一种传输安全任务数据的方法及系统转让专利
申请号 : CN201110452648.9
文献号 : CN102447706B
文献日 : 2016-12-21
发明人 : 陶成 , 项春雷 , 燕晓龙
申请人 : 北京奇安信科技有限公司
摘要 :
本发明公开了一种传输安全任务数据的方法及系统,应用于企业安全产品,所述企业安全产品包括管理控制中心及客户端,在管理控制中心没有产生针对某客户端的安全任务的情况下,管理控制中心与该客户端之间无连接,其中,所述方法包括:管理控制中心产生新的安全任务时,通过面向无连接的协议向相应的客户端发送通知消息;客户端在接收到通知消息后,建立与管理控制中心之间的连接;所述管理控制中心通过所述连接将所述安全任务对应的数据发送到所述客户端。通过本发明,能够使得客户端能够及时地获取到管理控制中心产生的安全任务,同时又不会造成对系统资源的浪费。
权利要求 :
1.一种传输安全任务数据的方法,应用于企业安全产品,所述企业安全产品包括管理控制中心及客户端,其特征在于,在管理控制中心没有产生针对某客户端的安全任务的情况下,管理控制中心与该客户端之间无面向无连接,且也无其他连接方式,所述方法包括:管理控制中心产生新的安全任务时,通过面向无连接的协议向相应的客户端发送通知消息,其中,管理控制中心和客户端位于企业内网中;
客户端在接收到通知消息后,建立与管理控制中心之间的连接;
所述管理控制中心通过所述连接将所述安全任务对应的数据发送到所述客户端。
2.根据权利要求1所述的方法,其特征在于,还包括:在所述安全任务对应的数据发送完毕之后,断开所述与管理控制中心之间的连接。
3.根据权利要求1所述的方法,其特征在于,所述通过面向无连接的协议向相应的客户端发送通知消息包括:通过用户数据包协议UDP向相应的客户端发送通知消息。
4.根据权利要求1所述的方法,其特征在于,所述建立与管理控制中心之间的连接包括:建立与管理控制中心之间的传输控制协议TCP连接。
5.一种传输安全任务数据的系统,应用于企业安全产品,所述企业安全产品包括管理控制中心及客户端,其特征在于,在管理控制中心没有产生针对某客户端的安全任务的情况下,管理控制中心与该客户端之间无面向无连接,且也无其他连接方式,所述系统包括:通知单元,位于管理控制中心,用于产生新的安全任务时,通过面向无连接的协议向相应的客户端发送通知消息,其中,管理控制中心和客户端位于企业内网中;
连接建立单元,位于客户端,用于在接收到通知消息后,建立与管理控制中心之间的连接;
数据传输单元,位于管理控制中心,用于通过所述连接将所述安全任务对应的数据发送到所述客户端。
6.根据权利要求5所述的系统,其特征在于,还包括:连接断开单元,用于在所述安全任务对应的数据发送完毕之后,断开所述与管理控制中心之间的连接。
7.根据权利要求5所述的系统,其特征在于,所述通知单元包括:UDP通知子单元,用于通过用户数据包协议UDP向相应的客户端发送通知消息。
8.根据权利要求5所述的系统,其特征在于,所述连接建立单元包括:TCP连接建立子单元,用于建立与管理控制中心之间的传输控制协议TCP连接。
说明书 :
一种传输安全任务数据的方法及系统
技术领域
[0001] 本发明涉及计算机安全技术领域,特别是涉及一种传输安全任务数据的方法及系统。
背景技术
[0002] 传统的企业网络环境中,企业终端电脑上堆积着各类不同的安全桌面产品,如反病毒软件等,这些软件产品通常来自不同厂商,无法统一管理,并且占用大量的系统资源,大大影响企业的工作效率。为解决该问题,企业安全产品也就应运而生了。企业安全产品通常由管理控制中心及安全产品客户端两部分(管理控制中心部署在网管等IT人员的机器上,客户端安装在各个员工的PC机上)组成,其中,管理控制中心为企业集中管理内网电脑搭建了一个全能平台,在统一的平台上满足了广大企业对于集中杀毒、体检、打补丁等迫切需求。
[0003] 在使用企业安全产品进行安全管理的过程中,经常会涉及到管理控制中心向客户端分配安全任务的情况,比如,管理控制中心要求客户端进行全盘扫描,并进行扫描结果的上报,等等。
[0004] 现有技术中,为了能够将管理控制中心产生的安全任务发送到客户端,一种方式是需要客户端与管理控制中心之间保持长的TCP(Transmission Control Protocol,传输控制协议)连接。也即,在客户端与管理控制中心之间一直保持着连接,不管有没有数据需要传输;这样可以保证管理控制中心在产生针对客户端的安全任务时,能够及时到达客户端,但是,这会造成对系统资源的极大浪费,在连接保持期间,即使没有数据包发送,也需要双方发检测包以维持此连接。
[0005] 现有技术中的另一种实现方式,建立客户端与管理控制中心之间的短连接,也即,客户端每隔一定的时间与管理控制中心建立一次连接,连接建立完成之后,如果有数据需要发送,就在发送完毕之后将连接断开,如果没有数据发送,则直接将连接断开,然后再隔一段时间之后再建立连接,重复上述过程。但是管理控制中心产生安全任务的间隔不一定与建立连接的间隔完全匹配,甚至多数情况下是不匹配的,因此,如果管理控制中心产生安全任务的间隔,大于建立连接的间隔,那么仍然会造成对系统资源的浪费;而如果产生安全任务的间隔小于建立连接的间隔,或者,恰好在某次连接断开之后产生了某安全任务,那么直到下次建立连接时,客户端才能接收到该安全任务,因此,会造成时间上的延迟,使得管理控制中心分配的安全任务无法得打及时地处理。
[0006] 因此,迫切需要本领域技术人员解决的技术问题就在于,如何使得客户端能够及时地获取到管理控制中心产生的安全任务,同时又不会造成对系统资源的浪费。
发明内容
[0007] 本发明提供了一种传输安全任务数据的方法及系统,能够使得客户端能够及时地获取到管理控制中心产生的安全任务,同时又不会造成对系统资源的浪费。
[0008] 本发明提供了如下方案:
[0009] 一种传输安全任务数据的方法,应用于企业安全产品,所述企业安全产品包括管理控制中心及客户端,在管理控制中心没有产生针对某客户端的安全任务的情况下,管理控制中心与该客户端之间无连接,所述方法包括:
[0010] 管理控制中心产生新的安全任务时,通过面向无连接的协议向相应的客户端发送通知消息;
[0011] 客户端在接收到通知消息后,建立与管理控制中心之间的连接;
[0012] 所述管理控制中心通过所述连接将所述安全任务对应的数据发送到所述客户端。
[0013] 其中,还包括:
[0014] 在所述安全任务对应的数据发送完毕之后,断开所述与管理控制中心之间的连接。
[0015] 其中,所述通过面向无连接的协议向相应的客户端发送通知消息包括:
[0016] 通过用户数据包协议UDP向相应的客户端发送通知消息。
[0017] 其中,所述建立与管理控制中心之间的连接包括:
[0018] 建立与管理控制中心之间的传输控制协议TCP连接。
[0019] 一种传输安全任务数据的系统,应用于企业安全产品,所述企业安全产品包括管理控制中心及客户端,在管理控制中心没有产生针对某客户端的安全任务的情况下,管理控制中心与该客户端之间无连接,所述系统包括:
[0020] 通知单元,位于管理控制中心,用于产生新的安全任务时,通过面向无连接的协议向相应的客户端发送通知消息;
[0021] 连接建立单元,位于客户端,用于在接收到通知消息后,建立与管理控制中心之间的连接;
[0022] 数据传输单元,位于管理控制中心,用于通过所述连接将所述安全任务对应的数据发送到所述客户端。
[0023] 其中,还包括:
[0024] 连接断开单元,用于在所述安全任务对应的数据发送完毕之后,断开所述与管理控制中心之间的连接。
[0025] 其中,所述通知单元包括:
[0026] UDP通知子单元,用于通过用户数据包协议UDP向相应的客户端发送通知消息。
[0027] 其中,所述连接建立单元包括:
[0028] TCP连接建立子单元,用于建立与管理控制中心之间的传输控制协议TCP连接。
[0029] 根据本发明提供的具体实施例,本发明公开了以下技术效果:
[0030] 通过本发明,在管理控制中心没有产生针对某客户端的安全任务的情况下,管理控制中心与该客户端之间无连接,在管理控制中心产生新的安全任务时,可以首先通过面向无连接的协议向客户端发送通知消息,这样,客户端就可以在接到通知消息之后,再建立与管理控制中心之间的连接,然后,管理控制中心就可以通过该连接将安全任务对应的数据内容发送到对应的客户端。可见在本发明中,不需要保持客户端与管理控制中心之间的长连接,就可以使得管理控制中心产生的新安全任务及时地到达客户端;同时,只有当产生新的安全任务时,才会建立客户端与管理控制中心之间的连接,因此,也不至于造成对系统资源的浪费。此外,就企业安全产品而言,管理控制中心下发给客户端的任务一般都是与安全相关的任务,一般需要及时地下发,及时予以处理,以免终端系统由于存在的安全性问题而造成严重的后果;而在本发明实施例中,由于安全任务下发的及时性得到了保证,因此,可以使得整个企业网的安全性得到更好的保障。
附图说明
[0031] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0032] 图1是本发明实施例提供的方法的流程图;
[0033] 图2是本发明实施例提供的系统的示意图。
具体实施方式
[0034] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0035] 在本发明实施例中,为了达到使得客户端能够及时地获取到管理控制中心产生的安全任务,同时又不会造成对系统资源的浪费的目的,试图采用以下方式实现:在管理控制中心没有新安全任务产生时,不必建立并保持客户端与管理控制中心之间的连接,也不必每个一段时间建立一次连接进行尝试,而是只有当管理控制中心产生新的安全任务时,才会建立起客户端与管理控制中心之间的连接,以便通过该连接进行安全任务数据的传输。
[0036] 然而在实际应用中,如果要建立客户端与管理控制中心之间的连接,通常是需要由客户端发起建立的,这是因为:一方面,如果要由管理控制中心发送建立连接的过程,则需要在客户端开放专门的监听端口,这样会造成客户端不安全,存在被利用的可能,因此,不适合由管理控制中心发起;另一方面,如果客户端与管理控制中心之间需要经过路由中转,那么客户端可以直接连接管理控制中心,而管理控制中心却无法直接连接客户端,这与公网的机器无法直接连接内网的机器,而内网机器可以直接连接公网的机器是类似的道理。因此,在本发明实施例中,需要采取由客户端发起建立连接的方式。
[0037] 但是,在本发明实施例中,需要达到的效果时,只有产生新的安全任务时,客户端才会去建立与管理控制中心的连接,然而安全任务是在管理控制中心产生的,因此,还需要使得客户端能够知悉管理控制中心产生了新的安全任务这一事件。也就是说,管理控制中心在产生了一个新的安全任务之后,需要通知给客户端,这就需要向客户端发送通知消息。
[0038] 当然,通知消息在进行发送时,其实也是一种数据包,虽然可能比较小,但也仍然需要通过传输层的协议进行发送。然而,在本发明实施例中,客户端执行建立连接的操作之前,客户端与管理控制中心之间是不存在连接的,因此,管理控制中心在向客户端发送通知消息时,需要采用面向无连接的传输协议来进行传输。所谓面向无连接的协议,就是指,在使用这种协议进行数据的传输时,不需要建立连接即可完成数据的传输,由于传输数据不建立连接,因此也就不需要维护连接状态,包括收发状态等,进而,一台服务机可以同时向多个客户机传输相同的消息。现有技术中存在这样的协议,例如UDP(User Datagram Protocol,用户数据包协议)等等。也就是说,采用这样的协议,即使不存在客户端与管理控制中心之间的连接,也同样可以将通知消息发送到客户端,并且不需要维护连接状态。
[0039] 综上可见,在本发明实施例中,当管理控制中心产生新的安全任务时,就可以首先通过面向无连接的协议,向客户端发送通知消息,这样,当客户端接收到通知消息之后,就可以知悉管理控制中心产生了新的消息,然后就可以建立与管理控制中心之间的连接,之后,管理控制中心就可以将新产生的安全任务对应的数据通过该连接发送给客户端了。
[0040] 具体的,参见图1,本发明实施例提供的传输安全任务数据的方法包括以下步骤:
[0041] S101:管理控制中心产生新的安全任务时,通过面向无连接的协议向相应的客户端发送通知消息;
[0042] 具体实现时,该面向无连接的协议可以是UDP,当然也可以是其他类似的协议。需要说明的是,这种面向无连接的协议通常用于提供面向事务的简单不可靠信息传送服务,也就是说,这种协议仅负责传送,但是并不关心接收方是否接收到,另外,这种协议支持的数据包通常比较小,不提供数据包分组、组装,也不能对数据包进行排序等等。也正是由此,在本发明是实施例中,管理控制中心在产生新的安全任务时,并不是直接通过面向无连接的协议将安全任务对应的数据发送给客户端,因此安全任务对应的数据包可能会比较大,并且对可靠性的要求比较高。
[0043] 另外需要说明的是,面向无连接的协议在传输数据时其实也是需要有一定的传输通道的,例如,UDP协议就是使用端口号为不同的应用保留其各自的数据传输通道。因此,管理控制中心在向客户端发送通知消息时,其实是向客户端的端口进行发送的,当然,管理控制中心在此之前是知道各个客户端的端口号的,这是因为,各个客户端是知道管理控制中心的IP及端口号的,并且,在系统启动时,客户端会将自己的IP及端口号上报给管理控制中心,管理控制中心会进行保存。因此,在本发明实施例中,当管理控制中心产生需要某客户端执行的安全任务时,就可以首先找到该客户端的端口号,然后通过面向无连接的协议向该客户端的端口号发送通知消息即可。
[0044] S102:客户端在接收到通知消息后,建立与管理控制中心之间的连接;
[0045] 客户端在接收到通知消息之后,就可以知悉管理控制中心产生了针对该客户端的新安全任务,因此就可以首先建立起与管理控制中心之间的连接。具体实现时,可以连接可以是TCP连接,当然也可以是其他类似的协议。其中,无论使用何种协议,都是按照协议的规范进行建立的。例如,如果是建立TCP连接,则客户端首先发出一个SYN消息(是一个用于建立连接的握手消息),管理控制中心可以使用SYN-ACK应答表示接收到了这个消息,最后客户端再以ACK消息响应,这样就在客户端和管理控制中心之间才能建立起可靠的TCP连接,数据就可以在客户端和管理控制中心之间进行传递了。当然,客户端在建立与管理控制中心之间的连接时,其实仍然是在已知管理控制中心的IP地址及端口号的情况下进行的。
[0046] S103:所述管理控制中心通过所述连接将所述安全任务对应的数据发送到所述客户端。
[0047] 在连接建立起来之后,管理控制中心就可以将产生的安全任务数据通过该连接发送给客户端了。具体在进行发送时,采用的传输协议会自动完成数据的发送。并且这种面向连接的传输协议一般是可靠的,例如,TCP协议就会通过多种机制来保证传输的可靠性:例如,应用数据被分割成TCP认为最适合发送的数据块,并且,当TCP发出一个段后,它启动一个定时器,等待目的端确认收到这个报文段。如果不能及时收到一个确认,将重发这个报文段。当TCP收到发自TCP连接另一端的数据,它将发送一个确认。另外,TCP还将保持它首部和数据的检验和,这是一个端到端的检验和,目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错,TCP将丢弃这个报文段和不确认收到此报文段(希望发端超时并重发),等等。
[0048] 当然,在完成安全任务数据的传输之后,就可以断开该连接,下次再产生新的安全任务时,再重新建立连接。其中,在断开连接时,同样可以采用协议中的规范来进行。例如,如果是建立的TCP连接,则可以由客户端首先发出一个FIN消息(是一个用于关闭连接的握手消息),管理控制中心可以使用ACK应答表示接收到了这个消息,等到连接终止之后,管理控制中心再向客户端发送FIN消息,最后客户端再以ACK消息响应,这样就在客户端和管理控制中心之间的TCP连接就断开了。
[0049] 总之,在管理控制中心产生新的安全任务时,可以首先通过面向无连接的协议向客户端发送通知消息,这样,客户端就可以在接到通知消息之后,再建立与管理控制中心之间的连接,然后,管理控制中心就可以通过该连接将安全任务对应的数据内容发送到对应的客户端。可见在本发明中,不需要保持客户端与管理控制中心之间的长连接,就可以使得管理控制中心产生的新安全任务及时地到达客户端;同时,只有当产生新的安全任务时,才会建立客户端与管理控制中心之间的连接,因此,也不至于造成对系统资源的浪费。此外,就企业安全产品而言,管理控制中心下发给客户端的任务一般都是与安全相关的任务,一般需要及时地下发,及时予以处理,以免终端系统由于存在的安全性问题而造成严重的后果;而在本发明实施例中,由于安全任务下发的及时性得到了保证,因此,可以使得整个企业网的安全性得到更好的保障。
[0050] 与本发明实施例提供的传输安全任务数据的方法相对应,本发明实施例还提供了一种传输安全任务数据的系统,其中,在管理控制中心没有产生针对某客户端的安全任务的情况下,管理控制中心与该客户端之间无连接,参见图2,该系统可以包括:
[0051] 通知单元201,位于管理控制中心,用于产生新的安全任务时,通过面向无连接的协议向相应的客户端发送通知消息;
[0052] 连接建立单元202,位于客户端,用于在接收到通知消息后,建立与管理控制中心之间的连接;
[0053] 数据传输单元203,位于管理控制中心,用于通过所述连接将所述安全任务对应的数据发送到所述客户端。
[0054] 在实际应用中,该系统还可以包括:
[0055] 连接断开单元,用于在所述安全任务对应的数据发送完毕之后,断开所述与管理控制中心之间的连接。当然,该连接断开单元可以位于客户端。
[0056] 具体实现时,通知单元201可以包括:
[0057] UDP通知子单元,用于通过用户数据包协议UDP向相应的客户端发送通知消息。
[0058] 连接建立单元202可以包括:
[0059] TCP连接建立子单元,用于建立与管理控制中心之间的传输控制协议TCP连接。
[0060] 总之,通过本发明实施例提供的安全任务数据传输系统,在管理控制中心产生新的安全任务时,可以首先通过面向无连接的协议向客户端发送通知消息,这样,客户端就可以在接到通知消息之后,再建立与管理控制中心之间的连接,然后,管理控制中心就可以通过该连接将安全任务对应的数据内容发送到对应的客户端。可见在本发明中,不需要保持客户端与管理控制中心之间的长连接,就可以使得管理控制中心产生的新安全任务及时地到达客户端;同时,只有当产生新的安全任务时,才会建立客户端与管理控制中心之间的连接,因此,也不至于造成对系统资源的浪费。此外,就企业安全产品而言,管理控制中心下发给客户端的任务一般都是与安全相关的任务,一般需要及时地下发,及时予以处理,以免终端系统由于存在的安全性问题而造成严重的后果;而在本发明实施例中,由于安全任务下发的及时性得到了保证,因此,可以使得整个企业网的安全性得到更好的保障。
[0061] 通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0062] 本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0063] 以上对本发明所提供的一种传输安全任务数据的方法及系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。