楼宇网关的网络安全防护方法、装置、设备及存储介质
文献发布时间:2023-06-19 19:28:50
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于楼宇网关的网络安全防护方法、一种基于楼宇网关的网络安全防护装置、一种电子设备以及一种计算机可读存储介质。
背景技术
随着云计算、物联网等技术在楼宇信息化领域的加速融合,为智慧楼宇带来广阔的发展机遇的同时,也导致楼宇系统接入范围不断扩展,楼宇网络构成愈加复杂,增加了系统遭受网络攻击的风险。
为了提升楼宇系统的网络安全,相关技术中提及的网络安全应对方式,主要围绕安全漏洞进行分析与检测,并依据检测结果,另行部署专用网络安全设备(如防火墙等),并完成对应安全策略制定与配置。但其针对楼宇系统会存在以下问题:
1)系统部署关键信息的安全性不足
以标准防火墙或路由器进行楼宇系统的VPN构建,其构建参数均在防火墙或路由器进行设置与保存,每次新增VPN分支站点或维护时,需现场进行查询显示、输入与修改等操作,导致VPN密钥和认证凭证等高敏感或机密性参数难以有效管理,存在较严重的本地泄露的可能,也提高了本地非授权用户/设备非法接入VPN平台中心侧的安全性风险。
2)安全管理对工程人员专业性要求高、适应性低
用户侧站点的本地楼宇系统面临的网络威胁,一方面是楼宇系统接入广域网后的来自互联网的攻击,另一方面是楼宇本地内网的非法设备接入或非授信条件下的业务访问,但相关技术中的网络安全设备与楼宇业务缺乏融合,需由专业网络管理员(或IT人员)依据当前网络环境进行评估,操作繁琐且对人员专业水平依赖性较高。
发明内容
本申请提供了一种楼宇网关的网络安全防护方法、装置、设备及存储介质,以解决相关技术在进行楼宇安全网络搭建时存在的安全性不足、对工程人员的专业度要求高等问题。
根据本申请的第一方面,提供了一种基于楼宇网关的网络安全防护方法,所述方法应用于楼宇网关中,一个所述楼宇网关对应一个或多个楼宇站点,所述楼宇站点包括一个或多个楼宇终端设备以及与各所述楼宇终端设备连接的楼宇控制器,所述楼宇终端设备通过所述楼宇控制器接入至所述楼宇网关中;所述方法包括:
当楼宇网关接入至VPN网络以后,在楼宇系统中对包含所述楼宇控制器的系统内设备以及第三方标准设备进行设备探测,以构建本地合法设备集;
构建所述本地合法设备集的访问控制规则;
基于所述访问控制规则确定所述本地合法设备集中各合法设备的资源预留信息;
基于所述资源预留信息确定攻击防护参数;
采用所述攻击防护参数对各合法设备进行攻击防护处理。
根据本申请的第二方面,提供了一种基于楼宇网关的网络安全防护装置,所述装置设置于楼宇网关中,一个所述楼宇网关对应一个或多个楼宇站点,所述楼宇站点包括一个或多个楼宇终端设备以及与各所述楼宇终端设备连接的楼宇控制器,所述楼宇终端设备通过所述楼宇控制器接入至所述楼宇网关中;所述装置包括:
合法设备集构建模块,用于当楼宇网关接入至VPN网络以后,在楼宇系统中对包含所述楼宇控制器的系统内设备以及第三方标准设备进行设备探测,以构建本地合法设备集;
访问控制规则构建模块,用于构建所述本地合法设备集的访问控制规则;
资源预留信息确定模块,用于基于所述访问控制规则确定所述本地合法设备集中各合法设备的资源预留信息;
攻击防护参数确定模块,用于基于所述资源预留信息确定攻击防护参数;
攻击防护处理模块,用于采用所述攻击防护参数对各合法设备进行攻击防护处理。
根据本申请的第三方面,提供了一种电子设备,所述电子设备包括光幕发射端和光幕接收端,所述光幕接收端包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述第一方面所述的方法。
根据本申请的第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现上述第一方面所述的方法。
在本实施例中,通过建立楼宇网关与楼宇业务数据的高融合性基础,自动完成本地楼宇系统所属设备的探测验证与分支侧VPN子网地址分配,形成本地合法设备集,并基于合法设备集合、动态预留资源调节,在尽量保证正业务访问无影响下,实现对楼宇本地子网的访问控制和攻击防护的主动构建。通过基于楼宇网关的预留资源与流量负荷动态分析,以主动式自动构建访问安全控制策略,从而,有效提升用户侧本地楼宇系统与云端平台中心IPsecVPN网络安全隧道接入及楼宇系统子网安全防护的自适应水平和安全性。
应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例一提供的一种基于楼宇网关的网络安全防护方法的流程图;
图2是本申请实施例一提供的一种楼宇网络管理系统架构图;
图3是本申请实施例一提供的一种对系统内设备进行设备探测的流程示意图;
图4是本申请实施例一提供的一种对第三方标准设备进行设备探测的流程示意图;
图5是本申请实施例一提供的一种构建访问控制规则的流程示意图;
图6是本申请实施例一提供的一种攻击防护处理的流程示意图;
图7是本申请实施例二提供的一种基于楼宇网关的网络安全防护装置的结构示意图;
图8是本申请实施例三提供的一种电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本申请实施例一提供的一种基于楼宇网关的网络安全防护方法的流程图,该方法应用于楼宇网关中。其中,如图2的楼宇网络管理系统架构图所示,一个楼宇网关对应一个或多个楼宇站点,一个楼宇站点中可以包括一个或多个楼宇终端设备,如图2所示的门禁管理设备、能源管理设备、环境管理设备、空调管理设备、信息发布设备、梯控管理设备、设备管理设备、第三方系统等。各楼宇站点还可以包括与各宇终端设备连接的楼宇控制器,各楼宇终端设备通过楼宇控制器接入至楼宇网关中。接着,各楼宇网关通过IPsecVPN隧道接入至广域网的楼宇管理云平台中。
具体的,如图2所示,在楼宇管理云平台一般部署于公有云,包括楼宇网关(GWC)验证模块、中心侧IPsecVPN模块、私有网络校时服务模块及各类业务服务模块,为系统导入的各用户站点提供后台数据存储、监测、管理、集成的平台中心,为各类使用者提供全系统与多站点的管理服务。
楼宇站点(即用户侧分支站点),一般为较大规模楼宇或建筑群的用户本地侧区域性的管理对象,由部署于楼宇本地局域网络的楼宇网关及各类业务子系统构成,涵盖门禁管理、访客管理、照明管理、电能管理、空调管理、梯控管理等业务子系统,每类业务子系统包括对应现场控制器和终端设备。
楼宇网关,一般每个用户分支侧站点内部署一台,可为楼宇用户侧提供为基于广域网接入的IPsecVPN安全隧道和本地子网访问控制与攻击防护,同时,还可为楼宇本地区域统一管理与多子系统联动等提供完善的边缘端支撑。其构成主要包括:内/外网接口、分支侧IPsecVPN模块、验证链路接入模块、站点部署信息模块、系统设备信息模块、预留资源计算与调整模块、本地设备探测及VPN子网内设备地址分配模块、访问安全控制模块、攻击防护模块及区域管理与联动等其他业务模块。
楼宇控制器是楼宇各类业务子系统的现场终端的接入设备与本地管理设备,一般具备丰富的现场总线及输入/输出接口,可完成各类终端的数据采集、存储与上传、本地化管控。
楼宇终端设备又称为现场终端/设施,是楼宇系统管理的末端对象,包括现场楼宇各类设施设备(如空调、电梯)、仪表(水、电、气表等)、认证终端(人脸、指静脉)、传感与控制及第三方系统等。
如图1所示,本实施例可以包括如下步骤:
步骤101,当楼宇网关接入至VPN网络以后,在楼宇系统中对包含楼宇控制器的系统内设备以及第三方标准设备进行设备探测,以构建本地合法设备集。
其中,该VPN网络为楼宇管理云平台的VPN网络。
在一种实现中,楼宇网关可以采用如下方式接入VPN网络:
首先,基于本楼宇网关的网关标识,向楼宇管理云平台请求获取网关身份信息存储地址,并在获得该网关身份信息存储地址以后,从该存储地址中读取网关身份信息。
接着,根据网关身份信息与网关标识等信息生成网关设备信息,并基于该网关设备信息向楼宇管理云平台发起初始接入验证请求。
楼宇管理云平台收到该初始接入验证请求以后,从中提取出网关设备信息,然后根据该网关设备信息中的网关标识从预先存储的设备信息数据表中查找对应的网关设备信息,若提取出的网关设备信息与查找到的网关设备信息一致则对该楼宇网关的初始接入验证通过。对楼宇网关的初始接入验证通过以后,楼宇管理云平台向该楼宇网关返回包含随机值T的初始验证通过消息。
然后,楼宇网关从该初始验证通过消息中提取出随机值T,按照设定转换算法将其转换成验证码T1,然后将T1发送至楼宇管理云平台。楼宇管理云平台收到T1以后,按照设定转换算法将随机值T转换成验证码T2,如果T2与T1相同,则对该楼宇网关的二次接入验证通过。
最后,楼宇管理云平台以当前楼宇网关的网关标识为条件查询预先生成的站点部署信息表,以获得该楼宇网关对应站点的VPN部署信息,该VPN部署信息示例性地可以包括:用户站点代号、业务部署参数、中心侧IPsecVPN接入参数、分支侧IPsecVPN子网构建参数等。楼宇管理云平台将该VPN部署信息下发至对应的楼宇网关。楼宇网关获得VPN部署信息以后,基于分支侧IPsecVPN子网网段,将自身内网LAN接口网络参数调整至对应网段;然后检测到自身IPsecVPN接入参数的隧道建立与运行参数(含中心侧VPN公网IP、IPsec认证参数、IPsec隧道模式与第1/2阶段协商参数)存在更新后,按新接入参数重启与远端IpsecVPN中心的IPsec隧道建立请求,待其与中心侧间IPsec隧道创建第一阶段(IKE SA)、第二阶段(IPsec SA)各项协商及认证过程步骤均正常通过后,即IPsec隧道已建立完成,本站点分支与平台中心侧两端子网间IPsecVPN站到站连接已完成。
需要说明的是,在上述接入VPN网络的实现过程中,楼宇网关与楼宇管理云平台之间的通信可以采用加密的方式进行,较佳地在不同的阶段(如初始接入验证阶段、二次接入验证阶段、VPN部署信息等)加密方式或者密钥是不同的,从而保证数据的安全。
当然,除了上述方式以外,楼宇网关还可以采用其他方式接入VPN网络,本实施例对此不作限制。
当楼宇网关接入至VPN网络以后,则可以将本分支侧VPN子网的设备接入VPN网络,以及,构建本地合法设备集。
在实现时,可以通过对包含楼宇控制器的系统内设备以及第三方标准设备进行自动探测验证的方式生成本地合法设备集。
步骤102,构建本地合法设备集的访问控制规则。
其中,该访问控制规则用于对本地合法设备集中的本地合法设备进行访问控制。
步骤103,基于该访问控制规则确定本地合法设备集中各合法设备的资源预留信息。
示例性地,该资源预留信息可以包括但不限于:预估外网链路数量、预估外网流量、预估VPN链路数量、预估VPN流量等。
步骤104,基于资源预留信息确定攻击防护参数。
示例性地,攻击防护参数可以包括:WAN(即外网)总流量预警值、WAN总流量安全值、VPN总流量预警值、VPN总流量安全值、各设备的外网连接数安全值、各设备的VPN连接数安全值、多连接预警值等。
步骤105,采用该攻击防护参数对各合法设备进行攻击防护处理。
在一种实施例中,在步骤101中,当对系统内设备进行设备探测时,结合图3所示,步骤101进一步可以包括如下步骤:
步骤101-1,创建组播组。
其中,该组播组内的设备包括若干楼宇控制器。
具体的,楼宇网关启动以后可以先创建默认的组播组B1,例如,楼宇网关可以基于IGMPv2标准协议创建组播组。
系统内设备(如现场控制器或其他标准网络接口现场终端)启动后首先加入组播组B1。
步骤101-2,扫描本地子网设备,以获取本地子网内已占用的IP地址集,并基于已占用的IP地址集生成空闲IP地址集合。
在一种实现中,楼宇网关GWC可以以本地子网设备探测手段,例如网络扫描工具nmanp(Network Mapper,是一个网络连接扫描和嗅探工具包),实时获取本地子网内已占用的IP地址集,接着依据本地地址全集,确定已占用的IP地址集的补集,形成空闲IP地址集合F。
步骤101-3,在组播组内以组播方式发送设备查询命令,并接收组播组内各设备基于该设备查询命令返回的应答指令。
具体的,楼宇网关可以定时向组播组B1内以组播方法发送设备查询命令C1,示例性地,设备查询命令C1中可以包括本地VPN子网网段、楼宇网关的IP地址等信息。
组播组B1内各系统内设备(如楼宇控制器)收到设备查询命令C1后,判定自身当前的网络参数是否与C1携带的本地VPN子网网段的网络参数相符,如相符,则以楼宇网关GWC的IP地址为目的端以单播的形式向GWC回复登记应答指令CK1;如不相符,则以组播地址回复第一分配请求应答指令CK2。
示例性地,CK1可以包括但不限于:当前系统内设备自身的网络参数(如本地IP地址、子网掩码、网关地址)、MAC地址、设备类型等。其中,该设备类型为该设备所属的业务类型,如能源管理、空调管理等。
步骤101-4,基于应答指令确定已登记设备以及未登记设备。
楼宇网关收到组播组内各设备返回的应答指令以后,则根据收到的应答指令判断各设备为已登记设备还是未登记设备。
在一种实施例中,设备查询命令可以包括VPN子网网段、楼宇网关自身的IP地址;则步骤101-4进一步可以包括如下步骤:
步骤101-4-1,识别应答指令为登记应答指令或第一分配请求应答指令。
楼宇网关收到应答指令以后,可以首先识别该应答指令为登记应答指令CK1还是第一分配请求应答指令CK2。
其中,登记应答指令CK1为设备判断本机的网络参数与VPN子网网段的网络参数相匹配时,向楼宇网关返回的应答信息;第一分配请求应答指令CK2为设备判断本机的网络参数与VPN子网网段的网络参数不匹配时,向楼宇网关返回的应答信息。
步骤101-4-2,将发送第一分配请求应答指令的设备作为未登记设备。
若楼宇网关收到的应答指令为CK2,则将发送该CK2的设备作为未登记设备。在发现未登记设备以后,楼宇网关则可以为其进一步分配网络参数。
步骤101-4-3,将发送登记应答指令的设备作为候选已登记设备,并向候选已登记设备发送登记确认信息,若在发出登记确认信息的设定确认时长内收到任一候选已登记设备发送的第二分配请求应答指令,则将发送该第二分配请求应答指令的设备作为未登记设备;将没有发送第二分配请求应答指令的设备作为已登记设备。
具体的,楼宇网关收到CK1后,则可以将发送该CK1的设备作为候选已登记设备,并立即向对应的候选已登记设备以单播方式回复登记确认信息CA1。
系统内设备发送CK1后,持续等待楼宇网关的登记确认信息CA1,如超时未收到CA1,则表示此设备当前网络配置参数不可用(如存在冲突),则此设备向组播地址B1回复第二分配请求应答指令CK4。
楼宇网关收到CK4后,则可以将发送CK4的候选已登记设备作为未登记设备进行网络重新分配,而对于没有发送CK4的候选已登记设备则确定为已登记设备。
步骤101-5,将已登记设备加入本地合法设备集,并标记为系统内设备。
在一种实施例中,步骤101-5进一步可以包括如下步骤:
将已登记设备的设备信息记录在本地合法设备集对应的设备信息表中。
其中,设备信息表用于记录本地合法设备集的各设备的设备信息,该设备信息包括IP地址、MAC地址、设备类型等,设备信息表Tab1可以如下表1所示:
表1
步骤101-6,对未登记设备,则基于空闲IP地址集合进行内网地址分配,并将已完成内网地址设置的未登记设备作为已登记设备加入本地合法设备集。
在一种实施例中,步骤101-6进一步可以包括如下步骤:
针对任一未登记设备,获取该未登记设备的原IP地址和MAC地址;从空闲IP地址集合中选取一空闲IP地址作为目标空闲IP地址;根据该未登记设备的原IP地址和MAC地址,以及该目标空闲IP地址生成分配确认信息,并将该分配确认信息以组播的方式在组播组内发送;接收基于分配确认信息的登记响应信息,其中,该登记响应信息为组播组内的设备收到分配确认信息以后,将其携带的原IP地址和MAC地址与自身的IP地址和MAC地址比较,并在比较一致时根据该分配确认信息中携带的目标空闲IP地址设置自身的内网LAN口网络参数后向楼宇网关返回的信息;将发送该登记响应信息的未登记设备作为已登记设备加入本地合法设备集。
该步骤中,楼宇网关确定设备为未登记设备后,保存此设备当前的IP地址(作为原IP地址)和MAC地址,然后从当前空闲IP地址集合F内选取空闲IPi,并以GWC网关的IP地址、新分配IPi及配套网络参数、此设备原IP地址和MAC为内容向组播组B1发送分配确认信息CK3。
组播组B1内各设备收到分配确认信息CK3后,首先判断分配确认信息内携带的原IP地址和MAC地址是否与自身当前的IP地址合MAC地址相符,如相符则按帧内的新分配IPi及配套网络参数对自身网络参数进行设置,并以GWC的IP地址(IP1)向GWC回复登记响应信息。
在实际上,登记响应信息与登记应答指令CK1是相同的,该登记响应信息也可以包括:自身网络参数(本地IP地址、子网掩码、网关)、MAC地址、设备类型等。
需要说明的是,上述楼宇网关与系统内设备的通信交互过程中,对于交互帧载荷的内容可以采用本地默认秘钥和加密算法fl进行加密,以提升数据的安全性。
在另一种实施例中,当对第三方标准设备(如PC或其他标准网络接口现场终端设备)进行设备探测时,则其网络参数配置可由楼宇网关GWC的内网口DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)服务进行自动分配,也可由用户自身按本地分支侧VPN子网范围静态设定,本实施例对此不作限制。
在一种实现中,结合图4所示,当对第三方标准设备进行设备探测时,步骤101进一步可以包括如下步骤:
步骤101-7,获取站点部署信息表。
其中,该站点部署信息表中记录有不同楼宇站点对应的业务部署参数,该业务部署参数示例性可以包括各楼宇站点对应的楼宇网关标识、业务类型、开放性协议类型、第三方对接地址等。
除此以外,站点部署信息表中还可以包括中心侧IPsecVPN接入参数、分支侧IPsecVPN子网构建参数等,如下表2所示。
/>
表2
步骤101-8,在站点部署信息表中查找与本楼宇网关匹配的数据记录,并从该数据记录中查找存在开放性协议类型的数据记录作为目标数据记录。
例如,在表2中,通过“楼宇网关设备编号”字段查找本楼宇网关的设备编号,得到与本楼宇网关匹配的数据记录。然后从与本楼宇网关匹配的数据记录中查找“开放性协议类型”非空的数据记录作为目标数据记录。
需要说明的是,如果与本楼宇网关匹配的数据记录中记录的“开放性协议类型”以及“第三方对接地址”为空则跳过本实施例的过程。
步骤101-9,抓取内网流入包,并获取所述内网流入包的目的地址、协议及端口信息。
在实现时,楼宇网关可以启动内网口流入抓包功能来抓取内网流入包,并分析抓取的内网流入包的目的地址、网络层协议及端口信息。
步骤101-10,若内网流入包的目的地址、协议及端口信息符合目标数据记录中记录的开放性协议类型和第三方对接地址,则将该内网流入包所属设备加入本地合法设备集,并标记该设备为第三方标准设备。
在该步骤中,针对符合目标数据记录中的“开放性协议类型”和“第三方对接地址”的内网流入包,则将其所属设备追加入本地合法设备集Tab1中,且将设备类型标注为第三方/标准网络设备。
在一种实施例中,访问控制规则包括访问白名单列表以及访问黑名单列表;结合图5,步骤102进一步可以包括如下步骤:
步骤102-1,获取本地合法设备集中各系统内设备的原IP地址与MAC地址,并将该原IP地址与MAC地址进行绑定,生成第一白名单子集。
具体的,对于网络内网口的流入数据包,楼宇网关可以依据Tab1,将Tab1中的设备项加入本地VPN子网流入白名单WN1,较佳地可以将Tab1中VPN连接数不为0的设备项加入本地VPN子网流入白名单WN1。
然后依据WN1,将WN1中的设备的原IP地址与MAC地址进行绑定,形成第一白名单子集,即MAC与IP绑定规则集R1。
对不在此R1内的设备的流入数据包拒绝由楼宇网关内网口进入本地VPN子网内。
步骤102-2,对本地合法设备集中的第三方标准设备,在预先生成的站点部署信息表中获取其开放性协议类型以及第三方对接地址,生成第二白名单子集。
在该步骤中,楼宇网关依据站点部署信息表中的“业务类型”、“第三方对接地址”、“开放性协议类型”,将Tab1中类型属于第三方标准设备的设备形成设备集N2,并以其源地址范围、开放性协议类型、第三方对接地址形成包过滤规则集合R2,即第二白名单子集。
对N2地址范围内的设备,对其源地址范围、开放性协议类型、第三方对接地址,符合访问控制规则集合R2的准予放行,对外网(WAN)及内网(LAN)流入包不属于规则集R2的包不允许通过。
步骤102-3,将第一白名单子集以及第二白名单子集生成访问白名单列表。
得到R1和R2后,则可以将两者汇总形成白名单总集R5,即访问白名单列表。
步骤102-4,获取预先生成并实时更新的访问黑名单列表。
该步骤中,网关外网WAN口流入及内网非VPN流入包的访问控制采用黑名单列表BN1形式,初始黑名单列表为空,即默认为全开放,后续视攻击防护监控情况,自动将异常地址追加入黑名单列表BN1。该访问黑名单列表有可以称为包过滤规则集R3。
楼宇网关GWC运行过程中如Tab1、“第三方对接地址”、“开放性协议类型”等有更新,则按上述步骤进行对应的R1R1R3的更新。
在一种实施例中,步骤103进一步可以包括如下步骤:
步骤103-1,根据本地合法设备集的设备信息表中记录的各设备类型,获取基于访问控制规则流入的各设备类型对应的访问信息,访问信息包括许可协议、访问源、以及平均流量速率。
其中,该平均流量速率为同一设备类型中来自于同一许可协议和同一访问源的平均流量速率。
基于访问控制规则流入的各设备类型对应的访问信息可以包括按照白名单列表或黑名单列表允许流入的各设备类型的访问信息。
步骤103-2,根据所述设备类型以及所述访问信息生成类型访问对照表。
具体的,楼宇网关可以依据Tab1内记录的各设备类型,获取每个设备类型涉及的访问信息,以建立类型访问对照表Tab2,Tab2中涉及的字段可以包括:业务类型、服务/应用、协议(即许可协议)、端口、访问源、平均流量速率等,如下表3所示:
表3
其中,若设备类型为非第三方/标准设备,其各字段内容按系统内对该设备的默认定义进行相关设定;若设备类型为第三方/标准设备,其协议类型与本站点的站点部署信息表中的“第三方协议类型”一致,其访问源按本站点的站点部署信息表中的“第三方对接地址”归属进行划分,比如为VPN子网则记为VPN子网,如属外网则记为外网。
步骤103-3,遍历设备信息表中的各设备,依据当前遍历到的设备的设备类型,在类型访问对照表中查找该设备类型对应的目标访问信息。
步骤103-4,若访问目的端属于外网,则将目标访问信息中访问源为外网的许可协议的数量作为预估外网链路数量,将目标访问信息中访问源为外网的许可协议的平均流量速率的平均值作为预估外网流量速率。
步骤103-5,若访问目的端属于VPN内网,则将目标访问信息中访问源为VPN子网的许可协议的数量作为预估VPN链路数量,将目标访问信息中访问源为VPN子网的许可协议的平均流量速率的平均值作为预估VPN流量速率。
步骤103-6,将各设备的资源预留信息追加到设备信息表中。
示例性地,资源预留信息可以包括:预估外网链路数量、预估外网流量速率、预估VPN链路数量、预估VPN流量速率、连接预留因子等。
在实现时,可以将Tab1中各设备按其设备类型向类型访问对照表Tab2查询其许可协议及各协议对应的平均流量速率。如果访问目的端属于外网的,将其各协议总数量合计为该设备的预估外网链路数量dev
得到各设备的资源预留信息K以后,则可以在Tab1表为各设备项追加资源预留信息K,如下表4所示:
表4
在一种实施例中,步骤104进一步可以包括如下步骤:
步骤104-1,根据资源预留信息,确定外网或VPN的攻击防护初始参数,所述攻击防护初始参数包括:总流量预警值、总流量安全值、多连接预警值、各设备的连接数安全值。
示例性地,该攻击防护初始参数可以包括:WAN总流量预警值、WAN总流量安全值、VPN总流量预警值、VPN总流量安全值、各设备的外网连接数安全值、各设备的VPN连接数安全值、WAN口的多连接预警值、VPN的多连接预警值等。
在一种实现中,总流量预警值采用如下方式计算:获取各设备在当前入口的流入流量速率,并将各设备在当前入口的流入流量速率之和作为当前入口的总流量预警值,其中,当前入口为外网口或VPN口。
总流量安全值采用如下方式计算:将总流量预警值提高当前入口的设定流量预留因子的幅度,得到总流量安全值,其中,所述流量预留因子小于1。
具体的,外网口WAN总流量预警值的计算方式为:将任意设备i的外网口流入流量速率表示为预估外网流量速率dev
WAN总流量安全值的计算方式为:假设外网流量预留因子表示为a(a<1,例如a的初始值默认为0.5),则WAN总流量安全值wanTotalRateSaf为:
wanTotalRateSaf=wanTotalRateWarn×(1+a)
VPN总流量预警值的计算方式为:对于VPN子网流量,将任意设备i的VPN流入流量速率表示为预估VPN流量速率dev
VPN总流量安全值的计算方式为:假设VPN流量预留因子表示为b(b<1,例如b的初始值默认为0.5),则VPN总流量安全值VpnTotalRateSaf为:
VpnTotalRateSaf=VpnTotalRateWarn×(1+b)
在一种实现中,各设备的连接数安全值采用如下方式计算:获取各设备相对于当前入口的连接数,将该连接数提高当前入口的设定连接预留因子的幅度,得到对应的连接数安全值,其中,连接预留因子小于1。
具体的,设备i的外网连接数安全值的计算方式为:将任意设备i的外网连接数表示为预估外网链路数量dev
dev
设备i的VPN连接数安全值的计算方式为:将任意设备i的VPN连接数表示为预估VPN链路数量dev
dev
多连接预警值采用如下方式计算:将当前入口的总流量预警值与连接安全系数的乘积作为当前入口的多连接预警值,其中,该连接安全系数为当前入口的各设备的连接预留因子之和与设备数量的比值。
具体的,多连接预警值的计算方式为:根据WAN总流量预警值wanTotalRateWarn,可以采用如下公式计算WAN口的多连接预警值WanMultiLinkRateWarn:
WanMultiLinkRateWarn=f×WanTotalRateWarn
其中,f为连接安全系数,对于WAN口可采用如下公式计算f:
其中,n为当前系统设备总数量。
根据VPN总流量预警值VpnTotalRateWarn,可以采用如下公式计算VPN的多连接预警值VpnMultiLinkRateWarn:
VpnMultiLinkRateWarn=f×VpnTotalRateWarn
其中,f为连接安全系数,对于VPN可采用如下公式计算f:
其中,n为当前系统设备总数量。
在其他示例中,f也可以是默认值,f<1,例如f的初始值默认为0.5。
步骤104-2,当预设的预留资源学习周期到达时,依据所述预留资源学习周期内外网或VPN流入的流量速率,确定外网或VPN的流量速率最大值,并根据所述流量速率最大值调整对应的所述总流量安全值。
在一种实现中,在正常工作阶段,以TP30为间隔周期(即学习周期)进行预留资源学习,统计由外网和VPN流入的总流量速率、各设备的外网连接数和vpn连接数,并依此,重新计算流量预留因子a、b。
在一种实施例中,步骤104-2进一步可以包括如下步骤:若外网或VPN的流量速率最大值大于对应的总流量预警值,则计算两者的差值,并将对应的流量预留因子更新为所述差值与所述流量速率最大值的比值;若所述外网或VPN的流量速率最大值小于或等于对应的总流量预警值,则将对应的流量预留因子更新为数值0;依据更新后的所述流量预留因子更新所述总流量安全值。
具体的,在学习周期内TP30,记录由外网(或VPN流入)的流量速率最大值wan_Rmax(或vpn_Rmax),外网(或VPN)总流量预警值表示为WanTotalRateWarn(或VpnTotalRateWarn),则外网流量预留因子a和VPN流量预留因子b的计算公式如下:
根据重新计算的a和b,则可以重新计算WAN总流量安全值wanTotalRateSaf和VPN总流量安全值VpnTotalRateSaf。
步骤104-3,依据学习周期内各设备的外网或VPN的连接数最大值,调整外网或VPN的多连接预警值以及各设备连接数安全值。
具体的,在学习周期内TP30,记录设备i的外网(或VPN)连接数最大值为wanDev
根据重新计算的Dev
在一种实施例中,结合图6所示,步骤105进一步可以包括如下步骤:
步骤105-1,监控外网流入流量以及VPN流入流量。
具体的,分别以WAN进入流量WL和VPN进入总流量VL为流量监测对象,低于对应预警值时不做处理,当高于对应预警值、低于对应安全值时,则进入防攻击包监控状态,按流入包的源地址(含楼宇网关自身)单独持续统计各设备源流入量速率,当高于对应安全值时,则进行攻击抑制。
步骤105-2,若外网流入流量或VPN流入总流量大于对应的多连接预警值,则获取持续统计的VPN内网各设备的连接数量。
具体的,若外网流入流量超过WAN口的多连接预警值,或者,VPN流入总流量超过VPN的多连接预警值,则开启对应接口的防多连接攻击监测(即持续统计内网设备的连接数量)。
步骤105-3,判断是否存在连接数量超过其对应的连接数安全值的设备;若是则执行步骤105-4;若否则执行步骤105-5。
具体的,若某个设备的连接数超过其VPN连接数安全值时,则对该设备进行多连接攻击抑制处理,进入多连接攻击防护流程。
步骤105-4,触发多连接攻击防护流程。
在一种实施例中,多连接攻击防护流程,包括如下步骤:
步骤105-4-1,将连接数最大的设备作为多连接抑制对象。
例如,将内网内作为目的端的连接数量最大的设备地址B,选定为多连接抑制对象B。
步骤105-4-2,启动访问控制规则,以将多连接抑制对象的连接数限制在其对应的连接数安全值以内,停止对所述多连接抑制对象的流入包进行抑制,直到设定的第一抑制维持时长到达。
例如,将设备地址B为目的地址的连接数量限制在该设备对应的连接数安全值dev
步骤105-4-3,判断多连接抑制对象的连接数是否超过其对应的连接数安全值;若是则执行步骤105-4-4;若否则执行步骤105-4-5。
具体的,待抑制维持时间TP20后,再次检查以抑制对象B为目的端的连接数量是否超过对应的连接数安全值(dev
步骤105-4-4,控制多连接抑制对象关闭当前连接数最多的端口,并将其更换为空闲的新端口集,以及,将该新端口集通知平台及其他设备,并更新类型协议对照表的端口信息。
具体的,若以抑制对象B为目的端的连接数量依然超过对应的连接数安全值,则将此设备B当前各已连接端口均主动关闭,并依次调整为该设备内其他无连接/空闲(安全)端口号。然后基于调整后的新端口集通知平台和设备信息表内其他设备以下内容:该设备各业务协议端口更换后的对应新端口。同时,同步更新Tab2中相关协议端口。
步骤105-4-5,判定为对所述多连接抑制对象的攻击抑制成功。
继续检查下一当前连接数超连接数安全值的内网设备输入流,并按上述步骤进行防多连接攻击抑制处理,直至各设备连接数量均低于对应的连接数安全值。
步骤105-5,判断外网流入流量以及所述VPN流入总流量是否超过对应的总流量预警值;若超过则执行步骤105-6;若不超过则执行步骤105-7。
步骤105-6,触发固定源攻击防护流程。
在一种实施例中,固定源攻击防护流程,可以包括如下步骤:
步骤105-6-1,若外网流入流量或VPN流入总流量超过对应的总流量安全值,则选取当前流入包中流量速率最高的源设备作为固定源抑制对象。
例如,将各设备源中流量最高的作为当前抑制攻击源T。
步骤105-6-2,启动访问控制规则,以将固定源抑制对象的流入包限制在其对应的总流量预警值以内,直到设定的第二抑制维持时间到达。
例如,将抑制攻击源T的流入速率限定于其流量预警值内,即对超出流量预警值以上部分的属于抑制源T的流入包进行阻塞。抑制维持时间为第二抑制维持时间。
步骤105-6-3,停止对所述固定源抑制对象的流入包进行抑制,并在达到设定时长后,判断所述外网流入流量以及所述VPN流入总流量是否小于对应的总流量安全值;若是,则判定对所述固定源抑制对象的抑制成功;若否,则将所述固定源抑制对象加入到访问黑名单中。
具体的,检查当前对应接口总流入量是否恢复至对应的安全值范围以内,如是,则等待抑制维持时间TP10后,停止对源地址T流量限制;如否,则将此源地址T加入对应访问入口(wan或VPN)的黑名单中(即限制其数据包流入)。
待维持运行时间TP11后,检查当前对应总流量是否恢复正常,如是,则退出对该源地址T的抑制;如否,则将此源地址T加入对应访问入口(wan或VPN)的黑名单中。
等待间隔时间TP12后,继续检查当前总流量是否保持正常,如不正常,则重新按上述的固定源攻击抑制处理,直至对应接口总流量符合要求。
步骤105-7,等待下一维护周期到达,并在下一维护周期到达时清除黑名单中的所有地址。
当系统WAN或VPN总流量维持在预警值以内持续时间超过正常维持周期T13后,自动清除外网和VPN入口对应黑名单中的各地址。
在本实施例中,通过建立楼宇网关与楼宇业务数据的高融合性基础,自动完成本地楼宇系统所属设备的探测验证与分支侧VPN子网地址分配,形成本地合法设备集,并基于合法设备集合、动态预留资源调节,在尽量保证正业务访问无影响下,实现对楼宇本地子网的访问控制和攻击防护的主动构建。通过基于楼宇网关的预留资源与流量负荷动态分析,以主动式自动构建访问安全控制策略,从而,有效提升用户侧本地楼宇系统与云端平台中心IPsecVPN网络安全隧道接入及楼宇系统子网安全防护的自适应水平和安全性。
实施例二
图7为本申请实施例二提供的一种基于楼宇网关的网络安全防护装置的结构示意图,所述装置设置于楼宇网关中,一个所述楼宇网关对应一个或多个楼宇站点,所述楼宇站点包括一个或多个楼宇终端设备以及与各所述楼宇终端设备连接的楼宇控制器,所述楼宇终端设备通过所述楼宇控制器接入至所述楼宇网关中;所述装置可以包括如下模块:
合法设备集构建模块201,用于当楼宇网关接入至VPN网络以后,在楼宇系统中对包含所述楼宇控制器的系统内设备以及第三方标准设备进行设备探测,以构建本地合法设备集;
访问控制规则构建模块202,用于构建所述本地合法设备集的访问控制规则;
资源预留信息确定模块203,用于基于所述访问控制规则确定所述本地合法设备集中各合法设备的资源预留信息;
攻击防护参数确定模块204,用于基于所述资源预留信息确定攻击防护参数;
攻击防护处理模块205,用于采用所述攻击防护参数对各合法设备进行攻击防护处理。
在一种实施例中,当对系统内设备进行设备探测时,合法设备集构建模块201可以包括如下模块:
组播组创建模块,用于创建组播组,所述组播组内的设备包括若干楼宇控制器;
空闲IP地址集合生成模块,用于扫描本地子网设备,以获取本地子网内已占用的IP地址集,并基于所述已占用的IP地址集生成空闲IP地址集合;
设备查询模块,用于在所述组播组内以组播方式发送设备查询命令,并接收所述组播组内各设备基于所述设备查询命令返回的应答指令;
登记识别模块,用于基于所述应答指令确定已登记设备以及未登记设备;
已登记设备处理模块,用于将所述已登记设备加入本地合法设备集,并标记为系统内设备;
未登记设备处理模块,用于对所述未登记设备,则基于所述空闲IP地址集合进行内网地址分配,并将已完成内网地址设置的未登记设备作为已登记设备加入所述本地合法设备集。
在一种实施例中,所述设备查询命令包括VPN子网网段、楼宇网关自身的IP地址;
登记识别模块具体用于:
识别所述应答指令为登记应答指令或第一分配请求应答指令,其中,所述登记应答指令为所述设备判断本机的网络参数与所述VPN子网网段的网络参数相匹配时,向所述楼宇网关返回的应答信息;所述第一分配请求应答指令为所述设备判断本机的网络参数与所述VPN子网网段的网络参数不匹配时,向所述楼宇网关返回的应答信息;
将发送所述第一分配请求应答指令的设备作为未登记设备;
将发送所述登记应答指令的设备作为候选已登记设备,并向所述候选已登记设备发送登记确认信息,若在发出所述登记确认信息的设定确认时长内收到任一所述候选已登记设备发送的第二分配请求应答指令,则将发送所述第二分配请求应答指令的设备作为未登记设备;将没有发送所述第二分配请求应答指令的设备作为已登记设备。
在一种实施例中,未登记设备处理模块具体用于:
针对任一未登记设备,获取该未登记设备的原IP地址和MAC地址;
从所述空闲IP地址集合中选取一空闲IP地址作为目标空闲IP地址;
根据该未登记设备的原IP地址和MAC地址,以及该目标空闲IP地址生成分配确认信息,并将所述分配确认信息以组播的方式在所述组播组内发送;
接收基于所述分配确认信息的登记响应信息,其中,所述登记响应信息为所述组播组内的设备收到所述分配确认信息以后,将其携带的原IP地址和MAC地址与自身的IP地址和MAC地址比较,并在比较一致时根据该分配确认信息中携带的目标空闲IP地址设置自身的内网LAN口网络参数后向楼宇网关返回的信息;
将发送所述登记响应信息的未登记设备作为已登记设备加入所述本地合法设备集。
在一种实施例中,已登记设备处理模块具体用于:
将所述已登记设备的设备信息记录在所述本地合法设备集对应的设备信息表中。
在一种实施例中,当对第三方标准设备进行设备探测时,合法设备集构建模块201具体用于:
获取站点部署信息表,所述站点部署信息表中记录有不同楼宇站点对应的业务部署参数,所述业务部署参数包括所述各楼宇站点对应的楼宇网关标识、业务类型、开放性协议类型、第三方对接地址;
在所述站点部署信息表中查找与本楼宇网关匹配的数据记录,并从所述数据记录中查找存在开放性协议类型的数据记录作为目标数据记录;
抓取内网流入包,并获取所述内网流入包的目的地址、协议及端口信息;
若所述内网流入包的目的地址、协议及端口信息符合所述目标数据记录中记录的开放性协议类型和第三方对接地址,则将所述内网流入包所属设备加入本地合法设备集,并标记该设备为第三方标准设备。
在一种实施例中,所述访问控制规则包括访问白名单列表以及访问黑名单列表;访问控制规则构建模块202具体用于:
获取所述本地合法设备集中各系统内设备的原IP地址与MAC地址,并将所述原IP地址与MAC地址进行绑定,生成第一白名单子集;
对所述本地合法设备集中的第三方标准设备,在预先生成的站点部署信息表中获取其开放性协议类型以及第三方对接地址,生成第二白名单子集;
将所述第一白名单子集以及所述第二白名单子集生成访问白名单列表;
获取预先生成并实时更新的访问黑名单列表。
在一种实施例中,所述资源预留信息包括:预估外网链路数量、预估外网流量速率、预估VPN链路数量、预估VPN流量速率;
所述资源预留信息确定模块203具体用于:
根据所述本地合法设备集的设备信息表中记录的各设备类型,获取基于所述访问控制规则流入的各设备类型对应的访问信息,所述访问信息包括许可协议、访问源、以及平均流量速率;
根据所述设备类型以及所述访问信息生成类型访问对照表;
遍历所述设备信息表中的各设备,依据当前遍历到的设备的设备类型,在所述类型访问对照表中查找该设备类型对应的目标访问信息;
若访问目的端属于外网,则将所述目标访问信息中访问源为外网的许可协议的数量作为预估外网链路数量,将所述目标访问信息中访问源为外网的许可协议的平均流量速率的平均值作为预估外网流量速率;
若访问目的端属于VPN内网,则将所述目标访问信息中访问源为VPN子网的许可协议的数量作为预估VPN链路数量,将所述目标访问信息中访问源为VPN子网的许可协议的平均流量速率的平均值作为预估VPN流量速率;
将各设备的所述资源预留信息追加到所述设备信息表中。
在一种实施例中,攻击防护参数确定模块204进一步可以包括如下模块:
攻击防护初始参数确定模块,用于根据所述资源预留信息,确定外网或VPN的攻击防护初始参数,所述攻击防护初始参数包括:总流量预警值、总流量安全值、多连接预警值、各设备的连接数安全值;
第一调整模块,用于当预设的学习周期到达时,依据所述学习周期内外网或VPN流入的流量速率,确定外网或VPN的流量速率最大值,并根据所述流量速率最大值调整对应的所述总流量安全值;
第二调整模块,用于依据所述学习周期内各设备的外网或VPN的连接数最大值,调整所述外网或所述VPN的所述多连接预警值以及各设备连接数安全值。
在一种实施例中,攻击防护初始参数确定模块具体用于:
所述总流量预警值采用如下方式计算:获取各设备在当前入口的流入流量速率,并将各设备在当前入口的流入流量速率之和作为当前入口的总流量预警值,其中,当前入口为外网口或VPN口;
所述总流量安全值采用如下方式计算:将所述总流量预警值提高当前入口的设定流量预留因子的幅度,得到总流量安全值,其中,所述流量预留因子小于1;
所述各设备的连接数安全值采用如下方式计算:获取各设备相对于当前入口的连接数,将该连接数提高当前入口的设定连接预留因子的幅度,得到对应的连接数安全值,其中,所述连接预留因子小于1;
所述多连接预警值采用如下方式计算:将当前入口的总流量预警值与连接安全系数的乘积作为当前入口的多连接预警值,其中,该连接安全系数为当前入口的各设备的连接预留因子之和与设备数量的比值。
在一种实施例中,第一调整模块具体用于:
若所述外网或VPN的流量速率最大值大于对应的总流量预警值,则计算两者的差值,并将对应的流量预留因子更新为所述差值与所述流量速率最大值的比值;
若所述外网或VPN的流量速率最大值小于或等于对应的总流量预警值,则将对应的流量预留因子更新为数值0;
依据更新后的所述流量预留因子更新所述总流量安全值。
在一种实施例中,攻击防护处理模块205可以包括如下模块:
流量监控模块,用于监控外网流入流量以及VPN流入流量;
设备连接数量获取模块,用于若外网流入流量或VPN流入总流量大于对应的所述多连接预警值,则获取持续统计的VPN内网各设备的连接数量;
连接数量比较模块,用于判断是否存在连接数量超过其对应的连接数安全值的设备;若是,则调用多连接攻击防护模块;若否,则调用流量判断模块;
多连接攻击防护模块,用于触发多连接攻击防护流程;
流量判断,用于模块判断外网流入流量以及所述VPN流入总流量是否超过对应的总流量预警值;若超过,则调用固定源攻击防护模块;若否,则调用黑名单清除模块;
固定源攻击防护模块,用于触发固定源攻击防护流程;
黑名单清除模块,用于等待下一维护周期到达,并在下一维护周期到达时清除黑名单中的所有地址。
在一种实施例中,多连接攻击防护模块进一步用于:
将连接数最大的设备作为多连接抑制对象;
启动所述访问控制规则,以将所述多连接抑制对象的连接数限制在其对应的连接数安全值以内,直到设定的第一抑制维持时间到达;
判断所述多连接抑制对象的连接数是否超过其对应的连接数安全值;
若是,则控制所述多连接抑制对象关闭当前各已连接端口,并将其更换为空闲的新端口集,以及,将该新端口集通知平台及其他设备,并更新所述类型协议对照表的端口信息;
若否,则判定为对所述多连接抑制对象的攻击抑制成功。
在一种实施例中,固定源攻击防护模块具体用于:
若外网流入流量以及VPN流入总流量超过对应的总流量安全值,则选取当前流入包中流量速率最高的设备作为固定源抑制对象;
启动访问控制规则,以将固定源抑制对象的流入包限制在其对应的总流量预警值以内,直到设定的第二抑制维持时间到达;
停止对所述固定源抑制对象的流入包进行抑制,并在达到设定时长后,判断所述外网流入流量以及所述VPN流入总流量是否小于对应的总流量安全值;
若是,则判定对所述固定源抑制对象的抑制成功;
若否,则将所述固定源抑制对象加入到访问黑名单中。
本申请实施例所提供的一种基于楼宇网关的网络安全防护装置可执行本申请任意实施例所提供的一种基于楼宇网关的网络安全防护方法,具备执行方法相应的功能模块和有益效果。
实施例三
图8示出了可以用来实施本申请的方法实施例的电子设备10的结构示意图。该电子设备可以为楼宇网关。
如图4所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如实施例一所述的方法。
在一些实施例中,实施例一所述的方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的实施例一所述的方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行实施例一所述的方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本申请的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本申请的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。