一种路由器安全控制方法、网管平台及系统与流程

本发明属于数据通信技术领域，尤其涉及一种路由器安全控制方法、网管平台及系统

背景技术：

在路由器的使用场景中，相当一部分用户的使用环境是开放的，路由器本身的安全性较低，容易发生设备被盗或被工程维护人员私自使用等异常使用情况，此时如何有效的保证用户的保密信息不被非法获取是相当重要的。现有的解决方案都是在用户提供的业务出现异常或是用户收到设备维护人员反馈后才进行进一步的安全控制动作，不能及时作出相应的安全控制，增加了安全风险，且均为手动操作，安全控制效率低。

技术实现要素：

本发明实施例提供了一种路由器安全控制方法及系统，用以解决处于开放使用环境的路由器出现异常使用时，安全控制不及时，增加安全风险，且手动操作，安全控制效率低的问题。

第一方面，本发明实施例提供了一种路由器安全控制方法，所述方法包括：

设置被管理路由器的预设使用条件及对应的安全控制策略；

获取所述被管理路由器的当前使用信息，并判断所述当前使用信息不满足所述预设使用条件时，执行相应的安全控制策略。

第二方面，本发明实施例提供了一种网管平台，包括：设置模块、监控模块、告警模块和处理模块，

所述设置模块，用于设置被管理路由器的预设使用条件及对应的安全控制策略；

所述监控模块，用于获取所述被管理路由器的当前使用信息，并判断所述当前使用信息不满足所述预设使用条件时，触发所述告警模块发送告警信息，

所述告警模块，用于在所述监控模块判断所述当前使用信息不满足所述预设使用条件时，向管理员发送告警信息。

第三方面，本发明实施例提供了一种路由器安全控制系统，其特征在于，所述系统包第二方面所述的网管平台和至少一台被管理路由器。

本发明提供的一种路由器安全控制方法、网管平台及系统，能够及时发现路由器的异常使用情况，并执行相应的安全控制策略。同时，可以设置安全控制策略自动执行，无需进行人为干预；通过网管平台自动下发挂失或注销指令，极大的缩短了执行安全控制策略时间。本发明实施例中的安全控制策略，极大的降低了路由器被异常使用时，客户私有信息的泄密风险。

附图说明

图1为本发明实施例提供的一种路由器安全控制方法的方法流程图；

图2为本发明实施例提供的一种网管平台的架构示意图；

图3为本发明实施例提供的一种网管平台的架构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在路由器(这里的路由器可以是现行的3G/4G路由器或者是后继的5G路由器等)的应用场景中，部分是应用于如银行自助ATM机等开放使用环境中，在此种环境中，设备自身的安全得不到保障，在设备使用过程中，如何有效监管以保证自助ATM机中路由器的安全是非常重要的。通常情况下，路由器首次安置在自助ATM机中后，会为路由器配置相应的网管平台，实现业务下发、配置管理、告警功能、位置定位等。由于路由器自带了SIM卡，只需上电即可接入用户内部网络，当该路由器出现被非法使用或被盗等异常情况时，如何保证用户内部网络不被非法侵入或者客户保存在路由器中的保密信息(如客户专线网络IP规划、用户名及加密认证密钥等信息)不被非法获取。目前一般的做法是在银行网点业务出现异常，用户收到设备维护人员反馈后才会执行相应的安全控制操作，并不能在出现异常时及时作出相应的安全控制操作，增加了泄密风险。且一般都为手动执行安全控制操作，安全控制效率较低。

本发明实施例一提供一种路由器安全控制方法，用以解决处于开放使用环境的路由器出现异常使用时，安全控制不及时，增加安全风险，且手动操作，安全控制效率低的问题。如图1所示，该方法包括：

步骤101、设置被管理路由器的预设使用条件及对应的安全控制策略；

在本步骤中，设置被管理路由器的预设使用条件及对应的安全控制策略可以包括：以被管理路由器首次注册时上报的位置为中心，设置被管理路由器正常使用的安全半径，若获取到的所述被管理路由器的当前上线位置不在所述安全半径范围内时，向管理员发送告警信息；这里提出了安全半径的概念，管理员在网管平台中设置被管理路由器使用的安全半径以控制被管理路由器的安全使用位置范围。当路由器在网管平台上上线完成后，路由器会将自己的位置信息上报给网管平台，此时在网管平台的地图中会显示该路由器的实时地理位置，在路由器正常运行过程中，也会定期更新自己的位置信息，保证网管平台中查询到的位置是最新位置信息。通常的位置信息来源有：GPS定位信息或使用无线网络时，通过SIM卡注册在移动运营商的基站信息找到该路由器对应的位置信息或当路由器使用有线方式接入时，会根据接入点的IP等信息上报接入位置，网管平台将路由器的当前位置信息记录并反应在地图中。当路由器在网管平台首次上线时，以被管理路由器首次在网管平台上注册时上报的位置为中心，设置被管理路由器正常使用的安全半径，如：设置路由器的安全半径为50米，如果该路由器当前上线位置处于以该路由器首次在网管平台上注册时上报的位置为中心，半径为50米的圆内，则认为该路由器处于正常使用位置，如果该路由器的当前上线位置在该圆外，则认为是该路由器处于异常使用位置。因此，当被管理路由器在网管平台上线时，网络管理员可以根据实际的使用环境，设置该被管理路由器的安全控制策略，该安全控制策略包括：若获取到的所述被管理路由器的当前上线位置不在所述安全半径范围内时，向管理员发送告警信息，以及时通知管理员及时作出相应的安全控制策略，如通知设备维护人员现场处理，或者是管理员手动下发挂失或注销指令，以使得所述被管理路由器及时执行挂失或注销动作；所述告警信息包括：被管理路由器当前上线位置、上一次上线位置、当前上线时间、上一次下线时间、当前上线时长等内容。在本发明实施例中，向管理员发送该告警信息可以采用向管理员的手机发送告警短信，也可以采用向管理员的电子邮箱发送告警邮件，也可以是其他能够将告警信息及时通知给管理员的方式，此处不做具体限定。

优选的，向管理员发送告警信息后，网管平台自动下发挂失或注销指令，以使得所述被管理路由器及时执行挂失或注销动作。

在本发明实施例中，挂失动作包括：清除路由器存储器中保存的用户配置信息，防止用户的IP地址规划、内部网络用户认证信息、认证加密配置等被非法获取；清除路由器正常运行必需的版本文件，以使该路由器无法再次正常使用。

注销动作包括：清除路由器中的拨号配置，并在网管平台上将该路由器设置为离线注销状态，使得该路由器在网管平台中强制下线，并清除该路由器中的拨号配置，使之无法再接入用户的内部网络。执行注销动作后，需要重新启用该路由器时，可以在网管平台上将该路由器的离线注销状态删除以使该路由器能够在重新进行拨号配置后正常使用。

因此在设置安全控制策略时，可以对路由器的异常使用情况进行区别设置，如认为该被管理路由器异常使用情况是能够解决的，如设备丢失等但可以找回，则可设置下发注销指令，以使设备能够被再次正常使用；如设备丢失等且不能找回，则可设置下发挂失指令，彻底防止设备被再次正常使用。

进一步地，也可以在向管理员发送告警信息后，由管理员手动下发挂失或注销指令，以使得所述被管理路由器及时执行挂失或注销动作。

在本步骤中，所述设置被管理路由器的预设使用条件及对应的安全控制策略还可以包括：

设置所述被管理路由器的安全使用时间段，若获取到的所述被管理路由器的当前上线时间不在所述安全使用时间段内时，向管理员发送告警信息，所述告警信息包括：被管理路由器当前上线位置、上一次上线位置、当前上线时间、上一次下线时间、当前上线时长等内容。在本发明实施例中，向管理员发送该告警信息可以采用向管理员的手机发送告警短信，也可以采用向管理员的电子邮箱发送告警邮件，也可以是其他能够将告警信息及时通知给管理员的方式，此处不做具体限定。

优选的，向管理员发送告警信息后，网管平台自动下发挂失或注销指令，以使得所述被管理路由器及时执行挂失或注销动作。

进一步地，也可以在向管理员发送告警信息后，由管理员手动下发挂失或注销指令，以使得所述被管理路由器及时执行挂失或注销动作。

在本步骤中，所述设置被管理路由器的预设使用条件及对应的安全控制策略还可以包括：

设置所述被管理路由器预设时间内的安全使用流量限值，若获取到的所述被管理路由器在预设时间内的流量值超过安全使用流量限值时，向管理员发送告警信息。所述告警信息包括：被管理路由器当前上线位置、上一次上线位置、当前上线时间、上一次下线时间、当前上线时长等内容。在本发明实施例中，向管理员发送该告警信息可以采用向管理员的手机发送告警短信，也可以采用向管理员的电子邮箱发送告警邮件，也可以是其他能够将告警信息及时通知给管理员的方式，此处不做具体限定。

优选的，向管理员发送告警信息后，网管平台自动下发挂失或注销指令，以使得所述被管理路由器及时执行挂失或注销动作。

进一步地，也可以在向管理员发送告警信息后，由管理员手动下发挂失或注销指令，以使得所述被管理路由器及时执行挂失或注销动作。

步骤102、获取所述被管理路由器的当前使用信息，并判断所述当前使用信息不满足所述预设使用条件时，执行相应的安全控制策略。

在本步骤中，当路由器在网管平台上上线完成后，会主动上报自身当前位置信息。网管平台可以从该路由器上报的GPS定位信息中获取到该路由器的当前上线位置，同时，可以在路由器在网络平台上线并正常使用时，获取到该路由器在网管平台的上线时间，上一次下线时间以及当前上线时长等当前使用信息，从而可以根据以上当前使用信息判断该路由器是否满足预设使用条件，当判断所述当前使用信息不满足所述预设使用条件时，执行设置的相应的安全控制策略。

现以路由器应用于银行自助ATM机为例进行说明，工程维护人员将路由器部署到某银行的某一ATM网点，对路由器上电后，可以通过手动配置上网参数，将路由器通过有线或无线网络接入银行内部网络，此时，该路由器可以同银行部署的网管平台进行数据通信，将该路由器注册到网管平台后，网管平台可以对该路由器进行状态查询、配置下发、告警监听等操作。例如：路由器和网管平台之间可以通过IP网络或是短信的方式进行通信，路由器采用TCP连接向网管平台进行注册，TCP端口号为私有端口，注册后完成，网管平台通过SNMP协议对该路由器进行状态查询、配置下发、告警监听等操作。

在路由器上电后，路由器中的SIM卡会在运营商的基站进行注册，该注册过程是在路由器在网管平台上线前完成的，即路由器上电后，SIM卡就会注册到运营商的基站。路由器在网管平台上首次上线完成后，上报自己的GPS定位信息给网管平台以使得网管平台获取到该路由器的当前上线位置，网管平台可以以该当前上线位置为中心，并根据实际的应用场景设置该路由器的安全半径大小，并设置当该路由器的当前上线位置不在这个安全半径范围内时，向管理员发送告警信息并自动下发挂失指令，以使得该路由器及时执行挂失动作。

如果此时该路由器出现被异常移动等情况时，网管平台能够获取到该路由器的当前上线位置，判断该当前上线位置是否在设置的安全半径范围内，若获取到该路由器的当前上线位置不在安全半径范围内，则认为该路由器处于异常使用位置，向管理员发送告警信息并向该路由器下发挂失指令，该路由器接收到网管平台的挂失指令后，执行挂失动作，清除该路由器存储器中保存的用户配置信息，并同时清除路由器正常运行必需的版本文件，彻底防止该路由器被再次正常使用。

更优的，也可以采用网管平台短信下发配置的方式实现对路由器的配置管理，路由器上电后，无需手动配置路由器上网参数，网管平台通过短信方式下发配置参数，进行零配置开通业务。在此种实现方式中，只要SIM卡不欠费，可以接收短信即可实现配置下发，无需运维人员对路由器进行手动操作。如：该路由器首次上线使用时处于某某街道某某位置。管理员设置此路由器的安全半径为50米，并设置当该路由器在50米以外的位置上线时向管理员的手机发送告警短信，同时自动下发挂失指令。该路由器运行一段时间后在原ATM网点1公里外上线。此时，网管平台向管理员发送告警短信，并向该路由器下发挂失指令，路由器收到网管平台下发的挂失指令后，将路由器的软件版本及配置文件一起删除，以使得该路由器无法正常使用并查看内部信息。

进一步地，本发明实施例也可以通过设置路由器的安全使用时间段以实现对路由器的安全使用监控。如设置该路由器只允许在某些时间段内上线，超出设置的时间段的上线行为，则认为是异常上线行为，网管平台向管理员发送告警信息，并设置网管平台自动向路由器下发挂失或注销指令或是通知管理员手动下发挂失或注销指令，路由器接收到挂失或注销指令后执行挂失或注销动作。如：ATM网点在凌晨0点到6点间不开放营业，此时间段内路由器不会上电，也不会在网管平台上线。管理员将该路由器的正常工作时间设置为每天6点至23:59，并设置不在该段时间上线时，仅向管理员发送告警短信以通知管理员异常上线行为，若某日凌晨3点，该路由器在网管平台上线，此时，网管平台立即向管理员发送告警短信，当管理员收到告警短信后，通知运维人员现场确认，以便及时进行安全控制。

进一步的，本发明实施例还可以通过设定该路由器在预设时间内的正常使用流量限值以实现对路由器的安全使用监控。如可以根据ATM网点的业务情况，预估出该路由器中SIM卡每月正常使用流量值，将其设置为该路由器的月正常使用流量限值，当该路由器某月的流量超出了该正常使用流量限值时，则认为该ATM网点的路由器出现了异常使用情况，网管平台向管理员发送告警信息，并根据设置自动向路由器下发挂失或注销指令，或者仅向管理员发送告警信息以通知管理员手动下发挂失或注销指令，路由器接收到挂失或注销指令后执行挂失或注销动作。如：设置每月流量限值为2GBytes，并设置超出该限值时，网管平台向管理员发送告警短信并设置自动向路由器下发注销指令，则当某月统计到的流量值超过2GBytes时，网管平台向管理员发送告警短信，下发注销指令并将该路由器设置为离线注销状态，路由器收到该注销指令后，清除拨号配置。

本发明提供的一种路由器安全控制方法，能够及时发现路由器的异常使用情况，并执行相应的安全控制策略。同时，可以设置安全控制策略自动执行，无需进行人为干预；通过网管平台自动下发挂失或注销指令，极大的缩短了执行安全控制策略时间。本发明实施例中的安全控制策略，极大的降低了路由器被异常使用时，客户私有信息的泄密风险。

本发明实施例二提供了一种网管平台，如图2所示，所述网管平台20包括：设置模块201、监控模块202和告警模块203，

所述设置模块201，用于设置被管理路由器的预设使用条件及对应的安全控制策略；

所述监控模块202，用于获取所述被管理路由器的当前使用信息，并判断所述当前使用信息不满足所述预设使用条件时，触发所述告警模块203发送告警信息。

在监控模块202中，需要对路由器的当前上线位置信息、上下线时间以及流量使用情况进行监控。路由器使用SIM卡接入3G/4G网络时，将会上报GPS信息或基站信息，当路由器使用有线方式接入时，会根据接入点的IP等信息上报接入位置，网络管理平台通过上述信息得到该路由器的位置信息后记录并反应在地图中。通过路由器上下线时向网管平台发出的注册消息及运行时的保活消息，可知道当前路由器是在线还是离线状态，从而得到上下线时间；对3G/4G路由器的业务接口流量进行监控，实时、定期上报接口的流量使用情况。

所述告警模块203，用于在所述监控模块202判断所述当前使用信息不满足所述预设使用条件时，向管理员发送告警信息；

所述设置模块201具体用于：以被管理路由器首次在网管平台上注册时上报的位置为中心，设置被管理路由器正常使用的安全半径，并设置若获取到的所述被管理路由器的当前上线位置不在所述安全半径范围内时，向管理员发送告警信息；

进一步的，设置模块201，具体还用于设置所述被管理路由器的安全使用时间段，并设置若获取到的所述被管理路由器的当前上线时间不在所述安全使用时间段内时，向管理员发送告警信息；

进一步的，设置模块201，具体还用于设置所述被管理路由器预设时间内的安全使用流量限值，并设置若获取到的所述被管理路由器在预设时间内的流量值超过安全使用流量限值时，向管理员发送告警信息。

所述向管理员发送告警信息包括：通过发送短信或邮件的方式向管理员发送告警信息。

所述告警信息包括：被管理路由器当前上线位置、上一次上线位置、当前上线时间、上一次下线时间、当前上线时长。

进一步地，如图3所示，网管平台20还包括处理模块204，用于下发挂失或注销指令，以使得所述被管理路由器及时执行挂失或注销动作。可以设置处理模块204在告警模块202向管理员发送告警信息后自动下发挂失或注销指令，也可以设置处理模块204在管理员手动操作后下发挂失或注销指令，具体实现形式可以由管理员根据实际的应用场景进行设置，此处不做具体限定。

本发明提供的网管平台，能够及时发现路由器的异常使用情况，并执行相应的安全控制策略。同时，可以设置安全控制策略自动执行，无需进行人为干预；通过网管平台自动下发挂失或注销指令，极大的缩短了执行安全控制策略时间。本发明实施例中的安全控制策略，极大的降低了路由器被异常使用时，客户私有信息的泄密风险。

本发明实施例三提供了一种路由器安全控制系统，该系统包括本发明实施例二所述的网管平台和至少一台被管理路由器。以银行自助ATM机为例进行说明，工程维护人员将路由器部署到某银行的某一ATM网点，该路由器上电后，通过手动配置上网参数，将路由器通过有线或无线网络接入银行内部网络，此时，该路由器可以同银行部署的网管平台进行数据通信，将该路由器注册到网管平台后，网管平台可以对该路由器进行状态查询、配置下发、告警监听等操作。例如：路由器和网管平台之间可以通过IP网络或是短信的方式进行通信，路由器采用TCP连接向网管平台进行注册，TCP端口号为私有端口，注册后完成，网管平台通过SNMP协议对该路由器进行状态查询、配置下发、告警监听等操作。

更优的，也可以采用网管平台短信下发配置的方式实现对路由器的配置管理，路由器上电后，无需手动配置路由器上网参数，网管平台通过短信方式下发配置参数，进行零配置开通业务。在此种实现方式中，只要SIM卡不欠费，可以接收短信即可实现配置下发，无需运维人员对路由器进行手动操作。

本发明提供的一种路由器安全控制系统，能够及时发现路由器的异常使用情况，并执行相应的安全控制策略。同时，可以设置安全控制策略自动执行，无需进行人为干预；通过网管平台自动下发挂失或注销指令，极大的缩短了执行安全控制策略时间。本发明实施例中的安全控制策略，极大的降低了路由器被异常使用时，客户私有信息的泄密风险。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。