HK40010632B - 用於在网络节点处更新白名单的方法和系统 - Google Patents
用於在网络节点处更新白名单的方法和系统Info
- Publication number
- HK40010632B HK40010632B HK19131640.5A HK19131640A HK40010632B HK 40010632 B HK40010632 B HK 40010632B HK 19131640 A HK19131640 A HK 19131640A HK 40010632 B HK40010632 B HK 40010632B
- Authority
- HK
- Hong Kong
- Prior art keywords
- whitelist
- network node
- destination address
- address
- access control
- Prior art date
Links
Description
技术领域
本发明总体而言涉及在网络节点处更新白名单的领域。更具体地,本发明涉及利用被允许从物联网(IoT)设备接收数据的目的地址来更新白名单。
背景技术
已知分布式拒绝服务(DDoS)攻击导致对合法互联网活动的广泛破坏。大量的商业活动正被破坏,并且正在遭受巨大的经济损失。感染了恶意代码的物联网(IoT)设备可用于登陆DDoS攻击。由于网络中可能存在许多IoT设备,受感染的IoT设备可能会从网络发起DDoS攻击。这对于网络运营商来说是不希望的。
此外受感染或未受感染的IoT设备可以将数据发送到网络运营商不希望的目的地。这种数据传输不仅消耗网络资源、机密信息、隐私,商业机密也可能受到损害。网络管理员可能具有有限的配置大多数IoT设备的能力,因为IoT设备可能是不可配置的或受IoT设备供应商的控制。网络中存在的物联网设备可能存在安全风险。
发明内容
本发明公开了用于在网络节点处更新白名单的方法和系统。当网络节点从IoT设备接收数据包时,网络节点然后确定IoT设备的预定标识符。网络节点确定预定标识符是否在第一白名单中。如果预定标识符不在第一白名单中,则网络节点开始第一时段。如果预定标识符在第一白名单上,则网络节点确定是否在第一时段内接收到数据包。如果在第一时段内接收到数据包,则网络节点识别数据包的目的地址,并基于目的地址和预定标识符更新第一白名单。将更新的第一白名单存储在网络节点中的非暂时性计算机可读存储介质中。在第一时段到期之后,网络节点基于更新的第一白名单来限制数据包传输。第一段时间不到一小时。
根据本发明的一个实施例,预定标识符是IoT设备的媒体访问控制(MAC)地址。目的地址包括互联网协议(IP)地址和/或统一资源定位符(URL)。
根据本发明的一个实施例,网络节点识别IoT设备的最大数据包传输速率,并用IoT设备的最大数据包传输速率更新第一白名单。网络确定IoT设备到第一白名单上的目的地址的数据包传输速率;其中,IoT设备的最大数据包传输速率用于限制IoT设备到第一白名单上的目的地址的数据传输速率;并且其中不允许来自IoT设备的数据包被传输到不在第一白名单上的目的地址。
根据本发明的一个实施例,网络节点在接收到来自网络节点的管理员的指令之后重置第一时段。为管理员提供用于网络节点的用户界面,以发送重置第一时段的指令。
根据本发明的一个实施例,网络节点从服务器检索IoT设备的目的地址,并基于从服务器检索的目的地址更新第一白名单。
附图说明
图1示出了根据本发明的一个实施例的网络配置;
图2是根据本发明的一个实施例的网络节点的框图。
图3A示出了根据本发明的一个实施例的基于在第一时段内所识别的数据包的目的地址来更新网络节点白名单的工作流程;
图3B示出了根据本发明的一个实施例的图3A的替代工作流程,其基于在第一时段内在网络节点处识别出的数据包的目的地址和从网络节点的服务器检索的目的地址来更新网络节点白名单;
图3C示出了根据本发明的一个实施例的图3B的替代工作流程,其基于在第一时段内所识别的数据包的目的地址和每个目的地址的最大数据包传输速率、以及IoT设备的目的地址和从服务器检索的每个目的地址的最大数据包传输速率来更新网络节点白名单;
图3D示出了根据本发明的一个实施例的图3C的替代工作流程,其基于所识别的数据包的目的地址、IoT设备在第一时段内的最大数据包传输速率、以及IoT设备的目的地址和IoT设备的最大数据包传输速率来更新网络节点白名单;
图4A示出了根据本发明的一个实施例的基于IoT设备的用户或网络节点的管理员输入的期望目的地址和IoT设备的MAC地址更新网络节点白名单的工作流程;
图4B示出了根据本发明的一个实施例的图4A的替代工作流程,其基于IoT设备的用户或网络节点的管理员输入的期望目的地址和IoT设备的信息来更新网络节点白名单;
图5A示出了根据本发明的一个实施例的由IoT设备的供应商在服务器处基于IoT设备的MAC地址或MAC地址的范围来更新服务器白名单的工作流程;
图5B示出了根据本发明的一个实施例的图5A的替代工作流程,其由IoT设备的供应商在服务器处基于IoT设备的信息来更新服务器白名单;以及
图6示出了根据本发明的一个实施例的由白名单服务提供商在服务器处基于从IoT设备的供应商收集的IoT设备的信息来更新服务器白名单的工作流程。
具体实施方式
随后的描述仅提供优选的一个或多个示例性实施例和多个示例性实施例,并且不旨在限制本发明的范围、适用性或配置。而是,随后对优选的一个或多个示例性实施例和多个示例性实施例的描述将为本领域技术人员提供用于实现本发明的优选示例性实施例的可操作描述。应当理解,在不脱离所附权利要求中阐述的本发明的精神和范围的情况下,可以对元件的功能和布置进行各种改变。
此外,应当注意,实施例可被描述为进程,该进程被描述为流程图、流程示意图、数据流程图、结构图或框图。尽管流程图可以将操作描述为顺序过程,但是许多操作可以并行或同时执行。另外,可以重新排列操作的顺序。进程在其操作完成时终止,但可能有其他未包括在图中的步骤。进程可以对应于方法、函数、过程、子例程、子程序等。当进程对应于函数时,其终止对应于函数返回到调用函数或主函数。
多个实施例或其部分可以体现在可在处理单元上操作的程序指令中,处理单元用于执行如本文所述的功能和操作。组成各种实施例的程序指令可以存储在存储单元中,例如辅助存储器。
此外,如本文所公开的,术语“二级存储器”和“主存储器”可以表示用于存储数据的一个或多个设备,包括只读存储器(ROM)、随机存取存储器(RAM)、磁RAM、核心存储器、磁盘存储介质、光存储介质、闪存设备和/或用于存储信息的其他机器可读介质。术语“机器可读介质”包括但不限于便携式或固定存储设备、光学存储设备、无线信道、和能够存储、容纳或携带一个或多个指令和/或数据的各种其他介质。机器可读介质可以通过虚拟化来实现,并且可以是包括基于云的实例中的虚拟机可读介质的虚拟机可读介质。
此外,实施例可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或其任何组合来实现。当在软件、固件、中间件或微代码中实现时,用于执行必要任务的程序指令或代码段可以存储在诸如存储单元的机器可读介质中。一个或多个处理单元可以执行必要的任务。一个或多个处理单元可以是CPU、ASIC半导体芯片、半导体芯片、逻辑单元、数字处理器、模拟处理器、FPGA或能够执行逻辑和算术功能的任何处理器。程序指令可以表示过程、函数、子程序、程序、例程、子例程、模块、软件包、类,或指令、数据结构或程序语句的任何组合。程序指令可以通过传递和/或接收信息、数据、自变量、参数或存储器内容而耦合到另一程序指令或硬件电路。信息、自变量、参数、数据等可以通过任何合适的手段(包括存储器共享、消息传递、令牌传递、网络传输等)被传递、转发或传输。一个或多个处理单元可以通过虚拟化来实现,并且可以是包括基于云的实例中的虚拟处理单元的一个或多个虚拟处理单元。
网络接口可以由独立电子组件实现,或者可以与其他电子组件集成。网络接口基于配置可能没有网络连接或至少有一个网络连接。网络接口仅连接到一个可访问的网络。因此,一个可访问网络可能携带多个网络连接。网络接口可以是以太网接口、帧中继接口、光纤接口、电缆接口、DSL接口、令牌环接口、串行总线接口、通用串行总线(USB)接口、Firewire接口、外围设备组件互连(PCI)接口等。
多个实施例或其部分可以体现在计算机数据信号中,该计算机数据信号可以是用于通过传输介质进行通信的任何合适的形式,使得计算机数据信号可由功能设备(例如,处理单元)读取以执行这里描述的操作。计算机数据信号可以包括可以通过诸如电子网络信道、光纤、空气、电磁介质、射频(RF)链路等传输介质传播的任何二进制数字电子信号,因此数据信号可以是电信号、光信号、射频或其他无线通信信号等形式。某些实施例中,程序指令可以通过诸如因特网、内联网、LAN、MAN、WAN、PSTN、卫星通信系统、电缆传输系统和/或类似系统等的计算机网络下载。
图1示出了根据本发明的一个实施例的网络配置。网络100包括因特网110;多个网络节点120、121和122;多个IoT设备130、131、132、133和134;用于网络节点120的服务器140和由白名单服务提供商提供的服务器150。
在一个实施例中,网络节点120接收和转发来自IoT设备130数据包。网络节点120可以是防火墙网关、路由器、交换机、接入点或能够接收和转发数据包的任何设备。物联网设备130生成数据包并经由网络节点120和因特网110将数据包发送到目的地址。物联网设备130可以是监视摄像机、恒温器、汽车、灯、冰箱、能够生成数据包并通过因特网110将数据包发送到目的地址的任何设备。
网络节点120从IoT设备130接收数据包,然后经由因特网110将所接收的数据包发送到目的地址。允许目的地址从IoT设备130接收数据包。网络节点120使用白名单来允许将数据包发送到目的地址。
图2是根据本发明的一个实施例的网络节点120的说明性框图。网络节点120包括处理单元200、主存储器201、系统总线202、辅助存储器203和多个网络接口204。处理单元200和主存储器201直接相互连接。系统总线202将处理单元200直接或间接地连接到辅助存储器203和多个网络接口204。使用系统总线202允许网络节点120具有增加的模块性。系统总线202将处理单元200耦合到辅助存储器203和多个网络接口204。系统总线202可以是以下几种类型总线结构中的任一种,包括使用各种总线架构中任一种的存储器总线、外围总线和本地总线。辅助存储器203存储用于由处理单元200执行的程序指令。
