一种物联网设备动态制造技术

本发明专利技术提供了一种物联网设备动态

【技术实现步骤摘要】
一种物联网设备动态IP准入方法、装置及设备


[0001]本专利技术实施例涉及信息安全
，特别涉及一种物联网设备动态
IP
准入方法
、
装置及设备
。

技术介绍

[0002]动态
IP
是指网络端为用户终端进行动态的
IP
地址分配，以实现用户终端对网络的访问，例如以物联网
4G
动态
IP
为例，其指的是基于
4G
网络的物联网设备使用动态
IP
地址进行通信
。4G
网络是一种广泛使用的无线通信网络，由运营商提供服务
。
为支持多个设备接入到网络中，
4G
网络通常会使用动态
IP
地址进行分配
。
[0003]传统防火墙是根据固定
IP
进行访问控制策略的设置，对于这种动态
IP
的情况下，传统防火墙不能针对特定终端进行准入，也不能对物联网终端进行安全防护
。
[0004]为了解决上述问题，目前一些方法提出一种基于
IP
‑
MAC
实名绑定的网络准入控制系统，但是该系统只能够用于实现对仿冒的
DHCP
服务器的屏蔽和手动配置的
IP
地址的屏蔽，并不能实现对动态
IP
的管理，也即该方法还是针对固定
IP
的终端，而且在
4G
场景和经过多个三层交换机的场景下，系统是不能拿到真实
MAC
和
DHCP
报文的，所以对于现有技术中的问题，还是无法解决
。
[0005]还有方法提出一种物联网泛终端认证传输安全认证系统，该系统包括云端平台，用于接收至少一个物联网泛终端的初始设备特征信息，抽取初始设备特征信息中预设位数的目标数据；根据目标数据，生成物联网泛终端对应的唯一标识编码；发送各物联网泛终端对应的唯一标识编码至物联网通信终端，以供物联网通信终端进行储存；物联网通信终端，用于与各物联网泛终端中的至少一个目标物联网泛终端建立通讯连接时，收集目标物联网泛终端的实际设备特征信息；并根据目标物联网泛终端对应的唯一标识编码和实际设备特征信息，请求安全认证平台对目标物联网泛终端进行安全认证
。
但是云端平台需要和物联网通讯终端通讯，通常在物联网领域，平台是不能直接和终端建立通讯的
。
所以该方案仍然只能应用于固定
IP
的电力行业
。
另外，若应用该方法，还需要改造物理网通讯终端代码，用于实现接收平台发送的唯一标识编码并存储，而这在实际物联网场景下是较难实现的
。

技术实现思路

[0006]本专利技术提供了一种用于解决防火墙对物联网终端的动态
IP
无法准确识别，不能对物联网终端进行安全防护的物联网设备动态
IP
准入方法
、
装置及设备
。
[0007]为了解决上述技术问题，本专利技术实施例提供了一种物联网设备动态
IP
准入方法，包括：
[0008]获取物联网终端向物联网中心数据服务器发送的流量数据，所述物联网中心数据服务器基于目标网络进行通讯；
[0009]分析所述流量数据，以获得对应当前物联网终端的唯一性信息，每个所述物联网终端向物联网中心数据服务器发送数据时均会携带各自的唯一性信息，所述唯一性信息的
内容固定；
[0010]基于存储的唯一性信息数组对提取的所述唯一性信息进行比对，若在所述唯一性信息数组中能够查找到与所述唯一性信息匹配的信息，则控制防火墙对当前物联网终端的
IP
进行放行，所述唯一性信息数组至少包括准入所述目标网络的物联网终端的唯一性信息
。
[0011]在一些实施例中，还包括：
[0012]向审核方展示获得的每个物联网终端的唯一性信息；
[0013]获得对应每个所述物联网终端的审核结果，所述审核结果包括是否允许对应的物联网终端准入所述目标网络的信息；
[0014]基于审核结果至少将准入所述目标网络的物联网终端的唯一性信息进行收集，形成所述唯一性信息数组
。
[0015]在一些实施例中，所述唯一性信息数组还包括准入所述目标网络的物联网终端的
IP
信息，所述
IP
信息为非固定信息；
[0016]所述基于审核结果至少将准入所述目标网络的物联网终端的唯一性信息进行收集，形成所述唯一性信息数组，包括：
[0017]基于审核结果将准入所述目标网络的物联网终端的唯一性信息及当前的
IP
信息进行收集，并匹配存储，以形成所述唯一性信息数组
。
[0018]在一些实施例中，还包括：
[0019]确定当前判定准入所述目标网络的物联网终端的
IP
信息与所述唯一性信息数组中记录的
IP
信息是否一致，若不一致，则基于该物联网终端当前的
IP
信息更新所述唯一性信息数组中对应记录的
IP
信息
。
[0020]在一些实施例中，所述控制防火墙对当前物联网终端的
IP
进行放行，包括：
[0021]将准入所述目标网络的物联网终端的
IP
信息存储至所述防火墙的防火墙策略中，并在确定该物联网终端的
IP
信息发生变化或所述防火墙对该物联网终端重新发起注册请求时，基于所述唯一性信息数组中更新后的
IP
信息更新所述防火墙策略中记录的原
IP
信息
。
[0022]在一些实施例中，所述分析所述流量数据，以获得对应当前物联网终端的唯一性信息，包括：
[0023]对所述流量数据进行流还原，分析还原后的所述流量数据，以获得当前物联网终端的应用层数据；
[0024]基于所述应用层数据识别确定当前物联网终端使用的传输协议的特征字段
。
[0025]在一些实施例中，所述获取物联网终端向物联网中心数据服务器发送的流量数据，包括：
[0026]基于检测设备获得所述物联网终端向物联网中心数据服务器发送的流量数据，所述检测设备串联在所述物联网终端所在的用户网络中，或与交换机的物联网流量入口连接，所述交换机将接收的流量数据镜像至检测设备
。
[0027]在一些实施例中，还包括：
[0028]若在所述唯一性信息数组中未查找到与所述唯一性信息匹配的信息，则将所述唯一性信息和
/
或基于所述流量数据获得的当前物联网终端的信息发送至审核方进行准入审
核；
[0029]获得审核结果，若所述审核结果表明允许当前物联网终端接入所述目标网络，则至少将当前物联网本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种物联网设备动态
IP
准入方法，其特征在于，包括：获取物联网终端向物联网中心数据服务器发送的流量数据，所述物联网中心数据服务器基于目标网络进行通讯；分析所述流量数据，以获得对应当前物联网终端的唯一性信息，每个所述物联网终端向物联网中心数据服务器发送数据时均会携带各自的唯一性信息，所述唯一性信息的内容固定；基于存储的唯一性信息数组对提取的所述唯一性信息进行比对，若在所述唯一性信息数组中能够查找到与所述唯一性信息匹配的信息，则控制防火墙对当前物联网终端的
IP
进行放行，所述唯一性信息数组至少包括准入所述目标网络的物联网终端的唯一性信息
。2.
根据权利要求1所述的物联网设备动态
IP
准入方法，其特征在于，还包括：向审核方展示获得的每个物联网终端的唯一性信息；获得对应每个所述物联网终端的审核结果，所述审核结果包括是否允许对应的物联网终端准入所述目标网络的信息；基于审核结果至少将准入所述目标网络的物联网终端的唯一性信息进行收集，形成所述唯一性信息数组
。3.
根据权利要求2所述的物联网设备动态
IP
准入方法，其特征在于，所述唯一性信息数组还包括准入所述目标网络的物联网终端的
IP
信息，所述
IP
信息为非固定信息；所述基于审核结果至少将准入所述目标网络的物联网终端的唯一性信息进行收集，形成所述唯一性信息数组，包括：基于审核结果将准入所述目标网络的物联网终端的唯一性信息及当前的
IP
信息进行收集，并匹配存储，以形成所述唯一性信息数组
。4.
根据权利要求3所述的物联网设备动态
IP
准入方法，其特征在于，还包括：确定当前判定准入所述目标网络的物联网终端的
IP
信息与所述唯一性信息数组中记录的
IP
信息是否一致，若不一致，则基于该物联网终端当前的
IP
信息更新所述唯一性信息数组中对应记录的
IP
信息
。5.
根据权利要求4所述的物联网设备动态
IP
准入方法，其特征在于，所述控制防火墙对当前物联网终端的
IP
进行放行，包括：将准入所述目标网络的物联网终端的
IP
信息存储至所述防火墙的防火墙策略中，并在确定该物联网终端的
IP
信息发生变化或所述防火墙对该物联网终端重新发起注册请求时...

【专利技术属性】
技术研发人员：国占飞，万志宇，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：