CN110868715B - 安全保护方法、装置、系统、电子设备及存储介质 - Google Patents

安全保护方法、装置、系统、电子设备及存储介质 Download PDF

Info

Publication number
CN110868715B
CN110868715B CN201911224433.4A CN201911224433A CN110868715B CN 110868715 B CN110868715 B CN 110868715B CN 201911224433 A CN201911224433 A CN 201911224433A CN 110868715 B CN110868715 B CN 110868715B
Authority
CN
China
Prior art keywords
encryption
monitoring
equipment
message
correct
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911224433.4A
Other languages
English (en)
Other versions
CN110868715A (zh
Inventor
林威林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Maipu Communication Technology Co Ltd
Original Assignee
Maipu Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Maipu Communication Technology Co Ltd filed Critical Maipu Communication Technology Co Ltd
Priority to CN201911224433.4A priority Critical patent/CN110868715B/zh
Publication of CN110868715A publication Critical patent/CN110868715A/zh
Application granted granted Critical
Publication of CN110868715B publication Critical patent/CN110868715B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种安全保护方法、装置、系统、电子设备及存储介质,属于信息安全领域。该方法包括:监控设备通过对网络设备所发送的设备加密同步报文的数量以及正确的设备加密同步报文中同步报文的数量进行统计,通过两者的数量比值来判断与网络设备之间的距离是否安全,相对于现有方案中通过信号强度来判断距离的方式,不会受到其他信号的干扰,减小出现误判的情况,保障网络设备的安全性。

Description

安全保护方法、装置、系统、电子设备及存储介质
技术领域
本申请属于信息安全领域,具体涉及一种安全保护方法、装置、系统、电子设备及存储介质。
背景技术
随着时代的发展,信息安全越来越重要,通常会对网络设备的使用距离范围进行限制,一旦设备脱离安全距离使用范围,则需要对网络设备进行安全保护(例如断电、删除设备内的文件等),防止网络设备内数据的泄露。
在现有技术中,一般在监控设备与网络设备之间建立无线通信连接,监控设备通过监控与网络设备之间进行通信时的信号强度来确定自身与网络设备之间的距离,从而判断网络设备是否处于安全距离使用范围内。然而,信号强度容易受到周围环境的其他无线信号的干扰,从而容易导致监控设备发生误判,造成网络设备无法受到准确的安全保护。
发明内容
有鉴于此,本申请的目的在于提供一种安全保护方法、装置、系统、电子设备及存储介质,通过对通信报文的数量进行统计,从而从报文的数量这个维度来反应网络设备与监控设备之间的距离,从而确定是否对网络设备进行安全保护,减少出现误判的概率。
第一方面,本申请实施例提供一种安全保护方法,应用于安全保护系统中的监控设备,所述安全保护系统还包括与所述监控设备无线通信连接的网络设备,所述方法包括:与所述网络设备协商加密认证参数;接收所述网络设备周期性发送的设备加密同步报文;根据所述加密认证参数解析所述设备加密同步报文,确定出正确的设备加密同步报文;根据所述正确的设备加密同步报文的数量与所述设备加密同步报文的数量的比值,确定是否对所述网络设备进行安全保护。相对于现有方案中通过信号强度来判断距离的方式,不会受到其他信号的干扰,减小出现误判的情况,保障网络设备的安全性。
结合第一方面实施例,在一种可能的实施方式中,所述与所述网络设备协商加密认证参数,包括:获取所述网络设备发送的加密认证请求报文,所述加密认证请求报文包括加密方式、解密方式及所述网络设备的设备标识;根据预先保存的设备标识数据库对所述网络设备的设备标识进行认证;在确定认证成功时,向所述网络设备发送加密认证应答报文,并确定所述加密认证参数包括所述加密方式,所述解密方式及所述网络设备的设备标识。
结合第一方面实施例,在一种可能的实施方式中,所述根据所述加密认证参数解析所述设备加密同步报文,确定出正确的设备加密同步报文,包括:根据所述解密方式对所述设备加密同步报文进行解密;将解密成功的且其数据字段所包括的设备标识与所述网络设备的设备标识一致的设备加密同步报文确定为所述正确的设备加密同步报文。
结合第一方面实施例,在一种可能的实施方式中,所述根据所述正确的设备加密同步报文的数量与所述设备加密同步报文的数量的比值,确定是否对所述网络设备进行安全保护,包括:在所述比值大于第一阈值时,确定所述网络设备在安全距离范围内;和/或在所述比值处于所述第一阈值与第二阈值之间时,确定所述网络设备在告警距离范围内,发出告警提示;和/或在所述比值小于所述第二阈值时,确定所述网络设备在危险距离范围内,发出危险提示。
第二方面,本申请实施例提供一种安全保护方法,应用于安全保护系统中的网络设备,所述安全保护系统还包括与所述网络设备无线通信连接的监控设备,所述方法包括:与所述监控设备协商加密认证参数;接收所述监控设备周期性发送的监控加密同步报文;根据所述加密认证参数解析所述监控加密同步报文,确定出正确的监控加密同步报文;根据所述正确的监控加密同步报文的数量与所述监控加密同步报文的数量的比值,确定是否对自身进行安全保护。相对于现有方案中通过信号强度来判断距离的方式,不会受到其他信号的干扰,减小出现误判的情况,保障网络设备的安全性。
结合第二方面实施例,在一种可能的实施方式中,所述与所述监控设备协商加密认证参数,包括:向所述监控设备发送加密认证请求报文,所述加密认证请求报文包括加密方式、解密方式及所述网络设备的设备标识;获取所述监控设备基于预先保存的设备标识数据库对所述网络设备的设备标识认证成功后发送的加密认证应答报文,所述加密认证应答报文包括所述加密方式、所述解密方式及所述监控设备的设备标识;确定所述加密认证参数包括所述加密方式、所述解密方式及所述监控设备的设备标识。
结合第二方面实施例,在一种可能的实施方式中,所述根据所述加密认证参数解析所述监控加密同步报文,确定出所述正确的监控加密同步报文,包括:根据所述解密方式对所述监控加密同步报文进行解密;将解密成功的且其数据字段所包括的设备标识与所述监控设备的设备标识一致的监控加密同步报文确定为所述正确的监控加密同步报文。
结合第二方面实施例,在一种可能的实施方式中,所述根据所述正确的监控加密同步报文的数量与所述监控加密同步报文的数量的比值,确定是否对自身进行安全保护,包括:在所述比值大于第三阈值时,确定自身在安全距离范围内;和/或在所述比值处于所述第三阈值与第四阈值之间时,确定自身在告警距离范围内,进行断电处理;和/或在所述比值小于所述第四阈值时,确定自身在危险距离范围内,擦除闪存并进行断电处理。
第三方面,本申请实施例提供一种安全保护装置,应用于安全保护系统中的监控设备,所述安全保护系统还包括与所述监控设备无线通信连接的网络设备,所述装置包括:协商模块、接收模块、确定模块以及执行模块。协商模块,用于与所述网络设备协商加密认证参数;接收模块,用于接收所述网络设备周期性发送的设备加密同步报文;确定模块,用于根据所述加密认证参数解析所述设备加密同步报文,确定正确的设备加密同步报文;执行模块,用于根据所述正确的设备加密同步报文的数量与所述设备加密同步报文的数量的比值,确定是否对所述网络设备进行安全保护。
结合第三方面实施例,在一种可能的实施方式中,所述协商模块,用于获取所述网络设备发送的加密认证请求报文,所述加密认证请求报文包括加密方式、解密方式及所述网络设备的设备标识;根据预先保存的设备标识数据库对所述网络设备的设备标识进行认证;在确定认证成功时,向所述网络设备发送加密认证应答报文,并确定所述加密认证参数包括所述加密方式,所述解密方式及所述网络设备的设备标识。
结合第三方面实施例,在一种可能的实施方式中,所述确定模块,用于根据所述解密方式对所述设备加密同步报文进行解密;将解密成功的且其数据字段所包括的设备标识与所述网络设备的设备标识一致的设备加密同步报文确定为所述正确的设备加密同步报文。
结合第三方面实施例,在一种可能的实施方式中,所述执行模块,用于在所述比值大于第一阈值时,确定所述网络设备在安全距离范围内;和/或在所述比值处于所述第一阈值与第二阈值之间时,确定所述网络设备在告警距离范围内,发出告警提示;和/或在所述比值小于所述第二阈值时,确定所述网络设备在危险距离范围内,发出危险提示。
第四方面,本申请实施例提供一种安全保护装置,应用于安全保护系统中的网络设备,所述安全保护系统还包括与所述网络设备无线通信连接的监控设备,所述装置包括:协商模块、接收模块、确定模块以及执行模块。协商模块,用于与所述监控设备协商加密认证参数;接收模块,用于接收所述监控设备周期性发送的监控加密同步报文;确定模块,用于根据所述加密认证参数解析所述监控加密同步报文,确定出正确的监控加密同步报文;执行模块,用于根据所述正确的监控加密同步报文的数量与所述监控加密同步报文的数量的比值,确定是否对自身进行安全保护。
结合第四方面实施例,在一种可能的实施方式中,所述协商模块,用于向所述监控设备发送加密认证请求报文,所述加密认证请求报文包括加密方式、解密方式及所述网络设备的设备标识;获取所述监控设备基于预先保存的设备标识数据库对所述网络设备的设备标识认证成功后发送的加密认证应答报文,所述加密认证应答报文包括所述加密方式、所述解密方式及所述监控设备的设备标识;确定所述加密认证参数包括所述加密方式、所述解密方式及所述监控设备的设备标识。
结合第四方面实施例,在一种可能的实施方式中,所述确定模块,用于根据所述解密方式对所述监控加密同步报文进行解密;将解密成功的且其数据字段所包括的设备标识与所述监控设备的设备标识一致的监控加密同步报文确定为所述正确的监控加密同步报文。
结合第四方面实施例,在一种可能的实施方式中,所述执行模块,用于在所述比值大于第三阈值时,确定自身在安全距离范围内;和/或在所述比值处于所述第三阈值与第四阈值之间时,确定自身在告警距离范围内,进行断电处理;和/或在所述比值小于所述第四阈值时,确定自身在危险距离范围内,擦除闪存并进行断电处理。
第五方面,本申请实施例还提供一种电子设备包括:存储器和处理器,所述存储器和所述处理器连接;所述存储器用于存储程序;所述处理器调用存储于所述存储器中的程序,以执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法,或第二方面实施例和/或结合第二方面实施例的任一种可能的实施方式提供的方法。
第六方面,本申请实施例还提供一种非易失性计算机可读取存储介质(以下简称存储介质),其上存储有计算机程序,所述计算机程序被计算机运行时执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法,或第二方面实施例和/或结合第二方面实施例的任一种可能的实施方式提供的方法。
第七方面,本申请实施例还提供一种安全保护系统,包括无线通信连接的监控设备与网络设备;所述网络设备,用于与所述监控设备协商加密认证参数;所述网络设备,还用于接收所述监控设备周期性发送的监控加密同步报文;根据所述加密认证参数解析所述监控加密同步报文,确定出正确的监控加密同步报文;根据所述正确的监控加密同步报文的数量与所述监控加密同步报文的数量的比值,确定是否对自身进行安全保护;所述监控设备,用于接收所述网络设备周期性发送的设备加密同步报文;根据所述加密认证参数解析所述设备加密同步报文,确定出正确的设备加密同步报文;根据所述正确的设备加密同步报文的数量与所述设备加密同步报文的数量的比值,确定是否对所述网络设备进行安全保护。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出了本申请实施例提供的一种安全保护系统的结构示意图。
图2示出了本申请实施例提供的一种安全保护方法的流程图之一。
图3示出了本申请实施例提供的一种安全保护方法的流程图之二。
图4示出了本申请实施例提供的一种安全保护装置的结构框图之一。
图5示出了本申请实施例提供的一种安全保护装置的结构框图之二。
标号:10-安全保护系统;11-监控设备;12-网络设备;400-安全保护装置;410-协商模块;420-接收模块;430-确定模块;440-执行模块;500-安全保护装置;510-协商模块;520-接收模块;530-确定模块;540-执行模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
为了解决现有技术中的安全保护方法所存在的问题,本申请实施例提供一种安全保护方法、装置、系统、电子设备及存储介质,通过对通信报文的数量进行统计,从而从报文的数量这个维度来反应网络设备与监控设备之间的距离,从而确定是否对网络设备进行安全保护,减少对网络设备的距离出现误判的概率。该技术可采用相应的软件、硬件以及软硬结合的方式实现。以下对本申请实施例进行详细介绍。
首先,参照图1来描述用于实现本申请实施例的安全保护方法、装置的安全保护系统10。该系统包括相互无线通信连接的监控设备11以及网络设备12。
其中,网络设备12为被监控的设备,监控设备11的位置固定,用于以自身的位置作为参考,监控自身与网络设备12之间的距离,从而判断网络设备12是否处于安全距离范围内。
可选的,网络设备12,用于与监控设备11协商加密认证参数。
网络设备12,还用于接收监控设备11周期性发送的监控加密同步报文;根据加密认证参数解析监控加密同步报文,确定出正确的监控加密同步报文;根据正确的监控加密同步报文的数量与监控加密同步报文的数量的比值,确定是否对自身进行安全保护。监控设备11,用于接收网络设备12周期性发送的设备加密同步报文;根据加密认证参数解析设备加密同步报文,确定出正确的设备加密同步报文;根据正确的设备加密同步报文的数量与设备加密同步报文的数量的比值,确定是否对网络设备12进行安全保护。
下面将结合图2以及图3所示的流程图对安全保护系统10的工作原理进行阐述。
请参看图2,本申请实施例提供一种应用于监控设备11的安全保护方法,包括以下步骤。
步骤S110:与所述网络设备协商加密认证参数。
网络设备12在上电开始工作后,网络设备12开始向监控设备11周期性地发送加密认证请求报文,用于与监控设备11协商加密认证参数。其中,在加密认证请求报文内包括网络设备12所选定的加密方式、解密方式及网络设备12的设备标识。
监控设备11获取到网络设备12发送的加密认证请求报文后,查询预先保存的设备标识数据库,实现对网络设备12的身份进行认证。
可选的,当加密认证请求报文所包括的网络设备12的设备标识与设备标识数据库中的某一个设备标识匹配时,即表征认证成功,否则表征认证失败。
当监控设备11确定认证失败时,表征监控设备11所接收到的加密认证请求报文的发送者不是监控设备11所需要监控的对象,此时,监控设备11可以直接将认证失败的加密认证请求报文丢弃。
当监控设备11确定认证成功时,表征监控设备11所接收到的加密认证请求报文的发送者是监控设备11所需要监控的对象。此时,监控设备11向发送加密认证请求报文的网络设备12发送加密认证应答报文,以表征同意网络设备12所确定的加密认证参数的内容,并在加密认证应答报文中确定与网络设备12之间进行通信的加密认证参数包括上述加密方式、解密方式及网络设备12的设备标识。
当然,在加密认证应答报文中还包括监控设备11的设备标识,即加密认证参数还包括监控设备11的设备标识。
步骤S120:接收所述网络设备周期性发送的设备加密同步报文。
网络设备12获取到加密认证应答报文后,开始周期性地向监控设备11发送设备加密同步报文。其中,设备加密同步报文的发送周期预先保存在网络设备12以及监控设备11内。
此外,设备加密同步报文的头部字段携带有网络设备12的设备标识,其数据字段内也携带有网络设备12的设备标识。同时,网络设备12通过上述加密认证参数中的加密方式对设备加密同步报文进行加密。
当监控设备11开始接收到其头部携带有网络设备12的设备标识的设备加密同步报文时,可以根据设备加密同步报文的发送周期,周期性地接收网络设备12发送的设备加密同步报文,并确定出接收到的由网络设备12所发送的设备加密同步报文的数量,例如以接收到设备加密同步报文时开始计时,延时设备加密同步报文的发送周期时间后开始统计接收到的设备加密同步报文的数量。
步骤S130:根据所述加密认证参数解析所述设备加密同步报文,确定出正确的设备加密同步报文。
上文提及到,加密认证参数包括监控设备11与网络设备12协商好的加密方式、解密方式以及网络设备12的设备标识。监控设备11获取到设备加密同步报文后,对每个设备加密同步报文进行解析,以确定是否是正确的设备加密同步报文。解析过程如下。
监控设备11先通过上述解密方式对每条设备加密同步报文进行解密,当解密成功后,针对某条设备加密同步报文,监控设备11检测该设备加密同步报文的数据字段,以判断数据字段是否包括与网络设备12的设备标识相同的设备标识。当为是时,即确定该条设备加密同步报文为正确的设备加密同步报文,否则,确定该条设备加密同步报文为错误的设备加密同步报文。
值得指出的是,在网络设备12处于安全距离范围内时,监控设备11均能成功对网络设备12所发送的设备加密同步报文进行解密,且解密出的设备加密同步报文的数据字段所包括的设备标识为网络设备12的设备标识。然而,当网络设备12与监控设备11之间的距离越来越远时,网络设备12所发送的无线通信信号的衰减程度越来越大,无线通信信号所解析出的报文的出错率越高,因此,可能会造成设备加密同步报文无法被成功解密和/或设备加密同步报文的数据字段的内容发生错误。
步骤S140:根据所述正确的设备加密同步报文的数量与所述设备加密同步报文的数量的比值,确定是否对所述网络设备进行安全保护。
监控设备11在确定出正确的设备加密同步报文后,将正确的设备加密同步报文的数量与获取到的设备加密同步报文的数量相比,得到比值。
在比值大于第一阈值时,确定网络设备12在安全距离范围内。此时,监控设备11可以在其显示屏上显示用于表征网络设备12处于安全状态的相关提示。
在比值处于第一阈值与第二阈值之间时,确定网络设备12在告警距离范围内。此时,监控设备11可以在其显示屏上显示用于表征网络设备12处于告警状态的相关提示,当然,监控设备11还可以发出预先设置的用于表征网络设备12处于告警状态的警报。
在比值小于第二阈值时,确定网络设备12在危险距离范围内。此时,监控设备11可以在其显示屏上显示用于表征网络设备12处于危险状态的相关提示,当然,监控设备11还可以发出预先设置的用于表征网络设备12处于危险状态的警报。
其中,第一阈值大于第二阈值,且第一阈值与第二阈值预先保存在监控设备11内,此外,第一阈值与第二阈值可以根据实际情况进行调整。
此外,值得指出的是,在本申请实施例中,由于监控设备11与网络设备12之间的通信多数采用加密报文的形式,安全性更强。
本申请实施例所提供的一种安全保护方法,监控设备通过对网络设备所发送的设备加密同步报文的数量以及正确的设备加密同步报文中同步报文的数量进行统计,通过两者的数量比值来判断与网络设备之间的距离是否安全,相对于现有方案中通过信号强度来判断距离的方式,不会受到其他信号的干扰,减小出现误判的情况,保障网络设备的安全性。
请参看图3,本申请实施例提供一种应用于网络设备12的安全保护方法,包括以下步骤。
步骤S210:与所述监控设备协商加密认证参数。
该步骤的详细介绍请参看步骤S110。
步骤S220:接收所述监控设备周期性发送的监控加密同步报文。
与步骤S120类似的,监控设备11在向网络设备12发送加密认证应答报文后,开始周期性地向网络设备12发送监控加密同步报文。其中,监控加密同步报文的发送周期预先保存在网络设备12以及监控设备11内。
此外,监控加密同步报文的头部字段携带有监控设备11的设备标识,其数据字段内也携带有监控设备11的设备标识。同时,监控设备11通过上述加密认证参数中的加密方式对监控加密同步报文进行加密。
当网络设备12开始接收到其头部携带有监控设备11的设备标识的设备加密同步报文时,可以根据监控加密同步报文的发送周期,周期性地接收监控设备11发送的监控加密同步报文,并确定出接收到的由监控设备11所发送的监控加密同步报文的数量,例如以接收到监控加密同步报文时开始计时,延时监控加密同步报文的发送周期时间后开始统计接收到的监控加密同步报文的数量。
此外,作为一种可选的实施方式,当网络设备12接收到加密认证应答报文后,才开始接收设备加密同步报文。
步骤S230:根据所述加密认证参数解析所述监控加密同步报文,确定出正确的监控加密同步报文。
上文提及到,加密认证参数包括监控设备11与网络设备12协商好的加密方式、解密方式以及监控设备11的设备标识。网络设备12获取到监控加密同步报文后,对每个监控加密同步报文进行解析,以确定是否是正确的监控加密同步报文。解析过程如下。
网络设备12先通过上述解密方式对每条监控加密同步报文进行解密,当解密成功后,针对某条监控加密同步报文,网络设备12检测该监控加密同步报文的数据字段,以判断数据字段是否包括与监控设备11的设备标识相同的设备标识。当为是时,即确定该条监控加密同步报文为正确的监控加密同步报文,否则,确定该条监控加密同步报文为错误的监控加密同步报文。
值得指出的是,在网络设备12处于安全距离范围内时,网络设备12均能成功对监控设备11所发送的监控加密同步报文进行解密,且解密出的监控加密同步报文的数据字段所包括的设备标识为监控设备11的设备标识。然而,当网络设备12与监控设备11之间的距离越来越远时,监控设备11所发送的无线通信信号的衰减程度越来越大,无线通信信号所解析出的报文的出错率越高,因此,可能会造成监控加密同步报文无法被成功解密和/或监控加密同步报文的数据字段的内容发生错误。
步骤S240:根据所述正确的监控加密同步报文的数量与所述监控加密同步报文的数量的比值,确定是否对自身进行安全保护。
网络设备12在确定出正确的监控加密同步报文后,将正确的监控加密同步报文的数量与获取到的监控加密同步报文的数量相比,得到比值。
在比值大于第三阈值时,确定自身在安全距离范围内。此时,网络设备12可以不做任何操作。
在比值处于第三阈值与第四阈值之间时,确定自身在告警距离范围内。此时,网络设备12可以执行断电处理,限制网络设备12的使用。
在比值小于第四阈值时,确定自身在危险距离范围内。此时,网络设备12可以执行擦除闪存并进行断电处理。
其中,第四阈值大于第三阈值,且第四阈值与第三阈值预先保存在网络设备12内,此外,第四阈值与第三阈值可以根据实际情况进行调整。
本申请实施例所提供的一种安全保护方法,网络设备通过对监控设备所发送的监控加密同步报文的数量以及正确的监控加密同步报文中同步报文的数量进行统计,通过两者的数量比值来判断是否对自身进行安全保护。相对于现有方案中通过信号强度来判断是否进行安全保护的方式,不会受到其他信号的干扰,减小出现误判的情况,保障网络设备的安全性。
此外,对应于图2,请参看图4,本申请实施例还提供一种安全保护装置400,安全保护装置400可以包括:协商模块410、接收模块420、确定模块430以及执行模块440。
协商模块410,用于与所述网络设备协商加密认证参数;
接收模块420,用于接收所述网络设备周期性发送的设备加密同步报文;
确定模块430,用于根据所述加密认证参数解析所述设备加密同步报文,确定正确的设备加密同步报文;
执行模块440,用于根据所述正确的设备加密同步报文的数量与所述设备加密同步报文的数量的比值,确定是否对所述网络设备进行安全保护。
可选的,所述协商模块410,用于获取所述网络设备发送的加密认证请求报文,所述加密认证请求报文包括加密方式、解密方式及所述网络设备的设备标识;根据预先保存的设备标识数据库对所述网络设备的设备标识进行认证;在确定认证成功时,向所述网络设备发送加密认证应答报文,并确定所述加密认证参数包括所述加密方式,所述解密方式及所述网络设备的设备标识。
可选的,所述确定模块430,用于根据所述解密方式对所述设备加密同步报文进行解密;将解密成功的且其数据字段所包括的设备标识与所述网络设备的设备标识一致的设备加密同步报文确定为所述正确的设备加密同步报文。
可选的,所述执行模块440,用于在所述比值大于第一阈值时,确定所述网络设备在安全距离范围内;和/或在所述比值处于所述第一阈值与第二阈值之间时,确定所述网络设备在告警距离范围内,发出告警提示;和/或在所述比值小于所述第二阈值时,确定所述网络设备在危险距离范围内,发出危险提示。
本申请实施例所提供的安全保护装置400,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
此外,对应于图3,请参看图5,本申请实施例还提供一种安全保护装置500,安全保护装置500可以包括:协商模块510、接收模块520、确定模块530以及执行模块540。
协商模块510,用于与所述监控设备协商加密认证参数;
接收模块520,用于接收所述监控设备周期性发送的监控加密同步报文;
确定模块530,用于根据所述加密认证参数解析所述监控加密同步报文,确定出正确的监控加密同步报文;
执行模块540,用于根据所述正确的监控加密同步报文的数量与所述监控加密同步报文的数量的比值,确定是否对自身进行安全保护。
可选的,所述协商模块510,用于向所述监控设备发送加密认证请求报文,所述加密认证请求报文包括加密方式、解密方式及所述网络设备的设备标识;获取所述监控设备基于预先保存的设备标识数据库对所述网络设备的设备标识认证成功后发送的加密认证应答报文,所述加密认证应答报文包括所述加密方式、所述解密方式及所述监控设备的设备标识;确定所述加密认证参数包括所述加密方式、所述解密方式及所述监控设备的设备标识。
可选的,所述确定模块530,用于根据所述解密方式对所述监控加密同步报文进行解密;将解密成功的且其数据字段所包括的设备标识与所述监控设备的设备标识一致的监控加密同步报文确定为所述正确的监控加密同步报文。
可选的,所述执行模块540,用于在所述比值大于第三阈值时,确定自身在安全距离范围内;和/或在所述比值处于所述第三阈值与第四阈值之间时,确定自身在告警距离范围内,进行断电处理;和/或在所述比值小于所述第四阈值时,确定自身在危险距离范围内,擦除闪存并进行断电处理。
本申请实施例所提供的安全保护装置500,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
此外,本申请实施例还提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被计算机运行时,执行如上述的安全保护方法。
此外,本发明实施例还提供一种电子设备,包括处理器以及与所述处理器连接的存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述电子设备执行如上述的安全保护方法。
当然,本申请任一实施例所揭示的方法都可以应用于处理器中,或者由处理器实现。
综上所述,本发明实施例提出的安全保护方法、装置、系统、电子设备及存储介质,监控设备通过对网络设备所发送的设备加密同步报文的数量以及正确的设备加密同步报文中同步报文的数量进行统计,通过两者的数量比值来判断与网络设备之间的距离是否安全,相对于现有方案中通过信号强度来判断距离的方式,不会受到其他信号的干扰,减小出现误判的情况,保障网络设备的安全性。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。

Claims (13)

1.一种安全保护方法,其特征在于,应用于安全保护系统中的监控设备,所述安全保护系统还包括与所述监控设备无线通信连接的网络设备,所述方法包括:
与所述网络设备协商加密认证参数;
接收所述网络设备周期性发送的设备加密同步报文;
根据所述加密认证参数解析所述设备加密同步报文,确定出正确的设备加密同步报文;其中,依据所述设备加密同步报文中包括的设备标识及所述加密认证参数中包括的网络设备的设备标识确定出正确的设备加密同步报文;
根据所述正确的设备加密同步报文的数量与所述设备加密同步报文的数量的比值,确定是否对所述网络设备进行安全保护。
2.根据权利要求1所述的方法,其特征在于,所述与所述网络设备协商加密认证参数,包括:
获取所述网络设备发送的加密认证请求报文,所述加密认证请求报文包括加密方式、解密方式及所述网络设备的设备标识;
根据预先保存的设备标识数据库对所述网络设备的设备标识进行认证;
在确定认证成功时,向所述网络设备发送加密认证应答报文,并确定所述加密认证参数包括所述加密方式,所述解密方式及所述网络设备的设备标识。
3.根据权利要求2所述的方法,其特征在于,所述根据所述加密认证参数解析所述设备加密同步报文,确定出正确的设备加密同步报文,包括:
根据所述解密方式对所述设备加密同步报文进行解密;
将解密成功的且其数据字段所包括的设备标识与所述网络设备的设备标识一致的设备加密同步报文确定为所述正确的设备加密同步报文。
4.根据权利要求1所述的方法,其特征在于,所述根据所述正确的设备加密同步报文的数量与所述设备加密同步报文的数量的比值,确定是否对所述网络设备进行安全保护,包括:
在所述比值大于第一阈值时,确定所述网络设备在安全距离范围内;和/或
在所述比值处于所述第一阈值与第二阈值之间时,确定所述网络设备在告警距离范围内,发出告警提示;和/或
在所述比值小于所述第二阈值时,确定所述网络设备在危险距离范围内,发出危险提示。
5.一种安全保护方法,其特征在于,应用于安全保护系统中的网络设备,所述安全保护系统还包括与所述网络设备无线通信连接的监控设备,所述方法包括:
与所述监控设备协商加密认证参数;
接收所述监控设备周期性发送的监控加密同步报文;
根据所述加密认证参数解析所述监控加密同步报文,确定出正确的监控加密同步报文;其中,依据所述监控加密同步报文中包括的设备标识及所述加密认证参数中包括的监控设备的设备标识确定出正确的监控加密同步报文;
根据所述正确的监控加密同步报文的数量与所述监控加密同步报文的数量的比值,确定是否对自身进行安全保护。
6.根据权利要求5所述的方法,其特征在于,所述与所述监控设备协商加密认证参数,包括:
向所述监控设备发送加密认证请求报文,所述加密认证请求报文包括加密方式、解密方式及所述网络设备的设备标识;
获取所述监控设备基于预先保存的设备标识数据库对所述网络设备的设备标识认证成功后发送的加密认证应答报文,所述加密认证应答报文包括所述加密方式、所述解密方式及所述监控设备的设备标识;
确定所述加密认证参数包括所述加密方式、所述解密方式及所述监控设备的设备标识。
7.根据权利要求6所述的方法,其特征在于,所述根据所述加密认证参数解析所述监控加密同步报文,确定出所述正确的监控加密同步报文,包括:
根据所述解密方式对所述监控加密同步报文进行解密;
将解密成功的且其数据字段所包括的设备标识与所述监控设备的设备标识一致的监控加密同步报文确定为所述正确的监控加密同步报文。
8.根据权利要求5所述的方法,其特征在于,所述根据所述正确的监控加密同步报文的数量与所述监控加密同步报文的数量的比值,确定是否对自身进行安全保护,包括:
在所述比值大于第三阈值时,确定自身在安全距离范围内;和/或
在所述比值处于所述第三阈值与第四阈值之间时,确定自身在告警距离范围内,进行断电处理;和/或
在所述比值小于所述第四阈值时,确定自身在危险距离范围内,擦除闪存并进行断电处理。
9.一种安全保护装置,其特征在于,应用于安全保护系统中的监控设备,所述安全保护系统还包括与所述监控设备无线通信连接的网络设备,所述装置包括:
协商模块,用于与所述网络设备协商加密认证参数;
接收模块,用于接收所述网络设备周期性发送的设备加密同步报文;
确定模块,用于根据所述加密认证参数解析所述设备加密同步报文,确定正确的设备加密同步报文;其中,依据所述设备加密同步报文中包括的设备标识及所述加密认证参数中包括的网络设备的设备标识确定出正确的设备加密同步报文;
执行模块,用于根据所述正确的设备加密同步报文的数量与所述设备加密同步报文的数量的比值,确定是否对所述网络设备进行安全保护。
10.一种安全保护装置,其特征在于,应用于安全保护系统中的网络设备,所述安全保护系统还包括与所述网络设备无线通信连接的监控设备,所述装置包括:
协商模块,用于与所述监控设备协商加密认证参数;
接收模块,用于接收所述监控设备周期性发送的监控加密同步报文;
确定模块,用于根据所述加密认证参数解析所述监控加密同步报文,确定出正确的监控加密同步报文;其中,依据所述监控加密同步报文中包括的设备标识及所述加密认证参数中包括的监控设备的设备标识确定出正确的监控加密同步报文;
执行模块,用于根据所述正确的监控加密同步报文的数量与所述监控加密同步报文的数量的比值,确定是否对自身进行安全保护。
11.一种安全保护系统,其特征在于,包括无线通信连接的监控设备与网络设备;
所述网络设备,用于与所述监控设备协商加密认证参数;
所述网络设备,还用于接收所述监控设备周期性发送的监控加密同步报文;根据所述加密认证参数解析所述监控加密同步报文,确定出正确的监控加密同步报文;其中,依据所述监控加密同步报文中包括的设备标识及所述加密认证参数中包括的监控设备的设备标识确定出正确的监控加密同步报文;根据所述正确的监控加密同步报文的数量与所述监控加密同步报文的数量的比值,确定是否对自身进行安全保护;
所述监控设备,用于接收所述网络设备周期性发送的设备加密同步报文;根据所述加密认证参数解析所述设备加密同步报文,确定出正确的设备加密同步报文;其中,依据所述设备加密同步报文中包括的设备标识及所述加密认证参数中包括的网络设备的设备标识确定出正确的设备加密同步报文;根据所述正确的设备加密同步报文的数量与所述设备加密同步报文的数量的比值,确定是否对所述网络设备进行安全保护。
12.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器连接;
所述存储器用于存储程序;
所述处理器调用存储于所述存储器中的程序,以执行如权利要求1-8中任一项所述的方法。
13.一种存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被计算机运行时执行如权利要求1-8中任一项所述的方法。
CN201911224433.4A 2019-12-03 2019-12-03 安全保护方法、装置、系统、电子设备及存储介质 Active CN110868715B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911224433.4A CN110868715B (zh) 2019-12-03 2019-12-03 安全保护方法、装置、系统、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911224433.4A CN110868715B (zh) 2019-12-03 2019-12-03 安全保护方法、装置、系统、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN110868715A CN110868715A (zh) 2020-03-06
CN110868715B true CN110868715B (zh) 2022-06-21

Family

ID=69658444

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911224433.4A Active CN110868715B (zh) 2019-12-03 2019-12-03 安全保护方法、装置、系统、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN110868715B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6832314B1 (en) * 1999-12-15 2004-12-14 Ericsson, Inc. Methods and apparatus for selective encryption and decryption of point to multi-point messages
CN101651582A (zh) * 2009-09-24 2010-02-17 中兴通讯股份有限公司 检测多协议标签交换网络链路连通性的方法及系统
WO2012123394A1 (en) * 2011-03-11 2012-09-20 Kreft Heinz Off-line transfer of electronic tokens between peer-devices
CN104079421A (zh) * 2013-03-27 2014-10-01 中国移动通信集团北京有限公司 一种域名系统防护的方法和系统
CN107547559A (zh) * 2017-09-20 2018-01-05 新华三信息安全技术有限公司 一种报文处理方法及装置
CN109246053A (zh) * 2017-05-26 2019-01-18 阿里巴巴集团控股有限公司 一种数据通信方法、装置、设备和存储介质
CN110417748A (zh) * 2019-07-08 2019-11-05 新华三信息安全技术有限公司 一种攻击检测方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102014386B (zh) * 2010-10-15 2012-05-09 西安西电捷通无线网络通信股份有限公司 一种基于对称密码算法的实体鉴别方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6832314B1 (en) * 1999-12-15 2004-12-14 Ericsson, Inc. Methods and apparatus for selective encryption and decryption of point to multi-point messages
CN101651582A (zh) * 2009-09-24 2010-02-17 中兴通讯股份有限公司 检测多协议标签交换网络链路连通性的方法及系统
WO2012123394A1 (en) * 2011-03-11 2012-09-20 Kreft Heinz Off-line transfer of electronic tokens between peer-devices
CN104079421A (zh) * 2013-03-27 2014-10-01 中国移动通信集团北京有限公司 一种域名系统防护的方法和系统
CN109246053A (zh) * 2017-05-26 2019-01-18 阿里巴巴集团控股有限公司 一种数据通信方法、装置、设备和存储介质
CN107547559A (zh) * 2017-09-20 2018-01-05 新华三信息安全技术有限公司 一种报文处理方法及装置
CN110417748A (zh) * 2019-07-08 2019-11-05 新华三信息安全技术有限公司 一种攻击检测方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
W. Ottaway ; QinetiQ ; A. Melnikov等.Domain-based signing and encryption using S/MIME draft-melnikov-smime-msa-to-mda-04.《IETF 》.2014, *
交通自动站报文质量评估系统设计与实现;陈鹏等;《气象水文海洋仪器》;20170915(第03期);全文 *

Also Published As

Publication number Publication date
CN110868715A (zh) 2020-03-06

Similar Documents

Publication Publication Date Title
US20200106775A1 (en) Method, device, system for authenticating an accessing terminal by server, server and computer readable storage medium
US20180219688A1 (en) Information Transmission Method and Mobile Device
JP5827692B2 (ja) バインドされたデータカード及び移動ホストの認証方法、装置及びシステム
CN104660589A (zh) 一种对信息进行加密控制、解析信息的方法、系统和终端
CN101860540A (zh) 一种识别网站服务合法性的方法及装置
CN111107063B (zh) 一种登录方法及装置
CN109729000B (zh) 一种即时通信方法及装置
EP3113501A1 (en) Content protection
CN114450990A (zh) 经由非接触式卡为安全消息提供凭证的多因素认证
CN107392001B (zh) 一种授权方法、系统及卡片
AU2022291428A1 (en) A Process and Detachable Device for Using and Managing Encryption Keys
EP4037250A1 (en) Message transmitting system with hardware security module
CN105812395B (zh) 一种nfc动态令牌以及在nfc动态令牌中烧写种子密钥的方法
CN110868715B (zh) 安全保护方法、装置、系统、电子设备及存储介质
CN111934862B (zh) 服务器访问方法、装置、可读介质及电子设备
US9129283B1 (en) Accessing confidential data securely using a trusted network of mobile devices
EP3809660A1 (en) Method for operating a medical system, medical system, and security module
KR101630462B1 (ko) 키보드 보안 장치 및 방법
WO2014173233A1 (zh) 一种信息处理方法及解密装置
CN115915131B (zh) 车辆钥匙双向加密认证方法、系统、车辆绑定装置及nfc卡
US12021975B2 (en) Authentication system for a multiuser device
CN114070571B (zh) 一种建立连接的方法、装置、终端及存储介质
CN109218009B (zh) 一种提高设备id安全性的方法、客户端和服务器
EP2650816B1 (en) User authentication
CN114338113A (zh) 一种数据加密、解密方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant