2. 技术
  3. 一种内网环境建立方法、电子设备和存储介质与流程

一种内网环境建立方法、电子设备和存储介质与流程

allin2023-03-17  132


1.本发明涉及通信技术领域,尤其是涉及一种内网环境建立方法、电子设备和存储介质。


背景技术:

2.内网通常指局域网,其具备的安装便捷、成本节约、扩展方便等特点使其在各类办公室内运用广泛。局域网可以实现文件管理、应用软件共享、打印机共享等功能,在使用过程当中,通过维护局域网网络安全,能够有效地保护资料安全,保证局域网网络能够正常稳定的运行。
3.在目前的一些安全控制策略中,通常通过安装客户端或安装提供认证、授权和访问控制的设备来保证内网环境的安全可信,实现内网可信环境。当客户端或设备出现故障时,可能会导致内网环境被非法侵入和访问,就无法保证内网环境的安全可信。


技术实现要素:

4.本技术提供了一种内网环境建立方法、电子设备和存储介质。
5.第一方面,提供了一种内网环境建立方法,应用于内网环境中的可信中心设备,所述内网环境中包括至少一台网络设备,所述方法包括:获取所述内网环境内的所有网络设备的邻居表,一个邻居表用于存储一台网络设备的邻居信息,所述邻居信息是指与所述一台网络设备连接的相邻网络设备的信息;在基于所述邻居表确定所述内网环境中存在第一网络设备的情况下,将所述第一网络设备的状态设置为未注册状态,并将所述第一网络设备置于访问隔离区,其中,所述第一网络设备为新接入所述内网环境中的网络设备,处于未注册状态的网络设备仅能与所述处于未注册状态的网络设备的相邻网络设备进行通信;在通过所述第一网络设备访问所述内网环境的用户终端通过认证的情况下,将所述第一网络设备的状态设置为可信注册状态,并将所述第一网络设备从所述访问隔离区移动至可信环境区,其中,所述可信环境区的网络设备可与所述可信环境区内的任一网络设备进行通信。
6.可选的,所述获取所述内网环境内的所有网络设备的邻居表之后,还包括:基于所述邻居表计算所述访问隔离区中的每个网络设备到达资源服务器的路径,并将所述访问隔离区中的每个网络设备到达资源服务器的路径标记为未可信路径,存储所述未可信路径;所述方法还包括:在通过所述第一网络设备访问所述内网环境的用户终端通过认证的情况下,将所述用户终端对应的未可信路径标记为可信路径,所述用户终端对应的未可信路径为所述用户终端经所述第一网络设备到达所述资源服务器的路径。
7.可选的,在将所述用户终端对应的未可信路径标记为可信路径之后,所述方法还
包括:定期审核经由所述可信路径访问所述资源服务器的用户终端是否通过认证;在所述经由所述可信路径访问所述资源服务器的用户终端未通过认证的情况下,将所述第一网络设备从所述可信环境区移动至所述访问隔离区,将所述第一网络设备的状态设置为暂不可信状态,将所述可信路径标记为未可信路径,其中,处于暂不可信状态的网络设备在等待预设时长后才能与所述处于暂不可信状态的网络设备的相邻网络设备通信且仅能与所述处于暂不可信状态的网络设备的相邻网络设备通信。
8.可选的,所述方法还包括:在通过所述第一网络设备访问所述内网环境的用户终端未通过认证的次数大于预设次数的情况下,将所述第一网络设备的状态设置为不可信状态,其中,处于不可信状态的网络设备不能与所述处于不可信状态的网络设备的相邻网络设备进行通信。
9.可选的,所述方法还包括:基于内网可信协议获取所述可信环境区中的网络设备的异常信息,所述异常信息用于指示所述网络设备存在故障或网络层攻击;若所述可信环境区中的第二网络设备的异常信息满足预设设备隔离条件,将所述第二网络设备从所述可信环境区移动至所述访问隔离区,将所述第二网络设备的状态设置为所述暂不可信状态,其中,处于暂不可信状态的网络设备在等待预设时长后才能与所述处于暂不可信状态的网络设备的相邻网络设备通信且仅能与所述处于暂不可信状态的网络设备的相邻网络设备通信。
10.可选的,在将所述第一网络设备从所述访问隔离区移动至可信环境区之后,所述方法还包括:发起选举,以从所述可信环境区中的网络设备中选举出新的可信中心设备和新的备份中心可信设备,其中,所述备份中心可信设备用于在可信中心设备出现故障的情况下执行可信中心设备执行的方法。
11.可选的,所述发起选举,以从所述可信环境区中的网络设备中选举出新的可信中心设备和新的备份中心可信设备,包括:基于内网可信协议发起选举,以使所述可信环境区的每个网络设备均获取到所述可信环境区中的所有网络设备的可信指数,所述可信指数用于反映所述可信环境区内的网络设备的可信程度;基于所述可信环境区中的所有网络设备的可信指数,将所述可信指数最高的前两个网络设备分别作为所述新的可信中心设备和所述新的备份中心可信设备。
12.可选的,第三网络设备的可信指数基于所述第三网络设备的设备优先级、第三网络设备的接口带宽、第三网络设备连接的资源服务器数量、所述第三网络设备连接的网络段数量、所述第三网络设备的接口延迟情况中的至少一种得到,所述第三网络设备为所述可信环境区中的任一网络设备。
13.第二方面,提供了一种内网环境建立装置,包括:获取模块,用于获取所述内网环境内的所有网络设备的邻居表,一个邻居表用于存储一台网络设备的邻居信息,所述邻居信息是指与所述一台网络设备连接的相邻网络设备的信息;
设置模块,用于在基于所述邻居表确定所述内网环境中存在第一网络设备的情况下,将所述第一网络设备的状态设置为未注册状态,并将所述第一网络设备置于访问隔离区,其中,所述第一网络设备为新接入所述内网环境中的网络设备,处于未注册状态的网络设备仅能与所述处于未注册状态的网络设备的相邻网络设备进行通信;所述设置模块还用于,在通过所述第一网络设备访问所述内网环境的用户终端通过认证的情况下,将所述第一网络设备的状态设置为可信注册状态,并将所述第一网络设备从所述访问隔离区移动至可信环境区,其中,所述可信环境区的网络设备可与所述可信环境区内的任一网络设备进行通信。
14.可选的,还包括路径模块,用于:基于所述邻居表计算所述访问隔离区中的每个网络设备到达资源服务器的路径,并将所述访问隔离区中的每个网络设备到达资源服务器的路径标记为未可信路径,存储所述未可信路径;在通过所述第一网络设备访问所述内网环境的用户终端通过认证的情况下,将所述用户终端对应的未可信路径标记为可信路径,所述用户终端对应的未可信路径为所述用户终端经所述第一网络设备到达所述资源服务器的路径。
15.可选的,所述设置模块还用于:定期审核经由所述可信路径访问所述资源服务器的用户终端是否通过认证;在所述经由所述可信路径访问所述资源服务器的用户终端未通过认证的情况下,将所述第一网络设备从所述可信环境区移动至所述访问隔离区,将所述第一网络设备的状态设置为暂不可信状态,将所述可信路径标记为未可信路径,其中,处于暂不可信状态的网络设备在等待预设时长后才能与所述处于暂不可信状态的网络设备的相邻网络设备通信且仅能与所述处于暂不可信状态的网络设备的相邻网络设备通信。
16.可选的,所述设置模块还用于,在通过所述第一网络设备访问所述内网环境的用户终端未通过认证的次数大于预设次数的情况下,将所述第一网络设备的状态设置为不可信状态,其中,处于不可信状态的网络设备不能与所述处于不可信状态的网络设备的相邻网络设备进行通信。
17.可选的,所述获取模块还用于,基于内网可信协议获取所述可信环境区中的网络设备的异常信息,所述异常信息用于指示所述网络设备存在故障或网络层攻击;所述设置模块还用于,若所述可信环境区中的第二网络设备的异常信息满足预设设备隔离条件,将所述第二网络设备从所述可信环境区移动至所述访问隔离区,将所述第二网络设备的状态设置为所述暂不可信状态,处于暂不可信状态的网络设备在等待预设时长后才能与所述处于暂不可信状态的网络设备的相邻网络设备通信且仅能与所述处于暂不可信状态的网络设备的相邻网络设备通信。
18.可选的,还包括选举模块,用于:发起选举,以从所述可信环境区中的网络设备中选举出新的可信中心设备和新的备份中心可信设备,其中,所述备份中心可信设备用于在可信中心设备出现故障的情况下执行可信中心设备执行的方法。
19.可选的,所述选举模块具体用于:基于内网可信协议发起选举,以使所述可信环境区的每个网络设备均获取到所述
可信环境区中的所有网络设备的可信指数,所述可信指数用于反映所述可信环境区内的网络设备的可信程度;基于所述可信环境区中的所有网络设备的可信指数,将所述可信指数最高的前两个网络设备分别作为所述新的可信中心设备和所述新的备份中心可信设备。
20.可选的,第三网络设备的可信指数基于所述第三网络设备的设备优先级、第三网络设备的接口带宽、第三网络设备连接的资源服务器数量、所述第三网络设备连接的网络段数量、所述第三网络设备的接口延迟情况中的至少一种得到,所述第三网络设备为所述可信环境区中的任一网络设备。
21.第三方面,提供了一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如第一方面及其任一种可能的实现方式的步骤。
22.第四方面,提供了一种计算机存储介质,所述计算机存储介质存储有一条或多条指令,所述一条或多条指令适于由处理器加载并执行如上述第一方面及其任一种可能的实现方式的步骤。
23.本技术中的内网环境建立方法,应用于内网环境中的可信中心设备,所述内网环境中包括至少一台网络设备;通过获取所述内网环境内的所有网络设备的邻居表,一个邻居表用于存储一台网络设备的邻居信息,所述邻居信息是指与所述一台网络设备连接的相邻网络设备的信息;在基于所述邻居表确定所述内网环境中存在第一网络设备的情况下,将所述第一网络设备的状态设置为未注册状态,并将所述第一网络设备置于访问隔离区,其中,所述第一网络设备为新接入所述内网环境中的网络设备,处于未注册状态的网络设备仅能与所述处于未注册状态的网络设备的相邻网络设备进行通信;在通过所述第一网络设备访问所述内网环境的用户终端通过认证的情况下,将所述第一网络设备的状态设置为可信注册状态,并将所述第一网络设备从所述访问隔离区移动至可信环境区,其中,所述可信环境区的网络设备可与所述可信环境区内的任一网络设备进行通信;在检测到新加入的网络设备时将新加入的网络设备置于隔离区中,使得该新加入的网络设备仅能与新加入的网络设备的相邻网络设备进行通信,相当于对新加入的内网设备进行资源访问控制,使得新加入的网络设备仅能访问有限的资源;在与新加入的网络设备连接的用户终端通过认证的情况下,将新加入的设备从隔离区移动至可信环境区,使得新加入的网络设备可以访问内网环境中所有的资源,可以保证内网环境的稳定性和安全性。
附图说明
24.为了更清楚地说明本技术实施例或背景技术中的技术方案,下面将对本技术实施例或背景技术中所需要使用的附图进行说明。
25.图1为本技术实施例提供的一种内网环境建立方法的流程示意图;图2为本技术实施例提供的一种内网环境架构示意图;图3为本技术实施例提供的一种网络设备选举流程示意图;图4为本技术实施例提供的一种内网环境建立装置的结构示意图;图5为本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
26.为了使本技术领域的人员更好地理解本技术方案,下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本技术一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本技术保护的范围。
27.本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
28.在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本技术的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
29.本技术的总体技术构思如下:预定义内网环境中的网络设备访问内网资源需遵循的内网可信协议,该内网可信协议可运行于内网环境中的每台网络设备,内网环境中的各网络设备按照该内网可信协议定义的工作流程和标准进行网络通信,且按照该内网可信协议中定义的设备角色各自执行本技术提供的内网环境建立方法,这样能够实现对内网环境中不同情况的网络设备进行控制与管理,防止不安全的网络设备访问内网资源,从而可建立起具有可信机制的内网环境,使得建立的内网环境是安全可信的。
30.其中,内网可信协议具体定义了如下内容:1、邻居设备发现功能,基于该邻居设备发现功能,网络设备可以发现网络设备的相邻网络设备(邻居),其中,相邻网络设备是指在物理连接上与网络设备具有直接连接关系的网络设备;基于该邻居设备发现功能,相邻的两个网络设备之间还可以建立邻居关系;建立邻居关系后,相邻的两个网络设备可以基于该邻居关系进行网络通信。
31.2、可信路径数据交换和数据交换功能,在相邻的两个网络设备建立邻居关系后,该相邻的两个网络设备可交换各自的可信路径数据和其他数据。
32.3、选举机制,基于该选举机制,可以从内网可信环境区的网络设备中选举出可信中心设备(trusted central device, tcd)和备份可信中心设备(backup trusted central device, btcd)。
33.其中,tcd用于管理内网环境中的各个网络设备,包括判断可信环境区中的各个网络设备是否可信,将不可信的网络设备移出可信环境区、对不可信的网络设备进行监察,以及将符合条件的网络设备加入可信环境区等;btcd用于当可信中心设备不可用时,将接管tcd的上述职能;4、最优可信访问路径,当有多条可信路径可以获取到信息时,选择最短和最可信的路径访问资源。
34.接着对本技术涉及的一些概念进行介绍。
35.1、内网环境:也可称局域网,通常覆盖相对独立的局部地理范围,局域网将一定区域内的各种计算机、外部设备和数据库连接起来形成计算机通信网,通过专用数据线路与
其他地方的局域网或数据库连接,形成更大范围的信息处理系统。在使用过程当中,通过维护内网环境安全,能够有效地保护资料安全,保证网络能够正常稳定的运行。其中,如图1所示,本技术中的内网环境可以由网络设备和资源区组成,资源区可包括一个或多个资源服务器。
36.2、网络设备:网络设备用以实现网络通信的计算机设备,包括但不限于为网关、防火墙、交换机等设备。网络设备可连接形成网络拓扑结构实现网络通信。
37.3、相邻网络设备:相邻网络设备是与一台网络设备在物理连接上具有直接连接关系的网络设备,也可以称为该网络设备的邻居。例如,网络设备a为网络设备b的相邻网络设备,则说明网络设备a与网络设备b在物理连接上具有直接连接关系,如网络设备a与网络设备b通过通信线缆之间连接。
38.4、tcd:为内网环境中的其中一台网络设备。可信中心设备是整个内网环境的管理节点,用于管理内网环境中的各个网络设备,包括判断可信环境区中的各个网络设备是否可信,将不可信的网络设备移出可信环境区、对不可信的网络设备进行监察,以及将符合条件的网络设备加入可信环境区等。
39.5、btcd:该网络设备将可信中心设备的数据备份,当可信中心设备不可用时,备份可信中心设备将接管可信中心设备的职能。
40.6、资源服务器:本技术中的资源服务器是内网可信环境区中提供访问资源的服务器,可以提供资源访问认证,通过认证的用户终端以及可信注册状态的网络设备才能访问资源服务器提供的资源。
41.7、用户终端:可以连接内网环境中的网络设备,以请求通过网络设备访问资源服务器提供的资源。用户终端一般由用户进行使用,包括但不限于为手机、笔记本电脑、台式电脑等。
42.8、访问隔离区:是指逻辑意义上的隔离区域,用于将内网环境中信任状态不明确的网络设备与内网环境中安全可信的网络设备隔离,防止该信任状态不明确的网络设备威胁到内网环境的安全。访问隔离区中的网络设备访问内网环境中的资源会受到一定的限制。
43.9、可信环境区:是指逻辑意义上的可信区域,可信环境区中的网络设备为当前状态为安全可信的网络设备,可信环境的网络设备可以任意访问内网环境中的资源,不会受到限制。
44.下面结合本技术实施例中的附图对本技术实施例进行描述。
45.图2为本技术实施例提供的一种设备配网方法的流程示意图,该方法可应用于tcd,有关于tcd的定义,可参见前述定义。如图1所示,该方法可包括:101、获取内网环境内的所有网络设备的邻居表,一个邻居表用于存储一台网络设备的邻居信息,上述邻居信息是指与上述一台网络设备连接的相邻网络设备的信息。
46.其中,邻居表是指用于存储基于内网可信协议中的邻居设备发现建立邻居关系的网络设备的表格。该邻居设备发现功能具体定义了网络设备实现邻居发现功能所使用的发现消息的格式。其中,可参见表1,表1示出了发现消息的格式和内容,发现消息由协议头、标号、消息类型、定时器和校验列组成。协议头(tcp)标号消息类型定时器校验列
47.表1协议头表明该发现消息是遵从可信协议标准。
48.标号用于指示设备的物理接口,根据标号可确定发现消息的发送端口和接收端口,进而可确定发送或接收发现消息的相邻网络设备。例如网络设备包括6个接口,当发现消息中的标号为2时,则说明该发现消息是从第2个接口发出或是从第2个接口接收到的发现消息。
49.消息类型用于标识发现消息的类型,发现消息分为发送和反馈两种类型。发送类型消息即hello消息,是网络设备向相邻网络设备发送的消息;hello消息中包含发送发现消息的网络设备的设备名称和ip地址。反馈类型消息即received消息,是相邻网络设备在接收到hello消息后回复的消息;received消息中回携带该相邻网络设备的设备名称和ip地址。如果一个网络设备通过一个接口发送的hello消息未收到该接口对应的received消息,则说明通过该接口连接的相邻网络设备不存在或已掉线。
50.定时器用于指示发送发现消息的定时时长,依据定时器指示的定时时长,网络设备会定时通过各接口发送hello消息。
51.校验列用于进行发现消息校验,校验列由网络设备对校验列前的字段做一个单向hash散列得到;网络设备在收到发现消息后,会从发现消息中取出校验列前的字段,做一个单向hash散列,将结果与校验列中的内容进行比较,以防止发现消息被篡改。
52.网络设备可按上述介绍的发现消息的格式进行消息交互,从而建立邻居关系。当一台网络设备a向外发送hello消息并收到另一台网络设备b发送的received消息,且该received消息的校验列经过hash校验后未被篡改,则这两个网络设备a、b之间建立邻居关系,同时网络设备a将网络设备b的设备名称和ip地址记录到邻居表,同样的,网络设备b也可将网络设备a的设备名称和ip地址记录到邻居表。示例性地,网络设备a的邻居表可如表2所示,表示网络设备b为网络设备a的相邻网络设备,网络设备b连接在网络设备a的接口2上。网络设备b的邻居表可如表3所示,表示网络设备a为网络设备b的相邻网络设备,网络设备a连接在网络设备b的接口1上。设备名称ip地址接口网络设备bip地址beth-2
………
53.表2设备名称ip地址接口网络设备aip地址aeth-1
………
表3加入内网环境的所有网络设备均可以通过上述方式建立邻居关系,并生成邻居表,然后将邻居提供给tcd。其中,当内网环境中只有两台网络设备时,其中一台设备为tcd,另一台网络设备为tcd的相邻网络设备,该另一台网络设备可通过与tcd连接的接口,将该另一台网络设备的邻居表发送给tcd。当内网环境中有多台网络设备时,每个网络设备可以将邻居表发送给该网络设备的相邻网络设备,以将邻居表转发到tcd。
54.可选地,在获取到内网环境内的所有网络设备的邻居表后,tcd可以将内网环境内
的所有网络设备的邻居表拷贝副本保存至btcd,以便其可以随时接替tcd。
55.102、在基于上述邻居表确定上述内网环境中存在第一网络设备的情况下,将上述第一网络设备的状态设置为未注册状态,并将上述第一网络设备置于访问隔离区,其中,上述第一网络设备为新接入上述内网环境中的网络设备,处于未注册状态的网络设备仅能与上述处于未注册状态的网络设备的相邻网络设备进行通信。
56.其中,新进入内网环境中的网络设备是指才与内网环境中的一台网络设备建立物理连接关系的网络设备。
57.在内网环境中只有tcd一台设备的情况下,tcd可以基于邻居发现功能向外发送hello消息,探测内网环境中是否有新接入的网络设备。若tcd接收到received消息,则确定发送该received消息的网络设备为新接入网络设备。
58.在内网环境中有多台网络设备(包括tcd)的情况下,该多台网络设备均可基于邻居发现功能向外发送hello消息,探测内网环境中是否有新接入的网络设备。若上述多台网络设备中的任一网络设备c接收到received消息,则可以发现该新接入网络设备,与该新接入网络设备建立邻居关系,记录在邻居表中,若网络设备c为tcd,则确定发送该received消息的网络设备为新接入网络设备;若网络设备c不为tcd,则网络设备c可以更新自身的邻居表,并将更新后的邻居表传送到tcd,tcd根据网络设备c更新后的邻居表可以确定内网环境中存在该新接入网络设备。
59.其中,访问隔离区内的任一网络设备仅能与其相邻网络设备进行通信,并且此处的通信是指逻辑上的通信,网络设备只能通过相邻网络设备去请求访问一些公开的、非机密性的资源,不能访问内网资源区。本技术实施例中通过访问隔离区对网络设备的隔离,可以理解为一种逻辑上的隔离,即tcd控制访问隔离区内的网络设备的特定端口禁止通信,这些端口是用于访问内网资源服务器的端口,从而使其不能访问资源服务器。
60.具体地,tcd可以向第一网络设备的相邻网络设备发送未注册指示,未注册指示中携带第一网络设备的设备名称,以指示第一网络设备的未注册状态;第一网络设备的相邻网络设备接收到该未注册指示后,根据该未注册指示中携带的第一网络设备的设备名称,确定第一网络设备的状态为未注册状态;当第一网络设备的特定端口发出访问请求时,该相邻网络设备会阻止该访问请求,以阻止第一网络设备访问内网资源服务器的行为,这样可实现对第一网络设备在逻辑上的访问隔离。
61.103、在通过上述第一网络设备访问上述内网环境的用户终端通过认证的情况下,将上述第一网络设备的状态设置为可信注册状态,并将上述第一网络设备从上述访问隔离区移动至可信环境区,其中,上述可信环境区的网络设备可与上述可信环境区内的任一网络设备进行通信。
62.其中,在与第一网络设备连接的用户终端请求访问内网资源的情况下,该用户终端访问该第一网络设备,第一网络设备将与tcd通信,tcd从用户终端要访问的资源服务器获取认证链接,并将该认证链接发送给第一网络设备,要求该用户终端进行认证;用户终端根据该认证链接提交认证信息后,若认证通过,此时tcd将第一网络设备的状态设置为可信注册状态,并将第一网络设备从访问隔离区移动至可信环境区。其中,tcd通过控制第一网络设备的特定端口解除通信禁止,这些端口是用于访问内网资源服务器的端口,从而使其能够访问资源服务器。可信环境区的网络设备可与可信环境区内的任一网络设备进行通
信,比如第一网络设备可以与可信环境区内的网络设备进行通信,本质上指的是第一网络设备能够访问可信环境区内的网络设备的非公开或机密性的资源。若第一网络设备与资源服务器连接,则可以直接访问资源服务器提供的资源,若第一网络设备通过可信环境区的其他网络设备与资源服务器连接,可以通过其他网络设备访问资源服务器提供的资源。第一网络设备可以访问内网环境中的资源服务器,则用户终端可以通过第一网络设备访问内网环境的资源区。
63.具体地,tcd可以向第一网络设备的相邻网络设备发送可信注册指示,可信注册指示中携带第一网络设备的设备名称,以指示第一网络设备的可信注册状态;第一网络设备的相邻网络设备接受到该注册指示后,根据该注册指示中携带的第一网络设备的名称,确定第一网络设备的可信注册状态;在第一网络设备的特定端口发出访问请求时,该相邻网络设备该访问请求,这样第一网络设备能够正常访问资源服务器,从而解除对第一网络设备在逻辑上的隔离。
64.需要说明的是,对于访问隔离区中的网络设备,tcd均可以通过上述认证方式实现对访问隔离区中的网络设备进行认证,从而将访问隔离区中的网络设备移动至可信环境区。
65.在上述方案中,在检测到新加入的网络设备时将新加入的网络设备置于隔离区中,使得该新加入的网络设备仅能与新加入的网络设备的相邻网络设备进行通信,相当于对新加入的内网设备进行资源访问控制,使得新加入的网络设备仅能访问有限的资源;在与新加入的网络设备连接的用户终端通过认证的情况下,将新加入的设备从隔离区移动至可信环境区,使得新加入的网络设备可以访问内网环境中所有的资源,可以保证内网环境的稳定性和安全性。
66.在一种可选的实施方式中,所述步骤101之后还包括:基于上述邻居表计算上述访问隔离区中的每个网络设备到达资源服务器的路径,并将上述路径标记为未可信路径,存储上述未可信路径;上述方法还包括:在通过上述第一网络设备访问上述内网环境的用户终端通过认证的情况下,将上述用户终端对应的未可信路径标记为可信路径,上述用户终端对应的未可信路径为上述用户终端经上述第一网络设备到达上述资源服务器的路径。
67.在内网逐步建设的过程中,在有资源服务器接入内网中后,有网络设备与资源服务器连接,由资源服务器提供资源访问认证。请求访问的用户终端只要提供正确的访问凭证,那么tcd可以记录此条可信路径,该可信路径指的是从该用户终端到资源服务器的路径,一条路径上的网络设备可以有一个或者多个。
68.具体的,一台网络设备的邻居表存储了一台网络设备的邻居信息,在tcd收到所有邻居表后,通过每一个邻居表可以确定每一台网络设备与该网络设备的邻居的路径,tcd可以将所有路径进行整合,从一台网络设备出发,查找到资源服务器的路径,比如设备a的邻居包括设备b,设备b的邻居包括设备a和资源服务器,tcd从设备a出发查找到资源服务器的路径为设备a-设备b-资源服务器,则计算出设备a到达资源服务器的路径;tcd从设备b出发查找到资源服务器的路径为设备b-资源服务器,则计算出设备b到达资源服务器的路径。
69.将访问隔离区中每个网络设备到达各资源服务器的路径标记为未可信路径,存储至设备存储单元,这个过程被称为可信路径收敛。网络设备到达各资源区的路径是指物理
路径,由网络设备要访问资源区所需要经过的网络设备组成,一个路径上可以经过一个或者多个网络设备。
70.此时的未可信路径并不是可信路径,因为可能会存在不可信的网络设备或存在违反可信环境的行为。所有的情况下内网资源区都会设置认证、授权和访问控制。所以当用户终端访问其连接的网络设备(以第一网络设备为例)后,tcd需要用户终端进行认证,即第一网络设备可以通过邻居设备向tcd发送认证请求,以获取由tcd请求到资源服务器所提供的认证链接,用户终端填写正确的认证信息并认证通过后,tcd将该用户终端经第一网络设备到达资源服务器的路径(未可信路径)标记为可信路径,并可以存储该用户终端在该路径的认证信息。
71.未可信路径上的网络设备可能包括不可信的网络设备,比如未注册状态的网络设备、暂不可信状态的网络设备、不可信状态的网络设备,这些网络设备不能访问资源服务器,即用户终端通过未可信路径不能访问资源服务器。可信路径上的网络设备可以访问资源服务器的资源,用户终端通过可信路径能够访问资源服务器的资源。
72.若上述用户终端未通过认证,tcd可以继续将第一网络设备置于隔离区中,保持其未注册状态,即不能访问内网环境的资源区。
73.通过基于邻居表对网络设备到达资源服务器的路径进行标记,能够实现对内网环境的访问控制,从而保证内网环境的稳定性和安全性。
74.可选地,在将上述用户终端对应的未可信路径标记为可信路径之后,上述方法还包括:定期审核经由上述可信路径访问上述资源服务器的用户终端是否通过认证;在上述经由上述可信路径访问上述资源服务器的用户终端未通过认证的情况下,将上述第一网络设备从上述可信环境区移动至上述访问隔离区,将上述第一网络设备的状态设置为暂不可信状态,将上述可信路径标记为未可信路径,其中,处于暂不可信状态的网络设备在等待预设时长后才能与上述处于暂不可信状态的网络设备的相邻网络设备通信且仅能与上述处于暂不可信状态的网络设备的相邻网络设备通信。
75.具体的,可信环境中,tcd将定期对可信路径进行认证审核,其审核方式可以与前述描述一致,对经由该可信路径访问资源服务器的用户终端发起认证链接,用户终端填写认证信息进行认证。若发现该用户终端无法通过认证,则将该用户终端连接的第一网络设备置于访问隔离区中,并标记为暂不可信状态。具体地,tcd还可以下发暂不可信指示,该暂可不可信指示中携带第一网络设备的设备名称,以指示第一网络设备的暂不可信状态;第一网络设备的相邻网络设备接收到该暂不可信指示后,根据该暂不可信指示中携带的第一网络设备的设备名称,确定第一网络设备的状态为暂不可信状态;该相邻网络设备在等待预设时长后重新与第一网络设备进行邻居设备发现过程,以重新建立邻居关系。在建立邻居关系后,该相邻网络设备将第一网络设备可以按照未注册状态下的网络设备处理第一网络设备的访问行为,即在第一网络设备通过该相邻网络设备访问内网资源区的资源时阻止第一网络设备的访问行为,实现对第一网络设备在逻辑上的隔离。
76.其中,暂不可信状态的网络设备有机会恢复到可信注册状态。在一定时长后,tcd可以再次要求该用户终端进行认证。具体的,tcd指示资源服务器向该用户终端提供资源访问认证,该认证可以通过包含第一网络设备的路径,如第一网络设备被确定为暂不可信状
态时认证所用的路径;如认证成功,将第一网络设备重新从访问隔离区移动至可信环境区,第一网络设备的状态设置为可信状态,并存储对应的可信路径。
77.应理解的是,tcd除了可以对该新加入内网环境的网络设备(即第一网络设备)对应的可信路径进行定期审核与处理外,还可以对该可信环境区中的每一网络设备对应的可信路径进行定期审核,其中,审核与处理的方式第一网络设备的方式相同,此处不再赘述。
78.通过对内网环境的可信路径进行定期审核与处理,对访问可信路径的用户设备进行监控,及时发现不能通过认证的用户终端,并将不能通过认证的用户终端所连接的网络设备的状态设置为暂不可信状态置于访问隔离区,以及时限制该网络设备及该用户终端的访问权限,避免非法访问资源服务器的资源,提高内网环境的安全性。
79.在一种可选的实施方式中,上述方法还包括:在通过上述第一网络设备访问上述内网环境的用户终端未通过认证的次数大于预设次数的情况下,将上述第一网络设备的状态设置为不可信状态,上述不可信状态的网络设备不能与邻居设备通信且不能访问上述内网环境中的任何资源。
80.具体的,上述预设次数可以根据需要设置;若通过第一网络设备访问内网环境的用户终端多次认证都失败,其未通过认证的次数大于预设次数时,使第一网络设备脱离可信环境。可以将第一网络设备的状态设置为不可信状态,不可信状态的网络设备不能与邻居设备通信且不能访问内网环境中的任何资源。具体地,tcd还可以下发不可信指示,该不可信指示中携带第一网络设备的设备名称,以指示第一网络设备的不可信状态;第一网络设备的相邻网络设备接收到该不可信指示后,根据该不可信指示中携带的第一网络设备的设备名称,确定第一网络设备的状态为不可信状态。
81.其中,相比暂不可信状态,不可信状态的持续时间可以更长,但不可信状态的网络设备仍可以有机会恢复到可信状态。暂不可信状态和不可信状态都属于一种被监督状态,即在该两种状态下的网络设备可以被tcd监督,在符合条件时可恢复可信状态;而从不可信状态到可信状态的恢复条件可以比从暂不可信状态变更为可信状态更苛刻,比如需要具有权限的用户进行手动设置,本技术实施例对此不做限制。
82.在用户终端未通过认证的次数大于预设次数的情况下,将与用户设备连接的网络设备的状态设置为不可信状态,及时发现多次不能通过认证的用户终端,限制该网络设备及该用户终端的访问权限,避免非法访问资源服务器的资源,提高内网环境的安全性。
83.在一种可选的实施方式中,上述方法还包括:基于内网可信协议获取上述可信环境区中的网络设备的异常信息,上述异常信息用于指示上述网络设备存在故障或网络层攻击;若上述可信环境区中的第二网络设备的异常信息满足预设设备隔离条件,将上述第二网络设备从上述可信环境区移动至上述访问隔离区,将上述第二网络设备的状态设置为上述暂不可信状态,其中,暂不可信状态的网络设备不能访问上述内网环境中的任何资源。
84.基于内网可信协议以及邻居表,tcd可以获取可信环境区中网络设备的状态信息,包括异常信息,该异常信息可以表示网络设备的异常情况,比如网络设备存在故障、网络黑洞或网络层攻击(广播风暴、arp欺骗等攻击手段)等影响正常通信或存在风险的情况。其中上述网络黑洞可以理解为,在某个网络设备处信息或数据丢失,导致原本可达的路径不可
达,且没有备份路径的情况,比如网络设备a到资源服务器c的路径仅有:网络设备a-网络设备b-资源服务器c一条,网络设备b处出现网络黑洞,导致网络设备a到资源服务器c的路径不可达。
85.具体的,当可信环境区中的第二网络设备出现异常时,第二网络设备可以通过可信协议向第二网络设备的相邻网络设备发送异常信息。异常信息可以为报告形式,主要包括网络设备运行过程中发生的异常类型、发生位置及异常发生时间等。通常网络设备中对一些种类的异常进行了定义,比如软件系统或程序对一些常见的异常已经说明了异常类型及处理方法。对于一些不在系统或程序预期范围内的异常,异常信息一般只说明异常发生位置,没有异常处理方法,这种信息也可以称作漏洞信息。
86.其他网络设备之间基于邻居表进行通知,以将第二网络设备的异常信息报告到tcd。tcd可以及时判断该异常信息是否满足预设设备隔离条件,若是,则将第二网络设备从可信环境区移动至访问隔离区,将第二网络设备的状态设置为暂不可信状态。上述预设设备隔离条件可以根据需要进行设置,比如规定了需要进行设备隔离的异常类型和/或异常发生位置,若通过异常信息确定属于需要进行设备隔离的异常类型或异常发生位置,则满足预设设备隔离条件。
87.可选的,对于上述暂不可信状态的网络设备,同样可以在等待特定时长后重新进行邻居发现、参与选举和可信路径记录的操作,直至无法加入可信环境区或正常运行为止。
88.应理解的是,tcd除了可以对该新加入内网环境的网络设备(即第一网络设备)按照上述方法进行处理外,还可以其他网络设备进行处理,处理的方式第一网络设备的方式相同。
89.在上述步骤103之后,该方法还可以包括:发起选举,以从所述可信环境区中的网络设备中选举出新的tcd和新的btcd,其中,所述btcd用于在tcd出现故障的情况下执行tcd执行的方法。
90.本技术实施例中通过上述网络设备选举,可以选举出可信环境区内的可信程度最高的tcd和btcd,根据内网环境变化及时调整tcd和btcd,保证tcd和btcd的较高可信程度,以对内网环境进行有效管控,提高内网环境的安全性。
91.本技术实施例中,可以从可信环境区中的网络设备中选举合适的tcd和btcd。以下在图1所示实施例的基础上,对选举方法进行介绍。
92.图3为本技术实施例提供的一种网络设备选举流程示意图,如图3所示,该方法包括:301、基于内网可信协议发起选举,以使可信环境区的每个网络设备均获取到可信环境区中的所有网络设备的可信指数,上述可信指数用于反映上述可信环境区内的网络设备的可信程度。
93.302、基于上述可信环境区中的所有网络设备的可信指数,将上述可信指数最高的前两个网络设备分别作为上述新的tcd和上述新的备份中心可信设备。
94.当有新的网络设备加入内网可信环境区,比如管理员在内网环境中加入可信注册状态的设备,或者有网络设备离开访问隔离区进入可信环境区,使得可信环境区具有多台网络设备时,可以基于内网可信协议选举出tcd和btcd。其中,在最早的一次选举中,内网环境中仅存在一台网络设备,此时无其他资源可访问,即此时资源服务器还未接入内网环境,
唯一能访问的是设备自身提供的管理功能,该台网络设备即作为tcd和btcd。
95.上述选举可以由tcd发起,基于内网可信协议中的选举机制,可以使可信环境区的每个网络设备均获取到可信环境区中的所有网络设备的可信指数,该可信指数反映了可信环境区内的网络设备的可信程度,从而可以执行步骤302。
96.具体的,tcd计算自身的可信指数(tcd可信指数),并将tcd可信指数基于可信协议的数据交换功能通知tcd的所有相邻网络设备1;tcd的相邻网络设备将tcd可信指数基于可信协议的数据交换功能通知相邻网络1的相邻网络设备2,并计算自身的可信指数,将可信指数基于可信协议的数据交换功能通知相邻网络设备1的所有相邻网络设备2(包括tcd);...以此类推,可信环境区内的每个网络设备的可信指数可以被传递到其他网络设备,可信环境区的每个网络设备均可获取到可信环境区中所有网络设备的可信指数。
97.在获得可信环境区中的所有网络设备的可信指数后,可以将可信指数最高的前两个网络设备分别作为新的tcd和新的btcd。在选举新的tcd和新的btcd完成之后,内网环境内的所有网络设备可以把存储的邻居表发送给新的tcd,然后新的tcd将这些邻居表拷贝副本保存至新的btcd以便其可以随时接替tcd。在此之后,新的tcd可以执行其内网环境的管理功能,包括但不限于如图1所示实施例中的任意步骤,此处不再赘述。
98.本技术实施例中通过上述网络设备选举,可以选举出可信环境区内的可信程度最高的tcd和备份中心可信设备,根据内网环境变化及时调整tcd和备份中心可信设备,保证tcd和备份中心可信设备的较高可信程度,以对内网环境进行有效管控,提高内网环境的安全性。
99.在一些可能的情况中,网络设备的可信指数基于上述网络设备的设备优先级、网络设备的接口带宽、网络设备连接的资源服务器数量、网络设备连接的网络段数量、网络设备的接口延迟情况中的至少一种得到。
100.设备优先级为管理员自主定义的网络设备的优先级;接口带宽(bandwidth)是指接口在单位时间(一般指的是1秒钟)内能传输的数据量,即接口的运行速度;带宽是指在单位时间(一般指的是1秒钟)内能传输的数据量;连接的资源服务器数量即网络设备可以访问的资源服务器数量、连接的网络段数量可以理解为网络设备连接的ip地址个数,可以通过邻居表确定;接口延迟是接口的数据请求到达服务器后返回数据所需的延迟时间。
101.若基于设备优先级确定可信指数,设备优先级越高,可信指数越高;若基于接口带宽确定可信指数,接口带宽越高可信指数越高;若基于接口延迟确定可信指数,接口延迟越低,可信指数越高;若基于连接的资源服务器数量确定可信指数,连接的资源服务器数量越多,则可信指数越高;若基于连接的网络段数量确定可信指数,连接的网络段数量越多,可信指数越高。
102.在一种可行的实施方式中,可以选择使用其中的一种参数作为可信指数计算,在网络设备的某个参数相同或无法获取等情况下可以切换使用其他参数计算可信指数,以此确定出以此确定出可信指数最高的前两个网络设备。例如,可以优先使用设备优先级作为可信指数,来比较网络设备的可信指数;如果设备优先级相同或未设置,则使用接口延迟作为可信指数,来比较网络设备的可信指数;如果接口延迟相同,则使用接口带宽作为可信指数来比较网络设备的可信指数;如果接口带宽相同,则使用连接资源区(资源服务器)数量作为可信指数来比较网络设备的可信指数;如果连接资源区数量相同,则使用连接的网络
段数量作为可信指数来比较网络设备的可信指数。
103.举例来讲,假设可信环境区中有网络设备a、网络设备b和网络设备c,则首先可以计算各个网络设备(a、b、c)的接口带宽,即可信指数a、可信指数b和可信指数c,其中假定每个网络设备有6个接口,那么:可信指数a=port1带宽+port2带宽+port3带宽...+port6带宽可信指数b= port1带宽+port2带宽+port3带宽...+port6带宽可信指数c= port1带宽+port2带宽+port3带宽...+port6带宽假设可信指数a 》 可信指数b 》可信指数c,即可以确定a设备为tcd,b设备为btcd。
104.如果接口带宽(延迟)相同,那么考虑网络设备连接资源服务器的数量,连接得越多则选举为tcd,次之的则选举为btcd。同理可得,当连接资源服务器数量相同时,则考虑连接的网络段数量,数量多则选举为tcd和btcd。
105.通过逐一选择网络设备的多种参数来作为可信指数比较网络设备的可信程度,能够从可信环境区中选择更为可靠的网络设备来作为tcd和bctd,以此保证内网的可信。
106.可选的,也可以选择多种参数,并基于加权的方式计算可信指数,本技术实施例对此不做限制。比如选择接口带宽和连接的网络段数量确定可信指数,可表示为:可信指数=a*接口带宽+b*连接的网络段数量,其中a、b为权重可以根据需要进行设置。
107.通过上述方法可以根据可信环境中的网络设备情况,合理选举可信程度高的tcd和btcd,并且能够及时灵活切换tcd和btcd,以对内网环境进行管理,维持内网环境的稳定。
108.本技术实施例通过可信环境的建立,使内网资源区可以被安全、可靠且高效的访问。防止了因为内网授权不可信设备访问资源区而造成的信息安全问题,如数据被盗、服务器被用于非法攻击和信息泄露。
109.基于上述方法实施例的描述,本技术实施例还公开了一种内网环境建立装置。请参见图4所示的一种内网环境建立装置的结构示意图,内网环境建立装置400包括:获取模块410,用于获取所述内网环境内的所有网络设备的邻居表,一个邻居表用于存储一台网络设备的邻居信息,所述邻居信息是指与所述一台网络设备连接的相邻网络设备的信息;设置模块420,用于在基于所述邻居表确定所述内网环境中存在第一网络设备的情况下,将所述第一网络设备的状态设置为未注册状态,并将所述第一网络设备置于访问隔离区,其中,所述第一网络设备为新接入所述内网环境中的网络设备,处于未注册状态的网络设备仅能与所述处于未注册状态的网络设备的相邻网络设备进行通信;所述设置模块420还用于,在通过所述第一网络设备访问所述内网环境的用户终端通过认证的情况下,将所述第一网络设备的状态设置为可信注册状态,并将所述第一网络设备从所述访问隔离区移动至可信环境区,其中,所述可信环境区的网络设备可与所述可信环境区内的任一网络设备进行通信。
110.在一种可选的实施方式中,内网环境建立装置400还包括路径模块430,用于:基于所述邻居表计算所述访问隔离区中的每个网络设备到达资源服务器的路径,并将所述访问隔离区中的每个网络设备到达资源服务器的路径标记为未可信路径,存储所述未可信路径;
在通过所述第一网络设备访问所述内网环境的用户终端通过认证的情况下,将所述用户终端对应的未可信路径标记为可信路径,所述用户终端对应的未可信路径为所述用户终端经所述第一网络设备到达所述资源服务器的路径。
111.在一种可选的实施方式中,所述设置模块420还用于:定期审核经由所述可信路径访问所述资源服务器的用户终端是否通过认证;在所述经由所述可信路径访问所述资源服务器的用户终端未通过认证的情况下,将所述第一网络设备从所述可信环境区移动至所述访问隔离区,将所述第一网络设备的状态设置为暂不可信状态,将所述可信路径标记为未可信路径,其中,处于暂不可信状态的网络设备在等待预设时长后才能与所述处于暂不可信状态的网络设备的相邻网络设备通信且仅能与所述处于暂不可信状态的网络设备的相邻网络设备通信。
112.在一种可选的实施方式中,所述设置模块420还用于,在通过所述第一网络设备访问所述内网环境的用户终端未通过认证的次数大于预设次数的情况下,将所述第一网络设备的状态设置为不可信状态,其中,处于不可信状态的网络设备不能与所述处于不可信状态的网络设备的相邻网络设备进行通信。
113.在一种可选的实施方式中,所述获取模块410还用于,基于内网可信协议获取所述可信环境区中的网络设备的异常信息,所述异常信息用于指示所述网络设备存在故障或网络层攻击;所述设置模块420还用于,若所述可信环境区中的第二网络设备的异常信息满足预设设备隔离条件,将所述第二网络设备从所述可信环境区移动至所述访问隔离区,将所述第二网络设备的状态设置为所述暂不可信状态,处于暂不可信状态的网络设备在等待预设时长后才能与所述处于暂不可信状态的网络设备的相邻网络设备通信且仅能与所述处于暂不可信状态的网络设备的相邻网络设备通信。
114.在一种可选的实施方式中,内网环境建立装置400还包括选举模块440,用于:发起选举,以从所述可信环境区中的网络设备中选举出新的可信中心设备和新的备份中心可信设备,其中,所述备份中心可信设备用于在可信中心设备出现故障的情况下执行可信中心设备执行的方法。
115.在一种可选的实施方式中,所述选举模块440具体用于:基于内网可信协议发起选举,以使所述可信环境区的每个网络设备均获取到所述可信环境区中的所有网络设备的可信指数,所述可信指数用于反映所述可信环境区内的网络设备的可信程度;基于所述可信环境区中的所有网络设备的可信指数,将所述可信指数最高的前两个网络设备分别作为所述新的可信中心设备和所述新的备份中心可信设备。
116.可选的,第三网络设备的可信指数基于所述第三网络设备的设备优先级、第三网络设备的接口带宽、第三网络设备连接的资源服务器数量、所述第三网络设备连接的网络段数量、所述第三网络设备的接口延迟情况中的至少一种得到,所述第三网络设备为所述可信环境区中的任一网络设备。
117.根据本技术的一个实施例,图2和图3所示的方法所涉及的各个步骤均可以是由图4所示的内网环境建立装置400中的各个模块执行的,此处不再赘述。
118.本技术实施例中的内网环境建立装置400,可以作为可信中心设备,通过获取上述
内网环境内的所有网络设备的邻居表,一个邻居表用于存储一台网络设备的邻居信息,上述邻居信息是指与上述一台网络设备连接的相邻网络设备的信息;在基于上述邻居表确定上述内网环境中存在第一网络设备的情况下,将上述第一网络设备的状态设置为未注册状态,将上述第一网络设备置于访问隔离区,其中,上述第一网络设备为新接入上述内网环境中的网络设备,处于未注册状态的网络设备仅能与所述处于未注册状态的网络设备的相邻网络设备进行通信;在通过上述第一网络设备访问上述内网环境的用户终端通过认证的情况下,将上述第一网络设备的状态设置为可信注册状态,并将上述第一网络设备从上述访问隔离区移动至可信环境区,其中,所述可信环境区的网络设备可与所述可信环境区内的任一网络设备进行通信;可以建立内网可信环境,监控网络设备的可信程度,将内网环境中不可信的网络设备置于访问隔离区,设置为未注册状态,在通过认证设置为可信注册状态后才能访问资源服务器,保证内网环境的稳定性和安全性。
119.基于上述方法实施例以及装置实施例的描述,本技术实施例还提供一种电子设备。如图5所示,该电子设备500包括存储器502和处理器501,所述存储器502中的计算机可读存储介质存储有计算机程序,所述计算机程序被所述处理器501执行时,使得所述处理器501执行如前述方法实施例中的任意步骤,此处不再赘述。
120.本技术实施例还提供了一种计算机存储介质(memory),上述计算机存储介质是电子设备中的记忆设备,用于存放程序和数据。可以理解的是,此处的计算机存储介质既可以包括路由器中的内置存储介质,当然也可以包括路由器所支持的扩展存储介质。计算机存储介质提供存储空间,该存储空间存储了适于被路由器加载并执行的一条或多条的指令,这些指令可以是一个或一个以上的计算机程序(包括程序代码),以实现如本技术前述方法实施例中的任意步骤。
121.所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
122.在本技术所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,该模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。所显示或讨论的相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
123.作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
124.在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时,全部或部分地产生按照本技术实施例的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中,或者通过该计算机可读存储介质进行传输。该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。

技术特征:
1.一种内网环境建立方法,其特征在于,应用于内网环境中的可信中心设备,所述内网环境中包括至少一台网络设备,所述方法包括:获取所述内网环境内的所有网络设备的邻居表,一个邻居表用于存储一台网络设备的邻居信息,所述邻居信息是指与所述一台网络设备连接的相邻网络设备的信息;在基于所述邻居表确定所述内网环境中存在第一网络设备的情况下,将所述第一网络设备的状态设置为未注册状态,并将所述第一网络设备置于访问隔离区,其中,所述第一网络设备为新接入所述内网环境中的网络设备,处于所述未注册状态的网络设备仅能与所述处于未注册状态的网络设备的相邻网络设备进行通信;在通过所述第一网络设备访问所述内网环境的用户终端通过认证的情况下,将所述第一网络设备的状态设置为可信注册状态,并将所述第一网络设备从所述访问隔离区移动至可信环境区,其中,所述可信环境区的网络设备可与所述可信环境区内的任一网络设备进行通信。2.根据权利要求1所述的内网环境建立方法,其特征在于,所述获取所述内网环境内的所有网络设备的邻居表之后,还包括:基于所述邻居表计算所述访问隔离区中的每个网络设备到达资源服务器的路径,并将所述访问隔离区中的每个网络设备到达资源服务器的路径标记为未可信路径,存储所述未可信路径;所述方法还包括:在通过所述第一网络设备访问所述内网环境的用户终端通过认证的情况下,将所述用户终端对应的未可信路径标记为可信路径,所述用户终端对应的未可信路径为所述用户终端经所述第一网络设备到达所述资源服务器的路径。3.根据权利要求2所述的内网环境建立方法,其特征在于,在将所述用户终端对应的未可信路径标记为可信路径之后,所述方法还包括:定期审核经由所述可信路径访问所述资源服务器的用户终端是否通过认证;在所述经由所述可信路径访问所述资源服务器的用户终端未通过认证的情况下,将所述第一网络设备从所述可信环境区移动至所述访问隔离区,将所述第一网络设备的状态设置为暂不可信状态,将所述可信路径标记为所述未可信路径,其中,处于暂不可信状态的网络设备在等待预设时长后才能与所述处于暂不可信状态的网络设备的相邻网络设备通信且仅能与所述处于暂不可信状态的网络设备的相邻网络设备通信。4.根据权利要求1所述的内网环境建立方法,其特征在于,所述方法还包括:在通过所述第一网络设备访问所述内网环境的用户终端未通过认证的次数大于预设次数的情况下,将所述第一网络设备的状态设置为不可信状态,其中,处于所述不可信状态的网络设备不能与所述处于不可信状态的网络设备的相邻网络设备进行通信。5.根据权利要求1所述的内网环境建立方法,其特征在于,所述方法还包括:基于内网可信协议获取所述可信环境区中的网络设备的异常信息,所述异常信息用于指示所述网络设备存在故障或网络层攻击;若所述可信环境区中的第二网络设备的异常信息满足预设设备隔离条件,将所述第二网络设备从所述可信环境区移动至所述访问隔离区,将所述第二网络设备的状态设置为所述暂不可信状态,其中,处于暂不可信状态的网络设备在等待预设时长后才能与所述处于
暂不可信状态的网络设备的相邻网络设备通信且仅能与所述处于暂不可信状态的网络设备的相邻网络设备通信。6.根据权利要求1所述的内网环境建立方法,其特征在于,在将所述第一网络设备从所述访问隔离区移动至可信环境区之后,所述方法还包括:发起选举,以从所述可信环境区中的网络设备中选举出新的可信中心设备和新的备份中心可信设备,其中,所述备份中心可信设备用于在可信中心设备出现故障的情况下执行可信中心设备执行的方法。7.根据权利要求6所述的内网环境建立方法,其特征在于,所述发起选举,以从所述可信环境区中的网络设备中选举出新的可信中心设备和新的备份中心可信设备,包括:基于内网可信协议发起选举,以使所述可信环境区的每个网络设备均获取到所述可信环境区中的所有网络设备的可信指数,所述可信指数用于反映所述可信环境区内的网络设备的可信程度;基于所述可信环境区中的所有网络设备的可信指数,将所述可信指数最高的前两个网络设备分别作为所述新的可信中心设备和所述新的备份中心可信设备。8.根据权利要求7所述的内网环境建立方法,其特征在于,第三网络设备的可信指数基于所述第三网络设备的设备优先级、第三网络设备的接口带宽、第三网络设备连接的资源服务器数量、所述第三网络设备连接的网络段数量、所述第三网络设备的接口延迟情况中的至少一种得到,所述第三网络设备为所述可信环境区中的任一网络设备。9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至8中任一项所述的一种内网环境建立方法的步骤。10.一种计算机可读存储介质,其特征在于,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至8中任一项所述的一种内网环境建立方法的步骤。

技术总结
本申请公开了一种内网环境建立方法、电子设备和存储介质。其中方法应用于内网环境中的可信中心设备,内网环境中包括至少一台网络设备,包括:获取内网环境内的所有网络设备的邻居表,一个邻居表用于存储一台网络设备的邻居信息;在基于邻居表确定内网环境中存在第一网络设备的情况下,将第一网络设备的状态设置为未注册状态,将第一网络设备置于访问隔离区,仅能与第一网络设备的相邻网络设备进行通信;在通过第一网络设备访问内网环境的用户终端通过认证的情况下,将第一网络设备的状态设置为可信注册状态,并将第一网络设备从访问隔离区移动至可信环境区,其中,可信环境区的网络设备可与可信环境区内的任一网络设备进行通信。信。信。


技术研发人员:张登超
受保护的技术使用者:深圳华策辉弘科技有限公司
技术研发日:2022.05.25
技术公布日:2022/7/5
转载请注明原文地址: https://www.8miu.com/read-6273.html

专利

最新回复(0)