中提取设备协议及所述设备协议中设备ID、设备类型、厂商、型号、固件版本号作为所述目标信息;
根据所述设备协议及所述设备协议中设备ID、设备类型、厂商、型号、固件版本号生成目标名单;
将所述目标名单确定为所述待认证数据。
5.如权利要求1所述的物联网设备安全接入方法,其特征在于,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第三策略时,从所述目标设备的设备信息中提取基于密钥密码技术生成的数据加密信息作为所述目标信息;
从所述基于密钥密码技术生成的数据加密信息中获取私钥作为所述待认证数据。
6.如权利要求1所述的物联网设备安全接入方法,其特征在于,所述根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据还包括:
当所述目标策略为第四策略时,从所述目标设备的设备信息中提取IP地址、MAC地址,生成所述目标设备的设备特征码作为所述目标信息;
绑定所述目标设备的设备特征码与所述目标设备的设备ID,并作为所述待认证数据。
7.一种物联网设备安全接入方法,应用于云平台,所述云平台与边缘网关相通信,其特征在于,所述物联网设备安全接入方法包括:
响应于目标设备对所述云平台的接入请求,接收所述边缘网关发送的与所述目标设备对应的目标策略及待认证数据;其中,所述目标策略为所述边缘网关根据安全需求数据从预先维护的安全策略列表中适配的所述目标设备的安全策略;所述待认证数据为所述边缘网关根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息而生成;
根据所述目标策略获取基准数据,并利用所述基准数据对所述待认证数据进行安全认证,得到安全认证结果;
将所述安全认证结果发送至所述边缘网关。
8.一种物联网设备安全接入装置,运行于边缘网关,所述边缘网关与云平台相通信,其特征在于,所述物联网设备安全接入装置包括:
获取单元,用于响应于目标设备对所述云平台的接入请求,根据安全需求数据从预先维护的安全策略列表中适配所述目标设备的安全策略作为目标策略,及获取所述目标设备的设备信息;
生成单元,用于根据所述目标策略从所述目标设备的设备信息中提取目标信息,并根据所述目标信息生成待认证数据;
认证单元,用于将所述目标策略及所述待认证数据发送至所述云平台及所述目标设备进行安全认证;
接收单元,用于接收所述云平台对所述目标设备的安全认证结果;
接入单元,用于当所述安全认证结果显示所述目标设备通过认证时,允许所述目标设备接入所述云平台。
9.一种计算机设备,其特征在于,所述计算机设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现如权利要求1至6及/或7中任意一项所述的物联网设备安全接入方法。
10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被计算机设备中的处理器执行以实现如权利要求1至6及/或7中任意一项所述的物联网设备安全接入方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111647375.3A CN114268508B (zh) | 2021-12-30 | 2021-12-30 | 物联网设备安全接入方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111647375.3A CN114268508B (zh) | 2021-12-30 | 2021-12-30 | 物联网设备安全接入方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114268508A CN114268508A (zh) | 2022-04-01 |
CN114268508B true CN114268508B (zh) | 2023-08-18 |
Family
ID=80831606
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111647375.3A Active CN114268508B (zh) | 2021-12-30 | 2021-12-30 | 物联网设备安全接入方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114268508B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115022365A (zh) * | 2022-05-31 | 2022-09-06 | 新奥数能科技有限公司 | Dtu设备的接入方法、装置、电子设备及存储介质 |
CN115102769A (zh) * | 2022-06-24 | 2022-09-23 | 国家石油天然气管网集团有限公司 | Scada系统接入认证方法、装置、设备和存储介质 |
CN115225366A (zh) * | 2022-07-14 | 2022-10-21 | 国网智能电网研究院有限公司 | 一种接入行为的处理方法及装置 |
CN115412325A (zh) * | 2022-08-23 | 2022-11-29 | 北京金和网络股份有限公司 | 一种物联网平台设备接入管理的方法和装置 |
CN117235761B (zh) * | 2023-09-22 | 2024-04-19 | 北京宝联之星科技股份有限公司 | 一种基于云计算的数据安全处理方法、系统和存储介质 |
CN117527861B (zh) * | 2024-01-05 | 2024-03-22 | 四川盛邦润达科技有限公司 | 一种设备接入方法、物联网网关和物联网可视化平台 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9148408B1 (en) * | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
CN106161378A (zh) * | 2015-04-13 | 2016-11-23 | 中国移动通信集团公司 | 安全服务装置、方法以及业务处理装置、方法和系统 |
KR20170078316A (ko) * | 2015-12-29 | 2017-07-07 | 주식회사 마크애니 | 사용자 모바일 단말을 이용한 보안 관리 시스템 및 그 방법 |
CN110855707A (zh) * | 2019-11-26 | 2020-02-28 | 成都电科信安科技有限公司 | 物联网通信管道安全控制系统和方法 |
CN111918284A (zh) * | 2020-07-24 | 2020-11-10 | 郑州信大捷安信息技术股份有限公司 | 一种基于安全通信模组的安全通信方法及系统 |
CN112615829A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种终端接入认证方法及系统 |
