CN117579390A - 一种可变信息情报板安全防护方法、系统及存储介质 - Google Patents
一种可变信息情报板安全防护方法、系统及存储介质 Download PDFInfo
- Publication number
- CN117579390A CN117579390A CN202410057934.2A CN202410057934A CN117579390A CN 117579390 A CN117579390 A CN 117579390A CN 202410057934 A CN202410057934 A CN 202410057934A CN 117579390 A CN117579390 A CN 117579390A
- Authority
- CN
- China
- Prior art keywords
- safety
- communication
- security
- terminal
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000006854 communication Effects 0.000 claims abstract description 172
- 238000004891 communication Methods 0.000 claims abstract description 163
- 238000012795 verification Methods 0.000 claims abstract description 69
- 238000012544 monitoring process Methods 0.000 claims description 33
- 239000003999 initiator Substances 0.000 claims description 18
- 238000005286 illumination Methods 0.000 claims description 9
- 238000004146 energy storage Methods 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 abstract description 3
- 238000005242 forging Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 3
- 230000006698 induction Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 206010034960 Photophobia Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 208000013469 light sensitivity Diseases 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种可变信息情报板安全防护方法、系统及存储介质,属于高速公路信息发布安全技术领域。所述方法包括以下步骤:S1:网络安全设备部署阶段;S2:网络安全设备初始化阶段;S3:动态通信通道建立阶段,安全接入网关和安全终端建立动态端口通信通道,按照通信接收端口序列集CPNn动态更新的端口进行通信;S4:网络安全设备验证阶段,建立动态端口通信通道后,在通信过程中对网络安全设备的合法性进行多次验证,若任意一次验证不合法,则验证不通过。同时使用通信端口动态更换、IP、MAC、ID和时间等多种机制结合的方式能够对合法用户进行识别,防止非法攻击者通过在通信线路或者直接抵近连接交通可变情报板,对发布信息进行伪造、假冒和篡改。
Description
技术领域
本发明涉及高速公路信息发布安全技术领域,尤其涉及一种可变信息情报板安全防护方法、系统及存储介质。
背景技术
高速公路可变信息情报板系统是一种架设在高速公路上方或者是道路两侧的LED诱导屏产品,目前广泛应用高速道路等相关交通基础设施上,与交通管理单位相关系统相连,提供可见的交通诱导信息显示,用于指示驾驶员前方的交通状况、突发路况、道路情况、安全提醒、天气信息和施工等信息,高速公路可变信息情报板已经成为支撑当前高速公路正常运行的重要信息系统之一。
高速公路可变信息情报板系统主要由部署于管理中心的情报板发布系统(以下简称“发布系统”)和部署于高速公路各路段的情报板控制器终端(以下简称“控制器终端”)组成,一旦情报板控制器终端被非授权控制,将直接影响高速公路可变信息情报板系统发布的交通诱导信息准确性及可靠性,将直接影响公众出行安全,甚至关系公共利益和社会稳定。目前相当数量控制器终端主要基于无人值守环境,同时使用开放的互联网网络中,容易遭受物理攻击和网络攻击。一旦攻击者使用网络远程破解控制器终端、或冒充发布系统,或直接使用物理克隆替换控制器终端,进而非法侵入高速公路可变信息情报板系统,就能够以此为跳板攻击其他控制器终端甚至直接控制发布系统,为高速公路安全运行带来安全隐患。
目前基于MAC地址、IP地址和数字证书等方式作为控制器终端安全认证措施已相对成熟,但由于以上相关方式使用的特征相对静态、固定且易伪造,无法达到高速公路安全运营所需的终端安全认证水平,因此亟需研究一种应用于高速公路可变信息情报板系统控制器终端的多因子动态安全认证机制,解决控制器终端被非法控制,进而对信息进行伪造、窃取、假冒和篡改的问题。
发明内容
本发明的目的在于克服现有技术的不足,提供一种可变信息情报板安全防护方法、系统及存储介质。
本发明的目的是通过以下技术方案来实现的:本发明第一方面提供:一种可变信息情报板安全防护方法,包括以下步骤:S1:网络安全设备部署阶段,在情报板发布系统和情报板控制器终端中串行部署安全接入网关和安全终端,同时增加安全终端管理系统;S2:网络安全设备初始化阶段,安全接入网关、安全终端和安全终端管理系统进行设备初始化,生成通信接收端口序列集CPNn;S3:动态通信通道建立阶段,安全接入网关和安全终端建立动态端口通信通道,按照通信接收端口序列集CPNn动态更新的端口进行通信;S4:网络安全设备验证阶段,建立动态端口通信通道后,在通信过程中对网络安全设备的合法性进行多次验证,若任意一次验证不合法,则验证不通过。S5:安全终端开启监测阶段,安全终端采用箱柜开启监测方法对安全终端箱柜非法开启进行监测,当发现安全终端箱柜被非法开启时,立刻向安全终端管理系统报警并关闭可变信息情报板的显示模块。
优选的,所述的通信接收端口序列集CPNn包括以下生成步骤:
设通信端口总集大小为N;
安全终端管理系统将接收通信设备n的唯一标识P作为输入,输入伪随机序列发生器,P=接收通信设备n的网络IP&MAC地址&设备ID&产生序列当前绝对时间,选取的伪随机序列发生器循环周期不低于N;
伪随机序列发生器根据输入S产生数组长度为N的伪随机序列数组PNn;
将伪随机序列数组PNn中各个数和通信端口总集N-1进行取模运算得到通信接收端口序列集CPNn。
优选的,所述的S2:网络安全设备初始化阶段,还包括以下步骤:
S21:安全终端管理系统向安全接入网关和安全终端写入唯一的网络IP、MAC地址和设备ID,同时安全接入网关、安全终端和安全终端管理系统校准各自实时时钟,保持安全接入网关、安全终端和安全终端管理系统时间一致;
S22:安全接入网关和安全终端通过安全终端管理系统交换各自唯一的网络IP、MAC地址和设备ID并进行记录,用于后续的合法性验证;
S23:安全终端管理系统根据安全接入网关和安全终端的初始密钥,生成通讯接收端口序列集并写入安全接入网关和安全终端,用于动态生成接收端口,安全接入网关和安全终端的通讯接收端口序列集不重复;
S24:安全终端管理系统根据可变信息情报板存在的通信关系,在安全接入网关和安全终端中配置通信白名单,不在通信白名单的设备不允许进行通信。
优选的,所述的S3:动态通信通道建立阶段,还包括以下步骤:
S31:安全终端按照自身内置的通信接收端口序列集CPNn,每隔第一预设时间开放通信接收端口,并按照第二预设时间进行通信接收端口更换,等待在通信白名单中的安全接入网关通信;
S32:安全接入网关发起通信时根据发起通信时间和安全终端设备ID对应的端口选择发起通信的端口,与安全终端在该端口进行通信。
优选的,所述的S4:网络安全设备验证阶段,还包括以下步骤:
S41:安全接入网关作为通信发起方,在通信验证协议帧中加上如下信息:发起方IP、MAC地址和设备ID号、接收方IP、MAC地址和设备ID号和当前时间作为通信验证协议帧验证部分和通信验证协议帧中其他数据一起利用国密算法生成的通信验证协议帧摘要信息,再通过国密算法加密后将通信验证协议帧发送到安全终端;
S42:安全终端收到加密后的通信验证协议帧 ,利用国密算法解密通信验证协议帧;
S43:安全终端判断接收方IP 、MAC地址和设备ID号是否为自身IP 、MAC地址和设备ID号,若不是则验证不通过,同时上报安全终端管理系统,安全终端管理系统将发起方加入通信黑名单;
S44:安全终端判断发起方IP 、MAC地址和设备ID号是否为通信白名单中的IP 、MAC地址和设备ID号,若不是则验证不通过,同时上报安全终端管理系统,安全终端管理系统将发起方加入通信黑名单;
S45:安全终端判断通信验证协议帧中的当前时间,与自身设备中的当前时间误差是否超出预设范围,若超出预设范围,则验证不通过,同时上报安全终端管理系统,安全终端管理系统将发起方加入设备通信黑名单;
S46:安全终端向安全终端管理系统发起验证请求,验证安全接入网关是否在通信黑名单中,若在通信黑名单中,则为非法设备,验证不通过。
优选的,所述的箱柜开启监测方法是通过微波监测方法和/或光敏监测方法进行监测;
所述的微波监测方法是利用安全终端内置的微波收发模块间隔第三预设时间向安全终端箱体发送微波并接收,通过第四预设时间内多次发送和接收的时间差与常态安全终端箱体的平均接收时间来求取方差,判定箱门是否关闭或箱体是否损坏,若方差超过阈值则向安全终端管理系统报警;
所述的光敏监测方法是利用安全终端内置的光敏传感器对安全终端箱体内光照情况进行监测,当安全终端箱体内光照度超过预设光照值时,向安全终端管理系统报警。
优选的,所述的安全接入网关、安全终端和安全终端管理系统均内置实时时钟和用于通信的移动终端;所述的安全终端内还设置有储能装置和移动SIM卡,当通信链路出现网络故障或安全终端箱柜非法开启或出现断电时,利用储能装置供电,移动SIM卡发送短信上报,短信按照故障种类进行编码。
优选的,所述的安全接入网关有1个,所述的安全终端有多个。
本发明第二方面提供:一种可变信息情报板安全防护系统,用于实现上述任一种可变信息情报板安全防护方法,包括:
网络安全设备部署模块,能够在情报板发布系统和情报板控制器终端中串行部署安全接入网关和安全终端,同时增加安全终端管理系统;
网络安全设备初始化模块,能够对安全接入网关、安全终端和安全终端管理系统进行设备初始化,生成通信接收端口序列集CPNn;
动态通信通道建立模块,能够建立安全接入网关和安全终端之间的动态端口通信通道,按照通信接收端口序列集CPNn动态更新的端口进行通信;
网络安全设备验证模块,能够在建立动态端口通信通道后,在通信过程中对网络安全设备的合法性进行多次验证,若任意一次验证不合法,则验证不通过;
安全终端开启监测模块,采用箱柜开启监测方法对安全终端箱柜非法开启进行监测,当发现安全终端箱柜被非法开启时,立刻向安全终端管理系统报警并关闭可变信息情报板的显示模块。
本发明第三方面提供:一种计算机存储介质,所述的计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现上述任一种可变信息情报板安全防护方法。
本发明的有益效果是:
1)通过同时使用通信端口动态更换、IP、MAC、ID和时间等多种机制结合的方式能够对合法用户进行识别,防止非法攻击者通过在通信线路对发布信息进行伪造、假冒和篡改。
2)通过箱体开启监测方法,防止非法攻击者直接抵近连接交通可变情报板,对发布信息进行伪造、假冒和篡改。
附图说明
图1为网络安全设备部署图;
图2为动态通信的通信接收端口开放情况示意图;
图3为通信验证协议帧结构示意图;
图4为网络安全设备验证流程图;
图5为通信接收端口序列集CPNn生成流程图。
具体实施方式
下面将结合实施例,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1-图4,本发明第一方面提供:一种可变信息情报板安全防护方法,包括以下步骤:S1:网络安全设备部署阶段,在情报板发布系统和情报板控制器终端中串行部署安全接入网关和安全终端,同时增加安全终端管理系统;S2:网络安全设备初始化阶段,安全接入网关、安全终端和安全终端管理系统进行设备初始化,生成通信接收端口序列集CPNn;S3:动态通信通道建立阶段,安全接入网关和安全终端建立动态端口通信通道,按照通信接收端口序列集CPNn动态更新的端口进行通信;S4:网络安全设备验证阶段,建立动态端口通信通道后,在通信过程中对网络安全设备的合法性进行多次验证,若任意一次验证不合法,则验证不通过,S5:安全终端开启监测阶段,安全终端采用箱柜开启监测方法对安全终端箱柜非法开启进行监测,当发现安全终端箱柜被非法开启时,立刻向安全终端管理系统报警并关闭可变信息情报板的显示模块。具体的网络安全设备部署,如图1所示,在可变信息情报板现有的情报板发布系统(O0)和情报板控制器终端(O1)中串行部署安全接入网关(A1)和安全终端(A2),同时增加安全终端管理系统(A0)。网络安全设备初始化:安全接入网关(A1)和安全终端(A2)等安全设备正式使用前需要做好设备初始化。A1和A2建立动态通信通道:网络安全设备A1和A2通信需要按照“通信接收端口序列集CPNn”(Port0~n)动态更新的端口进行通信。通信过程中安全设备验证:通过S3所述方法建立动态端口通信通道后,在通信过程中通过多种方式对设备的合法性进行进一步验证。
在一些实施例中,所述的通信接收端口序列集CPNn包括以下生成步骤:
设通信端口总集大小为N;(相关端口位于0~65535,并扣除不可使用端口)
安全终端管理系统将接收通信设备n的唯一标识P作为输入,输入伪随机序列发生器,P=接收通信设备n的网络IP&MAC地址&设备ID&产生序列当前绝对时间,选取的伪随机序列发生器循环周期不低于N;
伪随机序列发生器根据输入S产生数组长度为N的伪随机序列数组PNn;(PNn0,PNn1,PNn2…PNnN-1)
将伪随机序列数组PNn中各个数和通信端口总集N-1进行取模运算得到通信接收端口序列集CPNn。通信接收端口序列集CPNn生成过程如图5所示。
在一些实施例中,所述的S2:网络安全设备初始化阶段,还包括以下步骤:
S21:安全终端管理系统向安全接入网关和安全终端写入唯一的网络IP、MAC地址和设备ID,同时安全接入网关、安全终端和安全终端管理系统校准各自实时时钟,保持安全接入网关、安全终端和安全终端管理系统时间一致;
S22:安全接入网关和安全终端通过安全终端管理系统交换各自唯一的网络IP、MAC地址和设备ID并进行记录,用于后续的合法性验证;
S23:安全终端管理系统根据安全接入网关和安全终端的初始密钥,生成通讯接收端口序列集并写入安全接入网关和安全终端,用于动态生成接收端口,安全接入网关和安全终端的通讯接收端口序列集不重复;
S24:安全终端管理系统根据可变信息情报板存在的通信关系,在安全接入网关和安全终端中配置通信白名单,不在通信白名单的设备不允许进行通信。A0根据高速公路路网可变信息情报板可能存在的通信关系,在A1和A2设备中配置“允许通信的安全设备清单,即设备的“通信白名单”,不在“通信白名单”的设备不允许进行通信。
在一些实施例中,所述的S3:动态通信通道建立阶段,还包括以下步骤:
S31:安全终端按照自身内置的通信接收端口序列集CPNn,每隔第一预设时间开放通信接收端口,并按照第二预设时间进行通信接收端口更换,等待在通信白名单中的安全接入网关通信;
S32:安全接入网关发起通信时根据发起通信时间和安全终端设备ID对应的端口选择发起通信的端口,与安全终端在该端口进行通信。动态通信的通信接收端口开放情况如图2所示。
在一些实施例中,所述的S4:网络安全设备验证阶段,还包括以下步骤:
S41:安全接入网关作为通信发起方,在通信验证协议帧中加上如下信息:发起方IP、MAC地址和设备ID号、接收方IP、MAC地址和设备ID号和当前时间作为通信验证协议帧验证部分和通信验证协议帧中其他数据一起利用国密算法生成的通信验证协议帧摘要信息,再通过国密算法加密后将通信验证协议帧发送到安全终端;
S42:安全终端收到加密后的通信验证协议帧 ,利用国密算法解密通信验证协议帧;
S43:安全终端判断接收方IP 、MAC地址和设备ID号是否为自身IP 、MAC地址和设备ID号,若不是则验证不通过,同时上报安全终端管理系统,安全终端管理系统将发起方加入通信黑名单;
S44:安全终端判断发起方IP 、MAC地址和设备ID号是否为通信白名单中的IP 、MAC地址和设备ID号,若不是则验证不通过,同时上报安全终端管理系统,安全终端管理系统将发起方加入通信黑名单;
S45:安全终端判断通信验证协议帧中的当前时间,与自身设备中的当前时间误差是否超出预设范围,若超出预设范围,则验证不通过,同时上报安全终端管理系统,安全终端管理系统将发起方加入设备通信黑名单;
S46:安全终端向安全终端管理系统发起验证请求,验证安全接入网关是否在通信黑名单中,若在通信黑名单中,则为非法设备,验证不通过。S41通信验证协议帧结构如图3所示;S42到S46网络安全设备验证流程如图4所示。国密算法即国家密码局认定的国产密码算法。所述国密算法包括SM1,SM2,SM3,SM4等。
在一些实施例中,所述的箱柜开启监测方法是通过微波监测方法和/或光敏监测方法进行监测;
所述的微波监测方法是利用安全终端内置的微波收发模块间隔第三预设时间向安全终端箱体发送微波并接收,通过第四预设时间内多次发送和接收的时间差与常态安全终端箱体的平均接收时间来求取方差,判定箱门是否关闭或箱体是否损坏,若方差超过阈值则向安全终端管理系统报警;
所述的光敏监测方法是利用安全终端内置的光敏传感器对安全终端箱体内光照情况进行监测,当安全终端箱体内光照度超过预设光照值时,向安全终端管理系统报警。安全终端采用微波和光敏等多种方式对箱柜非法开启进行合并监测,一旦一种发现风险,立刻向安全终端管理系统报警,同时关闭情报板屏幕。一是微波判定:内置的微波收发模块定期向情报板控制器箱体发送微波并接收,通过一段时间内多次发送和接收的时间差与正常情报板控制器箱体的平均接收时间来求取方差,来进行判定箱门是否关闭或箱体是否损坏,一旦方差超过阈值则报警;二是光敏判定:内置的光敏传感器对箱体内光亮情况进行监测,一旦发现箱体被非法开启或使用灯光的情况,判定箱门是否关闭或箱体是否损坏;三综合研判,微波和光敏告警进行或操作,将告警情况上报。
在一些实施例中,所述的安全接入网关、安全终端和安全终端管理系统均内置实时时钟和用于通信的移动终端;所述的安全终端内还设置有储能装置和移动SIM卡,当通信链路出现网络故障或安全终端箱柜非法开启或出现断电时,利用储能装置供电,移动SIM卡发送短信上报,短信按照故障种类进行编码。安全终端A2自带储能装置和移动SIM卡,安全终端A2平常利用现有供电定期发送安全短信上报,若原有通信链路出现网络故障、异常打开或出现断电等其他问题,可以利用自带储能装置通过短信立即上报,短信按照故障种类进行编码。
在一些实施例中,所述的安全接入网关有1个,所述的安全终端有多个。
本发明第二方面提供:一种可变信息情报板安全防护系统,用于实现上述任一种可变信息情报板安全防护方法,包括:
网络安全设备部署模块,能够在情报板发布系统和情报板控制器终端中串行部署安全接入网关和安全终端,同时增加安全终端管理系统;
网络安全设备初始化模块,能够对安全接入网关、安全终端和安全终端管理系统进行设备初始化,生成通信接收端口序列集CPNn;
动态通信通道建立模块,能够建立安全接入网关和安全终端之间的动态端口通信通道,按照通信接收端口序列集CPNn动态更新的端口进行通信;
网络安全设备验证模块,能够在建立动态端口通信通道后,在通信过程中对网络安全设备的合法性进行多次验证,若任意一次验证不合法,则验证不通过;
安全终端开启监测模块,采用箱柜开启监测方法对安全终端箱柜非法开启进行监测,当发现安全终端箱柜被非法开启时,立刻向安全终端管理系统报警并关闭可变信息情报板的显示模块。
本发明第三方面提供:一种计算机存储介质,所述的计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现上述任一种可变信息情报板安全防护方法。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种可变信息情报板安全防护方法,其特征在于:包括以下步骤:
S1:网络安全设备部署阶段,在情报板发布系统和情报板控制器终端中串行部署安全接入网关和安全终端,同时增加安全终端管理系统;
S2:网络安全设备初始化阶段,安全接入网关、安全终端和安全终端管理系统进行设备初始化,生成通信接收端口序列集CPNn;
S3:动态通信通道建立阶段,安全接入网关和安全终端建立动态端口通信通道,按照通信接收端口序列集CPNn动态更新的端口进行通信;
S4:网络安全设备验证阶段,建立动态端口通信通道后,在通信过程中对网络安全设备的合法性进行多次验证,若任意一次验证不合法,则验证不通过;
S5:安全终端开启监测阶段,安全终端采用箱柜开启监测方法对安全终端箱柜非法开启进行监测,当发现安全终端箱柜被非法开启时,立刻向安全终端管理系统报警并关闭可变信息情报板的显示模块。
2.根据权利要求1所述的可变信息情报板安全防护方法,其特征在于:所述的通信接收端口序列集CPNn包括以下生成步骤:
设通信端口总集大小为N;
安全终端管理系统将接收通信设备n的唯一标识P作为输入,输入伪随机序列发生器,P=接收通信设备n的网络IP&MAC地址&设备ID&产生序列当前绝对时间,选取的伪随机序列发生器循环周期不低于N;
伪随机序列发生器根据输入P产生数组长度为N的伪随机序列数组PNn;
将伪随机序列数组PNn中各个数和通信端口总集N-1进行取模运算得到通信接收端口序列集CPNn。
3.根据权利要求1所述的可变信息情报板安全防护方法,其特征在于:所述的S2:网络安全设备初始化阶段,还包括以下步骤:
S21:安全终端管理系统向安全接入网关和安全终端写入唯一的网络IP、MAC地址和设备ID,同时安全接入网关、安全终端和安全终端管理系统校准各自实时时钟,保持安全接入网关、安全终端和安全终端管理系统时间一致;
S22:安全接入网关和安全终端通过安全终端管理系统交换各自唯一的网络IP、MAC地址和设备ID并进行记录,用于后续的合法性验证;
S23:安全终端管理系统根据安全接入网关和安全终端的初始密钥,生成通讯接收端口序列集并写入安全接入网关和安全终端,用于动态生成接收端口,安全接入网关和安全终端的通讯接收端口序列集不重复;
S24:安全终端管理系统根据可变信息情报板存在的通信关系,在安全接入网关和安全终端中配置通信白名单,不在通信白名单的设备不允许进行通信。
4.根据权利要求1所述的可变信息情报板安全防护方法,其特征在于:所述的S3:动态通信通道建立阶段,还包括以下步骤:
S31:安全终端按照自身内置的通信接收端口序列集CPNn,每隔第一预设时间开放通信接收端口,并按照第二预设时间进行通信接收端口更换,等待在通信白名单中的安全接入网关通信;
S32:安全接入网关发起通信时根据发起通信时间和安全终端设备ID对应的端口选择发起通信的端口,与安全终端在该端口进行通信。
5.根据权利要求1所述的可变信息情报板安全防护方法,其特征在于:所述的S4:网络安全设备验证阶段,还包括以下步骤:
S41:安全接入网关作为通信发起方,在通信验证协议帧中加上如下信息:发起方IP、MAC地址和设备ID号、接收方IP、MAC地址和设备ID号和当前时间作为通信验证协议帧验证部分和通信验证协议帧中其他数据一起利用国密算法生成的通信验证协议帧摘要信息,再通过国密算法加密后将通信验证协议帧发送到安全终端;
S42:安全终端收到加密后的通信验证协议帧,利用国密算法解密通信验证协议帧;
S43:安全终端判断接收方IP 、MAC地址和设备ID号是否为自身IP 、MAC地址和设备ID号,若不是则验证不通过,同时上报安全终端管理系统,安全终端管理系统将发起方加入通信黑名单;
S44:安全终端判断发起方IP 、MAC地址和设备ID号是否为通信白名单中的IP 、MAC地址和设备ID号,若不是则验证不通过,同时上报安全终端管理系统,安全终端管理系统将发起方加入通信黑名单;
S45:安全终端判断通信验证协议帧中的当前时间,与自身设备中的当前时间误差是否超出预设范围,若超出预设范围,则验证不通过,同时上报安全终端管理系统,安全终端管理系统将发起方加入设备通信黑名单;
S46:安全终端向安全终端管理系统发起验证请求,验证安全接入网关是否在通信黑名单中,若在通信黑名单中,则为非法设备,验证不通过。
6.根据权利要求1所述的可变信息情报板安全防护方法,其特征在于:所述的箱柜开启监测方法是通过微波监测方法和/或光敏监测方法进行监测;
所述的微波监测方法是利用安全终端内置的微波收发模块间隔第三预设时间向安全终端箱体发送微波并接收,通过第四预设时间内多次发送和接收的时间差与常态安全终端箱体的平均接收时间来求取方差,判定箱门是否关闭或箱体是否损坏,若方差超过阈值则向安全终端管理系统报警;
所述的光敏监测方法是利用安全终端内置的光敏传感器对安全终端箱体内光照情况进行监测,当安全终端箱体内光照度超过预设光照值时,向安全终端管理系统报警。
7.根据权利要求1-6任一项所述的可变信息情报板安全防护方法,其特征在于:所述的安全接入网关、安全终端和安全终端管理系统均内置实时时钟和用于通信的移动终端;所述的安全终端内还设置有储能装置和移动SIM卡,当通信链路出现网络故障或安全终端箱柜非法开启或出现断电时,利用储能装置供电,移动SIM卡发送短信上报,短信按照故障种类进行编码。
8.根据权利要求1-6任一项所述的可变信息情报板安全防护方法,其特征在于:所述的安全接入网关有1个,所述的安全终端有多个。
9.一种可变信息情报板安全防护系统,其特征在于:用于实现如权利要求1-8任一项所述的可变信息情报板安全防护方法,包括:
网络安全设备部署模块,能够在情报板发布系统和情报板控制器终端中串行部署安全接入网关和安全终端,同时增加安全终端管理系统;
网络安全设备初始化模块,能够对安全接入网关、安全终端和安全终端管理系统进行设备初始化,生成通信接收端口序列集CPNn;
动态通信通道建立模块,能够建立安全接入网关和安全终端之间的动态端口通信通道,按照通信接收端口序列集CPNn动态更新的端口进行通信;
网络安全设备验证模块,能够在建立动态端口通信通道后,在通信过程中对网络安全设备的合法性进行多次验证,若任意一次验证不合法,则验证不通过;
安全终端开启监测模块,采用箱柜开启监测方法对安全终端箱柜非法开启进行监测,当发现安全终端箱柜被非法开启时,立刻向安全终端管理系统报警并关闭可变信息情报板的显示模块。
10.一种计算机存储介质,其特征在于:所述的计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1-8任一项所述的可变信息情报板安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410057934.2A CN117579390B (zh) | 2024-01-16 | 2024-01-16 | 一种可变信息情报板安全防护方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410057934.2A CN117579390B (zh) | 2024-01-16 | 2024-01-16 | 一种可变信息情报板安全防护方法、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117579390A true CN117579390A (zh) | 2024-02-20 |
| CN117579390B CN117579390B (zh) | 2024-04-05 |
Family
ID=89864757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410057934.2A Active CN117579390B (zh) | 2024-01-16 | 2024-01-16 | 一种可变信息情报板安全防护方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117579390B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN106401415A (zh) * | 2016-08-31 | 2017-02-15 | 衢州职业技术学院 | 智能防盗门及其控制方法 |
| CN106657053A (zh) * | 2016-12-19 | 2017-05-10 | 中国人民解放军国防信息学院 | 一种基于端状态迁移的网络安全防御方法 |
| CN107241406A (zh) * | 2017-06-02 | 2017-10-10 | 中国石油大学(华东) | 一种端信息跳变Web系统的火狐浏览器插件实现方法 |
| CN111600842A (zh) * | 2020-04-17 | 2020-08-28 | 国网浙江省电力有限公司电力科学研究院 | 一种可信威胁情报的物联网终端安全控制方法以及系统 |
| CN111787027A (zh) * | 2020-07-28 | 2020-10-16 | 北京博宇通达科技有限公司 | 一种交通信息发布的安全防护系统及方法 |
| CN111935212A (zh) * | 2020-06-29 | 2020-11-13 | 杭州创谐信息技术股份有限公司 | 安全路由器及基于安全路由器的物联网安全联网方法 |
| CN114338019A (zh) * | 2022-03-08 | 2022-04-12 | 南京易科腾信息技术有限公司 | 基于量子密钥分发的网络通信方法、系统、装置及存储介质 |
| CN115941171A (zh) * | 2022-11-28 | 2023-04-07 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 网络密钥交换协商方法、装置及网络设备 |
| CN115973094A (zh) * | 2023-02-09 | 2023-04-18 | 长城汽车股份有限公司 | 车辆无钥匙控制方法、装置、车辆及存储介质 |
| US11716312B1 (en) * | 2018-06-22 | 2023-08-01 | Hopr Corporation | Platform for optimizing secure communications |
-
2024
- 2024-01-16 CN CN202410057934.2A patent/CN117579390B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN106401415A (zh) * | 2016-08-31 | 2017-02-15 | 衢州职业技术学院 | 智能防盗门及其控制方法 |
| CN106657053A (zh) * | 2016-12-19 | 2017-05-10 | 中国人民解放军国防信息学院 | 一种基于端状态迁移的网络安全防御方法 |
| CN107241406A (zh) * | 2017-06-02 | 2017-10-10 | 中国石油大学(华东) | 一种端信息跳变Web系统的火狐浏览器插件实现方法 |
| US11716312B1 (en) * | 2018-06-22 | 2023-08-01 | Hopr Corporation | Platform for optimizing secure communications |
| CN111600842A (zh) * | 2020-04-17 | 2020-08-28 | 国网浙江省电力有限公司电力科学研究院 | 一种可信威胁情报的物联网终端安全控制方法以及系统 |
| CN111935212A (zh) * | 2020-06-29 | 2020-11-13 | 杭州创谐信息技术股份有限公司 | 安全路由器及基于安全路由器的物联网安全联网方法 |
| CN111787027A (zh) * | 2020-07-28 | 2020-10-16 | 北京博宇通达科技有限公司 | 一种交通信息发布的安全防护系统及方法 |
| CN114338019A (zh) * | 2022-03-08 | 2022-04-12 | 南京易科腾信息技术有限公司 | 基于量子密钥分发的网络通信方法、系统、装置及存储介质 |
| CN115941171A (zh) * | 2022-11-28 | 2023-04-07 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 网络密钥交换协商方法、装置及网络设备 |
| CN115973094A (zh) * | 2023-02-09 | 2023-04-18 | 长城汽车股份有限公司 | 车辆无钥匙控制方法、装置、车辆及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117579390B (zh) | 2024-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9246691B2 (en) | System, method and apparata for secure communications using an electrical grid network | |
| CN106101147B (zh) | 一种实现智能设备与远程终端动态加密通讯的方法及系统 | |
| CN102143152B (zh) | 通信终端以及通信系统 | |
| CN105245329B (zh) | 一种基于量子通信的可信工业控制网络实现方法 | |
| CN106899404A (zh) | 基于预共享密钥的车载can fd总线通信系统及方法 | |
| Lim et al. | Security protocols against cyber attacks in the distribution automation system | |
| CN110377002A (zh) | 一种自适应的车内can总线安全控制方法及系统 | |
| CN106656510A (zh) | 一种加密密钥获取方法及系统 | |
| CN110071812A (zh) | 一种可编辑、可链接、不可抵赖的环签名方法 | |
| CN106685775A (zh) | 一种智能家电自检式防入侵方法及系统 | |
| US20130086635A1 (en) | System and method for communication in a network | |
| CN113704780B (zh) | 一种基于模型驱动的配电网用户侧信息自适应加密方法 | |
| CN110796220B (zh) | 一种基于公共交通的识别码发码系统 | |
| CN110324820A (zh) | 一种物联网安全鉴权方法、系统及可读介质 | |
| CN109376880A (zh) | 故障反馈方法、装置和门禁设备 | |
| CN108471413B (zh) | 边缘网络安全准入防御系统及其方法 | |
| CN117579390B (zh) | 一种可变信息情报板安全防护方法、系统及存储介质 | |
| KR20140043537A (ko) | Scada 통신 네트워크 보안을 위한 보안 통신 장치 및 방법 | |
| KR102236235B1 (ko) | 공공 다중이용시설 재난재해 동보방송 구내방송장치(PA)와 원격 협업기능 A/V(Audio/Video) 스마트 방송장치 및 폐쇄자가망 시스템 | |
| CN105959249B (zh) | 电子设备的管理方法及系统 | |
| CN116208421A (zh) | 一种安全认证的管控方法、装置、介质及服务器 | |
| CN106778334A (zh) | 账号信息的保护方法及移动终端 | |
| KR20210087127A (ko) | Qrn key 분배방법 및 이종망 qrn key 분배 하이브리드 양자통신 폐쇄망 시스템 | |
| Guo et al. | Cyber-physical authentication for metro systems | |
| Renault et al. | Communication security in vanets based on the physical unclonable function |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |