阅读说明：本技术 一种智能照明系统及其安全设计方法 (Intelligent lighting system and safety design method thereof ) 是由 王忠泉 于 2019-12-13 设计创作，主要内容包括：本发明公开了一种智能照明系统及其安全设计方法，包括系统智能组件和网络链路，所述系统智能组件包括中心管理服务器、照明控制器、移动控制端、路由器和若干智能灯具，若干所述智能灯具组成照明网络，所述移动控制端分别与中心管理服务器、路由器连接进行数据交换，所述照明控制器分别与中心管理服务器、路由器连接进行数据交换，照明控制器根据接收到的数据控制与其连接的各个智能灯具，所述照明控制器内设有UDP服务器，所述智能照明系统采用web登录方式进行访问和操作。本发明相较于传统照明系统，更具节能化、信息化、个性化的特点，使得高质量的可靠照明不仅可以丰富人们的生活，也可以作为智能网络中获取信息和提供服务的途径。(The invention discloses an intelligent lighting system and a safety design method thereof, wherein the intelligent lighting system comprises a system intelligent assembly and a network link, the system intelligent assembly comprises a central management server, a lighting controller, a mobile control end, a router and a plurality of intelligent lamps, the intelligent lamps form a lighting network, the mobile control end is respectively connected with the central management server and the router for data exchange, the lighting controller controls each intelligent lamp connected with the lighting controller according to received data, a UDP server is arranged in the lighting controller, and the intelligent lighting system is accessed and operated in a web login mode. Compared with the traditional lighting system, the invention has the characteristics of energy conservation, informatization and individuation, so that the high-quality reliable lighting not only can enrich the life of people, but also can be used as a way for acquiring information and providing services in an intelligent network.)

一种智能照明系统及其安全设计方法

技术领域

本发明涉及智能照明系统技术领域，具体涉及一种智能照明系统及其安全设计方法。

背景技术

随着城市建设的发展，城市照明建设越来越注重城市的形象，道路照明和景观照明的要求和数量不断增加。因此各级政府和市民对城市的建设、道路照明和景观照明提出更高的要求，希望实现城市照明管理的现代化，使城市管理水平达到国际领先水平。在信息化空前发展的今天，伴随着智能终端、物联网、云计算、大数据等新技术的出现，以智能城市、智能社区和智能家居为诠释的智慧生活成为新时代科技的风尚标。

智能照明系统在时代背景下应运而生。相较于传统照明系统，智能系统采用的智能控制技术提倡照明的节能化、信息化、个性化和艺术化，使高质量的可靠照明不仅可以丰富人们的生活，也可以作为智能网络中获取信息和提供服务的途径。智能照明系统结合了现代通信和信息技术、智能终端技术和物联网技术等技术，在拥有强大功能的同时，也面临着新的安全挑战。照明系统的服务器存储有用户的隐私信息、灯光基础配置信息等，信息泄漏将直接给用户的隐私权造成侵害，并给公司的声誉和也无造成损害。因此，必须要保障智能照明系统的安全性和可靠性。

发明内容

本发明为了解决上述问题，提供了一种智能照明系统及其安全设计方法。

本发明采用如下技术方案：

一种智能照明系统，包括系统智能组件和网络链路，所述系统智能组件包括中心管理服务器、照明控制器、移动控制端、路由器和若干照明节点，若干所述照明节点组成照明网络，所述移动控制端分别与中心管理服务器、路由器连接进行数据交换，所述照明控制器分别与中心管理服务器、路由器连接进行数据交换，照明控制器根据接收到的数据控制与其连接的各个照明节点，所述照明控制器内设有UDP服务器，所述智能照明系统采用web登录方式进行访问和操作，所述移动终端通过APP进行访问和操作；

所述网络链路包括有线链路和无线链路，所述有线链路包括照明控制器与其他系统智能组件的有线以太网连接，所述无线链路包括宽带移动通信网络、ZigBee网络、蓝牙通信网络和Wi-Fi通信网络。

作为本发明的一种优选技术方案，所述照明控制器通过无线链路或有线链路的控制方式控制照明节点。

作为本发明的一种优选技术方案，所述中心管理服务器包括用户管理、数据管理、控制管理、监控管理、故障管理、报表管理和日志管理等功能模块。

一种智能照明系统的安全设计方法，所述安全设计方法的整体流程包括中心管理服务器安全评估、照明控制器安全评估和照明节点安全评估，所述中心管理服务器、照明控制器和照明节点的安全风险计算方法包括计算可实施度指标、计算影响度指标、确定影响范围因子和计算安全风险指标，分别得到单个组件的安全风险评级，最后将单个组件的安全风险评级综合得到智能照明系统的总体安全风险评估。

作为本发明的一种优选技术方案，所述中心管理服务器安全评估包括如下流程：

a1、计算可实施度指标，

a2、计算影响度指标，

a3、确定影响范围因子，

a4、计算安全风险指标，

a5、中心管理服务器安全风险评级；

所述照明控制器安全评估包括如下流程：

b1、计算可实施度指标，

b2、计算影响度指标，

b3、确定影响范围因子，

b4、计算安全风险指标，

b5、照明控制器安全风险评级；

所述照明节点安全评估包括如下流程：

c1、计算可实施度指标，

c2、计算影响度指标，

c3、确定影响范围因子，

c4、计算安全风险指标，

c5、照明节点安全风险评级；

将a5、b5、c5结果综合得到智能照明系统的总体安全风险评估。

作为本发明的一种优选技术方案，所述可实施度指标的计算公式：R_E＝8.22×AV×AC×PR×UI；

其中，R_E表示可实施度指标；

AV表示攻击向量，该指标反映了漏洞利用成为可能的环境，攻击向量的指标值包括网络(Network)、相邻(Adjacent)、本地(Local)和物理攻击(Physical)；

AC表示攻击复杂度，该指标描述了攻击者控制之外的，实施此漏洞所必须存在的条件，攻击复杂度的指标值包括低(Low)、高(High)；

PR为所需特权，此度量标准描述攻击者在成功利用此漏洞之前必须拥有的特权级别，所需特权的指标值包括无(None)、低(Low)、高(High)；

UI表示用户交互，此度量标准描述了除攻击者意外的人类用户参与成功攻击易受攻击组件的要求，它用于确定是否可以仅根据攻击者的意愿来利用漏洞，还是必须以某种方式参与到单独用户(或用户启动的进程)中，用户交互的指标值包括无(None)、必需(Required)。

作为本发明的一种优选技术方案，所述影响度指标的计算公式：R_I＝6.22×(1-(L-C)(1-I)(1-A))；

其中，R_I表示影响度指标；

C表示机密性，机密性是指将信息访问和披露仅限于授权用户，以及防止未授权用户访问或披露信息，此度量标准用于横梁由于成功利用漏洞而对软件组件管理的信息资源的机密性的影响，机密性的指标值包括高(High)、低(Low)、无(None)；

I表示完整性，完整性是指信息的可信赖和准确性，此度量标准用于衡量成功利用的漏洞对完整性的影响，完整性的指标值包括高(High)、低(Low)、无(None)；

A表示可用性，可用性是指信息资源的可访问性，此度量标准用于衡量由于成功利用漏洞而对受影响组件的可用性产生的影响，可用性的指标值包括高(High)、低(Low)、无(None)。

作为本发明的一种优选技术方案，所述影响范围因子以S表示，其指标值包括无改变范围(Unchanged)和可改变范围(Changed)。

作为本发明的一种优选技术方案，所述安全风险指标的计算公式：R＝S×(R_I+R_E)；

其中，R表示安全风险指标，

安全风险指标的计算结果划定为无(R＝0)、低(0.1≤R＜4)、中(4≤R＜7)、高(7≤R＜9)、严重(9≤R≤10)5个安全风险等级，计算结果若R≥10，取R＝10；

S为影响范围因子；R_E为可实施度指标；R_I为影响度指标。

本发明的有益效果是：

本发明的智能照明系统相较于传统照明系统，更具节能化、信息化、个性化的特点，使得高质量的可靠照明不仅可以丰富人们的生活，也可以作为智能网络中获取信息和提供服务的途径。此外，通过该安全评估方法得到安全测试和安全评估的结果，用户可根据需要对智能照明系统做相应的改进和修复，以满足所需的安全要求。

附图说明

图1为智能照明系统的连接框图；

图2为照明控制流程框图；

图3为照明监控流程框图；

图4为上传故障流程图；

图5为请求维护/诊断流程框图；

图6为上传维修诊断信息框图；

图7为维修记录流程框图；

图8为安全设计方法流程框图。

图中符号说明：

1：中心管理服务器，2：照明控制器，3：移动控制端，4：路由器，5：照明节点。

具体实施方式

现在结合附图和具体实施例对发明行进一步详细说明。

如图1所示，一种智能照明系统，包括系统智能组件和网络链路，所述系统智能组件包括中心管理服务器1、照明控制器2、移动控制端3、路由器4和若干照明节点5，若干所述照明节点5组成照明网络，所述移动控制端3分别与中心管理服务器1、路由器4连接进行数据交换，所述照明控制器2分别与中心管理服务器1、路由器4连接进行数据交换，照明控制器2根据接收到的数据控制与其连接的各个照明节点5，所述照明控制器2内设有UDP服务器，所述智能照明系统采用web登录方式进行访问和操作，所述移动终端通过APP进行访问和操作；

所述网络链路包括有线链路和无线链路，所述有线链路包括照明控制器与其他系统智能组件的有线以太网连接，所述无线链路包括宽带移动通信网络、ZigBee网络、蓝牙通信网络和Wi-Fi通信网络。

进一步地，在智能照明系统中，宽带移动通信网络为移动终端和中心管理服务器1提供网络连接服务。所述照明控制器2可采用无线链路或有线链路的控制方式控制照明节点5，采用无线链路控制方式时，照明控制器2通过ZigBee网络与照明节点5进行数据交换；采用有限链路控制方式时，照明控制器2通过DMX512协议或DALL协议与照明节点5进行数据交换。照明网络中的照明节点5及路由节点通过ZigBee网络进行通信。蓝牙通信网络主要是建立移动控制端3和照明节点5之间的无线通信链路。Wi-Fi通信网络主要是连接移动控制端3和路由器4使之能够通信，并进行数据传输与后续的操作。

进一步地，所述中心管理服务器1包括用户管理、数据管理、控制管理、监控管理、故障管理、报表管理和日志管理等功能模块。用户可通过这些功能模块进行有效的管理和维护，及时发现设备故障，及时进行维护和管理，保证设备的可用性，延长设备的使用年限。通过web管理照明网络，负责实时监控、远程控制、适时调光、灯具保护、动态节电维护，以及数据收集等功能需求。管理人员负责日常管理，包括用户管理、日志管理、控制管理及数据管理等。当出现警报信息时，管理人员立即进行警报处理，查询故障原因，并提醒维护人员维修故障，此外，维修人员可通过该系统获取维修故障信息，迅速作出反应，避免因故障问题造成重大损失，还可以通过指令操作远程诊断，或者请求产品开发商远程协助诊断。开发商除了提供维护帮助外，亦可获得自己产品的原始数据，用来提升产品性能，改善自己的产品。

本智能照明系统能够修改照明参数配置，远程控制智能灯具的开关灯、设计每天开关灯的时间，以及调整智能灯具亮度场景等。具体地，如图2所示，照明控制器2采用有线控制方式DMX或无线控制方式ZigBee网络控制照明网络，照明控制器2内置有UDP服务器，需要先发送握手link信号，再发送控制权限信号，最后发送DMX数据或者ZigBee Light Link(ZLL)、无线物联网数据。故运营商或者其他用户只要与中心管理服务器1连接后发送512节的数据包到UDP服务器，而UDP服务器会自动封装成DMX512信号，从而控制照明网络。

本智能照明系统通过系统智能组件接收到的异常数据，判断照明出现故障。运营商即可迅速通知维护人员去维修。具体地，如图3、图4所示，异常数据由照明网络通过无线设备发送至中心管理服务器1，运营商通过定时向中心管理服务器1请求监控状态，当有某处智能灯具5出现异常数据，将情况反馈给运营商，运营商查看实际情况，并上传照明维修报告，运营商可以根据提供的信息结合自己产品用例，给予诊断信息相应。如有必要，运营商也可以接管照明控制权限，发送诊断指令。此时，维修人员可通过维修请求功能收到信息。如图5、图6、图7所示，维修人员调用请求维修服务接口，当有需要维修的记录时，反馈维修报告、照明基本数据和照明配置表，此时维修人员接管控制权限，可以通过平版电脑进行现场维修，发送控制指令给照明网络，避免因照明故障导致财产、人身安全。

智能照明系统经安全测试后产生安全漏洞列表，需对安全漏洞通过安全设计做全面评估以得到智能照明系统的整体安全评估。此安全设计采用基本度量标准组表示漏洞的固有特征，该特征在一段时间内以及在整个用户环境中都是恒定不变的。它由两套度量标准组成：可实施性度量和影响度量。

可实施度指标反映了可利用该漏洞的简便性和技术手段，它们代表易受攻击的事物的特征，将其称为易受攻击的组件。影响度指标反映了成功利用漏洞的直接后果，并表示遭受影响的事物的后果，将其称为受影响的组件。

尽管易受攻击的组件通常是软件应用程序、模块、驱动程序等(或可能是硬件设备)，但受影响的组件可能是软件应用程序、硬件设备或网络资源。

具体而言，基本方程式是从两个子方程式得出的：“可实施度”子方程和“影响度”子方程。

所述的智能照明系统的安全设计方法，其整体流程包括中心管理服务器安全评估、照明控制器安全评估和照明节点安全评估，所述中心管理服务器、照明控制器和照明节点的安全风险计算方法包括计算可实施度指标、计算影响度指标、确定影响范围因子和计算安全风险指标，分别得到单个组件的安全风险评级，最后将单个组件的安全风险评级综合得到智能照明系统的总体安全风险评估。

进一步地，所述中心管理服务器安全评估包括如下流程：

a1、计算可实施度指标，

a2、计算影响度指标，

a3、确定影响范围因子，

a4、计算安全风险指标，

a5、中心管理服务器安全风险评级；

所述照明控制器安全评估包括如下流程：

b1、计算可实施度指标，

b2、计算影响度指标，

b3、确定影响范围因子，

b4、计算安全风险指标，

b5、照明控制器安全风险评级；

所述照明节点安全评估包括如下流程：

c1、计算可实施度指标，

c2、计算影响度指标，

c3、确定影响范围因子，

c4、计算安全风险指标，

c5、照明节点安全风险评级；

将a5、b5、c5结果综合得到智能照明系统的总体安全风险评估。总结安全评估的整体流程如图8所示。

进一步地，所述可实施度指标的计算公式：R_E＝8.22×AN×AA×PR×UI；

其中，R_E表示可实施度指标，；

AV表示攻击向量，该指标反映了漏洞利用成为可能的环境，攻击向量的指标值包括网络(Network)、相邻(Adjacent)、本地(Local)和物理攻击(Physical)。攻击者可以利用更远的距离(逻辑上和物理上)来利用此易受攻击的组件，该度量值(以及因此的基本分数)将越大。假定可以通过网络利用此漏洞的潜在攻击者的数量大于可以利用需要物理访问设备的漏洞的潜在攻击者的数量，则需要更高的基本分数。如表1列出了其可能的值。

表1

注意：在“网络”和“相邻”之间做出决定时，如果可以通过广域网或从逻辑上相邻的管理网络域外部发起攻击，即使用“网络”。即使要求攻击者位于同一Intranet上以利用易受攻击的系统(例如，攻击者只能从公司网络内部利用此漏洞)，也应使用网络。

AC表示攻击复杂度，该指标描述了攻击者控制之外的，实施此漏洞所必须存在的条件，攻击复杂度的指标值包括低(Low)、高(High)。其中，对该指标的评估不包括为了利用漏洞而进行的用户交互的任何要求(此类条件记录在“用户交互”指标中)。如果要使攻击成功需要特定的配置，则应假设易受攻击的组件位于该配置中，才能对基本指标进行评分。基本分数对于复杂程度最低的攻击最大。表2列出了其可能的值。

表2

PR为所需特权，此度量标准描述攻击者在成功利用此漏洞之前必须拥有的特权级别，如果不需要特权，则基本分数最高。所需特权的指标值包括无(None)、低(Low)、高(High)。表3列出了其可能的值。

表3

注意：以下情况通常不需要特权，硬编码漏洞(如密码和证书)或需要社会工程学的漏洞(例如，反映出的跨站点脚本编写，跨站点请求伪造或PDF阅读器中的文件解析漏洞)。

UI表示用户交互，此度量标准描述了除攻击者意外的人类用户参与成功攻击易受攻击组件的要求，它用于确定是否可以仅根据攻击者的意愿来利用漏洞，还是必须以某种方式参与到单独用户(或用户启动的进程)中，当不需要用户交互时，基本分数最高。用户交互的指标值包括无(None)、必需(Required)。表4列出了其可能的值。

表4

所述影响度指标的计算公式：R_I＝6.22×(1-(1-C)(1-I)(1-A))；

其中，R_I表示影响度指标，其用于评估成功利用的漏洞对遭受最直接和可预测的与攻击相关的最坏结果的组件的影响；

C表示机密性，机密性是指将信息访问和披露仅限于授权用户，以及防止未授权用户访问或披露信息，此度量标准用于衡量由于成功利用漏洞而对软件组件管理的信息资源的机密性的影响，当受影响部分的损失最高时，基本分数最高。机密性的指标值包括高(High)、低(Low)、无(None)。表5列出了其可能的值。

表5

I表示完整性，完整性是指信息的可信赖和准确性，此度量标准用于衡量成功利用的漏洞对完整性的影响，当对受影响组件的影响最高时，基本分数最高。完整性的指标值包括高(High)、低(Low)、无(None)。表6列出了其可能的值。

表6

A表示可用性，可用性是指信息资源的可访问性，此度量标准用于衡量由于成功利用漏洞而对受影响组件的可用性产生的影响，可用性的指标值包括高(High)、低(Low)、无(None)。虽然“机密性和完整性”影响度量标准适用于受影响组件所使用的数据(例如，信息，文件)的机密性或完整性丧失，但该度量标准是指受影响组件本身(例如网络服务)的可用性丧失例如网络，数据库，电子邮件)。由于可用性是指信息资源的可访问性，因此消耗网络带宽，处理器周期或磁盘空间的攻击都会影响受影响组件的可用性。当对受影响组件的影响最高时，基本分数最高。表7列出了其可能的值。

表7

所述影响范围因子以S表示，其指标值包括无改变范围(Unchanged)和可改变范围(Changed)。

影响范围因子度量一个组件中的漏洞是否影响超出其安全范围的其它组件。形式上，一个安全机制如应用程序，操作系统，固件的安全机制定义并强制了访问受限资源如如文件，存储等的访问控制机制。所有此安全机制管理下的主体和对象都被认为是在一个安全范围内。如果一个不安全组件的漏洞能够影响不同安全范围的其它组件，就成为范围改变。直观上，当一个漏洞的影响超出了安全信任边界，并影响了安全范围之外的组件，需要设定范围发生改变。当范围发生变化时，得分最大。表8给出了其可能值。影响范围因子用来修正风险评分。

表8

所述安全风险指标的计算公式：R＝S×(R_I+R_E)；

其中，R表示安全风险指标，

安全风险指标的计算结果划定为无(R＝0)、低(0.1≤R＜4)、中(4≤R＜7)、高(7≤R＜9)、严重(9≤R≤10)5个安全风险等级，计算结果R≥10，取R＝10；

S为影响范围因子；R_E为可实施度指标；R_I为影响度指标。

对于不同的系统智能组件，其AV，AC，PR，UI的取值见表9和表10。中心管理服务器和照明控制器的AV，AC，PR，UI取值见表9

表9中心管理服务器和照明控制器的AV，AC，PR，UI取值

照明节点的AV，AC，PR，UI取值见表10。

表10照明节点的AV，AC，PR，UI取值

对于不同的系统智能组件，其C，I，A的取值见表11至表13。

表11中心管理服务器的C，I，A取值

表12照明控制器的C，I，A取值

表13照明节点的C，I，A取值

表14影响范围因子的取值

表15安全风险评级表

安全风险等级	取值
		无	R＝0
低	0.1≤R＜4
		中	4≤R＜7
高	7≤R＜9
		严重	9≤R≤10

安全风险等级表明了组件的安全风险严重程度，通常安全评级的严重程度有如下含义：

-严重：此漏洞将影响整个系统和广大用户。

-高：此漏洞可以进入系统，但可能仅捕获少量用户信息。

-中：脆弱的案例很危险，但难以实施。

-低：易受攻击的案例并不是那么危险，并且仅适用于单个用户。

-无或信息：不是漏洞，只是对可能问题的观察。

根据安全测试和安全评估的结果，用户根据需要对智能照明系统做相应的改进和修复，以满足所需的安全要求。

最后应说明的是：这些实施方式仅用于说明本发明而不限制本发明的范围。此外，对于所属领域的技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明的保护范围之中。