本发明属于物联网通信安全,尤其涉及一种物联网安全联盟系统。
背景技术:
1、1、物联网边缘节点是指那些工作在网络边缘处理原始数据的通信节点,具有数量大、低性能、安全性差、无人值守的特点,一方面它们被植入病毒或恶意代码的风险大,另一方面应对这种风险的管理、人工、差旅成本很高,更重要的是存在这些风险的边缘节点可能将私密的物联网原始未加密的数据资产泄露到不安全的网络。例如医院取挂号机、水质采样机、自动售货机。
2、2、物联网同一应用场景中边缘节点的系统硬、软件相似度高,有的甚至完全相同,例如共享设备。任意一节点的安全漏洞暴露后,不法分子可能利用以上特点嗅探、控制、挟持到更多同类节点,进而能够对业务发起更大规模的入侵、勒索,最终可能导致企业产生重大的经济损失。
3、3、一些物联网应用场景中,为了采集、交换简单的的数据,需要边缘节点的海量、低成本部署,考虑到经济效益。在设计节点硬件、软件时,其计算能力、存储空间、通信带宽等关键资源在投资中的占比总是有限的,而安全系统又要执行复杂逻辑判断和计算,需要相当大的资源开销。因此,这些场景中的边缘节点仅能实施简单的放行或阻断通信连接的动作,而不具备独立部署复杂安全系统的条件。
4、4、如果不在节点上部署安全系统,而为了对网络的通信连接实施检查以便进一步地采取针对性的动作,一般网络常在流量集中转发的路径上布置防火墙对连接的流量进行过滤处理,但该方法需满足诸多严苛的条件。首先,要确保所有流量经过防火墙,这样防火墙才能实施检查;其次,防火墙产品的性能要能满足大并发量、大流量场景的高效处理能力。然而在物联网场景中,若将流量强制集中引入防火墙集中处理,则可能不得不改变边缘节点与目标服务器间的通信路径,这会引入额外的网络时延和丢包,对物联网节点的通信质量产生负面影响。另外,现实中高性能防火墙的价值通常比较昂贵,物联网节点又普遍存在同类流量高频率发生的情形,如果每个流、每个包都要经过防火墙检查显然会造成很大的投资浪费,影响企业物联网产品的经营效益。
技术实现思路
1、本发明所要解决的技术问题在于针对上述现有技术中的不足,提供一种物联网安全联盟系统,通过建立一个集中的安全信息管理和分发机制,使得边缘节点能够根据最新的安全信息及时做出放行或阻断网络连接的决策,从而有效降低了物联网边缘节点面临的业务数据泄露风险。
2、为解决上述技术问题,本发明采用的技术方案是:一种物联网安全联盟系统,包括主中心节点mn和边缘节点en;
3、所述主中心节点mn,用于向边缘节点en发送安全信息公告sia;
4、所述边缘节点en,用于根据安全信息公告sia对本节点的网络连接进行匹配,并决定网络连接的放行或阻断。
5、上述技术方案,实现了一个集中式的安全信息管理和分发机制;主中心节点mn能够向边缘节点en发送统一的安全信息公告sia,使得边缘节点能够根据最新的安全情报对网络连接进行实时匹配和决策,从而提高了整个物联网网络的安全性和响应能力。
6、本实施例中,所述边缘节点en,还用于当根据安全信息公告sia对本节点的网络连接匹配不到时,根据该网络连接生成安全连接路由slr,将安全连接路由slr发送至主中心节点mn;
7、所述主中心节点mn,还用于对边缘节点en发送的安全连接路由slr进行安全判断,若安全连接路由slr为安全,则将该安全连接添加到安全信息公告sia的白名单中;若安全连接路由slr为非安全,则将该安全连接添加到安全信息公告sia的黑名单中。
8、上述技术方案,增强了系统的自适应性和动态更新能力。当边缘节点en遇到未知的网络连接时,能够生成新的安全连接路由slr,并提交给主中心节点mn进行安全判断。这不仅提高了对新威胁的识别能力,还允许系统通过白名单和黑名单机制,动态更新安全策略。
9、本实施例中,所述边缘节点en向主中心节点mn发送安全连接路由slr时,将安全连接路由slr加载到自身的安全信息公告sia中,将安全信息公告sia发送至主中心节点mn请求更新;
10、所述主中心节点mn收到安全信息公告sia更新请求后,将收到的安全信息公告sia与自身的安全信息公告sia进行匹配,当发现存在安全连接路由slr后,对安全连接路由slr进行安全判断,并根据判断结果更新自身的安全信息公告sia,并在更新安全信息公告sia后将安全信息公告sia发送边缘节点en。
11、上述技术方案,通过安全信息公告sia的更新请求和匹配机制,确保了安全策略的一致性和实时性。边缘节点en在发现新的安全连接路由slr后,能够主动请求更新,而主中心节点mn能够及时响应并更新安全信息,加强了整个系统的协同响应和一致性。
12、本实施例中,还包括假中心节点fn,所述假中心节点fn,用于作为边缘节点en和主中心节点mn通信的中转节点。
13、上述技术方案,引入假中心节点fn作为通信中转,提高了系统的通信灵活性和可靠性。假中心节点fn的存在减少了直接通信mn,提高了主中心节点mn的安全性。
14、本实施例中,还包括备中心节点sn,所述备中心节点sn用于当主中心节点mn失联时,递补成为新的主中心节点mn。
15、上述技术方案,备中心节点sn的存在确保了在主中心节点mn失联或故障时,系统能够快速切换到备中心节点,从而继续正常运作。这提高了系统的容错性和稳定性,确保了关键服务的连续性。
16、本实施例中,所述假中心节点fn还用于,对主中心节点mn的状态进行监测,当监测到主中心节点mn状态为失联时,将一个备中心节点sn递补成为新的主中心节点mn。
17、上述技术方案,假中心节点fn的监测和递补功能自动化了故障转移过程,减少了系统中断时间。这种自动化机制提高了系统的自我恢复能力,确保了关键服务的快速恢复。
18、本实施例中,所述假中心节点fn还用于向边缘节点en发送主中心节点mn网络位置、主中心节点mn连接的方式、主中心节点mn认证的方法、以及主中心节点mn认证的信息。
19、上述技术方案,假中心节点fn提供的mn网络位置和连接信息简化了边缘节点en的连接过程,提高了系统的易用性和连接效率。这减少了配置错误的可能性,加快了网络部署和维护的速度。
20、本实施例中,所述假中心节点fn和边缘节点en通过l2tp协议通信,所述边缘节点en和主中心节点mn的通信通过假中心节点fn提供的信息交互通道实现。
21、上述技术方案,通过l2tp协议通信,确保了边缘节点en和主中心节点mn之间通信的安全性和稳定性。l2tp协议提供了一种安全的数据传输机制,减少了数据在传输过程中被截获或篡改的风险。
22、本实施例中,所述假中心节点fn,还用于从待选节点中选举出主中心节点mn。
23、上述技术方案,假中心节点fn的选举功能实现了系统的动态管理和优化。这种动态选举机制提高了整个网络的性能和资源利用率,确保了网络的高效运行。
24、本实施例中,所述假中心节点fn提供一个公共网络上可达的静态网络域名,所述边缘节点en可通过所述静态网络域名访问假中心节点fn。
25、上述技术方案,通过静态网络域名访问假中心节点fn,为边缘节点en提供了一个稳定可靠的接入点。这种静态域名简化了网络配置,提高了网络的可访问性和维护性。
26、本发明与现有技术相比具有以下优点:本发明系统利用了物联网通信连接同类流量高频率发生的特点,将同一场景的物联网边缘节点组织在同一个安全联盟下管理,将复杂的特征计算和简单的执行动作这两种任务按节点角色分离。角色分离的益处在于,一方面确保了物联网边缘节点对外的每个通信连接都经过本发明所述安全联盟的检查,能够有效防止数据资产的泄露。另一方面在于,不需要在物联网边缘节点布置复杂的安全系统就能对本地的通信连接作出放行或阻断的动作,达到了降低实施本发明方法的物联网边缘节点软、硬件门槛的目的。在本发明所述系统中,由于绝大部分物联网边缘节点实际业务的通信连接不需要经过其他装置,因此能够避免引入额外的时延、丢包和投资成本。另外,本发明所述系统是自动组织和工作的,降低了本发明所提及的物联网边缘节点安全风险的管理、人工、差旅成本,具有良好的经济效益。
27、下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
1.一种物联网安全联盟系统,其特征在于,包括主中心节点mn和边缘节点en;
2.按照权利要求1所述的一种物联网安全联盟系统,其特征在于,所述边缘节点en,还用于当根据安全信息公告sia对本节点的网络连接匹配不到时,根据该网络连接生成安全连接路由slr,将安全连接路由slr发送至主中心节点mn;
3.按照权利要求2所述的一种物联网安全联盟系统,其特征在于,所述边缘节点en向主中心节点mn发送安全连接路由slr时,将安全连接路由slr加载到自身的安全信息公告sia中,将安全信息公告sia发送至主中心节点mn请求更新;
4.按照权利要求1、2或3所述的一种物联网安全联盟系统,其特征在于,还包括假中心节点fn,所述假中心节点fn,用于作为边缘节点en和主中心节点mn通信的中转节点。
5.按照权利要求4所述的一种物联网安全联盟系统,其特征在于,还包括备中心节点sn,所述备中心节点sn用于当主中心节点mn失联时,递补成为新的主中心节点mn。
6.按照权利要求5所述的一种物联网安全联盟系统,其特征在于,所述假中心节点fn还用于,对主中心节点mn的状态进行监测,当监测到主中心节点mn状态为失联时,将一个备中心节点sn递补成为新的主中心节点mn。
7.按照权利要求4所述的一种物联网安全联盟系统,其特征在于,所述假中心节点fn还用于向边缘节点en发送主中心节点mn网络位置、主中心节点mn连接的方式、主中心节点mn认证的方法、以及主中心节点mn认证的信息。
8.按照权利要求7所述的一种物联网安全联盟系统,其特征在于,所述假中心节点fn和边缘节点en通过l2tp协议通信,所述边缘节点en和主中心节点mn的通信通过假中心节点fn提供的信息交互通道实现。
9.按照权利要求4所述的一种物联网安全联盟系统,其特征在于,所述假中心节点fn,还用于从待选节点中选举出主中心节点mn。
10.按照权利要求4所述的一种物联网安全联盟系统,其特征在于,所述假中心节点fn提供一个公共网络上可达的静态网络域名,所述边缘节点en可通过所述静态网络域名访问假中心节点fn。
