CN107155182B - 一种保护客舱WiFi网络安全的方法和装置 - Google Patents

一种保护客舱WiFi网络安全的方法和装置 Download PDF

Info

Publication number
CN107155182B
CN107155182B CN201610120446.7A CN201610120446A CN107155182B CN 107155182 B CN107155182 B CN 107155182B CN 201610120446 A CN201610120446 A CN 201610120446A CN 107155182 B CN107155182 B CN 107155182B
Authority
CN
China
Prior art keywords
domain
trusted
untrusted
access
passenger
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201610120446.7A
Other languages
English (en)
Other versions
CN107155182A (zh
Inventor
拜秋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Donica Networking Technology Co ltd
Shenzhen Hangruan Software Co ltd
Shenzhen Institute Of Avionics Technology
DONICA AVIATION ENGINEERING CO LTD
Original Assignee
Shenzhen Donica Networking Technology Co ltd
Shenzhen Hangruan Software Co ltd
Shenzhen Institute Of Avionics Technology
DONICA AVIATION ENGINEERING CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Donica Networking Technology Co ltd, Shenzhen Hangruan Software Co ltd, Shenzhen Institute Of Avionics Technology, DONICA AVIATION ENGINEERING CO LTD filed Critical Shenzhen Donica Networking Technology Co ltd
Priority to CN201610120446.7A priority Critical patent/CN107155182B/zh
Publication of CN107155182A publication Critical patent/CN107155182A/zh
Application granted granted Critical
Publication of CN107155182B publication Critical patent/CN107155182B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种保护客舱WiFi网络安全的方法和装置,以增强客舱WiFi网络和航班的飞行安全。所述方法包括:将客舱WiFi网络隔离成可信域和非可信域;控制非可信域的用户和可信域的用户对对方所在域的访问;在所述可信域的部分区域与所述非可信域的部分区域之间配置防火墙。本发明提供的技术方案可以有效防止客舱WiFi网络被恶意或无意的攻击,也有效地保证了航班的安全运行。

Description

一种保护客舱WiFi网络安全的方法和装置
技术领域
本发明属于计算机网络领域,尤其涉及一种保护客舱WiFi网络安全的方法和装置。
背景技术
现阶段乘客在乘坐航空公司带有客舱WiFi的航班时,通过使用自带的笔记本电脑、平板电脑等无线终端接入客舱WiFi网络后,便可以使用机载娱乐系统,例如看电影、听音乐和看电子书等。在为乘客带来娱乐体验的同时,机舱WiFi网络作为一个局域网也暴露在了乘客面前。对于一些心怀恶意的乘客,例如黑客或自带无线终端感染病毒的乘客可能有意或无意地发起对WiFi局域网络的攻击。根据攻击的形式的不同,有可能会导致多种不同的结果,例如,网络瘫痪从而无法提供娱乐服务、篡改娱乐系统内容、发布反动言论、发布虚假信息诱使乘客输入自己的隐私信息(例如银行卡号和密码等)和发布威胁飞行安全的信息等。
现有的WiFi网络通常无法有效地隔离乘客流量,导致不怀好意的乘客可以轻易地访问到WiFi网络的核心部件——机载服务器,从而进一步实施各种探测、欺骗和攻击,给机舱Wi-Fi网络的安全带来了极大的隐患。
发明内容
本发明的目的在于提供一种保护客舱WiFi网络安全的方法和装置,以增强客舱WiFi网络和航班的飞行安全。
本发明第一方面提供一种保护客舱WiFi网络安全的方法,所述方法包括:
将客舱WiFi网络隔离成可信域和非可信域;
控制非可信域的用户和可信域的用户对对方所在域的访问;
在所述可信域的部分区域与所述非可信域的部分区域之间配置防火墙。
本发明第二方面提供一种保护客舱WiFi网络安全的装置,所述装置包括:
隔离模块,用于将客舱WiFi网络隔离成可信域和非可信域;
访问控制模块,用于控制非可信域的用户和可信域的用户对对方所在域的访问;
配置模块,用于在所述可信域的部分区域与所述非可信域的部分区域之间配置防火墙。
从上述本发明技术方案可知,由于将客舱WiFi网络隔离成了可信域和非可信域,并且对非可信域的用户和可信域的用户对对方所在域的访问进行了控制以及在可信域的部分区域与非可信域的部分区域之间配置防火墙。因此,本发明提供的技术方案可以有效防止客舱WiFi网络被恶意或无意的攻击,也有效地保证了航班的安全运行。
附图说明
图1是本发明实施例一提供的保护客舱WiFi网络安全的方法的实现流程示意图;
图2是本发明实施例二提供的保护客舱WiFi网络安全的装置的结构示意图;
图3是本发明实施例三提供的保护客舱WiFi网络安全的装置的结构示意图;
图4是本发明实施例四提供的保护客舱WiFi网络安全的装置的结构示意图;
图5-a是本发明实施例五提供的保护客舱WiFi网络安全的装置的结构示意图;
图5-b是本发明实施例六提供的保护客舱WiFi网络安全的装置的结构示意图;
图5-c是本发明实施例七提供的保护客舱WiFi网络安全的装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种保护客舱WiFi网络安全的方法,所述方法包括:将客舱WiFi网络隔离成可信域和非可信域;控制非可信域的用户和可信域的用户对对方所在域的访问;在所述可信域的部分区域与所述非可信域的部分区域之间配置防火墙。本发明实施例还提供相应的保护客舱WiFi网络安全的装置。以下分别进行详细说明。
请参阅附图1,是本发明实施例一提供的保护客舱WiFi网络安全的方法的实现流程示意图,主要包括以下步骤S101至步骤S103:
S101,将客舱WiFi网络隔离成可信域和非可信域。
一般地,客舱WiFi网络是覆盖航班上的客舱区域,供航班上的乘客联网,为乘客提供一些诸如网页浏览、视频播放等服务的网络设施。由于航班上的乘客的身份有不可预测性,接入客舱WiFi网络的乘客随时有可能有意或无意地对客舱WiFi网络发动攻击或发布一些威胁飞行安全的信息等。为了保证客舱WiFi网络的安全,在本发明实施例中,可将客舱WiFi网络隔离成可信域和非可信域。具体地,可以先根据数据流量的安全可信级别,将客舱WiFi网络划分为可信域和非可信域,然后,对于不同的域使用不同的虚拟局域网(VirtualLocal Area Network,VLAN)对流量进行隔离,从而将客舱WiFi网络隔离成可信域和非可信域。至于采用VLAN对流量进行隔离,可以采用现有的任何一种方式,本发明对此并不加限制。
对于可信域和非可信域,在本发明实施例中,还可以将可信域进一步隔离成本地服务域和可信管理域,非可信域可以进一步隔离成可信乘客域和非可信Internet域,即,在本发明实施例中,可信域可包括本地服务域和可信管理域,非可信域包括非可信乘客域和非可信Internet域,其中,本地服务域提供WiFi设备管理和乘客娱乐的双重功能。
S102,控制非可信域的用户和可信域的用户对对方所在域的访问。
虽然客舱WiFi网络被隔离成了本地服务域、可信管理域、非可信乘客域和非可信Internet域等几个区域,但是,为安全起见,可信域不可以对非可信域任意访问,非可信域之间也并能随意进行访问,非可信域的用户和可信域的用户对对方所在域的访问需要控制,控制方法可以是在域之间设立防火墙,控制域之间数据的转发。在本发明实施例中,控制非可信域的用户和可信域的用户对对方所在域的访问包括:适度限制非可信乘客域的用户对本地服务域、可信管理域和非可信Internet域的访问;以及允许可信管理域的用户对非可信Internet域的有限访问。其中,对于适度限制非可信乘客域的用户对本地服务域、可信管理域和非可信Internet域的访问可以是:禁止非可信乘客域的用户访问可信管理域,允许非可信乘客域的用户访问非可信Internet域的指定服务,以及允许非可信乘客域的用户仅限于访问本地服务域的机载娱乐服务,例如,HTTP或HTTPS等,而允许可信管理域的用户对非可信Internet域的有限访问可以是可信管理域的用户通过3G/4G模块访问非可信Internet域的安全文件传送协议(Secure File Transfer Protocol,SFTP)服务等。
需要说明的是,为了便于进行WiFi设备的管理,在本发明实施例中,可信管理域的用户和本地服务域的用户对对方所在域的访问不加限制,即,可信管理域的用户和本地服务域的用户可互相访问对方所在的域。
S103,在可信域的部分区域与非可信域的部分区域之间配置防火墙。
具体地,在可信域的部分区域与非可信域的部分区域之间配置防火墙可以是防御非可信乘客域的用户对本地服务域的嗅探和扫描、防御非可信乘客域的用户对本地服务域的网络攻击,包括DoS、IP spoof、Smurf、ICMP redirect、buffer overflow和SQL inject等,以及限制非可信乘客域的用户在非可信乘客域的和本地服务域之间通信的流量。
从上述附图1示例的保护客舱WiFi网络安全的方法可知,由于将客舱WiFi网络隔离成了可信域和非可信域,并且对非可信域的用户和可信域的用户对对方所在域的访问进行了控制以及在可信域的部分区域与非可信域的部分区域之间配置防火墙。因此,本发明提供的技术方案可以有效防止客舱WiFi网络被恶意或无意的攻击,也有效地保证了航班的安全运行。
请参阅附图2,是本发明实施例二提供的保护客舱WiFi网络安全的装置的结构示意图。为了便于说明,附图2仅示出了与本发明实施例相关的部分。附图2示例的保护客舱WiFi网络安全的装置可以是附图1示例的保护客舱WiFi网络安全的方法的执行主体。附图2示例的保护客舱WiFi网络安全的装置主要包括隔离模块201、访问控制模块202和配置模块203,其中:
隔离模块201,用于将客舱WiFi网络隔离成可信域和非可信域;
访问控制模块202,用于控制非可信域的用户和可信域的用户对对方所在域的访问;
配置模块203,用于在可信域的部分区域与非可信域的部分区域之间配置防火墙。
需要说明的是,以上附图2示例的保护客舱WiFi网络安全的装置的实施方式中,各功能模块的划分仅是举例说明,实际应用中可以根据需要,例如相应硬件的配置要求或者软件的实现的便利考虑,而将上述功能分配由不同的功能模块完成,即将所述保护客舱WiFi网络安全的装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。而且,实际应用中,本实施例中的相应的功能模块可以是由相应的硬件实现,也可以由相应的硬件执行相应的软件完成,例如,前述的隔离模块,可以是具有执行前述将客舱WiFi网络隔离成可信域和非可信域的硬件,例如隔离器,也可以是能够执行相应计算机程序从而完成前述功能的一般处理器或者其他硬件设备;再如前述的访问控制模块,可以是执行将控制非可信域的用户和可信域的用户对对方所在域的访问的硬件,例如访问控制器,也可以是能够执行相应计算机程序从而完成前述功能的一般处理器或者其他硬件设备(本说明书提供的各个实施例都可应用上述描述原则)。
附图2示例的保护客舱WiFi网络安全的装置中,可信域包括本地服务域和可信管理域,非可信域包括非可信乘客域和非可信Internet域。
附图2示例的访问控制模块202可以包括访问限制单元301和访问允许单元302,如附图3所示本发明实施例三提供的保护客舱WiFi网络安全的装置,其中:
访问限制单元301,用于适度限制非可信乘客域的用户对本地服务域、可信管理域和非可信Internet域的访问;
访问允许单元302,用于允许可信管理域的用户对所述非可信Internet域的有限访问。
附图3示例的访问限制单元301可以包括禁止单元401、第一允许单元402和第二允许单元403,如附图4所示本发明实施例四提供的保护客舱WiFi网络安全的装置,其中:
禁止单元401,用于禁止非可信乘客域的用户访问可信管理域;
第一允许单元402,用于允许非可信乘客域的用户访问非可信Internet域的指定服务;以及
第二允许单元403,用于允许非可信乘客域的用户仅限于访问本地服务域的机载娱乐服务。
附图2至4任一示例的配置模块可以包括第一防御单元501、第二防御单元502和流量限制单元503,如附图5-a至附图5-c所示本发明实施例五至实施例七提供的保护客舱WiFi网络安全的装置,其中:
第一防御单元501,用于防御非可信乘客域的用户对本地服务域的嗅探和扫描;
第二防御单元502,用于防御非可信乘客域的用户对本地服务域的网络攻击;
流量限制单元503,用于限制非可信乘客域的用户在非可信乘客域的和本地服务域之间通信的流量。
需要说明的是,上述装置各模块/单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,其带来的技术效果与本发明方法实施例相同,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁盘或光盘等。
以上对本发明实施例所提供的保护客舱WiFi网络安全的方法和装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (4)

1.一种保护客舱WiFi网络安全的方法,其特征在于,所述方法包括:
根据数据流量的安全可信级别,将客舱WiFi网络隔离成可信域和非可信域;其中,所述可信域包括本地服务域和可信管理域,所述非可信域包括非可信乘客域和非可信Internet域;所述本地服务域提供WiFi设备管理和乘客娱乐的双重功能;可信管理域的用户和本地服务域的用户可互相访问对方所在的域;
控制非可信域的用户和可信域的用户对对方所在域的访问,包括:禁止非可信乘客域的用户访问可信管理域,允许非可信乘客域的用户访问非可信Internet域的指定服务,允许非可信乘客域的用户仅限于访问本地服务域的机载娱乐服务,以及允许所述可信管理域的用户通过3G/4G模块访问非可信Internet域的安全文件传送协议服务;
在所述可信域的部分区域与所述非可信域的部分区域之间配置防火墙。
2.如权利要求1所述的方法,其特征在于,所述在所述可信域的部分区域与所述非可信域的部分区域之间配置防火墙包括:
防御所述非可信乘客域的用户对所述本地服务域的嗅探和扫描;
防御所述非可信乘客域的用户对所述本地服务域的网络攻击;
限制所述非可信乘客域的用户在所述非可信乘客域的和所述本地服务域之间通信的流量。
3.一种保护客舱WiFi网络安全的装置,其特征在于,所述装置包括:
隔离模块,用于根据数据流量的安全可信级别,将客舱WiFi网络隔离成可信域和非可信域;其中,所述可信域包括本地服务域和可信管理域,所述非可信域包括非可信乘客域和非可信Internet域;所述本地服务域提供WiFi设备管理和乘客娱乐的双重功能;可信管理域的用户和本地服务域的用户可互相访问对方所在的域;
访问控制模块,用于控制非可信域的用户和可信域的用户对对方所在域的访问;
配置模块,用于在所述可信域的部分区域与所述非可信域的部分区域之间配置防火墙;
所述访问控制模块包括:
访问限制单元,用于适度限制所述非可信乘客域的用户对所述本地服务域、可信管理域和非可信Internet域的访问;
访问允许单元,用于允许所述可信管理域的用户通过3G/4G模块访问非可信Internet域的安全文件传送协议服务;
所述访问限制单元包括:
禁止单元,用于禁止所述非可信乘客域的用户访问所述可信管理域;
第一允许单元,用于允许所述非可信乘客域的用户访问所述非可信Internet域的指定服务;以及
第二允许单元,用于允许所述非可信乘客域的用户仅限于访问所述本地服务域的机载娱乐服务。
4.如权利要求3所述的装置,其特征在于,所述配置模块包括:
第一防御单元,用于防御所述非可信乘客域的用户对所述本地服务域的嗅探和扫描;
第二防御单元,用于防御所述非可信乘客域的用户对所述本地服务域的网络攻击;
流量限制单元,用于限制所述非可信乘客域的用户在所述非可信乘客域的和所述本地服务域之间通信的流量。
CN201610120446.7A 2016-03-03 2016-03-03 一种保护客舱WiFi网络安全的方法和装置 Expired - Fee Related CN107155182B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610120446.7A CN107155182B (zh) 2016-03-03 2016-03-03 一种保护客舱WiFi网络安全的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610120446.7A CN107155182B (zh) 2016-03-03 2016-03-03 一种保护客舱WiFi网络安全的方法和装置

Publications (2)

Publication Number Publication Date
CN107155182A CN107155182A (zh) 2017-09-12
CN107155182B true CN107155182B (zh) 2020-12-11

Family

ID=59791950

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610120446.7A Expired - Fee Related CN107155182B (zh) 2016-03-03 2016-03-03 一种保护客舱WiFi网络安全的方法和装置

Country Status (1)

Country Link
CN (1) CN107155182B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1400540A (zh) * 2001-08-01 2003-03-05 苏毅 网络连接/隔离的控制方法
CN1435969A (zh) * 2002-02-01 2003-08-13 联想(北京)有限公司 实现支持虚拟局域网防火墙的方法
CN101383835A (zh) * 2008-10-21 2009-03-11 杭州华三通信技术有限公司 一种实现服务器安全隔离的方法及装置
CN103428695A (zh) * 2012-05-18 2013-12-04 飞天联合(北京)信息技术有限公司 处理无线多安全等级业务的方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100452773C (zh) * 2006-08-02 2009-01-14 杭州华三通信技术有限公司 基于虚拟局域网的数据发送方法与装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1400540A (zh) * 2001-08-01 2003-03-05 苏毅 网络连接/隔离的控制方法
CN1435969A (zh) * 2002-02-01 2003-08-13 联想(北京)有限公司 实现支持虚拟局域网防火墙的方法
CN101383835A (zh) * 2008-10-21 2009-03-11 杭州华三通信技术有限公司 一种实现服务器安全隔离的方法及装置
CN103428695A (zh) * 2012-05-18 2013-12-04 飞天联合(北京)信息技术有限公司 处理无线多安全等级业务的方法及装置

Also Published As

Publication number Publication date
CN107155182A (zh) 2017-09-12

Similar Documents

Publication Publication Date Title
US11531749B2 (en) Controlling access to external networks by an air-gapped endpoint
US10375111B2 (en) Anonymous containers
US10558798B2 (en) Sandbox based Internet isolation in a trusted network
US11743297B2 (en) Systems and methods for providing network security using a secure digital device
US8407240B2 (en) Autonomic self-healing network
US11044233B2 (en) Browser switching system and methods
CN106899561B (zh) 一种基于acl的tnc权限控制方法和系统
Yackoski et al. Mission-oriented moving target defense based on cryptographically strong network dynamics
US8713640B2 (en) System and method for logical separation of a server by using client virtualization
EP3314499B1 (en) Temporary process deprivileging
Fernandez et al. Patterns for cloud firewalls
CN107155182B (zh) 一种保护客舱WiFi网络安全的方法和装置
Nwobodo et al. Security challenges in the distributed cloud computing
CN108833395B (zh) 一种基于硬件接入卡的外网接入认证系统及认证方法
Hamid et al. Acids: A secure smart city framework and threat model
Deng et al. TNC-UTM: A holistic solution to secure enterprise networks
Babu et al. A secure virtualized cloud environment with pseudo-hypervisor IP based technology
Cichocki State-sponsored and organized crime threats to maritime transportationsystems in the context of the attack on Ukraine
Villarreal et al. A Pattern for Whitelisting Firewalls (WLF)
CN111683053B (zh) 云平台安全网络架构
Shishir DATA CENTER SECURITY & VIRTUALIZATION
Villarreal et al. Whitelisting firewall pattern (WLF)
Das et al. Role-based privilege isolation: A novel authorization model for Android smart devices
Yoo et al. NAC System Analysis and Design for Improvement Model
Lee et al. Design Challenges and Implementation of a Shipborne Gateway for Safe and Secure Navigational Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20201211