CN113221147A - 数据包处理方法、装置及存储介质 - Google Patents

数据包处理方法、装置及存储介质 Download PDF

Info

Publication number
CN113221147A
CN113221147A CN202110582063.2A CN202110582063A CN113221147A CN 113221147 A CN113221147 A CN 113221147A CN 202110582063 A CN202110582063 A CN 202110582063A CN 113221147 A CN113221147 A CN 113221147A
Authority
CN
China
Prior art keywords
data packet
printer
data
sent
link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110582063.2A
Other languages
English (en)
Other versions
CN113221147B (zh
Inventor
陈震东
黄显澍
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Antiy Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Antiy Technology Group Co Ltd filed Critical Antiy Technology Group Co Ltd
Priority to CN202110582063.2A priority Critical patent/CN113221147B/zh
Publication of CN113221147A publication Critical patent/CN113221147A/zh
Application granted granted Critical
Publication of CN113221147B publication Critical patent/CN113221147B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • G06F21/608Secure printing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1202Dedicated interfaces to print systems specifically adapted to achieve a particular effect
    • G06F3/1222Increasing security of the print job
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1223Dedicated interfaces to print systems specifically adapted to use a particular technique
    • G06F3/1237Print job management
    • G06F3/1238Secure printing, e.g. user identification, user rights for device usage, unallowed content, blanking portions or fields of a page, releasing held jobs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1278Dedicated interfaces to print systems specifically adapted to adopt a particular infrastructure
    • G06F3/1285Remote printer device, e.g. being remote from client or server

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Accessory Devices And Overall Control Thereof (AREA)

Abstract

本发明提供了一种数据包处理方法、装置及存储介质,其中防护设备端的方法包括:获取所述PC端与所述打印机之间传输的数据包;当确定所述数据包是由所述PC端经过加密后发来的时,利用预先与所述PC端协商好的解密算法对所述数据包进行解密;将解密后的数据包发送给所述打印机;其中,防护设备串联连接在外部PC端与外部打印机之间的网络链路上,所述防护设备与所述打印机之间通过物理连接方式直接连接。本方案,能够降低数据包泄露风险,提高数据包的传输安全性。

Description

数据包处理方法、装置及存储介质
技术领域
本发明涉及网络技术领域,尤其涉及数据包处理方法、装置及存储介质。
背景技术
在智能数字化办公场景下,打印机是最常使用的网络设备之一。相关技术中,PC端在向打印机发送需要进行打印的数据包时,采用明文方式在网络链路上进行传输。PC端与打印机之间的网络链路一般采用网线直连方式或者经路由器、交换机等网络设备间接连接方式实现。数据包在网络链路上传输时,容易造成数据包泄露,安全性较低。
发明内容
本发明实施例提供了一种数据包处理方法、装置及存储介质,能够降低数据包泄露风险,提高数据包的传输安全性。
第一方面,本发明实施例提供了一种数据包处理方法,应用于防护设备,所述防护设备串联连接在外部PC端与外部打印机之间的网络链路上,所述防护设备与所述打印机之间通过物理连接方式直接连接;方法包括:
获取所述PC端与所述打印机之间传输的数据包;
当确定所述数据包是由所述PC端经过加密后发来的时,利用预先与所述PC端协商好的解密算法对所述数据包进行解密;
将解密后的数据包发送给所述打印机。
优选地,在获取所述PC端与所述打印机之间传输的数据包之后,进一步包括:
当确定所述数据包是由所述打印机发送的时,判断所述数据包是否为所述打印机用于对所述PC端经过加密发来的数据包进行的响应;
如果是,则利用预先与所述PC端协商好的加密算法对所述打印机发来的数据包进行加密,并将加密后的数据包发送给所述PC端。
优选地,
在所述获取所述PC端与所述打印机之间传输的数据包之前,进一步包括:
构建至少两个虚拟网卡,并将所述至少两个虚拟网卡与至少两个物理网卡之间一对一桥接;其中,所述至少两个物理网卡是部署在所述防护设备上的,所述防护设备利用所述至少两个物理网卡分别与所述PC端、所述打印机连接;
所述获取所述PC端与所述打印机之间传输的数据包,包括:对创建的虚拟网卡进行监听,当监听到一个虚拟网卡通过与该虚拟网卡桥接的物理网卡接收到所述PC端与所述打印机之间传输的数据包时,从该虚拟网卡中得到所述PC端与所述打印机之间传输的数据包。
优选地,
所述将解密后的数据包发送给所述打印机,包括:将解密后的数据包发送给与连接所述打印机的物理网卡所桥接的虚拟网卡上,以使与该虚拟网卡桥接的物理网卡将解密后的数据包输出给与该物理网卡连接的打印机;
和/或,
所述将加密后的数据包发送给所述PC端,包括:将加密后的数据包发送给连接所述PC端的物理网卡所桥接的虚拟网卡上,以使与该虚拟网卡桥接的物理网卡将解密后的数据包输出给与该物理网卡连接的PC端。
优选地,
与所述防护设备连接的打印机为多个;
和/或,
与所述防护设备连接的PC端为多个。
优选地,所述对所述数据包进行解密,包括:
确定所述打印机与所述PC端之间的目标网络连接方式;
根据预先设定的网络连接方式与结构层的对应关系,确定所述目标网络连接方式对应的目标结构层;
从所述数据包中提取出所述目标结构层的数据,并对所述目标结构层的数据进行解密。
优选地,所述对所述数据包进行解密,包括:
从所述数据包中提取出从第四个结构层的数据,并对所述第四个结构层的数据进行解密;其中,所述数据包包括7个结构层。
优选地,在所述获取所述PC端与所述打印机之间传输的数据包之后,进一步包括:
当确定所述数据包为所述PC端向所述打印机发来的链路防护探测包时,针对所述链路防护探测包向所述PC端发送响应数据,以使所述PC端获知所述打印机已设置有链路防护。
第二方面,本发明实施例提供了一种数据包处理方法,应用于PC端,所述PC端与外部打印机之间的网络链路上串联连接有一个防护设备,所述防护设备与所述打印机之间通过物理连接方式直接连接;所述方法包括:
利用WinDivert读取所述PC端向设置有链路防护的打印机发送的数据包;其中,所述WinDivert中预先注册了设置有链路防护的各打印机的IP地址,且注册的IP地址中包括所述数据包的目的地址;
利用与所述目的地址对应的打印机连接的防护设备协商好的加密算法对所述数据包进行加密;
将加密后的数据包发送给该打印机。
优选地,在所述读取所述PC端向设置有链路防护的打印机发送的数据包之前,进一步包括:
获取与PC端连接的至少一个打印机的IP地址;
向每一个IP地址对应的打印机发送链路防护探测包,以使与打印机连接的防护设备在获取到该链路防护探测包后对所述链路防护探测包进行响应;
当接收到与打印机连接的防护设备针对所述链路防护探测包发送的响应数据时,将该打印机确定为设置有链路防护的打印机,并将该设置有链路防护的打印机的IP地址在WinDivert中注册。
优选地,在所述利用与所述目的地址对应的打印机连接的防护设备协商好的加密算法对所述数据包进行加密之前,进一步包括:
针对在所述WinDivert注册的设置有链路防护的各打印机的IP地址,分别将该打印机对应的打印端口和打印协议注册在所述WinDivert中,以使在执行利用WinDivert读取所述PC端向设置有链路防护的打印机发送的数据包时,该数据包的打印端口和打印协议与在所述WinDivert中针对该打印机注册的打印端口和打印协议相同。
优选地,所述对所述数据包进行加密,包括:
确定所述PC端与与所述目的地址对应的打印机之间的目标网络连接方式;
根据预先设定的网络连接方式与结构层的对应关系,确定所述目标网络连接方式对应的目标结构层;
从所述数据包中提取出所述目标结构层的数据,并对所述目标结构层的数据进行加密。
优选地,所述对所述数据包进行加密,包括:
从所述数据包中提取出从第四个结构层的数据,并对所述第四个结构层的数据进行加密;其中,所述数据包包括7个结构层。
第三方面,本发明实施例还提供了一种数据包处理装置,位于防护设备中,所述防护设备串联连接在外部PC端与外部打印机之间的网络链路上,所述防护设备与所述打印机之间通过物理连接方式直接连接;所述数据包处理装置包括:
获取单元,用于获取所述PC端与所述打印机之间传输的数据包;
解密单元,用于当确定所述数据包是由所述PC端经过加密后发来的时,利用预先与所述PC端协商好的解密算法对所述数据包进行解密;
通信单元,用于将解密后的数据包发送给所述打印机。
第四方面,本发明实施例还提供了一种数据包处理装置,位于PC端中,所述PC端与外部打印机之间的网络链路上串联连接有一个防护设备,所述防护设备与所述打印机之间通过物理连接方式直接连接;所述数据包处理装置包括:
数据包读取单元,用于利用WinDivert读取所述PC端向设置有链路防护的打印机发送的数据包;其中,所述WinDivert中预先注册了设置有链路防护的各打印机的IP地址,且注册的IP地址中包括所述数据包的目的地址;
加密单元,用于利用与所述目的地址对应的打印机连接的防护设备协商好的加密算法对所述数据包进行加密;
通信单元,用于将加密后的数据包发送给该打印机。
第五方面,本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第六方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种数据包处理方法、装置及存储介质,通过在PC端与打印机之间的网络链路上串联上防护设备,利用该防护设备对PC端向打印机发送的经过加密的数据包进行解密,然后将解密后的数据包发送给打印机,使得打印机接收到的数据包为解密后的数据包。由于数据包在PC端与防护设备之间的网络链路上传输时是密文形式,因此可以提高数据包在PC端与防护设备之间的网络链路上传输时的安全性。另外,由于防护设备与打印机之间通过物理连接方式直接连接,数据包在防护设备与打印机之间的网络链路上传输时泄露风险较低。因此,本方案中,数据包在PC端与打印机之间的网络链路上传输时,可以降低数据包泄露风险,提高数据包的传输安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种数据包处理方法流程图;
图2是本发明一实施例提供的另一种数据包处理方法流程图;
图3是本发明一实施例提供的一种计算设备的硬件架构图;
图4是本发明一实施例提供的一种数据包处理装置结构图;
图5是本发明一实施例提供的另一种数据包处理装置结构图;
图6是本发明一实施例提供的又一种数据包处理装置结构图;
图7是本发明一实施例提供的另一种计算设备的硬件架构图;
图8是本发明一实施例提供的再一种数据包处理装置结构图;
图9是本发明另一实施例提供的一种数据包处理装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
相关技术中,PC端在向打印机发送需要进行打印的数据包时,采用明文方式在网络链路上进行传输。PC端与打印机之间的网络链路一般采用网线直连方式或者经路由器、交换机等网络设备间接连接方式实现。当采用网线直连方式时,如果被攻击者在PC端与打印机之间连接的网线上串接一个窃取设备,以截获网线上传输的数据,从而造成数据包泄露。当经路由器、交换机等网络设备间接连接时,攻击者很容易在路由器侧或交换机侧窃取到数据包。因此,相关技术中数据包在网络链路上的传输过程中安全性较低。
基于上述问题,如果PC端在向打印机发送数据包时以密文形式在网络链路上进行传输,那么肯定会提高数据包在网络链路上传输的安全性。考虑到目前的数据加密方案都是通过安装加密解密软件来实现数据的加密解密功能,而对于已经安装部署、无法升级或者无法安装软件的打印机,不具备加密解密功能。可以考虑在PC端与打印机之间的网络链路上串接一个防护设备,该防护设备的串接位置是在近打印机侧,利用该防护设备完成数据包的加密解密功能。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种数据包处理方法,应用于防护设备,该防护设备串联连接在外部PC端与外部打印机之间的网络链路上,该防护设备与该打印机之间通过物理连接方式直接连接;该方法包括:
步骤100,获取该PC端与该打印机之间传输的数据包;
步骤102,当确定该数据包是由该PC端经过加密后发来的时,利用预先与该PC端协商好的解密算法对该数据包进行解密;
步骤104,将解密后的数据包发送给该打印机。
本发明实施例中,通过在PC端与打印机之间的网络链路上串联上防护设备,利用该防护设备对PC端向打印机发送的经过加密的数据包进行解密,然后将解密后的数据包发送给打印机,使得打印机接收到的数据包为解密后的数据包。由于数据包在PC端与防护设备之间的网络链路上传输时是密文形式,因此可以提高数据包在PC端与防护设备之间的网络链路上传输时的安全性。另外,由于防护设备与打印机之间通过物理连接方式直接连接,数据包在防护设备与打印机之间的网络链路上传输时泄露风险较低。因此,本方案中,数据包在PC端与打印机之间的网络链路上传输时,可以降低数据包泄露风险,提高数据包的传输安全性。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100,获取该PC端与该打印机之间传输的数据包。
在本步骤之前,需要先将防护设备串联连接在PC端与打印机之间的网络链路上。如果该网络链路是采用物理连接方式实现的,那么可以将从PC端输出的网线插入到防护设备的一个网络接口上;如果该网络链路是采用无线方式实现的,那么可以利用防护设备的一个网络接口与PC端进行无线连接。但是,不管该网络链路是采用哪种方式实现的,防护设备与打印机之间均是通过物理连接方式直接连接。且防护设备位于近打印机侧,比如,在实际应用时,可以将防护设备与打印机放置在同一个位置处,采用一段网线一端连接在防护设备的一个网络接口上,网线另一端连接在打印机的网络接口上,以防止恶意攻击者在防护设备与打印机之间的连接链路上串接窃取设备,截获PC端与打印机之间传输的数据包。
在本发明一个实施例中,该防护设备上可以包括至少两个网络接口,用来连接多个打印机,和/或,用来连接多个PC端。即,与防护设备连接的打印机为多个,和/或,与防护设备连接的PC端为多个。
需要说明的是,本实施例中,一个PC端可以通过防护设备连接多个打印机,以通过不同打印机实现数据打印。一个打印机也可以通过防护设备连接多个PC端,以在不同PC端的控制下实现数据打印。
在本发明实施例中,该至少两个网络接口可以利用物理网卡来实现。在PC端与打印机之间进行数据包传输时,防护设备实现数据的加密或解密然后对加密或解密的数据进行中转。防护设备实现数据包中转的方式至少可以通过如下两种方式来实现:
第一种、防护设备有感方式。
第二种、防护设备无感方式。
下面对上述两种实现方式分别进行说明。
在第一种实现方式下,可以为防护设备配置物理地址。
PC端在向打印机发送数据包时,除需要封装打印机的物理地址以外,还需要封装防护设备的物理地址。防护设备在接收到PC发送的数据包之后,根据数据包中封装的打印机的物理地址,将数据包发送给该打印机。
同样的,打印机向PC端发送数据包时,除需要封装PC端的物理地址以外,还需要封装防护设备的物理地址。防护在接收到打印机发送的数据包之后,根据数据包中封装的PC端的物理地址,将数据包发送给该PC端。
通过为防护设备配置物理地址,从而可以实现由防护设备对PC端与打印机之间传输的数据包的加密解密,以及对数据包进行中转,无需在打印机上安装软件,也无需对打印机进行升级改造,只需串接一个防护设备即可保证PC端与防护设备之间网络链路上数据包传输的安全性。而防护设备又是设置在近打印机侧,并且是采用物理连接方式直接连接,因此可以认定防护设备与打印机之间的网络链路也是安全的。本方案,可以提高PC端与打印机之间数据包传输的安全性。
在第二种实现方式下,如果想要PC端、打印机甚至是路由器、交换机等网络设备都能够对串接的该防护设备无感,即无需在数据包中封装防护设备的物理地址,那么就需要对防护设备进行部署,具体地:
构建至少两个虚拟网卡,并将该至少两个虚拟网卡与至少两个物理网卡之间一对一桥接;其中,该至少两个物理网卡是部署在该防护设备上的,该防护设备利用该至少两个物理网卡分别与PC端、打印机连接。
根据上述实施例可知,物理网卡是用来实现防护设备上的网络接口的。由于其它网络设备对该防护设备无感,因此数据包中不会封装防护设备的物理地址,而当防护设备通过物理网卡接收到PC端发来的数据包时,由于该数据包上没有封装其物理地址,因此,该物理网卡不会将该数据包转发到与打印机连接的物理网卡上,进而导致数据包在防护设备上中断。基于此,为了解决该问题并且实现其它网络设备对该防护设备的无感,可以在防护设备中构建与物理网卡个数相等的虚拟网卡,然后由虚拟网桥将虚拟网卡与物理网卡一对一桥接,并在防护设备中预置监听函数,利用该监听函数获取PC端与打印机之间传输的数据包。
具体地,在利用监听函数获取该PC端与该打印机之间传输的数据包,时,可以包括:对创建的虚拟网卡进行监听,当监听到一个虚拟网卡通过与该虚拟网卡桥接的物理网卡接收到该PC端与该打印机之间传输的数据包时,从该虚拟网卡中得到该PC端与该打印机之间传输的数据包。
由于物理网卡与虚拟网卡之间是桥接关系,当物理网卡上接收到数据包之后,虚拟网卡上会接收到相同的数据包。通过预置的监听函数可以获取到虚拟网卡上的数据包,然后将该数据包进行处理,并转发给下一个虚拟网卡,与该下一个虚拟网卡桥接的物理网卡与打印机连接。如此,其它网络设备无需进行更改即可实现对数据包的中转传输。
在本步骤中,PC端与打印机之间传输的数据包可以对应如下两种情况:
情况一、该数据包是由PC端发往打印机的。
情况二、该数据包是由打印机发往PC端的。
当该数据包对应上述情况一时,具体通过步骤102和步骤104进行说明,暂时不在本步骤下说明。
当该数据包对应上述情况二时,该数据包是由打印机发往PC端的。在通常情况下,打印机也会向PC端发送数据包,比如,打印机检测到卡纸、缺纸、墨盒缺墨等状态时,会向PC端反馈这些状态。另外,打印机为应答式的,如果PC端向打印机发送了数据包,打印机在接收到数据包之后会针对该数据包向PC端进行响应,以告知PC端,打印机已收到PC端发送的数据包。其中,打印机向PC端响应时存在将PC端发送的数据包原样发送给PC端,因此,如果PC端发送的数据包属于隐私数据,那么响应的数据包也属于隐私数据。
对于打印机主动发送的数据包不涉及隐私,可以加密,也可以不加密;而对于PC端响应的数据包可能会涉及隐私数据,因此需要进行加密。
在本发明实施例中,当数据包对应上述情况二时,可以进一步包括:当确定该数据包是由该打印机发送的时,判断该数据包是否为该打印机用于对该PC端经过加密发来的数据包进行的响应;
如果是,则利用预先与该PC端协商好的加密算法对该打印机发来的数据包进行加密,并将加密后的数据包发送给该PC端。
当判断数据包是否为打印机用于对PC端经过加密发来的数据包进行的响应时,具体可以通过如下方式确定:防护设备在接收到由PC端经过加密发给打印机的数据包(记为数据包A)之后,记录该数据包A的属性信息。比如,记录数据包A的长度、数据包A的大小等。当防护设备接收到由打印机发送给PC端的数据包(记为数据包B)之后,确定该数据包B的属性信息,如果该数据包B的属性信息与记录的数据包A的属性信息相同,则确定该数据包B是对数据包A进行的响应。
另外,防护设备还可以记录接收数据包A时的时间戳信息。当监测到当前时间戳距离接收数据包A时的时间戳之间的时间段大于设定时间段时,或者,打印机已经针对该数据包A进行了响应之后,则可以将记录的该数据包A的信息删除,以节省存储空间。
当防护设备是采用上述第二种方式即防护设备无感方式实现的时,该判断过程以及加密过程均可以由预置在防护设备中的监听函数实现。在执行将加密后的数据包发送给PC端时,可以包括:将加密后的数据包发送给连接该PC端的物理网卡所桥接的虚拟网卡上,以使与该虚拟网卡桥接的物理网卡将解密后的数据包输出给与该物理网卡连接的PC端。
然后,针对步骤102,当确定该数据包是由该PC端经过加密后发来的时,利用预先与该PC端协商好的解密算法对该数据包进行解密。
在本发明实施例中,该数据包可以是加密后发来的,也可以是未经过加密发来的。其中,加密后发来的数据包可以是打印数据,而对于PC端向打印机发送的非打印数据可以加密,也可以不用加密。
如果该数据包是未经过加密发来的,除该数据包是一些对打印机进行设置等的数据之外,该数据包还可以是链路防护探测包,其中,该链路防护探测包用于探测打印机是否已设置有链路防护。因为只有已设置有链路防护的打印机,PC端才会向该打印机发送打印数据时进行加密。具体地,在步骤100之后,可以进一步包括:当该数据包为该PC端向该打印机发来的链路防护探测包时,针对该链路防护探测包向该PC端发送响应数据,以使该PC端获知该打印机已设置有链路防护。
防护设备在确定出该数据包是PC端向打印机发来的链路防护探测包时,可以不将该链路防护探测包转发给打印机,通过向PC端发送对该链路防护探测包的响应数据,告知PC端该打印机已设置有链路防护,从而使PC端可以向打印机发送加密后的数据包,以保证数据包在传输过程的安全性。
需要说明的是,在防护设备向PC端发送针对链路防护探测包的响应数据时,可以生成一个公私钥对,将公钥以及加密算法发送给PC端,以使PC端在向打印机发送数据包时利用该公钥进行加密,防护设备可以利用私钥通过解密算法进行解密。
另外,PC端也可以向防护设备发送一个公私钥对,以使防护设备在对打印机发送的数据包进行加密时利用PC端发送的公钥和加密算法进行加密,PC端接收到加密的数据包后利用私钥以及解密算法进行解密。
上述公钥、私钥可以周期性的进行更新,以进一步保证数据包传输的安全性。
需要说明的是,告知PC端打印机设置有链路防护的信息除利用上述对链路防护探测包进行响应以外,还可以是由防护设备主动向PC端发送告知信息。在主动告知的情况下,防护设备是有感的,在配置了物理地址之后直接将该告知信息发送给PC端。
在本发明实施例中,防护设备对加密的数据进行解密时,需要根据PC端的加密方式进行解密,至少可以包括如下两种解密方式:
第一种解密方式:对该数据包进行解密,可以包括:确定该打印机与该PC端之间的目标网络连接方式;根据预先设定的网络连接方式与结构层的对应关系,确定该目标网络连接方式对应的目标结构层;从该数据包中提取出该目标结构层的数据,并对该目标结构层的数据进行解密。
为了保证数据包中包括的打印数据的实际内容不被窃取,需要将对应打印数据实际内容的传输层进行加密。而对于数据包的体系结构可以是7层的OSI体系结构,也可以是4层的TCP/IP的体系结构,还也可以是5层协议的体系结构。以7层的OSI体系结构为例,从第1层(最外层)到第7层(最内层)分别为物理层、数据链路层、网络层、运输层、会话层、表示层和应用层,当目标网络连接方式为网线直接连接时,可以对第3层进行加密,即目标结构层为第3层;当目标网络连接方式为通过路由器或交换机的方式无线连接时,可以对第4层进行加密,即目标结构层为第4层。如此通过打印机与PC端之间的网络连接方式来对结构层进行加密,可以尽可能对数据包的外层(比如能对第3层加密尽量对第3层加密)进行加密,从而可以进一步保证数据包的传输安全性。防护设备在解密时可以根据加密时采用的加密方式进行对应的解密,比如加密时是加密的第3层,那么解密时就是解密第3层,从而保证解密后的数据的正确性。
第二种解密方式:对该数据包进行解密,可以包括:从该数据包中提取出从第四个结构层的数据,并对该第四个结构层的数据进行解密;其中,该数据包包括7个结构层。
不考虑打印机与PC端的连接方式,直接对第四个结构层(数据包包括7个结构层时,第四个结构层为运输层)进行加密,从而可以快速实现对数据包的加密,提高数据包的传输效率。
如果在加密时是直接对第四个结构层进行加密的,那么防护设备解密时也需要提取出第四个结构层进行解密,以保证解密后的数据包的正确性。
最后针对步骤104,将解密后的数据包发送给该打印机。
当防护设备是采用上述第二种方式即防护设备无感方式实现的时,该执行将解密后的数据包发送给打印机可以包括:将解密后的数据包发送给与连接该打印机的物理网卡所桥接的虚拟网卡上,以使与该虚拟网卡桥接的物理网卡将解密后的数据包输出给与该物理网卡连接的打印机。
本发明实施例中,利用该防护设备进行加密解密,可以不改变PC端与打印机之间的原有拓扑,也不影响各网络设备正常操作,并且可以适配多种打印机,无需对打印机进行更换或升级改造,即可实现对数据包的加密安全传输。
下面继续对PC端的实现方式进行说明。
请参考图2,本发明实施例提供了一种数据包处理方法,应用于PC端,该PC端与外部打印机之间的网络链路上串联连接有一个防护设备,该防护设备与该打印机之间通过物理连接方式直接连接;该方法包括:
步骤200,利用WinDivert读取该PC端向设置有链路防护的打印机发送的数据包;其中,该WinDivert中预先注册了设置有链路防护的各打印机的IP地址,且注册的IP地址中包括该数据包的目的地址;
步骤202,利用与该目的地址对应的打印机连接的防护设备协商好的加密算法对该数据包进行加密;
步骤204,将加密后的数据包发送给该打印机。
本发明实施例中,通过在PC端与打印机之间的网络链路上串联上防护设备,利用该防护设备对PC端向打印机发送的经过加密的数据包进行解密,然后将解密后的数据包发送给打印机,使得打印机接收到的数据包为解密后的数据包。由于数据包在PC端与防护设备之间的网络链路上传输时是密文形式,因此可以提高数据包在PC端与防护设备之间的网络链路上传输时的安全性。另外,由于防护设备与打印机之间通过物理连接方式直接连接,数据包在防护设备与打印机之间的网络链路上传输时泄露风险较低。因此,本方案中,数据包在PC端与打印机之间的网络链路上传输时,可以降低数据包泄露风险,提高数据包的传输安全性。
下面描述图2所示的各个步骤的执行方式。
首先针对步骤200,利用WinDivert读取该PC端向设置有链路防护的打印机发送的数据包;其中,该WinDivert中预先注册了设置有链路防护的各打印机的IP地址,且注册的IP地址中包括该数据包的目的地址。
在本步骤之前,需要获知哪些打印机设置有链路防护(即串联连接了防护设备),如果PC端等各网络设备对防护设备是有感的,那么防护设备在被配置了物理地址之后,即可向PC端发送告知信息。如果PC端等各网络设备对防护设备是无感的,那么PC端可以以向打印机发送链路防护探测包的方式来实现,具体地:
获取与PC端连接的至少一个打印机的IP地址;向每一个IP地址对应的打印机发送链路防护探测包,以使与打印机连接的防护设备在获取到该链路防护探测包后对该链路防护探测包进行响应;当接收到与打印机连接的防护设备针对该链路防护探测包发送的响应数据时,将该打印机确定为设置有链路防护的打印机,并将该设置有链路防护的打印机的IP地址在WinDivert中注册。
在获取与PC端连接的至少一个打印机的IP地址时,可以通过查询注册表的方式查找。例如,在windows系统中,已安装的打印机在注册表的如下位置搜索到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers”,此路径下的子目录,为打印机的列表,再获取目录内部XX项的值,可以得到该打印机的IP地址,通过重复上述步骤遍历多个子目录,可得到本PC端所安装的打印机列表,列表包括打印机名和IP地址。
需要说明的是,对于通过上述方式无法获取但又确实存在的特殊打印机,可以提供手动添加的方式进行,即通过人工添加的方式,将打印机的IP告知给PC端。
WinDivert是Windows操作系统的一种网络操作的API(应用程序接口),可截获经过操作系统的网络数据包。通过将设置有链路防护的各打印机的IP地址注册在WinDivert中,当数据包的目的地址是上述注册的IP地址时,会将该数据包截获。
向打印机发送的数据包中如果不涉及隐私数据,可以加密,也可以不加密;而如果数据包涉及隐私数据,那么就需要加密。
在本发明实施例中,可以只对涉及隐私数据的数据包进行加密,而涉及隐私数据的数据包一般是指打印数据,在对打印数据进行筛选时,可以将打印数据的特征注册在WinDivert中,具体地,针对在该WinDivert注册的设置有链路防护的各打印机的IP地址,分别将该打印机对应的打印端口和打印协议注册在该WinDivert中,以使在执行利用WinDivert读取该PC端向设置有链路防护的打印机发送的数据包时,该数据包的打印端口和打印协议与在该WinDivert中针对该打印机注册的打印端口和打印协议相同。
其中,该打印端口可以是该打印机对应打印数据的端口,比如8000端口。该打印协议可以在传输打印数据时使用的协议,比如TCP协议。
通过将打印端口和打印协议注册在WinDivert中,可以使得WinDivert对满足该打印端口和打印协议的且目的地址是向注册的IP地址发送的数据包进行截获,从而只对满足条件的数据包进行加密,且可以快速对需要加密的数据包进行定向截获,也进一步提高了数据包传输效率。
针对步骤202,利用与目的地址对应的打印机连接的防护设备协商好的加密算法对该数据包进行加密。
当PC端对数据包进行加密时,至少可以包括如下两种加密方式:
第一种加密方式:对该数据包进行加密可以包括:确定该PC端与与该目的地址对应的打印机之间的目标网络连接方式;根据预先设定的网络连接方式与结构层的对应关系,确定该目标网络连接方式对应的目标结构层;从该数据包中提取出该目标结构层的数据,并对该目标结构层的数据进行加密;其中,该数据包包括7个结构层。
为了保证数据包中包括的打印数据的实际内容不被窃取,需要将对应打印数据实际内容的传输层进行加密。而对于数据包的体系结构可以是7层的OSI体系结构,也可以是4层的TCP/IP的体系结构,还也可以是5层协议的体系结构。以7层的OSI体系结构为例,从第1层(最外层)到第7层(最内层)分别为物理层、数据链路层、网络层、运输层、会话层、表示层和应用层,当目标网络连接方式为网线直接连接时,可以对第3层进行加密,即目标结构层为第3层;当目标网络连接方式为通过路由器或交换机的方式无线连接时,可以对第4层进行加密,即目标结构层为第4层。如此通过打印机与PC端之间的网络连接方式来对结构层进行加密,可以尽可能对数据包的外层(比如能对第3层加密尽量对第3层加密)进行加密,从而可以进一步保证数据包的传输安全性。
第二种加密方式:对该数据包进行加密可以包括:从该数据包中提取出从第四个结构层的数据,并对该第四个结构层的数据进行加密;其中,该数据包包括7个结构层。
不考虑打印机与PC端的连接方式,直接对第四个结构层(数据包包括7个结构层时,第四个结构层为运输层)进行加密,从而可以快速实现对数据包的加密,提高数据包的传输效率。
在对数据包进行加密时,具体地,可以注册一个回调函数,将回调函数的参数设置为数据包缓冲区指针,然后利用该回调函数对数据包进行分层处理和加密处理,在加密处理之后,将加密后的数据包发送给打印机。
如图3、图4所示,本发明实施例提供了一种数据包处理装置,位于防护设备中,该防护设备串联连接在外部PC端与外部打印机之间的网络链路上,该防护设备与该打印机之间通过物理连接方式直接连接。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种数据包处理装置所在计算设备的一种硬件架构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的计算设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在计算设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种数据包处理装置,包括:
获取单元401,用于获取该PC端与该打印机之间传输的数据包;
解密单元402,用于当确定该数据包是由该PC端经过加密后发来的时,利用预先与该PC端协商好的解密算法对该数据包进行解密;
通信单元403,用于将解密后的数据包发送给该打印机。
在本发明一个实施例中,请参考图5,该数据处理装置可以进一步包括:
加密单元404,用于当确定该数据包是由该打印机发送的时,判断该数据包是否为该打印机用于对该PC端经过加密发来的数据包进行的响应;如果是,则利用预先与该PC端协商好的加密算法对该打印机发来的数据包进行加密,并触发通信单元将加密后的数据包发送给该PC端。
在本发明一个实施例中,请参考图6,该数据包处理装置可以进一步包括:
网卡桥接单元405,用于构建至少两个虚拟网卡,并将该至少两个虚拟网卡与至少两个物理网卡之间一对一桥接;其中,该至少两个物理网卡是部署在该防护设备上的,该防护设备利用该至少两个物理网卡分别与该PC端、该打印机连接;
该获取单元401,具体包括:对创建的虚拟网卡进行监听,当监听到一个虚拟网卡通过与该虚拟网卡桥接的物理网卡接收到该PC端与该打印机之间传输的数据包时,从该虚拟网卡中得到该PC端与该打印机之间传输的数据包。
在本发明一个实施例中,该通信单元在将解密后的数据包发送给该打印机时,具体包括:将解密后的数据包发送给与连接该打印机的物理网卡所桥接的虚拟网卡上,以使与该虚拟网卡桥接的物理网卡将解密后的数据包输出给与该物理网卡连接的打印机;
在本发明一个实施例中,该通信单元在将加密后的数据包发送给该PC端时,具体包括:将加密后的数据包发送给连接该PC端的物理网卡所桥接的虚拟网卡上,以使与该虚拟网卡桥接的物理网卡将解密后的数据包输出给与该物理网卡连接的PC端。
在本发明一个实施例中,与该防护设备连接的打印机为多个;和/或,与该防护设备连接的PC端为多个。
在本发明一个实施例中,该解密单元在对该数据包进行解密时,具体包括:
确定该打印机与该PC端之间的目标网络连接方式;
根据预先设定的网络连接方式与结构层的对应关系,确定该目标网络连接方式对应的目标结构层;
从该数据包中提取出该目标结构层的数据,并对该目标结构层的数据进行解密。
在本发明一个实施例中,该解密单元在对该数据包进行解密时,具体包括:从该数据包中提取出从第四个结构层的数据,并对该第四个结构层的数据进行解密;其中,该数据包包括7个结构层。
在本发明一个实施例中,该通信单元还可以用于当确定该数据包为该PC端向该打印机发来的链路防护探测包时,针对该链路防护探测包向该PC端发送响应数据,以使该PC端获知该打印机已设置有链路防护。
如图7、图8所示,本发明实施例提供了一种数据包处理装置,应用于PC端,该PC端与外部打印机之间的网络链路上串联连接有一个防护设备,该防护设备与该打印机之间通过物理连接方式直接连接。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图7所示,为本发明实施例提供的一种数据包处理装置所在计算设备的一种硬件架构图,除了图7所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的计算设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图8所示,作为一个逻辑意义上的装置,是通过其所在计算设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种数据包处理装置,包括:
数据包读取单元801,用于利用WinDivert读取该PC端向设置有链路防护的打印机发送的数据包;其中,该WinDivert中预先注册了设置有链路防护的各打印机的IP地址,且注册的IP地址中包括该数据包的目的地址;
加密单元802,用于利用与该目的地址对应的打印机连接的防护设备协商好的加密算法对该数据包进行加密;
通信单元803,用于将加密后的数据包发送给该打印机。
在本发明一个实施例中,请参考图9,该数据包处理装置还可以包括:
注册单元804,用于获取与PC端连接的至少一个打印机的IP地址;向每一个IP地址对应的打印机发送链路防护探测包,以使与打印机连接的防护设备在获取到该链路防护探测包后对该链路防护探测包进行响应;当接收到与打印机连接的防护设备针对该链路防护探测包发送的响应数据时,将该打印机确定为设置有链路防护的打印机,并将该设置有链路防护的打印机的IP地址在WinDivert中注册。
在本发明一个实施例中,该注册单元还可以用于针对在该WinDivert注册的设置有链路防护的各打印机的IP地址,分别将该打印机对应的打印端口和打印协议注册在该WinDivert中,以使在执行利用WinDivert读取该PC端向设置有链路防护的打印机发送的数据包时,该数据包的打印端口和打印协议与在该WinDivert中针对该打印机注册的打印端口和打印协议相同。
在本发明一个实施例中,该加密单元在对该数据包进行加密时,具体包括:确定该PC端与与该目的地址对应的打印机之间的目标网络连接方式;根据预先设定的网络连接方式与结构层的对应关系,确定该目标网络连接方式对应的目标结构层;从该数据包中提取出该目标结构层的数据,并对该目标结构层的数据进行加密。
在本发明一个实施例中,该加密单元在对该数据包进行加密时,具体包括:从该数据包中提取出从第四个结构层的数据,并对该第四个结构层的数据进行加密;其中,该数据包包括7个结构层。
可以理解的是,本发明实施例示意的结构并不构成对一种数据包处理装置的具体限定。在本发明的另一些实施例中,一种数据包处理装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种数据包处理方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种数据包处理方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (17)

1.一种数据包处理方法,其特征在于,应用于防护设备,所述防护设备串联连接在外部PC端与外部打印机之间的网络链路上,所述防护设备与所述打印机之间通过物理连接方式直接连接;所述方法包括:
获取所述PC端与所述打印机之间传输的数据包;
当确定所述数据包是由所述PC端经过加密后发来的时,利用预先与所述PC端协商好的解密算法对所述数据包进行解密;
将解密后的数据包发送给所述打印机。
2.根据权利要求1所述的方法,其特征在于,在获取所述PC端与所述打印机之间传输的数据包之后,进一步包括:
当确定所述数据包是由所述打印机发送的时,判断所述数据包是否为所述打印机用于对所述PC端经过加密发来的数据包进行的响应;
如果是,则利用预先与所述PC端协商好的加密算法对所述打印机发来的数据包进行加密,并将加密后的数据包发送给所述PC端。
3.根据权利要求1或2所述的方法,其特征在于,
在所述获取所述PC端与所述打印机之间传输的数据包之前,进一步包括:
构建至少两个虚拟网卡,并将所述至少两个虚拟网卡与至少两个物理网卡之间一对一桥接;其中,所述至少两个物理网卡是部署在所述防护设备上的,所述防护设备利用所述至少两个物理网卡分别与所述PC端、所述打印机连接;
所述获取所述PC端与所述打印机之间传输的数据包,包括:对创建的虚拟网卡进行监听,当监听到一个虚拟网卡通过与该虚拟网卡桥接的物理网卡接收到所述PC端与所述打印机之间传输的数据包时,从该虚拟网卡中得到所述PC端与所述打印机之间传输的数据包。
4.根据权利要求3所述的方法,其特征在于,
所述将解密后的数据包发送给所述打印机,包括:将解密后的数据包发送给与连接所述打印机的物理网卡所桥接的虚拟网卡上,以使与该虚拟网卡桥接的物理网卡将解密后的数据包输出给与该物理网卡连接的打印机;
和/或,
所述将加密后的数据包发送给所述PC端,包括:将加密后的数据包发送给连接所述PC端的物理网卡所桥接的虚拟网卡上,以使与该虚拟网卡桥接的物理网卡将解密后的数据包输出给与该物理网卡连接的PC端。
5.根据权利要求1所述的方法,其特征在于,
与所述防护设备连接的打印机为多个;
和/或,
与所述防护设备连接的PC端为多个。
6.根据权利要求1所述的方法,其特征在于,所述对所述数据包进行解密,包括:
确定所述打印机与所述PC端之间的目标网络连接方式;
根据预先设定的网络连接方式与结构层的对应关系,确定所述目标网络连接方式对应的目标结构层;
从所述数据包中提取出所述目标结构层的数据,并对所述目标结构层的数据进行解密。
7.根据权利要求1所述的方法,其特征在于,所述对所述数据包进行解密,包括:
从所述数据包中提取出从第四个结构层的数据,并对所述第四个结构层的数据进行解密;其中,所述数据包包括7个结构层。
8.根据权利要求1所述的方法,其特征在于,在所述获取所述PC端与所述打印机之间传输的数据包之后,进一步包括:
当确定所述数据包为所述PC端向所述打印机发来的链路防护探测包时,针对所述链路防护探测包向所述PC端发送响应数据,以使所述PC端获知所述打印机已设置有链路防护。
9.一种数据包处理方法,其特征在于,应用于PC端,所述PC端与外部打印机之间的网络链路上串联连接有一个防护设备,所述防护设备与所述打印机之间通过物理连接方式直接连接;所述方法包括:
利用WinDivert读取所述PC端向设置有链路防护的打印机发送的数据包;其中,所述WinDivert中预先注册了设置有链路防护的各打印机的IP地址,且注册的IP地址中包括所述数据包的目的地址;
利用与所述目的地址对应的打印机连接的防护设备协商好的加密算法对所述数据包进行加密;
将加密后的数据包发送给该打印机。
10.根据权利要求9所述的方法,其特征在于,在所述读取所述PC端向设置有链路防护的打印机发送的数据包之前,进一步包括:
获取与PC端连接的至少一个打印机的IP地址;
向每一个IP地址对应的打印机发送链路防护探测包,以使与打印机连接的防护设备在获取到该链路防护探测包后对所述链路防护探测包进行响应;
当接收到与打印机连接的防护设备针对所述链路防护探测包发送的响应数据时,将该打印机确定为设置有链路防护的打印机,并将该设置有链路防护的打印机的IP地址在WinDivert中注册。
11.根据权利要求9所述的方法,其特征在于,在所述利用与所述目的地址对应的打印机连接的防护设备协商好的加密算法对所述数据包进行加密之前,进一步包括:
针对在所述WinDivert注册的设置有链路防护的各打印机的IP地址,分别将该打印机对应的打印端口和打印协议注册在所述WinDivert中,以使在执行利用WinDivert读取所述PC端向设置有链路防护的打印机发送的数据包时,该数据包的打印端口和打印协议与在所述WinDivert中针对该打印机注册的打印端口和打印协议相同。
12.根据权利要求9或11所述的方法,其特征在于,所述对所述数据包进行加密,包括:
确定所述PC端与与所述目的地址对应的打印机之间的目标网络连接方式;
根据预先设定的网络连接方式与结构层的对应关系,确定所述目标网络连接方式对应的目标结构层;
从所述数据包中提取出所述目标结构层的数据,并对所述目标结构层的数据进行加密。
13.根据权利要求9或11所述的方法,其特征在于,所述对所述数据包进行加密,包括:
从所述数据包中提取出从第四个结构层的数据,并对所述第四个结构层的数据进行加密;其中,所述数据包包括7个结构层。
14.一种数据包处理装置,其特征在于,位于防护设备中,所述防护设备串联连接在外部PC端与外部打印机之间的网络链路上,所述防护设备与所述打印机之间通过物理连接方式直接连接;所述数据包处理装置包括:
获取单元,用于获取所述PC端与所述打印机之间传输的数据包;
解密单元,用于当确定所述数据包是由所述PC端经过加密后发来的时,利用预先与所述PC端协商好的解密算法对所述数据包进行解密;
通信单元,用于将解密后的数据包发送给所述打印机。
15.一种数据包处理装置,其特征在于,位于PC端中,所述PC端与外部打印机之间的网络链路上串联连接有一个防护设备,所述防护设备与所述打印机之间通过物理连接方式直接连接;所述数据包处理装置包括:
数据包读取单元,用于利用WinDivert读取所述PC端向设置有链路防护的打印机发送的数据包;其中,所述WinDivert中预先注册了设置有链路防护的各打印机的IP地址,且注册的IP地址中包括所述数据包的目的地址;
加密单元,用于利用与所述目的地址对应的打印机连接的防护设备协商好的加密算法对所述数据包进行加密;
通信单元,用于将加密后的数据包发送给该打印机。
16.一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-13中任一项所述的方法。
17.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-13中任一项所述的方法。
CN202110582063.2A 2021-05-27 2021-05-27 数据包处理方法、装置及存储介质 Active CN113221147B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110582063.2A CN113221147B (zh) 2021-05-27 2021-05-27 数据包处理方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110582063.2A CN113221147B (zh) 2021-05-27 2021-05-27 数据包处理方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN113221147A true CN113221147A (zh) 2021-08-06
CN113221147B CN113221147B (zh) 2023-05-23

Family

ID=77099114

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110582063.2A Active CN113221147B (zh) 2021-05-27 2021-05-27 数据包处理方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN113221147B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1632738A (zh) * 2003-12-23 2005-06-29 联想(北京)有限公司 一种保证数据安全传输的打印控制方法
CN101795271A (zh) * 2010-01-20 2010-08-04 西安电子科技大学 网络安全打印系统及打印方法
US8429729B1 (en) * 2007-07-31 2013-04-23 Marvell International Ltd. Secure wireless network setup using multicast packets
CN109088789A (zh) * 2018-07-19 2018-12-25 青岛萨纳斯智能科技股份有限公司 一种网络环境模拟测试工具及测试方法
CN109379380A (zh) * 2018-12-06 2019-02-22 联想图像(天津)科技有限公司 数据传输方法、数据接收方法及远程打印系统、移动终端
CN109426465A (zh) * 2017-09-05 2019-03-05 北京立思辰计算机技术有限公司 一种打印机驱动方法
US20190107982A1 (en) * 2016-05-27 2019-04-11 Hewlett-Packard Development Company, L.P. Encrypted document printing utilizing multiple networks
CN110221789A (zh) * 2019-04-30 2019-09-10 小濠(深圳)科技有限公司 一种打印方法、装置、用户终端及计算机可读存储介质
CN111030980A (zh) * 2019-08-09 2020-04-17 哈尔滨安天科技集团股份有限公司 一种Linux透明网络设备平台实现方法、装置及存储介质
CN111131245A (zh) * 2019-12-24 2020-05-08 杭州赛客睿特技术有限公司 数据传输方法、装置、电子设备及存储介质
CN111611596A (zh) * 2020-04-14 2020-09-01 上海卓易科技股份有限公司 一种远程打印方法及设备
CN111756718A (zh) * 2020-06-15 2020-10-09 深信服科技股份有限公司 终端及访问方法、系统、服务器和计算机可读存储介质

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1632738A (zh) * 2003-12-23 2005-06-29 联想(北京)有限公司 一种保证数据安全传输的打印控制方法
US8429729B1 (en) * 2007-07-31 2013-04-23 Marvell International Ltd. Secure wireless network setup using multicast packets
CN101795271A (zh) * 2010-01-20 2010-08-04 西安电子科技大学 网络安全打印系统及打印方法
US20190107982A1 (en) * 2016-05-27 2019-04-11 Hewlett-Packard Development Company, L.P. Encrypted document printing utilizing multiple networks
CN109426465A (zh) * 2017-09-05 2019-03-05 北京立思辰计算机技术有限公司 一种打印机驱动方法
CN109088789A (zh) * 2018-07-19 2018-12-25 青岛萨纳斯智能科技股份有限公司 一种网络环境模拟测试工具及测试方法
CN109379380A (zh) * 2018-12-06 2019-02-22 联想图像(天津)科技有限公司 数据传输方法、数据接收方法及远程打印系统、移动终端
CN110221789A (zh) * 2019-04-30 2019-09-10 小濠(深圳)科技有限公司 一种打印方法、装置、用户终端及计算机可读存储介质
CN111030980A (zh) * 2019-08-09 2020-04-17 哈尔滨安天科技集团股份有限公司 一种Linux透明网络设备平台实现方法、装置及存储介质
CN111131245A (zh) * 2019-12-24 2020-05-08 杭州赛客睿特技术有限公司 数据传输方法、装置、电子设备及存储介质
CN111611596A (zh) * 2020-04-14 2020-09-01 上海卓易科技股份有限公司 一种远程打印方法及设备
CN111756718A (zh) * 2020-06-15 2020-10-09 深信服科技股份有限公司 终端及访问方法、系统、服务器和计算机可读存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DAVID R. SAFFORD 等: "Hardware Rooted Trust for Additive Manufacturing" *
饶莹莹: "打印安全控制系统的设计与实现" *

Also Published As

Publication number Publication date
CN113221147B (zh) 2023-05-23

Similar Documents

Publication Publication Date Title
US5386471A (en) Method and apparatus for securely conveying network control data across a cryptographic boundary
US7743413B2 (en) Client apparatus, server apparatus and authority control method
US7797741B2 (en) System and method for coping with encrypted harmful traffic in hybrid IPv4/IPv6 networks
JP5090408B2 (ja) ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
US20080034098A1 (en) Communication mediating apparatus for mediating communication over network
US20070116285A1 (en) Method and system for secure packet communication
KR102039113B1 (ko) 호스트 컴퓨팅 디바이스와 주변기기의 데이터의 보안을 강화하기 위한 장치 및 방법
CN111787025B (zh) 加解密处理方法、装置、系统以及数据保护网关
CN111684775B (zh) 用于为数据中心提供安全性服务的方法、装置和计算机可读介质
US20080244716A1 (en) Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof
JPH10334008A (ja) ネットワーク・セキュリティ・システム
CN108683606B (zh) IPsec防重放的方法、装置、网络设备及可读存储介质
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
CN106487802A (zh) 基于DPD协议的IPSec SA的异常探测方法及装置
EP3913851B1 (en) Communication control device and communication system
JP4652851B2 (ja) ネットワーク情報収集装置、制御方法およびプログラム
KR101040543B1 (ko) 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법
CN113221147B (zh) 数据包处理方法、装置及存储介质
WO2008012759A2 (en) A network management method based on snmp
US10499249B1 (en) Data link layer trust signaling in communication network
US12015719B1 (en) Apparatus, systems, and methods relying on non-flashable circuitry for improving security on public or private networks
KR101027118B1 (ko) 데이터 감청 시스템의 서버, 감청 장치 및 그것의 데이터 감청 방법
JP2004104739A (ja) ウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置
EP3917072B1 (en) Communication control device and communication system
US20240171556A1 (en) Network Time Protocol Key Encryption

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant