CN115086451A - 一种通信方法、装置、设备及可读存储介质 - Google Patents
一种通信方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN115086451A CN115086451A CN202210651996.7A CN202210651996A CN115086451A CN 115086451 A CN115086451 A CN 115086451A CN 202210651996 A CN202210651996 A CN 202210651996A CN 115086451 A CN115086451 A CN 115086451A
- Authority
- CN
- China
- Prior art keywords
- data packet
- terminals
- terminal
- trusted
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 105
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004590 computer program Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 10
- 238000001914 filtration Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/142—Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种通信方法、装置、设备及可读存储介质,其中,该方法应用于可信终端,包括:当接收到其他终端发送的数据包时,根据数据包判断其他终端是否可信;若否,则丢弃数据包,并拒绝与其他终端建立通信;若是,则对数据包进行放行,并与其他终端建立通信。本申请公开的技术方案,只需利用可信终端自身来主动检查对端是否可信,以保证安全通信,该过程无需中心节点的参与,不改变现有的网络拓扑,不需要配置任何网络防火墙策略,不新增任何物理设备,不会带来部署上的困难,能够实现稳定、可靠、低成本地进行终端间的安全通信。
Description
技术领域
本申请涉及通信技术领域,更具体地说,涉及一种通信方法、装置、设备及可读存储介质。
背景技术
恶意代码,又称为恶意软件,是能够在计算机系统中进行非授权操作,以实时破坏或窃取信息的代码,恶意代码范围很广,包括利用各种网络、操作系统、软件和物理安全漏洞来向计算机系统传播恶意负载的程序性的计算安全威胁。
目前,为了保证终端之间通信的安全性,一般是在网络中部署中心节点,并配置网络防火墙策略,利用中心节点及所配置的网络防火墙策略来保证终端之间通信的安全性,但是,这种方式需要改变现有的网络拓扑,带来部署上的困难,而且通信成本比较高。
综上所述,如何既不改变网络拓扑又能保证通信的安全性,是目前本领域技术人员亟待解决的技术问题。
发明内容
有鉴于此,本申请的目的是提供一种通信方法、装置、设备及可读存储介质,用于既不改变网络拓扑又能保证通信的安全性。
为了实现上述目的,本申请提供如下技术方案:
一种通信方法,应用于可信终端,包括:
当接收到其他终端发送的数据包时,根据所述数据包判断所述其他终端是否可信;
若否,则丢弃所述数据包,并拒绝与所述其他终端建立通信;
若是,则对所述数据包进行放行,并与所述其他终端建立通信。
优选的,根据所述数据包判断所述其他终端是否可信,包括:
判断所述数据包中是否包含有预先设定的安全标识;
若否,则确定所述其他终端不可信;
若是,则确定所述其他终端可信。
优选的,还包括:
当要向外发送数据包时,则在要发送的数据包中填充预先设定的安全标识;
对填充完预先设定的安全标识的数据包进行发送。
优选的,在接收其他终端发送的数据包之前,还包括:
对本机进行安全检查;
若本机通过所述安全检查,则安装网络驱动;
相应地,判断所述数据包中是否包含有预先设定的安全标识,包括:
利用所述网络驱动判断所述数据包中是否包含有预先设定的安全标识;
在要发送的数据包中填充预先设定的安全标识,包括:
利用所述网络驱动在要发送的数据包中填充预先设定的安全标识。
优选的,在要发送的数据包中填充预先设定的安全标识,包括:
在要发送的数据包的包头中填充预先设定的安全标识。
优选的,在要发送的数据包的包头中填充预先设定的安全标识,包括:
在要发送的IP报文的报文头中的可选保留字段中填充预先设定的安全标识。
优选的,接收其他终端发送的数据包,根据所述数据包判断所述其他终端是否可信,包括:
接收所述其他终端发送的IP报文,根据所述IP报文判断所述其他终端是否可信。
一种通信装置,应用于可信终端,包括:
判断模块,用于当接收到其他终端发送的数据包时,根据所述数据包判断所述其他终端是否可信;
丢弃模块,用于若所述其他终端不可信,则丢弃所述数据包,并拒绝与所述其他终端建立通信;
放行模块,用于若所述其他终端可信,则对所述数据包进行放行,并与所述其他终端建立通信。
一种通信设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述任一项所述的通信方法的步骤。
一种可读存储介质,所述可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述的通信方法的步骤。
本申请提供了一种通信方法、装置、设备及可读存储介质,其中,该方法应用于可信终端,包括:当接收到其他终端发送的数据包时,根据数据包判断其他终端是否可信;若否,则丢弃数据包,并拒绝与其他终端建立通信;若是,则对数据包进行放行,并与其他终端建立通信。
本申请公开的上述技术方案,可信终端自身实现对发送数据包的其他终端进行是否可信的判断,在确定其他终端不可信时,则丢弃其他终端所发送的数据包,并拒绝与其他终端建立连接,以防止可信终端遭受不可信的其他终端的攻击和渗透,并防止恶意代码在可信终端传播。在确定其他终端可信时,则对数据包进行放行,以正常接收可信的其他终端所发送的数据包,并与可信的其他终端建立通信,以与可信的其他终端实现可信的网络连接,保证通信的安全性。通过前述过程可知,本申请只需借助可信终端自身即可实现安全通信,而无需中心节点的参与,不改变现有的网络拓扑,不需要配置任何网络防火墙策略,不新增任何物理设备,不会带来部署上的困难,能够实现稳定、可靠、低成本地进行终端间的安全通信。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种通信方法的流程图;
图2为本申请实施例提供的可信终端之间的通信示意图;
图3为本申请实施例提供的可信终端与非可信终端之间的通信示意图;
图4为本申请实施例提供的WFP的整个过滤流程图;
图5为本申请实施例提供的IP报文的结构示意图;
图6为本申请实施例提供的一种通信装置的结构示意图;
图7为本申请实施例提供的一种通信装置的结构示意图。
具体实施方式
近年来,在所有的网络安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。其中,内网就是局域网,即为局部地区形成的一个区域网络,小型办公室网络、实验室网络、家庭网络等算局域网。
目前,为了保证通信的安全性,一般是在局域网中部署中心节点,并在中心节点上配置网络防火墙策略(具体可配置防火墙列表),后续通信终端在与其他终端进行通信前,先从中心节点上获取网络防火墙策略,基于网络防火墙策略确定其他终端是否是可信的,能否与其他终端进行安全通信。但是,上述这种实现方式需要改变网络拓扑,配置网络防火墙策略,新增物理设备,带来部署上的困难,通信成本比较高。而且如果中心节点不稳定或者未能及时同步可通信的终端的标识时,则系统则无法按照预期进行工作。
为此,本申请提供一种通信方法、装置、设备及可读存储介质,用于既不改变网络拓扑又能保证通信的安全性。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1,其示出了本申请实施例提供的一种通信方法的流程图,本申请实施例提供的一种通信方法,应用于可信终端,可以包括:
S11:当接收到其他终端发送的数据包时,根据数据包判断其他终端是否可信。若否,则执行步骤S12,若是,则执行步骤S13。
需要说明的是,本申请中的可信终端即为位于一局域网内且安装有安全客户端软件的终端,也即本申请中的可信终端中安装有安全客户端软件,该安全客户端软件可用于根据其他终端发送过来的数据包来对其他终端是否可信进行判断。通过在可信终端中安装安全客户端软件使得可信终端自身具有对其他终端进行可信验证的能力,从而不再需要借助中心节点、配置防火墙策略等进行可信网络连接。
具体地,当可信终端接收到其他终端发送过来的数据包时,则可以根据所接收到的其他终端发送过来的数据包来判断其他终端是否可信,若确定其他终端不可信,则可信终端可以执行步骤S12,若确定其他终端可信,则可信终端可以执行步骤S13。
S12:丢弃数据包,并拒绝与其他终端建立通信。
若可信终端确定发送数据包的其他终端不可信(即其他终端是非可信终端,非可信终端中并没有安装前述提及的安全客户端软件),则可信终端丢弃其接收到的其他终端所发送的数据包,并拒绝与其他终端建立通信(即可信终端与其他终端的连接建立失败),也即可信终端拒绝与不可信的终端进行通信,以使得不可信的终端无法访问可信终端,从而防止可信终端遭受不可信的终端的攻击和渗透,并防止恶意代码在可信终端中进行传播,以保证可信终端和局域网的安全性。
需要说明的是,上述丢弃数据包的过程对上层的应用程序来说是完全透明的,在应用程序看来,网络连接并未建立成功。
S13:对数据包进行放行,并与其他终端建立通信。
若可信终端确定发生数据包的其他终端可信(即其他终端也为可信终端,也即其他终端中也安装有安全客户端软件),则可以对数据包进行放行,即可信终端可以正常接收数据包并基于所接收到的数据包进行相应操作,而且可信终端可以与发送数据包的其他终端(也即可信的终端)建立通信,即二者之间可以进行可信的网络连接,以进行可信的和安全的通信。
相较于现有需要通过部署中心节点和配置网络防火墙策略实现安全通信,本申请只需利用可信终端自身来主动检查对端是否可信,以保证安全通信,而无需中心节点的参与(也即实现了去中心化),不需要配置任务网络防火墙策略,不改变现有的网络拓扑,不新增任何物理设备,不会带来部署上的困难,而且并不存在因中心节点不稳定或未能及时对网络防火墙策略进行更新而给通信所带来的影响,能够实现稳定、可靠、低成本地进行终端间的安全通信。另外,通过上述过程可知,本申请并不需要发送额外的数据,完全对业务及系统透明。
本申请公开的上述技术方案,可信终端自身实现对发送数据包的其他终端进行是否可信的判断,在确定其他终端不可信时,则丢弃其他终端所发送的数据包,并拒绝与其他终端建立连接,以防止可信终端遭受不可信的其他终端的攻击和渗透,并防止恶意代码在可信终端传播。在确定其他终端可信时,则对数据包进行放行,以正常接收可信的其他终端所发送的数据包,并与可信的其他终端建立通信,以与可信的其他终端实现可信的网络连接,保证通信的安全性。通过前述过程可知,本申请只需借助可信终端自身即可实现安全通信,而无需中心节点的参与,不改变现有的网络拓扑,不需要配置任何网络防火墙策略,不新增任何物理设备,不会带来部署上的困难,能够实现稳定、可靠、低成本地进行终端间的安全通信。
本申请实施例提供的一种通信方法,根据数据包判断其他终端是否可信,可以包括:
判断数据包中是否包含有预先设定的安全标识;
若否,则确定其他终端不可信;
若是,则确定其他终端可信。
在本申请中,可信终端中所安装的安全客户端软件具体可以判断所接收到的其他终端所发送的数据包中是否包含有预先设定的安全标识。其中,预先设定的安全标识用来标识相应终端(这里提及的相应终端即为发送数据包的终端)是否可信,且该安全标识具体可以由用户等进行定义。
若可信终端识别到其他终端所发送的数据包中未包含有预先设定的安全标识(具体可能是数据包中没有任何的标识,或者有标识但所包含的标识并非是预先设定的安全标识),则确定发送数据包的其他终端不可信(也即其他终端是非可信终端),相应地,可信终端则丢弃收到的数据包,该过程对上层的应用程序是完全透明的,在应用程序看来,网络连接并未建立成功。
若可信终端识别到其他终端所发送的数据包中包含有预先设定的安全标识,则确定发送数据包的其他终端是可信的(也即其他终端是可信终端),也即认为对端也是可信终端,此时,则对数据包进行正常放行,并建立起一个可信的网络,以进行可信的和安全的通信。
通过上述方式可以便于简单、直接地进行其他终端是否可信的判断。
本申请实施例提供的一种通信方法,还可以包括:
当要向外发送数据包时,则在要发送的数据包中填充预先设定的安全标识;
对填充完预先设定的安全标识的数据包进行发送。
在本申请中,可信终端中所安装的安全客户端软件不仅可以识别判断所接收到的其他终端所发送的数据包中是否包含有预先设定的安全标识,而且还可以在本机(即所在的可信终端本机)所发送处于的数据包中填充预先设定的安全标识,以标识本机是可信终端。
具体地,当可信终端要向外发送数据包时,首先可以在要发送的数据包中填充预先设定的安全标识,以通过在数据包中填充预先设定的安全标识而表明其是可信终端。在数据包中填充完预先设定的安全标识之后,可以将填充完预先设定的安全标识的数据包发送出去,以便于若对端是可信终端是可以根据数据包识别该可信终端以及与该可信终端建立通信。
通过上述方式可以使得可信终端发送出去的数据包中携带有预先设定的安全标识,以表明自身是可信终端,从而便于与对端建立通信。
通过上述描述可知,可信终端与可信终端之间的访问通信,都安装了安装客户端软件,也即可信终端之间的通信在入站连接和出站连接时均不受限,具体可以参见图2,其示出了本申请实施例提供的可信终端之间的通信示意图,其中,入站连接和出站连接是以本地主机的视角来看,主动连接本机的对于本机而言就是入站连接(例如本机是一个网站服务器,访客浏览时发来的HTTP请求连接),本机主动发起的连接就是主站连接(例如我们打开浏览器后访问一个网站)。可信终端与非可信终端之间的访问通信,对于非授权接入的终端即为非可信终端(非可信终端未安装有安全客户端软件),其中,可信终端可以允许主动连接非可信终端,而非可信终端主动连接可信终端时,其所发送的数据包则会被可信终端丢弃,且可信终端并不会与非可信终端建立连接,具体可以参见图3,其示出了本申请实施例提供的可信终端与非可信终端之间的通信示意图。
需要说明的是,在本申请中,若可信终端卸载安全客户端软件后,该可信终端即变为非可信终端(卸载安全客户端软件后,该终端就无法再在要发送的数据包中填充预先设定的安全标识,即从可信终端并未非可信终端),不需要任何数据同步的过程,立即生效。同理的,继续安装安全客户端软件后即变为可信终端,无缝接入网络。
本申请实施例提供的一种通信方法,在接收其他终端发送的数据包之前,还可以包括:
对本机进行安全检查;
若本机通过安全检查,则安装网络驱动;
相应地,判断数据包中是否包含有预先设定的安全标识,可以包括:
利用网络驱动判断数据包中是否包含有预先设定的安全标识;
在要发送的数据包中填充预先设定的安全标识,可以包括:
利用网络驱动在要发送的数据包中填充预先设定的安全标识。
在本申请中,安全客户端软件在成功安装之后,且在可信终端接收其他终端发送的数据包之前,还可以对本机的环境进行安全检查(也即所安装所安全客户端软件还具有对本机进行安全检查的功能),具体地,可以检查本机是否存在高危漏洞、是否存在弱口令等。
若本机通过安全检查,则确认本机是可信终端,且自身环境是安全的,此时,则可以安装网络驱动,并可以创建标识文件,以利用标识文件标识自身是通过安全检查的。
其中,网络驱动工作在系统内核中,且具体可以为采用微软的网络过滤驱动WFP(Windows Filtering Platform)框架实现。WFP是为网络数据包过滤提供的一套框架,其包含相应的API和服务器。通过WFP框架,可以实现防火墙、入侵检测系统、网络监控等软件。在本申请中,客户端软件自带了网络过滤驱动,通过注册IP层的数据包过滤回调,可以实现有数据包发出或到达时,操作系统可以主动通知到我们程序,在此处我们程序即可进行检查,来决定放行或是丢弃数据包。具体可以参见图4,其示出了本申请实施例提供的WFP的整个过滤流程图。
具体地,在确定本机通过安全检查且安装完网络驱动之后,在判断数据包中是否包含有预先设定的安全标识时,具体利用所安装的网络驱动来判断数据包中是否包含有预先设定的安全标识,且在要发送的数据包中填充预先设定的安全标识时,也利用所安装的网络驱动来在要发送的数据包中填充预先设定的安全标识。
通过对本机进行安全检查,并在安全检查之后才进行接收数据包的判断和发送数据包的填充可以保证可信终端的安全性。另外,可实现在接入网络之前,就能够自动化的对即将加入网络的设备进行度量,只有通过安全检查的、无高危漏洞的终端才能够接入网络并与其它可信终端进行通信,这是一种主动的、双向的、预先预防的网络连接方法,目的是使信任链从终端扩展到整个网络上。
需要说明的是,在进行安全检查的基础上,则只有安装有安全客户端软件且通过安全检查的终端才是可信终端,以保证可信终端的安全性。
本申请实施例提供的一种通信方法,在要发送的数据包中填充预先设定的安全标识,可以包括:
在要发送的数据包的包头中填充预先设定的安全标识。
在本申请中,在要发送的数据包中填充预先设定的安全标识时,具体可以在要发送的数据包的包头中填充预先设定的安全标识,以便于能够更好地进行预先设定的安全标识的填充,且便于对端更好地进行预先设定的安全标识的识别。
本申请实施例提供的一种通信方法,在要发送的数据包的包头中填充预先设定的安全标识,可以包括:
在要发送的IP报文的报文头中的可选保留字段中填充预先设定的安全标识。
在本申请中,考虑到目前在网络中传输数据时,几乎均使用网络层中的IP协议,且网络层传输的数据单元(即IP报文)中有部分字段是可选保留字段,即目前无实际含义、业务实际应用的字段,因此,本申请具体可以在IP报文的报文头中的可选保留字段中填充上预先设定的安全标识,以用来标识可信终端。具体可以参见图5,其示出了本申请实施例提供的IP报文的结构示意图。其中,IP协议位于网络层,主要目的是使网络间能互联通信;IP报文是在网络层传输的数据单元,发送的数据包的载荷,传输与设备之间用于交换信息;IP报文头是IP报文的头部信息,标识了此次报文的概况信息,主要有版本号(IPv4、IPv6)、首部长度、包长度、协议类型(TCP、UDP、ICMP)、检验和等。
通过在IP报文的报文头中的可选保留字段中填充预先设定的安全标识可以尽量避免发生丢包、网络风暴等问题,且稳定性比较好。
当然,也可以在UDP广播包的包头中填充预先设定的安全标识。
本申请实施例提供的一种通信方法,接收其他终端发送的数据包,根据数据包判断其他终端是否可信,可以包括:
接收其他终端发送的IP报文,根据IP报文判断其他终端是否可信。
在本申请中,可信终端具体可以接收其他终端发送的IP报文,根据IP报文判断其他终端是否可信,也即其他终端若为可信终端时也可以在IP报文的报文头中的可选保留字段中填充预先设定的安全标识,以尽量避免发生丢包、网络风暴等问题,且稳定性比较好。当然,其他终端若为可信终端时也可以在UDP广播包的包头中填充预先设定的安全标识,相应地,则可信终端可以接收其他终端发送的UDP广播包,并根据UDP广播包判断其他终端是否可信。
本申请结合一个实际的使用场景来对上述技术方案进行说明:假设某重要实验室有办公电脑若干台,均安装了安全客户端软件,变为可信终端,在没有其他网络限制的条件下,可互相无限制的访问。翌日,情报窃取分子伪装成访客打入实验室内部,并通过一些手段成功的接入了实验室内网,此危险分子使用自己携带的终端开始扫描渗透其他可信终端,由于他的可信终端并未安装安全客户端软件,所以,发出的数据包中不会携带预先设定的安全标识,故其他可信终端接收到数据包后直接丢失,而可信终端之间的通信则不受任何影响,避免了可信终端遭受攻击渗透。
本申请实施例还提供了一种通信装置,应用于可信终端,参见图6,其示出了本申请实施例提供的一种通信装置的结构示意图,可以包括:
判断模块61,用于当接收到其他终端发送的数据包时,根据数据包判断其他终端是否可信;
丢弃模块62,用于若其他终端不可信,则丢弃数据包,并拒绝与其他终端建立通信;
放行模块63,用于若其他终端可信,则对数据包进行放行,并与其他终端建立通信。
本申请实施例提供的一种通信装置,判断模块61可以包括:
第一判断单元,用于判断数据包中是否包含有预先设定的安全标识;
第一确定单元,用于若数据包中未包含有预先设定的安全标识,则确定其他终端不可信;
第二确定单元,用于若数据包中包含有预先设定的安全标识,则确定其他终端可信。
本申请实施例提供的一种通信装置,还可以包括:
填充模块,用于当要向外发送数据包时,则在要发送的数据包中填充预先设定的安全标识;
发送模块,用于对填充完预先设定的安全标识的数据包进行发送。
本申请实施例提供的一种通信装置,还可以包括:
安全检查模块,用于在接收其他终端发送的数据包之前,对本机进行安全检查;
安装模块,用于若本机通过安全检查,则安装网络驱动;
相应地,第一判断单元可以包括:
判断子单元,用于利用网络驱动判断数据包中是否包含有预先设定的安全标识;
填充模块可以包括:
第一填充单元,用于利用网络驱动在要发送的数据包中填充预先设定的安全标识。
本申请实施例提供的一种通信装置,填充模块可以包括:
第二填充单元,用于在要发送的数据包的包头中填充预先设定的安全标识。
本申请实施例提供的一种通信装置,第二填充单元可以包括:
填充子单元,用于在要发送的IP报文的报文头中的可选保留字段中填充预先设定的安全标识。
本申请实施例提供的一种通信装置,判断模块61可以包括:
第二判断单元,用于接收其他终端发送的IP报文,根据IP报文判断其他终端是否可信。
本申请实施例还提供了一种通信设备,参见图7,其示出了本申请实施例提供的一种通信装置的结构示意图,可以包括:
存储器71,用于存储计算机程序;
处理器72,用于执行存储器71存储的计算机程序时可实现如下步骤:
当接收到其他终端发送的数据包时,根据数据包判断其他终端是否可信;若否,则丢弃数据包,并拒绝与其他终端建立通信;若是,则对数据包进行放行,并与其他终端建立通信。
本申请实施例还提供了一种可读存储介质,可读存储介质中存储有计算机程序,计算机程序被处理器执行时可实现如下步骤:
当接收到其他终端发送的数据包时,根据数据包判断其他终端是否可信;若否,则丢弃数据包,并拒绝与其他终端建立通信;若是,则对数据包进行放行,并与其他终端建立通信。
该可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请提供的一种通信装置、设备及可读存储介质中相关部分的说明可以参见本申请实施例提供的一种通信方法中对应部分的详细说明,在此不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种通信方法,其特征在于,应用于可信终端,包括:
当接收到其他终端发送的数据包时,根据所述数据包判断所述其他终端是否可信;
若否,则丢弃所述数据包,并拒绝与所述其他终端建立通信;
若是,则对所述数据包进行放行,并与所述其他终端建立通信。
2.根据权利要求1所述的通信方法,其特征在于,根据所述数据包判断所述其他终端是否可信,包括:
判断所述数据包中是否包含有预先设定的安全标识;
若否,则确定所述其他终端不可信;
若是,则确定所述其他终端可信。
3.根据权利要求2所述的通信方法,其特征在于,还包括:
当要向外发送数据包时,则在要发送的数据包中填充预先设定的安全标识;
对填充完预先设定的安全标识的数据包进行发送。
4.根据权利要求3所述的通信方法,其特征在于,在接收其他终端发送的数据包之前,还包括:
对本机进行安全检查;
若本机通过所述安全检查,则安装网络驱动;
相应地,判断所述数据包中是否包含有预先设定的安全标识,包括:
利用所述网络驱动判断所述数据包中是否包含有预先设定的安全标识;
在要发送的数据包中填充预先设定的安全标识,包括:
利用所述网络驱动在要发送的数据包中填充预先设定的安全标识。
5.根据权利要求3所述的通信方法,其特征在于,在要发送的数据包中填充预先设定的安全标识,包括:
在要发送的数据包的包头中填充预先设定的安全标识。
6.根据权利要求5所述的通信方法,其特征在于,在要发送的数据包的包头中填充预先设定的安全标识,包括:
在要发送的IP报文的报文头中的可选保留字段中填充预先设定的安全标识。
7.根据权利要求1所述的通信方法,其特征在于,接收其他终端发送的数据包,根据所述数据包判断所述其他终端是否可信,包括:
接收所述其他终端发送的IP报文,根据所述IP报文判断所述其他终端是否可信。
8.一种通信装置,其特征在于,应用于可信终端,包括:
判断模块,用于当接收到其他终端发送的数据包时,根据所述数据包判断所述其他终端是否可信;
丢弃模块,用于若所述其他终端不可信,则丢弃所述数据包,并拒绝与所述其他终端建立通信;
放行模块,用于若所述其他终端可信,则对所述数据包进行放行,并与所述其他终端建立通信。
9.一种通信设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的通信方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的通信方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210651996.7A CN115086451A (zh) | 2022-06-10 | 2022-06-10 | 一种通信方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210651996.7A CN115086451A (zh) | 2022-06-10 | 2022-06-10 | 一种通信方法、装置、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115086451A true CN115086451A (zh) | 2022-09-20 |
Family
ID=83251925
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210651996.7A Pending CN115086451A (zh) | 2022-06-10 | 2022-06-10 | 一种通信方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115086451A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040111642A1 (en) * | 2002-12-05 | 2004-06-10 | Amir Peles | Content security by network switch |
CN102739665A (zh) * | 2012-06-25 | 2012-10-17 | 成都卫士通信息产业股份有限公司 | 一种实现网络虚拟安全域的方法 |
CN107483461A (zh) * | 2017-08-30 | 2017-12-15 | 北京奇安信科技有限公司 | 一种nat环境下的终端准入控制方法及装置 |
CN114422167A (zh) * | 2021-12-02 | 2022-04-29 | 深信服科技股份有限公司 | 一种网络准入控制方法、装置、电子设备及存储介质 |
-
2022
- 2022-06-10 CN CN202210651996.7A patent/CN115086451A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040111642A1 (en) * | 2002-12-05 | 2004-06-10 | Amir Peles | Content security by network switch |
CN102739665A (zh) * | 2012-06-25 | 2012-10-17 | 成都卫士通信息产业股份有限公司 | 一种实现网络虚拟安全域的方法 |
CN107483461A (zh) * | 2017-08-30 | 2017-12-15 | 北京奇安信科技有限公司 | 一种nat环境下的终端准入控制方法及装置 |
CN114422167A (zh) * | 2021-12-02 | 2022-04-29 | 深信服科技股份有限公司 | 一种网络准入控制方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8898785B2 (en) | System and method for monitoring network traffic | |
US7735118B2 (en) | Method and apparatus for preventing bridging of secure networks and insecure networks | |
US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
US8990573B2 (en) | System and method for using variable security tag location in network communications | |
US20060256729A1 (en) | Method and apparatus for identifying and disabling worms in communication networks | |
US20070294759A1 (en) | Wireless network control and protection system | |
JP2009508403A (ja) | 準拠性に基づくダイナミックネットワーク接続 | |
CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
WO2007079044A2 (en) | Method and system for transparent bridging and bi-directional management of network data | |
CN103166960A (zh) | 接入控制方法及装置 | |
Nehra et al. | FICUR: Employing SDN programmability to secure ARP | |
US20210367926A1 (en) | Methods and Apparatus for Operating and Managing a Constrained Device within a Network | |
CN108418844B (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
US9686311B2 (en) | Interdicting undesired service | |
US11082309B2 (en) | Dynamic and interactive control of a residential gateway connected to a communication network | |
EP2007066A2 (en) | A policy enforcement point and a linkage method and system for intrude detection system | |
CN113489731A (zh) | 基于虚拟化网络的数据传输方法、系统和网络安全设备 | |
EP1592199A1 (en) | Administration of network security | |
CN115086451A (zh) | 一种通信方法、装置、设备及可读存储介质 | |
KR20080040256A (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
CN114024752B (zh) | 一种基于全网联动的网络安全防御方法、设备及系统 | |
CN113596823B (zh) | 切片网络保护方法及装置 | |
CN113364807A (zh) | 一种网络节点可信认证实现方法 | |
KR102027438B1 (ko) | Ddos 공격 차단 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |