[发明专利]跨网路边界的资源访问方法、装置和电子设备

说明书

本发明提供一种跨网路边界的资源访问方法、装置和电子设备，方法包括：控制第一可信证明模块接收边界设备发送的网络连接请求；控制第一可信证明模块基于网络连接请求进行信息确认，并确定执行网络连接的进程；控制安全标记模块对进程进行本地安全标记，得到安全标记；控制访问控制模块基于安全标记对外部主机和内部主机进行合法性验证；控制安全预测模块基于可信证明信息、信任关系以及安全标记对网络连接请求进行安全状态预测，得到敏感性标记；控制访问控制模块基于安全标记和敏感性标记，确定对网络连接请求的资源访问策略。本发明用以提高跨网络执行资源访问的安全性。

技术领域

本发明涉及物联网技术领域，尤其涉及一种跨网路边界的资源访问方法、装置和电子设备。

背景技术

伴随着物联网技术的飞速发展，人类社会已经开始逐渐步入万物互联的时代。物联网通过信息传感设备，按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网是一个非常强大的分布式网络,其本身具有全面感知、可靠传输、智能处理三大特征。在物联网系统中，分布在各处的资源不是集中管理的，因此，安全问题不可忽视。

由于物联网设备本身特性，攻击者可将自己伪装成合法设备，对数据安全造成威胁；同时，设备可能与用户身份相关联，攻击者从而可以侵犯个人隐私，和隐私安全的相关问题如信息泄露和追踪等将会造成威胁。随着社会数据化转型的不断加速，数据跨节点之间流通变为数据资源共享的常态，这打破了各自资源节点的安全边界，物联网跨节点资源访问成为攻击的重灾区，跨节点访问控制的需求也越来越急迫。因此，亟需一种能够提高跨网络执行资源访问的安全性的方法。

发明内容

本发明提供一种跨网路边界的资源访问方法、装置和电子设备，用以提高跨网络执行资源访问的安全性。

本发明提供一种跨网路边界的资源访问方法，应用于内部主机，所述方法包括：

控制第一可信证明模块接收边界设备发送的网络连接请求；所述网络连接请求包括所述边界设备对外部主机发送的资源访问请求作出的可信证明信息和信任关系；

控制所述第一可信证明模块基于所述网络连接请求进行信息确认，并确定执行网络连接的进程；

控制安全标记模块对所述进程进行本地安全标记，得到安全标记；

控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证；

控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测，得到敏感性标记；

控制所述访问控制模块基于所述安全标记和所述敏感性标记，确定对所述网络连接请求的资源访问策略。

所述第一可信证明模块、所述安全标记模块、所述安全预测模块、所述访问控制模块分别是基于可信密码模块构建的。

本发明还提供一种跨网路边界的资源访问方法，应用于边界设备，所述方法包括：

控制第二可信证明模块接收外部主机发送的资源访问请求，并基于所述资源访问请求进行可信证明，得到可信证明信息；

控制域控制器模块基于所述可信证明信息进行权限验证，得到所述边界设备对所述资源访问请求的信任关系；

控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求，并将所述网络连接请求发送至内部主机；

所述第二可信证明模块以及所述域控制器单元分别是基于可信密码模块构建的。

本发明还提供一种跨网路边界的资源访问装置，包括：