CN105939401A - 处理报文的方法及装置 - Google Patents
处理报文的方法及装置 Download PDFInfo
- Publication number
- CN105939401A CN105939401A CN201610072814.5A CN201610072814A CN105939401A CN 105939401 A CN105939401 A CN 105939401A CN 201610072814 A CN201610072814 A CN 201610072814A CN 105939401 A CN105939401 A CN 105939401A
- Authority
- CN
- China
- Prior art keywords
- message
- session
- state
- labelling
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种处理报文的方法及装置,所述方法包括:在发送数据报文时,获取与所述数据报文对应的会话的信号标记;若所述信号标记表示所述会话对应的终端认证状态发生变更,则向安全联动设备发送与所述会话对应的状态通知报文,所述状态通知报文用于将所述终端认证状态通知至所述安全联动设备,以使得所述安全联动设备根据所述终端认证状态处理所述会话的数据报文。应用本申请实施例可以使得安全联动设备在NAT架构中仍然能够识别发送报文的终端安全性。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及处理报文的方法及装置。
背景技术
随着网络技术的发展,终端的安全可靠问题日益突出,比如,有的终端不安装杀毒软件、不升级病毒库、滥用软件等。当终端自身存在安全问题时,一旦该终端接入企业网络,将会影响到企业网络的正常使用。因此,相关技术中,为了保证企业网络中的相关服务器的安全,可以通过与安全联动设备进行配合,对尝试接入企业网络的终端进行安全检测,在保证终端安全的基础上,再对终端发送的报文进行转发处理,如果终端本身并不安全,则安全联动设备可以直接丢弃其发送的报文,以及时切断企业网络与有安全隐患的终端之间的连接。可以用是否通过认证表示终端是否安全,比如,通过认证的终端为安全终端。
现有技术中,安全联动设备对于接收到的报文,可以通过该报文的源IP地址识别出该报文是哪个终端发送的,继而根据该终端的认证状态,确定是否继续处理该报文,比如根据预设的安全策略确定如何转发该报文。但是,如今NAT(Network Address Translation,网络地址转换)技术已经普遍应用在企业网络的组网方式中,不同终端向企业相关服务器发送的报文在经过NAT地址转换后将具有相同的源IP地址,那么,安全联动设备将无法通过报文的源IP地址识别出该报文是哪个终端所发送的,也无法确定发送该报文的终端是否是安全终端,从而无法获知如何处理该报文。若采取在报文中添加终端标识字段的方式辅助安全联动设备识别终端,不仅处理过程较为繁琐,而且该字段将有可能影响安全联动设备对报文的识别,导致错误地处理报文,对企业网络的安全造成威胁。
发明内容
有鉴于此,本申请提供一种处理报文的方法及装置,目的是使得安全联动设备在NAT架构中仍然能够识别发送报文的终端安全性。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供处理报文的方法,可以包括:
在发送数据报文时,获取与所述数据报文对应的会话的信号标记;
若所述信号标记表示所述会话对应的终端认证状态发生变更,则向安全联动设备发送与所述会话对应的状态通知报文,所述状态通知报文用于将所述终端认证状态通知至所述安全联动设备,以使得所述安全联动设备根据所述终端认证状态处理所述会话的数据报文。
在一实施例中,所述获取与所述数据报文对应的会话的信号标记,包括:
获取对应终端的全局信号标记,所述全局信号标记用于表示所述终端对应的会话中是否有会话的终端认证状态发生变更;
若所述全局信号标记表示存在终端认证状态发生变更的会话,则继续获取与所述数据报文对应的会话的信号标记。
在一实施例中,所述方法还包括:
当所有会话对应的信号标记均表示终端认证状态未发生变更时,将所述全局信号标记变更为第一标记值,所述第一标记值表示不存在终端认证状态发生变更的会话;
当所述终端认证状态发生变更时,将所述全局信号标记变更为第二标记值,所述第二标记值表示存在终端认证状态发生变更的会话。
在一实施例中,所述向安全联动设备发送与所述会话对应的状态通知报文,包括:
构造与所述会话对应的状态通知报文,并向安全联动设备发送所述状态通知报文,所述状态通知报文携带终端认证状态标记与信号报文标记,所述终端认证状态标记用于表示终端是否通过认证,所述信号报文标记用于使安全联动设备根据所述信号报文标记识别接收到的状态通知报文。
在一实施例中,所述向安全联动设备发送与所述会话对应的状态通知报文,包括:
若变更后的终端认证状态为通过认证状态,则复制所述数据报文,并向安全联动设备发送所述复制的数据报文。
在一实施例中,所述若所述信号标记表示所述会话对应的终端认证状态发生变更,则向安全联动设备发送与所述会话对应的状态通知报文,包括:
当所述信号标记表示终端认证状态发生变更时,且所述信号标记的值为N,则向安全联动设备发送N次与所述会话对应的状态通知报文,N为不小于1的自然数;
每向安全联动设备发送一次所述会话对应的状态通知报文,将所述会话对应的信号标记值减1,直至为0。
根据本申请实施例的第二方面,提供处理报文的方法,可以包括:
在接收到终端发送的状态通知报文时,根据所述状态通知报文记录所述状态通知报文所在会话对应的终端认证状态;
根据所述终端认证状态,处理终端发送的所述会话的数据报文。
根据本申请实施例的第三方面,提供处理报文的装置,可以包括:
获取单元,用于在发送数据报文时,获取与所述数据报文对应的会话的信号标记;
发送单元,用于在所述信号标记表示所述会话对应的终端认证状态发生变更时,向安全联动设备发送与所述会话对应的状态通知报文,所述状态通知报文用于将所述终端认证状态通知至所述安全联动设备,以使得所述安全联动设备根据所述终端认证状态处理所述会话的数据报文。
在一实施例中,所述获取单元包括:
第一获取子单元,用于获取对应终端的全局信号标记,所述全局信号标记用于表示所述终端对应的会话中是否有会话的终端认证状态发生变更;
第二获取子单元,用于在所述全局信号标记表示存在终端认证状态发生变更的会话时,继续获取与所述数据报文对应的会话的信号标记。
在一实施例中,所述装置还包括:
变更标记单元,用于当所有会话对应的信号标记均表示终端认证状态未发生变更时,将所述全局信号标记变更为第一标记值,所述第一标记值表示不存在终端认证状态发生变更的会话;
当所述终端认证状态发生变更时,将所述全局信号标记变更为第二标记值,所述第二标记值表示存在终端认证状态发生变更的会话。
在一实施例中,所述发送单元包括:
构造发送子单元,用于构造与所述会话对应的状态通知报文,并向安全联动设备发送所述状态通知报文,所述状态通知报文携带终端认证状态标记与信号报文标记,所述终端认证状态标记用于表示终端是否通过认证,所述信号报文标记用于使安全联动设备根据所述信号报文标记识别接收到的状态通知报文。
在一实施例中,所述发送单元包括:
复制发送子单元,用于在变更后的终端认证状态为通过认证状态时,复制所述数据报文,并向安全联动设备发送所述复制的数据报文。
在一实施例中,所述发送单元包括:
发送子单元,用于当所述信号标记表示终端认证状态发生变更时,且所述信号标记的值为N,则向安全联动设备发送N次与所述会话对应的状态通知报文,N为不小于1的自然数;
更新子单元,用于每向安全联动设备发送一次所述会话对应的状态通知报文,将所述会话对应的信号标记值减1,直至为0。
根据本申请实施例的第四方面,提供处理报文的方法,可以包括:
记录单元,用于在接收到终端发送的状态通知报文时,根据所述状态通知报文记录所述状态通知报文所在会话对应的终端认证状态;
处理单元,用于根据所述终端认证状态,处理终端发送的所述会话的数据报文。
本实施例处理报文的方法,通过发送状态通知报文,将终端的各个会话对应的终端认证状态通知给安全联动设备,使得安全联动设备可以根据终端认证状态处理各个会话的数据报文。这种方式的应用,使得在NAT架构中,即使不同终端的IP地址经过NAT转换后地址相同,但是不同终端的不同会话,在经过NAT地址后的会话信息,比如IP地址和端口号是不同的,安全联动设备通过记录会话信息,并记录各个会话对应的终端认证状态,实际上也实现了对不同终端的会话识别的效果,并且通过记录会话的终端认证状态识别了不同终端对应的认证状态,从而使得在NAT架构中仍然能够识别发送报文的终端安全性,避免不安全的终端接入企业网,对企业网的安全造成威胁。
此外,本实施例在通知状态时是采用状态通知报文,该报文是独立于终端发送的数据报文之外的报文,使用状态通知报文执行对安全联动设备的状态通知,既能达到通知终端状态的目的,而且还不会对原有数据报文进行改动和影响,实施方便,效果更好,避免了修改原数据报文可能造成的错误。
附图说明
图1示出了一种本申请实施例实现处理报文的方法的应用场景示意图。
图2是根据一示例性实施例示出的处理报文的方法的一个实施例流程图。
图3是根据一示例性实施例示出的处理报文的方法的另一个实施例流程图。
图4示出了另一种本申请实施例实现处理报文的方法的架构图。
图5A是根据一示例性实施例示出的处理报文的方法的另一个实施例流程图。
图5B示出了本申请实施例中一种状态通知报文的结构图。
图6为本申请处理报文的装置所在设备的一种硬件结构图。
图7为本申请处理报文的装置的一个实施例框图。
图8为本申请处理报文的装置的另一个实施例框图。
图9为本申请处理报文的装置的另一个实施例框图。
图10为本申请处理报文的装置的另一个实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在…...时”或“当…...时”或“响应于确定”。
NAT架构是当前企业网络中普遍应用的一种组网方式,参见图1的示例,该图1示出了一种本申请实施例实现处理报文的方法的应用场景示意图,该应用场景中应用了NAT架构。其中,终端11和终端12均位于私网Intranet中,并分别与NAT设备13连接,企业服务器15位于企业网中,安全联动设备14位于私网Intranet与企业网之间。当终端11或终端12向企业服务器15发送报文时,该报文传输至NAT设备14,由NAT设备14将该报文的源IP地址进行转换,之后,该报文将传输至安全联动设备14,安全联动设备14可以通过执行本申请实施例中处理报文的方法,对该报文进行识别,以确定发送该报文的终端的安全性,根据识别结果处理该报文,以避免未通过认证的不安全终端接入企业网,对企业网的安全造成威胁。
可以理解的是,图1中的终端11和终端12仅以电脑为例进行说明,实际应用中的终端可以是平板电脑、手机等其它具备网络资源访问功能的终端。
以图1中所示的应用场景为例,其中的终端11或终端12可以执行图2所示的流程,该图2是根据一示例性实施例示出的处理报文的方法的一个实施例流程图,可以包括:
步骤S201:在发送数据报文时,获取与数据报文对应的会话的信号标记。
步骤S202:若所述信号标记表示所述会话对应的终端认证状态发生变更,则向安全联动设备发送与所述会话对应的状态通知报文,所述状态通知报文用于将所述终端认证状态通知至所述安全联动设备,以使得所述安全联动设备根据所述终端认证状态处理所述会话的数据报文。
以图1中所示的应用场景为例,其中的安全联动设备14可以执行图3所示的流程,该图3是根据一示例性实施例示出的处理报文的方法的另一个实施例流程图,可以包括:
步骤S301:在接收到终端发送的状态通知报文时,根据所述状态通知报文记录所述状态通知报文所在会话对应的终端认证状态。
步骤S302:根据所述终端认证状态,处理终端发送的会话的数据报文。
如下的图4,示出了一种本申请实施例实现处理报文的方法的架构图,该图4以图1所示的应用场景图为基础,以终端11和安全联动设备14执行本申请处理报文的方法为例,该图4中包括终端11和安全联动设备14,终端11上保存有所有会话的会话标记与对应的信号标记,安全联动设备14上保存有会话标记与对应的终端认证状态,关于终端11和安全联动设备14上所保存的信息的详细说明可参见下述描述,在此先不做详述。
为了更详细地说明本申请如何实现处理报文的方法,结合图4所示的架构图,对图2和图3所示的流程进行详细描述。
本申请实施例中,终端可以获取自己的认证状态,例如,终端11上可以预先设置了终端认证状态标记,通过该标记来表示终端认证状态,终端认证状态可以包括未通过认证和通过认证,通过认证的终端是安全终端。该终端认证状态标记可以存储在内存的固定位置上,例如,占用两个字节内存。终端认证状态标记例如可以是“00”或者“11”,“00”表示终端未通过认证,“11”表示终端通过认证,当然具体实施中并不局限于该表示方式。
终端11上可以存在多个会话,即会话的数量可以不止一个。在本申请的例子中,上面描述的终端认证状态标记可以是一个全局的认证状态标记,即所有会话对应的终端认证状态可以是一致的,比如,当终端通过认证时,所有会话对应的终端认证状态标记都是“11”,后续安全联动设备获取到终端通过认证时,可以认为该终端的所有会话的数据报文都是安全的;当终端未通过认证时,所有会话的终端认证状态标记都是“00”,后续安全联动设备获取到终端未通过认证时,可以认为该终端的所有会话的数据报文都是不安全的,从而直接丢弃。
终端11还可以保存会话状态标记映射表,参见下面表1的示例,该表1为会话状态标记映射表的一种示例。该会话状态标记映射表包括了终端11上所有会话的会话标记,该会话标记可以唯一的表示一个会话;每个会话均对应一个信号标记,该信号标记用于表示会话对应的终端认证状态是否发生变更,例如,终端认证状态从未通过认证变更为通过认证。例如,会话标记可以包括源IP地址、源端口号、目的IP地址、目的端口号,通过这些信息唯一表示一个会话;该信号标记可以取值为0或1,并预先设定,当信号标记的值为0时,表示会话对应的终端认证状态未发生变更,当信号标记的值为1时,表示会话对应的终端认证状态发生变更。
表1
| 会话标记(SID:session identify) | 信号标记(TTS:time to signal) |
| 10.0.1.1:11->30.0.0.2:80 | 0 |
| 10.0.1.1:12->30.0.0.2:80 | 1 |
| … | … |
如上表1,每个会话对应的信号标记为“0”或“1”,可以如下理解:例如,当终端的认证状态发生变化时,比如,由未通过认证变更为通过认证,或者由通过认证变更为未通过认证,那么上述表1中该终端所有会话对应的信号标记都要变更为“1”,即表示所有会话的终端认证状态都发生变化,那么,每个会话都可以重新通知一次安全联动设备该终端的最新认证状态;当会话向安全联动设备通知认证状态后,该会话的信号标记再变更为“0”。又例如,假设该终端增加了一个新的会话,那么该新会话对应的信号标记可以设置为“1”,即表示可以通知安全联动设备去记录该新会话对应的终端认证状态(当然,与其他会话对应的终端认证状态是相同的),而其他已通知过认证状态的会话的信号标记仍然为“0”,因为已经将终端认证状态通知过安全联动设备了,不用再次通知了。
具体的,可以参见步骤S201,当终端11发送数据报文时,可以获取与该数据报文对应会话的信号标记。例如,可以根据该数据报文中携带的源IP地址、源端口号、目的IP地址、目的端口号查找上述表1所示例的会话状态标记映射表,确定与该数据报文对应的会话的会话标记,继而获取该会话标记对应的信号标记。例如,该数据报文中携带的源IP地址、源端口号、目的IP地址、目的端口号分别为10.0.1.1、12、30.0.0.2、80,根据该4项数据查找上表1,可以获取该数据报文对应的会话的信号标记为1。
如果会话的信号标记表示所述会话对应的终端认证状态发生变更,例如上述例子所述的,会话10.0.1.1:12->30.0.0.2:80对应的信号标记是1,表示该会话的终端认证状态发生了变更,例如,该会话可能是新建的会话,且当前终端认证状态为通过认证。则在步骤S202中,终端11向安全联动设备14发送与所述会话对应的状态通知报文,所述状态通知报文用于将所述变更后的最新终端认证状态通知至所述安全联动设备14,以使得所述安全联动设备14根据所述终端认证状态处理所述会话的数据报文。比如,可以将会话10.0.1.1:12->30.0.0.2:80对应的终端认证状态通知给安全联动设备14,使得该安全联动设备根据该终端认证状态处理后续会话10.0.1.1:12->30.0.0.2:80中的数据报文。
安全联动设备14在接收到终端11发送的状态通知报文时,将根据所述状态通知报文记录所述状态通知报文所在会话对应的终端认证状态。本申请实施例中,安全联动设备14中可以保存会话状态控制表,该会话状态控制表包括会话标记与终端认证状态的对应关系。即,安全联动设备14可以记录终端上的所有会话对应的终端认证状态。
参见下表2的示例,该表2为会话状态控制表的一种示例:
表2
| 会话标记(SID:session identify) | 终端认证状态 |
| 10.0.1.1:11->30.0.0.2:80 | 00 |
| 10.0.1.1:12->30.0.0.2:80 | 00 |
| … | … |
如上表2,例如,可以用“00”表示终端已经通过认证,在表2中示例了某一个终端上的两个会话,这两个会话对应的终端认证状态可以是相同的,比如,终端已经通过认证。在其他的场景中,如果终端的认证状态是未通过认证,那么在表2中可以用“11”表示。
在步骤S302中,安全联动设备14在记录终端认证状态后,可以根据各个会话的终端认证状态,处理终端发送的所述会话的数据报文。
例如,假设安全联动设备14接收到了一个数据报文,安全联动设备14可以根据数据报文的源IP地址、源端口号、目的IP地址、目的端口号等信息,查找上述表2,得到该数据报文对应的会话,并且可以通过表2得到该会话对应的终端认证状态。
比如,如果表2中,数据报文所在会话的终端认证状态为表示终端已通过认证时,该终端为安全终端,安全联动设备14可以根据自身保存的安全策略继续转发该会话的数据报文;当终端认证状态为未通过认证时,该终端为不安全终端,安全联动设备14可以将该会话的数据报文阻断,从而避免该不安全的终端对企业网络的安全造成威胁。
本实施例处理报文的方法,通过发送状态通知报文,将终端的各个会话对应的终端认证状态通知给安全联动设备,使得安全联动设备可以根据终端认证状态处理各个会话的数据报文。这种方式的应用,使得在NAT架构中,即使不同终端的IP地址经过NAT转换后地址相同,但是不同终端的不同会话,在经过NAT地址后的会话信息,比如IP地址和端口号是不同的,安全联动设备通过记录会话信息,并记录各个会话对应的终端认证状态,实际上也实现了对不同终端的会话识别的效果,并且通过记录会话的终端认证状态识别了不同终端对应的认证状态,从而使得在NAT架构中仍然能够识别发送报文的终端安全性,避免不安全的终端接入企业网,对企业网的安全造成威胁。
此外,本实施例在通知状态时是采用状态通知报文,该报文是独立于终端发送的数据报文之外的报文,使用状态通知报文执行对安全联动设备的状态通知,既能达到通知终端状态的目的,而且还不会对原有数据报文进行改动和影响,实施方便,效果更好,避免了修改原数据报文可能造成的错误。
在上述图2和图3所示的处理报文的基础上,为了更高效地确认终端认证状态是否发生变更,还可以设置全局信号标记,用于表示终端的所有会话中是否有会话的终端认证状态发生变更。如下的图5A,是根据一示例性实施例示出的处理报文的方法的另一个实施例流程图,可以包括:
步骤S501:终端在发送数据报文时,获取对应的全局信号标记。
本实施例中,终端可以设置有全局信号标记,用于表示终端的所有会话中是否有会话的终端认证状态发生变更。例如,该全局信号标记是“0”或者“1”,“0”表示不存在终端认证状态发生变更的会话,“1”表示存在终端认证状态发生变更的会话。以上述表1所示的会话状态标记映射表为例,表1中存在信号标记为1的会话,即存在终端认证状态发生变更的会话,那么,此时全局信号标记为“1”;若会话状态标记映射表中所有的信号标记均为0,即表示所有会话的终端认证状态未发生变更,则全局信号标记为“0”。
根据上述描述,本实施例中,可以根据会话状态标记映射表中信号标记的值维护全局信号标记。例如,当会话状态标记映射表中的所有信号标记均变更为0时,可以将全局信号标记变更为0,该“0”可以称为第一标记值,用于表示该终端的所有会话中不存在终端认证状态发生变更的会话。又例如,当终端认证状态发生变更时(例如,终端认证状态从未通过认证变更为通过认证),根据上述描述,该终端上所有会话的信号标记也将变更为1,从而,可以将全局信号标记也变更为1,该“1”可以称为第二标记值。再例如,当终端上产生新的会话时,该新会话的信号标记为1,则可以将全局信号标记再变更为1。从而,通过维护全局信号标记,使得全局信号标记准确地表示是否存在终端认证状态发生变化的会话。
步骤S502:若所述全局信号标记表示存在终端认证状态发生变更的会话,则终端继续获取与所述数据报文对应的会话的信号标记。
当通过全局信号标记确定存在终端认证状态发生变更的会话时,终端11可以进一步确认该数据报文对应的会话的终端认证状态是否发生变更,即继续获取与该数据报文对应的会话的信号标记,本步骤中,如何获取该信号标记可以参见上述实施例步骤S201中的相关描述,在此不再详细赘述。
此外,本实施例中,当通过全局信号标记确定不存在终端认证状态发生变更的会话时,则终端11可以直接确定该数据报文对应的会话的终端认证状态未发生变更,则可以不用再执行获取该数据报文对应的会话的信号标记过程,从而加快了确认数据报文对应的会话的终端认证状态是否发生变更的速度。
步骤S503:若所述信号标记表示所述会话对应的终端认证状态发生变更,则终端构造与所述会话对应的状态通知报文,并向安全联动设备发送所述状态通知报文。
由上述实施例所述,当信号标记表示该会话对应的终端认证状态发生了变更时,终端向安全联动设备发送与该会话对应的状态通知报文,用于将变更后的最新终端认证状态通知至安全联动设备。
在实施例一个可选的实现方式中,终端可以构造一个状态通知报文,该状态通知报文携带信号报文标记和终端认证状态标记,其中,信号报文标记用以表示该报文为状态通知报文,使得安全联动设备在接收到报文时可以根据该信号报文标记识别出所接收到的为状态通知报文。例如,如下的图5B所示,示出了本申请实施例中一种状态通知报文的结构图。
图5B所示的状态通知报文的格式基于UDP报文格式,信号报文标记和终端认证状态标记位于该状态通知报文的数据字段中。
此外,由上面实施例所述,当会话的信号标记为1时,终端可以向安全联动设备发送一次会话的状态通知报文后,可以在会话状态标记映射表中,将该会话的信号标记变更为0,用以表示不用再次发送该会话的状态通知报文了。若由于某些异常情况,该状态通知报文未到达安全联动设备,那么,安全联动设备接收不到状态通知报文,则无法记录该会话对应的终端认证状态。为了尽量避免这种情况的发生,减小状态通知报文未正常到达安全联动设备的几率,可以多次发送状态通知报文。具体地,可以设置信号标记为0时,表示终端认证状态未变更,而信号标记不为0时,表示终端认证状态发生变更,例如,当终端上新产生会话时,该新会话的信号标记为N(N为大于1的自然数),当发送一次该新会话的状态通知报文后,将信号标记减1,若此时信号标记仍不为0,则再发送一次该新会话的状态通知报文,直至该信号标记为0。例如,N为5,那么,按照上述描述,终端共可以发送5次该新会话的状态通知报文。
步骤S504:安全联动设备在接收到终端发送的状态通知报文时,根据所述状态通知报文记录所述状态通知报文所在会话对应的终端认证状态。
安全联动设备在接收到该状态通知报文时,记录会话的终端认证状态的执行过程可以参见上述实施例中的相关描述,在此不再详细赘述。
步骤S505:安全联动设备根据所述终端认证状态,处理终端发送的所述会话的数据报文。
本步骤的描述可以参见上述步骤S301和步骤S302的相关描述,在此不再赘述。
此外,在本申请实施例中,状态通知报文可以采用上述例子中构造一个包含终端认证状态的报文,还可以是其他方式,比如,当执行完步骤S502,通过获取到的信号标记确定终端认证状态发生变更时,继续确认变更后的终端认证状态是否为通过认证,若是,则可以将待发送的数据报文进行复制,将复制的数据报文与原数据报文一并发送至安全联动设备,或在预设的时间间隔内先后发送至安全联动设备。这种情况下,复制的数据报文就相当于状态通知报文。
若该状态通知报文为复制的数据报文,则安全联动设备同时,或者在预设的时间间隔内,比如1秒内,接收到两个相同的数据报文,即状态通知报文和原数据报文时,则可以认为该数据报文对应的会话的终端认证状态为通过认证,则安全联动设备可以根据自身保存的安全策略继续转发该数据报文;若在同一时间,或者预设的时间间隔内,只接收到一个数据报文,则可以认为该数据报文对应的会话的终端认证状态为未通过认证,则安全联动设备可以丢弃该数据报文。
本实施例处理报文的方法,通过全局信号标记可以加快确定会话的终端认证状态是否发生变更的速度,在确定会话的终端认证状态发生变更后,还可以通过信号标记的值控制终端多次向安全联动设备发送状态通知报文,由于多次发送状态通知报文,使得安全联动设备因异常情况无法接收到状态通知报文的几率减小,从而使得安全联动设备可以根据接收到的状态通知报文记录会话的终端认证状态,根据该终端认证状态处理各个会话的数据报文。这种方式的应用,使得在NAT架构中,仍然能够识别发送报文的终端安全性,避免不安全的终端接入企业网,对企业网的安全造成威胁。
此外,本实施例在通知状态时采用的状态通知报文可以是终端新构造的报文,也可以是终端复制的数据报文,不论该状态通知报文采用上述何种方式,该报文都是独立于终端发送的数据报文之外的报文,使用状态通知报文执行对安全联动设备的状态通知,既能达到通知终端状态的目的,而且还不会对原有数据报文进行改动和影响,实施方便,效果更好,避免了修改原数据报文可能造成的错误。
与前述处理报文的方法的实施例相对应,本申请还提供了处理报文的装置的实施例。
本申请处理报文的装置的实施例可以分别应用在终端和安全联动设备上,也可以应用在其他设备上,本申请对此不做限制。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图6所示,为本申请处理报文的装置所在设备的一种硬件结构图,除了图6所示的处理器61、内存63、网络接口62、以及非易失性存储器64之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图7,为本申请处理报文的装置的一个实施例框图,可以包括:获取单元71、发送单元72。
其中,获取单元71,可以用于在发送数据报文时,获取与所述数据报文对应的会话的信号标记;
发送单元72,可以用于在所述信号标记表示所述会话对应的终端认证状态发生变更时,向安全联动设备发送与所述会话对应的状态通知报文,所述状态通知报文用于将所述终端认证状态通知至所述安全联动设备,以使得所述安全联动设备根据所述终端认证状态处理所述会话的数据报文。
请参考图8,为本申请处理报文的装置的另一个实施例框图,如图8所示,在上述图7所示的处理报文的装置的基础上,所述获取单元71可以包括:第一获取子单元711、第二获取子单元712。
其中,所述第一获取子单元711,可以用于获取对应终端的全局信号标记,所述全局信号标记用于表示所述终端对应的会话中是否有会话的终端认证状态发生变更;
所述第二获取子单元712,可以用于在所述全局信号标记表示存在终端认证状态发生变更的会话时,继续获取与所述数据报文对应的会话的信号标记。
所述装置还可以包括:变更标记单元73。
所述变更标记单元73,可以用于当所有会话对应的信号标记均表示终端认证状态未发生变更时,将所述全局信号标记变更为第一标记值,所述第一标记值表示不存在终端认证状态发生变更的会话;
当所述终端认证状态发生变更时,将所述全局信号标记变更为第二标记值,所述第二标记值表示存在终端认证状态发生变更的会话。
所述发送单元72可以包括:构造发送子单元721、发送子单元722、更新子单元723。
其中,所述构造发送子单元721,可以用于构造与所述会话对应的状态通知报文,并向安全联动设备发送所述状态通知报文,所述状态通知报文携带终端认证状态标记与信号报文标记,所述终端认证状态标记用于表示终端是否通过认证,所述信号报文标记用于使安全联动设备根据所述信号报文标记识别接收到的状态通知报文。
所述发送子单元722,可以用于当所述信号标记表示终端认证状态发生变更时,且所述信号标记的值为N,则向安全联动设备发送N次与所述会话对应的状态通知报文,N为不小于1的自然数;
所述更新子单元723,可以用于每向安全联动设备发送一次所述会话对应的状态通知报文,将所述会话对应的信号标记值减1,直至为0。
请参考图9,为本申请处理报文的装置的另一个实施例框图,如图9所示,在上述图7所示的处理报文的装置的基础上,与上述图8所示的处理报文的装置不同之处在,所述发送单元72不包括构造子单元721,而包括复制发送子单元724。
所述复制发送子单元724,用于在变更后的终端认证状态为通过认证状态时,复制所述数据报文,并向安全联动设备发送所述复制的数据报文。
请参考图10,为本申请处理报文的装置的另一个实施例框图,可以包括记录单元101、处理单元102。
其中,所述记录单元101,可以用于在接收到终端发送的状态通知报文时,根据所述状态通知报文记录所述状态通知报文所在会话对应的终端认证状态;
所述处理单元102,可以用于根据所述终端认证状态,处理终端发送的所述会话的数据报文。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (14)
1.一种处理报文的方法,其特征在于,所述方法包括:
在发送数据报文时,获取与所述数据报文对应的会话的信号标记;
若所述信号标记表示所述会话对应的终端认证状态发生变更,则向安全联动设备发送与所述会话对应的状态通知报文,所述状态通知报文用于将所述终端认证状态通知至所述安全联动设备,以使得所述安全联动设备根据所述终端认证状态处理所述会话的数据报文。
2.根据权利要求1所述的方法,其特征在于,所述获取与所述数据报文对应的会话的信号标记,包括:
获取对应终端的全局信号标记,所述全局信号标记用于表示所述终端对应的会话中是否有会话的终端认证状态发生变更;
若所述全局信号标记表示存在终端认证状态发生变更的会话,则继续获取与所述数据报文对应的会话的信号标记。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所有会话对应的信号标记均表示终端认证状态未发生变更时,将所述全局信号标记变更为第一标记值,所述第一标记值表示不存在终端认证状态发生变更的会话;
当所述终端认证状态发生变更时,将所述全局信号标记变更为第二标记值,所述第二标记值表示存在终端认证状态发生变更的会话。
4.根据权利要求1所述的方法,其特征在于,所述向安全联动设备发送与所述会话对应的状态通知报文,包括:
构造与所述会话对应的状态通知报文,并向安全联动设备发送所述状态通知报文,所述状态通知报文携带终端认证状态标记与信号报文标记,所述终端认证状态标记用于表示终端是否通过认证,所述信号报文标记用于使安全联动设备根据所述信号报文标记识别接收到的状态通知报文。
5.根据权利要求1所述的方法,其特征在于,所述向安全联动设备发送与所述会话对应的状态通知报文,包括:
若变更后的终端认证状态为通过认证状态,则复制所述数据报文,并向安全联动设备发送所述复制的数据报文。
6.根据权利要求1所述的方法,其特征在于,所述若所述信号标记表示所述会话对应的终端认证状态发生变更,则向安全联动设备发送与所述会话对应的状态通知报文,包括:
当所述信号标记表示终端认证状态发生变更时,且所述信号标记的值为N,则向安全联动设备发送N次与所述会话对应的状态通知报文,N为不小于1的自然数;
每向安全联动设备发送一次所述会话对应的状态通知报文,将所述会话对应的信号标记值减1,直至为0。
7.一种处理报文的方法,其特征在于,所述方法包括:
在接收到终端发送的状态通知报文时,根据所述状态通知报文记录所述状态通知报文所在会话对应的终端认证状态;
根据所述终端认证状态,处理终端发送的所述会话的数据报文。
8.一种处理报文的装置,其特征在于,所述装置包括:
获取单元,用于在发送数据报文时,获取与所述数据报文对应的会话的信号标记;
发送单元,用于在所述信号标记表示所述会话对应的终端认证状态发生变更时,向安全联动设备发送与所述会话对应的状态通知报文,所述状态通知报文用于将所述终端认证状态通知至所述安全联动设备,以使得所述安全联动设备根据所述终端认证状态处理所述会话的数据报文。
9.根据权利要求8所述的装置,其特征在于,所述获取单元包括:
第一获取子单元,用于获取对应终端的全局信号标记,所述全局信号标记用于表示所述终端对应的会话中是否有会话的终端认证状态发生变更;
第二获取子单元,用于在所述全局信号标记表示存在终端认证状态发生变更的会话时,继续获取与所述数据报文对应的会话的信号标记。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
变更标记单元,用于当所有会话对应的信号标记均表示终端认证状态未发生变更时,将所述全局信号标记变更为第一标记值,所述第一标记值表示不存在终端认证状态发生变更的会话;
当所述终端认证状态发生变更时,将所述全局信号标记变更为第二标记值,所述第二标记值表示存在终端认证状态发生变更的会话。
11.根据权利要求8所述的装置,其特征在于,所述发送单元包括:
构造发送子单元,用于构造与所述会话对应的状态通知报文,并向安全联动设备发送所述状态通知报文,所述状态通知报文携带终端认证状态标记与信号报文标记,所述终端认证状态标记用于表示终端是否通过认证,所述信号报文标记用于使安全联动设备根据所述信号报文标记识别接收到的状态通知报文。
12.根据权利要求8所述的装置,其特征在于,所述发送单元包括:
复制发送子单元,用于在变更后的终端认证状态为通过认证状态时,复制所述数据报文,并向安全联动设备发送所述复制的数据报文。
13.根据权利要求8所述的装置,其特征在于,所述发送单元包括:
发送子单元,用于当所述信号标记表示终端认证状态发生变更时,且所述信号标记的值为N,则向安全联动设备发送N次与所述会话对应的状态通知报文,N为不小于1的自然数;
更新子单元,用于每向安全联动设备发送一次所述会话对应的状态通知报文,将所述会话对应的信号标记值减1,直至为0。
14.一种处理报文的装置,其特征在于,所述装置包括:
记录单元,用于在接收到终端发送的状态通知报文时,根据所述状态通知报文记录所述状态通知报文所在会话对应的终端认证状态;
处理单元,用于根据所述终端认证状态,处理终端发送的所述会话的数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610072814.5A CN105939401B (zh) | 2016-02-02 | 2016-02-02 | 处理报文的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610072814.5A CN105939401B (zh) | 2016-02-02 | 2016-02-02 | 处理报文的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105939401A true CN105939401A (zh) | 2016-09-14 |
| CN105939401B CN105939401B (zh) | 2019-11-08 |
Family
ID=57152912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610072814.5A Active CN105939401B (zh) | 2016-02-02 | 2016-02-02 | 处理报文的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105939401B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107872446A (zh) * | 2016-09-28 | 2018-04-03 | 腾讯科技(深圳)有限公司 | 一种通信帐号的管理方法、装置及服务器 |
| CN114221814A (zh) * | 2021-12-16 | 2022-03-22 | 上海市共进通信技术有限公司 | 实现终端设备安全开启特殊业务的***、方法、装置、处理器及其计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1716869A (zh) * | 2004-06-30 | 2006-01-04 | 联想(北京)有限公司 | 一种集群模式下的网络安全设备同步方法 |
| CN1753364A (zh) * | 2005-10-26 | 2006-03-29 | 杭州华为三康技术有限公司 | 网络接入控制方法及*** |
| CN101188851A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| CN101631078A (zh) * | 2009-08-24 | 2010-01-20 | 杭州华三通信技术有限公司 | 一种端点准入防御中的报文控制方法及接入设备 |
| CN104618522A (zh) * | 2014-12-22 | 2015-05-13 | 迈普通信技术股份有限公司 | 终端ip地址自动更新的方法及以太网接入设备 |
-
2016
- 2016-02-02 CN CN201610072814.5A patent/CN105939401B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1716869A (zh) * | 2004-06-30 | 2006-01-04 | 联想(北京)有限公司 | 一种集群模式下的网络安全设备同步方法 |
| CN1753364A (zh) * | 2005-10-26 | 2006-03-29 | 杭州华为三康技术有限公司 | 网络接入控制方法及*** |
| CN101188851A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| CN101631078A (zh) * | 2009-08-24 | 2010-01-20 | 杭州华三通信技术有限公司 | 一种端点准入防御中的报文控制方法及接入设备 |
| CN104618522A (zh) * | 2014-12-22 | 2015-05-13 | 迈普通信技术股份有限公司 | 终端ip地址自动更新的方法及以太网接入设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107872446A (zh) * | 2016-09-28 | 2018-04-03 | 腾讯科技(深圳)有限公司 | 一种通信帐号的管理方法、装置及服务器 |
| CN107872446B (zh) * | 2016-09-28 | 2020-07-24 | 腾讯科技(深圳)有限公司 | 一种通信帐号的管理方法、装置及服务器 |
| CN114221814A (zh) * | 2021-12-16 | 2022-03-22 | 上海市共进通信技术有限公司 | 实现终端设备安全开启特殊业务的***、方法、装置、处理器及其计算机可读存储介质 |
| CN114221814B (zh) * | 2021-12-16 | 2023-10-27 | 上海市共进通信技术有限公司 | 实现终端设备安全开启特殊业务的***、方法、装置、处理器及其计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105939401B (zh) | 2019-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8200798B2 (en) | Address security in a routed access network | |
| CN104901955B (zh) | 一种预警方法、装置及处理服务器 | |
| CN112347485B (zh) | 多引擎获取漏洞并自动化渗透的处理方法 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和*** | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN104092542A (zh) | 一种账号登录方法、装置及*** | |
| CN102227115B (zh) | 一种限制用户访问的方法和装置 | |
| CN105939239A (zh) | 虚拟网卡的数据传输方法及装置 | |
| CN109067784A (zh) | 一种vxlan中防欺骗的方法和设备 | |
| CN106060097B (zh) | 一种信息安全竞赛的管理***及管理方法 | |
| CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
| CN106506726A (zh) | 一种校验dns真实用户的方法 | |
| CN108092976A (zh) | 设备指纹构造方法及装置 | |
| CN109413017A (zh) | 一种管理异构防火墙的方法及*** | |
| CN104410642B (zh) | 基于arp协议的设备接入感知方法 | |
| CN105939401A (zh) | 处理报文的方法及装置 | |
| CN110912898A (zh) | 伪装设备资产的方法、装置、电子设备及存储介质 | |
| US9678772B2 (en) | System, method, and computer-readable medium | |
| CN104683497B (zh) | 一种社区网络地址寻址方法及装置 | |
| CN114070624B (zh) | 一种报文监测的方法、装置、电子设备及介质 | |
| CN115883574A (zh) | 工业控制网络中的接入设备识别方法及装置 | |
| CN109587134A (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN104243254B (zh) | 一种PPPoE接入方法及设备 | |
| CN108429732A (zh) | 一种获取资源的方法及*** | |
| CN107566422A (zh) | 一种第三方用户的验证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |