物联网设备数据安全防护方法及装置与流程

1.本发明涉及大数据安全防护技术领域，尤其涉及物联网设备数据安全防护方法及装置。


背景技术：

2.本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
3.随着科技的快速发展，物联网这一词汇慢慢走近了人们的生活中，物联网顾名思义就是将生活中的万物联系在一起的网络，一般是通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术，实时采集任何需要监控、连接、互动的物体或过程，物联网是一个基于互联网、传统电信网等的信息承载体，物联网的出现使万物联系的更为紧密。在物联网采集大数据时，有时会面临自应用系统环境、大数据环境和外部环境的安全威胁，例如来自应用系统侧的结构化查询语言(structured query language，sql)注入攻击、后门程序、利用数据库漏洞的攻击行为、第三方运维人员的误操作等，因此需要对大数据进行安全防护。
4.目前对于大数据安全防护的研究中，一种方法是将大数据平台相关组件使用防火墙与客户端进行隔离，客户端与大数据平台相关组件通信需通过数据权限网关进行，由权限管理组件进行认证、授权和审计，但是这种方法仅仅采用防火墙技术将数据与外部环境隔离，难以解决来自应用系统环境和大数据环境的安全威胁，安全防护效果较差。
5.针对上述问题，目前尚未提出有效的解决方案。


技术实现要素：

6.本发明实施例提供一种物联网设备数据安全防护方法，用以提高物联网设备数据的安全性，该方法包括：
7.从物联网设备数据中获取需要进行安全防护的目标设备数据；
8.根据目标设备数据的数据类型和应用场景，确定目标设备数据对应的加密控制方式，其中，加密控制方式包括：目标设备数据所属设备的控制端执行加密控制、云端服务器执行加密控制，或多个设备的控制端共享执行加密控制；
9.根据目标设备数据对应的加密控制方式，对目标设备数据进行加密处理；
10.使用防火墙对加密处理后的目标设备数据进行隔离处理。
11.本发明实施例提供一种物联网设备数据安全防护装置，用以提高物联网设备数据的安全性，该装置包括：
12.目标设备数据获取模块，用于从物联网设备数据中获取需要进行安全防护的目标设备数据；
13.加密控制方式确定模块，用于根据目标设备数据的数据类型和应用场景，确定目标设备数据对应的加密控制方式，其中，加密控制方式包括：目标设备数据所属设备的控制
端执行加密控制、云端服务器执行加密控制，或多个设备的控制端共享执行加密控制；
14.加密模块，用于根据目标设备数据对应的加密控制方式，对目标设备数据进行加密处理；
15.隔离模块，用于使用防火墙对加密处理后的目标设备数据进行隔离处理。
16.本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述物联网设备数据安全防护方法。
17.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述物联网设备数据安全防护方法的计算机程序。
18.本发明实施例通过：从物联网设备数据中获取需要进行安全防护的目标设备数据；根据目标设备数据的数据类型和应用场景，确定目标设备数据对应的加密控制方式，其中，加密控制方式包括：目标设备数据所属设备的控制端执行加密控制、云端服务器执行加密控制，或多个设备的控制端共享执行加密控制，可以满足不同数据类型和应用场景的加密需求；根据目标设备数据对应的加密控制方式，对目标设备数据进行加密处理；使用防火墙对加密处理后的目标设备数据进行隔离处理，进而能够将数据加密与数据隔离技术相结合，有效解决来自应用系统环境和大数据环境的安全威胁，提高物联网设备数据的安全性。
附图说明
19.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
20.图1为本发明实施例中物联网设备数据安全防护方法流程的示意图；
21.图2为本发明实施例中数据测试流程的示意图；
22.图3为图2中步骤201具体流程的示意图；
23.图4为本发明实施例中数据脱敏流程的示意图；
24.图5为本发明实施例中物联网设备数据安全防护装置结构的示意图；
25.图6为本发明实施例中物联网设备数据安全防护装置另一结构的示意图；
26.图7为测试模块具体结构的示意图。
具体实施方式
27.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
28.本领域技术技术人员知道，本发明的实施方式可以实现为一种系统、装置、方法或计算机程序产品。因此，本发明公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。
29.本发明实施例提供一种物联网设备数据安全防护方法，用以提高物联网设备数据
的安全性，图1为本发明实施例中物联网设备数据安全防护方法流程的示意图，如图1所示，该方法包括：
30.步骤101：从物联网设备数据中获取需要进行安全防护的目标设备数据；
31.步骤102：根据目标设备数据的数据类型和应用场景，确定目标设备数据对应的加密控制方式，其中，加密控制方式包括：目标设备数据所属设备的控制端执行加密控制、云端服务器执行加密控制，或多个设备的控制端共享执行加密控制；
32.步骤103：根据目标设备数据对应的加密控制方式，对目标设备数据进行加密处理；
33.步骤104：使用防火墙对加密处理后的目标设备数据进行隔离处理。
34.如图1所示，本发明实施例通过：从物联网设备数据中获取需要进行安全防护的目标设备数据；根据目标设备数据的数据类型和应用场景，确定目标设备数据对应的加密控制方式，其中，加密控制方式包括：目标设备数据所属设备的控制端执行加密控制、云端服务器执行加密控制，或多个设备的控制端共享执行加密控制，可以满足不同数据类型和应用场景的加密需求；根据目标设备数据对应的加密控制方式，对目标设备数据进行加密处理；使用防火墙对加密处理后的目标设备数据进行隔离处理，进而能够将数据加密与数据隔离技术相结合，有效解决来自应用系统环境和大数据环境的安全威胁，提高物联网设备数据的安全性。
35.具体实施时，步骤101中，首先对物联网设备数据进行采集，然后从物联网设备数据中获取需要进行安全防护的目标设备数据，可以对数据进行分类，分析并确定需要进行安全防护的目标设备数据，目标设备数据可以包括设备的内部数据、设备内储存的私密数据，以及设备内的交易数据，还可以包括其他设备数据，本发明不以此为限定。
36.步骤102中，可以根据目标设备数据的数据类型和应用场景，确定目标设备数据对应的加密控制方式，加密控制方式有三种，第一种为目标设备数据所属设备的控制端执行加密控制，即加密方法、密钥存储和密钥管理全部由目标设备数据所属设备的控制端管理，典型的是整个密钥管理系统部署在数据中心，这种方式的私密性最高；第二种为云端服务器执行加密控制，这种方式与第一种方式的区别是，加密方法、密钥存储和密钥管理由云端服务器的密钥管理系统控制，而非控制端的数据中心；第三种为多个设备的控制端共享执行加密控制，即加密方法、密钥存储和密钥管理在多个设备的控制端之间是透明的，可以实现共享加密控制，通过选择合适的加密方式，能够满足不同数据类型和应用场景的加密需求，例如：对于私密性要求较高的场景，第一种加密控制方式可以保证加密数据的密钥控制在控制端手中，提升加密的安全性，对于私密性要求低的场景，第二种或第三种加密控制方式可以避免整个密钥管理系统全部部署在数据中心，避免资源浪费。
37.步骤103中，可以根据目标设备数据对应的加密控制方式，对目标设备数据进行加密处理，步骤104中，可以利用防火墙的数据库边界防护技术对加密处理后的目标设备数据进行隔离处理，通过将数据加密与数据隔离技术相结合，有效解决来自应用系统环境和大数据环境的安全威胁，提高物联网设备数据的安全性。
38.图2为本发明实施例中数据测试流程的示意图，如图2所示，在一个实施例中，在步骤103对目标设备数据进行加密处理之后，该方法还包括：
39.步骤201：基于关联规则挖掘算法从已加密的目标设备数据中提取测试数据；
40.步骤202：对测试数据进行加密性能测试，判断是否存在加密异常的目标设备数据。
41.图3为图2中步骤201具体流程的示意图，如图3所示，在一个实施例中，步骤201中，基于关联规则挖掘算法从已加密的目标设备数据中提取测试数据，包括：
42.步骤301：根据测试需求，预设最小支持度、最小置信度、最小kulc值和最大不平衡比；
43.步骤302：根据最小支持度，从已加密的目标设备数据中提取频繁一项集；
44.步骤303：根据最小支持度对频繁一项集进行升序排序；
45.步骤304：基于eclat算法，从升序排序后的频繁一项集中提取满足最小支持度的频繁项集；
46.步骤305：根据频繁项集，确定满足最小置信度、最小kulc值和最大不平衡的关联规则；
47.步骤306：根据关联规则，从已加密的目标设备数据中提取测试数据。
48.具体实施时，为了保证数据加密的可靠性，本发明实施例可以在数据加密过程中实时从加密数据中抽取测试数据，并行开展加密性能测试，具体的，首先根据测试需求，预设多个最小支持度、最小置信度、最小kulczynski(kulc)值和最大不平衡比，然后从已加密的目标设备数据中搜索提取符合各个最小支持度的频繁一项集，按照最小支持度对频繁一项集进行升序排序，基于eclat算法，从升序排序后的频繁一项集中提取满足各个最小支持度的频繁项集，最后根据频繁项集，确定满足最小置信度、最小kulc值和最大不平衡的关联规则，基于关联规则从已加密的目标设备数据中提取测试数据。
49.图4为本发明实施例中数据脱敏流程的示意图，如图4所示，在一个实施例中，步骤201中，基于关联规则挖掘算法从已加密的目标设备数据中提取测试数据之后，还包括：
50.步骤401：基于数据脱敏技术对测试数据进行脱敏处理；
51.步骤202中，对测试数据进行加密性能测试，判断是否存在加密异常的目标设备数据，可以包括：
52.步骤402：对脱敏处理后的测试数据进行加密性能测试，判断是否存在加密异常的目标设备数据。
53.具体实施时，测试过程中，可以利用自动脱敏防止测试环境数据泄漏，脱敏技术通过内置策略和算法，包括屏蔽、变形、替换、随机、格式保留机密和强加密算法等，保证脱敏数据有效性(保持原有数据类型和业务格式)、关系性(保持表间、表内数据关联关系)，为测试环境提供可用的符合预期的测试数据，对脱敏处理后的测试数据进行加密性能测试，判断是否存在加密异常的目标设备数据，若存在加密异常，及时通知技术人员进行排查，这样通过安全防护后的数据测试，可以实现加密性能的实时测试，保障了安全防护的有效性与适用性，此外，采用自动脱敏技术防止测试环境数据泄漏，利用其细粒度的访问控制特性，实现了更完善的防数据泄漏保护。
54.基于同一发明构思，本发明实施例中还提供了一种物联网设备数据安全防护装置，如下面的实施例。由于物联网设备数据安全防护装置解决问题的原理与物联网设备数据安全防护方法相似，因此装置的实施可以参见方法的实施，重复之处不再赘述。以下所使用的，术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例
所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
55.本发明实施例提供一种物联网设备数据安全防护装置，用以提高物联网设备数据的安全性，图5为本发明实施例中物联网设备数据安全防护装置结构的示意图，如图5所示，该装置包括：
56.目标设备数据获取模块01，用于从物联网设备数据中获取需要进行安全防护的目标设备数据；
57.加密控制方式确定模块02，用于根据目标设备数据的数据类型和应用场景，确定目标设备数据对应的加密控制方式，其中，加密控制方式包括：目标设备数据所属设备的控制端执行加密控制、云端服务器执行加密控制，或多个设备的控制端共享执行加密控制；
58.加密模块03，用于根据目标设备数据对应的加密控制方式，对目标设备数据进行加密处理；
59.隔离模块04，用于使用防火墙对加密处理后的目标设备数据进行隔离处理。
60.图6为本发明实施例中物联网设备数据安全防护装置另一结构的示意图，如图6所示，在一个实施例中该装置还包括：测试模块05，图7为测试模块具体结构的示意图，如图7所示，测试模块05包括：
61.测试数据提取单元051，用于在对目标设备数据进行加密处理之后，基于关联规则挖掘算法从已加密的目标设备数据中提取测试数据；
62.测试单元052，用于对测试数据进行加密性能测试，判断是否存在加密异常的目标设备数据。
63.在一个实施例中，测试数据提取单元051，用于：
64.根据测试需求，预设最小支持度、最小置信度、最小kulc值和最大不平衡比；
65.根据最小支持度，从已加密的目标设备数据中提取频繁一项集；
66.根据最小支持度对频繁一项集进行升序排序；
67.基于eclat算法，从升序排序后的频繁一项集中提取满足最小支持度的频繁项集；
68.根据频繁项集，确定满足最小置信度、最小kulc值和最大不平衡的关联规则；
69.根据关联规则，从已加密的目标设备数据中提取测试数据。
70.如图7所示，在一个实施例中，测试模块05还包括：脱敏单元053，用于：
71.基于关联规则挖掘算法从已加密的目标设备数据中提取测试数据之后，基于数据脱敏技术对测试数据进行脱敏处理；
72.测试单元052，具体用于：
73.对脱敏处理后的测试数据进行加密性能测试，判断是否存在加密异常的目标设备数据。
74.本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述物联网设备数据安全防护方法。
75.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述物联网设备数据安全防护方法的计算机程序。
76.下面举一个具体的例子，以便于理解本发明如何实施。
77.第一步：对物联网设备数据进行采集，从物联网设备数据中获取需要进行安全防护的目标设备数据；
78.第二步：根据目标设备数据的数据类型和应用场景，确定目标设备数据对应的加密控制方式，加密控制方式有三种，第一种为目标设备数据所属设备的控制端执行加密控制，即加密方法、密钥存储和密钥管理全部由目标设备数据所属设备的控制端管理；第二种为云端服务器执行加密控制，即加密方法、密钥存储和密钥管理由云端服务器的密钥管理系统控制；第三种为多个设备的控制端共享执行加密控制，即加密方法、密钥存储和密钥管理在多个设备的控制端之间是透明的；
79.第三步：根据目标设备数据对应的加密控制方式，对目标设备数据进行加密处理；
80.第四步：利用防火墙的数据库边界防护技术对加密处理后的目标设备数据进行隔离处理；
81.第五步：并行开展加密性能测试，根据测试需求，预设多个最小支持度、最小置信度、最小kulc值和最大不平衡比，然后从已加密的目标设备数据中搜索提取符合各个最小支持度的频繁一项集，按照最小支持度对频繁一项集进行升序排序，基于eclat算法，从升序排序后的频繁一项集中提取满足各个最小支持度的频繁项集，最后根据频繁项集，确定满足最小置信度、最小kulc值和最大不平衡的关联规则，基于关联规则从已加密的目标设备数据中提取测试数据；
82.第六步：在测试过程中，利用自动脱敏防止测试环境数据泄漏，脱敏技术通过内置策略和算法，包括屏蔽、变形、替换、随机、格式保留机密和强加密算法等，保证脱敏数据有效性(保持原有数据类型和业务格式)、关系性(保持表间、表内数据关联关系)；
83.第七步：对脱敏处理后的测试数据进行加密性能测试，分析测试结果，判断是否存在加密异常的目标设备数据，若存在加密异常，及时通知技术人员进行排查。
84.综上所述，本发明实施例通过：从物联网设备数据中获取需要进行安全防护的目标设备数据；根据目标设备数据的数据类型和应用场景，确定目标设备数据对应的加密控制方式，其中，加密控制方式包括：目标设备数据所属设备的控制端执行加密控制、云端服务器执行加密控制，或多个设备的控制端共享执行加密控制，可以满足不同数据类型和应用场景的加密需求；根据目标设备数据对应的加密控制方式，对目标设备数据进行加密处理；使用防火墙对加密处理后的目标设备数据进行隔离处理，进而能够将数据加密与数据隔离技术相结合，有效解决来自应用系统环境和大数据环境的安全威胁，提高物联网设备数据的安全性。
85.此外，本发明实施例通过安全防护后的加密数据测试，可以实现加密性能的并行测试，保障了安全防护的有效性与适用性，采用自动脱敏技术防止测试环境数据泄漏，利用其细粒度的访问控制特性，实现了更完善的防数据泄漏保护。
86.虽然本发明提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的装置或客户端产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
87.本领域技术人员应明白，本说明书的实施例可提供为方法、装置(系统)或计算机
程序产品。因此，本说明书实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
88.本发明是参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
89.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
90.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
91.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面，也不局限于任何单一的实施例，也不局限于这些方面和/或实施例的任意组合和/或置换。而且，可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
92.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依
然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。