一种用于信息安全访问点控制的系统及方法技术方案

本发明专利技术公开了一种用于信息安全访问点控制的系统及方法，涉及智能网联信息安全领域，该系统包括黑白名单模块、访问控制模块、会话控制模块和日志模块，黑白名单模块用于进行IP地址的白名单和黑名单创建，并基于经过访问点控制的数据包中的源IP地址或目的IP地址，实现数据包的放行或阻断过滤策略控制；访问控制模块用于创建用于记录五元组的访问控制列表，并基于经过访问点控制的数据包的五元组，实现数据包的放行或阻断过滤策略控制；会话控制模块用于创建用于记录五元组的会话控制列表。本发明专利技术保证了车内网络与车外网络直接数据流的合法性，还可以防止域外非法数据流的侵入，同时也保证合法的数据流能够快速流入流出。也保证合法的数据流能够快速流入流出。也保证合法的数据流能够快速流入流出。

【技术实现步骤摘要】
一种用于信息安全访问点控制的系统及方法


[0001]本专利技术涉及智能网联信息安全领域，具体涉及一种用于信息安全访问点控制的系统及方法。

技术介绍

[0002]对于车辆智能网联信息安全而言，其目的是保证车内网络与车外网络直接数据流的合法性，防止域外非法数据流的侵入，同时也保证合法的数据流能够快速流入流出，从而实现信息安全的访问控制。
[0003]智能车辆在实际的运行过程中，经常受到域外非法数据流的侵入、DDOS攻击、非法端口扫描等非法行为的威胁，但当前对于这些非法行为却缺乏有效的防范措施。

技术实现思路

[0004]针对现有技术中存在的缺陷，本专利技术的目的在于提供一种用于信息安全访问点控制的系统及方法，保证了车内网络与车外网络直接数据流的合法性，还可以防止域外非法数据流的侵入，同时也保证合法的数据流能够快速流入流出。
[0005]为达到以上目的，本专利技术提供的一种用于信息安全访问点控制的系统，包括：
[0006]黑白名单模块，其用于进行IP地址的白名单和黑名单创建，并基于经过访问点控制的数据包中的源IP地址或目的IP地址，实现数据包的放行或阻断过滤策略控制；
[0007]访问控制模块，其用于创建用于记录五元组的访问控制列表，并基于经过访问点控制的数据包的五元组，实现数据包的放行或阻断过滤策略控制；
[0008]会话控制模块，其用于创建用于记录五元组的会话控制列表，并基于经过访问点控制的数据包的五元组，当数据包的五元组不在会话控制列表时放行数据包，当数据包的五元组在会话控制列表时，基于当前连接的会话数实现数据包的放行或阻断过滤策略控制；
[0009]日志模块，其用于经过访问点控制的数据包的过滤过程进行记录，以及对访问点控制过程中产生的信息进行记录；
[0010]其中，所述黑白名单模块、访问控制模块和会话控制模块依次对数据包进行过滤。
[0011]在上述技术方案的基础上，
[0012]基于访问控制需求进行IP地址的白名单和黑名单的创建得到黑白名单模块、进行访问控制列表的创建得到访问控制模块、进行会话控制列表的创建得到会话控制模块，同时进行日志模块的创建，生成XML配置文件；
[0013]基于解析工具对生成的XML配置文件进行解析，生成T
‑
BOX端可运行的配置文件数据库，且配置文件数据库通过解析工具中集成的加密算法进行加密保护，所述配置文件数据库中包括黑白名单模块、访问控制模块和会话控制模块的过滤策略。
[0014]在上述技术方案的基础上，
[0015]从外网中获取用于经过访问点控制的数据包并解析，解析后的数据包依次通过黑
白名单模块、访问控制模块和会话控制模块进行过滤检测；
[0016]所述黑白名单模块、访问控制模块和会话控制模块从配置文件数据库中获取过滤策略。
[0017]在上述技术方案的基础上，所述黑白名单模块、访问控制模块和会话控制模块的过滤策略根据需求可实时更新，且更新后的过滤策略写入配置文件数据库。
[0018]在上述技术方案的基础上，
[0019]当经过访问点控制的数据包中的源IP地址或目的IP地址，存在于白名单时，则黑白名单模块对该数据包放行；
[0020]当经过访问点控制的数据包中的源IP地址或目的IP地址，存在于黑名单时，则黑白名单模块对该数据包阻断。
[0021]在上述技术方案的基础上，
[0022]当经过访问点控制的数据包的五元组，不存在于访问控制列表时，则访问控制模块对该数据包阻断；
[0023]当经过访问点控制的数据包的五元组，存在于访问控制列表时，若设定的动作为阻断，则访问控制模块对该数据包阻断，若设定的动作为放行，则访问控制模块对该数据包放行。
[0024]在上述技术方案的基础上，
[0025]当经过访问点控制的数据包的五元组，不存在于会话控制列表时，则会话控制模块对该数据包放行；
[0026]当经过访问点控制的数据包的五元组，存在于会话控制列表时，若当前连接的会话数未超过会话阈值，则会话控制模块对该数据包放行，若当前连接的会话数超过会话阈值，则当策略开关为高时，会话控制模块对该数据包阻断，当策略开关为低时，会话控制模块对该数据包放行。
[0027]在上述技术方案的基础上，
[0028]基于设定的会话策略，对经过访问点控制的新建会话进行检测，且从第一条连接会话开始，记录每一条连接会话的状态，当检测到会话连接建立时，进行当前连接会话数的记录；
[0029]当会话连接建立后，对于后续来自同一会话的数据包，黑白名单模块、访问控制模块和会话控制模块不再对数据包进行过滤。
[0030]在上述技术方案的基础上，对于已建立连接的会话：
[0031]若在设定的时间内，会话双方中的任一方发送会话结束数据包或重置会话数据包，则将记录的当前连接会话数减一；
[0032]若在设定的时间内，会话双方中的任一方均未发送会话结束数据包，且没有任何数据包发送，则判定当前会话超时，将当前会话结束，并将记录的当前连接会话数减一。
[0033]本专利技术提供的一种用于信息安全访问点控制的方法，基于上述所述系统实现，具体包括以下步骤：
[0034]S1：获取数据包的源IP地址，转到S2；
[0035]S2：判断数据包的源IP地址是否存在于白名单中，若是，则转到S9，若否，则转到S3；
[0036]S3：判断数据包的源IP地址是否存在于黑名单中，若是，则转到S4，若否，则转到S5；
[0037]S4：阻断数据包，结束；
[0038]S5：判断数据包的源IP地址是否存在于访问控制列表中，若是，转到S6，若否，转到S4；
[0039]S6：判断数据包的源IP地址是否存在于会话控制列表中，若是，则转到S7，若否，则转到S9；
[0040]S7：判断当前连接的会话数是否超过会话阈值，若否，则转到S9，若是，则转到S8；
[0041]S8：判断策略开关，当策略开关为高时，转到S4，当策略开关为低时，转到S9；
[0042]S9：放行数据包。
[0043]与现有技术相比，本专利技术的优点在于：通过对应设计黑白名单模块、访问控制模块和会话控制模块，实现访问点控制的过滤策略，实现车内/外信息安全传输，保证车内/外通讯的安全性，保证了车内网络与车外网络直接数据流的合法性，还可以防止域外非法数据流的侵入，同时也保证合法的数据流能够快速流入流出。
附图说明
[0044]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0045]图1为本专利技术实施例中一种用于信息安全访问点控制的系统的结构示意图；
[0046]图2为本专利技术实施例中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于信息安全访问点控制的系统，其特征在于，包括：黑白名单模块，其用于进行IP地址的白名单和黑名单创建，并基于经过访问点控制的数据包中的源IP地址或目的IP地址，实现数据包的放行或阻断过滤策略控制；访问控制模块，其用于创建用于记录五元组的访问控制列表，并基于经过访问点控制的数据包的五元组，实现数据包的放行或阻断过滤策略控制；会话控制模块，其用于创建用于记录五元组的会话控制列表，并基于经过访问点控制的数据包的五元组，当数据包的五元组不在会话控制列表时放行数据包，当数据包的五元组在会话控制列表时，基于当前连接的会话数实现数据包的放行或阻断过滤策略控制；日志模块，其用于经过访问点控制的数据包的过滤过程进行记录，以及对访问点控制过程中产生的信息进行记录；其中，所述黑白名单模块、访问控制模块和会话控制模块依次对数据包进行过滤。2.如权利要求1所述的一种用于信息安全访问点控制的系统，其特征在于：基于访问控制需求进行IP地址的白名单和黑名单的创建得到黑白名单模块、进行访问控制列表的创建得到访问控制模块、进行会话控制列表的创建得到会话控制模块，同时进行日志模块的创建，生成XML配置文件；基于解析工具对生成的XML配置文件进行解析，生成T
‑
BOX端可运行的配置文件数据库，且配置文件数据库通过解析工具中集成的加密算法进行加密保护，所述配置文件数据库中包括黑白名单模块、访问控制模块和会话控制模块的过滤策略。3.如权利要求2所述的一种用于信息安全访问点控制的系统，其特征在于：从外网中获取用于经过访问点控制的数据包并解析，解析后的数据包依次通过黑白名单模块、访问控制模块和会话控制模块进行过滤检测；所述黑白名单模块、访问控制模块和会话控制模块从配置文件数据库中获取过滤策略。4.如权利要求3所述的一种用于信息安全访问点控制的系统，其特征在于：所述黑白名单模块、访问控制模块和会话控制模块的过滤策略根据需求可实时更新，且更新后的过滤策略写入配置文件数据库。5.如权利要求1所述的一种用于信息安全访问点控制的系统，其特征在于：当经过访问点控制的数据包中的源IP地址或目的IP地址，存在于白名单时，则黑白名单模块对该数据包放行；当经过访问点控制的数据包中的源IP地址或目的IP地址，存在于黑名单时，则黑白名单模块对该数据包阻断。6.如权利要求1所述的一种用于信息安全访问点控制的系统，其特征在于：当经过访...

【专利技术属性】
技术研发人员：潘守华，杨洋，郝宏基，
申请(专利权)人：东风商用车有限公司，
类型：发明
国别省市：