技術(shù)領(lǐng)域

本發(fā)明涉及物聯(lián)網(wǎng)安全技術(shù)，具體涉及一種面向智能終端的物聯(lián)網(wǎng)安全防御系統(tǒng)。

背景技術(shù)

隨著移動互聯(lián)網(wǎng)技術(shù)迅猛發(fā)展，移動互聯(lián)網(wǎng)終端特別是智能終端開始廣泛地進(jìn)入千家萬戶，智能電視、智能冰箱、智能空調(diào)、智能網(wǎng)關(guān)、智能家居、互聯(lián)網(wǎng)汽車、機(jī)器人等滲透到人們生活的方方面面，安全問題也逐漸成為社會和設(shè)備廠商普遍關(guān)注的課題。

在當(dāng)前的主流智能終端交互方案中，普遍采用基于云端服務(wù)的方式，實(shí)現(xiàn)人機(jī)遠(yuǎn)程控制與交互，因此，云端服務(wù)的安全性成為整個技術(shù)方案的木桶短板，一旦云端服務(wù)遭到攻擊，輕則造成服務(wù)崩潰、數(shù)據(jù)泄露，重則機(jī)毀人亡，釀成重大安全事故。如何保護(hù)云服務(wù)的安全，成為整個智能終端解決方案的關(guān)鍵技術(shù)要點(diǎn)。本申請有必要提出一種面向智能終端的物聯(lián)網(wǎng)安全防御系統(tǒng)。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是：提出一種面向智能終端的物聯(lián)網(wǎng)安全防御系統(tǒng)，確保智能終端云服務(wù)運(yùn)行可靠、安全可控。

本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是：

一種面向智能終端的物聯(lián)網(wǎng)安全防御系統(tǒng)，包括部署于云服務(wù)前端的物聯(lián)網(wǎng)安全網(wǎng)關(guān)，所述物聯(lián)網(wǎng)安全網(wǎng)關(guān)包括云服務(wù)管理模塊、接入終端管理模塊、身份認(rèn)證模塊及安全策略庫；

所述云服務(wù)管理模塊提供對所有開放的云服務(wù)的注冊和管理功能；

所述接入終端管理模塊提供對接入終端的注冊和管理功能；

所述身份認(rèn)證模塊用于在接收到終端訪問云服務(wù)的請求后驗(yàn)證終端的合法性；

所述安全策略庫提供相應(yīng)的安全策略，用于在終端請求合法性驗(yàn)證通過后提供安全檢測和網(wǎng)絡(luò)流量分析功能。

作為進(jìn)一步優(yōu)化，所述安全策略庫包括：IP黑名單模塊、敏感詞模塊、攻擊特征模塊；

所述IP黑名單模塊用于提供IP黑名單管理，被加入黑名單中的IP在向云服務(wù)發(fā)送請求時會被物聯(lián)網(wǎng)安全網(wǎng)關(guān)自動過濾；

所述敏感詞模塊用于提供敏感詞管理，安全網(wǎng)關(guān)在檢測到請求中的敏感詞時，自動過濾該請求并向終端反饋請求中含非法信息的提示信息；

所述攻擊特征模塊用于提供攻擊特征管理，安全網(wǎng)關(guān)在檢測請求數(shù)據(jù)時匹配攻擊特征，若匹配成功則判定為攻擊行為，則進(jìn)行攻擊預(yù)警并過濾該請求，同時將發(fā)送請求的對應(yīng)IP加入IP黑名單中。

作為進(jìn)一步優(yōu)化，接入終端管理模塊還用于在注冊通過后，為該終端分配唯一的終端標(biāo)識以及終端證書，同時，終端開發(fā)者可下載網(wǎng)關(guān)SDK以及開發(fā)者手冊，開發(fā)者手冊中詳細(xì)說明服務(wù)代碼、服務(wù)參數(shù)以及接入規(guī)范。

作為進(jìn)一步優(yōu)化，所述網(wǎng)關(guān)SDK用于供終端通過網(wǎng)關(guān)SDK的管道接口建立HTTP/HTTPS安全通道，之后終端通過服務(wù)代碼訪問云端服務(wù)。

作為進(jìn)一步優(yōu)化，所述身份認(rèn)證模塊用于在接收到終端訪問云服務(wù)的請求后根據(jù)訪問票據(jù)驗(yàn)證終端的合法性，所述訪問票據(jù)包括終端標(biāo)識及服務(wù)代碼。

作為進(jìn)一步優(yōu)化，所述IP黑名單模塊管理的IP黑名單包括：

用戶手動設(shè)置的IP黑名單及安全網(wǎng)關(guān)檢測到的單位時間內(nèi)流量異常而自動添加的IP黑名單，其中對于安全網(wǎng)關(guān)自動加入的IP黑名單在鎖定一定時間后自動解除黑名單限制。

本發(fā)明的有益效果是：本發(fā)明提出的物聯(lián)網(wǎng)安全網(wǎng)關(guān)系統(tǒng)是一套完善的物聯(lián)網(wǎng)安全防御方案，其通過身份認(rèn)證、IP黑名單過濾、敏感詞過濾以及攻擊特征庫過濾，可有效保護(hù)物聯(lián)網(wǎng)云服務(wù)的安全，有效抵御網(wǎng)絡(luò)滲透以及網(wǎng)絡(luò)攻擊行為，同時，通過高可用的安全部署實(shí)施，可真正確保物聯(lián)網(wǎng)云服務(wù)運(yùn)行可靠，安全可控。

附圖說明

圖1為本發(fā)明實(shí)施例中的物聯(lián)網(wǎng)安全網(wǎng)關(guān)對流量處理的流程圖。

具體實(shí)施方式

本發(fā)明旨在提出一種面向智能終端的物聯(lián)網(wǎng)安全防御系統(tǒng)，確保智能終端云服務(wù)運(yùn)行可靠、安全可控。本發(fā)明中的物聯(lián)網(wǎng)安全防御系統(tǒng)的實(shí)現(xiàn)要點(diǎn)包括：

(1)將物聯(lián)網(wǎng)安全網(wǎng)關(guān)部署在云服務(wù)前端，所有開放的云服務(wù)需要在安全網(wǎng)關(guān)中進(jìn)行注冊和管理。

(2)訪問云服務(wù)的終端業(yè)務(wù)，需要在安全網(wǎng)關(guān)中進(jìn)行注冊和管理，同時，明確該終端業(yè)務(wù)能夠訪問的云服務(wù)權(quán)限范圍以及終端證書。

(3)終端接入審批通過后，為該終端分配唯一的終端標(biāo)識APPKey，以及終端證書，同時，終端開發(fā)者可下載網(wǎng)關(guān)SDK以及開發(fā)者手冊，開發(fā)者手冊中會詳細(xì)說明服務(wù)代碼、服務(wù)參數(shù)以及接入規(guī)范等。

(4)終端通過網(wǎng)關(guān)SDK的管道接口，建立HTTP/HTTPS安全通道，通過服務(wù)代碼訪問云端服務(wù)。