CN115643039A - 物联终端的安全防护方法、装置及计算机可读存储介质 - Google Patents
物联终端的安全防护方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115643039A CN115643039A CN202210986068.6A CN202210986068A CN115643039A CN 115643039 A CN115643039 A CN 115643039A CN 202210986068 A CN202210986068 A CN 202210986068A CN 115643039 A CN115643039 A CN 115643039A
- Authority
- CN
- China
- Prior art keywords
- terminal
- internet
- things
- security
- things terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本说明书一个或多个实施例提供一种物联终端的安全防护方法、装置及计算机可读存储介质,转发节点接收物联终端的连接请求,根据物联终端的标识,确定物联终端的安全等级,根据安全等级,按照对应的安全策略对物联终端进行安全校验。通过划分物联终端的安全等级,并对不同安全等级的物联终端采用相应的合理有效的安全防护策略,能够提高物联终端的安全性,保证物联网的安全性。
Description
技术领域
本说明书一个或多个实施例涉及网络安全技术领域,尤其涉及一种物联终端的安全防护方法、装置及计算机可读存储介质。
背景技术
在电力、交通等领域,物联网技术得到了广泛的应用,物联网由大量物联终端互联互通构成,物联终端的安全性直接关系着物联网的安全性。有些物联终端部署于无人监管的区域,很容易受到攻击者的非法入侵;而且,由于物联终端的配置不高,难以应用安全级别较高的防护方法,有些物联终端甚至未使用任何防护方法,降低了非法入侵的难度。
发明内容
有鉴于此,本说明书一个或多个实施例的目的在于提出一种物联终端的安全防护方法、装置及计算机可读存储介质,以解决物联终端的安全防护问题。
基于上述目的,本说明书一个或多个实施例提供了一种物联终端的安全防护方法,包括:
接收物联终端的连接请求;其中,所述连接请求包括所述物联终端的标识;
根据所述物联终端的标识,确定所述物联终端的安全等级;
根据所述安全等级,按照对应的安全策略对所述物联终端进行安全校验。
可选的,所述物联终端为第一控制类终端;
根据所述物联终端的标识,确定所述物联终端的安全等级及对应的安全策略,包括:
根据所述第一控制类终端的标识,确定所述第一控制类终端的安全等级为第一等级;
根据所述安全等级,按照对应的安全策略对所述物联终端进行安全校验,包括:
利用第一验证模块对所述第一控制类终端进行身份验证,如果身份验证通过,与所述第一控制类终端协商第一密钥,接收所述第一控制类终端利用所述第一密钥对数据进行加密处理后的密文数据。
可选的,所述物联终端为第二控制类终端;
根据所述物联终端的标识,确定所述物联终端的安全等级及对应的安全策略,包括:
根据所述第二控制类终端的标识,确定所述第二控制类终端的安全等级为第二等级;
根据所述安全等级,按照对应的安全策略对所述物联终端进行安全校验,包括:
利用第二验证模块对所述第二控制类终端进行身份验证,如果身份验证通过,与所述第二控制类终端协商第二密钥,接收所述第二控制类终端利用所述第二密钥对数据进行加密处理后的密文数据。
可选的,所述物联终端为采集类终端,所述连接请求的数量大于预设的连接量阈值;
根据所述物联终端的标识,确定所述物联终端的安全等级及对应的安全策略,包括:
根据所述采集类终端的标识,确定所述采集类终端的安全等级为第三等级;
根据所述安全等级,按照对应的安全策略对所述物联终端进行安全校验,包括:
接收各采集类终端的指标数据;
根据所述指标数据进行流量统计,得到流量统计结果;其中,所述流量统计结果包括指标数据最值、指标数据总数量和指标数据类型;
如果所述指标数据总数量超出连接请求的数量、所述指标数据最值超出预设的正常最值,和/或指标数据类型与采集类终端类型不一致,向各采集类终端发送拒绝连接响应。
可选的,接收物联终端的连接请求之前,还包括:
根据所述物联终端的配置信息、功能类型和数据类型,划分第一控制类终端、第二控制类终端和采集类终端。
可选的,所述方法还包括:
接收其他转发节点的连接请求;
对所述其他转发节点进行身份验证;
如果所述其他转发节点的身份验证通过,与所述其他转发节点协商第三密钥,接收所述其他转发节点利用所述第三密钥对数据进行加密处理后的密文数据。
本说明书实施例还提供一种物联终端的安全防护装置,包括:
接收模块,用于接收物联终端的连接请求;其中,所述连接请求包括所述物联终端的标识;
终端等级确定模块,用于根据所述物联终端的标识,确定所述物联终端的安全等级;
校验模块,用于根据所述安全等级,按照对应的安全策略对所述物联终端进行安全校验。
可选的,所述物联终端为第一控制类终端;
所述终端等级确定模块,用于根据所述第一控制类终端的标识,确定所述第一控制类终端的安全等级为第一等级;
所述校验模块,用于利用第一验证模块对所述第一控制类终端进行身份验证,如果身份验证通过,与所述第一控制类终端协商第一密钥,接收所述第一控制类终端利用所述第一密钥对数据进行加密处理后的密文数据。
可选的,所述物联终端为第二控制类终端;
所述终端等级确定模块,用于根据所述第二控制类终端的标识,确定所述第二控制类终端的安全等级为第二等级;
所述校验模块,用于利用第二验证模块对所述第二控制类终端进行身份验证,如果身份验证通过,与所述第二控制类终端协商第二密钥,接收所述第二控制类终端利用所述第二密钥对数据进行加密处理后的密文数据。
可选的,所述物联终端为采集类终端,所述连接请求的数量大于预设的连接量阈值;
所述终端等级确定模块,用于根据所述采集类终端的标识,确定所述采集类终端的安全等级为第三等级;
所述校验模块,用于接收各采集类终端的指标数据;根据所述指标数据进行流量统计,得到流量统计结果;其中,所述流量统计结果包括指标数据最值、指标数据总数量和指标数据类型;如果所述指标数据总数量超出连接请求的数量、所述指标数据最值超出预设的正常最值,和/或指标数据类型与采集类终端类型不一致,向各采集类终端发送拒绝连接响应。
本说明书实施例还提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行所述的安全防护方法。
从上面所述可以看出,本说明书一个或多个实施例提供的物联终端的安全防护方法、装置及计算机可读存储介质,转发节点接收物联终端的连接请求,根据物联终端的标识,确定物联终端的安全等级,根据安全等级,按照对应的安全策略对物联终端进行安全校验。通过划分物联终端的安全等级,并对不同安全等级的物联终端采用相应的合理有效的安全防护策略,能够提高物联终端的安全性,保证物联网的安全性。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一个或多个实施例的方法流程示意图;
图2为本说明书一个或多个实施例的组网示意图;
图3为本说明书一个或多个实施例的装置结构框图;
图4为本说明书一个或多个实施例的电子设备结构框图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如图1、2所示,本说明书实施例提供一种物联终端的安全防护方法,包括:
S101:接收物联终端的连接请求;其中,连接请求包括物联终端的标识;
S102:根据物联终端的标识,确定物联终端的安全等级;
S103:根据安全等级,按照对应的安全策略对物联终端进行安全校验。
本实施例中,物联网中分布式配置有若干物联终端、转发节点以及中央节点,按照物联终端和转发节点所处地理位置,处于同一地理位置区域的若干物联终端接入相应的转发节点,不同地理位置区域的转发节点统一接入中央节点。例如,一个楼的若干物联终端(如,电表)接入一个转发节点,同一个小区的各个楼的转发节点接入一个中央节点。
物联终端接入转发节点时,向转发节点发送携带物联终端的标识的连接请求,转发节点根据物联终端的标识,确定该物联终端的安全等级,根据物联终端的安全等级确定相应的安全防护策略,按照确定的安全防护策略对该物联终端进行安全校验。
本实施例中,考虑到物联终端多种多样,根据物联终端的配置信息、功能类型和数据类型等,将物联终端划分第一控制类终端、第二控制类终端和采集类终端,每一种物联终端分别划分相应的安全等级,对于不同安全等级的物联终端,按照不同的按照安全防护策略进行安全性校验和防护,从而保证各种物联终端的安全性。
一些方式中,物联终端按照功能可以划分为用于采集数据的采集类终端和用于数据处理和控制的控制类终端,采集类终端的资源配置较低,不具有数据处理功能,仅用于采集数据。控制类终端又可按照资源配置条件、实现的功能以及处理的数据类型划分为第一控制类终端和第二控制类终端,其中,第一控制类终端例如是资源配置很高、数据处理功能较强、用于处理核心数据的控制类终端,第二控制类终端例如是资源配置较高、具有一定数据处理功能、用于处理常规数据的控制类终端。可以理解的时,对于上述不同的物联终端,第一控制类终端的重要性最高,其安全等级可设置为最高级别,相应的安全防护策略的安全性最高,第二控制类终端的重要性次之,其安全等级可设置为次高等级,相应的安全防护策略的安全性次高,而采集类终端由于仅用于采集数据,所以安全等级可设置为最低级别,相应的安全防护策略的安全性最低。
可选的,物联终端的配置信息包括但不限于计算资源、存储资源、吞吐量、供电信息、功耗等关系终端工作性能的参数。
可选的,在物联网拓扑结构中,底层的物联终端与转发节点之间可以根据距离、配置、功能等条件通过有线(例如,串行总线、CAN总线、以太网等)或者无线通信方式(例如,蓝牙、WiFi、ZigBee、LoRa、NB-IoT)建立数据连接,中央节点与各转发节点可以通过网络建立数据连接,具体的组网方式和节点连接方式不做限定。可以理解的是,转发节点的安全等级高于底层的物联终端的安全等级。
一些方式中,转发节点是具有数据传输、处理、转发等功能的节点,对资源配置具有一定的要求,例如,转发节点可以是路由节点、中继节点、基站网关等节点。
一些实施例中,对于第一控制类终端,根据物联终端的标识,确定物联终端的安全等级及对应的安全策略,包括:
根据第一控制类终端的标识,确定第一控制类终端的安全等级为第一等级;
根据安全等级,按照对应的安全策略对物联终端进行安全校验,包括:
利用第一验证模块对第一控制类终端进行身份验证,如果身份验证通过,与第一控制类终端协商第一密钥,接收第一控制类终端利用第一密钥对数据进行加密处理后的密文数据。
本实施例中,对于第一控制类终端,设定其安全等级为第一等级,当第一控制类终端接入转发节点时,转发节点利用第一验证模块对第一控制类终端进行身份验证,先验证第一控制类终端的身份合法性;当身份验证通过后,第一控制类终端与转发节点协商用于加密数据的第一密钥,后续第一控制类终端与转发节点利用协商好的第一密钥对交互的数据进行加解密,从而实现转发节点与合法的第一控制类终端之间的控制与数据交互。其中,第一验证模块的安全验证算法的安全性最高,例如可结合第三方认证服务器对第一控制类终端进行数字证书的认证,具体的身份认证方法不做限定。
如果转发节点对于第一控制类终端的身份验证未通过,则向第一控制类终端发送拒绝连接请求,通过断开与第一控制类终端的连接,保证物联网的安全性,同时,还可根据该第一控制类终端的标识发出相应的提示报警信息,以便于提示该终端可能出现安全问题,后续可进一步对该终端进行安全性检测。
一些实施例中,对于第二控制类终端,根据物联终端的标识,确定物联终端的安全等级及对应的安全策略,包括:
根据第二控制类终端的标识,确定第二控制类终端的安全等级为第二等级;
根据安全等级,按照对应的安全策略对物联终端进行安全校验,包括:
利用第二验证模块对第二控制类终端进行身份验证,如果身份验证通过,与第二控制类终端协商第二密钥,接收第二控制类终端利用第二密钥对数据进行加密处理后的密文数据。
本实施例中,对于第二控制类终端,设定其安全等级为第二等级,当第二控制类终端接入转发节点时,转发节点利用第二验证模块对第二控制类终端进行身份验证,先验证第二控制类终端的身份合法性;当身份验证通过后,第二控制类终端与转发节点协商用于加密数据的第二密钥,后续第二控制类终端与转发节点利用协商好的第二密钥对交互的数据进行加解密,从而实现转发节点与合法的第二控制类终端之间的控制与数据交互。其中,第二验证模块的安全验证算法的安全性次高,算法较为简单,处理效率较高,例如,可采用数字签名或是其他密码算法实现转发节点与第二控制类终端之间的身份验证,具体的身份认证方法不做限定。
如果转发节点对于第二控制类终端的身份验证未通过,则向第二控制类终端发送拒绝连接请求,通过断开与第二控制类终端的连接,保证物联网的安全性,同时,还可根据该第二控制类终端的标识发出相应的提示报警信息,以便于提示该终端可能出现安全问题,后续可进一步对该终端进行安全性检测。
一些实施例中,对于采集类终端,转发节点接收的若干采集类终端的连接请求的数量大于预设的连接量阈值;则,
根据物联终端的标识,确定物联终端的安全等级及对应的安全策略,包括:
根据采集类终端的标识,确定采集类终端的安全等级为第三等级;
根据安全等级,按照对应的安全策略对物联终端进行安全校验,包括:
接收各采集类终端的指标数据;
根据指标数据进行流量统计,得到流量统计结果;其中,流量统计结果包括指标数据最值和指标数据总数量、指标数据类型;
如果所述指标数据总数量超出连接请求的数量、所述指标数据最值超出预设的正常最值,和/或指标数据类型与采集类终端类型不一致,向各采集类终端发送拒绝连接响应。
本实施例中,对于采集类终端,设定其安全等级为第三等级,当采集类终端接入转发节点时,转发节点先判断采集类终端的数量,对于小于连接量阈值的采集类终端,不执行校验等安全防护策略;当接入的采集类终端的数量达到连接量阈值时,需要对这些采集类终端进行安全校验。具体的,转发节点接收这些采集类终端传输的指标数据,对接收的指标数据进行流量统计,包括统计总的指标数据量,确定指标数据中的最大值和最小值,统计指标数据的类型,得到流量统计结果之后,将指标数据总数量与采集类终端的连接请求的数量进行比较,判断除正常的连接请求之外,是否还有非法的异常连接;将指标数据最大值、最小值分别与采集类终端可采集的指标数据最大值、最小值进行比较,判断指标数据中是否存在异常数据;将指标数据类型与采集类终端的类型相对比,判断是否存在异常类型的数据。通过上述数据对比分析,如果指标数据最值超出设定的正常最值,或者指标数据类型与采集类终端的类型不一致,或者指标数据总数量超出实际的连接请求的数量,判断这些采集类终端存在异常,为保证物联网的安全性,转发节点向各采集类终端发送拒绝连接响应,拒绝采集类终端接入物联网;同时,还可发出相应的提示报警信息,以便于提示采集类终端可能出现安全问题,后续可进一步对这些终端进行安全性检测分析。
结合图2所示,一些实施例中,按照地理位置区域,将物联网划分为不同的安全域,一个安全域内有至少一个转发节点及接入该转发节点的若干物联终端,各物联终端接入转发节点时,转发节点判断物联终端的安全等级,根据相应的安全等级对物联终端进行相应的安全校验,从而实现转发节点对安全域内物联终端的安全防护。一些方式中,转发节点还需要与其他安全域的转发节点进行数据交互,转发节点接收其他转发节点的连接请求,需要对其他转发节点进行身份验证,如果其他转发节点的身份验证通过,与其他转发节点协商第三密钥,然后二者利用协商的第三密钥对交互的数据进行加密解密处理。如果其他转发节点的身份验证未通过,则转发节点与其他转发节点之间断开连接,两个安全域之间不再进行数据传输。
一些方式中,转发节点还用于监控所在安全域的网络状态,转发节点定时获取安全域内的网络连接状态(网络连接数量、网络连接速度等)、数据吞吐量(根据安全域从物联终端、中央节点和/或其他转发节点接收的数据量和向物联终端、中心节点和/或其他转发节点发送的数据量确定)等,根据网络连接状态和或数据吞吐量,判断安全域是否出现异常,例如,当网络连接状态出现异常或者数据吞吐量出现异常的增加或减少,物联终端的接入量超出预设的正常接入范围等,当判断安全域出现异常时,转发节点断开与中央节点、其他安全域的网络连接,防止安全风险在物联网扩散,同时向中央节点发送提醒报警信息。
本说明书实施例提供一种物联终端的安全防护方法,按照物联终端的配置、功能、处理的数据类型等条件将物联终端划分为不同的安全等级,利用同一个安全域的转发节点对物联终端进行相应安全等级的安全性校验,能够对物联终端进行分级、分类的安全防护;同时,按照地理位置区域将转发节点和物联终端划分为不同的安全域,由转发节点实现安全域之间的安全防护策略,从而构建一种分级、分类、分域的物联网安全防护系统。
如图3所示,本说明书实施例还提供一种物联终端的安全防护装置,包括:
接收模块,用于接收物联终端的连接请求;其中,连接请求包括物联终端的标识;
终端等级确定模块,用于根据物联终端的标识,确定物联终端的安全等级;
校验模块,用于根据安全等级,按照对应的安全策略对物联终端进行安全校验。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本说明书一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本说明书一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (11)
1.一种物联终端的安全防护方法,其特征在于,包括:
接收物联终端的连接请求;其中,所述连接请求包括所述物联终端的标识;
根据所述物联终端的标识,确定所述物联终端的安全等级;
根据所述安全等级,按照对应的安全策略对所述物联终端进行安全校验。
2.根据权利要求1所述的方法,其特征在于,所述物联终端为第一控制类终端;
根据所述物联终端的标识,确定所述物联终端的安全等级及对应的安全策略,包括:
根据所述第一控制类终端的标识,确定所述第一控制类终端的安全等级为第一等级;
根据所述安全等级,按照对应的安全策略对所述物联终端进行安全校验,包括:
利用第一验证模块对所述第一控制类终端进行身份验证,如果身份验证通过,与所述第一控制类终端协商第一密钥,接收所述第一控制类终端利用所述第一密钥对数据进行加密处理后的密文数据。
3.根据权利要求1所述的方法,其特征在于,所述物联终端为第二控制类终端;
根据所述物联终端的标识,确定所述物联终端的安全等级及对应的安全策略,包括:
根据所述第二控制类终端的标识,确定所述第二控制类终端的安全等级为第二等级;
根据所述安全等级,按照对应的安全策略对所述物联终端进行安全校验,包括:
利用第二验证模块对所述第二控制类终端进行身份验证,如果身份验证通过,与所述第二控制类终端协商第二密钥,接收所述第二控制类终端利用所述第二密钥对数据进行加密处理后的密文数据。
4.根据权利要求1所述的方法,其特征在于,所述物联终端为采集类终端,所述连接请求的数量大于预设的连接量阈值;
根据所述物联终端的标识,确定所述物联终端的安全等级及对应的安全策略,包括:
根据所述采集类终端的标识,确定所述采集类终端的安全等级为第三等级;
根据所述安全等级,按照对应的安全策略对所述物联终端进行安全校验,包括:
接收各采集类终端的指标数据;
根据所述指标数据进行流量统计,得到流量统计结果;其中,所述流量统计结果包括指标数据最值、指标数据总数量和指标数据类型;
如果所述指标数据总数量超出连接请求的数量、所述指标数据最值超出预设的正常最值,和/或指标数据类型与采集类终端类型不一致,向各采集类终端发送拒绝连接响应。
5.根据权利要求1所述的方法,其特征在于,接收物联终端的连接请求之前,还包括:
根据所述物联终端的配置信息、功能类型和数据类型,划分第一控制类终端、第二控制类终端和采集类终端。
6.根据权利要求1所述的方法,其特征在于,还包括:
接收其他转发节点的连接请求;
对所述其他转发节点进行身份验证;
如果所述其他转发节点的身份验证通过,与所述其他转发节点协商第三密钥,接收所述其他转发节点利用所述第三密钥对数据进行加密处理后的密文数据。
7.一种物联终端的安全防护装置,其特征在于,包括:
接收模块,用于接收物联终端的连接请求;其中,所述连接请求包括所述物联终端的标识;
终端等级确定模块,用于根据所述物联终端的标识,确定所述物联终端的安全等级;
校验模块,用于根据所述安全等级,按照对应的安全策略对所述物联终端进行安全校验。
8.根据权利要求7所述的装置,其特征在于,所述物联终端为第一控制类终端;
所述终端等级确定模块,用于根据所述第一控制类终端的标识,确定所述第一控制类终端的安全等级为第一等级;
所述校验模块,用于利用第一验证模块对所述第一控制类终端进行身份验证,如果身份验证通过,与所述第一控制类终端协商第一密钥,接收所述第一控制类终端利用所述第一密钥对数据进行加密处理后的密文数据。
9.根据权利要求7所述的装置,其特征在于,所述物联终端为第二控制类终端;
所述终端等级确定模块,用于根据所述第二控制类终端的标识,确定所述第二控制类终端的安全等级为第二等级;
所述校验模块,用于利用第二验证模块对所述第二控制类终端进行身份验证,如果身份验证通过,与所述第二控制类终端协商第二密钥,接收所述第二控制类终端利用所述第二密钥对数据进行加密处理后的密文数据。
10.根据权利要求7所述的装置,其特征在于,所述物联终端为采集类终端,所述连接请求的数量大于预设的连接量阈值;
所述终端等级确定模块,用于根据所述采集类终端的标识,确定所述采集类终端的安全等级为第三等级;
所述校验模块,用于接收各采集类终端的指标数据;根据所述指标数据进行流量统计,得到流量统计结果;其中,所述流量统计结果包括指标数据最值、指标数据总数量和指标数据类型;如果所述指标数据总数量超出连接请求的数量、所述指标数据最值超出预设的正常最值,和/或指标数据类型与采集类终端类型不一致,向各采集类终端发送拒绝连接响应。
11.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1至6任一所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210986068.6A CN115643039A (zh) | 2022-08-16 | 2022-08-16 | 物联终端的安全防护方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210986068.6A CN115643039A (zh) | 2022-08-16 | 2022-08-16 | 物联终端的安全防护方法、装置及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115643039A true CN115643039A (zh) | 2023-01-24 |
Family
ID=84939872
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210986068.6A Pending CN115643039A (zh) | 2022-08-16 | 2022-08-16 | 物联终端的安全防护方法、装置及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115643039A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116055226A (zh) * | 2023-03-30 | 2023-05-02 | 睿至科技集团有限公司 | 一种基于物联网的安全预警方法及系统 |
CN116362942A (zh) * | 2023-03-27 | 2023-06-30 | 深圳中新智城科技有限公司 | 一种基于大数据的智慧园区信息安全管理系统 |
-
2022
- 2022-08-16 CN CN202210986068.6A patent/CN115643039A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116362942A (zh) * | 2023-03-27 | 2023-06-30 | 深圳中新智城科技有限公司 | 一种基于大数据的智慧园区信息安全管理系统 |
CN116055226A (zh) * | 2023-03-30 | 2023-05-02 | 睿至科技集团有限公司 | 一种基于物联网的安全预警方法及系统 |
CN116055226B (zh) * | 2023-03-30 | 2023-05-30 | 睿至科技集团有限公司 | 一种基于物联网的安全预警方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11177946B2 (en) | Quantum entropy distributed via software defined perimeter connections | |
CN110324287B (zh) | 接入认证方法、装置及服务器 | |
US9882912B2 (en) | System and method for providing authentication service for internet of things security | |
CN115643039A (zh) | 物联终端的安全防护方法、装置及计算机可读存储介质 | |
CN104184713B (zh) | 终端识别方法、机器识别码注册方法及相应系统、设备 | |
CN103079200B (zh) | 一种无线接入的认证方法、系统及无线路由器 | |
EP3610622B1 (en) | Location-based detection of unauthorized use of interactive computing environment functions | |
US20160125180A1 (en) | Near Field Communication Authentication Mechanism | |
CN112291190A (zh) | 一种身份认证方法、终端及服务器 | |
CN108616521B (zh) | 网络接入方法、装置、设备及可读存储介质 | |
US20210006583A1 (en) | System and method of secure communication with internet of things devices | |
CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
CN114143068B (zh) | 电力物联网网关设备容器安全防护系统及其方法 | |
CN114513786A (zh) | 基于零信任的5g馈线自动化访问控制方法、装置及介质 | |
US9742769B2 (en) | Method and system for determining trusted wireless access points | |
CA3150331A1 (en) | Autoconnect virtual private network | |
US20170053136A1 (en) | Policy-based trusted peer-to-peer connections | |
CN117134979A (zh) | 一种数据通信方法、装置、设备及介质 | |
CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
EP3692698A1 (en) | System and method for validation of authenticity of communication at in-vehicle networks | |
Karthick et al. | Formalization and analysis of a resource allocation security protocol for secure service migration | |
Jerald et al. | Algorithmic approach to security architecture for integrated IoT smart services environment | |
CN104125066A (zh) | 用于网络上的应用的安全认证的方法和系统 | |
JP2014155095A (ja) | 通信制御装置、プログラム及び通信制御方法 | |
Mani Sekhar et al. | Security and privacy in 5G-enabled internet of things: a data analysis perspective |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |