网络设备的接入方法及装置

技术领域

本申请涉及网络技术领域，尤其涉及一种网络设备的接入方法及装置。

背景技术

目前基于安全性、稳定性考虑，工业自动化的网络部署通常与运营网络分离。这种分离设计具有可定制化潜力比较高的特点。随着智能化需求的提高，网络部署也需要满足各种针对性较高的定制化需求。然而传统网络设备厂商提供的网络功能一般针对运营商、企业等网络环境，对于非法接入、错误操作、网络环路等校验规格并不是很高。随着工业互联网的发展，迫切需要解决物联网网络设备安全准入方面的实现和优化问题。

发明内容

有鉴于此，本公开实施例提供一种网络设备的接入方法及装置，至少部分解决现有技术中存在的问题。

第一方面，本公开实施例提供了一种网络设备的接入方法，应用于工业网

络系统，所述工业网络系统包括工业交换机、管理准入服务器及客户平台，所述方法包括：

通过所述工业交换机生成所述工业交换机的机器指纹，所述机器指纹用于唯一表征对应的工业交换机；

通过所述工业交换机或所述客户平台将所述机器指纹导入所述管理准入服务器中；

通过所述管理准入服务器根据预先获取的工业交换机和机器指纹对应关系，确定是否允许所述工业交换机接入网络；

通过所述管理准入服务器校验所述工业交换机的所述机器指纹及数据加密方式是否合法。

可选的，所述通过所述管理准入服务器校验所述工业交换机的所述机器指纹及数据加密方式是否合法，包括：

通过所述管理准入服务器将验证信息进行加密，得到加密验证报文，向所述工业交换机发送所述加密验证报文；

通过所述工业交换机对所述加密验证报文进行解密，得到对应的验证信息，生成所述验证信息对应的应答信息，采用与所述加密验证报文相同的加密方式对所述应答信息进行加密，得到加密应答报文，向所述管理准入服务发送所述加密应答报文；

通过所述管理准入服务器接收所述加密应答报文，对所述加密应答报文进行解密；

若不能对所述加密应答报文执行解密操作，则对所工业交换机的上游节点进行流量限制。

可选的，所述通过所述管理准入服务器将验证信息进行加密，得到加密验证报文，向所述工业交换机发送所述加密验证报文，包括：

通过所述管理准入服务器将按照TCP报文对验证信息进行封装，将封装后的验证信息进行加密，得到加密验证报文，向所述工业交换机发送分装后的加密验证报文。

可选的，所述通过所述管理准入服务器校验所述工业交换机的所述机器指纹及数据加密方式是否合法，包括：

通过所述管理准入服务器根据设备重要程度设置的间隔校验时间或者定期校验时间，对所述工业交换机的机器指纹及数据加密方式是否合法进行校验。

可选的，所述方法还包括：

根据待传输数据的数据类型或所述客户平台采用的加解密算法，确定用于对所述待传输数据进行加密的目标加解密算法；

根据客户平台的软件架构，选择所述目标加解密算法的实现方式；

根据所述工业交换机支持的软件开发方式，选择与所述客户平台的对接方式。

第二方面，本公开实施例提供了一种网络设备的接入装置，应用于工业网络系统，所述工业网络系统包括工业交换机、管理准入服务器及客户平台，所述装置包括：

生成模块，用于通过所述工业交换机生成所述工业交换机的机器指纹，所述机器指纹用于唯一表征对应的工业交换机；

导入模块，用于通过所述工业交换机或所述客户平台将所述机器指纹导入所述管理准入服务器中；

确定模块，用于通过所述管理准入服务器根据预先获取的工业交换机和机器指纹对应关系，确定是否允许所述工业交换机接入网络；

校验模块，用于通过所述管理准入服务器校验所述工业交换机的所述机器指纹及数据加密方式是否合法。

可选的，所述校验模块包括：

加密子模块，用于通过所述管理准入服务器将验证信息进行加密，得到加密验证报文，向所述工业交换机发送所述加密验证报文；

第一处理子模块，用于通过所述工业交换机对所述加密验证报文进行解密，得到对应的验证信息，生成所述验证信息对应的应答信息，采用与所述加密验证报文相同的加密方式对所述应答信息进行加密，得到加密应答报文，向所述管理准入服务发送所述加密应答报文；

解密子模块，用于通过所述管理准入服务器接收所述加密应答报文，对所述加密应答报文进行解密；

第二处理子模块，用于若不能对所述加密应答报文执行解密操作，则对所工业交换机的上游节点进行流量限制。

可选的，所述加密子模块，还用于通过所述管理准入服务器将按照TCP报文对验证信息进行封装，将封装后的验证信息进行加密，得到加密验证报文，向所述工业交换机发送分装后的加密验证报文。

可选的，所述校验模块，还用于通过所述管理准入服务器根据设备重要程度设置的间隔校验时间或者定期校验时间，对所述工业交换机的机器指纹及数据加密方式是否合法进行校验。

可选的，所述装置还包括：

处理模块，用于根据待传输数据的数据类型或所述客户平台采用的加解密算法，确定用于对所述待传输数据进行加密的目标加解密算法；

根据客户平台的软件架构，确定所述目标加解密算法的实现方式；

根据所述工业交换机支持的软件开发方式，确定与所述客户平台的对接方式。

第三方面，本公开实施例还提供了一种计算机程序产品，该计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，该计算机程序包括程序指令，当该程序指令被计算机执行时，使该计算机执行前述第一方面的实现方式中的网络设备的接入方法。

本公开实施例中的网络设备的接入方法及装置，通过所述工业交换机生成所述工业交换机的机器指纹，所述机器指纹用于唯一表征对应的工业交换机；通过所述工业交换机或所述客户平台将所述机器指纹导入所述管理准入服务器中；通过所述管理准入服务器根据预先获取的工业交换机和机器指纹对应关系，确定是否允许所述工业交换机接入网络；通过所述管理准入服务器校验所述工业交换机的所述机器指纹及数据加密方式是否合法。通过本公开的方案，通过对工业交换机的合法性进行校验，在满足校验要求时才允许工业交换机接入网络，提高工业网络系统在设备接入过程的安全性，保障工业网络运维安全。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本申请实施例提供的网络设备的接入方法的一流程示意图；

图2为本申请实施例提供的网络设备的接入方法中步骤S104的一流程示意图；

图3为本申请实施例提供的网络设备的接入装置的一结构示意图；

图4为本申请实施例提供的网络设备的接入装置的另一结构示意图；

图5为本申请实施例提供的网络设备的接入装置的另一结构示意图。

具体实施方式

下面结合附图对本申请实施例进行详细描述。

以下通过特定的具体实例说明本申请的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本申请的其他优点与功效。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。本申请还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本申请的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本申请，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。

还需要说明的是，以下实施例中所提供的图示仅以示意方式说明本申请的基本构想，图式中仅显示与本申请中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

另外，在以下描述中，提供具体细节是为了便于透彻理解实例。然而，所属领域的技术人员将理解，可在没有这些特定细节的情况下实践所述方面。

本申请实施例提供一种网络设备的接入方法。

参见图1，本公开实施例提供的一种网络设备的接入方法，包括：

步骤S101，通过所述工业交换机生成所述工业交换机的机器指纹。

在本实施例中，所述机器指纹用于唯一表征对应的工业交换机。补充说明的是，工业交换机也可以称为工业以太网交换机，可以理解为应用于工业控制领域的以太网交换机设备。工业交换机具有电信级性能特征，可耐受严苛的工作环境。产品系列丰富，端口配置灵活，可满足各种工业领域的使用需求。在本实施例中，所述工业交换机的机器指纹可以为设备序列号、MAC地址等。

步骤S102，通过所述工业交换机或所述客户平台将所述机器指纹导入所述管理准入服务器中；

在本实施例中，客户平台可以为有java构建的开发平台，管理准入服务器可以提供来访者网络接入管理，其通过划分不同VLAN来管理终端设备。一般情况下，由客户平台将所述机器指纹导入所述管理准入服务器，特殊情况下，由工业交换机将所述机器指纹导入所述管理准入服务器中。

步骤S103，通过所述管理准入服务器根据预先获取的工业交换机和机器指纹对应关系，确定是否允许所述工业交换机接入网络；

在本实施例中，可以根据运维管理人员基于出厂时工业交换机和机器指纹的对应关系，或部署到网络环境中工业交换机和机器指纹的对应关系，设置相应工业交换机是否允许接入网络。

步骤S104，通过所述管理准入服务器校验所述工业交换机的所述机器指纹及数据加密方式是否合法。

在本实施例中，管理准入服务器根据工业交换机拓扑校验机器指纹、加解密算法是否合法。例如，管理准入服务器定期校验、或者根据物联网设备的重要性设置间隔校验时间检验机器指纹、加解密算法是否合法。校验方式为将验证信息由tcp报文进行封装然后加密发送到工业交换机。该方式结合了传统https加密的有效性和稳定性，并且避免了验证信息由https方式封装造成的高延迟、高负载特性。

这里采用的管理准入服务器主动发送信息验证的准入验证方式，相较于工业交换机主动发送校验信息到准入服务器的方式有如下优点：一、灵活性高，可以随时根据管理准入服务器的需求去获取工业交换机的准入状态，二、大量工业交换机部署方式下可以降低工业交换机准入的请求造成的网络负载。

这样，通过对工业交换机的合法性进行校验，在满足校验要求时才允许工业交换机接入网络，提高工业网络系统在设备接入过程的安全性，保障工业网络运维安全。

参见图2，在图1所示的网络设备的接入方法中步骤S104，包括：

步骤S1041，通过所述管理准入服务器将验证信息进行加密，得到加密验证报文，向所述工业交换机发送所述加密验证报文；

可选的，步骤S1041包括：通过所述管理准入服务器将按照TCP报文对验证信息进行封装，将封装后的验证信息进行加密，得到加密验证报文，向所述工业交换机发送分装后的加密验证报文。

步骤S1042，通过所述工业交换机对所述加密验证报文进行解密，得到对应的验证信息，生成所述验证信息对应的应答信息，采用与所述加密验证报文相同的加密方式对所述应答信息进行加密，得到加密应答报文，向所述管理准入服务发送所述加密应答报文；

步骤S1043，通过所述管理准入服务器接收所述加密应答报文，对所述加密应答报文进行解密；

步骤S1044，若不能对所述加密应答报文执行解密操作，则对所工业交换机的上游节点进行流量限制。

在本实施例中，工业交换机对加密验证报文进行解密，得到验证信息，并且用加密验证报文相同的加密方式对应答信息进行加密，得到加密应答报文，向管理准入服务器发送加密应答报文，同时根据验证信息中的是否准许接入，管理工业交换机的端口状态、功能是否限制、是否提示网络运维人员等。接入情况可以包括：设备准入失败密码错误、设备准入成功但是设备链接不合法、设备型号异常、设备版本异常、设备已经弃用等。举例来说，设备准入成功但是设备链接不合法，例如，设备端口互换、错接等。设备型号异常，例如被其他非法设备替换。设备版本异常，例如，未升级到正确版本。设备已经弃用，过期的硬件设备等。

可选的，步骤S104包括：通过所述管理准入服务器根据设备重要程度设置的间隔校验时间或者定期校验时间，对所述工业交换机的机器指纹及数据加密方式是否合法进行校验。

在本实施例中，管理准入服务器接收加密应答报文，对所述加密应答报文进行解密。若无法解密则管理拓扑中该工业交换机的上游节点进行流量限制，防止恶意接入。

可选的，网络设备的接入方法还包括：

根据待传输数据的数据类型或所述客户平台采用的加解密算法，确定用于对所述待传输数据进行加密的目标加解密算法；

根据客户平台的软件架构，选择所述目标加解密算法的实现方式；

根据所述工业交换机支持的软件开发方式，选择与所述客户平台的对接方式。

在本实施例中，由于不同应用场景对于加解密算法的要求不同，需要根据应用场景选择合适的加解密算法。例如：适用于监控场景的视频监控、告警信息、日志收集、数据备份等大流量的操作可以选择对称加密算法。若还需要考虑到数据传输封装解压速度，则需要选择简单的加密算法。而对于设备认证、用户认证安全性要求高的数据则需要选择动态密钥算法。同时考虑到客户平台对接，则尽量同客户平台现有采用的加解密算法一致。

在本实施例中，根据客户平台的软件架构不同，选择加密算法相应的软件实现方式。客户平台可以为客户认证服务管理平台等。例如一般客户平台选用java平台开发，则需要对接java方式实现加解密算法。

在本实施例中，根据工业交换机所支持的软件开发方式选择与客户平台的对接方式，例如，对接方式包括HTTP、SNMP、日志接受发送、自定义加密链接。需要说明的是，若有完善的可以借用的应用，则先用二次开发的方式实现功能并优化。然后移植该应用所对应的开发运行环境到工业交换机平台实现对接。

需要补充说明的是，传统运营商、企业等网络环境维护一般由专业网络运维人员完成。并不会将加密过程与基本的网络配置结合，集成在工业交换机中。在本实施例中，将加密过程结合基础网络配置的方式，具有适合工业交换网络环境的优势，同时结合了传统网络运维方式和运维经验，提高网络设备接入的安全性。

本公开实施例中的网络设备的接入方法，通过所述工业交换机生成所述工业交换机的机器指纹，所述机器指纹用于唯一表征对应的工业交换机；通过所述工业交换机或所述客户平台将所述机器指纹导入所述管理准入服务器中；通过所述管理准入服务器根据预先获取的工业交换机和机器指纹对应关系，确定是否允许所述工业交换机接入网络；通过所述管理准入服务器校验所述工业交换机的所述机器指纹及数据加密方式是否合法。通过本公开的方案，通过对工业交换机的合法性进行校验，在满足校验要求时才允许工业交换机接入网络，提高工业网络系统在设备接入过程的安全性，保障工业网络运维安全。

与上面的方法实施例相对应，参见图3，本公开实施例还提供了一种网络设备的接入装置300，应用于工业网络系统，所述工业网络系统包括工业交换机、管理准入服务器及客户平台，所述装置包括：

生成模块301，用于通过所述工业交换机生成所述工业交换机的机器指纹，所述机器指纹用于唯一表征对应的工业交换机；

导入模块302，用于通过所述工业交换机或所述客户平台将所述机器指纹导入所述管理准入服务器中；

确定模块303，用于通过所述管理准入服务器根据预先获取的工业交换机和机器指纹对应关系，确定是否允许所述工业交换机接入网络；

校验模块304，用于通过所述管理准入服务器校验所述工业交换机的所述机器指纹及数据加密方式是否合法。

可选的，所述校验模块304包括：

加密子模块3041，用于通过所述管理准入服务器将验证信息进行加密，得到加密验证报文，向所述工业交换机发送所述加密验证报文；

第一处理子模块3042，用于通过所述工业交换机对所述加密验证报文进行解密，得到对应的验证信息，生成所述验证信息对应的应答信息，采用与所述加密验证报文相同的加密方式对所述应答信息进行加密，得到加密应答报文，向所述管理准入服务发送所述加密应答报文；

解密子模块3043，用于通过所述管理准入服务器接收所述加密应答报文，对所述加密应答报文进行解密；

第二处理子模块3044，用于若不能对所述加密应答报文执行解密操作，则对所工业交换机的上游节点进行流量限制。

可选的，所述加密子模块3041，还用于通过所述管理准入服务器将按照TCP报文对验证信息进行封装，将封装后的验证信息进行加密，得到加密验证报文，向所述工业交换机发送分装后的加密验证报文。

可选的，所述校验模块304，还用于通过所述管理准入服务器根据设备重要程度设置的间隔校验时间或者定期校验时间，对所述工业交换机的机器指纹及数据加密方式是否合法进行校验。

可选的，所述装置300还包括：

处理模块305，用于根据待传输数据的数据类型或所述客户平台采用的加解密算法，确定用于对所述待传输数据进行加密的目标加解密算法；

根据客户平台的软件架构，确定所述目标加解密算法的实现方式；

根据所述工业交换机支持的软件开发方式，确定与所述客户平台的对接方式。

图3所示装置可以对应的执行上述方法实施例中的内容，本实施例未详细描述的部分，参照上述方法实施例中记载的内容，在此不再赘述。

本公开实施例还提供了一种计算机程序产品，该计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，该计算机程序包括程序指令，当该程序指令被计算机执行时，使该计算机执行前述方法实施例中的网络设备的接入方法。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器（RAM）、只读存储器（ROM）、可擦式可编程只读存储器（EPROM或闪存）、光纤、便携式紧凑磁盘只读存储器（CD-ROM）、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。上述计算机可读介质可以是电子设备中所包含的；也可以是单独存在，而未装配入电子设备中。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机（例如利用因特网服务提供商来通过因特网连接）。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定。

应当理解，本公开的各部分可以用硬件、软件、固件或它们的组合来实现。

以上所述，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以权利要求的保护范围为准。