本发明涉及物联网设备管理,具体为基于信创环境下的物联网设备安全管理方法、系统、设备和介质。
背景技术:
1、各类物联网设备之间的数据交换频繁且复杂,传统的物联网设备安全管理多依赖于集中式的身份认证与安全策略,但这种方式在应对分布式、大规模设备网络时存在局限,尤其在设备出现异常或需要进行生命周期管理时,其响应机制往往不够灵活有效。
2、在物联网系统中,设备的身份认证是确保设备安全性和合法性的首要步骤。然而,随着物联网设备数量的增加,如何有效管理设备的注册、认证、以及设备间的信任关系变得日益复杂。现有技术通常基于静态的身份认证和固定的安全策略,难以满足物联网设备动态变化的需求。
3、此外,物联网设备由于存在使用寿命,往往需要在其生命周期终结时进行安全退出。然而,传统的设备管理方案通常缺乏对设备生命周期的有效管理,尤其是在设备即将退出网络时,如何确保数据的安全删除、身份的合法注销,以及防止设备在生命周期终结后重新进入网络,是现有物联网设备管理方案中未能充分解决的挑战。
技术实现思路
1、鉴于上述存在的问题,提出了本发明。
2、因此,本发明解决的技术问题是:现有的物联网设备安全管理方法存在无法有效应对设备的认证失效和异常状态的识别与处理,且在设备生命周期终结时缺乏安全的数据清除与身份注销机制,以及如何在设备异常时实现基于信任链验证的协同防御优化问题。
3、为解决上述技术问题,本发明提供如下技术方案:一种基于信创环境下的物联网设备安全管理方法,包括:
4、在信创环境下基于设备的硬件标识和数字证书,进行设备的初始注册,生成唯一身份标识符,并配置安全策略;
5、基于设备的注册信息和实时行为数据,进行动态身份认证,认证通过后,设备获得操作权限并进入网络;
6、在设备通过动态身份认证后进行信任链验证,通过与其他设备的分布式验证建立信任链,更新设备的信任等级;
7、根据信任链验证结果,更新设备的安全策略,对设备的数据进行加密处理,进行数据传输;
8、当检测到设备异常或认证失效时,基于信任链验证结果,触发协同防御机制,周边设备接管功能并执行容错处理;
9、在触发协同防御机制时,判断异常或认证失效设备是否达到生命周期终点,对达到终点的设备执行数据清除和身份注销操作。
10、作为本发明所述的基于信创环境下的物联网设备安全管理方法的一种优选方案,其中:所述进行设备的初始注册包括基于设备的硬件标识,使用国密算法生成设备的密钥对,所述密钥对包括公钥和私钥;
11、设备的公钥和硬件标识符通过国密算法进行加密,生成数字证书,所述数字证书包括设备的公钥、硬件标识符以及签发机构的信息;
12、当生成数字证书后,设备使用私钥对自身的硬件标识符进行数字签名,生成唯一身份标识符;
13、当接收到设备的唯一身份标识符后,基于设备的注册信息,配置设备的初始安全策略,配置完成后,设备进入信创网络。
14、作为本发明所述的基于信创环境下的物联网设备安全管理方法的一种优选方案,其中:所述初始安全策略包括网络访问权限、数据加密等级以及设备行为约束条件;
15、所述进行动态身份认证包括设备的唯一身份标识符通过国密算法加密,与设备的实时行为数据一同传输至认证服务器;
16、认证服务器接收到加密的唯一身份标识符后,通过唯一身份标识符识别设备,并进入动态身份认证过程;
17、将实时行为数据与设备的初始安全策略进行匹配,判断设备的当前行为是否符合初始安全策略;
18、若符合,判定设备处于正常状态,设备根据初始安全策略获得网络操作权限;若不符合,拒绝设备的操作权限,阻止设备访问网络资源,并记录设备的异常行为。
19、作为本发明所述的基于信创环境下的物联网设备安全管理方法的一种优选方案,其中:所述建立信任链包括当设备通过动态身份认证后,设备将其认证结果和唯一身份标识符通过国密算法加密,发送至信创网络中的预定义数量的分布式节点,发起信任链验证请求;
20、分布式节点接收到验证请求后,通过唯一身份标识符识别设备,并在分布式账本中查询设备的历史认证状态、交互记录和历史信任等级;
21、分布式节点对当前认证结果和历史数据进行比对,确认设备的行为是否符合网络的信任标准,每个分布式节点独立进行验证,并生成验证结果;
22、分布式节点将验证结果反馈给设备,使用数字签名对其验证结果进行加密;
23、设备接收到达到预设验证阈值的分布式节点反馈,形成信任链;
24、根据信任链的验证结果,设备的信任等级动态更新,更新后的信任等级存储在分布式账本中。
25、作为本发明所述的基于信创环境下的物联网设备安全管理方法的一种优选方案,其中:所述更新设备的安全策略包括根据信任链验证结果,将设备确定为一级信任设备、二级信任设备或三级信任设备;
26、若确定为一级信任设备,网络访问权限允许访问设备预先授权的网络资源,数据加密使用国密算法,密钥的更新周期为预设的第一周期;
27、若确定为二级信任设备,设备的网络访问权限仅允许访问指定的网络资源,数据加密使用国密算法,密钥的更新周期为预设的第二周期;
28、若确定为三级信任设备,设备的网络访问权限限制为基础网络资源,数据加密使用国密算法,密钥的更新周期为预设的第三周期,数据传输前执行完整性校验。
29、作为本发明所述的基于信创环境下的物联网设备安全管理方法的一种优选方案,其中:所述进行数据传输包括基于设备传输参数分析传输状态,当设备传输参数小于传输阈值时,判断为设备异常;当数字证书或密钥状态异常时,判断为认证失效。
30、作为本发明所述的基于信创环境下的物联网设备安全管理方法的一种优选方案,其中:所述对达到终点的设备执行数据清除和身份注销操作包括通过交叉分析设备的使用时长、状态记录以及认证信息状态,确定设备是否已经达到生命周期终点;
31、当设备判定达到生命周期终点后,启动数据清除操作,采用国密算法执行数据清除;
32、当数据清除完成后,执行设备的身份注销操作,向设备的签发机构发送数字证书撤销请求,将设备的唯一身份标识符从分布式账本中删除,将注销状态通过分布式账本同步至信创网络中的所有节点,生成并存储设备生命周期终结的操作记录。
33、本发明的另外一个目的是提供一种基于信创环境下的物联网设备安全管理系统,其能通过构建动态身份认证和信任链验证相结合的物联网设备管理系统,解决了现有方法中的设备认证信息失效无法及时发现、设备异常无法触发高效协同防御机制,以及设备生命周期终结后数据残留和身份未注销的安全隐患问题。
34、为解决上述技术问题,本发明提供如下技术方案:一种基于信创环境下的物联网设备安全管理系统,包括:设备注册模块、设备认证模块、信任验证模块、策略更新模块、协同防御模块以及数据清除模块;所述设备注册模块用于在信创环境下基于设备的硬件标识和数字证书,进行设备的初始注册,生成唯一身份标识符,并配置安全策略;所述设备认证模块用于基于设备的注册信息和实时行为数据,进行动态身份认证,认证通过后,设备获得操作权限并进入网络;所述信任验证模块用于在设备通过动态身份认证后进行信任链验证,通过与其他设备的分布式验证建立信任链,更新设备的信任等级;所述策略更新模块用于根据信任链验证结果,更新设备的安全策略,对设备的数据进行加密处理,进行数据传输;所述协同防御模块用于当检测到设备异常或认证失效时,基于信任链验证结果,触发协同防御机制,周边设备接管功能并执行容错处理;所述数据清除模块用于在触发协同防御机制时,判断异常或认证失效设备是否达到生命周期终点,对达到终点的设备执行数据清除和身份注销操作。
35、一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如上所述基于信创环境下的物联网设备安全管理方法的步骤。
36、一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述基于信创环境下的物联网设备安全管理方法的步骤。
37、本发明的有益效果:本发明提供的基于信创环境下的物联网设备安全管理方法通过动态身份认证和实时行为数据匹配,提高了设备认证的准确性,能够及时识别异常行为和认证失效,防止未经授权的设备接入网络。信任链验证可以根据设备的历史行为和认证结果动态调整信任等级,使得设备的信任管理更加灵活和安全。在设备出现异常或认证失效时,协同防御机制会触发高信任等级的设备接管任务,保证数据传输不中断,提升容错能力。在设备生命周期结束时,通过国密算法清除数据,并通过分布式账本注销设备身份,确保设备不能重新接入网络。
1.基于信创环境下的物联网设备安全管理方法,其特征在于,包括:
2.如权利要求1所述的基于信创环境下的物联网设备安全管理方法,其特征在于:所述进行设备的初始注册包括基于设备的硬件标识,使用国密算法生成设备的密钥对,所述密钥对包括公钥和私钥;
3.如权利要求2所述的基于信创环境下的物联网设备安全管理方法,其特征在于:所述初始安全策略包括网络访问权限、数据加密等级以及设备行为约束条件;
4.如权利要求3所述的基于信创环境下的物联网设备安全管理方法,其特征在于:所述建立信任链包括当设备通过动态身份认证后,设备将其认证结果和唯一身份标识符通过国密算法加密,发送至信创网络中的预定义数量的分布式节点,发起信任链验证请求;
5.如权利要求4所述的基于信创环境下的物联网设备安全管理方法,其特征在于:所述更新设备的安全策略包括根据信任链验证结果,将设备确定为一级信任设备、二级信任设备或三级信任设备;
6.如权利要求5所述的基于信创环境下的物联网设备安全管理方法,其特征在于:所述进行数据传输包括基于设备传输参数分析传输状态,当设备传输参数小于传输阈值时,判断为设备异常;当数字证书或密钥状态异常时,判断为认证失效。
7.如权利要求6所述的基于信创环境下的物联网设备安全管理方法,其特征在于:所述对达到终点的设备执行数据清除和身份注销操作包括通过交叉分析设备的使用时长、状态记录以及认证信息状态,确定设备是否已经达到生命周期终点;
8.一种采用如权利要求1~7任一所述的基于信创环境下的物联网设备安全管理方法的系统,其特征在于,包括:设备注册模块(100)、设备认证模块(200)、信任验证模块(300)、策略更新模块(400)、协同防御模块(500)以及数据清除模块(600);
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的基于信创环境下的物联网设备安全管理方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的基于信创环境下的物联网设备安全管理方法的步骤。
