【技术实现步骤摘要】
【国外来华专利技术】用于操作和管理网络内的受限设备的方法和装置
本公开涉及一种用于操作网络内的受限设备的方法以及一种用于管理网络内的受限设备的方法。本公开还涉及一种受限设备、受限设备的管理器以及计算机程序和计算机程序产品,所述计算机程序产品配置为当在计算机上运行时实现在受限设备和受限设备的管理器中执行的方法。
技术介绍
“物联网”(IoT)是指各设备启用了通信网络连接,如此便可以对这些设备进行远程管理,并且可以在各个设备之间以及在设备与应用服务器之间交换设备收集的或要求的数据。此类设备通常会因为其运行环境或情况的缘故而在处理能力、存储容量、能源供应、设备复杂性和/或网络连接性方面存在着严重的局限性,因而可以被称为受限设备。受限设备可以按照一系列协议运行,这些协议包括互联网协议(IPv4或IPv6)等广泛使用的协议,以及针对受限设备的专用协议(包括受限应用协议(CoAP),如互联网工程任务组(IETF)RFC7252中所定义的)。CoAP是受限设备的通用RESTful应用协议,并被设计为通过互联网在用户数据报协议(UDP,在IETFRFC0768中定义)上使用。可以采用任何合适的管理协议来执行对受限设备的管理,例如,所述管理协议包括由开放移动联盟定义的轻量级机器到机器(LWM2M)协议。LWM2M被设计成在CoAP上运行。在IoT部署中,受限设备可以部署在防火墙后面,而防火墙根据在防火墙上配置的安全规则对进入和离开的业务进行监视和控制。制定出这些安全规则是为了应对网络上最常遇到的威胁,并且这些安全规则可以建立在IP表的基础 ...
【技术保护点】
1.一种用于操作网络内的受限设备的方法,所述网络包括部署在所述受限设备与管理器之间的防火墙,由所述受限设备执行的所述方法包括:/n从所述管理器接收所述受限设备上的攻击向量数据对象和端口控制协议PCP配置数据对象的配置信息(210),所述配置信息包括:/n所述攻击向量数据对象中的资源的值(210a);以及/n所述PCP配置数据对象中的资源的值(210b);并且/n根据所述PCP配置数据对象向所述防火墙发送PCP请求,所述PCP请求包括在所述配置信息中接收到的所述攻击向量数据对象的资源值(220)。/n
【技术特征摘要】
【国外来华专利技术】1.一种用于操作网络内的受限设备的方法,所述网络包括部署在所述受限设备与管理器之间的防火墙,由所述受限设备执行的所述方法包括:
从所述管理器接收所述受限设备上的攻击向量数据对象和端口控制协议PCP配置数据对象的配置信息(210),所述配置信息包括:
所述攻击向量数据对象中的资源的值(210a);以及
所述PCP配置数据对象中的资源的值(210b);并且
根据所述PCP配置数据对象向所述防火墙发送PCP请求,所述PCP请求包括在所述配置信息中接收到的所述攻击向量数据对象的资源值(220)。
2.根据权利要求1所述的方法,其中所述攻击向量数据对象中的资源的值包括以下中的至少一个:
攻击方法资源的值;
攻击定义阈值资源的值;或
规则资源的值(310a)。
3.根据权利要求2所述的方法,其中如果满足所述攻击方法资源和所述攻击定义阈值资源中的条件,则所述规则资源包含要在所述防火墙中应用的规则(310a)。
4.根据前述权利要求中任一项所述的方法,其中所述PCP请求包含要在所述防火墙中应用到指向所述设备的业务的策略。
5.根据前述权利要求中任一项所述的方法,还包括:
接收对所述PCP请求的PCP响应(322);
检查所述PCP响应的结果代码(324);并且
如果所述结果代码指示成功(326),则更新所述PCP配置数据对象中的PCP状态资源的值(328)。
6.根据前述权利要求中任一项所述的方法,还包括:
从所述管理器接收对所述PCP配置数据对象中的PCP状态资源的值的订阅请求(312);并且
以向所述管理器通知所述PCP状态资源的当前值来对所述订阅请求作出响应(314)。
7.根据从属于权利要求5的权利要求6所述的方法,还包括:
在更新所述PCP配置数据对象中的所述PCP状态资源的值(328)时,向所述管理器发送包括所述PCP状态资源的更新值的通知(330)。
8.根据前述权利要求中任一项所述的方法,还包括:
从实体接收消息,所述实体是不同于所述管理器的实体(332);并且
从所述管理器接收所述攻击向量数据对象的配置信息,所述配置信息更新所述攻击向量数据对象中的资源的值(334)。
9.根据权利要求8所述的方法,还包括:
基于所述攻击向量数据对象中的更新值,将来自所述实体的所述消息识别为攻击(336)。
10.根据权利要求9所述的方法,还包括:
通知所述管理器已经识别出攻击(338)。
11.根据权利要求9或10所述的方法,还包括:
保存来自所述实体的所述消息的特性(340)。
12.根据权利要求8至11中任一项所述的方法,还包括:
根据所述PCP配置数据对象,向所述防火墙发送另一PCP请求,所述另一PCP请求包括所述攻击向量对象的更新的资源值(342)。
13.根据从属于权利要求4的权利要求12所述的方法,其中所述另一PCP请求更新要在所述防火墙中应用到指向所述设备的业务的所述策略。
14.根据权利要求12或13所述的方法,还包括:
接收对所述另一PCP请求的PCP响应(344);并且
检查所述PCP响应的结果代码(346)。
15.一种用于管理网络内的受限设备的方法,所述网络包括部署在所述受限设备与管理器之间的防火墙,由所述管理器执行的所述方法包括:
通过如下方式配置所述受限设备上的攻击向量数据对象和端口控制协议PCP配置数据对象(410):
设置所述攻击向量数据对象中的资源的值(410a);并且
设置所述PCP配置数据对象中的资源的值(410b)。
16.根据权利要求15所述的方法,其中所述攻击向量数据对象中的资源的值包括以下中的至少一个:
攻击方法资源的值;
攻击定义阈值资源的值;或
规则资源的值(510a)。
17.根据权利要求16所述的方法,其中如果满足所述攻击方法资源和所述攻击定义阈值资源中的条件,则所述规则资源包含要在所述防火墙中应用的规则(510a)。
18.根据权利要求15或16所述的方法,还包括:
监视PCP在所述防火墙上的成功启用(512)。
19.根据权利要求17所述的方法,其中监视PCP在所述防火墙上的成功启用包括:订阅所述受限设备上的所述PCP配置数据对象中的PCP状态资源的值(512a)。
20.根据权利要求18或19所述的方法,还包括:
从所述受限设备接收对已经在所述防火墙上成功启用PCP的通知(514)。
21.根据权利要求15至19中任一项所述的方法,还包...
【专利技术属性】
技术研发人员:杰米·希门尼斯,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典;SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。