CN101478546B - 一种保护网络安全的方法和网络安全保护设备 - Google Patents
一种保护网络安全的方法和网络安全保护设备 Download PDFInfo
- Publication number
- CN101478546B CN101478546B CN2009100084523A CN200910008452A CN101478546B CN 101478546 B CN101478546 B CN 101478546B CN 2009100084523 A CN2009100084523 A CN 2009100084523A CN 200910008452 A CN200910008452 A CN 200910008452A CN 101478546 B CN101478546 B CN 101478546B
- Authority
- CN
- China
- Prior art keywords
- ping
- value
- data
- echo reply
- ping echo
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Packages (AREA)
Abstract
本发明提供一种保护网络安全的方法,方法主要包括:接收原始ping数据包;获取验证值,在原始ping数据包的选项数据字段加入验证值;对加入了验证值的原始ping数据包进行编码,得到ping回显请求数据包;向外网发送ping回显请求数据包;验证来自外网的ping回显应答数据包的选项数据字段是否包含有与验证值匹配的值;当选项数据字段包含有与验证值匹配的值时,对ping回显应答数据包进行解码;向内网发送解码后的ping回显应答数据包。采用该方法,能够在单向或双向的数据流环境下,利用选项数据字段的特性,不以占用网络安全保护设备的内存的会话记录方法而实现对ping数据包的监控,节约了网络安全保护设备的内存。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种保护网络安全的方法和网络安全保护设备。
背景技术
随着通信技术的发展,人们开始大量使用ping程序,它是一种应用程序。Ping程序的目的是发送一种网络控制信息协议(ICMP,Internet ControlMessage Protocol)查询报文(回显请求数据)给某台主机,并等待返回ICMP回显应答数据,用来测试这台主机是否可达。但是,人们在使用ping程序的过程中,受到一些网络攻击行为的困扰,比如ping flood攻击,ping flood攻击是指攻击者将大量ICMP回显请求(ping request)或回显应答(ping reply)数据包通过外网发送给内网的受害主机或网络,这种攻击可能会导致许多不良后果,例如:内网带宽被严重消耗,正常业务无法运作;受害主机性能严重受影响,甚至产生拒绝服务;可能使局域网成为反射攻击工具。
现有技术中,对这种攻击的防御方法主要有:对个别特征明显的攻击方法,如ping of death,采用特征检查方法,防御效果比较好;对特征不明显的攻击方式,采用“会话记录”、“限流”等方式,防御效果不理想。
例如,在双向环境应用的防御方案是:在防火墙(或其它网络安全保护设备)中记录从内网发出的ping回显请求数据包,并存储在防火墙内存或其它存储区域,当ping回显应答数据包到达防火墙时,进行一个记录匹配比对工作,把与记录不一致的ping回显应答数据包丢弃,把能匹配的ping回显应答数据包接收下来。这种方法称之为“会话记录”方法,其有一些局限性或缺点:
在某些网络条件下这种方法并不适用,比如单向环境;
当从内网发出的ping回显请求数据较多时,会占用大量网络安全保护设备内存。
而在单向数据流环境中应用的防御方案中,网络安全保护设备不能串行接入到用户网络中,网络安全保护设备只能监控从外网进入内网的数据包,而不能监控从内网发出去的数据包,所以也就无法鉴别从内网发送出去的ping回显请求数据包,因而上述“会话记录”方法无效,此时大部分网络安全保护设备采用了简单的“限流”方法,即限制ping数据包的通过流量。这种“限流”方法的主要局限性或缺点主要有:误判率高,ping攻击发生时,正确、合法的ping数据包可能无法通过,而攻击性的数据包可能通过网络安全保护设备进入内网。
发明内容
本发明实施例提供了一种保护网络安全的方法和网络安全保护设备,使用本发明实施例提供的技术方案,有效地防范ping flood攻击。
本发明实施例的目的是通过以下技术方案实现的:
一种保护网络安全的方法,包括:
接收原始ping数据包;
获取验证值,在所述原始ping数据包的选项数据字段加入所述验证值;
对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;
向外网发送所述ping回显请求数据包;
验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值;
当所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码;
向内网发送解码后的ping回显应答数据包。
一种网络安全保护设备,包括:
接收单元,用于接收原始ping数据包以及来自外网的ping回显应答数据包;
验证设置单元,用于获取验证值,在所述接收单元接收的所述原始ping数据包的选项数据字段加入所述验证值;
验证单元,用于验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值;
编解码单元,用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包,当所述验证单元验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码;
发送单元,用于向外网发送所述编解码单元编码得到的ping回显请求数据包以及向内网发送所述编解码单元解码后的ping回显应答数据包。
从本发明实施例可知,由于网络安全保护设备利用ping数据包中的选项数据字段往返不变的特性,对在单向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段与所获取的验证值是否匹配进行验证,能有效地防范ping flood攻击,并且能少占用或不占用网络安全保护设备较多内存就能实现对ping数据包的监控。
附图说明
图1是本发明实施例中保护网络安全的方法的实施例一的流程示意图;
图2是本发明实施例中保护网络安全的方法的实施例二的流程示意图;
图3是本发明实施例中保护网络安全的方法的实施例三的流程示意图;
图4是本发明实施例中保护网络安全的方法的实施例四的流程示意图;
图5是本发明实施例中保护网络安全的方法的实施例五的流程示意图;
图6是本发明实施例中保护网络安全的方法在双向环境中的示意图;
图7是本发明实施例中保护网络安全的方法在单向环境中的示意图;
图8是本发明实施例中网络安全保护设备的实施例一的结构示意图;
图9是本发明实施例中网络安全保护设备的实施例一的具体结构示意图。
具体实施方式
为使本发明的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
在陈述本发明的实施例之前,先简要介绍ping数据包的报文格式:
ping数据包的报文格式如下:
如果是Ping回显请求数据包,则[类型]字段为8,如果是Ping回显应答数据包,则[类型]字段为0;[代码]字段在两种情况下都为0;报文中的[标识符]、[序号]字段由发送端(Client)任意选择设定,这些值在应答中将被返回,这样,发送端就可以把回显应答数据包与回显请求数据包进行匹配;[选项数据]字段可以有,也可以没有,也是由发送端(Client)任意设定,接收端(Server)必须将[选项数据]字段原样返回。
本发明中保护网络安全的方法的实施例可以包括但不限于以下几种:
保护网络安全的方法的实施例一:
如图1所示,保护网络安全的方法步骤包括:
步骤101:网络安全保护设备接收原始ping数据包。
所述原始ping数据包是指网络安全保护设备还未加入验证值的ping数据包,原始ping数据包可以是来自内网的原始ping回显请求数据包或者来自外网的原始ping回显应答数据包,下同。
步骤102:网络安全保护设备获取验证值,在所述原始ping数据包的选项数据字段加入验证值。
步骤103:网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
步骤104:网络安全保护设备向外网发送所述ping回显请求数据包。
步骤105:网络安全保护设备验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值。
所述匹配是指:ping回显应答数据包的选项数据字段中包括有与在所述原始ping数据包的选项数据字段加入的验证值相同的值,或者指利用特定算法对提取的ping回显应答数据包的特性数据进行计算,得到的值与ping回显应答数据包的选项数据字段带有的验证值是相同的等多种情况,本实施例对此不作限制。
步骤106:当选项数据字段包含有与所述验证值匹配的值时,网络安全保护设备对所述ping回显应答数据包进行解码。
步骤107:网络安全保护设备向内网发送解码后的ping回显应答数据包。
从本实施例可知,利用ping数据包的选项数据字段由发送端(Client)设定,接收端(Server)必须将选项数据字段原样返回的原理,网络安全保护设备在对ping回显请求数据包的选项数据字段加入验证值,网络安全保护设备对在单向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段是否包含有与所述验证值匹配的值进行验证,由于不用在网络安全保护设备的内存中记录通过的原始ping数据包的完整内容,所以可以少占用或不占用网络安全保护设备内存,就能实现对ping数据包的监控及有效地防范ping flood攻击。
由于在选项数据字段中加入了验证值,因而必须进行适应性的编码,以便对加入了验证值的数据包进行正常的发送与接收。编码方式将在下文中举例加以说明。
保护网络安全的方法的实施例二(以预先设定好的固定值作为验证值):
如图2所示,保护网络安全的方法步骤包括:
步骤101-1包括:网络安全保护设备接收原始ping数据包。
步骤102-1包括:网络安全保护设备获取预先设定的固定值,网络安全保护设备在原始ping数据包的选项数据字段加入所述固定值作为验证值。
步骤103-1包括:网络安全保护设备对加入了所述固定值的原始ping数据包进行编码,得到ping回显请求数据包。
步骤104-1包括:网络安全保护设备向外网发送所述ping回显请求数据包。
步骤105-1包括:网络安全保护设备验证ping回显应答数据包的选项数据字段是否含有所述固定值。
步骤106-1包括:当所述选项数据字段含有所述固定值时,网络安全保护设备对所述ping回显应答数据包进行解码。
步骤107-1包括:网络安全保护设备向内网发送解码后的ping回显应答数据包。
所述固定值的数量不限,可以是一个,也可以是多个,所述固定值的获取方式可以是用户在网络安全保护设备上保存的固定的值,也可以是网络安全设备随机计算的值。
使用固定值作为验证值,优点在于简便易行,不用在网络安全设备上保存原始ping数据包的完整内容,只需要在网络安全保护设备保存固定值,对于经过的原始ping数据包只需打上固定值的印迹,出于安全考虑要进行检查时,网络安全保护设备检查接收的ping回显应答数据包是否有匹配的固定值即可。这种方法相对于保存原始ping数据包的完整内容来说,只保存固定值即可以达到节约网络安全保护设备的内存资源的目的。
保护网络安全的方法的实施例三(通过特定算法计算特性数据得到的验证值):
如图3所示,保护网络安全的方法步骤包括:
步骤101-2包括:网络安全保护设备接收原始ping数据包。
步骤102-2包括:网络安全保护设备根据接收到的原始ping数据包携带的特性数据以特定算法进行运算得到验证值;在所述原始ping数据包的选项数据字段中加入所述验证值。
步骤103-2包括:网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
步骤104-2包括:网络安全保护设备向外网发送所述ping回显请求数据包。
步骤105-2包括:网络安全保护设备当ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算得到值,验证所述值是否与所述验证值相同。
步骤106-2包括:当利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算,得到的值与所述验证值相同时,网络安全保护设备对所述ping回显应答数据包进行解码。
步骤107-2包括:网络安全保护设备向内网发送解码后的ping回显应答数据包。
使用根据原始ping数据包携带的特性数据以特定算法进行运算得到验证值的方法,优点在于:当即使欲通过网络安全保护设备进入内网,进行攻击活动的恶意的数据包能在选项数据字段伪造与加入原始ping数据包的验证值相同的值,但是,由于数据包自身的特性数据往往是特定的,也即是数据包如果被篡改成或原来就是恶意的数据包,它的特性数据也会发生变化或者与安全的数据包的特性数据不一样,利用这种不一样的特性数据进行计算,得到的值往往与恶意的数据包在选项数据字段伪造的值是不一样的,因而无法通过验证,根据特定的特性数据计算而得的验证值具有较高的安全性。
与“第一种方式:以用户事先设定好的固定值作为验证值”相比,更优的是,在网络安全保护设备上不用保存验证值,对于经过的原始ping数据包只需打上验证值的印迹,出于安全考虑要进行检查时,网络安全保护设备利用特定算法对接收的ping回显应答数据包携带的特性数据进行计算得到一个值,当这个值与在ping回显应答数据包选项数据字段呈现的所述验证值一致时,判定ping回显应答数据包是安全的。这种方法相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的。
保护网络安全的方法的实施例四(通过特定算法计算特性数据与固定值得到的验证值):
如图4所示,保护网络安全的方法步骤包括:
步骤101-3包括:网络安全保护设备接收原始ping数据包。
步骤102-3包括:网络安全保护设备根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到验证值;在所述原始ping数据包的选项数据字段中加入所述验证值。
步骤103-3包括:网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
步骤104-3包括:网络安全保护设备向外网发送所述ping回显请求数据包。
步骤105-3包括:网络安全保护设备当接收的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到值,验证所述值是否与所述验证值相同。
步骤106-3包括:当利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算,得到的值与所述验证值相同时,网络安全保护设备对所述ping回显应答数据包进行解码。
步骤107-3包括:网络安全保护设备向内网发送解码后的ping回显应答数据包。
在验证值的计算中加入固定值的因素,由于该固定值是由网络安全保护设备所掌握,外网无法得知固定值,可以使得计算的复杂性增加,成功伪装并通过验证的机率下降,增加了攻击者进行数据包伪造的难度。这种方法需要在网络安全保护设备上保存固定值,相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的。
保护网络安全的方法的实施例五(通过特定算法计算特性数据与固定值得到的第一验证值并且在选项数据字段中加入所述第一验证值和固定值作为验证值):
如图5所示,保护网络安全的方法步骤包括:
步骤101-4包括:网络安全保护设备接收原始ping数据包。
步骤102-4包括:网络安全保护设备根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到第一验证值;在所述原始ping数据包的选项数据字段中加入所述第一验证值和所述固定值作为验证值。
步骤103-4包括:网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
步骤104-4包括:网络安全保护设备向外网发送所述ping回显请求数据包;
步骤105-4包括:网络安全保护设备当ping回显应答数据包的选项数据字段含有所述固定值且当所述选项数据字段含有所述第一验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到值,验证所述值是否与所述第一验证值相同。
步骤106-4包括:网络安全保护设备当利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算,得到的值与所述第一验证值相同时,对所述ping回显应答数据包进行解码。
步骤107-4包括:网络安全保护设备向内网发送解码后的ping回显应答数据包。
在选项数据字段中加入固定值和第一验证值作为验证值,先对是否是正确的固定值进行验证,再对是否是有匹配的第一验证值进行验证,可以对接收的ping回显应答数据包进行两次验证,这种方法除了具有“第三种方式”的优点即相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的之外,还具有更好的防范效果。
以上四种方式中的原始ping数据包如前所述,可以是来自外网的原始ping回显应答数据包或来自内网的原始ping回显请求数据包。
上述特定算法可以是哈希算法。哈希算法是一种单向函数,运算该原理,可将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值就称为哈希值。哈希值是一段数据的数值表示形式。举例,当将一段纯文本进行哈希运算后,得到一个哈希值,即使只更改该段纯文本中的一个字母,得到的哈希值都几乎不一样。即是要找到经过哈希运算后得到相同哈希值的数据,在计算上是不太可行的。进而,可以得到这样的结论:当对一个数据包提取其特征数据进行哈希运算后得到的哈希值与数据包在选项数据字段呈现的哈希值相同时,说明该数据包的数据未被篡改,即是原来的数据。
例如,
当所述原始ping数据包是来自外网的原始ping回显应答数据包时,哈希算法利用的所述特征数据可以是:源IP地址,目的IP地址,所述原始ping回显应答数据包的数据包生存时间。
当所述原始ping数据包是来自内网的原始ping回显请求数据包时,哈希算法利用的所述特征数据可以是:源IP地址,目的IP地址。
例如,在选项数据后加入2字节的固定值FLAG和2字节的哈希值H,共4个字节,H的计算方法如下:
H=Hash(FLAG,SIP,DIP,TTL),
其中,SIP为客户的IP地址,DIP为服务器的IP地址,TTL为IP包生存期。FLAG值相对固定,可以由预先设定在网络安全保护设备中,可以用于区别是否是经过编码的Ping请求应答报文。
FLAG和H值的长度可根据需要进行扩展,比如各占4个字节。
使用哈希算法可以有相当大的弹性去控制验证值的复杂程度,实现更优地防止ping恶意攻击。
当然,哈希算法只是特定算法中的一种,该例并不构成对特定算法的限定,只要是能达到本发明的目的的特定算法都在此列。
现举例说明单向环境下对哈希算法的利用:
如图6所示,步骤1:外网向网络安全保护设备发送原始ping回显应答数据包。
步骤2:网络安全保护设备构造验证值,在所述原始ping回显应答数据包的选项数据字段中加入验证值,网络安全保护设备向外网发送所述编码构造的ping回显请求数据包,如前所述,将类型字段从0变到8,就可以将所述原始ping回显应答数据包的类型改变为ping回显请求数据包,再对所述原始ping回显应答数据包的网络协议(IP,Internet Protocol)头的源IP地址与目的IP地址交换,重新计算并修改原始ping回显应答数据包的网络控制信息协议ICMP报文校验和与IP头校验和字段,修改所述IP头的长度字段,编码构造出ping回显请求数据包,该步骤中的从将类型字段从0变到8,直到修改所述IP头的长度字段这一部分内容即是前文提到的编码,这是由于在选项数据字段中加入了验证值,进而数据包会自行地改变数据包一些用于安全检查之用的数据如校验和字段的值,为了能对数据包进行顺利的发送,在这个环节需要进行对前述的多种字段进行交换或修改,对于通过了验证的数据包,就需要进行过程相对应的解码步骤,才能得到能对之进行顺利发送的数据包。
步骤3:外网向网络安全保护设备发送ping回显应答数据包。
步骤4:对于通过验证的ping回显应答数据包,网络安全保护设备经过解码后,向内网发送解码后的ping回显应答数据包。
步骤5:对于未通过验证的ping回显应答数据包,网络安全保护设备丢弃。
对于来自外网的原始ping回显应答数据包,采取在网络安全保护设备中构建验证值和将原始ping回显应答数据包构建成一个已经通过网络安全保护设备的ping回显请求数据包,并向外网发送所述ping回显请求数据包的方案,由于现有的大部分ping攻击包的有一个共性,就是采用这种方案后,就不会再次回来要求进入内网,因此,可以减少ping攻击包的进攻。
现举例说明双向环境下对哈希算法的利用:
如图7所示,步骤01:内网的用户设备向网络安全保护设备发送原始ping回显请求数据包。
步骤02:网络安全保护设备构造验证值,在所述原始ping回显请求数据包的选项数据字段中加入验证值,类型字段不变,重新计算并修改原始ping回显请求数据包的网络控制信息协议ICMP报文校验和与IP头校验和字段,修改所述IP头的长度字段,编码构造出ping回显请求数据包,网络安全保护设备向外网发送ping回显请求数据包。
步骤03:外网向网络安全保护设备发送ping回显应答数据包。
步骤04:对于通过验证的ping回显应答数据包,网络安全保护设备经过解码后,向内网发送解码后的ping回显应答数据包。
步骤05:对于未通过验证的ping回显应答数据包,网络安全保护设备丢弃。
本发明实施例还提供网络安全保护设备,网络安全保护设备的实施例可以包括但不限于以下几种:
网络安全保护设备的实施例一:
如图8所示,该网络安全保护设备包括:
接收单元201,用于接收原始ping数据包以及来自外网的ping回显应答数据包。
验证设置单元202,用于获取验证值,在所述接收单元201接收的所述原始ping数据包的选项数据字段加入验证值。
验证单元204,用于验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值。
编解码单元205,用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包,当所述验证单元204验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码。
发送单元203,用于向外网发送所述编解码单元205编码得到的ping回显请求数据包以及向内网发送所述编解码单元解码后的ping回显应答数据包。
从本实施例可知,由于利用了ping数据包的选项数据字段由发送端(Client)设定,接收端(Server)必须将选项数据字段原样返回的原理,网络安全保护设备在对ping回显请求数据包的选项数据字段加入验证值,网络安全保护设备对在单向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段是否匹配进行验证,能有效地防范ping flood攻击,并且由于不用在网络安全保护设备的内存中记录通过的原始ping数据包的完整内容,所以可以少占用或不占用网络安全保护设备较多内存就能实现对ping数据包的监控。
如图9所示网络安全保护设备的实施例一的具体结构包括:
接收单元201包括:原始接收单元201-01与外网接收单元201-02。原始接收单元201-01用于接收原始ping数据包;外网接收单元201-02用于接收来自外网的ping回显应答数据包。
验证设置单元202包括:获取单元202-01和设置单元202-02。获取单元202-01用于获取验证值;设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段加入验证值。
验证单元204-0用于验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值。
编解码单元205包括:编码单元205-01和解码单元205-02。编码单元205-01用于对所述设置单元202-02加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;解码单元205-02用于当所述验证单元204-0验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码。
发送单元203包括:向外发送单元203-01和向内发送单元203-02。向外发送单元203-01用于向外网发送所述编码单元205-01编码得到的ping回显请求数据包;向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。
网络安全保护设备的实施例二(以预先设定好的固定值作为验证值):
网络安全保护设备的实施例二的具体结构示意图与图9相同,该网络安全保护设备包括:
所述原始接收单元201-01用于接收原始ping数据包。
所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。
所述获取单元202-01用于获取预先设定的固定值作为验证值。
所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段加入所述固定值。
所述编码单元205-01用于对加入了所述固定值的原始ping数据包进行编码,得到ping回显请求数据包。
所述验证单元204-0用于验证所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段是否含与所述固定值相同的值。
所述解码单元205-02用于当所述验证单元204-0验证所述选项数据字段含有与所述固定值相同的值时,对所述ping回显应答数据包进行解码。
所述向外发送单元203-01用于向外网发送所述编码单元205-01编码得到的ping回显请求数据包。
所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。
使用固定值作为验证值,优点在于简便易行,不用在网络安全设备上保存经过的原始ping数据包的完整内容,只需要在网络安全保护设备保存固定值,对于经过的原始ping数据包只需打上固定值的印迹,出于安全考虑要进行检查时,网络安全保护设备只检查经过的ping回显应答数据包是否有匹配的固定值即可。这种网络安全保护设备相对于保存原始ping数据包的完整内容来说,只保存固定值是可以达到节约网络安全保护设备的内存资源的目的的。
网络安全保护设备的实施例三(通过特定算法计算特性数据得到验证值):
网络安全保护设备的实施例三的具体结构示意图与图9相同,该网络安全保护设备包括:
所述原始接收单元201-01用于接收原始ping数据包。
所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。
所述获取单元202-01用于根据所述原始接收单元201-01接收的原始ping数据包携带的特性数据以特定算法进行运算得到验证值。
所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的的选项数据字段中加入运算得到的所述验证值。
所述编码单元205-01用于对加入了运算得到的所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
所述验证单元204-0用于当所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同。
所述解码单元205-02用于当所述验证单元204-0验证利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。
所述向外发送单元203-01用于向外网发送所述编码单元205-01编码得到的ping回显请求数据包。
所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。
使用根据原始ping数据包携带的特性数据以特定算法进行运算得到验证值的方法,优点在于:当即使欲通过网络安全保护设备进入内网,进行攻击活动的恶意的数据包能在选项数据字段伪造与加入原始ping数据包的验证值相同的值,但是,由于数据包自身的特性数据往往是特定的,也即是数据包如果被篡改成或原来就是恶意的数据包,它的特性数据也会发生变化或者与安全的数据包的特性数据不一样,利用这种不一样的特性数据进行计算是往往无法通过验证的,因而,根据特定的特性数据计算而得的验证值具有较高的安全性。
与“第一种方式”相比,第二种方式更优的是,在网络安全保护设备上不用保存验证值,对于经过的原始ping数据包只需打上验证值的印迹,出于安全考虑要进行检查时,网络安全保护设备利用特定算法对接收的ping回显应答数据包携带的特性数据进行计算得到一个值,当这个值与在ping回显应答数据包选项数据字段呈现的验证值一致时,判定ping回显应答数据包是安全的。这种网络安全保护设备相对于保存原始ping数据包的完整内容来说或第二种方式来说,可以达到节约网络安全保护设备的内存资源的目的。
网络安全保护设备的实施例四(通过特定算法计算特性数据与固定值得到验证值):
网络安全保护设备的实施例四的具体结构示意图与图9相同,该网络安全保护设备包括:
所述原始接收单元201-01用于接收原始ping数据包。
所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。
所述获取单元202-01用于根据预先设定的固定值和所述原始接收单元201-01接收的原始ping数据包携带的特性数据以特定算法进行运算得到验证值。
所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段中加入运算得到的所述验证值。
所述编码单元205-01用于对加入了运算得到的所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
所述验证单元204-0用于当所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同。
所述解码单元205-02用于当所述验证单元204-0验证利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。
所述向外发送单元203-01用于向外网发送所述编码单元205-01编码得到的ping回显请求数据包。
所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。
在验证值的计算中加入固定值的因素,由于该固定值是由网络安全保护设备所掌握,外网无法得知固定值,可以使得计算的复杂性增加,成功伪装并通过验证的机率下降,增加了攻击者进行数据包伪造的难度。这种网络安全保护设备需要保存固定值,相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的。
网络安全保护设备的实施例五(通过特定算法计算特性数据与固定值得到第一验证值,在选项数据字段中加入固定值和第一验证值作为验证值):
网络安全保护设备的实施例五的具体结构示意图与图9相同,该网络安全保护设备包括:
所述原始接收单元201-01用于接收原始ping数据包。
所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。
所述获取单元202-01用于根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到第一验证值。
所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段中加入所述第一验证值和所述固定值作为验证值。
所述编码单元205-01用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
所述验证单元204-0用于当所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段含有所述固定值且当所述选项数据字段含有所述第一验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述第一验证值相同。
所述解码单元205-02用于当所述验证单元204-0验证利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述第一验证值相同时,对所述ping回显应答数据包进行解码。
所述向外发送单元203-01用于向外网发送所述编码单元205-01编码得到的ping回显请求数据包。
所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。
在选项数据字段中加入固定值和第一验证值,先对是否是正确的固定值进行验证,再对是否是有匹配的第一验证值进行验证,可以对接收的ping回显应答数据包进行两次验证,这种网络安全保护设备除了具有“第三种方式”的优点,即相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的之外,还具有更好的防范效果。
以上四种网络安全保护设备的方式中,提及的特定算法和对数据包的编解码与保护网络安全的方法中的论述内容相同。
另外,在有些保密性要求较高的网络环境中,由于选项数据字段可以被利用来传输秘密数据,当对选项数据字段进行编码后,就对获取秘密数据加大了难度,这可以有效地阻断通过建立“ping通道(Ping Tunnel)”进行秘密数据的传输。
由于网络安全保护设备利用ping数据包中的选项数据字段往返不变的特性,对在单向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段与所获取的验证值是否匹配进行验证,能有效地防范ping flood攻击,并且能少占用或不占用网络安全保护设备较多内存就能实现对ping数据包的监控。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,所述存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明实施例所提供的一种保护网络安全的方法和网络安全保护设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种保护网络安全的方法,其特征在于,包括:
接收原始ping数据包,所述原始ping数据包为来自内网的原始ping回显请求数据包;
获取验证值,在所述原始ping数据包的选项数据字段加入所述验证值;
对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;
向外网发送所述ping回显请求数据包;
验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值;
当所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码;
向内网发送解码后的ping回显应答数据包。
2.根据权利要求1所述的保护网络安全的方法,其特征在于,所述获取验证值,在所述原始ping数据包的选项数据字段加入验证值的步骤包括:
获取预先设定的固定值作为验证值,在所述原始ping数据包的选项数据字段加入所述固定值;
所述验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值的步骤包括:
验证来自外网的ping回显应答数据包的选项数据字段是否含有所述固定值;
所述当所述ping回显应答数据包的选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码的步骤包括:
当所述ping回显应答数据包的选项数据字段含有所述固定值时,对所述ping回显应答数据包进行解码。
3.根据权利要求1所述的保护网络安全的方法,其特征在于,所述获取验证值,在所述原始ping数据包的选项数据字段加入验证值的步骤包括:
根据所述原始ping数据包携带的特性数据以特定算法进行运算得到验证值;在所述原始ping数据包的选项数据字段中加入所述验证值;
所述验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值的步骤包括:
当来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同;
所述当所述ping回显应答数据包的选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码的步骤包括:
当利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。
4.根据权利要求1所述的保护网络安全的方法,其特征在于,所述获取验证值,在所述原始ping数据包的选项数据字段加入验证值的步骤包括:
根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到验证值;在所述原始ping数据包的选项数据字段中加入所述验证值;
所述验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值的步骤包括:
当来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同;
所述当所述ping回显应答数据包的选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码的步骤包括:
当利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。
5.根据权利要求1所述的保护网络安全的方法,其特征在于,所述获取验证值,在所述原始ping数据包的选项数据字段加入验证值的步骤包括:
根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到第一验证值;在所述原始ping数据包的选项数据字段中加入所述第一验证值和所述固定值作为验证值;
所述验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值的步骤包括:
当来自外网的ping回显应答数据包的选项数据字段含有所述固定值且当所述ping回显应答数据包的选项数据字段含有所述第一验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述第一验证值相同;
所述当所述ping回显应答数据包的选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码的步骤包括:
当利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述第一验证值相同时,对所述ping回显应答数据包进行解码。
6.根据权利要求3至5任一项所述的保护网络安全的方法,其特征在于,所述特定算法是哈希算法。
7.一种网络安全保护设备,其特征在于,包括:
接收单元,用于接收原始ping数据包,所述原始ping数据包为来自内网的原始ping回显请求数据包;
验证设置单元,用于获取验证值,在所述接收单元接收的所述原始ping数据包的选项数据字段加入所述验证值;
验证单元,用于验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值;
编解码单元,用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包,当所述验证单元验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码;
发送单元,用于向外网发送所述编解码单元编码得到的ping回显请求数据包以及向内网发送所述编解码单元解码后的ping回显应答数据包。
8.根据权利要求7所述的网络安全保护设备,其特征在于,
所述接收单元包括:
原始接收单元,用于接收原始ping数据包,所述原始ping数据包为来自内网的原始ping回显请求数据包;
外网接收单元,用于接收来自外网的ping回显应答数据包;
所述验证设置单元包括:
获取单元,用于获取验证值;
设置单元,用于在所述原始接收单元接收的原始ping数据包的选项数据字段加入验证值;
所述编解码单元包括:
编码单元,用于对所述设置单元加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;
解码单元,用于当所述验证单元验证所述ping回显应答数据包的选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码;
所述发送单元包括:
向外发送单元,用于向外网发送所述编码单元编码得到的ping回显请求数据包;
向内发送单元,用于向内网发送所述解码单元解码后的ping回显应答数据包。
9.根据权利要求8所述的网络安全保护设备,其特征在于,
所述获取单元用于获取预先设定的固定值作为验证值;
所述设置单元用于在所述原始接收单元接收的原始ping数据包的选项数据字段加入所述固定值;
所述编码单元用于对加入了所述固定值的原始ping数据包进行编码,得到ping回显请求数据包;
所述验证单元用于验证所述外网接收单元接收的来自外网的ping回显应答数据包的选项数据字段是否含与所述固定值相同的值;
所述解码单元用于当所述验证单元验证所述ping回显应答数据包的选项数据字段含有与所述固定值相同的值时,对所述ping回显应答数据包进行解码。
10.根据权利要求8所述的网络安全保护设备,其特征在于,
所述获取单元用于根据所述原始接收单元接收的原始ping数据包携带的特性数据以特定算法进行运算得到验证值;
所述设置单元用于在所述原始接收单元接收的原始ping数据包的选项数据字段中加入进行运算得到的所述验证值;
所述编码单元用于对加入了进行运算得到的所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;
所述验证单元用于当所述外网接收单元接收的来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同;
所述解码单元用于当所述验证单元验证利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。
11.根据权利要求8所述的网络安全保护设备,其特征在于,
所述获取单元用于根据预先设定的固定值和所述原始接收单元接收的原始ping数据包携带的特性数据以特定算法进行运算得到验证值;
所述设置单元用于在所述原始接收单元接收的原始ping数据包的选项数据字段中加入进行运算得到的所述验证值;
所述编码单元用于对加入了进行运算得到的所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;
所述验证单元用于当所述外网接收单元接收的来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同;
所述解码单元用于当所述验证单元验证利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。
12.根据权利要求8所述的网络安全保护设备,其特征在于,
所述获取单元用于根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到第一验证值;
所述设置单元用于在所述原始接收单元接收的原始ping数据包的选项数据字段中加入所述固定值和进行运算得到的所述第一验证值作为验证值;
所述编码单元用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;
所述验证单元用于当所述外网接收单元接收的来自外网的ping回显应答数据包的选项数据字段含有所述固定值且当所述ping回显应答数据包的选项数据字段含有所述第一验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述第一验证值相同;
所述解码单元用于当所述验证单元验证利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述第一验证值相同时,对所述ping回显应答数据包进行解码。
13.根据权利要求10至12任一项所述的网络安全保护设备,其特征在于,所述特定算法是哈希算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100084523A CN101478546B (zh) | 2009-01-23 | 2009-01-23 | 一种保护网络安全的方法和网络安全保护设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100084523A CN101478546B (zh) | 2009-01-23 | 2009-01-23 | 一种保护网络安全的方法和网络安全保护设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101478546A CN101478546A (zh) | 2009-07-08 |
| CN101478546B true CN101478546B (zh) | 2011-11-16 |
Family
ID=40839178
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100084523A Expired - Fee Related CN101478546B (zh) | 2009-01-23 | 2009-01-23 | 一种保护网络安全的方法和网络安全保护设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101478546B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581172A (zh) * | 2013-09-10 | 2014-02-12 | 昆山奥德鲁自动化技术有限公司 | 长距离以太网tcp协议的实现方法 |
| CN103973480B (zh) * | 2014-04-09 | 2017-10-31 | 汉柏科技有限公司 | 提高云计算***用户响应速度的装置及方法 |
| CN103957213A (zh) * | 2014-05-05 | 2014-07-30 | 上海大亚科技有限公司 | 基于ping包实现网络服务开启和关闭的***及方法 |
| BR112017000727B1 (pt) * | 2014-07-15 | 2022-12-20 | Microsoft Technology Licensing, Llc | Método e sistema para intermediação de uma solicitação de acesso a dados |
| CN105591830B (zh) * | 2014-10-23 | 2020-04-03 | 北京华为数字技术有限公司 | 一种链路改包的检测方法及装置 |
| CN105939206B (zh) * | 2015-09-11 | 2019-09-06 | 天地融科技股份有限公司 | 电子设备的管理方法及*** |
| CN105306476B (zh) * | 2015-11-09 | 2018-09-11 | 北京奇虎科技有限公司 | Dns的ping包检测方法及装置 |
| CN105787303B (zh) * | 2016-03-22 | 2019-10-11 | 深圳森格瑞通信有限公司 | 一种嵌入式***软件知识产权保护方法及保护*** |
| CN107071079B (zh) * | 2017-03-07 | 2020-10-20 | 上海斐讯数据通信技术有限公司 | 一种私网终端获取公网ip的方法及*** |
| CN112261038B (zh) * | 2020-10-20 | 2021-08-06 | 苏州莱锦机电自动化有限公司 | 大数据采集方法、***、计算机设备及其存储介质 |
| CN113890844B (zh) * | 2021-09-17 | 2023-05-09 | 济南浪潮数据技术有限公司 | 一种ping命令优化的方法、装置、设备及可读介质 |
| CN113872953B (zh) * | 2021-09-18 | 2024-03-26 | 杭州迪普信息技术有限公司 | 一种访问报文处理方法及装置 |
| CN115277179A (zh) * | 2022-07-26 | 2022-11-01 | 湖南三湘银行股份有限公司 | 一种基于多步保护的开放平台综合安全保护方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1650572A (zh) * | 2002-09-27 | 2005-08-03 | 松下电器产业株式会社 | 群组判定设备 |
| CN101204067A (zh) * | 2005-06-20 | 2008-06-18 | 汤姆森特许公司 | 安全计算两个设备之间的基于时间的长度的方法和设备 |
-
2009
- 2009-01-23 CN CN2009100084523A patent/CN101478546B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1650572A (zh) * | 2002-09-27 | 2005-08-03 | 松下电器产业株式会社 | 群组判定设备 |
| CN101204067A (zh) * | 2005-06-20 | 2008-06-18 | 汤姆森特许公司 | 安全计算两个设备之间的基于时间的长度的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101478546A (zh) | 2009-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101478546B (zh) | 一种保护网络安全的方法和网络安全保护设备 | |
| Yang et al. | RIHT: a novel hybrid IP traceback scheme | |
| CN106454815B (zh) | 一种基于leach协议的无线传感器网络路由方法 | |
| US20080320152A1 (en) | Method and system for detecting a communication problem in a computer network | |
| CN104717105B (zh) | 一种基于ISA100.11a标准的工业传感网数据重复检测方法 | |
| WO2013020437A1 (zh) | 一种双向转发检测会话的验证方法及节点 | |
| CN109194643B (zh) | 数据传输、报文解析方法、装置及设备 | |
| CN103036743A (zh) | 一种窃密木马的tcp心跳行为的检测方法 | |
| RU2307392C1 (ru) | Способ (варианты) защиты вычислительных сетей | |
| US7296207B2 (en) | Communications protocol | |
| CN110417804B (zh) | 一种适于单片机实现的双向身份认证加密通信方法及*** | |
| CN104660584A (zh) | 基于网络会话的木马病毒分析技术 | |
| Kitisriworapan et al. | Evil-twin detection on client-side | |
| Jaballah et al. | An efficient source authentication scheme in wireless sensor networks | |
| CN114915577A (zh) | 基于非阻塞io模型的设备通讯方法 | |
| Groza et al. | On the use of one-way chain based authentication protocols in secure control systems | |
| CN105471839A (zh) | 一种判断路由器数据是否被窜改的方法 | |
| Kuo et al. | Single-packet IP Traceback with less logging | |
| Kim et al. | IP traceback with sparsely-tagged fragment marking scheme under massively multiple attack paths | |
| CN104363248B (zh) | 无线数据传输方法与用户终端 | |
| CN107809760A (zh) | 一种无线传感器网络中消息认证的方法 | |
| CN103731314B (zh) | 一种通信业务行为异常的检测方法、***及设备 | |
| CN114666129B (zh) | 网络安全认证方法、***、计算机设备、存储介质 | |
| Rajanarayanan et al. | Wireless sensor network based detection of malicious packets drops and cluster performance study using energy with security aware LEACH (ES-LEACH) | |
| Jinwala et al. | Replay protection at the link layer security in wireless sensor networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111116 Termination date: 20170123 |