TWI899725B - 物聯網應用安全分區方法與使用該方法的物聯網閘道器 - Google Patents
物聯網應用安全分區方法與使用該方法的物聯網閘道器Info
- Publication number
- TWI899725B TWI899725B TW112146513A TW112146513A TWI899725B TW I899725 B TWI899725 B TW I899725B TW 112146513 A TW112146513 A TW 112146513A TW 112146513 A TW112146513 A TW 112146513A TW I899725 B TWI899725 B TW I899725B
- Authority
- TW
- Taiwan
- Prior art keywords
- zone
- application
- iot
- service
- zones
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明實施例提出一種物聯網應用安全分區方法與使用該方法的物聯網閘道器。所述物聯網應用安全分區方法適用於物聯網閘道器,並包括下列步驟。透過劃分多個子網路來建立對應至多個子網路的多個區域。將安裝於物聯網閘道器中的一應用佈署至多個區域其中一者。配置關聯於多個區域其中至少一者的傳輸通道策略。根據傳輸通道策略管理多個區域的封包傳輸。
Description
本發明是有關於一種網路安全技術,且特別是有關於一種物聯網應用安全分區方法與使用該方法的物聯網閘道器。
物聯網(IoT)閘道器為促進IoT通信的解決方案,物聯網閘道器主要作為物聯網設備與雲端伺服器之間的傳輸橋梁。許多物聯網數據可經由物聯網閘道器傳送到雲端伺服器進行實時監控和分析。更進一步來說,物聯網閘道器在物聯網系統的各種操作情境中扮演著關鍵角色,物聯網閘道器更可協助企業管理數據傳輸。物聯網閘道器可以將收集的感測數據經由不可信網路(untrusted network)轉發到雲端伺服器,或者將來自不可信網路的控制命令轉發給IoT設備或控制設備。因此,在物聯網環境中,由於IoT設備和控制設備能夠通過物聯網閘道器直接連接到不可信網絡,因此有必要建立防火牆,以保護物聯網系統中的這些IoT設備、控制設備和物聯網閘道器本身免受網絡攻擊的侵害。
然而,隨著物聯網閘道器的功能性不斷發展,物聯網閘道器將負責管理更複雜且數量眾多的應用,例如數據採集與邊緣計算等等。此外,物聯網閘道器還涉及不同安全級別的設備的數據傳輸和自動化控制。因此,對於種種操作情境的需求與安全考量,由傳統的物聯網閘道器或其他網路設備提供的防火牆防護已不再滿足當前的需求。
有鑑於此,本發明實施例提供一種物聯網應用安全分區方法與使用該方法的物聯網閘道器,可解決上述技術問題。
本發明實施例的物聯網應用安全分區方法適用於物聯網閘道器,並包括(但不僅限於)下列步驟。透過劃分多個子網路(subnet)來建立對應至多個子網路的多個區域。將安裝於物聯網閘道器中的一應用佈署至多個區域其中一者。配置關聯於多個區域其中至少一者的傳輸通道策略(conduit policy)。根據傳輸通道策略管理多個區域的封包傳輸。
本發明實施例的物聯網閘道器包括收發器、儲存裝置以及處理器。處理器連接收發器與儲存裝置,並配置以執行下列操作。透過劃分多個子網路來建立對應至多個子網路的多個區域。將安裝於物聯網閘道器中的一應用佈署至多個區域其中一者。配置關聯於多個區域其中至少一者的傳輸通道策略。根據傳輸通道策略管理多個區域的封包傳輸。
基於上述,於本發明實施例中,在建立對應至多個子網路的多個區域之後,可針對這些區域分別配置用以管理封包傳輸的傳輸通道策略。此外,安裝於物聯網閘道器的多個應用可區分至不同區域。於是,各個應用的封包傳輸可基於其所在區域的傳輸通道策略而被管制。如此一來,不僅可大幅提昇物聯網閘道器的網路安全防禦能力,還可提昇物聯網閘道器的安全管理的彈性與效率。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
本發明的部份實施例接下來將會配合附圖來詳細描述,以下的描述所引用的元件符號,當不同附圖出現相同的元件符號將視為相同或相似的元件。這些實施例只是本發明的一部份,並未揭示所有本發明的可實施方式。更確切的說,這些實施例只是本發明的專利申請範圍中的方法與裝置的範例。
本揭露涉及一種物聯網應用安全分區方法以及使用該方法的物聯網(IoT)閘道器。為了增強物聯網的安全性,本揭露提供將物聯網應用劃分為多個區域的分區模型。分區模型可用以管理安裝於物聯網閘道器上的核心服務和應用服務,從而增強現有物聯網應用框架的安全性。IoT閘道器可以建立多個區域,以將各種IoT應用隔離到這些區域中。區域之間的通訊可透過傳輸管道(conduit)進行。在本揭露中,透過建立這些區域的傳輸管道策略,可管理IoT應用的封包傳輸。
從另一個角度來看,本揭露提供了一種IoT閘道器,其具備基於分區模型來將IoT閘道器內部的資料、應用與服務進行隔離的能力。通過將多個應用分隔到多個區域中,可以禁止對部署在IoT閘道器中的一些重要系統設定檔的訪問。在一些實施例中,本揭露提供的分區模型可以無縫構建在現有物聯網應用的資訊技術(IT)框架上,而無需修改現有的IT框架,從而使得在工業環境中對運行技術(OT)領域的安全管理變得更為健壯和高效。
圖1是依據本發明一實施例的物聯網系統的示意圖。參照圖1,IoT系統10包括IoT閘道器110、本地網路120和外部網路130。IoT系統10可以是工業物聯網(IIoT)系統。IIoT是物聯網在工業領域的拓展與使用。
本地網路120可能包括多個IoT設備、一個或多個控制設備和一個或多個網路設備。IoT設備可以是感測器、攝像頭、工業設備、測量設備等。控制設備可以是電腦、可程式設計邏輯控制器(PLC)等。本地網路120中的設備可以直接或間接連接到IoT閘道器110。例如,控制設備可以通過合適的通訊協定(例如乙太網協定、IP或其他資料包協定等)與IoT閘道器110進行通信。IoT設備可以通過有線或無線通訊鏈路連接到控制設備、網路設備或IoT閘道器110,上述有線或無線通訊鏈路例如支援Wi-Fi、藍牙、WirelessHART、HART-IP等通訊協議。
IoT閘道器110連接在本地網路120和外部網路130之間。在一些實施例中,多個應用可部署與安裝於IoT閘道器110中。基於在IoT閘道器110中部署的多個應用,IoT閘道器110可以提供各種IoT功能,如數據收集、邊緣計算、安全認證等。這些應用可以是系統服務(system service)、Docker容器(docker container)等。從另一個角度看,這些應用可以由雲端計算平臺提供,例如Azure平臺、亞馬遜網路服務(AWS)平臺等,這些應用允許使用者在IoT閘道器110上運行雲端智能(cloud intelligence)。
外部網路130可能包括私有伺服器或由雲端計算平臺提供的公共伺服器。值得注意的是,IoT閘道器110可以通過不可信網路連接到外部網路130的設備。換句話說,外部網路130可包括不可信網路(untrusted network)。
圖2是依據本發明一實施例的IoT閘道器的方塊圖。請參照圖2,IoT閘道器110包括收發器113、記憶體112與處理器111。
記憶體112可用以儲存指令、程式碼、軟體模組等等資料,其可以例如是任意型式的固定式或可移動式隨機存取記憶體(random access memory,RAM)、唯讀記憶體(read-only memory,ROM)、快閃記憶體(flash memory)或其他類似裝置、積體電路及其組合。
處理器111可以是中央處理單元(Central Processing Unit,CPU)、通用處理器或是其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位信號處理器(Digital Signal Processor,DSP)、可程式化控制器、現場可程式化邏輯閘陣列(Field Programmable Gate Array,FPGA)、特殊應用積體電路(Application-Specific Integrated Circuit,ASIC)或其他類似元件或上述元件的組合。
於不同實施例中,記憶體112可為獨立於處理器111的分離裝置,或者可整合於處理器111內。
處理器111可存取並執行記錄在記憶體112中的軟體模組,以實現本發明實施例中的物聯網應用安全分區方法。上述軟體模組可廣泛地解釋為意謂指令、指令集、代碼、程式碼、程式、應用程式、軟體套件、執行緒、程序、功能等,而不管其是被稱作軟體、韌體、中間軟體、微碼、硬體描述語言亦或其他者。
收發器113具有發射機(例如,傳輸電路)和接收機(例如,接收電路)。於一些實施例中,收發器113可用以收發時頻分割資訊。收發器113可以執行低雜訊放大(LNA)、阻抗匹配、模數轉換(ADC)、數模轉換(DAC)、頻率混合、上下頻率轉換、濾波、放大和/或類似操作。例如,收發器113可能是符合802.xx標準的WiFi或藍牙收發器。例如,收發器113可能包含在USB埠或用於建立有線連結的介面中。
圖3是依據本發明一實施例的物聯網應用安全分區方法的流程圖。請參照圖3,本實施例的方法可由圖1的IoT閘道器110執行,以下即搭配圖1與圖2所示的元件說明圖3各步驟的細節。
於步驟S302,處理器111透過劃分多個子網路來建立對應至多個子網路的多個區域。本揭露對於區域的數量並不限制,其可以根據實際需求進行配置。於一些實施例中,處理器111透過建立虛擬網路介面來劃分多個子網路,而各個子網路對應至一個IP位址範圍。換句話說,這些區域可透過產生虛擬橋接器(virtual bridges)或虛擬網路而創建,且每個區域可以與對應子網路的IP位址範圍相關聯。
於步驟S304,處理器111將安裝於IoT閘道器110中的一應用佈署至多個區域其中一者。進一步來說,每個區域可視為具有相似安全需求的應用的邏輯分群。安裝在IoT閘道器110中的應用可能是容器(containers)、服務(services)或常駐程式(daemons)。此外,在一些實施例中,根據每個應用的分區標籤,部署在IoT閘道110中的每個應用可能被分配到相應的區域。應用的分區標籤可以根據預定義的規則或使用者操作進行設置。
舉例來說,關於資訊技術(Operational Technology,IT)服務的一些應用可部署至第一區域內,且關於操作技術(Operational Technology,OT)服務的一些應用可部署至第二區域內。此外,關於核心服務的一些應用可部署至第三區域內。
於一些實施例中,處理器111可指派某一子網路(即多個子網路其中一者)的IP位址範圍內的特定IP位址予一應用,以將此應用佈署至對應於多個子網路其中一者的多個區域其中一者。更具體來說,當處理器111決定將一應用佈署至第一區域,處理器111可指派第一區域對應的子網路的IP位址範圍內的IP位址給該應用。在此應用被指派此特定IP位址的情況下,此應用可視為被劃分至對應的區域。
於步驟S306,處理器111配置關聯於多個區域其中至少一者的傳輸通道策略。於步驟S308,處理器111根據傳輸通道策略(conduit policy)管理多個區域的封包傳輸。傳輸通道策略可包括多個區域其中至少一者的存取規則。在本揭露中,傳輸通道(conduit)可代表不同區域之間的受控通訊路徑或溝通通道。對應的,傳輸通道策略可用於管理區域之間的封包傳輸。例如,傳輸通道策略可以阻止從第一區域到第二區域的封包傳輸。此外,傳輸通道策略可用於管理包括IoT閘道器110中一些應用的區域與不可信網路(即外部網路)之間的封包傳輸。
於一些實施例中,處理器111建立的多個區域可包括IT服務區域與OT服務區域。IT服務區域包括至少一IT服務應用,且OT服務區域包括至少一OT服務應用。此外,處理器111建立的多個區域還可包括管理區域,且管理區域包括至少一安全服務(secure service)應用。
圖4是依據本發明一實施例的分區模型的示意圖。請參照圖4,IoT閘道器410可以將應用部署到三個區域Z1~Z3。於本實施例中,區域Z1為OT服務區域,而區域Z2為IT服務區域。區域Z3為管理區域。
與OT服務相關的OT服務應用,像是資料獲取應用,可被部署到區域Z1。與IT服務相關的IT服務應用,像是邊緣計算應用和資料傳輸應用,可會部署到區域Z2。與核心服務相關的應用程式,例如安全服務應用、設備管理服務應用和憑證服務應用,可被部署到區域Z3。
區域Z1中的應用和區域Z3中的應用可以通過本地區域網路(LAN)與工業自動化和控制系統(IACS)區域42內的設備通信,以執行與IACS區域42內設備相關的功能,像是從IoT設備收集資料或控制工業設備等等。區域Z2中的應用和區域Z3中的應用程式可以通過廣域網路(WAN)與不可信網路41通信,以執行與不可信網路41內設備相關的功能,例如將資料傳輸到雲端伺服器或自外部伺服器接收用以控制IACS區域42內設備的控制命令等等。值得注意的是,區域Z1和區域Z2之間的通信是被禁止的。通過將IoT閘道410的多個應用劃分到區域Z1~Z3之中,可以有效地管理IoT閘道410內部服務的封包傳輸,從而提高物聯網安全性。
圖5是依據本發明一實施例的佈署應用至區域的示意圖。請參照圖5,在創建區域Z1~Z3之後,這些區域Z1~Z3之間的傳輸通道可被設計來管理存取、防止未經授權的活動、阻止威脅或惡意軟體的傳播,並維護網路傳輸的完整性和機密性。
在一些實施例中,IoT閘道器510可配置關聯於區域Z1~Z3其中至少一者有關的傳輸通道策略。具體而言,IoT閘道器510可以為一個或多個傳輸通道配置傳輸通道策略,從而可以根據傳輸通道的傳輸通道策略來管理應用的封包傳輸。IoT閘道器510可以為區域Z1和IACS區域52之間的傳輸通道配置傳輸通道策略CP1_1,且IoT閘道器510可以為區域Z3和IACS區域52之間的傳輸通道配置另一傳輸通道策略CP1_2,以管理和監控區域Z1中的應用與IACS區域52之間的封包傳輸以及區域Z3中的應用與IACS區域52之間的封包傳輸。傳輸通道策略CP1_1和CP1_2可以相同也可以不同,本揭露對此不限制。
IoT閘道器510可以為區域Z1和區域Z2之間的傳輸通道配置傳輸通道策略CP2,因此可以管理和監控區域Z1中的應用與區域Z2中的應用之間的封包傳輸。在一些實施例中,基於傳輸通道策略CP2,區域Z1中的應用和區域Z2中的應用將無法相互通信。在一些實施例中,IoT閘道器510可省略為區域Z2和區域Z1之間的傳輸通道配置傳輸通道策略。當然,如果在某些情況下需要封包傳輸,則可以相應地設置區域Z2和區域Z1之間的傳輸通道策略CP2。
此外,IoT閘道器510可以為區域Z1和區域Z3之間的傳輸通道以及區域Z2和區域Z3之間的傳輸通道配置傳輸通道策略CP3。因此,可以管理和監控區域Z2中的應用與區域Z3中的應用之間的封包傳輸,以及管理和監控區域Z1中的應用與區域Z3中的應用之間的封包傳輸。
IoT閘道器510可以為區域Z2和不可信網路51之間的傳輸通道配置傳輸通道策略CP4,因此可以管理和監控區域Z2中的應用與不可信網路51之間的封包傳輸。IoT閘道器510還可以為區域Z3和不可信網路51之間的傳輸通道配置傳輸通道策略CP5,因此可以管理和監控區域Z3中的應用與不可信網路51之間的封包傳輸。
值得注意的是,不同區域Z1至Z3中的應用可能屬於由雲端平臺提供的單個服務模組。例如,服務模組“IoTedge”的應用可能分配到不同的區域Z1至Z3。如圖5所示,“IoTedge”服務模組的應用501至503可能分配到區域Z3。服務模組“IoTedge”的應用504可能分配到區域Z1,而服務模組“IoTedge”的應用505可能分配到區域Z2。也就是說,本公開的方法可以在現有的IoT應用程式框架上實現。
於一些實施例中,IoT閘道器510可獲取由一雲端服務平台提供的服務模組,其中此服務模組包括一或多個應用。當服務模組的應用屬於高資料安全等級,IoT閘道器510將此應用佈署至管理區域。當此服務模組的應用屬於低資料安全等級,IoT閘道器510將應用佈署至IT服務區域或OT服務區域。更具體而言,雲端服務平台提供的服務模組可包括多個應用,而這些應用根據其所處理之資料安全等級而可被區分至不同區域。雲端平臺提供的單個服務模組的多個應用可包括對應至高資料安全等級的應用與對應至低資料安全等級的應用。於圖5的實施範例中,當安裝雲端服務平台提供的服務模組於IoT閘道器510上的時候,對應至高資料安全等級的應用(例如應用501至503)可部署到區域Z3,而屬於同一服務模組之對應至低資料安全等級的其他應用(例如應用504或505)可依照場景需求而部署到區域Z1或Z2。
在一些實施例中,可為在IoT閘道器510中部署的某一應用指派一個分區標籤。因此,可以根據分區標籤將該應用部署到相應的區域。應用的分區標籤可以根據使用者操作或預定義規則進行指派。例如,區域Z1中的一或多個應用可以被指派相同的分區標籤,以便被分組到同一區域Z1中。例如,對於一個Docker容器,分區標籤可以通過設置參數“--network”進行指派。對於Azure IoT Edge模組,分區標籤可以通過設置參數“NetworkMode”進行指派。對於Linux系統服務,分區標籤可以通過設置參數“RestrictNetworkInterfaces”進行指派。
圖6是依據本發明一實施例的建立區域的示意圖。請參照圖6,IoT閘道器610可以使用子網路劃分工具61來創建多個區域(例如,區域Z6)。上述子網路劃分工具61可建立虛擬網路介面(virtual net interface)而產生對應至一IP位址範圍的子網路。IoT閘道器610可通過劃分IP位址範圍或使用網路命名空間(network namespace)來創建多個區域。例如,IoT閘道器610可以通過建立Docker橋接或虛擬網路(Vnets)來創建分別對應至不同IP位址範圍的多個區域。IoT閘道器610可以為部署在IoT閘道器610中的特定應用指派某一子網路內的IP位址,從而將特定應用分配到與該子網路對應的區域。舉例來說,區域Z6中所有應用的IP位址位於區域Z6對應子網路的IP位址範圍內(例如,192.168.*)。
此外,透過使用封包管理工具62,例如iptables、nftables或防火牆,可以管理網際網路區域63與區域Z6之間的傳輸通道以及私有區域64與區域Z6之間的傳輸通道的通訊。也就是說,可通過使用iptables、nftables或防火牆來配置每個傳輸通道的傳輸通道策略。因此,基於使用iptables、nftables或防火牆配置的傳輸通道策略,可根據預定義規則和策略控制和管理網路流量而增強物聯網系統的網路安全性。
於一些實施例中,這些區域可包括第一區域與第二區域。第一區域的傳輸通道策略包括多個規則,這些規則包括允許封包自第一區域傳遞至不可信網路、拒絕封包自第一區域經由本地區域網路傳遞至工作場域、拒絕封包自不可信網路傳遞至第一區域,或條件性允許封包自不可信網路傳遞至第一區域。
舉例來說,圖7A是依據本發明一實施例的區域的傳輸通道策略的示意圖。請參照圖7A,IoT閘道器710可為區域Z2和不受信任網路區之間配置傳輸通道策略CP71。區域Z2可為IT服務區域。區域Z2的傳輸通道策略CP71可包括規則a、規則b、規則c與規則d其中至少一項。
規則a:允許封包自區域Z2傳遞至不可信網路71。規則b:拒絕封包自區域Z2經由本地區域網路LAN傳遞至工作場域72。規則c:拒絕封包自不可信網路71傳遞至區域Z2。規則d:條件性允許來自不受信任網路71的封包到達區域Z2。基此,可以監視和管理IT服務區域與不受信任網路區71之間的傳輸通道,以防止來自不受信任網路71的網路攻擊(例如分散式拒絕服務(DDoS))。
於一些實施例中,這些區域包括第一區域、第二區域與第三區域。關聯於第三區域的傳輸通道策略包括多個規則。多個規則包括拒絕第一區域或第二區域中的第一應用與第三區域的第二應用之間的封包傳輸,或允許第一區域或第二區域中的第一應用與第三區域的第三應用之間的封包傳輸。多個規則更包括拒絕封包自不可信網路傳遞至第三區域。
舉例來說,圖7B是依據本發明一實施例的區域的傳輸通道策略的示意圖。請參照圖7B,IoT閘道器710可為區域Z2和區域Z3之間的傳輸通道與區域Z1和區域Z3之間的傳輸通道配置傳輸通道策略CP72。區域Z1可為OT服務區域。區域Z2可為IT服務區域。區域Z3可為管理區域。關聯於區域Z3的傳輸通道策略CP72可包括規則e與規則f其中至少一項。
規則e:拒絕區域Z1或區域Z2中的第一應用與區域Z3的第二應用之間的封包傳輸。規則f:允許區域Z1或區域Z2中的第一應用與區域Z3的第三應用之間的封包傳輸。第二應用與第三應用為區域Z3中的不同的應用。換言之,區域Z1或區域Z2中的第一應用可透過許可權控制來訪問區域Z3,亦即傳輸通道策略CP72可僅允許區域Z1與區域Z3之間的經授權封包流與區域Z2與區域Z3之間的經授權封包流。例如,藉由利用容器安全設定檔(container security profiles),區域Z1和區域Z2中的應用可訪問管理區域Z3。此外,傳輸通道策略CP72可允許雲端平臺提供的某一服務模組的應用訪問管理區域Z3中同一服務模組的應用。例如,傳輸通道策略CP72可允許區域Z1和Z2中的應用訪問管理區域Z3中具有特定埠的應用。此外,需要注意的是,傳輸通道策略CP72可拒絕管理區域Z3中的一些應用被區域Z1和Z2中的應用訪問。也就是說,區域Z3中的一些應用可被隔離,從而提高管理服務與安全服務的安全性。
舉例來說,圖7C是依據本發明一實施例的區域的傳輸通道策略的示意圖。請參照圖7C,IoT閘道器710可為不可信網路71和區域Z3之間的傳輸通道配置傳輸通道策略CP73。區域Z1可為OT服務區域。區域Z2可為IT服務區域。區域Z3可為管理區域。關聯於區域Z3的傳輸通道策略CP73可包括規則g與規則h其中至少一項。
規則g:允許區域Z3的資料包與不受信任網路71中的受信任服務進行通信。規則h:拒絕來自不受信任網路71的封包到達區域Z3。這樣,可以監視和區域Z3與不受信任網路71之間的傳輸通道,以防止來自不受信任網路71的網路攻擊(例如分散式拒絕服務(DDoS))。
於一些實施例中,這些區域包括第一區域、第二區域與第三區域。第二區域的傳輸通道策略包括多個規則。多個規則包括拒絕封包自第二區域傳遞至不可信網路,或允許封包自第二區域傳遞至本地區域網路。
舉例來說,圖7D是依據本發明一實施例的區域的傳輸通道策略的示意圖。請參照圖7D,IoT閘道器710可為區域Z1與工作場域72之間的傳輸通道配置傳輸通道策略CP74。區域Z1可為OT服務區域。區域Z2可為IT服務區域。區域Z3可為管理區域。關聯於區域Z1的傳輸通道策略CP74可包括規則i與規則j其中至少一項。規則i:拒絕封包自區域Z1傳遞至不可信網路71。規則j:允許封包自區域Z1傳遞至經由本地區域網路中的工作場域72。
在採用Linux核心的IoT閘道器的一些實施例中,區域Z1~Z3和傳輸通道策略在應用層實現。據此,Linux核心中的netfilter可以根據傳輸通道策略過濾封包。
於一些實施例中,IoT閘道器可獲取應用的分區標籤,其中分區標籤對應至多個區域其中一者。當安裝應用至物聯網閘道器,IoT閘道器可根據應用的分區標籤將應用佈署至多個區域其中一者。
圖8是依據本發明一實施例的根據分區標籤佈署應用至區域的示意圖。請參照圖8,於步驟S81,管理者U1可決定不同應用各自對應的分區標籤L1。於步驟S82,管理者U1設置的分區標籤L1可儲存至物聯網中心(IoT Hub)H1。於步驟S83,當要安裝應用至IoT閘道器801,不同應用對應的分區標籤L1可自物聯網中心H1傳遞至IoT閘道器801中的分區模組M1,以實現遠端部屬IoT閘道器801的多個區域內的應用的結果。於步驟S84,分區模組M1可將分區標籤L1提供給IoT閘道器801中的安裝模組M2。於步驟S85,安裝模組M2自服務供應伺服器SS1(例如雲端服務平台)下載應用A1、A2。於步驟S86與S87,於應用A1、A2的安裝過程中,安裝模組M2根據分區標籤L1指派不同子網路的IP位址給應用A1、A2,以將不同應用A1、A2分別部屬至區域Z1與區域Z2。此外,透過如同前述實施例說明的傳輸通道的傳輸通道策略的配置,企業伺服器SS2與應用A2之間的封包傳輸是允許的。然而,攻擊者B1與IoT閘道器801內部任一區域的封包傳輸是拒絕的。
須說明的是,本申請各個實施例的任意內容,以及同一實施例的任意內容,均可以自由組合。對上述內容的任意組合均在本申請的範圍之內。
綜上所述,本揭露適用於IoT系統中的IoT閘道器,並通過建立區域和傳輸通道來增強物聯網(IoT)設備的安全性。具體而言,部署在IoT閘道器中的應用可以被分區至多個區域。每個區域可以關聯不同的傳輸通道策略和許可權控制,確保只有經授權的實體可以訪問和執行特定功能。也就是說,通過為區域建立傳輸通道策略,可以限制和控制應用之間的通信。這些傳輸通道策略可能管理特定類型流量的流動、過濾和阻止,確保只有經授權的通信在不同區域之間發生。因此,本公開的方法可以保護物聯網系統免受未經授權的訪問和潛在威脅,從而提高物聯網環境的整體安全性和可信度。此外,由於可以區域為主體來設置傳輸通道策略,可大幅提昇封包管理策略的配置效率與彈性,更可提昇遠端部屬應用服務的可行性。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
10:物聯網系統
120:本地網路
130:外部網路
110,410,510,610,710,810:IoT閘道器
113:收發器
112:記憶體
111:處理器
Z1,Z2,Z3,Z6:區域
41,51,71,81:不可信網路
42,52,72:IACS區域
CP1_1,CP1_2,CP2,CP3,CP4,CP5,CP71,CP72,CP73,CP74:傳輸通道策略
501,502,503,504,505,A1,A2:應用
61:子網路劃分工具
62:封包管理工具
63:網際網路區域
64:私有區域
U1:管理者
L1:分區標籤
H1:物聯網中心
M1:分區模組
M2:安裝模組
B1:攻擊者
SS1:服務供應伺服器
SS2:企業伺服器
S302~S308、S81~S87:步驟
圖1是依據本發明一實施例的物聯網系統的示意圖。
圖2是依據本發明一實施例的物聯網閘道器的方塊圖。
圖3是依據本發明一實施例的物聯網應用安全分區方法的流程圖。
圖4是依據本發明一實施例的分區模型的示意圖。
圖5是依據本發明一實施例的佈署應用至區域的示意圖。
圖6是依據本發明一實施例的建立區域的示意圖。
圖7A至7D是依據本發明一實施例的區域的傳輸通道策略的示意圖。
圖8是依據本發明一實施例的根據分區標籤佈署應用至區域的示意圖。
S302~S308:步驟
Claims (22)
- 一種物聯網應用安全分區方法,適用於一物聯網閘道器,所述方法包括:透過劃分多個子網路(subnet)來建立對應至所述多個子網路的多個區域;將安裝於所述物聯網閘道器中的一應用佈署至所述多個區域其中一者;配置關聯於所述多個區域其中至少一者的傳輸通道策略(conduit policy);以及根據所述傳輸通道策略管理所述多個區域的封包傳輸,其中透過劃分所述多個子網路來建立對應至所述多個子網路的所述多個區域的步驟包括:透過建立虛擬網路介面來劃分所述多個子網路,其中各所述多個子網路對應至一IP位址範圍。
- 如請求項1所述的物聯網應用安全分區方法,其中將安裝於所述物聯網閘道器中的所述應用佈署至所述多個區域其中所述一者的步驟包括:指派所述多個子網路其中一者的所述IP位址範圍內的一特定IP位址予所述應用,以將所述應用佈署至對應於所述多個子網路其中所述一者的所述多個區域其中所述一者。
- 如請求項1所述的物聯網應用安全分區方法,其中所述多個區域包括資訊技術(Information Technology,IT)服務區域與操作技術(Operational Technology,OT)服務區域,所述IT服務區域包括至少一IT服務應用,且所述OT服務區域包括至少一OT服務應用。
- 如請求項3所述的物聯網應用安全分區方法,其中所述多個區域還包括管理區域,且所述管理區域包括至少一安全服務應用。
- 如請求項4所述的物聯網應用安全分區方法,其中將安裝於所述物聯網閘道器中的所述應用佈署至所述多個區域其中一者的步驟包括:獲取由一雲端服務平台提供的服務模組,其中此服務模組包括所述應用;當所述應用屬於高資料安全等級,將所述應用佈署至所述管理區域;以及當所述應用屬於低資料安全等級,將所述應用佈署至所述IT服務區域或所述OT服務區域。
- 如請求項1所述的物聯網應用安全分區方法,所述方法更包括:獲取所述應用的分區標籤,其中所述分區標籤對應至所述多個區域其中所述一者。
- 如請求項6所述的物聯網應用安全分區方法,其中將安裝於所述物聯網閘道器中的所述應用佈署至所述多個區域其中所述一者的步驟包括:當安裝所述應用至所述物聯網閘道器,根據所述應用的所述分區標籤將所述應用佈署至所述多個區域其中所述一者。
- 如請求項1所述的物聯網應用安全分區方法,其中所述多個區域包括第一區域與第二區域,關聯於所述第一區域的所述傳輸通道策略包括多個規則,所述多個規則包括允許封包自所述第一區域傳遞至不可信網路、拒絕封包自第一區域經由本地區域網路傳遞至工作場域、拒絕封包自所述不可信網路傳遞至所述第一區域,或條件性允許封包自所述不可信網路傳遞至所述第一區域。
- 如請求項1所述的物聯網應用安全分區方法,其中所述多個區域包括第一區域、第二區域與第三區域,關聯於所述第三區域的所述傳輸通道策略包括多個規則,所述多個規則包括拒絕所述第一區域或所述第二區域中的第一應用與所述第三區域的第二應用之間的封包傳輸,或允許所述第一區域或所述第二區域中的所述第一應用與所述第三區域的第三應用之間的封包傳輸。
- 如請求項9所述的物聯網應用安全分區方法,其中所述多個規則還包括拒絕封包自不可信網路傳遞至所述第三區域。
- 如請求項1所述的物聯網應用安全分區方法,其中所述多個區域包括第一區域、第二區域與第三區域,關聯於所述第二區域的所述傳輸通道策略包括多個規則,所述多個規則包括拒絕封包自所述第二區域傳遞至不可信網路,或允許封包自所述第二區域傳遞至本地區域網路。
- 一種物聯網閘道器,包括:一收發器;一儲存裝置;以及一處理器,連接所述收發器與所述儲存裝置,經配置以:透過劃分多個子網路來建立對應至所述多個子網路的多個區域;將安裝於所述物聯網閘道器中的一應用佈署至所述多個區域其中一者;配置關聯於所述多個區域其中至少一者的傳輸通道策略;以及根據所述傳輸通道策略管理所述多個區域的封包傳輸,其中所述處理器更經配置以:透過建立虛擬網路介面來劃分所述多個子網路,其中各所述多個子網路對應至一IP位址範圍。
- 如請求項12所述的物聯網閘道器,其中所述處理器更經配置以:指派所述多個子網路其中一者的所述IP位址範圍內的一特定IP位址予所述應用,以將所述應用佈署至對應於所述多個子網路其中所述一者的所述多個區域其中所述一者。
- 如請求項12所述的物聯網閘道器,其中所述多個區域包括資訊技術服務區域與操作技術服務區域,所述IT服務區域包括至少一IT服務應用,且所述OT服務區域包括至少一OT服務應用。
- 如請求項14所述的物聯網閘道器,其中所述多個區域還包括管理區域,且所述管理區域包括至少一安全服務應用。
- 如請求項15所述的物聯網閘道器,其中所述處理器更經配置以:獲取由一雲端服務平台提供的服務模組,其中此服務模組包括所述應用;當所述應用屬於高資料安全等級,將所述應用佈署至所述管理區域;以及當所述應用屬於低資料安全等級,將所述應用佈署至所述IT服務區域或所述OT服務區域。
- 如請求項12所述的物聯網閘道器,其中所述處理器更經配置以:獲取所述應用的分區標籤,其中所述分區標籤對應至所述多個區域其中所述一者。
- 如請求項17所述的物聯網閘道器,其中所述處理器更經配置以:當安裝所述應用至所述物聯網閘道器,根據所述應用的所述分區標籤將所述應用佈署至所述多個區域其中所述一者。
- 如請求項12所述的物聯網閘道器,其中所述多個區域包括第一區域與第二區域,關聯於所述第一區域的所述傳輸通道策略包括多個規則,所述多個規則包括允許封包自所述第一區域傳遞至不可信網路、拒絕封包自第一區域經由本地區域網路傳遞至工作場域、拒絕封包自所述不可信網路傳遞至所述第一區域,或條件性允許封包自所述不可信網路傳遞至所述第一區域。
- 如請求項12所述的物聯網閘道器,其中所述多個區域包括第一區域、第二區域與第三區域,關聯於所述第三區域的所述傳輸通道策略包括多個規則,所述多個規則包括拒絕所述第一區域或所述第二區域中的第一應用與所述第三區域的第二應用之間的封包傳輸,或允許所述第一區域或所述第二區域中的所述第一應用與所述第三區域的第三應用之間的封包傳輸。
- 如請求項20所述的物聯網閘道器,其中所述多個規則還包括拒絕封包自不可信網路傳遞至所述第三區域。
- 如請求項12所述的物聯網閘道器,其中所述多個區域包括第一區域、第二區域與第三區域,關聯於所述第二區域的所述傳輸通道策略包括多個規則,所述多個規則包括拒絕封包自所述第二區域傳遞至不可信網路,或允許封包自所述第二區域傳遞至本地區域網路。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US18/534,735 US20250007881A1 (en) | 2023-06-30 | 2023-12-11 | Method of secure compartmentalization for iot application and iot gateway using the same |
| EP23215465.8A EP4485854A1 (en) | 2023-06-30 | 2023-12-11 | Method of secure compartmentalization for iot application and iot gateway using the same |
| CN202311704197.2A CN119233262A (zh) | 2023-06-30 | 2023-12-12 | 物联网应用安全分区方法及物联网网关 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202363524226P | 2023-06-30 | 2023-06-30 | |
| US63/524,226 | 2023-06-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202504289A TW202504289A (zh) | 2025-01-16 |
| TWI899725B true TWI899725B (zh) | 2025-10-01 |
Family
ID=95152635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW112146513A TWI899725B (zh) | 2023-06-30 | 2023-11-30 | 物聯網應用安全分區方法與使用該方法的物聯網閘道器 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI899725B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180213002A1 (en) * | 2017-01-23 | 2018-07-26 | Hysolate Ltd. | Techniques for controlling and regulating network access on air-gapped endpoints |
| EP3425873B1 (en) * | 2017-07-05 | 2020-07-29 | Wipro Limited | Method and system for processing data in an internet of things (iot) environment |
| US10812526B2 (en) * | 2017-04-24 | 2020-10-20 | Caligo Systems Ltd. | Moving target defense for securing internet of things (IoT) |
| EP3557463B1 (de) * | 2018-04-16 | 2020-10-21 | Siemens Aktiengesellschaft | Verfahren und ausführungsumgebung zum ausführen von programmcode auf einem steuergerät |
| EP3907969A1 (en) * | 2020-05-08 | 2021-11-10 | Rockwell Automation Technologies, Inc. | Configuration of security event management in an industrial environment |
| US20230152988A1 (en) * | 2021-11-15 | 2023-05-18 | Samsung Electronics Co., Ltd. | Storage device and operation method thereof |
-
2023
- 2023-11-30 TW TW112146513A patent/TWI899725B/zh active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180213002A1 (en) * | 2017-01-23 | 2018-07-26 | Hysolate Ltd. | Techniques for controlling and regulating network access on air-gapped endpoints |
| US10812526B2 (en) * | 2017-04-24 | 2020-10-20 | Caligo Systems Ltd. | Moving target defense for securing internet of things (IoT) |
| EP3425873B1 (en) * | 2017-07-05 | 2020-07-29 | Wipro Limited | Method and system for processing data in an internet of things (iot) environment |
| EP3557463B1 (de) * | 2018-04-16 | 2020-10-21 | Siemens Aktiengesellschaft | Verfahren und ausführungsumgebung zum ausführen von programmcode auf einem steuergerät |
| EP3907969A1 (en) * | 2020-05-08 | 2021-11-10 | Rockwell Automation Technologies, Inc. | Configuration of security event management in an industrial environment |
| US20230152988A1 (en) * | 2021-11-15 | 2023-05-18 | Samsung Electronics Co., Ltd. | Storage device and operation method thereof |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202504289A (zh) | 2025-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alam et al. | A survey of network virtualization techniques for Internet of Things using SDN and NFV | |
| US12506790B2 (en) | Adaptive access control management | |
| US20240372883A1 (en) | Anomaly detection including property changes | |
| EP3725054B1 (en) | Contextual risk monitoring | |
| US12289294B2 (en) | Dynamic segmentation management | |
| Kuipers et al. | Control systems cyber security: Defense in depth strategies | |
| EP4022865B1 (en) | Autonomous policy enforcement point configuration for role based access control | |
| AU2015296791B2 (en) | Method and system for providing a virtual asset perimeter | |
| Osman et al. | Transparent microsegmentation in smart home {IoT} networks | |
| Cunha et al. | 5 Growth: Secure and reliable network slicing for verticals | |
| CN107579993B (zh) | 一种网络数据流的安全处理方法及装置 | |
| TWI899725B (zh) | 物聯網應用安全分區方法與使用該方法的物聯網閘道器 | |
| JP2005236394A (ja) | ネットワークシステム及びネットワーク制御方法 | |
| EP4485854A1 (en) | Method of secure compartmentalization for iot application and iot gateway using the same | |
| US12407697B2 (en) | Network access control from anywhere | |
| Hesselman et al. | SPIN: a user-centric security extension for in-home networks | |
| Shaghaghi et al. | Towards policy enforcement point as a service (peps) | |
| KR20210012902A (ko) | I2nsf 등록 인터페이스 yang 데이터 모델 | |
| AU2019347611A1 (en) | Segmentation management including translation | |
| Szigeti et al. | INTENT-BASED NETWORKING FROM THE IOT EDGE TO THE APPLICATION SERVER | |
| Raihan et al. | Securing a Network by Using VLAN, Port Security and Access Control List | |
| Varadharajan et al. | Security Architecture for IoT | |
| Waithaka | Configuring High Availability for a Data Center Using Palo Alto Next Generation Firewall |