物聯網數據的交換方法和交換裝置制造方法
【專利摘要】本發明公開一種物聯網數據的交換方法和交換裝置。該交換方法包括:接收感知層發送的數據包,并識別數據包采用的感知層協議;判斷感知層協議是否屬于預設協議類型;如果感知層協議屬于預設協議類型,解析數據包得到業務數據、感知層的源地址和網絡層的目的地址;判斷源地址到目的地址的交換路徑是否為預設路徑;如果交換路徑為預設路徑,掃描業務數據是否存在安全風險;如果業務數據不存在安全風險,將業務數據、源地址和目的地址采用IP協議封裝為IP數據包,并將IP數據包按照目的地址發送至網絡層。實施本發明能夠適應感知層的協議多樣性,并為感知層與網絡層之間的數據交換提供安全保障。
【專利說明】物聯網數據的交換方法和交換裝置
【技術領域】
[0001] 本發明涉及物聯網領域,尤其是涉及一種物聯網數據的交換方法,還涉及一種物 聯網數據的交換裝置。
【背景技術】
[0002] 隨著無線傳感器技術及現代通信技術的發展,物聯網已經進入高速的發展期。物 聯網包含感知層、網絡層和應用層三個方面,其中,感知層由各種傳感器以及傳感器網關構 成,其主要功能是識別物體,采集信息;網絡層由各種私有網絡、互聯網、有線和無線通信 網、網絡管理系統和云計算平臺等組成,負責傳遞和處理感知層的信息。
[0003] 由于感知層中傳感器采用的協議種類繁多,且缺乏統一的數據交互標準,因此現 有技術在進行感知層與網絡層互聯互通時主要考慮如何達到高效。然而,在現有的物聯網 中,感知層與網絡層之間的數據交換缺乏安全保障,感知層可能通過在數據中嵌入惡意代 碼等方式對網絡層進行攻擊,反過來,網絡層也會對感知層進行攻擊。因此,保障數據的傳 輸安全也是物聯網發展過程中亟待解決的問題。
【發明內容】
[0004] 本發明所要解決的技術問題是:針對上述存在的問題,提供一種物聯網數據的交 換方法和交換裝置,能夠適應感知層的協議多樣性,并為感知層與網絡層之間的數據交換 提供安全保障。
[0005] 為了解決上述技術問題,本發明采用的一種技術方案是提供一種物聯網數據的交 換方法,所述交換方法包括:接收感知層發送的數據包,并識別所述數據包采用的感知層 協議;判斷所述感知層協議是否屬于預設協議類型;如果所述感知層協議屬于預設協議類 型,解析所述數據包得到業務數據、所述感知層的源地址和網絡層的目的地址;判斷所述源 地址到所述目的地址的交換路徑是否為預設路徑;如果所述交換路徑為預設路徑,掃描所 述業務數據是否存在安全風險;如果所述業務數據不存在安全風險,將所述業務數據、所述 源地址和所述目的地址采用IP協議封裝為IP數據包,并將所述IP數據包按照所述目的地 址發送至所述網絡層。
[0006] 其中,所述如果所述交換路徑為預設路徑,掃描所述業務數據是否存在安全風險 的步驟包括:如果所述交換路徑為預設路徑,判斷所述業務數據是否為合法數據;如果所 述業務數據為合法數據,掃描所述業務數據是否存在安全風險。
[0007] 其中,所述交換方法還包括:如果所述感知層協議不屬于預設協議類型、所述交換 路徑不為預設路徑、所述業務數據不為合法數據或者所述業務數據存在安全風險,將所述 數據包丟棄。
[0008] 其中,將所述數據包丟棄后,所述交換方法還包括:將所述數據包記錄在預先建立 的信息交換日志中。
[0009] 為了解決上述技術問題,本發明采用的另一種技術方案是提供一種物聯網數據的 交換方法,所述交換方法包括:接收網絡層發送的IP數據包,判斷所述IP數據包是否攜帶 封裝協議和感知層的目的地址;如果攜帶所述封裝協議和所述目的地址,解析所述IP數據 包得到業務數據、所述網絡層的源地址和所述目的地址;判斷所述源地址到所述目的地址 的交換路徑是否為預設路徑;如果所述交換路徑為預設路徑,掃描所述業務數據是否存在 安全風險;如果所述業務數據不存在安全風險,將所述業務數據、所述源地址和所述目的地 址采用所述封裝協議重新封裝為數據包,并將所述重新封裝的數據包按照所述目的地址發 送至所述感知層。
[0010] 其中,所述如果所述交換路徑為預設路徑,掃描所述業務數據是否存在安全風險 的步驟包括:如果所述交換路徑為預設路徑,判斷所述業務數據是否為合法數據;如果所 述業務數據為合法數據,掃描所述業務數據是否存在安全風險。
[0011] 其中,所述交換方法還包括:如果所述交換路徑不為預設路徑、所述業務數據不為 合法數據或者所述業務數據存在安全風險,將所述數據包丟棄。
[0012] 其中,將所述數據包丟棄后,所述交換方法還包括:將所述數據包記錄在預先建立 的信息交換日志中。
[0013] 為了解決上述技術問題,本發明采用的另一種技術方案是提供一種物聯網數據的 交換裝置,所述交換裝置設置于感知層和網絡層之間,所述交換裝置包括識別模塊、協議判 斷模塊、解析模塊、路徑判斷模塊、掃描模塊和封裝模塊,其中,所述識別模塊用于接收感知 層發送的數據包,并識別所述數據包采用的感知層協議;所述協議判斷模塊用于判斷所述 感知層協議是否屬于預設協議類型;所述解析模塊用于在所述協議判斷模塊判斷到所述感 知層協議屬于預設協議類型時,解析所述數據包得到業務數據、所述感知層的源地址和網 絡層的目的地址;所述路徑判斷模塊用于判斷所述源地址到所述目的地址的交換路徑是否 為預設路徑;所述掃描模塊用于在所述路徑判斷模塊判斷到所述交換路徑為預設路徑時, 掃描所述業務數據是否存在安全風險;所述封裝模塊用于在所述掃描模塊掃描到所述業務 數據不存在安全風險時,將所述業務數據、所述源地址和所述目的地址采用IP協議封裝為 IP數據包,并將所述IP數據包按照所述目的地址發送至所述網絡層。
[0014] 為了解決上述技術問題,本發明采用的另一種技術方案是提供一種物聯網數據的 交換裝置,所述交換裝置設置于感知層和網絡層之間,所述交換裝置包括識別模塊、解析模 塊、路徑判斷模塊、掃描模塊和封裝模塊,其中,所述識別模塊用于接收網絡層發送的IP數 據包,判斷所述IP數據包是否攜帶封裝協議和感知層的目的地址;所述解析模塊用于在所 述識別模塊確定所述數據包攜帶所述封裝協議和所述目的地址時,解析所述IP數據包得 到業務數據、所述網絡層的源地址和所述目的地址;所述路徑判斷模塊用于判斷所述源地 址到所述目的地址的交換路徑是否為預設路徑;所述掃描模塊用于在所述路徑判斷模塊判 斷到所述交換路徑為預設路徑時,掃描所述業務數據是否存在安全風險;所述封裝模塊用 于在所述掃描模塊掃描到所述業務數據不存在安全風險時,將所述業務數據、所述源地址 和所述目的地址采用所述封裝協議重新封裝為數據包,并將所述重新封裝的數據包按照所 述目的地址發送至所述感知層。
[0015] 綜上所述,由于采用了上述技術方案,本發明的有益效果是:本發明的物聯網數據 的交換方法和交換裝置通過識別數據包的協議來適應感知層的協議多樣性,通過判斷數據 包的交換路徑是否為預設路徑以及掃描數據包中業務數據是否存在安全風險來為感知層 與網絡層之間的數據交換提供安全保障,從而能夠解決現有技術存在的問題,可以有效避 免感知層和網絡層之間的雙向攻擊,保證區域邊界安全。
【專利附圖】
【附圖說明】
[0016] 本發明將通過例子并參照附圖的方式說明,其中:
[0017] 圖1是本發明物聯網數據的交換方法第一實施例的流程示意圖。
[0018] 圖2是本發明物聯網數據的交換方法第二實施例的流程示意圖。
[0019] 圖3是本發明物聯網數據的交換裝置第一實施例的結構示意圖。
[0020] 圖4是本發明物聯網數據的交換裝置第二實施例的結構示意圖。
【具體實施方式】
[0021] 本說明書中公開的所有特征,或公開的所有方法或過程中的步驟,除了互相排斥 的特征和/或步驟以外,均可以以任何方式組合。
[0022] 本說明書中公開的任一特征,除非特別敘述,均可被其他等效或具有類似目的的 替代特征加以替換。即,除非特別敘述,每個特征只是一系列等效或類似特征中的一個例子 而已。
[0023] 請參見圖1,是本發明物聯網數據的交換方法第一實施例的流程示意圖。物聯網數 據的交換方法包括以下步驟:
[0024] S11 :接收感知層發送的數據包,并識別數據包采用的感知層協議。
[0025] 其中,感知層由于包含種類繁多的傳感器,這些傳感器采用的協議又不盡相同,所 以,在接收到感知層發送的數據包時,該數據包采用何種協議是未知的。但是數據包采用 非IP協議封裝時,通常都有一個報頭記錄數據包的基本信息,例如RFID (Radio Frequency Identification,射頻識別)協議或者無線傳感器網絡協議都定義了一個報頭,用于記錄數 據包所采用的協議等基本信息。
[0026] 在識別數據包采用的感知層協議時,可以只抓取特定字段中的關鍵字,通過該關 鍵字來識別感知層協議。
[0027] S12 :判斷感知層協議是否屬于預設協議類型。
[0028] 其中,預設協議類型是預先設定好的,其包含了多種協議。預設協議類型包含的內 容可以在任何時候進行更改、增加或刪除。如果感知層協議是預設協議類型中的一種,那么 該感知層協議屬于預設協議類型。
[0029] S13:如果感知層協議屬于預設協議類型,解析數據包得到業務數據、感知層的源 地址和網絡層的目的地址。
[0030] 其中,業務數據一般存在于數據包的正文部分,描述了具體的傳感數據。而感知層 的源地址以及網絡層的目的地址一般存在于數據包的報頭中。解析數據包時,需要將業務 數據剝離出,并從報頭中提取出源地址和目的地址。
[0031] S14 :判斷源地址到目的地址的交換路徑是否為預設路徑。
[0032] 其中,預設路徑可以通過權限表體現,權限表可以記錄多個感知層的源地址以及 多個網絡層的目的地址,一個源地址可以映射一個或多個目的地址,一個目的地址也可以 映射一個或多個源地址。源地址可以是發出數據包的傳感器的名稱或標識,目的地址可以 是IP(Internet Protocol,網際協議)地址。如果數據包中的源地址到目的地址的交換路 徑在權限表中存在相應的映射關系,那么該交換地址即為預設路徑。
[0033] S15 :如果交換路徑為預設路徑,掃描業務數據是否存在安全風險。
[0034] 其中,業務數據中如果存在惡意代碼、攻擊代碼或者病毒,都可以認為存在安全風 險。
[0035] S16 :如果業務數據不存在安全風險,將業務數據、源地址和目的地址采用IP協議 封裝為IP數據包,并將IP數據包按照目的地址發送至網絡層。
[0036] 其中,物聯網的網絡層是基于互聯網的,所以在網絡層傳輸的數據包都采用IP協 議。因此業務數據、源地址和目的地址需要按照IP協議重新封裝。
[0037] 可選地,在其它實施例中,步驟S15包括:如果交換路徑為預設路徑,判斷業務數 據是否為合法數據;如果業務數據為合法數據,掃描業務數據是否存在安全風險。其中,在 一些實際應用中,數據包中的業務數據數值大小比較固定,例如溫度傳感器上傳的溫度數 據只有幾個字節大小,如果某個時刻溫度數據達到幾十字節或者幾百字節,說明該數據包 中的業務數據不是合法數據。通過對業務數據進行合法檢查,可以提高安全掃描的準確性, 減少業務數據安全掃描的時間。
[0038] 進一步地,該交換方法還包括:如果感知層協議不屬于預設協議類型、交換路徑不 為預設路徑、業務數據不為合法數據或者業務數據存在安全風險,將數據包丟棄。可選地, 在將數據包丟棄后,還可以將數據包記錄在預先建立的信息交換日志中。
[0039] 可選地,步驟S14在判斷到交換路徑為預設路徑后,還可以進一步判斷該交換路 徑是否允許采用步驟S11中識別出的感知層協議的數據包通過,如果允許通過,才進行掃 描業務數據是否存在安全風險的步驟。
[0040] 本發明實施例的物聯網數據的交換方法針對數據包采用的感知層協議、數據包的 交換路徑、以及數據包中的業務數據進行層層檢查,將未通過檢查的數據包丟棄,從而能夠 彌補現有技術在數據包嵌入惡意代碼時無法進行過濾的不足,能夠適應感知層的協議多樣 性,并為感知層與網絡層之間的數據交換提供安全保障,實現了傳感層與網絡層之間高效、 安全的數據交換,避免了雙向攻擊,保證區域邊界安全。
[0041] 請參見圖2,是本發明物聯網數據的交換方法第二實施例的流程示意圖。物聯網數 據的交換方法包括以下步驟:
[0042] S21 :接收網絡層發送的IP數據包,判斷IP數據包是否攜帶封裝協議和感知層的 目的地址。
[0043] 其中,物聯網的網絡層是基于互聯網的,所以在網絡層傳輸的數據包都采用IP協 議,無需再判斷IP數據包采用何種協議封裝。網絡層的數據包如果發送給感知層的某個傳 感器,會在IP數據包中指定該傳感器所采用的感知層協議,該感知層協議即為封裝協議。 封裝協議和感知層的目的地址都可以存放于數據包的報頭中。
[0044] S22 :如果攜帶封裝協議和目的地址,解析IP數據包得到業務數據、網絡層的源地 址和目的地址。
[0045] 其中,業務數據一般存在于數據包的正文部分,描述了具體的網絡層處理數據。而 網絡層的源地址以及感知層的目的地址一般存在于數據包的報頭中。解析數據包時,需要 將業務數據剝離出,并從報頭中提取出源地址和目的地址。
[0046] S23 :判斷源地址到目的地址的交換路徑是否為預設路徑。
[0047] 其中,預設路徑可以通過權限表體現,權限表可以記錄多個網絡層的源地址以及 多個感知層的目的地址,一個源地址可以映射一個或多個目的地址,一個目的地址也可以 映射一個或多個源地址。源地址可以是IP地址,目的地址可以是接收數據包的傳感器的 名稱或標識。如果數據包中的源地址到目的地址的交換路徑在權限表中存在相應的映射關 系,那么該交換地址即為預設路徑。
[0048] S24 :如果交換路徑為預設路徑,掃描業務數據是否存在安全風險。
[0049] 其中,業務數據中如果存在惡意代碼、攻擊代碼或者病毒,都可以認為存在安全風 險。
[0050] S25:如果業務數據不存在安全風險,將業務數據、源地址和目的地址采用封裝協 議重新封裝為數據包,并將重新封裝的數據包按照目的地址發送至感知層。
[0051] 其中,由于IP數據包中已經指明與傳感器適應的封裝協議,因此業務數據、源地 址和目的地址需要按照封裝協議重新封裝。
[0052] 可選地,在其它實施例中,步驟S24包括:如果交換路徑為預設路徑,判斷業務數 據是否為合法數據;如果業務數據為合法數據,掃描業務數據是否存在安全風險。其中,在 一些實際應用中,數據包中的業務數據數值大小比較固定,例如溫度傳感器上傳的溫度數 據只有幾個字節大小,如果某個時刻溫度數據達到幾十字節或者幾百字節,說明該數據包 中的業務數據不是合法數據。通過對業務數據進行合法檢查,可以提高安全掃描的準確性, 減少業務數據安全掃描的時間。
[0053] 進一步地,該交換方法還包括:如果交換路徑不為預設路徑、業務數據不為合法數 據或者業務數據存在安全風險,將數據包丟棄。可選地,在將數據包丟棄后,還可以將數據 包記錄在預先建立的信息交換日志中。
[0054] 可選地,步驟S23在判斷到交換路徑為預設路徑后,還可以進一步判斷該交換路 徑是否允許采用步驟S21中的封裝協議的數據包通過,如果允許通過,才進行掃描業務數 據是否存在安全風險的步驟。
[0055] 本發明實施例的物聯網數據的交換方法針對數據包中攜帶的封裝協議和感知層 的目的地址、數據包的交換路徑、以及數據包中的業務數據進行層層檢查,只有通過檢查的 數據包才會被發送至感知層,從而能夠彌補現有技術在數據包嵌入惡意代碼時無法進行過 濾的不足,能夠適應感知層的協議多樣性,并為感知層與網絡層之間的數據交換提供安全 保障,實現了傳感層與網絡層之間高效、安全的數據交換,避免了雙向攻擊,保證區域邊界 安全。
[0056] 可以理解,本發明的上述實施例的交換方法僅記載了物聯網數據的交換方向為從 感知層到網絡層或者從網絡層到感知層,但本領域技術人員可以根據本發明上述實施例的 描述很容易想到將上述兩個實施例的交換方法組合,即將感知層的數據包交換至網絡層, 同時將網絡層返回的數據包交換至感知層,或者將網絡層的數據包交換至感知層,同時將 感知層返回的數據包交換至網絡層。因此,包含上述兩個實施例的交換方法組合的技術方 案同樣包括在本發明的保護范圍之內。
[0057] 請參見圖3,是本發明物聯網數據的交換裝置第一實施例的結構示意圖。圖中還一 并示意了感知層和網絡層。物聯網數據的交換裝置31設置于感知層和網絡層之間,包括識 別模塊310、協議判斷模塊320、解析模塊330、路徑判斷模塊340、掃描模塊350和封裝模塊 360。
[0058] 識別模塊310用于接收感知層發送的數據包,并識別數據包采用的感知層協議。 其中,感知層由于包含種類繁多的傳感器,這些傳感器采用的協議又不盡相同,所以,在接 收到感知層發送的數據包時,該數據包采用何種協議是未知的。但是數據包采用非IP協議 封裝時,通常都有一個報頭記錄數據包的基本信息,例如RFID協議或者無線傳感器網絡協 議都定義了一個報頭,用于記錄數據包所采用的協議等基本信息。在識別數據包采用的感 知層協議時,識別模塊310可以只抓取特定字段中的關鍵字,通過該關鍵字來識別感知層 協議。
[0059] 協議判斷模塊320用于判斷感知層協議是否屬于預設協議類型。其中,預設協議 類型是預先設定好的,其包含了多種協議。預設協議類型包含的內容可以在任何時候進行 更改、增加或刪除。如果感知層協議是預設協議類型中的一種,那么該感知層協議屬于預設 協議類型。
[0060] 解析模塊330用于在協議判斷模塊320判斷到感知層協議屬于預設協議類型時, 解析數據包得到業務數據、感知層的源地址和網絡層的目的地址。其中,業務數據一般存在 于數據包的正文部分,描述了具體的傳感數據。而感知層的源地址以及網絡層的目的地址 一般存在于數據包的報頭中。解析數據包時,需要將業務數據剝離出,并從報頭中提取出源 地址和目的地址。
[0061] 路徑判斷模塊340用于判斷源地址到目的地址的交換路徑是否為預設路徑。其 中,預設路徑可以通過權限表體現,權限表可以記錄多個感知層的源地址以及多個網絡層 的目的地址,一個源地址可以映射一個或多個目的地址,一個目的地址也可以映射一個或 多個源地址。源地址可以是發出數據包的傳感器的名稱或標識,目的地址可以是IP地址。 如果數據包中的源地址到目的地址的交換路徑在權限表中存在相應的映射關系,那么該交 換地址即為預設路徑。
[0062] 掃描模塊360用于在路徑判斷模塊340判斷到交換路徑為預設路徑時,掃描業務 數據是否存在安全風險。其中,業務數據中如果存在惡意代碼、攻擊代碼或者病毒,都可以 認為存在安全風險。
[0063] 封裝模塊370用于在掃描模塊360掃描到業務數據不存在安全風險時,將業務數 據、源地址和目的地址采用IP協議封裝為IP數據包,并將IP數據包按照目的地址發送至 網絡層。其中,物聯網的網絡層是基于互聯網的,所以在網絡層傳輸的數據包都采用IP協 議。因此業務數據、源地址和目的地址需要按照IP協議重新封裝。
[0064] 可選地,在其它實施例中,掃描模塊360具體用于在路徑判斷模塊340判斷到交換 路徑為預設路徑時,判斷業務數據是否為合法數據;如果業務數據為合法數據,掃描業務數 據是否存在安全風險。其中,在一些實際應用中,數據包中的業務數據數值大小比較固定, 例如溫度傳感器上傳的溫度數據只有幾個字節大小,如果某個時刻溫度數據達到幾十字節 或者幾百字節,說明該數據包中的業務數據不是合法數據。通過對業務數據進行合法檢查, 可以提高安全掃描的準確性,減少業務數據安全掃描的時間。
[0065] 進一步地,可選地,在協議判斷模塊320判斷到感知層協議不屬于預設協議類型、 路徑判斷模塊340判斷到交換路徑不為預設路徑、掃描模塊360掃描到業務數據存在安全 風險或者,掃描模塊360判斷到業務數據不為合法數據時,將數據包丟棄。可選地,在將數 據包丟棄后,還可以將數據包記錄在預先建立的信息交換日志中。
[0066] 請參見圖4,是本發明物聯網數據的交換裝置第二實施例的結構示意圖。圖中還一 并示意了感知層和網絡層。物聯網數據的交換裝置41設置于感知層和網絡層之間,包括識 別模塊410、解析模塊420、路徑判斷模塊430、掃描模塊440和封裝模塊450。
[0067] 識別模塊410用于接收網絡層發送的IP數據包,判斷IP數據包是否攜帶封裝協 議和感知層的目的地址。其中,物聯網的網絡層是基于互聯網的,所以在網絡層傳輸的數據 包都采用IP協議,無需識別模塊410再判斷IP數據包采用何種協議封裝。網絡層的數據包 如果發送給感知層的某個傳感器,會在IP數據包中指定該傳感器所采用的感知層協議,該 感知層協議即為封裝協議。封裝協議和感知層的目的地址都可以存放于數據包的報頭中。
[0068] 解析模塊420用于在識別模塊410確定數據包攜帶封裝協議和目的地址時,解析 IP數據包得到業務數據、網絡層的源地址和目的地址。其中,業務數據一般存在于數據包的 正文部分,描述了具體的網絡層處理數據。而網絡層的源地址以及感知層的目的地址一般 存在于數據包的報頭中。解析數據包時,需要將業務數據剝離出,并從報頭中提取出源地址 和目的地址。
[0069] 路徑判斷模塊430用于判斷源地址到目的地址的交換路徑是否為預設路徑。其 中,預設路徑可以通過權限表體現,權限表可以記錄多個網絡層的源地址以及多個感知層 的目的地址,一個源地址可以映射一個或多個目的地址,一個目的地址也可以映射一個或 多個源地址。源地址可以是IP地址,目的地址可以是接收數據包的傳感器的名稱或標識。 如果數據包中的源地址到目的地址的交換路徑在權限表中存在相應的映射關系,那么該交 換地址即為預設路徑。
[0070] 掃描模塊440用于在路徑判斷模塊430判斷到交換路徑為預設路徑時,掃描業務 數據是否存在安全風險。其中,業務數據中如果存在惡意代碼、攻擊代碼或者病毒,都可以 認為存在安全風險。
[0071] 封裝模塊450用于在掃描模塊440掃描到業務數據不存在安全風險時,將業務數 據、源地址和目的地址采用封裝協議重新封裝為數據包,并將重新封裝的數據包按照目的 地址發送至感知層。其中,由于IP數據包中已經指明與傳感器適應的封裝協議,因此業務 數據、源地址和目的地址需要按照封裝協議重新封裝。
[0072] 可選地,在其它實施例中,掃描模塊440還用于在路徑判斷模塊430判斷到交換路 徑為預設路徑時,判斷業務數據是否為合法數據;如果業務數據為合法數據,掃描業務數據 是否存在安全風險。其中,在一些實際應用中,數據包中的業務數據數值大小比較固定,例 如溫度傳感器上傳的溫度數據只有幾個字節大小,如果某個時刻溫度數據達到幾十字節或 者幾百字節,說明該數據包中的業務數據不是合法數據。通過對業務數據進行合法檢查,可 以提高安全掃描的準確性,減少業務數據安全掃描的時間。
[0073] 進一步地,在路徑判斷模塊430判斷到交換路徑不為預設路徑、掃描模塊440掃 描到業務數據存在安全風險或者掃描模塊440判斷到業務數據不為合法數據,將數據包丟 棄。可選地,在將數據包丟棄后,還可以將數據包記錄在預先建立的信息交換日志中。
[0074] 實施本發明的物聯網數據的交換方法和交換裝置具有多種有益效果:
[0075] 1)通過對數據進行協議識別,剝離業務數據,并對業務數據內容進行安全檢查, 再對業務數據進行IP協議或感知層協議重新封裝完成數據的傳輸,有效地杜絕了非法數 據進入、敏感信息外泄以及惡意代碼威脅,實現了傳感層與網絡層之間高效、安全的數據交 換,避免了雙向攻擊,保證區域邊界安全。
[0076] 2)支持對感知層和網絡層兩種不同的網絡間的數據進行安全監控。
[0077] 3)對預設協議類型或者預設路徑進行管理,可以有效地防止未知感知層/網絡層 源地址所帶來的安全威脅,使安全風險降至最小。
[0078] 4)通過日志記錄數據交換行為,有利于物聯網的安全審計。
[0079] 本發明并不局限于前述的【具體實施方式】。本發明擴展到任何在本說明書中披露的 新特征或任何新的組合,以及披露的任一新的方法或過程的步驟或任何新的組合。
【權利要求】
1. 一種物聯網數據的交換方法,其特征在于,所述交換方法包括: 接收感知層發送的數據包,并識別所述數據包采用的感知層協議; 判斷所述感知層協議是否屬于預設協議類型; 如果所述感知層協議屬于預設協議類型,解析所述數據包得到業務數據、所述感知層 的源地址和網絡層的目的地址; 判斷所述源地址到所述目的地址的交換路徑是否為預設路徑; 如果所述交換路徑為預設路徑,掃描所述業務數據是否存在安全風險; 如果所述業務數據不存在安全風險,將所述業務數據、所述源地址和所述目的地址采 用IP協議封裝為IP數據包,并將所述IP數據包按照所述目的地址發送至所述網絡層。
2. 根據權利要求1所述的交換方法,其特征在于,所述如果所述交換路徑為預設路徑, 掃描所述業務數據是否存在安全風險的步驟包括: 如果所述交換路徑為預設路徑,判斷所述業務數據是否為合法數據; 如果所述業務數據為合法數據,掃描所述業務數據是否存在安全風險。
3. 根據權利要求2所述的交換方法,其特征在于,所述交換方法還包括: 如果所述感知層協議不屬于預設協議類型、所述交換路徑不為預設路徑、所述業務數 據不為合法數據或者所述業務數據存在安全風險,將所述數據包丟棄。
4. 根據權利要求3所述的交換方法,其特征在于,將所述數據包丟棄后,所述交換方法 還包括: 將所述數據包記錄在預先建立的信息交換日志中。
5. -種物聯網數據的交換方法,其特征在于,所述交換方法包括: 接收網絡層發送的IP數據包,判斷所述IP數據包是否攜帶封裝協議和感知層的目的 地址; 如果攜帶所述封裝協議和所述目的地址,解析所述IP數據包得到業務數據、所述網絡 層的源地址和所述目的地址; 判斷所述源地址到所述目的地址的交換路徑是否為預設路徑; 如果所述交換路徑為預設路徑,掃描所述業務數據是否存在安全風險; 如果所述業務數據不存在安全風險,將所述業務數據、所述源地址和所述目的地址采 用所述封裝協議重新封裝為數據包,并將所述重新封裝的數據包按照所述目的地址發送至 所述感知層。
6. 根據權利要求5所述的交換方法,其特征在于,所述如果所述交換路徑為預設路徑, 掃描所述業務數據是否存在安全風險的步驟包括: 如果所述交換路徑為預設路徑,判斷所述業務數據是否為合法數據; 如果所述業務數據為合法數據,掃描所述業務數據是否存在安全風險。
7. 根據權利要求6所述的交換方法,其特征在于,所述交換方法還包括: 如果所述交換路徑不為預設路徑、所述業務數據不為合法數據或者所述業務數據存在 安全風險,將所述數據包丟棄。
8. 根據權利要求7所述的交換方法,其特征在于,將所述數據包丟棄后,所述交換方法 還包括: 將所述數據包記錄在預先建立的信息交換日志中。
9. 一種物聯網數據的交換裝置,所述交換裝置設置于感知層和網絡層之間,其特征在 于,所述交換裝置包括識別模塊、協議判斷模塊、解析模塊、路徑判斷模塊、掃描模塊和封裝 模塊,其中, 所述識別模塊用于接收感知層發送的數據包,并識別所述數據包采用的感知層協議; 所述協議判斷模塊用于判斷所述感知層協議是否屬于預設協議類型; 所述解析模塊用于在所述協議判斷模塊判斷到所述感知層協議屬于預設協議類型時, 解析所述數據包得到業務數據、所述感知層的源地址和網絡層的目的地址; 所述路徑判斷模塊用于判斷所述源地址到所述目的地址的交換路徑是否為預設路 徑; 所述掃描模塊用于在所述路徑判斷模塊判斷到所述交換路徑為預設路徑時,掃描所述 業務數據是否存在安全風險; 所述封裝模塊用于在所述掃描模塊掃描到所述業務數據不存在安全風險時,將所述業 務數據、所述源地址和所述目的地址采用IP協議封裝為IP數據包,并將所述IP數據包按 照所述目的地址發送至所述網絡層。
10. -種物聯網數據的交換裝置,所述交換裝置設置于感知層和網絡層之間,其特征在 于,所述交換裝置包括識別模塊、解析模塊、路徑判斷模塊、掃描模塊和封裝模塊,其中, 所述識別模塊用于接收網絡層發送的IP數據包,判斷所述IP數據包是否攜帶封裝協 議和感知層的目的地址; 所述解析模塊用于在所述識別模塊確定所述數據包攜帶所述封裝協議和所述目的地 址時,解析所述IP數據包得到業務數據、所述網絡層的源地址和所述目的地址; 所述路徑判斷模塊用于判斷所述源地址到所述目的地址的交換路徑是否為預設路 徑; 所述掃描模塊用于在所述路徑判斷模塊判斷到所述交換路徑為預設路徑時,掃描所述 業務數據是否存在安全風險; 所述封裝模塊用于在所述掃描模塊掃描到所述業務數據不存在安全風險時,將所述業 務數據、所述源地址和所述目的地址采用所述封裝協議重新封裝為數據包,并將所述重新 封裝的數據包按照所述目的地址發送至所述感知層。
【文檔編號】H04L29/06GK104092677SQ201410308694
【公開日】2014年10月8日 申請日期:2014年7月1日 優先權日:2014年7月1日
【發明者】馬曉旭, 冷冰, 曾夢岐, 陳劍鋒 申請人:中國電子科技集團公司第三十研究所