一种智能设备安全管控加固及监测预警方法

1.本发明属于信息安全领域的智能设备安全领域，具体涉及到一种智能设备安全管控加固及监测预警方法。


背景技术：

2.近些年来，伴随着物联网的产生和发展，物联网智能设备越来越多地出现在市场上，如智能电视、智能洗衣机、智能机器人等等。然而，然而智能设备大规模普及的同时，也给用户个人资产安全与隐私保护带来了极大地冲击和挑战。目前现有的物联网智能设备主要侧重于功能的实现，基于云平台、手机app、设备三种实体交互的模型是目前智能设备最常见的控制模型，而传统的设备厂商在安全方面经验不足，在系统设计等方面存在安全缺陷。
3.首先在云平台方面，智能设备厂商私有云作为种类最多，比例最大的智能设备云平台，大大提升了智能设备的易用性，降低了智能设备各类应用服务的研发门槛。但由于智能设备厂商私有业务云平台不完善的权限审核机制，云平台与应用交互漏洞以及通信协议漏洞，导致大量的智能设备存在远程非法操控或劫持风险。与此同时，智能设备私有云平台开放编程框架和不完善的应用审核机制下极容易引入恶意应用，用户访问设备过程中的敏感信息私信息(如设备状态、用户输入等)可以被攻击者轻易获取，很容易泄露设备隐私。其次，在通信协议方面，智能设备通信过程中融合了物联网系统中常用的协议或私有协议，互联网通用协议中的威胁会被引入物联网系统，而物联网系统协议在设计和实现过程中的缺陷也会产生新的安全漏洞，比如常见的mqtt和coap协议由于其适配于低功耗设备和低带宽需求的特性而受到智能设备厂商的青睐，然而其本身缺乏内建的安全机制，比如不验证客户端的身份，不校验消息发送者和接收者的权限，攻击者可以利用这些漏洞发动ddos、远程设备劫持等攻击。在智能设备方面，现有的智能设备都是在原有传统设备的基础上增加支持设备智能化功能的各种硬件模组(如网络模组、传感器模组等)。赛门铁克(symantec)公司也曾发布的一项报告显示，在随机抽样的50种智能家居产品中，大部分存在着类似的基本安全问题，包括内存漏洞和逻辑漏洞。抽样报告发现90％的家电厂商的智能设备与自建的私有云之间没有任何身份认证以及加密协议。黑客可以利用云服务穿透连接物理世界的信息化访问接口，导致设备恶意控制、大规模数据泄露、设备群体性异常等后果。因此，及时检测安全问题，构建完整的安全加固防御措施是对抗威胁的重要手段。
4.目前智能设备还未有涵盖设备端、应用端及业务云端三个实体，着手进行智能设备安全防御加固及监测预警的统一标准和专利。针对一些已知威胁，学术界已经提出了一些针对性的解决方案，但是都存在方案架构覆盖面窄、应用面小的缺点，为了解决智能设备越权访问、事件窃听、设备隐私泄露、大规模拒绝服务、设备劫持、设备功能失效崩溃等安全威胁，需考虑从设备端、应用端及业务云端入手，设计一种智能设备安全管控加固及监测预警方法。


技术实现要素：

5.本发明技术解决问题：针对现有智能设备业务应用场景中，智能设备——移动应用app端——业务云端存在智能设备越权访问、事件窃听、设备隐私泄露、大规模拒绝服务、设备劫持、设备功能失效崩溃等安全缺陷，以及缺乏整体安全解决架构的问题，提供了一种智能设备安全防御加固及监测方法，即在设备端和移动端分别进行安全加固，构建可信防御架构，同时构建安全云平台来实现与设备端和移动端的安全协议传输，采集控制流及状态流数据进行安全分析及监测预警。
6.本发明技术解决方案实现，实现步骤如下：
7.一种智能设备安全管控加固方法，适用于移动控制终端、智能设备、安全云和业务云平台组成的系统，其步骤包括：
8.对所述智能设备进行安全云身份证书的预置，其中所述智能设备的设备标识及设备公钥证书已在所述安全云进行备案；
9.在所述移动控制终端安装一智能设备控制app，并基于智能设备控制app内置的安全云根证书与所述智能设备控制app计算的特征数据，使所述智能设备控制app与所述安全云验证彼此的合法性；
10.将所述智能设备与所述智能设备控制app绑定后，所述智能设备与所述智能设备控制app分别将各自的绑定信息发送至所述安全云，其中所述安全云根据备案的信息验证所述智能设备的合法性；
11.所述安全云比对所述绑定信息，并当所述绑定信息一致时，向所述智能设备与所述智能设备控制app绑定返回绑定成功信息，将所述绑定信息发送至所述业务云平台。
12.进一步地，所述智能设备控制app的开发者须在所述安全云平台进行安全认证并申请开发者证书。
13.进一步地，计算所述特征数据的方法包括：所述智能设备控制app调用secure sdk按规则生成，其中secure sdk为开发者统一提供ssl安全接入套件及报文协议二次加密封装组件。
14.进一步地，通过以下步骤将所述智能设备与所述智能设备控制app绑定：
15.1)将所述智能设备调至配网模式，以产生一无线访问接入点；
16.2)所述移动控制终端通过连接所述无线访问接入点，将局域网wifi的ssid、passwrd以及配对信息发送给所述智能设备，以完成绑定。
17.进一步地，所述安全云平台通过oauth认证接口与所述业务云平台建立安全认证通道。
18.一种智能设备监测预警方法，其步骤包括：
19.所述安全云通过大数据分析，设定各种潜在安全事件的安全阈值；
20.分别接收通过上述任一方法绑定成功的智能设备发送的状态数据，与绑定成功的智能设备控制app发送的安全监测数据，其中所述状态数据包括：系统数据和业务数据；
21.分析所述状态数据与所述安全监测数据，并基于所述安全阈值，监测所述智能设备；
22.若所述智能设备无异常，将所述业务数据发送至所述业务云平台，并将所述业务云平台计算的数据返回至所述智能设备。
23.进一步地，所述系统数据包括：系统运行时间、设备型号、连接wifi、本地ip、路由网关、wifi mac、广播ip、设备id号、会话token和工作状态。
24.进一步地，所述监测数据包括：app运行时长、登录用户名、app版本号和手机mac地址。
25.进一步地，所述异常的类型包括：感知数据异常、控制异常、伪造用户身份控制合法的智能硬件设备、伪造智能硬件设备和群体性异常事件。
26.进一步地，还将所述系统数据和/或所述安全监测数据发送至所述业务云平台。
27.本发明与现有技术方案相比有优点在于：
28.(1)现有技术方案一般都停留在独立的攻击点、攻击面进行安全加固，没有从完整的从app端、业务云端、设备端三端入手，覆盖从设备出厂、控制app sdk，到云端安全监测的全路径安全加固方法，传统安全方案的覆盖面小，无法应对物联网繁多的应用形式和复杂频繁的交互场景，无法覆盖云平台的恶意交互漏洞、设备固件漏洞及恶意应用。因此，提前在智能设备、app及业务云端实施部署完整的安全加固防御方案非常关键。本发明智能设备出厂前，提前对运行在智能设备上的组件进行内置，并且提前内置安全云平台根证书等信息，智能设备在连接到安全云平台时，会启动验证智能设备安全组件完整性的流程，只有验证了安全组件的完整性后才能继续生成设备证书。为云端与设备端建立安全通信通道提供基础。
29.(2)现有智能设备控制方案仍然依赖于云平台开放应用sdk，云平台还是存在授权管理缺陷问题，尽管现在部分访问控制方案能够解决部分问题，但是方案的定制化特性导致其无法扩展到其他类型平台且存在大量的薄弱点。本方法中的siotcloud安全云平台实现，为智能设备业务云提供了一个可信的第三方代理，为智能设备控制业务云提供了全面的安全托管服务，把安全威胁风险最大化的排除在业务云之外。
附图说明
30.图1本发明的系统示意图。
31.图2本发明进行安全加固前后的安全框架示意图。
32.图3本发明设备及应用上线前预处理流程图。
33.图4本发明设备及应用上线后运行流程图。
具体实施方式
34.为使本发明的目的、优点以及技术方案更加清楚明白，以下通过具体实施，并结合附图，对本发明进一步详细说明。
35.本发明技术解决方案，如图1所示：构建智能设备安全云平台siotcloud，实现功能包括智能设备及移动应用app用户身份管理、访问控制、安全监测、固件更新等服务；对智能设备内置安全组件进行安全加固，通过在智能设备中进行信任预置，实现终端的安全启动及与云端的安全身份认证；对用户端智能设备控制app进行安全加固，在app端调用带有安全加固机制的secure sdk，实现app与安全云平台的身份认证及安全传输；将智能设备控制app和智能设备设备进行入网配置及安全绑定，并将绑定信息上传至siotcloud，同时设备端也将注册绑定信息发送到siotcloud，siotcloud接收到app端及设备端的绑定信息后，进
行一致性比对；智能设备设备进入上线运行状态后，智能设备控制app对上线运行的智能设备实现安全连接控制，siotcloud收集、解析并监测智能设备控制app上传的设备绑定数据、设备控制数据，收集智能设备端业务数据，并依据两方数据之间的业务逻辑关系，进行访问权限管理及异常安全事件行为监测。通过大数据分析，设定安全阈值，对潜在安全事件进行预警。
36.一、智能设备安全云平台siotcloud搭建
37.如图2所示，本方法的架构基础为引入siotcloud安全云平台，该平台将代理智能设备业务云平台，对智能设备app接入及智能设备的接入提供安全代理功能。具体实施步骤如下：
38.1.app开发者在siotcloud安全云平台进行安全认证并申请开发者证书，只有通过认证的开发者有权利调用安全接入securesdk来开发移动终端控制app，securesdk为开发者统一提供ssl安全接入套件及报文协议二次加密封装组件。
39.2.siotcloud通过oauth认证接口与业务云平台建立安全认证通道，实现双向数据加密传输，siotcloud验证请求的合法性后将转发app端业务请求到云端的业务接口，同时，siotcloud会负责业务云发出的设备控制请求，并通过安全认证通道将控制指令发送到设备。
40.二、对智能设备内置安全组件进行安全加固
41.1.智能设备终端在出厂前，需由智能设备制造商进行安全组件内置。如图3所示，首先智能设备在出厂前，由智能设备商进行安全组件内置，预置安全云siotcloud的身份证书，同时每台设备都预置唯一的产品标识，设备标识及设备公钥证书。安全组件内置后会进行初始化，安全组件在芯片内部产生一对公私钥对，私钥被存储于安全组件中且无法被读出。密钥对一旦生成后无法被重置和修改。安全云siotcloud的身份证书用于设备验证被被访问的安全云身份的真实性。每台设备都预置唯一的产品标识，设备标识及设备公钥证书则用于唯一标识每台设备。
42.2.智能设备制造商会将每个安全组件的公钥和安全组件内置的设备唯一标识上传到siotcloud进行备案，通过以上信任预置，防止伪造的安全组件接入到siotcloud中。安全组件在完成备案之后，由siotcloud服务商出售给模块、智能设备生产厂商，此时安全组件与siotcloud之间双方均存储共享信息，便于后续的身份认证。
43.三、对用户端智能设备控制app安全加固
44.1.siotcloud会给用户端智能设备app提供secure sdk实现安全传输接口调用，同时用户端智能设备控制app会提前内置siotcloud根证书，app使用根证书建立安全协议认证通道，认证siotcloud的合法性；
45.2.app调用secure sdk按规则生成特征数据，通过ssl通道发给siotcloud云服务，云服务验证特征数据合法性，如果认证不成功如根证书失败或特征数据校验失败，则不再连接。
46.四、智能设备控制app和智能设备进行入网激活配置及安全绑定
47.1.如图4所示，智能设备在入网时，按照设备限定的流程，将智能设备端调至配网模式。移动控制终端搜索开启的无线ap，可搜索到具备智能设备特征标记的ap。
48.2.移动控制终端连上设备ap之后，移动控制终端选择即将连接外网的局域网
wifi，同时将wifi的ssid、passwrd以及配对信息发送给设备端，设备端则立即退出配网模式，进入工作模式。
49.3.app在与智能设备在局域网建立初步绑定关系后，app会与siotcloud建立安全通道并进行双向身份校验，并向siotcloud发送绑定信息，绑定信息内容包括加密后的账号与设备绑定关系如用户账号、设备唯一标识、设备mac地址等。
50.4.智能设备与siotcloud建立安全信道，siotcloud使用预留备案信息验证设备合法性，设备验证通过后，设备将与用户的绑定配对信息进行加密并发送到siotcloud。
51.5.siotcloud将双方接收信息进行一致性比对，若比对不一致则绑定失败，比对一致则绑定成功，并返回绑定成功消息至app端用户。初始化绑定后，如若需要变更新的绑定,或者增加绑定用户信息，需重复以上过程，siotcloud都会记录设备的每一次绑定变更。
52.五、智能设备控制app对智能设备进行操控
53.1.智能设备进入上线运行状态后，智能设备需要定时或者必要时(即本地状态发生改变时)向siotcloud发送状态数据。数据包括：系统数据和业务数据。系统数据包括系统运行时间、设备型号、连接wifi、本地ip、路由网关、wifi mac、广播ip、设备id号、会话token、工作状态等；业务数据包括两方面的内容，其一是智能设备控制app向本设备发送的控制指令数据，如温湿度调整指令数据，开关指令数据等。其二是智能设备监测到的环境状态变化数据，如当前环境温湿度值等。
54.2.智能设备控制app同样需要向siotcloud发送安全监测数据。监测数据包括：app运行时长、登录用户名、app版本号、手机mac地址。
55.六、安全事件研判及预警
56.1.数据采集后，siotcloud需要通过大数据分析，设定安全阈值，对潜在安全事件进行预警其中针对的异常监控类型包括：
57.a)单个设备的感知数据异常，感知数据不在正常区间和范围，或者变化过于频繁不符合正常的变化趋势。
58.b)单个设备的控制异常，出现针对单个设备的无效指令(即指令的来源不明确)。
59.c)伪造用户身份控制合法的智能硬件设备，判断是否有敌手伪造合法的用户身份控制智能硬件设备。
60.d)伪造智能硬件设备，诱惑合法的app，通过数据处理，判别是否有敌手伪造智能硬件设备向合法的app用户发送伪造的数据，导致用户判别和操作失误。
61.e)够判别出群体性事件，比如：能够发现“同一合法用户”可以在同一时间内对大批量的设备进行集中操作。
62.提供以上实施方法仅是为了描述本发明的目的，而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改，均应涵盖在本发明的范围之内。