(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 201910672683.8
(22)申请日 2019.07.24
(71)申请人 武汉大学
地址 430072 湖北省武汉市武昌区珞珈山
武汉大学
(72)发明人 王鹃 郝世荣 樊成阳 于洋
杨泓远 张焕国
(74)专利代理机构 武汉科皓知识产权代理事务
所(特殊普通合伙) 42222
代理人 石超
(51)Int.Cl.
H04L 29/06(2006.01)
G06F 21/55(2013.01)
(54)发明名称
(57)摘要
本发明提供了能够实现物联网设备的安全
管理和自动化的安全防御的一种基于MiddleBox
的物联网虚拟安全设备,该系统包括:物联网设
备层、物联网控制层以及设置在物理设备层与物
联网控制层之间的虚拟MiddleBox层,其中,物理
制,虚拟MiddleBox层构建了至少一个虚拟安全
设备,虚拟安全设备与实体设备一一对应通信连
接;物理设备层的所有实体设备的进出的流量、
访问都会被转发到虚拟安全设备,如果虚拟安全
设备检测出安全威胁,虚拟安全设备可以根据预
置的安全策略进行自动化处理,对恶意访问进行
实时阻断;只有虚拟安全设备检测为安全时才将
访问数据转发给实体设备。权利要求书1页 说明书5页 附图3页CN 110505212 A 2019.11.26
C N 110505212
A
1.一种基于MiddleBox的物联网虚拟安全设备,其特征在于,包括:
物联网设备层、物联网控制层以及设置在所述物理设备层与所述物联网控制层之间的虚拟MiddleBox层,
其中,所述物理设备层通信连接有至少一个实体设备,
所述物联网控制层设有物联网控制器,用于对所述实体设备进行控制,
所述虚拟MiddleBox层构建了至少一个虚拟安全设备,所述虚拟安全设备与所述实体设备一一对应通信连接,每个所述虚拟安全设备用于对所述物联网控制器与对应的所述实体设备的通信内容进行安全管控。
2.根据权利要求1所述的一种基于MiddleBox的物联网虚拟安全设备,其特征在于:其中,所述虚拟安全设备至少包含:系统安全检测与防御模块、网络安全检测与防御模块、安全状态分析模块、安全策略管理模块、通信模块、设备固件以及QEMU模块。 3.根据权利要求2所述的一种基于MiddleBox的物联网虚拟安全设备,其特征在于:其中,所述系统安全检测与防御模块用于对整个物联网系统的漏洞进行检测与防御。
4.根据权利要求2所述的一种基于MiddleBox的物联网虚拟安全设备,其特征在于:其中,所述网络安全检测与防御模块通过分析物联网数据流进行网络层攻击行为的检测与防御,
该网络安全检测与防御模块构建了多个网络安全功能单元,至少包含:虚拟防火墙、IDS、IPS。
5.根据权利要求2所述的一种基于MiddleBox的物联网虚拟安全设备,其特征在于:其中,所述安全状态分析模块实时收集所述实体设备的网络状态和系统状态进行安全分析,并对所述实体设备的安全风险进行评估并调整安全策略,从而实现自动化防御。
6.根据权利要求2所述的一种基于MiddleBox的物联网虚拟安全设备,其特征在于:其中,所述通信模块用于所述虚拟安全设备与所述实体设备之间的通信以及所述虚拟安全设备与所述物联网控制器之间的通信。
7.根据权利要求2所述的一种基于MiddleBox的物联网虚拟安全设备,其特征在于:其中,所述虚拟安全设备具有可编程接口,通过编程实时生成新的安全功能。
8.根据权利要求1所述的一种基于MiddleBox的物联网虚拟安全设备,其特征在于:其中,所述物联网控制器为分布式部署,所述物联网控制器至少包含:虚拟MiddleBox 管理模块、网络流管理模块、安全策略管理模块以及网络监控模块。
9.根据权利要求8所述的一种基于MiddleBox的物联网虚拟安全设备,其特征在于:其中,所述安全策略管理模块负责策略的一致性和安全性检查,一旦发现策略冲突,则进行自动化解决,从而实现自动化策略防御。
10.根据权利要求8所述的一种基于MiddleBox的物联网虚拟安全设备,其特征在于:其中,所述虚拟MiddleBox层还构建了至少一个上下文感知控制器,与所述虚拟安全设备一一对应连接并且位于所述虚拟安全设备与所述物联网控制器之间,
当所述网络流管理模块检测到物联网数据流涉及到多个所述实体设备时,当前的物联网数据流将被发送到所述上下文感知监控器中进行检测,并基于对应的安全策略进行相应的处理。
权 利 要 求 书1/1页CN 110505212 A
一种基于MiddleBox的物联网虚拟安全设备
技术领域
[0001]本发明属于物联网技术领域,具体地涉及能够实现物联网设备的安全管理和自动化的安全防御的一种基于MiddleBox的物联网虚拟安全设备。
背景技术
[0002]由于物联网设备通常是资源受限的低功耗设备,传统的防御手段例如防病毒软件,防火墙难以被直接安装到设备系统上抵御安全威胁,使得物联网设备很容易成为被攻击和利用的目标。此外,目前大量遗留的物联网设备存在弱密码、硬编码和固件不可更新问题,使得物联网设备的安全管理成为亟需解决的难题。
[0003]Tianlong Yu等人指出传统的安全防御方法不能捕获物联网系统动态环境和跨设备交互信息等问题,应从安全策略抽象、攻击模型学习以及动态和上下文感知能力三个方面重新思考物联网安全问题。Cisco的物联网白皮书中也提出利用基于软件定义的框架模型来简化IoT管理过程。TONG XU等人提出了一种基于SDN的低成本智能安全机制(SSM)来抵御new-flow攻击。通过使用控制链路上的标准异步消息检测new-flow攻击,并将流量重定向到安全中间件,进而根据访问控制规则对攻击流进行拦截。Sivan
athan等人设计实现了一种基于流的低成本智能家居设备安全防御系统,该系统包括一个基于SDN的家庭网关和一个分析引擎,通过北向API和SDN控制器进行交互,将特定业务流镜像到分析引擎,进而主动监测物联网设备的网络活动。Dai W等通过定义IoT租户网络的功能和安全需求,提出基于SDN的安全IoT租户网络架构,从而解决IoT租户网络中管理员权限过大或滥用问题。[0004]由于物联网设备资源受限,固件更新比较困难,在其中安装安全分析工具是比较困难的。而虚拟化方式可以克服这一困难,可以利用虚拟安全功能进行物联网设备的安全状态检测和防御。然而,仅仅在虚拟安全功能实例上通过捕获数据包对网络流量、端口等进行检测仅能在网络层进行检测和防御,无法获得设备内部系统层的运行数据和安全状态,从而无法进行全系统的安全监控。
发明内容
[0005]本发明是为了解决上述问题而进行的,目的在于提供能够实现物联网设备的安全管理和自动化的安全防御的一种基于MiddleBox的物联网虚拟安全设备。
[0006]本发明提供了一种基于MiddleBox的物联网虚拟安全设备,其特征在于,包括:物联网设备层、物联网控制层以及设置在物理设备层与物联网控制层之间的虚拟MiddleBox 层,其中,物理设备层通信连接有至少一个实体设备,物联网控制层设有物联网控制器,用于对实体设备进行控制,虚拟MiddleBox层构建了至少一个虚拟安全设备,虚拟安全设备与实体设备一一对应通信连接,每个虚拟安全设备用于对物联网控制器与对应的实体设备的通信内容进行安全管控。
[0007]在本发明提供的一种基于MiddleBox的物联网虚拟安全设备中,还可以具有这样的特征,其中,虚拟安全设备至少包含:系统安全检测与防御模块、网络安全检测与防御模
块、安全状态分析模块、安全策略管理模块、通信模块、设备固件以及QEMU模块。
[0008]在本发明提供的一种基于MiddleBox的物联网虚拟安全设备中,还可以具有这样的特征,其中,系统安全检测与防御模块用于对整个物联网系统的漏洞进行检测与防御。[0009]在本发明提供的一种基于MiddleBox的物联网虚拟安全设备中,还可以具有这样的特征,其中,网络安全检测与防御模块通过分析物联网数据流进行网络层攻击行为的检测与防御,该网络安全检测与防御模块构建了多个网络安全功能单元,至少包含:虚拟防火墙、IDS、IPS。
[0010]在本发明提供的一种基于MiddleBox的物联网虚拟安全设备中,还可以具有这样的特征,其中,安全状态分析模块实时收集实体设备的网络状态和系统状态进行安全分析,并对实体设备的安全风险进行评估并调整安全策略,从而实现自动化防御。
[0011]在本发明提供的一种基于MiddleBox的物联网虚拟安全设备中,还可以具有这样的特征,其中,通信模块用于虚拟安全设备与实体设备之间的通信以及虚拟安全设备与物联网控制器之间的通信。
[0012]在本发明提供的一种基于MiddleBox的物联网虚拟安全设备中,还可以具有这样的特征,其中,虚拟安全设备具有可编程接口,通过编程实时生成新的安全功能。
[0013]在本发明提供的一种基于MiddleBox的物联网虚拟安全设备中,还可以具有这样的特征,其中,物联网控制器为分布式部署,物联网控制器至少包含:虚拟MiddleBox管理模块、网络流管理模块、安全策略管理模块以及网络监控模块。
[0014]在本发明提供的一种基于MiddleBox的物联网虚拟安全设备中,还可以具有这样的特征,其中,安全策略管理模块负责策略的一致性和安全性检查,一旦发现策略冲突,则进行自动化解决,从而实现自动化策略防御。
[0015]在本发明提供的一种基于MiddleBox的物联网虚拟安全设备中,还可以具有这样的特征,其中,虚拟MiddleBox层还构建了至少一个上下文感知控制器,与虚拟安全设备一一对应连接并且位于虚拟安全设备与物联网控制器之间,当网络流管理模块检测到物联网数据流涉及到多个实体设备时,当前的物联网数据流将被发送到上下文感知监控器中进行检测,并基于对应的安全策略进行相应的处理。
[0016]发明的作用与效果
[0017]根据本发明所涉及的一种基于MiddleBox的物联网虚拟安全设备,物理设备层的所有实体设备的进出的流量、访问都会被转发到虚拟安全设备,虚拟安全设备作为监控器,监控进出实体设备的流量,如果虚拟安全设备检测出安全威胁,虚拟安全设备可以根据预置的安全策略进行自动化处理,对恶意访问进行实时阻断;只有虚拟安全设备检测为安全时才将访问数据转发给实体设备;本发明的虚拟安全设备
基于MiddleBox构建各种虚拟安全功能,实时监控系统流量,获取物联网设备系统的安全状态,并实现自动化的安全防御,为物联网设备提供弹性、自适应、可感知的安全,实现物联网设备的动态安全管理。
附图说明
[0018]图1是本发明的实施例中一种基于MiddleBox的物联网虚拟安全设备的系统架构图。
[0019]图2是本发明的实施例中虚拟物联网设备图。
[0020]图3是本发明的实施例中一种基于MiddleBox的物联网虚拟安全设备的动作流程图。
具体实施方式
[0021]下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
[0022]<;实施例>
[0023]图1是本发明的实施例中一种基于MiddleBox的物联网虚拟安全设备的系统架构图。
[0024]如图1所示,在本实施例中,一种基于MiddleBox的物联网虚拟安全设备100包括:物联网设备层1
0、物联网控制层20以及设置在物理设备层与物联网控制层之间的虚拟MiddleBox层30。
[0025]物理设备层10主要指实体的物联网设备,其通信连接有六个实体设备11,实体设备也就是真实的物联网设备,这些设备可以通过MQTT、HTTP、COAP或TCP/IP等协议与虚拟MiddleBox层30通信。
[0026]物联网控制层20设有物联网控制器21,用于对所有的实体设备11进行控制。[0027]虚拟MiddleBox层30构建了六个虚拟安全设备31和六个上下文感知控制器32。六个虚拟安全设备31,一端与六个上下文感知控制器32一一对应连接,另一端与六个实体设备11一一对应通信连接,每个虚拟安全设备31用于对物联网控制器21与对应的实体设备11的通信内容进行安全管控。
[0028]如图1所示,物联网控制器21为分布式部署,以防止集中管理带来的单点故障等问题。物联网控制器21至少包含:虚拟MiddleBox管理模块22、网络流管理模块23、安全策略管理模块24以及网络监控模块25。物联网控制器21负责管理和监控所有的虚拟安全设备31,并为每个虚拟安全设备31进行安全策略管理、流量管理,从而达到网络监控的目的。每个实体设备11都有一个基于MiddleBox的虚拟安全设备31。
[0029]在本实施例中,六个虚拟安全设备31和六个上下文感知控制器32的结构与功能完全相同,仅对应的物联网设备层10中所连接的实体设备有可能不同,这里仅对其中一个虚拟安全设备31和一个上下文感知控制器32进行详细说,省略对其它五个虚拟安全设备31的详细说明。
[0030]图2是本发明的实施例中虚拟物联网设备图。
[0031]如图2所示,每个虚拟安全设备31至少包含:系统安全检测与防御模块311、网络安全检测与防御模块312、安全状态分析模块313、安全策略管理模块314、通信模块315、设备固件316以及QEMU模块317。
[0032]系统安全检测与防御模块311用于对整个物联网系统的漏洞进行检测与防御。[0033]网络安全检测与防御模块312通过分析物联网数据流进行网络层攻击行为的检测与防御,该网络安全检测与防御模块构建了多个网络安全功能单元,至少包含:虚拟防火墙、IDS、IPS,从而检测网络层的攻击行为并进行防御。
[0034]安全状态分析模块313实时收集实体设备的网络状态和系统状态进行安全分析,并对实体设备的安全风险进行评估并调整安全策略,从而实现自动化防御。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议