CN112087427B - 通信验证方法、电子设备及存储介质 - Google Patents

通信验证方法、电子设备及存储介质 Download PDF

Info

Publication number
CN112087427B
CN112087427B CN202010769391.9A CN202010769391A CN112087427B CN 112087427 B CN112087427 B CN 112087427B CN 202010769391 A CN202010769391 A CN 202010769391A CN 112087427 B CN112087427 B CN 112087427B
Authority
CN
China
Prior art keywords
pass
user equipment
node server
target
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010769391.9A
Other languages
English (en)
Other versions
CN112087427A (zh
Inventor
沈寓实
汝聪翀
葛强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fenomen Array Beijing Technology Co ltd
Original Assignee
Fenomen Array Beijing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fenomen Array Beijing Technology Co ltd filed Critical Fenomen Array Beijing Technology Co ltd
Priority to CN202010769391.9A priority Critical patent/CN112087427B/zh
Publication of CN112087427A publication Critical patent/CN112087427A/zh
Application granted granted Critical
Publication of CN112087427B publication Critical patent/CN112087427B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种通信验证方法、电子设备及存储介质,以解决网络安全方案需要大量边界设备和对于DDOS攻击、APT攻击难以彻底防范的问题。所述方法包括:节点服务器接收用户设备发送的服务申请指令,节点服务器依据服务申请指令中的目标设备地址向目标设备查询业务类型,节点服务器根据查询到的业务类型向用户设备询问是否接收目标设备提供的业务类型,用户设备选择接收后,节点服务器生成通行证,该通行证是所述用户设备与所述节点服务器之间协商得到的,用户设备和目标设备依据通行证建立间接连接,节点服务器依据通行证审查用户设备和目标设备之间的通信。本发明提高了用户设备和目标设备之间通信的安全性。

Description

通信验证方法、电子设备及存储介质
技术领域
本发明涉及网络通信技术领域,特别是涉及一种通信验证方法、电子设备及存储介质。
背景技术
随着互联网技术的发展,社会已经进入了信息化的时代。但是在网络社会中人们并不是绝对安全的,人们面对着形形色色的网络攻击手段和信息泄露问题。并且随着大数据、云计算、物联网等新兴技术的快速发展,让网络安全问题更加突显。在能源、交通、金融、教育、公共服务等涉及国家安全和公众利益的重要行业和领域,安全问题更是牵一发而动全身。
现有技术中,网络安全方案主要由各种边界设备构成,比如边界防火墙,抗DDOS产品,入侵检测产品,流量分析产品,web应用防火墙,主机入侵检测***,主机防病毒等一系列软硬件组成。这些软硬件增加了建造数据中心的成本,增加了网络、计算、存储性能的开销,同时也增加了数据中心的不稳定性,对于DDOS攻击、APT攻击,仍然难以被彻底防范。
发明内容
本发明实施例提供一种应用于节点服务器的通信验证方法、电子设备及存储介质,以解决网络安全方案需要大量边界设备和对于DDOS攻击、APT攻击难以彻底防范的问题。
为了解决上述技术问题,本申请实施例第一方面提供了一种基于节点服务器的通信验证方法,所述方法包括:
接收用户设备通过自身所在的数据交换机发送的服务申请指令,所述服务申请指令携带目的地址,用于请求与所述目的地址对应的目标设备建立连接;
获取所述目标设备的业务类型,所述业务类型包括以下至少一者:视频业务、文本业务、图像业务;
询问所述用户设备是否接受获取到的业务类型;
在所述用户设备选择接受获取到的业务类型时,生成通行证,所述通行证是所述用户设备与所述节点服务器之间协商得到的;
基于所述通行证,建立所述用户设备和所述目标设备之间的连接;
验证所述用户设备和所述目标设备之间的通信是否符合所述通行证中规定的内容,所述规定的内容包括:源地址、目标地址、流量格式、特征报文。
可选地,获取所述目标设备的业务类型,包括:
接收节点服务器管理平台发送的所述目标设备注册的业务类型;或
向所述目标设备发送查询请求,并接收所述目标设备返回的业务类型。
可选地,生成通行证,包括:
生成临时通行证,以及,在所述目标设备未向节点服务器管理平台申请长期通行证时,生成临时通行证;
生成临时通行证,以及,在所述目标设备向节点服务器管理平台申请长期通行证时,生成长期通行证;
基于所述通行证,建立所述用户设备和所述目标设备之间的连接,包括:
基于生成的临时通行证,建立所述用户设备和所述目标设备之间的连接,或
基于生成的临时通行证,以及生成的长期通行证,建立所述用户设备和所述目标设备之间的连接。
可选地,所述方法还包括:
在所述用户设备选择接受获取到的业务类型时,将所述用户设备的地址记录为用户设备端通行证的源地址和目标设备端通行证的目的地址,以及,记录所述服务申请指令携带的目的地址为用户设备端通行证的目的地址和目标设备端通行证的源地址;
验证所述用户设备和所述目标设备之间的通信是否符合所述通行证中规定的内容,包括以下至少一者:
验证所述用户设备和所述目标设备之间的数据包中的源地址和目的地址是否与所述用户设备端通行证和所述目标设备端通行证记录的源地址和目的地址相同;
验证所述用户设备和所述目标设备之间的数据的流量格式是否符合约定的格式,其中,流量格式包括数据包长度、数据包时间序列、业务类型中的至少一者;
验证所述用户设备和所述目标设备之间的数据是否包含特征报文,其中,特征报文包括了攻击报文,版权标志信息中至少一者。
可选地,所述用户设备所在的数据交换机用于按照接收到的通行证,对所述用户设备发送的数据进行过滤,并将过滤后的数据发送给所述节点服务器;所述目标设备所在的数据交换机用于按照接收到的通行证对所述目标设备发送的数据进行过滤,并将过滤后的数据发送给所述节点服务器。
可选地,验证所述用户设备和所述目标设备之间的通信是否符合所述通行证中规定的内容之后,还包括:
在验证所述用户设备和所述目标设备之间的通信不符合所述通行证中规定的内容时,丢弃所述用户设备和所述目标设备之间的数据;
在验证所述用户设备和所述目标设备之间的通信符合所述通行证中规定的内容时,传输所述用户设备和所述目标设备之间的数据。
可选地,所述方法还包括:
建立相互隔离的带外传输通道和带内传输通道;
所述带外传输通道用于传输所述用户设备和所述目标设备之间建立连接之前的组网信息,所述带内传输通道用于所述用户设备和所述目标设备之间建立连接之后的通信。
可选地,所述节点服务器包含硬件安全模块HSM,所述HSM内嵌统一平台为所述节点服务器颁发的证书,所述节点服务器执行的如权利要求1-6任一所述通信验证方法是通过异构计算芯片完成的。
可选地,所述方法还包括:
在检测到相邻的新的节点服务器时,调用Rabbit CA的接口验证所述新的节点服务器的HSM内嵌的证书是否合法;
在所述新的节点服务器的HSM内嵌的证书合法时,与所述新的节点服务器建立连接。
可选地,在所述新的节点服务器的HSM内嵌的证书合法时,与所述新的节点服务器建立连接之后,所述方法还包括:
向所述新的节点服务器发送交换表内容,以使所述新的节点服务器通过学习所述交换表内容获得网络地址。
本申请实施例第二方面提供了一种通信验证装置,应用于节点服务器,所述装置包括:
接收模块,用于接收用户设备通过自身所在的数据交换机发送的服务申请指令,所述服务申请指令携带目的地址,用于请求与所述目的地址对应的目标设备建立连接;
获取模块,用于获取所述目标设备的业务类型,所述业务类型包括以下至少一者:视频业务、文本业务、图像业务;
询问模块,用于询问所述用户设备是否接受获取到的业务类型;
生成模块,用于在所述用户设备选择接受获取到的业务类型时,生成通行证;
第一建立模块,用于基于所述通行证,建立所述用户设备和所述目标设备之间的连接;
验证模块,用于验证所述用户设备和所述目标设备之间的通信是否符合所述通行证中规定的内容,所述规定的内容包括:源地址、目标地址、流量格式、特征报文。
可选地,所述获取模块包括:
接收子模块,用于接收节点服务器管理平台发送的所述目标设备注册的业务类型;或
发送子模块,用于向所述目标设备发送查询请求,并接收所述目标设备返回的业务类型。
可选地,所述生成模块包括:
第一生成子模块,用于生成临时通行证,以及,在所述目标设备未向节点服务器管理平台申请长期通行证时,生成临时通行证;
第二生成子模块,用于生成临时通行证,以及,在所述目标设备向节点服务器管理平台申请长期通行证时,生成长期通行证;
所述第一建立模块包括:
第一建立子模块,用于基于生成的临时通行证,建立所述用户设备和所述目标设备之间的连接,或
第二建立子模块,用于基于生成的临时通行证,以及生成的长期通行证,建立所述用户设备和所述目标设备之间的连接。
可选地,所述装置还包括:
记录模块,用于在所述用户设备选择接受获取到的业务类型时,将所述用户设备的地址记录为用户设备端通行证的源地址和目标设备端通行证的目的地址,以及,记录所述服务申请指令携带的目的地址为用户设备端通行证的目的地址和目标设备端通行证的源地址;
所述验证模块还用于执行以下至少一者:
验证所述用户设备和所述目标设备之间的数据包中的源地址和目的地址是否与所述用户设备端通行证和所述目标设备端通行证记录的源地址和目的地址相同;
验证所述用户设备和所述目标设备之间的数据的流量格式是否符合约定的格式,其中,流量格式包括数据包长度、数据包时间序列、业务类型中的至少一者;
验证所述用户设备和所述目标设备之间的数据是否包含特征报文,其中,特征报文包括了攻击报文,版权标志信息中至少一者。
可选地,所述装置还包括:
丢弃模块,用于在验证所述用户设备和所述目标设备之间的通信不符合所述通行证中规定的内容时,丢弃所述用户设备和所述目标设备之间的数据;
传输模块,用于在验证所述用户设备和所述目标设备之间的通信符合所述通行证中规定的内容时,传输所述用户设备和所述目标设备之间的数据。
可选地,所述装置还包括:
第二建立模块,用于建立相互隔离的带外传输通道和带内传输通道;所述带外传输通道用于传输所述用户设备和所述目标设备之间建立连接之前的组网信息,所述带内传输通道用于所述用户设备和所述目标设备之间建立连接之后的通信。
可选地,所述节点服务器包含硬件安全模块HSM,所述HSM内嵌统一平台为所述节点服务器颁发的证书,所述节点服务器执行上述所述通信验证方法是通过异构计算芯片完成的。
可选地,所述装置还包括:
调用模块,用于在检测到相邻的新的节点服务器时,调用Rabbit CA的接口验证所述新的节点服务器的HSM内嵌的证书是否合法;
第三建立模块,用于在所述新的节点服务器的HSM内嵌的证书合法时,与所述新的节点服务器建立连接。
可选地,所述装置还包括:
发送模块,用于向所述新的节点服务器发送交换表内容,以使所述新的节点服务器通过学习所述交换表内容获得网络地址。
本申请实施例第三方面还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行时实现本申请实施例第一方面所述的方法的步骤。
本申请实施例第四方面还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请实施例第一方面所述的方法中的步骤。
通过本实施例的通信验证方法,节点服务器在接收到用户设备的服务申请指令后,获取目标设备提供的业务类型,随后询问用户设备是否接受获取到的业务类型,在用户设备选择接受获取到的业务类型时,生成通行证,基于通行证,建立用户设备和目标设备之间的连接,同时节点服务器基于通行证验证用户设备和目标设备之间的通信是否符合通行证中规定的内容。该方法具有如下多个技术效果:
第一、通过节点服务器建立用户设备和目标设备的间接连接,隔绝了用户设备和目标设备的直接连接,能够对用户设备和目标设备的通信进行实时管理,克服了现有技术中用户设备与目标设备直接连接时只能事后管理的弊端;
第二、通过节点服务器建立用户设备和目标设备的间接连接,由节点服务器执行通信协议,避免了用户设备与目标设备直接连接时通信协议容易在终端被恶意修改的现象;
第三、通过通行证对用户设备与目标设备的通信的约定能够对通信内容的来源进行审查,解决了现有互联网通信中基于隐藏网络地址的攻击的问题;
第四、通过通行证对用户设备与目标设备的通信的约定能够对通信内容进行审查,解决了现有互联网网络的通信中的攻击报文的传输的问题;
第五、通过用户设备与目标设备建立连接前业务类型的获取和基于通行证的连接的建立,能够解决DDOS攻击、APT攻击难以被彻底杜绝的问题,同时减少了现有网络安全方案中边界设备的数量,减少了成本。
附图说明
更清楚地说明本申请实施例的技术方案,下面将对本申请实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例示出的一种相关技术中的用户设备之间的交互原理示意图;
图2是本申请一实施例示出的一种改进的用户设备之间的交互原理示意图;
图3是本申请一实施例示出的一种通信验证方法的流程图;
图4是本申请一实施例示出的一种通信验证装置的结构框图;
图5是本申请一实施例示出的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有的互联网由不同的硬件设备提供商生产的各种各样的设备组网。各种设备并未按照统一规则遵守私有的和公开的网络协议,因此,协议的复杂性和生产厂商的复杂性导致了设备中可能存在各种各样的漏洞,为黑客提供了可乘之机。例如,现有的数据中心软件复杂,各种基于诺伊曼体系(将程序指令和操作数据放在同一个储存地,一段程序可以修改机器中的其他程序和数据。)构建起来的操作***、中间件、应用软件等错综复杂的复杂体可能存在各种各样的漏洞,这些漏洞使得木马、蠕虫、病毒、后门等可以乘虚而入。
在互联网中,用户只要连上互联网,就可以自由访问互联网中的各种设备。然而,通信协议在用户终端执行时,存在被篡改的风险;路由信息在网上广播时,存在被窃听的风险;其次,互联网用户还可以设定任意IP地址来冒充其它互联网用户,以向网上任何设备发出探针以窥探个人隐私信息,或者向网络发送任意干扰数据包,导致现有的互联网存在地址欺骗、匿名攻击、邮件炸弹、隐蔽监听、端口扫描、涂改信息等形形色色的固有漏洞,为黑客提供了施展空间。因而,如何保证互联网的网络安全,成为亟待解决的问题。
在相关技术中,以数据中心的网络安全防范为例,针对数据中心的网络安全方案主要由各种边界设备构成,例如,边界防火墙、抗DDOS产品、入侵检测产品、流量分析产品、web应用防火墙、主机入侵检测***以及主机防病毒等一系列软件或硬件组成。一方面,各类软件或硬件增加了网络、计算、存储性能的开销,导致建造数据中心的成本增高;另一方面,由于各类软件或硬件的功能错综复杂,增加了数据中心的不稳定性;再一方面,由于防火墙的效果是暂时和相对的,防毒软件和补丁永远慢一拍,处于被动状态,因而对于DDOS攻击、APT攻击等仍旧难以彻底防范。因而,相关技术仍旧不能较好地保证互联网的网络安全。
为克服相关技术中存在的问题,更好地保证互联网的网络安全,本申请对互联网中的各个用户设备的交互方式进行了改进。具体地,原有的互联网中的各个用户设备的交互原理如图1所示,图1是本申请一实施例示出的一种相关技术中的用户设备之间的交互原理示意图。在图1中,用户设备与目标设备直接基于互联网协议进行通信交互,且由于用户设备和目标设备均是未经安全认证的设备,因而,其交互过程存在安全风险。
为此,本申请提出一种新的交互方式,其原理为:用户设备与目标设备之间不再直接交互,而是通过第三方安全认证设备间接交互,由第三方安全认证设备首先对用户设备和目标设备的安全性进行验证,并且认证通过之后,才建立起用户设备和目标设备之间的间接通信连接进而完成后续的业务逻辑交互,保证了交互过程的安全,因而通过本申请的交互方式,可以从源头保证用户在使用互联网时的网络安全。
具体地,本申请提出的新的交互方式的原理可如图2所示,图2是本申请一实施例示出的一种改进的用户设备之间的交互原理示意图。在图2中,节点服务器、第一数据交换机、用户设备、第二数据交换机以及目标设备均部署于互联网中。节点服务器一方面通过第一数据交换机与用户设备连接,另一方面通过第二数据交换机与目标设备连接。节点服务器、第一数据交换机、用户设备、第二数据交换机以及目标设备之间基于互联网协议群实现通信。通过图2所示的交互原理,用户设备与目标设备之间不再直接交互,而是通过节点服务器间接交互,由节点服务器首先对用户设备和目标设备的安全性进行验证,并且认证通过之后,才建立起用户设备和目标设备之间的间接通信连接进而完成后续的业务逻辑交互。
下面将对本申请的通信验证方法进行详细说明。本申请的通信验证方法应用于图2中的节点服务器。图3是本申请一实施例示出的一种通信验证方法的流程图。参照图2和图3,本发明实施例的用于节点服务器的通信验证方法包括以下步骤:
步骤S31:接收用户设备通过自身所在的数据交换机发送的服务申请指令,所述服务申请指令携带目的地址,用于请求与所述目的地址对应的目标设备建立连接。
在本实施例中,部署于互联网中的任意设备既可以作为资源请求方向其它用户设备发起资源请求服务,也可以作为资源提供方为其它用户设备提供资源请求服务。用户设备和目标设备可以为部署于互联网中的任意两个不同的设备。示例地,当用户设备1向用户设备2发起资源请求服务时,用户设备1作为步骤S31中所指的用户设备,用户设备2作为步骤S31中所指的目标设备。反之,当用户设备2向用户设备1发起资源请求服务时,用户设备2作为步骤S31中所指的用户设备,用户设备1作为步骤S31中所指的目标设备。
在本实施例中,部署于互联网中的所有的设备均需要通过数据交换机与节点服务器通信连接,一个节点服务器可以设置多个数据交换机,每个数据交换机用于与多个设备通信连接。示例地,在图2中,用户设备自身所在的数据交换机为第一数据交换机,则用户设备与节点服务器通过第一数据交换机通信连接;目标设备自身所在的数据交换机为第二数据交换机,则目标设备与节点服务器通过第二数据交换机通信连接。
其中,服务申请指令携带目的地址,因而,节点服务器根据目的地址即可确定目标设备,进而建立用户设备和目标设备之间的通信连接。
在本实施例中,当某个用户设备需要向其它的用户设备发起资源请求服务时,需要首先生成针对此次资源请求服务的服务申请指令,该服务申请指令用于与该其它的用户设备建立通信连接,然后通过自身所在的数据交换机将服务申请指令发送给节点服务器。示例地,当用户设备1向用户设备2请求视频资源时,用户设备1首先生成针对此次请求视频资源的服务申请指令,然后通过第一数据交换机将该服务申请指令发送给节点服务器。
本实施例中,用户设备或目标设备既可以是指移动客户端,也可以是指Web客户端,本实施例对用户设备的具体形式不作限定。
步骤S32:获取所述目标设备的业务类型,所述业务类型包括以下至少一者:视频业务、文本业务、图像业务。
在本实施例中,业务类型是指对互联网数据的分类,包括了视频、文本、图像至少一种。互联网中的每一个设备可以预先向节点服务器的管理平台注册其可提供的业务类型,如此,设备在接收到请求方发送的获得业务类型的请求时,可以获得预先存储的可提供的业务类型并返回给请求方。其中,节点服务器的管理平台可以为第三方平台,可用于管理所有与节点服务器连接的设备的注册业务。
在本实施例中,节点服务器可以通过多种方式获得目标设备的业务类型,本实施例对此不作具体限制。
步骤S33:询问所述用户设备是否接受获取到的业务类型。
在本实施例中,当节点服务器获得目标设备的业务类型之后,通过用户设备所在的数据交换机,将目标设备的业务类型发送给用户设备。用户设备接收到目标设备的业务类型之后,将目标设备的业务类型显示在界面中,以询问用户是否接受获取到的业务类型。
在本实施例中,用户针对获取到的业务类型可以做出的操作包括:接受获取到的业务类型和拒绝接受获取到的业务类型。当用户做出接受获取到的业务类型的操作时,节点服务器会进入下一步处理,当用户做出拒绝接受获取到的业务类型的操作时,节点服务器结束针对用户设备发送的服务申请指令的处理。
示例地,用户设备接收到的目标设备的业务类型包括视频和文本,用户设备将视频和文本这两种业务类型显示在界面中,同时显示是否接受视频和文本这两种业务类型的提示信息,如此,用户查阅提示信息后,可以选择接受视频和文本这两种业务类型,也可以选择拒绝接受视频和文本这两种业务类型。
步骤S34:在所述用户设备选择接受获取到的业务类型时,生成通行证,所述通行证是所述用户设备与所述节点服务器之间协商得到的。
在本实施例中,节点服务器在生成通行证之后,会向用户设备、目标设备、用户设备所在的数据交换机以及目标设备所在的数据交换机分别发送生成的通行证。
其中,通行证可以理解为协议,用于指示数据发送端发送数据时需要遵循的规范,例如通行证中可以给出需要发送的信息、信息需要使用的格式等,本实施例对此不作具体说明。向用户设备发送通行证的目的是:使得用户设备在通过数据交换机向节点服务器发送数据时,遵循通行证中的给出的规范。向用户设备所在的数据交换机发送通行证的目的是:使得用户设备所在的数据交换机接收到用户设备发送的数据时,按照通行证中的给出的规范对该数据进行初步过滤(将在后文进行详细说明)。同理,向目标设备发送通行证的目的是:使得目标设备在通过数据交换机向节点服务器发送数据时,遵循通行证中的给出的规范。向目标设备所在的数据交换机发送通行证的目的是:使得目标设备所在的数据交换机接收到目标设备发送的数据时,按照通行证中的给出的规范对该数据进行初步过滤。
在本实施例中,通行证可以包括不同的类型。每个设备可以向节点服务器管理平台协商通行证的类型,之后,设备选择接受获取到的业务类型时,节点服务器生成该类型的通行证,并发送给该设备。因而,当用户设备选择接受获取到的业务类型时,节点服务器向用户设备和用户设备所在的数据交换机发送用户设备预先协商的通行证,同时向目标设备和目标设备所在的数据交换机发送目标设备预先协商的通行证。
示例地,用户设备1预先与节点服务器管理平台协商获得第一类型的通行证,目标设备2预先与节点服务器管理平台协商获得第二类型的通行证。那么当用户设备1选择接受获取到的目标设备2的业务类型时,节点服务器生成第一类型的通行证并向用户设备1和用户设备1所在的数据交换机发送生成的第一类型的通行证,同时生成第二类型的通行证并向目标设备2和目标设备2所在的数据交换机发送生成的第二类型的通行证。
步骤S35:基于所述通行证,建立所述用户设备和所述目标设备之间的连接。
在本实施例中,用户设备和目标设备接收到通行证之后,分别按照通行证中给出的规范向节点服务器发送用于建立通信连接的数据。具体地,节点服务器在接收到用户设备发送的用于建立通信连接的数据之后,验证其是否符合用户设备对应的通行证中给出的规范,如果该数据符合用户设备对应的通行证中给出的规范,那么继续将该数据发送给目标设备,并接收目标设备返回的响应数据;在接收到目标设备返回的用于建立通信连接的响应数据之后,验证其是否符合目标设备对应的通行证中给出的规范,如果该数据符合目标设备对应的通行证中给出的规范,将该响应数据发送给用户设备,从而建立起用户设备和目标设备之间的连接。
步骤S36:验证所述用户设备和所述目标设备之间的通信是否符合所述通行证中规定的内容,所述规定的内容包括:源地址、目标地址、流量格式、特征报文。
在本实施例中,当用户设备和目标设备之间的通信连接建立成功之后,双方之间就可以进行业务交互,即:用户设备可以向目标设备发送业务请求数据,目标设备可以响应于业务请求数据向用户设备返回业务数据。
其中,验证用户设备和目标设备之间的通信是否符合通行证中规定的内容,具体是指:验证用户设备发送的业务数据是否符合用户设备对应的通行证中的规范,验证目标设备发送的业务数据是否符合目标设备对应的通行证中的规范。其中,规定的内容可以包括:源地址、目标地址、流量格式、特征报文等,本实施例对此不作具体限制。
具体地,节点服务器按照用户设备的通行证审核用户设备发送的数据,如果该数据中的源地址、目标地址、流量格式、特征报文等信息均符合用户设备对应的通行证中的规范,继续将该数据发送给目标设备,否则不将该数据发送给目标设备;相应地,节点服务器按照目标设备的通行证审核用户设备发送的数据,如果该数据中的源地址、目标地址、流量格式、特征报文等信息均符合目标设备对应的通行证中的规范,继续将该数据发送给用户设备,否则不将该数据发送给用户设备。通过这种审核方式,可防止用户设备或目标设备感染病毒时通过设备之间的业务交互而实现的传播,有效保证用户设备和目标设备的业务交互过程的安全性。
通过本实施例的通信验证方法,节点服务器在接收到用户设备的服务申请指令后,获取目标设备提供的业务类型,随后询问用户设备是否接受获取到的业务类型,在用户设备选择接受获取到的业务类型时,向用户设备和目标设备分别发送生成的通行证,基于通行证,建立用户设备和目标设备之间的连接,同时节点服务器基于通行证验证用户设备和目标设备之间的通信是否符合通行证中规定的内容。该方法具有如下多个技术效果:
第一、通过节点服务器建立用户设备和目标设备的间接连接,隔绝了用户设备和目标设备的直接连接,能够对用户设备和目标设备的通信进行实时管理,克服了现有技术中用户设备与目标设备直接连接时只能事后管理的弊端;
第二、通过节点服务器建立用户设备和目标设备的间接连接,由节点服务器执行通信协议,避免了用户设备与目标设备直接连接时通信协议容易在终端被恶意修改的现象;
第三、通过通行证对用户设备与目标设备的通信的约定能够对通信内容的来源进行审查,解决了现有互联网通信中基于隐藏网络地址的攻击的问题;
第四、通过通行证对用户设备与目标设备的通信的约定能够对通信内容进行审查,解决了现有互联网网络的通信中的攻击报文的传输的问题;
第五、通过用户设备与目标设备建立连接前业务类型的获取和基于通行证的连接的建立,能够解决DDOS攻击、APT攻击难以被彻底杜绝的问题,同时减少了现有网络安全方案中边界设备的数量,减少了成本。
结合以上实施例,在一种实施方式中,本申请还提供了一种获得目标设备的业务类型的方法。具体地,上述步骤32可以包括:
接收节点服务器管理平台发送的所述目标设备注册的业务类型;或
向所述目标设备发送查询请求,并接收所述目标设备返回的业务类型。
在一种实施方式中,节点服务器可以从节点服务器管理平台中获得目标设备的业务类型。示例地,当节点服务器需要查询目标设备的业务类型时,向节点服务器管理平台发送查询请求,节点服务器管理平台响应该查询请求,从目标设备注册时对应的注册信息中获得目标设备的业务类型,然后返回给节点服务器。
在又一种实施方式中,节点服务器可以从目标设备中查询其对应的业务类型。示例地,目标设备预先向节点服务器的管理平台注册的可提供的业务类型包括视频和文本,当节点服务器需要查询目标设备的业务类型时,向目标设备发送查询请求,目标设备响应该查询请求,将视频和文本两种业务类型返回给节点服务器。
在又一种实施方式中,节点服务器可以从自身存储的目标设备对应的注册信息中获得目标设备的业务类型。具体地,当目标设备在节点服务器管理平台注册完成后,节点服务器管理平台可以将注册到的信息下发到每个节点服务器,如此,当节点服务器收到已注册的目标设备所发送的服务申请指令后,可以直接根据节点服务器管理平台下发的该已注册的目标设备对应的注册信息,获得该已注册的目标设备所提供的业务类型。
节点服务器具体采用何种方式可根据实际需求设置,本实施例对此不作具体限制。
通过本实施例的获得目标设备的业务类型的方法,节点服务器可以更加灵活地获得目标设备的业务类型,进而保证通信验证方法的顺利实施。
结合以上实施例,在一种实施方式中,本申请还提供了一种向用户设备、目标设备以及数据交换机分别颁布通行证的方法。具体地,上述步骤34可以包括:
生成临时通行证,以及,在所述目标设备未向节点服务器管理平台申请长期通行证时,生成临时通行证;
生成临时通行证,以及,在所述目标设备向节点服务器管理平台申请长期通行证时,生成长期通行证。
在本实施例中,节点服务器会为用户设备和用户设备所在的数据交换机发送生成的临时通行证,,同时,在目标设备未向节点服务器管理平台申请长期通行证时,向目标设备以及目标设备所在的数据交换机发送生成的临时通行证。其中,设备向节点服务器管理平台申请通行证可以理解为:设备与节点服务器管理平台协商获得通行证类型。
同理,如果节点服务器向用户设备和用户设备所在的数据交换机发送生成的临时通行证时,目标设备已向节点服务器管理平台申请长期通行证,那么向目标设备以及目标设备所在的数据交换机颁布长期通行证。
相应地,上述步骤35可以包括:
基于生成的临时通行证,建立所述用户设备和所述目标设备之间的连接,或
基于生成的临时通行证,以及生成的长期通行证,建立所述用户设备和所述目标设备之间的连接。
在本实施例中,通行证包括两种类型:长期通行证和临时通行证。互联网中的每一个设备需要预先向节点服务器管理平台申请通行证,并在申请时指定需要申请的通行证的类型,即每一个设备需要预先与节点服务器管理平台协商通行证类型。本实施例是以用户设备的通行证是临时通行证为例对步骤S34和步骤S35进行说明的。实际上,用户设备的通行证可以是长期通行证,也可以是临时通行证,目标设备的通行证可以是长期通行证,也可以是临时通行证。
实际上,在具体实施步骤S34时,如果用户设备的通行证是临时通行证,那么节点服务器向用户设备,和用户设备所在的数据交换机发送生成的临时通行证;如果用户设备的通行证是长期通行证,那么节点服务器向用户设备,和用户设备所在的数据交换机发送生成的长期通行证;同时,如果目标设备的通行证是临时通行证,那么节点服务器向目标设备,和目标设备所在的数据交换机发送生成的临时通行证;如果目标设备的通行证是长期通行证,那么节点服务器向目标设备,和目标设备所在的数据交换机发送生成的长期通行证。
实际上,在具体实施步骤S35时,如果用户设备和目标设备的通行证均为临时通行证,那么基于用户设备、目标设备以及用户设备和目标设备各自所在的数据交换机分别发送生成的临时通行证,建立用户设备和目标设备之间的连接;如果用户设备和目标设备的通行证均为长期通行证,那么基于用户设备、目标设备以及用户设备和目标设备各自所在的数据交换机分别发送生成的长期通行证,建立用户设备和目标设备之间的连接;如果用户设备的通行证均为临时通行证,目标设备的通行证均为长期通行证,那么基于用户设备和用户设备所在的数据交换机分别发送生成的临时通行证,以及目标设备和目标设备所在的数据交换机分别发送生成的长期通行证,建立用户设备和目标设备之间的连接;如果用户设备的通行证均为长期通行证,目标设备的通行证均为临时通行证,那么基于用户设备和用户设备所在的数据交换机分别发送生成的长期通行证,以及目标设备和目标设备所在的数据交换机分别发送生成的临时通行证,建立用户设备和目标设备之间的连接。
在本实施例中,为了安全和便捷,通行证一般为临时通行证,在用户设备与目标设备断开通信后,临时通行证便被撤销,如果有设备按照被撤销的通行证发送数据,节点服务器会丢弃接收到的数据。用户设备和目标设备断开通信后,只有用户设备的临时通行证被撤销,目标设备的长期通行证不会被撤销。
在本实施例中,长期通行证相对于临时通行证而言,不仅可以存在更长的时间,而且由于其是经注册验证的设备,也更为安全,因此长期通行证相对于临时通行证可以在其内容上进行简化,以节约资源,提高效率。
通过本实施例的建立用户设备和目标设备之间的通信连接的方法,节点服务器可以建立起用户设备和目标设备之间的通信连接,进而保证通信验证方法的顺利实施。
结合以上实施例,在一种实施方式中,本申请提供的通信验证方法还可以包括:
在所述用户设备选择接受获取到的业务类型时,将所述用户设备的地址记录为用户设备端通行证的源地址和目标设备端通行证的目的地址,以及,记录所述服务申请指令携带的目的地址为用户设备端通行证的目的地址和目标设备端通行证的源地址。
相应地,上述步骤S36可以为如下多种实现方式中的至少一种实现方式:
验证所述用户设备和所述目标设备之间的数据包中的源地址和目的地址是否与所述用户设备端通行证和所述目标设备端通行证记录的源地址和目的地址相同;
验证所述用户设备和所述目标设备之间的数据的流量格式是否符合约定的格式,其中,流量格式包括数据包长度、数据包时间序列、业务类型中的至少一者;
验证所述用户设备和所述目标设备之间的数据是否包含特征报文,其中,特征报文包括了攻击报文,版权标志信息中至少一者。
在本实施例中,用户设备端通行证为用户设备预先向节点服务器管理平台申请的通行证,目标设备端通行证为目标设备预先向节点服务器管理平台申请的通行证。在用户设备选择接受获取到的业务类型时,节点服务器将用户设备的地址记录到用户设备端通行证的源地址处,和目标设备端通行证的目的地址处,同时,将服务申请指令携带的目标设备的目的地址记录到用户设备端通行证的目的地址处,和目标设备端通行证的源地址处。其中,流量格式包括传输的业务类型、数据包的长度和时间序列,特征报文包括攻击报文、版权标志等信息。
在本实施例中,在建立用户设备和目标设备之间的连接之后,节点服务器对用户设备和目标设备发送的业务数据分别按照用户设备和目标设备的通行证审核,包括:验证用户设备和目标设备之间的数据包中的源地址和目的地址是否与用户设备端通行证和目标设备端通行证记录的源地址和目的地址相同,验证用户设备和目标设备之间的数据的流量格式是否符合约定的格式,验证用户设备和目标设备之间的数据是否包含特征报文。
当然,在本实施例中,还可以在通行证中设置其它待验证项目,如此,验证用户设备和目标设备之间的通信是否符合通行证中规定的内容的方式可以相应增加验证其它待验证项目的对应的方式。其它待验证项目可以根据实际需求设置,本实施例对此不作具体限制。
通过本实施例的验证用户设备和目标设备之间的通信的方法,可以保证用户设备和目标设备之间的数据均为符合通行证给出的规范的数据,杜绝一些不符合规范的恶意数据(例如携带病毒的文件等)对业务交互过程造成影响,保证业务交互过程的安全。
结合以上实施例,在一种实施方式中,所述用户设备所在的数据交换机用于按照接收到的通行证,对所述用户设备发送的数据进行过滤,并将过滤后的数据发送给所述节点服务器;所述目标设备所在的数据交换机用于按照接收到的通行证对所述目标设备发送的数据进行过滤,并将过滤后的数据发送给所述节点服务器。
在本实施例中,由于数据交换机也会接收到通行证,因而,数据交换机可以根据接收到的通行证中的规范,对设备发送的数据进行初步过滤,以过滤出不符合规范的数据,然后将剩余的符合规范的数据继续发送给节点服务器。
示例地,在图2中,第一数据交换机接收到用户设备发送的业务数据时,通过通行证中的规范对该业务数据进行验证时发现流量格式不符合通行证中约定的规范,而其它剩余部分是符合规范的,那么第一数据交换机从该业务数据中过滤掉流量格式,将剩余的其它业务数据发送给节点服务器。
在本实施例中,可以由数据交换机数据根据接收到的通行证中的规范,对用户设备或目标设备发送的数据进行初步过滤,可以在业务数据携带病毒时提前将携带病毒的部分数据进行隔离,防止该携带病毒的部分数据发送到节点服务器时造成更为广泛的传播,进一步保证了业务交互过程的安全性,同时,可减少节点服务器验证的数据量,降低节点服务器的业务处理压力。
结合以上实施例,在一种实施方式中,在上述步骤S36之后,还可以执行以下步骤:
在验证所述用户设备和所述目标设备之间的通信不符合所述通行证中规定的内容时,丢弃所述用户设备和所述目标设备之间的数据;
在验证所述用户设备和所述目标设备之间的通信符合所述通行证中规定的内容时,传输所述用户设备和所述目标设备之间的数据。
在本实施例中,在验证用户设备和目标设备之间的通信不符合通行证中规定的内容时,可以丢弃用户设备和目标设备之间的数据。具体地,对于不符合通行证规定的目标地址和源地址的数据包,丢弃数据包,不予以转发;对于不符合流量格式的数据,同样予以丢弃;对于数据内容,如果检测到攻击报文或内容提供商提供的版权标志信息,则会丢弃该报文。如果验证用户设备和目标设备之间的通信符合通行证中规定的内容,则传输用户设备和目标设备之间的数据。
在本实施例中,对不符合通行证规定的数据包进行丢弃处理,可防止可能携带病毒的数据发送到节点服务器时造成更为广泛的传播,进一步保证了业务交互过程的安全性。
结合以上实施例,在一种实施方式中,本申请的通信验证方法还可以包括:
建立相互隔离的带外传输通道和带内传输通道;
所述带外传输通道用于传输所述用户设备和所述目标设备之间建立连接之前的组网信息,所述带内传输通道用于所述用户设备和所述目标设备之间建立连接之后的通信。
在本实施例中,用户设备和目标设备之间的数据传输通道可以包括:带外传输通道和带内传输通道。其中,带外传输通道和带内传输通道是相互隔离的。
在实施例中,数据传输并非仅指发送通信证后用户设备和目标设备之间传输的数据,还包括发送通信证前用户设备和目标设备之间传输的服务申请指令、查询目标设备提供的业务类型指令、询问是否接收目标设备提供的业务类型指令等一系列相关请求数据。
对于发送通信证前用户设备和目标设备之间传输的数据,节点服务器选择带外传输通道进行传输;对于指发送通信证后用户设备和目标设备之间传输的数据,节点服务器选择带内传输通道进行传输。
将发送通信证前用户设备和目标设备之间的请求数据转发至带外传输,发送通信证后用户设备和目标设备之间传输的数据转发至带内传输,两者之间相互隔离。其中,带外通道传输信息与用户端口隔离,用户设备和目标设备之间数据走带内通道,有可能被外人截获,但是,难以恢复出原始数据。带外通道包含数据包的请求数据,与用户端口隔离,无法被窃听或篡改。
结合以上实施例,在一种实施方式中,所述节点服务器包含硬件安全模块HSM,所述HSM内嵌统一平台为所述节点服务器颁发的证书,所述节点服务器执行上述通信验证方法是通过异构计算芯片完成的。
在本实施例中,节点服务器包含了硬件安全模块HSM(Hardware SecurityModule)和硬件编码电路,硬件安全模块内嵌一枚证书,该证书由统一的机构予以颁布。统一的机构会审核节点服务器生产厂商的资格,只有通过验证的厂商,才能获得节点服务器内嵌的证书。这样能够保证所有节点服务器之间运行的操作***、通信软件等节点服务器组件的相同,避免了不兼容以及兼容过程中的安全问题,同时通过审核节点服务器生产厂商的资格确保生产出的节点服务器在硬件上都符合安全标准,避免节点服务器被硬件方面攻击的风险。
节点服务器的通信算法的执行采用异构计算芯片,异构计算芯片包括了专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)等。节点服务器是专门用于通信验证和数据转发,采用传统的CPU无法满足节点服务器的要求。CPU需要很强的通用性来处理各种不同的数据类型,同时又要逻辑判断又会引入大量的分支跳转和中断的处理。CPU属于冯·诺依曼结构,需要先缓存指令、再将指令译码执行、并且共享内存。CPU内部不仅被Cache占据了大量空间,而且还有复杂的控制逻辑和诸多优化电路,因此CPU内部的算术运算单元在CPU中的占比不大,节点服务器会对接海量的目标设备和用户设备,因此将要处理的数据也是庞大的,采用异构计算芯片能够实现对数据的高效、及时处理,避免服务器宕机和数据转发过慢影响用户体验。此外,对于节点服务器这种需要处理大量通信任务的设备来说,如果采用传统的CPU处理,CPU需要从网卡把数据包收上来才能处理,这一过程将会产生一定的延迟,当CPU负载过大时延迟还会显著增加,同时很多网卡是不能线速处理64字节的小数据包的。尽管可以通过插多块网卡来达到高性能,但CPU和主板支持的PCIe插槽数量往往有限,而且还会极大的提高成本。而采用异构计算芯片,在芯片内部集成收发器,收发器可以直接接上网线,以线速处理任意大小的数据包。异构计算芯片能够极大降低节点服务器数据通信的延迟,提高数据转发的效率。
此外采用异构计算芯片如ASIC、FPGA,根据他们的原理可知他们是电路相对固定的,无法执行预设算法以外的其他功能,使得对于节点服务器的恶意攻击变得非常困难,极大提高了节点服务器的安全性。
结合以上实施例,在一种实施方式中,本申请的通信验证方法还可以包括:
在检测到相邻的新的节点服务器时,调用Rabbit CA的接口验证所述新的节点服务器的HSM内嵌的证书是否合法;
在所述新的节点服务器的HSM内嵌的证书合法时,与所述新的节点服务器建立连接。
在本实施例中,当节点服务器检测到相邻位置有新的节点服务器加入时,调用Rabbit CA的接口验证所述新的节点服务器的HSM内嵌的证书符合统一平台规定的规则,CA(Certificate Authority)证书认证机构在此处指统一的节点服务器内嵌证书的颁发机构,数字证书使用的数字签名算法选择RSA、ECC等任意一种,本发明不做具体指定,在本实施例中,以RSA举例。证书格式为X.509v3,证书格式亦可以为其他版本规范,本发明不予以指定,Rabbit CA的证书服务器与节点服务器生产厂商安全连接,对于安全连接的方式,可以是硬件加密设备、也可以时vpn等软件加密亦可以采用软件和硬件的结合,本发明不予具体指定,节点服务器生产厂商将会为节点服务器内置一对密钥,包括公钥和私钥。数字证书的产生过程为CA(Certificate Authority)使用私钥对节点服务器的公钥、其他节点服务器特征信息如制造厂商、制造时间、制造地点等进行签名,得到数字证书,节点服务器将数字证书保存。
当检测到节点服务器连接到节点服务器间的组网时,已在组网中的节点服务器与新加入组网的节点服务器通信之前,会验证数字证书。已在组网中的节点服务器会使用专门的验证接口验证数字证书,具体过程为已在组网中的节点服务器使用CA(CertificateAuthority)的公钥对证书进行解密,验证证书的合法性,如果证书合法,将得到新加入组网的节点服务器的公钥和特征信息。已在组网中的节点服务器会依据数字证书中的特征信息对节点进行判断,验证节新加入点服务器是否符合数字证书中的信息。符合数字证书中的信息后已在组网中的节点服务器才会允许新加入点服务器加入组网中,进行通信。
在本实施例中,当新的节点服务器接入网络的时候,与其相邻的节点服务器会调用Rabbit CA的接口,验证该节点服务器的Rabbit内嵌证书,如果验证结果是合法的,那么允许该节点服务器接入网络,反之,如果验证结果是非法的,那么拒绝该节点服务器接入网络,进而避免了可能的攻击情况。
结合以上实施例,在一种实施方式中,在所述新的节点服务器的HSM内嵌的证书合法时,与所述新的节点服务器建立连接之后,本申请的通信验证方法还可以包括:
向所述新的节点服务器发送交换表内容,以使所述新的节点服务器通过学习所述交换表内容获得网络地址。
在本实施例中,在验证新加入的节点服务器证书合法后,节点服务器还可以向新加入的节点服务器发送自己的地址,使得新加入的节点服务器可通过学习相邻节点服务器的地址设置自己的默认地址。
从本发明的应用于节点服务器通信验证方法中可以看出,节点服务器通过接收用户设备发送的服务申请指令,节点服务器依据服务申请指令中的目标设备地址向目标设备查询业务类型,节点服务器根据查询到的业务类型向用户设备询问是否接收目标设备提供的业务类型,用户设备选择接受后,节点服务器生成通行证,用户设备和目标设备依据通行证建立间接连接,节点服务器依据通行证审查用户设备和目标设备之间的通信。通过节点服务器建立用户设备和目标设备的间接连接,隔绝用户设备和目标设备的直接连接,能够对用户设备和目标设备的通信进行实时管理,解决了现有的用户设备与目标设备直接连接只能事后管理的问题,通过节点服务器建立用户设备和目标设备的间接连接,由节点服务器执行通信协议,解决了用户设备与目标设备直接连接时通信协议容易在终端被修改的问题,通过通行证对用户设备与目标设备的通信的约定能够对通信内容的来源进行审查,解决了现有互联网通信中基于隐藏网络地址的攻击的问题,通过通行证对用户设备与目标设备的通信的约定能够对通信内容进行审查,解决了现有互联网网络的通信中的攻击报文的传输的问题,通过用户设备与目标设备建立连接前业务类型的获取和基于通行证的连接的建立,能够解决DDOS攻击、APT攻击难以被彻底杜绝的问题,同时减少了现有网络安全方案中边界设备的数量,减少了成本。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
基于同一发明构思,本申请另一实施例还提供了一种通信验证装置400,应用于节点服务器。图4是本申请一实施例示出的一种通信验证装置的结构框图。参照图4,所述装置400包括:
接收模块401,用于接收用户设备通过自身所在的数据交换机发送的服务申请指令,所述服务申请指令携带目的地址,用于请求与所述目的地址对应的目标设备建立连接;
获取模块402,用于获取所述目标设备的业务类型,所述业务类型包括以下至少一者:视频业务、文本业务、图像业务;
询问模块403,用于询问所述用户设备是否接受获取到的业务类型;
生成模块404,用于在所述用户设备选择接受获取到的业务类型时,生成通行证,所述通行证是所述用户设备与所述节点服务器之间协商得到的;
第一建立模块405,用于基于所述通行证,建立所述用户设备和所述目标设备之间的连接;
验证模块406,用于验证所述用户设备和所述目标设备之间的通信是否符合所述通行证中规定的内容,所述规定的内容包括:源地址、目标地址、流量格式、特征报文。
可选地,所述获取模块402包括:
接收子模块,用于接收节点服务器管理平台发送的所述目标设备注册的业务类型;或
发送子模块,用于向所述目标设备发送查询请求,并接收所述目标设备返回的业务类型。
可选地,所述生成模块404包括:
第一生成子模块,用于生成临时通行证,以及,在所述目标设备未向节点服务器管理平台申请长期通行证时,生成临时通行证;
第二生成子模块,用于生成临时通行证,以及,在所述目标设备向节点服务器管理平台申请长期通行证时,生成长期通行证;
所述第一建立模块405包括:
第一建立子模块,用于基于生成的临时通行证,建立所述用户设备和所述目标设备之间的连接,或
第二建立子模块,用于基于生成的临时通行证,以及生成的长期通行证,建立所述用户设备和所述目标设备之间的连接。
可选地,所述装置400还包括:
记录模块,用于在所述用户设备选择接受获取到的业务类型时,将所述用户设备的地址记录为用户设备端通行证的源地址和目标设备端通行证的目的地址,以及,记录所述服务申请指令携带的目的地址为用户设备端通行证的目的地址和目标设备端通行证的源地址;
所述验证模块406还用于执行以下至少一者:
验证所述用户设备和所述目标设备之间的数据包中的源地址和目的地址是否与所述用户设备端通行证和所述目标设备端通行证记录的源地址和目的地址相同;
验证所述用户设备和所述目标设备之间的数据的流量格式是否符合约定的格式,其中,流量格式包括数据包长度、数据包时间序列、业务类型中的至少一者;
验证所述用户设备和所述目标设备之间的数据是否包含特征报文,其中,特征报文包括了攻击报文,版权标志信息中至少一者。
可选地,所述装置400还包括:
丢弃模块,用于在验证所述用户设备和所述目标设备之间的通信不符合所述通行证中规定的内容时,丢弃所述用户设备和所述目标设备之间的数据;
传输模块,用于在验证所述用户设备和所述目标设备之间的通信符合所述通行证中规定的内容时,传输所述用户设备和所述目标设备之间的数据。
可选地,所述装置400还包括:
第二建立模块,用于建立相互隔离的带外传输通道和带内传输通道;所述带外传输通道用于传输所述用户设备和所述目标设备之间建立连接之前的组网信息,所述带内传输通道用于所述用户设备和所述目标设备之间建立连接之后的通信。
可选地,所述节点服务器包含硬件安全模块HSM,所述HSM内嵌统一平台为所述节点服务器颁发的证书,所述节点服务器执行上述通信验证方法是通过异构计算芯片完成的。
可选地,所述装置400还包括:
调用模块,用于在检测到相邻的新的节点服务器时,调用Rabbit CA的接口验证所述新的节点服务器的HSM内嵌的证书是否合法;
第三建立模块,用于在所述新的节点服务器的HSM内嵌的证书合法时,与所述新的节点服务器建立连接。
可选地,所述装置400还包括:
发送模块,用于向所述新的节点服务器发送交换表内容,以使所述新的节点服务器通过学习所述交换表内容获得网络地址。
基于同一发明构思,本申请另一实施例提供一种电子设备500,如图5所示。图5是本申请一实施例示出的一种电子设备的结构示意图。该电子设备包括存储器502、处理器501及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行时实现本申请上述任一实施例所述的通信验证方法中的步骤。
基于同一发明构思,本申请另一实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请上述任一实施例所述的通信验证方法中的步骤。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。以上对本发明所提供的一种通信验证方法、电子设备及存储介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (12)

1.一种通信验证方法,其特征在于,应用于节点服务器,所述方法包括:
接收用户设备通过自身所在的数据交换机发送的服务申请指令,所述服务申请指令携带目的地址,用于请求与所述目的地址对应的目标设备建立连接;
获取所述目标设备的业务类型,所述业务类型包括以下至少一者:视频业务、文本业务、图像业务;
询问所述用户设备是否接受获取到的业务类型;
在所述用户设备选择接受获取到的业务类型时,生成通行证,所述通行证是所述用户设备与所述节点服务器之间协商得到的;
基于所述通行证,建立所述用户设备和所述目标设备之间的连接;
验证所述用户设备和所述目标设备之间的通信是否符合所述通行证中规定的内容,所述规定的内容包括:源地址、目的地址、流量格式、特征报文;其中,所述用户设备的地址记录为用户设备端通行证的源地址和目标设备端通行证的目的地址,所述服务申请指令携带的目的地址为用户设备端通行证的目的地址和目标设备端通行证的源地址;所述流量格式包括数据包长度、数据包时间序列、业务类型中的至少一者,所述特征报文包括攻击报文,版权标志信息中至少一者。
2.根据权利要求1所述的方法,其特征在于,获取所述目标设备的业务类型,包括:
接收节点服务器管理平台发送的所述目标设备注册的业务类型;或
向所述目标设备发送查询请求,并接收所述目标设备返回的业务类型。
3.根据权利要求1所述的方法,其特征在于,生成通行证,包括:
生成临时通行证,以及,在所述目标设备未向节点服务器管理平台申请长期通行证时,生成临时通行证;
生成临时通行证,以及,在所述目标设备向节点服务器管理平台申请长期通行证时,生成长期通行证;
基于所述通行证,建立所述用户设备和所述目标设备之间的连接,包括:
基于生成的临时通行证,建立所述用户设备和所述目标设备之间的连接,或
基于生成的临时通行证,以及生成的长期通行证,建立所述用户设备和所述目标设备之间的连接。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述用户设备选择接受获取到的业务类型时,验证所述用户设备和所述目标设备之间的通信是否符合所述通行证中规定的内容,包括以下至少一者:
验证所述用户设备和所述目标设备之间的数据包中的源地址和目的地址是否与所述用户设备端通行证和所述目标设备端通行证记录的源地址和目的地址相同;
验证所述用户设备和所述目标设备之间的数据的流量格式是否符合约定的格式;
验证所述用户设备和所述目标设备之间的数据是否包含特征报文。
5.根据权利要求1-4任一所述的方法,其特征在于,验证所述用户设备和所述目标设备之间的通信是否符合所述通行证中规定的内容之后,还包括:
在验证所述用户设备和所述目标设备之间的通信不符合所述通行证中规定的内容时,丢弃所述用户设备和所述目标设备之间的数据;
在验证所述用户设备和所述目标设备之间的通信符合所述通行证中规定的内容时,传输所述用户设备和所述目标设备之间的数据。
6.根据权利要求1-4任一所述的方法,其特征在于,还包括:
建立相互隔离的带外传输通道和带内传输通道;
所述带外传输通道用于传输所述用户设备和所述目标设备之间建立连接之前的组网信息,所述带内传输通道用于所述用户设备和所述目标设备之间建立连接之后的通信。
7.根据权利要求1-4任一所述的方法,其特征在于,所述节点服务器包含硬件安全模块HSM,所述HSM内嵌统一平台为所述节点服务器颁发的证书,所述节点服务器执行的如权利要求1-4任一所述通信验证方法是通过异构计算芯片完成的。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
在检测到相邻的新的节点服务器时,调用Rabbit CA的接口验证所述新的节点服务器的HSM内嵌的证书是否合法;
在所述新的节点服务器的HSM内嵌的证书合法时,与所述新的节点服务器建立连接。
9.根据权利要求8所述的方法,其特征在于,在所述新的节点服务器的HSM内嵌的证书合法时,与所述新的节点服务器建立连接之后,所述方法还包括:
向所述新的节点服务器发送交换表内容,以使所述新的节点服务器通过学习所述交换表内容获得网络地址。
10.一种通信验证装置,其特征在于,应用于节点服务器,所述装置包括:
接收模块,用于接收用户设备通过自身所在的数据交换机发送的服务申请指令,所述服务申请指令携带目的地址,用于请求与所述目的地址对应的目标设备建立连接;
获取模块,用于获取所述目标设备的业务类型,所述业务类型包括以下至少一者:视频业务、文本业务、图像业务;
询问模块,用于询问所述用户设备是否接受获取到的业务类型;
生成模块,用于在所述用户设备选择接受获取到的业务类型时,生成通行证,所述通行证是所述用户设备与所述节点服务器之间协商得到的;
第一建立模块,用于基于所述通行证,建立所述用户设备和所述目标设备之间的连接;
验证模块,用于验证所述用户设备和所述目标设备之间的通信是否符合所述通行证中规定的内容,所述规定的内容包括:源地址、目的地址、流量格式、特征报文,其中,所述用户设备的地址记录为用户设备端通行证的源地址和目标设备端通行证的目的地址,所述服务申请指令携带的目的地址为用户设备端通行证的目的地址和目标设备端通行证的源地址;所述流量格式包括数据包长度、数据包时间序列、业务类型中的至少一者,所述特征报文包括攻击报文,版权标志信息中至少一者。
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行时实现如权利要求1-9任一所述的方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-9任一所述的方法中的步骤。
CN202010769391.9A 2020-08-03 2020-08-03 通信验证方法、电子设备及存储介质 Active CN112087427B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010769391.9A CN112087427B (zh) 2020-08-03 2020-08-03 通信验证方法、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010769391.9A CN112087427B (zh) 2020-08-03 2020-08-03 通信验证方法、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN112087427A CN112087427A (zh) 2020-12-15
CN112087427B true CN112087427B (zh) 2022-09-30

Family

ID=73736050

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010769391.9A Active CN112087427B (zh) 2020-08-03 2020-08-03 通信验证方法、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN112087427B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113093560A (zh) * 2021-02-23 2021-07-09 美的集团股份有限公司 家用电器的人机交互方法及装置
CN115604337A (zh) * 2021-06-28 2023-01-13 网联清算有限公司(Cn) 通信连接建立方法、装置、电子设备与存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013172743A1 (ru) * 2012-05-14 2013-11-21 Krylov Vladimir Vladimirоvich Способ защищенного взаимодействия устройства клиента с сервером по сети интернет
CN109803159A (zh) * 2018-12-17 2019-05-24 视联动力信息技术股份有限公司 一种终端的验证方法和***
CN111212077A (zh) * 2020-01-08 2020-05-29 中国建设银行股份有限公司 主机访问***及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013172743A1 (ru) * 2012-05-14 2013-11-21 Krylov Vladimir Vladimirоvich Способ защищенного взаимодействия устройства клиента с сервером по сети интернет
CN109803159A (zh) * 2018-12-17 2019-05-24 视联动力信息技术股份有限公司 一种终端的验证方法和***
CN111212077A (zh) * 2020-01-08 2020-05-29 中国建设银行股份有限公司 主机访问***及方法

Also Published As

Publication number Publication date
CN112087427A (zh) 2020-12-15

Similar Documents

Publication Publication Date Title
US10298610B2 (en) Efficient and secure user credential store for credentials enforcement using a firewall
US20200267184A1 (en) Systems and methods for utilizing client side authentication to select services available at a given port number
US10425387B2 (en) Credentials enforcement using a firewall
US9866528B2 (en) System and method for interlocking a host and a gateway
US9680795B2 (en) Destination domain extraction for secure protocols
JP5714078B2 (ja) 分散セキュアコンテンツ管理システムに対する認証
US20240121211A1 (en) Systems and methods for continuous fingerprinting to detect session hijacking inside zero trust private networks
Jamil et al. Security issues in cloud computing and countermeasures
US8739272B1 (en) System and method for interlocking a host and a gateway
US11539695B2 (en) Secure controlled access to protected resources
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
CN112087427B (zh) 通信验证方法、电子设备及存储介质
CN115996122A (zh) 访问控制方法、装置及***
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
CN116633562A (zh) 一种基于WireGuard的网络零信任安全交互方法及***
AU2015255263B2 (en) System and method for interlocking a host and a gateway
Wang et al. Communication Boundary Stealth Technology of Power Internet of Things Terminal Network
CN118056380A (zh) 在计算机网络之内限制横向遍历
Shashi et al. To Detect and Isolate Zombie Attack in Cloud Computing
Williams Risk Access Spots (RAS) Common to Communication Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant