用于在物联网环境中管理基于IoT的设备的方法和系统[发明专利]

(12)发明专利申请

(10)申请公布号 CN 111971941 A(43)申请公布日 2020.11.20

(21)申请号 201980022287.9(22)申请日 2019.01.25(30)优先权数据

18153611.1 2018.01.26 EP(85)PCT国际申请进入国家阶段日2020.09.25(86)PCT国际申请的申请数据

PCT/EP2019/051847 2019.01.25(87)PCT国际申请的公布数据WO2019/145474 EN 2019.08.01(71)申请人 西门子股份公司地址 德国慕尼黑(72)发明人 A·维尔玛　

权利要求书3页 说明书9页 附图8页

(74)专利代理机构 中国专利代理(香港)有限公

司 72001

代理人 张健　刘春元(51)Int.Cl.

H04L 29/06(2006.01)

CN 111971941 A(54)发明名称

用于在物联网环境中管理基于IoT的设备的方法和系统(57)摘要

公开了一种用于在物联网（IoT）环境（100，700）中管理基于IoT的设备（104A‑N）的方法和系统。在一个实施例中，所述方法包括：确定至少一个基于IoT的设备（104A）对至少一个预定义安全要求的违反。然后，所述方法包括：根据与基于IoT的设备（104A）相关联的信息来生成基于IoT的设备（104A）的唯一签名。所述方法包括：终止基于IoT的设备（104A）与IoT云平台（102）之间的通信。此外，所述方法包括：向连接到IoT云平台（102）的基于IoT的设备（104B‑N）发送第一通知，所述第一通知指示基于IoT的设备（104A）违反了所述至少一个预定义安全要求。所述第一通知包括基于IoT的设备（104A）的唯一签名。

CN 111971941 A

权　利　要　求　书

1/3页

1.一种用于在物联网（IoT）环境（100，700）中管理基于IoT的设备（104A-N）的方法，所述物联网（IoT）环境（100，700）包括IoT云平台（102）、以及可连接到IoT云平台（102）的多个基于IoT的设备（104A-N），所述方法包括：

a）由IoT云平台（102）确定（302）至少一个易受攻击的基于IoT的设备（104A）对至少一个预定义安全要求的违反；

b）当确定所述至少一个易受攻击的基于IoT的设备（104A）对所述至少一个预定义安全要求的违反时，由IoT云平台（102）终止（306）与易受攻击的基于IoT的设备（104A）的通信；

c）由IoT云平台（102）基于与易受攻击的基于IoT的设备（104A）相关联的信息来生成（304）易受攻击的基于IoT的设备（104A）的唯一签名；以及

d）由IoT云平台（102）向连接到IoT云平台（102）的一个或多个其他非易受攻击的基于IoT的设备（104B-N）发送（308）第一通知，所述第一通知指示易受攻击的基于IoT的设备（104A）违反了所述至少一个预定义安全要求，其中所述第一通知包括易受攻击的基于IoT的设备（104A）的唯一签名，以及

e）其中非易受攻击的基于IoT的设备（104B-N）中的一个或多个基于所述第一通知中的易受攻击的基于IoT的设备（104A）的唯一签名而终止与易受攻击的基于IoT的设备（104A）的通信。

2.根据权利要求1所述的方法，进一步包括：由IoT云平台（102）将易受攻击的基于IoT的设备（104A）的唯一签名存储在易受攻击设备数据库（112）中。

3.根据权利要求1或2所述的方法，进一步包括：由IoT云平台（102）确定校正动作，所述校正动作用于解决易受攻击的基于IoT的设备（104A）对所述至少一个预定义安全要求的违反。

4.根据权利要求1至3中任一项所述的方法，进一步包括：由IoT云平台（102）对易受攻击的基于IoT的设备（104A）执行所述校正动作，使得易受攻击的基于IoT的设备（104A）满足所述至少一个预定义安全要求。

5.根据权利要求1至4中任一项所述的方法，进一步包括：由IoT云平台（102）确定易受攻击的基于IoT的设备（104A）是否符合预定义安全要求；如果易受攻击的基于IoT的设备（104A）符合预定义安全要求，这指示易受攻击的基于IoT的设备（104A）变成了非易受攻击的基于IoT的设备（104A），则由IoT云平台（102）从易受攻击设备数据库（112）中删除易受攻击的基于IoT的设备（104A）的唯一签名；

由IoT云平台（102）激活现在非易受攻击的基于IoT的设备（104A）与IoT云平台（102）之间的暂停的通信链路（116A）；以及

由IoT云平台（102）向IoT环境（100）中的其他非易受攻击的基于IoT的设备（104B-N）发送第二通知，所述第二通知指示现在非易受攻击的基于IoT的设备（104A）符合预定义安全要求。

6.根据权利要求1或2所述的方法，其中生成易受攻击的基于IoT的设备（104A）的唯一签名包括：

由IoT云平台（102）使用指派给易受攻击的基于IoT的设备（104A）的安全证书和认证令牌中的至少一个来生成易受攻击的基于IoT的设备（104A）的唯一签名。

2

CN 111971941 A

权　利　要　求　书

2/3页

7.根据权利要求1或2所述的方法，其中生成易受攻击的基于IoT的设备（104A）的唯一签名包括：

由IoT云平台（102）使用与易受攻击的基于IoT的设备（104A）相关联的唯一标识符来生成易受攻击的基于IoT的设备（104A）的唯一签名，其中所述唯一标识符是从由媒体访问控制（MAC）地址和互联网协议地址组成的组中选择的。

8.根据权利要求1至7中任一项所述的方法，其中终止与易受攻击的基于IoT的设备（104A）的通信包括：

由IoT云平台（102）确定易受攻击的基于IoT的设备（104A）是否是试图建立与IoT云平台（102）的通信链路（116A）的新设备；

如果易受攻击的基于IoT的设备（104A）是新设备，则由IoT云平台（102）阻止易受攻击的基于IoT的设备（104A）建立与IoT云平台（102）的通信链路（116A）；以及

如果易受攻击的基于IoT的设备（104A）不是新设备，则由IoT云平台（102）暂时暂停在易受攻击的基于IoT的设备（104A）与IoT云平台（102）之间建立的通信链路（116A）。

9.一种系统（102），包括：i）一个或多个处理单元（202）；以及ii）耦合到所述一个或多个处理单元（202）的可访问存储器单元（204），其中存储器单元（204）包括以机器可读指令的形式存储的安全模块（110），所述指令在由所述一个或多个处理单元（202）执行时使得所述一个或多个处理单元（202）执行权利要求1至8中任一项中要求保护的方法步骤。

10.一种可连接到IoT云平台（102）的基于IoT的设备（104A），多个基于IoT的设备（104A-N）可连接到所述IoT云平台（102），基于IoT的设备（104A）包括：

i）IoT代理（702A）；以及ii）通信模块（120A），其中IoT代理（702A）被配置成检测（802）基于IoT的设备（104A）违反至少一个预定义安全要求的可能性，并且其中通信模块（120A）被配置成向IoT云平台（102）报告（804）违反所述至少一个预定义安全要求的可能性。

11.根据权利要求10所述的基于IoT的设备（104A-N），其中通信模块（120A）被配置成从基于IT云的平台（102）接收（810，814）第一通知，所述第一通知指示另一个易受攻击的基于IoT的设备（104B-N）违反了所述至少一个预定义安全要求，其中所述第一通知包括易受攻击的基于IoT的设备（104A）的唯一签名。

12.根据权利要求10所述的基于IoT的设备（104B），进一步包括：易受攻击设备数据库（118），其被配置成存储违反所述至少一个预定义安全要求的基于IoT的设备（104A）的唯一签名。

13.根据权利要求10至12中任一项所述的基于IoT的设备（104A-N），其中IoT代理（702A-N）被配置成：根据基于IoT的设备的唯一签名而终止与所述易受攻击的基于IoT的设备的活动通信链路，或者拒绝用以建立与易受攻击的基于IoT的设备（104B-N）的通信链路的请求。

14.一种IoT环境（100，700），包括：i）IoT云平台（102）；以及ii）多个基于IoT的设备（104A-N），其能够连接到IoT云平台（102），其中基于IoT的设备

3

CN 111971941 A

权　利　要　求　书

3/3页

（104A-N）被配置成执行根据权利要求10-13所述的步骤，并且其中IoT云平台（102）被配置成执行权利要求1至8中任一项中要求保护的方法步骤。

4

CN 111971941 A

说　明　书

1/9页

用于在物联网环境中管理基于IoT的设备的方法和系统

技术领域

[0001]本公开涉及网络物理系统领域，并且更特别地，涉及在物联网（IoT）环境中管理基于IoT的设备。

背景技术

[0002]IoT环境包括（诸如，工业IoT环境）在通信地连接到IoT云平台的工厂（例如，制造设施、发电厂等）中的多个设备，诸如工业自动化设备（例如，控制器、人机接口设备、服务器、输入/输出模块）、传感器、致动器和/或其他资产（机器人、CNC机器、电动机、阀、锅炉、熔炉、涡轮机和相关联组件等）。IoT云平台可以在云计算环境（也被称为分布式计算环境）中实现，以用于提供一个或多个服务，诸如对从这些设备接收到的数据进行存储、分析和可视化。示例性分布式计算环境可以包括托管这些服务的一组服务器。IoT云平台可以是如下基础设施：该基础设施允许基于IoT的设备来访问并利用分布式计算环境中的共享计算资源、以及托管在这些共享计算资源上的一个或多个服务。此外，IoT云平台可以被提供为平台即服务（PaaS），其中这些服务可以作为基于云的服务在IoT云平台上驻留和执行。[0003]一个或多个设备可以经由网络（例如，互联网）直接连接到IoT云平台。可替代地，其余设备可以经由IoT网关连接到IoT云平台。这些设备或IoT网关在本文中共同被称为基于IoT的设备。基于IoT的设备可以在IoT环境中彼此连接。

[0004]IoT云平台可以连接到位于不同地理位置中的基于IoT的设备。此外，基于IoT的设备中的每一个可能拥有不同的安全能力。可能的是，一个或多个基于IoT的设备没有满足IoT环境中所期望的安全标准，这可能对连接到易受攻击的基于IoT的设备的其余基于IoT的设备、或连接到易受攻击的基于IoT的设备的IoT云平台造成网络安全风险。例如，美国2017/346836描述了：在IoT环境中，IoT中枢可以监测从基于IoT的设备接收到的业务量，并且如果基于指派给该基于IoT的设备的流控制参数和流控制参数类别，IoT中枢接收到比基于所设置的流控制类别预期的更高的业务量，则可以忽略来自该IoT设备的业务。[0005]鉴于以上内容，存在针对用于进一步保护基于IoT的设备和IoT云平台免受IoT环境中的（一个或多个）易受攻击的基于IoT的设备所影响的方法和系统的需要。[0006]因此，本公开的目的是要提供用于在IoT环境中管理基于IOT的设备的方法、设备、系统和IT环境，使得防止来自（一个或多个）基于IoT的设备的易受攻击性，并且保障IoT环境免受由易受攻击的基于IoT的设备造成的安全风险。该目的通过权利要求1的方法、根据权利要求10的设备、根据权利要求9的系统、以及权利要求13的IT环境来解决。从属权利要求中列出了进一步的有利实施例和改进。在下文中，在来到参考附图对本公开的详细描述之前，总结了有助于理解整个公开的本公开的一些方面。发明内容

[0007]本公开的一方面通过一种用于在IoT环境中管理基于IoT的设备的方法来实现。所述方法包括确定至少一个基于IoT的设备对至少一个预定义安全要求的违反。所述方法包

5

CN 111971941 A

说　明　书

2/9页

括：当确定至少一个基于IoT的设备对至少一个预定义安全要求的违反时，终止与基于IoT的设备的通信。此外，所述方法包括：根据与基于IoT的设备相关联的信息来生成基于IoT的设备的唯一签名。例如，使用指派给基于IoT的设备的安全证书和认证令牌中的至少一个来生成基于IoT的设备的唯一签名。可替代地，使用与基于IoT的设备相关联的唯一标识符来生成基于IoT的设备的唯一签名，所述唯一标识符诸如媒体访问控制（MAC）地址和互联网协议地址。所述方法可以包括：向连接到IoT云平台的基于IoT的设备发送第一通知，所述第一通知指示基于IoT的设备违反了所述至少一个预定义安全要求。所述第一通知包括基于IoT的设备的唯一签名。有利地，基于IoT的设备可以基于所述第一通知而终止与易受攻击的基于IoT的设备的正在进行的通信，或者拒绝来自易受攻击的基于IoT的设备的请求，从而最小化易受攻击的基于IoT的设备造成的安全风险。有利地，保障IoT环境免受易受攻击的基于IoT的设备造成的安全风险。[0008]所述方法可以包括：将基于IoT的设备的唯一签名存储在易受攻击设备储库中。有利地，可以基于存储在易受攻击设备储库中的易受攻击的基于IoT的设备的唯一签名，来确定易受攻击的IoT设备是否正尝试建立与IoT云平台的通信。[0009]所述方法可以包括确定校正动作，所述校正动作用于解决基于IoT的设备对所述至少一个预定义安全要求的违反。所述方法可以包括：对基于IoT的设备执行校正动作，使得基于IoT的设备满足所述至少一个预定义安全要求。有利地，自动修复与基于IoT的设备相关联的易受攻击性，从而使得基于IoT的设备安全。[0010]所述方法可以包括：确定基于IoT的设备是否符合预定义安全要求。如果基于IoT的设备符合预定义安全要求，则所述方法可以包括从易受攻击设备数据库中删除基于IoT的设备的唯一签名。所述方法还可以包括激活基于IoT的设备与IoT云平台之间的暂停的通信链路。有利地，基于IoT的设备可以与IoT云平台进行通信。[0011]此外，所述方法可以包括：向IoT环境中的基于IoT的设备发送第二通知，所述第二通知指示基于IoT的设备符合预定义安全要求。有利地，基于IoT的设备可以基于第二通信来建立与基于IoT的设备的通信。[0012]所述方法可以包括：确定基于IoT的设备是否是试图建立与IoT云平台的通信链路的新设备。如果基于IoT的设备是新设备，则所述方法可以包括阻止基于IoT的设备建立与IoT云平台的通信链路。如果基于IoT的设备不是新设备，则所述方法可以包括暂时暂停在基于IoT的设备与IoT云平台之间建立的通信链路。所述方法可以包括：将基于IoT的设备的唯一签名存储在易受攻击设备数据库中。

[0013]本公开的目的还通过一种系统来实现，所述系统包括一个或多个处理单元、以及耦合到所述一个或多个处理单元的可访问存储器单元。存储器单元包括以机器可读指令的形式存储的安全模块，所述指令在由所述一个或多个处理单元执行时使得所述一个或多个处理单元执行上面提到的方法步骤。

[0014]本公开的目的还通过一种包括IoT代理和通信模块的基于IoT的设备来实现。IoT代理被配置成：检测违反至少一个预定义安全要求的可能性。通信模块被配置成：向IoT云平台报告违反所述至少一个预定义安全要求的可能性。有利地，与基于IoT的设备相关联的易受攻击性被自动检测并且报告给IoT云平台，从而最小化易受攻击的基于IoT的设备造成的安全风险。

6

CN 111971941 A[0015]

说　明　书

3/9页

通信模块可以被配置成：接收指示基于IoT的设备违反所述至少一个预定义安全

要求的第一通知。所述第一通知包括基于IoT的设备的唯一签名。[0016]基于IoT的设备可以包括易受攻击设备数据库，所述易受攻击设备数据库被配置成存储违反所述至少一个预定义安全要求的基于IoT的设备的唯一签名。[0017]IoT代理可以被配置成：根据基于IoT的设备的唯一签名而终止与IoT设备的活动通信链路，或者拒绝用以建立通信链路的请求。

[0018]本公开的目的还通过一种IoT云环境来实现，所述IoT云环境包括：IoT云平台，其被配置成执行上述方法；以及多个基于IoT的设备，其能够连接到IoT云平台并且被配置用于执行上述步骤。

附图说明

[0019]现在将参考本公开的附图来解决本公开的上面提到的特征和其他特征。所图示的实施例旨在说明而不是限制本发明。[0020]在下文中，参考在附图中示出的所图示的实施例来进一步描述本公开，在附图中：

图1是根据第一实施例的物联网（IoT）环境的示意性表示；图2是根据第一实施例的如图1中所示的IoT云平台的框图；

图3是图示了根据第一实施例的在IoT环境中管理基于IoT的设备的示例性方法的过程流程图；

图4是图示了根据第一实施例的管理来自基于IoT的设备的安全风险的详细方法的过程流程图；

图5是图示了根据第一实施例的对违反预定义安全要求的基于IoT的设备执行校正动作的详细方法的过程流程图；

图6是图示了根据第一实施例的IoT环境中的安全风险管理的流程图；图7是根据第二实施例的IoT环境的示意性表示；以及

图8是图示了根据第二实施例的IoT环境中的安全风险管理的流程图。[0021]参考附图描述了各种实施例，其中相同的附图标记用于指代附图，其中相同的附图标记用于始终指代相同的元素。在以下描述中，出于解释的目的，阐述了许多具体细节，以便提供对一个或多个实施例的透彻理解。可能显然的是，可以在没有这些具体细节的情况下实践这种实施例。

具体实施方式

[0022]图1是根据第一实施例的物联网（IoT）环境100的示意性表示。IoT环境100包括：IoT云平台102、连接到IoT云平台102的一个或多个工厂107、以及用户设备108。工厂107可以是工业机构，诸如制造设施、发电厂等。工厂107可以在地理上分布。工厂107中的每一个可以包括基于IoT的设备104A-N。基于IoT的设备104A-N可以是位于工厂107中的边缘设备、IoT网关和/或不同类型的资产（装备、机器、设备、传感器、致动器等）。基于IoT的设备104A-N中的每一个能够使用相应的通信接口120A-N经由通信链路116A-C通过互联网与IoT云平台102进行通信。此外，基于IoT的设备104A-N能够使用相应的通信接口120A-N经由通信链路116D至116F彼此通信。通信链路116D至116F可以是有线或无线链路。

7

CN 111971941 A[0023]

说　明　书

4/9页

此外，在工厂107中，一个或多个基于IoT的设备104N可以连接到工厂107中的资产

106A-N，资产106A-N不能直接与IoT云平台102进行通信。如图1中所示，基于IoT的设备104N经由有线或无线网络连接到资产106A-N。例如，基于IoT的设备104N可以是IoT网关，并且资产106A-N可以是经由该IoT网关与IoT云平台102进行通信的机器人、传感器、致动器、机器、机器人或其他现场设备。

[0024]基于IoT的设备104A-N中的每一个被配置用于经由通信接口120A-N与IoT云平台102进行通信。基于IoT的设备104A-N可以具有操作系统和至少一个软件程序，以用于在工厂107中执行期望的操作。此外，基于IoT的设备104A-N可以运行软件应用，以用于对工厂数据（过程数据）进行收集和预处理，并且将经预处理的数据传输到IoT云平台102。工厂数据是敏感数据，并且需要以受保护的方式来处置该敏感数据。为此，IoT环境100需要被保护并且免于安全攻击（诸如，黑客攻击、恶意软件攻击等）。基于IoT的设备104A-N符合预定义安全要求（例如，安全策略、安全规则等）是重要的，以便保持IoT环境100免于网络攻击和其他安全风险。例如，基于IoT的设备104A-N应当具有最新的安全算法和证书（例如，反病毒软件、反恶意软件的软件、安全证书、软件补丁等）。

[0025]IoT云平台102可以是能够基于工厂数据来提供基于云的服务（诸如，数据存储服务、数据分析服务、数据可视化服务等）的云基础设施。IoT云平台102可以是公共云或私有云的一部分。IoT云平台102可以使得数据科学家/软件供应商能够提供软件应用/固件作为服务，从而消除用户对软件维护、升级和备份的需要。软件应用可以是完整的应用，或者是软件补丁。在一些实施例中，软件应用可以是用于对基于IoT的设备104A-N执行数据分析的分析性应用。例如，软件应用可以包括用于如下各项的应用：对时间序列数据进行下采样；基于阈值或移动平均值来过滤时间序列数据；对振动数据执行快速傅立叶变换并且对指示异常的频率进行过滤；执行线性回归和趋势预测；使用支持向量机分类器、神经网络或深度学习分类器来进行局部分类；执行流分析等。例如，固件可以包括PCL固件、HMI屏幕、用于电动机驱动器的固件、CNC机器、机器人等。

[0026]图2中进一步更加详细地图示了IoT云平台102。参考图2，IoT云平台102包括处理器202、存储器单元204、存储单元206、通信模块114和接口208。存储器单元204包括以机器可读指令的形式存储并且可由（一个或多个）处理器202执行的安全模块110。可替代地，安全模块110可以采取硬件的形式，诸如具有嵌入式软件的处理器。[0027]（一个或多个）处理器202可以是能够处理来自基于IoT的设备104A-N和用户设备108的请求的一个或多个处理单元（例如，服务器）。（一个或多个）处理器202还能够执行存储在计算机可读存储介质（诸如，存储器单元204）上的机器可读指令，该指令用于执行各种功能，诸如处理工厂数据、分析工厂数据、提供对经分析的工厂数据的可视化、发出控制命令、管理基于IoT的设备104A-N（认证、通信、升级）等等。[0028]存储单元206可以是易失性或非易失性存储装置。在优选实施例中，存储单元206被配置成存储易受攻击设备数据库112。易受攻击设备数据库110可以存储易受攻击并且可能对IoT环境100造成安全风险的基于IoT的设备的列表。易受攻击设备数据库110还可以存储将由基于IoT的设备104A-N履行的预定义安全要求，以用于建立与彼此以及与IoT云平台102的通信。存储单元206还可以存储用于存储软件和固件的应用储库、用于存储资产模型和IoT数据模型的数据存储部、用于存储可视化模板的可视化数据库等等。

8

CN 111971941 A[0029]

说　明　书

5/9页

通信模块114被配置成建立和维护与IoT设备104A-N的通信链路。此外，通信模块

114被配置成维护IoT云平台102与用户设备108之间的通信信道。接口208充当IoT云平台102的不同组件之间的互连部件。

[0030]IoT云平台102被配置用于管理基于IoT的设备104A-N。例如，IoT云平台102可以标识IoT环境100中的（一个或多个）易受攻击的基于IoT的设备（例如，基于IoT的设备104A），并且将（一个或多个）基于IoT的设备104A列入黑名单。在示例性操作中，安全模块110被配置成确定基于IoT的设备104A-N中的任一个是否违反对于IoT环境100中的受保护的网络通信来说需要满足的预定义安全要求。例如，安全模块110可以包括网络扫描模块，该网络扫描模块利用网络分组检查和启发式扫描算法，以确定可能违反预定义安全要求、即可能在IoT环境100中造成安全风险的基于IoT的设备104A-N。遍及本描述，违反预定义安全要求的基于IoT的设备也可互换地被称为“易受攻击的基于IoT的设备”。

[0031]如果一个或多个基于IoT的设备104A被发现为违反预定义安全要求，则安全模块110生成易受攻击的基于IoT的设备104A的唯一签名并且将该唯一签名存储在易受攻击设备数据库112中。在一个实施例中，可以使用指派给相应的基于IoT的设备104A的认证令牌或安全证书来生成唯一签名。在另一个实施例中，可以使用相应的基于IoT的设备104A的媒体访问控制（MAC）地址和/或互联网协议（IP）地址来生成唯一签名。安全模块110阻止易受攻击的基于IoT的设备104A与IoT云平台102进行进一步通信。也就是说，不允许易受攻击的基于IoT的设备与IoT云平台102交换消息、数据、请求等。此外，与基于IoT的设备104A的现有网络通信被终止，并且来自基于IoT的设备104A的针对建立通信链路的新请求被拒绝或暂时暂停，直到采取了校正动作来修复该违反为止。

[0032]安全模块110确定一个或多个非易受攻击的基于IoT的设备104B-N，设备104B-N充当与易受攻击的基于IoT的设备104A在IoT环境100中的通信伙伴。充当通信伙伴的非易受攻击的基于IoT的设备可以是与基于IoT的设备104A相同的子网的一部分、或者位于与基于IoT的设备104A相同的工厂107内。通信模块114向所确定的非易受攻击的基于IoT的设备104B-N发送第一通知，该第一通知关于易受攻击的基于IoT的设备104A进行告知。非易受攻击的基于IoT的设备104B-N可以将易受攻击的基于IoT的设备104A的唯一签名存储在它们相应的易受攻击设备数据库118中。附加地，非易受攻击的基于IoT的设备104B-N阻止易受攻击的基于IoT的设备104A进行进一步的设备间通信。也就是说，非易受攻击的基于IoT的设备104B-N终止与易受攻击的基于IoT的设备104A的现有设备间通信，并且拒绝来自基于IoT的设备104A的未来通信请求。[0033]附加地，安全模块110确定校正动作，该校正动作用于解决易受攻击的基于IoT的设备104A对预定义安全要求的违反。在一个实施例中，安全模块110通过安全连接对易受攻击的基于IoT的设备104A执行校正动作。安全连接是由IoT云平台102建立的与基于IoT的设备104A的暂时安全连接，以用于执行校正动作。在执行校正动作后，可能的是，易受攻击的基于IoT的设备104A可以符合预定义安全要求。在另一个实施例中，安全模块110可以在现场工程师的用户设备108上显示易受攻击的基于IoT的设备104A所违反的预定义安全要求、以及由IoT云平台102提出的校正动作。此外，安全模块110可以显示在易受攻击的基于IoT的设备104A处执行校正动作的增强现实视图。因此，现场工程师可以执行由IoT云平台102提出的校正动作和/或其他动作，以使易受攻击的基于IoT的设备104A符合预定义安全要

9

CN 111971941 A

说　明　书

6/9页

求。现场工程师可以通过访问易受攻击的基于IoT的设备104A的位置来执行该动作，或者从远程位置通过用户设备108与易受攻击的基于IoT的设备104A之间的安全连接来执行该动作。

[0034]安全模块110从易受攻击设备数据库112中自动移除易受攻击的基于IoT的设备104A的唯一签名。可替代地，IoT云平台102的系统管理员从易受攻击设备数据库112中删除易受攻击的基于IoT的设备104A的唯一签名。然后，通信模块114激活与基于IoT的设备104A的通信链路，或者建立与基于IoT的设备104A的新通信链路。此外，安全模块110向非易受攻击的基于IoT的设备104B-N发送第二通知，该第二通知具有易受攻击的基于IoT的设备104A的唯一签名。该第二通知指示基于IoT的设备104A已经随着它符合预定义安全要求而变得非易受攻击。因此，非易受攻击的基于IoT的设备104A-N从相应的易受攻击设备数据库118中删除该唯一签名，并且建立与基于IoT的设备104A的通信链路。

[0035]图3是图示了根据第一实施例的在IoT环境100中管理基于IoT的设备104A-N的示例性方法的过程流程图300。在步骤302处，确定基于IoT的设备（例如，基于IoT的设备104A）对至少一个预定义安全要求的违反。在步骤304处，根据与基于IoT的设备104A相关联的信息来生成该基于IoT的设备的唯一签名。[0036]在步骤306处，终止基于IoT的设备104A与IoT云平台102之间的通信。在步骤308处，将指示基于IoT的设备104A违反了预定义安全要求的第一通知发送到IoT设备104B-N。在一些实施例中，确定作为与基于IoT的设备104A的可能通信伙伴的一个或多个基于IoT的设备104B-N。例如，在相同子网中或位于相同工厂107中的基于IoT的设备被确定为与基于IoT的设备104A的可能通信伙伴。在这些实施例中，该第一通知被发送到所确定的基于IoT的设备104B-N。因此，基于IoT的设备104B-N基于该第一通知而终止与基于IoT的设备104A的正在进行的通信，或者阻止来自基于IoT的设备104A的针对建立通信的任何新请求。有利地，来自基于IoT的设备104A对基于IoT的设备104B-N的安全攻击的风险被防止或被最小化。

[0037]在步骤310处，确定校正动作，该校正动作用于解决基于IoT的设备104A对该至少一个预定义安全要求的违反。在步骤312处，执行对基于IoT的设备104A的校正动作。校正动作确保了基于IoT的设备104A满足预定义安全要求。[0038]在步骤314处，激活暂停的通信链路，或者与IoT设备104A建立新通信链路。在步骤316处，将指示基于IoT的设备104A符合预定义安全要求的第二通知发送到IoT环境100中的基于IoT的设备104B-N。因此，当基于IoT的设备104A被确定为不易受攻击时，IoT设备104B-N可以继续与IoT设备104A进行通信。

[0039]图4是图示了根据第一实施例的管理来自基于IoT的设备104A-N中的任一个的安全风险的详细方法的过程流程图400。在步骤402处，确定基于IoT的设备104A对一个或多个预定义安全要求的违反。在步骤404处，根据与基于IoT的设备104A相关联的信息来生成基于IoT的设备104A的唯一签名。[0040]在步骤406处，确定基于IoT的设备104A是否是试图建立与IoT云平台102的通信链路的新设备。如果基于IoT的设备104A是新设备，则在步骤408处，阻止基于IoT的设备104A建立与IoT云平台102的通信链路。如果基于IoT的设备104A不是新设备，则在步骤410处，暂时暂停在基于IoT的设备104A与IoT云平台102之间建立的通信链路。在步骤412处，将指示

10

CN 111971941 A

说　明　书

7/9页

基于IoT的设备104A不满足预定义安全要求的通知发送到基于IoT的设备104B-N，基于IoT的设备104B-N连接到IoT云平台102。因此，基于IoT的设备104B-N可以终止与基于IoT的设备104A的通信链路。此外，基于IoT的设备104B-N可以将基于IoT的设备104A的唯一签名存储在易受攻击设备数据库118中。

[0041]图5是图示了根据第一实施例的对违反预定义安全要求的基于IoT的设备104A执行校正动作的详细方法的过程流程图500。在步骤502处，对基于IoT的设备104A执行校正动作，以解决因IoT设备104A的安全漏洞（breach）。在一些实施例中，由IoT云平台102建立与基于IoT的设备104A的安全连接。在这些实施例中，对基于IoT的设备104A执行诸如执行固件更新、安装软件补丁、移除恶意/受感染文件等校正动作。在步骤504处，确定基于IoT的设备104A是否符合预定义安全要求。

[0042]如果基于IoT的设备104A仍然不符合预定义安全要求，则在步骤506处，终止过程500。附加地，向系统管理员发送通知，以解决因基于IoT的设备104A的安全漏洞。如果基于IoT的设备104A符合预定义安全要求，则在步骤508处，从易受攻击设备数据库112中删除基于IoT的设备104A的唯一签名。在步骤510处，激活基于IoT的设备104A与IoT云平台102之间的暂停的通信链路。类似地，如果基于IoT的设备104A是新设备，则IoT云平台102建立与基于IoT的设备104A的通信链路。在步骤512处，将指示基于IoT的设备104A符合预定义安全要求的第二通知发送到IoT环境100中的相关联的基于IoT的设备104B-N。基于IoT的设备104B-N然后可以恢复与基于IoT的设备104A的通信，这是由于它不再易受攻击。因此，基于IoT的设备104B-N从相应的易受攻击设备数据库118中移除基于IoT的设备104A的唯一签名。

[0043]图6是图示了根据第一实施例的IoT环境100中的安全风险管理的流程图600。考虑基于IoT的设备104A正尝试建立与IoT云平台102的通信链路。此外，考虑基于IoT的设备104A正尝试建立与其他基于IoT的设备104B-N的通信链路。在这种场景中，IoT云平台102确定基于IoT的设备104A是否符合对于保持IoT环境100免于易受攻击性所必需的预定义安全要求。

[0044]考虑在步骤602处，IoT云平台102确定基于IoT的设备104A违反了一个或多个预定义安全要求。在步骤604处，基于IoT的设备104A终止与基于IoT的设备104A的通信链路。在步骤606处，IoT云平台102生成基于IoT的设备104A的唯一签名并且将该唯一签名存储在易受攻击设备数据库112中。例如，可以根据基于IoT的设备104A的MAC地址和/或IP地址来生成唯一签名。在步骤608处，IoT云平台102向基于IoT的设备104B-N发送具有该唯一签名的第一通知。该第一通知指示基于IoT的设备104A违反了预定义安全要求，因此是易受攻击的。

[0045]在步骤610处，基于IoT的设备104B-N将基于IoT的设备104A的唯一签名存储在相应的易受攻击设备数据库118中。在示例性实现方式中，将唯一签名添加到被认为是易受攻击的基于IoT的设备的列表。在步骤612处，基于IoT的设备104B-N基于该第一通知而终止与基于IoT的设备104A的现有通信链路。

[0046]考虑IoT云平台102分析造成违反预定义安全要求的原因，并且计算需要被执行的一个或多个校正动作。在一些实例中，在步骤614处，IoT云平台102对基于IoT的设备104A自动执行一个或多个校正动作（例如，固件升级、错误修复等）以解决易受攻击性问题。在其他

11

CN 111971941 A

说　明　书

8/9页

实例中，IoT云平台102使得现场工程师能够对基于IoT的设备104A执行校正动作，使得基于IoT的设备104A符合预定义安全要求。这可以通过用户设备108来实现，用户设备108可以是增强现实设备、虚拟现实设备、平板计算机等等。[0047]一旦以上步骤成功，在步骤616处，IoT云平台102就从易受攻击设备数据库112中移除基于IoT的设备104A的唯一签名。在步骤618处，IoT云平台102激活与基于IoT的设备104A的通信链路。在步骤620处，IoT云平台102向基于IoT的设备104B-N发送第二通知，该第二通知具有基于IoT的设备104A的唯一签名。该第二通知指示基于IoT的设备104A符合预定义安全要求。因此，在步骤622处，基于IoT的设备104B-N从相应的易受攻击设备数据库118中移除基于IoT的设备104A的唯一签名。在步骤624处，基于IoT的设备104B-N可以重新建立与基于IoT的设备104A的通信链路，这是由于基于IoT的设备104A对于IoT环境100不再是易受攻击的。

[0048]图7是根据第二实施例的物联网（IoT）环境700的示意性表示。IoT环境700类似于图1的IoT环境100，除了IoT环境700中的基于IoT的设备104A-N包括IoT代理702A-N。IoT代理702A-N可以是如下软件或硬件：该软件或硬件能够检测相应的基于IoT的设备或所连接的基于IoT的设备中的潜在安全风险。在一个实施例中，IoT代理702A-N确定相应的基于IoT的设备104A-N是否违反预定义安全要求，并且向IoT云平台102报告这种违反。IoT代理702A-N可以使用规则和启发法来确定因相应的基于IoT的设备104A-N的安全漏洞。例如，IoT代理702A-N中的每一个可以周期性地在相应的基于IoT的设备104A-N上运行反恶意软件的软件。IoT代理702A-N可以查询反恶意软件的软件以确定相应的基于IoT的设备104A-N是否被恶意软件感染。在发现基于IoT的设备104A-N中的任一个被感染的情况下，相应的IoT代理702A-N向IoT云平台102报告该恶意软件攻击。此外，IoT代理702A-N查询部署在相应IoT设备104A-N上的固件/软件的补丁级别和版本，并且确定固件/软件的补丁级别和版本是否是最新的。在一示例中，如果安装在基于IoT的设备104A-N上的SSL库的版本不是最新的，则相应的IoT代理702A-N可以认为该过时的SSL库违反了预定义安全要求。[0049]在另一个实施例中，IoT代理702A-N确定所连接的基于IoT的设备104A-N是否违反至少一个预定义安全要求，并且向IoT云平台102报告这种违反。在图8中更加详细地描述了使用IoT代理702A-N来管理IoT环境700中的安全方面的方法。

[0050]图8是图示了根据第二实施例的IoT环境中的安全风险管理的流程图800。基于IoT的设备104A确定它是否符合预定义安全要求。在步骤802处，基于IoT的设备104A确定它违反一个或多个预定义安全要求。在步骤804处，基于IoT的设备104A通知IoT云平台102它不符合预定义安全要求。在步骤806处，IoT云平台102确定基于IoT的设备104A是否违反至少一个预定义安全环境。在步骤808处，IoT云平台102终止与基于IoT的设备104A的通信链路。[0051]在步骤810处，IoT云平台102生成基于IoT的设备104A的唯一签名并且将该唯一签名存储在易受攻击设备数据库112中。在步骤812处，IoT云平台102向基于IoT的设备104B-N发送具有该唯一签名的第一通知。该第一通知指示基于IoT的设备104A违反了预定义安全要求，因此是易受攻击的。[0052]在步骤814处，基于IoT的设备104B-N将基于IoT的设备104A的唯一签名存储在相应的易受攻击设备数据库118中。在示例性实现方式中，将该唯一签名添加到被认为是易受攻击的基于IoT的设备的列表。在步骤816处，基于IoT的设备104B-N基于该第一通知而终止

12

CN 111971941 A

说　明　书

9/9页

与基于IoT的设备104A的现有通信链路。

[0053]考虑IoT云平台102分析造成违反预定义安全要求的原因，并且计算需要被执行的一个或多个校正动作。在一些实例中，在步骤818处，IoT云平台102对基于IoT的设备104A执行校正动作以修复该安全漏洞。在其他实例中，IoT云平台102使得现场工程师能够对基于IoT的设备104A执行校正动作，使得基于IoT的设备104A符合预定义安全要求。这可以通过用户设备108来实现，用户设备108可以是增强现实设备、虚拟现实设备、平板计算机等等。[0054]一旦以上步骤成功，在步骤820处，IoT云平台102就从易受攻击设备数据库112中移除基于IoT的设备104A的唯一签名。在步骤822处，IoT云平台102激活与基于IoT的设备104A的通信链路。在步骤824处，IoT云平台102向基于IoT的设备104B-N发送第二通知，该第二通知具有基于IoT的设备104A的唯一签名。该第二通知指示基于IoT的设备104A符合预定义安全要求。因此，在步骤826处，基于IoT的设备104B-N从相应的易受攻击设备数据库118中移除基于IoT的设备104A的唯一签名。在步骤828处，基于IoT的设备104B-N可以重新建立与基于IoT的设备104A的通信链路，这是由于基于IoT的设备104A是不易受攻击的。[0055]本公开可以采取计算机程序产品的形式，该计算机程序产品包括可从计算机可用或计算机可读介质访问的程序模块，该计算机可用或计算机可读介质存储有供一个或多个计算机、处理器或指令执行系统使用、或与一个或多个计算机、处理器或指令执行系统结合地使用的程序代码。出于本描述的目的，该计算机可用或计算机可读介质可以是如下任何装置：其可以包含、存储、传送、传播或传输供指令执行系统、装置或设备使用、或与指令执行系统、装置或设备结合地使用的程序。该介质可以是电子、磁性、光学、电磁、红外或半导体系统（或装置或设备）、或它们本身中的传播介质以及它们本身的传播介质，这是由于信号载体未被包括在物理计算机可读介质的定义中，该物理计算机可读介质包括半导体或固态存储器、磁带、可移除计算机软盘、随机存取存储器（RAM）、只读存储器（ROM）、硬磁盘和光盘，诸如致密盘只读存储器（CD-ROM）、致密盘读取/写入以及DVD。如本领域技术人员已知的，用于实现该技术的每个方面的处理器和程序代码两者可以是集中式的或分布式的（或其组合）。

[0056]虽然已经参考某些实施例详细描述了本公开，但是应当领会的是，本公开不限于那些实施例。鉴于本公开，在不脱离如本文中描述的本公开的各种实施例的范围的情况下，对于本领域技术人员来说，许多修改和变型本身将存在。因此，本公开的范围由所附权利要求而不是由前述描述所指示。要将落入权利要求的等同含义和范围之内的所有改变、修改和变型将被视为在其范围之内。方法权利要求中要求保护的所有有利实施例也可以适用于系统/装置权利要求。

13

CN 111971941 A

说　明　书　附　图

1/8页

图 1

14

CN 111971941 A

说　明　书　附　图

2/8页

图 2

15

CN 111971941 A

说　明　书　附　图

3/8页

图 3

16

CN 111971941 A

说　明　书　附　图

4/8页

图 4

17

CN 111971941 A

说　明　书　附　图

5/8页

图 5

18

CN 111971941 A

说　明　书　附　图

6/8页

图 6

19

CN 111971941 A

说　明　书　附　图

7/8页

图 7

20

CN 111971941 A

说　明　书　附　图

8/8页

图 8

21