用于操作和管理网络内的受限设备的方法和装置制造方法及图纸

公开了一种用于操作网络内的受限设备的方法(200)，该网络包括部署在受限设备与管理器之间的防火墙。该方法包括：从管理器接收受限设备上的攻击向量数据对象和端口控制协议(PCP)配置数据对象的配置信息(210)。该配置信息包括攻击向量数据对象中的资源的值(210a)和PCP配置数据对象中的资源的值(210b)。该方法还包括：根据PCP配置数据对象向防火墙发送PCP请求，该PCP请求包括在配置信息中接收到的攻击向量数据对象的资源值(220)。还公开了用于管理受限设备的方法(400，500)和装置。

【技术实现步骤摘要】
【国外来华专利技术】用于操作和管理网络内的受限设备的方法和装置
本公开涉及一种用于操作网络内的受限设备的方法以及一种用于管理网络内的受限设备的方法。本公开还涉及一种受限设备、受限设备的管理器以及计算机程序和计算机程序产品，所述计算机程序产品配置为当在计算机上运行时实现在受限设备和受限设备的管理器中执行的方法。
技术介绍
“物联网”(IoT)是指各设备启用了通信网络连接，如此便可以对这些设备进行远程管理，并且可以在各个设备之间以及在设备与应用服务器之间交换设备收集的或要求的数据。此类设备通常会因为其运行环境或情况的缘故而在处理能力、存储容量、能源供应、设备复杂性和/或网络连接性方面存在着严重的局限性，因而可以被称为受限设备。受限设备可以按照一系列协议运行，这些协议包括互联网协议(IPv4或IPv6)等广泛使用的协议，以及针对受限设备的专用协议(包括受限应用协议(CoAP)，如互联网工程任务组(IETF)RFC7252中所定义的)。CoAP是受限设备的通用RESTful应用协议，并被设计为通过互联网在用户数据报协议(UDP，在IETFRFC0768中定义)上使用。可以采用任何合适的管理协议来执行对受限设备的管理，例如，所述管理协议包括由开放移动联盟定义的轻量级机器到机器(LWM2M)协议。LWM2M被设计成在CoAP上运行。在IoT部署中，受限设备可以部署在防火墙后面，而防火墙根据在防火墙上配置的安全规则对进入和离开的业务进行监视和控制。制定出这些安全规则是为了应对网络上最常遇到的威胁，并且这些安全规则可以建立在IP表的基础上；根据源或目的地IP地址和/或端口阻止或允许某些业务。这样的规则保护网络设备免受常规安全威胁的影响，但是由于此类设备存在着特定漏洞，这些规则可能并不足以保护受限设备。受限设备在处理能力、能量供应等方面的局限性会使得它们容易遭遇到那些试图向这些资源施加沉重负荷的攻击。此类攻击对非受限设备的影响有限，因此，常规的防火墙安全规则不是设计来防止此类攻击，因此，即使是部署在防火墙后面，IoT部署也可能容易遭受攻击。在发生攻击的情况下，受限设备通常无法采取任何行动来减轻攻击的影响。例如，如果发生了涉及指向受限设备的过量信息请求的拒绝服务(DoS)攻击，则受限设备可能会直接崩溃，无法对收到的请求数量进行处理。
技术实现思路
本公开的目的是提供一种至少部分地解决上述一个或多个难题的方法、装置和计算机可读介质。根据本公开的第一方面，提供了一种用于操作网络内的受限设备的方法，该网络包括部署在受限设备与管理器之间的防火墙。由受限设备执行的方法包括：从管理器接收受限设备上的攻击向量数据对象和端口控制协议(PCP)配置数据对象的配置信息，该配置信息包括攻击向量数据对象中的资源的值和PCP配置数据对象中的资源的值。该方法还包括：根据PCP配置数据对象向防火墙发送PCP请求，该PCP请求包括在配置信息中接收到的攻击向量数据对象的资源的值。根据本公开的示例，管理器可以运行LWM2M服务器，并且受限设备上的PCP配置数据对象可以存储在在受限设备上运行的LWM2M客户端内。根据本公开的示例，可以在配置信息中接收每个数据对象中的多个资源的值。出于本公开的目的，受限设备包括符合IETFRFC7228的第2.1节中针对“受限节点”陈述的定义的设备。根据IETFRFC7228中的定义，受限设备是这样一种设备：“通常，由于成本约束和/或对特性(例如，大小、重量以及可用功率和能量)的物理性约束而无法实现某些特性，而这些特性在撰写时通常被视为互联网节点理所应当具备的特性。对功率、内存和处理资源的严格限制导致了状态、代码空间和处理周期的硬上限，使得对能量和网络带宽使用的优化成为所有设计要求中的一项主要考虑因素。另外，可能缺少某些第2层服务，例如完全连接性和广播/多播”。因此，受限设备与服务器系统、台式机、便携式计算机或平板电脑以及功能强大的移动设备(如智能手机)有着明显区别。例如，受限设备可以包括机器类型通信设备、电池供电设备或者存在上述局限性的任何其他设备。受限设备的示例可以包括：测量温度、湿度和气体含量(例如，在房间内或在运输和存储货物时)的传感器、控制灯泡的运动传感器、可用于控制百叶窗的光测量传感器、心率监测器和其他个人健康传感器(持续监测血压等)执行器和连接电子门锁。根据本公开的示例，攻击向量数据对象中的资源的值可以包括以下至少一个：攻击方法资源的值、攻击定义阈值资源的值或规则资源的值。根据本公开的示例，如果满足攻击方法和攻击定义阈值资源中的条件，则规则资源可以包含要在防火墙中应用的规则。根据本公开的示例，PCP请求可以包含要在防火墙中应用到指向设备的业务的策略。根据本公开的示例，该方法还可以包括：接收对PCP请求的PCP响应；检查PCP响应的结果代码；并且如果该结果代码指示成功，则更新PCP配置数据对象中的PCP状态资源的值。根据本公开的示例，更新值可以指示PCP在防火墙上的成功启用，从而建立要在防火墙中应用到指向设备的业务的策略。根据本公开的示例，该方法还可以包括：从管理器接收对PCP配置数据对象中的PCP状态资源的值的订阅请求，并且以向管理器通知PCP状态资源的当前值来对订阅请求作出响应。根据本公开的示例，该方法还可以包括：在更新PCP配置数据对象中的PCP状态资源的值时，向管理器发送包括PCP状态资源的更新值的通知。根据本公开的示例，该方法还可以包括：从实体(不同于管理器的实体)接收消息；并且从管理器接收攻击向量数据对象的配置信息，该配置信息更新攻击向量数据对象中的资源的值。根据本公开的示例，更新资源值可以包括攻击方法资源或攻击定义阈值资源的值，并且可以另外包括规则资源的值。根据本公开的示例，该方法还可以包括：基于攻击向量数据对象中的更新值，将来自实体的消息识别为攻击。根据本公开的示例，该方法还可以包括通知管理器已经识别出攻击。根据本公开的示例，该方法还可以包括保存来自实体的消息的特性。根据本公开的示例，可以保存的一个或多个特性的示例包括：消息的源IP和端口、实体的CoAP端点名称、MAC、消息中请求的资源等。根据本公开的示例，来自实体的消息的保存特性可以包括在发送给管理器的攻击消息的通知中。根据本公开的示例，该方法还可以包括：根据PCP配置数据对象，向防火墙发送另一PCP请求，该另一PCP请求包括攻击向量对象的更新资源值。根据本公开的示例，该另一PCP请求可以更新要在防火墙中应用到指向设备的业务的策略。根据本公开的示例，策略更新可以包括改变阈值、新的攻击方法和/或根据指向受限设备的业务的策略对要应用的规则的改变。根据本公开的示例，该另一PCP请求可以包括来自实体的消息的保存特性。根据本公开的示例，该方法还可以包括：接收对另一PCP请求的PCP响应；并且检查PCP响应的结果代码。根据本公开的示例，该方法还可以包括：根据PCP响应的结果代码，更新PCP配置数据对象中的PCP状态资源的值；并且向管本文档来自技高网...

【技术保护点】
1.一种用于操作网络内的受限设备的方法，所述网络包括部署在所述受限设备与管理器之间的防火墙，由所述受限设备执行的所述方法包括：/n从所述管理器接收所述受限设备上的攻击向量数据对象和端口控制协议PCP配置数据对象的配置信息(210)，所述配置信息包括：/n所述攻击向量数据对象中的资源的值(210a)；以及/n所述PCP配置数据对象中的资源的值(210b)；并且/n根据所述PCP配置数据对象向所述防火墙发送PCP请求，所述PCP请求包括在所述配置信息中接收到的所述攻击向量数据对象的资源值(220)。/n

【技术特征摘要】
【国外来华专利技术】1.一种用于操作网络内的受限设备的方法，所述网络包括部署在所述受限设备与管理器之间的防火墙，由所述受限设备执行的所述方法包括：
从所述管理器接收所述受限设备上的攻击向量数据对象和端口控制协议PCP配置数据对象的配置信息(210)，所述配置信息包括：
所述攻击向量数据对象中的资源的值(210a)；以及
所述PCP配置数据对象中的资源的值(210b)；并且
根据所述PCP配置数据对象向所述防火墙发送PCP请求，所述PCP请求包括在所述配置信息中接收到的所述攻击向量数据对象的资源值(220)。


2.根据权利要求1所述的方法，其中所述攻击向量数据对象中的资源的值包括以下中的至少一个：
攻击方法资源的值；
攻击定义阈值资源的值；或
规则资源的值(310a)。


3.根据权利要求2所述的方法，其中如果满足所述攻击方法资源和所述攻击定义阈值资源中的条件，则所述规则资源包含要在所述防火墙中应用的规则(310a)。


4.根据前述权利要求中任一项所述的方法，其中所述PCP请求包含要在所述防火墙中应用到指向所述设备的业务的策略。


5.根据前述权利要求中任一项所述的方法，还包括：
接收对所述PCP请求的PCP响应(322)；
检查所述PCP响应的结果代码(324)；并且
如果所述结果代码指示成功(326)，则更新所述PCP配置数据对象中的PCP状态资源的值(328)。


6.根据前述权利要求中任一项所述的方法，还包括：
从所述管理器接收对所述PCP配置数据对象中的PCP状态资源的值的订阅请求(312)；并且
以向所述管理器通知所述PCP状态资源的当前值来对所述订阅请求作出响应(314)。


7.根据从属于权利要求5的权利要求6所述的方法，还包括：
在更新所述PCP配置数据对象中的所述PCP状态资源的值(328)时，向所述管理器发送包括所述PCP状态资源的更新值的通知(330)。


8.根据前述权利要求中任一项所述的方法，还包括：
从实体接收消息，所述实体是不同于所述管理器的实体(332)；并且
从所述管理器接收所述攻击向量数据对象的配置信息，所述配置信息更新所述攻击向量数据对象中的资源的值(334)。


9.根据权利要求8所述的方法，还包括：
基于所述攻击向量数据对象中的更新值，将来自所述实体的所述消息识别为攻击(336)。


10.根据权利要求9所述的方法，还包括：
通知所述管理器已经识别出攻击(338)。


11.根据权利要求9或10所述的方法，还包括：
保存来自所述实体的所述消息的特性(340)。


12.根据权利要求8至11中任一项所述的方法，还包括：
根据所述PCP配置数据对象，向所述防火墙发送另一PCP请求，所述另一PCP请求包括所述攻击向量对象的更新的资源值(342)。


13.根据从属于权利要求4的权利要求12所述的方法，其中所述另一PCP请求更新要在所述防火墙中应用到指向所述设备的业务的所述策略。


14.根据权利要求12或13所述的方法，还包括：
接收对所述另一PCP请求的PCP响应(344)；并且
检查所述PCP响应的结果代码(346)。


15.一种用于管理网络内的受限设备的方法，所述网络包括部署在所述受限设备与管理器之间的防火墙，由所述管理器执行的所述方法包括：
通过如下方式配置所述受限设备上的攻击向量数据对象和端口控制协议PCP配置数据对象(410)：
设置所述攻击向量数据对象中的资源的值(410a)；并且
设置所述PCP配置数据对象中的资源的值(410b)。


16.根据权利要求15所述的方法，其中所述攻击向量数据对象中的资源的值包括以下中的至少一个：
攻击方法资源的值；
攻击定义阈值资源的值；或
规则资源的值(510a)。


17.根据权利要求16所述的方法，其中如果满足所述攻击方法资源和所述攻击定义阈值资源中的条件，则所述规则资源包含要在所述防火墙中应用的规则(510a)。


18.根据权利要求15或16所述的方法，还包括：
监视PCP在所述防火墙上的成功启用(512)。


19.根据权利要求17所述的方法，其中监视PCP在所述防火墙上的成功启用包括：订阅所述受限设备上的所述PCP配置数据对象中的PCP状态资源的值(512a)。


20.根据权利要求18或19所述的方法，还包括：
从所述受限设备接收对已经在所述防火墙上成功启用PCP的通知(514)。


21.根据权利要求15至19中任一项所述的方法，还包...

【专利技术属性】
技术研发人员：杰米·希门尼斯，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典;SE