CN113206886A (zh) * | 2021-05-08 | 2021-08-03 | 深圳市信锐网科技术有限公司 | 一种设备接入物联网平台的方法、装置、设备、介质 |
CN113612771A (zh) * | 2021-08-03 | 2021-11-05 | 烽火通信科技股份有限公司 | 一种基于物联认证的保护方法和装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9794227B2 (en) * | 2014-03-07 | 2017-10-17 | Microsoft Technology Licensing, Llc | Automatic detection of authentication methods by a gateway |
CN105007581B (zh) * | 2015-08-12 | 2018-03-20 | 腾讯科技(深圳)有限公司 | 一种上网认证方法及客户端 |
US11381575B2 (en) * | 2019-05-03 | 2022-07-05 | Microsoft Technology Licensing, Llc | Controlling access to resources of edge devices |
-
2021
- 2021-12-30 CN CN202111647375.3A patent/CN114268508B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9148408B1 (en) * | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
CN106161378A (zh) * | 2015-04-13 | 2016-11-23 | 中国移动通信集团公司 | 安全服务装置、方法以及业务处理装置、方法和系统 |
KR20170078316A (ko) * | 2015-12-29 | 2017-07-07 | 주식회사 마크애니 | 사용자 모바일 단말을 이용한 보안 관리 시스템 및 그 방법 |
CN110855707A (zh) * | 2019-11-26 | 2020-02-28 | 成都电科信安科技有限公司 | 物联网通信管道安全控制系统和方法 |
CN111918284A (zh) * | 2020-07-24 | 2020-11-10 | 郑州信大捷安信息技术股份有限公司 | 一种基于安全通信模组的安全通信方法及系统 |
CN112615829A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种终端接入认证方法及系统 |
CN113206886A (zh) * | 2021-05-08 | 2021-08-03 | 深圳市信锐网科技术有限公司 | 一种设备接入物联网平台的方法、装置、设备、介质 |
CN113612771A (zh) * | 2021-08-03 | 2021-11-05 | 烽火通信科技股份有限公司 | 一种基于物联认证的保护方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114268508A (zh) | 2022-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114268508B (zh) | 物联网设备安全接入方法、装置、设备及介质 | |
CN112073400B (zh) | 一种访问控制方法、系统、装置及计算设备 | |
Bhushan et al. | Security challenges in cloud computing: state-of-art | |
US8539570B2 (en) | Method for managing a virtual machine | |
US8336108B2 (en) | Method and system for collaboration involving enterprise nodes | |
US20080320499A1 (en) | Method and System for Direct Insertion of a Virtual Machine Driver | |
US20150347751A1 (en) | System and method for monitoring data in a client environment | |
US20080256612A1 (en) | Method and system for stateless validation | |
CN113542253B (zh) | 一种网络流量检测方法、装置、设备及介质 | |
CN114301670B (zh) | 基于ipv6地址的终端认证方法、装置、设备及介质 | |
RU2584506C1 (ru) | Система и способ защиты операций с электронными деньгами | |
CN114390051A (zh) | 一种基于物流边缘网关的数据管理设备及其控制方法 | |
CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
CN114827161B (zh) | 服务调用请求发送方法、装置、电子设备及可读存储介质 | |
US10965693B2 (en) | Method and system for detecting movement of malware and other potential threats | |
EP1875712A1 (en) | Method, system, and program product for connecting a client to a network | |
CN116910816B (zh) | 一种提高隐私保护下的多方资产协同管理方法及装置 | |
CN114826725B (zh) | 数据交互方法、装置、设备及存储介质 | |
Benzidane et al. | Application-based authentication on an inter-VM traffic in a cloud environment | |
Sersemis et al. | A novel cybersecurity architecture for iov communication | |
CN113726917A (zh) | 域名确定方法、装置和电子设备 | |
CN112788045B (zh) | 网络摄像机的安全防护方法及装置 | |
CN114143048B (zh) | 一种安全资源管理的方法、装置及存储介质 | |
KR102534012B1 (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 | |
CN114826612B (zh) | 数据交互方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |