【技术实现步骤摘要】
本专利技术涉及物联网及地理空间数据采集、计算、处理领域,具体涉及一种零信任林业物联网管理平台系统及安全防护方法。
技术介绍
1、传统基于边界的网络安全防护通过设定防火墙、vpn网关、网闸、等边界防护设备防止外部攻击,但对于内部攻击防护不佳,堡垒往往从内部被攻破。林业物联网相比电力物联网、车联网,由于终端布设于森林中,具有“终端防护难、电力供应难、网络通信难、系统维护难、安全防护难”的行业特殊性,目前基于边界和位置的网络安全架构在林业物联网中存在以下缺点:
2、(1)容易遭受拒绝访问攻击。林业物联网通用采用“休眠-唤醒”方式,即所有物联网终端通过设定统一的唤醒时间将信息汇集物联网网关后,在固定时间内访问设定的ip地址和访问端口,将信息集中回传物联网管理应用系统,以此降低设备功耗,延长监测周期,在终端数量较大的时候本就易出现信息拥塞,如果此时攻击者对获取的网关访问ip地址和端口开展拒绝服务攻击,会导致服务器因超量访问而出现宕机故障。
3、(2)无法承受复杂安全方案。林业物联网终端一般为降低成本,结构较为简单,无法运行加解密和公钥密码体系,林业物联网数据也存在短期价值密度低的特点,为尽可能延长采集时间都采取低功耗,轻量级的安全防御措施,甚至完全取消安全措施,不愿意或无法承受计算量大、复杂的安全方案。
4、(3)难以抵御内部攻击。林业物联网通常设定固定口令、访问ip和开放端口,物联网终端使用固定口令访问物联网网关,物联网网关通过固定口令、固定ip和开发端口将信息回传至物联网管理应用系统,如果内容人员窃
5、综上所述,亟需提供一种不以位置标识身份,可以持续验证,有效防御内部和外部攻击的林业物联网管理平台系统以及安全防护方法。
技术实现思路
1、本专利技术的目的是提供一种不以位置标识身份,可以持续验证,有效防御内部和外部攻击的林业物联网管理平台系统以及安全防护方法。
2、上述目的是通过如下技术方案实现:一种零信任林业物联网管理平台系统,包括:
3、林业物联网终端:用于实现林业资源、数据的采集和监测;
4、林业物联网网关:用于汇集林业物联网终端采集的数据并传输至林业物联网管理应用系统,同时将林业物联网管理应用系统的配置信息分发至林业物联网网关和林业物联网终端;
5、移动数据采集终端:搭载有移动数据采集应用系统,用于实现林业物联网终端和林业物联网网关初始化布设、身份验证和维护更新;
6、服务器端:搭载有林业物联网管理应用系统和零信任动态安全风险评估应用系统,所述林业物联网管理应用系统用于实现对林业物联网终端、林业物联网网关、移动数据采集终端和用户的注册、管理和维护,所述零信任动态安全风险评估应用系统用于完成林业物联网网关、林业物联网终端、移动数据采集终端和林业物联网管理应用系统的持续身份验证和动态安全风险评估。
7、本专利技术零信任林业物联网管理平台系统的林业物联网网关和移动数据采集终端构成策略执行点,林业物联网终端为访问主体,林业物联网管理应用系统和零信任动态安全风险评估应用系统构成策略决策点,策略执行点用于建立、监控及断开访问主体与内部资源之间的连接。策略决策点用于动态评估策略执行点提交的身份验证并决定是否予以授权。策略决策点中策略引擎负责最终决定是否为访问主体授予访问权限,决策管理负责接收决策执行点的请求,并依据策略引擎动态评估结果发放是否予以通过的身份验证凭证或是令牌。其中,零信任动态安全风险评估应用系统是林业物联网云平台的安全决策系统。
8、进一步的技术方案是,所述林业物联网管理应用系统包括:
9、用户登录模块:用于用户身份验证,向零信任动态安全风险评估应用系统提交身份验证,请求登录林业物联网管理应用系统;
10、设备注册清单创建维护模块:用于创建设备注册清单,维护并更新设备注册清单;
11、设备注册登记模块:用于林业物联网设备登记时向零信任动态安全风险评估应用系统申请注册设备随机验证码,并将随机验证码连同林业物联网设备的设备信息同时存入设备注册清单和林业物联网设备自身,完成林业物联网设备的双向注册登记;
12、设备运行清单创建维护模块:用于创建设备运行清单,维护并更新设备运行清单,统计分析设备运行清单;
13、网关服务器端设备运行登记模块:用于使用移动数据采集终端配置的林业物联网网关移动端配置信息向零信任动态安全风险评估应用系统发送身份认证请求,获取林业物联网网关服务器端配置信息和林业物联网网关设备注册信息,将林业物联网网关移动端配置信息、林业物联网网关服务器端配置信息和林业物联网网关设备注册信息共同形成一条林业物联网网关设备运行记录存入设备运行清单和林业物联网网关,完成双向注册登记;
14、终端服务器端设备运行登记模块:用于使用移动数据采集终端配置的林业物联网终端移动端配置信息向零信任动态安全风险评估应用系统发送身份认证请求,获取林业物联网终端服务器端配置信息和林业物联网终端设备注册信息,将林业物联网终端移动端配置信息、林业物联网终端服务器端配置信息和林业物联网终端设备注册信息共同形成一条林业物联网终端设备运行记录存入设备运行清单和林业物联网终端,完成双向注册登记;
15、网关自动运行访问模块:用于林业物联网网关使用本地存储的林业物联网网关设备运行信息向零信任动态安全风险评估应用系统发送身份认证请求,获取林业物联网网关服务器端配置信息和林业物联网网关设备注册信息,共同形成一条林业物联网网关设备运行记录存入设备运行清单和林业物联网网关,完成双向注册登记;
16、终端自动运行访问模块:用于林业物联网终端使用本地存储的林业物联网终端设备运行信息向零信任动态安全风险评估应用系统发送身份认证请求,获取林业物联网终端服务器端配置信息和林业物联网终端设备注册信息,共同形成一条林业物联网网关设备运行记录存入设备运行清单和林业物联网网关,完成双向注册登记;
17、网关和终端维护任务开展模块:用于依据设备运行信息清单和系统精度动态评估模块的评估结果,判断需要维护的监测区域和设备,派发设备维护任务;
18、ip和端口动态管理模块:用于零信任动态安全风险评估应用系统中的安全风险动态评估模块发现的非正常访问设备,对其在设备运行清单中进行状态标记,对疑似dos攻击的端口或ip进行关闭。
19、进一步的技术方案是,所述零信任动态安全风险评估应用系统包括:
20、用户身份登录验证模块:用于对移动数据采集应用系统和林业物联网管理应用系统提交的用户身份认证请求进行验证处理,维护设备注册清单和设备运行清单;
21、设备注册登记验证模块:用于对移动数据采集应用系统和林业物联网管理应用系统提交的设备注册登记验证请求进行对比验证,验证通过后将设备注册清单中设备状态修改为已使用;
22、网本文档来自技高网...
【技术保护点】
1.一种零信任林业物联网管理平台系统,其特征在于,包括:
2.根据权利要求1所述的零信任林业物联网管理平台系统,其特征在于,所述林业物联网管理应用系统包括:
3.根据权利要求2所述的零信任林业物联网管理平台系统,其特征在于,所述零信任动态安全风险评估应用系统包括:
4.根据权利要求2或3所述的零信任林业物联网管理平台系统,其特征在于,所述移动数据采集应用系统包括:
5.根据权利要求4所述的零信任林业物联网管理平台系统,其特征在于,所述零信任林业物联网管理平台系统还包括设置在服务器端的内部资源,所述内部资源包括调查数据库、林草生态综合监测样地数据库、林草生态综合监测图斑监测成果数据库在内的数据。
6.一种零信任林业物联网安全防护方法,其特征在于,使用权利要求1~5任意一项所述的零信任林业物联网管理平台系统执行,包括如下步骤:
7.根据权利要求6所述的零信任林业物联网安全防护方法,其特征在于,所述步骤S1中包括如下步骤:
8.根据权利要求7所述的零信任林业物联网安全防护方法,其特征在于,所述步骤S2中
9.根据权利要求8所述的零信任林业物联网安全防护方法,其特征在于,所述步骤S3中包括如下步骤:
10.根据权利要求9所述的零信任林业物联网安全防护方法,其特征在于,所述步骤S4中包括如下步骤:
11.根据权利要求10所述的零信任林业物联网安全防护方法,其特征在于,所述步骤S5中包括如下步骤:
12.根据权利要求11所述的零信任林业物联网安全防护方法,其特征在于,所述步骤S6中包括如下步骤:
...【技术特征摘要】
1.一种零信任林业物联网管理平台系统,其特征在于,包括:
2.根据权利要求1所述的零信任林业物联网管理平台系统,其特征在于,所述林业物联网管理应用系统包括:
3.根据权利要求2所述的零信任林业物联网管理平台系统,其特征在于,所述零信任动态安全风险评估应用系统包括:
4.根据权利要求2或3所述的零信任林业物联网管理平台系统,其特征在于,所述移动数据采集应用系统包括:
5.根据权利要求4所述的零信任林业物联网管理平台系统,其特征在于,所述零信任林业物联网管理平台系统还包括设置在服务器端的内部资源,所述内部资源包括调查数据库、林草生态综合监测样地数据库、林草生态综合监测图斑监测成果数据库在内的数据。
6.一种零信任林业物联网安全防护方法,其特征在于,使用权利要求1...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。