本发明涉及车联网应用层安全防护技术领域,具体为一种车联网应用层安全防护系统。
背景技术:
车联网既是物联网在智能交通中的具体应用,也是物联网在经济建设方面的着陆点。实施车联网技术,需在汽车上安装传感设备、车载设备、通信模块,在辅助以移动通讯技术、汽车导航系统、智能终端设备、信息网络平台,让车辆与车辆之间,车辆与路边设备之间,车辆与驾驶员之间,车辆与应用平台之间,实现网络的全面覆盖,增强这几者的联系,并通过运用网络技术分析、处理、传输这几者产生的信息,及时有效地提供服务和策略。
车联网可被划分为三个部分。第一个部分为感知层,由车载终端设备和路边设施组成,主要负责采集车辆各个部分的信息。第二个部分是网络层,主要负责车辆与车辆之间,车辆与路边设备之间,车辆与驾驶员之间,车辆与应用平台之间的联系通信。第三个部分是应用层,主要负责将车辆的信息汇合,进行计算总结和监控管理。这三个部分各自有各自的功能,虽然负责的是不同的区域,但是这三个部分互相配合,互相补充,缺一不可。
目前我国的车联网技术尚不成熟,还潜藏着很多等待我们去解决的安全漏洞。其中,服务环境、服务接入和服务平台由应用层来保障安全,但是因为应用层的操作系统代码繁多,会存在一定的漏洞,另外,应用层系统庞大而复杂,单一的安全保护技术可能会无法保障应用层不受其他不良因素的侵害。
技术实现要素:
(一)解决的技术问题
针对现有技术的不足,本发明提供一种车联网应用层安全防护系统,以解决单一的安全保护技术无法保障车联网应用层不受其他不良因素的侵害的技术问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:
一种车联网应用层安全防护系统,包括部署在车联网应用层的抗ddos网关设备,部署在车联网应用层网络进出端口处的应用层代理防火墙系统和入侵检测系统;
抗ddos网关设备通过对异常流量进行精确检测,识别出攻击流量,并进行有效的阻断;
应用层代理防火墙系统在车联网网络的应用层实现协议过滤和转发功能,针对车联网的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,确定是否存在非法或违规的操作,并进行阻断;
入侵检测系统对车联网应用层传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施。
进一步的,所述应用层代理防火墙系统实现对应用层http、ftp、telnet、smtp、pop3等协议命令级的控制。
进一步的,所述车联网应用层安全防护系统还包括部署在车联网应用层的用户认证系统软件。
进一步的,所述用户认证系统对请求接入到车联网应用层进行访问的用户的身份进行安全认证,只有请求用户通过认证,应用层代理防火墙系统才允许其接入到车联网应用层进行访问。
(三)有益的技术效果
与现有技术相比,本发明具备以下有益的技术效果:
本发明通过在车联网应用层部署抗ddos网关设备,抗ddos网关设备保证了现有流量的实时分析和连接跟踪,以及最大程度的互操作性和可靠性,不仅实现对车联网应用层防护主机和业务服务器的安全防护,同时还实现对网络设备的安全防护,缩短骨干网接入链路攻击发现的时间,避免了在车联网应用层应用服务器遭受攻击瘫痪后才发现并处置的被动局面;
通过在车联网应用层网络进出端口处部署应用层代理防火墙系统和入侵检测系统,应用层代理防火墙系统执行内容过滤策略,实现对应用层http、ftp、telnet、smtp、pop3等协议命令级的控制,从而为车联网应用层系统提供更精准的安全性,入侵检测系统提供了对车联网应用层的外部攻击的实时保护,在车联网应用层的网络系统受到危害之前拦截和响应入侵;
通过在车联网应用层部署用户认证系统软件,当用户请求接入到车联网应用层进行访问时,只有请求用户通过用户认证系统对其身份的安全认证,应用层代理防火墙系统才允许其接入到车联网应用层进行访问;
从而解决了单一的安全保护技术无法保障车联网应用层不受其他不良因素的侵害的技术问题。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种车联网应用层安全防护系统,包括:部署在车联网应用层的抗ddos网关设备,部署在车联网应用层网络进出端口处的应用层代理防火墙系统和入侵检测系统,部署在车联网应用层的用户认证系统软件;
其中,ddos为分布式拒绝服务攻击;抗ddos网关设备通过对异常流量进行精确检测,识别出攻击流量,并进行有效的阻断;抗ddos网关设备保证了现有流量的实时分析和连接跟踪,以及最大程度的互操作性和可靠性,不仅实现对车联网应用层防护主机和业务服务器的安全防护,同时还实现对路由器、交换机等网络设备的安全防护,缩短骨干网接入链路攻击发现的时间,避免了在车联网应用层应用服务器遭受攻击瘫痪后才发现并处置的被动局面;
应用层代理防火墙系统在车联网网络的应用层实现协议过滤和转发功能,针对车联网的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、记录和统计,依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息进行判断,确定是否存在非法或违规的操作,并进行阻断,从而有效保障了车联网应用层的计算环境;并且应用层代理防火墙系统执行内容过滤策略,实现对应用层http、ftp、telnet、smtp、pop3等协议命令级的控制,从而为车联网应用层系统提供更精准的安全性;
入侵检测系统对车联网应用层传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施;
入侵检测系统是应用层代理防火墙系统的合理补充,帮助车联网应用层的应用系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了车联网应用层的安全基础结构的完整性,它从车联网应用层的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象,入侵检测系统是应用层代理防火墙系统之后的第二道安全闸门,在不影响车联网应用层的网络性能的情况下能对车联网应用层的网络进行监测,从而提供了对车联网应用层的外部攻击的实时保护,在车联网应用层的网络系统受到危害之前拦截和响应入侵;
当用户请求接入到车联网应用层进行访问时,只有请求用户通过用户认证系统对其身份的安全认证,应用层代理防火墙系统才允许其接入到车联网应用层进行访问;
进一步的,用户认证系统对请求接入到车联网应用层进行访问的用户的安全认证方法,具体包括以下步骤:
step1,请求接入到车联网应用层进行访问的用户在用户认证系统上进行注册,具体包括:
用户认证系统随机选择一个模数n,n为两个大素数之乘积;
用户选择k个不同的数v1,v2,…,vk,x2=vimodn有一个解,
step2,当用户请求接入到车联网应用层进行访问时,用户认证系统对用户的身份进行安全认证,具体的认证过程为:
①用户选取一个随机数r,r<n,并计算x=r2modn,并将x发送给用户认证系统;
②用户认证系统将一个k位随机二进制串b1,b2,…,bk发送给用户;
③用户计算
④用户认证系统验证
⑤重复执行这个协议t次,直至用户认证系统确信用户知道s1,s2,…,sk为止,即认证了用户的身份;
在请求接入到车联网应用层进行访问的用户的身份认证完成之后,用户认证系统只是知道用户的身份是否合法,其并不知道用户的私有秘钥串s1,s2,…,sk,也就是说用户在不泄露自己的私有秘钥串s1,s2,…,sk的前提下,完成了身份的安全认证,该认证方式显著地提高了认证过程的安全保密性能。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。