CN114866327B - 主机安全扫描方法、装置、电子设备及系统 - Google Patents
主机安全扫描方法、装置、电子设备及系统 Download PDFInfo
- Publication number
- CN114866327B CN114866327B CN202210530402.7A CN202210530402A CN114866327B CN 114866327 B CN114866327 B CN 114866327B CN 202210530402 A CN202210530402 A CN 202210530402A CN 114866327 B CN114866327 B CN 114866327B
- Authority
- CN
- China
- Prior art keywords
- wireless cpe
- information
- host
- wireless
- cpe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 229920006235 chlorinated polyethylene elastomer Polymers 0.000 claims description 48
- 238000000136 cloud-point extraction Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- MWRWFPQBGSZWNV-UHFFFAOYSA-N Dinitrosopentamethylenetetramine Chemical compound C1N2CN(N=O)CN1CN(N=O)C2 MWRWFPQBGSZWNV-UHFFFAOYSA-N 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 229940112112 capex Drugs 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- FEBLZLNTKCEFIT-VSXGLTOVSA-N fluocinolone acetonide Chemical compound C1([C@@H](F)C2)=CC(=O)C=C[C@]1(C)[C@]1(F)[C@@H]2[C@@H]2C[C@H]3OC(C)(C)O[C@@]3(C(=O)CO)[C@@]2(C)C[C@@H]1O FEBLZLNTKCEFIT-VSXGLTOVSA-N 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种主机安全扫描方法、装置、电子设备及系统。该方法包括:当获取到任一待扫描主机发送的上电信息时,判断与待扫描主机连接的无线CPE是否合法,上电信息用于表示无线CPE已上电;若是,则基于无线CPE的设备信息,生成网络配置信息及转发表项,其中,设备信息包括无线CPE的带宽、IP地址、协议包;将网络配置信息及转发表项下发至无线CPE及虚拟路由器,使得无线CPE建立与虚拟路由器的加密传输隧道,并使得虚拟路由器的路由指向安全扫描引擎;控制安全扫描引擎基于网络配置信息及转发表项,对待扫描主机进行扫描。本申请的方法,简化了用户网络主机安全漏扫工作,便于主机安全扫描服务高效、便利地进行。
Description
技术领域
本申请涉及物联网通信技术,尤其涉及一种主机安全扫描方法、装置、电子设备及系统。
背景技术
安全扫描技术是一类重要的网络安全技术,其主要分为两类:主机安全扫描技术和网络安全扫描技术。其中,主机安全扫描技术是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。
现有的数据安全应用及服务,用户需要自行购买和部署。例如,公有云资源或数据中心应用接入,用户需要自行购买云服务提供商的云资源,通过互联网访问公有云或者应用。此外,为低成本实现安全服务应用访问以及安全通道私有化访问,则会选择采购安全服务并部署在本地,并进行对应的网络配置、链路配置等,以实现自动开通和自动认证上线功能。
对于上述方式,在进行部署时,网络配置、故障处理、链路配置等内容繁琐,需要企业自身具备较高素质的IT人员或支付高昂的费用来实现私有云的访问,不利于主机安全扫描服务高效、便利地进行。
发明内容
本申请提供一种主机安全扫描方法、装置、电子设备及系统,用以简化用户网络主机安全漏扫工作,一方面便于主机安全扫描服务高效、便利地进行,另一方面,有效降低了安全维护成本。
一方面,本申请提供一种主机安全扫描方法,应用于控制编排系统,该方法包括:
当获取到任一待扫描主机发送的上电信息时,判断与所述待扫描主机连接的无线CPE是否合法,所述上电信息用于表示所述无线CPE已上电;
若是,则基于所述无线CPE的设备信息,生成网络配置信息及转发表项,其中,所述设备信息包括所述无线CPE的带宽、IP地址、协议包;
将所述网络配置信息及所述转发表项下发至所述无线CPE及虚拟路由器,使得所述无线CPE建立与虚拟路由器的加密传输隧道,并使得所述虚拟路由器的路由指向安全扫描引擎;
控制所述安全扫描引擎基于所述网络配置信息及所述转发表项,对所述待扫描主机进行扫描。
在另一种可能实现的方式中,所述判断与所述待扫描主机连接的无线CPE是否合法,包括:
获取所述无线CPE发送的认证请求,所述认证请求包括所述设备信息,所述认证请求用于指示所述控制编排系统判断所述设备信息是否与预约信息一致,所述认证请求为所述无线CPE上电后自动发送的,所述预约信息为所述控制编排系统在获取到预约扫描主机选购的安全扫描业务信息时生成的,且所述预约信息用于表示与所述预约扫描主机连接的无线CPE的设备信息;
若所述设备信息与所述预约信息一致,则所述无线CPE合法;
若所述设备信息与所述预约信息不一致,则所述无线CPE不合法。
在另一种可能实现的方式中,所述判断与所述待扫描主机连接的无线CPE是否合法之前,所述方法还包括:
当获取到所述上电信息时,确定地址信息,所述地址信息包括所述无线CPE的IP地址及所述控制编排系统的IP地址;
基于所述无线CPE的IP地址及所述控制编排系统的IP地址,建立与所述无线CPE的连接。
在另一种可能实现的方式中,所述确定地址信息,包括:
获取所述无线CPE发送的地址获取请求,所述地址获取请求为所述无线CPE上电后自动发送的;
控制DHCP服务器为所述无线CPE分发IP地址,并使所述DHCP服务器发送所述控制编排系统的URL地址至所述无线CPE;
获取所述无线CPE通过DNS解析得到的所述控制编排系统的IP地址。
在另一种可能实现的方式中,所述方法还包括:
当生成所述预约信息时,获取所述预约信息;
基于所述预约信息,完成对所述虚拟路由器的初始配置,所述初始配置包括配置所述虚拟路由器的带宽、VLAN。
在另一种可能实现的方式中,所述方法还包括:
针对同一企业的多个所述无线CPE,基于各所述无线CPE对应的设备信息,生成各所述无线CPE对应的所述网络配置信息及所述转发表项;
将各所述网络配置信息及各所述转发表项分别下发至对应的所述无线CPE及所述虚拟路由器;
控制各所述无线CPE基于对应的所述网络配置信息及所述转发表项,与对应虚拟路由器建立连接,并使对应虚拟路由器的路由指向所述安全扫描引擎。
另一方面,本申请提供一种主机安全扫描装置,包括:
判断模块,用于在获取到待扫描主机发送的上电信息时,判断与所述待扫描主机连接的无线CPE是否合法,所述上电信息用于表示与所述待扫描主机连接的所述无线CPE已上电;
第一生成模块,用于在所述无线CPE合法时,基于所述无线CPE的设备信息,生成网络配置信息及转发表项,其中,所述设备信息包括所述无线CPE的带宽、IP地址;
第一下发模块,用于将所述网络配置信息及所述转发表项下发至所述无线CPE及虚拟路由器,使得所述无线CPE建立与虚拟路由器的加密传输隧道,并使得所述虚拟路由器的路由指向安全扫描引擎;
扫描模块,用于控制所述安全扫描引擎基于所述配置信息及所述转发表项,对所述待扫描主机进行扫描。
在另一种可能实现的方式中,所述判断模块在判断与所述待扫描主机连接的无线CPE是否合法时,具体用于:
获取所述无线CPE发送的认证请求,所述认证请求包括所述设备信息,所述认证请求用于指示所述控制编排系统判断所述设备信息是否与预约信息一致,所述认证请求为所述无线CPE上电后自动发送的,所述预约信息为所述控制编排系统在获取到预约扫描主机选购的安全扫描业务信息时生成的,且所述预约信息用于表示与所述预约扫描主机连接的无线CPE的设备信息;
若所述设备信息与所述预约信息一致,则所述无线CPE合法;
若所述设备信息与所述预约信息不一致,则所述无线CPE不合法。
在另一种可能实现的方式中,所述装置还包括:
确定模块,用于在获取到所述上电信息时,确定地址信息,所述地址信息包括所述无线CPE的IP地址及所述控制编排系统的IP地址;
第一连接模块,用于基于所述无线CPE的IP地址及所述控制编排系统的IP地址,建立与所述无线CPE的连接。
在另一种可能实现的方式中,确定模块在确定所述地址信息时,具体用于:
获取所述无线CPE发送的地址获取请求,所述地址获取请求为所述无线CPE上电后自动发送的;
控制DHCP服务器为所述无线CPE分发IP地址,并使所述DHCP服务器发送所述控制编排系统的URL地址至所述无线CPE;
获取所述无线CPE通过DNS解析得到的所述控制编排系统的IP地址。
在另一种可能实现的方式中,所述装置还包括:
获取模块,用于在生成所述预约信息时,获取所述预约信息;
配置模块,用于基于所述预约信息,完成对所述虚拟路由器的初始配置,所述初始配置包括配置所述虚拟路由器的带宽、VLAN。
在另一种可能实现的方式中,所述装置还包括:
第二生成模块,用于针对同一企业的多个所述无线CPE,基于各所述无线CPE对应的设备信息,生成各所述无线CPE对应的所述网络配置信息及所述转发表项;
第二下发模块,用于将各所述网络配置信息及各所述转发表项分别下发至对应的所述无线CPE及所述虚拟路由器;
第二连接模块,用于控制各所述无线CPE基于对应的所述网络配置信息及所述转发表项,与对应虚拟路由器建立连接,并使对应虚拟路由器的路由指向所述安全扫描引擎。
第三方面,本发明提供一种主机安全扫描系统,包括:控制编排系统、至少一个无线CPE及虚拟路由器,其中,
所述控制编排系统用于实现如上第一方面所述的主机安全扫描方法;
所述无线CPE连接于任一企业分支,用于提供接入安全扫描引擎的物理通道,提供出口协议包;
所述虚拟路由器用于接入所述安全扫描引擎的隧道终结点,并作为统一控制接入节点通过各所述无线CPE与各个企业分支连接,实现企业用户多分支接入服务。
在另一种可能实现的方式中,所述系统还包括DHCP服务器,所述DHCP服务器用于响应所述控制编排系统向所述无线CPE分发IP地址,并将所述控制编排系统的URL地址发送至所述无线CPE。
第四方面,本发明提供一种电子设备,包括:
至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一方面任一项所述的主机安全扫描方法。
第五方面,本发明提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一方面任一项所述的主机安全扫描方法。
本申请提供一种主机安全扫描方法、装置、电子设备及系统,该方法为各个企业分支设置无线CPE,并在任一企业分支预约安全扫描服务,且与该企业分支连接的无线CPE上电后,控制编排系统首先与该无线CPE建立连接,并接收该无线CPE发送的认证请求。控制编排系统基于该无线CPE发送的认证请求,判断该无线CPE是否为前述预约用户,并在确认该无线CPE为前述预约用户时,建立该无线CPE与对应虚拟路由器的连接,并使该虚拟路由器路由指向安全扫描引擎,以实现安全扫描引擎对该企业分支的用户主机的安全扫描。通过上述方法,有效简化了用户网络主机安全漏扫工作,便于主机安全扫描服务高效、便利地进行。此外,无线CPE的使用,还有效降低了安全维护成本。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种主机安全扫描的系统示意图;
图2为本申请实施例提供的一种主机安全扫描方法的流程示意图;
图3为本申请实施例提供的一种主机安全扫描的信令流程图;
图4为本申请实施例提供的一种主机安全扫描装置;
图5为本申请实施例提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本申请实施例提供的一种主机安全扫描的系统示意图。如图1所示,该系统包括控制编排系统、安全资源池以及至少一个与企业分支的主机通讯连接的无线CPE,其中,安全资源池包括安全扫描引擎以及与各无线CPE对应的企业分支的虚拟私有云(Virtual PC,VPC)。具体地,至少一个无线CPE分别设于各个企业分支,企业分支的虚拟私有云包括虚拟路由器。控制编排系统在任一企业分支订购主机安全扫描服务时,依据与企业分支连接的无线CPE的设备信息,将该无线CPE与安全扫描引擎的网络通道打通,以使安全扫描引擎对任一企业分支的主机进行安全扫描。
具体地,如图1所示,当企业分支A的主机订购安全扫描业务后,控制编排系统首先基于与该用户主机所属企业分支连接的无线CPE的设备信息,生成与该无线CPE对应的预约信息。当该无线CPE上电后,首先基于该无线CPE的地址信息与该无线CPE建立连接。建立连接后,无线CPE将向控制编排系统发送认证请求,控制编排系统基于认证请求判断该无线CPE是否为与前述预约安全扫描业务的用户主机所属企业分支连接的无线CPE。若是,则控制编排系统将基于该无线CPE的设备信息,生成网络配置信息及转发表项,并下发至对应虚拟路由器及该无线CPE,以使得虚拟路由器与该无线CPE建立加密隧道,同时使得虚拟路由器完成路由指向安全扫描引擎,从而完成安全扫描引擎与该无线CPE网络通道的打通,为安全扫描引擎对相应用户主机的安全扫描提供必要贡献。
可选的,该系统还包括DHCP服务器,在前述无线CPE上电后,控制编排系统指示DHCP服务器为前述无线CPE分发IP地址,同时将控制编排系统的URL地址发送至前述无线CPE,以使无线CPE通过DNS解析出控制编排系统的IP地址。
在上述过程中,企业分支在需要进行主机安全扫描服务时,只需将与其相连的无线CPE插电即可。无线CPE插电后,控制编排系统控制无线CPE与安全扫描引擎连接,并使安全扫描引擎完成对无线CPE的安全扫描。通过控制编排系统及设立于各企业分支的无线CPE,完成企业分支主机的安全扫描,大大减轻了部署负担及难度,有利于个企业分支高效、便利、低成本地完成安全扫描。
图2为本申请实施例提供的一种主机安全扫描方法的流程示意图,图3为本申请实施例提供的一种主机安全扫描方法的信令流程图。下面结合图2和图3,对本申请的一些实施方式作详细说明。在各实施例不冲突的情况下,下述的实施例及实施例中的特征可以相互结合。
本实施例的执行主体为控制编排系统,如图2所示,该方法包括步骤S201、步骤S202、步骤S203以及步骤S204,其中,
步骤S201,当获取到任一待扫描主机发送的上电信息时,判断与待扫描主机连接的无线CPE是否合法。
其中,上电信息用于表示无线CPE已上电,且上电信息由无线CPE插电后自动发出的。判断与待扫描主机连接的无线CPE是否合法具体为判断无线CPE是否预约主机扫描任务。
步骤S202,若与待扫描主机连接的无线CPE合法,则基于无线CPE的设备信息,生成网络配置信息及转发表项。
具体地,设备信息包括无线CPE的带宽、IP地址、协议包。配置信息用于无线CPE与虚拟路由器网络通道的配置。
步骤S203,将网络配置信息及转发表项下发至无线CPE及虚拟路由器,使得无线CPE建立与虚拟路由器的加密传输隧道,并使得虚拟路由器的路由指向安全扫描引擎。
步骤S204,控制安全扫描引擎基于网络配置信息及转发表项,对待扫描主机进行扫描。
通过上述实施例提供的方法,当与任一企业分支的主机通讯连接的无线CPE插电时,该无线CPE将向控制编排系统发送上电信息。控制编排系统在接收到上电信息时,首先判断是否存在该无线CPE的预约信息,若是,则基于该无线CPE的设备信息,使无线CPE建立与虚拟路由器的加密传输隧道,并使虚拟路由器的路由指向安全扫描引擎,以使得安全扫描引擎完成相应企业分支的主机的安全扫描工作。
如图3所示,本实施例提供的方法包括:
步骤S301,当生成预约信息时,获取预约信息,并基于预约信息,生成接入无线CPE的配置模板。
具体地,企业用户通过任一订购平台选购主机安全扫描业务,控制编排系统在获取到安全扫描业务信息时,生成预约信息。预约信息用于表示与企业用户的主机连接的无线CPE的设备信息,其包括无线CPE的带宽、IP地址、协议包等信息。
步骤S302,基于预约信息,完成对虚拟路由器的初始配置。
步骤S303,基于预约信息,将预约扫描任务下发至安全扫描引擎。
具体地,初始配置包括配置虚拟路由器的带宽、WLAN配置需求等。
步骤S304,当获取到待扫描主机发送的上电信息时,确定地址信息;基于地址信息,建立与无线CPE的连接。
其中,待扫描主机为向控制编排系统发送预约信息的任一分支企业的用户,上电信息用于表示与待扫描主机连接的无线CPE;地址信息包括无线CPE的IP地址及控制编排系统的IP地址,基于无线CPE的IP地址及控制编排系统的IP地址,建立与无线CPE的连接。
可选的,确定地址信息的方式包括:获取无线CPE发送的地址获取请求,并在获取到地址获取请求时,控制DHCP服务器为无线CPE分发IP地址,并使DHCP服务器将控制编排系统的URL地址发送至无线CPE;无线CPE通过DNS解析得到控制编排系统的IP地址,且解析得到的控制编排系统的IP地址被控制编排系统获取。
具体地,地址获取请求为无线CPE上电后自动发送至控制编排系统的。
无线CPE与控制编排系统建立连接后,该方法还包括:
步骤S305,判断与待扫描主机连接的无线CPE是否合法,若无线CPE合法,则基于无线CPE的设备信息,生成网络配置信息及转发表项。
其中,网络配置信息用于实现无线CPE与控制编排系统之间网路信息的打通,其具体包括带宽信息、WLAN需求信息及IPSec信息等。
可选的,判断待扫描主机连接的无线CPE是否合法的方式包括:获取无线CPE发送的认证请求,认证请求包括该无线CPE的设备信息,认证请求用于指示控制编排系统判断该无线CPE的设备信息是否与前述任一企业分支用户的主机的预约信息一致,若一致,则该无线CPE合法,若不一致,则该无线CPE不合法。
具体地,认证请求为无线CPE上电并与控制编排系统建立连接后自动发送的。
步骤S306,将网络配置信息及转发表项下发至无线CPE及虚拟路由器。
步骤S307,基于控制编排系统下发的网络配置信息及转发表项,控制无线CPE建立与虚拟路由器的加密传输隧道。
步骤S308,基于控制编排系统下发的网络配置信息及转发表项,控制虚拟路由器完成路由指向安全扫描引擎。
步骤S309,基于控制编排系统下发的网络配置信息及转发表项,使安全扫描引擎对待扫描主机进行安全扫描。
在上述实施例提供的技术方案的基础上,可选的,该方法还包括步骤S310:对于多个企业分支,使虚拟路由器基于网络配置信息及转发表项,完成各个企业分支的互联,并实现企业内网到安全扫描引擎的连接建立,以使得用户内网可以通过连接无线CPE网关实现安全扫描引擎对用户内网主机的安全漏扫。
本实施例提供的方法,通过为企业各个用户分支设置无线CPE,实现各分支主机与安全扫描引擎的连接,以简化用户主机安全漏扫工作,有效节省企业的管理支出、办公室支出、员工工资支出和广告支出等日常开支(Operating Expense,Opex)和资本性支出(Capital Expenditure,Capex)投入,降低安全维护成本;同时满足用户侧无线接入终端设备的即插即用,无需任何线路建设,可随时随地自动完成安全通道建立、配置自动下发且安全扫描服务的快速部署。其中,通过前述方法对用户主机进行安全扫描的流程如下:
在有任一用户主机订购安全扫描服务时,控制编排系统生成该用户主机的预约信息,预约信息包括与该用户主机连接的无线CPE的设备信息。在任一无线CPE上电后,控制编排系统首先基于自身IP地址及无线CPE的IP地址,建立与无线CPE的连接。其次获取该无线CPE发送的认证请求,以判断该无线CPE是否合法,即判断该无线CPE是否为与前述订购了安全扫描服务的用户主机连接的无线CPE。若该无线CPE合法,则基于该无线CPE的设备信息,生成网络配置信息及转发表项,以使得无线CPE建立与虚拟路由器的加密传输隧道,并使得虚拟路由器完成路由指向安全扫描引擎,进而使安全扫描引擎对用户主机进行安全扫描。
上述实施例从方法流程的角度介绍一种主机安全扫描方法,下述实施例从虚拟模块或虚拟单元的角度介绍了一种主机安全扫描装置,具体详见下述实施例。
本申请实施例提供一种主机安全扫描装置,如图4所示,该装置包括判断模块41、第一生成模块42、第一下发模块43及扫描模块44,其中,
判断模块41,用于当获取到待扫描主机发送的上电信息时,判断与待扫描主机连接的无线CPE是否合法,上电信息用于表示无线CPE已上电;
第一生成模块42,用于在无线CPE合法时,基于无线CPE的设备信息,生成网络配置信息及转发表项,其中,设备信息包括无线CPE的带宽、IP地址、协议包;
第一下发模块43,用于将网络配置信息及转发表项下发至无线CPE及虚拟路由器,使得无线CPE建立与虚拟路由器的加密传输隧道,并使得虚拟路由器的路由指向安全扫描引擎;
扫描模块44,用于控制安全扫描引擎基于配置信息及转发表项,对待扫描主机进行扫描。
本申请实施例的另一种可能的实现方式,判断模块41在判断与待扫描主机连接的无线CPE是否合法时,具体用于:
获取无线CPE发送的认证请求,认证请求包括设备信息,认证请求用于指示控制编排系统判断设备信息是否与预约信息一致,认证请求为无线CPE上电后自动发送的,预约信息为控制编排系统在获取到预约扫描主机选购的安全扫描业务信息时生成的,且预约信息用于表示与预约扫描主机连接的无线CPE的设备信息;
若设备信息与预约信息一致,则无线CPE合法;
若设备信息与预约信息不一致,则无线CPE不合法。
本申请实施例的另一种可能的实现方式,装置还包括:确定模块及连接模块,其中,
确定模块,用于当获取到上电信息时,确定地址信息,地址信息包括无线CPE的IP地址及控制编排系统的IP地址;
第一连接模块,用于基于无线CPE的IP地址及控制编排系统的IP地址,建立与无线CPE的连接。
本申请实施例的另一种可能的实现方式,确定模块在确定地址信息时,具体用于:
获取无线CPE发送的地址获取请求,地址获取请求为无线CPE上电后自动发送的;
控制DHCP服务器为无线CPE分发IP地址,并使DHCP服务器发送控制编排系统的URL地址至无线CPE;
获取无线CPE通过DNS解析得到的控制编排系统的IP地址。
本申请实施例的另一种可能的实现方式,装置还包括获取模块及配置模块,其中,
获取模块,用于当生成预约信息时,获取预约信息;
配置模块,用于基于预约信息,完成对虚拟路由器的初始配置,初始配置包括配置虚拟路由器的带宽、VLAN。
本申请实施例的另一种可能的实现方式,装置还包括第二生成模块、第二下发模块以及第二连接模块,其中,
第二生成模块,用于针对同一企业的多个无线CPE,基于各无线CPE对应的设备信息,生成各无线CPE对应的网络配置信息及转发表项;
第二下发模块,用于将各网络配置信息及各转发表项分别下发至对应的无线CPE及虚拟路由器;
第二连接模块,用于控制各无线CPE基于对应的网络配置信息及转发表项,与对应虚拟路由器建立连接,并使对应虚拟路由器的路由指向安全扫描引擎。
本申请实施例中的第一生成模块42和第二生成模块可以为相同的生成模块,也可以为不同的生成模块。第一下发模块43和第二下发模块可以为相同的下发模块,也可以为不同的下发模块。同样的,第一连接模块和第二连接模块可以为相同的连接模块,也可以为不同的连接模块,本申请实施例不对其进行限定。
本申请实施例提供的一种主机安全扫描装置,适用于上述方法实施例,在此不再赘述。
本申请实施例中提供了一种电子设备,如图5所示,图5所示的电子设备包括:处理器51和存储器52。其中,处理器51和存储器52相连,如通过总线53相连。可选地,电子设备还可以包括收发器54。需要说明的是,实际应用中收发器54不限于一个,该电子设备的结构并不构成对本申请实施例的限定。
处理器51可以是中央处理器51(Central Processing Unit,CPU),通用处理器51,数据信号处理器51(Digital Signal Processor,DSP),专用集成电路(ApplicationSpecific Integrated Circuit,ASIC),现场可编程门阵列(Field Programmable GateArray,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器51也可以是实现计算功能的组合,例如包含一个或多个微处理器51组合,DSP和微处理器51的组合等。
总线53可包括一通路,在上述组件之间传送信息。总线53可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线53或扩展工业标准结构(ExtendedIndustry Standard Architecture,EISA)总线53等。总线53可以分为地址总线53、数据总线53、控制总线53等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线53或一种类型的总线53。
存储器52可以是只读存储器52(Read Only Memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器52(Random Access Memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器52(Electrically Erasable Programmable Read Only Memory,EEPROM)、只读光盘(CompactDisc Read Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器52用于存储执行本申请方案的应用程序代码,并由处理器51来控制执行。处理器51用于执行存储器52中存储的应用程序代码,以实现前述方法实施例所示的内容。
其中,电子设备包括但不限于:移动电话、笔记本电脑、数字广播接收器、个人数字助理(PDA)、平板电脑(PAD)、便携式多媒体播放器(PMP)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。还可以为服务器等。图5示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,当其在计算机上运行时,使得计算机可以执行前述方法实施例中相应内容。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (10)
1.一种主机安全扫描方法,其特征在于,应用于控制编排系统,该方法包括:
当获取到任一待扫描主机发送的上电信息时,判断与所述待扫描主机连接的无线CPE是否合法,所述上电信息用于表示所述无线CPE已上电;
若是,则基于所述无线CPE的设备信息,生成网络配置信息及转发表项,其中,所述设备信息包括所述无线CPE的带宽、IP地址、协议包;
将所述网络配置信息及所述转发表项下发至所述无线CPE及虚拟路由器,使得所述无线CPE建立与虚拟路由器的加密传输隧道,并使得所述虚拟路由器的路由指向安全扫描引擎;
控制所述安全扫描引擎基于所述网络配置信息及所述转发表项,对所述待扫描主机进行扫描;
所述判断与所述待扫描主机连接的无线CPE是否合法,包括:
获取所述无线CPE发送的认证请求,所述认证请求包括所述设备信息,所述认证请求用于指示所述控制编排系统判断所述设备信息是否与预约信息一致,所述认证请求为所述无线CPE上电后自动发送的,所述预约信息为所述控制编排系统在获取到预约扫描主机选购的安全扫描业务信息时生成的,且所述预约信息用于表示与所述预约扫描主机连接的无线CPE的设备信息;
若所述设备信息与所述预约信息一致,则所述无线CPE合法;
若所述设备信息与所述预约信息不一致,则所述无线CPE不合法。
2.根据权利要求1所述的方法,其特征在于,所述判断与所述待扫描主机连接的无线CPE是否合法之前,所述方法还包括:
当获取到所述上电信息时,确定地址信息,所述地址信息包括所述无线CPE的IP地址及所述控制编排系统的IP地址;
基于所述无线CPE的IP地址及所述控制编排系统的IP地址,建立与所述无线CPE的连接。
3.根据权利要求2所述的方法,其特征在于,所述确定地址信息,包括:
获取所述无线CPE发送的地址获取请求,所述地址获取请求为所述无线CPE上电后自动发送的;
控制DHCP服务器为所述无线CPE分发IP地址,并使所述DHCP服务器发送所述控制编排系统的URL地址至所述无线CPE;
获取所述无线CPE通过DNS解析得到的所述控制编排系统的IP地址。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当生成所述预约信息时,获取所述预约信息;
基于所述预约信息,完成对所述虚拟路由器的初始配置,所述初始配置包括配置所述虚拟路由器的带宽、VLAN。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
针对同一企业的多个所述无线CPE,基于各所述无线CPE对应的设备信息,生成各所述无线CPE对应的所述网络配置信息及所述转发表项;
将各所述网络配置信息及各所述转发表项分别下发至对应的所述无线CPE及所述虚拟路由器;
控制各所述无线CPE基于对应的所述网络配置信息及所述转发表项,与对应虚拟路由器建立连接,并使对应虚拟路由器的路由指向所述安全扫描引擎。
6.一种主机安全扫描装置,其特征在于,包括:
判断模块,用于当获取到待扫描主机发送的上电信息时,判断与所述待扫描主机连接的无线CPE是否合法,所述上电信息用于表示所述无线CPE已上电;
生成模块,用于在所述无线CPE合法时,基于所述无线CPE的设备信息,生成网络配置信息及转发表项,其中,所述设备信息包括所述无线CPE的带宽、IP地址、协议包;
下发模块,用于将所述网络配置信息及所述转发表项下发至所述无线CPE及虚拟路由器,使得所述无线CPE建立与虚拟路由器的加密传输隧道,并使得所述虚拟路由器的路由指向安全扫描引擎;
扫描模块,用于控制所述安全扫描引擎基于所述配置信息及所述转发表项,对所述待扫描主机进行扫描;
所述判断模块,具体用于获取所述无线CPE发送的认证请求,所述认证请求包括所述设备信息,所述认证请求用于指示所述控制编排系统判断所述设备信息是否与预约信息一致,所述认证请求为所述无线CPE上电后自动发送的,所述预约信息为所述控制编排系统在获取到预约扫描主机选购的安全扫描业务信息时生成的,且所述预约信息用于表示与所述预约扫描主机连接的无线CPE的设备信息;若所述设备信息与所述预约信息一致,则所述无线CPE合法;若所述设备信息与所述预约信息不一致,则所述无线CPE不合法。
7.一种主机安全扫描系统,其特征在于,包括:控制编排系统、至少一个无线CPE及虚拟路由器,其中,
所述控制编排系统用于实现权利要求1至5任一项所述的方法;
所述无线CPE连接于任一企业分支,用于提供接入安全扫描引擎的物理通道,提供出口协议包;
所述虚拟路由器用于接入所述安全扫描引擎的隧道终结点,并作为统一控制接入节点通过各所述无线CPE与各个企业分支连接,实现企业用户多分支接入服务。
8.根据权利要求7所述的系统,其特征在于,还包括:DHCP服务器,
所述DHCP服务器用于响应所述控制编排系统向所述无线CPE分发IP地址,并将所述控制编排系统的URL地址发送至所述无线CPE。
9.一种电子设备,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1-5任一项所述的主机安全扫描方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-5任一项所述的主机安全扫描方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210530402.7A CN114866327B (zh) | 2022-05-16 | 2022-05-16 | 主机安全扫描方法、装置、电子设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210530402.7A CN114866327B (zh) | 2022-05-16 | 2022-05-16 | 主机安全扫描方法、装置、电子设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866327A CN114866327A (zh) | 2022-08-05 |
| CN114866327B true CN114866327B (zh) | 2024-02-13 |
Family
ID=82637849
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210530402.7A Active CN114866327B (zh) | 2022-05-16 | 2022-05-16 | 主机安全扫描方法、装置、电子设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866327B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101742249A (zh) * | 2009-12-18 | 2010-06-16 | 四川长虹电器股份有限公司 | 一种可信双向网络数字电视系统的实现方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8387138B2 (en) * | 2006-03-21 | 2013-02-26 | At&T Intellectual Property I, L.P. | Security scanning system and method |
| US11252177B2 (en) * | 2020-07-07 | 2022-02-15 | Charter Communications Operating, Llc | Methods and system for automated ad hoc customer premise equipment bi-directional vulnerability scanning |
-
2022
- 2022-05-16 CN CN202210530402.7A patent/CN114866327B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101742249A (zh) * | 2009-12-18 | 2010-06-16 | 四川长虹电器股份有限公司 | 一种可信双向网络数字电视系统的实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种城域网物理拓扑快速自动发现实现方法;邓正军;;软件产业与工程(第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866327A (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110191031B (zh) | 网络资源访问方法、装置、电子设备 | |
| CN111865621B (zh) | 接入网关的方法及装置 | |
| JP2000092236A (ja) | 情報提供システム | |
| JP2014527326A (ja) | 無線lan接続装置およびその動作方法 | |
| CN109617906B (zh) | 一种混合云的接入方法及装置 | |
| CN102055816A (zh) | 一种通信方法、业务服务器、中间设备、终端及通信系统 | |
| CN104158818A (zh) | 一种单点登录方法及系统 | |
| CN115002769B (zh) | 流量分流方法、核心网网元、电子设备和介质 | |
| CN105592180B (zh) | 一种Portal认证的方法和装置 | |
| CN108924833A (zh) | 一种用于授权用户设备连接无线接入点的方法与设备 | |
| CN109474646B (zh) | 通信连接方法、装置、系统及存储介质 | |
| CN109769249A (zh) | 一种认证方法、系统及其装置 | |
| CN112202744A (zh) | 一种多系统数据通信方法和装置 | |
| CN108540552A (zh) | 设备互连方法、装置、系统、设备和存储介质 | |
| CN115801299A (zh) | 元宇宙身份认证方法、装置、设备及存储介质 | |
| CN108880923A (zh) | 应用于应用服务器的监控操作请求的方法和装置 | |
| CN112738217B (zh) | 安全交互系统及方法 | |
| JP2002152276A (ja) | 有線又は無線lanシステムを利用したインターネット利用方法及び装置並びに集線・接続装置 | |
| CN111885190B (zh) | 服务请求处理方法及系统 | |
| CN103095721A (zh) | 一种建立安全连接的方法、终端和系统 | |
| CN114866327B (zh) | 主机安全扫描方法、装置、电子设备及系统 | |
| CN110336793B (zh) | 一种内网访问方法及相关装置 | |
| KR20130072907A (ko) | 단축 url 생성 방법 및 이를 지원하는 시스템 | |
| CN113497764B (zh) | 业务路由方法、系统、计算机存储介质和电子设备 | |
| CN110198540A (zh) | 认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |