[发明专利]基于通信链路监控对物联网设备进行网络安全防护的方法

说明书

本发明提出了一种基于通信链路监控对物联网设备进行网络安全防护的方法，该方法基于一个网络通信链路监控模组，所述网络通信链路监控模组串联在物联网终端设备的网络通信链路上，功能和控制均独立于物联网设备自身的软硬件系统，所述网络通信链路监控模组被串联在物联网终端设备与网络层通信的数据链路上，物联网终端设备与网络层的所有通信均需要通过网络通信链路监控模组，数据包安全监控模块C根据内置的规则对经过的数据包进行合法性判断和处理，合法的数据包可透明传输，不合法的数据包被阻截。本发明将信任锚建立在物联网终端设备的网络通信链路上，该安全防护机制独立于物联网应用，不受物联网应用控制，通用性强，安全机制独特。

【技术领域】

本发明涉及网络安全防护的技术领域，特别涉及一种基于通信链路监控对物联网设备进行网络安全防护的方法。

【背景技术】

随着物联网产业迅猛发展，其安全也面临着严峻的挑战。特别是物联网设备联网规模激增，加强终端网络安全防护的安全需求也更加紧迫。当前，终端设备的防护思路仍然主要沿用传统互联网安全思维，普遍的做法是基于物联网设备自身的软硬件系统，将适用于互联网终端的认证、防火墙、防病毒、数据加密等技术直接移植到物联网终端系统内，技术思路和防护方法没有针对物联网应用的特点进行设计，不能有效解决以下物联网终端设备的安全防护问题：

一、海量终端设备暴露在互联网上，物联网系统的攻击面持续扩大；

二、终端设备制造商安全背景不一，设备本身可能存在内置的后门和漏洞，产品及其供应链是否安全缺乏标准参考；

三、一些设备自身缺乏安全设计，且在复杂应用环境中面临新安全风险，一旦物联网终端设备系统被攻破，会使整个防护系统失效。要从根本上解决这些问题，需要创新思维，针对物联网应用特点提出新的对终端设备网络通信安全防护的思路。

因此，为了有效可行地解决大量物联网设备的网络安全防护问题，有必要提出一种基于通信链路监控对物联网设备进行网络安全防护的方法。

【发明内容】

本发明的目的就是解决现有技术中的问题，提出基于通信链路监控对物联网设备进行网络安全防护的方法，能够有效地解决大量物联网设备的网络安全防护问题。

为实现上述目的，本发明提出了基于通信链路监控对物联网设备进行网络安全防护的方法，该方法基于一个网络通信链路监控模组，所述网络通信链路监控模组串联在物联网终端设备的网络通信链路上，功能和控制均独立于物联网设备自身的软硬件系统，所述网络通信链路监控模组包括网络通信接口模块A、终端设备通信接口模块B和数据包安全监控模块C，所述数据包安全监控模块C负责对数据包进行合法性判断和处理，所述数据包安全监控模块C通过网络通信接口模块A与网络层通信连接，所述数据包安全监控模块C通过终端设备通信接口模块B与物联网终端设备的核心系统通信连接，该网络安全防护的方法通过以下方式实现：

所述网络通信链路监控模组被串联在物联网终端设备与网络层通信的数据链路上，物联网终端设备与网络层的所有通信均需要通过网络通信链路监控模组才能实现，所述数据包安全监控模块C根据内置的规则对经过的数据包进行合法性判断和处理，合法的数据包可透明传输，不合法的数据包被阻截，从而基于通信链路监控对物联网终端设备实现网络通信安全防护功能。

作为优选，所述网络通信链路监控模组的数据包安全监控模块C可对经过的数据包进行解析，实施网络通信安全控制策略，所述网络通信安全控制策略包括防火墙、防病毒、入侵检测、身份认证和数据签名、数据包加解密、网络安全态势监测，根据应用场景、所防护物联网终端设备应用特性和安全要求的不同，数据包安全监控模块C的安全控制策略采取上述安全技术中的一种或数种的组合。

作为优选，所述网络通信链路监控模组的数据包安全监控模块C可对异常通信数据包进行特征聚类、统计、缓存并通过网络上报至远程安全管理平台，为管理者提供海量的态势采集数据。