基于端云协同的网关设备激活方法、装置、设备及介质与流程

本发明涉及网络通信技术领域，尤其涉及一种基于端云协同的网关设备激活方法、装置、设备及介质。

背景技术：

随着互联网技术的发展，端云协同的网络通信方式应运而生。端云协同常被应用在网络防护，是一种针对企业内部网络安全的新型防御方式，主要通过部署在网络入口处的安全网关，采集脱敏数据上传至云平台进行安全分析，然后智能更新网关的防护策略，以达到更强大、更实时的防御效果。

而端云协同中的云平台常采用分布式的部署架构，即设置一个中心云节点，用于直接面向客户提供管理和态势展示等功能；底层设置多个边缘云节点，用于直接对接安全网关，执行数据采集和管理功能，每个边缘云节点只负责附近地区的网关，减轻了单个边缘节点的压力，同时加快了网络响应的速度。

但是，端云协同方式在实际应用时，如何解决安全网关的自动激活是目前亟需解决的问题。

技术实现要素：

为了克服现有技术的不足，本发明的目的之一在于提供一种基于端云协同的网关设备激活方法，旨在实现网关设备的自动激活。

本发明的目的之一采用以下技术方案实现：

一种基于端云协同的网关设备激活方法，包括以下步骤：

接入互联网，自动检测自身注册状态；

若所述注册状态为未注册，则向预设地址发起包含设备信息的注册请求，进行设备校验；

接收所述预设地址返回的边缘云节点的地址和认证口令；

向所述边缘云节点的地址发起激活请求，并进行所述认证口令的校验；

接收并部署所述边缘云节点下发的安全策略。

进一步地，所述设备信息包括：设备ip、设备id、设备型号。

进一步地，向预设地址发起包含设备信息的注册请求，进行设备校验，具体包括以下步骤：

向所述预设地址发起所述包含设备信息的注册请求，由所述预设地址根据所述设备信息判断是否为合法设备；

若为合法设备，则接收所述预设地址返回的边缘云节点的地址和认证口令，所述边缘云节点为所述预设地址检索并确定的符合管理要求的边缘云节点，所述认证口令由所述预设地址生成；同时所述预设地址发送所述设备信息与所述认证口令至所述边缘云节点，由所述边缘云节点将所述设备信息与所述认证口令关联存储；

若为非法设备，则接收所述预设地址返回的错误信息，等待预设时间，再次向所述预设地址发起所述包含设备信息的注册请求。

进一步地，所述预设地址为出厂预设的注册中心地址，所述预设地址判断所述设备信息是否为合法设备，包括：校验所述设备id与售出登记的id是否一致，校验所述设备id与所述设备型号是否一致，校验所述设备ip的所在地区与售出登记地区是否一致；若校验结果均一致，则为合法设备；反之，则为非法设备，若所述设备信息连续校验三次均为非法设备，则根据所述设备信息封禁设备ip。

进一步地，向所述边缘云节点的地址发起激活请求，并进行所述认证口令的校验，具体包括如下步骤：

所述边缘云节点接收所述激活请求，所述激活请求包含所述设备信息和所述认证口令；

所述边缘云节点根据所述激活请求中包含的所述设备信息检索与所述设备信息关联存储的认证口令，若所述边缘云节点检索到的认证口令与所述激活请求中包含的所述认证口令一致，则建立网络传输通道，所述边缘云节点通过所述网络传输通道下发安全策略，并采集设备运行状态和防护事件。

进一步地，接收并部署所述边缘云节点下发的安全策略，还包括：发送所述安全策略部署完成的信息至所述边缘云节点，由所述边缘云节点发送激活成功信息至所述预设地址，并经所述预设地址将所述激活成功消息转发至相应客户。

本发明的目的之二在于提供一种基于端云协同的网关设备激活装置，其旨通过与边缘云节点和注册中心的连接和交互，完成网关设备的自动激活和安全策略的部署。

本发明的目的之二采用以下技术方案实现：

联网检测模块，用于接入互联网，自动检测自身注册状态；

注册请求模块，用于向预设地址发起包含设备信息的注册请求，进行设备校验；

激活信息接收模块，接收所述预设地址返回的边缘云节点的地址和认证口令；

激活请求模块，向所述边缘云节点的地址发起激活请求，并进行所述认证口令的校验；

策略部署模块，用于接收并部署所述边缘云节点下发的安全策略。

本发明的目的之三在于提供执行发明目的之一的电子设备，其包括处理器、存储介质以及计算机程序，所述计算机程序存储于存储介质中，所述计算机程序被处理器执行时实现上述的基于端云协同的网关设备激活方法。

本发明的目的之四在于提供存储发明目的之一的计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的基于端云协同的网关设备激活方法。

相比现有技术，本发明的有益效果在于：

本发明通过网关设备与边缘云节点和注册中心的连接和交互，完成网关设备的自动激活和安全策略的部署，从而实现网关设备防火墙的自动配置。

附图说明

图1是本发明基于端云协同的网关设备激活方法的部署图；

图2是本发明基于端云协同的网关设备激活方法的流程图；

图3是实施例2的基于端云协同的网关设备激活装置的结构框图；

图4是实施例3的电子设备的结构框图。

具体实施方式

以下将结合附图，对本发明进行更为详细的描述，需要说明的是，以下参照附图对本发明进行的描述仅是示意性的，而非限制性的。各个不同实施例之间可以进行相互组合，以构成未在以下描述中示出的其他实施例。

实施例1

本实施例提供了一种基于端云协同的网关设备激活方法，如图1所示，通过在网关设备内置激活脚本，实现网关设备激活流程的自动触发，并通过预设的注册中心地址为网关设备确定边缘云节点，然后通过网关设备与边缘云节点的连接，实现安全策略的更新和运行状态的交互，最终完成网关设备的自动激活和防火墙配置。

根据上述原理，对基于端云协同的网关设备激活方法进行介绍，如图2所示，基于端云协同的网关设备激活方法，具体包括以下步骤：

网关设备接入互联网，自动检测自身注册状态；

若所述注册状态为未注册，则触发激活流程，即向预设地址发起包含设备信息的注册请求，进行设备校验；

所述预设地址根据所述设备信息判断该网关设备是否为合法设备，若为合法设备，则所述预设地址为该网关设备选择符合管理要求的边缘云节点，并生成认证口令；若为非法设备，则网关设备等待预设时间，再次向预设地址发起包含设备信息的注册请求，进行设备校验；

网关设备接收所述预设地址返回的所述边缘云节点的地址和所述认证口令；

网关设备根据所述边缘云节点的地址，向所述边缘云节点发起激活请求，并进行所述认证口令的校验；

若所述认证口令校验通过，所述网关设备和所述边缘节点建立网络传输通道；

所述网关设备通过所述网络传输通道接收并部署所述边缘云节点下发的安全策略。

上述网关设备等待的预设时间可根据实际情况设置，可根据实际情况设置。而在本实施例中，预设时间为20s，即网关设备等待20s，再次向预设地址发起包含设备信息的注册请求，进行设备校验。

因本实施例的基于端云协同的网关设备激活方法用于实现网关设备的自动激活，所以本实施例提供的方法只对注册状态为未注册的网关设备进行自动激活处理。

上述网关设备具体为安全网关，用于防止个人或企业的内部网络收到攻击，常见的安全网关包括集中存储安全控制网关、安全管理终端。

上述边缘云节点为分布式部署架构的云平台的其中一个边缘云节点，该分布式部署的架构云平台，包括一个中心云节点和若干个边缘云节点(图1中只绘出3个)，每个边缘云节点只负责连接和管理邻近地区的网关设备，所述网关设备通过上述基于端云协同的网关设备激活方法实现与边缘云节点连接，从而实现网关设备的防火墙配置，即上述安全策略的部署。所述云平台具体由云服务器或本地服务器提供服务。

在本实施例中，上述注册请求和激活请求均采用restful请求格式，restful请求格式减少了传统请求的拆装箱操作，使得请求内容的结构更清晰。

优选地，所述设备信息包括：设备ip、设备id、设备型号，其中所述设备id在本实施例中为设备esn码。

优选地，网关设备向预设地址发起包含设备信息的注册请求，进行设备校验，具体包括以下步骤：

预设地址接收所述包含设备信息的注册请求，根据所述设备信息判断是否为合法设备；

若为合法设备，则预设地址检索并确定符合管理要求的边缘云节点，并生成认证口令；预设地址将所述符合管理要求的边缘云节点的地址和所述认证口令返回至网关设备，同时预设地址发送所述设备信息与所述认证口令至符合管理要求的边缘云节点，由该边缘云节点将所述设备信息与所述认证口令关联存储；

若为非法设备，则返回错误信息至网关设备，网关设备等待20s，由网关设备再次向预设地址发起注册请求，以再次进行设备校验。

上述符合管理要求的边缘云节点具体为：与网关设备所在地区距离近且当前承载设备数量少的边缘云节点，与所述网关设备所在地区较近，通过网关设备的设备ip确定网关设备所在地区，然后计算网关设备所在地区与各个边缘云节点的距离，同时满足距离近和承载设备数量少的边缘云节点即符合管理要求。需要注意的是，网关设备所在地区应属于上述符合管理要求的边缘云节点管理的邻近地区。

其中，同时满足距离近和承载设备数量少的边缘云节点即符合管理要求，具体判断方法如下：

1、若网关设备所在地区与各个边缘云节点的距离相同，则这些边缘云节点中承载设备最少的边缘云节点为符合管理要求的边缘云节点。

2、若网关设备所在地区与各个边缘云节点的距离不同，则选择距离最近的边缘云节点为符合管理要求的边缘云节点。

3、若网关设备所在地区与各个边缘云节点的距离相同，且各个边缘云节点承载设备的数量也相同，则随机选择其中一个边缘云节点为符合要求的边缘云节点。

优选地，上述预设地址为网关设备出厂时预设的注册中心地址，具有全局唯一性，预测地址根据所述设备信息校验网关设备是否为合法设备，包括：校验所述设备id与售出登记的id是否一致，校验所述设备id与所述设备型号是否一致，校验所述设备ip的所在地区与售出登记地区是否一致；若校验结果均一致，则为合法设备；反之，则为非法设备，此时网关设备等待20s，再次向预设地址发起包含设备信息的注册请求以进行校验，若所述设备信息连续校验三次均为非法设备，则根据所述设备信息封禁设备ip，以防止恶意攻击。其中，设备ip的封禁时间可根据实际情况设置。

优选地，网关设备根据所述边缘云节点的地址向所述边缘云节点发起激活请求，并进行所述认证口令的校验，具体包括如下步骤：

边缘云节点接收所述激活请求，所述激活请求包含所述设备信息和所述认证口令；

边缘云节点根据网关设备的设备信息检索与该设备信息关联存储的认证口令，若所述边缘云节点检索到的认证口令与所述激活请求中包含的认证口令一致，则建立实现加密通信的网络传输通道，边缘云节点通过所述网络传输通道下发安全策略，并采集设备运行状态和防护事件。

若所述边缘云节点检索到的认证口令与所述激活请求中包含的认证口令不一致，或网关设备的设备信息不准确，则所述边缘云节点会封禁该发起激活请求的网关设备的ip，以防止恶意攻击。

需要注意的是，上述网关设备的设备信息不准确包括边缘节点根据网关设备的设备信息未检索到关联存储的认证口令。

在本实施例中，所述安全策略为黑白名单等策略库，所述网络传输通道为ipsec通道，ipsec通道是指采用ipsec协议建立的通信通道，在此能实现为网关设备与边缘云节点提供安全通信通道，并提供私密数据封包服务(实现加密通信)，从而保证网关设备与边缘云节点之间的连接安全和数据传输安全。

优选地，网关设备接收并部署所述边缘云节点下发的安全策略，并发送安全策略部署完成的信息至所述边缘云节点，以告知所述边缘节点该网关设备已激活成功，具体还包括：所述边缘云节点接收安全策略部署完成的信息，然后发送激活成功信息至所述预设地址，所述预设地址将所述激活成功消息转发至相应客户，使得客户知晓该网关设备已上线。所述预设地址向客户发送的激活成功消息为短信或邮件，而客户通过终端的短信接收功能或邮箱客户端接收激活成功的消息，该终端包括手机、pc、平板电脑、智能手表以及其他具有信息接收功能的智能设备。

实施例2

本实施例公开了一种对应上述实施例的基于端云协同的网关设备激活方法的装置，为网关设备的虚拟结构装置，如图3所示，基于端云协同的网关设备激活装置，包括：

联网检测模块310，用于接入互联网，自动检测自身注册状态；

注册请求模块320，用于向预设地址发起包含设备信息的注册请求，进行设备校验；

激活信息接收模块330，接收所述预设地址返回的边缘云节点的地址和认证口令；

激活请求模块340，向所述边缘云节点的地址发起激活请求，并进行所述认证口令的校验；

策略部署模块350，用于接收并部署所述边缘云节点下发的安全策略。

在本实施例中，上述策略部署模块350完成安全策略的部署，并发送安全策略部署完成的信息至所述边缘云节点，以告知所述边缘节点该网关设备已激活成功，由边缘节点经预设地址向客户转发设备激活成功通知(设备上线通知)。

实施例3

图4为本发明实施例3提供的一种电子设备的结构示意图，如图4所示，该电子设备包括处理器410、存储器420、输入装置430和输出装置440；计算机设备中处理器410的数量可以是一个或多个，图4中以一个处理器410为例；电子设备中的处理器410、存储器420、输入装置430和输出装置440可以通过总线或其他方式连接，图4中以通过总线连接为例。

存储器420作为一种计算机可读存储介质，用于存储软件程序、计算机可执行程序以及模块，在本实施例中，存储器420用于存储本发明实施例1中的基于端云协同的网关设备激活方法对应的程序指令/模块，即存储器420在本实施例中存储上述基于端云协同的网关设备激活装置中的联网检测模块310、注册请求模块320、激活信息接收模块330、激活请求模块340和策略部署模块350。

在一个具体的实施例中，存储器420可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、实现至少一个功能所需的应用程序；存储数据区可存储客户端使用过程中所创建的数据等。此外，在另一个具体的实施例中，存储器420不仅可以包括高速随机存取存储器，还可以包括非易失性存储器，其中非易失性存储器可以是至少一个磁盘存储器件、闪存器件或其他非易失性固态存储器件。在其他具体的实施例中，存储器420可进一步包括相对于处理器410远程设置的存储器，这些远程存储器可以通过网络连接至电子设备。上述用于连接远程存储器和电子设备的网络包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

处理器410通过运行存储在存储器420中的软件程序、指令以及模块，即运行上述基于端云协同的网关设备激活装置中的联网检测模块310、注册请求模块320、激活信息接收模块330、激活请求模块340和策略部署模块350，从而通过执行电子设备的各种功能应用以及数据处理，以实现实施例1的基于端云协同的网关设备激活方法。

输入装置430可用于接收边缘云节点地址、认证口令以及安全策略。输出装置440可包括显示屏等设备。

实施例4

本实施例还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于实现基于端云协同的网关设备激活方法，该方法包括：

接入互联网，自动检测自身注册状态；

若所述注册状态为未注册，则向预设地址发起包含设备信息的注册请求，进行设备校验；

接收所述预设地址返回的边缘云节点的地址和认证口令；

向所述边缘云节点的地址发起激活请求，并进行所述认证口令的校验；

接收并部署所述边缘云节点下发的安全策略。

当然，本实施例所提供的一种包含计算机可执行指令的存储介质，其计算机可执行指令不限于如上所述的方法操作，还可以执行本发明实施例中所提供的基于端云协同的网关设备激活方法中的相关操作。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、闪存(flash)、硬盘或光盘等，包括若干指令用以使得一台电子设备(可以是手机，个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

值得注意的是，上述基于端云协同的网关设备激活方法或装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

对本领域的技术人员来说，可根据以上描述的技术方案以及构思，做出其它各种相应的改变以及形变，而所有的这些改变以及形变都应该属于本发明权利要求的保护范围之内。