本發(fā)明涉及一種網(wǎng)絡(luò)安全技術(shù)，且特別是有關(guān)于一種物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法與使用該方法的物聯(lián)網(wǎng)網(wǎng)關(guān)。

背景技術(shù)：

1、物聯(lián)網(wǎng)(iot)網(wǎng)關(guān)為促進iot通信的解決方案，物聯(lián)網(wǎng)網(wǎng)關(guān)主要作為物聯(lián)網(wǎng)設(shè)備與云端服務(wù)器之間的傳輸橋梁。許多物聯(lián)網(wǎng)數(shù)據(jù)可經(jīng)由物聯(lián)網(wǎng)網(wǎng)關(guān)傳送到云端服務(wù)器進行實時監(jiān)控和分析。更進一步來說，物聯(lián)網(wǎng)網(wǎng)關(guān)在物聯(lián)網(wǎng)系統(tǒng)的各種操作情境中扮演著關(guān)鍵角色，物聯(lián)網(wǎng)網(wǎng)關(guān)更可協(xié)助企業(yè)管理數(shù)據(jù)傳輸。物聯(lián)網(wǎng)網(wǎng)關(guān)可以將收集的感測數(shù)據(jù)經(jīng)由不可信網(wǎng)絡(luò)(untrusted?network)轉(zhuǎn)發(fā)到云端服務(wù)器，或者將來自不可信網(wǎng)絡(luò)的控制命令轉(zhuǎn)發(fā)給iot設(shè)備或控制設(shè)備。因此，在物聯(lián)網(wǎng)環(huán)境中，由于iot設(shè)備和控制設(shè)備能夠通過物聯(lián)網(wǎng)網(wǎng)關(guān)直接連接到不可信網(wǎng)絡(luò)，因此有必要建立防火墻，以保護物聯(lián)網(wǎng)系統(tǒng)中的這些iot設(shè)備、控制設(shè)備和物聯(lián)網(wǎng)網(wǎng)關(guān)本身免受網(wǎng)絡(luò)攻擊的侵害。

2、然而，隨著物聯(lián)網(wǎng)網(wǎng)關(guān)的功能性不斷發(fā)展，物聯(lián)網(wǎng)網(wǎng)關(guān)將負(fù)責(zé)管理更復(fù)雜且數(shù)量眾多的應(yīng)用，例如數(shù)據(jù)采集與邊緣計算等等。此外，物聯(lián)網(wǎng)網(wǎng)關(guān)還涉及不同安全級別的設(shè)備的數(shù)據(jù)傳輸和自動化控制。因此，對于種種操作情境的需求與安全考慮，由傳統(tǒng)的物聯(lián)網(wǎng)網(wǎng)關(guān)或其他網(wǎng)絡(luò)設(shè)備提供的防火墻防護已不再滿足當(dāng)前的需求。

技術(shù)實現(xiàn)思路

1、有鑒于此，本發(fā)明實施例提供一種物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法與使用該方法的物聯(lián)網(wǎng)網(wǎng)關(guān)，可解決上述技術(shù)問題。

2、本發(fā)明實施例的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法適用于物聯(lián)網(wǎng)網(wǎng)關(guān)，并包括(但不僅限于)下列步驟。透過劃分多個子網(wǎng)(subnet)來建立對應(yīng)至多個子網(wǎng)的多個區(qū)域。將安裝于物聯(lián)網(wǎng)網(wǎng)關(guān)中的一應(yīng)用布署至多個區(qū)域其中一者。配置關(guān)聯(lián)于多個區(qū)域其中至少一者的傳輸通道策略(conduit?policy)。根據(jù)傳輸信道策略管理多個區(qū)域的封包傳輸。

3、本發(fā)明實施例的物聯(lián)網(wǎng)網(wǎng)關(guān)包括收發(fā)器、存儲裝置以及處理器。處理器連接收發(fā)器與存儲裝置，并配置以執(zhí)行下列操作。透過劃分多個子網(wǎng)來建立對應(yīng)至多個子網(wǎng)的多個區(qū)域。將安裝于物聯(lián)網(wǎng)網(wǎng)關(guān)中的一應(yīng)用布署至多個區(qū)域其中一者。配置關(guān)聯(lián)于多個區(qū)域其中至少一者的傳輸通道策略。根據(jù)傳輸信道策略管理多個區(qū)域的封包傳輸。

4、基于上述，于本發(fā)明實施例中，在建立對應(yīng)至多個子網(wǎng)的多個區(qū)域之后，可針對這些區(qū)域分別配置用以管理封包傳輸?shù)膫鬏斖ǖ啦呗?。此外，安裝于物聯(lián)網(wǎng)網(wǎng)關(guān)的多個應(yīng)用可區(qū)分至不同區(qū)域。于是，各個應(yīng)用的封包傳輸可基于其所在區(qū)域的傳輸信道策略而被管制。如此一來，不僅可大幅提升物聯(lián)網(wǎng)網(wǎng)關(guān)的網(wǎng)絡(luò)安全防御能力，還可提升物聯(lián)網(wǎng)網(wǎng)關(guān)的安全管理的彈性與效率。

技術(shù)特征：

1.一種物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，適用于物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，透過劃分所述多個子網(wǎng)來建立對應(yīng)至所述多個子網(wǎng)的所述多個區(qū)域的步驟包括：

3.根據(jù)權(quán)利要求2所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，將安裝于所述物聯(lián)網(wǎng)網(wǎng)關(guān)中的所述應(yīng)用布署至所述多個區(qū)域其中所述一者的步驟包括：

4.根據(jù)權(quán)利要求1所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，所述多個區(qū)域包括信息技術(shù)服務(wù)區(qū)域與操作技術(shù)服務(wù)區(qū)域，所述信息技術(shù)服務(wù)區(qū)域包括至少一信息技術(shù)服務(wù)應(yīng)用，且所述操作技術(shù)服務(wù)區(qū)域包括至少一操作技術(shù)服務(wù)應(yīng)用。

5.根據(jù)權(quán)利要求4所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，所述多個區(qū)域還包括管理區(qū)域，且所述管理區(qū)域包括至少一安全服務(wù)應(yīng)用。

6.根據(jù)權(quán)利要求5所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，將安裝于所述物聯(lián)網(wǎng)網(wǎng)關(guān)中的所述應(yīng)用布署至所述多個區(qū)域其中一者的步驟包括：

7.根據(jù)權(quán)利要求1所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，所述方法更包括：

8.根據(jù)權(quán)利要求7所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，將安裝于所述物聯(lián)網(wǎng)網(wǎng)關(guān)中的所述應(yīng)用布署至所述多個區(qū)域其中所述一者的步驟包括：

9.根據(jù)權(quán)利要求1所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，所述多個區(qū)域包括第一區(qū)域與第二區(qū)域，關(guān)聯(lián)于所述第一區(qū)域的所述傳輸信道策略包括多個規(guī)則，所述多個規(guī)則包括允許封包自所述第一區(qū)域傳遞至不可信網(wǎng)絡(luò)、拒絕封包自第一區(qū)域經(jīng)由本地局域網(wǎng)絡(luò)傳遞至工作場域、拒絕封包自所述不可信網(wǎng)絡(luò)傳遞至所述第一區(qū)域，或條件性允許封包自所述不可信網(wǎng)絡(luò)傳遞至所述第一區(qū)域。

10.根據(jù)權(quán)利要求1所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，所述多個區(qū)域包括第一區(qū)域、第二區(qū)域與第三區(qū)域，關(guān)聯(lián)于所述第三區(qū)域的所述傳輸信道策略包括多個規(guī)則，所述多個規(guī)則包括拒絕所述第一區(qū)域或所述第二區(qū)域中的第一應(yīng)用與所述第三區(qū)域的第二應(yīng)用之間的封包傳輸，或允許所述第一區(qū)域或所述第二區(qū)域中的所述第一應(yīng)用與所述第三區(qū)域的第三應(yīng)用之間的封包傳輸。

11.根據(jù)權(quán)利要求1所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，所述多個規(guī)則還包括拒絕封包自不可信網(wǎng)絡(luò)傳遞至所述第三區(qū)域。

12.根據(jù)權(quán)利要求1所述的物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法，其特征在于，所述多個區(qū)域包括第一區(qū)域、第二區(qū)域與第三區(qū)域，關(guān)聯(lián)于所述第二區(qū)域的所述傳輸信道策略包括多個規(guī)則，所述多個規(guī)則包括拒絕封包自所述第二區(qū)域傳遞至不可信網(wǎng)絡(luò)，或允許封包自所述第二區(qū)域傳遞至本地局域網(wǎng)絡(luò)。

13.一種物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，包括：

14.根據(jù)權(quán)利要求13所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述處理器更經(jīng)配置以：

15.根據(jù)權(quán)利要求14所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述處理器更經(jīng)配置以：

16.根據(jù)權(quán)利要求13所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述多個區(qū)域包括信息技術(shù)服務(wù)區(qū)域與操作技術(shù)服務(wù)區(qū)域，所述信息技術(shù)服務(wù)區(qū)域包括至少一信息技術(shù)服務(wù)應(yīng)用，且所述操作技術(shù)服務(wù)區(qū)域包括至少一操作技術(shù)服務(wù)應(yīng)用。

17.根據(jù)權(quán)利要求16所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述多個區(qū)域還包括管理區(qū)域，且所述管理區(qū)域包括至少一安全服務(wù)應(yīng)用。

18.根據(jù)權(quán)利要求13所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述處理器更經(jīng)配置以：

19.根據(jù)權(quán)利要求13所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述處理器更經(jīng)配置以：

20.根據(jù)權(quán)利要求19所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述處理器更經(jīng)配置以：

21.根據(jù)權(quán)利要求13所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述多個區(qū)域包括第一區(qū)域與第二區(qū)域，關(guān)聯(lián)于所述第一區(qū)域的所述傳輸信道策略包括多個規(guī)則，所述多個規(guī)則包括允許封包自所述第一區(qū)域傳遞至不可信網(wǎng)絡(luò)、拒絕封包自第一區(qū)域經(jīng)由本地局域網(wǎng)絡(luò)傳遞至工作場域、拒絕封包自所述不可信網(wǎng)絡(luò)傳遞至所述第一區(qū)域，或條件性允許封包自所述不可信網(wǎng)絡(luò)傳遞至所述第一區(qū)域。

22.根據(jù)權(quán)利要求13所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述多個區(qū)域包括第一區(qū)域、第二區(qū)域與第三區(qū)域，關(guān)聯(lián)于所述第三區(qū)域的所述傳輸信道策略包括多個規(guī)則，所述多個規(guī)則包括拒絕所述第一區(qū)域或所述第二區(qū)域中的第一應(yīng)用與所述第三區(qū)域的第二應(yīng)用之間的封包傳輸，或允許所述第一區(qū)域或所述第二區(qū)域中的所述第一應(yīng)用與所述第三區(qū)域的第三應(yīng)用之間的封包傳輸。

23.根據(jù)權(quán)利要求13所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述多個規(guī)則還包括拒絕封包自不可信網(wǎng)絡(luò)傳遞至所述第三區(qū)域。

24.根據(jù)權(quán)利要求13所述的物聯(lián)網(wǎng)網(wǎng)關(guān)，其特征在于，所述多個區(qū)域包括第一區(qū)域、第二區(qū)域與第三區(qū)域，關(guān)聯(lián)于所述第二區(qū)域的所述傳輸信道策略包括多個規(guī)則，所述多個規(guī)則包括拒絕封包自所述第二區(qū)域傳遞至不可信網(wǎng)絡(luò)，或允許封包自所述第二區(qū)域傳遞至本地局域網(wǎng)絡(luò)。

技術(shù)總結(jié)
本發(fā)明實施例提出一種物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法與使用該方法的物聯(lián)網(wǎng)網(wǎng)關(guān)。所述物聯(lián)網(wǎng)應(yīng)用安全分區(qū)方法適用于物聯(lián)網(wǎng)網(wǎng)關(guān)，并包括下列步驟。透過劃分多個子網(wǎng)來建立對應(yīng)至多個子網(wǎng)的多個區(qū)域。將安裝于物聯(lián)網(wǎng)網(wǎng)關(guān)中的應(yīng)用布署至多個區(qū)域其中一者。配置關(guān)聯(lián)于多個區(qū)域其中至少一者的傳輸通道策略。根據(jù)傳輸信道策略管理多個區(qū)域的封包傳輸。借此，可提升物聯(lián)網(wǎng)網(wǎng)關(guān)的安全管理的彈性與效率。

技術(shù)研發(fā)人員：許文龍,高志文
受保護的技術(shù)使用者：四零四科技股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/2