CN116743512B - 网络自治与隔离方法、装置、电子设备及可读存储介质 - Google Patents

网络自治与隔离方法、装置、电子设备及可读存储介质 Download PDF

Info

Publication number
CN116743512B
CN116743512B CN202311025545.3A CN202311025545A CN116743512B CN 116743512 B CN116743512 B CN 116743512B CN 202311025545 A CN202311025545 A CN 202311025545A CN 116743512 B CN116743512 B CN 116743512B
Authority
CN
China
Prior art keywords
node
sub
identification code
information
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311025545.3A
Other languages
English (en)
Other versions
CN116743512A (zh
Inventor
吴静凯
陈春秀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Suzhou Software Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202311025545.3A priority Critical patent/CN116743512B/zh
Publication of CN116743512A publication Critical patent/CN116743512A/zh
Application granted granted Critical
Publication of CN116743512B publication Critical patent/CN116743512B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络自治与隔离方法、装置、电子设备及可读存储介质,涉及通信技术领域,通过获取第一节点的节点信息,第一节点属于第一节点组,第一节点组还包括第二节点,第二节点为第一节点组内除第一节点外的节点;根据节点信息生成节点识别码,节点识别码与第一节点一一对应;向第一节点发送目标信息,以使第一节点根据节点识别码与服务器建立通信连接,目标信息包括节点识别码;向第二节点发送第一节点的节点信息。这样,只向第一节点组内除第一节点外的节点发送第一节点的节点信息,由于位于同一节点组内的节点是属于同一租户的节点,从而使得第一节点的节点信息不会被发送给其它租户的节点,从而提高租户之间的数据隐私性。

Description

网络自治与隔离方法、装置、电子设备及可读存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种网络自治与隔离方法、装置、电子设备及可读存储介质。
背景技术
服务器可以纳管多个边缘节点,每当服务器纳管了一个新的边缘节点时,服务器会将该新的边缘节点的节点信息在其纳管的多个边缘节点之间进行同步,使得服务器纳管的每一个边缘节点上都存储有该服务器纳管的所有边缘节点的节点信息。
然而,当在同一服务器下存在多个租户时,此时会导致不同租户的节点之间具有对方的节点信息,根据节点信息,租户之间可以互相访问,导致租户之间的无法实现网络隔离。
因此,现有技术中服务器在纳管多个边缘节点时,存在租户之间数据隐私性较差的问题。
发明内容
本发明实施例提供一种网络自治与隔离方法、装置、电子设备及可读存储介质,以解决现有技术中服务器在纳管多个边缘节点时,存在租户之间数据隐私性较差的问题。
第一方面,本发明实施例提供了一种网络自治与隔离方法,包括:
获取第一节点的节点信息,所述第一节点属于第一节点组,所述第一节点组还包括第二节点,所述第二节点为所述第一节点组内除所述第一节点外的节点;
根据所述节点信息生成节点识别码,所述节点识别码与所述第一节点一一对应;
向所述第一节点发送目标信息,以使所述第一节点根据所述节点识别码与服务器建立通信连接,所述目标信息包括节点识别码;
在所述第一节点与所述服务器建立通信连接的情况下,向所述第二节点发送所述第一节点的节点信息。
可选地,所述根据所述节点信息生成节点识别码,包括:
根据所述节点信息生成所述节点识别码和秘钥对,所述秘钥对包括第一公钥和第一私钥,所述第一公钥和所述第一私钥相匹配;
根据所述节点信息和所述第一公钥加密生成所述节点识别码。
可选地,所述目标信息还包括第一私钥,所述第一公钥包括第一子公钥和第二子公钥,所述第一私钥包括第一子私钥和第二子私钥,所述第一子公钥和所述第一子私钥相匹配,所述第二子公钥和所述第二子私钥相匹配;
所述根据所述节点信息和所述第一公钥加密生成所述节点识别码,包括:
根据所述节点信息和所述第一子公钥加密生成所述节点识别码;
所述向所述第一节点发送目标信息,包括:
向所述第一节点发送所述节点识别码和所述第二子私钥。
可选地,所述方法还包括:
接收所述第一节点发送的上报消息,所述上报消息包括经过所述第二子私钥加密的数据摘要,所述数据摘要包括如下至少一种:时间戳、随机字符串、请求数据与所述节点识别码;
根据所述第二子公钥对所述上报消息中进行验签处理;
在所述验签处理通过的情况下,根据所述第一子公钥对所述节点识别码进行解密处理;
在所述解密处理通过的情况下,获取所述第一节点组内所有的所述第二节点的节点信息。
可选地,在所述根据所述节点信息生成节点识别码之前,所述方法还包括:
接收租户输入的节点调整指令,所述节点调整指令用于调整节点的节点组;
根据所述节点调整指令,调整每一节点所属的节点组。
第二方面,本发明实施例还提供一种网络自治与隔离方法,包括:
拦截得到目标请求,所述目标请求为第一节点向第二节点发送的请求,所述目标请求携带有第一节点识别码和所述第二节点的目标地址;
根据所述目标地址获取所述第二节点的第二节点识别码;
在所述第一节点识别码和所述第二节点识别码匹配的情况下,确定所述第一节点和所述第二节点属于同一节点组内的节点。
可选地,所述目标请求包括请求数据,在所述第一节点识别码和所述第二节点识别码匹配的情况下,确定所述第一节点和所述第二节点属于同一节点组内的节点之后,所述方法还包括:
将所述请求数据转发至所述第二节点,所述请求数据用于向所述第二节点的目标应用请求数据。
第三方面,本发明实施例还提供一种网络自治与隔离方法,包括:
拦截得到目标请求,所述目标请求为第一节点的广播请求,所述目标请求携带有第一节点识别码;
根据所述第一节点识别码确定所述第一节点所属的第一节点组;
遍历预先存储的目标节点,确定第二节点,所述第二节点为所述目标节点中属于所述第一节点组的节点。
可选地,所述目标请求包括请求数据,在所述遍历预先存储的目标节点,确定第二节点之后,所述方法还包括:
将所述请求数据转发至所述第二节点,所述请求数据用于向所述第二节点的目标应用请求数据。
第四方面,本发明实施例还提供一种网络自治与隔离装置,包括:
第一获取模块,用于获取第一节点的节点信息,所述第一节点属于第一节点组,所述第一节点组还包括第二节点,所述第二节点为所述第一节点组内除所述第一节点外的节点;
生成模块,用于根据所述节点信息生成节点识别码,所述节点识别码与所述第一节点一一对应;
第一发送模块,用于向所述第一节点发送目标信息,以使所述第一节点根据所述节点识别码与服务器建立通信连接,所述目标信息包括节点识别码;
第二发送模块,用于在所述第一节点与所述服务器建立通信连接的情况下,向所述第二节点发送所述第一节点的节点信息。
第五方面,本发明实施例还提供一种网络自治与隔离装置,包括:
第一拦截模块,用于拦截得到目标请求,所述目标请求为第一节点向第二节点发送的请求,所述目标请求携带有第一节点识别码和所述第二节点的目标地址;
第二获取模块,用于根据所述目标地址获取所述第二节点的第二节点识别码;
第一确定模块,用于在所述第一节点识别码和所述第二节点识别码匹配的情况下,确定所述第一节点和所述第二节点属于同一节点组内的节点。
第六方面,本发明实施例还提供一种网络自治与隔离装置,包括:
第二拦截模块,用于拦截得到目标请求,所述目标请求为第一节点的广播请求,所述目标请求携带有第一节点识别码;
第二确定模块,用于根据所述第一节点识别码确定所述第一节点所属的第一节点组;
第三确定模块,用于遍历预先存储的目标节点,确定第二节点,所述第二节点为所述目标节点中属于所述第一节点组的节点。
第七方面,本发明实施例还提供一种电子设备,包括:
收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器,用于读取存储器中的程序实现如第一方面中任一项所述方法中的步骤。
第八方面,本发明实施例还提供一种可读存储介质,用于存储程序,所述程序被处理器执行时实现如前述第一方面所述方法中的步骤。
在本发明实施例中,通过获取第一节点的节点信息,所述第一节点属于第一节点组,所述第一节点组还包括第二节点,所述第二节点为所述第一节点组内除所述第一节点外的节点;根据所述节点信息生成节点识别码,所述节点识别码与所述第一节点一一对应;向所述第一节点发送目标信息,以使所述第一节点根据所述节点识别码与服务器建立通信连接,所述目标信息包括节点识别码;向所述第二节点发送所述第一节点的节点信息。这样,只向所述第一节点组内除所述第一节点外的节点发送所述第一节点的节点信息,由于位于同一节点组内的节点是属于同一租户的节点,从而使得第一节点的节点信息不会被发送给其它租户的节点,从而提高租户之间的数据隐私性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的网络自治与隔离方法的流程图之一;
图2是本发明实施例提供的网络自治与隔离方法的流程图之二;
图3是本发明实施例提供的网络自治与隔离方法的流程图之三;
图4是本发明实施例提供的网络自治与隔离装置的结构图之一;
图5是本发明实施例提供的网络自治与隔离装置的结构图之二;
图6是本发明实施例提供的网络自治与隔离装置的结构图之三;
图7是本发明实施例提供的服务器与边缘节点的连接示意图;
图8是本发明实施例提供的一种生成节点识别码的示意图;
图9是本发明实施例提供的节点接入服务器的示意图;
图10是本发明实施例提供的网络自治的流程示意图之一;
图11是本发明实施例提供的网络自治的流程示意图之二;
图12是本发明实施例提供的节点识别码的结构示意图;
图13是本发明实施例提供的电子设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1是本发明实施例提供的网络自治与隔离方法的流程图之一,如图1所示,包括以下步骤:
步骤101、获取第一节点的节点信息,所述第一节点属于第一节点组,所述第一节点组还包括第二节点,所述第二节点为所述第一节点组内除所述第一节点外的节点;
应理解,所述第一节点和所述第二节点可以是个人计算机,也可以是微型服务器等终端设备,此处不作进一步限制。所述第一节点组内包括多个节点表示。第一节点组内包括多个终端设备。所述第一节点组是包括一个第一节点和多个第二节点的节点组。所述节点信息持久化保存在服务器中。
示例性地,获取个人计算机的节点信息。
需要说明的,是所述节点信息包括以下至少一项:
节点名称;
选择业务;
节点组名称;
通讯协议。
示例性地,所述通讯协议包括websocket或quic等,此处不作进一步限制。
步骤102、根据所述节点信息生成节点识别码,所述节点识别码与所述第一节点一一对应;
在步骤102中,每一个节点都有其对应的节点信息,根据节点信息从而生成与节点对应的节点识别码。
应理解,每一个节点的节点识别码都是不同的。
可选地,在一些实施例中,如图8所示,在本发明实施例中,根据所述节点信息生成节点识别码的一种实现方式。
在本发明实施例中,根据录入的节点信息,生成节点标识(Identity Document,ID),同时对应节点标识生成两组公私钥,根据公私钥和节点信息生成节点识别码,根据节点识别码,生成配置文件。
可选地,在一些实施例中,如图12所示,所述节点识别码可以是包括:产品名、租户标识、业务标识、节点组标识、节点标识、接入协议和随机码。
步骤103、向所述第一节点发送目标信息,以使所述第一节点根据所述节点识别码与服务器建立通信连接,所述目标信息包括节点识别码;
步骤104、在所述第一节点与所述服务器建立通信连接的情况下,向所述第二节点发送所述第一节点的节点信息。
应理解,所述第二节点可以为所述第一节点组内的所有第二节点中的任一个节点。
示例性地,在所述第一节点与所述服务器建立websocket通信连接的情况下,向所述第二节点发送所述第一节点的节点信息。
在本申请实施例中,通过获取第一节点的节点信息,第一节点属于第一节点组,第一节点组还包括第二节点,第二节点为第一节点组内除第一节点外的节点;根据节点信息生成节点识别码,节点识别码与第一节点一一对应;向第一节点发送目标信息,以使第一节点根据节点识别码与服务器建立通信连接,目标信息包括节点识别码;向第二节点发送第一节点的节点信息。这样,只向第一节点组内除第一节点外的节点发送第一节点的节点信息,由于位于同一节点组内的节点是属于同一租户的节点,从而使得第一节点的节点信息不会被发送给其它租户的节点,从而提高租户之间的数据隐私性。
如图7所示,是本发明实施例的服务器与边缘节点的连接示意图。
可选地,在一些实施例中,所述根据所述节点信息生成节点识别码,包括:
根据所述节点信息生成所述节点识别码和秘钥对,所述秘钥对包括第一公钥和第一私钥,所述第一公钥和所述第一私钥相匹配;
在本申请实施例中,根据节点信息生成节点识别码和秘钥对,每一节点识别码对应一个节点信息和一个秘钥对。
根据所述节点信息和所述第一公钥加密生成所述节点识别码。
在本申请实施例中,利用所述第一公钥对所述节点信息进行加密,得到所述节点识别码。
在本申请实施例中,通过根据节点信息生成秘钥对,并采用秘钥对中的第一公钥对所述节点信息进行加密,提高了节点信息在传输时的安全性。
可选地,在一些实施例中,所述秘钥对设置有过期时间。
在本申请实施例中,由于秘钥对设置有过期时间,每经过一次该过期时间,就需要更新一次秘钥对,提高了节点信息在传输时的安全性。
可选地,所述目标信息还包括第一私钥,所述第一公钥包括第一子公钥和第二子公钥,所述第一私钥包括第一子私钥和第二子私钥,所述第一子公钥和所述第一子私钥相匹配,所述第二子公钥和所述第二子私钥相匹配;
所述根据所述节点信息和所述第一公钥加密生成所述节点识别码,包括:
根据所述节点信息和所述第一子公钥加密生成所述节点识别码;
应理解,利用所述第一子公钥对所述节点信息进行加密,得到所述节点识别码。
所述向所述第一节点发送目标信息,包括:
向所述第一节点发送所述节点识别码和所述第二子私钥。
应理解,所述第二子私钥用于加密所述节点识别码。
所述第一子公钥和所述第一子私钥相匹配可以理解为采用所述第一子公钥进行加密的节点信息,可以利用所述第一子私钥进行解密。
所述第二子公钥和所述第二子私钥相匹配可以理解为采用所述第二子私钥进行签密的上传消息,可以利用所述第二子公钥进行解密。
可选地,在一些实施例中,所述方法还包括:
接收所述第一节点发送的上报消息,所述上报消息包括经过所述第二子私钥加密的数据摘要,所述数据摘要包括如下至少一种:时间戳、随机字符串、请求数据与所述节点识别码;
应理解,接收所述第一节点发送的上报消息是通过第一节点与服务建立的通信连接。
应理解,所述数据摘要的格式可以是{“Timestamp”:”时间戳”,“Nonce”:”随机字符串”,“Sign”:”生成的签名”,“Payload”:”原始数据”}
根据所述第二子公钥对所述上报消息进行验签处理;
需要说明的是,可以是在第二子公钥与第二子私钥匹配成功时表示验签通过,也可以是所述第二子公钥可以验证所述上报消息上的签名。
在所述验签处理通过的情况下,根据所述第一子公钥对所述节点识别码进行解密处理;
需要说明的是,可以是所述第一子公钥与所述第一子私钥匹配成功时表示解密处理通过,也可以是所述第一子公钥可以解密所述节点识别码。
在所述解密处理通过的情况下,获取所述第一节点组内所有的所述第二节点的节点信息。
需要说明的是,在所述解密处理通过的情况下,即得到节点识别码内的所述第一节点组的标识。
如图9所示,是本发明实施例中的一种实现方式,(1)第一节点携带节点识别码作为认证信息与服务器建立通信连接。(2)服务器收到第一节点的建立通信连接请求后,获取第一节点携带的节点识别码,获取节点识别码中节点信息,判断第一节点接入协议是否合法,即判断节点信息中的接入协议是否与服务器中预设接入协议是否相同,不合法则主动切断与边缘的通讯。(3)建立通信连接后,向服务器上报消息,每次上报服务器时生成一个时间戳,与随机字符串、请求数据和节点识别码生成数据摘要,并使用第二子私钥进行签密。(4)服务器通过第二子公钥对数据摘要做验签处理,确保节点上报的信息没有被篡改。如果被篡改则主动切断与边缘的通讯。(5)验签处理后,对上报消息中的节点识别码使用第一子私钥做解密处理,获取第一节点的节点信息。(6)通过节点识别码中携带的租户信息拿到该租户下所有的节点信息,下发至节点识别码包含的节点上进行数据缓存。把新接入的节点信息、第二子公钥同步至该租户下的所有边缘节点上缓存。
可选地,在一些实施例中,在所述根据所述节点信息生成节点识别码之前,所述方法还包括:
接收租户输入的节点调整指令,所述节点调整指令用于调整节点的节点组;
根据所述节点调整指令,调整每一节点所属的节点组。
需要说明的是,上述节点调整指令可以是删除节点,可以是增加节点,还可以是将节点从第一节点组调整至第二节点组。
可选地,将第一节点从第一节点组调整至第二节点组的情况,需要将第一节点组中每个节点缓存的第一节点的节点信息删除,同时需要在使得第二节点组内节点缓存第一节点的节点信息,同时第一节点需要缓存第二节点组内所有节点的节点信息。
可选地,将第一节点从第一节点组中删除的情况,需要将第一节点组中的每个节点缓存的第一节点的节点信息删除,同时在服务器内也要删除第一节点的节点信息。
可选地,在第一节组中增加第一节点的情况,需要在第一节点组中的每一个节点内缓存第一节点的节点信息,同时在服务器内也要增加第一节点的节点信息。
在本申请实施例中,通过上述方式,可以根据业务需要,来调整每一节点组的节点信息,从而提高节点的利用率。
参见图2,图2是本发明实施例提供的网络自治与隔离方法的流程图之二,如图2所示,包括以下步骤:
步骤201、拦截得到目标请求,所述目标请求为第一节点向第二节点发送的请求,所述目标请求携带有第一节点识别码和所述第二节点的目标地址;
步骤202、根据所述目标地址获取所述第二节点的第二节点识别码;
步骤203、在所述第一节点识别码和所述第二节点识别码匹配的情况下,确定所述第一节点和所述第二节点属于同一节点组内的节点。
可选地,在一些实施例中,所述目标请求包括请求数据,在所述遍历预先存储的目标节点,确定第二节点之后,所述方法还包括:
将所述请求数据转发至所述第二节点,所述请求数据用于向所述第二节点的目标应用请求数据。
如图10所示,是本发明实施例的一种实现方式,(1)当前请求所在的节点上部署的服务会拦截该请求,获取请求所属节点的识别码并且根据目的地址获取目的节点所属的识别码,解析出目的节点的租户ID、节点组,从本地内存缓存中查看是否有比对记录,没有发送云端进行比对并缓存比对结果,判断两个识别码是否是同一个租户、同一个节点组,不是则不允许转发。(2)校验通过,生成一个时间戳,随机字符串,与原始的请求节点识别码,原始的请求数据按顺序排序,并生成数据摘要,并使用第二子私钥进行加密生成签名后,重新包装请求。格式如下:{“Timestamp”:”时间戳”,“Nonce”:”随机字符串”,“Sign”:”生成的签名”,“Payload”:”原始数据”}。(3)根据节点接入时同步的节点信息找到请求服务端所在的节点进行转发。(4)在客户端携带节点识别码作为认证信息与服务端建立连接通道。(5)服务端接收到请求连接时,会获取节点识别码,现在本地内存缓存中查看是否认证过,没有则向云端服务发送认证请求并缓存结果,判断是否存在节点识别码,是否是同一租户,是否同一节点组,如果不是返回客户端无法建立连接。(6)连接建立后,节点把包装后的请求发送到服务端,服务端通过建立连接时获取的节点识别码对请求数据进行验证签名。(7)验签通过,对原始请求数据进行转发到目标应用。
在本申请实施例中,通过上述方式可以在服务器断开时,实现本地的网络流量自治。
参见图3,图3是本发明实施例提供的网络自治与隔离方法的流程图之二,如图3所示,包括以下步骤:
步骤301、拦截得到目标请求,所述目标请求为第一节点的广播请求,所述目标请求携带有第一节点识别码;
步骤302、根据所述第一节点识别码确定所述第一节点所属的第一节点组;
步骤303、遍历预先存储的目标节点,确定第二节点,所述第二节点为所述目标节点中属于所述第一节点组的节点。
可选地,在一些实施例中,所述目标请求包括请求数据,在所述遍历预先存储的目标节点,确定第二节点之后,所述方法还包括:
将所述请求数据转发至所述第二节点,所述请求数据用于向所述第二节点的目标应用请求数据。
如图11所示,是本发明实施例中的一种实现方式,(1)当前发布消息的节点上部署的服务会拦截该消息,获取当前节点的节点识别码,解析出租户ID与节点组,遍历缓存中所有的其他节点的节点识别码进行解析,抽取出所有具有相同租户ID与节点组的节点,获取目的地址。(2)生成一个时间戳,随机字符串,与原始的请求节点识别码,原始的消息按顺序排序,并通过MD5生成数据摘要,并使用私钥B进行加密生成签名后,重新包装消息。格式如下:{“Timestamp”:”时间戳”,“Nonce”:”随机字符串”,“Sign”:”生成的签名”,“Payload”:”原始数据”}。(3)与(1)中获取的所有合法的目的节点携带节点识别码作为认证信息建立连接通道。(4)服务端接收到请求连接时,会获取节点识别码,并向云端服务发送认证请求,判断是否存在节点识别码,是否是同一租户,是否是同一节点组,如果不是返回客户端无法建立连接。(5)连接建立后,客户端把包装后的消息推送到服务端,服务端通过建立连接时获取的识别码对消息进行验证签名。(7)验签通过后,对原始消息转发到MQTT服务中,由目标应用进行订阅。
参见图4,图4是本发明实施例提供的网络自治与隔离装置400的结构图之一,如图4所示,包括以下模块:
第一获取模块401,用于获取第一节点的节点信息,所述第一节点属于第一节点组,所述第一节点组还包括第二节点,所述第二节点为所述第一节点组内除所述第一节点外的节点;
生成模块402,用于根据所述节点信息生成节点识别码,所述节点识别码与所述第一节点一一对应;
第一发送模块403,用于向所述第一节点发送目标信息,以使所述第一节点根据所述节点识别码与服务器建立通信连接,所述目标信息包括节点识别码;
第二发送模块404,用于向所述第二节点发送所述第一节点的节点信息。
可选地,所述生成模块402包括:
第一生成子模块,用于根据所述节点信息生成所述节点识别码和秘钥对,所述秘钥对包括第一公钥和第一私钥,所述第一公钥和所述第一私钥相匹配;
第二生成子模块,用于根据所述节点信息和所述第一公钥加密生成所述节点识别码。
可选地,在一些实施例中,所述目标信息还包括第一私钥,所述第一公钥包括第一子公钥和第二子公钥,所述第一私钥包括第一子私钥和第二子私钥,所述第一子公钥和所述第一子私钥相匹配,所述第二子公钥和所述第二子私钥相匹配;
所述第二生成子模块包括:
第一生成子单元,用于根据所述节点信息和所述第一子公钥加密生成所述节点识别码;
所述第一发送模块403包括:
第一发送子模块,用于向所述第一节点发送所述节点识别码和所述第二子私钥。
可选地,在一些实施例中,所述装置还包括:
第一接收模块,用于接收所述第一节点发送的上报消息,所述上报消息包括经过所述第二子私钥加密的数据摘要,所述数据摘要包括如下至少一种:时间戳、随机字符串、请求数据与所述节点识别码;
第一验签模块,用于根据所述第二子公钥对所述上报消息进行验签处理;
第一解密模块,用于在所述验签处理通过的情况下,根据所述第一子公钥对所述节点识别码进行解密处理;
第二获取模块,用于在所述解密处理通过的情况下,获取所述第一节点组内所有的所述第二节点的节点信息。
可选地,在一些实施例中,所述装置还包括:
第二接收模块,用于接收租户输入的节点调整指令,所述节点调整指令用于调整节点的节点组;
调整模块,用于根据所述节点调整指令,调整每一节点所属的节点组。
参见图5,图5是本发明实施例提供的网络自治与隔离装置500的结构图之二,如图5所示,包括以下模块:
第一拦截模块501,用于拦截得到目标请求,所述目标请求为第一节点向第二节点发送的请求,所述目标请求携带有第一节点识别码和所述第二节点的目标地址;
第二获取模块502,用于根据所述目标地址获取所述第二节点的第二节点识别码;
第一确定模块503,用于在所述第一节点识别码和所述第二节点识别码匹配的情况下,确定所述第一节点和所述第二节点属于同一节点组内的节点。
可选地,在一些实施例中,所述装置还包括:
第一转发模块,用于将所述请求数据转发至所述第二节点,所述请求数据用于向所述第二节点的目标应用请求数据。
参见图6,图6是本发明实施例提供的网络自治与隔离装置600的结构图之三,如图6所示,包括以下模块:
第二拦截模块601,用于拦截得到目标请求,所述目标请求为第一节点的广播请求,所述目标请求携带有第一节点识别码;
第二确定模块602,用于根据所述第一节点识别码确定所述第一节点所属的第一节点组;
第三确定模块603,用于遍历预先存储的目标节点,确定第二节点,所述第二节点为所述目标节点中属于所述第一节点组的节点。
可选地,在一些实施例中,所述装置还包括:
第二转发模块,用于将所述请求数据转发至所述第二节点,所述请求数据用于向所述第二节点的目标应用请求数据。
所述网络自治与隔离装置能够实现本申请实施例中图1、图2或图3方法实施例的各个过程,以及达到相同的有益效果,为避免重复,这里不再赘述。
本申请实施例还提供一种电子设备。请参见图13,电子设备可以包括处理器1301、存储器1302及存储在存储器1302上并可在处理器1301上运行的程序13021。
程序13021被处理器1301执行时可实现图1、图2或图3对应的方法实施例中的任意步骤及达到相同的有益效果,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法的全部或者部分步骤是可以通过程序指令相关的硬件来完成,所述的程序可以存储于一可读取介质中。
本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时可实现上述图1对应的方法实施例中的任意步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U 盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (5)

1.一种网络自治与隔离方法,其特征在于,应用于服务器,所述方法包括:
获取第一节点的节点信息,所述第一节点属于第一节点组,所述第一节点组还包括第二节点,所述第二节点为所述第一节点组内除所述第一节点外的节点;
根据所述节点信息生成节点识别码,所述节点识别码与所述第一节点一一对应;
向所述第一节点发送目标信息,以使所述第一节点根据所述节点识别码与服务器建立通信连接,所述目标信息包括节点识别码;
在所述第一节点与所述服务器建立通信连接的情况下,向所述第二节点发送所述第一节点的节点信息;
所述根据所述节点信息生成节点识别码,包括:
根据所述节点信息生成所述节点识别码和秘钥对,所述秘钥对包括第一公钥和第一私钥,所述第一公钥和所述第一私钥相匹配;
根据所述节点信息和所述第一公钥加密生成所述节点识别码;
所述目标信息还包括第一私钥,所述第一公钥包括第一子公钥和第二子公钥,所述第一私钥包括第一子私钥和第二子私钥,所述第一子公钥和所述第一子私钥相匹配,所述第二子公钥和所述第二子私钥相匹配;
所述根据所述节点信息和所述第一公钥加密生成所述节点识别码,包括: 根据所述节点信息和所述第一子公钥加密生成所述节点识别码;
所述向所述第一节点发送目标信息,包括:
向所述第一节点发送所述节点识别码和所述第二子私钥;
接收所述第一节点发送的上报消息,所述上报消息包括经过所述第二子私钥加密的数据摘要,所述数据摘要包括如下至少一种:时间戳、随机字符串、请求数据与所述节点识别码;
根据所述第二子公钥对所述上报消息进行验签处理;
在所述验签处理通过的情况下,根据所述第一子公钥对所述节点识别码进行解密处理;
在所述解密处理通过的情况下,获取所述第一节点组内所有的所述第二节点的节点信息。
2.根据权利要求1所述的网络自治与隔离方法,其特征在于,在所述根据所述节点信息生成节点识别码之前,所述方法还包括:
接收租户输入的节点调整指令,所述节点调整指令用于调整节点的节点组;
根据所述节点调整指令,调整每一节点所属的节点组。
3.一种网络自治与隔离装置,其特征在于,所述装置包括:
第一获取模块,用于获取第一节点的节点信息,所述第一节点属于第一节点组,所述第一节点组还包括第二节点,所述第二节点为所述第一节点组内除所述第一节点外的节点;
生成模块,用于根据所述节点信息生成节点识别码,所述节点识别码与所述第一节点一一对应;
第一发送模块,用于向所述第一节点发送目标信息,以使所述第一节点根据所述节点识别码与服务器建立通信连接,所述目标信息包括节点识别码;
第二发送模块,用于在所述第一节点与所述服务器建立通信连接的情况下, 向所述第二节点发送所述第一节点的节点信息;
所述生成模块包括:
第一生成子模块,用于根据所述节点信息生成所述节点识别码和秘钥对,所述秘钥对包括第一公钥和第一私钥,所述第一公钥和所述第一私钥相匹配;
第二生成子模块,用于根据所述节点信息和所述第一公钥加密生成所述节点识别码;
所述目标信息还包括第一私钥,所述第一公钥包括第一子公钥和第二子公钥,所述第一私钥包括第一子私钥和第二子私钥,所述第一子公钥和所述第一子私钥相匹配,所述第二子公钥和所述第二子私钥相匹配;
所述第一生成子模块还用于:
根据所述节点信息和所述第一子公钥加密生成所述节点识别码;
所述第一发送模块还用于:
向所述第一节点发送所述节点识别码和所述第二子私钥;
接收模块,用于接收所述第一节点发送的上报消息,所述上报消息包括经过所述第二子私钥加密的数据摘要,所述数据摘要包括如下至少一种:时间戳、随机字符串、请求数据与所述节点识别码;
验签模块,用于根据所述第二子公钥对所述上报消息进行验签处理;
解密模块,用于在所述验签处理通过的情况下,根据所述第一子公钥对所述节点识别码进行解密处理;
获取模块,用于在所述解密处理通过的情况下,获取所述第一节点组内所有的所述第二节点的节点信息。
4.一种电子设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,所述处理器,用于读取存储器中的程序实现如权利要求 1 至 2 中任一项所述的方法中的步骤。
5.一种可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现如权利要求 1 至 2 中任一项所述的方法中的步骤。
CN202311025545.3A 2023-08-15 2023-08-15 网络自治与隔离方法、装置、电子设备及可读存储介质 Active CN116743512B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311025545.3A CN116743512B (zh) 2023-08-15 2023-08-15 网络自治与隔离方法、装置、电子设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311025545.3A CN116743512B (zh) 2023-08-15 2023-08-15 网络自治与隔离方法、装置、电子设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN116743512A CN116743512A (zh) 2023-09-12
CN116743512B true CN116743512B (zh) 2024-01-26

Family

ID=87919065

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311025545.3A Active CN116743512B (zh) 2023-08-15 2023-08-15 网络自治与隔离方法、装置、电子设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN116743512B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541551A (zh) * 2020-05-22 2020-08-14 杭州时戳信息科技有限公司 门限签名消息的处理方法、系统、存储介质及服务器
CN112019417A (zh) * 2019-05-30 2020-12-01 华为技术有限公司 传输报文的方法与设备
CN112200575A (zh) * 2020-05-28 2021-01-08 支付宝(杭州)信息技术有限公司 在联盟链网络中创建节点组、基于节点组的交易方法
CN112235331A (zh) * 2019-07-15 2021-01-15 中国移动通信有限公司研究院 一种数据传输处理方法及设备
CN115174139A (zh) * 2022-05-26 2022-10-11 华为技术有限公司 节点隔离方法、交换设备及以太网存储系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112019417A (zh) * 2019-05-30 2020-12-01 华为技术有限公司 传输报文的方法与设备
CN112235331A (zh) * 2019-07-15 2021-01-15 中国移动通信有限公司研究院 一种数据传输处理方法及设备
CN111541551A (zh) * 2020-05-22 2020-08-14 杭州时戳信息科技有限公司 门限签名消息的处理方法、系统、存储介质及服务器
CN112200575A (zh) * 2020-05-28 2021-01-08 支付宝(杭州)信息技术有限公司 在联盟链网络中创建节点组、基于节点组的交易方法
WO2021239072A1 (zh) * 2020-05-28 2021-12-02 支付宝(杭州)信息技术有限公司 在联盟链网络中创建节点组、基于节点组的交易方法
CN115174139A (zh) * 2022-05-26 2022-10-11 华为技术有限公司 节点隔离方法、交换设备及以太网存储系统

Also Published As

Publication number Publication date
CN116743512A (zh) 2023-09-12

Similar Documents

Publication Publication Date Title
KR102134302B1 (ko) 무선 네트워크 접속 방법 및 장치, 및 저장 매체
US7739508B2 (en) Secure instant messaging system
US7720227B2 (en) Encryption method for SIP message and encrypted SIP communication system
EP1484856A1 (en) The method for distributes the encrypted key in wireless lan
CN112311537B (zh) 基于区块链的设备接入认证系统及方法
CN101702725A (zh) 一种流媒体数据传输的系统、方法及装置
WO2010025638A1 (zh) 点对点直播流传递的方法、装置及系统
JP2001177513A (ja) 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体
CN108206738B (zh) 一种量子密钥输出方法及系统
CN111818023A (zh) 适用于空地通信链路的数据传输方法及数据传输系统
CN104468074A (zh) 应用程序之间认证的方法及设备
CN111934888B (zh) 一种改进软件定义网络的安全通信系统
KR101213301B1 (ko) 다운로더블 제한 수신 시스템에서의 재인증 처리 장치 및 방법
KR101880999B1 (ko) 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법
CN116743512B (zh) 网络自治与隔离方法、装置、电子设备及可读存储介质
CN101783792B (zh) 基于互联网的加密通信方法及系统
US11265298B2 (en) Method for end-to-end transmission of a piece of encrypted digital information, application of this method and object implementing this method
JP2001111538A (ja) 通信システムとその方法、通信装置およびicカード
CN115150076A (zh) 一种基于量子随机数的加密系统及方法
CN111917756B (zh) 一种执法记录仪基于公钥路由的加密系统及加密方法
CN114157488A (zh) 密钥获取方法、装置、电子设备及存储介质
KR20150135717A (ko) 모바일 멀티홉 네트워크에서 비밀키를 공유하는 장치 및 방법
KR101609095B1 (ko) 콘텐츠 전송 네트워크에서의 데이터 보안 장치 및 그 방법
CN117040744B (zh) 一种卫星通信组网方法、装置及密钥管理系统
CN113783847B (zh) 消息交互方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant