CN108718320A - 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 - Google Patents
一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 Download PDFInfo
- Publication number
- CN108718320A CN108718320A CN201810611240.3A CN201810611240A CN108718320A CN 108718320 A CN108718320 A CN 108718320A CN 201810611240 A CN201810611240 A CN 201810611240A CN 108718320 A CN108718320 A CN 108718320A
- Authority
- CN
- China
- Prior art keywords
- white list
- internet
- communication
- data packet
- safe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,包括部署安全模组、生成通信白名单、通信白名单上报、通信白名单处理和新通信白名单下发。本发明通过在不同地点布设的同类同配置的物联网设备通信端各设置一安全模组,各安全模组在安全时域内分别对通过其的TCP/IP数据包进行自学习产生各自的白名单,物联网系统运维服务器根据安全模组的通信白名单进行求交集,分别得到新的网络输入白名单和设备输入白名单,并作为安全性更高的通信白名单下发给安全模组,能解决各安全模组通过自学习得到的白名单会混入一些与系统功能无关甚至是恶意的数据包类型的问题,求交集就能剔除这些数据包类型,保证了通信白名单的安全性。
Description
【技术领域】
本发明涉及物联网设备的技术领域,特别涉及一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法。
【背景技术】
随着信息技术的发展,越来越多的智能设备接入网络,使得物联网设备在实现自身功能的同时,也成为了网络攻击的目标。在物联网设备的通信端串联一安全模组,安全模组内置有基于TCP/IP协议的包括源/目标的IP地址、端口号、服务类型、mac地址等在内的通信白名单,安全模组对物联网设备与网络层的通信数据包包头信息进行解析并与通信白名单进行匹配过滤,能有效提高物联网设备网络通信的安全性。
在实际部署应用中,需要对安全模组内的通信白名单进行设置和及时更新。设置和更新既要保证安全性,又要兼顾便利性,因此安全模组可能采用一种基于安全时域通过自学习设置数据包通信白名单的方法进行通信白名单的设置,这种方法的原理是将在安全时域内通过安全模组的数据通信都认为是合法的通信,通过将数据包包头内包括源/目标的IP地址、端口号、服务类型、mac地址等信息解析出来,写入白名单自动生成通信白名单。
但在实际运用中,所谓安全时域内通过安全模组的数据通信并不完全是物联网设备实现功能所需的通信,还可能存在与部署的网络环境相关的其它无关的数据包通过安全模组,因此,这些数据包的包头信息也会被写入通信白名单。
为了解决以上问题,本发明提出一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法。
【发明内容】
本发明的目的在于克服上述现有技术的不足,提供一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其旨在解决由安全模组自学习产生的通信白名单可能存在一些不合规的通信类型的技术问题。
为实现上述目的,本发明提出了一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,该方法具体步骤如下:
S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联网系统运维服务器进行通信;
S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备向网络方向传输形成的设备输入白名单;
S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器;
S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行交集处理,得到新的通信白名单;
S5、新通信白名单下发:物联网系统运维服务器将新的通信白名单下发到同类同配置物联网设备所连的安全模组,各安全模组将新的通信白名单对原有的通信白名单进行替换。
作为优选,所述的S1中每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
作为优选,所述的S4中物联网系统运维服务器对通信白名单进行交集处理的具体步骤如下:
S4.1、网络输入白名单交集处理:
S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,a2,……,an;
S4.1.2、对a1,a2,……,an求交集得到新的网络输入白名单
S4.2、设备输入白名单交集处理:
S4.2.1、对各个网络输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,b2,……,bn;
S4.2.2、对b1,b2,……,bn求交集得到新的设备输入白名单
对应地S5中,物联网系统运维服务器将新的网络输入白名单和新的设备输入白名单下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的网络输入白名单和设备输入白名单进行替换。
作为优选,所述的S2中安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
本发明的有益效果:与现有技术相比,本发明提供的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,通过在不同地点布设的同类同配置的物联网设备通信端各设置一安全模组,通过安全模组与物联网系统运维服务器,构成一物联网系统,各安全模组在安全时域内分别对通过其的TCP/IP数据包进行自学习,产生各自基于源/目标的IP地址、端口号、服务类型、mac地址等信息的白名单,并将白名单作为后续运行时数据包能否通过的依据。物联网系统运维服务器根据同类同配置物联网设备所连安全模组的通信白名单进行求交集,分别得到新的网络输入白名单和设备输入白名单,将网络输入白名单和设备输入白名单作为安全性更高的通信白名单下发给安全模组,能解决因互联网环境的复杂性,各安全模组通过自学习得到的白名单会混入一些与系统功能无关甚至是恶意的数据包类型的问题,求交集处理就能剔除这些与系统功能无关甚至是恶意的数据包类型,保证了通信白名单的安全性。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明实施例的物联网系统的框图;
图2是本发明实施例的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法的流程图。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1和图2,本发明实施例提供一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,该方法具体步骤如下:
S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联网系统运维服务器进行通信,构成一物联网系统。其中,每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备向网络方向传输形成的设备输入白名单。
其中,安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器。
S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行交集处理,得到新的通信白名单;物联网系统运维服务器对通信白名单进行交集处理的具体步骤如下:
S4.1、网络输入白名单交集处理:
S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,a2,……,an;
S4.1.2、对a1,a2,……,an求交集得到新的网络输入白名单
S4.2、设备输入白名单交集处理:
S4.2.1、对各个网络输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,b2,……,bn;
S4.2.2、对b1,b2,……,bn求交集得到新的设备输入白名单
S5、新通信白名单下发:物联网系统运维服务器将新的网络输入白名单和新的设备输入白名单下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的网络输入白名单和设备输入白名单进行替换。
之后,安全模组每次通过安全时域设置通信白名单后就可重复步骤S2-步骤S5。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:该方法具体步骤如下:
S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联网系统运维服务器进行通信;
S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备向网络方向传输形成的设备输入白名单;
S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器;
S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行交集处理,得到新的通信白名单;
S5、新通信白名单下发:物联网系统运维服务器将新的通信白名单下发到同类同配置物联网设备所连的安全模组,各安全模组将新的通信白名单对原有的通信白名单进行替换。
2.如权利要求1所述的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:所述的S1中每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
3.如权利要求1所述的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:所述的S4中物联网系统运维服务器对通信白名单进行交集处理的具体步骤如下:
S4.1、网络输入白名单交集处理:
S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,a2,……,an;
S4.1.2、对a1,a2,……,an求交集得到新的网络输入白名单
S4.2、设备输入白名单交集处理:
S4.2.1、对各个网络输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,b2,……,bn;
S4.2.2、对b1,b2,……,bn求交集得到新的设备输入白名单
对应地S5中,物联网系统运维服务器将新的网络输入白名单和新的设备输入白名单下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的网络输入白名单和设备输入白名单进行替换。
4.如权利要求1所述的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:所述的S2中安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810611240.3A CN108718320B (zh) | 2018-06-14 | 2018-06-14 | 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810611240.3A CN108718320B (zh) | 2018-06-14 | 2018-06-14 | 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108718320A true CN108718320A (zh) | 2018-10-30 |
CN108718320B CN108718320B (zh) | 2021-03-30 |
Family
ID=63912038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810611240.3A Active CN108718320B (zh) | 2018-06-14 | 2018-06-14 | 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108718320B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109802937A (zh) * | 2018-11-30 | 2019-05-24 | 浙江远望信息股份有限公司 | 一种发现对智能终端设备tcp下ip欺骗攻击的方法 |
CN110808951A (zh) * | 2019-09-25 | 2020-02-18 | 国网思极网安科技(北京)有限公司 | 基于设备画像的终端异常行为发现方法和装置 |
EP3907623A4 (en) * | 2019-02-12 | 2022-10-12 | Nippon Telegraph And Telephone Corporation | PREPARATION DEVICE, PREPARATION SYSTEM, PREPARATION METHOD AND PREPARATION PROGRAM |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030200467A1 (en) * | 2002-04-23 | 2003-10-23 | Choy David Mun-Hien | System and method for incremental refresh of a compiled access control table in a content management system |
CN102473229A (zh) * | 2009-08-28 | 2012-05-23 | 国际商业机器公司 | 访问控制列表的修改 |
CN102801686A (zh) * | 2011-05-23 | 2012-11-28 | 华为终端有限公司 | 设备控制方法、主设备、从设备及主从设备组 |
CN103051609A (zh) * | 2012-12-07 | 2013-04-17 | 东软集团股份有限公司 | 网关设备及由其执行的网络访问控制的可视化交互方法 |
CN104253754A (zh) * | 2014-09-11 | 2014-12-31 | 杭州华三通信技术有限公司 | 一种acl快速匹配的方法和设备 |
CN104579940A (zh) * | 2013-10-10 | 2015-04-29 | 杭州华三通信技术有限公司 | 查找访问控制列表的方法及装置 |
CN107995144A (zh) * | 2016-10-26 | 2018-05-04 | 北京金山云网络技术有限公司 | 一种基于安全组的访问控制方法及装置 |
-
2018
- 2018-06-14 CN CN201810611240.3A patent/CN108718320B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030200467A1 (en) * | 2002-04-23 | 2003-10-23 | Choy David Mun-Hien | System and method for incremental refresh of a compiled access control table in a content management system |
CN102473229A (zh) * | 2009-08-28 | 2012-05-23 | 国际商业机器公司 | 访问控制列表的修改 |
CN102801686A (zh) * | 2011-05-23 | 2012-11-28 | 华为终端有限公司 | 设备控制方法、主设备、从设备及主从设备组 |
CN103051609A (zh) * | 2012-12-07 | 2013-04-17 | 东软集团股份有限公司 | 网关设备及由其执行的网络访问控制的可视化交互方法 |
CN104579940A (zh) * | 2013-10-10 | 2015-04-29 | 杭州华三通信技术有限公司 | 查找访问控制列表的方法及装置 |
CN104253754A (zh) * | 2014-09-11 | 2014-12-31 | 杭州华三通信技术有限公司 | 一种acl快速匹配的方法和设备 |
CN107995144A (zh) * | 2016-10-26 | 2018-05-04 | 北京金山云网络技术有限公司 | 一种基于安全组的访问控制方法及装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109802937A (zh) * | 2018-11-30 | 2019-05-24 | 浙江远望信息股份有限公司 | 一种发现对智能终端设备tcp下ip欺骗攻击的方法 |
CN109802937B (zh) * | 2018-11-30 | 2021-08-17 | 浙江远望信息股份有限公司 | 一种发现对智能终端设备tcp下ip欺骗攻击的方法 |
EP3907623A4 (en) * | 2019-02-12 | 2022-10-12 | Nippon Telegraph And Telephone Corporation | PREPARATION DEVICE, PREPARATION SYSTEM, PREPARATION METHOD AND PREPARATION PROGRAM |
AU2020222452B2 (en) * | 2019-02-12 | 2023-05-11 | Nippon Telegraph And Telephone Corporation | Preparation device, preparation system, preparation method, and preparation program |
US11882122B2 (en) | 2019-02-12 | 2024-01-23 | Nippon Telegraph And Telephone Corporation | Preparation device, preparation system, preparation method, and preparation program |
CN110808951A (zh) * | 2019-09-25 | 2020-02-18 | 国网思极网安科技(北京)有限公司 | 基于设备画像的终端异常行为发现方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108718320B (zh) | 2021-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105262738B (zh) | 一种路由器及其防arp攻击的方法 | |
CN105227463B (zh) | 一种分布式设备中业务板间的通信方法 | |
Wu et al. | Source address validation: Architecture and protocol design | |
CN108718320A (zh) | 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 | |
CN101902474B (zh) | 基于标签替换的自治域间IPv6真实源地址验证方法 | |
CN103716213B (zh) | 在固定接入网中和在用户设备中运行的方法 | |
CN110012119B (zh) | 一种ip地址前缀授权与管理方法 | |
CN105991441B (zh) | 对bgp路由选择性下发路由转发表的方法和装置 | |
CN106603550A (zh) | 一种网络隔离方法及装置 | |
CN105471907A (zh) | 一种基于Openflow的虚拟防火墙传输控制方法及系统 | |
WO2021036707A1 (zh) | 一种后ip的主权网体系架构 | |
CN108881221A (zh) | 一种基于数据包过滤的物联网设备通信安全芯片 | |
CN110417739A (zh) | 一种基于区块链技术的安全的网络带内测量方法 | |
CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
CN109121026A (zh) | 一种基于逻辑端口实现volt的方法及系统 | |
CN106301921A (zh) | 基于隧道的大象流量传输调度方法及系统 | |
CN111181955B (zh) | 一种基于标记的会话控制方法、设备和存储介质 | |
Luo et al. | SDN/NFV-based security service function tree for cloud | |
CN1953373A (zh) | 一种开放式真实IPv6源地址过滤与验证方法 | |
Meena et al. | HyPASS: Design of hybrid-SDN prevention of attacks of source spoofing with host discovery and address validation | |
CN103595710B (zh) | 一种一体化标识网络连接标识生成方法 | |
CN101753438B (zh) | 实现通道分离的路由器及其通道分离的传输方法 | |
CN101364877B (zh) | 安全策略配置方法及其装置 | |
CN108881216A (zh) | 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法 | |
CN209419652U (zh) | 一种隔离网闸设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |