[发明专利]物联网通信管道安全控制系统和方法在审
| 申请号: | 201911172226.9 | 申请日: | 2019-11-26 |
| 公开(公告)号: | CN110855707A | 公开(公告)日: | 2020-02-28 |
| 发明(设计)人: | 肖波 | 申请(专利权)人: | 成都电科信安科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 成都智言知识产权代理有限公司 51282 | 代理人: | 濮云杉 |
| 地址: | 610000 四川省成都市高*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 联网 通信 管道 安全 控制系统 方法 | ||
1.物联网通信管道安全控制系统,其特征包括:
门户单元:与用户对接的前端单元;
能力租用管理单元:进行对物联网通信的安全管理,包括两种能力租用,一种是本系统租用其他平台进行安全管理的能力,另一种是其他平台租用本系统进行安全管理能力;
功能单元:为物联网终端提供包括用户的身份验证和密钥管理在内的安全基础服务,为物联网终端提供配置与安全策略集中分布与校验功能;
处理引擎单元:对物联网信息进行采集、分析和处理,根据物联网数据的流量变化动态调整安全策略,控制物联网终端通过错峰上传的方式缓解突发流量对网络的冲击。
2.如权利要求1所述的物联网通信管道安全控制系统,其特征为:在门户单元中包括有管理员门户模块和普通用户门户模块。
3.如权利要求1所述的物联网通信管道安全控制系统,其特征为:功能单元中设有认证鉴权模块、安全策略模块、节点管理模块、异常流量监控模块、访问控制模块、密钥管理模块、安全配置模块和安全审计模块。
4.如权利要求1所述的物联网通信管道安全控制系统,其特征为:处理引擎单元中设有信息采集模块、特征提取模块和海量信息关联分析模块。
5.用于权利要求1至4之一所述系统的物联网通信管道安全控制方法,其特征包括:
A.由用户的终端或物联网的应用服务器其中一方发起互访请求;
B.通过处理引擎单元采集发起方的身份信息,由功能单元根据安全策略进行包括权限在内的相关认证,认证通过后将访问策略下方到互访的双方;
C.通过功能单元分别生成用于终端节点与应用服务器的网关节点间通信的网关通信密钥,和用于网内各终端节点之间通信的节点通信密钥,并且网关通信密钥的加密要求高于节点通信密钥,通过网关通信密钥和节点通信密钥对通信信道进行加密;通信双方配置所述的访问策略后,通过网关通信密钥或节点通信密钥实现互访。
6.如权利要求5所述的物联网通信管道安全控制方法,其特征为:在步骤C的互访过程中,通过处理引擎单元对物联网中的流量信息进行采集和分析,并在流量达到设定的阈值时改变当前的安全策略,以域网关作为安全代理,在令牌有效期内,由域网关的安全代理进行认证。
7.如权利要求6所述的物联网通信管道安全控制方法,其特征为:所述改变当前的安全策略包括:
通过功能单元对终端的原始凭证进行认证,通过认证后,通过域网关向终端颁发包括认证令牌在内的安全配置信息,并向域网关下发终端安全策略;
在认证令牌的有效期内,终端由域网关的安全代理进行认证,终端的访问需求直接由域网关根据终端安全策略控制;
当流量低于设定的阈值后,由功能单元按照相应的安全策略向终端发起重认证。
8.如权利要求5所述的物联网通信管道安全控制方法,其特征为:不同的终端之间、或终端与应用服务器之间需要进行互访时,对通信双方动态配置安全策略,按需开放最小访问权限,包括:确认通信双方身份的合法性,以及当一方发起访问请求时,由功能单元验证访问权限;通过验证后,根据预配置的安全策略,将安全策略下发给双方,包括访问控制策略和访问期限;通信双方配置安全策略,实现互访。
9.如权利要求5所述的物联网通信管道安全控制方法,其特征为:步骤C中,终端节点与应用服务器间的数据传输由网关节点进行转发,在转发过程中将所述数据分为两个阶段分别进行加密,先由终端节点与网关节点间使用所述的网关通信密钥加密,网关接收并解密数据,再采用远距离传输密钥重新加密后转发到应用服务器。
10.如权利要求9所述的物联网通信管道安全控制方法,其特征为:步骤C中,采用的密钥共享机制为:
网关通信密钥:采用1:n密钥共享机制,即与网关节点共享网关通信密钥的终端节点不多于n个,n由功能单元配置;n越小,安全性越高,网关节点维护网关通信密钥的要求也越高;反之,安全性越低,网关节点维护网关通信密钥的要求也越低;当n=1时,网关节点与每个终端节点共享唯一的网关通信密钥;
节点通信密钥:采用组密钥机制,将所有终端节点分为若干组,同一组内的终端节点共享一个节点通信密钥;每个终端节点可以最多加入m个组,m的值由功能单元控制;设置一个组间通信密钥用于不在同组的终端节点之间的通信;
在系统的初始状态时,功能单元预配置各终端节点的网关通信密钥,网关节点维护N个网关密钥和M个节点通信密钥;终端节点用网关通信密钥可实现数据正常上传;
不同的终端节点间需要通信时,双方的终端节点首先交换并协商支持的密钥组,如果存在双方都支持的密钥组,则直接采用该密钥组加密,否则,向网关节点申请节点通信密钥,网关节点从维护的密钥组中随机选择一组节点通信密钥分配给双方,双方采用该节点通信密钥加密;为控制节点通信密钥的扩散范围,每个终端节点最多能被分配m个节点通信密钥,当该节点通信密钥达到m个后,需与无相同节点通信密钥的终端节点通信时,网关节点将为通信双方分配缺省的组间通信密钥;
密钥管理采用预配置与动态更新相结合,功能单元先将初始的网关通信密钥预配置到网关节点,然后根据下发到网关节点的安全策略和通信密钥组,将初始的网关通信密钥发布到各终端节点,并定期动态更新分组和该网关通信密钥;网关通信密钥更新机制采用基于统计分析的动态分组策略,采用生成树算法,由网关节点根据网内的终端节点间的通信关系的生成森林,并分配组内的节点通信密钥,控制各节点通信密钥的发布范围和效率平衡。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于成都电科信安科技有限公司,未经成都电科信安科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911172226.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种铜带生产用分条收卷设备
- 下一篇:三维电阻率原位监测探针
