WO2023241363A1

WO2023241363A1 - 通信防护方法、系统、电子设备及存储介质

Info

Publication number: WO2023241363A1
Application number: PCT/CN2023/097581
Authority: WO
Inventors: 闫新成; 周娜; 蒋志红; 宋琳
Original assignee: 中兴通讯股份有限公司
Priority date: 2022-06-17
Filing date: 2023-05-31
Publication date: 2023-12-21
Also published as: CN117318961A

Abstract

本申请实施例涉及通信技术领域，公开了一种通信防护方法、系统、电子设备及存储介质，方法包括：确定待发送的数据报文的类型；其中，数据报文的类型包括：第一数据报文和第二数据报文；第一数据报文为向通信接收端发送的首个数据报文，第二数据报文为向所述通信接收端发送的非首个数据报文；在数据报文为第一数据报文的情况下，对数据报文进行强验证；在数据报文为第二数据报文的情况下，对数据报文进行弱验证；其中，强验证为安全性强于弱验证的验证；在验证通过的情况下，向通信接收端发送数据报文。

Description

通信防护方法、系统、电子设备及存储介质

相关申请

本申请要求于2022年6月17号申请的、申请号为202210692194.0的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种通信防护方法、系统、电子设备及存储介质。

背景技术

随着社会的不断进步和经济的不断发展，网络已经成为人们日常生活中必不可少的一部分。网络云化/泛化在演进、2B和2C业务融合，网络开放暴露面不断增加，网络安全的“边界”进一步模糊，攻击手段持续升级，传统“补丁式”的安全设计模式，存在结构僵化、后知后觉、缺乏协同等问题，堆叠、加固的安全架构，依赖于先验知识的被动防护模式，难以满足新型网络安全防护需求。因此，需要突破传统设计模式，为网络注入更强大的安全基因，从身份、数据、网络、通信端等需求层面，进行系统安全设计。网络通信防护基于对接入终端的验证、对接收端的保护，以确保网络的安全可信，并为资源正常运行、业务正常通信提供安全保障。

然而常规的通信防护技术存在防护效率低下，防护不够系统、防护不够全面的问题。

发明内容

本申请的目的在于解决上述问题，提供一种通信防护方法、系统、电子设备及存储介质，解决了业务互通过程防护效率低下、防御系统性差和防护不够全面的问题，达到了对通信互通过程，全面高效防护的目的。

为解决上述问题，本申请的实施例提供了一种通信防护方法，方法包括：确定待发送的数据报文的类型；其中，数据报文的类型包括：第一数据报文和第二数据报文；第一数据报文为向通信接收端发送的首个数据报文，第二数据报文为向所述通信接收端发送的非首个数据报文；在数据报文为第一数据报文的情况下，对数据报文进行强验证；在数据报文为第二数据报文的情况下，对数据报文进行弱验证；其中，强验证为安全性强于弱验证的验证；在验证通过的情况下，向通信接收端发送数据报文。

为解决上述问题，本申请的实施例提供了一种通信防护系统，包括：通信发起端、通信接收端、第一传输节点和至少一个第二传输节点；第一传输节点用于执行上述通信防护方法；所述第二传输节点和所述通信接收端用于执行上述通信防护方法。

为解决上述问题，本申请的实施例提供了一种通信防护系统，包括：通信发起端、通信接收端、第一传输节点；通信发起端用于执行上述通信防护方法；所述第一传输节点和所述通信接收端用于执上述通信防护方法。

为解决上述问题，本申请的实施例还提供了一种电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述通信防护方法。

为解决上述问题，本申请的实施例还提供了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现上述通信防护方法。

本申请实施例提供的通信防护方法，通过对发向通信接收端的首个数据报文进行强验证，并且，在强验证通过的情况下，才向通信接收端转发数据报文，实现了在建立与通信接收端之间的通信的同时，也进行了安全验证，避免了通信接收端被攻击，确保了网络的安全可信，另外，对向通信接收端发送的非首个数据报文进行弱验证，实现即使已接入通信接收端，对于往来的数据报文仍然需要进行弱验证，避免了数据报文带来的潜在风险，因此，解决了业务互通过程防护效率低下、防御系统性差和防护不够全面的问题，达到了对通信互通过程，全面高效防护的目的。

附图说明

一个或多个实施例通过与之对应的附图中的图片进行示例性说明，这些示例性说明并不构成对实施例的限定，附图中具有相同参考数字标号的元件表示为类似的元件，除非有特别申明，附图中的图不构成比例限制。

图1是本申请一实施例提供的通信防护方法的流程图；

图2是本申请一实施例提供的对第一数据报文进行通信防护的流程图；

图3是本申请一实施例提供的对第二数据报文进行通信防护的流程图；

图4是本申请另一实施例提供的对第一数据报文进行通信防护的流程图；

图5是本申请另一实施例提供的对第二数据报文进行通信防护的流程图；

图6是本申请一实施例提供的通信防护系统的结构示意图；

图7是本申请另一实施例提供的通信防护系统的结构示意图；

图8是本申请一实施例提供的电子设备的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请的各实施方式进行详细的阐述。然而，本领域的普通技术人员可以理解，在本申请各实施方式中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施方式的种种变化和修改，也可以实现本申请所要求保护的技术方案。

本申请的一实施例涉及一种通信防护方法，方法包括：确定待发送的数据报文的类型；其中，数据报文的类型包括：第一数据报文和第二数据报文；第一数据报文为向通信接收端发送的首个数据报文，第二数据报文为向所述通信接收端发送的非首个数据报文；在数据报文为第一数据报文的情况下，对数据报文进行强验证；在数据报文为第二数据报文的情况下，对数据报文进行弱验证；其中，强验证为安全性强于弱验证的验证；在验证通过的情况下，向通信接收端发送数据报文，解决了业务互通过程防护效率低下、防御系统性差和防护不够全面的问题，达到了对通信互通过程，全面高效防护的目的。

下面对本实施例中的方法的实现细节进行具体的说明，以下内容仅为方便理解本方案的实现细节，并非实施本方案的必须。具体流程如图1所示，可包括如下步骤：

在步骤101中，确定待发送的数据报文的类型。

其中，数据报文的类型包括：第一数据报文和第二数据报文；第一数据报文为向通信接收端发送的首个数据报文，第二数据报文为向通信接收端发送的非首个数据报文。其中，数据报文可以是一个或者多个数据报文。数据报文可以是以下一种信息相同或多种组合信息相同的流集合，包含通信发起端的IP、通信发起端身份、通信发起端端口、通信接收端的IP、通信接收端身份、通信接收端端口、协议号、协议端口。其中，第一数据报文可以是始发数据报文或首包，在数据报文安全性差的情况下，还可以是首包之后的数据报文。对于第二数据报文，在数据报文安全性强的情况下，也可以是首个数据报文。

在本申请实施例中，在数据报文携带首次出现的通信接收端的IP的情况下，将数据报文确定为第一数据报文；在数据报文携带非首次出现的通信接收端的IP的情况下，将数据报文确定为第二数据报文。

在一个例子中，待发送的数据报文携带通信接收端A的IP，在通信发起端从未向通信接收端A传输过数据报文的情况下，将数据报文确定为第一数据报文，在通信发起端已经向通信接收端A发送过数据报文的情况下，将数据报文确定为第二数据报文。

在又一个例子中，待发送的数据报文携带通信接收端A的IP，携带通信发起端B的IP，在通信发起端B从未向通信接收端A发送过数据报文的情况下，将数据报文确定为第一数据报文；在通信发起端B已经向通信接收端A发送过数据报文的情况下，将数据报文确定第二数据报文。

其中，通信发起端和通信接收端可以是终端、PC机、服务器、管理器以及控制器等。

在本申请实施例中，在数据报文为向通信接收端发送的非首个数据报文，且数据报文安全性差的情况下，数据报文为第一数据报文；在数据报文为向通信接收端发送的首个数据报文，且数据报文安全性强的情况下，数据报文为第二数据报文。

在一个例子中对于非首次向通信接收端传输的数据报文，在检测到数据报文安全性较差的情况下，依然可以将上述数据报文确定为第一数据报文，对它进行强验证；对于首次向通信接收端传输的数据报文，在检测到数据报文安全性强的情况下，可以将数据报文确定为第二数据报文，对它进行弱验证。

在步骤102中，在数据报文为第一数据报文的情况下，对数据报文进行强验证。

在一个例子中，对于首次进行数据传输的通信发起端和通信终端，需要采取安全性强的强验证对通信发起端传输的数据报文进行检验。

在本申请实施例中，对数据报文进行强验证的操作包括：第一传输节点或通信发起端对数据报文进行密码学计算并生成第一验证值，为数据报文添加第一验证信息。其中，第一传输节点为接收来自通信发起端发送的数据报文的传输节点，第一传输节点可以是路由器、交换机以及网关等。

在本申请实施例中，在第一传输节点执行上述强验证操作的情况下，第一传输节点使用第一传输节点的密钥对通信发起端和/或第一传输节点的信息进行密码学计算，并生成第一验证值，或者，使用通信发起端的密钥对通信发起端和/或第一传输节点的信息进行密码学计算，并生成第一验证值。

在一个例子中，由于第一传输节点接收来自通信发起端的数据报文，且数据报文中会携带通信发起端的信息，并且通过通信发起端的信息可以从密钥管理中心获取通信发起端的密钥，因此，第一传输节点可以使用第一传输节点的密钥或者通信发起端的密钥，对第一传输节点或者通信发起端的信息(如身份或地址)进行密码学计算或者签名，得到第一验证值。

在本申请实施例中，在通信发起端执行上述强验证操作的情况下，通信发起端使用通信发起端的密钥对通信发起端的信息进行密码学计算并生成第一验证值。

在一个例子中，由于通信发起端对数据报文进行密码学计算时，通信发起端可获取加密的密钥只有自身的密钥，且数据报文中只携带了通信发起端的信息，因此，通信发起端对数据报文进行密码学计算时，只能使用通信发起端的密钥对通信发起端的身份或地址进行密码学计算或签名，生成第一验证值。

在本申请实施例中，对数据报文进行强验证的操作还包括：为数据报文添加第一验证值后，第一传输节点对通信发起端进行真实性检查；其中，真实性检查包括以下一种或多种组合：基于访问控制的检查、基于验证码的检查、基于密码学的检查和基于令牌的检查。

第一传输节点收到数据报文后，也对通信发起端进行一次真实性检查，避免向第二传输节点转发存在安全隐患的数据报文。

在本申请实施例中，对数据报文进行强验证的操作还包括：第一传输节点、第二传输节点或通信接收端，对数据报文携带的第一验证值进行验证。

其中，第二传输节点为接收来自上一传输节点发送的数据报文的传输节点，其中，上一传输节点为第一传输节点或第二传输节点，第一传输节点和通信接收端之间可以有多个第二传输节点，第二传输节点可以是路由器、交换机以及网关。

在本申请实施例中，在第一传输节点对第一验证值进行验证的情况下，使用通信发起端的密钥和通信发起端的信息，对第一验证值进行第一验证。

在一个例子中，通信发起端对数据报文进行密码学计算时，第一传输节点使用通信发起端的密钥和通信发起端的信息，对第一验证值进行第一验证。

在本申请实施例中，在第二传输节点对第一验证值进行验证的情况下，使用第一传输节点的密钥和通信发起端和/或第一传输节点的信息，对第一验证值进行第一验证，或者,使用通信发起端的密钥和通信发起端和/或第一传输节点的信息，对第一验证值进行第一验证。

在一个例子中，在第一传输节点对数据报文进行密码学计算，并生成第一验证值时，第一传输节点会将携带第一验证值的数据报文转发至第二数据报文，并且数据报文中还携带有用于获取通信发起端或者第一传输节点密钥的信息，因此，第二传输节点可以使用第一传输节点的密钥和通信发起端和/或第一传输节点的信息，对第一验证值进行第一验证，或者,使用通信发起端的密钥和通信发起端和/或第一传输节点的信息，对第一验证值进行第一验证。

在本申请实施例中，在通信接收端对第一验证值进行验证的情况下，使用第一传输节点的密钥和通信发起端和/或第一传输节点的信息，对第一验证值进行第一验证，或者,使用通信发起端的密钥和通信发起端和/或第一传输节点的信息，对第一验证值进行第一验证。

在一个例中，在通信发起端对数据报文进行密码学计算，并生成第一验证值，第一传输节点对第一验证值进行第一验证后，第一传输节点经第二传输节点向通信接收端发送携带验证值的数据报文，因此，在第一传输节点对第一验证值验证的情况下，通信接收端还可以再次对第一验证值进行验证。

在又一个例子中，在第一传输节点对数据报文进行密码学计算，并生成第一验证值后，第二传输节点对第一验证值进行第一验证后，第二传输节点将携带第一验证值的数据报文发送到通信接收端，因此，在第二传输节点进行了对第一验证值验证的情况下，通信接收端还可以再次对第一验证值进行验证。

通过对数据报文中的信息进行密码学计算，避免数据泄露引发安全问题的同时，还可以通过携带因加密而生成的第一验证值，供后面的第二传输节点和通信接收端对数据报文的真实性进行检测，避免转发存在安全隐患的数据报文，保证了数据报文传输流程中的安全。

在本申请实施例中，对数据报文进行强验证还包括：第一传输节点、第二传输节点或者通信接收端为数据报文生成检验信息，并为数据报文添加检验信息。其中，检验信息包括：权证、验证码和令牌，权证信息携带在数据报文中，可以存放在数据报文的外层IP头、内层IP头、通信发起端的IP地址中、通信接收端的IP地址中、选项头、原有扩展头或者新定义的扩展头中。

在一个例子中，在第一传输节点为数据报文生成检验信息的情况下，第一传输节点根据通信发起端的IP和通信接收端的IP生成第一传输节点的检验信息。

在又一个例子中，在第二传输节点为数据报文生成检验信息，且在数据报文携带首次出现的通信接收端的IP的情况下，根据第一传输节点的IP和通信接收端的IP生成第二传输节点的检验信息；在数据报文携带首次出现的通信接收端的IP和首次出现的通信发起端的IP的情况下，第二传输节点根据通信发起端的IP和通信接收端的IP生成第二传输节点的检验信息。

在另一个例子中，在第一传输节点生成第一传输节点的检验信息的情况下，第二传输节点和通信发起端都可以根据通信发起端的IP和通信接收端的IP再次为数据报文生成检验信息。

在一个例子中，在第二传输节点为数据报文生成第二传输节点的检验信息的情况下，通信接收端也可以在数据报文携带首次出现的通信接收端的IP的情况下，根据第一传输节点的IP和通信接收端的IP生成通信接收端的检验信息；在数据报文携带首次出现的通信接收端的IP和首次出现的通信发起端的IP的情况下，根据通信发起端的IP和通信接收端的IP生成通信接收端的检验信息。

另外，当通信接收端和第一传输节点中有多个第二传输节点时，当第一个第二传输节点完成对数据报文的强验证，且验证通过后，向下一个第二传输节点发送携带检验信息和第一验证值的数据报文，供后面的多个第二传输节点对数据报文执行同样的强验证操作，在所有第二传输节点完成对数据报文的强验证，且验证通过后，向通信接收端发送数据报文。

在两个通信终端首次进行数据报文的传输时，根据数据报文携带的IP信息生成检验信息，供通信终端进行下一次通信传输时进行检验，即通信发起端向通信终端传输第二数据报文时，各传输节点可以对第二数据报文进行弱验证。

在本申请实施例中，在对数据报文进行强验证之后，根据预设标准对检验信息进行筛选，得到授权检验信息，其中，授权检验信息随通信发起端的应答报文共同发送至通信发起端。

在一个例子中，第二传输节点A、第二传输节点B和第二传输节点C为数据报文分别生成了对应的检验信息a1、检验信息a2和检验信息a3，携带a1、a2和a3的数据报文被C发送至通信接收端，通信接收端可以根据授权白名单对a1、a2和a3进行筛选，a1、a2通过筛选，得到授权检验信息a1和a2。通信接收端向通信发起端发送携带授权检验信息的应答报文。

在又一个例子中，第二传输节点A、第二传输节点B和第二传输节点C为数据报文分别生成了对应的检验信息a1、检验信息a2和检验信息a3，第二传输节点C可以根据资源占用情况对a1、a2和a3进行筛选，a1、a2通过筛选，得到授权检验信息a1和a2。第二传输节点C将授权检验信息添加到通信接收端发送的应答报文中，并将应答报文经多个传输节点转发至通信接收端。

在另一个例子中，通信接收端也可以不对生成的检验的信息进行筛选，通信接收端直接为每一个生成的检验信息进行授权，并将授权检验信息添加到通信接收端发送的应答报文中，并将应答报文经多个传输节点转发至通信接收端。

本申请实施例不对授权检验信息的预设的授权标准进行限定，上述例子中所使用的具体授权标准是为了让获取授权检验信息的过程更加清楚。

通过对检验信息进行筛选，避免授权了无效检验信息或者有安全隐患的信息，从而影响通信传输的安全性，以及造成了资源的浪费。

在步骤103中，在数据报文为第二数据报文的情况下，对数据报文进行弱验证。

其中，第二数据报文为非首次向通信接收端发送的数据报文，说明已经在首次向通信接收端发送数据报文时，已经对数据报文进行了强验证，因此，对于已经进行过强验证的通信发起端和通信接收端之间的数据报文，在再次进行数据报文的传输时，可以采取安全性低于强验证的弱验证进行检验。

在本申请实施例中，对数据报文进行弱验证的操作包括：根据数据报文携带的IP信息，为数据报文添加存储的授权检验信息。其中，数据报文携带的IP信息包括：通信接收端的IP和通信发起端的IP。

由于在通信接收端的第一数据报文进行完强验证后，授权检验信息会随应答报文发送至通信发起端或第一传输节点，当对数据报文的加密操作是通信发起端执行时，授权检验信息会发送至通信发起端，并被通信发起端保存；当对数据报文的加密操作是第一传输节点执行时，授权检验信息会随应答报文被发送至第一传输节点，第一传输节点保存授权检验信息，并向通信发起端发送应答报文。

因此，在通信发起端或者第一传输节点确定出数据报文为第二数据报文后，可以根据数据报文的通信接收端的IP，从存储的授权检验信息中，获取通信接收端的IP对应的授权检验信息，并为数据报文添加授权检验信息。

在本申请实施例中，对数据报文进行弱验证的操作还包括：对数据报文携带的授权检验信息进行验证。

在一个例子中，在第二传输节点对数据报文生成的检验信息通过授权的情况下，第二传输节点对数据报文携带的授权检验信息进行检验。第二传输节点在数据报文携带非首次出现的通信接收端的IP的情况下，根据第一传输节点的IP和通信接收端的IP，对数据报文携带的授权检验信息进行验证；在数据报文携带非首次出现的通信接收端的IP和非首次出现的通信发起端的IP的情况下，根据通信发起端的IP和通信接收端的IP，对数据报文携带的授权检验信息进行验证。

在一个例子中，在第一传输节点对数据报文生成的检验信息通过授权的情况下，第一传输节点根据通信发起端的IP和通信接收端的IP，对数据报文携带的授权检验信息进行验证。

在一个例子中，在通信接收端对数据报文生成的检验信息通过授权的情况下，通信接收端根据第一传输节点的IP和通信接收端的IP，对数据报文携带的授权检验信息进行验证。或者，根据通信发起端的IP和通信接收端的IP，对数据报文携带的授权检验信息进行验证。

另外，在通信接收端和第一传输节点或第二传输节点对数据报文生成的检验信息都通过授权的情况下，通信接收端和第一传输节点或第二传输节点都可以对数据报文携带的授权检验信息进行验证。

在一个例子中，第二传输节点在收到携带授权检验信息的数据报文后，第二传输节点采用密码学算法对数据报文中携带的通信接收端的IP和通信发起端的IP进行计算，获得计算值，在计算值与数据报文中携带的授权检验信息相同时，则认为对授权检验信息的检验通过。

对于首次进行数据传输的通信发起端和通信终端，需要采取安全性强的强验证对通信发起端传输的数据报文进行检验，对于已经进行过强验证的通信发起端和通信接收端，在再次进行通信发起端和通信终端之间的数据报文传输时，可以采取安全性低于强验证的弱验证进行检验，避免只经过一次验证，就完全开放通信发起端和通信终端的业务来往，从而预防了带来的潜在安全风险。另外，多个第二传输节点都对授权检验信息进行验证，避免了只有一个第二传输节点进行验证时，第二传输节点验证功能失效而导致存在安全的数据报文无法被拦截的问题。对授权检验信息的验证用于检查数据报文的源IP(即通信发起端的IP)是否发生变化，避免转发来源不明的数据报文，从端到端的角度实现系统性的安全保护。

在步骤104中，在验证通过的情况下，向通信接收端发送数据报文。

在一个例子中，在第二传输节点对数据报文的第一验证值进行验证，并在验证通过的情况下，第二传输节点向下一第二传输节点发送数据报文，或者，向通信接收端发送数据报文；在第一传输节点验证通过的情况下，第一传输节点向第二传输节点发送数据报文。

在一个例子中，在第二传输节点对数据报文携带的授权检验信进行验证，并在验证通过的情况下，第二传输节点向下一第二传输节点发送数据报文，或者，向通信接收端发送数据报文；在第一传输节点验证通过的情况下，第一传输节点向第二传输节点发送数据报文。

为了使本申请实施例提供的通信防护方法更加清楚，参考图2对防护方法的流程进行具体说明，本申请实施例提供的方法应用于SRv6场景下，在数据报文为第一数据报文的情况下，防护流程具体内容如下：

在步骤201，通信发起端向第一传输节点发送数据报文。

在步骤202，第一传输节点确定收到的数据报文为第一数据报文的情况下，对数据报文进行密码学计算，并生成第一验证值。

在步骤203，第一传输节点转发携带第一验证值的数据报文至第二传输节点A。

在步骤204，第二传输节点A为数据报文生成并添加检验信息a1。

在步骤205，第二传输节点A对第一验证值进行验证。

在步骤206，在验证通过的情况下，向第二传输节点B转发携带a1和第一验证值的数据报文。

在步骤207，第二传输节点B为数据报文生成并添加检验信息a2。

在步骤208，第二传输节点A对第一验证值进行验证。

在步骤209，在验证通过的情况下，向通信接收端转发携带a1和a2的数据报文。

在步骤210，在a1和a2通过授权标准的情况下，通信接收端对a1和a2进行授权。

在步骤211，通信接收端经第二传输节点B、第二传输节点A和第一传输节点向通信发起端发送携带a1和a2的应答报文。

在步骤212，第一传输节点保存a1和a2，并将应答报文转发至通信发起端。

为了使本申请实施例提供的通信防护方法更加清楚，参考图3对通信防护方法的流程进行具体说明，本申请实施例提供的方法应用于SRv6场景下，在数据报文为第二数据报文的情况下，防护流程具体内容如下：

在步骤301，通信发起端向第一传输节点发送数据报文。

在步骤302，根据数据报文的IP信息，获取第二传输节点A和第二传输节点B的授权检验信息a1和a2，为数据报文添加a1和a2。

在步骤303，第一传输节点转发携带a1和a2的数据报文至第二传输节点A。

在步骤304，第二传输节点A对a1进行验证。

在步骤305，在验证通过的情况下，向第二传输节点B转发携带a1和a2的数据报文。

在步骤306，第二传输节点B对a2进行验证。

在步骤307，在验证通过的情况下，向通信接收端转发携带a1和a2的数据报文。

在步骤308，通信接收端向通信发起端发送应答报文。

为了使本申请实施例提供的通信防护方法更加清楚，参考图4对防护方法的流程进行具体说明，在数据报文为第一数据报文的情况下，防护流程具体内容还可以如下：

在步骤401中，通信发起端确定待发送的数据报文为第一数据报文的情况下，对数据报文进行密码学计算，并生成第一验证值。

在步骤402，通信发起端转发携带第一验证值的数据报文至第一传输节点。

在步骤403，第一传输节点为数据报文生成并添加检验信息X1。

在步骤404，第一传输节点对第一验证值进行验证。

在步骤405，在验证通过的情况下，向第二传输节点转发携带X1和第一验证值的数据报文。

在步骤406，第二传输节点为数据报文生成并添加检验信息Y1。

在步骤407，第二传输节点对第一验证值进行验证。

在步骤408，在验证通过的情况下，向通信接收端转发携带X1和Y1的数据报文。

在步骤409，在X1和Y1通过授权标准的情况下，通信接收端对X1和Y1进行授权。

在步骤410，通信接收端经第二传输节点和第一传输节点向通信发起端发送携带X1和Y1的应答报文。

在步骤411，通信发起端保存X1和Y1。

为了使本申请实施例提供的防护方法更加清楚，参考图5对防护方法的流程进行具体说明，在数据报文为第二数据报文的情况下，防护流程具体内容还可以如下：

在步骤501中，通信发起端判断待发送的数据报文为第二数据报文的情况下，根据数据报文的IP信息，获取第一传输节点和第二传输节点的授权检验信息X1和Y1。

在步骤502，通信发起端转发携带X1和Y1的数据报文至第一传输节点。

在步骤503，第一传输节点对X1进行验证。

在步骤504，在验证通过的情况下，第一传输节点向第二传输节点转发携带X1和Y1的数据报文。

在步骤505，第二传输节点对Y1进行验证。

在步骤506，在验证通过的情况下，第二传输节点向通信接收端转发携带X1和Y1的数据报文。

在步骤507，通信接收端向通信发起端发送应答报文。

本申请实施例提供的通信防护方法，通过对发向通信接收端的首个数据报文进行强验证，并且，在强验证通过的情况下，才向通信接收端转发数据报文，实现了在建立与通信接收端之间的通信的同时，也进行了安全验证，避免了通信接收端被攻击，确保了网络的安全可信，另外，对向通信接收端的非首个数据报文进行弱验证，实现即使已接入通信接收端，对于往来的数据报文仍然需要进行弱验证，避免了数据报文带来的潜在风险，因此，解决了业务互通过程防护效率低下、防御系统性差和防护不够全面的问题，达到了对通信互通过程，全面高效防护的目的。另外，通过对数据报文中的信息进行密码学计算，避免数据泄露引发安全问题的同时，还可以通过携带因加密而生成的第一验证值，供后面的第二传输节点和通信接收端对数据报文的真实性进行检测，避免转发存在安全隐患的数据报文，保证了数据报文传输流程中的安全，对授权检验信息的验证用于检查数据报文的源IP(即通信发起端的IP)是否发生变化，避免转发来源不明的数据报文，从端到端的角度实现系统性的安全保护。

上面各种方法的步骤划分，只是为了描述清楚，实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包括相同的逻辑关系，都在本申请的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该申请的保护范围内。

本申请实施例提供了一种通信防护系统，防护系统的网络架构如图6所示，具体包括：通信发起端、通信接收端、第一传输节点进而至少一个第二传输节点。

通信发起端，用于向通信接收端发送数据报文，接收来自通信接收端的数据报文。

通信接收端，用于接收来自通信发起端的数据报文，对通信发起端进行授权，向通信发起端发送检验信息。可选地，对第一数据报文添加检验信息，对第二数据报文携带的检验信息进行验证。

第一传输节点，用于确定数据报文时第一数据报文还是第二数据报文，对第一数据报文进行密码学计算，对第二数据报文添加授权检验信息。可选地，第一传输节点还可以对通信发起端进行真实性检查。

第二传输节点，为第一数据报文生成并添加检验信息，对第二数据报文携带的授权检验信息进行验证。

本申请实施例提供的通信防护系统还可以包括密钥管理中心，用于管理通信发起端和第一传输节点的密钥信息。

本申请实施例还提供了一种防护系统，防护系统的网络架构如图7所示，具体包括：通信发起端、通信接收端、第一传输节点。

通信发起端，用于确定数据报文时第一数据报文还是第二数据报文，对第一数据报文进行密码学计算，对第二数据报文添加授权检验信息，接收来自通信接收端的数据报文。

第一传输节点，为第一数据报文生成并添加检验信息，对第二数据报文携带的授权检验信息进行验证。

本申请实施例提供的通信防护系统还可以包括密钥管理中心和至少一个第二传输节点，其中，密钥管理中心用于管理通信发起端口的密钥信息，第二传输节点用于接收来自上一传输节点的数据报文，对第一数据报文进行密码学计算，对第二数据报文添加授权检验信息，另外，第二传输节点还可以对通信发起端进行授权。

本申请上述实施方式中所涉及到的各模块均为逻辑模块，在实际应用中，一个逻辑单元可以是一个物理单元，也可以是一个物理单元的一部分，还可以以多个物理单元的组合实现。此外，为了突出本申请的创新部分，本实施方式中并没有将与解决本申请所提出的技术问题关系不太密切的单元引入，但这并不表明本实施方式中不存在其它的单元。

本申请的实施例还提供一种电子设备，如图8所示，包括至少一个处理器801；以及，与所述至少一个处理器801通信连接的存储器802；其中，所述存储器802存储有可被所述至少一个处理器801执行的指令，所述指令被所述至少一个处理器801执行，以使所述至少一个处理器能够执行上述通信防护方法。

其中，存储器和处理器采用总线方式连接，总线可以包括任意数量的互联的总线和桥，总线将一个或多个处理器和存储器的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输，进一步，天线还接收数据并将数据传送给处理器。

处理器负责管理总线和通常的处理，还可以提供各种功能，包括定时，外围接口，电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所使用的数据。

上述产品可执行本申请实施例所提供的方法，具备执行方法相应的功能模块和有益效果，未在本实施例中详尽描述的技术细节，可参见本申请实施例所提供的方法。

本申请的实施例还提供一种计算机可读存储介质，存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。

本领域技术人员可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

上述实施例是提供给本领域普通技术人员来实现和使用本申请的，本领域普通技术人员可以在脱离本申请的发明思想的情况下，对上述实施例做出种种修改或变化，因而本申请的保护范围并不被上述实施例所限，而应该符合权利要求书所提到的创新性特征的最大范围。

Claims

一种通信防护方法，包括：

确定待发送的数据报文的类型；其中，所述数据报文的类型包括：第一数据报文和第二数据报文；所述第一数据报文为向通信接收端发送的首个数据报文，所述第二数据报文为向所述通信接收端发送的非首个数据报文；

在所述数据报文为所述第一数据报文的情况下，对所述数据报文进行强验证；

在所述数据报文为所述第二数据报文的情况下，对所述数据报文进行弱验证；其中，所述强验证为安全性强于所述弱验证的验证；

在验证通过的情况下，向所述通信接收端发送所述数据报文。
根据权利要求1所述的通信防护方法，其中，所述判断所述数据报文的类型，包括：

在所述数据报文携带首次出现的通信接收端的IP的情况下，将所述数据报文确定为第一数据报文；

在所述数据报文携带非首次出现的通信接收端的IP的情况下，将所述数据报文确定为第二数据报文。
根据权利要求1所述的通信防护方法，其中，所述方法应用于第一传输节点或通信发起端，所述对所述数据报文进行强验证，包括：

对所述数据报文进行密码学计算并生成第一验证值，为所述数据报文添加第一验证值；

所述对所述数据报文进行弱验证，包括：

根据所述数据报文携带的IP信息，为所述数据报文添加存储的授权检验信息。
根据权利要求3所述的通信防护方法，其中，所述对所述数据报文进行密码学计算并生成第一验证值，包括：

在所述方法应用于所述第一传输节点的情况下，使用第一传输节点的密钥对所述通信发起端和/或所述第一传输节点的信息进行密码学计算，并生成第一验证值，或者，使用通信发起端的密钥对所述通信发起端和/或所述第一传输节点的信息进行密码学计算，并生成第一验证值；

在所述方法应用于所述通信发起端的情况下，使用所述通信发起端的密钥对所述通信发起端的信息进行密码学计算并生成第一验证值。
根据权利要求3所述的通信防护方法，其中，所述在为所述数据报文添加第一验证值后，所述方法还包括：

在所述方法应用于所述第一传输节点的情况下，对所述通信发起端进行真实性检查；其中，所述真实性检查包括以下一种或多种组合：基于访问控制的检查、基于验证码的检查、基于密码学的检查和基于令牌的检查。
根据权利要求3所述的通信防护方法，其中，在所述向通信接收端发送所述数据报文之后，还包括：

接收通信接收端返回的应答报文；其中，所述应答报文携带所述授权检验信息；

存储所述授权检验信息。
根据权利要求3所述的通信防护方法，其中，所述方法应用于第一传输节点或第二传输节点或通信接收端，所述对所述数据报文进行强验证，包括：

对所述数据报文携带的第一验证值进行验证；

为所述数据报文生成检验信息，并为所述数据报文添加所述检验信息；

所述对所述数据报文进行弱验证，包括：

对所述数据报文携带的授权检验信息进行验证。
根据权利要求7所述的通信防护方法，其中，所述对所述数据报文携带的第一验证值进行验证，包括：

在所述方法应用于所述第一传输节点的情况下，使用通信发起端的密钥和所述通信发起端的信息，对所述第一验证值进行第一验证；

在所述方法应用于所述第二传输节点的情况下，使用所述第一传输节点的密钥和所述通信发起端和/或所述第一传输节点的信息，对所述第一验证值进行第一验证，或者,使用所述通信发起端的密钥和所述通信发起端和/或所述第一传输节点的信息，对所述第一验证值进行第一验证；

在所述方法应用于所述通信接收端的情况下，使用所述第一传输节点的密钥和所述通信发起端和/或所述第一传输节点的信息，对所述第一验证值进行第一验证，或者,使用所述通信发起端的密钥和所述通信发起端和/或所述第一传输节点的信息，对所述第一验证值进行第一验证。
根据权利要求7所述的通信防护方法，其中，所述为所述数据报文生成检验信息，包括：

当所述方法应用于第二传输节点时，在所述数据报文携带首次出现的所述通信接收端的IP的情况下，根据第一传输节点的IP和所述通信接收端的IP生成所述检验信息；在所述数据报文携带首次出现的所述通信接收端的IP和首次出现的所述通信发起端的IP的情况下，根据所述通信发起端的IP和所述通信接收端的IP生成所述检验信息；

当所述方法应用于第一传输节点时，根据所述通信发起端的IP和通信接收端的IP生成检验信息；

当所述方法应用于所述通信接收端时，根据所述第一传输节点的IP和所述通信接收端的IP生成所述检验信息，或者，根据所述通信发起端的IP和所述通信接收端的IP生成所述检验信息。
根据权利要求7所述的通信防护方法，其中，所述对所述数据报文携带的授权检验信息进行验证，包括：

当所述方法应用于所述第二传输节点时，在所述数据报文携带非首次出现的通信接收端的IP的情况下，根据所述第一传输节点的IP和所述通信接收端的IP，对所述数据报文携带的授权检验信息进行验证；在所述数据报文携带非首次出现的通信接收端的IP和非首次出现的通信发起端的IP的情况下，根据所述通信发起端的IP和所述通信接收端的IP，对所述数据报文携带的授权检验信息进行验证；

当所述方法应用于所述第一传输节点时，根据所述通信发起端的IP和通信接收端的IP，对所述数据报文携带的授权检验信息进行验证；

当所述方法应用于所述通信接收端时，根据所述第一传输节点的IP和所述通信接收端的IP，对所述数据报文携带的授权检验信息进行验证，或者，根据所述通信发起端的IP和所述通信接收端的IP，对所述数据报文携带的授权检验信息进行验证。
根据权利要求7所述的通信防护方法，其中，在所述对所述数据报文进行强验证之后，还包括：

根据预设授权标准对所述检验信息进行筛选，得到所述授权检验信息，其中，所述授权检验信息随所述通信发起端的应答报文共同发送至所述通信发起端。
根据权利要求1所述的通信防护方法，其中，在所述数据报文为向所述通信接收端发送的非首个数据报文，且所述数据报文安全性差的情况下，所述数据报文为第一数据报文；在所述数据报文为向所述通信接收端发送的首个数据报文，且所述数据报文安全性强的情况下，所述数据报文为第二数据报文。
一种通信防护系统，包括：通信发起端、通信接收端、第一传输节点和至少一个第二传输节点；

所述第一传输节点设置为执行如权利要求3-6中任一项所述通信防护方法；

所述第二传输节点和所述通信接收端设置为执行如权利要求7-12中任一项所述的通信防护方法。
一种通信防护系统，包括：通信发起端、通信接收端和第一传输节点；

所述通信发起端设置为执行如权利要求3-6中任一项所述通信防护方法；

所述第一传输节点和所述通信接收端设置为执行如权利要求7-12中任一项所述的通信防护方法。
一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如权利要求1至12中任一项所述的通信防护方法。
一种计算机可读存储介质，存储有计算机程序，其中，所述计算机程序被处理器执行时实现权利要求1至12中任一项所述的通信防护方法。