辅助存储器203还存储条件,其中根据所建立的端到端连接是否满足条件,将所建立的端到端连接分类到不同的组。
在一个特定实施例中,网络节点120使用的网络节点白名单被存储在网络节点120的辅助存储器203中。网络节点120确定源自IoT设备130的数据包的目的地址是否在在IoT设备130的白名单上。如果目的地址在网络节点白名单上,则网络节点120允许将数据包发送到目的地址。如果目的地址不在网络节点白名单上,则网络节点120不允许将数据包发送到目的地址。然后,丢弃数据包和/或将响应发送到IoT设备130以指示数据包不被发送到目的地址。
图3A示出了基于在第一时段内识别出的数据包的目的地址来更新网络节点白名单的工作流程的示例性实施例。该工作流程的一个好处是网络节点白名单由网络节点本身更新。
IoT设备130具有其自己的媒体访问控制(MAC)地址,其能够用于将IoT设备130与其他IoT设备区分开。MAC有六个八位字节,MAC地址的前三个八位字节指的是组织唯一标识符(OUI)。OUI是24位数字,用于唯一标识由IEEE分配的供应商。可以使用完整的MAC地址、MAC地址的OUI或OUI与MAC地址的最后三个八位字节中的任何位的结合来进行识别。
在框301处,网络节点120的处理单元200从IoT设备130接收数据包。在框302处,处理单元200确定IoT设备130的MAC地址。在框303处,处理单元200确定MAC地址是否在网络节点白名单上。如果MAC地址不在网络节点白名单上,则在304处,处理单元200开始第一时段。
例如,第一时段被设置为处理单元200从IoT设备130接收到第一数据包的时间开始的一小时。没有限制第一时段必须是一小时。例如,第一时段可以短至两分钟甚至长过一个月。第一时段是处理单元200识别所接收的数据包的目的地址的时段。优选地,不将第一时段设置为长于三小时,否则处理单元200将长时间更新,并且将不能有效地使用计算资源和/或网络资源。此外,如果第一时段太长,则IoT设备130可能被攻击。然后,网络节点白名单上的目的地址可能包括不期望的互联网协议(IP)地址或统一资源定位符(URL),从而降低了具有白名单的有效性。
然后,处理单元200在框310处识别在第一时段内接收的数据包的目的地址。在框311处,基于MAC地址和诸如IP地址、域名称和URL的目的地址来更新网络节点白名单。在框312处,将更新的白名单存储在辅助存储器203中。
在框303处,如果MAC地址在网络节点白名单上,则处理单元200将在框305处确定是否在第一时段内接收到数据包。如果在第一时段内接收到数据包,将执行框310到框312的动作。如果在框305处,在第一时段到期后接收到数据包,则工作流程将在框306处结束。
图3B示出了图3A的替代工作流程的示例性实施例,其基于在第一时段内识别的数据包的目的地址和从服务器检索的目的地址来更新网络节点白名单。该工作流程的一个好处是可以从服务器获得IoT设备的目的地址。
在框301处,网络节点120的处理单元200从IoT设备130接收数据包。在框302处,处理单元200确定IoT设备130的MAC地址。在框303处,处理单元200确定MAC地址是否在存储器203中存储的网络节点白名单上。如果MAC地址在网络节点白名单上,则执行在框305、框310、框311和框312处的动作。
在框303处,如果MAC地址不在网络节点白名单上,则处理单元200将同时执行在框304和框307处的动作。在框304处,处理单元200开始第一时段。将执行在框310、框311和框312处的动作。
在框307处,处理单元200与服务器140通信,然后确定MAC地址是否在服务器白名单上。在框308处,如果MAC地址在服务器白名单上,则处理单元200从服务器检索IoT设备130的目的地址。然后,在框309处,处理单元200基于从服务器140检索的目的地址来更新网络节点白名单。将更新后的网络白名单存储在辅助存储器203中。
图3C示出了图3B的替代工作流程的示例性实施例,其基于在第一时段内识别出的数据包的目的地址和每个目的地址的最大数据包传输速率来更新IoT设备130的网络节点白名单。此外,从服务器140检索IoT设备130的目的地址和每个目的地址的最大数据包传输速率,以便网络节点120更新网络节点白名单。该工作流程的一个好处是限制了不在网络节点白名单上的目的地址的数据包传输速率。
在框301处,网络节点120的处理单元200从IoT设备130接收数据包。在框302处,处理单元200确定IoT设备130的MAC地址。在框303处,处理单元200确定MAC地址是否是在存储在存储器203中的网络节点白名单上。如果MAC地址在网络节点白名单上,则执行框305处的动作。处理单元200然后在框320处识别第一时段内接收的数据包的目的地址和每个目的地址的最大数据包传输速率。在框321处,基于MAC地址、目的地址和每个目的地址的最大数据包传输速率来更新网络节点白名单。在框312处,将更新的白名单存储在辅助存储器203中。
在框303处,如果MAC地址不在网络节点白名单上,则处理单元200将同时执行在框304和框307处的动作。在框304处,处理单元200开始第一时段。将执行在框320、框321和框312处的动作。
在框307处,处理单元200与服务器140通信,然后确定MAC地址是否在服务器白名单上。在框318处,如果MAC地址在服务器白名单上,则处理单元200从服务器150检索IoT设备130的目的地址和每个目的地址的最大数据传输速率。处理单元200然后在框309处基于从服务器140检索的目的地址和最大数据包传输速率更新网络节点白名单。将更新后的网络白名单存储在辅助存储器203中。
在一个特定实施例中,处理单元200确定IoT设备130到网络节点白名单上的每个目的地址的数据包传输速率。在第一时段到期之后,不允许IoT设备130到网络节点白名单上的每个目的地址的数据包传输速率超过相应的最大数据包传输速率。对于不在网络节点白名单上的目的地址,在第一时段到期后,不允许将数据包发送到这些地址。限制最大数据包传输速率的一个好处是控制正在传输的数据量,并且可以限制IoT设备消耗的网络资源量。
在一个变型中,对于网络节点白名单上的目的地址,在第一时段到期之后,IoT设备130到这些目的地址中的每一个的数据包传输速率不允许超过目的地址中的相应最大数据包传输速率。对于不在网络节点白名单上的目的地址,在第一时段到期之后,这些目的地址的数据包传输被限制为阈值,例如10kbps、20kbps或100kbps。限制数据包传输速率的一个好处是阈值允许IoT设备130在第一时段到期之后与新目的地通信,同时限制在IoT设备130被用于发起DDoS攻击的情况下的影响。
在一个特定实施例中,允许用户或管理员输入每个目的地址的最大数据包传输速率,而不是由网络节点120检测每个目的地址的最大数据包传输速率。
图3D示出了图3C的替代工作流程的示例性实施例,其基于所识别的数据包的目的地址、第一时段内的IoT设备的最大数据包传输速率、和IoT设备的目的地址、和IoT设备的最大数据包传输速率来更新网络节点白名单。例如,基于在特定时段内从IoT设备到所有目的地的总数据包传输速率来测量最大数据包传输速率。最高数据包传输速率被视为最大数据包传输速率。例如,在特定时间,分别地,从IoT设备到地址A的数据传输速率是10kbps,到地址B的数据传输速率是40kbps,到地址C的数据传输速率是25kbps,因此总数据包传输速率是75kbps。如果75kbps是特定时段内的最高数据包传输速率,则IoT设备的最大数据包传输速率是75kbps。
该工作流程的一个好处是目的地址不在网络节点白名单上的总数据包传输速率不允许超过最大数据包传输速率,或者甚至不允许这些目的地址的数据包传输,以减轻网络流量溢出。
在框301处,网络节点120的处理单元200从IoT设备130接收数据包。在框302处,处理单元200确定IoT设备130的MAC地址。在框303处,处理单元200确定MAC地址是否在存储在存储器203中的网络节点白名单上。如果MAC地址在网络节点白名单上,则执行框305处的动作。在框330处,处理单元200然后在第一时段内识别所接收的数据包的目的地址和IoT设备130的最大数据包传输速率。在框331处,基于MAC地址、目的地址和最大数据包传输速率来更新网络节点白名单。在框312处,将更新后的白名单存储在辅助存储器203中。
在框303处,如果MAC地址不在网络节点白名单上,则处理单元200将同时执行在框304和框307处的动作。在框304处,处理单元200开始第一时段。将执行框330、框331和框312处的动作。
在框307处,处理单元200与服务器140通信,然后确定MAC地址是否在服务器白名单上。在框328处,如果MAC地址在服务器白名单上,则处理单元200从服务器150检索IoT设备130的目的地址和IoT设备130的最大数据传输速率。在框329处,处理单元200然后基于从服务器140检索的目的地址和最大数据包传输速率来更新网络节点白名单。将更新后的网络白名单存储在辅助存储器203中。
在一个特定实施例中,处理单元200确定IoT设备130到网络节点白名单上的目的地址的总数据包传输速率。在第一时段到期之后,IoT设备130到网络节点白名单上的目的地址的总数据包传输速率不允许超过IoT设备130的最大数据包传输速率。对于不在网络节点白名单上的目的地址,在第一时段到期后,不允许将数据包发送到这些地址。
在一个变型中,对于网络节点白名单上的目的地址,在第一时段到期之后,IoT设备130到这些目的地址的总数据包传输速率允许超过IoT设备130的最大数据包传输速率。对于不在网络节点白名单上的目的地址,在第一时段到期之后,不允许IoT设备130到这些目的地址的总数据包传输速率超过IoT设备130的最大数据包传输速率。
在一个特定实施例中,如果IoT设备130的用户或网络节点120的管理员在第一时段到期后尝试更新网络节点白名单,则允许用户或管理员通过使用输入接口(例如按钮、旋钮、键盘和显示面板)重置网络节点白名单。一旦重置网络节点白名单,可以将新的目的地址添加到网络节点白名单。网络节点120执行如图3A、图3B、图3C或图3D所示的工作流程。
一个特定的详细实施例,在重置之后,移除网络节点白名单上的所有目的地址。需要将新的目的地址再次添加到网络节点白名单中。
在一个变型中,在重置之后,不移除网络节点白名单上的目的地址。然后在新的第一时段期间学习新的目的地址。这允许将更多目旳地址添加到网络节点白名单。这在IoT设备130升级或更新之后特别有用,因为IoT设备130可以合法地访问合法目的地址。
在一个特定实施例中,在网络节点120使用更新的网络节点白名单来限制数据包传输之前,允许用户或管理员批准更新的网络节点白名单。如果在更新的网络节点白名单中未识别任何缺陷,则将批准更新的网络节点白名单。如果在更新的网络节点白名单中识别出缺陷,则允许用户修改并且然后批准网络节点白名单。一旦网络节点白名单被批准,网络节点120就实现网络节点白名单以将数据发送到网络节点白名单上的目的地址。
在一个特定实施例中,允许用户或管理员输入IoT设备130的最大数据包传输速率,而不是通过网络节点120检测IoT设备130的最大数据包传输速率。
在一个特定实施例中,网络节点120定期生成分析报告并将其发送给用户或管理员。例如,生成分析报告并在每天午夜发送给用户或管理员,或者生成分析报告并在每个星期一午夜发送给用户或管理员。
分析报告包括白名单上的目的地址和不在白名单上的目的地址。分析报告还包括每个目的地址的数据包传输速率。在一个特定细节中,分析报告还包括对期望地址和非期望地址的请求的数量。分析报告可用于帮助用户或管理员确定IoT设备是否被黑客入侵或正在访问未知目的地址。此外,分析报告可以帮助用户或管理员将期望的目的地址添加至白名单或者移除期望的目的地址。分析报告作为电子邮件和/或消息发送,和/或显示为网页和/或文档。在一个变型中,将分析报告发送给第三方(例如白名单服务提供商)以进行进一步分析。然后,白名单服务提供商基于分析报告提供对白名单的建议或修改。
图4A示出了基于由IoT设备的用户或网络节点的管理员输入的期望目的地址和IoT设备的MAC地址来更新网络节点白名单的工作流程的示例性实施例。其中一个好处是,只要用户或管理员希望,用户或管理员就使用期望的目的地址更新网络节点白名单。
在框401处,网络节点120的处理单元200接收由IoT设备130的用户或网络节点120的管理员做出的用于经由例如输入接口、应用程序编程接口(API)或网络来更新网络节点白名单的请求。输入界面包括网页。在框402处,处理单元200确定IoT设备130的MAC地址。然后将同时执行框403和405处的动作。在框405处,允许用户或管理员经由网页输入期望的目的地址。例如,所需的目的地址包括端口号、端口范围、域名、URL和IP地址。在框406处,基于期望的目的地址和MAC地址来更新网络节点白名单。更新的网络节点白名单存储在辅助存储器203中。
在框403处,如果MAC地址在服务器白名单上,则处理单元200将MAC地址发送到服务器140并从服务器140检索IoT设备130的目的地址。在框404处,处理单元200基于从服务器140检索的目的地址来更新网络节点白名单。然后将执行框405和框406处的动作。如果MAC地址不在服务器白名单上,则将空目的地址返回到网络节点120。
在一个特定实施例中,用户或管理员通过网页发出更新网络节点白名单的请求。向用户或管理员提供登录信息或登录设备,例如用户名和密码或安全令牌,以获得对网页的访问。一旦用户或管理员输入用户名和密码以登录网页,就允许用户或管理员输入期望的目的地址和/或附加信息,例如协议信息和“动作类型”信息。
协议信息包括TCP、UDP、ICMP和IP,“动作类型”信息包括“允许”或“拒绝”动作。“允许”操作是允许传输数据。“拒绝”操作是拒绝传输数据。
图4B示出了图4A的替代工作流程,用于基于期望的目的地址和IoT设备的信息来更新网络节点白名单。该工作流程的一个好处是IoT设备的用户更方便地输入IoT设备的信息以更新网络节点白名单。
在框401处,处理单元200接收由IoT设备130的用户或网络节点120的管理员做出的用于经由网页更新网络节点白名单的请求。在框412处,允许用户或管理员经由网页输入IoT设备130的信息。向用户或管理员提供登录信息或登录设备,例如用户名和密码或安全令牌,以获得对网页的访问。一旦用户或管理员输入用户名和密码以登录网页,就允许用户或管理员输入IoT设备130的信息,例如品牌名称、型号名称、型号、制造日期和/或制造地点。
一旦用户或管理员输入IoT设备130的信息,将同时执行在框405和框413处的动作。在框405处,允许用户或管理员输入期望的目的地址。在框416处,基于期望的目的地址和IoT设备130的信息来更新网络节点白名单。将更新后的网络节点白名单存储在存储器203中。
在框413处,处理单元200将IoT设备130的信息发送到服务器14。在一个特定实施例中,基于IoT设备130的信息,如果IoT设备130是服务器白名单上的IoT设备组的一个,处理单元200将从服务器140检索IoT设备组的相应目的地址。在框404处,基于从服务器140检索的目的地址更新网络节点白名单。然后,将执行在框405和框416处的动作。如果IoT设备130的信息不在服务器白名单上,则将空目的地址返回到网络节点120。
在一个特定实施例中,IoT设备组包括IoT设备130、131和133。IoT设备130、131和133分别与网络节点120、121和122连接。IoT设备130、131和133彼此共享至少一个公共标识符。例如,标识符包括品牌名称、型号名称、型号、制造日期、制造地点。在一个示例中,IoT设备130、131和133具有相同的品牌名称。在另一示例中,IoT设备130、131和133具有相同的品牌名称和相同的型号名称和/或型号。
品牌名称用于对由相同供应商制造和管理的IoT设备进行分组。型号名称和/或型号用于进一步识别或分类来自相同供应商的IoT设备。制造日期和/或制造地点也用于进一步识别和分类。
为了便于用户或管理员输入IoT设备的信息,在网页中提供下拉菜单或可滚动列表。下拉菜单或可滚动列表包含一个或多个输入字段。在一个特定实施例中,该字段包括品牌名称字段、型号名称字段、型号字段、制造日期字段和/或制造地点字段。品牌名称字段、型号名称字段和型号分别包含IoT设备组的品牌名称、型号名称和型号。没有限制使用多少输入字段。例如,品牌名称字段和型号名称字段一起使用,或者品牌名称字段、型号名称字段和型号字段一起使用。
在一个特定实施例中,用户或管理员通过向下拉动条或向下滚动条来在品牌名称字段处为IoT设备130选择对应的品牌名称。然后,用户或管理员在型号名称字段处为IoT设备130选择型号名称。然后,用户或管理员在型号字段中为IoT设备130选择型号。
图5A示出了由IoT设备的供应商基于IoT设备的MAC地址或MAC地址的范围来更新服务器白名单的工作流程的示例性实施例。服务器白名单被存储在白名单服务提供商提供的服务器中。该工作流程的一个好处是可以从供应商处获得最新的目的地址。
在框501处,服务器150接收由IoT设备130的供应商做出的用于经由网页更新服务器白名单的请求。在框502处,允许供应商经由网页输入IoT设备130的MAC地址或MAC地址的范围。在框503处,允许供应商输入期望的目的地址。在框504处,基于期望的目的地址和MAC地址或MAC地址的范围来更新服务器白名单。将更新后的服务器白名单存储在服务器150中。
服务器150处的白名单由供应商经由网页输入。白名单服务提供商要求供应商提供OUI和其他文档以证明供应商的身份和权限,例如商业注册文档,以便向供应商授予输入接口的访问权限。一旦供应商的身份被认证,白名单服务提供商就向供应商提供登录信息或登录设备,例如,用户名和密码或安全令牌以获得对网页的访问。一旦供应商输入用户名和密码登录网页,就允许供应商输入MAC地址或MAC地址的范围以及期望的目的地址(例如URL、域名和IP地址),以便更新其服务器白名单。
图5B示出了图5A的替代工作流程的示例性实施例,其由IoT设备的供应商在服务器处基于IoT设备的信息来更新服务器白名单。该工作流程的一个好处是输入IoT设备信息的过程很简单。
在框501处,服务器150接收由IoT设备130的供应商做出的用于经由网页更新白名单的请求。在框512处,向供应商提供登录信息或登录设备,例如用户名和密码或安全令牌,以获得对网页的访问。一旦供应商输入用户名和密码以登录网页,就允许供应商通过下拉菜单或可滚动列表输入IoT设备130的信息,例如IoT设备130的信息包括品牌名称、型号名称、型号、制造日期、制造地点。
在框503处,允许供应商输入期望的目的地址。在框514处,基于期望的目的地址和IoT设备130的信息来更新服务器白名单。将更新后的服务器白名单存储在服务器150中。
图6示出了基于由白名单服务提供商收集的IoT设备的信息来更新服务器白名单的工作流程的示例性实施例。该工作流程的一个好处是,IoT设备的供应商不需要输入IoT设备的信息。
在框601处,白名单服务提供商监视IoT设备市场并识别每天由其自身管理的白名单中丢失的任何IoT设备。例如,从存储在服务器150中的服务器白名单中丢失了IoT设备130。在框602处,白名单服务提供商联系IoT设备130的供应商并从供应商收集IoT设备130的信息。
所收集的IoT设备130的信息包括例如品牌名称、型号名称、型号、序列号、制造日期、制造地点、MAC地址、期望目的地址的信息(URL、域名和IP地址)。在框603处,白名单服务提供商基于所收集的IoT设备130的信息来更新服务器白名单。在框604处,将更新后的服务器白名单存储在服务器150中。
在一个特定实施例中,网络节点120的供应商订购包括用于IoT设备130的白名单的白名单服务。允许网络节点120与服务器150通信并从服务器150检索服务器白名单的信息。网络节点120基于从服务器150检索的信息更新网络节点白名单。将更新后的网络节点白名单存储在辅助存储器203中并由网络节点120使用,以允许数据包被发送到网络节点白名单上的各目的地址。
Claims (18)
1.一种用于在网络节点处更新网络节点的白名单的方法,包括以下步骤:
A)从设备接收数据包;
B)确定所述设备的媒体访问控制地址;
C)确定所述设备的所述媒体访问控制地址是否在所述网络节点的所述白名单中;
D)当所述设备的所述媒体访问控制地址不在所述网络节点的所述白名单时:
a)开始第一时段;
b)在所述第一时段时:
i)识别所述数据包的目的地址;
ii)基于所述数据包的所述目的地址及所述设备的所述媒体访问控制地址更新所述网络节点的所述白名单;
E)当重置所述网络节点的所述白名单时:
不移除所述网络节点上的所述目的地址;以及
如果学习到至少一个新的目的地址,添加所述至少一个新的目的地址到所述网络节点白名单;
其中所述白名单的重置是基于接收到来自所述网络节点的管理员的指令以重置所述第一时段;
F)当所述设备的所述媒体访问控制地址在所述网络节点的所述白名单时:
a)确定是否在所述第一时段内接收到所述数据包;
b)当在所述第一时段内接收到所述数据包时:
i)识别所述数据包的所述目的地址;
ii)基于所述数据包的所述目的地址和所述设备的所述媒体访问控制地址更新所述网络节点的所述白名单;
其中所述第一时段是识别所述接收的数据包的所述目的地址的时段;
其中将更新后的所述网络节点的所述白名单存储在所述网络节点中的非暂时性计算机可读存储介质中;以及
其中所述网络节点在所述第一时段到期之后基于所述更新后的所述网络节点的所述白名单来限制数据包传输。
2.根据权利要求1所述的方法,其中所述第一时段小于一小时。
3.根据权利要求1所述的方法,其中所述网络节点的所述白名单识别出缺陷时,需要用户批准。
4.根据权利要求1所述的方法,其中所述目的地址包括互联网协议(IP)地址和/或统一资源定位符(URL)。
5.根据权利要求1所述的方法,还包括:F)b)iii)识别所述设备的最大允许数据包传输速率,并进一步用所述设备的所述最大允许数据包传输速率更新所述网络节点的所述白名单。
6.根据权利要求5所述的方法,还包括:G)确定所述设备到所述白名单上的目的地址的总数据包传输速率;其中,所述设备的所述最大数据包传输速率用于限制所述设备到所述白名单上的目的地址的数据传输速率;并且其中,不允许来自所述设备的数据包被传输到不在所述网络节点的所述白名单上的目的地址。
7.根据权利要求1所述的方法,其中所述网络节点的所述白名单上的所述目的地址在重置所述白名单后不被移除。
8.根据权利要求7所述的方法,其中为所述管理员提供用于所述网络节点的用户界面,以发送重置所述第一时段的指令。
9.根据权利要求1所述的方法,还包括:
D)c)确定所述设备的所述媒体访问控制地址或所述媒体访问控制地址的唯一标识符是否在服务器的白名单上;
D)d)当所述设备的所述媒体访问控制地址或所述媒体访问控制地址的所述唯一标识符是在所述服务器的所述白名单上:
从服务器检索所述目的地址,并基于从所述服务器检索的目的地址更新所述网络节点的所述白名单;
其中所述步骤D)a)及步骤D)c)是同时执行;以及
其中所述从服务器检索的目的地址是基于所述设备的供应商选择。
10.一种更新白名单的网络节点,包括:
至少一个网络接口;
至少一个处理单元;
至少一个主存储器;
存储程序指令的至少一个辅助存储器,所述程序指令可由所述至少一个处理单元执行如下步骤:
A)从设备接收数据包;
B)确定所述设备的媒体访问控制地址;
C)确定所述媒体访问控制地址是否在所述网络节点的所述白名单中;
D)当所述设备的所述媒体访问控制地址不在所述网络节点的所述白名单时:
a)开始第一时段;
b)在所述第一时段时:
i)识别所述数据包的目的地址;
ii)基于所述数据包的所述目的地址及所述设备的所述媒体访问控制地址更新所述网络节点的所述白名单;
E)当重置所述网络节点的所述白名单时:
不移除所述网络节点上的所述目的地址;以及
如果学习到至少一个新的目的地址,添加所述至少一个新的目的地址到所述网络节点白名单;
其中所述白名单的重置是基于接收到来自所述网络节点的管理员的指令以重置第一时段;
F)当所述设备的所述媒体访问控制地址在所述网络节点的所述白名单时:
a)确定在所述第一时段内是否接收到所述数据包;
b)在所述第一时段内接收到所述数据包时:
i)识别所述数据包的所述目的地址;
ii)基于所述数据包的所述目的地址和所述设备的所述媒体访问控制地址更新所述网络节点的所述白名单;
其中所述第一时段是识别所述接收的数据包的所述目的地址的时段;
其中,将更新后的所述网络节点的所述白名单存储在所述网络节点中的非暂时性计算机可读存储介质中;以及
其中,所述网络节点在所述第一时段到期之后基于所述更新后的所述网络节点的所述白名单来限制数据包传输。
11.根据权利要求10所述的网络节点,其中所述第一时段小于一小时。
12.根据权利要求10所述的网络节点,其中所述网络节点的所述白名单识别出缺陷时,需要用户批准。
13.根据权利要求10所述的网络节点,其中所述目的地址包括互联网协议IP地址和/或统一资源定位符(URL)。
14.根据权利要求10所述的网络节点,其中所述至少一个处理单元还可操作用于F)b)iii)识别所述设备的最大允许数据包传输速率,并进一步用所述设备的所述最大允许数据包传输速率更新所述网络节点的所述白名单。
15.根据权利要求14所述的网络节点,其中所述至少一个处理单元还可操作用于:G)确定所述设备到所述白名单上的目的地址的总数据包传输速率;其中所述设备的所述最大数据包传输速率用于限制所述设备到所述白名单上的目的地址的数据传输速率;并且其中,不允许来自所述设备的数据包被传输到不在所述网络节点的所述白名单上的目的地址。
16.根据权利要求10所述的网络节点,其中所述白名单上的所述目的地址在重置所述白名单后不被移除。
17.根据权利要求16所述的网络节点,其中为所述管理员提供用于所述网络节点的用户界面,以发送重置所述第一时段的指令。
18.根据权利要求10所述的网络节点,其中所述至少一个处理单元还可操作用于:
D)c)确定所述设备的所述媒体访问控制地址或所述媒体访问控制地址的唯一标识符是否在服务器的白名单上;
D)d)当所述设备的所述媒体访问控制地址或所述媒体访问控制地址的所述唯一标识符是在所述服务器的所述白名单上:
从服务器检索所述目的地址,并基于从所述服务器检索的目的地址来更新所述网络节点的所述白名单;
其中所述步骤D)a)及步骤D)c)是同时执行;以及
其中所述从服务器检索的目的地址是基于所述设备的供应商选择。
Publications (2)
| Publication Number | Publication Date |
|---|---|
| HK40010632A HK40010632A (zh) | 2020-07-10 |
| HK40010632B true HK40010632B (zh) | 2022-06-17 |
Family
ID=
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11722458B2 (en) | Method and system for restricting transmission of data traffic for devices with networking capabilities | |
| CN109964469B (zh) | 用于在网络节点处更新白名单的方法和系统 | |
| US11349881B2 (en) | Security-on-demand architecture | |
| US10972461B2 (en) | Device aware network communication management | |
| US11165805B2 (en) | Guard system for automatic network flow controls for internet of things (IoT) devices | |
| US20140331280A1 (en) | Network Privilege Manager for a Dynamically Programmable Computer Network | |
| US20070199060A1 (en) | System and method for providing network security to mobile devices | |
| US8102860B2 (en) | System and method of changing a network designation in response to data received from a device | |
| KR20110124208A (ko) | 네트워크 자원들에 대한 건강 기반 액세스 | |
| JP6737610B2 (ja) | 通信装置 | |
| US10587524B2 (en) | Multi-tagged multi-tenant rate limiting | |
| WO2018163464A1 (ja) | 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| JP6591504B2 (ja) | パケットフィルタリング装置 | |
| JPWO2018143096A1 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
| JP6359260B2 (ja) | クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置 | |
| HK40010632B (zh) | 用於在网络节点处更新白名单的方法和系统 | |
| HK40010632A (zh) | 用於在网络节点处更新白名单的方法和系统 | |
| HK40006819B (zh) | 限制具有网络功能的设备的数据流量传输的方法和系统 | |
| HK40006819A (zh) | 限制具有网络功能的设备的数据流量传输的方法和系统 | |
| JP6286314B2 (ja) | マルウェア通信制御装置 | |
| KR20210012902A (ko) | I2nsf 등록 인터페이스 yang 데이터 모델 | |
| Piens | Mastering Palo Alto Networks | |
| US20250158985A1 (en) | Automated satellite device authentication to a portal for secure remote access | |
| Kalil | Policy Creation and Bootstrapping System for Customer Edge Switching |