CN116055220B - 一种物联网终端安全防护管控方法及系统 - Google Patents
一种物联网终端安全防护管控方法及系统 Download PDFInfo
- Publication number
- CN116055220B CN116055220B CN202310266854.3A CN202310266854A CN116055220B CN 116055220 B CN116055220 B CN 116055220B CN 202310266854 A CN202310266854 A CN 202310266854A CN 116055220 B CN116055220 B CN 116055220B
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- terminal
- access gateway
- gateway node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种物联网终端安全防护管控方法及系统,该方法包括如下步骤:响应于物联网终端发送的用于接入内网的数据交互连接请求,获取物联网终端的协议报文数据;对物联网终端的协议报文数据进行验证,若验证通过,则获取物联网终端的数据交互连接请求的内容,否则,禁止接受物联网终端的接入请求;为物联网终端与内网之间匹配安全接入网关节点,作为物联网终端与内网通信连接的通道。本申请提高物联网终端与内网通信的安全性。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及一种物联网终端安全防护管控方法及系统。
背景技术
随着物联网技术的不断发展,物联网技术被运用于各个领域。物联网设备的应用场景越来越广泛,在一些应用场景下,物联网终端的设备和信息安全非常重要,由于物联网终端异构、网络通信方式多样、复杂的应用,对物联网安全提出了更高的要求,安全变得尤为重要。
目前,越来越多的智能传感器、电能计量设备、电压监测设备、视频摄像终端、移动巡检终端、机器人等异构物联网终端通过公共网络接入内网,例如,企业内网,企业内网指的是采用Internet技术建立的企业内部的专用网络。由于很多物联网终端均处在户外,无人值守,容易遭受网络攻击或人为篡改风险,并且物联网终端的类型多样复杂,带来了更为复杂的安全风险。物联网终端普遍存在弱口令、漏洞和网络入侵等安全风险,容易被恶意代码攻击,一旦物联网终端和内网被入侵攻击和利用,则会给内网带来极大的安全威胁。现有的物联网终端通过公共网络接入内网中,不仅物联网终端存在被攻击的风险,而且公共网络也存在一定的安全隐患。
因此,如何提高物联网终端与内网通信的安全性是目前亟需解决的技术问题。
发明内容
本申请的目的在于提供一种物联网终端安全防护管控方法及系统,提高物联网终端与内网通信的安全性。
为达到上述目的,本申请提供一种物联网终端安全防护管控方法,该方法包括如下步骤:响应于物联网终端发送的用于接入内网的数据交互连接请求,获取物联网终端的协议报文数据;对物联网终端的协议报文数据进行验证,若验证通过,则获取物联网终端的数据交互连接请求的内容,否则,禁止接受物联网终端的接入请求;为物联网终端与内网之间匹配安全接入网关节点,作为物联网终端与内网通信连接的通道。
如上所述的物联网终端安全防护管控方法,其中,为物联网终端与内网之间匹配安全接入网关节点,作为物联网终端与内网通信连接的通道的方法包括:在多个物联网终端与内网之间建立多个安全接入网关节点;采集安全接入网关节点的属性特征数据;根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的匹配度;选取与物联网终端匹配度最大的安全接入网关节点,作为物联网终端与内网通信连接的通道。
如上所述的物联网终端安全防护管控方法,其中,该方法还包括如下步骤:实时采集工作状态下安全接入网关节点的网络攻击数据;根据安全接入网关节点的网络攻击数据,计算安全接入网关节点的运行危险值;比较安全接入网关节点的运行危险值和预设安全阈值的大小,若安全接入网关节点的运行危险值大于预设安全阈值,则更换物联网终端与内网之间通信的安全接入网关节点,否则,无需更换物联网终端与内网之间通信的安全接入网关节点。
如上所述的物联网终端安全防护管控方法,其中,计算物联网终端与安全接入网关节点的匹配度的方法包括如下子步骤:根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的第一子匹配度;采集的物联网终端的风险特征数据,并根据物联网终端的风险特征数据计算物联网终端的信誉值;根据物联网终端的信誉值和安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的第二子匹配度;根据第一子匹配度和第二子匹配度,计算物联网终端与安全接入网关节点的匹配度。
如上所述的物联网终端安全防护管控方法,其中,安全接入网关节点的属性特征数据包括:安全接入网关节点的安全等级和安全接入网关节点的剩余服务性能指标数据。
如上所述的物联网终端安全防护管控方法,其中,计算物联网终端与安全接入网关节点的第二子匹配度的方法包括:根据物联网终端的信誉值、安全接入网关节点的安全等级和安全接入网关节点的剩余服务性能指标数据,计算物联网终端与安全接入网关节点的第二子匹配度。
如上所述的物联网终端安全防护管控方法,其中,对物联网终端的协议报文数据进行验证的方法包括:对物联网终端的协议报文数据进行分类,获得不同类型的验证内容;对不同类型的验证内容进行逐个验证,若全部验证通过,则对物联网终端的协议报文数据的验证通过,否则,对物联网终端的协议报文数据的验证未通过。
本申请提供还一种物联网终端安全防护管控系统,该系统包括:获取模块,用于响应于物联网终端发送的用于接入内网的数据交互连接请求,获取物联网终端的协议报文数据;验证模块,用于对物联网终端的协议报文数据进行验证,若验证通过,则获取物联网终端的数据交互连接请求的内容,否则,禁止接受物联网终端的接入请求;匹配模块,用于为物联网终端与内网之间匹配安全接入网关节点,作为物联网终端与内网通信连接的通道。
如上所述的物联网终端安全防护管控系统,其中,匹配模块包括:构建模块,用于在多个物联网终端与内网之间建立多个安全接入网关节点;第一数据采集器,用于采集安全接入网关节点的属性特征数据;第一数据处理器,用于根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的匹配度;第一数据比较器,用于选取与物联网终端匹配度最大的安全接入网关节点,作为物联网终端与内网通信连接的通道。
如上所述的物联网终端安全防护管控系统,其中,该系统还包括:第二数据采集器,用于实时采集工作状态下安全接入网关节点的网络攻击数据;第二数据处理器,用于根据安全接入网关节点的网络攻击数据,计算安全接入网关节点的运行危险值;第二数据比较器,用于比较安全接入网关节点的运行危险值和预设安全阈值的大小,若安全接入网关节点的运行危险值大于预设安全阈值,则更换物联网终端与内网之间通信的安全接入网关节点,否则,无需更换物联网终端与内网之间通信的安全接入网关节点。
本申请实现的有益效果如下:
本申请根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的匹配度,从而为物联网终端匹配符合通信安全要求和通信性能较好的安全接入网关节点,用于物联网终端和内网之间的数据传输,提高物联网终端和内网之间通信的安全性和通信效率。
本申请实时采集工作状态下安全接入网关节点的网络攻击数据,计算安全接入网关节点的运行危险值,当安全接入网关节点的运行危险值大于预设安全阈值的时候,则停止使用该安全接入网关节点进行物联网终端和内网之间的数据传输,使用其他运行危险值较小的安全接入网关节点进行物联网终端和内网之间的数据传输,提高物联网终端和内网之间通信的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请实施例的一种物联网终端安全防护管控方法的流程图。
图2为本申请实施例的计算物联网终端与安全接入网关节点的匹配度的方法流程图。
图3为本申请实施例的一种物联网终端安全防护管控系统的结构示意图。
附图标记:10-获取模块;20-验证模块;30-匹配模块;31-构建模块;32-第一数据采集器;33-第一数据处理器;34-第一数据比较器;40-第二数据采集器;50-第二数据处理器;60-第二数据比较器;100-物联网终端安全防护管控系统。
具体实施方式
下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
如图1所示,本申请提供一种物联网终端安全防护管控方法,该方法包括如下步骤:
步骤S1,响应于物联网终端发送的用于接入内网的数据交互连接请求,获取物联网终端的协议报文数据。
具体的,物联网终端的协议报文数据包括物联网终端ID号、协议密码和协议口令等。
步骤S2,对物联网终端的协议报文数据进行验证,若验证通过,则获取物联网终端的数据交互连接请求的内容,否则,禁止接受物联网终端的接入请求。
管理节点接收到物联网终端的协议报文数据后,对物联网终端的协议报文进行验证,若验证通过,则获取物联网终端的数据交互连接请求的内容,否则,禁止接受物联网终端的接入请求,即禁止该物联网终端接入内网。
具体的,对物联网终端的协议报文数据进行验证的方法包括:
步骤S210,对物联网终端的协议报文数据进行分类,获得不同类型的验证内容。
具体的,对协议报文数据中的物联网终端ID号、协议密码和协议口令等进行分类。
步骤S220,对不同类型的验证内容进行逐个验证,若全部验证通过,则对物联网终端的协议报文数据的验证通过,否则,对物联网终端的协议报文数据的验证未通过。
具体的,管理节点对物联网终端的协议报文中的物联网终端ID号、协议密码和协议口令等与管理节点中预先存储的授权物联网终端ID号、协议密码和协议口令进行比较,判断物联网终端的协议报文中的物联网终端ID号、协议密码和协议口令等是否与管理节点中预先存储的授权物联网终端ID号、协议密码和协议口令一致,若全部一致,则验证通过,若有任意一个不一致,则验证不通过。
具体的,物联网终端的数据交互连接请求的内容包括:物联网终端的IP地址、物联网终端的连接端口、物联网终端的通信传输协议、目标内网的通信传输协议、目标内网的名称等。
作为本发明的具体实施例,若对物联网终端验证通过,则允许该物联网终端使用其请求的连接端口通过为其匹配的安全接入网关节点与目标内网进行数据交互。
步骤S3,在多个物联网终端与内网之间建立多个安全接入网关节点。
作为本发明的具体实施例,物联网终端可以是电能计量设备(智能电表)、温度监测设备、电压监测设备和传感器等。物联网终端中的传感器设备用于获取电力数据。例如,物联网终端间隔一段时间(30S、50S或60S等)采集一次数据,物联网终端每完成一次数据采集,就更新一次物联网终端的信誉值。物联网终端正常行为会增加信用价值,物联网终端出现异常行为会降低信誉值。
作为本发明的具体实施例,在多个物联网终端与内网之间建立多个安全接入网关节点,物联网终端通过安全接入网关节点与内网进行通信连接,实现数据的交互。可以理解的是,物联网终端将其获取的数据传递给安全接入网关节点,安全接入网关节点将物联网终端获取的数据传递给内网。
作为本发明的一个具体实施例,不同的物联网终端可以请求接入内网,内网可以包括一个或多个内网。可以理解的是,内网可以包括一个企业内网或多个企业内网,每一个企业内网具有内网IP地址和内网名称等。
作为本发明的一个具体实施例,任意一个物联网终端可以匹配一个安全接入网关节点接入其请求的内网。
作为本发明的一个具体实施例,多个物联网终端根据需求匹配同一个安全接入网关节点接入内网中。例如,第一物联网终端和第二物联网终端可以均通过一个安全接入网关节点接入内网中。
步骤S4,采集安全接入网关节点的属性特征数据。
作为本发明的具体实施例,安全接入网关节点的属性特征数据包括:安全通信协议类型、可接入内网信息、安全接入网关节点的安全认证等级和安全接入网关节点的剩余服务性能指标数据。
作为本发明的具体实施例,安全通信协议类型包括SSL安全通信协议、IPSec安全通信协议等。可接入内网信息指的是安全接入网关节点可以接入的内网的信息,内网的信息指的是内网IP地址和内网名称等。
作为本发明的具体实施例,剩余服务性能指标数据包括剩余可接入设备数量、剩余可并发数据包数量和数据传输速率。
作为本发明的具体实施例,安全认证等级包括一级、二级、三级和四级等,安全认证等级越高的安全认证策略越复杂,安全保护级别越高。安全认证策略包括一个或多个安全认证操作,安全认证操作包括名称认证、设备ID认证、密钥认证、口令认证和证书认证等。不同的安全接入网关节点具有不同的安全认证等级,不同安全认证等级的安全接入网关节点对应有不同阈值范围的物联网终端的信誉值。
其中,安全认证等级越高的安全接入网关节点对应的物联网终端的信誉值越小,一级安全认证等级高于二级安全认证等级,二级安全认证等级高于三级安全认证等级,三级安全认证等级高于四级安全认证等级。一级安全认证等级安全接入网关节点的安全认证策略的复杂度高于二级安全认证等级安全接入网关节点的安全认证策略的复杂度,二级安全认证等级安全接入网关节点的安全认证策略的复杂度高于三级安全认证等级安全接入网关节点的安全认证策略的复杂度;三级安全认证等级安全接入网关节点的安全认证策略的复杂度高于四级安全认证等级安全接入网关节点的安全认证策略的复杂度。复杂度越高的安全认证策略认证的内容更多或认证的安全系数更高。
其中,一级安全认证等级安全接入网关节点对应的物联网终端的信誉值的范围值小于二级安全认证等级安全接入网关节点对应的物联网终端的信誉值的范围值;二级安全认证等级安全接入网关节点对应的物联网终端的信誉值的范围值小于三级安全认证等级安全接入网关节点对应的物联网终端的信誉值的范围值;三级安全认证等级安全接入网关节点对应的物联网终端的信誉值的范围值小于四级安全认证等级安全接入网关节点对应的物联网终端的信誉值的范围值。
作为本发明的具体实施例,安全接入网关节点具有防火墙、防病毒、入侵检测和物联网终端接入认证等功能,从而可以对请求接入内网的物联网终端及其传输的数据进行安全检测。安全接入网关节点可以获取物联网终端的风险特征数据,风险特征数据包括物联网终端的漏洞、传输的数据中携带病毒、出现恶意代码和恶意链接等。
步骤S5,根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的匹配度。
具体的,物联网终端的数据交互连接请求的内容包括物联网终端请求接入的目标内网信息和通信协议类型,目标内网信息包括目标内网IP地址和目标内网名称等。
如图2所示,步骤S5包括如下子步骤:
步骤S510,根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的第一子匹配度。
具体的,根据物联网终端的通信协议类型和请求接入的目标内网信息,以及安全接入网关节点安全通信协议类型和可接入内网信息,计算物联网终端与安全接入网关节点的第一子匹配度。
其中,第一子匹配度的计算公式为:
;
其中,表示第一子匹配度;/>表示通信协议类型匹配因子,若物联网终端的通信协议类型符合安全接入网关节点安全通信协议类型,则/>;否则,/>;/>表示目标内网信息匹配因子,若物联网终端的目标内网信息属于安全接入网关节点中的可接入内网信息,则/>;否则,/>。
步骤S520,采集的物联网终端的风险特征数据,并根据物联网终端的风险特征数据计算物联网终端的信誉值。
具体的,根据安全接入网关节点采集的物联网终端的风险特征数据,计算物联网终端的信誉值。
其中,物联网终端的信誉值的计算公式为:
;
其中,表示风险特征数据的总种类数量;/>表示物联网终端数据传输总次数,/>表示物联网终端数据传输时出现风险特征数据的总次数;/>表示第/>种风险特征数据的总数量;/>表示第/>种风险特征数据的影响权重,/>表示第/>种风险特征数据的风险值。
作为本发明的具体实施例,例如,假设,/>时,若安全接入网关节点采集的物联网终端的风险特征数据包括:1个第一种漏洞、1个第二种漏洞和1个第一种病毒,漏洞和病毒的影响权重分别为1、3,第一种漏洞、第二种漏洞和第一种病毒的风险值分别为10、20和30,则物联网终端的信誉值为:/>。
作为本发明的具体实施例,为信誉值较低的物联网终端分配给高安全级别的安全接入网关节点,迫使信誉值较低的物联网终端增加攻击认证代价,为其分配安全认证过程更复杂和严格的安全接入网关,若物联网终端在较高安全级别的安全接入网关节点的认证下认证通过,则允许物联网终端接入内网,否则,禁止该物联网终端接入内网。
步骤S530,根据物联网终端的信誉值和安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的第二子匹配度。
具体的,根据物联网终端的信誉值、安全接入网关节点的安全等级和安全接入网关节点的剩余服务性能指标数据,计算物联网终端与安全接入网关节点的第二子匹配度。
其中,第二子匹配度的计算公式如下:
;
其中,表示物联网终端的信誉值与安全接入网关节点的安全等级的匹配因子,若物联网终端的信誉值在安全接入网关节点的安全等级对应的信誉值范围内,则/>;否则,/>;/>表示安全接入网关节点的第/>种剩余服务性能指标数据的权重因子;/>表示安全接入网关节点的第/>种剩余服务性能指标数据的剩余服务值;/>表示安全接入网关节点的剩余服务性能指标数据的总种类数量。
其中,剩余服务性能指标数据包括剩余可接入设备数量、剩余可并发数据包数量和数据传输速率。剩余服务性能指标数据的剩余服务值为剩余服务性能指标数据的具体数值,例如,剩余可接入设备数量的具体值、剩余可并发数据包数量的具体值。
步骤S540,根据第一子匹配度和第二子匹配度,计算物联网终端与安全接入网关节点的匹配度。
具体的,物联网终端与安全接入网关节点的匹配度的计算公式为:
;
其中,表示物联网终端与安全接入网关节点的匹配度;/>表示物联网终端与安全接入网关节点的第一子匹配度;/>表示物联网终端与安全接入网关节点的第二子匹配度。
步骤S6,选取与物联网终端匹配度最大的安全接入网关节点,作为物联网终端与内网通信连接的通道。
具体的,根据计算的物联网终端与安全接入网关节点的匹配度,获取与物联网终端匹配度最大的安全接入网关节点,建立物联网终端与该安全接入网关节点之间的通信通道和该安全接入网关节点与物联网终端请求接入目标内网之间的通信通道,进而通过该安全接入网关节点对物联网终端进行安全认证和传输数据的风险监测,若安全认证通过且风险认证通过后,则允许物联网终端与目标内网进行数据交互,否则,禁止该物联网终端将其请求传输的数据输送给内网。
步骤S7,实时采集工作状态下安全接入网关节点的网络攻击数据。
具体的,工作状态下的安全接入网关节点即正在进行物联网终端和内网之间数据传输服务的安全接入网关节点。在安全接入网关节点对物联网终端和内网之间进行数据传输的时间段内,实时监控安全接入网关节点的运行状态数据、运行日志数据、网络安全日志数据,实时采集安全接入网关节点的网络攻击数据。具体的,采集预设时间段内安全接入网关节点的网络攻击数据,网络攻击数据的类型包括病毒攻击、电子邮件攻击、IP攻击以及冗余数据攻击。
步骤S8,根据安全接入网关节点的网络攻击数据,计算安全接入网关节点的运行危险值。
具体的,在安全接入网关节点对物联网终端和内网之间进行数据传输的时间段内,根据安全接入网关节点的网络攻击特征数据,计算安全接入网关节点的运行危险值。
具体的,计算安全接入网关节点的运行危险值的公式如下:
;
其中,表示安全接入网关节点的运行危险值;/>表示网络攻击数据的总种类数;/>表示安全接入网关节点当前监测时间段对应的历史时间段危险因子;/>表示第/>种网络攻击的持续时长;/>表示第/>种网络攻击的影响权重;/>表示第/>种网络攻击的危险值。
其中,安全接入网关节点当前监测时间段对应的历史时间段危险因子的计算公式为:
;
其中,表示安全接入网关节点历史出现网络攻击的总次数;/>表示安全接入网关节点在当前时间段对应的历史网络攻击出现的次数。
具体的,将攻击持续时间段和对应的运行危险值的网络攻击记录打上时间戳存储至数据库。
步骤S9,比较安全接入网关节点的运行危险值和预设安全阈值的大小,若安全接入网关节点的运行危险值大于预设安全阈值,则更换物联网终端与内网之间通信的安全接入网关节点,否则,无需更换物联网终端与内网之间通信的安全接入网关节点。
具体的,更换物联网终端与内网之间通信的安全接入网关节点时,选择安全接入网关节点的运行危险值小于预设安全阈值,且与物联网终端匹配度较高的安全接入网关节点,即除去当前安全接入网关节点的剩余安全接入网关节点中最大的安全接入网关节点,作为物联网终端与内网之间通信连接的通道。
作为本发明的具体实施例,禁止与物联网终端匹配度为0的安全接入网关节点作为物联网终端与内网之间通信连接的通道。
实施例二
如图3所示,本申请提供还一种物联网终端安全防护管控系统100,该系统包括:
获取模块10,用于响应于物联网终端发送的用于接入内网的数据交互连接请求,获取物联网终端的协议报文数据。
验证模块20,用于对物联网终端的协议报文数据进行验证,若验证通过,则获取物联网终端的数据交互连接请求的内容,否则,禁止接受物联网终端的接入请求。
匹配模块30,用于为物联网终端与内网之间匹配安全接入网关节点,作为物联网终端与内网通信连接的通道。
其中,获取模块10、验证模块20和匹配模块3均为设置在管理节点中的模块,管理节点为中央管理服务器。
匹配模块30包括:
构建模块31,用于在多个物联网终端与内网之间建立多个安全接入网关节点。
第一数据采集器32,用于采集安全接入网关节点的属性特征数据。
第一数据处理器33,用于根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的匹配度。
第一数据比较器34,用于选取与物联网终端匹配度最大的安全接入网关节点,作为物联网终端与内网通信连接的通道。
本申请一种物联网终端安全防护管控系统100还包括:
第二数据采集器40,用于实时采集工作状态下安全接入网关节点的网络攻击数据。
第二数据处理器50,用于根据安全接入网关节点的网络攻击数据,计算安全接入网关节点的运行危险值。
第二数据比较器60,用于比较安全接入网关节点的运行危险值和预设安全阈值的大小,若安全接入网关节点的运行危险值大于预设安全阈值,则更换物联网终端与内网之间通信的安全接入网关节点,否则,无需更换物联网终端与内网之间通信的安全接入网关节点。
本申请实现的有益效果如下:
(1)本申请根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的匹配度,从而为物联网终端匹配符合通信安全要求和通信性能较好的安全接入网关节点,用于物联网终端和内网之间的数据传输,提高物联网终端和内网之间通信的安全性和通信效率。
(2)本申请实时采集工作状态下安全接入网关节点的网络攻击数据,计算安全接入网关节点的运行危险值,当安全接入网关节点的运行危险值大于预设安全阈值的时候,则停止使用该安全接入网关节点进行物联网终端和内网之间的数据传输,使用其他运行危险值较小的安全接入网关节点进行物联网终端和内网之间的数据传输,提高物联网终端和内网之间通信的安全性。
以上所述仅为本发明的实施方式而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理内所做的任何修改、等同替换、改进等,均应包括在本发明的权利要求范围之内。
Claims (7)
1.一种物联网终端安全防护管控方法,其特征在于,该方法包括如下步骤:
响应于物联网终端发送的用于接入内网的数据交互连接请求,获取物联网终端的协议报文数据;
对物联网终端的协议报文数据进行验证,若验证通过,则获取物联网终端的数据交互连接请求的内容,否则,禁止接受物联网终端的接入请求;
为物联网终端与内网之间匹配安全接入网关节点,作为物联网终端与内网通信连接的通道;
其中,为物联网终端与内网之间匹配安全接入网关节点,作为物联网终端与内网通信连接的通道的方法包括:
在多个物联网终端与内网之间建立多个安全接入网关节点;
采集安全接入网关节点的属性特征数据;
根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的匹配度;
选取与物联网终端匹配度最大的安全接入网关节点,作为物联网终端与内网通信连接的通道;
其中,计算物联网终端与安全接入网关节点的匹配度的方法包括如下子步骤:
根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的第一子匹配度;
采集的物联网终端的风险特征数据,并根据物联网终端的风险特征数据计算物联网终端的信誉值;
根据物联网终端的信誉值和安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的第二子匹配度;
根据第一子匹配度和第二子匹配度,计算物联网终端与安全接入网关节点的匹配度。
2.根据权利要求1所述的物联网终端安全防护管控方法,其特征在于,该方法还包括如下步骤:
实时采集工作状态下安全接入网关节点的网络攻击数据;
根据安全接入网关节点的网络攻击数据,计算安全接入网关节点的运行危险值;
比较安全接入网关节点的运行危险值和预设安全阈值的大小,若安全接入网关节点的运行危险值大于预设安全阈值,则更换物联网终端与内网之间通信的安全接入网关节点,否则,无需更换物联网终端与内网之间通信的安全接入网关节点。
3.根据权利要求1所述的物联网终端安全防护管控方法,其特征在于,安全接入网关节点的属性特征数据包括:安全接入网关节点的安全等级和安全接入网关节点的剩余服务性能指标数据。
4.根据权利要求3所述的物联网终端安全防护管控方法,其特征在于,计算物联网终端与安全接入网关节点的第二子匹配度的方法包括:
根据物联网终端的信誉值、安全接入网关节点的安全等级和安全接入网关节点的剩余服务性能指标数据,计算物联网终端与安全接入网关节点的第二子匹配度。
5.根据权利要求4所述的物联网终端安全防护管控方法,其特征在于,对物联网终端的协议报文数据进行验证的方法包括:
对物联网终端的协议报文数据进行分类,获得不同类型的验证内容;
对不同类型的验证内容进行逐个验证,若全部验证通过,则对物联网终端的协议报文数据的验证通过,否则,对物联网终端的协议报文数据的验证未通过。
6.一种物联网终端安全防护管控系统,其特征在于,该系统包括:
获取模块,用于响应于物联网终端发送的用于接入内网的数据交互连接请求,获取物联网终端的协议报文数据;
验证模块,用于对物联网终端的协议报文数据进行验证,若验证通过,则获取物联网终端的数据交互连接请求的内容,否则,禁止接受物联网终端的接入请求;
匹配模块,用于为物联网终端与内网之间匹配安全接入网关节点,作为物联网终端与内网通信连接的通道;
其中,匹配模块包括:
构建模块,用于在多个物联网终端与内网之间建立多个安全接入网关节点;
第一数据采集器,用于采集安全接入网关节点的属性特征数据;
第一数据处理器,用于根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的匹配度;
第一数据比较器,用于选取与物联网终端匹配度最大的安全接入网关节点,作为物联网终端与内网通信连接的通道;
其中,计算物联网终端与安全接入网关节点的匹配度的方法包括如下子步骤:
根据物联网终端的数据交互连接请求的内容,及安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的第一子匹配度;
采集的物联网终端的风险特征数据,并根据物联网终端的风险特征数据计算物联网终端的信誉值;
根据物联网终端的信誉值和安全接入网关节点的属性特征数据,计算物联网终端与安全接入网关节点的第二子匹配度;
根据第一子匹配度和第二子匹配度,计算物联网终端与安全接入网关节点的匹配度。
7.根据权利要求6所述的物联网终端安全防护管控系统,其特征在于,该系统还包括:
第二数据采集器,用于实时采集工作状态下安全接入网关节点的网络攻击数据;
第二数据处理器,用于根据安全接入网关节点的网络攻击数据,计算安全接入网关节点的运行危险值;
第二数据比较器,用于比较安全接入网关节点的运行危险值和预设安全阈值的大小,若安全接入网关节点的运行危险值大于预设安全阈值,则更换物联网终端与内网之间通信的安全接入网关节点,否则,无需更换物联网终端与内网之间通信的安全接入网关节点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310266854.3A CN116055220B (zh) | 2023-03-20 | 2023-03-20 | 一种物联网终端安全防护管控方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310266854.3A CN116055220B (zh) | 2023-03-20 | 2023-03-20 | 一种物联网终端安全防护管控方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116055220A CN116055220A (zh) | 2023-05-02 |
CN116055220B true CN116055220B (zh) | 2023-08-01 |
Family
ID=86120317
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310266854.3A Active CN116055220B (zh) | 2023-03-20 | 2023-03-20 | 一种物联网终端安全防护管控方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116055220B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117061239B (zh) * | 2023-10-10 | 2023-12-22 | 国网四川省电力公司信息通信公司 | 物联终端运行数据安全上传与存储方法和系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019184736A1 (zh) * | 2018-03-31 | 2019-10-03 | 华为技术有限公司 | 接入认证方法、装置及服务器 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105681268B (zh) * | 2014-11-21 | 2019-09-24 | 南京中兴软件有限责任公司 | 数据传送方法及装置 |
WO2016106560A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 一种实现远程接入的方法、装置及系统 |
CN110958262A (zh) * | 2019-12-15 | 2020-04-03 | 国网山东省电力公司电力科学研究院 | 电力行业泛在物联网安全防护网关系统、方法及部署架构 |
-
2023
- 2023-03-20 CN CN202310266854.3A patent/CN116055220B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019184736A1 (zh) * | 2018-03-31 | 2019-10-03 | 华为技术有限公司 | 接入认证方法、装置及服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN116055220A (zh) | 2023-05-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
CN111031003B (zh) | 一种跨网隔离安全系统的智能评估系统 | |
US20060149848A1 (en) | System, apparatuses, and method for linking and advising of network events related to resource access | |
CN106713301A (zh) | 一种面向智能终端的物联网安全防御系统 | |
CN116055220B (zh) | 一种物联网终端安全防护管控方法及系统 | |
CN112165470B (zh) | 一种基于日志大数据分析的智能终端接入安全预警系统 | |
Yeboah-Ofori et al. | Cybercrime and risks for cyber physical systems | |
CN106302550A (zh) | 一种用于智能变电站自动化的信息安全方法及系统 | |
AU2020104272A4 (en) | Blockchain-based industrial internet data security monitoring method and system | |
CN116938590B (zh) | 一种基于虚拟化技术的云安全管理方法与系统 | |
CN106685775A (zh) | 一种智能家电自检式防入侵方法及系统 | |
CN116132989B (zh) | 一种工业互联网安全态势感知系统及方法 | |
CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
Hu et al. | I-hmm-based multidimensional network security risk assessment | |
CN115065469A (zh) | 一种电力物联网数据交互方法、装置及存储介质 | |
CN112152895A (zh) | 智能家居设备控制方法、装置、设备及计算机可读介质 | |
CN114221799B (zh) | 一种通信监控方法、装置和系统 | |
CN116170199A (zh) | 一种基于物联网网关的设备接入验证系统 | |
Rakas et al. | Intrusion detection systems in smart grid | |
Matoušek et al. | Security monitoring of iot communication using flows | |
CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
CN114124436A (zh) | 一种基于电力物联网泛终端的apn接入可信计算管理系统 | |
Rakas et al. | Cyber security issues in conductor temperature and meteorological measurement based DLR system | |
CN117811839B (zh) | 一种监测物联网设备的网络安全监测装置及其方法 | |
Liu et al. | Security risks evaluation toolbox for smart grid devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |