CN108123922A - 安全处理方法、装置 - Google Patents
安全处理方法、装置 Download PDFInfo
- Publication number
- CN108123922A CN108123922A CN201611083134.XA CN201611083134A CN108123922A CN 108123922 A CN108123922 A CN 108123922A CN 201611083134 A CN201611083134 A CN 201611083134A CN 108123922 A CN108123922 A CN 108123922A
- Authority
- CN
- China
- Prior art keywords
- network node
- access request
- access
- network
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
本发明涉及网络技术领域,尤其涉及一种安全处理方法和装置,一种网络节点提供安全处理。在本发明实施例提供的一种方法中,第二网络节点(202)接收访问第一网络节点(201)的网络节点访问请求,并对所述网络节点访问请求进行安全验证,若验证通过,允许所述网络节点访问请求被发往所述第一网络节点(201),若验证未通过,则禁止所述网络节点访问请求被发往所述第一网络节点(201)。由第二网络节点(202)提供了第一网络节点(201)的安全处理能力。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种安全处理方法和装置。
背景技术
物联网(Internet of Things,IOT)是在互联网的基础上延伸和扩展的一种网络。在物联网中,物物之间可以进行信息交换和通信,目的是实现物品与网络的连接,从而方便对物品的识别、管理和控制。
物联网中的很多网络节点是资源受限(constrained)的,这些网络节点可能只具备少量的存储空间和有限的计算能力,无法实现一些安全处理,受到安全威胁。
发明内容
有鉴于此,本发明提供一种安全处理方法和装置,该装置和方法不仅适用于物联网中资源受限的网络节点,还适用于所有不具备安全处理能力,或安全处理能力有限的网络节点,用以实现对这些网络节点的安全处理。
第一方面,本发明实施例提供一种方法,用于对一个请求访问第一网络节点的网络节点访问请求进行安全处理。其中,可选地,所述第一网络节点不具备安全处理能力,或所述第一网络节点具备的安全处理能力有限。该方法中,第二网络节点对接收的所述网络节点访问请求进行安全验证,若验证通过,则允许所述网络节点访问请求被发往所述第一网络节点,若验证未通过,则禁止所述网络节点访问请求被发往所述第一网络节点。
该方法为第一网络节点提供了安全处理能力。且无需对第一网络节点自身进行改造。可在第二网络节点上按需配置安全策略,实现安全处理的灵活设置。
可选地,所述第二网络节点可验证发起所述网络节点访问请求的第三网络节点对所述第一网络节点的访问权限,若所述第三网络节点具备对所述第一网络节点的访问权限,则验证通过,若所述第三网络节点不具备对所述第一网络节点的访问权限,则验证未通过。
该可选实现方式,实现了对网络节点访问请求的发起节点访问权限的验证。
可选地,所述第二网络节点验证发起所述网络节点访问请求的第三网络节点对所述第一网络节点的第一资源的访问权限。其中,所述第一资源为所述网络节点访问请求中指示的所述第三网络节点要访问的资源,若所述第三网络节点具备对所述第一网络节点的所述第一资源的访问权限,则验证通过,若所述第三网络节点不具备对所述第一网络节点的所述第一资源的访问权限,则验证未通过。
该可选实现方式,实现了对网络节点访问请求对特定资源的访问权限的验证。因此,可针对第一网络节点上的不同资源,分别设置不同的安全策略,实现上更灵活。
可选地,所述第一网络节点为受限应用协议(The Constrained ApplicationProtocol,CoAP)服务器,所述第二网络节点为所述第一网络节点的CoAP反向代理;所述第三网络节点为CoAP客户端。
可选地,所述第一网络节点为消息队列遥测传输(Message Queuing TelemetryTransport,MQTT)服务器,所述第二网络节点为所述第一网络节点的MQTT反向代理;所述第三网络节点为MQTT客户端。
第二方面,本发明实施例提供一种装置,用于对一个网络节点访问请求进行安全处理,可选地,所述网络节点访问请求用于请求访问第一网络节点,所述第一网络节点不具备安全处理能力,或所述第一网络节点具备的安全处理能力有限,所述装置包括:接收模块,用于接收所述网络节点访问请求;安全验证模块,用于对所述网络节点访问请求进行安全验证;若验证通过,则允许所述网络节点访问请求被发往所述第一网络节点,若验证未通过,则禁止所述网络节点访问请求被发往所述第一网络节点。
该装置为第一网络节点提供了安全处理能力。且无需对第一网络节点自身进行改造。可在第二网络节点上按需配置安全策略,实现安全处理的灵活设置。
可选地,所述安全验证模块在对所述网络节点访问请求进行安全验证时,具体用于:验证第三网络节点对所述第一网络节点的访问权限,其中,所述第三网络节点为所述网络节点访问请求的发起网络节点;若所述第三网络节点具备对所述第一网络节点的访问权限,则验证通过,若所述第三网络节点不具备对所述第一网络节点的访问权限,则验证未通过。
该可选实现方式,实现了对网络节点访问请求的发起节点访问权限的验证。
可选地,所述安全验证模块在对所述网络节点访问请求进行安全验证时,具体用于:验证第三网络节点对所述第一网络节点的第一资源的访问权限,其中,所述第三网络节点为所述网络节点访问请求的发起网络节点,所述第一资源为所述网络节点访问请求中指示的所述第三网络节点要访问的资源;若所述第三网络节点具备对所述第一网络节点的所述第一资源的访问权限,则验证通过,若所述第三网络节点不具备对所述第一网络节点的所述第一资源的访问权限,则验证未通过。
该可选实现方式,实现了对网络节点访问请求对特定资源的访问权限的验证。因此,可针对第一网络节点上的不同资源,分别设置不同的安全策略,实现上更灵活。
可选地,所述第一网络节点为受限应用协议CoAP服务器,所述装置为所述第一网络节点的CoAP反向代理;所述第三网络节点为CoAP客户端。
可选地,所述第一网络节点为消息队列遥测传输MQTT服务器,所述装置为所述第一网络节点的MQTT反向代理;所述第三网络节点为MQTT客户端。
第三方面,本发明实施例提供一种装置,包括:至少一个存储器,用于存储机器可读指令;至少一个处理器,用于执行所述机器可读指令,执行第一方面,或第一方面的任一种可选实现方式提供的方法。
该装置为第一网络节点提供了安全处理能力。且无需对第一网络节点自身进行改造。可在第二网络节点上按需配置安全策略,实现安全处理的灵活设置。
第四方面,本发明实施例提供一种机器可读存储介质,所述机器可读介质上存储有机器可读指令,所述机器可读指令在被处理器执行时,使所述处理器执行第一方面或第一方面的任一可选实现方式提供的方法。
为第一网络节点提供了安全处理能力。且无需对第一网络节点自身进行改造。可在第二网络节点上按需配置安全策略,实现安全处理的灵活设置。
第五方面,本发明实施例提供一种网络,包括:至少一个第一网络节点,可选地,所述第一网络节点不具备安全处理能力,或所述第一网络节点具备的安全处理能力有限;一个第二网络节点,所述第二网络节点与所述至少一个第一网络节点连接;以及一个第三网络节点,所述第三网络节点与所述第二网络节点连接,其中,所述第二网络节点,用于:接收来自所述第三网络节点的一个网络节点访问请求;对所述网络节点访问请求进行安全验证;若验证通过,则允许所述网络节点访问请求被发往所述第一网络节点,若验证未通过,则禁止所述网络节点访问请求被发往所述第一网络节点。
为第一网络节点提供了安全处理能力。且无需对第一网络节点自身进行改造。可在第二网络节点上按需配置安全策略,实现安全处理的灵活设置。
附图说明
图1为目前物联网中一个受限应用协议(Constrained Application Protocol,CoAP)客户端请求访问一个CoAP服务器的场景示意图;
图2为本发明实施例提供的一种网络的结构示意图;
图3为本发明实施例提供的一种安全处理方法的流程图;
图4为本发明实施例中第二网络节点进行安全处理的方法的流程图;
图5~图8为本发明实施例各种应用场景的示意图;
图9为本发明实施例提供的第一种安全处理装置的结构示意图;
图10为本发明实施例提供的第二种安全处理装置的结构示意图。
附图标记说明:
101:CoAP客户端 102:CoAP服务器
20:网络 201:第一网络节点 202:第二网络节点
203:第三网络节点 S301:网络节点访问请求 S302:安全验证
S303:网络节点访问请求(验证通过) S304:网络节点访问响应
S401:接收网络节点访问请求 S402:安全验证
R1:通过 R2:未通过
S403:允许请求发送 S404:禁止请求发送
90:安全处理装置 901:接收模块 902:安全验证模块
100:安全处理装置 1001:至少一个存储器 1002:至少一个处理器
具体实施方式
如前所述,物联网中存在一些资源受限的网络节点,我们将这些节点称为“受限节点”。这些节点可能由于存储空间、计算能力等的限制,不具备安全处理能力,或仅具备的安全处理能力有限。如何对这些网络节点进行访问控制,成为了亟待解决的问题。
上述受限节点作为服务器,其他一些网络节点作为客户端,本发明实施例中,在客户端和服务器之间设置了一个用于进行安全验证的网络节点,通过该设置的进行安全验证的网络节点实现对受限节点的访问控制。比如:对访问受限节点的网络节点访问请求的客户端进行身份验证、鉴权等。解决了受限节点不具备安全处理能力,或安全处理能力受限,自身无法实现有效的访问控制的问题。
并且,采用本发明实施例,无需对受限节点自身进行改造,对现有受限节点的改动较小。可在该设置的用于进行安全验证的网络节点上灵活配置安全策略。设置的进行安全验证的网络节点和受限节点可视为一个新的具有安全处理能力的网络节点。
下面结合附图对本发明提供的安全处理方法和装置进行详细说明。
为了便于对本发明实施例的理解,下面首先对本发明实施例中涉及的一些描述加以介绍。需要说明的是,这些介绍不应视为对本发明所要求的保护范围的限定。
1、受限节点
由于存储空间、计算能力等的限制,不具备安全处理能力,或具备的安全处理能力有限的网络节点,比如:仅能够对发起网络节点访问请求的客户端进行用户名和密码的验证。这些网络节点可为物联网中的网络节点或其他网络中的网络节点。
2、受限节点的资源
受限节点作为服务器,可接受来自其他网络节点的网络节点的网络节点访问请求,该网络节点访问请求用于请求受限节点的资源。受限节点可响应于网络节点访问请求,返回网络节点访问响应,将自身的资源通过网络节点访问响应返回给发起网络节点访问请求的网络节点。
这些资源可包括但不限于:
1)数据
比如:受限节点为一个传感器,或者为与一个传感器连接的设备,受限节点可将传感器采集到的数据作为资源返回给请求的网络节点。
2)服务
比如:受限节点为一个控制设备,与一个交通指示灯连接,用于控制交通指示灯的显示。其他网络节点可向受限节点发送网络节点访问请求,请求受限节点的开关服务,比如:请求受限节点控制交通指示灯中的红灯亮,其他颜色的灯灭。那么这种开关服务也可视为是一种资源。
3、网络节点访问请求和网络节点访问响应
本发明实施例中,一个网络节点作为客户端向一个作为服务器的受限节点发送网络节点访问请求,用于请求访问该受限节点,比如:获取该受限节点上的资源。受限节点作为服务器,在收到网络节点访问请求后,响应于该请求,返回网络节点访问响应。
4、CoAP
在物联网中存在很多受限节点,这些受限节点仅具备少量的存储空间和有限的计算能力,传统的超文本传输协议(HyperText Transfer Protocol,HTTP)应用在物联网上就显得过于庞大而不适用。CoAP是互联网工程组(Internet Engineering Task Force,IETF)提出的一种基于表述性状态传递(Representational State Transfer,REST)架构的协议。
CoAP是一种应用层协议,运行于用户数据报协议(User Datagram Protocol,UDP)协议之上。CoAP协议处理简单,数据包长度小,最小的数据包仅为4字节。
本发明实施例中,若网络节点之间采用CoAP协议进行通信,则发起网络节点访问请求的网络节点即为CoAP客户端,该CoAP客户端请求访问的网络节点即为CoAP服务器。网络节点访问请求即为CoAP请求,网络节点访问响应即为CoAP响应。
5、MQTT
与CoAP类似,消息队列遥测传输(MQTT)也可应用于物联网,实现物联网中各网络节点间相互通信。MQTT协议采用发布/订阅消息模式,提供一对多的消息发布,基于传输控制协议(Transmission Control Protocol,TCP)/互联网协议(Internet Protocol,IP)实现。数据包中开销字节较少(头部长度固定为2字节)。
本发明实施例中,若网络节点之间采用MQTT协议进行通信,则发起网络节点访问请求的网络节点即为MQTT客户端,该MQTT客户端请求访问的网络节点即为MQTT服务器。MQTT服务器可为MQTT发布者(Publisher)或代理(Broker),MQTT客户端可为MQTT订阅者(Subscriber)。网络节点访问请求可为订阅(SUBSCRIBE)消息,网络节点访问响应可为公布(PUBLISH)消息。
6、防火墙(Firewall)
防火墙可实现网络层和/或传输层的安全验证,比如:针对源IP地址为指定地址段的网络节点访问请求进行屏蔽,再比如:针对源IP地址为指定地址,且源端口号为指定端口号的网络节点访问请求进行屏蔽。
本发明部分实施例中,在发起网络节点访问请求的客户端和受限节点之间可存在一个防火墙,在防火墙与受限节点之间设置本发明实施例提供的安全处理装置。其中,防火墙可用于实现网络层和/或传输层的安全验证,而本发明实施例提供的安全处理装置可用于实现应用层的安全验证,比如:对客户端进行用户鉴权等。
图1示出了目前物联网中一个CoAP客户端请求访问一个CoAP服务器的场景示意图。如图1所示,CoAP客户端向CoAP服务器发送网络节点访问请求,CoAP服务器响应于接收的该网络节点访问请求返回网络节点访问响应,可选地,在该响应中包括CoAP客户端请求的资源。
由于CoAP服务器为前述的受限节点,不具备安全处理能力或具备有限的安全处理能力,因此CoAP服务器无法实现对该网络节点访问请求的访问控制,存在安全隐患。
