CN110505150A - 物联网控制方法、装置、系统、物联网网关及sdn控制器 - Google Patents
物联网控制方法、装置、系统、物联网网关及sdn控制器 Download PDFInfo
- Publication number
- CN110505150A CN110505150A CN201910834860.8A CN201910834860A CN110505150A CN 110505150 A CN110505150 A CN 110505150A CN 201910834860 A CN201910834860 A CN 201910834860A CN 110505150 A CN110505150 A CN 110505150A
- Authority
- CN
- China
- Prior art keywords
- things
- flow table
- internet
- network
- data flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
Abstract
本申请提供一种物联网控制方法、装置、系统、物联网网关及SDN控制器,涉及物联网技术领域。所述方法包括:接收终端发送的网络数据;确定所述物联网网关存储的一个或多个本地数据流表中是否存在与所述网络数据的特征匹配的目标数据流表;在存在所述目标数据流表时,基于所述目标数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。该方法通过物联网网关中的本地数据流表对网络数据进行特征匹配并基于本地数据流表中的执行规则对网络数据进行处理,利用本地数据流表的可更新性和适用性,能够使物联网设备能够进行大规模的跨地域组网且进行统一管理。
Description
技术领域
本申请涉及物联网技术领域,具体而言,涉及一种物联网控制方法、装置、系统、物联网网关及SDN控制器。
背景技术
随着物联网以及云计算的发展,人们对于网络架构的规模,灵活性以及安全性提出更高的要求,特别是物联网领域,物联网终端设备的种类复杂且数量巨大,且分布在不同地域。这就需要网络架构具备大规模跨地域组网能力,网络安全防护能力,以及网络统一管理能力。
当前的大规模物联网组网通常通过VPN(Virtual Private Network,虚拟专用网络)设备连接不同地域的网络,VPN设备依据设备配置和防火墙进行数据转发,通过VPN加密链路保证数据传输安全,通过配置防火墙规则,控制数据的准入准出,达到大规模安全组网的目的。
但是在物联网领域,随着物联网规模不断扩大,传统模式的弊端越来越明显,其无法对网络各节点统一管理。散布各地物联网终端设备,需要数量越来越多VPN设备连接,但是每个VPN设备需单独配置管理,VPN设备的可更新性、适用性较差,因此无法对整个网络统一管理,运维成本巨大。
发明内容
有鉴于此,本申请实施例的目的在于提供一种物联网控制方法、装置、系统、物联网网关及SDN控制器,以改善现有技术中存在的VPN设备的可更新性、适用性较差,无法对整个物联网网络统一管理的问题。
本申请实施例提供了一种物联网控制方法,应用于物联网网关,所述方法包括:接收终端发送的网络数据;确定所述物联网网关存储的一个或多个本地数据流表中是否存在与所述网络数据的特征匹配的目标数据流表;在存在所述目标数据流表时,基于所述目标数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。
在上述实现方式中,物联网网关基于本地数据流表对网络数据进行特征匹配并基于本地数据流表中的执行规则对网络数据进行处理,本地数据流表是易于远程或本地进行更新的,且不同的物联网网关可以使用统一的本地数据流表完成匹配,利用本地数据流表的可更新性和适用性,能够对物联网设备进行大规模的跨地域组网,并对其进行高效、便捷地统一管理,降低了运维成本。
可选地,所述方法还包括:当不存在所述目标数据流表时,将所述网络数据发送至SDN控制器;接收所述SDN控制器发送的基于所述网络数据生成的对应数据流表;基于所述对应数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。
在上述实现方式中,物联网网关的本地数据流表中没有与流量数据对应的数据流表或流表项时,从SDN控制器获取包含对该数据流量的执行规则的对应数据流表,从而提高了物联网控制方法的适用性。
可选地,在所述接收所述SDN控制器发送来的与所述网络数据对应数据流表后,所述方法还包括:将所述对应数据流表存储为所述物联网网关的本地数据流表。
在上述实现方式中,将对应数据流表进行本地存储,从而实现对本地数据流表的实时更新,再次接受到特征相同的网络数据时可以直接基于本地数据流表进行匹配和处理,提高了对网络数据的处理效率。
可选地,所述基于所述目标数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理,包括:禁用所述终端的传输控制协议通信功能;和/或禁用所述物联网网关与所述网络数据对应的端口。
在上述实现方式中,物联网网关通过禁用终端的传输控制协议通信功能或物联网网关的端口,针对网络流量的不同问题,从网络数据的发送方或接收方阻止不安全网络流量的收发,从而从多个方面提高了安全性。
本申请提供了一种物联网控制方法,应用于SDN控制器,所述方法包括:接收物联网网关发送的网络数据;基于所述网络数据的特征生成对应数据流表;将所述对应数据流表发送给所述物联网网关,用于所述物联网网关基于所述对应数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。
在上述实现方式中,通过SDN控制器对应各个物联网网关发送的网络数据生成对应数据流表,以使各个物联网网关根据对应数据流表对各自的网络数据进行处理,完成物联网网关的统一管理,数据流表的可更新性也使物联网控制方法能够更加迅速、全面地应对网络攻击,进而提高了网络安全性。
可选地,所述基于所述网络数据的特征生成对应数据流表,包括:若所述网络数据对应的终端的传输控制协议吞吐量超过预设吞吐量,生成用于指示所述物联网网关禁用所述终端的传输控制协议通信功能的对应数据流表;若所述网络数据对应的物联网网关的端口的请求包数量增幅大于预设增幅且流量变化小于预设变化量,生成用于指示所述物联网网关禁用所述物联网网关与所述网络数据对应的端口的对应数据流表。
在上述实现方式中,针对不同类型的网络攻击的网络数据的特征,生成包含不同处理规则的数据流表,有针对性地进行网络设备安全防护,提高了网络安全性。
本申请实施例还提供了一种物联网控制装置,所述装置包括:第一接收模块,用于接收终端发送的网络数据;流表匹配模块,用于确定所述物联网网关存储的一个或多个本地数据流表中是否存在与所述网络数据的特征匹配的目标数据流表;网络处理模块,用于在存在所述目标数据流表时,基于所述目标数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。
在上述实现方式中,物联网网关基于本地数据流表对网络数据进行特征匹配并基于本地数据流表中的执行规则对网络数据进行处理,本地数据流表是易于远程或本地进行更新的,且不同的物联网网关可以使用统一的本地数据流表完成匹配,利用本地数据流表的可更新性和适用性,能够对物联网设备进行大规模的跨地域组网,并对其进行高效、便捷地统一管理,降低了运维成本。
可选地,所述网络处理模块还用于:当不存在所述目标数据流表时,将所述网络数据发送至SDN控制器;接收所述SDN控制器发送的基于所述网络数据生成的对应数据流表;基于所述对应数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。
在上述实现方式中,物联网网关的本地数据流表中没有与流量数据对应的数据流表或流表项时,从SDN控制器获取包含对该数据流量的执行规则的对应数据流表,从而提高了物联网控制方法的适用性。
可选地,所述网络处理模块还用于:将所述对应数据流表存储为所述物联网网关的本地数据流表。
在上述实现方式中,将对应数据流表进行本地存储,从而实现对本地数据流表的实时更新,再次接受到特征相同的网络数据时可以直接基于本地数据流表进行匹配和处理,提高了对网络数据的处理效率。
可选地,所述网络处理模块具体用于:禁用所述终端的传输控制协议通信功能;和/或禁用所述物联网网关与所述网络数据对应的端口。
在上述实现方式中,将对应数据流表进行本地存储,从而实现对本地数据流表的实时更新,再次接受到特征相同的网络数据时可以直接基于本地数据流表进行匹配和处理,提高了对网络数据的处理效率。
本申请实施例还提供了一种物联网控制装置,所述装置包括:第二接收模块,用于接收物联网网关发送的网络数据;流表生成模块,用于基于所述网络数据的特征生成对应数据流表;流表发送模块,用于将所述对应数据流表发送给所述物联网网关,用于所述物联网网关基于所述对应数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。
在上述实现方式中,通过SDN控制器对应各个物联网网关发送的网络数据生成对应数据流表,以使各个物联网网关根据对应数据流表对各自的网络数据进行处理,完成物联网网关的统一管理,数据流表的可更新性也使物联网控制方法能够更加迅速、全面地应对网络攻击,进而提高了网络安全性。
可选地,所述流表生成模块具体用于:若所述网络数据对应的终端的传输控制协议吞吐量超过预设吞吐量,生成用于指示所述物联网网关禁用所述终端的传输控制协议通信功能的对应数据流表;若所述网络数据对应的物联网网关的端口的请求包数量增幅大于预设增幅且流量变化小于预设变化量,生成用于指示所述物联网网关禁用所述物联网网关与所述网络数据对应的端口的对应数据流表。
在上述实现方式中,针对不同类型的网络攻击的网络数据的特征,生成包含不同处理规则的数据流表,有针对性地进行网络设备安全防护,提高了网络安全性。
本申请实施例还提供了一种SDN控制器,所述SDN控制器包括处理器和存储器,所述处理器运行所述存储器中的计算机程序指令,执行上述任一实现方式中的物联网控制方法。
本申请实施例还提供了一种物联网网关,所述物联网网关包括处理器和存储器,所述处理器运行所述存储器中的计算机程序指令,执行上述任一实现方式中的物联网控制方法。
本申请实施例还提供了一种物联网控制系统,所述物联网控制系统包括上述SDN控制器和物联网网关。
本申请实施例还提供了一种存储介质,所述存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述任一实现方式中的物联网控制方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为现有技术中的VPN组网方式的连接示意图;
图2为本申请实施例提供的一种应用于物联网网关的物联网控制方法的流程示意图;
图3为本申请实施例提供的一种应用于SDN控制器的物联网控制方法的流程示意图;
图4为本申请实施例提供的一种物联网控制装置的结构示意图;
图5为本申请实施例提供的又一种物联网控制装置的结构示意图;
图6为本申请实施例提供的一种物联网控制系统的连接示意图。
图标:30-物联网控制装置;31-第一接收模块;32-流表匹配模块;33-网络处理模块;40-物联网控制装置;41-第二接收模块;42-流表生成模块;43-流表发送模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
经本申请人研究发现,在物联网设备越来越多、组网规模越来越大的情形下,现有的物联网组网方案通常是通过VPN设备连接不同地域的物联网终端,通过VPN设备进行物联网终端配置、数据转发和防火墙安全防护等,其具体组网方式可以参考图1,图1为现有技术中的VPN组网方式的连接示意图。在现有技术中,在大量的物联网终端分散布置在不同地区时,需要连入越来越多的VPN设备,且每个VPN设备需要单独进行配置管理,无法对整个网络进行统一的管理,管理效率低下,运营成本巨大。另一方面,由于各个地区的VPN设备及物联网终端的设备型号、通信协议等也不相同,因此网络设备面临的网络攻击方式也更加多变,现有技术中只采用传统防火墙进行安全防御,而防火墙对数据的处理方式都是相同的一刀切,无法防御不断变化的网络攻击。
为了解决上述问题,本申请实施例提供了一种物联网控制方法,该物联网控制方法应用于物联网网关,作为网关设备,物联网网关可以实现感知网络与通信网络,以及不同类型感知网络之间的协议转换.既可以实现广域互联.也可以实现局域互联。请参考图2,图2为本申请实施例提供的一种应用于物联网网关的物联网控制方法的流程示意图,该物联网控制方法的具体步骤可以如下:
步骤S12:接收终端发送的网络数据。
可选地,本实施例中的终端可以是物联网终端,例如摄像头、麦克风、各类型传感器等,也可以是其他与物联网网关连接而可以被视作物联网终端的设备,例如手机、平板电脑等。对应的,网络数据可以是终端上传的视频数据流量、音频数据流量、传感器数据流量等类型的网络数据,其通常以数据包的形式在终端与物联网网关之间传输。
步骤S14:确定物联网网关存储的一个或多个本地数据流表中是否存在与网络数据的特征匹配的目标数据流表。
本地数据流表可以是OpenFlow流表,流表可被视作是OpenFlow对网络设备的数据转发功能的一种抽象。在传统网络设备中,交换机和路由器的数据转发需要依赖设备中保存的二层MAC(Media Access Control,媒体访问控制)地址转发表或者三层IP(InternetProtocol,互联网协议)地址路由表,而OpenFlow交换机中使用的流表在流表项中整合了网络中各个层次的网络配置信息,从而在进行数据转发时可以使用更丰富的规则,其中,每个流表项就是一个转发按规则,进入物联网网关的数据包通过查询流表来获转发的目的端口及转发规则。
进一步地,流表项由头域、计数器和操作组成,头域是个十元组,是流表项的标识,计数器用于计数流表项的统计数据,操作标明了与该流表项匹配的数据包应当执行的操作。本实施例中的物联网网关基于头域确定与网络数据存在匹配流表项的目标数据流表。
应当理解的是,一台物联网网关中可以存储有一个或多个本地数据流表,一个本地数据流表中可以包含一条或多条流表项,不同的流表项具有不同的优先级,网络数据会基于优先级依次与流表项进行匹配。具体地,通常根据网络数据的类型、分组头的字段例如源MAC地址、目的MAC地址、源IP地址、目的IP地址等进行匹配,也可以通过网络数据的入端口或元数据信息来进行数据分组的匹配,一个流表项中可以同时存在多个匹配项,一个数据分组需要同时匹配流表项中所有匹配项才能匹配该流表项。
步骤S16:在存在目标数据流表时,基于目标数据流表中的执行规则对网络数据、物联网网关和/或终端进行处理。
针对匹配的网络数据,目标数据流表中预设的执行规则通常包括:转发、丢弃、排队、修改域等。其中,排队是物联网网关将数据包转发到某个出端口对应的转发队列中,便于提供QoS(Quality of Service,服务质量)支持;修改域是指修稿数据包的包头内容,例如修改源MAC地址、目的MAC地址、源TCP/IP端口、目的TCP/IP端口,以及禁用源TCP/IP端口、目的TCP/IP端口或终端的传输控制协议通信功能等。
应当理解的是,在网络攻击类型种类多、变化快的现状下,物联网网关中的本地数据流表中可能不存在能够与网络数据的特征匹配的流表项,本实施例提供的物联网控制方法在本地数据流表中不存在与匹配的目标数据流表时,可以执行如下步骤:
步骤S18.1:当不存在目标数据流表时,将网络数据发送至SDN(SoftwareDefinedNetwork,软件定义网络)控制器。
SDN是一种软件集中控制、网络开放的三层体系架构,其中,应用层实现对网络业务的呈现和网络模型的抽象;控制层实现网络操作系统功能,集中管理网络资源;转发层实现分组交换功能。应用层与控制层之间的北向接口是网络开放的核心,控制层的产生实现了控制面与转发面的分离,是集中控制的基础。SDN最主要的特征就是数据转发和控制分离,同时还具有网络虚拟化和开放接口等特征。SDN带来的最大价值是提高了全网资源使用效率,提升了网络虚拟化能力并加速了网络创新,且集中部署的控制层可完成拓扑管理、资源统计、路由计算、配置下发等功能,获得全网资源使用情况,隔离不同用户问的虚拟网络,因此本实施例采用SDN控制器与各物联网网关进行大规模组网,以提高全局配置的统一性和安全性。
应当理解的是,与SDN控制器连接的物联网网关可以为一个或多个,且物联网网关之间也可以相互连接。本实施例中的SDN控制器可以是指设置有SDN控制器的软件的电子设备,作为软件的SDN控制器是软件定义网络(SDN)中的应用程序,负责流量控制以确保智能网络。SDN控制器软件是基于如OpenFlow等协议的,允许服务器告诉交换机、网关向哪里发送数据包。
步骤S18.2:接收SDN控制器发送的基于网络数据生成的对应数据流表。
SDN控制器在对网络数据的特征进行分析后,确定物联网网关应当对该网络流量的数据包应当执行的操作,基于该操作生成对应数据流表。
步骤S18.3:基于对应数据流表中的执行规则对网络数据、物联网网关和/或终端进行处理。
为了配合物联网网关实现物联网控制,本申请实施例还提供了一种应用于SDN控制器的物联网控制方法。请参考图3,图3为本申请实施例提供的一种应用于SDN控制器的物联网控制方法的流程示意图,该物联网控制方法的具体步骤可以如下:
步骤S22:接收物联网网关发送的网络数据。
一个SDN控制器可以同时接受多个物联网网关发送的网络数据。
步骤S24:基于网络数据的特征生成对应数据流表。
可选地,本实施例可以基于对应数据流表实现异常流量检测、DDos(DistributedDenial Of Service Attack,分布式拒绝服务攻击)检测、设备行为分析等功能。
例如,在终端的TCP协议吞吐量超过预设吞吐量时,判定该终端的TCP流量异常,向用户发出警告通知,若用户预设了禁止异常流量的功能,SDN控制器会生成用于禁用该终端的TCP协议通信功能的对应数据流表。
DDos攻击就是在段时间内发起大量请求,消耗服务器的资源,以使服务器无法响应正常的访问,造成服务器实质上的瘫痪下线。DDos攻击的特点是:发送正常请求;请求数量(请求包数量)巨大增长;流量不一定增长。因此,在发送网络数据的物联网网关的端口的请求包数量增幅大于预设增幅,且流量变化小于预设变化量,可以判定该端口遭受DDos攻击,SDN控制器会生成用于禁用该物联网网关对应各端口的对应数据流表。
此外,终端为物联网终端时,由于物联网终端一般具有不同的用途,例如摄像头、温度传感器、麦克风等,它们的特点是使用网络协议比较单一。根据上述特点,若一个物联网终端的日常网络流量包含大比例的某种网络协议流量,则将其归类于该类型网络协议流量对应的设备类型,例如视频协议流量对应摄像头设备。在该物联网终端的网络流量中各种类网络协议流量的比例突然发生变化时,可以判定该物联网终端的行为异常,向用户发出警告,并且SDN控制器会生成用于禁用行为异常的网络协议流量的对应数据流表。可选地,若用户通过SDN控制器将行为异常的网络协议流量标记为正常协议时,可以将该物联网设备的设备类型进行重新设置,不需要禁用该网络协议流量。
步骤S26:将对应数据流表发送给物联网网关,用于物联网网关基于对应数据流表中的执行规则对网络数据、物联网网关和/或终端进行处理。
可选地,在某一时段内SDN控制器接收到一个或多个物联网网关发送的网络数据时,可以基于每个网络数据生成不同的对应数据流表,然后将每个对应数据流表发送至对应的不同物联网网关,也可以将所有网络数据对应的流表项集合至一个对应数据流表中,再将该集合的数据流表发送至所有物联网网关。
作为一种可选的实施方式,配合上述应用于物联网网关的物联网控制方法,本实施例还提供了一种物联网控制装置30,请参考图4,图4为本申请实施例提供的一种物联网控制装置的结构示意图。
物联网控制装置30包括:
第一接收模块31,用于接收终端发送的网络数据;
流表匹配模块32,用于确定物联网网关存储的一个或多个本地数据流表中是否存在与网络数据的特征匹配的目标数据流表;
网络处理模块33,用于在存在目标数据流表时,基于目标数据流表中的执行规则对网络数据、物联网网关和/或终端进行处理。
可选地,网络处理模块33还用于:当不存在目标数据流表时,将网络数据发送至SDN控制器;接收SDN控制器发送的基于网络数据生成的对应数据流表;基于对应数据流表中的执行规则对网络数据、物联网网关和/或终端进行处理。
可选地,网络处理模块33还用于:将对应数据流表存储为物联网网关的本地数据流表。
可选地,网络处理模块33具体用于:禁用终端的传输控制协议通信功能;和/或禁用物联网网关与网络数据对应的端口。
作为一种可选的实施方式,配合上述应用于SDN控制器的物联网控制方法,本实施例还提供了一种物联网控制装置40,请参考图5,图5为本申请实施例提供的又一种物联网控制装置的结构示意图。
物联网控制装置40包括:
第二接收模块41,用于接收物联网网关发送的网络数据;
流表生成模块42,用于基于网络数据的特征生成对应数据流表;
流表发送模块43,用于将对应数据流表发送给物联网网关,用于物联网网关基于对应数据流表中的执行规则对网络数据、物联网网关和/或终端进行处理。
可选地,流表生成模块42具体用于:若网络数据对应的终端的传输控制协议吞吐量超过预设吞吐量,生成用于指示物联网网关禁用终端的传输控制协议通信功能的对应数据流表;若网络数据对应的物联网网关的端口的请求包数量增幅大于预设增幅且流量变化小于预设变化量,生成用于指示物联网网关禁用物联网网关与网络数据对应的端口的对应数据流表。
本申请实施例还提供了一种物联网网关,该物联网网关包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行本实施例提供的应用于物联网网关的物联网控制方法中任一项所述方法中的步骤。
本申请实施例还提供了一种SDN控制器,该SDN控制器包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行本实施例提供的应用于SDN控制器的物联网控制方法中任一项所述方法中的步骤。
作为一种可选的实施方式,本实施例还提供了一种物联网控制系统,该物联网控制系统包括上述物联网网关和SDN控制器,SDN控制器可以与一个或多个物联网网关连接,物联网网关则与具体的终端连接。
应当理解是,该SDN控制器可以是个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personal digital assistant,PDA)等具有逻辑计算功能,安装有SDN控制器软件的电子设备。
请参考图6,图6为本申请实施例提供的一种物联网控制系统的连接示意图。可选地,各个物联网网关之间的连接,以及物联网网关与SDN控制器之间的通信可以通过GRE(GenericRoutingEncapsulation,通用路由选择封装)和IPsec(Internet ProtocolSecurity,互联网安全协议)加密进行。
本申请实施例还提供了一种存储介质,所述存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行物联网控制方法中的步骤。
综上所述,本申请实施例提供了一种物联网控制方法、装置、系统、物联网网关及SDN控制器,所述方法包括:接收终端发送的网络数据;确定所述物联网网关存储的一个或多个本地数据流表中是否存在与所述网络数据的特征匹配的目标数据流表;在存在所述目标数据流表时,基于所述目标数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。
在上述实现方式中,物联网网关基于本地数据流表对网络数据进行特征匹配并基于本地数据流表中的执行规则对网络数据进行处理,本地数据流表是易于远程或本地进行更新的,且不同的物联网网关可以使用统一的本地数据流表完成匹配,利用本地数据流表的可更新性和适用性,能够对物联网设备进行大规模的跨地域组网,并对其进行高效、便捷地统一管理,降低了运维成本。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。因此本实施例还提供了一种可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行区块数据存储方法中任一项所述方法中的步骤。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RanDOm Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (12)
1.一种物联网控制方法,其特征在于,应用于物联网网关,所述方法包括:
接收终端发送的网络数据;
确定所述物联网网关存储的一个或多个本地数据流表中是否存在与所述网络数据的特征匹配的目标数据流表;
在存在所述目标数据流表时,基于所述目标数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当不存在所述目标数据流表时,将所述网络数据发送至SDN控制器;
接收所述SDN控制器发送的基于所述网络数据生成的对应数据流表;
基于所述对应数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。
3.根据权利要求2所述的方法,其特征在于,在所述接收所述SDN控制器发送来的与所述网络数据对应数据流表后,所述方法还包括:
将所述对应数据流表存储为所述物联网网关的本地数据流表。
4.根据权利要求1所述的方法,其特征在于,所述基于所述目标数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理,包括:
禁用所述终端的传输控制协议通信功能;和/或
禁用所述物联网网关与所述网络数据对应的端口。
5.一种物联网控制方法,其特征在于,应用于SDN控制器,所述方法包括:
接收物联网网关发送的网络数据;
基于所述网络数据的特征生成对应数据流表;
将所述对应数据流表发送给所述物联网网关,用于所述物联网网关基于所述对应数据流表中的执行规则对所述网络数据、所述物联网网关和/或终端进行处理。
6.根据权利要求5所述的方法,其特征在于,所述基于所述网络数据的特征生成对应数据流表,包括:
若所述网络数据对应的终端的传输控制协议吞吐量超过预设吞吐量,生成用于指示所述物联网网关禁用所述终端的传输控制协议通信功能的对应数据流表;
若所述网络数据对应的物联网网关的端口的请求包数量增幅大于预设增幅且流量变化小于预设变化量,生成用于指示所述物联网网关禁用所述物联网网关与所述网络数据对应的端口的对应数据流表。
7.一种物联网控制装置,其特征在于,所述装置包括:
第一接收模块,用于接收终端发送的网络数据;
流表匹配模块,用于确定物联网网关存储的一个或多个本地数据流表中是否存在与所述网络数据的特征匹配的目标数据流表;
网络处理模块,用于在存在所述目标数据流表时,基于所述目标数据流表中的执行规则对所述网络数据、所述物联网网关和/或所述终端进行处理。
8.一种物联网控制装置,其特征在于,所述装置包括:
第二接收模块,用于接收物联网网关发送的网络数据;
流表生成模块,用于基于所述网络数据的特征生成对应数据流表;
流表发送模块,用于将所述对应数据流表发送给所述物联网网关,用于所述物联网网关基于所述对应数据流表中的执行规则对所述网络数据、所述物联网网关和/或终端进行处理。
9.一种物联网网关,其特征在于,包括处理器和存储器,所述处理器运行所述存储器中的计算机程序指令,执行权利要求1-4中任一物联网控制方法。
10.一种SDN控制器,其特征在于,包括处理器和存储器,所述处理器运行所述存储器中的计算机程序指令,执行权利要求5或6中的物联网控制方法。
11.一种物联网控制系统,其特征在于,包括:
如权利要求9所述的物联网网关;
如权利要求10所述的SDN控制器。
12.一种存储介质,其特征在于,所述存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-7中任一物联网控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910834860.8A CN110505150A (zh) | 2019-09-04 | 2019-09-04 | 物联网控制方法、装置、系统、物联网网关及sdn控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910834860.8A CN110505150A (zh) | 2019-09-04 | 2019-09-04 | 物联网控制方法、装置、系统、物联网网关及sdn控制器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110505150A true CN110505150A (zh) | 2019-11-26 |
Family
ID=68591222
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910834860.8A Pending CN110505150A (zh) | 2019-09-04 | 2019-09-04 | 物联网控制方法、装置、系统、物联网网关及sdn控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110505150A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111984383A (zh) * | 2020-08-18 | 2020-11-24 | 薛东 | 基于云网融合和人工智能的业务数据处理方法及云端平台 |
| CN112597489A (zh) * | 2020-12-16 | 2021-04-02 | 潍坊科技学院 | 一种物联网即时通讯信息实时监控系统 |
| CN114189371A (zh) * | 2021-12-01 | 2022-03-15 | 北京天融信网络安全技术有限公司 | 摄像头管控行为的审计方法、装置、电子设备及存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150270988A1 (en) * | 2014-03-20 | 2015-09-24 | Cox Communications, Inc. | Virtual customer networks and decomposition and virtualization of network communication layer functionality |
| US20160219080A1 (en) * | 2013-09-23 | 2016-07-28 | Zte Corporation | Method, device, and storage medium for deep packet inspection control |
| CN106302254A (zh) * | 2016-07-29 | 2017-01-04 | 山东大学苏州研究院 | 一种基于sdn的物联网络数据转发系统 |
| CN106411820A (zh) * | 2015-07-29 | 2017-02-15 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
| CN107968746A (zh) * | 2017-12-29 | 2018-04-27 | 重庆英卡电子有限公司 | 一种多链路物联网网关及其工作方法 |
| CN108111542A (zh) * | 2018-01-30 | 2018-06-01 | 深圳大学 | 基于SDN的物联网DDoS攻击防御方法、装置、设备及介质 |
| CN108845867A (zh) * | 2018-07-16 | 2018-11-20 | 郑州云海信息技术有限公司 | 一种分布式事务管理方法、装置、系统及存储介质 |
| CN108880911A (zh) * | 2018-07-16 | 2018-11-23 | 山东大学 | 一种感知网络控制层、感知网络架构及其构建方法 |
| CN109347784A (zh) * | 2018-08-10 | 2019-02-15 | 锐捷网络股份有限公司 | 终端准入控制方法、控制器、管控设备及系统 |
| CN109450918A (zh) * | 2018-11-28 | 2019-03-08 | 南京理工大学 | 基于软件定义网络的IoT设备安全防护系统 |
| CN109495574A (zh) * | 2018-11-29 | 2019-03-19 | 北京元安物联技术有限公司 | 一种物联网信息监测系统 |
| CN109951485A (zh) * | 2019-03-20 | 2019-06-28 | 重庆邮电大学 | 一种基于sdn的物联网访问控制方法 |
-
2019
- 2019-09-04 CN CN201910834860.8A patent/CN110505150A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160219080A1 (en) * | 2013-09-23 | 2016-07-28 | Zte Corporation | Method, device, and storage medium for deep packet inspection control |
| US20150270988A1 (en) * | 2014-03-20 | 2015-09-24 | Cox Communications, Inc. | Virtual customer networks and decomposition and virtualization of network communication layer functionality |
| CN106411820A (zh) * | 2015-07-29 | 2017-02-15 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
| CN106302254A (zh) * | 2016-07-29 | 2017-01-04 | 山东大学苏州研究院 | 一种基于sdn的物联网络数据转发系统 |
| CN107968746A (zh) * | 2017-12-29 | 2018-04-27 | 重庆英卡电子有限公司 | 一种多链路物联网网关及其工作方法 |
| CN108111542A (zh) * | 2018-01-30 | 2018-06-01 | 深圳大学 | 基于SDN的物联网DDoS攻击防御方法、装置、设备及介质 |
| CN108845867A (zh) * | 2018-07-16 | 2018-11-20 | 郑州云海信息技术有限公司 | 一种分布式事务管理方法、装置、系统及存储介质 |
| CN108880911A (zh) * | 2018-07-16 | 2018-11-23 | 山东大学 | 一种感知网络控制层、感知网络架构及其构建方法 |
| CN109347784A (zh) * | 2018-08-10 | 2019-02-15 | 锐捷网络股份有限公司 | 终端准入控制方法、控制器、管控设备及系统 |
| CN109450918A (zh) * | 2018-11-28 | 2019-03-08 | 南京理工大学 | 基于软件定义网络的IoT设备安全防护系统 |
| CN109495574A (zh) * | 2018-11-29 | 2019-03-19 | 北京元安物联技术有限公司 | 一种物联网信息监测系统 |
| CN109951485A (zh) * | 2019-03-20 | 2019-06-28 | 重庆邮电大学 | 一种基于sdn的物联网访问控制方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111984383A (zh) * | 2020-08-18 | 2020-11-24 | 薛东 | 基于云网融合和人工智能的业务数据处理方法及云端平台 |
| CN111984383B (zh) * | 2020-08-18 | 2021-05-14 | 上海悟景信息科技有限公司 | 基于云网融合和人工智能的业务数据处理方法及云端平台 |
| CN112597489A (zh) * | 2020-12-16 | 2021-04-02 | 潍坊科技学院 | 一种物联网即时通讯信息实时监控系统 |
| CN112597489B (zh) * | 2020-12-16 | 2022-11-01 | 潍坊科技学院 | 一种物联网即时通讯信息实时监控系统 |
| CN114189371A (zh) * | 2021-12-01 | 2022-03-15 | 北京天融信网络安全技术有限公司 | 摄像头管控行为的审计方法、装置、电子设备及存储介质 |
| CN114189371B (zh) * | 2021-12-01 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 摄像头管控行为的审计方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9729584B2 (en) | System and method for software defined behavioral DDoS attack mitigation | |
| US10187413B2 (en) | Network-based approach for training supervised learning classifiers | |
| US10009364B2 (en) | Gathering flow characteristics for anomaly detection systems in presence of asymmetrical routing | |
| CN107566440A (zh) | 软件定义的网络环境中服务的自动发现和自动扩缩 | |
| US20170279827A1 (en) | Edge-based detection of new and unexpected flows | |
| CN107409089A (zh) | 业务功能注册机制和能力索引编制 | |
| CN110505150A (zh) | 物联网控制方法、装置、系统、物联网网关及sdn控制器 | |
| US9059922B2 (en) | Network traffic distribution | |
| CN110557332B (zh) | 网络构建方法、系统及路由设备 | |
| KR101942364B1 (ko) | 액세스 제어 리스트들의 동적 생성을 위한 방법들 및 시스템들 | |
| Montazerolghaem et al. | OpenSIP: Toward software-defined SIP networking | |
| CN103036732A (zh) | 一种网络监控处理的方法、系统和设备 | |
| Ricart‐Sanchez et al. | Toward hardware‐accelerated QoS‐aware 5G network slicing based on data plane programmability | |
| US11329959B2 (en) | Virtual routing and forwarding (VRF)-aware socket | |
| Kim et al. | Deep reinforcement learning-based traffic sampling for multiple traffic analyzers on software-defined networks | |
| Dimolianis et al. | Mitigation of multi-vector network attacks via orchestration of distributed rule placement | |
| Furfaro et al. | A simulation model for the analysis of DDOS amplification attacks | |
| CN104202297B (zh) | 一种动态地适应服务器性能的防攻击方法和设备 | |
| Soylu et al. | Nfv-guard: Mitigating flow table-overflow attacks in sdn using nfv | |
| Bifulco et al. | CATENAE: A scalable service function chaining system for legacy mobile networks | |
| US9338021B2 (en) | Network traffic redirection in bi-planar networks | |
| Kumar et al. | Security and Privacy Preservation for Data Communication Network | |
| Anbarsu et al. | Software-Defined Networking for the Internet of Things: Securing home networks using SDN | |
| Faizullah et al. | Vulnerabilities in sdn due to separation of data and control planes | |
| TW201526588A (zh) | 用於本地與遠端處理時之設備控制分隔的系統及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191126 |