CN114363083B - 智能网关的安全防范方法、装置、设备 - Google Patents
智能网关的安全防范方法、装置、设备 Download PDFInfo
- Publication number
- CN114363083B CN114363083B CN202210036842.7A CN202210036842A CN114363083B CN 114363083 B CN114363083 B CN 114363083B CN 202210036842 A CN202210036842 A CN 202210036842A CN 114363083 B CN114363083 B CN 114363083B
- Authority
- CN
- China
- Prior art keywords
- plug
- data message
- security
- message
- intelligent gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000006854 communication Effects 0.000 claims abstract description 35
- 238000001514 detection method Methods 0.000 claims description 150
- 238000004891 communication Methods 0.000 claims description 28
- 238000004590 computer program Methods 0.000 claims description 15
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 6
- 230000001133 acceleration Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供的一种智能网关的安全防范方法、装置、设备,涉及信息安全技术,包括:获取插件的数据报文;根据预设的插件信息表确定数据报文是否为安全报文;若是安全报文,则向插件的业务服务器发送数据报文;若不是安全报文,则丢弃数据报文,并删除插件;若未检测出结果,则向预设的安全服务器发送数据报文,安全服务器用于将数据报文转发到插件的业务服务器。本公开提供的方案,可以在智能网关中使用预设的插件信息表检测插件的数据报文的安全性,若使用插件信息表未检测出结果,还可以将数据报文发送给安全服务器,利用安全服务器的安全防范能力,发送数据报文。提升了智能网关的信息安全级别,可以解决智能网关通信过程中的安全问题。
Description
技术领域
本公开涉及信息安全技术,尤其涉及一种智能网关的安全防范方法、装置、设备。
背景技术
现阶段,电信运营商部署了千万级家庭用智能网关,智能网关中安装了几个甚至十几个业务插件,这些业务插件实时地连接网络侧的业务平台进行心跳或数据通信。目前,电信运营商部署的智能网关还未对业务插件的心跳数据包进行统一的要求和管理,所有的业务插件都是使用互联网通道发送,因此网上存在多次通过攻击暴露端口入侵智能网关的案例存在。比如,当部分业务平台的安全级别较低或使用非加密通信,部分黑客会通过在网络侧修改域名系统(Domain Name System,DNS)数据伪造业务平台,从而实现远端攻击或控制智能网关。
现有技术中,部分硬件厂商尝试通过在智能网关的硬件芯片中增加配置更改的加解密密码,来防范智能网关被攻破后的恶意配置更改。
但是,这种方式只能解决智能网关被攻破后的问题,却无法解决智能网关通信过程中的安全问题。
发明内容
本公开提供了一种智能网关的安全防范方法、装置、设备,以解决现有技术中只能解决智能网关被攻破后的问题,无法解决智能网关通信过程中的安全问题的问题。
根据本公开第一方面,提供了一种智能网关的安全防范方法,应用于智能网关,所述智能网关中设置有多个插件,所述方法包括:
获取所述插件的数据报文;
根据预设的插件信息表确定所述数据报文是否为安全报文;所述插件信息表中包括多个插件的目标地址信息,以及所述目标地址信息的安全信息;
若是安全报文,则向所述插件的业务服务器发送所述数据报文;
若不是安全报文,则丢弃所述数据报文,并删除所述插件;
若未检测出结果,则向预设的安全服务器发送所述数据报文,所述安全服务器用于将所述数据报文转发到所述插件的业务服务器。
根据本公开第二方面,提供了一种智能网关的安全防范方法,应用于安全服务器,所述方法包括:
接收智能网关发送的数据报文;
将所述数据报文发送到插件的业务服务器;其中,所述智能网关中设置有多个插件;
并对所述数据报文进行安全检测,得到检测结果;所述检测结果包括通过、不通过;
若检测通过,则向所述智能网关发送检测通过的检测结果;所述检测通过用于表征所述数据报文是安全报文;并继续发送未发出的所述数据报文;
若检测不通过,则向所述智能网关发送检测不通过的检测结果;所述检测不通过用于表征所述数据报文不是安全报文;并丢弃未发出的所述数据报文。
根据本公开第三方面,提供了一种智能网关的安全防范装置,应用于智能网关,所述智能网关中设置有多个插件,所述装置包括:
获取单元,用于获取所述插件的数据报文;
检测单元,用于根据预设的插件信息表确定所述数据报文是否为安全报文;所述插件信息表中包括多个插件的目标地址信息,以及所述目标地址信息的安全信息;
处理单元,用于若是安全报文,则向所述插件的业务服务器发送所述数据报文;
处理单元,还用于若不是安全报文,则丢弃所述数据报文,并删除所述插件;
处理单元,还用于若未检测出结果,则向预设的安全服务器发送所述数据报文,所述安全服务器用于将所述数据报文转发到所述插件的业务服务器。
根据本公开第四方面,提供了一种智能网关的安全防范装置,应用于安全服务器,所述装置包括:
接收单元,用于接收智能网关发送的数据报文;
发送单元,用于将所述数据报文发送到插件的业务服务器;其中,所述智能网关中设置有多个插件;
检测单元,用于并对所述数据报文进行安全检测,得到检测结果;所述检测结果包括通过、不通过;
处理单元,用于若检测通过,则向所述智能网关发送检测通过的检测结果;所述检测通过用于表征所述数据报文是安全报文;并继续发送未发出的所述数据报文;
处理单元,还用于若检测不通过,则向所述智能网关发送检测不通过的检测结果;所述检测不通过用于表征所述数据报文不是安全报文;并丢弃未发出的所述数据报文。
根据本公开第五方面,提供了一种电子设备,包括存储器和处理器;其中,所述存储器,用于存储计算机程序;所述处理器,用于读取所述存储器存储的计算机程序,并根据所述存储器中的计算机程序执行如第一方面、第二方面所述的方法。
根据本公开第六方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如第一方面、第二方面所述的方法。
根据本公开第七方面,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时,实现如第一方面、第二方面所述的方法。
根据本公开第八方面,提供了一种智能网关的安全防范系统,包括智能网关、安全服务器;所述智能网关用于执行如第一方面所述的智能网关的安全防范方法,所述安全服务器用于执行如第二方面所述的智能网关的安全防范方法。
本公开提供的智能网关的安全防范方法、装置、设备,包括:获取插件的数据报文;根据预设的插件信息表确定数据报文是否为安全报文;插件信息表中包括多个插件的目标地址信息,以及目标地址信息的安全信息;若是安全报文,则向插件的业务服务器发送数据报文;若不是安全报文,则丢弃数据报文,并删除插件;若未检测出结果,则向预设的安全服务器发送数据报文,安全服务器用于将数据报文转发到插件的业务服务器。本公开提供的方案,可以在智能网关中使用预设的插件信息表检测插件的数据报文的安全性,若使用插件信息表未检测出结果,还可以将数据报文发送给安全服务器,利用安全服务器的安全防范能力,发送数据报文。本公开提供的方案,提升了智能网关的信息安全级别,可以解决智能网关通信过程中的安全问题。
附图说明
图1为本公开一示例性实施例示出的智能网关的安全防范方法的流程示意图;
图2为本公开另一示例性实施例示出的智能网关的安全防范方法的流程示意图;
图3为本公开又一示例性实施例示出的智能网关的安全防范方法的流程示意图;
图4为本公开再一示例性实施例示出的智能网关的安全防范方法的流程示意图;
图5为本公开一示例性实施例示出的智能网关的安全防范装置的结构图;
图6为本公开另一示例性实施例示出的智能网关的安全防范装置的结构图;
图7为本公开一示例性实施例示出的电子设备的结构图。
具体实施方式
现阶段,电信运营商部署了千万级家庭用智能网关,智能网关中安装了几个甚至十几个业务插件,这些业务插件实时地连接网络侧的业务平台进行心跳或数据通信。目前,电信运营商部署的智能网关还未对业务插件的心跳数据包进行统一的要求和管理,所有的业务插件都是使用互联网通道发送,因此网上存在多次通过攻击暴露端口入侵智能网关的案例存在。比如,当部分业务平台的安全级别较低或使用非加密通信,部分黑客会通过在网络侧修改DNS数据伪造业务平台,从而实现远端攻击或控制智能网关。现有技术中,部分硬件厂商尝试通过在智能网关的硬件芯片中增加配置更改的加解密密码,来防范智能网关被攻破后的恶意配置更改。
但是,这种方式只能解决智能网关被攻破后的问题,却无法解决智能网关通信过程中的安全问题。
为了解决上述技术问题,本公开提供的方案中包括一种智能网关的安全防范方法,可以在智能网关中使用预设的插件信息表检测插件的数据报文的安全性,若使用插件信息表未检测出结果,还可以将数据报文发送给安全服务器,利用安全服务器的安全防范能力,发送数据报文。本公开提供的方案,提升了智能网关的信息安全级别,可以解决智能网关通信过程中的安全问题。
图1为本公开一示例性实施例示出的智能网关的安全防范方法的流程示意图。本实施例提供的智能网关的安全防范方法可以应用于智能网关,智能网关中设置有多个插件。
如图1所示,本实施例提供的智能网关的安全防范方法包括:
步骤101,获取插件的数据报文。
其中,本公开提供的方法可以由智能网关来执行。
该智能网关能够获取插件的数据报文。
其中,智能网关可以为电信运营商部署的家庭用智能网关。智能网关中可以安装几个甚至十几个业务插件,这些业务插件可以实时地连接业务服务器进行心跳或数据通信。比如,若一个插件为搜索引擎,则此插件可以实时地连接该搜索引擎服务器进行心跳或数据通信。
其中,数据报文可以为心跳数据报文或者数据通信数据报文。
步骤102,根据预设的插件信息表确定数据报文是否为安全报文;插件信息表中包括多个插件的目标地址信息,以及目标地址信息的安全信息。
其中,插件信息表可以为预先设置的表。插件信息表中可以包括插件连接的业务服务器的信息,具体可以包括各插件的目的地址,以及各目的地址的安全性信息。
可选的,如表1所示为插件信息表。其中,插件信息表中可以包括插件名称、广域网(Wide Area Network,WAN)连接名称、端口、目的网际互连协议(Internet Protocol,IP)、最近数据报文发送时间、安全信息。其中,插件名称中记录了插件的名称,比如插件名称可以为定向加速;WAN连接名称,为插件与对应的业务服务器的广域网连接名称,可以包括互联网传输的因特网(Internet)、语音传输的pxpn、电视传输的iptv;端口为插件对应的端口;目的IP为插件连接的业务服务器的地址;最近数据报文发送时间为记录的最近的数据报文的发送时间;安全信息可以是根据安全服务器发送的检测结果修改的,其中,安全信息包括通过、不通过、没有检测信息;通过可以表征该条安全信息对应的插件的数据报文为安全报文;不通过可以表征该条安全信息对应的插件的数据报文不是安全报文。
表1
具体的,当插件安装时,或者插件接收到插件的业务服务器发送的目的IP修改的命令后,插件可以向智能网关中安装的操作系统发送业务平台信息申请表。操作系统获取到业务平台信息申请表之后,可以把业务平台信息申请表中的内容覆盖保存到插件信息表中。
其中,业务平台信息申请表中包括了插件连接的业务服务器信息。可选的,如表2所示为业务平台信息申请表。业务平台信息申请表可以包括插件名称、WAN连接名称、端口、目的IP、启动时间。其中,插件名称中记录了插件的名称,比如插件名称可以为定向加速;WAN连接名称,为插件与对应的业务服务器的广域网连接名称,可以包括互联网传输的因特网(Internet)、语音传输的pxpn、电视传输的iptv;端口为插件对应的端口;目的IP为插件连接的业务服务器的地址;启动时间为数据报文发送时间。
表2
进一步的,当插件安装时,或者插件接收到插件的业务服务器发送的目的IP修改的命令后,插件发送的第一个数据报文,可以根据预设的插件信息表确定是否为安全报文。其中,数据报文中包括目的IP。可以根据数据报文中的目的IP,查询插件信息表中该目的IP对应的安全信息。若该目的IP对应的安全信息为通过,则可以确定该数据报文为安全报文;若该目的IP对应的安全信息为不通过,则可以确定该数据报文不是安全报文;若该目的IP没有对应的安全信息,则可以确定未检测出结果。
步骤103A,若是安全报文,则向插件的业务服务器发送数据报文。
具体的,若数据报文确定为安全报文,则可以向插件的业务服务器发送该数据报文。
可选的,智能网关中的操作系统可以根据插件的数据报文中的目的IP,在插件信息表中查询该目的IP对应的WAN连接名称中的内容,比如可以为Internet。那么,操作系统可以为插件与目的IP之间配置Internet的通信通道。插件可以通过该通信通道发送数据报文至目的IP。其中,目的IP为插件的业务服务器的地址。
步骤103B,若不是安全报文,则丢弃数据报文,并删除插件。
具体的,若插件的数据报文确定不是安全报文,则智能网关将丢弃该数据报文,并删除该插件。
步骤103C,若未检测出结果,则向预设的安全服务器发送数据报文,安全服务器用于将数据报文转发到插件的业务服务器。
其中,安全服务器可以为预先设置的。
具体的,智能网关对插件的数据报文未检测出结果,则智能网关可以向安全服务器发送该数据报文。安全服务器接收到该数据报文后,可以将该数据报文转发到该数据报文中的目的IP,目的IP即插件的业务服务器地址。
进一步的,安全服务器中可以设置智能网关管理平台和安全检测平台。其中,网管管理平台可以管理智能网关中的软件升级、插件下载等;安全检测平台可以为接收到的智能网关发送来的数据报文进行安全检测,并将检测结果发送给智能网关。
安全服务器可以将检测结果发送给智能网关。智能网关可以接收安全服务器发送的检测结果,并根据检测结果修改插件信息表,并根据检测结果对插件的其他数据报文进行处理,其中,其他数据报文为未发出的数据报文。
本公开提供的智能网关的安全防范方法,包括:获取插件的数据报文;根据预设的插件信息表确定数据报文是否为安全报文;插件信息表中包括多个插件的目标地址信息,以及目标地址信息的安全信息;若是安全报文,则向插件的业务服务器发送数据报文;若不是安全报文,则丢弃数据报文,并删除插件;若未检测出结果,则向预设的安全服务器发送数据报文,安全服务器用于将数据报文转发到插件的业务服务器。本公开提供的方案,可以在智能网关中使用预设的插件信息表检测插件的数据报文的安全性,若使用插件信息表未检测出结果,还可以将数据报文发送给安全服务器,利用安全服务器的安全防范能力,发送数据报文。本公开提供的方案,提升了智能网关的信息安全级别,可以解决智能网关通信过程中的安全问题。
图2为本公开另一示例性实施例示出的智能网关的安全防范方法的流程示意图。本实施例提供的智能网关的安全防范方法可以应用于智能网关,智能网关中设置有多个插件。
如图2所示,本实施例提供的智能网关的安全防范方法包括:
步骤201,获取插件的数据报文。
具体的,步骤201与步骤101的原理、实现方式类似,不再赘述。
步骤202,获取插件的业务平台信息申请表;业务平台信息申请表中包括插件的目标地址信息;将业务平台信息申请表中信息存储到插件信息表中。
其中,业务平台信息申请表中包括了插件连接的业务服务器信息。比如,业务平台信息申请表可以包括插件名称、WAN连接名称、端口、目的IP、启动时间。其中,插件名称中记录了插件的名称,比如插件名称可以为定向加速;WAN连接名称,为插件与对应的业务服务器的广域网连接名称,可以包括互联网传输的因特网(Internet)、语音传输的pxpn、电视传输的iptv;端口为插件对应的端口;目的IP为插件连接的业务服务器的地址,即插件的目标地址信息;启动时间为数据报文发送时间。
具体的,当插件安装时,或者插件接收到插件的业务服务器发送的目的IP修改的命令后,插件可以向智能网关中安装的操作系统发送业务平台信息申请表。
其中,插件信息表可以为预设的表。其中,插件信息表中可以包括插件名称、广域网(Wide Area Network,WAN)连接名称、端口、目的网际互连协议(Internet Protocol,IP)、最近数据报文发送时间、安全信息。其中,插件名称中记录了插件的名称,比如插件名称可以为定向加速;WAN连接名称,为插件与对应的业务服务器的广域网连接名称,可以包括互联网传输的因特网(Internet)、语音传输的pxpn、电视传输的iptv;端口为插件对应的端口;目的IP为插件连接的业务服务器的地址;最近数据报文发送时间为记录的最近的数据报文的发送时间;安全信息可以是根据安全服务器发送的检测结果修改的,其中,安全信息包括通过、不通过、没有检测信息;通过可以表征该条安全信息对应的插件的数据报文为安全报文;不通过可以表征该条安全信息对应的插件的数据报文不是安全报文。
步骤203A,若在插件信息表中,数据报文中包括的目标地址信息对应的安全信息为通过,则确定数据报文是安全报文;插件信息表中包括多个插件的目标地址信息,以及目标地址信息的安全信息;数据报文中包括目标地址信息;安全信息包括通过、不通过、没有检测信息。
步骤203A之后执行步骤204A。
具体的,可以根据数据报文中包括的目标地址信息,即目的IP,查询插件信息表。若在插件信息表中,数据报文中包括的目标地址信息对应的安全信息为通过,则可以确定数据报文是安全报文。
具体的,安全信息可以是根据安全服务器发送的检测结果进行修改的,其中,安全信息包括通过、不通过、没有检测信息;通过可以表征该条安全信息对应的插件的数据报文为安全报文;不通过可以表征该条安全信息对应的插件的数据报文不是安全报文。
步骤203B,若在插件信息表中,数据报文中包括的目标地址信息对应的安全信息为不通过,则确定数据报文不是安全报文。
步骤203B之后执行步骤204B。
具体的,可以根据数据报文中包括的目标地址信息,即目的IP,查询插件信息表。若在插件信息表中,数据报文中包括的目标地址信息对应的安全信息为不通过,则可以确定数据报文不是安全报文。
步骤203C,若在插件信息表,没有数据报文中包括的目标地址信息的检测信息,则确定未检测出结果。
步骤203C之后执行步骤204C。
具体的,可以根据数据报文中包括的目标地址信息,即目的IP,查询插件信息表。若在插件信息表中,数据报文中包括的目标地址信息没有检测信息,则可以确定数据报文未检测出结果。
步骤204A,若是安全报文,则建立与数据报文对应的目标地址之间的通信通道;通过通信通道将数据报文发送至目标地址,目标地址是业务服务器的地址。
具体的,若插件的数据报文确定是安全报文,则智能网关在发送数据报文之前,会先建立与数据报文对应的目标地址之间的通信通道,具体的,目标地址为插件的业务服务器的地址。
可选的,插件信息表中包括与插件对应的广域网连接名称;根据与插件对应的广域网连接名称建立与数据报文对应的目标地址之间的通信通道。
具体的,可以根据数据报文中包括的目标地址信息,查询插件信息表,得到与目标地址信息对应的WAN连接名称的内容,并根据该内容建立与数据报文对应的目标地址之间的通信通道。
具体的,智能网关,可以根据该通信通道将数据报文发送至目标地址。
步骤204B,若不是安全报文,则丢弃数据报文,并删除插件。
具体的,步骤204B与步骤103B的原理、实现方式类似,不再赘述。
步骤204C,若未检测出结果,建立与安全服务器的地址之间的虚拟通道;通过虚拟通道将数据报文发送至安全服务器的地址。安全服务器用于将数据报文转发到插件的业务服务器。
其中,安全服务器可以为预先设置的。
具体的,智能网关对插件的数据报文未检测出结果,则智能网关可以向安全服务器发送该数据报文。安全服务器接收到该数据报文后,可以将该数据报文转发到该数据报文中的目的IP,目的IP即插件的业务服务器地址。
具体的,智能网关在向安全服务器发送数据报文之前,可以先建立与安全服务器之间的虚拟通道。其中,虚拟通道比如可以为虚拟专用网络(Virtual Private Network,VPN)。其中,VPN的功能是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
步骤205,接收安全服务器发送的对数据报文的检测结果。
具体的,智能网关向安全服务器发送数据报文之后,安全服务器可以检测数据报文的安全性,并将检测结果发送给智能网关。智能网关可以接收此检测结果。
其中,检测结果可以包括通过、不通过。通过表征该数据报文为安全报文;不通过表征该数据报文不是安全报文。
步骤206,根据检测结果,对插件的其他数据报文进行处理、并修改插件信息表;其中,其他数据报文是未发送的数据报文。
具体的,智能网关可以将检测结果补充到插件信息表中。可选的,智能网关可以根据检测结果对应的数据报文,得到数据报文中包括的目的IP,并查询插件信息表,将检测结果补充到目的IP对应的安全信息一栏中。
可选的,检测结果包括通过、不通过;若检测结果为不通过,则丢弃插件的其他数据报文,并删除插件;
具体的,若检测结果为不通过,则表征插件的数据报文不是安全报文,则智能网关可以丢弃未发出的数据报文,并删除插件。
若检测结果为通过,则向插件的业务服务器发送其他数据报文。
具体的,若检测结果为通过,则表征插件的数据报文是安全报文,则智能网关可以先根据插件信息表中该插件对应的WAN连接名称,建立与插件的业务服务器的地址之间的通信通道,并利用该通信通道,向插件的业务服务器发送未发出的数据报文。
可选的,若检测结果为通过,再次获取插件的业务平台信息申请表,则再次获取插件的数据报文时,继续执行根据预设的插件信息表确定数据报文是否为安全报文的步骤。
具体的,若检测结果为通过,插件接收到业务服务器发送的目的IP修改的命令后,可以再次发送新的业务平台信息申请表,给智能网关中的操作系统。智能网关中的操作系统再次获取到业务平台信息申请表后,再次获取插件的数据报文时,可以继续执行根据预设的插件信息表确定数据报文是否为安全报文的步骤。
图3为本公开又一示例性实施例示出的智能网关的安全防范方法的流程示意图。本实施例提供的智能网关的安全防范方法可以应用于安全服务器。
如图3所示,本实施例提供的智能网关的安全防范方法包括:
步骤301,接收智能网关发送的数据报文。
具体的,安全服务器可以通过虚拟通道,接收智能网关发送的数据报文。
步骤302,将数据报文发送到插件的业务服务器;其中,智能网关中设置有多个插件。
具体的,安全服务器可以根据数据报文中包括的目的IP,将数据报文发送至目的IP。其中,目的IP为插件的业务服务器的地址。其中,插件为智能网关中设置的插件,智能网关中可以设置多个插件。
具体的,安全服务器可以使用标准的HTTP连接到业务服务器,并发送数据报文。
步骤303,并对数据报文进行安全检测,得到检测结果;检测结果包括通过、不通过。
具体的,安全服务器中可以设置智能网关管理平台和安全检测平台。其中,网管管理平台可以管理智能网关中的软件升级、插件下载等;安全检测平台可以为接收到的智能网关发送来的数据报文进行安全检测,并将检测结果发送给智能网关。
具体的,可以根据数据报文中的目的IP,对数据报文进行安全检测。
步骤304,若检测通过,则向智能网关发送检测通过的检测结果;检测通过用于表征数据报文是安全报文;并继续发送未发出的数据报文。
具体的,安全检测结果可以包括通过、不通过。通过表示数据报文为安全报文。安全服务器可以将检测通过的检测结果发送给智能网关。并继续发送未发出的数据报文至插件的业务服务器。
步骤305,若检测不通过,则向智能网关发送检测不通过的检测结果;检测不通过用于表征数据报文不是安全报文;并丢弃未发出的数据报文。
具体的,安全检测结果可以包括通过、不通过。不通过表示数据报文不是安全报文。安全服务器可以将检测不通过的检测结果发送给智能网关。并丢弃未发出的数据报文。
图4为本公开再一示例性实施例示出的智能网关的安全防范方法的流程示意图。本实施例提供的智能网关的安全防范方法可以应用于安全服务器。
如图4所示,本实施例提供的智能网关的安全防范方法包括:
步骤401,接收智能网关发送的数据报文。
具体的,步骤401与步骤301的原理、实现方式类似,不再赘述。
步骤402,将数据报文发送到插件的业务服务器;其中,智能网关中设置有多个插件。
具体的,步骤402与步骤302的原理、实现方式类似,不再赘述。
步骤403,数据报文中包括目标地址信息;根据目标地址信息,对数据报文进行安全检测,得到检测结果;检测结果包括通过、不通过。
具体的,比如可以利用白名单、黑名单、大数据等方法对目标地址信息进行安全检测,得到检测结果。其中,白名单中包括了安全的地址信息;黑名单中包括了不安全的地址信息。若要检测的目标地址信息在白名单中,则确定数据报文为安全报文,检测结果为通过。若要检测的目标地址信息在黑名单中,则确定数据报文不是安全报文,检测结果为不通过。
其中,大数据方式可以为根据目标地址信息对应的浏览信息等对目标地址信息的安全性进行判断。
步骤404,若检测通过,则向智能网关发送检测通过的检测结果;检测通过用于表征数据报文是安全报文;并继续发送未发出的数据报文。
具体的,步骤404与步骤304的原理、实现方式类似,不再赘述。
步骤405,若检测不通过,则向智能网关发送检测不通过的检测结果;检测不通过用于表征数据报文不是安全报文;并丢弃未发出的数据报文。
具体的,步骤405与步骤305的原理、实现方式类似,不再赘述。
图5为本公开一示例性实施例示出的智能网关的安全防范装置的结构图。本实施例提供的智能网关的安全防范装置可以应用于智能网关,智能网关中设置有多个插件。
如图5所示,本申请提供的智能网关的安全防范装置500,包括:
获取单元510,用于获取插件的数据报文;
检测单元520,用于根据预设的插件信息表确定数据报文是否为安全报文;插件信息表中包括多个插件的目标地址信息,以及目标地址信息的安全信息;
处理单元530,用于若是安全报文,则向插件的业务服务器发送数据报文;
处理单元530,还用于若不是安全报文,则丢弃数据报文,并删除插件;
处理单元530,还用于若未检测出结果,则向预设的安全服务器发送数据报文,安全服务器用于将数据报文转发到插件的业务服务器。
获取单元510,还用于在根据预设的插件信息表确定数据报文是否为安全报文之前,获取插件的业务平台信息申请表;业务平台信息申请表中包括插件的目标地址信息;将业务平台信息申请表中信息存储到插件信息表中。
数据报文中包括目标地址信息;安全信息包括通过、不通过、没有检测信息;检测单元520,具体用于:
若在插件信息表中,数据报文中包括的目标地址信息对应的安全信息为通过,则确定数据报文是安全报文;
若在插件信息表中,数据报文中包括的目标地址信息对应的安全信息为不通过,则确定数据报文不是安全报文;
若在插件信息表,没有数据报文中包括的目标地址信息的检测信息,则确定未检测出结果。
处理单元530,包括:
通信通道建立模块531,用于建立与数据报文对应的目标地址之间的通信通道;
报文发送模块532,用于通过通信通道将数据报文发送至目标地址,目标地址是业务服务器的地址。
插件信息表中包括与插件对应的广域网连接名称;通信通道建立模块531,具体用于根据与插件对应的广域网连接名称建立与数据报文对应的目标地址之间的通信通道。
通信通道建立模块531,还用于建立与安全服务器的地址之间的虚拟通道;
报文发送模块532,还用于通过虚拟通道将数据报文发送至安全服务器的地址。
若向预设的安全服务器发送数据报文,则智能网关的安全防范装置500,还包括接收单元540,用于接收安全服务器发送的对数据报文的检测结果;
处理单元530,还用于根据检测结果,对插件的其他数据报文进行处理、并修改插件信息表;其中,其他数据报文是未发送的数据报文。
检测结果包括通过、不通过;处理单元530,具体用于若检测结果为不通过,则丢弃插件的其他数据报文,并删除插件;若检测结果为通过,则向插件的业务服务器发送其他数据报文。
若检测结果为通过,再次获取插件的业务平台信息申请表,则获取单元510用于再次获取插件的数据报文时,则检测单元520用于继续执行根据预设的插件信息表确定数据报文是否为安全报文的步骤。
图6为本公开另一示例性实施例示出的智能网关的安全防范装置的结构图。本实施例提供的智能网关的安全防范装置可以应用于安全服务器。
如图6所示,本申请提供的智能网关的安全防范装置600,包括:
接收单元610,用于接收智能网关发送的数据报文;
发送单元620,用于将数据报文发送到插件的业务服务器;其中,智能网关中设置有多个插件;
检测单元630,用于并对数据报文进行安全检测,得到检测结果;检测结果包括通过、不通过;
处理单元640,用于若检测通过,则向智能网关发送检测通过的检测结果;检测通过用于表征数据报文是安全报文;并继续发送未发出的数据报文;
处理单元640,还用于若检测不通过,则向智能网关发送检测不通过的检测结果;检测不通过用于表征数据报文不是安全报文;并丢弃未发出的数据报文。
数据报文中包括目标地址信息;检测单元630具体用于,根据目标地址信息,对数据报文进行安全检测,得到检测结果。
图7为本公开一示例性实施例示出的电子设备的结构图。
如图7所示,本实施例提供的电子设备有智能网关和安全服务器,包括:
存储器701;
处理器702;以及
计算机程序;
其中,计算机程序存储在存储器701中,并配置为由处理器702执行以实现如上的任一种智能网关的安全防范方法。
本实施例还提供一种计算机可读存储介质,其上存储有计算机程序,
计算机程序被处理器执行以实现如上的任一种智能网关的安全防范方法。
本实施例还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时,实现上述任一种智能网关的安全防范方法。
一种智能网关的安全防范系统,包括智能网关、安全服务器;智能网关用于执行如图1、图2的任一种方法,安全服务器用于执行如图3、图4的任一种方法。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (15)
1.一种智能网关的安全防范方法,其特征在于,应用于智能网关,所述智能网关中设置有多个插件,所述方法包括:
获取所述插件的数据报文;
根据预设的插件信息表确定所述数据报文是否为安全报文;所述插件信息表中包括多个插件的目标地址信息,以及所述目标地址信息的安全信息;
若是安全报文,则向所述插件的业务服务器发送所述数据报文;
若不是安全报文,则丢弃所述数据报文,并删除所述插件;
若未检测出结果,则向预设的安全服务器发送所述数据报文,所述安全服务器用于将所述数据报文转发到所述插件的业务服务器;
所述数据报文中包括目标地址信息;所述安全信息包括通过、不通过、没有检测信息;
所述根据预设的插件信息表确定所述数据报文是否为安全报文,包括:
若在所述插件信息表中,所述数据报文中包括的目标地址信息对应的安全信息为通过,则确定所述数据报文是安全报文;
若在所述插件信息表中,所述数据报文中包括的目标地址信息对应的安全信息为不通过,则确定所述数据报文不是安全报文;
若在所述插件信息表,没有所述数据报文中包括的目标地址信息的检测信息,则确定未检测出结果。
2.根据权利要求1所述的方法,其特征在于,所述根据预设的插件信息表确定所述数据报文是否为安全报文之前,还包括:
获取所述插件的业务平台信息申请表;所述业务平台信息申请表中包括所述插件的目标地址信息;
将所述业务平台信息申请表中信息存储到所述插件信息表中。
3.根据权利要求1所述的方法,其特征在于,所述向所述插件的业务服务器发送所述数据报文,包括:
建立与数据报文对应的目标地址之间的通信通道;
通过所述通信通道将所述数据报文发送至所述目标地址,所述目标地址是所述业务服务器的地址。
4.根据权利要求3所述的方法,其特征在于,所述插件信息表中包括与插件对应的广域网连接名称;
所述建立与数据报文对应的目标地址之间的通信通道,包括:
根据与所述插件对应的广域网连接名称建立与数据报文对应的目标地址之间的通信通道。
5.根据权利要求1所述的方法,其特征在于,所述向预设的安全服务器发送所述数据报文,包括:
建立与所述安全服务器的地址之间的虚拟通道;
通过所述虚拟通道将所述数据报文发送至所述安全服务器的地址。
6.根据权利要求1所述的方法,其特征在于,若向预设的安全服务器发送所述数据报文,则所述方法还包括:
接收所述安全服务器发送的对所述数据报文的检测结果;
根据所述检测结果,对所述插件的其他数据报文进行处理、并修改所述插件信息表;其中,所述其他数据报文是未发送的数据报文。
7.根据权利要求6所述的方法,其特征在于,所述检测结果包括通过、不通过;
所述根据所述检测结果,对所述插件的其他数据报文进行处理,包括:
若检测结果为不通过,则丢弃所述插件的其他数据报文,并删除所述插件;
若检测结果为通过,则向所述插件的业务服务器发送所述其他数据报文。
8.根据权利要求7所述的方法,其特征在于,若所述检测结果为通过,再次获取所述插件的业务平台信息申请表,则再次获取所述插件的数据报文时,继续执行所述根据预设的插件信息表确定所述数据报文是否为安全报文的步骤。
9.一种智能网关的安全防范方法,其特征在于,应用于安全服务器,所述安全服务器用于权利要求1-8任一项所述的智能网关的安全防范方法,所述方法包括:
接收智能网关发送的数据报文;
将所述数据报文发送到插件的业务服务器;其中,所述智能网关中设置有多个插件;
并对所述数据报文进行安全检测,得到检测结果;所述检测结果包括通过、不通过;
若检测通过,则向所述智能网关发送检测通过的检测结果;所述检测通过用于表征所述数据报文是安全报文;并继续发送未发出的所述数据报文;
若检测不通过,则向所述智能网关发送检测不通过的检测结果;所述检测不通过用于表征所述数据报文不是安全报文;并丢弃未发出的所述数据报文。
10.根据权利要求9所述的方法,其特征在于,所述数据报文中包括目标地址信息;
所述对所述数据报文进行安全检测,得到检测结果,包括:
根据所述目标地址信息,对所述数据报文进行安全检测,得到检测结果。
11.一种智能网关的安全防范装置,其特征在于,应用于智能网关,所述智能网关中设置有多个插件,所述装置包括:
获取单元,用于获取所述插件的数据报文;
检测单元,用于根据预设的插件信息表确定所述数据报文是否为安全报文;所述插件信息表中包括多个插件的目标地址信息,以及所述目标地址信息的安全信息;
处理单元,用于若是安全报文,则向所述插件的业务服务器发送所述数据报文;
处理单元,还用于若不是安全报文,则丢弃所述数据报文,并删除所述插件;
处理单元,还用于若未检测出结果,则向预设的安全服务器发送所述数据报文,所述安全服务器用于将所述数据报文转发到所述插件的业务服务器;
所述数据报文中包括目标地址信息;所述安全信息包括通过、不通过、没有检测信息;
所述检测单元,还用于若在所述插件信息表中,所述数据报文中包括的目标地址信息对应的安全信息为通过,则确定所述数据报文是安全报文;若在所述插件信息表中,所述数据报文中包括的目标地址信息对应的安全信息为不通过,则确定所述数据报文不是安全报文;若在所述插件信息表,没有所述数据报文中包括的目标地址信息的检测信息,则确定未检测出结果。
12.一种智能网关的安全防范装置,其特征在于,应用于安全服务器,所述安全服务器用于权利要求1-8任一项所述的智能网关的安全防范方法,所述装置包括:
接收单元,用于接收智能网关发送的数据报文;
发送单元,用于将所述数据报文发送到插件的业务服务器;其中,所述智能网关中设置有多个插件;
检测单元,用于并对所述数据报文进行安全检测,得到检测结果;所述检测结果包括通过、不通过;
处理单元,用于若检测通过,则向所述智能网关发送检测通过的检测结果;所述检测通过用于表征所述数据报文是安全报文;并继续发送未发出的所述数据报文;
处理单元,还用于若检测不通过,则向所述智能网关发送检测不通过的检测结果;所述检测不通过用于表征所述数据报文不是安全报文;并丢弃未发出的所述数据报文。
13.一种电子设备,其特征在于,包括存储器和处理器;其中,
所述存储器,用于存储计算机程序;
所述处理器,用于读取所述存储器存储的计算机程序,并根据所述存储器中的计算机程序执行上述权利要求1-8或9-10任一项所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现上述权利要求1-8或9-10任一项所述的方法。
15.一种智能网关的安全防范系统,其特征在于,包括智能网关、安全服务器;所述智能网关用于执行上述权利要求1-8任一项所述的方法,所述安全服务器用于执行上述权利要求9-10任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210036842.7A CN114363083B (zh) | 2022-01-13 | 2022-01-13 | 智能网关的安全防范方法、装置、设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210036842.7A CN114363083B (zh) | 2022-01-13 | 2022-01-13 | 智能网关的安全防范方法、装置、设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114363083A CN114363083A (zh) | 2022-04-15 |
| CN114363083B true CN114363083B (zh) | 2023-10-03 |
Family
ID=81108676
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210036842.7A Active CN114363083B (zh) | 2022-01-13 | 2022-01-13 | 智能网关的安全防范方法、装置、设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114363083B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120015035A (ko) * | 2010-08-11 | 2012-02-21 | 주식회사 케이티 | 범용 플러그 앤 플레이 네트워크 상의 서비스를 포트 포워딩을 이용하여 원격 디바이스에게 제공하기 위한 방법 및 시스템 |
| CN103609070A (zh) * | 2012-10-29 | 2014-02-26 | 华为技术有限公司 | 网络流量检测方法、系统、设备及控制器 |
| CN104283783A (zh) * | 2014-10-11 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种即插即用网络中网关设备转发报文的方法和装置 |
| CN112242996A (zh) * | 2020-09-28 | 2021-01-19 | 成都长虹网络科技有限责任公司 | 智能网关控制方法、装置和可读存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7346922B2 (en) * | 2003-07-25 | 2008-03-18 | Netclarity, Inc. | Proactive network security system to protect against hackers |
-
2022
- 2022-01-13 CN CN202210036842.7A patent/CN114363083B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120015035A (ko) * | 2010-08-11 | 2012-02-21 | 주식회사 케이티 | 범용 플러그 앤 플레이 네트워크 상의 서비스를 포트 포워딩을 이용하여 원격 디바이스에게 제공하기 위한 방법 및 시스템 |
| CN103609070A (zh) * | 2012-10-29 | 2014-02-26 | 华为技术有限公司 | 网络流量检测方法、系统、设备及控制器 |
| CN104283783A (zh) * | 2014-10-11 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种即插即用网络中网关设备转发报文的方法和装置 |
| CN112242996A (zh) * | 2020-09-28 | 2021-01-19 | 成都长虹网络科技有限责任公司 | 智能网关控制方法、装置和可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 智能网关技术及发展趋势;张德朝;李俊玮;胡新天;;电信网技术(07);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114363083A (zh) | 2022-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11722509B2 (en) | Malware detection for proxy server networks | |
| US11683401B2 (en) | Correlating packets in communications networks | |
| US11646996B2 (en) | Methods and systems for efficient encrypted SNI filtering for cybersecurity applications | |
| US20180048665A1 (en) | Techniques for detecting enterprise intrusions utilizing active tokens | |
| US11277384B2 (en) | Dynamic filter generation and distribution within computer networks | |
| US10992643B2 (en) | Port authentication control for access control and information security | |
| EP3442195B1 (en) | Reliable and secure parsing of packets | |
| EP1574009B1 (en) | Systems and apparatuses using identification data in network communication | |
| CN111526132A (zh) | 攻击转移方法、装置、设备及计算机可读存储介质 | |
| KR101281160B1 (ko) | 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 | |
| CN113872933B (zh) | 隐藏源站的方法、系统、装置、设备及存储介质 | |
| CN114390049A (zh) | 一种应用数据获取方法及装置 | |
| US9686311B2 (en) | Interdicting undesired service | |
| CN113489731A (zh) | 基于虚拟化网络的数据传输方法、系统和网络安全设备 | |
| CN112383559A (zh) | 地址解析协议攻击的防护方法及装置 | |
| CN114363083B (zh) | 智能网关的安全防范方法、装置、设备 | |
| CN110995763A (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
| US20220337546A1 (en) | Method and system for realizing network dynamics, terminal device and storage medium | |
| US10771391B2 (en) | Policy enforcement based on host value classification | |
| CN114465744A (zh) | 一种安全访问方法及网络防火墙系统 | |
| Sørensen et al. | Automatic profile-based firewall for iot devices | |
| CN110768983B (zh) | 一种报文处理方法和装置 | |
| CN114268499B (zh) | 数据传输方法、装置、系统、设备和存储介质 | |
| CN116015876B (zh) | 访问控制方法、装置、电子设备及存储介质 | |
| KR20100027829A (ko) | 가상 프록시 서버를 이용한 에스아이피 공격탐지 시스템 및방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |