具体实施方式
根据本发明的实施例所披露的技术方案,首先搜索局域网中的作为网关的路由器;如果搜索到局域网中存在该路由器,则检测路由器的型号、设置项和管理项;对所检测的路由器的设置项和管理项进行安全扫描以确定路由器是否存在不安全的设置项和管理项;以及基于扫描的结果来决定是否向用户提供告警信息和/或修复建议。
下面,将结合附图来详细地描述本发明的各个实施例。
现在参见图1,图1示出了根据本发明一个实施例的用于路由安全管理的方法100。本领域技术人员应当理解,本实施例所披露的方法可以在能够连接到网络的计算机等客户端上执行。
根据本发明的一个实施例,当计算机等客户端以无线或有线方式连接到诸如局域网等网络时,客户端可以通过执行根据本发明的方法来搜索网关路由器并且对搜索到的网关路由器的设置项、管理项等进行检测和安全扫描,以判断是否存在潜在的安全隐患,具体流程如图1所示。
在步骤110,搜索网络中作为网关的路由器。具体而言,通过查询所述网络中的客户端的TCP/IP配置来搜索所述作为网关的路由器的IP地址;如果搜索到所述IP地址,则通过向与所述IP地址相对应的特定设备发送指令来尝试获取其管理员登录界面;解析所述特定设备对所述指令的响应中的头部设备信息,以确定所述头部设备信息是否含有表示路由器的信息;以及如果所述头部设备信息含有表示路由器的信息,则将所述特定设备确定为所述作为网关的路由器。此处的指令例如为HTTP请求。
在步骤120,检测所搜索到的路由器的型号、设置项和管理项。具体而言,当搜索到网络上存在的网关路由器时,向该路由器发送第一HTTP请求,以请求该路由器的型号;作为对该第一HTTP请求的回应,该路由器返回HTTP响应;对返回的HTTP响应进行解析以获取位于该HTTP响应的头部中的所请求的路由器的型号;根据请求到的路由器的型号来获取预先存储的路由器的用户名和密码;以及利用所获取的路由器的用户名和密码来向该路由器发送第二HTTP请求,以请求该路由器的设置项和管理项等。注意:响应于第二HTTP请求而返回的HTTP响应的正文中包含所请求的路由器的设置项和管理项等。在检测路由器的型号时,只需要将第一HTTP请求发送到路由器的管理员登录界面;而在检测路由器的配置管理信息时,需要将第二HTTP请求发送到路由器的内部设置管理界面,由于在此之前已经检测到路由器的型号,并由此可以利用所检测到的路由器的型号来提取预先存储的该路由器的管理员的用户名和密码。亦即,通过利用第二HTTP请求中含有的用户名和密码,可以成功登录到路由器的内部设置管理界面,从而能够获取所需要的设置项和管理项。本领域技术人员应该能够理解,可以通过向所搜索到的路由器重复发送第二HTTP请求来获取所期望的多个路由器设置项和管理项。
在步骤130,对所获取的路由器的设置项和管理项进行安全扫描以确定是否存在不安全的设置项和管理项。具体而言,有些厂商的路由器会开启一些不安全的功能,并且存在危及用户信息安全的漏洞和后门。通过预先存储不同厂商的路由器的固件版本号和适当的路由器设置项和管理项,可以确定路由器存在哪些安全漏洞和哪些不正确的路由器设置项和管理项。例如,路由器的当前固件版本号较低,路由器具有不安全的设置项和管理项等安全隐患。
总体而言,本发明的上述安全扫描步骤可以对路由器进行多种类别的安全扫描,包括动态主机配置协议(DHCP)的DNS检查与修复、WLAN的DNS检查与修复、路由密码强度检查、WIFI加密强度测试、远端WEB管理是否开启、隔离区(DMZ)主机服务是否存在、以及跨站脚本攻击(XSS)漏洞是否存在等。
在步骤140,基于所述扫描的结果来决定是否提供告警信息和/或修复建议。具体而言,如果通过扫描没有发现路由器存在不安全的设置项和管理项,则向用户提供表明路由器的设置项和管理项为安全的信息。如果通过扫描发现路由器存在不安全的设置项和管理项,则向用户提供表明路由器的设置项和管理项为不安全的告警信息和/或相应的修改建议。用户可以选择是否接受所提供的修改建议来对路由器的配置和管理等进行优化,以提高路由器的安全性。
在本发明的优选实施例中,所述方法还包括:基于检测到的路由器的型号来提供该路由器的可供选择的设置项和管理项;以及将用户所选择的设置项和管理项应用于该路由器。根据路由器的型号来提取预先存储的路由器的可供选择的设置项和管理项。
在本发明的优选实施例中,所述方法还包括:定期重新获取路由器的设置项和管理项的变更状态,以便报告该路由器的最新设置项和管理项,并对应性地提供告警信息和/或修复建议。
在本发明的优选实施例中,基于扫描结果来决定是否提供告警信息和/或修复建议包括:如果存在不安全的设置项和管理项,则向用户发送声音告警和/或灯光告警,并且向用户显示所检测到的不安全的设置项和管理项和/或可供选择的修复建议。
在本发明的优选实施例中,所述方法还包括对路由器的在线客户端、黑名单用户和管理员用户进行管理。例如,所述方法将允许连接的客户端、禁止连接的客户端的介质访问控制(MAC)地址设置在路由器中,以允许、禁止其对路由器进行访问操作。优选地,所述方法还包括对允许访问的客户端的权限或优先级等进行设置,以使得不同的客户端被设置成具有不同的访问权限和优先级。本领域技术人员应该能够理解,所有的客户端可以被设置成具有相同的访问权限或优先级,并且也可以将客户端从黑名单中移除,以便恢复其访问路由器的权限。
在本发明的优选实施例中,所述方法还提供对路由器的一键管理,以提供路由器的常用设置的便捷管理工具,包括:外网连接管理、WIFI设置、路由密码修改、网页路由管理和重启路由等。各个管理工具对应于路由器自身的管理功能。
在本发明的优选实施例中,所述方法还包括显示所检测到的所述路由器的型号、设置项和管理项、所述不安全的设置项和管理项、所述告警信息和所述修复建议中的至少之一。
本领域技术人员应该能够清楚地理解,本发明的方法的上述实施例可以以任意期望的方式进行组合,而没有脱离本发明的保护范围。
现在参见图2,图2示出了根据本发明一个实施例的用于路由安全管理的装置200。本领域技术人员应当理解,用于路由安全管理的装置200可以位于诸如计算机等客户端中,也可以是与客户端一起使用的独立实体,或者单独使用的独立实体。
此外,装置200可以利用软件、硬件或软硬件结合的方式来实现。进一步地,本领域技术人员还应当理解,针对上述方法100的各个实施例的描述同样也适用于装置200的实施例,并且可以以任何期望的方式将方法100的实施例中记载的特征与装置200的实施例中记载的特征进行组合。
如图2所示,该装置200包括搜索单元210、检测单元220、扫描单元230、以及告警和修复单元240。当装置200以无线或有线方式连接到诸如局域网等网络时,装置200可以搜索网络上的路由器并且对搜索到的路由器的设置项、管理项等进行检测和安全扫描,以判断其是否存在潜在的安全隐患,具体如下文所述。
搜索单元210搜索网络中是否存在作为网关的路由器。具体而言,搜索单元210通过查询装置200的TCP/IP配置或网络中的其它客户端的TCP/IP配置来搜索作为网关的路由器的IP地址;如果搜索到所述IP地址,则通过向与所述IP地址相对应的特定设备发送指令来尝试获取其管理员登录界面;解析所述特定设备对所述指令的响应中的头部设备信息,以确定所述头部设备信息是否含有表示路由器的信息;以及如果所述头部设备信息含有表示路由器的信息,则将所述特定设备确定为所述作为网关的路由器。
检测单元220检测所搜索到的路由器的型号、设置项和管理项。具体而言,当网络上存在的网关路由器被搜索到时,检测单元220向该路由器发送第一HTTP请求,以请求该路由器的型号;作为对该第一HTTP请求的回应,该路由器返回HTTP响应;对返回的HTTP响应进行解析以获取位于该HTTP响应的头部中的所请求的路由器的型号;根据请求到的路由器的型号来获取预先存储的路由器的用户名和密码;以及利用所获取的路由器的用户名和密码来向该路由器发送第二HTTP请求,以请求该路由器的配置管理信息。在本申请中,路由器的配置管理信息例如是路由器的厂商信息、路由器型号、路由器的设置项和管理项等。
扫描单元230对检测单元220所检测的路由器的设置项和管理项进行安全扫描以确定路由器是否存在不安全的设置项和管理项。
告警和修复单元240基于扫描的结果来决定是否提供告警信息和/或修复建议。在本发明的优选实施例中,告警和修复单元240被配置为:如果存在不安全的设置项和管理项,则向用户发送声音告警和/或灯光告警,并且向用户显示所检测到的不安全的设置项和管理项和/或可供选择的修复建议。
在本发明的优选实施例中,装置200还包括提供单元(图中未示出)和应用单元(或同步单元)(图中未示出),该提供单元基于检测到的路由器的型号来提供该路由器的可供选择的设置项和管理项,而该应用单元将用户所选择的设置项和管理项应用于路由器。
在本发明的优选实施例中,装置200还包括存储单元(图中未示出),其被配置为预先存储路由器的用户名和密码和可供选择的设置项和管理项,其中,根据所述路由器的型号来从存储单元中提取所述路由器的用户名和密码和所述可供选择的设置项和管理项。
在本发明的优选实施例中,装置200还包括定期重新获取单元(图中未示出),该定期重新获取单元定期地重新获取路由器的设置项和管理项的变更状态,以便报告该路由器的最新设置项和管理项,并对应性地提供告警信息和/或修复建议。
在本发明的优选实施例中,装置200还包括管理单元(图中未示出),该管理单元用于对路由器的在线客户端、黑名单用户和管理员用户进行管理。具体而言,管理单元可以被配置为对允许访问的客户端、禁止访问的客户端、允许访问的客户端的权限或优先级等进行设置,并将该设置同步到路由器中。
在本发明的优选实施例中,所述管理单元还被配置为提供对路由器的一键管理,以提供路由器的常用设置的便捷管理工具,包括:外网连接管理、WIFI设置、路由密码修改、网页路由管理和重启路由等。
在本发明的优选实施例中,装置200还包括显示单元(图中未示出),该显示单元用于显示所检测的所述路由器的型号、设置项和管理项、所述不安全的设置项和管理项、所述告警信息和所述修复建议中的至少之一。
本领域技术人员应该能够理解,本发明的装置的上述实施例可以以任意期望的方式进行组合,而没有脱离本发明的保护范围。
现在参见图3,图3示出了根据本发明一个实施例的用于路由安全管理的设备300。本领域技术人员应当理解,该用于路由安全管理的设备300可以是诸如计算机等客户端,也可以是独立于客户端的实体或位于客户端中的实体或与客户端一起使用的实体。
如图3所示,用于路由安全管理的设备300可以包括存储器310和处理器320。处理器320被配置为执行以下操作:搜索网络中的作为网关的路由器;检测该路由器的型号、设置项和管理项;对所检测的路由器的设置项和管理项进行安全扫描以确定是否存在不安全的设置项和管理项;以及基于扫描的结果来决定是否提供告警信息和/或修复建议。
在本发明的优选实施例中,搜索网络中的路由器的操作包括:通过查询设备300的TCP/IP配置或网络中的其它客户端的TCP/IP配置来搜索作为网关的路由器的IP地址;如果搜索到所述IP地址,则通过向与所述IP地址相对应的特定装置发送指令来尝试获取其管理员登录界面;解析所述特定装置对所述指令的响应中的头部设备信息,以确定所述头部设备信息是否含有表示路由器的信息;以及如果所述头部设备信息含有表示路由器的信息,则将所述特定装置确定为所述作为网关的路由器。
在本发明的优选实施例中,检测路由器的型号、设置项和管理项的操作包括:向路由器发送第一HTTP请求,以请求路由器的型号;作为对该第一HTTP请求的回应,路由器返回HTTP响应;对该HTTP响应进行解析以获取位于该HTTP响应的头部中的所请求的路由器的型号;根据请求到的路由器的型号来获取预先存储的路由器的用户名和密码;以及利用所获取的路由器的用户名和密码来向该路由器发送第二HTTP请求,以请求该路由器的设置项和管理项等。
在本发明的优选实施例中,处理器320还被配置为基于检测到的路由器的型号来提供该路由器的可供选择的设置项和管理项;以及将用户所选择的设置项和管理项应用于该路由器。
在本发明的优选实施例中,处理器320还被配置为在存储器310中预先存储路由器的用户名和密码和可供选择的设置项和管理项,其中,根据所述路由器的型号来从存储器310中提取所述路由器的用户名和密码以及所述可供选择的设置项和管理项。
在本发明的优选实施例中,处理器320还被配置为定期重新获取路由器的设置项和管理项的变更状态,以便报告该路由器的最新设置项和管理项,并对应性地提供告警信息和/或修复建议。
在本发明的优选实施例中,基于扫描结果来决定是否提供告警信息和/或修复建议的操作包括:如果存在不安全的设置项和管理项,则向用户发送声音告警和/或灯光告警,并且向用户显示所检测到的不安全的设置项和管理项和/或可供选择的修复建议。
在本发明的优选实施例中,处理器320还被配置为对路由器的在线客户端、黑名单用户和管理员用户等进行管理。
在本发明的优选实施例中,处理器320还被配置为提供对路由器的一键管理。
在本发明的优选实施例中,处理器320还被配置为使所检测到的路由器的型号、设置项和管理项、不安全的设置项和管理项、告警信息和修复建议中的至少之一被显示在设备300的显示单元(图中未示出)上。
本领域技术人员应该能够理解,本发明的设备的上述实施例可以以任意期望的方式进行组合,而没有脱离本发明的保护范围。
本发明的实施例还提供了一种机器可读介质,其上存储有计算机程序,该计算机程序包括程序代码,当所述程序代码被执行时,使得机器执行以下步骤:搜索网络中的作为网关的路由器;检测所述路由器的型号、设置项和管理项;对所检测的所述路由器的设置项和管理项进行安全扫描以确定是否存在不安全的设置项和管理项;以及基于所述扫描的结果来决定是否提供告警信息和/或修复建议。
在本发明的机器可读介质的优选实施例中,所述程序代码还使得机器执行上文描述的本发明的方法的上述各个优选实施例中的步骤。
本领域技术人员应该能够理解,本发明的机器可读介质的上述实施例可以以任意期望的方式进行组合,而没有脱离本发明的保护范围。
上文通过附图和实施例对本发明进行了详细展示和说明。然而,本发明并不限于这些已披露的实施例,本领域技术人员从中推导出来的其它方案也在本发明的保护范围之内。因此,本发明的保护范围应当由所附的权利要求书来限定。
应当注意,在权利要求书中,词语“包括”并不排除存在权利要求或说明书中没有列举的元件、单元、装置或步骤。元件、单元、装置或步骤之前的词语“一”或“一个”并不排除存在多个这种元件,单元、装置或步骤。在列举了几个单元的设备权利要求中,这些单元中的几种可以由同一类软件和/或硬件来实施。