本发明公开了一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,包括部署安全模组、生成通信白名单、通信白名单上报、通信白名单处理和新通信白名单下发。本发明通过在不同地点布设的同类同配置的物联网设备通信端各设置一安全模组,各安全模组在安全时域内分别对通过其的TCP/IP数据包进行自学习产生各自的白名单,物联网系统运维服务器根据安全模组的通信白名单进行求交集,分别得到新的网络输入白名单和设备输入白名单,并作为安全性更高的通信白名单下发给安全模组,能解决各安全模组通过自学习得到的白名单会混入一些与系统功能无关甚至是恶意的数据包类型的问题,求交集就能剔除这些数据包类型,保证了通信白名单的安全性。
1.一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:该方法具体步骤如下:
S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联网系统运维服务器进行通信;
S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备向网络方向传输形成的设备输入白名单;
S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器;
S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行交集处理,得到新的通信白名单;
S5、新通信白名单下发:物联网系统运维服务器将新的通信白名单下发到同类同配置物联网设备所连的安全模组,各安全模组将新的通信白名单对原有的通信白名单进行替换。
2.如权利要求1所述的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:所述的S1中每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
3.如权利要求1所述的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:所述的S4中物联网系统运维服务器对通信白名单进行交集处理的具体步骤如下:
S4.1、网络输入白名单交集处理:S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,a2,……,an;
S4.1.2、对a1,a2,……,an求交集得到新的网络输入白名单Ø ni;
S4.2、设备输入白名单交集处理:S4.2.1、对各个设备输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,b2,……,bn;
S4.2.2、对b1,b2,……,bn求交集得到新的设备输入白名单Ø ei;
对应地S5中,物联网系统运维服务器将新的网络输入白名单Ø ni和新的设备输入白名单Ø ei下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的网络输入白名单和设备输入白名单进行替换。
4.如权利要求1所述的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:所述的S2中安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
一种以同类同配置物联网设备合规数据包交集形成数据包通
信白名单的方法
技术领域
[0001] 本发明涉及物联网设备的技术领域,特别涉及一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法。
背景技术
[0002] 随着信息技术的发展,越来越多的智能设备接入网络,使得物联网设备在实现自身功能的同时,也成为了网络攻击的目标。在物联网设备的通信端串联一安全模组,安全模
组内置有基于TCP/IP协议的包括源/目标的IP地址、端口号、服务类型、mac地址等在内的通
信白名单,安全模组对物联网设备与网络层的通信数据包包头信息进行解析并与通信白名
单进行匹配过滤,能有效提高物联网设备网络通信的安全性。
[0003] 在实际部署应用中,需要对安全模组内的通信白名单进行设置和及时更新。设置和更新既要保证安全性,又要兼顾便利性,因此安全模组可能采用一种基于安全时域通过
自学习设置数据包通信白名单的方法进行通信白名单的设置,这种方法的原理是将在安全
时域内通过安全模组的数据通信都认为是合法的通信,通过将数据包包头内包括源/目标
的IP地址、端口号、服务类型、mac地址等信息解析出来,写入白名单自动生成通信白名单。
[0004] 但在实际运用中,所谓安全时域内通过安全模组的数据通信并不完全是物联网设备实现功能所需的通信,还可能存在与部署的网络环境相关的其它无关的数据包通过安全
模组,因此,这些数据包的包头信息也会被写入通信白名单。
[0005] 为了解决以上问题,本发明提出一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法。
发明内容
[0006] 本发明的目的在于克服上述现有技术的不足,提供一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其旨在解决由安全模组自学习产生的通信
白名单可能存在一些不合规的通信类型的技术问题。
[0007] 为实现上述目的,本发明提出了一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,该方法具体步骤如下:
[0008] S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联
网系统运维服务器进行通信;
[0009] S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备
向网络方向传输形成的设备输入白名单;
[0010] S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器;
[0011] S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行交集处理,得到新的通
信白名单;
[0012] S5、新通信白名单下发:物联网系统运维服务器将新的通信白名单下发到同类同配置物联网设备所连的安全模组,各安全模组将新的通信白名单对原有的通信白名单进行
替换。
[0013] 作为优选,所述的S1中每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
[0014] 作为优选,所述的S4中物联网系统运维服务器对通信白名单进行交集处理的具体步骤如下:
[0015] S4.1、网络输入白名单交集处理:
[0016] S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,
a2,……,an;
[0017] S4.1.2、对a1,a2,……,an求交集得到新的网络输入白名单Ø ni;
[0018] S4.2、设备输入白名单交集处理:
[0019] S4.2.1、对各个设备输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,
b2,……,bn;
[0020] S4.2.2、对b1,b2,……,bn求交集得到新的设备输入白名单Ø ei;
[0021] 对应地S5中,物联网系统运维服务器将新的网络输入白名单Ø ni和新的设备输入白名单Ø ei下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的网络输入
白名单和设备输入白名单进行替换。
[0022] 作为优选,所述的S2中安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出
来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不
限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
[0023] 本发明的有益效果:与现有技术相比,本发明提供的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,通过在不同地点布设的同类同配置的物
联网设备通信端各设置一安全模组,通过安全模组与物联网系统运维服务器,构成一物联
网系统,各安全模组在安全时域内分别对通过其的TCP/IP数据包进行自学习,产生各自基
于源/目标的IP地址、端口号、服务类型、mac地址等信息的白名单,并将白名单作为后续运
行时数据包能否通过的依据。物联网系统运维服务器根据同类同配置物联网设备所连安全
模组的通信白名单进行求交集,分别得到新的网络输入白名单和设备输入白名单,将网络
输入白名单和设备输入白名单作为安全性更高的通信白名单下发给安全模组,能解决因互
联网环境的复杂性,各安全模组通过自学习得到的白名单会混入一些与系统功能无关甚至
是恶意的数据包类型的问题,求交集处理就能剔除这些与系统功能无关甚至是恶意的数据
包类型,保证了通信白名单的安全性。
[0024] 本发明的特征及优点将通过实施例结合附图进行详细说明。
附图说明
[0025] 图1是本发明实施例的物联网系统的框图;
[0026] 图2是本发明实施例的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法的流程图。
具体实施方式
[0027] 为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,
并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避
免不必要地混淆本发明的概念。
[0028] 参阅图1和图2,本发明实施例提供一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,该方法具体步骤如下:
[0029] S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联
网系统运维服务器进行通信,构成一物联网系统。其中,每个同类同配置的物联网设备的通
信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
[0030] S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备
向网络方向传输形成的设备输入白名单。
[0031] 其中,安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自
动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目
标IP地址、端口号、服务类型、mac地址。
[0032] S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器。
[0033] S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行交集处理,得到新的通
信白名单;物联网系统运维服务器对通信白名单进行交集处理的具体步骤如下:
[0034] S4.1、网络输入白名单交集处理:
[0035] S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,
a2,……,an;
[0036] S4.1.2、对a1,a2,……,an求交集得到新的网络输入白名单Ø ni;
[0037] S4.2、设备输入白名单交集处理:
[0038] S4.2.1、对各个设备输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,
b2,……,bn;
[0039] S4.2.2、对b1,b2,……,bn求交集得到新的设备输入白名单Ø ei;
[0040] S5、新通信白名单下发:物联网系统运维服务器将新的网络输入白名单Ø ni和新的设备输入白名单Ø ei下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的
网络输入白名单和设备输入白名单进行替换。
[0041] 之后,安全模组每次通过安全时域设置通信白名单后就可重复步骤S2-步骤S5。
[0042] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。
