CN117082099A - 一种基于云边协同的内网链路安全防护***及方法 - Google Patents

一种基于云边协同的内网链路安全防护***及方法 Download PDF

Info

Publication number
CN117082099A
CN117082099A CN202311112928.4A CN202311112928A CN117082099A CN 117082099 A CN117082099 A CN 117082099A CN 202311112928 A CN202311112928 A CN 202311112928A CN 117082099 A CN117082099 A CN 117082099A
Authority
CN
China
Prior art keywords
electronic
key
unlocking
lock
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311112928.4A
Other languages
English (en)
Inventor
李勇军
赵增良
张壮壮
戴前
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Ruishengbo Technology Co ltd
Original Assignee
Hangzhou Ruishengbo Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Ruishengbo Technology Co ltd filed Critical Hangzhou Ruishengbo Technology Co ltd
Priority to CN202311112928.4A priority Critical patent/CN117082099A/zh
Publication of CN117082099A publication Critical patent/CN117082099A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00563Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys using personal physical data of the operator, e.g. finger prints, retinal images, voicepatterns
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Biomedical Technology (AREA)
  • Power Engineering (AREA)
  • Lock And Its Accessories (AREA)

Abstract

本发明公开了一种基于云边协同的内网链路安全防护***及方法。***包括电子安全锁、电子钥匙、密钥授权管理模块、边缘终端安全认证控件和智能分析感知模块。方法包括:将电子安全锁***内网端口并锁住,在终端设备接入内网时,通过密钥授权管理***使得电子钥匙对电子安全锁开锁,通过边缘终端安全认证控件和智能分析感知模块对终端设备进行安全认证后再接入;通过智能分析感知模块进行监控并进行端口访问安全性判断和主动防御措施。本发明***和方法安全、耐用、可靠,电子安全锁密钥唯一授权植入,对网络端口的防护更加安全;***可配置,更加灵活地管理网络防护安全,从物理链路到通信链路全内网链路做到真正的安全可靠接入。

Description

一种基于云边协同的内网链路安全防护***及方法
技术领域
本发明涉及一种内网链路安全防护***,涉及网络安全技术领域,具体涉及一种基于云边协同的内网链路安全防护***及方法。
背景技术
当前电力***通信网对网络安全性要求非常高,与互联网是物理隔离的,但是内部通信网中一些网络设备存在空闲的网口,目前采用塑料塞的方式进行封堵;另外电力***在营业厅,变电站等拥有大量边缘终端设备,人力运维成本很大,如果有外部终端设备接入原空闲网口或者接入边缘终端设备网口,对网络发起攻击或误操作则会造成电力***大面积瘫痪停电,影响非常严重。
同样的情况在公安、电信、银行、石油等领域和其他需要进行网络通信的领域都存在,只要存在内部网络并且有安全性要求的,都需要对空闲网络端口和边缘终端设备进行入网安全防护,使内网网口链路安全。
对于上述各领域内通信设备空置的网络端口,通常为敞开状态,将导致积尘积物等。目前的方法是通过网口塞的方式进行防护。网口塞通常为采用塑料弹片形式进行卡扣式锁止。***网口后弹片弹起,利用网口内部阻挡槽锁止防止轻易拔出。但是需要拔出时通过机械工具如螺丝刀或特殊形状的弹片可以打开并拔出。不能真正起到安全防护的功能。在用的网络端口使用的都是普通的水晶头,可以直接进行拔插,***入侵设备网口。而在交换机侧也只是使用交换机的端口mac绑定,对于设备mac地址是很容易篡改的。
另外对于接入内网的设备,往往没有做设备的认证,或者只做单一的设备认证,只要接入网络就能在内网任意访问。
发明内容
为了解决背景技术中的问题,本发明提供了一种网络端口安全防护***及方法,包括电子安全锁、电子钥匙、密钥授权管理***、边缘终端安全认证控件和智能分析感知***。
本发明采用的技术方案如下:
一、一种基于云边协同的内网链路安全防护***:
***包括用于锁住内网端口的若干电子安全锁。
***包括用于保存解锁密钥包并连接电子安全锁进行解锁操作的若干电子钥匙。
***包括用于控制电子钥匙进行解锁操作并存储电子安全锁和电子钥匙的设备信息的密钥授权管理模块。
***包括用于对内网端口接入的终端设备进行认证的边缘终端安全认证控件。
***包括用于对内网端口、边缘终端安全认证控件的认证结果、各个电子安全锁的状态进行监控并进行端口访问安全性判断和主动防御措施的智能分析感知模块。
电子安全锁、电子钥匙、密钥授权管理***组成物理链路安全保护。***实现远程申请开锁获取解锁密钥包,通过数据线将密钥包写入电子钥匙,电子钥匙连接电子安全锁进行解锁操作;边缘终端安全认证控件通过获取设备指纹信息,与后台进行实时身份认证,解决终端设备***层级的内网准入;智能分析感知***监控内网端口,综合分析终端指纹认证、电子安全锁状态、端口访问态势等信息,做出端口访问安全性判断,并对不安全端口进行主动防御。
密钥授权管理***可用于需要限制使用的网络端口,用于防止未经允许的网络端口被访问。电子安全锁***网络端口后自锁于网口中无法拔出,当需要使用该网口时,电子钥匙在任务有效期内方可进行开锁操作,可将配有权限的电子钥匙***电子安全锁前端接口,经过密钥校核后,电子安全锁执行开锁拔出即可恢复端口使用。
二、一种内网链路安全防护***的内网链路安全防护方法,包括:
S1、将若干电子安全锁***内网的各个端口并锁住,在安装有边缘终端安全认证控件和智能分析感知模块的终端设备通过端口接入内网时,通过密钥授权管理***使得保存有解锁密钥包的电子钥匙对待接入端口处的电子安全锁进行开锁,然后通过边缘终端安全认证控件和智能分析感知模块对待接入端口的终端设备进行安全认证后再对终端设备采取接入措施。
S2、在电子安全锁解锁以及终端设备接入的过程中,通过智能分析感知模块对内网端口、边缘终端安全认证控件的认证结果、各个电子安全锁的状态进行监控并进行端口访问安全性判断和主动防御措施。
所述的步骤S1中,每个电子安全锁和电子钥匙均通过数据线连接密钥授权管理***,密钥授权管理***中保存有各个电子安全锁和电子钥匙的设备信息以及各个内网端口的地址及编号;将若干电子安全锁***内网的各个端口并锁住,具体为首先通过密钥授权管理***将待上锁的各个电子安全锁分配至各自的部署地址处,将每个电子安全锁***各自的部署地址处的内网端口并锁住,密钥授权管理***保存每个部署地址处匹配的电子安全锁和内网端口的设备信息。
在电子安全锁开始上锁时,授权管理***中读取录入待上锁的电子安全锁,并分配电子安全锁的部署地址;维护人员根据要求到达指定位置并在部署地址将电子安全锁***需进行安全防护锁住的空闲网口后锁住网口进行上锁,然后进行部署检查,并将被锁住网口的编号和电子安全锁的设备编号记录至授权管理***中,进行部署记录存档;电子安全锁***网口时,网口前部的档口向下挤压铁芯卡扣的弧面使铁芯卡扣向下运动,待电子安全锁后端***网口内部后,铁芯卡扣上端在弹簧作用下向上弹起,上端一侧的平面抵住档口的内侧面,使电子安全锁锁在网口内无法拔出。
电子安全锁在安装后,在安装密钥授权管理***中需要维护好电子安全锁所在的部署地址的位置信息,包括公司、部门、站点、机房、机柜和设备。并且如果是终端侧的电子安全锁,还需要录入终端的mac地址,起到电子安全锁与mac地址的绑定。
所述的电子安全锁的设备信息包括电子安全锁的设备编号、用户编号、设备名称、设备软硬件版本号、最大开锁时间和电子安全锁密钥;电子钥匙的设备信息包括电子钥匙的设备编号、用户编号、设备名称和设备软硬件版本号。
所述的步骤S1中,通过密钥授权管理***使得保存有解锁密钥包的电子钥匙对待接入端口处的电子安全锁进行开锁,具体为首先根据待开锁的内网端口的位置和编号在密钥授权管理***中查询待开锁的内网端口处的电子安全锁的设备信息,进而根据电子安全锁的设备信息生成开锁任务列表,并将开锁任务列表发送至电子钥匙中;将电子钥匙***待开锁的内网端口处的电子安全锁中,按下电子钥匙的开锁按键,电子钥匙根据开锁任务列表使用解锁密钥包进行密钥验证,然后将电子安全锁进行开锁,开锁结束后,电子钥匙对开锁时间和开锁结果进行保存并传输至密钥授权管理***。
所述的开锁任务列表包括电子安全锁的设备编号、开锁时长、密钥和密钥有效期;将电子钥匙***待开锁的内网端口处的电子安全锁中,电子钥匙根据开锁任务列表使用解锁密钥包进行密钥验证,然后将电子安全锁进行开锁,具体如下:
S1.1、将电子钥匙的解锁插针***待开锁的内网端口处的电子安全锁前端的接口中,电子钥匙通过电源接口给单片机供电,上电后单片机从内部存储器读取电子安全锁的设备信息;电子钥匙发出读取指令读取电子安全锁的设备信息,若电子安全锁的设备编号不存在电子钥匙的开锁任务列表中,则开锁失败;若电子安全锁的设备编号存在于电子钥匙的开锁任务列表中,且在密钥有效期内,电子钥匙根据开锁任务列表中的设备编号和密钥生成加密信息,通过设定的鉴权指令将加密信息发送至电子安全锁的单片机进行校核,单片机使用内部存储器存储的解锁密钥包对鉴权指令中的加密信息进行解密,解密成功则电子安全锁的指示灯快闪,电子安全锁进入授权状态,获得解密结果;解密失败则电子安全锁恢复待机状态,开锁失败。
S1.2、在电子安全锁进入授权状态后,电子安全锁的单片机将解密结果发送给电子钥匙,电子钥匙在收到解密结果后,发送开锁指令至电子安全锁的单片机,单片机通过驱动保护电路驱动电磁线圈通电,吸合铁芯卡扣,指示灯常亮,电子安全锁进入开锁状态,开锁成功。
通过授权管理***读取电子安全锁的设备编号;若在授权管理***数据库中检索到设备编号,表示电子安全锁已在授权管理***中,直接发送读取指令读取并显示电子安全锁的设备信息;若授权管理***的数据库中无法检索到电子安全锁的设备编号,表示电子安全锁未在授权管理***中初始化,需在授权管理***中配置电子安全锁的设备信息,并将配置完成的设备信息通过配置指令发送到电子安全锁中进行配置,配置成功后将配置信息存储于数据库中,通过发送读取指令读取并显示电子安全锁的最新设备信息。
所述的电子钥匙对开锁时间和开锁结果进行保存并传输至密钥授权管理***,具体为在电子安全锁开锁后,密钥授权管理***将记录电子安全锁和电子钥匙的配置变更信息、电子安全锁的部署位置和时间以及电子钥匙的开锁记录。密钥授权管理***用于对电子安全锁和电子钥匙的设备信息进行配置。
密钥授权管理***包括且不限于锁钥匙的设备管理,还包括开锁需要的开锁申请、审批、开锁密钥包导出、写开锁钥匙、查看开锁记录等功能模块。分别实现锁设备和钥匙设备的维护;选择并申请开锁发起;同意审批开锁申请;导出加密的开锁功能密钥包;将开锁密钥包写入电子钥匙;查看开锁的记录。电子钥匙在连接***时能将开锁记录上传到密钥授权管理***和智能分析感知***,确保***能及时获取到电子安全锁的状态信息。
所述的步骤S1中,智能分析感知模块中保存有若干预设安全设备指纹信息,通过边缘终端安全认证控件和智能分析感知模块对待接入端口的终端设备进行安全认证后再对终端设备采取接入措施,具体为边缘终端安全认证控件获取待接入端口的终端设备的指纹信息,将待接入端口的终端设备的指纹信息和智能分析感知模块中的各个预设安全设备指纹信息进行比对,当待接入端口的终端设备的指纹信息和智能分析感知模块中的其中一个预设安全设备指纹信息比对一致时,将待接入端口的终端设备认为是安全设备并接入内网端口中,确保安全可靠设备才能接入内网,否则拒绝接入内网端口中。
边缘终端安全认证控件能够获取边缘终端的设备指纹,并确保该指纹的唯一性和确定性。在终端接入内网时,对端口连接的设备进行指纹匹配,确保端口和设备的一致性,在物理链路确保一致性的前提下,进一步从软件逻辑上加以保证边缘终端设备接入的可信性。并且使用设备指纹技术难以篡改的特点,限制其他设备仿造接入。
边缘终端安全认证控件还用于终端设备的行为监测,实时监控到边缘终端的运行状态,如监测usb使用情况、mac、ip修改、设备正常开关机状态、设备异常操作行为等,进行收集汇总,将结果在边缘终端就行分析,并在终端设备上使用终端设备空闲算力进行分析筛选过滤,将结果传输给智能分析感知***,并上传有用信息到服务器。
在边缘终端安全认证控件安装时,通过访问***主页,下载边缘终端安全认证控件安装包,在终端上安装边缘终端安全认证控件。安装控件后,控件自动获取终端的指纹信息,并且与智能分析感知***进行通信。控件还将会将监测到的终端状态处理后实时传给智能分析感知***,为智能分析感知***进行安全状态分析提供判据。
所述的步骤S2中,通过智能分析感知模块对内网端口、边缘终端安全认证控件的认证结果、各个电子安全锁的状态进行监控,对内网端口进行监控具体为对内网端口的流量进行监控;对各个电子安全锁的状态进行监控具体为对内网端口处的电子安全锁锁住或开锁的状态进行监控。
智能分析感知***实时获取交换机端口的在线情况以及流量情况等,使用AI学习算法,分析流量异常情况,另外再结合电子安全锁状态,边缘终端接入认证状态,进行安全等级计分,每个端口实时都有一个安全等级分,等级分低于一定值将会采用主动防御手段进行干预边缘终端的网络接入。
所述的步骤S2中,通过智能分析感知模块进行端口访问安全性判断和主动防御措施,即当终端设备访问内网端口时,当智能分析感知模块判断终端设备为不安全设备时,对终端设备接入的内网端口采取警告、告警、异常广播、禁用MAC和禁用端口等主动防御措施。
本发明的有益效果是:
本发明的电子安全锁、电子钥匙和密钥授权管理***三部分组成独立的物理隔离保护机制,安全、耐用、可靠;以往网口堵头只能起到防尘或简单止锁作用,***易复制或代用,安全性不高;本电子安全锁只有权限验证通过后才可执行开锁动作,安全性极高,有效防止了未用网口被无授权使用。而密钥由授权管理***唯一授权植入,不容易被外部人员识别和仿造,所以对网络端口的防护更加安全。
本发明***可配置,***的应用能够加强网络安全管理,通过电子钥匙和电子安全锁的权限设置、有效期设置、密钥覆盖范围设置,相比于机械式开锁,该***可以针对不同的应用场景分配不同密钥不同时限的电子安全锁和电子钥匙,更加灵活地管理网络防护安全。
附图说明
图1为本发明的电子安全锁、电子钥匙和密钥授权管理***关系图;
图2为电子安全锁的结构示意图;
图3为电子钥匙的结构示意图;
图4为密钥授权管理***、智能分析感知***和边缘终端安全认证控件关系图;
图5为智能分析感知***功能结构图;
图6为上锁流程图;
图7为开锁流程图;
图8为***部署架构示意图;
图中:1、安全锁外壳,2、安全锁主控电路板,3、电磁线圈,4、弹簧,5、铁芯卡扣,12、钥匙外壳,13、供电及数据接口,14、解锁插针,19、指示灯,22、开锁按键。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细说明。
本发明的基于云边协同的内网链路安全防护***包括用于锁住内网端口的若干电子安全锁;包括用于保存解锁密钥包并连接电子安全锁进行解锁操作的若干电子钥匙;包括用于控制电子钥匙进行解锁操作并存储电子安全锁和电子钥匙的设备信息的密钥授权管理模块;包括用于对内网端口接入的终端设备进行认证的边缘终端安全认证控件;包括用于对内网端口、边缘终端安全认证控件的认证结果、各个电子安全锁的状态进行监控并进行端口访问安全性判断和主动防御措施的智能分析感知模块。
电子安全锁、电子钥匙、密钥授权管理***组成物理链路安全保护。***实现远程申请开锁获取解锁密钥包,通过数据线将密钥包写入电子钥匙,电子钥匙连接电子安全锁进行解锁操作;边缘终端安全认证控件通过获取设备指纹信息,与后台进行实时身份认证,解决终端设备***层级的内网准入;智能分析感知***监控内网端口,综合分析终端指纹认证、电子安全锁状态、端口访问态势等信息,做出端口访问安全性判断,并对不安全端口进行主动防御。
密钥授权管理***可用于需要限制使用的网络端口,用于防止未经允许的网络端口被访问。电子安全锁***网络端口后自锁于网口中无法拔出,当需要使用该网口时,电子钥匙在任务有效期内方可进行开锁操作,可将配有权限的电子钥匙***电子安全锁前端接口,经过密钥校核后,电子安全锁执行开锁拔出即可恢复端口使用。
本发明的内网链路安全防护***的内网链路安全防护方法,包括:
S1、将若干电子安全锁***内网的各个端口并锁住,在安装有边缘终端安全认证控件和智能分析感知模块的终端设备通过端口接入内网时,通过密钥授权管理***使得保存有解锁密钥包的电子钥匙对待接入端口处的电子安全锁进行开锁,然后通过边缘终端安全认证控件和智能分析感知模块对待接入端口的终端设备进行安全认证后再对终端设备采取接入措施。
步骤S1中,每个电子安全锁和电子钥匙均通过数据线连接密钥授权管理***,密钥授权管理***中保存有各个电子安全锁和电子钥匙的设备信息以及各个内网端口的地址及编号;将若干电子安全锁***内网的各个端口并锁住,具体为首先通过密钥授权管理***将待上锁的各个电子安全锁分配至各自的部署地址处,将每个电子安全锁***各自的部署地址处的内网端口并锁住,密钥授权管理***保存每个部署地址处匹配的电子安全锁和内网端口的设备信息。
在电子安全锁开始上锁时,授权管理***中读取录入待上锁的电子安全锁,并分配电子安全锁的部署地址;维护人员根据要求到达指定位置并在部署地址将电子安全锁***需进行安全防护锁住的空闲网口后锁住网口进行上锁,然后进行部署检查,并将被锁住网口的编号和电子安全锁的设备编号记录至授权管理***中,进行部署记录存档;电子安全锁***网口时,网口前部的档口向下挤压铁芯卡扣的弧面使铁芯卡扣向下运动,待电子安全锁后端***网口内部后,铁芯卡扣上端在弹簧作用下向上弹起,上端一侧的平面抵住档口的内侧面,使电子安全锁锁在网口内无法拔出。
电子安全锁在安装后,在安装密钥授权管理***中需要维护好电子安全锁所在的部署地址的位置信息,包括公司、部门、站点、机房、机柜和设备。并且如果是终端侧的电子安全锁,还需要录入终端的mac地址,起到电子安全锁与mac地址的绑定。
电子安全锁的设备信息包括电子安全锁的设备编号、用户编号、设备名称、设备软硬件版本号、最大开锁时间和电子安全锁密钥;电子钥匙的设备信息包括电子钥匙的设备编号、用户编号、设备名称和设备软硬件版本号。
步骤S1中,通过密钥授权管理***使得保存有解锁密钥包的电子钥匙对待接入端口处的电子安全锁进行开锁,具体为首先根据待开锁的内网端口的位置和编号在密钥授权管理***中查询待开锁的内网端口处的电子安全锁的设备信息,进而根据电子安全锁的设备信息生成开锁任务列表,并将开锁任务列表发送至电子钥匙中;将电子钥匙***待开锁的内网端口处的电子安全锁中,按下电子钥匙的开锁按键,电子钥匙根据开锁任务列表使用解锁密钥包进行密钥验证,然后将电子安全锁进行开锁,开锁结束后,电子钥匙对开锁时间和开锁结果进行保存并传输至密钥授权管理***。
开锁任务列表包括电子安全锁的设备编号、开锁时长、密钥和密钥有效期;将电子钥匙***待开锁的内网端口处的电子安全锁中,电子钥匙根据开锁任务列表使用解锁密钥包进行密钥验证,然后将电子安全锁进行开锁,具体如下:
S1.1、将电子钥匙的解锁插针***待开锁的内网端口处的电子安全锁前端的接口中,电子钥匙通过电源接口给单片机供电,上电后单片机从内部存储器读取电子安全锁的设备信息;电子钥匙发出读取指令读取电子安全锁的设备信息,若电子安全锁的设备编号不存在电子钥匙的开锁任务列表中,则开锁失败;若电子安全锁的设备编号存在于电子钥匙的开锁任务列表中,且在密钥有效期内,电子钥匙根据开锁任务列表中的设备编号和密钥生成加密信息,通过设定的鉴权指令将加密信息发送至电子安全锁的单片机进行校核,单片机使用内部存储器存储的解锁密钥包对鉴权指令中的加密信息进行解密,解密成功则电子安全锁的指示灯快闪,电子安全锁进入授权状态,获得解密结果;解密失败则电子安全锁恢复待机状态,开锁失败。
S1.2、在电子安全锁进入授权状态后,电子安全锁的单片机将解密结果发送给电子钥匙,电子钥匙在收到解密结果后,发送开锁指令至电子安全锁的单片机,单片机通过驱动保护电路驱动电磁线圈通电,吸合铁芯卡扣,指示灯常亮,电子安全锁进入开锁状态,开锁成功。
通过授权管理***读取电子安全锁的设备编号;若在授权管理***数据库中检索到设备编号,表示电子安全锁已在授权管理***中,直接发送读取指令读取并显示电子安全锁的设备信息;若授权管理***的数据库中无法检索到电子安全锁的设备编号,表示电子安全锁未在授权管理***中初始化,需在授权管理***中配置电子安全锁的设备信息,并将配置完成的设备信息通过配置指令发送到电子安全锁中进行配置,配置成功后将配置信息存储于数据库中,通过发送读取指令读取并显示电子安全锁的最新设备信息。
电子钥匙对开锁时间和开锁结果进行保存并传输至密钥授权管理***,具体为在电子安全锁开锁后,密钥授权管理***将记录电子安全锁和电子钥匙的配置变更信息、电子安全锁的部署位置和时间以及电子钥匙的开锁记录。密钥授权管理***用于对电子安全锁和电子钥匙的设备信息进行配置。
密钥授权管理***包括且不限于锁钥匙的设备管理,还包括开锁需要的开锁申请、审批、开锁密钥包导出、写开锁钥匙、查看开锁记录等功能模块。分别实现锁设备和钥匙设备的维护;选择并申请开锁发起;同意审批开锁申请;导出加密的开锁功能密钥包;将开锁密钥包写入电子钥匙;查看开锁的记录。电子钥匙在连接***时能将开锁记录上传到密钥授权管理***和智能分析感知***,确保***能及时获取到电子安全锁的状态信息。
步骤S1中,智能分析感知模块中保存有若干预设安全设备指纹信息,通过边缘终端安全认证控件和智能分析感知模块对待接入端口的终端设备进行安全认证后再对终端设备采取接入措施,具体为边缘终端安全认证控件获取待接入端口的终端设备的指纹信息,将待接入端口的终端设备的指纹信息和智能分析感知模块中的各个预设安全设备指纹信息进行比对,当待接入端口的终端设备的指纹信息和智能分析感知模块中的其中一个预设安全设备指纹信息比对一致时,将待接入端口的终端设备认为是安全设备并接入内网端口中,确保安全可靠设备才能接入内网,否则拒绝接入内网端口中。
边缘终端安全认证控件能够获取边缘终端的设备指纹,并确保该指纹的唯一性和确定性。在终端接入内网时,对端口连接的设备进行指纹匹配,确保端口和设备的一致性,在物理链路确保一致性的前提下,进一步从软件逻辑上加以保证边缘终端设备接入的可信性。并且使用设备指纹技术难以篡改的特点,限制其他设备仿造接入。
边缘终端安全认证控件还用于终端设备的行为监测,实时监控到边缘终端的运行状态,如监测usb使用情况、mac、ip修改、设备正常开关机状态、设备异常操作行为等,进行收集汇总,将结果在边缘终端就行分析,并在终端设备上使用终端设备空闲算力进行分析筛选过滤,将结果传输给智能分析感知***,并上传有用信息到服务器。
在边缘终端安全认证控件安装时,通过访问***主页,下载边缘终端安全认证控件安装包,在终端上安装边缘终端安全认证控件。安装控件后,控件自动获取终端的指纹信息,并且与智能分析感知***进行通信。控件还将会将监测到的终端状态处理后实时传给智能分析感知***,为智能分析感知***进行安全状态分析提供判据。
S2、在电子安全锁解锁以及终端设备接入的过程中,通过智能分析感知模块对内网端口、边缘终端安全认证控件的认证结果、各个电子安全锁的状态进行监控并进行端口访问安全性判断和主动防御措施。
步骤S2中,通过智能分析感知模块对内网端口、边缘终端安全认证控件的认证结果、各个电子安全锁的状态进行监控,对内网端口进行监控具体为对内网端口的流量进行监控;对各个电子安全锁的状态进行监控具体为对内网端口处的电子安全锁锁住或开锁的状态进行监控。
智能分析感知***实时获取交换机端口的在线情况以及流量情况等,使用AI学习算法,分析流量异常情况,另外再结合电子安全锁状态,边缘终端接入认证状态,进行安全等级计分,每个端口实时都有一个安全等级分,等级分低于一定值将会采用主动防御手段进行干预边缘终端的网络接入。
步骤S2中,通过智能分析感知模块进行端口访问安全性判断和主动防御措施,即当终端设备访问内网端口时,当智能分析感知模块判断终端设备为不安全设备时,对终端设备接入的内网端口采取警告、告警、异常广播、禁用MAC和禁用端口等主动防御措施。
智能分析感知***部署在内网上层服务器,获取内网交换机的管理权限,对内网交换机进行端口流量监控,通过对交换机的管理进行高级别的主动防御措施;智能分析感知***结合电子安全锁***以及边缘终端安全认证控件传递的状态身份等信息,综合研判终端安全系数,终端设备设有初始分,初始分数为80分。对于每个异常行为会减去相应的分数,①对于异常行为总分占用是20分,***中有定义了分值1到7分的不同类型的异常行为(合计为20),出现的异常将减去相应的分数;②除此之外还有网口锁硬件开锁记录结合网口流量也占据20分分值,若没有开锁申请,但是检测到非本终端通过该端口有数据交互,将被扣除此20分分值;③另外基于特征分析的内网威胁检测***的监控,也将占据20分分值,根据流量超限的比例进行相应的减分,从而获得相应的得分。对于最终得分,70~80为安全,65~70为警告告警(②为零分为警告,否则为告警),60~65为警告告警加异常广播,60以下为禁用MAC和禁用端口(使用snmp协议管理交换机的用禁用端口,使用Telnet协议管理交换机的禁用MAC)。
智能分析感知***与边缘终端安全认证控件联动,完成范围内的异常情况广播,提升异常响应速度。另外智能分析感知***对于影响级别低的异常,做出警告和告警提示。
对于主动防御后的恢复,在判断到异常后,有可能进行主动防御(禁用mac,禁用端口),在排除故障后可以在智能分析感知***上找到相应的禁用端口进行恢复使用。
如图1所示,电子安全锁、电子钥匙和密钥授权管理***三部分组成独立的物理隔离保护机制,电子安全锁与电子钥匙分别通过数据线与密钥授权管理***连接,电子钥匙的解锁插针***电子安全锁前端的接口后通过密钥验证进行开锁,数据线采用USB线、232总线、485总线、IIC总线、SPI总线或CAN总线。密钥授权管理***为应用软件***,安装于上位机电脑,对用户提供人机交互界面,实现对电子钥匙和电子安全锁进行密钥配置下发和记录读取等功能。
一、电子安全锁
如图2所示,电子安全锁包括安全锁外壳1和布置于安全锁外壳内部的安全锁主控电路板2、电磁线圈3、弹簧4、铁芯卡扣5;安全锁外壳1后端形状适配于网口以用于***网口,电磁线圈3中心安装有弹簧4,弹簧4套装于铁芯卡扣5下端,铁芯卡扣5的上端和下端之间设置有凸缘,安全锁外壳1后端顶面开设有与铁芯卡扣5上端端口位置对应的开口,铁芯卡扣5上端面靠近前端的一侧为平面,另一侧为朝前端弯曲的弧面;安全锁主控电路板2包括单片机和与单片机连接的电源保护电、通信接口、安全锁指示灯以及驱动保护电路,与电源保护电路与安全锁主控电路板2的电源接口连接,驱动保护电路与电磁线圈3连接。
单片机内的存储器存储有电子安全锁的设备信息;电源保护电路上设计有防反接保护电路,防止接口反插导致主控电路板2内部电路损坏;指示灯采用LED灯,用于反映设备状态;驱动保护电路与电磁线圈3连接,用于驱动电磁线圈3后将铁芯卡扣5吸合,驱动保护电路上设计有续流二极管以防止线圈断电时产生高压损坏电路;电子安全锁前端的接口由通信接口和电源接口,通信接口采用串行通信接口用于接收配置指令或执行指令。
安全锁外壳1顶面的开口内径尺寸大于铁芯卡扣5上端面尺寸,开口内径尺寸小于铁芯卡扣5凸缘尺寸,使铁芯卡扣5上端穿出顶面开口时通过凸缘限制铁芯卡扣5下端穿出;驱动保护电路未驱动电磁线圈3通电时,铁芯卡扣5上端在弹簧4弹力作用下伸出安全锁外壳1顶面;驱动保护电路驱动电磁线圈3通电时,通电时产生的磁力吸合铁芯卡扣5向下运动,使铁芯卡扣5上端进入安全锁外壳1内。
电子安全锁包括替换水晶头的在用网口锁和堵塞空闲网口的空闲网口锁。不使用授权钥匙的情况下将无法将电子安全锁从网口拔出。电子安全锁的安装具体为首先准备好所有需要安装的电子安全锁、具备开所有锁功能的电子钥匙,专用的安装工具。对于空闲的网口,使用电子钥匙打开空闲电子安全锁,将其***空闲网口,测试无法拔出后安装完成。对于在用的网口,先剪下原来的普通水晶头,剥去网线外皮,将螺帽和封套放入网线,排好568B线序,从右到左按橙白、橙、绿白、蓝、蓝白、绿、棕白、棕,将水晶头***(水晶头凸头朝下),用压线钳将水晶头压入母座,用测线仪测试网线能不能通,套上封套,拧好螺帽。
电子安全锁是本套***的关键主体,可***空闲的网络端口,为网络端口提供保护。电子安全锁主控板内部存储有设备编号、用户编号、设备名称、设备软硬件版本号、最大开锁时间、设备密钥。通常状态下,铁芯卡扣5在弹簧4的弹力下处于自锁状态,将其***需要保护的网络端口后,电子安全锁铁芯卡扣5处于网络端口内部阻挡槽位置,无法向外拔出,网口由电子安全锁锁住无法使用。如需释放本端口资源,则需利用电子钥匙***电子安全锁解锁插孔,由电子钥匙发送密钥校核命令,通过电子密钥校核后,再发送解锁指令,电子安全锁方可执行开锁动作。
电子安全锁采用物理接触或无线输电方式来完成供电及通信,物理接触方式采用两根、三根、四根探针,采用防反插布局设计,反插后不会损坏端口和设备;无线方式采用带通信协议的无线充电技术,一方面为网口锁装置提供电源,另一方面完成权限验证和开锁指令及状态反馈等功能。
采用无线通信方式替换解锁插针为电子安全锁通信,采用无线供电或磁吸式触点接触供电替换解锁插针为电子安全锁供电;采用记忆合金替代电磁控制的电磁线圈3和弹簧4与铁芯卡扣5连接,通过控制记忆合金形变控制铁芯卡扣5上下运动,实现开锁和闭锁。电子安全锁通过电源接口从电子钥匙或授权管理***取电,不从网口取电;安全锁外壳采用绝缘外壳,与被防护的网口物理隔离,不对网口造成影响。
电子安全锁采用无源透传设计,对于网络连接与普通水晶头连接一致,不改变原有网络特性。电子安全锁通过弹簧锁舌将电子安全锁锁死在网口,不通过授权钥匙将无法从网口中拔出,从而起到固定网络设备的作用。在需要更换网络设备或者需要新设备接入的时候,通过授权钥匙将电子安全锁进行解锁。电子安全锁采用串行通信接口接收执行指令。并采用串口进行电源获取,对弹簧锁舌进行收缩控制。
使用电子安全锁固定内网设备及切断空闲网口暴露问题,防止从空闲网口接入内网。新设备接入,或者网络运维需要通过电子密钥的方式才能开锁。并且密钥需要通过专用密钥授权管理***进行分配后才可以使用,真正做到安全可靠。
电子安全锁的正常使用,钥匙供电的方法使电子安全锁故障率大大降低,保证其正常使用。密钥授权管理***对电子安全锁的唯一身份的存储传输进行加密处理,确保开锁必授权,保证逻辑上的未授权开锁为非法暴拆行为的正确性。边缘终端安全认证控件对获取的设备指纹信息在存储传输时进行加密处理,确保入侵者无法获取指纹信息进行信息仿造,来通过接入认证。智能分析感知***的稳定运行是对安全防护的基本保证,要求部署***的服务器稳定运行。
本发明的电子安全锁非常安全,以往网口堵头只能起到防尘或简单止锁作用,***易复制或代用,安全性不高;本电子安全锁只有权限验证通过后才可执行开锁动作,安全性极高,有效防止了未用网口被无授权使用。而密钥由授权管理***唯一授权植入,不容易被外部人员识别和仿造,所以对网络端口的防护更加安全。电子安全锁非常耐用,网口塞通过塑料卡扣卡入网络端口卡槽,通过电子使卡扣发生形变离开卡槽位置,从而开锁,多次使用后卡扣变形破损导致无法使用;本电子安全锁使用铁芯卡扣,配合弹簧和导向结构,减小传动摩擦和磨损,增加设备寿命,重复动作次数达到万次以上。电子安全锁非常可靠:通过电磁吸合方式开锁,吸合动作稳定可靠。
二、电子钥匙
如图3所示,电子钥匙包括钥匙外壳12、供电及数据接口13、解锁插针14、指示灯19、开锁按键22、锂电池和主控电路板,供电及数据接口13和解锁插针14分别设置于钥匙外壳12的前端和后端且均与主控电路板连接,钥匙外壳12上设置有与主控电路板连接的开锁按键22和钥匙指示灯19,锂电池和主控电路板安装于钥匙外壳12内部;主控电路板上设置有芯片与芯片连接的蜂鸣器、RTC时钟以及充放电管理电路。
电子钥匙的芯片通过数据接口与密钥授权管理***连接,接收开锁任务列表并存储于芯片内部的存储器中;锂电池用于钥匙自身供电和对电子安全锁供电;充放电管理电路负责锂电池充放电管理,防止过充和过放;蜂鸣器用于提示电子钥匙的开锁状态和开关机状态;RTC时钟为电子钥匙提供实时时间参考;开锁按键22用于电子钥匙的开关机以及开锁按键复用。电子钥匙在开锁时将开锁记录存储在自身存储器中,钥匙再次连接***时,自动将开锁记录同步到***中。电子钥匙使用锂电池供电。
电子钥匙和电子安全锁需配套使用,一把电子钥匙可以打开一把或者多把电子安全锁,具体数量由密钥授权管理***配置。电子钥匙内部存储有设备编号、用户编号、设备名称、设备软硬件版本号、开锁保持时间、开锁记录、任务列表。电子钥匙内存储的任务列表包括电子安全锁编号,密钥和有效期。需要开锁时,将电子钥匙***需要解锁的电子安全锁,按下开锁按键后对电子安全锁供电,读取电子安全锁设备编号信息,如果该编号在内部开锁任务列表中存在且在有效期内,则发送密钥校核命令,电子安全锁收到密钥并通过电子密钥校核后,电子安全锁打开。
电子钥匙的供电及数据接口采用插座方式,用于为电子锁供电和通信。主控芯片通过数据接口与密钥授权管理***连接,接收开锁任务列表,包括电子安全锁编号、密钥和密钥有效期,并将它们存储于内部存储器;主控芯片通过解锁插针与电子安全锁通信,发出读取指令,读取电子安全锁的设备信息(设备编号、用户编号、设备名称、设备软硬件版本号),如果电子安全锁编号存在于内部任务列表中,且在有效期内,电子钥匙根据设备编号和加密密钥生成加密信息,通过设定的鉴权指令将加密信息发送至电子安全锁进行校核,若解密成功则发送开锁命令,反之不发送开锁命令。
三、密钥授权管理***
密钥授权管理***是整套装置的后台核心管理***,包括UI界面和数据库,UI界面提供管理员操作接口,数据库记录所有设备记录信息。该***用于:电子安全锁***信息和密钥配置管理;对电子钥匙下发开锁权限、任务有效期、开锁时长及读取开锁记录;数据库管理。密钥管理***可分别接入电子安全锁和电子钥匙进行配置,具体如下:
1)电子安全锁配置管理功能:
电子安全锁设备信息初始化:初始化设备信息(设备编号、用户编号、最大开锁时间、设备名称、电子安全锁安全密钥),使设备信息不同于出产设置;读取电子安全锁基本信息,如设备编号、用户编号、设备名称、设备软硬件版本号、最大开锁时间、开锁次数;校核密钥后通过发送配置指令可配置电子安全锁基本信息,如设备编号、用户编号、设备名称、最大开锁时间、重新配置电子安全锁安全密钥;恢复出厂设置。
2)电子钥匙配置管理功能:
电子钥匙的设备信息初始化;读取和配置电子钥匙基本信息,如设备编号、用户编号、设备名称、设备软硬件版本号;生成并下发解锁任务列表,包括电子安全锁编号、开锁时长、密钥和密钥有效期;读取开锁记录;恢复出厂设置。
3)数据存储功能:
电子安全锁设备编号、用户编号、设备名称、密钥及维护变更记录;电子安全锁的部署位置、部署时间记录;电子钥匙开锁任务和反馈记录,反馈记录为记录开锁次数和开锁状态。
四、边缘终端安全认证控件
1)获取设备指纹信息:
将指纹信息进行实时与智能分析感知***进行指纹比对,确保安全可靠设备才能接入内网。
2)终端设备的行为监测:
监控终端设备行为,并对异常行为结果在边缘终端就行分析,并上传有用信息到服务器。
3)确保指纹的唯一性和确定性:
边缘终端安全认证控件获取边缘终端的设备指纹后,会确保该指纹的唯一性,确定性,并对指纹信息进行加密处理。在终端接入内网时,对端口连接的设备进行指纹匹配,确保端口和设备的一致性,从软件逻辑上加以保证边缘终端设备接入的可信性。并且使用设备指纹技术难以篡改的特点,限制其他设备仿造接入。
4)终端运行状态监控:
如设备正常开关机状态,设备网络通信装填等进行收集汇总,并在终端设备上使用终端设备空闲算力进行分析筛选过滤,将结果传输给智能分析感知***。
5)异常协同广播:
边缘终端安全认证控件还提供一个异常展示功能,当同办公室有终端出现异常时,会在办公室范围内进行广播,广播内容需要通过控件来实现弹出。
五、智能分析感知***
1)网络端口监控能力:
智能分析感知***部署在内网上层服务器,获取内网交换机的管理权限,对内网交换机进行端口监控。
2)网络端口控制与主动防御能力:
如图5所示,智能分析感知***对于需要主动防御的情况,包括对端口监控、流量监控、综合研判打分和AI分析学习。可以达到禁用MAC、禁用端口的禁止设备接入手段措施,保障网络安全。智能分析感知***对于未达到需要做出禁止动作但存在一定隐患的情况,可以进行警告,告警的管理提示性处理。智能分析感知***对于未达到需要做出禁止动作但又相对紧急,有一定时效性的情况,可以配合边缘终端安全认证控件的异常协同广播能力进行办公室广播处理。
3)智能学习能力:
智能分析感知***使用AI学习算法,分析流量异常情况,另外再结合电子安全锁状态,边缘终端接入认证状态,进行安全等级计分,每个端口实时都有一个安全等级分,等级分决定***处理的手段。
在智能分析感知***上维护好交换机的管控模式(Snmp,Telnet等),并维护相应的管理账号密码。有了交换机的管理管理权限,就能监控到交换机的层级相应端口状态,也可实现在交换机层级的主动防御(禁用mac,禁用端口)。
已经将内网的设备固定,若要添加内网设备需要先将安装的网络端口锁进行开锁。而需要开锁,则要在密钥授权管理***中进行申请审批,确保开锁是正常运维行为,并且密钥授权管理***会向智能分析感知***发送相应网络端口锁的开锁信息,为其主动防御策略提供开锁判据。此时可以在开锁的相应网络端口上进行正常的运维操作。
对于新接入的设备(未安装边缘终端安全认证控件)将会被判定为重点观察设备,通过访问智能分析感知***主页下载安装或者其他途径拷贝安装后可以正常使用。网口锁在开启更改后,需要在***上维护更改,防止智能分析感知***误判当前状态,做出错误的主动防御。
如图4所示,为密钥授权管理***、智能分析感知***和边缘终端安全认证控件之间的关系,密钥授权管理***提供电子安全锁的解锁情况至智能分析感知***,智能分析感知***向边缘终端安全认证控件进行异常广播信息,边缘终端安全认证控件向智能分析感知***提供终端指纹认证以及终端监控数据,边缘终端安全认证控件向密钥授权管理***传输开锁日志,密钥授权管理***向边缘终端安全认证控件传输开锁密钥包。
六、具体事例
1)电子安全锁初始化流程:
每一个电子安全锁出厂时预设一个解锁密钥,便于在应用现场未配置客户密钥时进行开锁,确保***可用性。电子安全锁实际使用前,需要先在授权管理***中进行信息录入和初始化,具体如下:
首先通过安全锁数据线连接授权管理***与电子安全锁,通过授权管理***读取电子安全锁编号,如果在授权管理***数据库中检索到改编号,说明电子安全锁已经在授权管理***中,直接发送读取指令读取并显示电子安全锁的设备编号、用户编号、设备名称、设备软硬件版本号、最大开锁时间、电子安全锁安全密钥;如果授权管理***数据库中无法检索电子安全锁编号,说明电子安全锁未在授权管理***中初始化,需要在***中配置电子安全锁设备编号、用户编号、设备名称、最大开锁时间、电子安全锁安全密钥,将配置信息通过配置指令发送到电子安全锁中进行配置,配置成功后授权管理***将配置信息存储于数据库,最后再读取电子安全锁最新数据进行显示。
2)电子钥匙初始化流程:
首先通过电子钥匙数据线连接授权管理***与电子钥匙,通过授权管理***读取电子钥匙编号,如果在授权管理***数据库中检索到改编号,说明电子钥匙已经在授权管理***中,直接发送读取指令读取并显示电子钥匙设备编号、用户编号设备名称、设备软硬件版本号;如果授权管理***数据库中无法检索电子钥匙编号,说明电子钥匙未在授权管理***中初始化,需要在***中配置电子钥匙设备编号、用户编号、设备名称,将配置信息通过配置指令发送到电子钥匙中进行配置,配置成功后授权管理***将配置信息存储于数据库,最后再读取电子钥匙最新数据进行显示。
3)上锁流程:
如图6所示,维护人员申领电子安全锁,管理人员在授权管理***读取录入待上锁的电子安全锁,并将电子安全锁分配到部署地址,生成任务工单;维护人员根据任务工单到达指定部署地址,按照需求将电子安全锁***需要安全防护锁住的空闲网口。由于电子安全锁自然状态下为锁住状态,因此***后该网口即被防护上锁。维护人员记录并核对被锁住网络端口的编号和电子安全锁编号,由管理人员将部署记录录入授权管理***中,在授权管理***核对无误后将部署记录存档更新,任务工单完结。
4)开锁流程:
电子安全锁开锁需要配合授权管理***和电子钥匙来操作。如图7所示,管理员按照需要开锁网络端口的开锁位置和编号,在授权管理***中查询对应电子安全锁的密钥,配置电子安全锁的时长和密钥有效期,从而生成对应的开锁任务列表(电子安全锁编号、开锁时长、密钥和密钥有效期),从而生成工单,并将开锁任务列表下发至电子钥匙中。维护人员拿到电子钥匙后到达指定位置,***电子钥匙开锁,按下开锁按键,即可打开电子安全锁,该操作需要在密钥有效期内执行。电子钥匙会保存开锁时间和操作成功或失败的结果。开锁任务完成后,记录开锁记录,开锁记录回读存档,最终工单完结。维护人员将电子钥匙和电子安全锁拔出后归还到管理员处。管理员在下次需要封堵其他网口时重新设置电子安全锁密钥。
5)边缘终端安全认证控件安装流程:
安装好***服务后,边缘终端安全认证控件安装包会提供下载链接,在需要安装控件的终端上访问***主页,点击链接下载控件,然后点击安装后即可正常运行控件。可以Windows服务中查看相应服务是否正常工作。
6)主动防御启动流程:
主动防御启用示例一,如部署空闲电子安全锁的网络端口,未提供正常的开锁记录,检测到端口持续流量访问,进行禁用端口主动防御。
主动防御启用示例二,如部署在用电子安全锁的网络端口,未提供正常的开锁记录,检测到端口持续流量访问,且端口原有指纹认证未通过,进行禁用MAC主动防御。
主动防御启用示例三,如终端指纹认证通过,边缘终端安全认证控件检测到终端异常断网,***进行告警及异常广播处理。
主动防御为各种策略性手段,还会进行AI分析学习而做出不同处理,当分段不同处理形式也不同。
具体实施中,本发明电子安全锁主要针对RJ45型网络端口,对于RJ11和RJ48型网口同样适用。
如图8所示,为***部署的网络架构示意图,其中智能分析感知***部署在核心交换层的服务器上,边缘终端安全认证控件部署在终端client上,电子安全锁安装在所有网络端口上。智能分析感知***拥有核心交换机以及下层交换机的管理权限,用以实现主动防御功能。
本发明***包括电子安全锁***,边缘终端安全认证控件以及智能分析感知***。电子安全锁***包括电子安全锁,电子钥匙以及密钥授权管理***。通过***实现远程申请开锁获取解锁密钥包,密钥包写入钥匙后可以解锁电子安全锁。电子安全锁***实现物理链路的固定与安全。边缘终端安全认证控件通过获取设备指纹信息,与后台进行实时身份认证,解决终端设备***层级的内网准入。智能分析感知***监控内网端口,综合分析终端指纹认证,电子安全锁状态,端口访问态势等信息,做出端口访问安全性判断,并对不安全端口进行主动防御。本发明从物理链路到通信链路全内网链路做到真正的安全可靠接入。

Claims (9)

1.一种基于云边协同的内网链路安全防护***,其特征在于:
包括用于锁住内网端口的若干电子安全锁;
包括用于保存解锁密钥包并连接电子安全锁进行解锁操作的若干电子钥匙;
包括用于控制电子钥匙进行解锁操作并存储电子安全锁和电子钥匙的设备信息的密钥授权管理模块;
包括用于对内网端口接入的终端设备进行认证的边缘终端安全认证控件;
包括用于对内网端口、边缘终端安全认证控件的认证结果、各个电子安全锁的状态进行监控并进行端口访问安全性判断和主动防御措施的智能分析感知模块。
2.根据权利要求1所述的内网链路安全防护***的内网链路安全防护方法,其特征在于,包括:
S1、将若干电子安全锁***内网的各个端口并锁住,在安装有边缘终端安全认证控件和智能分析感知模块的终端设备通过端口接入内网时,通过密钥授权管理***使得保存有解锁密钥包的电子钥匙对待接入端口处的电子安全锁进行开锁,然后通过边缘终端安全认证控件和智能分析感知模块对待接入端口的终端设备进行安全认证后再对终端设备采取接入措施;
S2、在电子安全锁解锁以及终端设备接入的过程中,通过智能分析感知模块对内网端口、边缘终端安全认证控件的认证结果、各个电子安全锁的状态进行监控并进行端口访问安全性判断和主动防御措施。
3.根据权利要求2所述的内网链路安全防护***的内网链路安全防护方法,其特征在于:所述的步骤S1中,每个电子安全锁和电子钥匙均通过数据线连接密钥授权管理***,密钥授权管理***中保存有各个电子安全锁和电子钥匙的设备信息以及各个内网端口的地址及编号;将若干电子安全锁***内网的各个端口并锁住,具体为首先通过密钥授权管理***将待上锁的各个电子安全锁分配至各自的部署地址处,将每个电子安全锁***各自的部署地址处的内网端口并锁住,密钥授权管理***保存每个部署地址处匹配的电子安全锁和内网端口的设备信息;
所述的电子安全锁的设备信息包括电子安全锁的设备编号、设备名称、设备软硬件版本号、最大开锁时间和电子安全锁密钥;电子钥匙的设备信息包括电子钥匙的设备编号、设备名称和设备软硬件版本号。
4.根据权利要求2所述的内网链路安全防护***的内网链路安全防护方法,其特征在于:所述的步骤S1中,通过密钥授权管理***使得保存有解锁密钥包的电子钥匙对待接入端口处的电子安全锁进行开锁,具体为首先根据待开锁的内网端口的位置和编号在密钥授权管理***中查询待开锁的内网端口处的电子安全锁的设备信息,进而根据电子安全锁的设备信息生成开锁任务列表,并将开锁任务列表发送至电子钥匙中;将电子钥匙***待开锁的内网端口处的电子安全锁中,电子钥匙根据开锁任务列表使用解锁密钥包进行密钥验证,然后将电子安全锁进行开锁,开锁结束后,电子钥匙对开锁时间和开锁结果进行保存并传输至密钥授权管理***。
5.根据权利要求4所述的内网链路安全防护***的内网链路安全防护方法,其特征在于:所述的开锁任务列表包括电子安全锁的设备编号、开锁时长、密钥和密钥有效期;将电子钥匙***待开锁的内网端口处的电子安全锁中,电子钥匙根据开锁任务列表使用解锁密钥包进行密钥验证,然后将电子安全锁进行开锁,具体如下:
S1.1、将电子钥匙***待开锁的内网端口处的电子安全锁中;电子钥匙发出读取指令读取电子安全锁的设备信息,若电子安全锁的设备编号不存在电子钥匙的开锁任务列表中,则开锁失败;若电子安全锁的设备编号存在于电子钥匙的开锁任务列表中,且在密钥有效期内,电子钥匙根据开锁任务列表中的设备编号和密钥生成加密信息,通过设定的鉴权指令将加密信息发送至电子安全锁进行校核,使用存储的解锁密钥包对鉴权指令中的加密信息进行解密,解密成功则电子安全锁进入授权状态,获得解密结果;解密失败则电子安全锁恢复待机状态,开锁失败;
S1.2、在电子安全锁进入授权状态后,电子安全锁将解密结果发送给电子钥匙,电子钥匙在收到解密结果后,发送开锁指令至电子安全锁,电子安全锁进入开锁状态,开锁成功。
6.根据权利要求4所述的内网链路安全防护***的内网链路安全防护方法,其特征在于:所述的电子钥匙对开锁时间和开锁结果进行保存并传输至密钥授权管理***,具体为在电子安全锁开锁后,密钥授权管理***将记录电子安全锁和电子钥匙的配置变更信息、电子安全锁的部署位置和时间以及电子钥匙的开锁记录。
7.根据权利要求2所述的内网链路安全防护***的内网链路安全防护方法,其特征在于:所述的步骤S1中,智能分析感知模块中保存有若干预设安全设备指纹信息,通过边缘终端安全认证控件和智能分析感知模块对待接入端口的终端设备进行安全认证后再对终端设备采取接入措施,具体为边缘终端安全认证控件获取待接入端口的终端设备的指纹信息,将待接入端口的终端设备的指纹信息和智能分析感知模块中的各个预设安全设备指纹信息进行比对,当待接入端口的终端设备的指纹信息和智能分析感知模块中的其中一个预设安全设备指纹信息比对一致时,将待接入端口的终端设备认为是安全设备并接入内网端口中,否则拒绝接入内网端口中。
8.根据权利要求2所述的内网链路安全防护***的内网链路安全防护方法,其特征在于:
所述的步骤S2中,通过智能分析感知模块对内网端口、边缘终端安全认证控件的认证结果、各个电子安全锁的状态进行监控,对内网端口进行监控具体为对内网端口的流量进行监控;对各个电子安全锁的状态进行监控具体为对内网端口处的电子安全锁锁住或开锁的状态进行监控。
9.根据权利要求2所述的内网链路安全防护***的内网链路安全防护方法,其特征在于:所述的步骤S2中,通过智能分析感知模块进行端口访问安全性判断和主动防御措施,即当终端设备访问内网端口时,当智能分析感知模块判断终端设备为不安全设备时,对终端设备接入的内网端口采取警告、告警、异常广播、禁用MAC和禁用端口主动防御措施。
CN202311112928.4A 2023-08-31 2023-08-31 一种基于云边协同的内网链路安全防护***及方法 Pending CN117082099A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311112928.4A CN117082099A (zh) 2023-08-31 2023-08-31 一种基于云边协同的内网链路安全防护***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311112928.4A CN117082099A (zh) 2023-08-31 2023-08-31 一种基于云边协同的内网链路安全防护***及方法

Publications (1)

Publication Number Publication Date
CN117082099A true CN117082099A (zh) 2023-11-17

Family

ID=88713242

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311112928.4A Pending CN117082099A (zh) 2023-08-31 2023-08-31 一种基于云边协同的内网链路安全防护***及方法

Country Status (1)

Country Link
CN (1) CN117082099A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118041687A (zh) * 2024-04-08 2024-05-14 国网浙江省电力有限公司杭州供电公司 一种基于网口封堵设备的感知安全防护***及方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118041687A (zh) * 2024-04-08 2024-05-14 国网浙江省电力有限公司杭州供电公司 一种基于网口封堵设备的感知安全防护***及方法

Similar Documents

Publication Publication Date Title
US20110015795A1 (en) Smart Outlet with Valid Plug Management and Activation
CN105869250A (zh) 一种智能表箱锁监控***及监控方法
CN110011848B (zh) 一种移动运维审计***
WO2015117507A1 (zh) 鉴权方法、采集装置、鉴权装置及***、机柜及解锁方法
CN106710051A (zh) 用于防止电气二次设备误操作的管控***及管控方法
CN104581008B (zh) 一种视频监控***信息安全防护***和方法
CN108447147A (zh) 一种基于无源智能锁的配网通信小室设备安全管理***
CN204390320U (zh) 一种动态密码锁***
CN102486819A (zh) 一种加固***
CN106504370B (zh) 厂站安全管控***及控制方法
CN114266081A (zh) 一种电力监控***的运维电脑安全防护***及方法
CN109977644A (zh) 一种Android平台下分级权限管理方法
CN117082099A (zh) 一种基于云边协同的内网链路安全防护***及方法
CN106852050B (zh) 一种安全机柜及其控制方法
CN210864848U (zh) 一种电箱的蓝牙智能锁装置及***
CN111815815A (zh) 一种电子锁安全***
CN205644710U (zh) 一种智能表箱锁监控***
CN110300289A (zh) 视频安全管理***及方法
CN109684791A (zh) 一种软件保护方法及装置
CN100590569C (zh) 计算机i/o端口控制方法
CN114329583A (zh) 一种铁路网络安全风险可视化分析方法及装置
CN113177194A (zh) 一种按角色分工的继电保护装置人机界面菜单显示方法
CN213782393U (zh) 一种终端单路智能网口锁
CN107168122B (zh) 一种电力设备箱集中控制***及方法
CN207296652U (zh) 一种智能门锁

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication