基于通信链路监控对物联网设备进行网络安全防护的方法与流程

本发明涉及网络安全防护的技术领域，特别涉及一种基于通信链路监控对物联网设备进行网络安全防护的方法。

背景技术：

随着物联网产业迅猛发展，其安全也面临着严峻的挑战。特别是物联网设备联网规模激增，加强终端网络安全防护的安全需求也更加紧迫。当前，终端设备的防护思路仍然主要沿用传统互联网安全思维，普遍的做法是基于物联网设备自身的软硬件系统，将适用于互联网终端的认证、防火墙、防病毒、数据加密等技术直接移植到物联网终端系统内，技术思路和防护方法没有针对物联网应用的特点进行设计，不能有效解决以下物联网终端设备的安全防护问题：

一、海量终端设备暴露在互联网上，物联网系统的攻击面持续扩大；

二、终端设备制造商安全背景不一，设备本身可能存在内置的后门和漏洞，产品及其供应链是否安全缺乏标准参考；

三、一些设备自身缺乏安全设计，且在复杂应用环境中面临新安全风险，一旦物联网终端设备系统被攻破，会使整个防护系统失效。要从根本上解决这些问题，需要创新思维，针对物联网应用特点提出新的对终端设备网络通信安全防护的思路。

因此，为了有效可行地解决大量物联网设备的网络安全防护问题，有必要提出一种基于通信链路监控对物联网设备进行网络安全防护的方法。

技术实现要素：

本发明的目的就是解决现有技术中的问题，提出基于通信链路监控对物联网设备进行网络安全防护的方法，能够有效地解决大量物联网设备的网络安全防护问题。

为实现上述目的，本发明提出了基于通信链路监控对物联网设备进行网络安全防护的方法，该方法基于一个网络通信链路监控模组，所述网络通信链路监控模组串联在物联网终端设备的网络通信链路上，功能和控制均独立于物联网设备自身的软硬件系统，所述网络通信链路监控模组包括网络通信接口模块a、终端设备通信接口模块b和数据包安全监控模块c，所述数据包安全监控模块c负责对数据包进行合法性判断和处理，所述数据包安全监控模块c通过网络通信接口模块a与网络层通信连接，所述数据包安全监控模块c通过终端设备通信接口模块b与物联网终端设备的核心系统通信连接，该网络安全防护的方法通过以下方式实现：

所述网络通信链路监控模组被串联在物联网终端设备与网络层通信的数据链路上，物联网终端设备与网络层的所有通信均需要通过网络通信链路监控模组才能实现，所述数据包安全监控模块c根据内置的规则对经过的数据包进行合法性判断和处理，合法的数据包可透明传输，不合法的数据包被阻截，从而基于通信链路监控对物联网终端设备实现网络通信安全防护功能。

作为优选，所述网络通信链路监控模组的数据包安全监控模块c可对经过的数据包进行解析，实施网络通信安全控制策略，所述网络通信安全控制策略包括防火墙、防病毒、入侵检测、身份认证和数据签名、数据包加解密、网络安全态势监测，根据应用场景、所防护物联网终端设备应用特性和安全要求的不同，数据包安全监控模块c的安全控制策略采取上述安全技术中的一种或数种的组合。

作为优选，所述网络通信链路监控模组的数据包安全监控模块c可对异常通信数据包进行特征聚类、统计、缓存并通过网络上报至远程安全管理平台，为管理者提供海量的态势采集数据。

作为优选，所述网络通信链路监控模组的数据包安全监控模块c还包括管理子模块，所述管理子模块与数据包安全监控模块c通信连接，所述管理子模块具备对数据包处理模块中的处理规则进行设置管理的功能，所述管理子模块通过网络通信接口模块a与远程安全管理平台通信连接。

作为优选，所述网络通信链路监控模组还包含配置拔位开关模块，所述配置拔位开关模块与数据包安全监控模块c通信连接并控制数据包安全监控模块c的设置模式，当配置拔位开关模块的开关位于不同开关位时，安全监控模块c的设置模式分别为不允许设置、仅允许本地设置和允许远程设置三种模式。

作为优选，所述网络通信链路监控模组还包含本地配置接口模块，所述本地配置接口模块与安全监控模块c通信连接，可对数据包过滤规则、不合规数据包处理和上报规则进行本地设置，所述本地配置接口模块包括但不限于uart接口、spi接口、iic接口或sdio接口。

作为优选，所述网络通信链路监控模组的网络通信接口模块a、终端设备通信接口模块b的接口形式包括多种标准有线通信接口，以适用于不同的物联网终端设备有线接入方式。

作为优选，所述网络通信链路监控模组用于无线组网的物联网终端设备时，所述终端设备通信接口模块b与物联网设备串接接口的方式包括设备外设接口、芯片内置插槽，所述网络通信接口模块a与无线通信协议通信接口的方式采用无线通信协议通信接口。

作为优选，所述网络通信链路监控模组为芯片。

作为优选，所述网络通信链路监控模组具有复用物联网设备核心系统的ip地址功能。

本发明的有益效果：现有的对物联网终端设备进行网络安全防护的方法，均是基于物联网终端设备自身的软硬件系统，其信任锚基于物联网设备实体。在实际运用中，由于终端设备制造商安全背景不一，难以证明物联网设备实体自身底层软硬件是否安全可信任；物联网终端设备系统应用复杂性也会在应用中引入木马、病毒等不安全的因素。这使得物联网设备实体能否成为网络通信安全的信任锚存在疑问。本发明将信任锚建立在物联网终端设备的网络通信链路上，该安全防护机制独立于物联网应用，不受物联网应用控制，通用性强，安全机制独特：

一、安全组网形态使物联网终端设备“隐身”于开放的网络，对其侦察难、攻击难，安全风险被有效隔离，感染传播路径被有效限制，特别是能有效阻止“僵尸网络”的建立和传染；

二、基于安全最小化原则，在对各物联网终端设备逐一防护的同时，也为网络安全主管部门提供了海量的网络安全态势监测控制点，对芯片、操作系统、应用层的后门、漏洞实现精准、实时发现，形成持续监测和处置响应能力；

三、自身的安全机制简单有效，降低因自身系统复杂而导入新安全风险的可能性，软硬件技术自主可控，从而把安全主动权牢牢掌握在自己手中。

本发明的特征及优点将通过实施例结合附图进行详细说明。

【附图说明】

图1是本发明的网络通信链路监控模组的框架图；

图2是本发明实施例一的方法框架图；

图3是本发明实施例二的方法框架图；

图4是本发明实施例三的方法框架图；

图5是本发明实施例一的方法的流程图。

【具体实施方式】

实施例一

参阅图1和图2本发明基于通信链路监控对物联网设备进行网络安全防护的方法，该方法基于一个网络通信链路监控模组10，所述网络通信链路监控模组10串联在物联网终端设备的网络通信链路上，功能和控制均独立于物联网设备自身的软硬件系统，所述网络通信链路监控模组10包括网络通信接口模块a1、终端设备通信接口模块b2和数据包安全监控模块c3，所述数据包安全监控模块c3负责对数据包进行合法性判断和处理，所述数据包安全监控模块c3通过网络通信接口模块a1与网络层通信连接，所述数据包安全监控模块c3通过终端设备通信接口模块b2与物联网终端设备的核心系统通信连接，该网络安全防护的方法通过以下方式实现：

所述网络通信链路监控模组10被串联在物联网终端设备与网络层通信的数据链路上，物联网终端设备与网络层的所有通信均需要通过网络通信链路监控模组10才能实现，所述数据包安全监控模块c3根据内置的规则对经过的数据包进行合法性判断和处理，合法的数据包可透明传输，不合法的数据包被阻截，从而基于通信链路监控对物联网终端设备实现网络通信安全防护功能，如图5所示。

进一步地，所述网络通信链路监控模组10的数据包安全监控模块c3可对经过的数据包进行解析，实施网络通信安全控制策略，所述网络通信安全控制策略包括防火墙、防病毒、入侵检测、身份认证和数据签名、数据包加解密、网络安全态势监测，根据应用场景、所防护物联网终端设备应用特性和安全要求的不同，数据包安全监控模块c3的安全控制策略采取上述安全技术中的一种或数种的组合。所述网络通信链路监控模组10的数据包安全监控模块c3可对异常通信数据包进行特征聚类、统计、缓存并通过网络上报至远程安全管理平台4，为管理者提供海量的态势采集数据。

实施例二

参阅图3，在实施例一的基础上，所述网络通信链路监控模组10的数据包安全监控模块c3还包括管理子模块31，所述管理子模块31与数据包安全监控模块c3通信连接，所述管理子模块31具备对数据包处理模块中的处理规则进行设置管理的功能，所述管理子模块31通过网络通信接口模块a1与远程安全管理平台4通信连接。

实施例三

参阅图4，在实施例二的基础上，所述网络通信链路监控模组10还包含配置拔位开关模块32，所述配置拔位开关模块32与数据包安全监控模块c3通信连接并控制数据包安全监控模块c3的设置模式，当配置拔位开关模块32的开关位于不同开关位时，安全监控模块c3的设置模式分别为不允许设置、仅允许本地设置和允许远程设置三种模式。

进一步地，所述网络通信链路监控模组10还包含本地配置接口模块33，所述本地配置接口模块33与安全监控模块c3通信连接，可对数据包过滤规则、不合规数据包处理和上报规则进行本地设置，所述本地配置接口模块包括但不限于uart接口、spi接口、iic接口或sdio接口。所述网络通信链路监控模组10的网络通信接口模块a1、终端设备通信接口模块b2的接口形式包括多种标准有线通信接口，以适用于不同的物联网终端设备有线接入方式。所述网络通信链路监控模组10用于无线组网的物联网终端设备时，所述终端设备通信接口模块b2与物联网设备串接接口的方式包括设备外设接口、芯片内置插槽，所述网络通信接口模块a1与无线通信协议通信接口的方式采用无线通信协议通信接口。

进一步地，所述网络通信链路监控模组10为芯片。所述网络通信链路监控模组10具有复用物联网设备核心系统的ip地址功能。

本发明将信任锚建立在物联网终端设备的网络通信链路上，该安全防护机制独立于物联网应用，不受物联网应用控制，通用性强，安全机制独特：安全组网形态使物联网终端设备“隐身”于开放的网络，对其侦察难、攻击难，安全风险被有效隔离，感染传播路径被有效限制，特别是能有效阻止“僵尸网络”的建立和传染；基于安全最小化原则，在对各物联网终端设备逐一防护的同时，也为网络安全主管部门提供了海量的网络安全态势监测控制点，对芯片、操作系统、应用层的后门、漏洞实现精准、实时发现，形成持续监测和处置响应能力；自身的安全机制简单有效，降低因自身系统复杂而导入新安全风险的可能性，软硬件技术自主可控，从而把安全主动权牢牢掌握在自己手中。

上述实施例是对本发明的说明，不是对本发明的限定，任何对本发明简单变换后的方案均属于本发明的保护范围。