对比图1,参见图2,本发明实施例中网络20可包括:至少一个第一网络节点201,一个第二网络节点202,以及一个第三网络节点203。
其中,第一网络节点201为前述的受限节点,即不具备安全处理能力或具备的安全处理能力有限,其作为服务器可提供前述的资源。
第二网络节点202与至少一个第一网络节点201连接,第三网络节点203作为客户端,与第二网络节点202连接,用于发送网络节点访问请求,请求访问第一网络节点201。
其中,第二网络节点202,用于接收来自第三网络节点203的一个网络节点访问请求,对该网络节点访问请求进行安全验证,若验证通过,则允许该网络节点访问请求被发往第一网络节点201,若验证未通过,则禁止该网络节点访问请求被发往第一网络节点201。
区别于图1所示的情形,在网络20中,存在一个第二网络节点202,用于实现第一网络节点201的访问控制。这样就弥补了第一网络节点201作为受限节点,无法有效进行访问控制的缺陷。该第二网络节点202和第一网络节点201可视为一个合并的具有访问安全处理功能的新的网络节点。
图2中为了简单示意,仅示出了一个第一网络节点201。实际上,一个第二网络节点202可仅连接一个第一网络节点201,用于实现对该一个第一网络节点201的访问控制;也可连接多个第一网络节点201,实现对多个第一网络节点201的访问控制。
可选地,第二网络节点202可仅实现对第一网络节点201的访问控制,由另一设备实现第三网络节点203到第一网络节点201的网络节点访问请求的转发。若第二网络节点202对网络节点访问请求验证通过,则控制该设备转发该网络节点访问请求,若第二网络节点202对网络节点访问请求验证未通过,则控制该设备禁止转发该网络节点访问请求。可选地,该设备可以返回相应的错误状态信息。
可选地,第二网络节点202可既实现对第一网络节点201的访问控制,又实现第三网络节点203到第一网络节点201的网络节点访问请求的转发。若第二网络节点202对网络节点访问请求验证通过,则转发收到的该网络节点访问请求,若第二网络节点202对网络节点访问请求验证未通过,则可选地,可返回相应的错误状态信息。若网络节点访问请求被发送给第一网络节点201,第一网络节点访问请求响应于该网络节点访问请求返回网络节点访问响应,该网络节点访问响应可由第二网络节点202转发,或由第一网络节点201直接发给第三网络节点203。
其中,若网络20基于CoAP实现,则第一网络节点201可为CoAP服务器,第二网络节点202可为第一网络节点201CoAP反向代理,第二网络节点202可为CoAP客户端。
若网络20基于MQTT协议实现,则第一网络节点201可为MQTT服务器,第二网络节点202可为第一网络节点201的MQTT反向代理,第三网络节点203可为MQTT客户端。
图3为本发明实施例提供的一种安全处理方法的流程图。如图3所示,该流程包括如下步骤:
S301:第一网络节点201向第二网络节点202发送网络节点访问请求,该网络节点访问请求用于请求访问第一网络节点201。
其中,第一网络节点201可将该网络节点访问请求的目的地址设置为第二网络节点202的地址(比如:IP地址),这样,该网络节点访问请求即可发给第二网络节点202。
S302:第二网络节点202对该网络节点访问请求进行安全验证。
其中,第二网络节点202在进行安全验证时,可有多种可选实现方式,这里以下面两种方式举例说明:
方式一、
第二网络节点202验证第三网络节点203对第一网络节点201的访问权限;
若第三网络节点203具备对第一网络节点201的访问权限,则验证通过,若第三网络节点203不具备对第一网络节点201的访问权限,则验证未通过。
方式二、
第二网络节点202验证第三网络节点203对第一网络节点201的第一资源的访问权限,其中,第一资源为网络节点访问请求中指示的第三网络节点203要访问的资源;
若第三网络节点203具备对第一网络节点201的第一资源的访问权限,则验证通过,若第三网络节点203不具备对第一网络节点201的第一资源的访问权限,则验证未通过。
可选地,第二网络节点202可预先获取第三网络节点203的资源列表,针对不同的资源设置不同的安全等级。在对网络节点访问请求进行安全验证时,可基于第三网络节点203的用户权限,判断第三网络节点203的用户是否具有访问第一资源的权限。
比如:第一网络节点201作为一个控制设备,连接一个交通指示灯。如前所说,开关服务可视为第一网络节点201的一种资源,可用于控制该交通指示灯的开关,这里称为资源A。再比如:状态查询服务也可使用第一网络节点201的一种资源,用于查询当前交通指示灯的开关状态,这里称为资源B。对于资源A和资源B,第二网络节点202可设置的访问策略是,仅有权限高的用户可请求资源A,普通权限的用户和权限高的用户均可请求资源B。则第二网络节点202在收到网络节点访问请求,该网络节点访问请求请求访问资源A时,判断第三网络节点203的用户是否具有请求资源A的权限,若有权限,则验证通过;若无权限,则验证未通过。
S303:若验证通过,第二网络节点202将该网络节点访问请求发往第一网络节点201。
该步骤中,第二网络节点202进行对第一网络节点201的访问控制,也实现了网络节点访问请求的转发。
其中,第二网络节点202可将该网络节点访问请求的目的地址改成第一网络节点201的地址(比如:IP地址),进而实现将该网络节点访问请求发送给第一网络节点201。
S304:第一网络节点201在收到该网络节点访问请求后,向第三网络节点203发送网络节点访问响应。
可选地,该网络节点访问响应可由第二网络节点202转发。
若验证未通过,则第二网络节点202可返回相应的错误状态信息。
图4为本发明实施例中第二网络节点进行安全处理的方法的流程图。如图4所示,该方法可包括如下步骤:
S401:第二网络节点202接收网络节点访问请求。
S402:第二网络节点202对接收到的网络节点访问请求进行安全验证。若验证通过则执行步骤S403,若验证未通过则执行步骤S404。
S403:第二网络节点202允许该网络节点访问请求被发送给第一网络节点201。
S404:第二网络节点202禁止该网络节点访问请求被发送给第一网络节点201。
下面,结合图5~图8举例说明本发明实施例的四种应用场景。这里,以基于CoAP的实现为例加以说明。当然,这些应用场景也可基于其他协议(比如:MQTT协议)实现。
【应用场景一】
如图5所示,在应用场景一下,第一网络节点201为一个不具备安全处理能力的受限节点。第二网络节点202可为该受限节点的CoAP反向代理。第三网络节点203可为一个控制台(console)、一个监视器(monitor)或其他类型的网络节点。由CoAP反向代理实现对网络节点访问请求的安全验证。CoAP反向代理和受限节点可视为一个合并后的具备安全处理能力的网络节点。
【应用场景二】
应用场景二与应用场景一的区别在于,在CoAP反向代理与第三网络节点203之间存在一个防火墙。如前所述,该防火墙可实现网络层和/或传输层的安全验证。而CoAP反向代理可实现应用层的访问控制。
【应用场景三】
应用场景三下,基于防火墙的配置,网络节点访问请求无法通过防火墙直接发给受限节点,而是发给CoAP反向代理,由CoAP反向代理在进行安全验证,且验证通过时,才会发给受限节点。
【应用场景四】
在应用场景四种,CoAP反向代理在云端实现。
如图9所示,本发明实施例还提供一种安全处理装置90,该装置90可为第二网络节点202,或该装置90位于第二网络节点202之中,用于对一个网络节点访问请求进行安全处理,该网络节点访问请求用于请求访问第一网络节点201,第一网络节点201不具备安全处理能力,或第一网络节点201具备的安全处理能力有限,该装置90包括:
一个接收模块901,用于接收网络节点访问请求;
一个安全验证模块902,用于对网络节点访问请求进行安全验证;若验证通过,则允许网络节点访问请求被发往第一网络节点201,若验证未通过,则禁止网络节点访问请求被发往第一网络节点201。
可选地,安全验证模块902在对网络节点访问请求进行安全验证时,具体用于:
验证第三网络节点203对第一网络节点201的访问权限,其中,第三网络节点203为网络节点访问请求的发起网络节点;
若第三网络节点203具备对第一网络节点201的访问权限,则验证通过,若第三网络节点203不具备对第一网络节点201的访问权限,则验证未通过。
可选地,安全验证模块902在对网络节点访问请求进行安全验证时,具体用于:
验证第三网络节点203对第一网络节点201的第一资源的访问权限,其中,第三网络节点203为网络节点访问请求的发起网络节点,第一资源为网络节点访问请求中指示的第三网络节点203要访问的资源;
若第三网络节点203具备对第一网络节点201的第一资源的访问权限,则验证通过,若第三网络节点203不具备对第一网络节点201的第一资源的访问权限,则验证未通过。
可选地,第一网络节点201为受限应用协议CoAP服务器,装置90为第一网络节点201的CoAP反向代理;第三网络节点203为CoAP客户端。
可选地,第一网络节点201为消息队列遥测传输MQTT服务器,装置90为第一网络节点201的MQTT反向代理;第三网络节点203为MQTT客户端。
该装置的其他可选实现方式可参考前述的安全处理方法中的描述。安全验证模块902可进行安全验证的具体实现方式可参见前述的安全处理方法中,第二网络节点202对网络节点访问请求的处理。
如图10所示,本发明实施例还提供一种安全处理装置100,包括:
至少一个存储器1001,用于存储机器可读指令;
至少一个处理器1002,用于执行机器可读指令,执行本发明实施例提供的任一种安全处理方法。
该装置100可为第二网络节点202,或该装置100位于第二网络节点202之中。该装置的其他可选实现方式可参考前述的安全处理方法中的描述。
可选地,该装置100中还可包括用户接口,用于和用户进行交互,接收用户的安全策略配置指令,向用户返回安全策略配置结果等。至少一个存储器1001、至少一个处理器1002以及用户接口之间可以通过总线连接。
本发明还提供了一种机器可读介质,存储用于使一机器执行如本文所述的程序代码的审核方法的指令。具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM,该存储介质也可由云端的虚拟机实现。可选择地,可以由通信网络从服务器上下载程序代码。
此外,应该清楚的是,不仅可以通过执行机器所读出的程序代码,而且可以通过基于程序代码的指令使机器上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入机器内的扩展板中所设置的存储器中或者写到与机器相连接的扩展单元中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元可以通过机械方式或电气方式实现。例如,一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例,基与上述多个实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明的保护范围之内。
Claims (11)
1.安全处理方法,用于对一个网络节点访问请求进行安全处理,所述网络节点访问请求用于请求访问第一网络节点(201),其特征在于,所述方法包括:
第二网络节点(202)接收所述网络节点访问请求;
所述第二网络节点(202)对所述网络节点访问请求进行安全验证;
若验证通过,则所述第二网络节点(202)允许所述网络节点访问请求被发往所述第一网络节点(201),若验证未通过,则所述第二网络节点(202)禁止所述网络节点访问请求被发往所述第一网络节点(201)。
2.如权利要求1所述的方法,其特征在于,所述第二网络节点(202)对所述网络节点访问请求进行安全验证,包括:
所述第二网络节点(202)验证第三网络节点(203)对所述第一网络节点(201)的访问权限,其中,所述第三网络节点(203)为所述网络节点访问请求的发起网络节点;
若所述第三网络节点(203)具备对所述第一网络节点(201)的访问权限,则验证通过,若所述第三网络节点(203)不具备对所述第一网络节点(201)的访问权限,则验证未通过。
3.如权利要求1所述的方法,其特征在于,所述第二网络节点(202)对所述网络节点访问请求进行安全验证,包括:
所述第二网络节点(202)验证第三网络节点(203)对所述第一网络节点(201)的第一资源的访问权限,其中,所述第三网络节点(203)为所述网络节点访问请求的发起网络节点,所述第一资源为所述网络节点访问请求中指示的所述第三网络节点(203)要访问的资源;
若所述第三网络节点(203)具备对所述第一网络节点(201)的所述第一资源的访问权限,则验证通过,若所述第三网络节点(203)不具备对所述第一网络节点(201)的所述第一资源的访问权限,则验证未通过。
4.如权利要求1~3任一项所述的方法,其特征在于,
所述第一网络节点(201)为受限应用协议CoAP服务器,所述第二网络节点(202)为所述第一网络节点(201)的CoAP反向代理;所述第三网络节点(203)为CoAP客户端;
所述第一网络节点(201)为消息队列遥测传输MQTT服务器,所述第二网络节点(202)为所述第一网络节点(201)的MQTT反向代理;所述第三网络节点(203)为MQTT客户端。
5.安全处理装置(90),用于对一个网络节点访问请求进行安全处理,所述网络节点访问请求用于请求访问第一网络节点(201),其特征在于,所述装置(90)包括:
一个接收模块(901),用于接收所述网络节点访问请求;
一个安全验证模块(902),用于对所述网络节点访问请求进行安全验证;若验证通过,则允许所述网络节点访问请求被发往所述第一网络节点(201),若验证未通过,则禁止所述网络节点访问请求被发往所述第一网络节点(201)。
6.如权利要求5所述的装置(90),其特征在于,所述安全验证模块(902)在对所述网络节点访问请求进行安全验证时,具体用于:
验证第三网络节点(203)对所述第一网络节点(201)的访问权限,其中,所述第三网络节点(203)为所述网络节点访问请求的发起网络节点;
若所述第三网络节点(203)具备对所述第一网络节点(201)的访问权限,则验证通过,若所述第三网络节点(203)不具备对所述第一网络节点(201)的访问权限,则验证未通过。
7.如权利要求5所述的装置(90),其特征在于,所述安全验证模块(902)在对所述网络节点访问请求进行安全验证时,具体用于:
验证第三网络节点(203)对所述第一网络节点(201)的第一资源的访问权限,其中,所述第三网络节点(203)为所述网络节点访问请求的发起网络节点,所述第一资源为所述网络节点访问请求中指示的所述第三网络节点(203)要访问的资源;
若所述第三网络节点(203)具备对所述第一网络节点(201)的所述第一资源的访问权限,则验证通过,若所述第三网络节点(203)不具备对所述第一网络节点(201)的所述第一资源的访问权限,则验证未通过。
8.如权利要求5~7任一项所述的装置(90),其特征在于,
所述第一网络节点(201)为受限应用协议CoAP服务器,所述装置(90)为所述第一网络节点(201)的CoAP反向代理;所述第三网络节点(203)为CoAP客户端;
所述第一网络节点(201)为消息队列遥测传输MQTT服务器,所述装置(90)为所述第一网络节点(201)的MQTT反向代理;所述第三网络节点(203)为MQTT客户端。
9.安全处理装置(100),其特征在于,包括:
至少一个存储器(1001),用于存储机器可读指令;
至少一个处理器(1002),用于执行所述机器可读指令,执行如权利要求1~4任一项所述的方法。
10.机器可读介质,其特征在于,所述机器可读介质上存储有机器可读指令,所述机器可读指令在被处理器执行时,使所述处理器执行权利要求1~4任一项所述的方法。
11.网络(20),其特征在于,包括:
至少一个第一网络节点(201);
一个第二网络节点(202),所述第二网络节点(202)与所述至少一个第一网络节点(201)连接;以及
一个第三网络节点(203),所述第三网络节点(203)与所述第二网络节点(202)连接,其中,
所述第二网络节点(202),用于:
接收来自所述第三网络节点(203)的一个网络节点访问请求;
对所述网络节点访问请求进行安全验证;
若验证通过,则允许所述网络节点访问请求被发往所述第一网络节点(201),若验证未通过,则禁止所述网络节点访问请求被发往所述第一网络节点(201)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611083134.XA CN108123922A (zh) | 2016-11-30 | 2016-11-30 | 安全处理方法、装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611083134.XA CN108123922A (zh) | 2016-11-30 | 2016-11-30 | 安全处理方法、装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108123922A true CN108123922A (zh) | 2018-06-05 |
Family
ID=62225609
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611083134.XA Pending CN108123922A (zh) | 2016-11-30 | 2016-11-30 | 安全处理方法、装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108123922A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109981649A (zh) * | 2019-03-27 | 2019-07-05 | 山东超越数控电子股份有限公司 | 一种基于安全认证网关的云存储安全访问方法,系统,终端及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247391A (zh) * | 2007-12-28 | 2008-08-20 | 上海电力学院 | Opc安全代理系统及其代理方法 |
CN105656847A (zh) * | 2014-11-13 | 2016-06-08 | 中国科学院沈阳计算技术研究所有限公司 | 面向移动设备的sip/mqtt协议转换网关系统及其控制方法 |
CN105847287A (zh) * | 2016-05-17 | 2016-08-10 | 中山大学 | 一种基于社区局域网的资源访问控制方法及系统 |
-
2016
- 2016-11-30 CN CN201611083134.XA patent/CN108123922A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247391A (zh) * | 2007-12-28 | 2008-08-20 | 上海电力学院 | Opc安全代理系统及其代理方法 |
CN105656847A (zh) * | 2014-11-13 | 2016-06-08 | 中国科学院沈阳计算技术研究所有限公司 | 面向移动设备的sip/mqtt协议转换网关系统及其控制方法 |
CN105847287A (zh) * | 2016-05-17 | 2016-08-10 | 中山大学 | 一种基于社区局域网的资源访问控制方法及系统 |
Non-Patent Citations (2)
Title |
---|
宋衍等: "《基于受限网络应用层协议的物联网应用代理研究与实现》", 《计算机应用》 * |
杨鹏: "《基于MQTT协议的信息推送平台系统的设计与实现》", 《中国优秀硕士论文辑》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109981649A (zh) * | 2019-03-27 | 2019-07-05 | 山东超越数控电子股份有限公司 | 一种基于安全认证网关的云存储安全访问方法,系统,终端及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10630784B2 (en) | Facilitating a secure 3 party network session by a network device | |
JP6452181B2 (ja) | 負荷平衡化インターネット・プロトコル・セキュリティ・トンネル | |
EP3300331B1 (en) | Response method, apparatus and system in virtual network computing authentication, and proxy server | |
Liyanage et al. | Enhancing security of software defined mobile networks | |
TWI393400B (zh) | 用以鑑別一請求者而不需提供一鍵之方法及系統 | |
TW201106196A (en) | Network location determination for direct access networks | |
US8601568B2 (en) | Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method | |
US11226883B2 (en) | Secure method for managing a virtual test platform | |
US20190110298A1 (en) | Delegating policy through manufacturer usage descriptions | |
CN111226418A (zh) | 针对跨网络周边防火墙的设备使能零接触引导 | |
CN116633934A (zh) | 负载均衡方法、装置、节点及存储介质 | |
CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
CN108123922A (zh) | 安全处理方法、装置 | |
US9571331B1 (en) | Techniques for accessing local networks via a virtualized gateway | |
WO2017135254A1 (ja) | 端末、中継装置選択装置、通信方法、中継装置選択方法、及びプログラム | |
CN110430478B (zh) | 组网通信方法、装置、终端设备及存储介质 | |
US11050784B1 (en) | Mitigating a denial-of-service attack | |
CN109587134A (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
US10681755B2 (en) | Routing method and network entity performing same | |
CN108933707A (zh) | 一种工业网络的安全监控系统及方法 | |
Şimşek et al. | Attacks on Availability of IoT Middleware Protocols: A Case Study on MQTT | |
KR101730403B1 (ko) | 네트워크 경로를 관리하는 방법 및 이를 수행하는 네트워크 엔티티 | |
JP4873743B2 (ja) | 通信管理システム及びソケット管理サーバ及び通信管理方法 | |
KR101150299B1 (ko) | 사용자와 네트워킹 행위의 동시 공증 기반 다중 방화벽 동적 통과 기법 및 이에 적합한 장치 | |
CN117354359A (zh) | 通过虚拟网络创建连接的方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180605 |
|
RJ01 | Rejection of invention patent application after publication |