一种通过物理开关控制网络安全模组工作模式的方法与流程

本发明涉及物联网设备通信安全的技术领域，特别涉及一种通过物理开关控制网络安全模组工作模式的方法。

背景技术：

随着信息技术的发展，越来越多具备智能传感功能的物联网设备接入网络，也成为了网络攻击的目标。当这些设备被黑客、病毒等入侵之后，成为了大量受控的网络攻击工具，给网络安全埋下了巨大的安全隐患。

在物联网终端设备的通信端串联一安全模组，安全模组内置有基于tcp/ip协议的包括源/目标的ip地址、端口号、服务类型、mac地址等在内的通信白名单。安全模组通过对物联网设备与网络层之间通信的数据包包头信息进行解析并与通信白名单进行匹配过滤，能有效提高物联网设备网络通信的安全性。

网络安全模组应具有多种工作模式，比如“规则设置”、“通路-数据包过滤”、“通路-自学习规则设置”等，以适应不同的应用需求和应用场景。可以通过远程通信的方式对网络安全模组的工作模式进行控制，这样做的好处是便于安装、调试和运维。但这种方式不可避免地会导入不安全因素，因为一旦未经授权者也掌握了这种远程控制的机制，就可以远程接入网络，对整个物联网系统中的所有终端设备的网络通信规则进行控制，物联网系统网络的通信控制权就失去了安全保障，整个系统就会面临着全面的安全威胁。因此，需要提出一种通过物理开关控制网络安全模组工作模式的方法，既提供安装、调试和运维的便利性，又保证物联网系统网络通信的安全性。

技术实现要素：

本发明的目的在于为与物联网终端设备所串联的安全模组提供一种通过物理开关进行工作模式控制的方法，既提供安装、调试和运维的便利性，又保证物联网系统网络通信的安全性。

为实现上述目的，本发明提出了一种通过物理开关控制网络安全模组工作模式的方法，该方法用于对串联在物联网设备通信端的网络安全模组的工作模式进行控制，所述的物联网设备必须通过所述的网络安全模组与网络层通信，所述的网络安全模组内设置有工作模式控制模块、数据包收发与处理模块、自学习设置规则模块和通信白名单数据库模块，所述的网络安全模组上还设置有与工作模式控制模块通信连接的物理开关，所述的工作模式控制模块包括两种以上的工作模式，所述的物理开关上设置有与工作模式相对应的开关信号，所述的网络安全模组还与物联网运维服务器通信连接，该方法具体包括以下步骤：

1)、在工作模式控制模块中预设所需的所有工作模式；

2)、通过物理开关控制工作模式控制模块切换至当前网络安全模组所需的工作模式；

3)、网络安全模组根据当前的工作模式进行工作。

作为优选，所述的数据包收发与处理模块与物联网设备和网络层通信，所述的自学习设置规则模块与数据包收发与处理模块和通信白名单数据库模块通信连接，所述的数据包收发与处理模块负责对网络安全模组与网络层通信的数据包进行接收、处理和发送；所述的自学习设置规则模块用于通过自学习的方式生成数据包通信白名单；所述的通信白名单数据库模块用于存储数据包通信白名单。

作为优选，所述的1)步骤中，预设的工作模式包括：

一、阻断模式：在该工作模式下，网络安全模组阻断通过其的所有网络通信数据包，禁止一切通信；

二、本地规则设置模式：在该工作模式下，工作人员能够通过网络安全模组上设置的接口对通信白名单数据库模块中的数据包通信白名单进行本地设置，对数据包收发与处理模块中对非法数据包的处理规则进行本地设置，对自学习设置规则模块中的自学习时间进行本地设置；

三、通路—数据包过滤模式：在该工作模式下，网络安全模组内的数据包收发与处理模块对通过的数据包进行解析，并根据通信白名单数据库模块中的数据包通信白名单，对符合数据包通信白名单的数据包放行，不符合数据包通信白名单的非法数据包按照数据包收发与处理模块中对非法数据包的处理规则进行处理；

四、通路—自学习规则设置模式：在该工作模式下，在自学习设置规则模块中所设置的自学习时间段内，所有通过网络安全模组的数据包均放行，同时自学习设置规则模块对所有通过的数据包的信息记入通信白名单数据库模块中，自学习时间段结束时，网络安全模组自动立即转入模式三；

五、通路—不过滤模式：用于安装调式阶段，在该工作模式下，网络安全模组对经过网络安全模组的所有数据包全部放行且不过滤；

六、远程控制模式：在该工作模式下，网络安全模组允许物联网运维服务器通过网络安全模组上设置的网络通信接口对其进行远程控制，包括远程规则设置和工作模式控制，所述的远程规则设置包括对通信白名单数据库模块中的数据包通信白名单进行远程设置，对数据包收发与处理模块中对非法数据包的处理规则进行远程地设置，对自学习设置规则模块中的自学习时间进行远程设置，所述的工作模式控制包括模式一、模式三和模式四的控制切换。

作为优选，所述的模式二和模式三中非法数据包的处理规则包括丢弃、统计、记录和上报处理中的一种或多种组合。

作为优选，所述的模式四中数据包的信息包括源/目标ip地址、端口号、服务类型、mac地址。

作为优选，当在模式六工作模式下，通过物理开关控制和切换至模式一、模式二、模式三、模式四和模式五中的任意一种模式时，则打断模式六，优先运行物理开关所控制和切换的其余模式。

作为优选，所述的物理开关采用拔位开关、按钮开关、按键开关中的一种或多种组合，当物理开关采用拔位开关时，档位分别与工作模式一一对应；当物理开关采用按钮开关或按键开关时，则通过开关的动作与时长组合，产生与工作模式一一对应的物理信号。

作为优选，所述的网络安全模组还设置有状态指示灯，用以指示工作模式控制模块所处的工作模式。

本发明的有益效果：与现有技术相比，本发明提供的一种通过物理开关控制网络安全模组工作模式的方法，通过在网络安全模组上设置物理开关，通过物理开关对网络安全模组的工作模式进行控制，满足不同场景下的应用需求，并且网络安全模组的工作模式和网络通信数据包过滤规则独立于物联网系统，极大地提高了物联网系统的安全性，本发明所提供的方法可有效防御未经授权者对物联网的远程攻击和非法控制。

本发明的特征及优点将通过实施例结合附图进行详细说明。

【附图说明】

图1是本发明实施例的网络安全模组的模块框图。

【具体实施方式】

为使本发明的目的、技术方案和优点更加清楚明了，下面通过附图及实施例，对本发明进行进一步详细说明。但是应该理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

参阅图1，本发明实施例提供一种通过物理开关控制网络安全模组工作模式的方法，该方法用于对串联在物联网设备通信端的网络安全模组的工作模式进行控制，所述的物联网设备必须通过所述的网络安全模组与网络层通信，所述的网络安全模组内设置有工作模式控制模块、数据包收发与处理模块、自学习设置规则模块和通信白名单数据库模块，所述的工作模式控制模块与数据包收发与处理模块、自学习设置规则模块和通信白名单数据库模块均通信连接，所述的数据包收发与处理模块与物联网设备和网络层通信，所述的自学习设置规则模块与数据包收发与处理模块和通信白名单数据库模块通信连接，所述的数据包收发与处理模块负责对网络安全模组与网络层通信的数据包进行接收、处理和发送；所述的自学习设置规则模块用于通过自学习的方式生成数据包通信白名单；所述的通信白名单数据库模块用于存储数据包通信白名单，所述的网络安全模组上还设置有与工作模式控制模块通信连接的物理开关，所述的工作模式控制模块包括两种以上的工作模式，所述的物理开关上设置有与工作模式相对应的开关信号，所述的网络安全模组还与物联网运维服务器通信连接，该方法具体包括以下步骤：

1)、在工作模式控制模块中预设所需的所有工作模式，预设的工作模式包括：

一、阻断模式：在该工作模式下，网络安全模组阻断通过其的所有网络通信数据包，禁止一切通信；

二、本地规则设置模式：在该工作模式下，工作人员能够通过网络安全模组上设置的接口对通信白名单数据库模块中的数据包通信白名单进行本地设置，对数据包收发与处理模块中对非法数据包的处理规则进行本地设置，对自学习设置规则模块中的自学习时间进行本地设置；

三、通路—数据包过滤模式：在该工作模式下，网络安全模组内的数据包收发与处理模块对通过的数据包进行解析，并根据通信白名单数据库模块中的数据包通信白名单，对符合数据包通信白名单的数据包放行，不符合数据包通信白名单的非法数据包按照数据包收发与处理模块中对非法数据包的处理规则进行处理；

四、通路—自学习规则设置模式：在该工作模式下，在自学习设置规则模块中所设置的自学习时间段内，所有通过网络安全模组的数据包均放行，同时自学习设置规则模块对所有通过的数据包的信息记入通信白名单数据库模块中，自学习时间段结束时，网络安全模组自动立即转入模式三；

五、通路—不过滤模式：用于安装调式阶段，在该工作模式下，网络安全模组对经过网络安全模组的所有数据包全部放行且不过滤；

六、远程控制模式：在该工作模式下，网络安全模组允许物联网运维服务器通过网络安全模组上设置的网络通信接口对其进行远程控制，包括远程规则设置和工作模式控制，所述的远程规则设置包括对通信白名单数据库模块中的数据包通信白名单进行远程设置，对数据包收发与处理模块中对非法数据包的处理规则进行远程地设置，对自学习设置规则模块中的自学习时间进行远程设置，所述的工作模式控制包括模式一、模式三和模式四的控制切换。

其中，模式二和模式三中非法数据包的处理规则包括丢弃、统计、记录和上报处理中的一种或多种组合；模式四中数据包的信息包括源/目标ip地址、端口号、服务类型、mac地址。

2)、通过物理开关控制工作模式控制模块切换至当前网络安全模组所需的工作模式；

3)、网络安全模组根据当前的工作模式进行工作。

在本发明实施例中，当在模式六工作模式下，通过物理开关控制和切换至模式一、模式二、模式三、模式四和模式五中的任意一种模式时，则打断模式六，优先运行物理开关所控制和切换的其余模式。

进一步地，物理开关采用拔位开关、按钮开关、按键开关中的一种或多种组合，当物理开关采用拔位开关时，档位分别与工作模式一一对应；当物理开关采用按钮开关或按键开关时，则通过开关的动作与时长组合，产生与工作模式一一对应的物理信号。

更进一步地，所述的网络安全模组还设置有状态指示灯，用以指示工作模式控制模块所处的工作模式。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等，均应包含在本发明的保护范围之内。