CN117082522B - 一种物联网设备动态ip准入方法、装置及设备 - Google Patents

一种物联网设备动态ip准入方法、装置及设备 Download PDF

Info

Publication number
CN117082522B
CN117082522B CN202310831785.6A CN202310831785A CN117082522B CN 117082522 B CN117082522 B CN 117082522B CN 202310831785 A CN202310831785 A CN 202310831785A CN 117082522 B CN117082522 B CN 117082522B
Authority
CN
China
Prior art keywords
internet
unique information
things
things terminal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310831785.6A
Other languages
English (en)
Other versions
CN117082522A (zh
Inventor
国占飞
万志宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202310831785.6A priority Critical patent/CN117082522B/zh
Publication of CN117082522A publication Critical patent/CN117082522A/zh
Application granted granted Critical
Publication of CN117082522B publication Critical patent/CN117082522B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种物联网设备动态IP准入方法、装置及设备,所述方法包括:获取物联网终端向物联网中心数据服务器发送的流量数据,物联网中心数据服务器基于目标网络进行通讯;分析流量数据,以获得对应当前物联网终端的唯一性信息,每个物联网终端向物联网中心数据服务器发送数据时均会携带各自的唯一性信息,唯一性信息的内容固定;基于存储的唯一性信息数组对提取的唯一性信息进行比对,若在唯一性信息数组中能够查找到与唯一性信息匹配的信息,则控制防火墙对当前物联网终端的IP进行放行,唯一性信息数组至少包括准入目标网络的物联网终端的唯一性信息。本发明的方法能够实现防火墙对物联网终端的动态IP准确识别,以对物联网终端进行安全防护。

