CN115361160A - 一种对物联网系统进行网络安全防护的方法及系统 - Google Patents
一种对物联网系统进行网络安全防护的方法及系统 Download PDFInfo
- Publication number
- CN115361160A CN115361160A CN202210775607.1A CN202210775607A CN115361160A CN 115361160 A CN115361160 A CN 115361160A CN 202210775607 A CN202210775607 A CN 202210775607A CN 115361160 A CN115361160 A CN 115361160A
- Authority
- CN
- China
- Prior art keywords
- equipment
- internet
- things
- module
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对物联网系统进行网络安全防护的方法及系统,包括数据处理模块、设备管理模块、设备安全认证模块、数据存储装置、智能合约模块、通信装置、加密装置、云端数据服务器;所述的设备管理模块、设备安全认证模块、数据存储装置、智能合约模块、通信装置、加密装置分别与所述的数据处理模块连接;所述的云端数据服务器与所述的通信装置通信连接。通过本发明可以为物联网提供信任、透明性、分布式存储等支持,从而构建高效、可信、安全的分布式物联网网络,为物联网用户安全和隐私提供有效保障。
Description
技术领域
本发明涉及物联网技术领域,具体是一种对物联网系统进行网络安全防护的方法及系统。
背景技术
物联网通过网络技术将传感器、控制器和机器设备等连接起来,通过物物相连实现机器设备智能化管理和控制。物联网通常可以被定义为一个真正的对象,一个分散的、具有较低的存储容量和处理能力,同时旨在提高智能设备的可靠性和安全性的对象,物联网已经引起了人们的广泛关注,随着越来越多重要的设备(摄像头、家用电器、手机、个人医疗设备)连接到网络,物联网将会与我们的日常生活无形且紧密地联系在一起,但同时,飞速壮大的物联网生态体系面临着不断增加的设备种类、呈指数增长的数据流量以及越来越严峻的信息安全防护等难题,特别是在当前物联网组网模式下,连入的设备通常采用中心化的代理模式或者服务器/用户端模式进行通信,中心化云服务器需要处理数以百亿设备产生的数据流量;
物联网的规模得到迅速地提升,设备连接数呈指数增长。海量的设备接入使网络变得更开放复杂,带来了巨大的信息安全风险,安全和隐私问题成为制约物联网发展的重要因素之一。
发明内容
本发明的目的在于克服现有技术的不足,提供一种对物联网系统进行网络安全防护系统,包括数据处理模块、设备管理模块、设备安全认证模块、数据存储装置、智能合约模块、通信装置、云端数据服务器、流量预测及调度模块、设备故障监测与排除装置、设备功耗控制装置;所述的设备管理模块、设备安全认证模块、数据存储装置、智能合约模块、通信装置、流量预测及调度模块分别与所述的数据处理模块连接;所述的云端数据服务器与所述的通信装置通信连接;
其中的设备管理模块用于对设备进行接入和下线管理;
所述的设备安全认证模块用于对接入物联网的设备进行安全认证;
所述的数据存储装置用于进行数据存储;
所述的智能合约模块用于设置接入物联网的设备的访问权限;
所述的通信装置用于进行数据通信;
所述的云端数据服务器用于进行云端数据服务;
所述的流量预测及调度模块用于对物联网网络流量进行流量预测及网络设备调度;
所述的设备故障监测与排除装置用于对接入物联网的设备进行故障监测和故障;
所述的设备功耗控制装置用于对接入的设备进行功耗控制。
应用对物联网系统进行网络安全防护系统的一种对物联网系统进行网络安全防护的方法,包括以下过程:
网络安全防护系统对申请接入物联网网络的设备进行设备身份认证,身份认证通过后,设备接入物联网网络;
对接入物联网的设备进行设备故障监测与故障排除;若无法排除故障,则通过设备管理模块将设备下线,对接入物联网的设备根据设备事件进行功耗控制,完成设备的管理;
在设备运行过程中,对物联网网络进行流量预测与监控,根据流量预测与监控的结果,进行网络设备调度,防止网络拥堵。
进一步的,所述的网络安全防护系统对申请接入物联网网络的设备进行设备身份认证,身份认证通过后,设备接入物联网网络,包括如下过程:
步骤一、设备管理模块建立设备层,设备安全认证模块对接入的设备进行设备身份认证;
S1、将设备使用前的合法认证凭证注册到区块链,并且通过智能合约模块设置设备访问权限;
S2、当接入设备需向物联网平台和网络设备节点发送接入和鉴权请求,区块链系统根据节点共识机制来对接入设备的身份标识进行认证和管理;
步骤二、建立网络层,设备固件升级;
S1、通过区块链网络,固件供应商将最新版本的固件信息发布到各验证节点的分布式账本中;
S2、通过向验证节点或相邻的其他设备节点发起固件版本校验请求并通过智能合约、共识机制等方式确认设备当前固件最新版本和固件完整性;
S3、以加密、签名等方式保证固件升级安全;
步骤三、建立区块链服务支撑层,并进行物联网网络管理;
S1、通过区块链在不需要可信第三方的情况下,建立设备信任关系,进行交互;
S2、区块链通过算法建立一个公开透明的规则,定义网络中信用的生成方式,创建一个信任网络以达到所有的规则事先都以算法的形式表述出来;
步骤四、建立安全应用层,并降低网络攻击的破坏;
S1、在物联网网关间建立一个区块链网络,并部署智能合约来验证、记录和断开DDoS攻击相关信息;
S2、当物联网服务验证到DDoS攻击时通知物联网网关,物联网网关广播该设备已被控制并发起DDoS攻击,区块链网络根据已部署的智能合约进行验证;
S3、如果攻击被验证,攻击信息可以写入区块链总账,物联网网关可以断开被强制控制的智能灯发出的连接请求。
进一步的:所述设备层包括区块链SDK模块和安全硬件模块;
所述区块链SDK模块,用于作为区块链的终端与物联网网关区块链节点连接;
所述安全硬件模块,用于敏感信息安全存储环境以及加密安全运算环境。
进一步的:所述网络层包括P2P协议通信模块、网络模块和安全通信模块;
所述P2P协议通信模块用于建立建安全通道;
网络模块,用于实现通信连接;
所述安全通信模块用于保证节点间通信安全。
进一步的:所述服务层包括访问控制模块、节点管理模块、账本管理模块和跨链管理模块,用于提供区块链接入访问授权、节点管理、账本管理、跨链管理的服务。
进一步的:所述核心层包括智能合约模块和共识机制模块,用于设备身份认证共识、访问控制策略执行、数据隐私保护。
进一步的,所述的对接入物联网的设备进行设备故障监测与故障排除;若无法排除故障,则通过设备管理模块将设备下线,包括如下过程:
获取启动时各设备的启动状态,若检测到设备的启动状态异常,记录相关的异常状态信息及对应设备信息关联存储到错误状态寄存器,对异常状态进行判断,对不同异常状态进行三级状态分级,根据状态分级,采用对应状态分级的隔离方法对设备进行隔离,系统进入运行;
其中的mi为设备在系统第i次启动后,设备在系统运行后从待机到额定功率运行的间隔时长,n为设备运行次数;
先将新状态异常设备信息与错误状态寄存器中存储的设备信息进行匹配,若匹配到相同的设备信息,则判断此设备为不稳定设备,获取此设备的设备类型,通过该类型设备的使用故障率α、该类型设备的历史故障率β以及该设备的设备启动分离度对该设备进行故障隔离;若未匹配到相同的设备信息,则判断此设备为新故障设备,先将异常状态信息及对应设备信息存储到错误状态寄存器,再根据该设备的设备启动分离度进行故障检测与隔离,直到所有状态异常设备均完成故障检测与隔离;
进一步的,所述的对接入物联网的设备根据设备事件进行功耗控制,完成设备的管理,包括如下过程:
S1,获取系统各设备的设备信息及设备事件信息;所述的设备信息包括时间段T内设备运行时长t1;所述的设备事件信息包括时间段T内设备事件执行次数γ、设备事件执行时长t2、设备事件执行间隔时长t3;
S2,先将系统各设备分为核心设备和非核心设备,对非核心设备进行功耗控制,根据时间段T内设备运行时长t1、对应设备的设备事件执行次数γ、对应设备的设备事件执行时长t2、对应设备的设备事件执行间隔时长t3,得到设备运行效率Δ和设备事件执行效率τ,根据设备运行效率Δ得到历史设备运行效率根据设备事件执行效率τ得到历史设备事件执行效率采用如下公式:
则:
其中t1=γ(t2+t3),Δi为第i个时间段T内的设备运行效率,τi为第i个时间段T内的设备事件执行效率,n为时间段T个数;
S3,先判断设备是否处于活跃状态,当设备运行效率大于历史设备运行效率,则设备处于活跃状态,否者设备为非活跃状态;
再判断设备事件是否处于活跃状态,当设备事件执行效率大于等于历史设备事件执行效率,设备事件为活跃状态;当设备事件执行效率小于历史设备事件执行效率,则设备事件为非活跃状态;
S4,当设备为活跃状态,设备事件为非活跃状态,则对设备进行运行限制,缩短设备事件执行间隔时长t3;当设备处于活跃状态,设备事件为活跃状态,则设备保持运行;
当设备为非活跃状态,设备事件执行完后,设备立即进入休眠状态。
进一步的,所述的在设备运行过程中,对物联网网络进行流量预测与监控,根据流量预测与监控的结果,进行网络设备调度,防止网络拥堵,包括如下过程:
步骤一,根据流量预测及调度模块中的流量数据采集模块的历史流量数据,通过流量预测及调度模块中的流量预测模块得到物联网中各条线路的预测流量,并设定各条线路的预警流量阈值;
步骤二,根据各条线路的预测流量,调度模块生成设备调度策略,根据调度策略调度模块调度各条线路的设备;
步骤三,检测各条线路的实时的流量,当线路的流量到达预警流量阈值,先判断流量是否为异常流量,若为异常流量,则进入步骤四;若为正常流量,则通过调度模块向该条线路添加备用分流设备进行流量分流;
步骤四,若为异常流量,先判断该条线路设备是否满足切换要求,若满足切换要求,则增加分流设备;若不满足切换要求,则暂停该条线路,进行故障排除。
本发明的有益效果是:1本发明解决物联网中的信任、安全和隐私问题,通过运用区块链的共识机制、智能合约等技术结合身份验证、访问授权等机制来解决物联网应用中的安全问题;为物联网提供信任、透明性、分布式存储等支持,从而构建高效、可信、安全的分布式物联网网络,为物联网用户安全和隐私提供有效保障。
附图说明
图1为一种对物联网系统进行网络安全防护系统的原理示意图;
图2为物联网系统进行网络安全防护的方法的原理示意图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
为了使本发明的目的,技术方案及优点更加清楚明白,结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
而且,术语“包括”,“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程,方法,物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程,方法,物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程,方法,物品或者设备中还存在另外的相同要素。
以下结合实施例对本发明的特征和性能作进一步的详细描述。
如图1所示,一种对物联网系统进行网络安全防护系统,包括数据处理模块、设备管理模块、设备安全认证模块、数据存储装置、智能合约模块、通信装置、云端数据服务器、流量预测及调度模块、设备故障监测与排除装置、设备功耗控制装置;所述的设备管理模块、设备安全认证模块、数据存储装置、智能合约模块、通信装置、流量预测及调度模块分别与所述的数据处理模块连接;所述的云端数据服务器与所述的通信装置通信连接;
其中的设备管理模块用于对设备进行接入和下线管理;
所述的设备安全认证模块用于对接入物联网的设备进行安全认证;
所述的数据存储装置用于进行数据存储;
所述的智能合约模块用于设置接入物联网的设备的访问权限;
所述的通信装置用于进行数据通信;
所述的云端数据服务器用于进行云端数据服务;
所述的流量预测及调度模块用于对物联网网络流量进行流量预测及网络设备调度;
所述的设备故障监测与排除装置用于对接入物联网的设备进行故障监测和故障;
所述的设备功耗控制装置用于对接入的设备进行功耗控制。
应用对物联网系统进行网络安全防护系统的一种对物联网系统进行网络安全防护的方法,包括以下过程:
网络安全防护系统对申请接入物联网网络的设备进行设备身份认证,身份认证通过后,设备接入物联网网络;
对接入物联网的设备进行设备故障监测与故障排除;若无法排除故障,则通过设备管理模块将设备下线,对接入物联网的设备根据设备事件进行功耗控制,完成设备的管理;
在设备运行过程中,对物联网网络进行流量预测与监控,根据流量预测与监控的结果,进行网络设备调度,防止网络拥堵。
进一步的,所述的网络安全防护系统对申请接入物联网网络的设备进行设备身份认证,身份认证通过后,设备接入物联网网络,包括如下过程:
步骤一、设备管理模块建立设备层,设备安全认证模块对接入的设备进行设备身份认证;
S1、将设备使用前的合法认证凭证注册到区块链,并且通过智能合约模块设置设备访问权限;
S2、当接入设备需向物联网平台和网络设备节点发送接入和鉴权请求,区块链系统根据节点共识机制来对接入设备的身份标识进行认证和管理;
步骤二、建立网络层,设备固件升级;
S1、通过区块链网络,固件供应商将最新版本的固件信息发布到各验证节点的分布式账本中;
S2、通过向验证节点或相邻的其他设备节点发起固件版本校验请求并通过智能合约、共识机制等方式确认设备当前固件最新版本和固件完整性;
S3、以加密、签名等方式保证固件升级安全;
步骤三、建立区块链服务支撑层,并进行物联网网络管理;
S1、通过区块链在不需要可信第三方的情况下,建立设备信任关系,进行交互;
S2、区块链通过算法建立一个公开透明的规则,定义网络中信用的生成方式,创建一个信任网络以达到所有的规则事先都以算法的形式表述出来;
步骤四、建立安全应用层,并降低网络攻击的破坏;
S1、在物联网网关间建立一个区块链网络,并部署智能合约来验证、记录和断开DDoS攻击相关信息;
S2、当物联网服务验证到DDoS攻击时通知物联网网关,物联网网关广播该设备已被控制并发起DDoS攻击,区块链网络根据已部署的智能合约进行验证;
S3、如果攻击被验证,攻击信息可以写入区块链总账,物联网网关可以断开被强制控制的智能灯发出的连接请求。
进一步的:所述设备层包括区块链SDK模块和安全硬件模块;
所述区块链SDK模块,用于作为区块链的终端与物联网网关区块链节点连接;
所述安全硬件模块,用于敏感信息安全存储环境以及加密安全运算环境。
进一步的:所述网络层包括P2P协议通信模块、网络模块和安全通信模块;
所述P2P协议通信模块用于建立建安全通道;
网络模块,用于实现通信连接;
所述安全通信模块用于保证节点间通信安全。
进一步的:所述服务层包括访问控制模块、节点管理模块、账本管理模块和跨链管理模块,用于提供区块链接入访问授权、节点管理、账本管理、跨链管理的服务。
进一步的:所述核心层包括智能合约模块和共识机制模块,用于设备身份认证共识、访问控制策略执行、数据隐私保护。
进一步的,所述的对接入物联网的设备进行设备故障监测与故障排除;若无法排除故障,则通过设备管理模块将设备下线,包括如下过程:
获取启动时各设备的启动状态,若检测到设备的启动状态异常,记录相关的异常状态信息及对应设备信息关联存储到错误状态寄存器,对异常状态进行判断,对不同异常状态进行三级状态分级,根据状态分级,采用对应状态分级的隔离方法对设备进行隔离,系统进入运行;
其中的mi为设备在系统第i次启动后,设备在系统运行后从待机到额定功率运行的间隔时长,n为设备运行次数;
先将新状态异常设备信息与错误状态寄存器中存储的设备信息进行匹配,若匹配到相同的设备信息,则判断此设备为不稳定设备,获取此设备的设备类型,通过该类型设备的使用故障率α、该类型设备的历史故障率β以及该设备的设备启动分离度对该设备进行故障隔离;若未匹配到相同的设备信息,则判断此设备为新故障设备,先将异常状态信息及对应设备信息存储到错误状态寄存器,再根据该设备的设备启动分离度进行故障检测与隔离,直到所有状态异常设备均完成故障检测与隔离;
所述的对异常状态进行判断,对不同异常状态进行三级状态分级,包括:所述的三级状态分级包括一级异常状态、二级异常状态、三级异常状态;所述的一级异常状态为设备一次启动失败,二次正常启动的状态;二级异常状态为设备启动失败次数大于一次,小于失败启动阈值;三级异常状态为设备启动失败次数大于或等于失败启动阈值。
所述的根据状态分级,采用对应状态分级的隔离方法,包括:对一级异常状态和二级异常状态对应的设备进行异常标注,对三级异常状态对应的设备进行设备离线处理。
根据该设备的设备启动分离度进行故障检测与隔离,包括:若该设备的设备启动分离度大于或等于设备启动分离度阈值,则该设备直接与系统断开连接,并将设备的状态信息关联到错误状态寄存器中该设备信息中;若该设备的设备启动分离度小于设备启动分离度阈值ω,则对该设备进行重新上线,若该设备重新上线启动的次数大于二次上线启动阈值μ,则判定该设备故障,系统发出报警。
所述的该类型设备的使用故障率α为:
所述的该类型设备的历史故障率β为:
其中的m为该类型设备出厂的批次总数,αi为第i批次的该类型设备的使用故障率α。
进一步的,所述的对接入物联网的设备根据设备事件进行功耗控制,完成设备的管理,包括如下过程:
S1,获取系统各设备的设备信息及设备事件信息;所述的设备信息包括时间段T内设备运行时长t1;所述的设备事件信息包括时间段T内设备事件执行次数γ、设备事件执行时长t2、设备事件执行间隔时长t3;
S2,先将系统各设备分为核心设备和非核心设备,对非核心设备进行功耗控制,根据时间段T内设备运行时长t1、对应设备的设备事件执行次数γ、对应设备的设备事件执行时长t2、对应设备的设备事件执行间隔时长t3,得到设备运行效率Δ和设备事件执行效率τ,根据设备运行效率Δ得到历史设备运行效率根据设备事件执行效率τ得到历史设备事件执行效率采用如下公式:
则:
其中t1=γ(t2+t3),Δi为第i个时间段T内的设备运行效率,τi为第i个时间段T内的设备事件执行效率,n为时间段T个数;
S3,先判断设备是否处于活跃状态,当设备运行效率大于历史设备运行效率,则设备处于活跃状态,否者设备为非活跃状态;
再判断设备事件是否处于活跃状态,当设备事件执行效率大于等于历史设备事件执行效率,设备事件为活跃状态;当设备事件执行效率小于历史设备事件执行效率,则设备事件为非活跃状态;
S4,当设备为活跃状态,设备事件为非活跃状态,则对设备进行运行限制,缩短设备事件执行间隔时长t3;当设备处于活跃状态,设备事件为活跃状态,则设备保持运行;
当设备为非活跃状态,设备事件执行完后,设备立即进入休眠状态。
当设备为活跃状态,设备事件为非活跃状态,则对设备进行运行限制,缩短设备事件执行间隔时长t3,具体为:
设备事件执行间隔时长t3包括设备事件执行安全间隔时长t31和事件执行等待时长t32,当设备为活跃状态,设备事件为非活跃状态,则取消设备事件执行安全间隔时长t31,减少设备事件执行间隔时长t3,实现功耗控制。
所述的将系统各设备分为核心设备和非核心设备,具体为Δ=1对应的设备为核心设备,其余为非核心设备。
进一步的,所述的在设备运行过程中,对物联网网络进行流量预测与监控,根据流量预测与监控的结果,进行网络设备调度,防止网络拥堵,包括如下过程:
步骤一,根据流量预测及调度模块中的流量数据采集模块的历史流量数据,通过流量预测及调度模块中的流量预测模块得到物联网中各条线路的预测流量,并设定各条线路的预警流量阈值;
步骤二,根据各条线路的预测流量,调度模块生成设备调度策略,根据调度策略调度模块调度各条线路的设备;
步骤三,检测各条线路的实时的流量,当线路的流量到达预警流量阈值,先判断流量是否为异常流量,若为异常流量,则进入步骤四;若为正常流量,则通过调度模块向该条线路添加备用分流设备进行流量分流;
步骤四,若为异常流量,先判断该条线路设备是否满足切换要求,若满足切换要求,则增加分流设备;若不满足切换要求,则暂停该条线路,进行故障排除。
所述的历史流量数据为流量计算周期内流量数据的峰值、流量变化率、数据总量、流量峰值持续时间。
根据数据采集模块的历史流量数据,通过流量预测模块得到各条线路的预测流量,包括如下过程,先根据历史流量数据得到预测流量数据峰值,采用如下公式计算:
其中的n为流量计算周期的个数,Ai为流量计算周期i内的流量数据的峰值,根据预测流量数据峰值调度模块调用对应的设备;
再根据流量峰值持续时间得到预测流量峰值持续时间,采用如下公式:
若预测流量峰值持续时间大于设备稳定峰值运行时间,则增加设备进行分流;
其中的n为流量计算周期的个数,Bi为流量计算周期i内的流量峰值持续时间。
所述的判断流量是否为异常流量包括如下过程:
根据历史流量数据的流量变化率得到参考流量变化率,采用如下公式:
当流量变化率大于参考流量变化率,则为异常流量。
所述的判断该条线路设备是否满足切换要求包括如下过程:若设备流量增加到设备正常运行的最大值所需的时间大于切换到新设备的时间,则满足切换要求,否则,则不满足
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种对物联网系统进行网络安全防护系统,其特征在于,包括数据处理模块、设备管理模块、设备安全认证模块、数据存储装置、智能合约模块、通信装置、云端数据服务器、流量预测及调度模块、设备故障监测与排除装置、设备功耗控制装置;所述的设备管理模块、设备安全认证模块、数据存储装置、智能合约模块、通信装置、云端数据服务器、流量预测及调度模块、设备故障监测与排除装置、设备功耗控制装置分别与所述的数据处理模块连接;所述的云端数据服务器与所述的通信装置通信连接;
其中的设备管理模块用于对设备进行接入和下线管理;
所述的设备安全认证模块用于对接入物联网的设备进行安全认证;
所述的数据存储装置用于进行数据存储;
所述的智能合约模块用于设置接入物联网的设备的访问权限;
所述的通信装置用于进行数据通信;
所述的云端数据服务器用于进行云端数据服务;
所述的流量预测及调度模块用于对物联网网络流量进行流量预测及网络设备调度;
所述的设备故障监测与排除装置用于对接入物联网的设备进行故障监测和故障;
所述的设备功耗控制装置用于对接入的设备进行功耗控制。
2.应用权利要求1所述的对物联网系统进行网络安全防护系统的一种对物联网系统进行网络安全防护的方法,其特征在于,包括以下过程:
网络安全防护系统对申请接入物联网网络的设备进行设备身份认证,身份认证通过后,设备接入物联网网络;
对接入物联网的设备进行设备故障监测与故障排除;若无法排除故障,则通过设备管理模块将设备下线,对接入物联网的设备根据设备事件进行功耗控制,完成设备的管理;
在设备运行过程中,对物联网网络进行流量预测与监控,根据流量预测与监控的结果,进行网络设备调度,防止网络拥堵。
3.根据权利要求2所述的一种对物联网系统进行网络安全防护的方法,其特征在于,所述的网络安全防护系统对申请接入物联网网络的设备进行设备身份认证,身份认证通过后,设备接入物联网网络,包括如下过程:
步骤一、设备管理模块建立设备层,设备安全认证模块对接入的设备进行设备身份认证;
S1、将设备使用前的合法认证凭证注册到区块链,并且通过智能合约模块设置设备访问权限;
S2、当接入设备需向物联网平台和网络设备节点发送接入和鉴权请求,区块链系统根据节点共识机制来对接入设备的身份标识进行认证和管理;
步骤二、建立网络层,设备固件升级;
S1、通过区块链网络,固件供应商将最新版本的固件信息发布到各验证节点的分布式账本中;
S2、通过向验证节点或相邻的其他设备节点发起固件版本校验请求并通过智能合约、共识机制等方式确认设备当前固件最新版本和固件完整性;
S3、以加密、签名等方式保证固件升级安全;
步骤三、建立区块链服务支撑层,并进行物联网网络管理;
S1、通过区块链在不需要可信第三方的情况下,建立设备信任关系,进行交互;
S2、区块链通过算法建立一个公开透明的规则,定义网络中信用的生成方式,创建一个信任网络以达到所有的规则事先都以算法的形式表述出来;
步骤四、建立安全应用层,并降低网络攻击的破坏;
S1、在物联网网关间建立一个区块链网络,并部署智能合约来验证、记录和断开DDoS攻击相关信息;
S2、当物联网服务验证到DDoS攻击时通知物联网网关,物联网网关广播该设备已被控制并发起DDoS攻击,区块链网络根据已部署的智能合约进行验证;
S3、如果攻击被验证,攻击信息可以写入区块链总账,物联网网关可以断开被强制控制的智能灯发出的连接请求。
4.根据权利要求3所述的一种对物联网系统进行网络安全防护的方法,其特征在于:所述设备层包括区块链SDK模块和安全硬件模块;
所述区块链SDK模块,用于作为区块链的终端与物联网网关区块链节点连接;
所述安全硬件模块,用于敏感信息安全存储环境以及加密安全运算环境。
5.根据权利要求3所述的一种对物联网系统进行网络安全防护的方法,其特征在于:所述网络层包括P2P协议通信模块、网络模块和安全通信模块;
所述P2P协议通信模块用于建立建安全通道;
网络模块,用于实现通信连接;
所述安全通信模块用于保证节点间通信安全。
6.根据权利要求3所述的一种对物联网系统进行网络安全防护的方法,其特征在于:所述服务层包括访问控制模块、节点管理模块、账本管理模块和跨链管理模块,用于提供区块链接入访问授权、节点管理、账本管理、跨链管理的服务。
7.根据权利要求3所述的一种对物联网系统进行网络安全防护的方法,其特征在于:所述核心层包括智能合约模块和共识机制模块,用于设备身份认证共识、访问控制策略执行、数据隐私保护。
8.根据权利要求2所述的一种对物联网系统进行网络安全防护的方法,其特征在于,所述的对接入物联网的设备进行设备故障监测与故障排除;若无法排除故障,则通过设备管理模块将设备下线,包括如下过程:
获取启动时各设备的启动状态,若检测到设备的启动状态异常,记录相关的异常状态信息及对应设备信息关联存储到错误状态寄存器,对异常状态进行判断,对不同异常状态进行三级状态分级,根据状态分级,采用对应状态分级的隔离方法对设备进行隔离,系统进入运行;
对处于隔离状态的设备,根据该设备的设备启动分离度θ,进行故障检测与隔离,同时检测是否有新状态异常设备,若没有,则完成故障隔离;若有,则进入步骤四;
所述的设备启动分离度θ为:
其中的mi为设备在系统第i次启动后,设备在系统运行后从待机到额定功率运行的间隔时长,n为设备运行次数;
先将新状态异常设备信息与错误状态寄存器中存储的设备信息进行匹配,若匹配到相同的设备信息,则判断此设备为不稳定设备,获取此设备的设备类型,通过该类型设备的使用故障率α、该类型设备的历史故障率β以及该设备的设备启动分离度θ,对该设备进行故障隔离;若未匹配到相同的设备信息,则判断此设备为新故障设备,先将异常状态信息及对应设备信息存储到错误状态寄存器,再根据该设备的设备启动分离度θ,进行故障检测与隔离,直到所有状态异常设备均完成故障检测与隔离;
所述的根据该类型设备的使用故障率α、该类型设备的历史故障率β以及该设备的设备启动分离度θ,对该设备进行故障隔离,包括:
9.根据权利要求2所述的一种对物联网系统进行网络安全防护的方法,其特征在于,所述的对接入物联网的设备根据设备事件进行功耗控制,完成设备的管理,包括如下过程:
S1,获取系统各设备的设备信息及设备事件信息;所述的设备信息包括时间段T内设备运行时长t1;所述的设备事件信息包括时间段T内设备事件执行次数γ、设备事件执行时长t2、设备事件执行间隔时长t3;
S2,先将系统各设备分为核心设备和非核心设备,对非核心设备进行功耗控制,根据时间段T内设备运行时长t1、对应设备的设备事件执行次数γ、对应设备的设备事件执行时长t2、对应设备的设备事件执行间隔时长t3,得到设备运行效率Δ和设备事件执行效率τ,根据设备运行效率Δ得到历史设备运行效率根据设备事件执行效率τ得到历史设备事件执行效率采用如下公式:
则:
其中t1=γ(t2+t3),Δi为第i个时间段T内的设备运行效率,τi为第i个时间段T内的设备事件执行效率,n为时间段T个数;
S3,先判断设备是否处于活跃状态,当设备运行效率大于历史设备运行效率,则设备处于活跃状态,否者设备为非活跃状态;
再判断设备事件是否处于活跃状态,当设备事件执行效率大于等于历史设备事件执行效率,设备事件为活跃状态;当设备事件执行效率小于历史设备事件执行效率,则设备事件为非活跃状态;
S4,当设备为活跃状态,设备事件为非活跃状态,则对设备进行运行限制,缩短设备事件执行间隔时长t3;当设备处于活跃状态,设备事件为活跃状态,则设备保持运行;
当设备为非活跃状态,设备事件执行完后,设备立即进入休眠状态。
10.根据权利要求2所述的一种对物联网系统进行网络安全防护的方法,其特征在于,所述的在设备运行过程中,对物联网网络进行流量预测与监控,根据流量预测与监控的结果,进行网络设备调度,防止网络拥堵,包括如下过程:
步骤一,根据流量预测及调度模块中的流量数据采集模块的历史流量数据,通过流量预测及调度模块中的流量预测模块得到物联网中各条线路的预测流量,并设定各条线路的预警流量阈值;
步骤二,根据各条线路的预测流量,调度模块生成设备调度策略,根据调度策略调度模块调度各条线路的设备;
步骤三,检测各条线路的实时的流量,当线路的流量到达预警流量阈值,先判断流量是否为异常流量,若为异常流量,则进入步骤四;若为正常流量,则通过调度模块向该条线路添加备用分流设备进行流量分流;
步骤四,若为异常流量,先判断该条线路设备是否满足切换要求,若满足切换要求,则增加分流设备;若不满足切换要求,则暂停该条线路,进行故障排除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210775607.1A CN115361160A (zh) | 2022-07-01 | 2022-07-01 | 一种对物联网系统进行网络安全防护的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210775607.1A CN115361160A (zh) | 2022-07-01 | 2022-07-01 | 一种对物联网系统进行网络安全防护的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115361160A true CN115361160A (zh) | 2022-11-18 |
Family
ID=84030064
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210775607.1A Withdrawn CN115361160A (zh) | 2022-07-01 | 2022-07-01 | 一种对物联网系统进行网络安全防护的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115361160A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117857457A (zh) * | 2024-01-18 | 2024-04-09 | 东莞本凡网络技术有限公司 | 一种基于边缘计算的物联网流量优化系统 |
-
2022
- 2022-07-01 CN CN202210775607.1A patent/CN115361160A/zh not_active Withdrawn
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117857457A (zh) * | 2024-01-18 | 2024-04-09 | 东莞本凡网络技术有限公司 | 一种基于边缘计算的物联网流量优化系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cameron et al. | Using self-organizing architectures to mitigate the impacts of denial-of-service attacks on voltage control schemes | |
Zhu et al. | SCADA-specific intrusion detection/prevention systems: a survey and taxonomy | |
WO2021008560A1 (zh) | 一种基于区块链技术的移动应用安全分析方法 | |
US20130042124A1 (en) | Energy management device and power management system | |
RU2622883C2 (ru) | Система и способ управления доступом к персональным данным пользователя | |
US20090106844A1 (en) | System and method for vulnerability assessment of network based on business model | |
WO2014193708A1 (en) | Large-scale, time-sensitive secure distributed control systems and methods | |
CN110892675B (zh) | 用于监控区块链的方法和设备 | |
CN110796220B (zh) | 一种基于公共交通的识别码发码系统 | |
US10015153B1 (en) | Security using velocity metrics identifying authentication performance for a set of devices | |
CN103140859A (zh) | 对计算机系统中的安全性的监控 | |
CN115361160A (zh) | 一种对物联网系统进行网络安全防护的方法及系统 | |
JP2018092938A (ja) | 判断装置、監視装置、監視システム、判断方法、監視方法及びプログラム | |
Apriliana et al. | Risk analysis of IT applications using FMEA and AHP SAW method with COBIT 5 | |
CN107797859A (zh) | 一种定时任务的调度方法及一种调度服务器 | |
CN113852506A (zh) | 一种故障处理方法、装置及电子设备和存储介质 | |
Alkatheiri et al. | Cyber security framework for smart home energy management systems | |
CN111031000B (zh) | 一种业务风控系统的处理方法、装置、系统及存储介质 | |
CN112291266B (zh) | 一种数据处理的方法、装置、服务器和存储介质 | |
CN114244568A (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
CN114629677A (zh) | 一种用于火电机组电量计费系统的安全防护系统及方法 | |
CN112152895A (zh) | 智能家居设备控制方法、装置、设备及计算机可读介质 | |
CN107979843A (zh) | 一种在终端的WiFi热点连接处理方法、设备以及介质 | |
CN116483663A (zh) | 用于平台的异常告警方法和装置 | |
CN109922055A (zh) | 一种风险终端的检测方法、系统及相关组件 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20221118 |