网关安全接入控制方法、设备以及计算机可读存储介质与流程

1.本发明属于网络安全技术领域，尤其涉及一种网关安全接入控制方法、设备以及计算机可读存储介质。


背景技术：

2.近年来，网络设备被广泛应用，如网络摄像头已经广泛应用到城市的各个角落，视频监控的网络安全问题日益严重，网络摄像头普遍部署分散、缺乏管理，且存在系统漏洞、默认密码等安全隐患，极易出现摄像头被私接替换、攻击入侵、远程控制等情况，对网络安全造成了严重威胁。
3.如何防止他人通过网络设备的接入端口访问用户网络(如通过部署在路边的网络摄像头的接入端口)，威胁用户网络的安全，是亟待解决的问题。


技术实现要素：

4.基于此，针对上述技术问题，提供一种网关安全接入控制方法、设备以及计算机可读存储介质。
5.本发明采用的技术方案如下：
6.一方面，提供一种网关安全接入控制方法，包括：
7.s101、对流经所述网关的网络数据包进行解析，得到网络传输特征信息以及发出所述网络数据包的网络设备的唯一识别信息；
8.s102、将所述唯一识别信息与预设信任设备列表中的唯一识别信息进行匹配，若匹配成功，则执行步骤s103，否则，执行步骤105；
9.其中，所述信任设备列表包括各信任设备的唯一识别信息；
10.s103、根据所述唯一识别信息确定对应的安全策略；
11.s104、将所述网络传输特征信息与所述安全策略进行匹配，若所述网络传输特征信息符合所述安全策略的放行规则，则放行所述网络数据包，否则，执行步骤s105；
12.s105、拦截所述网络数据包。
13.另一方面，提供一种网关设备，包括存储模块，所述存储模块包括由处理器加载并执行的指令，所述指令在被执行时使所述处理器执行上述第一方面的一种网关安全接入控制方法。
14.再一方面，提供一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被处理器执行时，实现上述第一方面的一种网关安全接入控制方法。
15.本发明先判断发出网络数据包的网络设备是信任设备还是私接设备，如果是私接设备，则对该网络数据包进行拦截，如果是信任设备则进一步将网络数据包中的网络传输特征信息与相应的安全策略进行匹配，如果匹配成功，则放行该网络数据包，否则，拦截该网络数据包，从而避免他人私接网络设备或者恶意控制网络设备对网络安全造成威胁。
附图说明
16.下面结合附图和具体实施方式对本发明进行详细说明：
17.图1为本发明实施例提供的一种网关安全接入控制方法的流程图；
18.图2为本发明实施例应用的系统的示意图；
19.图3为本发明实施例提供的一种网关设备的示意图。
具体实施方式
20.以下将结合说明书附图对本发明的实施方式予以说明。需要说明的是，本说明书中所涉及的实施方式不是穷尽的，不代表本发明的唯一实施方式。以下相应的实施例只是为了清楚的说明本发明专利的发明内容，并非对其实施方式的限定。对于该领域的普通技术人员来说，在该实施例说明的基础上还可以做出不同形式的变化和改动，凡是属于本发明的技术构思和发明内容并且显而易见的变化或变动也在本发明的保护范围之内。
21.图2示出了本技术实施例应用的系统100。该系统100可以包括服务器110、交换机120、网关设备130以及接入网关设备130的多个网络设备140，网络设备140可以为网络摄像头，本发明实施例对此并不限定。
22.如图1所示，本发明实施例提供一种网关安全接入控制方法，该方法中的网关可为上述图2中的网关设备130，该方法中的网络设备可为上述图中的网络设备140，该方法中的服务器可为上述图2中的服务器110。可以理解的是，网关设备130的功能可通过应用于网关设备的芯片实现，或者通过其它装置来支持网关设备实现。该方法包括：
23.s101、对流经网关的网络数据包进行解析，得到网络传输特征信息以及发出该网络数据包的网络设备的唯一识别信息。
24.其中，网络传输特征信息包括源mac地址、目的mac地址、源ip地址、目的ip地址、源端口号、目的端口号、协议类型以及方向等等，流经网关的网络数据包是指由网络设备发出、需由网关转发给服务器的网络数据包，唯一识别信息为网络设备的ip地址或者mac地址等等。
25.在一示例中，网关可以通过深度数据包检测方法dpi对流经网关的网络数据包进行解析，从而得到网络传输特征信息以及发出网络数据包的网络设备的唯一识别信息。
26.s102、将唯一识别信息与预设信任设备列表中的唯一识别信息进行匹配，若匹配成功，代表发出网络数据包的网络设备为信任设备，则执行步骤s103，否则，代表发出网络数据包的网络设备为私接网络设备，执行步骤105，这样就可以避免他人私接网络设备对网络安全造成威胁。
27.其中，信任设备列表包括各信任设备的唯一识别信息。
28.用户可以在服务器提供的配置界面上对信任设备列表进行配置，由服务器将配置信息下发给网关，网关根据服务器下发的配置信息，对信任设备列表进行更新。在实际的使用场景中，以网络摄像头为例，用户将一个网络摄像头接入网络后，在服务器的配置界面中进行配置，使网关将该网络摄像头的ip地址或者mac地址等等加入信任设备列表。当然，也可以对信任设备列表中已有的信息进行删除或者修改。
29.s103、根据唯一识别信息确定对应的安全策略。
30.网关中保存有对应不同信任设备的安全策略，安全策略中设置了放行规则，每个
被信任的网络设备的安全策略都与该设备的唯一识别信息绑定，故通过唯一识别信息可以确定对应的安全策略。当然，一个安全策略中可以设置1个放行规则,也可以设置多个放行规则，如一个网络设备的数据包只能发送给一个服务器的情况下，只需设置1个放行规则，当一个网络设备的数据包可以发送给多个服务器时，则需相应地设置多个放行规则。
31.安全策略可以预先保存在网关中，也可以由用户在服务器上进行配置后下发给网关，网关接收、并保存服务器下发的各信任设备的安全策略。
32.其中，用户可以在服务器上手动配置安全策略，或者通过服务器向网关下发学习指令，网关接收服务器下发的学习指令，对学习指令进行响应：对预设时间段内流经网关的每个网络数据包进行解析、整理，从而得到各信任设备的网络传输特征信息，最后将各信任设备的网络传输特征信息发送给服务器，供服务器生成各信任设备的安全策略。需要指出的是，学习时流量是否是安全流量则由用户自行判断，一般建议在初始部署阶段进行。
33.s104、将网络传输特征信息与安全策略进行匹配，若网络传输特征信息符合安全策略的放行规则，则放行网络数据包，否则，代表信任设备已经被恶意控制，执行步骤s105，避免他人恶意控制网络设备对网络安全造成威胁。
34.s105、拦截网络数据包。
35.由上可知，本发明先判断发出网络数据包的网络设备是信任设备还是私接设备，如果是私接设备，则对该网络数据包进行拦截，如果是信任设备则进一步将网络数据包中的网络传输特征信息与相应的安全策略进行匹配，如果匹配成功，则放行该网络数据包，否则，拦截该网络数据包，从而避免他人私接网络设备或者恶意控制网络设备对网络安全造成威胁。
36.进一步地，为了防止他人对网关进行恶意攻击，本发明还可以对同时流经网关的网络数据包的数量进行实时监测，若数量超过阈值，代表网关正被恶意攻击，则维持网关的异常模式或者将该网关从正常模式切换到异常模式，否则，维持网关的正常模式或者从异常模式切换至正常模式。
37.其中，在异常模式下，拦截所有流经网关的网络数据包，直到网关被切换至正常模式。
38.在正常模式下，执行步骤s101。
39.与上述构思相同，图3示出了本发明实施例提供的一种网关设备的结构示意性框图。
40.示例性的，网关设备包括存储模块11以及处理器12，存储模块11包括由处理器12加载并执行的指令，指令在被执行时使处理器12执行本说明书上述一种网关安全接入控制方法部分中描述的根据本发明各种示例性实施方式的步骤。
41.应当理解的是，处理器12可以是中央处理单元(centralprocessingunit，cpu)，该处理器12还可以是其它通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
42.本发明实施例中还提供一种计算机可读存储介质，该计算机可读存储介质存储一
个或多个程序，一个或多个程序当被处理器执行时，实现上述一种网关安全接入控制方法部分中描述的根据本发明各种示例性实施方式的步骤。
43.本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读存储介质上，计算机可读存储介质可以包括计算机可读存储介质(或非暂时性介质)和通信介质(或暂时性介质)。
44.如本领域普通技术人员公知的，术语计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机可读存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd-rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。
45.示例性的，计算机可读存储介质可以是前述实施例的网关设备的内部存储单元，例如网关设备的硬盘或内存。计算机可读存储介质也可以是网关设备的外部存储设备，例如网关设备上配备的插接式硬盘，智能存储卡(smartmediacard，smc)，安全数字(securedigital，sd)卡，闪存卡(flashcard)等。
46.前述各实施例提供的网关设备和计算机可读存储介质，先判断发出网络数据包的网络设备是信任设备还是私接设备，如果是私接设备，则对该网络数据包进行拦截，如果是信任设备则进一步将网络数据包中的网络传输特征信息与相应的安全策略进行匹配，如果匹配成功，则放行该网络数据包，否则，拦截该网络数据包，从而避免他人私接网络设备或者恶意控制网络设备对网络安全造成威胁。
47.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。