Description

一种物联网设备动态IP准入方法、装置及设备
技术领域
本发明实施例涉及信息安全技术领域,特别涉及一种物联网设备动态IP准入方法、装置及设备。
背景技术
动态IP是指网络端为用户终端进行动态的IP地址分配,以实现用户终端对网络的访问,例如以物联网4G动态IP为例,其指的是基于4G网络的物联网设备使用动态IP地址进行通信。4G网络是一种广泛使用的无线通信网络,由运营商提供服务。为支持多个设备接入到网络中,4G网络通常会使用动态IP地址进行分配。
传统防火墙是根据固定IP进行访问控制策略的设置,对于这种动态IP的情况下,传统防火墙不能针对特定终端进行准入,也不能对物联网终端进行安全防护。
为了解决上述问题,目前一些方法提出一种基于IP-MAC实名绑定的网络准入控制系统,但是该系统只能够用于实现对仿冒的DHCP服务器的屏蔽和手动配置的IP地址的屏蔽,并不能实现对动态IP的管理,也即该方法还是针对固定IP的终端,而且在4G场景和经过多个三层交换机的场景下,系统是不能拿到真实MAC和DHCP报文的,所以对于现有技术中的问题,还是无法解决。
还有方法提出一种物联网泛终端认证传输安全认证系统,该系统包括云端平台,用于接收至少一个物联网泛终端的初始设备特征信息,抽取初始设备特征信息中预设位数的目标数据;根据目标数据,生成物联网泛终端对应的唯一标识编码;发送各物联网泛终端对应的唯一标识编码至物联网通信终端,以供物联网通信终端进行储存;物联网通信终端,用于与各物联网泛终端中的至少一个目标物联网泛终端建立通讯连接时,收集目标物联网泛终端的实际设备特征信息;并根据目标物联网泛终端对应的唯一标识编码和实际设备特征信息,请求安全认证平台对目标物联网泛终端进行安全认证。但是云端平台需要和物联网通讯终端通讯,通常在物联网领域,平台是不能直接和终端建立通讯的。所以该方案仍然只能应用于固定IP的电力行业。另外,若应用该方法,还需要改造物理网通讯终端代码,用于实现接收平台发送的唯一标识编码并存储,而这在实际物联网场景下是较难实现的。
发明内容
本发明提供了一种用于解决防火墙对物联网终端的动态IP无法准确识别,不能对物联网终端进行安全防护的物联网设备动态IP准入方法、装置及设备。
为了解决上述技术问题,本发明实施例提供了一种物联网设备动态IP准入方法,包括:
获取物联网终端向物联网中心数据服务器发送的流量数据,所述物联网中心数据服务器基于目标网络进行通讯;
分析所述流量数据,以获得对应当前物联网终端的唯一性信息,每个所述物联网终端向物联网中心数据服务器发送数据时均会携带各自的唯一性信息,所述唯一性信息的内容固定;
基于存储的唯一性信息数组对提取的所述唯一性信息进行比对,若在所述唯一性信息数组中能够查找到与所述唯一性信息匹配的信息,则控制防火墙对当前物联网终端的IP进行放行,所述唯一性信息数组至少包括准入所述目标网络的物联网终端的唯一性信息。
在一些实施例中,还包括:
向审核方展示获得的每个物联网终端的唯一性信息;
获得对应每个所述物联网终端的审核结果,所述审核结果包括是否允许对应的物联网终端准入所述目标网络的信息;
基于审核结果至少将准入所述目标网络的物联网终端的唯一性信息进行收集,形成所述唯一性信息数组。
在一些实施例中,所述唯一性信息数组还包括准入所述目标网络的物联网终端的IP信息,所述IP信息为非固定信息;
所述基于审核结果至少将准入所述目标网络的物联网终端的唯一性信息进行收集,形成所述唯一性信息数组,包括:
基于审核结果将准入所述目标网络的物联网终端的唯一性信息及当前的IP信息进行收集,并匹配存储,以形成所述唯一性信息数组。
在一些实施例中,还包括:
确定当前判定准入所述目标网络的物联网终端的IP信息与所述唯一性信息数组中记录的IP信息是否一致,若不一致,则基于该物联网终端当前的IP信息更新所述唯一性信息数组中对应记录的IP信息。
在一些实施例中,所述控制防火墙对当前物联网终端的IP进行放行,包括:
将准入所述目标网络的物联网终端的IP信息存储至所述防火墙的防火墙策略中,并在确定该物联网终端的IP信息发生变化或所述防火墙对该物联网终端重新发起注册请求时,基于所述唯一性信息数组中更新后的IP信息更新所述防火墙策略中记录的原IP信息。
在一些实施例中,所述分析所述流量数据,以获得对应当前物联网终端的唯一性信息,包括:
对所述流量数据进行流还原,分析还原后的所述流量数据,以获得当前物联网终端的应用层数据;
基于所述应用层数据识别确定当前物联网终端使用的传输协议的特征字段。
在一些实施例中,所述获取物联网终端向物联网中心数据服务器发送的流量数据,包括:
基于检测设备获得所述物联网终端向物联网中心数据服务器发送的流量数据,所述检测设备串联在所述物联网终端所在的用户网络中,或与交换机的物联网流量入口连接,所述交换机将接收的流量数据镜像至检测设备。
在一些实施例中,还包括:
若在所述唯一性信息数组中未查找到与所述唯一性信息匹配的信息,则将所述唯一性信息和/或基于所述流量数据获得的当前物联网终端的信息发送至审核方进行准入审核;
获得审核结果,若所述审核结果表明允许当前物联网终端接入所述目标网络,则至少将当前物联网终端的唯一性信息存储至所述唯一性信息数组中。
本发明另一实施例同时提供一种物联网设备动态IP准入装置,包括:
获取模块,用于获取物联网终端向物联网中心数据服务器发送的流量数据,所述物联网中心数据服务器基于目标网络进行通讯;
分析模块,用于分析所述流量数据,以获得对应当前物联网终端的唯一性信息,每个所述物联网终端向物联网中心数据服务器发送数据时均会携带各自的唯一性信息,所述唯一性信息的内容固定;
比对模块,用于根据存储的唯一性信息数组对提取的所述唯一性信息进行比对,若在所述唯一性信息数组中能够查找到与所述唯一性信息匹配的信息,则控制防火墙对当前物联网终端的IP进行放行,所述唯一性信息数组至少包括准入所述目标网络的物联网终端的唯一性信息。
本发明另一实施例还提供一种电子设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行以实现如上述任一项实施例所述的物联网设备动态IP准入方法。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括无需改造用户网络,也不会对物联网终端造成额外负担,仅通过获取物联网终端的流量数据,并对其进行处理、分析,确定出唯一性信息,便可根据唯一性信息对物联网设备的网络准入进行有效管控,实现防火墙对动态IP的准确识别,彻底解决防火墙无法对物联网终端进行安全防护的问题。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明实施例中的物联网设备动态IP准入方法流程图。
图2为本发明实施例中的物理网设备动态IP准入方法在用户网络中的执行位置。
图3为本发明实施例中的物联网设备动态IP准入方法的应用流程图。
图4为本发明实施例中的物联网设备动态IP准入装置的结构框图。
具体实施方式
下面,结合附图对本发明的具体实施例进行详细的描述,但不作为本发明的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本发明实施例。
如图1所示,本发明实施例提供了一种物联网设备动态IP准入方法,包括:
S1:获取物联网终端向物联网中心数据服务器发送的流量数据,物联网中心数据服务器基于目标网络进行通讯;
S2:分析流量数据,以获得对应当前物联网终端的唯一性信息,每个物联网终端向物联网中心数据服务器发送数据时均会携带各自的唯一性信息,唯一性信息的内容固定;
S3:基于存储的唯一性信息数组对提取的唯一性信息进行比对,若在唯一性信息数组中能够查找到与唯一性信息匹配的信息,则控制防火墙对当前物联网终端的IP进行放行,唯一性信息数组至少包括准入目标网络的物联网终端的唯一性信息。
由于针对物联网终端,都会有一个自身的唯一性信息,此信息在物联网终端上报数据的时候均会携带,也即物联网终端的流量数据中均会携带内容固定的唯一性信息,该唯一性信息不会像物联网终端的IP地址一样动态变化,网络平台需要根据此唯一性信息标定此流量数据的来源。据此,在解决针对物联网终端IP频繁变化场景下的终端准入问题,本实施例的方法将物联网终端通讯内容的唯一性信息作为物联网终端的身份识别信息,取代以往基于IP信息进行终端识别的方法,如此无需改造用户网络,即无需改变用户现有的网络架构,也不会对物联网终端造成额外负担,仅通过获取物联网终端的流量数据,并对其进行处理、分析,确定出唯一性信息,便可根据唯一性信息对物联网设备的网络准入进行有效管控,实现防火墙对动态IP的准确识别,彻底解决防火墙无法对物联网终端进行安全防护的问题。
进一步地,本实施例中的方法还包括:
S4:向审核方展示获得的每个物联网终端的唯一性信息;
S5:获得对应每个物联网终端的审核结果,审核结果包括是否允许对应的物联网终端准入目标网络的信息;
S6:基于审核结果至少将准入目标网络的物联网终端的唯一性信息进行收集,形成唯一性信息数组。
例如,审核方可以为用户或网络管理员,在向审核方展示信息时可通过在应用程序上预置界面或通过web页面进行展示,审核方对唯一性信息进行审核,得到对应各唯一性信息的准入信息,也即得到是否允许该物联网终端准入目标网络,访问物联网中心数据服务器的审核结果。基于该审核结果系统可将准入的唯一性信息进行收集,形成唯一性信息数组。
在一些实施例中,唯一性信息数组还包括准入目标网络的物联网终端的IP信息,该IP信息为非固定信息,也即唯一性信息数组中记录的对应每个物联网终端的IP信息并非是固定不变的,而是变化的。
具体地,在基于审核结果至少将准入目标网络的物联网终端的唯一性信息进行收集,形成唯一性信息数组时,包括:
S7:基于审核结果将准入目标网络的物联网终端的唯一性信息及当前的IP信息进行收集,并匹配存储,以形成唯一性信息数组。
也就是基于审核结果确定了准入的唯一性信息后,系统会同时确定准入的物联网终端的IP信息,并将各IP信息与对应同一物联网终端的唯一性信息进行匹配存储,进而形成唯一性信息数组。
由于目前在4G网络下通讯的物联网终端的IP信息是动态变化的,所以唯一性信息数组中记录的IP信息应具有实时性的特点,以确保信息准确性,为此,本实施例中的方法还包括:
确定当前判定准入目标网络的物联网终端的IP信息与唯一性信息数组中记录的IP信息是否一致,若不一致,则基于该物联网终端当前的IP信息更新唯一性信息数组中对应记录的IP信息。
例如,在已经形成有唯一性信息数组的情况下,系统基于获取的流量数据确定了当前物联网终端的唯一性信息,并将该信息与唯一性信息数组进行比对,确定数组中已经存储了该唯一性信息后,还需要对该物联网终端当前的IP信息与数组中记录的IP信息进行比对,看其是否一致,若一致,则忽略,若不一致,则基于当前IP信息更新数组中记录的IP信息。
本实施例中,在唯一性信息数组中记录准入的物联网终端的IP信息是为了控制防火墙对该物联网终端的IP进行准入。具体地,控制防火墙对当前物联网终端的IP进行放行,包括:
S8:将准入目标网络的物联网终端的IP信息存储至防火墙的防火墙策略中,并在确定该物联网终端的IP信息发生变化或防火墙对该物联网终端重新发起注册请求时,基于唯一性信息数组中更新后的IP信息更新防火墙策略中记录的原IP信息。
例如,自流量数据中提取的信息与唯一性信息数组中记录的信息进行比对,确定当前终端为准入的物联网终端,但其IP信息发生改变,与数组中记录的IP信息不一致后,系统可以自动联动防火墙,将新的IP信息更新至防火墙的防火墙策略中,使防火墙基于更新后的策略而准入该IP。也就是系统在防火墙之前发现物联网终端的IP变化,随机更新了防火墙策略。或者,防火墙发现当前物联网终端的IP并未存储在已有策略中,故重新发起注册请求时,系统可以直接将新的IP信息更新至防火墙策略中,使物联网终端无需再次注册。
当然也可以在唯一性数组中不记录IP信息,当确定该物联网终端为准入的终端后,系统可直接将终端当前的IP信息发送至防火墙,以控制防火墙对该IP准入。
进一步地,本实施例中的系统在分析流量数据,以获得对应当前物联网终端的唯一性信息时,包括:
S9:对流量数据进行流还原,分析还原后的流量数据,以获得当前物联网终端的应用层数据;
S10:基于应用层数据识别确定当前物联网终端使用的传输协议的特征字段。
例如可以使用第三方工具对物联网终端的流量数据进行流还原,得到原始数据包,接着分析还原后的数据,获得其五元组信息,该五元组信息包含物联网终端的应用层数据,如使用的传输协议,之后系统便可基于该应用层数据识别确定出当前物联网终端使用的传输协议的特征字段,该特征字段即为唯一性信息,如使用MQTT协议时会使用MQTT的clientID字段作为唯一性信息。
可选地,在获取物联网终端向物联网中心数据服务器发送的流量数据时,包括:
S11:基于检测设备获得物联网终端向物联网中心数据服务器发送的流量数据,检测设备串联在物联网终端所在的用户网络中,或与交换机的物联网流量入口连接,交换机将接收的流量数据镜像至检测设备。
实际上,本实施例的物联网终端动态IP准入方法均可在该检测设备中执行,例如,在物联网流量入口安装检测设备,如硬件网关,并将获得的物联网终端的流量全部镜像至检测设备,或将检测设备串联进用户网络,其结构可参考图2所示。基于检测设备对流量数据进行监听,这里包括但不限于使用抓包技术,通过将流量捕获到检测设备中用于执行本实施例方法的应用程序后,再分析流量中的终端的唯一性信息。若未形成唯一性信息数组时,可将唯一性信息和当前流量中记载的源IP地址进行绑定。接着将该信息提供给例如管理员界面等,以向管理员(审核方)展示识别到的终端唯一性信息,同时可以提供准入选择,若准入,则将绑定的信息进行匹配存储,记录在唯一性信息数组中,否则丢弃。当形成唯一性信息数组后,再次获得物联网终端的流量数据,并提取出其唯一性信息后,可基于数组进行查询,若能够查到对应的唯一性信息,则允许放行。而此时如果终端IP发生变化,防火墙会重新发起注册请求,此时检测设备会对应更新数组中记录的IP信息,同时联动底层防火墙禁止之前的IP,放行现在的IP,也即更新防火墙策略中的IP信息,以此达到防火墙实现动态IP准入的效果。
进一步地,在另一些实施例中,所述方法还包括:
S12:若在唯一性信息数组中未查找到与唯一性信息匹配的信息,则将唯一性信息和/或基于流量数据获得的当前物联网终端的信息发送至审核方进行准入审核;
S13:获得审核结果,若审核结果表明允许当前物联网终端接入目标网络,则至少将当前物联网终端的唯一性信息存储至唯一性信息数组中。
例如检测设备经比对发现当前物联网终端不是准入设备,此时检测设备可以不直接阻断该物联网终端,而是先向审核方发送该终端信息,由审核方确定是否允许该终端接入目标网络,访问服务器,若允许,则检测设备匹配存储该终端的唯一性信息及当前IP,并同步联动防火墙,使其放行该IP。
在实际应用时,如图3所示,可以针对物联网终端的数据接入口进行串联或者旁路监听,获取物联网终端的流量数据,接着对物联网终端通讯数据进行流还原,获得应用层数据,并对应用层数据进行分析,以基于预设的唯一性信息提取逻辑对物联网终端进行唯一性信息的提取,所述逻辑例如可以是识别、解析传输协议,确定对应该协议的特征字段。将提取的信息通过和唯一性信息数组进行比对,若数组中存储有该唯一性信息,则允许放行,若数组内未存储有该唯一性信息,则对应该终端的连接将会被阻断;或者,将未存储的唯一性信息提供给管理员审核,审核通过后对该唯一性信息/终端进行准入,准入的终端的唯一性信息及其IP将会加入唯一性信息数组。当检测设备确定当前终端准入时,自动联动底层防火墙对当前IP进行放行。若对于变化了IP的准入终端,检测设备会同步更新唯一性信息数组以及防火墙策略,使得防火墙禁止终端之前的IP,放行现在的IP。
可选地,本实施例中在提取了唯一性信息及对应终端的IP后,会将其放入MapString中,其中Key值是唯一性信息字符串,Value是IP地址,基于此形成唯一性信息数组。
具体地,以某项目要求其安装的终端都是用4G入网,IP地址一直会发生变化,且只有部分终端能够和服务器进行通讯为例,为满足该项目要求,基于本实施例的方法可以要求用户安装一个(流量)检测设备,使基于该检测设备对所有欲和服务器通讯的终端的流量数据进行检测,以识别出准入的终端,确保其可以和服务器进行通讯,而其他终端流量不能到达服务器,即不能访问服务器,以此达到对服务器的安全防护。具体执行步骤例如可以包括:
1.在客户现场部署一台流量检测设备,其与核心交换机相连。
2.将用户现场所有内网电脑的流量经由核心交换机镜像给流量检测设备。
3.流量检测设备实时分析每个终端发起的连接流量,提取唯一性信息,并进行唯一性信息及IP的匹配记录。
4.流量检测设备将唯一性信息展示给用户,用户可根据需要进行准入筛选。
5.流量检测设备基于筛选结果形成唯一性信息与IP的对应关系表(即唯一性信息数组),同时基于该对应关系表对防火墙策略进行配置,以联动防火墙使得只有被允许准入的终端可以访问服务器,而其他终端,例如新接入或者攻击者的终端不能访问服务器;
6.当4G终端的IP地址发生变化时,流量检测设备同步更新对应关系表及防火墙策略,使得防火墙依然能够对准入的终端的IP放行。
如图4所示,本发明另一实施例同时提供一种物联网设备动态IP准入装置100,包括:
获取模块,用于获取物联网终端向物联网中心数据服务器发送的流量数据,所述物联网中心数据服务器基于目标网络进行通讯;
分析模块,用于分析所述流量数据,以获得对应当前物联网终端的唯一性信息,每个所述物联网终端向物联网中心数据服务器发送数据时均会携带各自的唯一性信息,所述唯一性信息的内容固定;
比对模块,用于根据存储的唯一性信息数组对提取的所述唯一性信息进行比对,若在所述唯一性信息数组中能够查找到与所述唯一性信息匹配的信息,则控制防火墙对当前物联网终端的IP进行放行,所述唯一性信息数组至少包括准入所述目标网络的物联网终端的唯一性信息。
在一些实施例中,所述装置还包括:
展示模块,用于向审核方展示获得的每个物联网终端的唯一性信息;
获得模块,用于获得对应每个所述物联网终端的审核结果,所述审核结果包括是否允许对应的物联网终端准入所述目标网络的信息;
收集模块,用于根据审核结果至少将准入所述目标网络的物联网终端的唯一性信息进行收集,形成所述唯一性信息数组。
在一些实施例中,所述唯一性信息数组还包括准入所述目标网络的物联网终端的IP信息,所述IP信息为非固定信息;
所述基于审核结果至少将准入所述目标网络的物联网终端的唯一性信息进行收集,形成所述唯一性信息数组,包括:
基于审核结果将准入所述目标网络的物联网终端的唯一性信息及当前的IP信息进行收集,并匹配存储,以形成所述唯一性信息数组。
在一些实施例中,所述装置还包括:
更新模块,用于确定当前判定准入所述目标网络的物联网终端的IP信息与所述唯一性信息数组中记录的IP信息是否一致,若不一致,则基于该物联网终端当前的IP信息更新所述唯一性信息数组中对应记录的IP信息。
在一些实施例中,所述控制防火墙对当前物联网终端的IP进行放行,包括:
将准入所述目标网络的物联网终端的IP信息存储至所述防火墙的防火墙策略中,并在确定该物联网终端的IP信息发生变化或所述防火墙对该物联网终端重新发起注册请求时,基于所述唯一性信息数组中更新后的IP信息更新所述防火墙策略中记录的原IP信息。
在一些实施例中,所述分析所述流量数据,以获得对应当前物联网终端的唯一性信息,包括:
对所述流量数据进行流还原,分析还原后的所述流量数据,以获得当前物联网终端的应用层数据;
基于所述应用层数据识别确定当前物联网终端使用的传输协议的特征字段。
在一些实施例中,所述获取物联网终端向物联网中心数据服务器发送的流量数据,包括:
基于检测设备获得所述物联网终端向物联网中心数据服务器发送的流量数据,所述检测设备串联在所述物联网终端所在的用户网络中,或与交换机的物联网流量入口连接,所述交换机将接收的流量数据镜像至检测设备。
在一些实施例中,所述装置还包括:
发送模块,用于在所述唯一性信息数组中未查找到与所述唯一性信息匹配的信息,则将所述唯一性信息和/或基于所述流量数据获得的当前物联网终端的信息发送至审核方进行准入审核;
存储模块,用于获得审核结果,若所述审核结果表明允许当前物联网终端接入所述目标网络,则至少将当前物联网终端的唯一性信息存储至所述唯一性信息数组中。
本发明另一实施例还提供一种电子设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行以实现如上述任一项实施例所述的物联网设备动态IP准入方法。
进一步地,本发明一实施例还提供一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的物联网设备动态IP准入方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
进一步地,本发明实施例还提供了一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令,所述计算机可执行指令在被执行时使至少一个处理器执行诸如上文所述实施例中的物联网设备动态IP准入方法。
另外,本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。

Claims (9)

1.一种物联网设备动态IP准入方法,其特征在于,包括:
获取物联网终端向物联网中心数据服务器发送的流量数据,所述物联网中心数据服务器基于目标网络进行通讯;
分析所述流量数据,以获得对应当前物联网终端的唯一性信息,每个所述物联网终端向物联网中心数据服务器发送数据时均会携带各自的唯一性信息,所述唯一性信息的内容固定;
基于存储的唯一性信息数组对提取的所述唯一性信息进行比对,若在所述唯一性信息数组中能够查找到与所述唯一性信息匹配的信息,则控制防火墙对当前物联网终端的IP进行放行,所述唯一性信息数组至少包括准入所述目标网络的物联网终端的唯一性信息;
其中,所述分析所述流量数据,以获得对应当前物联网终端的唯一性信息,包括:
对所述流量数据进行流还原,分析还原后的所述流量数据,以获得当前物联网终端的应用层数据;
基于所述应用层数据识别确定当前物联网终端使用的传输协议的特征字段。
2.根据权利要求1所述的物联网设备动态IP准入方法,其特征在于,还包括:
向审核方展示获得的每个物联网终端的唯一性信息;
获得对应每个所述物联网终端的审核结果,所述审核结果包括是否允许对应的物联网终端准入所述目标网络的信息;
基于审核结果至少将准入所述目标网络的物联网终端的唯一性信息进行收集,形成所述唯一性信息数组。
3.根据权利要求2所述的物联网设备动态IP准入方法,其特征在于,所述唯一性信息数组还包括准入所述目标网络的物联网终端的IP信息,所述IP信息为非固定信息;
所述基于审核结果至少将准入所述目标网络的物联网终端的唯一性信息进行收集,形成所述唯一性信息数组,包括:
基于审核结果将准入所述目标网络的物联网终端的唯一性信息及当前的IP信息进行收集,并匹配存储,以形成所述唯一性信息数组。
4.根据权利要求3所述的物联网设备动态IP准入方法,其特征在于,还包括:
确定当前判定准入所述目标网络的物联网终端的IP信息与所述唯一性信息数组中记录的IP信息是否一致,若不一致,则基于该物联网终端当前的IP信息更新所述唯一性信息数组中对应记录的IP信息。
5.根据权利要求4所述的物联网设备动态IP准入方法,其特征在于,所述控制防火墙对当前物联网终端的IP进行放行,包括:
将准入所述目标网络的物联网终端的IP信息存储至所述防火墙的防火墙策略中,并在确定该物联网终端的IP信息发生变化或所述防火墙对该物联网终端重新发起注册请求时,基于所述唯一性信息数组中更新后的IP信息更新所述防火墙策略中记录的原IP信息。
6.根据权利要求1所述的物联网设备动态IP准入方法,其特征在于,所述获取物联网终端向物联网中心数据服务器发送的流量数据,包括:
基于检测设备获得所述物联网终端向物联网中心数据服务器发送的流量数据,所述检测设备串联在所述物联网终端所在的用户网络中,或与交换机的物联网流量入口连接,所述交换机将接收的流量数据镜像至检测设备。
7.根据权利要求1所述的物联网设备动态IP准入方法,其特征在于,还包括:
若在所述唯一性信息数组中未查找到与所述唯一性信息匹配的信息,则将所述唯一性信息和/或基于所述流量数据获得的当前物联网终端的信息发送至审核方进行准入审核;
获得审核结果,若所述审核结果表明允许当前物联网终端接入所述目标网络,则至少将当前物联网终端的唯一性信息存储至所述唯一性信息数组中。
8.一种物联网设备动态IP准入装置,其特征在于,包括:
获取模块,用于获取物联网终端向物联网中心数据服务器发送的流量数据,所述物联网中心数据服务器基于目标网络进行通讯;
分析模块,用于分析所述流量数据,以获得对应当前物联网终端的唯一性信息,每个所述物联网终端向物联网中心数据服务器发送数据时均会携带各自的唯一性信息,所述唯一性信息的内容固定;
比对模块,用于根据存储的唯一性信息数组对提取的所述唯一性信息进行比对,若在所述唯一性信息数组中能够查找到与所述唯一性信息匹配的信息,则控制防火墙对当前物联网终端的IP进行放行,所述唯一性信息数组至少包括准入所述目标网络的物联网终端的唯一性信息;
其中,所述分析所述流量数据,以获得对应当前物联网终端的唯一性信息,包括:
对所述流量数据进行流还原,分析还原后的所述流量数据,以获得当前物联网终端的应用层数据;
基于所述应用层数据识别确定当前物联网终端使用的传输协议的特征字段。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行以实现如权利要求1-7任一项所述的物联网设备动态IP准入方法。
CN202310831785.6A 2023-07-07 2023-07-07 一种物联网设备动态ip准入方法、装置及设备 Active CN117082522B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310831785.6A CN117082522B (zh) 2023-07-07 2023-07-07 一种物联网设备动态ip准入方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310831785.6A CN117082522B (zh) 2023-07-07 2023-07-07 一种物联网设备动态ip准入方法、装置及设备

Publications (2)

Publication Number Publication Date
CN117082522A CN117082522A (zh) 2023-11-17
CN117082522B true CN117082522B (zh) 2024-04-19

Family

ID=88714215

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310831785.6A Active CN117082522B (zh) 2023-07-07 2023-07-07 一种物联网设备动态ip准入方法、装置及设备

Country Status (1)

Country Link
CN (1) CN117082522B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107395386A (zh) * 2016-05-17 2017-11-24 阿里巴巴集团控股有限公司 一种控制智能终端的方法和系统、网关设备
CN107483461A (zh) * 2017-08-30 2017-12-15 北京奇安信科技有限公司 一种nat环境下的终端准入控制方法及装置
CN115459919A (zh) * 2022-08-05 2022-12-09 广东省电信规划设计院有限公司 物联网泛终端安全认证系统、方法、装置和物联网通信终端

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756450B (zh) * 2017-11-03 2021-06-15 华为技术有限公司 一种物联网通信的方法、装置、系统和存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107395386A (zh) * 2016-05-17 2017-11-24 阿里巴巴集团控股有限公司 一种控制智能终端的方法和系统、网关设备
CN107483461A (zh) * 2017-08-30 2017-12-15 北京奇安信科技有限公司 一种nat环境下的终端准入控制方法及装置
CN115459919A (zh) * 2022-08-05 2022-12-09 广东省电信规划设计院有限公司 物联网泛终端安全认证系统、方法、装置和物联网通信终端

Also Published As

Publication number Publication date
CN117082522A (zh) 2023-11-17

Similar Documents

Publication Publication Date Title
CN106302397B (zh) 一种基于设备指纹的设备识别系统
CN109167798B (zh) 一种基于机器学习的家用物联网设备DDoS检测方法
US7890752B2 (en) Methods, systems, and computer program products for associating an originator of a network packet with the network packet using biometric information
CN107493280A (zh) 用户认证的方法、智能网关及认证服务器
US7463593B2 (en) Network host isolation tool
CN110401624A (zh) 源网荷系统交互报文异常的检测方法及系统
US20090172156A1 (en) Address security in a routed access network
CN105554009B (zh) 一种通过网络数据获取设备操作系统信息的方法
CN109587156A (zh) 异常网络访问连接识别与阻断方法、系统、介质和设备
CN112910854B (zh) 物联网安全运维的方法、装置、终端设备和存储介质
CN111885106A (zh) 一种基于终端设备特征信息的物联网安全管控方法及系统
CN104618522B (zh) 终端ip地址自动更新的方法及以太网接入设备
CN107528712A (zh) 访问权限的确定、页面的访问方法及装置
US9325719B2 (en) Method and system for evaluating access granted to users moving dynamically across endpoints in a network
CN111917706A (zh) 一种识别nat设备及确定nat后终端数的方法
CN109040016A (zh) 一种信息处理方法、设备及计算机可读存储介质
CN117082522B (zh) 一种物联网设备动态ip准入方法、装置及设备
US8724506B2 (en) Detecting double attachment between a wired network and at least one wireless network
CN109587121B (zh) 安全策略的管控方法及装置
CN101193129A (zh) 认证用户名生成方法和装置
CN105391720A (zh) 用户终端登录方法及装置
CN113746864B (zh) 用户终端的认证方法、装置、设备、存储介质
CN115242692A (zh) 网络资产自定义协议识别方法、装置、终端及存储介质
US20230037602A1 (en) Information processing method and apparatus, node device, server and storage medium
CN103491081B (zh) 检测dhcp攻击源的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant