[发明专利]基于轻量级分布式协同设备安全阻断方法、装置及设备

说明书

本申请提供了一种基于轻量级分布式协同设备安全阻断方法、装置及设备。本申请中，阻断设备基于自身的topic向阻断管理设备订阅数据，阻断管理设备发布目标数据至阻断设备的topic以使每一阻断设备订阅topic为本阻断设备的topic的目标数据并对目标数据中的目标IP地址（与阻断设备在同一个C类网段）执行阻断或者放行操作，这种通过发布/订阅模式实现各阻断设备对同一个C类网段的IP地址执行阻断或者放行操作，实现了一种基于轻量级分布式协同设备安全阻断，并减轻每个阻断设备的压力，提高每个阻断设备执行阻断操作时的最佳阻断效果，且无需对现有网络进行改造。

技术领域

本申请涉及数据安全技术，特别涉及一种基于轻量级分布式协同设备安全阻断方法、装置及设备。

背景技术

在物联网应用中，物联网结构复杂，其可由很多个不同的局域网构成。在每一局域网中，存在各式各样的物联网设备接入网络。而这些各式各样的物联网设备中就有可能存在非法设备、冒充设备等不合法设备。一旦不合法设备接入网络，则会给网络带来很大的安全风险。

发明内容

本申请实施例提供了一种基于轻量级分布式协同设备安全阻断方法、装置及设备，以实现轻量级分布式协同设备进行安全阻断，提高网络安全。

本申请实施例提供一种基于轻量级分布式协同设备安全阻断方法，该方法应用于局域网中新部署的阻断设备，所述阻断设备与数据中心网中新部署的阻断管理设备按照MQTT协议建立连接，同一局域网中的设备处于同一C类网段，该方法包括：

获得所述阻断管理设备发布的目标数据；所述目标数据对应的发布主题名topic为所述阻断设备的topic；所述目标数据包括目标IP地址和对所述目标IP地址执行的目标操作，所述目标操作为阻断或放行；所述阻断设备的IP地址与所述目标IP地址处于同一C类网段中；

若所述目标操作为阻断，则确定所述目标IP地址对应的第一MAC地址，依据所述目标IP地址和第一MAC地址生成ARP数据包；所述第一MAC地址与已获得的与所述目标IP地址对应的第二MAC地址不同、且与其他任一有效IP地址对应的MAC也不同；

在所述局域网中广播所述ARP数据包，以使局域网中收到所述ARP数据包的网络设备根据所述ARP数据包将ARP表中与所述目标IP地址对应的MAC地址更新为所述第一MAC地址。

作为一个实施例，该方法之前进一步包括：

按照心跳发送间隔时间向所述阻断管理设备发送心跳数据；所述心跳数据中至少携带所述阻断设备的IP地址和所述阻断设备的topic，以使所述阻断管理设备建立所述阻断设备的IP地址与所述阻断设备的topic之间的对应关系，并在获得所述目标数据时基于建立的所述对应关系确定向所述阻断设备推送topic为所述阻断设备的topic的目标数据。

作为一个实施例，所述心跳数据还携带：心跳数据发送时间戳和心跳发送间隔时间，以使所述阻断管理设备在监测到心跳数据发送时间戳之后的N个心跳发送间隔时间内未收到所述阻断设备发送的心跳数据时，发出告警信息；所述告警信息用于指示所述阻断设备离线，所述N大于等于1。

作为一个实施例，所述生成ARP数据包进一步包括：将所述ARP数据包以及所述目标IP地址对应记录至阻断数据包列表；

所述在所述局域网中广播所述ARP数据包包括：

按照设定报文发送间隔在所述局域网中广播所述阻断数据包列表中的所述ARP数据包。

作为一个实施例，该方法进一步包括：

将本地ARP表中与所述目标IP地址对应的MAC地址更新为所述第一MAC地址，以阻断所述阻断设备与所述目标IP地址对应的目标设备进行通信。

作为一个实施例，若所述目标操作为放行，该方法进一步包括：