[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN111091204A - 维护行为的智能监控方法、装置及计算机可读存储介质 - Google Patents

维护行为的智能监控方法、装置及计算机可读存储介质 Download PDF

Info

Publication number
CN111091204A
CN111091204A CN201911287595.2A CN201911287595A CN111091204A CN 111091204 A CN111091204 A CN 111091204A CN 201911287595 A CN201911287595 A CN 201911287595A CN 111091204 A CN111091204 A CN 111091204A
Authority
CN
China
Prior art keywords
maintenance
maintenance tool
tool
state
permission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911287595.2A
Other languages
English (en)
Other versions
CN111091204B (zh
Inventor
陈建校
刘永阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shuxing Technology Shanghai Co ltd
Original Assignee
Zhuzhou Huina Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuzhou Huina Technology Co Ltd filed Critical Zhuzhou Huina Technology Co Ltd
Priority to CN201911287595.2A priority Critical patent/CN111091204B/zh
Publication of CN111091204A publication Critical patent/CN111091204A/zh
Application granted granted Critical
Publication of CN111091204B publication Critical patent/CN111091204B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/20Administration of product repair or maintenance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Human Resources & Organizations (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Marketing (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Tourism & Hospitality (AREA)
  • Strategic Management (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种维护行为的智能监控方法、装置及计算机存储介质。所述方法包括:关闭维护工具与终端设备之间的通信通道;获取身份信息,并判断身份信息是否符合维护许可条件;当身份信息符合维护许可条件时,将维护工具置于许可状态;将维护工具的地址数据加入地址白名单,根据地址白名单以及预设的权限数据打开通信通道;实时维持维护工具的许可状态,实时监控维护工具的维护行为的记录状态及维护权限状态;根据维护许可状态、记录状态及维护权限状态,实时判断维护工具是否满足管控条件;当维护工具处于不满足管控条件时,关闭维护工具与终端设备之间的通信通道。本发明的方法解决了维护IT设备过程中的维护行为安全智能管控的技术问题。

Description

维护行为的智能监控方法、装置及计算机可读存储介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种维护行为的智能监控方法、装置及计算机可读存储介质。
背景技术
随着工业3.0的发展,具有软件的IT设备应用范围越来越广,以太网技术的日益成熟,接入到以太网的IT设备均通过以太网接口进行维护调试及数据下载等工作,大大方便了设备的维护,然而由于IT设备由软硬件组成,需要严格管理对设备维护的许可。
不同厂商的维护人员在针对自家设备进行维护的同时,均不希望其他厂商的维护人员能轻易访问到自家设备,因此有必要针对各厂商维护人员在进行维护时,对其维护权限进行管控,限制其能且仅能维护自家所提供的设备;
系统运营过程中难免需要进行维护调试数据下载等工作,对于该领域的设备拥有者而言,须对维护相关的人员、维护行为等进行管理,目前普遍采用人工管理方式,要求维护技术人员填写表格等方式进行管理;在实际管理过程中,难免出现偏差,维护技术人员所填写内容往往与实际的不符或者不全面,且普遍维护人员不愿意全面反应所维护的内容。
为此维护管理的智能化要求日益急迫,急需解决IT设备维护的安全智能管控的技术问题,全面有效地智能管控IT设备的维护许可、维护权限及维护行为;
(1)一种用户接入安全控制的方法、系统和设备,专利号:CN200710195102.3,解决的问题是:在多业务模式下,BNG能够通过VLAN/QinQ唯一地识别出用户链路,进而能够使BNG对单个用户链路实施安全控制,并未有效解决IT设备维护的安全智能管控的技术问题;
(2)一种终端接入安全认证方法,专利号:201610037094.9,其解决的问题是:接入终端本身的安全问题,如果接入终端本身具有安全问题则无法接入到核心网络,否则可以接入到核心网络,即杜绝带有安全隐患的终端接入到核心网络;并未有效解决IT设备维护的安全智能管控的技术问题;
(3)用于实现安全接入的方法、装置和系统,专利号:CN201711045256.4,解决的问题是:在同一网络基础设施上支持彼此隔离的多VPN服务的问题;并未有效解决IT设备维护的安全智能管控的技术问题;
(4)一种临时终端安全接入控制方法及系统,专利号:CN201710356047.5;解决的问题是:临时接入以太网网络中的终端设备的安全管控问题,本对比专利是认证通过之后进行鉴权,将预留接口vlan与临时终端所要访问的标准vlan建立通信,该方法是通过调整核心网络的预留接口的vlan与目标vlan之间的关系来进行授权及权限管控;本比对专利通过安全模块基于核心网络中交换机vlan隔离技术对接入到核心网络预留接口的维护工具执行粗犷式管控的技术,属于vlan级别权限管控,未能解决IP级权限管控,且未对维护工具的维护过程进行管控,未能全面管控维护许可、权限许可及维护行为的综合管控;本对比专利不能适用于核心网络中所有终端设备在同一vlan及预留接口所处vlan能与所有标准vlan通信及由非管理型交换机构成核心网络的情景,改造实施难度大,且实施成本较高;因此,本对比专利并未有效全面解决IT设备维护的维护许可、权限许可及维护行为管控的安全智能管控技术问题;
(5)一种实现安全接入控制的方法及系统、服务器,专利号:CN200810149348.1,该专利解决的是接入到802.1X交换机的终端设备的安全接入控制及授权问题;且其采用的是双向加密方式加密的终端设备信息;而且是终端的安全控制模块下发安全策略,依赖于终端的安全控制模块,若终端没有安全控制模块,则无法做到安全管控;并未有效解决IT设备维护的安全智能管控的技术问题。
综上所述,目前为止尚未能解决全面有效地智能管控IT设备的维护许可、维护权限及维护行为的技术问题。
发明内容
本发明的主要目的在于提供一种维护行为的智能监控方法、装置及计算机可读存储介质,旨在解决IT设备维护过程中的维护行为的许可、权限及行为全面管控的技术问题。
为实现上述目的,本发明提供的一种维护行为的智能监控方法包括:
关闭维护工具与终端设备之间的通信通道,以禁止所述维护工具对所述终端设备进行维护;
获取所述维护工具的身份信息,并判断所述身份信息是否符合维护许可条件;
当所述身份信息符合维护许可条件时,将所述维护工具的维护许可状态置于许可状态;
当所述维护工具处于许可状态时,将所述维护工具的地址数据加入地址白名单,根据所述地址白名单以及预设的权限数据打开所述通信通道,以允许所述维护设备对权限范围内的各所述终端设备进行维护;
当所述维护工具处于许可状态时,实时维持所述维护工具的许可状态,并实时监控所述维护工具的维护行为的记录状态及维护权限状态;
根据所述维护许可状态、所述维护行为的记录状态及所述维护权限状态,实时判断所述维护工具是否满足管控条件;
当所述维护工具处于不满足管控条件时,关闭所述维护工具与所述终端设备之间的通信通道;
所述当所述维护工具处于不满足管控条件时的步骤,具体包括:
当维持所述维护工具的许可状态失败时;或者;
当所述维护权限状态为越权状态时;或者;
当所述记录状态为无法获取状态时。
优选地,所述关闭所述维护工具与所述终端设备之间的通信通道的步骤,具体包括:
将所述维护工具与所述终端设备分别连接至不同且互相隔离的虚拟局域网。
优选地,所述关闭所述维护工具与所述终端设备之间的通信通道的步骤,具体包括:
将不满足管控要求的维护工具的地址,从所述白名单地址中剔除。
优选地,所述当所述维护工具的维护许可状态处于许可状态时,实时维持所述维护工具的许可状态的步骤,具体包括:
当所述维护工具的维护许可状态处于许可状态时,实时获取与所述维护工具互发许可状态维持数据包的记录数据,以维持所述维护工具置于许可状态。
优选地,所述根据所述维护许可状态、所述维护行为的记录状态及所述维护权限状态,实时判断所述维护工具是否满足管控要求的步骤,具体包括:
根据所述权限数据与所述维护行为分别生成权限访问列表和实际访问列表;
在预设的所述周期内,判断所述权限访问列表为空集的次数是否大于M1;或;
在预设的所述周期内,判断所述实际访问列表为空集的次数是否大于M2;或;
判断所述权限访问列表与所述实际访问列表的差集是否为空集;
所述当所述维护权限状态为越权状态时的步骤,具体包括:
当所述权限访问列表为空集的次数大于M1时;或;
当所述实际访问列表为空集的次数大于M2时;或;
当所述权限访问列表与所述实际访问列表的差集为空集时。
优选地,所述根据所述维护许可状态、所述维护行为的记录状态及所述维护权限状态,实时判断所述维护工具是否满足管控要求的步骤,具体包括:
将所述维护行为记录为存储数据;
判断所述存储数据是否为空集;或;
在预设的周期内,判断所述存储数据为空集的次数是否大于M3;
所述当所述记录状态为无法获取状态时的步骤,具体包括:
所述存储数据为空集;或;
在预设的周期内,所述存储数据为空集的次数大于M3。
优选地,所述关闭维护工具与终端设备之间的通信通道的步骤之前,所述方法还包括:
初始化维护工具的应用数据,以向所述维护工具提供稳定的网络地址;
或者,所述关闭维护工具与终端设备之间的通信通道的步骤之后,所述方法还包括:
通过链路层获取所述维护工具的应用初始化数据。
优选地,所述获取所述维护工具的身份信息,并判断所述身份信息是否符合认证条件之前,所述方法还包括:
所述维护工具周期性接收来自于链路层的应用数据。
为解决上述技术问题,本发明还提供一种维护行为的智能监控装置,所述智能监控装置包括与维护工具连接的工具接口、与终端设备连接的网络接口、存储器、处理器及存储于所述存储器内的计算机程序,该计算机程序被所述处理器执行时,实现所述的维护行为的智能监控方法的步骤。
为解决上述技术问题,本发明还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现所述的维护行为的智能监控方法的步骤。
本发明提供的一种维护行为的智能监控方法,关闭维护工具与终端设备之间的通信通道,以禁止所述维护工具对所述终端设备进行维护;获取所述维护工具的身份信息,并判断所述身份信息是否符合维护许可条件;当所述身份信息符合维护许可条件时,将所述维护工具的维护许可状态置于许可状态;当所述维护工具处于许可状态时,将所述维护工具的地址数据加入地址白名单,根据所述地址白名单以及预设的权限数据打开所述通信通道,以允许所述维护设备对权限范围内的各所述终端设备进行维护;当所述维护工具处于许可状态时,实时维持所述维护工具的许可状态,并实时监控所述维护工具的维护行为的记录状态及维护权限状态;根据所述维护许可状态、所述维护行为的记录状态及所述维护权限状态,实时判断所述维护工具是否满足管控条件;当所述维护工具处于不满足管控条件时,关闭所述维护工具与所述终端设备之间的通信通道;所述当所述维护工具处于不满足管控条件时的步骤,具体包括:当维持所述维护工具的许可状态失败时;或者;当所述维护权限状态为越权状态时;或者;当所述记录状态为无法获取状态时。从而消除维护IT设备过程中的非法入侵、误操作、越权维护、恶意破坏设备及系统等安全隐患,解决了维护IT设备过程中的维护行为安全智能管控的技术问题。
附图说明
图1为本发明提供的维护行为的智能监控方法第一实施例的流程示意图;
图2为图1所示的S50的流程示意图;
图3为本发明提供的维护行为的智能监控方法第二实施例的流程示意图;
图4为本发明提供的维护行为的智能监控方法第三实施例的流程示意图;
图5为本发明提供的维护行为的智能监控装置的架构图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种维护行为的智能监控方法。
第一实施例
本实施例中,终端设备互相通信连接,以构成一个核心网络。
本实施例的应用场景为所述核心网络的预留接口是非管理型交换机接口且所述核心网络中所有终端设备都在同一个子网内。
或者,所述核心网络的预留接口是管理型交换机接口且所述核心网络预留接口与所述核心网络中所有终端设备在同一个虚拟局域网(Virtual Local Area Network)中。
请参阅图1,维护行为的智能监控方法包括:
S10,关闭维护工具与终端设备之间的通信通道,以禁止所述维护工具对所述终端设备进行维护;
具体的,数据交换模块上电;默认状态下,连接到所述核心网络预留接口的接口与连接到所述维护工具的接口之间的数据交换功能处于关闭状态;
加载管控服务的仅包含有管理mac地址的出方向mac白名单,并启动出方向白名单过滤功能;
开启连接到所述核心网络预留接口的接口与连接到所述维护工具的接口之间的数据交换功能。
本步骤的作用是:防止上电到服务启动之前,出现失控时间窗,导致未经认证的所述维护工具利用所述失控时间窗入侵到所述核心网络中。
S20,获取所述维护工具的身份信息,并判断所述身份信息是否符合维护许可条件;
S30,当所述身份信息符合维护许可条件时,将所述维护工具的维护许可状态置于许可状态;
当所述维护工具处于许可状态时,将所述维护工具的地址数据加入地址白名单,根据所述地址白名单以及预设的权限数据打开所述通信通道,以允许所述维护设备对权限范围内的各所述终端设备进行维护;
具体的,如果TCP服务器未创建,或者监听服务未开启,则以管控服务的网络地址创建TCP服务器,开启监听服务。
建立与所述维护工具之间的TCP连接;通过所述TCP连接,接收来自所述维护工具的身份认证数据及维护工具的预设的权限数据;
获取所述维护工具端的公钥;生成随机数;使用所述维护工具端的公钥对随机数进行加密形成随机数密文;将所述随机数密文发送给所述维护工具;接收所述维护工具发送过来的随机数数字签名;使用所述维护工具端的公钥对所述随机数数字签名进行验签;
如果验签结果为成功通过,则反馈所述认证所述身份认证数据的结果为成功,成功构建管控服务与所述维护工具之间的安全TCP连接;
否则反馈结果为失败;反馈认证维护许可结果;
如果身份认证数据被认证的结果为成功通过,则认证维护许可的结果为准许维护,否则认证维护许可的结果为禁止维护。
获取处于准许维护的所述维护工具的mac地址;
临时添加所述mac地址到数据交换服务的出方向mac白名单中,
打通当前所有获得维护许可的所述维护工具与其能且仅能有权访问的所有终端设备之间的通信通道。
S40,当所述维护工具处于许可状态时,实时维持所述维护工具的许可状态,并实时监控所述维护工具的维护行为的记录状态及维护权限状态;
具体的,实时维持所述维护工具的许可状态可以是,实时与所述维护工具互发许可状态维持数据包。与所述维护工具互发许可状态维持数据包为持续维持所述安全TCP连接,持续检测安全TCP连接是否断开。
与之相应的,所述当所述维护工具的维护许可状态处于许可状态时,实时维持所述维护工具的许可状态的步骤,具体包括:
当所述维护工具的维护许可状态处于许可状态时,实时获取与所述维护工具互发许可状态维持数据包的记录数据,以维持所述维护工具置于许可状态。
S50,根据所述维护许可状态、所述维护行为的记录状态及所述维护权限状态,实时判断所述维护工具是否满足管控条件;
当所述维护工具不满足管控条件时,关闭所述维护工具与所述终端设备之间的通信通道;即,再次进入所述步骤S10。
所述当所述维护工具处于不满足管控条件时的步骤,具体包括:
当维持所述维护工具的许可状态失败时;或者;
当所述维护权限状态为越权状态时;或者;
当所述记录状态为无法获取状态时。
与之相应的,所述步骤S50具体包括:
S501,根据所述维护许可状态,判断是否成功维持所述维护工具在许可状态;
S502,根据所述维护行为与所述权限数据的情况,判断所述维护工具的维护权限状态是否为越权状态;
S503,根据所述维护行为的存储情况,判断所述维护工具的维护行为的记录状态是否为无法获取状态。
本实施例中,所述步骤S501、所述步骤S502、所述步骤S503可以同时发生,也可以先后发生。
当且仅有一项步骤的条件得不到满足,即进入再次进入所述步骤S10。
在其他实施例中,所述步骤S501、所述步骤S502、所述步骤S503也可仅仅存在一项。
本实施例中,所述步骤S501可以具体包括:
S5011,在所述周期内,获取与所述维护工具互发许可状态维持数据包的记录数据,以确定互发许可状态维持数据包的状态;
S5012,判断所述记录数据中是否存在与所述维护工具互发许可状态维持数据包的中断记录。
本实施中,所述维护工具互发许可状态维持数据包的记录数据用于表示安全TCP连接的结果;存在所述维护工具互发许可状态维持数据包的中断记录表示检测安全TCP连接的结果为断开,此时,反馈持续维持准许维护状态结果为失败。不存在与所述维护工具互发许可状态维持数据包的中断记录时,反馈结果为成功。
本实施例中,所述步骤S502具体包括:
S5021,根据所述权限数据与所述维护行为分别生成权限访问列表和实际访问列表;
本实施例中,所述实际访问列表可以是所述维护工具端实际访问的终端设备的IP地址列表,所述权限访问列表可以是所述维护工具端有权限去访问的终端设备的IP地址列表。
S5022,在预设的所述周期内,判断所述权限访问列表为空集的次数是否大于M1;或者;
所述权限列表为空集是指,未获取到所述权限访问列表。
S5023,在预设的所述周期内,判断所述实际访问列表为空集的次数是否大于M2;或者;
所述实际访问列表为空集是指,未获取到所述实际访问列表。
S5024,判断所述权限访问列表与所述实际访问列表的差集是否为空集。
所述权限访问列表与所述实际访问列表的差集不为空集是指,所述实际访问列表里面包含有一组访问终端的IP地址,该组IP地址并不存在于所述权限访问列表内。
具体的,M1和M2可以等于2。
与之相应的,所述当所述维护权限状态为越权状态时的步骤,具体包括:
当所述权限访问列表为空集的次数大于M1时;或;
当所述实际访问列表为空集的次数大于M2时;或;
当所述权限访问列表与所述实际访问列表的差集为空集时。
本实施例中,所述步骤S5022、所述步骤S5023、所述步骤S5024可以同时发生,也可以先后发生。
当且仅有一项步骤的条件得不到满足,即进入再次进入所述步骤S10。
在其他实施例中,所述步骤S5022、所述步骤S5023、所述步骤S5024也可仅仅存在一项。
本实施例中,所述步骤S503具体包括:具体包括:
S5031,将所述维护行为记录为存储数据;
本实施例中,所述存储数据可以是所述维护行为抓取状态的值;
在其他实施中,所述存储数据也可以是所述维护行为的录像数据;
S5032,判断所述存储数据是否为空集;或;
所述存储数据是否为空集是指,所述维护行为抓取状态的值表明,当前未获取并记录存储维护行为数据。
或者,所述存储数据是否为空集是指,所述维护行为的录像数据不存在。
S5033,在预设的周期内,判断所述存储数据为空集的次数是否大于M3。
本实施例中,M3可以等于2。
与之相应的,所述当所述记录状态为无法获取状态时的步骤,具体包括:
所述存储数据为空集;或;
在预设的周期内,所述存储数据为空集的次数大于M3。
本实施例中,所述步骤S5032与所述步骤S5033可以同时发生,也可以先后发生。
当且仅有一项步骤的条件得不到满足,即进入再次进入所述步骤S10。
在其他实施例中,所述步骤S5032、所述步骤S5033也可仅仅存在一项。
在一实施例中,所述步骤S10具体可以包括:
将所述维护工具与所述终端设备分别连接至不同且互相隔离的虚拟局域网。
在另一实施例中,所述步骤S10具体可以包括:
将不满足管控要求的维护工具的地址数据,从所述白名单地址中剔除。
在又一实施例中,所述步骤S10具体可以包括:
将所述维护工具与所述终端设备分别连接至不同且互相隔离的虚拟局域网。
将不满足管控要求的维护工具的地址数据,从所述白名单地址中剔除。
第二实施例
基于本发明的第一实施例提供的一种维护行为的智能监控方法100,本发明的第二实施例提出另一种维护行为的智能监控方法200,其所述步骤S10~S50与第一实施例相同,在此不再一一赘述,其不同之处在于:
所述步骤S10之前,所述方法200还包括:
S11,初始化维护工具的应用数据,以向所述维护工具提供稳定的网络地址;
具体地,关闭数据交换功能;
从本地存储介质中获取子网掩码数据、认证服务IP地址、认证服务端口号;
判断执行所述认证服务的网络适配器的IP地址、子网掩码是否分别与本地存储介质中的所述认证服务IP地址、所述子网掩码相同;
若不同,则设置执行所述认证服务的网络适配器的网络地址,包括所述认证服务IP地址以及所述子网掩码。
本实施例步骤中,通过所述判断执行所述认证服务的网络适配器的IP地址、子网掩码是否分别与本地存储介质中的所述认证服务IP地址、所述子网掩码相同;
若不同,则设置执行所述认证服务的网络适配器的网络地址,包括所述认证服务IP地址、所述认证服务端口号以及所述子网掩码,确保为维护工具提供稳定的认证服务网络地址。
所述步骤S10与所述步骤S20之间,所述方法还包括:
S21,所述维护工具周期性接收来自于链路层的应用数据。
具体的,持续周期性地发送链路层应用数据报文到所述维护工具;
使用私钥对应用数据进行数字签名;
封装为带有数字签名的应用数据;
将带有数字签名的应用数据封装为符合IEEE 802.3组织规定的自定义OptionalTLV中,其中TLV type为127;
将该tlv写入到所述连接到所述维护工具的接口的LLDP链路层数据广播帧中;
启动所述连接到所述维护工具的接口周期性地连续发送所述LLDP链路层数据广播报文;
应用数据至少包括:认证服务IP地址、认证服务端口号、所述维护工具网络适配器应配置的IP地址、子网掩码;
本实施例步骤中,通过将应用数据封装为带有数字签名的数据,所述维护工具接收该数据之后可对数字签名进行验签,以确保所述维护工具接入的接口正确;
通过所述连接到所述维护工具的接口的LLDP报文持续发送给所述维护工具,能确保所述维护工具快速获得相关的应用数据,且不会因为应用数据的不正确而导致重复认证工作,有效提高维护效率与用户使用体验。
第三实施例
基于本发明的第一实施例提供的一种维护行为的智能监控方法100,本发明的第三实施例提出另一种维护行为的智能监控方法300,其所述步骤S10~S50与第一实施例相同,在此不再一一赘述,其不同之处在于:
所述步骤S10与所述步骤S20之间,所述方法300还包括:
S22,通过连接层获取所述维护工具的应用初始化数据。
具体的,检测判断是否存在所述维护工具,如果连接到所述维护工具的接口由未上电不可用状态转换为上电可用状态,则存在所述维护工具;
获取所述维护工具发送过来的链路层LLDP报文;
提取TLV类型为127的Optional TLV;
提取应用初始化数据,应用初始化数据至少包括:认证服务器IP地址、子网掩码;
判断执行所述认证服务的网络适配器的IP地址、子网掩码是否分别与当前LLDP报文中的所获取的所述认证服务IP地址、所述子网掩码相同;
若不同,则将执行认证服务的网络适配器的网络地址设置为所述认证服务器IP地址、子网掩码;
本实施例中,通过在对维护工具的维护许可、维护权限及维护行为的管控,提高了维护行为安全智能管控力度,达到了只有成功通过身份认证且成功获取维护许可并成功持续维持维护许可且仅仅访问了其权限范围内的终端设备且能正常获取其维护行为的维护工具才能且仅能维护其权限范围内的核心网路中的终端设备的全面管控目的,有效降低了维护管理成本,提高了核心网络的安全性。
请参阅5,本发明还提供一种维护行为的智能监控装置,所述智能监控装置包括与维护工具连接的工具接口、与终端设备连接的网络接口、存储器、处理器及存储于所述存储器内的计算机程序,该计算机程序被所述处理器执行时,实现所述的维护行为的智能监控方法的步骤。
可以理解,本实施例中,工具接口即为与维护工具连接的预留接口,网络接口即为与核心网络连接的预留接口。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现所述的维护行为的智能监控方法的步骤。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种维护行为的智能监控方法,其特征在于,包括:
关闭维护工具与终端设备之间的通信通道,以禁止所述维护工具对所述终端设备进行维护;
获取所述维护工具的身份信息,并判断所述身份信息是否符合维护许可条件;
当所述身份信息符合维护许可条件时,将所述维护工具的维护许可状态置于许可状态;
当所述维护工具处于许可状态时,将所述维护工具的地址数据加入地址白名单,根据所述地址白名单以及预设的权限数据打开所述通信通道,以允许所述维护设备对权限范围内的各所述终端设备进行维护;
当所述维护工具处于许可状态时,实时维持所述维护工具的许可状态,并实时监控所述维护工具的维护行为的记录状态及维护权限状态;
根据所述维护许可状态、所述维护行为的记录状态及所述维护权限状态,实时判断所述维护工具是否满足管控条件;
当所述维护工具处于不满足管控条件时,关闭所述维护工具与所述终端设备之间的通信通道;
所述当所述维护工具处于不满足管控条件时的步骤,具体包括:
当维持所述维护工具的许可状态失败时;或者;
当所述维护权限状态为越权状态时;或者;
当所述记录状态为无法获取状态时。
2.如权利要求1所述的维护行为的智能监控方法,其特征在于,所述关闭所述维护工具与所述终端设备之间的通信通道的步骤,具体包括:
将所述维护工具与所述终端设备分别连接至不同且互相隔离的虚拟局域网。
3.如权利要求1所述的维护行为的智能监控方法,其特征在于,所述关闭所述维护工具与所述终端设备之间的通信通道的步骤,具体包括:
将不满足管控要求的维护工具的地址,从所述白名单地址中剔除。
4.如权利要求1所述的维护行为的智能监控方法,其特征在于,所述当所述维护工具的维护许可状态处于许可状态时,实时维持所述维护工具的许可状态的步骤,具体包括:
当所述维护工具的维护许可状态处于许可状态时,实时获取与所述维护工具互发许可状态维持数据包的记录数据,以维持所述维护工具置于许可状态。
5.如权利要求1所述的维护行为智能监控方法,其特征在于,所述根据所述维护许可状态、所述维护行为的记录状态及所述维护权限状态,实时判断所述维护工具是否满足管控要求的步骤,具体包括:
根据所述权限数据与所述维护行为分别生成权限访问列表和实际访问列表;
在预设的所述周期内,判断所述权限访问列表为空集的次数是否大于M1;或;
在预设的所述周期内,判断所述实际访问列表为空集的次数是否大于M2;或;
判断所述权限访问列表与所述实际访问列表的差集是否为空集;
所述当所述维护权限状态为越权状态时的步骤,具体包括:
当所述权限访问列表为空集的次数大于M1时;或;
当所述实际访问列表为空集的次数大于M2时;或;
当所述权限访问列表与所述实际访问列表的差集为空集时。
6.如权利要求1所述的维护行为智能监控方法,其特征在于,所述根据所述维护许可状态、所述维护行为的记录状态及所述维护权限状态,实时判断所述维护工具是否满足管控要求的步骤,具体包括:
将所述维护行为记录为存储数据;
判断所述存储数据是否为空集;或;
在预设的周期内,判断所述存储数据为空集的次数是否大于M3;
所述当所述记录状态为无法获取状态时的步骤,具体包括:
所述存储数据为空集;或;
在预设的周期内,所述存储数据为空集的次数大于M3。
7.如权利要求1所述的维护行为的智能监控方法,其特征在于,所述关闭维护工具与终端设备之间的通信通道的步骤之前,所述方法还包括:
初始化维护工具的应用数据,以向所述维护工具提供稳定的网络地址;
或者,所述关闭维护工具与终端设备之间的通信通道的步骤之后,所述方法还包括:
通过链路层获取所述维护工具的应用初始化数据。
8.如权利要求7所述的维护行为的智能监控方法,其特征在于,所述获取所述维护工具的身份信息,并判断所述身份信息是否符合认证条件之前,所述方法还包括:
所述维护工具周期性接收来自于链路层的应用数据。
9.一种维护行为的智能监控装置,其特征在于,所述智能监控装置包括与维护工具连接的工具接口、与终端设备连接的网络接口、存储器、处理器及存储于所述存储器内的计算机程序,该计算机程序被所述处理器执行时,实现如权利要求1-8任一项所述的维护行为的智能监控方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如权利要求1-8任一项所述的维护行为的智能监控方法的步骤。
CN201911287595.2A 2019-12-14 2019-12-14 维护行为的智能监控方法、装置及计算机可读存储介质 Active CN111091204B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911287595.2A CN111091204B (zh) 2019-12-14 2019-12-14 维护行为的智能监控方法、装置及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911287595.2A CN111091204B (zh) 2019-12-14 2019-12-14 维护行为的智能监控方法、装置及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN111091204A true CN111091204A (zh) 2020-05-01
CN111091204B CN111091204B (zh) 2023-07-18

Family

ID=70395513

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911287595.2A Active CN111091204B (zh) 2019-12-14 2019-12-14 维护行为的智能监控方法、装置及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN111091204B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527406A (zh) * 2023-07-03 2023-08-01 北京左江科技股份有限公司 一种基于fpga的多主机的安全系统和通信方法

Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010011341A1 (en) * 1998-05-05 2001-08-02 Kent Fillmore Hayes Jr. Client-server system for maintaining a user desktop consistent with server application user access permissions
US20050044423A1 (en) * 1999-11-12 2005-02-24 Mellmer Joseph Andrew Managing digital identity information
CN1608264A (zh) * 2001-06-07 2005-04-20 康坦夹德控股股份有限公司 提供和准许权利
JP2006215590A (ja) * 2003-09-19 2006-08-17 Hikari Hiyo 着信者主導による通信方法及び通信システム
CN101009559A (zh) * 2006-11-22 2007-08-01 李�杰 用户帐号安全的保护方法
US20090180777A1 (en) * 2008-01-14 2009-07-16 Tellabs Vienna, Inc. Systems, apparatus, methods and computer program products for downloading and maintaining ip stream whitelists on optical network terminals
CN103875021A (zh) * 2011-10-19 2014-06-18 克朗设备公司 识别并选择图像场景中可能对应于托盘的对象
US20150310188A1 (en) * 2014-04-23 2015-10-29 Intralinks, Inc. Systems and methods of secure data exchange
CN105978871A (zh) * 2016-05-09 2016-09-28 北京航天数控系统有限公司 一种针对数控系统的通信防护设备
CN106506313A (zh) * 2016-11-25 2017-03-15 武汉长光科技有限公司 一种提高路由桥接数据转发性能的低成本方法
US20170078277A1 (en) * 2009-06-03 2017-03-16 Aruba Networks, Inc. Provisioning remote access points
US20170118167A1 (en) * 2015-10-22 2017-04-27 Oracle International Corporation Whitelist construction
US20170230323A1 (en) * 2016-01-26 2017-08-10 ZapFraud, Inc. Detection of business email compromise
CN109034412A (zh) * 2018-07-11 2018-12-18 云南电网有限责任公司电力科学研究院 一种杆塔权限的远程许可装置及其方法
CN109313657A (zh) * 2016-12-23 2019-02-05 塞路特股份有限公司 用于提供与主要信息相关的附加信息的方法和系统
US20190238619A1 (en) * 2018-01-27 2019-08-01 Vicente Alexei Mantrana-Exposito Techniques for coordinating the sharing of content among applications
CN110539308A (zh) * 2019-09-20 2019-12-06 华域汽车车身零件(上海)有限公司 一种机器人智能维护提示管理方法

Patent Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010011341A1 (en) * 1998-05-05 2001-08-02 Kent Fillmore Hayes Jr. Client-server system for maintaining a user desktop consistent with server application user access permissions
US20050044423A1 (en) * 1999-11-12 2005-02-24 Mellmer Joseph Andrew Managing digital identity information
CN1608264A (zh) * 2001-06-07 2005-04-20 康坦夹德控股股份有限公司 提供和准许权利
JP2006215590A (ja) * 2003-09-19 2006-08-17 Hikari Hiyo 着信者主導による通信方法及び通信システム
CN101009559A (zh) * 2006-11-22 2007-08-01 李�杰 用户帐号安全的保护方法
US20090180777A1 (en) * 2008-01-14 2009-07-16 Tellabs Vienna, Inc. Systems, apparatus, methods and computer program products for downloading and maintaining ip stream whitelists on optical network terminals
US20170078277A1 (en) * 2009-06-03 2017-03-16 Aruba Networks, Inc. Provisioning remote access points
CN103875021A (zh) * 2011-10-19 2014-06-18 克朗设备公司 识别并选择图像场景中可能对应于托盘的对象
US20150310188A1 (en) * 2014-04-23 2015-10-29 Intralinks, Inc. Systems and methods of secure data exchange
US20170118167A1 (en) * 2015-10-22 2017-04-27 Oracle International Corporation Whitelist construction
US20170230323A1 (en) * 2016-01-26 2017-08-10 ZapFraud, Inc. Detection of business email compromise
CN105978871A (zh) * 2016-05-09 2016-09-28 北京航天数控系统有限公司 一种针对数控系统的通信防护设备
CN106506313A (zh) * 2016-11-25 2017-03-15 武汉长光科技有限公司 一种提高路由桥接数据转发性能的低成本方法
CN109313657A (zh) * 2016-12-23 2019-02-05 塞路特股份有限公司 用于提供与主要信息相关的附加信息的方法和系统
US20190238619A1 (en) * 2018-01-27 2019-08-01 Vicente Alexei Mantrana-Exposito Techniques for coordinating the sharing of content among applications
CN109034412A (zh) * 2018-07-11 2018-12-18 云南电网有限责任公司电力科学研究院 一种杆塔权限的远程许可装置及其方法
CN110539308A (zh) * 2019-09-20 2019-12-06 华域汽车车身零件(上海)有限公司 一种机器人智能维护提示管理方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
丁于思: "基于角色的管理信息系统安全机制的研究与设计" *
李健俊: "基于有限状态机的用户权限隔离模型" *
童世华: "基于SM4算法的移动终端接入车间信息系统的安全性设计与验证" *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527406A (zh) * 2023-07-03 2023-08-01 北京左江科技股份有限公司 一种基于fpga的多主机的安全系统和通信方法
CN116527406B (zh) * 2023-07-03 2023-09-12 北京左江科技股份有限公司 一种基于fpga的多主机的安全系统和通信方法

Also Published As

Publication number Publication date
CN111091204B (zh) 2023-07-18

Similar Documents

Publication Publication Date Title
US8745219B2 (en) Out-of-band remote management station
EP1670188A2 (en) Methods and systems for connection determination in a multi-point virtual private network
CN104320332A (zh) 多协议工业通信安全网关及应用该网关的通信方法
KR20070012266A (ko) 정보 통신 시스템, 정보 통신 장치 및 방법, 및 컴퓨터프로그램
US9088429B2 (en) Method for operating, monitoring and/or configuring an automation system of a technical plant
CN105162787A (zh) 外网终端访问厂商设备或内网终端的方法和装置
CN113556274B (zh) 终端接入认证的方法、装置、系统、控制器及设备
CN106789527A (zh) 一种专线网络接入的方法及系统
CN102118353B (zh) 一种工业互联网远程维护系统的指令安全审计方法
US20080052766A1 (en) Method and a system for managing secure transmission
CN109688115B (zh) 一种数据安全传输系统
CN113259347B (zh) 一种工业互联网内的设备安全系统及设备行为管理方法
CN111091204B (zh) 维护行为的智能监控方法、装置及计算机可读存储介质
CN1416245A (zh) 基于边界网关协议报文的控制报文安全保护方法
CN103475491A (zh) 一种无密码安全登录的远程维护系统和实现方法
CN111416824B (zh) 一种网络接入认证控制系统
CN103532987B (zh) 一种防止非认证计算机设备接入企业内网的保护方法及系统
CN115022256B (zh) 一种用于电力通信调度终端接入的双重管控方法及系统
CN113783722B (zh) 远程修改定值控制方法、装置、计算机设备和存储介质
Cisco Configuring Network Security
Cisco Configuring Network Security
Cisco Configuring Network Security
Cisco Configuring Network Security
Cisco Configuring Network Security
Cisco Configuring Network Security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20221101

Address after: Room 1010, No. 181, Zhongshe Road, Maogang Town, Songjiang District, Shanghai, 201600

Applicant after: Shuxing Technology (Shanghai) Co.,Ltd.

Address before: Room 1804, Building 7, Quantangwan Community (Shun'an Court), No. 323 Tianxin Road, Shifeng District, Zhuzhou City, Hunan Province 412001

Applicant before: Zhuzhou Huina Technology Co.,Ltd.

GR01 Patent grant
GR01 Patent grant