一种物联网安全防护体系及认证方法技术

本发明专利技术公开了一种物联网安全防护体系，本专利所提物联网安全防护体系包含有多项纵深防御功能设计，分别为融合拟态技术与人工智能技术的智能身份认证功能、基于用户与路由标识映射的接入网与核心网分离功能以及身份认证、授权、映射与控制转发联动功能，应当说明的是，作为具备开放特性的防护体系，所提架构支持安全防御功能增加、更新与替代，以便提升防护系统针对物联网的安全保障能力。本发明专利技术与现有技术相比的优点在于：针对物联网的适应性强、安全防护能力更强、效率和可靠性较强且前后向兼容性强。容性强。容性强。

【技术实现步骤摘要】
一种物联网安全防护体系及认证方法


[0001]本专利技术涉及物联网
，具体是指一种物联网安全防护体系及认证方法。

技术介绍

[0002]物联网具有普通物体设备化、自治终端互联化和普适服务智能化的重要特征。物联网的主要特点可以概括为四项：一是设备类型碎片化，相对于传统网络，物联网呈现出更加碎片化的趋势，这是由于终端产品数量和种类繁多，感知对象的不同从本质上引导感知设备存在功能差异，且同样的功能可以也由不同种类、不同厂商的产品来实现，最终使得感知终端呈现碎片化特点；二是设备部署泛在化，物联网依靠感知层实现对物理世界的感知、反馈，企业在物理世界中的业务分布不会局限在一个机房内，往往会依据业务需要分布在真实世界广泛的物理空间中，由于技术的限制，对物理世界不同的感知需求也需要不同的传感器来完成，这决定了物联网感知层设备依据企业业务的需要而形成多种类传感器共存的情况，且这些传感器需要依据业务覆盖的空间进行泛在部署；三是感知网络异构化，物联网技术与信息通信技术的发展紧密结合，导致物联网的网络架构也随之千变万化，表现在需要考虑传感网数据交互频率、带宽需求、网络可靠性、网络可达性等多方面指标，来决定该采用哪种通信方式(如专线、LPWAN、3/4/5G、卫星网络等)进行通信，感知层设备的离散部署又往往导致物联网边缘侧的接入网络会以多种组网方式组合构成等；四是感知数据多元化，物联网感知对象的多样化以及感知设备数据采集标准的非统一化导致了物联网感知数据的多元化，感知数据的多元化综合体现在时间、空间、对象特征、数据量、数据清晰度等多个维度上存在差异，与此同时，数据的完整性、时效性和敏感度方面均可能存在差异。
[0003]物联网主要存在四项问题待解决：一是终端部署成本和管理效率问题，物联网设备类型的碎片化特点决定了物联网感知层无法以传统网络安全的方式进行设备部署，物联网终端的海量化致使部署成本显著地提升，此外，对大量的、功能和网络异构的、空间分布分散的物联网终端进行有效管理也成为一项不小的挑战；二是安全防护效率和成本平衡问题，由于物联网设备实际部署的泛在化，使得传感器的安全防护方面存在挑战，一方面泛在化的部署使得在发生安全事件时难以依靠人员或者管理模块进行快速的应急响应处置，另一方面物联网设备的部署成本与安全敏感度之间存在如何平衡的问题；三是感知层边界安全防护问题，由于物联网的异构性和终端的海量化，传统边界安全防护设备难以适配复杂的异构网络，一般来说也无法仅通过单一类型的边界防护设备全面、有效地实现对感知层网络的安全保障。物联网感知层防护能力的不足使得网络攻击易于突破防护而进入核心网和内网主机，致使网络安全事件频发；四是隐私保护问题，物联网终端设备几乎每时每刻都要收集、分发和存储大量数据，不同数据具备不同的敏感度，鉴于物联网终端较差的运算能力、存储能力、通信能力和安全防护能力，如何有效防止数据泄露，确保客户利益得到保障至关重要，创新发现和掌握保护物联网隐私的方法是一项巨大的挑战。
[0004]一般来说，传统网络防御技术主要缺点为：对先验知识强烈依赖；防御的及时性难以保证；难防内鬼；自身的漏洞和后门容易被利用。而可信计算技术的缺点是并未从本质上
解决可信根本身可信性的自证问题，同时也看不出如何避免供应链后门的问题，此外，可信计算由于涉及到大量周期性的运算过程，其应用于物联网的前景不是十分明朗。移动目标防御的缺点主要有：无法防护内外协同式攻击或授权攻击，即在存在内鬼的情况下，目标的移动特点可被攻击者获知进而发起难以防御的攻击；系统开销过高影响服务性能，目标移动的过程中涉及到目标的控制和切换，以及目标切换的触发机制等等。零信任技术虽然在理论上能够对所有的网络访问予以细粒度的控制，但其仍然存在以下缺点：去边界化过程收缩了攻击面，但对控制中心的处理能力要求很高；多类型用户、设备、服务等的授权控制管理过程较为复杂；攻击面小，但控制中心一旦停机，整个网络将无法运行；控制中心中部分引擎的有效设计还停留在理论层面。标识映射技术的主要缺点包含：核心网及控制设备需要重新设计；控制中心的映射服务器相关设备是网络功能的核心，一旦停机，整个网络将无法运行；如何在现网的基础上进行高性价比的改造存在难度。网络空间拟态防御的主要缺点是闭环控制机制需要依据应用场景合理设计，且软硬件的开发成本相对较高，同时异构执行体的选择、协同性测试等工作需要耗费较大精力。
[0005]作为物联网安全防护体系的潜在支撑，各现有安全技术或防护架构均在一定程度上存在着安全缺陷或物联网场景的应用限制：传统防御技术难防内鬼，只能作为安全防御的基础手段来使用；可信计算成本较高，不适用于物联网感知层综合能力薄弱的感知设备；移动目标防御和零信任技术虽然具备较强的理论基础，但在物联网的应用环节上需要仔细斟酌，感知设备的海量性有可能使得技术陷入低效状态；标识映射技术和拟态防御技术具备强大的边界防护能力，但其在物联网场景中的应用需要进行合理的设计。

技术实现思路

[0006]本专利技术要解决的技术问题是克服以上的技术缺陷，提供一种物联网安全防护体系，本专利所提物联网安全防护体系包含有多项纵深防御功能设计，分别为融合拟态技术与人工智能技术的智能身份认证功能、基于用户与路由标识映射的接入网与核心网分离功能以及身份认证、授权、映射与控制转发联动功能，应当说明的是，作为具备开放特性的防护体系，所提架构支持安全防御功能增加、更新与替代，以便提升防护系统针对物联网的安全保障能力。
[0007]为解决上述技术问题，本专利技术提供的技术方案为：一种物联网安全防护体系，包括接入级网络平面、服务级网络平面和智能管理平台，所述接入级网络平面设有用户设备、终端设备和应用服务器，所述服务级网络平面设有接入安全网关，所述智能管理平台设有零信任授权系统、身份认证系统、控制转发系统、身份与位置映射系统和服务与位置映射系统；
[0008]所述接入级网络平面主要依靠北斗时空网格码模块实现终端设备的位置标识规范化，同时对终端设备进行拟态身份认证和零信任授权管理；
[0009]所述接入级网络平面依靠标识映射模块实现数据与位置分离，所述入级网络平面依靠可信计算模块对应用服务器进行可信管理，且所述入级网络平面通过拟态防御模块和人工智能模块实现数据的动态异构存储；
[0010]所述服务级网络平面依靠可信计算模块对接入安全网关进行可信管理，且所述接入安全网关作为零信任授权、拟态身份认证、标识映射的策略执行体与感知终端、应用服务
器进行交互，且所述接入安全网关依靠软件定义网络模块和人工智能模块实现其与核心网路由器的数据转发功能；
[0011]所述零信任授权系统、身份认证系统、控制转发系统、身份与位置映射系统和服务与位置映射系统均依靠可信计算模块被纳入可信管理范围，所述零信任授权系统由零信任授权模块、拟态防御模块、标识映射模块、软件定义网络模块、网络功能虚拟化模块、身份认证模块和可信计算模块支撑；
[0012]所述身份认证系统依靠身份由认证模块、人工智能模块、拟态防御模块和可信计算模块支撑；
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种物联网安全防护体系，其特征在于，包括接入级网络平面、服务级网络平面和智能管理平台，所述接入级网络平面设有用户设备(1)、终端设备(2)和应用服务器(3)，所述服务级网络平面设有接入安全网关(4)，所述智能管理平台设有零信任授权系统(5)、身份认证系统(6)、控制转发系统(7)、身份与位置映射系统(8)和服务与位置映射系统(9)；所述接入级网络平面主要依靠北斗时空网格码模块实现终端设备(2)的位置标识规范化，同时对终端设备(2)进行拟态身份认证和零信任授权管理；所述接入级网络平面依靠标识映射模块实现数据与位置分离，所述入级网络平面依靠可信计算模块对应用服务器(3)进行可信管理，且所述入级网络平面通过拟态防御模块和人工智能模块实现数据的动态异构存储；所述服务级网络平面依靠可信计算模块对接入安全网关(4)进行可信管理，且所述接入安全网关(4)作为零信任授权、拟态身份认证、标识映射的策略执行体与感知终端、应用服务器进行交互，且所述接入安全网关(4)依靠软件定义网络模块和人工智能模块实现其与核心网路由器的数据转发功能；所述零信任授权系统(5)、身份认证系统(6)、控制转发系统(7)、身份与位置映射系统(8)和服务与位置映射系统(9)均依靠可信计算模块被纳入可信管理范围，所述零信任授权系统(5)由零信任授权模块、拟态防御模块、标识映射模块、软件定义网络模块、网络功能虚拟化模块、身份认证模块和可信计算模块支撑；所述身份认证系统(6)依靠身份由认证模块、人工智能模块、拟态防御模块和可信计算模块支撑；所述控制转发系统(7)由软件定义网络模块、网络功能虚拟化模块、拟态防御模块和可信计算模块支撑；所述身份与位置映射系统(8)由标识映射模块、北斗时空网格码模块和可信计算模块支撑；所述服务与位置映射系统(9)由标识映射模块、零信任授权模块和可信计算模块支撑。2.根据权利要...

【专利技术属性】
技术研发人员：左珮良，常金芸，王逸扬，郑世鹏，孙国伟，李茂良，吴骁楠，孔维超，叶宸卉，蒋华，
申请(专利权)人：北京市中保网盾科技有限公司，
类型：发明
国别省市：