基于物联网面临的各种安全威胁分析,安全管理包含了设备管理、拓扑管理、策略管理、事件管理和应急管理。设备管理只对安全设备进行系统的在线或离线管理,并实现设备间的互动防御。拓扑管理就是对安全设备的拓扑结构、连接关系和工作情况进行管理;事件管理就是对安全设备上传的安全事件进行系统的格式处理、排序或者过滤等;策略管理就是指灵活设置安全策略;应急管理是指发生重大安全事件时对安全设备和工作人员的应急联动。
基于安全管理的框架,可以设计出以下两个重要的安全管理系统:
第一,基于SOA(面向服务)的安全管理系统设计。为了迎合物联网多网融合的特性,满足其互联互通的需求,可以采用基于SOA架构的系统来实现安全管理。SOA是一个组件模型,它通过服务之间的良好接口和契约,将应用程序的不同功能单元联系起来,实现硬件平台、编程语言和操作系统的有机结合。基于SOA的管理架构图如下:
基于SOA的安全管理结构图
如图所示,管理客户端和后台服务统称为管理平台,管理客户端和后台服务通过SOAP所描述的XML文件进行通信。其中,管理客户端采用前述的Eclipse RCP结构的应用程序框架,由6个插件部署在RCP框架中构成;后台服务由web服务实现,通过WSDL描述的接口进行发布。
SOAP负责通信和多项附加协议所保证的各个方面,它是基于XML的用于应用程序数据编码的传输协议,提供了一种可通过多种底层协议进行交互的数据结构。这种框架的设计思想独立于任何一种特定的编程模型。
第二,统一身份管理及访问控制系统。该系统可以构建企业级用户目录管理,实现不同用户群体之间的系统认证,并可以将大量分散的系统和信息进行连接和整合。其系统采用先进的面向服务的体系架构,基于PKI理论体系,提供身份认证、单点登录、访问授权和策略管理。这些服务综合起来,组成了企业一站式服务平台。身份管理及访问控制系统的基本模块如下:
(1)认证中心。存储企业用户的目录,完成对用户角色、身份等信息的体系管理。
(2)访问管理和授权系统。负责用户的授权、角色分配;访问策略的管理与定制;用户授权数据的自动同步和用户访问的安全审计。
(3)身份认证服务。身份认证前置为应用系统提供安全认证接口、访问请求和中转认证,完成对用户身份认证和角色的互换。其技术原理是:将代表用户身份的数字证书或者相应的密匙在密码钥匙中,认证时,有密匙完成数字签名和加密。信息以秘文的形式在网络中传输,具有很高的安全性。
(4)访问控制服务。就是应用系统插件从应用系统中得到单点登录所需的用户信息,并生成访问业务系统的请求,对敏感信息加密签名。
(5)CA中心和数据证书网上受理系统。负责用户身份认证和单点系统中的证书签发用户身份证凭证的制作。
(6)单点登录系统。单点登录系统基于数字证书,使各种数据资源和防卫系统成为一个有机的整体,通过在各个信息终端安装访问代理中间件,与防卫系统的认证服务器进行通信。
赣公网安备 36011102000373号
售前咨询