物聯(lián)網(wǎng)數(shù)據(jù)的交換方法和交換裝置制造方法
【專利摘要】本發(fā)明公開一種物聯(lián)網(wǎng)數(shù)據(jù)的交換方法和交換裝置。該交換方法包括:接收感知層發(fā)送的數(shù)據(jù)包�����,并識別數(shù)據(jù)包采用的感知層協(xié)議�����;判斷感知層協(xié)議是否屬于預(yù)設(shè)協(xié)議類型��;如果感知層協(xié)議屬于預(yù)設(shè)協(xié)議類型�����,解析數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)����、感知層的源地址和網(wǎng)絡(luò)層的目的地址�;判斷源地址到目的地址的交換路徑是否為預(yù)設(shè)路徑����;如果交換路徑為預(yù)設(shè)路徑,掃描業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)�;如果業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn),將業(yè)務(wù)數(shù)據(jù)�����、源地址和目的地址采用IP協(xié)議封裝為IP數(shù)據(jù)包��,并將IP數(shù)據(jù)包按照目的地址發(fā)送至網(wǎng)絡(luò)層��。實(shí)施本發(fā)明能夠適應(yīng)感知層的協(xié)議多樣性�,并為感知層與網(wǎng)絡(luò)層之間的數(shù)據(jù)交換提供安全保障。
【專利說明】物聯(lián)網(wǎng)數(shù)據(jù)的交換方法和交換裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及物聯(lián)網(wǎng)領(lǐng)域���,尤其是涉及一種物聯(lián)網(wǎng)數(shù)據(jù)的交換方法,還涉及一種物 聯(lián)網(wǎng)數(shù)據(jù)的交換裝置��。
【背景技術(shù)】
[0002] 隨著無線傳感器技術(shù)及現(xiàn)代通信技術(shù)的發(fā)展����,物聯(lián)網(wǎng)已經(jīng)進(jìn)入高速的發(fā)展期���。物 聯(lián)網(wǎng)包含感知層、網(wǎng)絡(luò)層和應(yīng)用層三個(gè)方面�,其中,感知層由各種傳感器以及傳感器網(wǎng)關(guān)構(gòu) 成����,其主要功能是識別物體,采集信息�����;網(wǎng)絡(luò)層由各種私有網(wǎng)絡(luò)���、互聯(lián)網(wǎng)���、有線和無線通信 網(wǎng)、網(wǎng)絡(luò)管理系統(tǒng)和云計(jì)算平臺等組成����,負(fù)責(zé)傳遞和處理感知層的信息。
[0003] 由于感知層中傳感器采用的協(xié)議種類繁多,且缺乏統(tǒng)一的數(shù)據(jù)交互標(biāo)準(zhǔn)�,因此現(xiàn) 有技術(shù)在進(jìn)行感知層與網(wǎng)絡(luò)層互聯(lián)互通時(shí)主要考慮如何達(dá)到高效。然而���,在現(xiàn)有的物聯(lián)網(wǎng) 中��,感知層與網(wǎng)絡(luò)層之間的數(shù)據(jù)交換缺乏安全保障���,感知層可能通過在數(shù)據(jù)中嵌入惡意代 碼等方式對網(wǎng)絡(luò)層進(jìn)行攻擊,反過來����,網(wǎng)絡(luò)層也會對感知層進(jìn)行攻擊。因此��,保障數(shù)據(jù)的傳 輸安全也是物聯(lián)網(wǎng)發(fā)展過程中亟待解決的問題�。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明所要解決的技術(shù)問題是:針對上述存在的問題,提供一種物聯(lián)網(wǎng)數(shù)據(jù)的交 換方法和交換裝置�,能夠適應(yīng)感知層的協(xié)議多樣性,并為感知層與網(wǎng)絡(luò)層之間的數(shù)據(jù)交換 提供安全保障�����。
[0005] 為了解決上述技術(shù)問題��,本發(fā)明采用的一種技術(shù)方案是提供一種物聯(lián)網(wǎng)數(shù)據(jù)的交 換方法�,所述交換方法包括:接收感知層發(fā)送的數(shù)據(jù)包,并識別所述數(shù)據(jù)包采用的感知層 協(xié)議��;判斷所述感知層協(xié)議是否屬于預(yù)設(shè)協(xié)議類型�����;如果所述感知層協(xié)議屬于預(yù)設(shè)協(xié)議類 型����,解析所述數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)、所述感知層的源地址和網(wǎng)絡(luò)層的目的地址�;判斷所述源 地址到所述目的地址的交換路徑是否為預(yù)設(shè)路徑;如果所述交換路徑為預(yù)設(shè)路徑��,掃描所 述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)�;如果所述業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn),將所述業(yè)務(wù)數(shù)據(jù)�、所述 源地址和所述目的地址采用IP協(xié)議封裝為IP數(shù)據(jù)包,并將所述IP數(shù)據(jù)包按照所述目的地 址發(fā)送至所述網(wǎng)絡(luò)層�����。
[0006] 其中�,所述如果所述交換路徑為預(yù)設(shè)路徑,掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn) 的步驟包括:如果所述交換路徑為預(yù)設(shè)路徑,判斷所述業(yè)務(wù)數(shù)據(jù)是否為合法數(shù)據(jù)��;如果所 述業(yè)務(wù)數(shù)據(jù)為合法數(shù)據(jù)��,掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)����。
[0007] 其中,所述交換方法還包括:如果所述感知層協(xié)議不屬于預(yù)設(shè)協(xié)議類型�����、所述交換 路徑不為預(yù)設(shè)路徑��、所述業(yè)務(wù)數(shù)據(jù)不為合法數(shù)據(jù)或者所述業(yè)務(wù)數(shù)據(jù)存在安全風(fēng)險(xiǎn)��,將所述 數(shù)據(jù)包丟棄��。
[0008] 其中�,將所述數(shù)據(jù)包丟棄后,所述交換方法還包括:將所述數(shù)據(jù)包記錄在預(yù)先建立 的信息交換日志中���。
[0009] 為了解決上述技術(shù)問題����,本發(fā)明采用的另一種技術(shù)方案是提供一種物聯(lián)網(wǎng)數(shù)據(jù)的 交換方法,所述交換方法包括:接收網(wǎng)絡(luò)層發(fā)送的IP數(shù)據(jù)包�����,判斷所述IP數(shù)據(jù)包是否攜帶 封裝協(xié)議和感知層的目的地址����;如果攜帶所述封裝協(xié)議和所述目的地址�,解析所述IP數(shù)據(jù) 包得到業(yè)務(wù)數(shù)據(jù)、所述網(wǎng)絡(luò)層的源地址和所述目的地址�����;判斷所述源地址到所述目的地址 的交換路徑是否為預(yù)設(shè)路徑�;如果所述交換路徑為預(yù)設(shè)路徑,掃描所述業(yè)務(wù)數(shù)據(jù)是否存在 安全風(fēng)險(xiǎn)�;如果所述業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn),將所述業(yè)務(wù)數(shù)據(jù)�、所述源地址和所述目的地 址采用所述封裝協(xié)議重新封裝為數(shù)據(jù)包,并將所述重新封裝的數(shù)據(jù)包按照所述目的地址發(fā) 送至所述感知層�。
[0010] 其中,所述如果所述交換路徑為預(yù)設(shè)路徑�����,掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn) 的步驟包括:如果所述交換路徑為預(yù)設(shè)路徑,判斷所述業(yè)務(wù)數(shù)據(jù)是否為合法數(shù)據(jù)�����;如果所 述業(yè)務(wù)數(shù)據(jù)為合法數(shù)據(jù)�����,掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)��。
[0011] 其中����,所述交換方法還包括:如果所述交換路徑不為預(yù)設(shè)路徑、所述業(yè)務(wù)數(shù)據(jù)不為 合法數(shù)據(jù)或者所述業(yè)務(wù)數(shù)據(jù)存在安全風(fēng)險(xiǎn)�����,將所述數(shù)據(jù)包丟棄����。
[0012] 其中,將所述數(shù)據(jù)包丟棄后���,所述交換方法還包括:將所述數(shù)據(jù)包記錄在預(yù)先建立 的信息交換日志中�。
[0013] 為了解決上述技術(shù)問題,本發(fā)明采用的另一種技術(shù)方案是提供一種物聯(lián)網(wǎng)數(shù)據(jù)的 交換裝置�����,所述交換裝置設(shè)置于感知層和網(wǎng)絡(luò)層之間�,所述交換裝置包括識別模塊、協(xié)議判 斷模塊�����、解析模塊�����、路徑判斷模塊���、掃描模塊和封裝模塊,其中����,所述識別模塊用于接收感知 層發(fā)送的數(shù)據(jù)包,并識別所述數(shù)據(jù)包采用的感知層協(xié)議����;所述協(xié)議判斷模塊用于判斷所述 感知層協(xié)議是否屬于預(yù)設(shè)協(xié)議類型�����;所述解析模塊用于在所述協(xié)議判斷模塊判斷到所述感 知層協(xié)議屬于預(yù)設(shè)協(xié)議類型時(shí)���,解析所述數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)、所述感知層的源地址和網(wǎng) 絡(luò)層的目的地址���;所述路徑判斷模塊用于判斷所述源地址到所述目的地址的交換路徑是否 為預(yù)設(shè)路徑��;所述掃描模塊用于在所述路徑判斷模塊判斷到所述交換路徑為預(yù)設(shè)路徑時(shí)���, 掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn);所述封裝模塊用于在所述掃描模塊掃描到所述業(yè)務(wù) 數(shù)據(jù)不存在安全風(fēng)險(xiǎn)時(shí)��,將所述業(yè)務(wù)數(shù)據(jù)����、所述源地址和所述目的地址采用IP協(xié)議封裝為 IP數(shù)據(jù)包,并將所述IP數(shù)據(jù)包按照所述目的地址發(fā)送至所述網(wǎng)絡(luò)層���。
[0014] 為了解決上述技術(shù)問題���,本發(fā)明采用的另一種技術(shù)方案是提供一種物聯(lián)網(wǎng)數(shù)據(jù)的 交換裝置���,所述交換裝置設(shè)置于感知層和網(wǎng)絡(luò)層之間,所述交換裝置包括識別模塊���、解析模 塊��、路徑判斷模塊���、掃描模塊和封裝模塊,其中�����,所述識別模塊用于接收網(wǎng)絡(luò)層發(fā)送的IP數(shù) 據(jù)包���,判斷所述IP數(shù)據(jù)包是否攜帶封裝協(xié)議和感知層的目的地址;所述解析模塊用于在所 述識別模塊確定所述數(shù)據(jù)包攜帶所述封裝協(xié)議和所述目的地址時(shí)�,解析所述IP數(shù)據(jù)包得 到業(yè)務(wù)數(shù)據(jù)、所述網(wǎng)絡(luò)層的源地址和所述目的地址�;所述路徑判斷模塊用于判斷所述源地 址到所述目的地址的交換路徑是否為預(yù)設(shè)路徑;所述掃描模塊用于在所述路徑判斷模塊判 斷到所述交換路徑為預(yù)設(shè)路徑時(shí)���,掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)��;所述封裝模塊用 于在所述掃描模塊掃描到所述業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn)時(shí)�,將所述業(yè)務(wù)數(shù)據(jù)、所述源地址 和所述目的地址采用所述封裝協(xié)議重新封裝為數(shù)據(jù)包�,并將所述重新封裝的數(shù)據(jù)包按照所 述目的地址發(fā)送至所述感知層。
[0015] 綜上所述�,由于采用了上述技術(shù)方案,本發(fā)明的有益效果是:本發(fā)明的物聯(lián)網(wǎng)數(shù)據(jù) 的交換方法和交換裝置通過識別數(shù)據(jù)包的協(xié)議來適應(yīng)感知層的協(xié)議多樣性�����,通過判斷數(shù)據(jù) 包的交換路徑是否為預(yù)設(shè)路徑以及掃描數(shù)據(jù)包中業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)來為感知層 與網(wǎng)絡(luò)層之間的數(shù)據(jù)交換提供安全保障�����,從而能夠解決現(xiàn)有技術(shù)存在的問題��,可以有效避 免感知層和網(wǎng)絡(luò)層之間的雙向攻擊���,保證區(qū)域邊界安全���。
【專利附圖】
【附圖說明】
[0016] 本發(fā)明將通過例子并參照附圖的方式說明,其中:
[0017] 圖1是本發(fā)明物聯(lián)網(wǎng)數(shù)據(jù)的交換方法第一實(shí)施例的流程示意圖�。
[0018] 圖2是本發(fā)明物聯(lián)網(wǎng)數(shù)據(jù)的交換方法第二實(shí)施例的流程示意圖。
[0019] 圖3是本發(fā)明物聯(lián)網(wǎng)數(shù)據(jù)的交換裝置第一實(shí)施例的結(jié)構(gòu)示意圖。
[0020] 圖4是本發(fā)明物聯(lián)網(wǎng)數(shù)據(jù)的交換裝置第二實(shí)施例的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0021] 本說明書中公開的所有特征��,或公開的所有方法或過程中的步驟����,除了互相排斥 的特征和/或步驟以外,均可以以任何方式組合��。
[0022] 本說明書中公開的任一特征�,除非特別敘述,均可被其他等效或具有類似目的的 替代特征加以替換�����。即�,除非特別敘述,每個(gè)特征只是一系列等效或類似特征中的一個(gè)例子 而已����。
[0023] 請參見圖1�����,是本發(fā)明物聯(lián)網(wǎng)數(shù)據(jù)的交換方法第一實(shí)施例的流程示意圖。物聯(lián)網(wǎng)數(shù) 據(jù)的交換方法包括以下步驟:
[0024] S11 :接收感知層發(fā)送的數(shù)據(jù)包����,并識別數(shù)據(jù)包采用的感知層協(xié)議。
[0025] 其中�����,感知層由于包含種類繁多的傳感器�����,這些傳感器采用的協(xié)議又不盡相同���,所 以���,在接收到感知層發(fā)送的數(shù)據(jù)包時(shí),該數(shù)據(jù)包采用何種協(xié)議是未知的����。但是數(shù)據(jù)包采用 非IP協(xié)議封裝時(shí),通常都有一個(gè)報(bào)頭記錄數(shù)據(jù)包的基本信息�,例如RFID (Radio Frequency Identification,射頻識別)協(xié)議或者無線傳感器網(wǎng)絡(luò)協(xié)議都定義了一個(gè)報(bào)頭��,用于記錄數(shù) 據(jù)包所采用的協(xié)議等基本信息。
[0026] 在識別數(shù)據(jù)包采用的感知層協(xié)議時(shí)���,可以只抓取特定字段中的關(guān)鍵字���,通過該關(guān) 鍵字來識別感知層協(xié)議。
[0027] S12 :判斷感知層協(xié)議是否屬于預(yù)設(shè)協(xié)議類型�����。
[0028] 其中�����,預(yù)設(shè)協(xié)議類型是預(yù)先設(shè)定好的�����,其包含了多種協(xié)議�。預(yù)設(shè)協(xié)議類型包含的內(nèi) 容可以在任何時(shí)候進(jìn)行更改、增加或刪除�����。如果感知層協(xié)議是預(yù)設(shè)協(xié)議類型中的一種�����,那么 該感知層協(xié)議屬于預(yù)設(shè)協(xié)議類型����。
[0029] S13:如果感知層協(xié)議屬于預(yù)設(shè)協(xié)議類型,解析數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)�����、感知層的源 地址和網(wǎng)絡(luò)層的目的地址�����。
[0030] 其中��,業(yè)務(wù)數(shù)據(jù)一般存在于數(shù)據(jù)包的正文部分���,描述了具體的傳感數(shù)據(jù)��。而感知層 的源地址以及網(wǎng)絡(luò)層的目的地址一般存在于數(shù)據(jù)包的報(bào)頭中��。解析數(shù)據(jù)包時(shí)���,需要將業(yè)務(wù) 數(shù)據(jù)剝離出�,并從報(bào)頭中提取出源地址和目的地址���。
[0031] S14 :判斷源地址到目的地址的交換路徑是否為預(yù)設(shè)路徑�����。
[0032] 其中���,預(yù)設(shè)路徑可以通過權(quán)限表體現(xiàn),權(quán)限表可以記錄多個(gè)感知層的源地址以及 多個(gè)網(wǎng)絡(luò)層的目的地址���,一個(gè)源地址可以映射一個(gè)或多個(gè)目的地址,一個(gè)目的地址也可以 映射一個(gè)或多個(gè)源地址��。源地址可以是發(fā)出數(shù)據(jù)包的傳感器的名稱或標(biāo)識�����,目的地址可以 是IP(Internet Protocol���,網(wǎng)際協(xié)議)地址。如果數(shù)據(jù)包中的源地址到目的地址的交換路 徑在權(quán)限表中存在相應(yīng)的映射關(guān)系��,那么該交換地址即為預(yù)設(shè)路徑�。
[0033] S15 :如果交換路徑為預(yù)設(shè)路徑����,掃描業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)�。
[0034] 其中��,業(yè)務(wù)數(shù)據(jù)中如果存在惡意代碼��、攻擊代碼或者病毒����,都可以認(rèn)為存在安全風(fēng) 險(xiǎn)。
[0035] S16 :如果業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn)�,將業(yè)務(wù)數(shù)據(jù)、源地址和目的地址采用IP協(xié)議 封裝為IP數(shù)據(jù)包���,并將IP數(shù)據(jù)包按照目的地址發(fā)送至網(wǎng)絡(luò)層�。
[0036] 其中���,物聯(lián)網(wǎng)的網(wǎng)絡(luò)層是基于互聯(lián)網(wǎng)的����,所以在網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù)包都采用IP協(xié) 議��。因此業(yè)務(wù)數(shù)據(jù)、源地址和目的地址需要按照IP協(xié)議重新封裝����。
[0037] 可選地,在其它實(shí)施例中�,步驟S15包括:如果交換路徑為預(yù)設(shè)路徑,判斷業(yè)務(wù)數(shù) 據(jù)是否為合法數(shù)據(jù)���;如果業(yè)務(wù)數(shù)據(jù)為合法數(shù)據(jù)��,掃描業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)����。其中���,在 一些實(shí)際應(yīng)用中����,數(shù)據(jù)包中的業(yè)務(wù)數(shù)據(jù)數(shù)值大小比較固定���,例如溫度傳感器上傳的溫度數(shù) 據(jù)只有幾個(gè)字節(jié)大小����,如果某個(gè)時(shí)刻溫度數(shù)據(jù)達(dá)到幾十字節(jié)或者幾百字節(jié),說明該數(shù)據(jù)包 中的業(yè)務(wù)數(shù)據(jù)不是合法數(shù)據(jù)����。通過對業(yè)務(wù)數(shù)據(jù)進(jìn)行合法檢查,可以提高安全掃描的準(zhǔn)確性�, 減少業(yè)務(wù)數(shù)據(jù)安全掃描的時(shí)間���。
[0038] 進(jìn)一步地�����,該交換方法還包括:如果感知層協(xié)議不屬于預(yù)設(shè)協(xié)議類型�����、交換路徑不 為預(yù)設(shè)路徑��、業(yè)務(wù)數(shù)據(jù)不為合法數(shù)據(jù)或者業(yè)務(wù)數(shù)據(jù)存在安全風(fēng)險(xiǎn)����,將數(shù)據(jù)包丟棄�。可選地����, 在將數(shù)據(jù)包丟棄后���,還可以將數(shù)據(jù)包記錄在預(yù)先建立的信息交換日志中。
[0039] 可選地�����,步驟S14在判斷到交換路徑為預(yù)設(shè)路徑后���,還可以進(jìn)一步判斷該交換路 徑是否允許采用步驟S11中識別出的感知層協(xié)議的數(shù)據(jù)包通過��,如果允許通過����,才進(jìn)行掃 描業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)的步驟�。
[0040] 本發(fā)明實(shí)施例的物聯(lián)網(wǎng)數(shù)據(jù)的交換方法針對數(shù)據(jù)包采用的感知層協(xié)議、數(shù)據(jù)包的 交換路徑���、以及數(shù)據(jù)包中的業(yè)務(wù)數(shù)據(jù)進(jìn)行層層檢查��,將未通過檢查的數(shù)據(jù)包丟棄���,從而能夠 彌補(bǔ)現(xiàn)有技術(shù)在數(shù)據(jù)包嵌入惡意代碼時(shí)無法進(jìn)行過濾的不足���,能夠適應(yīng)感知層的協(xié)議多樣 性,并為感知層與網(wǎng)絡(luò)層之間的數(shù)據(jù)交換提供安全保障����,實(shí)現(xiàn)了傳感層與網(wǎng)絡(luò)層之間高效、 安全的數(shù)據(jù)交換�,避免了雙向攻擊,保證區(qū)域邊界安全���。
[0041] 請參見圖2,是本發(fā)明物聯(lián)網(wǎng)數(shù)據(jù)的交換方法第二實(shí)施例的流程示意圖。物聯(lián)網(wǎng)數(shù) 據(jù)的交換方法包括以下步驟:
[0042] S21 :接收網(wǎng)絡(luò)層發(fā)送的IP數(shù)據(jù)包�����,判斷IP數(shù)據(jù)包是否攜帶封裝協(xié)議和感知層的 目的地址�。
[0043] 其中,物聯(lián)網(wǎng)的網(wǎng)絡(luò)層是基于互聯(lián)網(wǎng)的����,所以在網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù)包都采用IP協(xié) 議,無需再判斷IP數(shù)據(jù)包采用何種協(xié)議封裝�����。網(wǎng)絡(luò)層的數(shù)據(jù)包如果發(fā)送給感知層的某個(gè)傳 感器,會在IP數(shù)據(jù)包中指定該傳感器所采用的感知層協(xié)議��,該感知層協(xié)議即為封裝協(xié)議��。 封裝協(xié)議和感知層的目的地址都可以存放于數(shù)據(jù)包的報(bào)頭中��。
[0044] S22 :如果攜帶封裝協(xié)議和目的地址����,解析IP數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)層的源地 址和目的地址��。
[0045] 其中�����,業(yè)務(wù)數(shù)據(jù)一般存在于數(shù)據(jù)包的正文部分��,描述了具體的網(wǎng)絡(luò)層處理數(shù)據(jù)�����。而 網(wǎng)絡(luò)層的源地址以及感知層的目的地址一般存在于數(shù)據(jù)包的報(bào)頭中�。解析數(shù)據(jù)包時(shí)���,需要 將業(yè)務(wù)數(shù)據(jù)剝離出,并從報(bào)頭中提取出源地址和目的地址����。
[0046] S23 :判斷源地址到目的地址的交換路徑是否為預(yù)設(shè)路徑。
[0047] 其中��,預(yù)設(shè)路徑可以通過權(quán)限表體現(xiàn)��,權(quán)限表可以記錄多個(gè)網(wǎng)絡(luò)層的源地址以及 多個(gè)感知層的目的地址�,一個(gè)源地址可以映射一個(gè)或多個(gè)目的地址,一個(gè)目的地址也可以 映射一個(gè)或多個(gè)源地址�����。源地址可以是IP地址��,目的地址可以是接收數(shù)據(jù)包的傳感器的 名稱或標(biāo)識�����。如果數(shù)據(jù)包中的源地址到目的地址的交換路徑在權(quán)限表中存在相應(yīng)的映射關(guān) 系����,那么該交換地址即為預(yù)設(shè)路徑。
[0048] S24 :如果交換路徑為預(yù)設(shè)路徑����,掃描業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)。
[0049] 其中����,業(yè)務(wù)數(shù)據(jù)中如果存在惡意代碼、攻擊代碼或者病毒�,都可以認(rèn)為存在安全風(fēng) 險(xiǎn)。
[0050] S25:如果業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn)�,將業(yè)務(wù)數(shù)據(jù)、源地址和目的地址采用封裝協(xié) 議重新封裝為數(shù)據(jù)包�����,并將重新封裝的數(shù)據(jù)包按照目的地址發(fā)送至感知層�。
[0051] 其中,由于IP數(shù)據(jù)包中已經(jīng)指明與傳感器適應(yīng)的封裝協(xié)議����,因此業(yè)務(wù)數(shù)據(jù)、源地 址和目的地址需要按照封裝協(xié)議重新封裝�。
[0052] 可選地,在其它實(shí)施例中����,步驟S24包括:如果交換路徑為預(yù)設(shè)路徑�����,判斷業(yè)務(wù)數(shù) 據(jù)是否為合法數(shù)據(jù)�;如果業(yè)務(wù)數(shù)據(jù)為合法數(shù)據(jù)�����,掃描業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)��。其中���,在 一些實(shí)際應(yīng)用中����,數(shù)據(jù)包中的業(yè)務(wù)數(shù)據(jù)數(shù)值大小比較固定���,例如溫度傳感器上傳的溫度數(shù) 據(jù)只有幾個(gè)字節(jié)大小,如果某個(gè)時(shí)刻溫度數(shù)據(jù)達(dá)到幾十字節(jié)或者幾百字節(jié)����,說明該數(shù)據(jù)包 中的業(yè)務(wù)數(shù)據(jù)不是合法數(shù)據(jù)����。通過對業(yè)務(wù)數(shù)據(jù)進(jìn)行合法檢查����,可以提高安全掃描的準(zhǔn)確性, 減少業(yè)務(wù)數(shù)據(jù)安全掃描的時(shí)間�。
[0053] 進(jìn)一步地,該交換方法還包括:如果交換路徑不為預(yù)設(shè)路徑�、業(yè)務(wù)數(shù)據(jù)不為合法數(shù) 據(jù)或者業(yè)務(wù)數(shù)據(jù)存在安全風(fēng)險(xiǎn),將數(shù)據(jù)包丟棄�。可選地��,在將數(shù)據(jù)包丟棄后��,還可以將數(shù)據(jù) 包記錄在預(yù)先建立的信息交換日志中����。
[0054] 可選地,步驟S23在判斷到交換路徑為預(yù)設(shè)路徑后��,還可以進(jìn)一步判斷該交換路 徑是否允許采用步驟S21中的封裝協(xié)議的數(shù)據(jù)包通過���,如果允許通過���,才進(jìn)行掃描業(yè)務(wù)數(shù) 據(jù)是否存在安全風(fēng)險(xiǎn)的步驟����。
[0055] 本發(fā)明實(shí)施例的物聯(lián)網(wǎng)數(shù)據(jù)的交換方法針對數(shù)據(jù)包中攜帶的封裝協(xié)議和感知層 的目的地址����、數(shù)據(jù)包的交換路徑、以及數(shù)據(jù)包中的業(yè)務(wù)數(shù)據(jù)進(jìn)行層層檢查����,只有通過檢查的 數(shù)據(jù)包才會被發(fā)送至感知層,從而能夠彌補(bǔ)現(xiàn)有技術(shù)在數(shù)據(jù)包嵌入惡意代碼時(shí)無法進(jìn)行過 濾的不足��,能夠適應(yīng)感知層的協(xié)議多樣性�����,并為感知層與網(wǎng)絡(luò)層之間的數(shù)據(jù)交換提供安全 保障��,實(shí)現(xiàn)了傳感層與網(wǎng)絡(luò)層之間高效��、安全的數(shù)據(jù)交換����,避免了雙向攻擊,保證區(qū)域邊界 安全���。
[0056] 可以理解��,本發(fā)明的上述實(shí)施例的交換方法僅記載了物聯(lián)網(wǎng)數(shù)據(jù)的交換方向?yàn)閺?感知層到網(wǎng)絡(luò)層或者從網(wǎng)絡(luò)層到感知層��,但本領(lǐng)域技術(shù)人員可以根據(jù)本發(fā)明上述實(shí)施例的 描述很容易想到將上述兩個(gè)實(shí)施例的交換方法組合�,即將感知層的數(shù)據(jù)包交換至網(wǎng)絡(luò)層�, 同時(shí)將網(wǎng)絡(luò)層返回的數(shù)據(jù)包交換至感知層,或者將網(wǎng)絡(luò)層的數(shù)據(jù)包交換至感知層��,同時(shí)將 感知層返回的數(shù)據(jù)包交換至網(wǎng)絡(luò)層���。因此��,包含上述兩個(gè)實(shí)施例的交換方法組合的技術(shù)方 案同樣包括在本發(fā)明的保護(hù)范圍之內(nèi)�。
[0057] 請參見圖3,是本發(fā)明物聯(lián)網(wǎng)數(shù)據(jù)的交換裝置第一實(shí)施例的結(jié)構(gòu)示意圖�。圖中還一 并示意了感知層和網(wǎng)絡(luò)層。物聯(lián)網(wǎng)數(shù)據(jù)的交換裝置31設(shè)置于感知層和網(wǎng)絡(luò)層之間���,包括識 別模塊310��、協(xié)議判斷模塊320����、解析模塊330、路徑判斷模塊340�、掃描模塊350和封裝模塊 360。
[0058] 識別模塊310用于接收感知層發(fā)送的數(shù)據(jù)包�,并識別數(shù)據(jù)包采用的感知層協(xié)議。 其中����,感知層由于包含種類繁多的傳感器,這些傳感器采用的協(xié)議又不盡相同����,所以,在接 收到感知層發(fā)送的數(shù)據(jù)包時(shí)�����,該數(shù)據(jù)包采用何種協(xié)議是未知的��。但是數(shù)據(jù)包采用非IP協(xié)議 封裝時(shí)����,通常都有一個(gè)報(bào)頭記錄數(shù)據(jù)包的基本信息���,例如RFID協(xié)議或者無線傳感器網(wǎng)絡(luò)協(xié) 議都定義了一個(gè)報(bào)頭,用于記錄數(shù)據(jù)包所采用的協(xié)議等基本信息��。在識別數(shù)據(jù)包采用的感 知層協(xié)議時(shí)�,識別模塊310可以只抓取特定字段中的關(guān)鍵字�,通過該關(guān)鍵字來識別感知層 協(xié)議。
[0059] 協(xié)議判斷模塊320用于判斷感知層協(xié)議是否屬于預(yù)設(shè)協(xié)議類型�。其中,預(yù)設(shè)協(xié)議 類型是預(yù)先設(shè)定好的�����,其包含了多種協(xié)議����。預(yù)設(shè)協(xié)議類型包含的內(nèi)容可以在任何時(shí)候進(jìn)行 更改、增加或刪除����。如果感知層協(xié)議是預(yù)設(shè)協(xié)議類型中的一種,那么該感知層協(xié)議屬于預(yù)設(shè) 協(xié)議類型��。
[0060] 解析模塊330用于在協(xié)議判斷模塊320判斷到感知層協(xié)議屬于預(yù)設(shè)協(xié)議類型時(shí)����, 解析數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)��、感知層的源地址和網(wǎng)絡(luò)層的目的地址��。其中��,業(yè)務(wù)數(shù)據(jù)一般存在 于數(shù)據(jù)包的正文部分�����,描述了具體的傳感數(shù)據(jù)�����。而感知層的源地址以及網(wǎng)絡(luò)層的目的地址 一般存在于數(shù)據(jù)包的報(bào)頭中���。解析數(shù)據(jù)包時(shí),需要將業(yè)務(wù)數(shù)據(jù)剝離出�����,并從報(bào)頭中提取出源 地址和目的地址���。
[0061] 路徑判斷模塊340用于判斷源地址到目的地址的交換路徑是否為預(yù)設(shè)路徑���。其 中���,預(yù)設(shè)路徑可以通過權(quán)限表體現(xiàn),權(quán)限表可以記錄多個(gè)感知層的源地址以及多個(gè)網(wǎng)絡(luò)層 的目的地址�����,一個(gè)源地址可以映射一個(gè)或多個(gè)目的地址�,一個(gè)目的地址也可以映射一個(gè)或 多個(gè)源地址�。源地址可以是發(fā)出數(shù)據(jù)包的傳感器的名稱或標(biāo)識,目的地址可以是IP地址����。 如果數(shù)據(jù)包中的源地址到目的地址的交換路徑在權(quán)限表中存在相應(yīng)的映射關(guān)系,那么該交 換地址即為預(yù)設(shè)路徑����。
[0062] 掃描模塊360用于在路徑判斷模塊340判斷到交換路徑為預(yù)設(shè)路徑時(shí),掃描業(yè)務(wù) 數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)����。其中,業(yè)務(wù)數(shù)據(jù)中如果存在惡意代碼�����、攻擊代碼或者病毒,都可以 認(rèn)為存在安全風(fēng)險(xiǎn)����。
[0063] 封裝模塊370用于在掃描模塊360掃描到業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn)時(shí),將業(yè)務(wù)數(shù) 據(jù)�、源地址和目的地址采用IP協(xié)議封裝為IP數(shù)據(jù)包,并將IP數(shù)據(jù)包按照目的地址發(fā)送至 網(wǎng)絡(luò)層�。其中,物聯(lián)網(wǎng)的網(wǎng)絡(luò)層是基于互聯(lián)網(wǎng)的���,所以在網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù)包都采用IP協(xié) 議�����。因此業(yè)務(wù)數(shù)據(jù)���、源地址和目的地址需要按照IP協(xié)議重新封裝。
[0064] 可選地�,在其它實(shí)施例中,掃描模塊360具體用于在路徑判斷模塊340判斷到交換 路徑為預(yù)設(shè)路徑時(shí)�,判斷業(yè)務(wù)數(shù)據(jù)是否為合法數(shù)據(jù);如果業(yè)務(wù)數(shù)據(jù)為合法數(shù)據(jù)��,掃描業(yè)務(wù)數(shù) 據(jù)是否存在安全風(fēng)險(xiǎn)。其中�����,在一些實(shí)際應(yīng)用中���,數(shù)據(jù)包中的業(yè)務(wù)數(shù)據(jù)數(shù)值大小比較固定�, 例如溫度傳感器上傳的溫度數(shù)據(jù)只有幾個(gè)字節(jié)大小����,如果某個(gè)時(shí)刻溫度數(shù)據(jù)達(dá)到幾十字節(jié) 或者幾百字節(jié)�����,說明該數(shù)據(jù)包中的業(yè)務(wù)數(shù)據(jù)不是合法數(shù)據(jù)�����。通過對業(yè)務(wù)數(shù)據(jù)進(jìn)行合法檢查���, 可以提高安全掃描的準(zhǔn)確性����,減少業(yè)務(wù)數(shù)據(jù)安全掃描的時(shí)間。
[0065] 進(jìn)一步地�,可選地,在協(xié)議判斷模塊320判斷到感知層協(xié)議不屬于預(yù)設(shè)協(xié)議類型��、 路徑判斷模塊340判斷到交換路徑不為預(yù)設(shè)路徑��、掃描模塊360掃描到業(yè)務(wù)數(shù)據(jù)存在安全 風(fēng)險(xiǎn)或者�����,掃描模塊360判斷到業(yè)務(wù)數(shù)據(jù)不為合法數(shù)據(jù)時(shí)��,將數(shù)據(jù)包丟棄����。可選地�����,在將數(shù) 據(jù)包丟棄后���,還可以將數(shù)據(jù)包記錄在預(yù)先建立的信息交換日志中���。
[0066] 請參見圖4,是本發(fā)明物聯(lián)網(wǎng)數(shù)據(jù)的交換裝置第二實(shí)施例的結(jié)構(gòu)示意圖���。圖中還一 并示意了感知層和網(wǎng)絡(luò)層。物聯(lián)網(wǎng)數(shù)據(jù)的交換裝置41設(shè)置于感知層和網(wǎng)絡(luò)層之間���,包括識 別模塊410�����、解析模塊420�����、路徑判斷模塊430��、掃描模塊440和封裝模塊450。
[0067] 識別模塊410用于接收網(wǎng)絡(luò)層發(fā)送的IP數(shù)據(jù)包�����,判斷IP數(shù)據(jù)包是否攜帶封裝協(xié) 議和感知層的目的地址���。其中�����,物聯(lián)網(wǎng)的網(wǎng)絡(luò)層是基于互聯(lián)網(wǎng)的���,所以在網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù) 包都采用IP協(xié)議�����,無需識別模塊410再判斷IP數(shù)據(jù)包采用何種協(xié)議封裝����。網(wǎng)絡(luò)層的數(shù)據(jù)包 如果發(fā)送給感知層的某個(gè)傳感器�����,會在IP數(shù)據(jù)包中指定該傳感器所采用的感知層協(xié)議�,該 感知層協(xié)議即為封裝協(xié)議。封裝協(xié)議和感知層的目的地址都可以存放于數(shù)據(jù)包的報(bào)頭中�。
[0068] 解析模塊420用于在識別模塊410確定數(shù)據(jù)包攜帶封裝協(xié)議和目的地址時(shí),解析 IP數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)����、網(wǎng)絡(luò)層的源地址和目的地址。其中��,業(yè)務(wù)數(shù)據(jù)一般存在于數(shù)據(jù)包的 正文部分,描述了具體的網(wǎng)絡(luò)層處理數(shù)據(jù)����。而網(wǎng)絡(luò)層的源地址以及感知層的目的地址一般 存在于數(shù)據(jù)包的報(bào)頭中。解析數(shù)據(jù)包時(shí)���,需要將業(yè)務(wù)數(shù)據(jù)剝離出����,并從報(bào)頭中提取出源地址 和目的地址��。
[0069] 路徑判斷模塊430用于判斷源地址到目的地址的交換路徑是否為預(yù)設(shè)路徑�����。其 中�,預(yù)設(shè)路徑可以通過權(quán)限表體現(xiàn),權(quán)限表可以記錄多個(gè)網(wǎng)絡(luò)層的源地址以及多個(gè)感知層 的目的地址�����,一個(gè)源地址可以映射一個(gè)或多個(gè)目的地址��,一個(gè)目的地址也可以映射一個(gè)或 多個(gè)源地址�。源地址可以是IP地址,目的地址可以是接收數(shù)據(jù)包的傳感器的名稱或標(biāo)識���。 如果數(shù)據(jù)包中的源地址到目的地址的交換路徑在權(quán)限表中存在相應(yīng)的映射關(guān)系����,那么該交 換地址即為預(yù)設(shè)路徑�。
[0070] 掃描模塊440用于在路徑判斷模塊430判斷到交換路徑為預(yù)設(shè)路徑時(shí),掃描業(yè)務(wù) 數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)���。其中���,業(yè)務(wù)數(shù)據(jù)中如果存在惡意代碼、攻擊代碼或者病毒�,都可以 認(rèn)為存在安全風(fēng)險(xiǎn)。
[0071] 封裝模塊450用于在掃描模塊440掃描到業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn)時(shí)�,將業(yè)務(wù)數(shù) 據(jù)、源地址和目的地址采用封裝協(xié)議重新封裝為數(shù)據(jù)包��,并將重新封裝的數(shù)據(jù)包按照目的 地址發(fā)送至感知層�����。其中��,由于IP數(shù)據(jù)包中已經(jīng)指明與傳感器適應(yīng)的封裝協(xié)議,因此業(yè)務(wù) 數(shù)據(jù)�、源地址和目的地址需要按照封裝協(xié)議重新封裝。
[0072] 可選地����,在其它實(shí)施例中,掃描模塊440還用于在路徑判斷模塊430判斷到交換路 徑為預(yù)設(shè)路徑時(shí)����,判斷業(yè)務(wù)數(shù)據(jù)是否為合法數(shù)據(jù);如果業(yè)務(wù)數(shù)據(jù)為合法數(shù)據(jù)��,掃描業(yè)務(wù)數(shù)據(jù) 是否存在安全風(fēng)險(xiǎn)��。其中�����,在一些實(shí)際應(yīng)用中����,數(shù)據(jù)包中的業(yè)務(wù)數(shù)據(jù)數(shù)值大小比較固定,例 如溫度傳感器上傳的溫度數(shù)據(jù)只有幾個(gè)字節(jié)大小��,如果某個(gè)時(shí)刻溫度數(shù)據(jù)達(dá)到幾十字節(jié)或 者幾百字節(jié)��,說明該數(shù)據(jù)包中的業(yè)務(wù)數(shù)據(jù)不是合法數(shù)據(jù)�。通過對業(yè)務(wù)數(shù)據(jù)進(jìn)行合法檢查,可 以提高安全掃描的準(zhǔn)確性���,減少業(yè)務(wù)數(shù)據(jù)安全掃描的時(shí)間�����。
[0073] 進(jìn)一步地�����,在路徑判斷模塊430判斷到交換路徑不為預(yù)設(shè)路徑�����、掃描模塊440掃 描到業(yè)務(wù)數(shù)據(jù)存在安全風(fēng)險(xiǎn)或者掃描模塊440判斷到業(yè)務(wù)數(shù)據(jù)不為合法數(shù)據(jù)�,將數(shù)據(jù)包丟 棄�����?�?蛇x地���,在將數(shù)據(jù)包丟棄后�,還可以將數(shù)據(jù)包記錄在預(yù)先建立的信息交換日志中。
[0074] 實(shí)施本發(fā)明的物聯(lián)網(wǎng)數(shù)據(jù)的交換方法和交換裝置具有多種有益效果:
[0075] 1)通過對數(shù)據(jù)進(jìn)行協(xié)議識別���,剝離業(yè)務(wù)數(shù)據(jù)�,并對業(yè)務(wù)數(shù)據(jù)內(nèi)容進(jìn)行安全檢查�, 再對業(yè)務(wù)數(shù)據(jù)進(jìn)行IP協(xié)議或感知層協(xié)議重新封裝完成數(shù)據(jù)的傳輸,有效地杜絕了非法數(shù) 據(jù)進(jìn)入���、敏感信息外泄以及惡意代碼威脅���,實(shí)現(xiàn)了傳感層與網(wǎng)絡(luò)層之間高效、安全的數(shù)據(jù)交 換����,避免了雙向攻擊,保證區(qū)域邊界安全��。
[0076] 2)支持對感知層和網(wǎng)絡(luò)層兩種不同的網(wǎng)絡(luò)間的數(shù)據(jù)進(jìn)行安全監(jiān)控����。
[0077] 3)對預(yù)設(shè)協(xié)議類型或者預(yù)設(shè)路徑進(jìn)行管理,可以有效地防止未知感知層/網(wǎng)絡(luò)層 源地址所帶來的安全威脅�����,使安全風(fēng)險(xiǎn)降至最小。
[0078] 4)通過日志記錄數(shù)據(jù)交換行為���,有利于物聯(lián)網(wǎng)的安全審計(jì)。
[0079] 本發(fā)明并不局限于前述的【具體實(shí)施方式】���。本發(fā)明擴(kuò)展到任何在本說明書中披露的 新特征或任何新的組合����,以及披露的任一新的方法或過程的步驟或任何新的組合����。
【權(quán)利要求】
1. 一種物聯(lián)網(wǎng)數(shù)據(jù)的交換方法,其特征在于����,所述交換方法包括: 接收感知層發(fā)送的數(shù)據(jù)包,并識別所述數(shù)據(jù)包采用的感知層協(xié)議���; 判斷所述感知層協(xié)議是否屬于預(yù)設(shè)協(xié)議類型�����; 如果所述感知層協(xié)議屬于預(yù)設(shè)協(xié)議類型�����,解析所述數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)�、所述感知層 的源地址和網(wǎng)絡(luò)層的目的地址; 判斷所述源地址到所述目的地址的交換路徑是否為預(yù)設(shè)路徑���; 如果所述交換路徑為預(yù)設(shè)路徑���,掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn); 如果所述業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn)��,將所述業(yè)務(wù)數(shù)據(jù)���、所述源地址和所述目的地址采 用IP協(xié)議封裝為IP數(shù)據(jù)包�,并將所述IP數(shù)據(jù)包按照所述目的地址發(fā)送至所述網(wǎng)絡(luò)層�。
2. 根據(jù)權(quán)利要求1所述的交換方法,其特征在于��,所述如果所述交換路徑為預(yù)設(shè)路徑���, 掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)的步驟包括: 如果所述交換路徑為預(yù)設(shè)路徑����,判斷所述業(yè)務(wù)數(shù)據(jù)是否為合法數(shù)據(jù); 如果所述業(yè)務(wù)數(shù)據(jù)為合法數(shù)據(jù)���,掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)����。
3. 根據(jù)權(quán)利要求2所述的交換方法�����,其特征在于�,所述交換方法還包括: 如果所述感知層協(xié)議不屬于預(yù)設(shè)協(xié)議類型�����、所述交換路徑不為預(yù)設(shè)路徑�����、所述業(yè)務(wù)數(shù) 據(jù)不為合法數(shù)據(jù)或者所述業(yè)務(wù)數(shù)據(jù)存在安全風(fēng)險(xiǎn)����,將所述數(shù)據(jù)包丟棄����。
4. 根據(jù)權(quán)利要求3所述的交換方法���,其特征在于���,將所述數(shù)據(jù)包丟棄后,所述交換方法 還包括: 將所述數(shù)據(jù)包記錄在預(yù)先建立的信息交換日志中��。
5. -種物聯(lián)網(wǎng)數(shù)據(jù)的交換方法�����,其特征在于��,所述交換方法包括: 接收網(wǎng)絡(luò)層發(fā)送的IP數(shù)據(jù)包�,判斷所述IP數(shù)據(jù)包是否攜帶封裝協(xié)議和感知層的目的 地址; 如果攜帶所述封裝協(xié)議和所述目的地址�����,解析所述IP數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)�、所述網(wǎng)絡(luò) 層的源地址和所述目的地址; 判斷所述源地址到所述目的地址的交換路徑是否為預(yù)設(shè)路徑; 如果所述交換路徑為預(yù)設(shè)路徑���,掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)�; 如果所述業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn)���,將所述業(yè)務(wù)數(shù)據(jù)���、所述源地址和所述目的地址采 用所述封裝協(xié)議重新封裝為數(shù)據(jù)包,并將所述重新封裝的數(shù)據(jù)包按照所述目的地址發(fā)送至 所述感知層��。
6. 根據(jù)權(quán)利要求5所述的交換方法��,其特征在于���,所述如果所述交換路徑為預(yù)設(shè)路徑, 掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)的步驟包括: 如果所述交換路徑為預(yù)設(shè)路徑�����,判斷所述業(yè)務(wù)數(shù)據(jù)是否為合法數(shù)據(jù)���; 如果所述業(yè)務(wù)數(shù)據(jù)為合法數(shù)據(jù)�����,掃描所述業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)�����。
7. 根據(jù)權(quán)利要求6所述的交換方法����,其特征在于,所述交換方法還包括: 如果所述交換路徑不為預(yù)設(shè)路徑���、所述業(yè)務(wù)數(shù)據(jù)不為合法數(shù)據(jù)或者所述業(yè)務(wù)數(shù)據(jù)存在 安全風(fēng)險(xiǎn)��,將所述數(shù)據(jù)包丟棄�����。
8. 根據(jù)權(quán)利要求7所述的交換方法�,其特征在于����,將所述數(shù)據(jù)包丟棄后,所述交換方法 還包括: 將所述數(shù)據(jù)包記錄在預(yù)先建立的信息交換日志中���。
9. 一種物聯(lián)網(wǎng)數(shù)據(jù)的交換裝置��,所述交換裝置設(shè)置于感知層和網(wǎng)絡(luò)層之間��,其特征在 于��,所述交換裝置包括識別模塊��、協(xié)議判斷模塊���、解析模塊��、路徑判斷模塊���、掃描模塊和封裝 模塊,其中�, 所述識別模塊用于接收感知層發(fā)送的數(shù)據(jù)包�,并識別所述數(shù)據(jù)包采用的感知層協(xié)議; 所述協(xié)議判斷模塊用于判斷所述感知層協(xié)議是否屬于預(yù)設(shè)協(xié)議類型�; 所述解析模塊用于在所述協(xié)議判斷模塊判斷到所述感知層協(xié)議屬于預(yù)設(shè)協(xié)議類型時(shí), 解析所述數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)���、所述感知層的源地址和網(wǎng)絡(luò)層的目的地址��; 所述路徑判斷模塊用于判斷所述源地址到所述目的地址的交換路徑是否為預(yù)設(shè)路 徑����; 所述掃描模塊用于在所述路徑判斷模塊判斷到所述交換路徑為預(yù)設(shè)路徑時(shí),掃描所述 業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)��; 所述封裝模塊用于在所述掃描模塊掃描到所述業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn)時(shí)��,將所述業(yè) 務(wù)數(shù)據(jù)�、所述源地址和所述目的地址采用IP協(xié)議封裝為IP數(shù)據(jù)包,并將所述IP數(shù)據(jù)包按 照所述目的地址發(fā)送至所述網(wǎng)絡(luò)層�。
10. -種物聯(lián)網(wǎng)數(shù)據(jù)的交換裝置,所述交換裝置設(shè)置于感知層和網(wǎng)絡(luò)層之間����,其特征在 于,所述交換裝置包括識別模塊��、解析模塊�、路徑判斷模塊、掃描模塊和封裝模塊���,其中�����, 所述識別模塊用于接收網(wǎng)絡(luò)層發(fā)送的IP數(shù)據(jù)包���,判斷所述IP數(shù)據(jù)包是否攜帶封裝協(xié) 議和感知層的目的地址�; 所述解析模塊用于在所述識別模塊確定所述數(shù)據(jù)包攜帶所述封裝協(xié)議和所述目的地 址時(shí)���,解析所述IP數(shù)據(jù)包得到業(yè)務(wù)數(shù)據(jù)�����、所述網(wǎng)絡(luò)層的源地址和所述目的地址�����; 所述路徑判斷模塊用于判斷所述源地址到所述目的地址的交換路徑是否為預(yù)設(shè)路 徑��; 所述掃描模塊用于在所述路徑判斷模塊判斷到所述交換路徑為預(yù)設(shè)路徑時(shí)�,掃描所述 業(yè)務(wù)數(shù)據(jù)是否存在安全風(fēng)險(xiǎn)�����; 所述封裝模塊用于在所述掃描模塊掃描到所述業(yè)務(wù)數(shù)據(jù)不存在安全風(fēng)險(xiǎn)時(shí)��,將所述業(yè) 務(wù)數(shù)據(jù)���、所述源地址和所述目的地址采用所述封裝協(xié)議重新封裝為數(shù)據(jù)包�,并將所述重新 封裝的數(shù)據(jù)包按照所述目的地址發(fā)送至所述感知層��。
【文檔編號】H04L29/06GK104092677SQ201410308694
【公開日】2014年10月8日 申請日期:2014年7月1日 優(yōu)先權(quán)日:2014年7月1日
【發(fā)明者】馬曉旭, 冷冰, 曾夢岐, 陳劍鋒 申請人:中國電子科技集團(tuán)公司第三十研究所