一种保护客舱WiFi网络安全的方法和装置与流程

本发明属于计算机网络领域，尤其涉及一种保护客舱wifi网络安全的方法和装置。

背景技术：

现阶段乘客在乘坐航空公司带有客舱wifi的航班时，通过使用自带的笔记本电脑、平板电脑等无线终端接入客舱wifi网络后，便可以使用机载娱乐系统，例如看电影、听音乐和看电子书等。在为乘客带来娱乐体验的同时，机舱wifi网络作为一个局域网也暴露在了乘客面前。对于一些心怀恶意的乘客，例如黑客或自带无线终端感染病毒的乘客可能有意或无意地发起对wifi局域网络的攻击。根据攻击的形式的不同，有可能会导致多种不同的结果，例如，网络瘫痪从而无法提供娱乐服务、篡改娱乐系统内容、发布反动言论、发布虚假信息诱使乘客输入自己的隐私信息(例如银行卡号和密码等)和发布威胁飞行安全的信息等。

现有的wifi网络通常无法有效地隔离乘客流量，导致不怀好意的乘客可以轻易地访问到wifi网络的核心部件——机载服务器，从而进一步实施各种探测、欺骗和攻击，给机舱wi-fi网络的安全带来了极大的隐患。

技术实现要素：

本发明的目的在于提供一种保护客舱wifi网络安全的方法和装置，以增强 客舱wifi网络和航班的飞行安全。

本发明第一方面提供一种保护客舱wifi网络安全的方法，所述方法包括：

将客舱wifi网络隔离成可信域和非可信域；

控制非可信域的用户和可信域的用户对对方所在域的访问；

在所述可信域的部分区域与所述非可信域的部分区域之间配置防火墙。

本发明第二方面提供一种保护客舱wifi网络安全的装置，所述装置包括：

隔离模块，用于将客舱wifi网络隔离成可信域和非可信域；

访问控制模块，用于控制非可信域的用户和可信域的用户对对方所在域的访问；

配置模块，用于在所述可信域的部分区域与所述非可信域的部分区域之间配置防火墙。

从上述本发明技术方案可知，由于将客舱wifi网络隔离成了可信域和非可信域，并且对非可信域的用户和可信域的用户对对方所在域的访问进行了控制以及在可信域的部分区域与非可信域的部分区域之间配置防火墙。因此，本发明提供的技术方案可以有效防止客舱wifi网络被恶意或无意的攻击，也有效地保证了航班的安全运行。

附图说明

图1是本发明实施例一提供的保护客舱wifi网络安全的方法的实现流程示意图；

图2是本发明实施例二提供的保护客舱wifi网络安全的装置的结构示意图；

图3是本发明实施例三提供的保护客舱wifi网络安全的装置的结构示意图；

图4是本发明实施例四提供的保护客舱wifi网络安全的装置的结构示意图；

图5-a是本发明实施例五提供的保护客舱wifi网络安全的装置的结构示意图；

图5-b是本发明实施例六提供的保护客舱wifi网络安全的装置的结构示意图；

图5-c是本发明实施例七提供的保护客舱wifi网络安全的装置的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例提供一种保护客舱wifi网络安全的方法，所述方法包括：将客舱wifi网络隔离成可信域和非可信域；控制非可信域的用户和可信域的用户对对方所在域的访问；在所述可信域的部分区域与所述非可信域的部分区域之间配置防火墙。本发明实施例还提供相应的保护客舱wifi网络安全的装置。以下分别进行详细说明。

请参阅附图1，是本发明实施例一提供的保护客舱wifi网络安全的方法的实现流程示意图，主要包括以下步骤s101至步骤s103：

s101，将客舱wifi网络隔离成可信域和非可信域。

一般地，客舱wifi网络是覆盖航班上的客舱区域，供航班上的乘客联网，为乘客提供一些诸如网页浏览、视频播放等服务的网络设施。由于航班上的乘客的身份有不可预测性，接入客舱wifi网络的乘客随时有可能有意或无意地对 客舱wifi网络发动攻击或发布一些威胁飞行安全的信息等。为了保证客舱wifi网络的安全，在本发明实施例中，可将客舱wifi网络隔离成可信域和非可信域。具体地，可以先根据数据流量的安全可信级别，将客舱wifi网络划分为可信域和非可信域，然后，对于不同的域使用不同的虚拟局域网(virtuallocalareanetwork，vlan)对流量进行隔离，从而将客舱wifi网络隔离成可信域和非可信域。至于采用vlan对流量进行隔离，可以采用现有的任何一种方式，本发明对此并不加限制。

对于可信域和非可信域，在本发明实施例中，还可以将可信域进一步隔离成本地服务域和可信管理域，非可信域可以进一步隔离成可信乘客域和非可信internet域，即，在本发明实施例中，可信域可包括本地服务域和可信管理域，非可信域包括非可信乘客域和非可信internet域，其中，本地服务域提供wifi设备管理和乘客娱乐的双重功能。

s102，控制非可信域的用户和可信域的用户对对方所在域的访问。

虽然客舱wifi网络被隔离成了本地服务域、可信管理域、非可信乘客域和非可信internet域等几个区域，但是，为安全起见，可信域不可以对非可信域任意访问，非可信域之间也并能随意进行访问，非可信域的用户和可信域的用户对对方所在域的访问需要控制，控制方法可以是在域之间设立防火墙，控制域之间数据的转发。在本发明实施例中，控制非可信域的用户和可信域的用户对对方所在域的访问包括：适度限制非可信乘客域的用户对本地服务域、可信管理域和非可信internet域的访问；以及允许可信管理域的用户对非可信internet域的有限访问。其中，对于适度限制非可信乘客域的用户对本地服务域、可信管理域和非可信internet域的访问可以是：禁止非可信乘客域的用户访问可信管理域，允许非可信乘客域的用户访问非可信internet域的指定服务，以 及允许非可信乘客域的用户仅限于访问本地服务域的机载娱乐服务，例如，http或https等，而允许可信管理域的用户对非可信internet域的有限访问可以是可信管理域的用户通过3g/4g模块访问非可信internet域的安全文件传送协议(securefiletransferprotocol，sftp)服务等。

需要说明的是，为了便于进行wifi设备的管理，在本发明实施例中，可信管理域的用户和本地服务域的用户对对方所在域的访问不加限制，即，可信管理域的用户和本地服务域的用户可互相访问对方所在的域。

s103，在可信域的部分区域与非可信域的部分区域之间配置防火墙。

具体地，在可信域的部分区域与非可信域的部分区域之间配置防火墙可以是防御非可信乘客域的用户对本地服务域的嗅探和扫描、防御非可信乘客域的用户对本地服务域的网络攻击，包括dos、ipspoof、smurf、icmpredirect、bufferoverflow和sqlinject等，以及限制非可信乘客域的用户在非可信乘客域的和本地服务域之间通信的流量。

从上述附图1示例的保护客舱wifi网络安全的方法可知，由于将客舱wifi网络隔离成了可信域和非可信域，并且对非可信域的用户和可信域的用户对对方所在域的访问进行了控制以及在可信域的部分区域与非可信域的部分区域之间配置防火墙。因此，本发明提供的技术方案可以有效防止客舱wifi网络被恶意或无意的攻击，也有效地保证了航班的安全运行。

请参阅附图2，是本发明实施例二提供的保护客舱wifi网络安全的装置的结构示意图。为了便于说明，附图2仅示出了与本发明实施例相关的部分。附图2示例的保护客舱wifi网络安全的装置可以是附图1示例的保护客舱wifi网络安全的方法的执行主体。附图2示例的保护客舱wifi网络安全的装置主要包括隔离模块201、访问控制模块202和配置模块203，其中：

隔离模块201，用于将客舱wifi网络隔离成可信域和非可信域；

访问控制模块202，用于控制非可信域的用户和可信域的用户对对方所在域的访问；

配置模块203，用于在可信域的部分区域与非可信域的部分区域之间配置防火墙。

需要说明的是，以上附图2示例的保护客舱wifi网络安全的装置的实施方式中，各功能模块的划分仅是举例说明，实际应用中可以根据需要，例如相应硬件的配置要求或者软件的实现的便利考虑，而将上述功能分配由不同的功能模块完成，即将所述保护客舱wifi网络安全的装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。而且，实际应用中，本实施例中的相应的功能模块可以是由相应的硬件实现，也可以由相应的硬件执行相应的软件完成，例如，前述的隔离模块，可以是具有执行前述将客舱wifi网络隔离成可信域和非可信域的硬件，例如隔离器，也可以是能够执行相应计算机程序从而完成前述功能的一般处理器或者其他硬件设备；再如前述的访问控制模块，可以是执行将控制非可信域的用户和可信域的用户对对方所在域的访问的硬件，例如访问控制器，也可以是能够执行相应计算机程序从而完成前述功能的一般处理器或者其他硬件设备(本说明书提供的各个实施例都可应用上述描述原则)。

附图2示例的保护客舱wifi网络安全的装置中，可信域包括本地服务域和可信管理域，非可信域包括非可信乘客域和非可信internet域。

附图2示例的访问控制模块202可以包括访问限制单元301和访问允许单元302，如附图3所示本发明实施例三提供的保护客舱wifi网络安全的装置，其中：

访问限制单元301，用于适度限制非可信乘客域的用户对本地服务域、可信管理域和非可信internet域的访问；

访问允许单元302，用于允许可信管理域的用户对所述非可信internet域的有限访问。

附图3示例的访问限制单元301可以包括禁止单元401、第一允许单元402和第二允许单元403，如附图4所示本发明实施例四提供的保护客舱wifi网络安全的装置，其中：

禁止单元401，用于禁止非可信乘客域的用户访问可信管理域；

第一允许单元402，用于允许非可信乘客域的用户访问非可信internet域的指定服务；以及

第二允许单元403，用于允许非可信乘客域的用户仅限于访问本地服务域的机载娱乐服务。

附图2至4任一示例的配置模块可以包括第一防御单元501、第二防御单元502和流量限制单元503，如附图5-a至附图5-c所示本发明实施例五至实施例七提供的保护客舱wifi网络安全的装置，其中：

第一防御单元501，用于防御非可信乘客域的用户对本地服务域的嗅探和扫描；

第二防御单元502，用于防御非可信乘客域的用户对本地服务域的网络攻击；

流量限制单元503，用于限制非可信乘客域的用户在非可信乘客域的和本地服务域之间通信的流量。

需要说明的是，上述装置各模块/单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，其带来的技术效果与本发明方法实施 例相同，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(rom，readonlymemory)、随机存取存储器(ram，randomaccessmemory)、磁盘或光盘等。

以上对本发明实施例所提供的保护客舱wifi网络安全的方法和装置进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。