專利名稱：云計算模式物聯(lián)網(wǎng)平臺數(shù)據(jù)處理安全保護方法
技術(shù)領(lǐng)域：
本發(fā)明涉及云計算模式下物聯(lián)網(wǎng)安全領(lǐng)域，或涉及物聯(lián)網(wǎng)應(yīng)用平臺中數(shù)據(jù)處理層的數(shù)據(jù)安全匯集、數(shù)據(jù)安全監(jiān)測、異常數(shù)據(jù)及影響的安全控制，具體地說是一種云計算模式物聯(lián)網(wǎng)平臺數(shù)據(jù)處理安全保護方法。
背景技術(shù)：
安全問題嚴(yán)重影響著物聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展。物聯(lián)網(wǎng)的安全問題涉及到傳感節(jié)點、感知接入、網(wǎng)絡(luò)傳輸、數(shù)據(jù)處理和應(yīng)用各個層面。特別是為解決復(fù)雜的海量數(shù)據(jù)和種類繁多的 應(yīng)用而引入智能化和云計算技術(shù)以后，其中數(shù)據(jù)處理層的安全保護尤為困難。物聯(lián)網(wǎng)數(shù)據(jù)處理層的重要特征是智能化，智能化技術(shù)實現(xiàn)了自動處理，使處理過程方便迅速。但自動過程對惡意數(shù)據(jù)和惡意指令信息的判斷能力有限，僅限于按照一定規(guī)則進行過濾和判斷，攻擊者很容易避開這些規(guī)則。數(shù)據(jù)處理層的安全問題包括來自超大量終端的海量數(shù)據(jù)的安全識別和處理；自動處理能力的有限性導(dǎo)致的異常失控；災(zāi)難控制和恢復(fù)等。物聯(lián)網(wǎng)平臺必須對海量的不同性質(zhì)的數(shù)據(jù)分類處理、對加密形式的數(shù)據(jù)進行識別認證。如何對這些海量加密數(shù)據(jù)快速有效地處理是智能處理面臨的重大挑戰(zhàn)。另ー方面，物聯(lián)網(wǎng)智能處理雖然可有效識別處理惡意數(shù)據(jù)和指令，但失誤總是難免的，即使失誤概率非常低，但由于處理的數(shù)據(jù)量非常龐大，因此失誤的情況還會很多。在處理發(fā)生失誤而使攻擊者攻擊成功后，如何將攻擊所造成的危害降低到最小限度，并盡快從災(zāi)難中恢復(fù)到正常工作狀態(tài)，是智能處理層的又一重要問題。與此同時，云計算技術(shù)雖然能夠有效地解決物聯(lián)網(wǎng)海量數(shù)據(jù)、繁多的應(yīng)用類型、以及不斷增長的應(yīng)用需求等問題，但也帶來了新的數(shù)據(jù)安全問題，比如虛擬機(各種物聯(lián)網(wǎng)應(yīng)用程序的虛擬環(huán)境)的數(shù)據(jù)載入、數(shù)據(jù)存儲等方面的安全問題。因此業(yè)界一直大力尋求解決物應(yīng)用平臺數(shù)據(jù)處理的安全保護問題。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種云計算模式物聯(lián)網(wǎng)平臺數(shù)據(jù)處理安全保護方法。本發(fā)明的目的是按以下方式實現(xiàn)的，包括內(nèi)容如下
1)云計算模式物聯(lián)網(wǎng)數(shù)據(jù)處理層安全保護方法
根據(jù)云計算模式物聯(lián)網(wǎng)平臺數(shù)據(jù)處理過程，將數(shù)據(jù)處理分為數(shù)據(jù)匯集(匯集來經(jīng)網(wǎng)絡(luò)傳來的各種感知數(shù)據(jù))、虛擬機數(shù)據(jù)分類載入、數(shù)據(jù)處理和數(shù)據(jù)服務(wù)四個環(huán)節(jié)。相應(yīng)的安全保護功能分為三個層面針對數(shù)據(jù)匯集和數(shù)據(jù)分類載入的加密認證(加密認證方式根據(jù)物聯(lián)網(wǎng)系統(tǒng)確定)、基于數(shù)據(jù)特征和行為語義的監(jiān)測分析、異常數(shù)據(jù)及影響控制。
2)分層安全保護原理
a)加密認證層首先對來自各種傳輸和感知網(wǎng)絡(luò)的數(shù)據(jù)(其中很多被加密)進行認證，濾除哪些不合規(guī)的數(shù)據(jù)；
b)對于形式上通過認證的數(shù)據(jù)進行分類，井根據(jù)數(shù)據(jù)的目標(biāo)地址確定數(shù)據(jù)的宿主虛擬機及虛擬存儲空間。如果虛擬機設(shè)定了數(shù)據(jù)匹配密碼，則要進ー步實施數(shù)據(jù)匹配認證。然后將通過匹配確認的數(shù)據(jù)載入相應(yīng)的虛擬機；
c)數(shù)據(jù)處理功能模塊對載入虛擬機的數(shù)據(jù)進行各種處理，包括解析、校驗、糾錯、整合、識別、存儲等。此時安全保護體系中的行為監(jiān)測功能(內(nèi)置監(jiān)測分析用的分類數(shù)據(jù)流模板、數(shù)據(jù)關(guān)聯(lián)行為特征模板、關(guān)鍵數(shù)據(jù)臨界值)對數(shù)據(jù)處理過程和結(jié)果進行監(jiān)測、統(tǒng)計，分析相關(guān)的數(shù)據(jù)流特征、評估數(shù)據(jù)可能引發(fā)的操作行為、判斷數(shù)據(jù)是否超過臨界值，從中發(fā)現(xiàn)不合規(guī)的異常數(shù)據(jù)一這些“危險”的數(shù)據(jù)可能是由于傳感錯誤或傳輸錯誤引起的，也可能是黑客、木馬、DOS等非法攻擊造成，很可能造成各種有害的關(guān)聯(lián)操作或結(jié)果，必須加以控制；
d)通過數(shù)據(jù)行為監(jiān)測層發(fā)現(xiàn)的“危險”數(shù)據(jù)，由異常監(jiān)控模塊實施管控。對于有可能造成為何操作的數(shù)據(jù)實施強制性訪問控制或銷毀，并給相關(guān)程序或系統(tǒng)發(fā)出告警；對于異常數(shù)據(jù)流發(fā)出告警并通知相關(guān)模塊或系統(tǒng)；對于受到其他不確定的異常數(shù)據(jù)實施訪問控制并發(fā)出告警。本發(fā)明的優(yōu)異效果
本發(fā)明特別適用于云計算模式物聯(lián)網(wǎng)平臺的數(shù)據(jù)處理層的安全保護，能夠比較完善的識別過濾傳送到物聯(lián)網(wǎng)平臺信息處理層的垃圾數(shù)據(jù)、非法攻擊數(shù)據(jù)和干擾數(shù)據(jù)，保證數(shù)據(jù)的合法性。在此基礎(chǔ)上，通過對數(shù)據(jù)處理過程和結(jié)果的特征分析，發(fā)現(xiàn)各種有害的異常數(shù)據(jù)，進而對相關(guān)有害影響實施安全控制、危害管理和災(zāi)難恢復(fù)。本發(fā)明可與感知層、網(wǎng)絡(luò)成和應(yīng)用層的安全技術(shù)相結(jié)合，構(gòu)成完善的云模式物聯(lián)網(wǎng)安全保護體系。


圖I是云計算模式物聯(lián)網(wǎng)數(shù)據(jù)處理層安全保護體系架構(gòu)圖。
具體實施例方式參照說明書附圖對本發(fā)明的方法作以下詳細地說明。本發(fā)明提出了一套針對云計算模式物聯(lián)網(wǎng)應(yīng)用平臺數(shù)據(jù)處理層的安全保護體系，從物聯(lián)網(wǎng)數(shù)據(jù)匯集、數(shù)據(jù)到應(yīng)用程序虛擬機的分類載入、數(shù)據(jù)智能處理、數(shù)據(jù)服務(wù)各環(huán)節(jié)分別實施加密認證、虛擬機數(shù)據(jù)匹配審查、數(shù)據(jù)行為特征和語義特征的監(jiān)測、數(shù)據(jù)服務(wù)的訪問控制以及危險數(shù)據(jù)的影響控制等措施，對整個數(shù)據(jù)處理進行全程安全保護，從而有效地解決可能出現(xiàn)在數(shù)據(jù)處理層面的安全問題，為物聯(lián)網(wǎng)應(yīng)用層提供安全可靠的數(shù)據(jù)保障。實施例
本發(fā)明涉及的有關(guān)物聯(lián)網(wǎng)平臺數(shù)據(jù)的加密認證、行為分析、異?？刂迫齻€層面的安全保護功能，可以采用ニ種實現(xiàn)模式(1)開發(fā)成相應(yīng)的安全組件植入物聯(lián)網(wǎng)數(shù)據(jù)處理層實施安全保護。這種模式需要對每ー種物聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)處理層分別植入專門的安全組件。
(2)開發(fā)公用的安全子模塊系統(tǒng)配置到物聯(lián)網(wǎng)應(yīng)用平臺中，獨于各物聯(lián)網(wǎng)數(shù)據(jù)處理模塊之夕卜，統(tǒng)ー對各種物聯(lián)網(wǎng)應(yīng)用程序虛擬機的數(shù)據(jù)處理過程進行安全保護。當(dāng)沒有外部獨立的安全管理中心時，也可通過SSR和物聯(lián)網(wǎng)平臺程序運行監(jiān)控管理系統(tǒng)實施對程序運行合法性的動態(tài)安全認證，此時雖然沒有外部安全管理中心參入的交叉認證，但仍能保持很高的安全保護強度。除說明書所述的技術(shù)特征外，均為本專業(yè)技術(shù)人員的已知技術(shù)。
權(quán)利要求
1..云計算模式物聯(lián)網(wǎng)平臺數(shù)據(jù)處理安全保護方法，其特征在于包括內(nèi)容如下 1)云計算模式物聯(lián)網(wǎng)數(shù)據(jù)處理層安全保護方法，是根據(jù)云計算模式物聯(lián)網(wǎng)平臺數(shù)據(jù)處理過程，將數(shù)據(jù)處理分為數(shù)據(jù)匯集、虛擬機數(shù)據(jù)分類載入、數(shù)據(jù)處理和數(shù)據(jù)服務(wù)四個環(huán)節(jié)的安全保護功能分為三個層面針對數(shù)據(jù)匯集和數(shù)據(jù)分類載入的加密認證、基于數(shù)據(jù)特征和行為語義的監(jiān)測分析、異常數(shù)據(jù)及影響控制； 2)分層安全保護方法，包括 a)加密認證層首先對來自各種傳輸和感知網(wǎng)絡(luò)的數(shù)據(jù)進行認證，濾除那些不合規(guī)的數(shù)據(jù)； b)對于形式上通過認證的數(shù)據(jù)進行分類，并根據(jù)數(shù)據(jù)的目標(biāo)地址確定數(shù)據(jù)的宿主虛擬機及虛擬存儲空間，如果虛擬機設(shè)定了數(shù)據(jù)匹配密碼，則要進一步實施數(shù)據(jù)匹配認證，然后將通過匹配確認的數(shù)據(jù)載入相應(yīng)的虛擬機； c)數(shù)據(jù)處理功能模塊對載入虛擬機的數(shù)據(jù)進行各種處理，包括解析、校驗、糾錯、整合、識別、存儲，此時安全保護體系中的行為監(jiān)測功能包括內(nèi)置監(jiān)測分析用的分類數(shù)據(jù)流模板、數(shù)據(jù)關(guān)聯(lián)行為特征模板、關(guān)鍵數(shù)據(jù)臨界值，對數(shù)據(jù)處理過程和結(jié)果進行監(jiān)測、統(tǒng)計，分析相關(guān)的數(shù)據(jù)流特征、評估數(shù)據(jù)可能引發(fā)的操作行為、判斷數(shù)據(jù)是否超過臨界值，從中發(fā)現(xiàn)異?！拔ｋU”數(shù)據(jù)，這些異?！拔ｋU”的數(shù)據(jù)是由于傳感錯誤或傳輸錯誤引起的，或是黑客、木馬、DOS等非法攻擊造成，很可能造成各種有害的關(guān)聯(lián)操作或結(jié)果，必須加以控制； d)通過數(shù)據(jù)行為監(jiān)測層發(fā)現(xiàn)的異?！拔ｋU”數(shù)據(jù)，由異常監(jiān)控模塊實施管控，對于有可能造成為何操作的數(shù)據(jù)實施強制性訪問控制或銷毀，并給相關(guān)程序或系統(tǒng)發(fā)出告警；對于異常“危險”數(shù)據(jù)流發(fā)出告警并通知相關(guān)模塊或系統(tǒng)；對于受到其他不確定的異?！拔ｋU”數(shù)據(jù)實施訪問控制并發(fā)出告警。
全文摘要
本發(fā)明提供一種云計算模式物聯(lián)網(wǎng)平臺數(shù)據(jù)處理安全保護方法從物聯(lián)網(wǎng)數(shù)據(jù)匯集、數(shù)據(jù)到應(yīng)用程序虛擬機的分類載入、數(shù)據(jù)智能處理、數(shù)據(jù)服務(wù)各環(huán)節(jié)分別實施加密認證、虛擬機數(shù)據(jù)匹配審查、數(shù)據(jù)行為特征和語義特征的監(jiān)測、數(shù)據(jù)服務(wù)的訪問控制以及危險數(shù)據(jù)的影響控制等措施，對整個數(shù)據(jù)處理進行全程安全保護，從而有效地解決可能出現(xiàn)在數(shù)據(jù)處理層面的安全問題，為物聯(lián)網(wǎng)應(yīng)用層提供安全可靠的數(shù)據(jù)保障。
文檔編號G06F21/00GK102663278SQ201210060770
公開日2012年9月12日 申請日期2012年3月9日 優(yōu)先權(quán)日2012年3月9日
發(fā)明者苗再良 申請人:浪潮通信信息系統(tǒng)有限公司