CN112351005A - 物联网通信方法、装置、可读存储介质及计算机设备 - Google Patents

物联网通信方法、装置、可读存储介质及计算机设备 Download PDF

Info

Publication number
CN112351005A
CN112351005A CN202011148973.1A CN202011148973A CN112351005A CN 112351005 A CN112351005 A CN 112351005A CN 202011148973 A CN202011148973 A CN 202011148973A CN 112351005 A CN112351005 A CN 112351005A
Authority
CN
China
Prior art keywords
internet
things
information
service system
score
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011148973.1A
Other languages
English (en)
Other versions
CN112351005B (zh
Inventor
张圆
范渊
刘博�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN202011148973.1A priority Critical patent/CN112351005B/zh
Publication of CN112351005A publication Critical patent/CN112351005A/zh
Application granted granted Critical
Publication of CN112351005B publication Critical patent/CN112351005B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种物联网通信方法、装置、可读存储介质及计算机设备,该方法包括:获取物联网设备的风险感知数据,并根据所述风险感知数据分别计算攻击因素指标和威胁因素指标的评分值;根据所述攻击因素指标的评分值和所述威胁因素指标的评分值确定所述物联网设备的信任度等级;当所述信任度等级高于等级阈值时,发送连接建立信息至业务***,以使所述业务***建立与所述物联网设备之间的连接。本发明通过对设备的信任度检测,确保业务***数据的安全性,从而防止恶意设备进入业务***,防止数据泄露。

Description

物联网通信方法、装置、可读存储介质及计算机设备
技术领域
本发明涉及通信技术领域,特别是涉及一种物联网通信方法、装置、可读存储介质及计算机设备。
背景技术
2020年,新冠肺炎疫情的突如其来加快了人们在线化生活的步伐,在线办公的形式也暂时被远程协同办公所取代。远程办公的实行在一定程度上对企业的复工以及经济的复兴起到了积极作用,但与此同时企业内网也正面临着新的安全威胁,由传统的VPN(Virtual Private Network,虚拟专用网络)和防火墙构成的网络安全架构已难以满足大量用户的外网接入需求。
传统的网络安全架构中用户端设备通过简单的身份认证后建立连接与企业网络之间的连接,用户端设备一旦接入企业网络便都可自由地访问或泄露其权限之外的数据,这会造成重大的安全隐患。此外,企业的物联网安全边界也在不断模糊,且企业逐渐增加大数据和云计算等方面的业务也在一定程度上增加了可攻击面,以传统安全架构已难以抵挡。
发明内容
鉴于上述状况,有必要针对现有技术中网络安全性差的问题,提供一种物联网通信方法、装置、可读存储介质及计算机设备。
一种物联网通信方法,包括:
获取物联网设备的风险感知数据,并根据所述风险感知数据分别计算攻击因素指标和威胁因素指标的评分值;
根据所述攻击因素指标的评分值和所述威胁因素指标的评分值确定所述物联网设备的信任度等级;
当所述信任度等级高于等级阈值时,发送连接建立信息至业务***,以使所述业务***建立与所述物联网设备之间的连接。
进一步的,上述物联网通信方法,其中,所述风险感知数据包括安全告警和漏洞,所述根据所述风险感知数据分别计算攻击因素指标和威胁因素指标的评分值步骤包括:
获取每个安全告警中的当前告警等级,攻击次数和攻击间隔时间;
根据所述当前告警等级确定对应的第一基数、根据所述攻击次数确定对应的第一系数,以及根据所述攻击间隔时间确定第二系数;
根据所述第一基数、所述第一系数和所述第二系数计算每个安全告警的评分,并根据各个安全告警的评分计算所述物联网设备的攻击因素指标的评分值;
获取每个漏洞的等级,并根据所述漏洞的等级确定对应的第二基数;
根据各个所述漏洞的等级对应的第二基数计算威胁因素指标的评分值。
进一步的,上述物联网通信方法,其中,所述攻击因素指标的评分值的计算公式为:
Scoreattack,i=min(∑Scorea,i,a);
其中,Scorea,i=mi×k1×k2,mi为第一基数,k1和k2分别为第一系数和第二系数,a为攻击因素指标的评分值的上限值。
进一步的,上述物联网通信方法,其中,所述威胁因素指标的评分值的计算公式为:
Scorevul,i=min(∑Scorev,i,b);
其中,Scorev,i为第二基数,b为威胁因素指标的评分值的上限值。
进一步的,上述物联网通信方法,其中,所述发送连接建立信息至业务***的步骤之后还包括:
当所述信任度等级为低信任等级时,发送第一信息至所述业务***,以使所述业务***拒绝所述物联网设备访问任何数据;
当所述信任度等级为中信任等级时,发送第二信息至所述业务***,以使业务***授权所述物联网设备访问公开数据;
当所述信任度等级为高信任等级时,发送第三信息至所述业务***,以使所述业务***授权所述物联网设备访问所述业务***的全部数据。
进一步的,上述物联网通信方法,其中,所述发送连接建立信息至业务***,以使所述业务***建立与所述物联网设备之间的连接的步骤之后,所述物联网通信方法还包括:
以预设的时间间隔获取所述物联网设备的风险感知数据;
根据当前获取的所述风险感知数据计算所述物联网设备的当前信任度等级;
当所述当前信任度等级高于或低于上一次计算的信任度等级时,发送所述当前信任度等级对应的信息至所述访问网关。
进一步的,上述物联网通信方法,其中,所述获取物联网设备的风险感知数据的步骤之前还包括:
获取所述物联网设备的安全因子信息,所述安全因子信息包括所述物联网设备的IP地址、MAC地址、操作***版本和补丁信息;
根据所述安全因子信息计算所述物联网设备的安全评分;
当所述安全评分高于阈值评分时,发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接。
进一步的,上述物联网通信方法,其中,所述发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接的步骤之前还包括:
获取所述物联网设备发送的用户的身份信息;
对所述身份信息进行验证,并确定所述用户的业务权限信息;
所述发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接的步骤包括:
发送连接建立信息至所述访问网关,以使所述访问网关建立所述物联网设备与所述业务权限信息对应的网络区域之间的连接。
本发明实施例还提供了一种物联网通信装置,包括:
第一计算模块,用于获取物联网设备的风险感知数据,并根据所述风险感知数据计算攻击因素指标和威胁因素指标的评分值;
确定模块,用于根据所述攻击因素指标和所述威胁因素指标的评分值确定所述物联网设备的信任度等级;
第一发送模块,用于当所述信任度等级高于等级阈值时,发送连接建立信息至业务***,以使所述业务***建立与所述物联网设备之间的连接。
进一步的,上述联网通信装置,其中,所述风险感知数据包括安全告警和漏洞,所述第一计算模块包括,
第一计算子模块,用于:
获取每个安全告警中的当前告警等级,攻击次数和攻击间隔时间;
根据所述当前告警等级确定对应的第一基数、根据所述攻击次数确定对应的第一系数,以及根据所述攻击间隔时间确定第二系数;
根据所述第一基数、所述第一系数和所述第二系数计算每个安全告警的评分,并根据各个安全告警的评分计算所述物联网设备的攻击因素指标的评分值;
第二计算子模块,用于:
获取每个漏洞的等级,并根据所述漏洞的等级确定对应的第二基数;
根据各个所述漏洞的等级对应的第二基数计算威胁因素指标的评分值。
进一步的,上述联网通信装置,其中,所述发送连接建立信息至业务***的步骤之后,所述第一发送模块还用于:
当所述信任度等级为低信任等级时,发送第一信息至所述业务***,以使所述业务***拒绝所述物联网设备访问任何数据;
当所述信任度等级为中信任等级时,发送第二信息至所述业务***,以使业务***授权所述物联网设备访问公开数据;
当所述信任度等级为高信任等级时,发送第三信息至所述业务***,以使所述业务***授权所述物联网设备访问所述业务***的全部数据。
进一步的,上述联网通信装置,还包括:
第二获取模块,用于以预设的时间间隔获取所述物联网设备的风险感知数据;
第二计算模块,用于根据当前获取的所述风险感知数据计算所述物联网设备的当前信任度等级;
第二发送模块,用于当所述当前信任度等级高于或低于上一次计算的信任度等级时,发送所述当前信任度等级对应的信息至所述访问网关。
进一步的,上述联网通信装置,还包括:
第三获取模块,用于获取所述物联网设备的安全因子信息,所述安全因子信息包括所述物联网设备的IP地址、MAC地址、操作***版本和补丁信息;
第三计算模块,用于根据所述安全因子信息计算所述物联网设备的安全评分;
第三发送模块,用于当所述安全评分高于阈值评分时,发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接。
进一步的,上述联网通信装置,其中,所述第三获取模块还用于获取所述物联网设备发送的用户的身份信息、对所述身份信息进行验证,并确定所述用户的业务权限信息;
第三发送模块用于:
发送连接建立信息至所述访问网关,以使所述访问网关建立所述物联网设备与所述业务权限信息对应的网络区域之间的连接。
本发明实施例还提供了一种可读存储介质,其上存储有程序,所述程序被处理器执行时实现上述任一所述的方法。
本发明实施例还提供了一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现上述任意一项所述的方法。
本发明中通过信任代理构建业务***与物联网设备之间的连接,并通过获取物联网设备的风险感知数据确定设备的信任度等级,当该信任度等级高于等级阈值时,发送连接建立信息至业务***,以使业务***建立与设备之间的连接。通过对设备的信任度检测,确保业务***数据的安全性,从而防止恶意设备进入业务***,防止数据泄露。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明第一实施例中的物联网通信方法的流程图;
图2为本发明第二实施例中的物联网通信方法的流程图;
图3为本发明第三实施例中的物联网通信方法的流程图;
图4为本发明第四实施例中的物联网通信装置的结构框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
参照下面的描述和附图,将清楚本发明的实施例的这些和其他方面。在这些描述和附图中,具体公开了本发明的实施例中的一些特定实施方式,来表示实施本发明的实施例的原理的一些方式,但是应当理解,本发明的实施例的范围不受此限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
请参阅图1,为本发明第一实施例中的物联网通信方法,包括步骤S11~S13。
步骤S11,获取物联网设备的风险感知数据,并根据所述风险感知数据分别计算攻击因素指标和威胁因素指标的评分值。
本实施例中的物联网通信的架构区别与传统的架构,本实施例中需通过信任代理构建网络与物联网设备之间的连接。该网络为企业网络,或者为用户想要远程接入的其他网络。该信任代理例如为服务器,本实施例中服务器通过态势感知***来实时监测整个网络架构存在的隐患,对物联网设备的行为风险、环境风险、网络风险进行监测。
物联网设备请求访问一网络架构中的业务系时,服务器获取物联网设备的风险感知数据。具体的,该风险感知数据包括物联网设备的风险详情、行为画像和脆弱性,该风险详情包括攻击源,安全告警等,该行为画像包括访问来源,访问流量等,该脆弱性包括漏洞名称,威胁等级等。通过监测该风险感知数据可以对该物联网设备与业务***的连接时的风险评估。
物联网设备的信任度等级计算主要包括攻击因素指标和威胁因素指标两方面。攻击因素为态势感知***监测到的攻击者或受害者为设备IP地址或MAC地址的安全告警,威胁因素取态势感知***监测的漏洞信息。
优选的,该攻击因素指标的评分值计算步骤如下:
获取每个安全告警中的当前告警等级,攻击次数和攻击间隔时间;
根据所述当前告警等级确定对应的第一基数、根据所述攻击次数确定对应的第一系数,以及根据所述攻击间隔时间确定第二系数;
根据所述第一基数、所述第一系数和所述第二系数计算每个安全告警的评分,并进行求和计算得到所述物联网设备的攻击因素指标的评分值。
具体的,该告警等级可分为三个等级,即高等级、中等级和低等级。将告警等级作为第一基数,如,高等级的第一基数为10,中等级对应的第一基数为7,低等级对应的第一基数为4。该攻击次数为第一系数,例如攻击次数为1次对应的系数为1,2-5次对应的系数为1.5,6次及以上对应的系数为2。该攻击间隔作为第二系数,例如1周内对应的系数为1,一个月内对应的系数为0.5,一个月以上对应的系数为0.1。
进一步的,该攻击因素指标的评分值设置有第一上限值,该第一上限值例如为10,该攻击因素指标的评分值的计算公式为:
Scoreattack,i=min(∑Scorea,i,a);
其中,Scorea,i=mi×k1×k2,mi为第一基数,k1和k2分别为第一系数和第二系数,a为攻击因素指标的评分值的上限值。
该威胁因素指标的评分值计算步骤如下:
获取每个漏洞的等级,并根据所述漏洞的等级确定对应的第二基数;
对所有的所述漏洞的等级对应的第二基数进行求和计算,得到威胁因素指标的评分值。
该漏洞等级例如可设置为三个等级,每个等级对应一个第二基数,例如高等级对应的第二基数为5,中等级对应的第二基数为3,低等级对应的基数为1。
进一步的,该威胁因素指标的评分值设置有第二上限值,该第二上限值例如为50,该威胁因素指标的评分值计算公式为:
Scorevul,i=min(∑Scorev,i,b)
其中,Scorev,i为第二基数,b为威胁因素指标的评分值的上限值。
该物联网设备的当前信任评分值得基础值为100,根据攻击因素得分和威胁因素得分计算最终结果:
Scoreresult=100-Scoreattack,i-Scorevul,i
步骤S12,根据所述攻击因素指标的评分值和所述威胁因素指标的评分值确定所述物联网设备的信任度等级。
步骤S13,当所述信任度等级高于等级阈值时,发送连接建立信息至业务***,以使所述业务***建立与所述物联网设备之间的连接。
具体实施时,物联网设备的信任度等级可设置为3个等级,例如表1所示,每个信任度等级对应一评分范围,根据物联网设备的信任度评分可确定对应的信任度等级。
表1
Figure BDA0002740606130000081
可以理解的,该等级阈值可以设置为低信任等级。当该物联网设备的信任度等级高于低信任等级时,发送连接建立信息至业务***,以使所述业务***建立与物联网设备之间的加密连接。
本实施例中通过信任代理构建业务***与物联网设备之间的连接,并通过获取物联网设备的风险感知数据确定设备的信任度等级,当该信任度等级高于等级阈值时,发送连接建立信息至业务***,以使业务***建立与设备之间的连接。通过对设备的信任度检测,确保业务***数据的安全性,从而防止恶意设备进入业务***,防止数据泄露。
进一步的,在本发明的另一实施例中,服务器还可根据物联网设备的信任度等级确定该物联网设备对***的数据访问权限,并发送对应的信息至访问网关。该数据访问权限包括:
不予访问;
仅可访问***内的公开数据;
可访问***内的全部数据。
具体的,当物联网设备的信任度等级为低信任等级时,发送第一信息至所述业务***,以使该业务***拒绝该物联网设备访问任何数据;当物联网设备的信任度等级为中信任等级时,发送第二信息至该业务***,以使该业务***授权物联网设备仅可访问公开数据;当物联网设备的信任度等级为高信任等级时,发送第三信息至业务***,以使该业务***授权该物联网设备访问业务***的全部数据。
进一步的,为了维护网络架构的安全性,物联网设备与业务***建立连接后,服务器可以周期性的对物联网设备进行信任评估,并根据评估结果进行态调整,保障***安全。请参阅图2,为本发明第二实施例中的物联网通信方法,包括步骤S21~S23。
步骤S21,以预设的时间间隔获取所述物联网设备的风险感知数据。
步骤S22,根据当前获取的所述风险感知数据,计算所述物联网设备的当前信任度等级。
步骤S23,当所述当前信任度等级高于或低于上一次计算的信任度等级时,发送所述当前信任度等级对应的信息至所述访问网关。
本实施例中,根据信任评估结果及物联网设备发起的业务请求进行动态访问控制。当物联网设备连接企业的业务***后,按照一定的周期性,对物联网设备的信任度进行信任评分计算,并根据信任评分给出相应的信任度等级。并根据信任评估结果进行动态调整,当当前信任度等级高于或低于上一次计算的信任度等级时,发送当前信任度等级对应的信息至访问网关,以调整该物联网设备的业务***数据访问权限。若信任等级过低则不进行数据传输或断开连接,保障***安全。
可以理解的,在本发明的其他实施例中,为了保障***数据的安全性,还可以物联网设备每次访问业务***时,均进行信任度等级确定,当设备的信任度等级高于等级阈值时,可进行数据的访问。
进一步的,请参阅图3,本发明的第三实施例中,在获取物联网设备的风险感知数据的步骤之前,该物联网通信方法还包括步骤S31~S33。
步骤S31,获取所述物联网设备的安全因子信息,所述安全因子信息包括所述物联网设备的IP地址、MAC地址、操作***版本和补丁信息。
步骤S32,根据所述安全因子信息计算所述物联网设备的安全评分。
物联网设备请求访问业务***时,首先需连接企业网络,当物联网设备连接企业网络后可请求访问网络中业务***的数据。
当物联网设备需要连接企业网络时,发送连接请求,服务器获取到该连接请求时,发送指令至该物联网设备,物联网设备获取到该指令后向服务器发送安全因子信息。该安全因子信息为物联网设备自身携带的信息,用于该服务器识别该物联网设备的安全性。
服务器获取到物联网设备发送的安全因子信息后,从该安全因子信息中提取各个安全因子的数据。如该安全因子信息包括所述物联网设备的IP地址、MAC地址、操作***版本和补丁信息,从中可提取三种安全因子的数据,第一安全因子的数据为物联网设备接入网络的安全等级,第二安全因子的数据为***版本,第三安全因子的数据为补丁数量。根据提取的各个安全因子的数据确定对应的评分值。
具体的,根据所述安全因子信息计算所述物联网设备的安全评分的步骤包括:
根据所述物联网设备的IP地址和MAC地址确定所述物联网接入网络的安全等级,并根据所述接入网络的安全等级确定对应的评分值,得到第一安全因子的评分值;
确定所述操作***版本对应的评分值,以得到第二安全因子的评分值;
根据所述补丁信息确定所述物联网设备的补丁数量,并根据补丁数量确定对应的评分值,得到第三安全因子的评分值;
根据各个安全因子的评分值计算所述物联网设备的安全评分。
该实施例中,根据该IP地址和MAC地址可以确定该物联网设备接入的网络,以及接入的网络的安全性。物联网设备接入的网络例如为家庭网络、个人移动数据或公共场所的网络等。服务器获取到物联网设备的IP地址和MAC地址后确定该物联网设备接入网络的安全等级。该安全等级与评分值呈正比例关系,根据该接入网络的安全等级确定对应的评分值。例如,家庭网络和个人移动数据网络安全等级高于公共场所的网络,并且不同公共场所的网络安全等级也可设置为不同。
物联网设备的操作***版本可以作为该设备安全性能指标之一,低版本的操作***中往往存在一些漏洞,安全性较低,因此操作***的版本越高对应的评分值越高。具体的,操作***的版本与该安全因子的评分值呈正比例关系,例如该项安全因子对应的总评分值为10分,该项安全因子的评分值为操作***的当前版本(如为当前为第5版)数除以总的版本数8,后得到的值乘以10,得到的值为6.25,即6.25为该操作版本对应的评分值。
物联网设备的补丁信息也在一定程度上反应的该设备的安全性能。该实施例中以物联网设备中的补丁数量来确定第三安全因子的评分值。具体的,可以将补丁数量设置多种数量范围,每个数量范围对应一个信任度的评分值。
根据第一安全因子、第二安全因子和第三安全因子的评分值计算物联网设备的信任度评分。具体实施时,可以将各个安全因子的评分值之和作为该物联网设备的信任度评分,也可以是将各个安全因子的评分值与对应的权重乘积之和作为该物联网设备的安全评分。
步骤S33,当所述安全评分高于阈值评分时,发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接。
该阈值评分可根据实际需要进行设置,业务***检测到物联网设备的安全评分高于阈值时,可确定该物联网设备处于安全状态,则允许该物联网设备接入该企业网络。
进一步的,所述发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接的步骤之前还包括:
获取所述物联网设备发送的用户的身份信息;
对所述身份信息进行验证,并确定所述用户的业务权限信息;
所述发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接的步骤包括:
发送连接建立信息至所述访问网关,以使所述访问网关建立所述物联网设备与所述业务权限信息对应的网络区域之间的连接。
具体实施时,用户的身份信息可以在物联网设备发送连接请求时发送至服务器,即物联网设备发送的连接请求信息包括用户的身份信息。
服务器获取到该身份信息后对该用户进行身份验证以及确定该用户的***访问业务权限信息。当用户身份验证通过后,服务器执行获取物联网设备的安全因子信息的步骤。
用户身份信息用于识别用户的身份,该用户身份信息例如包括用户账号、密码和/或生物特征密钥。该密码可以为用户设置的固定密码或动态密码,生物特征密钥例如为用户的面部特征、指纹特征、虹膜特征等。
本实施例中,该网络的架构以业务***来划分最小业务权限信息,该业务***例如为财务数据***、采购***、人事***等,各个业务***连接不同的网络区域。不同的业务权限信息可以访问的网络区域不同,即不同业务权限信息的用户可访问的业务***的类型不同以及数量不同。物联网设备仅可访问其业务权限信息所对应的业务***,而无其他业务***的访问业务权限,并根据信任评估结果赋予设备相应数据资源。
请参阅图4,为本发明第四实施例中的物联网通信装置,包括:
第一计算模块10,用于获取物联网设备的风险感知数据,并根据所述风险感知数据计算攻击因素指标和威胁因素指标的评分值;
确定模块20,用于根据所述攻击因素指标和所述威胁因素指标的评分值确定所述物联网设备的信任度等级;
第一发送模块30,用于当所述信任度等级高于等级阈值时,发送连接建立信息至业务***,以使所述业务***建立与所述物联网设备之间的连接。
进一步的,上述物联网通信装置,其中,所述风险感知数据包括安全告警和漏洞,所述第一计算模块10包括,
第一计算子模块,用于:
获取每个安全告警中的当前告警等级,攻击次数和攻击间隔时间;
根据所述当前告警等级确定对应的第一基数、根据所述攻击次数确定对应的第一系数,以及根据所述攻击间隔时间确定第二系数;
根据所述第一基数、所述第一系数和所述第二系数计算每个安全告警的评分,并根据各个安全告警的评分计算所述物联网设备的攻击因素指标的评分值;
第二计算子模块,用于:
获取每个漏洞的等级,并根据所述漏洞的等级确定对应的第二基数;
根据各个所述漏洞的等级对应的第二基数计算威胁因素指标的评分值。
进一步的,上述物联网通信装置,其中,所述发送连接建立信息至业务***的步骤之后,所述第一发送模块30还用于:
当所述信任度等级为低信任等级时,发送第一信息至所述业务***,以使所述业务***拒绝所述物联网设备访问任何数据;
当所述信任度等级为中信任等级时,发送第二信息至所述业务***,以使业务***授权所述物联网设备访问公开数据;
当所述信任度等级为高信任等级时,发送第三信息至所述业务***,以使所述业务***授权所述物联网设备访问所述业务***的全部数据。
进一步的,上述物联网通信装置,还包括:
第二获取模块,用于以预设的时间间隔获取所述物联网设备的风险感知数据;
第二计算模块,用于根据当前获取的所述风险感知数据计算所述物联网设备的当前信任度等级;
第二发送模块,用于当所述当前信任度等级高于或低于上一次计算的信任度等级时,发送所述当前信任度等级对应的信息至所述访问网关。
进一步的,上述物联网通信装置,还包括:
第三获取模块,用于获取所述物联网设备的安全因子信息,所述安全因子信息包括所述物联网设备的IP地址、MAC地址、操作***版本和补丁信息;
第三计算模块,用于根据所述安全因子信息计算所述物联网设备的安全评分;
第三发送模块,用于当所述安全评分高于阈值评分时,发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接。
进一步的,上述物联网通信装置,其中,所述第三获取模块还用于获取所述物联网设备发送的用户的身份信息、对所述身份信息进行验证,并确定所述用户的业务权限信息;
第三发送模块用于:
发送连接建立信息至所述访问网关,以使所述访问网关建立所述物联网设备与所述业务权限信息对应的网络区域之间的连接。
本发明实施例所提供的物联网通信装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
本发明还提出一种可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的软件兼容性检测方法。
本本发明实施例还提供了计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法的步骤。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行***、装置或设备(如基于计算机的***、包括处理器的***或其他可以从指令执行***、装置或设备取指令并执行指令的***)使用,或结合这些指令执行***、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行***、装置或设备或结合这些指令执行***、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种物联网通信方法,其特征在于,包括:
获取物联网设备的风险感知数据,并根据所述风险感知数据分别计算攻击因素指标和威胁因素指标的评分值;
根据所述攻击因素指标的评分值和所述威胁因素指标的评分值确定所述物联网设备的信任度等级;
当所述信任度等级高于等级阈值时,发送连接建立信息至业务***,以使所述业务***建立与所述物联网设备之间的连接。
2.如权利要求1所述的物联网通信方法,其特征在于,所述风险感知数据包括安全告警和漏洞,所述根据所述风险感知数据分别计算攻击因素指标和威胁因素指标的评分值步骤包括:
获取每个安全告警中的当前告警等级,攻击次数和攻击间隔时间;
根据所述当前告警等级确定对应的第一基数、根据所述攻击次数确定对应的第一系数,以及根据所述攻击间隔时间确定第二系数;
根据所述第一基数、所述第一系数和所述第二系数计算每个安全告警的评分,并根据各个安全告警的评分计算所述物联网设备的攻击因素指标的评分值;
获取每个漏洞的等级,并根据所述漏洞的等级确定对应的第二基数;
根据各个所述漏洞的等级对应的第二基数计算威胁因素指标的评分值。
3.如权利要求2所述的物联网通信方法,其特征在于,所述攻击因素指标的评分值的计算公式为:
Scoreattack,i=min(∑Scorea,i,a);
其中,Scorea,i=mi×k1×k2,mi为第一基数,k1和k2分别为第一系数和第二系数,a为攻击因素指标的评分值的上限值。
4.如权利要求2所述的物联网通信方法,其特征在于,所述威胁因素指标的评分值的计算公式为:
Scorevul,i=min(∑Scorev,i,b);
其中,Scorev,i为第二基数,b为威胁因素指标的评分值的上限值。
5.如权利要求1所述的物联网通信方法,其特征在于,所述发送连接建立信息至业务***的步骤之后还包括:
当所述信任度等级为低信任等级时,发送第一信息至所述业务***,以使所述业务***拒绝所述物联网设备访问任何数据;
当所述信任度等级为中信任等级时,发送第二信息至所述业务***,以使业务***授权所述物联网设备访问公开数据;
当所述信任度等级为高信任等级时,发送第三信息至所述业务***,以使所述业务***授权所述物联网设备访问所述业务***的全部数据。
6.如权利要求5所述的物联网通信方法,其特征在于,所述发送连接建立信息至业务***,以使所述业务***建立与所述物联网设备之间的连接的步骤之后,所述物联网通信方法还包括:
以预设的时间间隔获取所述物联网设备的风险感知数据;
根据当前获取的所述风险感知数据计算所述物联网设备的当前信任度等级;
当所述当前信任度等级高于或低于上一次计算的信任度等级时,发送所述当前信任度等级对应的信息至所述访问网关。
7.如权利要求1所述的物联网通信方法,其特征在于,所述获取物联网设备的风险感知数据的步骤之前还包括:
获取所述物联网设备的安全因子信息,所述安全因子信息包括所述物联网设备的IP地址、MAC地址、操作***版本和补丁信息;
根据所述安全因子信息计算所述物联网设备的安全评分;
当所述安全评分高于阈值评分时,发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接。
8.如权利要求7所述的物联网通信方法,其特征在于,所述发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接的步骤之前还包括:
获取所述物联网设备发送的用户的身份信息;
对所述身份信息进行验证,并确定所述用户的业务权限信息;
所述发送连接建立信息至访问网关,以使所述访问网关建立与所述物联网设备之间的连接的步骤包括:
发送连接建立信息至所述访问网关,以使所述访问网关建立所述物联网设备与所述业务权限信息对应的网络区域之间的连接。
9.一种物联网通信装置,其特征在于,包括:
第一计算模块,用于获取物联网设备的风险感知数据,并根据所述风险感知数据计算攻击因素指标和威胁因素指标的评分值;
确定模块,用于根据所述攻击因素指标和所述威胁因素指标的评分值确定所述物联网设备的信任度等级;
第一发送模块,用于当所述信任度等级高于等级阈值时,发送连接建立信息至业务***,以使所述业务***建立与所述物联网设备之间的连接。
10.一种可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时实现如权利要求1-8任一所述的方法。
CN202011148973.1A 2020-10-23 2020-10-23 物联网通信方法、装置、可读存储介质及计算机设备 Active CN112351005B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011148973.1A CN112351005B (zh) 2020-10-23 2020-10-23 物联网通信方法、装置、可读存储介质及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011148973.1A CN112351005B (zh) 2020-10-23 2020-10-23 物联网通信方法、装置、可读存储介质及计算机设备

Publications (2)

Publication Number Publication Date
CN112351005A true CN112351005A (zh) 2021-02-09
CN112351005B CN112351005B (zh) 2022-11-15

Family

ID=74360041

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011148973.1A Active CN112351005B (zh) 2020-10-23 2020-10-23 物联网通信方法、装置、可读存储介质及计算机设备

Country Status (1)

Country Link
CN (1) CN112351005B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113301043A (zh) * 2021-05-24 2021-08-24 珠海市鸿瑞信息技术股份有限公司 基于5g工业物联网网络安全终端
CN115134386A (zh) * 2022-06-29 2022-09-30 广东电网有限责任公司 一种物联网态势感知***、方法、设备及介质

Citations (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009105976A1 (zh) * 2008-02-26 2009-09-03 华为技术有限公司 一种权限控制方法、***及设备
US20150106888A1 (en) * 2013-10-10 2015-04-16 International Business Machines Corporation Trust/value/risk-based access control policy
CN104618396A (zh) * 2015-03-04 2015-05-13 浪潮集团有限公司 一种可信网络接入与访问控制***及方法
CN105763561A (zh) * 2016-04-15 2016-07-13 杭州华三通信技术有限公司 一种攻击防御方法和装置
US20160226911A1 (en) * 2015-02-04 2016-08-04 International Business Machines Corporation Dynamic enterprise security control based on user risk factors
CN106713234A (zh) * 2015-11-13 2017-05-24 国网智能电网研究院 一种智能电网移动终端动态授权***
US20170149828A1 (en) * 2015-11-24 2017-05-25 International Business Machines Corporation Trust level modifier
US10038696B1 (en) * 2017-10-10 2018-07-31 Blackberry Limited System and method for controlling access to enterprise networks
CN109245944A (zh) * 2018-10-22 2019-01-18 西南石油大学 网络安全评估方法及***
CN109918924A (zh) * 2019-02-02 2019-06-21 北京奇安信科技有限公司 动态访问权限的控制方法及***
CN110035076A (zh) * 2019-04-04 2019-07-19 华北电力科学研究院有限责任公司 面向能源互联网的可信接入方法、可信客户端及服务器
CN110691064A (zh) * 2018-09-27 2020-01-14 国家电网有限公司 一种现场作业终端安全接入防护和检测***
CN110851839A (zh) * 2019-11-12 2020-02-28 杭州安恒信息技术股份有限公司 基于风险的资产评分方法和***
CN110855709A (zh) * 2019-11-26 2020-02-28 中国建设银行股份有限公司 安全接入网关的准入控制方法、装置、设备和介质
CN110912938A (zh) * 2019-12-24 2020-03-24 医渡云(北京)技术有限公司 入网终端接入验证方法、装置、存储介质及电子设备
CN111131176A (zh) * 2019-12-04 2020-05-08 北京北信源软件股份有限公司 资源访问控制方法、装置、设备及存储介质
CN111181979A (zh) * 2019-12-31 2020-05-19 奇安信科技集团股份有限公司 访问控制方法、装置、计算机设备和计算机可读存储介质
CN111371738A (zh) * 2020-02-10 2020-07-03 深信服科技股份有限公司 一种访问控制方法、装置、设备及可读存储介质
CN111711631A (zh) * 2020-06-17 2020-09-25 北京字节跳动网络技术有限公司 一种网络访问控制方法、装置、设备及存储介质
US20200322321A1 (en) * 2019-04-08 2020-10-08 Cisco Technology, Inc. Continuous trust score

Patent Citations (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009105976A1 (zh) * 2008-02-26 2009-09-03 华为技术有限公司 一种权限控制方法、***及设备
US20150106888A1 (en) * 2013-10-10 2015-04-16 International Business Machines Corporation Trust/value/risk-based access control policy
US20160226911A1 (en) * 2015-02-04 2016-08-04 International Business Machines Corporation Dynamic enterprise security control based on user risk factors
CN104618396A (zh) * 2015-03-04 2015-05-13 浪潮集团有限公司 一种可信网络接入与访问控制***及方法
CN106713234A (zh) * 2015-11-13 2017-05-24 国网智能电网研究院 一种智能电网移动终端动态授权***
US20170149828A1 (en) * 2015-11-24 2017-05-25 International Business Machines Corporation Trust level modifier
CN105763561A (zh) * 2016-04-15 2016-07-13 杭州华三通信技术有限公司 一种攻击防御方法和装置
US10038696B1 (en) * 2017-10-10 2018-07-31 Blackberry Limited System and method for controlling access to enterprise networks
CN110691064A (zh) * 2018-09-27 2020-01-14 国家电网有限公司 一种现场作业终端安全接入防护和检测***
CN109245944A (zh) * 2018-10-22 2019-01-18 西南石油大学 网络安全评估方法及***
CN109918924A (zh) * 2019-02-02 2019-06-21 北京奇安信科技有限公司 动态访问权限的控制方法及***
CN110035076A (zh) * 2019-04-04 2019-07-19 华北电力科学研究院有限责任公司 面向能源互联网的可信接入方法、可信客户端及服务器
US20200322321A1 (en) * 2019-04-08 2020-10-08 Cisco Technology, Inc. Continuous trust score
CN110851839A (zh) * 2019-11-12 2020-02-28 杭州安恒信息技术股份有限公司 基于风险的资产评分方法和***
CN110855709A (zh) * 2019-11-26 2020-02-28 中国建设银行股份有限公司 安全接入网关的准入控制方法、装置、设备和介质
CN111131176A (zh) * 2019-12-04 2020-05-08 北京北信源软件股份有限公司 资源访问控制方法、装置、设备及存储介质
CN110912938A (zh) * 2019-12-24 2020-03-24 医渡云(北京)技术有限公司 入网终端接入验证方法、装置、存储介质及电子设备
CN111181979A (zh) * 2019-12-31 2020-05-19 奇安信科技集团股份有限公司 访问控制方法、装置、计算机设备和计算机可读存储介质
CN111371738A (zh) * 2020-02-10 2020-07-03 深信服科技股份有限公司 一种访问控制方法、装置、设备及可读存储介质
CN111711631A (zh) * 2020-06-17 2020-09-25 北京字节跳动网络技术有限公司 一种网络访问控制方法、装置、设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吴云坤等: "一种基于零信任的SDN网络访问控制方法", 《信息网络安全》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113301043A (zh) * 2021-05-24 2021-08-24 珠海市鸿瑞信息技术股份有限公司 基于5g工业物联网网络安全终端
CN115134386A (zh) * 2022-06-29 2022-09-30 广东电网有限责任公司 一种物联网态势感知***、方法、设备及介质
CN115134386B (zh) * 2022-06-29 2024-03-08 广东电网有限责任公司 一种物联网态势感知***、方法、设备及介质

Also Published As

Publication number Publication date
CN112351005B (zh) 2022-11-15

Similar Documents

Publication Publication Date Title
JP5078898B2 (ja) ユーザのネットワーク活動に基づいたコンピュータ・セキュリティの動的調整のための方法およびシステム
EP2545680B1 (en) Behavior-based security system
US9003476B2 (en) Communications security systems
US8131846B1 (en) Global, location-aware computer security
CN113536258A (zh) 终端访问的控制方法及装置、存储介质及电子设备
EP2866411A1 (en) Method and system for detecting unauthorized access to and use of network resources with targeted analytics
US20080222706A1 (en) Globally aware authentication system
US20110276604A1 (en) Reputation based access control
CN116545731A (zh) 一种基于时间窗动态切换的零信任网络访问控制方法及***
CN111131176B (zh) 资源访问控制方法、装置、设备及存储介质
CN112351005B (zh) 物联网通信方法、装置、可读存储介质及计算机设备
US8881273B2 (en) Device reputation management
CN114003943B (zh) 一种用于机房托管管理的安全双控管理平台
CN106899561B (zh) 一种基于acl的tnc权限控制方法和***
CN113783871A (zh) 一种采用零信任架构的微隔离防护***及其防护方法
CN115065564B (zh) 一种基于零信任机制的访问控制方法
CN112115484B (zh) 应用程序的访问控制方法、装置、***及介质
KR102611045B1 (ko) 다중 신뢰도 기반 접근통제 시스템
CN117729057A (zh) 一种基于身份安全的零信任接入***的方法
US20170346837A1 (en) Real-time security modification and control
CN114499922A (zh) 一种智能化的零信任动态授权方法
CN114915427B (zh) 访问控制方法、装置、设备及存储介质
CN117254918A (zh) 零信任动态授权方法、装置、电子设备及可读存储介质
US10523715B1 (en) Analyzing requests from authenticated computing devices to detect and estimate the size of network address translation systems
CN115733632B (zh) 目标对象检测方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant