技术领域
[0001] 本
发明涉及智能设备防护技术领域,具体而言,涉及一种攻击防护设备及智能设备。
背景技术
[0002] 智能设备是将无线接收器嵌入到
硬件里的新型硬件设备,使用WiFi频道。WiFi是由AP(Access Point)和无线网卡组成的无线网络。AP一般称为网络桥接器或接入点,被当做传统的有线局域网络与无线局域网络之间的
桥梁,因此任何一台装有无线网卡的个人计算机都可以通过AP去分享有线局域网络或是广域网络的资源。其工作原理相当于一个内置无线发射器HUB或者路由,而无线网卡则是负责接收由AP所发射
信号客户(Client)端设备。有了AP,就像一般有线网络的交换机或路由器一般,无线工作站可以快速且轻易地与网络相连。
[0003] 然而,现有的智能设备通常没有防护机制,使得伪造账号变得非常容易,利用这一伪造账号,恶意
访问者可以绑定同一品牌下所有的智能设备,横向越权非法窥视这些智能设备的信息。如此,所有使用者的个人信息都会被暴露,进而危害到用户的财产安全。
发明内容
[0004] 有鉴于此,本发明
实施例提供一种攻击防护设备及智能设备,以改善上述问题。
[0005] 为了达到上述目的,本发明实施例提供一种攻击防护设备,应用于智能设备,所述攻击防护设备
串联在所述智能设备与网络端口之间;
[0006] 所述攻击防护设备包括第一网口、第二网口及处理装置,所述第一网口及第二网口分别与所述处理装置电性连接,所述第一网口与所述网络端口电性连接,所述第二网口与所述智能设备电性连接;
[0007] 所述处理装置用于获取从所述第一网口进入的数据,从该数据中获取发送该数据的源设备的设备信息,查找预存的安全设备信息中是否包括该源设备的设备信息,当不包括时,确定该数据为恶意数据并拦截该恶意数据。
[0008] 可选地,在上述攻击防护设备中,所述处理装置还用于在所述预存的安全设备信息中不包括该源设备的设备信息时输出相应的提示信息。
[0009] 可选地,在上述攻击防护设备中,所述设备信息包括该发送设备的IP地址和物理MAC地址。
[0010] 可选地,在上述攻击防护设备中,所述设备信息还包括该发送设备的访问权限优先级;所述攻击防护设备还包括一通信
接口,所述
通信接口与所述处理装置电性连接,所述通信接口可与外部访问设备通信;
[0011] 所述处理装置在检测到外部访问设备通过所述通信接口接入时,获取该外部访问设备的设备信息,并在所述安全设备信息中包括该外部访问设备的设备信息时,判断该外部访问设备的访问权限优先级是否为预设的优先级,若是,则开启该外部访问设备对所述安全设备信息的操作权限。
[0012] 可选地,在上述攻击防护设备中,所述攻击防护设备还包括一调试接口,该调试结果可与外部显示设备通信,所述处理装置在检测到所述调试接口有外部显示设备接入时,在该外部显示设备上显示被拦截的恶意数据。
[0013] 可选地,在上述攻击防护设备中,所述攻击监控设备还包括一存储装置,所述存储装置包括第一
存储器和第二存储器,所述第一存储器中预存有所述安全设备信息,所述第二存储器中搭载有开源
操作系统。
[0014] 可选地,在上述攻击防护设备中,所述攻击监控设备还包括与所述处理装置电性连接的串口通信
电路,所述串口通信电路可与外部存储设备通信,以从所述外部存储设备下载
指定的安全设备信息。
[0015] 可选地,在上述攻击防护设备中,所述处理装置为ARM处理器。
[0016] 本发明实施例还提供一种智能设备,包括本发明实施例提供的攻击防护设备,所述智能设备通过所述攻击防护设备与网络端口电性连接。
[0017] 可选地,在上述智能设备中,所述攻击防护设备的处理装置用于获取从所述第一网口进入的数据,从该数据中获取发送该数据的源设备的设备信息,查找预存的安全设备信息中是否包括该源设备的设备信息,当不包括时,确定该数据为恶意数据并拦截该恶意数据。
[0018] 本发明实施例提供一种攻击防护设备及智能设备,攻击防护设备串联在网络端口与智能设备之间,获取访问智能设备的数据,并从该数据中获取发送该数据的源设备的设备信息,查找预存的安全设备信息中是否包括该源设备的设备信息,当不包括时,确定该数据为恶意数据并拦截该恶意数据。如此,可以在不改动智能设备的硬件设备的情况下,防止智能设备被恶意攻击。
附图说明
[0019] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0020] 图1为本发明实施例提供的一种攻击防护设备的连接
框图;
[0021] 图2为图1所示攻击防护设备与智能设备的连接关系示意图;
[0022] 图3为本发明实施例提供的攻击防护设备的又一连接框图;
[0023] 图4为本发明实施例提供的攻击防护设备的又一连接框图;
[0024] 图5为本发明实施例提供的一种智能设备的连接框图。
[0025] 图标:100-攻击防护设备;110-第一网口;120-第二网口;130-处理装置;140-通信接口;150-调试接口;160-存储装置;161-第一存储器;162-第二存储器;170-串口通信电路;200(400)-智能设备;300-网络端口;410-
控制器。
具体实施方式
[0026] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
[0027] 因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的
选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0028] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0029] 经
发明人研究发现,现有的智能设备通常没有设置身份认证机制,用户使用一个并不存在的手机号也可成功注册账号,进而通过这个伪造的账号,利用安全漏洞,绑定同一品牌下所有的智能设备,横向越权非法窥视这些智能设备的信息。如此,所有使用者的个人信息都会被
泄漏,从而给智能设备的用户的财产安全带来危害。
[0030] 本发明实施例提供一种攻击防护设备,用于防止智能设备受到恶意访问。
[0031] 本发明实施例提供一种攻击防护设备100,用于防止智能设备200受到恶意访问。
[0032] 请结合参阅图1和图2,图1是本发明实施例提供的一种攻击防护设备100的连接框图,图2是图1所示攻击防护设备100与智能设备200的连接关系示意图。
[0033] 在本实施例中,所述攻击防护设备100串联在所述智能设备200与网络端口300之间,所述网络端口300可以是网线接口、网络设备(如路由器、交换器)提供给上网设备的网口等,本实施例对此不做限制。
[0034] 所述攻击防护设备100包括第一网口110、第二网口120及处理装置130,所述第一网口110及第二网口120分别与所述处理装置130电性连接,所述第一网口110与所述网络端口300电性连接,所述第二网口120与所述智能设备200电性连接。
[0035] 在本实施例中,所述处理装置130可以是ARM处理器。所述处理装置130用于获取从所述第一网口110进入的数据,并从该数据中获取发送该数据的源设备的设备信息。需要说明的是,从所述第一网口110进入的数据通常是HTTP
请求数据包,而源设备的设备信息在HTTP请求中的
位置是确定的。
[0036] 因而,作为一种实施方式,所述处理装置130可以从该数据的相应字段获取到发送该数据的源设备的设备信息。
[0037] 在本实施例中,所述处理装置130中预存有无
风险的源设备的设备信息,也即,所述安全设备信息。可选地,所述安全设备信息可以由具有相应访问权限的用户(如,管理员)预先存储在所述智能设备200中。
[0038] 实施时,所述处理装置130在获取到该源设备的设备信息后,查找预存的安全设备信息中是否包括该源设备的设备信息,以判断该源设备是否是无风险的访问设备。
[0039] 若所述预存的安全设备信息中不包括该源设备的设备信息,则确定该源设备为恶意访问设备,进而确定该数据是恶意数据,并拦截该恶意数据,以使该恶意数据无法到达所述智能设备200。
[0040] 若所述预存的安全设备信息中包括该源设备的设备信息,则确定该源设备是无风险的访问设备,进而确定该数据不是恶意数据,允许该数据通过。
[0041] 可选地,在本实施例中,当所述处理装置130检测到所述预存的安全设备信息中不包括该源设备的设备信息时,还可以输出相应的提示信息,以进行报警。
[0042] 详细地,所述提示信息中可以包括该源设备的设备信息以及被拦截的恶意数据,所述处理装置130可以直接在所述显示单元显示所述提示信息,也可以将所述提示信息发送至指定的通信地址(如,预设的手机号)。
[0043] 可选地,在本实施例中,源设备的设备信息可以包括该源设备的IP地址及MAC地址,其中,所述MAC地址是指该源设备的网卡ID。
[0044] 可选地,在本实施例中,源设备的设备信息还可以包括该源设备的访问权限优先级,例如,“0”表示普通用户,“1”表示管理员用户,管理员用户的访问级别高于普通用户。
[0045] 可选地,如图3所示,所述攻击防护设备100还可以包括与所述处理装置130电性连接的通信接口140,所述通信接口140可以与外部访问设备通信。可选地,所述通信接口140可以通过WiFi、蓝牙等方式与外部访问设备通信,也可以通过USB数据线与外部访问设备通信。
[0046] 其中,所述外部访问设备可以是,个人计算机(Personal Computer,PC)、
笔记本电脑、智能手机等,本实施例对此不做限制。
[0047] 实施时,当所述处理装置130检测到有外部访问设备通过所述通信接口40接入时,获取该外部访问设备的设备信息,并在所述安全设备信息中包括该外部访问设备的设备信息时,判断该外部访问设备的访问权限优先级是否为预设的优先级,若是,则开启该外部访问设备对所述智能设备200中存储的安全设备信息的操作权限。
[0048] 可选地,所述处理装置130判断该外部访问设备的访问权限优先级是否为预设的优先级的方式,可以是:
[0049] 将该外部访问设备的访问权限优先级编号与预设的优先级编号进行对比,若相同,则确定该外部访问设备的访问权限优先级为预设的优先级。
[0050] 例如,判断该外部访问设备的访问权限优先级编号是否为管理员用户的优先级编号(如,“1”),若是,则确定该外部访问设备是管理员用户的设备,具备管理员用户的访问权限。
[0051] 可选地,请再次参阅图3,所述攻击防护设备100还可以包括与所述处理装置130电性连接的调试接口150,所述调试接口150可与外部显示设备通信,所述处理装置130在检测到所述调试接口150有外部显示设备接入时,在该外部显示设备显示被拦截的恶意数据。
[0052] 可选地,在本实施例中,所述被拦截的恶意数据可以根据被拦截的时间进行分类存储,以便用户进行查看。相应地,用户可以在该外部访问设备选取想要查看的时间段,所述处理装置130可以基于用户的选取操作将该时间段被拦截的恶意数据发送至该外部显示设备进行显示。
[0053] 可选地,请参阅图4,所述攻击防护设备100还可以包括与所述处理装置130电性连接的存储装置160,所述存储装置160可以包括第一存储器161和第二存储器162,所述第一存储器161和第二存储器162分别与所述处理装置130电性连接。
[0054] 其中,所述预存的安全设备信息预存在所述第一存储器161中,所述第二存储器162中搭载有开源操作系统。如此,可以实现系统与控制的分离,便于系统的更新。
[0055] 可选地,在本实施例中,所述第一存储器161可以是ROM存储器,所述第二存储器162可以是TF卡。
[0056] 可选地,请再次参阅图4,所述攻击防护设备100还可以包括串口通信电路170,所述串口通信电路170与所述处理装置130电性连接。所述串口通信电路170可以与外部存储设备通信,以从所述外部存储设备下载指定的安全设备信息。
[0057] 可选地,在本实施例中,所述攻击防护设备100还可以包括电源装置,所述电源装置可以与所述攻击防护设备100中的各个装置电性连接,以为所述攻击防护设备100中的各个装置供电。
[0058] 通过上述设计,不必对智能设备200进行改动,只需将攻击防护设备100串联在网络端口300和智能设备200之间,即可实现对恶意访问的拦截,有效地保护了智能设备200。
[0059] 请参阅下表,是智能设备200在使用本发明实施例提供的攻击防护设备100和未使用该攻击防护设备100的情况下,被恶意攻击的数据统计表格。
[0060]
[0061] 由上表可知,智能设备200在通过本发明实施例提供的攻击防护设备100连接至网络端口300时,只有访问设备的IP地址及MAC地址与预存的安全设备信息一致时,才允许该访问设备发送的数据通过,否则会被视为恶意数据,进而被所述攻击防护设备100拦截。当智能设备200直接与网络端口300连接时,以同样的访问设备(Q5)访问智能设备200,则该恶意访问设备Q5发送的数据能够抵达智能设备200。
[0062] 因此,本发明实施例提供的攻击防护设备100能够有效地拦截恶意数据,对智能设备200进行有效的保护。
[0063] 如图5所示,是本发明实施例提供的一种智能设备400的连接框图,所述智能设备400包括本发明实施例提供的攻击防护设备100,所述智能设备400通过所述攻击防护设备
100与所述网络端口300连接。详细地,所述智能设备400包括一控制器410,该控制器410用于控制所述智能设备400中除所述攻击防护设备100之外的其他组件工作,该控制器410通过所述攻击防护设备100与网络端口300电性连接。
[0064] 综上所述,本发明实施例提供一种攻击防护设备100及智能设备400,攻击防护设备100串联在网络端口300与智能设备200之间,获取访问智能设备200的数据,并从该数据中获取发送该数据的源设备的设备信息,查找预存的安全设备信息中是否包括该源设备的设备信息,当不包括时,确定该数据为恶意数据并拦截该恶意数据。如此,可以在不改动智能设备200的硬件设备的情况下,防止智能设备200被恶意攻击。
[0065] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何
修改、等同替换、改进等,均应包含在本发明的保护范围之内。
