CN101917431A - 智能家居内部网络防止非法入侵的方法及装置 - Google Patents
智能家居内部网络防止非法入侵的方法及装置 Download PDFInfo
- Publication number
- CN101917431A CN101917431A CN2010102539507A CN201010253950A CN101917431A CN 101917431 A CN101917431 A CN 101917431A CN 2010102539507 A CN2010102539507 A CN 2010102539507A CN 201010253950 A CN201010253950 A CN 201010253950A CN 101917431 A CN101917431 A CN 101917431A
- Authority
- CN
- China
- Prior art keywords
- access request
- access
- control
- policy
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/283—Processing of data at an internetworking point of a home automation network
- H04L12/2834—Switching of information between an external network and a home network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供的智能家居内部网络防止非法入侵的方法及装置中,方法包括:控制中心接收网关转发的访问请求;控制中心根据预先保存的访问控制策略对所述访问请求进行检测,获取检测结果;在所述检测结果为通过时,控制中心通过网关,将所述访问请求携带的控制指令下发至对应的终端,否则拒绝所述访问请求。本发明的智能家居内部网络能够防范恶意非法访问,保证智能家居内部网络的安全。
Description
技术领域
本发明涉及物联网安全技术领域,具体涉及智能家居内部网络防止非法入侵的方法及装置。
背景技术
智能家居是以住宅为平台,兼备建筑、网络通信、信息家电、设备自动化和传感网络,集系统、结构、服务、管理为一体的高效、舒适、安全、便利、环保的居住环境。
基于泛在网络的智能家居通过无线、有线等多种接入方式接入外部网络,通过网关的无线、有线等方式构成家庭内部网络,外部网络和内部网络构成智能家居服务泛在化的网络基础。
智能家居内部组网是智能家居内部各种终端设备通过无线、有线等方式连接网关,构成内部局域网。内部组网中的控制中心不与任何外部网络连接,只与网关连接,通过网关下发各种指令控制内部网络中的各种终端。业务支撑平台和业务网关通过外部网络接入到网关。
智能家居内部各种终端设备包括两种控制终端:本地控制终端和远程控制终端。本地控制终端与网关相连,用于接收用户的控制指令,通过网关将控制指令发送至控制中心。远程控制终端启动应用发送指令,业务支撑平台接收用户远程控制终端发送的控制指令,经业务网关、网关转发至控制中心。
现有的系统中,各种非法用户可能通过外部网络(如因特网、有线电视网、移动网络等)接入网关,进而通过控制中心访问控制各种终端,而由于控制中心安全防范策略的不足,导致终端可能被非法使用。
发明内容
本发明所要解决的技术问题是提供一种智能家居内部网络防止非法入侵的方法及装置,从而实现智能家居内部网络能够防范恶意非法访问,保证智能家居内部网络的安全。
为解决上述技术问题,本发明提供方案如下:
一种智能家居内部网络防止非法入侵的方法,包括:
控制中心接收网关转发的访问请求;
控制中心根据预先保存的访问控制策略对所述访问请求进行检测,获取检测结果;
在所述检测结果为通过时,控制中心通过网关,将所述访问请求携带的控制指令下发至对应的终端,否则拒绝所述访问请求。
上述的方法,其中,还包括:
控制中心获取用户需求,并根据所述用户需求对访问控制策略进行配置。
上述的方法,其中,检测访问请求之前还包括:
控制中心判断访问请求携带的所述控制指令是否在预先保存的控制指令列表中,如果是,则将访问请求中携带的控制指令下发至对应的终端,否则进入检测访问请求的步骤。
上述的方法,其中,还包括:
控制中心获取一策略选择参数,并根据该策略选择参数从预先保存的访问控制策略中确定当前参与访问控制的访问控制策略;
检测访问请求的步骤中,控制中心根据当前参与访问控制的访问控制策略对所述访问请求进行检测,获取所述检测结果。
上述的方法,其中,所述访问控制策略与访问请求对应的通信对象的访问历史记录数据和/或当前访问请求中携带的信息相关。
上述的方法,其中,还包括:
在第一源地址发送的访问请求中,预定时间段内无法通过检测的访问请求的数量超过预设门限时,所述控制中心将第一源地址发送到网关,由网关拒绝所述第一源地址发送的访问请求。
上述的方法,其中,还包括:
在目的地址为所述第一终端的目的地址的访问请求中,预定时间段内无法通过检测的访问请求的数量超过预设门限时,所述控制中心保存第一终端的地址,以拒绝所有目的地址为所述第一终端的地址的访问请求。
一种智能家居内部网络防止非法入侵的装置,包括:
保存模块,用于保存访问控制策略;
接收模块,用于接收网关转发的访问请求;
检测模块,用于根据所述访问控制策略对所述访问请求进行检测,获取检测结果;
处理模块,用于在所述检测结果为通过时,通过网关,将所述访问请求中携带的控制指令下发至对应的终端,否则拒绝所述访问请求。
上述的装置,其中,还包括:
策略配置模块,用于根据用户需求配置访问控制策略。
上述的装置,其中,所述保存模块还保存有一控制指令列表,所述控制中心还包括:
预判模块,用于判断所述访问请求携带的所述控制指令是否在所述控制指令列表中,获取一判断结果;
转发模块,用于在判断结果指示所述控制指令在所述控制指令列表中时,将访问请求中携带的控制指令下发至对应的终端,否则触发所述检测模块。
上述的装置,其中,还包括:
参数获取模块,用于获取一策略选择参数;
策略使能模块,用于根据该策略选择参数从所述保存模块中保存的访问控制策略中确定当前参与访问控制的访问控制策略;
所述检测模块具有用于根据所述策略使能模块确定的当前参与访问控制的访问控制策略对所述访问请求进行检测,获取所述检测结果。
上述的装置,其中,所述访问控制策略与访问请求对应的通信对象的访问历史记录数据和/或当前访问请求中携带的信息相关。
上述的装置,其中,还包括:
发送处理模块,用于在由第一源地址发送的访问请求中,预定时间段内无法通过检测的访问请求的数量超过预设门限时,将第一源地址发送到网关,由网关拒绝所述第一源地址发送的访问请求。
上述的装置,其中,还包括:
标识保存模块,用于在目的地址为第一终端的地址的访问请求中,预定时间段内无法通过检测的访问请求的数量超过预设门限时,保存第一终端的地址,以拒绝所有目的地址为所述第一终端的访问请求。
从以上所述可以看出,本发明提供的智能家居内部网络防止非法入侵的方法、装置及系统,通过控制中心接收网关转发的访问请求;控制中心对所述访问请求进行检测,获取检测结果;在所述检测结果为通过时,控制中心通过网关,将解析所述访问请求得到的控制指令下发至对应的终端,否则拒绝所述访问请求。从而实现智能家居内部网络能够防范恶意非法访问,保证智能家居内部网络的安全。
附图说明
图1为本发明实施例提供的智能家居内部网络防止非法入侵方法实现流程示意图;
图2为本发明实施例的控制中心的结构示意图;
图3为本发明实施例提供的智能家居内部网络防止非法入侵的方法的一种具体实现的流程图。
具体实施方式
本发明实施例提供了一种智能家居内部网络防止非法入侵的方法,如图1所示,具体可以包括以下步骤:
步骤S101,控制中心接收网关转发的访问请求;
步骤S102,控制中心根据预先保存的访问控制策略对所述访问请求进行检测,获取检测结果;
步骤S103,在所述检测结果为通过检测时,控制中心通过网关,将所述访问请求携带的控制指令下发至对应的终端,否则拒绝所述访问请求。
本发明实施例的智能家居内部网络防止非法入侵的装置如图2所示包括:
保存模块,用于保存访问控制策略;
接收模块,用于接收网关转发的访问请求;
检测模块,用于根据所述访问控制策略对所述访问请求进行检测,获取检测结果;
处理模块,用于在所述检测结果为通过时,通过网关,将所述访问请求中携带的控制指令下发至对应的终端,否则拒绝所述访问请求。
本发明实施例中,通过访问控制策略对访问请求进行访问控制,保证非法的访问请求所携带的控制指令不会下发到终端,以保证终端安全。
在本发明的具体实施例中,考虑到以后业务的不断发展、控制终端类型的不断增加、用户需求的不断变化,因此有必要在装置设置一策略配置模块,用于根据用户需求配置访问控制策略。
而本发明实施例的智能家居内部网络防止非法入侵的方法中也对应包括如下步骤:
获取用户需求,根据用户需求对访问控制策略进行配置。
在本发明的具体实施例中,所述的配置具体可以是:
新增访问控制策略;
删除访问控制策略;
修改访问控制策略。
分别举例说明如下。
如用户家庭新增加一个信息家电,该信息家电不同于其他的被控设备,需要独立的控制策略,在这种情况下,用户就可以通过该策略配置模块新增加访问控制策略,该新增加的操作可以是在一操作界面下由用户输入,等用户输入完毕后保存到保存模块,当然也可以是直接将用户选择的保存于其他位置的访问控制策略下载并保存到保存模块。
如随着入侵手段的不断变化,用户在一段时间后发现当前的控制策略已经无法满足需要,需要修改访问控制策略才能够抵抗新的入侵手段,则此时用户就可以通过该策略配置模块调用并编辑需要修改访问控制策略后保存修改后的访问控制策略。
又如,用户家庭一个设备淘汰不再使用,则之前针对该设备的访问控制策略不再有用,则用户可以通过策略配置模块删除该访问控制策略。
通过策略配置模块,使得用户能够随时更新访问控制策略,使得访问控制策略不再是固定的策略,大大提高了装置的适应性和可扩展性。
当然,对于家庭网络而言,外部控制中有一部分指令可能是非常重要的指令,如启动报警器、启动灭火装置等,对于这一类指令,一般来说,利用访问控制策略来对访问请求进行控制,有可能存在误判断的可能性,即使其可能性非常小,但对于以上的启动报警器、启动灭火装置等指令而言,一旦误判就有可能造成无法挽回的后果,因此,在本发明的具体实施例的装置中,所述保存模块还保存有一控制指令列表,所述装置还包括:
预判模块,用于判断所述访问请求携带的所述控制指令是否在所述控制指令列表中,获取一判断结果;
转发模块,用于在判断结果指示所述控制指令在所述控制指令列表中时,将访问请求中携带的控制指令下发至对应的终端,否则触发所述检测模块。
相对应的,本发明实施例的智能家居内部网络防止非法入侵的方法中,在步骤S102之前还包括:
判断所述访问请求携带的所述控制指令是否预先保存的控制指令列表中,如果是,则将访问请求中携带的控制指令下发至对应的终端,否则进入步骤S103。
在本发明的具体实施例中,之前已经提到,用户可以通过策略配置模块来配置访问控制策略,以提高了装置的适应性和可扩展性,但这些手段对装置的智能性没有帮助,在本发明的具体实施例中,可以设置一些启动判断条件,让所述装置在合适的条件(如时间、客户要求条件等)采用合适的访问控制策略,以提高访问控制的效率,在这种情况下,本发明具体实施例的装置还包括:
参数获取模块,用于获取一策略选择参数;
策略使能模块,用于根据该策略选择参数从所述保存模块中保存的访问控制策略中确定当前参与访问控制的访问控制策略;
所述检测模块具有用于根据所述策略使能模块确定的当前参与访问控制的访问控制策略对所述访问请求进行检测,获取所述检测结果。
相对应的,本发明实施例的智能家居内部网络防止非法入侵的方法中,也包括:
获取一策略选择参数,并根据该策略选择参数从预先保存的访问控制策略中确定当前参与访问控制的访问控制策略;
所述步骤S102中,控制中心根据当前参与访问控制的访问控制策略对所述访问请求进行检测,获取所述检测结果。
对上述的情况举例说明如下。
例如,对于一类用户而言,其只有上午10点之后到晚上10点之前才不在家,也只有这段时间才有可能发生访问请求,其他时间不会发生访问请求,而对于上述的情况,可以认为,在晚上10点之后到第二天10点之前的访问请求都是非法的,而其他时间则有可能是合法的,有可能是非法的,对于这种情况下,则策略选择参数就是当前时间,在发现当前时间为10:00PM时,则选择如下的第一访问控制策略(如拒绝所有访问请求)作为当前参与访问控制的访问控制策略,而在发现当前时间为10:00AM时,则切换为选择第二访问控制策略(仅有合法用户发送的访问请求才能通过)作为当前参与访问控制的访问控制策略。
又例如,对于单身居住的家庭,可以认为只要家中有人,访问请求都是非法的,其他情况则有可能是合法的,有可能是非法的,对于这种情况下,策略选择参数可以是电子设备的使用状况(如电视机是否打开、空调是否的打开)等,如发现任意一个电子设备处于开启状态,则选择如下的第一访问控制策略(如拒绝所有访问请求)作为当前参与访问控制的访问控制策略,而在发现受有电子设备都处于关闭状态时,则切换为选择第二访问控制策略(仅有合法用户发送的访问请求才能通过)作为当前参与访问控制的访问控制策略。
当然,应当理解的是,上述的举例仅仅是为了说明控制中心可以根据策略选择参数的实际值来智能选择是否采用访问控制策略以及采用何种访问控制策略,而并不代表只能使用上述的举例来选择访问控制策略。
在本发明的具体实施例中,该控制中心还包括:
发送处理模块,用于将第一源地址发送到网关,由网关拒绝所述第一源地址发送的访问请求;所述第一源地址发送的访问请求中,预定时间段内无法通过检测的访问请求的数量超过预设门限。
通过上述发送处理模块的设置,可以减轻控制中心的负担,使得访问请求控制操作可以由网关来分担一部分,提高了网关的利用率。而且对于某一类非法地址发送的访问请求直接由网关拒绝,使得控制中心不再需要浪费无谓的资源来检测结果必然是无法通过的访问请求,提高了处理效率。
在本发明的具体实施例中,该控制中心还包括:
标识保存模块,用于保存第一终端的地址,以拒绝所有目的地址为所述第一终端的的地址访问请求;目的地址为所述第一终端的地址访问请求中,预定时间段内无法通过检测的访问请求的数量超过预设门限。
通过上述标识保存模块的设置,可以减轻控制中心的负担,提高了处理效率。
在本发明的具体实施例中,该访问控制策略可以基于各种不同的因素来构建,下面列举几种因素,如下:
1、访问请求对应的通信对象的访问历史记录数据;
2、当前访问请求中携带的信息。
上述的访问请求对应的通信对象为访问请求的发送方和/或访问请求对应的待控制终端。
当然,之前已经进行了说明,本发明实施例的访问控制策略可以根据用户需求、技术进步等因素进行增加、修改、删除等配置操作,上述的各种参数仅仅是列举可能实现的方式,而不能理解为访问控制策略只能根据上述的参数来构建。
下面对利用上述两类信息如何进行访问控制进行详细说明。
在本发明的具体实施例中,该访问请求对应的通信对象的访问历史记录数据可以如下信息中的一个或多个:
A、所述访问请求的请求方之前预定时间内发送的访问请求的数量;
B、所述访问请求对应的终端之前预定时间内被访问的次数;
C、之前预定时间内所述访问请求的请求方请求访问所述访问请求对应的终端的次数;
D、所述访问请求的请求方之前预定时间内访问请求解析失败的次数。
在后续的说明,以访问控制策略与A、B、C和D为例均相关为例进行说明,但应当理解的是,A、B、C和D中的任意一个或两个都可以形成访问控制策略。
对于以上形式的访问控制策略,其中包括如下的参数:策略涉及到的参数以及访问控制门限。
如控制策略与访问请求的请求方发送的访问请求的数量相关时,需要预先保存如下的参数:请求方、发送访问请求的数量门限(如1000次)以及到目前为止已发送访问请求的数量。
则利用上述的策略,控制中心首先判断当前接收到的访问请求是否由需要控制的发送方发送,如果是的话,则判断该请求方当前已经发送的访问请求数量是否超过预设的数量门限,如果是,则拒绝本次请求,否则允许本次请求。
如控制策略与所述访问请求对应的终端之前预定时间内被访问的次数相关时,需要预先保存如下的参数:终端、被访问的数量门限(如1000次)以及到目前为止已被访问的次数。
则利用上述的策略,控制中心首先判断当前接收到的访问请求是否是访问该预定终端,如果是的话,则判断到目前为止已被访问的次数是否超过预设的数量门限,如果是,则拒绝本次请求,否则允许本次请求。
如控制策略与之前预定时间内所述访问请求的请求方请求访问所述访问请求对应的终端的次数相关时,需要预先保存如下的参数:终端、请求方、数量门限(如1000次)以及到目前为止请求方已访问终端的次数。
则利用上述的策略,控制中心首先判断当前接收到的访问请求是否是预定请求方访问该预定终端,如果是的话,则判断到目前为止已该请求方访问该终端的次数是否超过预设的数量门限,如果是,则拒绝本次请求,否则允许本次请求。
上述的各种访问次数、请求发送次数等都可以通过设置计数器来记录。
可以理解的是,本发明实施例可以涉及的安全策略信息的名称、内容以及数量等信息,不限于上述所列举的安全策略信息,本领域技术人员基于本发明提供的技术方案的启发下所提出的其他安全策略信息,均在本发明的保护范围内。
本发明实施例中,对于事先定义的安全策略,在具体实施时,可以全部执行生效,也可以执行生效其中的一个、或多个。
比如,在本发明的一个具体实施例中,智能家居内部网络单独执行生效源地址协议解析失败策略,以实现智能家居内部网络访问非法入侵。
再比如,在本发明的一个具体实施例中,智能家居内部网络执行生效源地址流量控制策略以及终端地址保护策略,以实现智能家居内部网络访问非法入侵。
之前已经提到,本发明实施例中,还可以根据当前访问请求中携带的信息来进行访问控制,如鉴权信息、秘钥等,这将在以下实施例进行详细说明。
下面,以智能家居内部网络中控制中心为执行主体,结合附图3对本发明实施例提供的智能家居内部网络防止非法入侵方法的一个具体实施例进行详细的描述,具体可以包括:
步骤S201,控制中心接收网关转发的访问请求。
步骤S202,控制中心收到网关转发的访问请求时,如果对应该访问请求的源地址定义有源地址流量控制策略,则控制中心可以根据该源地址对应的源地址流量控制策略计数器在之前预定时间内所记录的历史记录数据,判断发送该访问请求的源地址所发送的访问请求流量是否大于事先定义的源地址流量控制策略对应的阀值,从而确定是否解析该访问请求。
若记录数据中,该源地址在之前预定时间段内发送的访问请求流量已经大于事先定义的源地址流量控制策略对应的阀值,比如10000次或者10000次/60秒,则控制中心不解析该消息,转至步骤S203,控制中心可以拒绝该访问请求,并可选择将该访问请求丢弃或者向网关返回相关信息等多种操作。若记录数据中,该源地址在之前预定时间段内发送的访问请求流量小于事先定义的源地址流量控制策略对应的阀值,则转至步骤S204。
步骤S204,控制中心可以将该源地址对应的源地址流量控制策略计数器增加一个数值,即实现源地址流量控制策略的历史记录数据自增,以备下次进行阀值判断。
在本发明实施例中,当计数器的数值,即历史记录数据发生变动时,控制中心可以启动判断是否达到安全策略信息对应阀值的流程,即将变动后计数器所记录的数据,与事先定义的安全策略信息对应的阀值进行判断比较。
以表1中源地址流量控制策略为例进行说明,如果记录数据中,某个源地址发送的访问请求流量没有达到该源地址对应的源地址流量控制策略对应的阀值,则控制中心不启动锁定保护流程。如果记录数据中,某个源地址发送的访问请求流量达到该源地址对应的源地址流量控制策略对应的阀值,则控制中心启动锁定保护流程,确定后续拒绝接收该源地址发送的访问请求,并将该源地址信息发送至智能家居内部网络中的网关,由网关将该源地址加入控制名单(即黑名单),网关后续可以拒绝接收该源地址发送的访问请求。
在本发明的另一个具体实施例中,如果需要解除控制中心启动的针对源地址流量控制策略的锁定保护流程,则控制中心可以根据事先定义的源地址流量控制策略对应的恢复方式,进行解锁恢复流程。具体的,如果事先定义的源地址流量控制策略对应的恢复方式为手动方式,则具体可以由用户登录控制中心,手动对源地址执行生效的源地址流量控制策略进行解锁恢复,将源地址对应的源地址流量控制策略计数器恢复至初始值,比如为0。如果事先定义的源地址流量控制策略对应的恢复方式为自动方式,则控制中心可以在事先定义的源地址流量控制策略对应的恢复时间达到时,比如60秒,自动对源地址执行生效的源地址流量控制策略进行解锁恢复,将源地址对应的源地址流量控制策略计数器恢复至初始值。后续控制中心可将该源地址信息发送至网关,由网关将该源地址从控制名单中删除,网关恢复接收该源地址发送的访问请求。
本发明实施例所涉及的源地址协议解析失败策略的锁定保护流程和解锁恢复流程,与上述源地址流量控制策略的锁定保护流程和解锁恢复流程类似,具体请参照上述描述。
步骤S205,控制中心解析该访问请求,获取关键信息。
本发明实施例中,关键信息具体可以包括:鉴权标识、终端信息、控制指令等。上述终端信息,具体可以包括访问请求所要访问的终端地址等。
需要说明的是,在控制中心解析该访问请求过程中,具体可以首先由控制中心解析该访问请求的消息头中鉴权标识,进行鉴权验证。所述鉴权标识,是网关到业务支撑平台注册时,由业务支撑平台产生该鉴权标识并返回给网关,网关与业务支撑平台间所有消息交互都需要校验鉴权标识,当访问请求中鉴权标识与注册时分配的鉴权标识不匹配,则校验失败。
在通过鉴权标识校验后,控制中心可对访问请求进行密钥验证,解析出该访问请求的消息体。由于通常情况下,访问请求的消息体可以以加密串形式传送以保证安全,而加密串密文由加密算法计算所得,其对应密钥为网关到业务支撑平台去注册时,由业务支撑平台分配。分配后,业务支撑平台发给智能家居内部网络的消息都按该密钥进行加密,智能家居内部网络(具体可为控制中心或者其他功能实体)也可以对应按该密钥对所收到的访问请求进行解密。
最后,可由控制中心对解密后的访问请求的消息体,按其对应封装等协议进行校验,判断其是否为符合相关协议的消息体。
上述验证过程对应的安全策略信息具体可对应表1中所列举的源地址协议解析失败策略。
步骤S206,控制中心解析访问请求失败时,若控制中心事先定义的源地址协议解析失败策略生效,则控制中心可以将该源地址对应的源地址协议解析失败策略计数器增加一个数值,即实现该源地址对应的源地址协议解析失败策略的历史记录数据自增。同时,控制中心可以拒绝该访问请求,并可以采取将该访问请求丢弃或者向网关等功能实体返回相关信息等多种操作。
步骤S207,控制中心解析访问请求成功后,可以进行鉴权标识密钥、封装协议等安全验证。如果验证通过转至步骤S209,如果验证不通过则转至步骤S208,控制中心可以执行与步骤S206相同的技术操作。
步骤S209,控制中心可验证终端,即终端地址是否存在。由于终端在智能家居内部网络中均有唯一的终端地址,若控制中心解析获取的关键信息中所包括的终端地址,不存在于智能家居内部网络中,则转至步骤S210,控制中心可以执行与步骤S208相同的技术操作。若终端存在,则执行步骤S211,控制中心可以对控制指令进行验证。由于控制中心保留有终端对应的控制指令集合,若控制中心解析获取的关键信息中所包括的控制指令不存在于该终端对应的控制指令集合中,则控制指令验证失败,转至步骤S212,控制中心可以执行与步骤S210相同的技术操作。若控制指令存在,则控制中心执行步骤S213,判断控制指令是否为终端的特殊指令,比如灭火等指令,如果是特殊指令,则转至步骤S220,控制中心将特殊控制指令通过网关下发至对应的终端,即智能家居设备;否则转至步骤S214。
需要说明的是,步骤S205、步骤S207、步骤S209、步骤S211在执行时可以没有先后顺序。
步骤S214,如果控制中心事先定义的终端地址保护策略生效,则控制中心判断之前预定时间内的历史记录数据中,该终端地址对应的终端地址保护策略计数器所记录的数据,是否大于事先定义的该终端地址对应的终端地址保护策略的阀值。如果大于阀值,则执行步骤S215,控制中心可以执行与步骤S212相同的技术操作。如果小于阀值,则执行步骤S216,控制中心将该终端地址对应的终端地址保护策略计数器增加一个数值,即增加终端地址保护策略计数器的历史记录数据。
上述终端地址保护策略,具体可以是指基于终端地址总的访问流量的安全策略。终端地址保护策略无需区分发送访问请求的源地址信息。
在本发明实施例中,当终端地址保护策略对应的计数器发生数值变动,同样可以触发控制中心将变动后的计数器记录数据与终端地址保存策略对应阀值进行判断的过程。并且与上述列举的控制中心针对源地址流量控制策略所启动的锁定保护流程以及解锁恢复流程类似,控制中心同样可以基于对应的历史记录数据,启动针对终端地址保护策略的锁定保护流程和解锁恢复流程。不同的是,终端地址保护策略(以及终端地址流量控制策略)所保护的是终端,而源地址流量控制策略(以及源地址协议解析失败策略)所保护的是网关。而且,本发明实施例中,可由控制中心基于终端地址保护策略,将访问流量达到对应阀值的终端地址加入控制名单,拒绝下发给该终端地址所有访问请求。
那么在步骤S214中,控制中心还可以通过判断该终端是否在控制名单中,来确定该终端的访问流量是否大于终端地址保护策略对应的阀值。
本发明实施例所涉及的终端地址流量控制策略与终端地址保护策略类似,不同的是,终端地址流量控制策略所针对的是某个源地址对某个终端地址的访问流量的控制。
步骤S217,如果控制中心事先定义的终端地址流量控制策略生效,则控制中心可以判断之前预定时间内的历史记录数据中,发送该访问请求的源地址,访问该终端地址的访问流量是否大于事先定义的终端地址流量控制策略对应的阀值。控制中心具体可以通过查看该源地址对应的终端地址流量控制策略计数器所记录的数据进行判断。在本发明的另一个实施例中,控制中心也可以查看该终端地址是否在控制名单中,以确定该源地址访问该终端地址的访问流量是否大于事先定义的阀值。
如果源地址访问某个终端地址的流量大于事先定义的终端地址流量控制策略中的阀值,则转至步骤S218,控制中心可以执行与步骤S215相同的技术操作;否则转至步骤S219,控制中心将该终端对应的终端地址流量控制策略计数器增加一个数值,即增加终端地址流量控制策略计数器的历史记录数据。
当终端地址流量控制策略计数器所记录的数据发生变动时,同样可以触发控制中心进行阀值判断,以及相应的锁定保护流程和解锁恢复流程。具体请参照终端地址保护策略的相关描述。
需要说明的是,步骤S214与步骤S217在执行时可以没有先后顺序。
步骤S220,控制中心通过发送控制消息,将解析获取的控制指令通过网关下发至终端,即智能家居设备。
由上述实施例可以看出,本发明实施例在智能家居系统中,当大量的非法访问绕过业务支撑平台,蓄意非法访问内部网络时,控制中心能够识别非法访问,进而保护网关和终端设备。
本发明提供的智能家居内部网络防止非法入侵的方法、装置及系统,通过控制中心接收网关转发的访问请求;控制中心对所述访问请求进行检测,获取检测结果;在所述检测结果为通过时,控制中心通过网关,将解析所述访问请求得到的控制指令下发至对应的终端,否则拒绝所述访问请求。从而实现智能家居内部网络能够防范恶意非法访问,保证智能家居内部网络的安全。
以上所述仅是本发明的实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1.一种智能家居内部网络防止非法入侵的方法,其特征在于,包括:
控制中心接收网关转发的访问请求;
控制中心根据预先保存的访问控制策略对所述访问请求进行检测,获取检测结果;
在所述检测结果为通过时,控制中心通过网关,将所述访问请求携带的控制指令下发至对应的终端,否则拒绝所述访问请求。
2.如权利要求1所述的方法,其特征在于,还包括:
控制中心获取用户需求,并根据所述用户需求对访问控制策略进行配置。
3.如权利要求1所述的方法,其特征在于,检测访问请求之前还包括:
控制中心判断访问请求携带的所述控制指令是否在预先保存的控制指令列表中,如果是,则将访问请求中携带的控制指令下发至对应的终端,否则进入检测访问请求的步骤。
4.如权利要求1所述的方法,其特征在于,还包括:
控制中心获取一策略选择参数,并根据该策略选择参数从预先保存的访问控制策略中确定当前参与访问控制的访问控制策略;
检测访问请求的步骤中,控制中心根据当前参与访问控制的访问控制策略对所述访问请求进行检测,获取所述检测结果。
5.根据权利要求1-4中任意一项所述的方法,其特征在于,所述访问控制策略与访问请求对应的通信对象的访问历史记录数据和/或当前访问请求中携带的信息相关。
6.如权利要求1-4中任意一项所述的方法,其特征在于,还包括:
在第一源地址发送的访问请求中,预定时间段内无法通过检测的访问请求的数量超过预设门限时,所述控制中心将第一源地址发送到网关,由网关拒绝所述第一源地址发送的访问请求。
7.如权利要求1-4中任意一项所述的方法,其特征在于,还包括:
在目的地址为所述第一终端的目的地址的访问请求中,预定时间段内无法通过检测的访问请求的数量超过预设门限时,所述控制中心保存第一终端的地址,以拒绝所有目的地址为所述第一终端的地址的访问请求。
8.一种智能家居内部网络防止非法入侵的装置,其特征在于,包括:
保存模块,用于保存访问控制策略;
接收模块,用于接收网关转发的访问请求;
检测模块,用于根据所述访问控制策略对所述访问请求进行检测,获取检测结果;
处理模块,用于在所述检测结果为通过时,通过网关,将所述访问请求中携带的控制指令下发至对应的终端,否则拒绝所述访问请求。
9.如权利要求8所述的装置,其特征在于,还包括:
策略配置模块,用于根据用户需求配置访问控制策略。
10.如权利要求8所述的装置,其特征在于,所述保存模块还保存有一控制指令列表,所述控制中心还包括:
预判模块,用于判断所述访问请求携带的所述控制指令是否在所述控制指令列表中,获取一判断结果;
转发模块,用于在判断结果指示所述控制指令在所述控制指令列表中时,将访问请求中携带的控制指令下发至对应的终端,否则触发所述检测模块。
11.如权利要求8所述的装置,其特征在于,还包括:
参数获取模块,用于获取一策略选择参数;
策略使能模块,用于根据该策略选择参数从所述保存模块中保存的访问控制策略中确定当前参与访问控制的访问控制策略;
所述检测模块具有用于根据所述策略使能模块确定的当前参与访问控制的访问控制策略对所述访问请求进行检测,获取所述检测结果。
12.根据权利要求8-11中任意一项所述的装置,其特征在于,所述访问控制策略与访问请求对应的通信对象的访问历史记录数据和/或当前访问请求中携带的信息相关。
13.如权利要求8-11中任意一项所述的装置,其特征在于,还包括:
发送处理模块,用于在由第一源地址发送的访问请求中,预定时间段内无法通过检测的访问请求的数量超过预设门限时,将第一源地址发送到网关,由网关拒绝所述第一源地址发送的访问请求。
14.如权利要求8-11中任意一项所述的装置,其特征在于,还包括:
标识保存模块,用于在目的地址为第一终端的地址的访问请求中,预定时间段内无法通过检测的访问请求的数量超过预设门限时,保存第一终端的地址,以拒绝所有目的地址为所述第一终端的访问请求。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102539507A CN101917431A (zh) | 2010-08-13 | 2010-08-13 | 智能家居内部网络防止非法入侵的方法及装置 |
| EP10855830.5A EP2605455A4 (en) | 2010-08-13 | 2010-12-22 | METHOD AND APPARATUS FOR PREVENTING ANY ILLEGAL INTRUSION IN THE INTERNAL NETWORK OF AN INTELLIGENT HOUSE |
| PCT/CN2010/080117 WO2012019410A1 (zh) | 2010-08-13 | 2010-12-22 | 智能家居内部网络防止非法入侵的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102539507A CN101917431A (zh) | 2010-08-13 | 2010-08-13 | 智能家居内部网络防止非法入侵的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101917431A true CN101917431A (zh) | 2010-12-15 |
Family
ID=43324815
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102539507A Pending CN101917431A (zh) | 2010-08-13 | 2010-08-13 | 智能家居内部网络防止非法入侵的方法及装置 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP2605455A4 (zh) |
| CN (1) | CN101917431A (zh) |
| WO (1) | WO2012019410A1 (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012019410A1 (zh) * | 2010-08-13 | 2012-02-16 | 中兴通讯股份有限公司 | 智能家居内部网络防止非法入侵的方法及装置 |
| CN103227988A (zh) * | 2012-01-31 | 2013-07-31 | 海尔集团公司 | 智能物联网及其控制方法 |
| CN104869123A (zh) * | 2015-06-03 | 2015-08-26 | 维融集团有限公司 | 一种网络接入控制方法和服务器 |
| CN105527931A (zh) * | 2014-09-28 | 2016-04-27 | 丰唐物联技术(深圳)有限公司 | 一种智能家居设备及控制方法 |
| CN105629744A (zh) * | 2015-04-30 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 智能家居的控制方法、控制系统、终端和智能家居系统 |
| CN105933785A (zh) * | 2016-05-23 | 2016-09-07 | 武汉斗鱼网络科技有限公司 | 一种利用弹幕控制游戏操作方向的方法及装置 |
| CN106094581A (zh) * | 2016-06-08 | 2016-11-09 | 美的集团股份有限公司 | 控制数据监测装置及方法 |
| CN106230674A (zh) * | 2016-08-30 | 2016-12-14 | 青岛海尔股份有限公司 | 防止智能家电被恶意控制的方法与装置 |
| CN106412122A (zh) * | 2016-11-24 | 2017-02-15 | 美的智慧家居科技有限公司 | 物联网设备与服务器的安全链接方法和装置及无线路由器 |
| CN106936676A (zh) * | 2017-04-20 | 2017-07-07 | 青岛海信电器股份有限公司 | 家居设备控制方法及装置 |
| CN108769214A (zh) * | 2018-05-31 | 2018-11-06 | 北京百度网讯科技有限公司 | 用于控制边缘计算设备、用于更新数据的方法和装置 |
| CN109327469A (zh) * | 2018-11-26 | 2019-02-12 | 杨凌汇方农业有限公司 | 用于管理物联网的方法及智能网关 |
| CN109814402A (zh) * | 2019-03-18 | 2019-05-28 | 广东超讯通信技术股份有限公司 | 一种智能家居管理系统 |
| CN109995777A (zh) * | 2019-03-26 | 2019-07-09 | 广东汇泰龙科技有限公司 | 一种基于内外网隔离的智能云锁控制方法和系统 |
| CN111262865A (zh) * | 2016-09-23 | 2020-06-09 | 华为技术有限公司 | 访问控制策略的制定方法、装置及系统 |
| CN111901314A (zh) * | 2020-07-13 | 2020-11-06 | 珠海格力电器股份有限公司 | 一种智能家居系统入侵防御方法、装置、存储介质及终端 |
| CN112073466A (zh) * | 2020-08-10 | 2020-12-11 | 武汉时波网络技术有限公司 | 一种终端分布式指令下发方法和系统 |
| WO2021057808A1 (zh) * | 2019-09-27 | 2021-04-01 | 华为技术有限公司 | 一种流量控制的方法及装置 |
| CN114615073A (zh) * | 2022-03-22 | 2022-06-10 | 广州方硅信息技术有限公司 | 访问流量控制方法及其装置、设备、介质 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103676912A (zh) * | 2013-12-26 | 2014-03-26 | 贵阳供电局 | 智能家居系统 |
| CN105207860B (zh) * | 2015-08-13 | 2018-08-10 | 中国联合网络通信集团有限公司 | 一种业务加速系统及方法 |
| CN106685774B (zh) * | 2017-01-05 | 2020-10-13 | 深圳大学 | 一种智能家居的管理方法、装置及系统 |
| CN107332784B (zh) * | 2017-06-19 | 2020-12-18 | 上海高顿教育科技有限公司 | 一种用于服务器接口的安全防护系统 |
| CN109962855A (zh) * | 2017-12-14 | 2019-07-02 | 深圳市融汇通金科技有限公司 | 一种web服务器的限流方法、限流装置及终端设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1335707A (zh) * | 2000-07-25 | 2002-02-13 | 松下电工株式会社 | 利用通信网络对服务业提供之服务的监视支持方法和系统 |
| US20040177072A1 (en) * | 2001-05-17 | 2004-09-09 | Ilkka Salminen | Smart environment |
| CN1643476A (zh) * | 2002-03-18 | 2005-07-20 | 国际商业机器公司 | 管理多计算机服务器的功耗的方法 |
| CN1759428A (zh) * | 2003-03-25 | 2006-04-12 | 笹仓丰喜 | 家庭安全系统 |
| CN1863195A (zh) * | 2005-05-13 | 2006-11-15 | 中兴通讯股份有限公司 | 具有安全注册功能的家庭网络系统及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070288487A1 (en) * | 2006-06-08 | 2007-12-13 | Samsung Electronics Co., Ltd. | Method and system for access control to consumer electronics devices in a network |
| CN101917431A (zh) * | 2010-08-13 | 2010-12-15 | 中兴通讯股份有限公司 | 智能家居内部网络防止非法入侵的方法及装置 |
-
2010
- 2010-08-13 CN CN2010102539507A patent/CN101917431A/zh active Pending
- 2010-12-22 EP EP10855830.5A patent/EP2605455A4/en not_active Withdrawn
- 2010-12-22 WO PCT/CN2010/080117 patent/WO2012019410A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1335707A (zh) * | 2000-07-25 | 2002-02-13 | 松下电工株式会社 | 利用通信网络对服务业提供之服务的监视支持方法和系统 |
| US20040177072A1 (en) * | 2001-05-17 | 2004-09-09 | Ilkka Salminen | Smart environment |
| CN1643476A (zh) * | 2002-03-18 | 2005-07-20 | 国际商业机器公司 | 管理多计算机服务器的功耗的方法 |
| CN1759428A (zh) * | 2003-03-25 | 2006-04-12 | 笹仓丰喜 | 家庭安全系统 |
| CN1863195A (zh) * | 2005-05-13 | 2006-11-15 | 中兴通讯股份有限公司 | 具有安全注册功能的家庭网络系统及方法 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012019410A1 (zh) * | 2010-08-13 | 2012-02-16 | 中兴通讯股份有限公司 | 智能家居内部网络防止非法入侵的方法及装置 |
| CN103227988B (zh) * | 2012-01-31 | 2018-01-30 | 海尔集团公司 | 智能物联网及其控制方法 |
| CN103227988A (zh) * | 2012-01-31 | 2013-07-31 | 海尔集团公司 | 智能物联网及其控制方法 |
| WO2013113177A1 (zh) * | 2012-01-31 | 2013-08-08 | 海尔集团公司 | 智能物联网及其控制方法 |
| CN105527931A (zh) * | 2014-09-28 | 2016-04-27 | 丰唐物联技术(深圳)有限公司 | 一种智能家居设备及控制方法 |
| CN105629744A (zh) * | 2015-04-30 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 智能家居的控制方法、控制系统、终端和智能家居系统 |
| CN104869123A (zh) * | 2015-06-03 | 2015-08-26 | 维融集团有限公司 | 一种网络接入控制方法和服务器 |
| CN105933785A (zh) * | 2016-05-23 | 2016-09-07 | 武汉斗鱼网络科技有限公司 | 一种利用弹幕控制游戏操作方向的方法及装置 |
| CN106094581A (zh) * | 2016-06-08 | 2016-11-09 | 美的集团股份有限公司 | 控制数据监测装置及方法 |
| CN106230674A (zh) * | 2016-08-30 | 2016-12-14 | 青岛海尔股份有限公司 | 防止智能家电被恶意控制的方法与装置 |
| CN106230674B (zh) * | 2016-08-30 | 2020-10-30 | 青岛海尔股份有限公司 | 防止智能家电被恶意控制的方法与装置 |
| CN111262865A (zh) * | 2016-09-23 | 2020-06-09 | 华为技术有限公司 | 访问控制策略的制定方法、装置及系统 |
| CN111262865B (zh) * | 2016-09-23 | 2021-03-30 | 华为技术有限公司 | 访问控制策略的制定方法、装置及系统 |
| CN106412122A (zh) * | 2016-11-24 | 2017-02-15 | 美的智慧家居科技有限公司 | 物联网设备与服务器的安全链接方法和装置及无线路由器 |
| CN106936676A (zh) * | 2017-04-20 | 2017-07-07 | 青岛海信电器股份有限公司 | 家居设备控制方法及装置 |
| CN108769214A (zh) * | 2018-05-31 | 2018-11-06 | 北京百度网讯科技有限公司 | 用于控制边缘计算设备、用于更新数据的方法和装置 |
| CN109327469A (zh) * | 2018-11-26 | 2019-02-12 | 杨凌汇方农业有限公司 | 用于管理物联网的方法及智能网关 |
| CN109814402A (zh) * | 2019-03-18 | 2019-05-28 | 广东超讯通信技术股份有限公司 | 一种智能家居管理系统 |
| CN109995777A (zh) * | 2019-03-26 | 2019-07-09 | 广东汇泰龙科技有限公司 | 一种基于内外网隔离的智能云锁控制方法和系统 |
| WO2021057808A1 (zh) * | 2019-09-27 | 2021-04-01 | 华为技术有限公司 | 一种流量控制的方法及装置 |
| CN111901314A (zh) * | 2020-07-13 | 2020-11-06 | 珠海格力电器股份有限公司 | 一种智能家居系统入侵防御方法、装置、存储介质及终端 |
| CN112073466A (zh) * | 2020-08-10 | 2020-12-11 | 武汉时波网络技术有限公司 | 一种终端分布式指令下发方法和系统 |
| CN112073466B (zh) * | 2020-08-10 | 2023-07-04 | 武汉时波网络技术有限公司 | 一种终端分布式指令下发方法 |
| CN114615073A (zh) * | 2022-03-22 | 2022-06-10 | 广州方硅信息技术有限公司 | 访问流量控制方法及其装置、设备、介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012019410A1 (zh) | 2012-02-16 |
| EP2605455A4 (en) | 2013-10-30 |
| EP2605455A1 (en) | 2013-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101917431A (zh) | 智能家居内部网络防止非法入侵的方法及装置 | |
| CN104639624B (zh) | 一种实现移动终端远程控制门禁的方法和装置 | |
| CN1988489B (zh) | 一种智能家居监控的系统和方法 | |
| CN101816165B (zh) | 确定是否授权毫微微蜂窝提供到移动单元的连通性的方法 | |
| CN110958142A (zh) | 设备维护方法、维护设备、存储介质及计算机程序产品 | |
| KR100969594B1 (ko) | 도어락 제어 시스템 및 그 방법 | |
| CN103067340A (zh) | 远程控制网络信息家电的鉴权方法及系统、互联网家庭网关 | |
| KR20190038847A (ko) | 이벤트의 발생을 통지하는 시스템 및 방법 | |
| JP2017535122A (ja) | センサのコード照合処理方法、装置、ネットワークプラットフォーム機器及びモノのインターネットゲートウェイ | |
| CN106973052A (zh) | 一种广电频谱超窄带物联网终端认证方法及装置 | |
| EP2498528A1 (en) | Radio base station, communication system and communication control method | |
| CN105392137A (zh) | 家庭wifi防盗用的方法、无线路由器及终端设备 | |
| CN101212753A (zh) | 数据流的安全保护方法 | |
| CN107769978A (zh) | 一种终端设备入网的管理方法、系统、路由器及服务器 | |
| CN103544752A (zh) | 一种基于闪联协议的无线视频门禁系统及其控制方法 | |
| CN104168361A (zh) | 通话方法、通话装置、服务器和通话系统 | |
| CN101335647A (zh) | 家庭网络访问方法以及家庭网络管理系统 | |
| CN101257518B (zh) | 防止wap平台中不经过计费网关的非法订购的方法及系统 | |
| CN105553921A (zh) | 物联网通信方法和装置以及物联网通信系统 | |
| EP1993245A1 (en) | A system and method for realizing message service | |
| US20080260154A1 (en) | Method and system for protecting the internet access of a mobile telephone, and corresponding mobile telephone and terminal | |
| CN102172063B (zh) | 访问控制系统、访问控制方法和通信终端 | |
| CN104902497B (zh) | 一种管理手机热点连接的方法及装置 | |
| CN100499900C (zh) | 一种无线通信终端接入鉴权方法 | |
| CN107800715B (zh) | 一种Portal认证方法及接入设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101215 |