最新中国发明专利
/
2021-11-09

加固软件部署方法、装置、电子设备及存储介质转让专利

申请号 : CN202110978283.7

文献号 : CN113438119B

文献日 :

基本信息:

PDF:

法律信息:

相似专利:

发明人 : 高晓飞徐明娇祁叶飞

申请人 : 北京信达环宇安全网络技术有限公司

摘要 :

本申请提供了一种加固软件部署方法、装置、电子设备及存储介质,涉及网络安全技术领域。该方法包括将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备;当第三设备安装加固软件时,将第三设备的网络标记状态设置为全开状态,第三设备为第二设备中的其中一个或新接入到网络中的设备。本申请提供的方法、装置、电子设备及存储介质可避免加固软件部署过程中造成的网络中断。

权利要求 :

1.一种加固软件部署方法,其特征在于,包括:将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;

将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;

当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;

其中,在全开状态下的设备按照如下策略收发数据:接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送数据,所述网络标记头包括网络角色和产品序列码。

2.根据权利要求1所述的方法,其特征在于,在将所述第三设备的网络标记状态设置为全开状态之后,所述方法还包括:如果网络中存在不能正常通信的目标设备,则将所述目标设备的网络标记状态修改为第二半开状态,以定位不能正常通信的原因;

如果在将所述目标设备的网络标记状态修改为第二半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为第一半开状态,以定位不能正常通信的原因;

如果在将所述目标设备的网络标记状态修改为第一半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为关闭状态,以定位不能正常通信的原因;

其中,在关闭状态下的设备按照如下策略收发数据:接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头;

在第一半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头;

在第二半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。

3.根据权利要求1所述的方法,其特征在于,在将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备之前,所述方法还包括:

将所有已安装加固软件的所述第一设备的网络标记状态均设置为关闭状态;

在将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备之后,所述方法还包括:如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络标记状态均修改为第一半开状态并通知网络中的各已安装加固软件的设备;

在将所有已安装加固软件的设备的网络标记状态均修改为第一半开状态后,如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络标记状态均修改为第二半开状态并通知网络中的各已安装加固软件的设备;

在将所有已安装加固软件的设备的网络标记状态均修改为第二半开状态后,如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络标记状态均修改为全开状态并通知网络中的各已安装加固软件的设备;

其中,在关闭状态下的设备按照如下策略收发数据:接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头;

在第一半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头;

在第二半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。

4.根据权利要求3所述的方法,其特征在于,将所有已安装加固软件的所述第一设备的网络标记状态均设置为关闭状态之后,所述方法还包括:向网络中的各设备下发通信策略,所述通信策略下的设备之间按照如下方式通信:包含相同网络角色的且未被下发拒绝通信策略的设备之间正常通信;

已安装加固软件的设备与其可信IP列表中的可信IP所对应的未安装加固软件的设备之间正常通信。

5.根据权利要求1所述的方法,其特征在于,已安装加固软件的第一设备包括一个或多个网络角色。

6.根据权利要求1所述的方法,其特征在于,网络中的设备包括边界设备和终端设备。

7.一种加固软件部署装置,其特征在于,包括:第一下发单元,用于将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;

第二下发单元,用于将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;

设置单元,用于当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;

其中,在全开状态下的设备按照如下策略收发数据:接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送数据,所述网络标记头包括网络角色和产品序列码。

8.根据权利要求7所述的加固软件部署装置,其特征在于,还包括:第一修改单元,用于将所述第三设备的网络标记状态设置为全开状态之后,如果网络中存在不能正常通信的目标设备,则将所述目标设备的网络标记状态修改为第二半开状态,以定位不能正常通信的原因;

第二修改单元,用于如果在将所述目标设备的网络标记状态修改为第二半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为第一半开状态,以定位不能正常通信的原因;

第三修改单元,用于如果在将所述目标设备的网络标记状态修改为第一半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为关闭状态,以定位不能正常通信的原因;

其中,在关闭状态下的设备按照如下策略收发数据:接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头;

在第一半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头;

在第二半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。

9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过总线完成相互间的通信;

存储器,用于存放计算机程序;

处理器,用于执行存储器上所存放的程序,实现以下流程:将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;

将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;

当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;

其中,在全开状态下的设备按照如下策略收发数据:接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送数据,所述网络标记头包括网络角色和产品序列码。

10.一种计算机可读存储介质,其特征在于,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现以下流程:将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;

将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;

当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;

其中,在全开状态下的设备按照如下策略收发数据:接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送数据,所述网络标记头包括网络角色和产品序列码。

说明书 :

加固软件部署方法、装置、电子设备及存储介质

技术领域

[0001] 本申请涉及网络安全技术领域,尤其涉及一种加固软件部署方法、装置、电子设备及存储介质。

背景技术

[0002] 随着网络的迅速发展,网络间通信日益复杂,通信安全就显得格外重要,部署包含通信加密功能的加固软件是解决网络通信安全的一种重要手段。
[0003] 当需要在通信双方的设备上部署通信加密软件时,部署是逐台进行的,一方部署好,另一方未部署好的情况下,会造成网络通信中断。对于个人用户或者是对网络实时性要
求不高的商业用户来说,短暂的网络中断是可以接受的,但对于网络实时性要求高的系统
中,这种中断会造成严重的后果,是完全不能接受的。
[0004] 因此,如何提供一种有效的方案以避免在加固软件部署过程中,由于部署间隙而造成网络中断的问题,已成为现有技术中一亟待解决的问题。

发明内容

[0005] 第一方面,本申请实施例提供了一种加固软件部署方法,包括:
[0006] 将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
[0007] 将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
[0008] 当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
[0009] 其中,在全开状态下的设备按照如下策略收发数据:
[0010] 接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
[0011] 在一个可能的设计中,在将所述第三设备的网络标记状态设置为全开状态之后,所述方法还包括:
[0012] 如果网络中存在不能正常通信的目标设备,则将所述目标设备的网络标记状态修改为第二半开状态,以定位不能正常通信的原因;
[0013] 如果在将所述目标设备的网络标记状态修改为第二半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为第一半开状态,以定位不能正
常通信的原因;
[0014] 如果在将所述目标设备的网络标记状态修改为第一半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为关闭状态,以定位不能正常通
信的原因;
[0015] 其中,在关闭状态下的设备按照如下策略收发数据:
[0016] 接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头;
[0017] 在第一半开状态下的设备按照如下策略收发数据:
[0018] 接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头;
[0019] 在第二半开状态下的设备按照如下策略收发数据:
[0020] 接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。
[0021] 在一个可能的设计中,在将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备之前,所述方法还包括:
[0022] 将所有已安装加固软件的所述第一设备的网络标记状态均设置为关闭状态;
[0023] 在将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备之后,所述方法还包括:
[0024] 如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络标记状态均修改为第一半开状态并通知网络中的各已安装加固软件的设备;
[0025] 在将所有已安装加固软件的设备的网络标记状态均修改为第一半开状态后,如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络标记状态均
修改为第二半开状态并通知网络中的各已安装加固软件的设备;
[0026] 在将所有已安装加固软件的设备的网络标记状态均修改为第二半开状态后,如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络标记状态均
修改为全开状态并通知网络中的各已安装加固软件的设备;
[0027] 其中,在关闭状态下的设备按照如下策略收发数据:
[0028] 接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头;
[0029] 在第一半开状态下的设备按照如下策略收发数据:
[0030] 接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头;
[0031] 在第二半开状态下的设备按照如下策略收发数据:
[0032] 接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。
[0033] 在一个可能的设计中,将所有已安装加固软件的所述第一设备的网络标记状态均设置为关闭状态之后,所述方法还包括:
[0034] 向网络中的各设备下发通信策略,所述通信策略下的设备之间按照如下方式通信:
[0035] 包含相同网络角色的且未被下发拒绝通信策略的设备之间正常通信;
[0036] 已安装加固软件的设备与其可信IP列表中的可信IP所对应的未安装加固软件的设备之间正常通信。
[0037] 在一个可能的设计中,已安装加固软件的第一设备包括一个或多个网络角色。
[0038] 在一个可能的设计中,网络中的设备包括边界设备和终端设备。
[0039] 第二方面,本申请实施例提供了一种加固软件部署装置,包括:
[0040] 第一下发单元,用于将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
[0041] 第二下发单元,用于将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
[0042] 设置单元,用于当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
[0043] 其中,在全开状态下的设备按照如下策略收发数据:
[0044] 接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
[0045] 在一个可能的设计中,加固软件部署装置还包括:
[0046] 第一修改单元,用于将所述第三设备的网络标记状态设置为全开状态之后,如果网络中存在不能正常通信的目标设备,则将所述目标设备的网络标记状态修改为第二半开
状态,以定位不能正常通信的原因;
[0047] 第二修改单元,用于如果在将所述目标设备的网络标记状态修改为第二半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为第一半开
状态,以定位不能正常通信的原因;
[0048] 第三修改单元,用于如果在将所述目标设备的网络标记状态修改为第一半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为关闭状态,
以定位不能正常通信的原因;
[0049] 其中,在关闭状态下的设备按照如下策略收发数据:
[0050] 接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头;
[0051] 在第一半开状态下的设备按照如下策略收发数据:
[0052] 接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头;
[0053] 在第二半开状态下的设备按照如下策略收发数据:
[0054] 接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。
[0055] 第三方面,本申请实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过总线完成相互间的通信;
[0056] 存储器,用于存放计算机程序;
[0057] 处理器,用于执行存储器上所存放的程序,实现以下流程:
[0058] 将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
[0059] 将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
[0060] 当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
[0061] 其中,在全开状态下的设备按照如下策略收发数据:
[0062] 接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
[0063] 第四方面,本申请实施例提供了计算机可读存储介质,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现以下流程:
[0064] 将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
[0065] 将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
[0066] 当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
[0067] 其中,在全开状态下的设备按照如下策略收发数据:
[0068] 接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
[0069] 本申请一个或多个实施例采用的上述至少一个技术方案能够达到以下有益效果:
[0070] 由于未安装加固软件的第二设备或新接入到网络中的设备在安装加固软件时,先将其网络标记状态设置为全开状态,在全开状态下无论已安装加固软件的设备和可信IP所
对应设备发送的数据是否携带网络标记头,均不会对已安装加固软件的设备和可信IP所对
应设备发送的数据进行丢弃,从而避免在加固软件部署过程中出现网络中断的问题。
[0071] 进一步的,全新部署加固软件的网络环境,网络中各设备安装加固软件后,网络标记默认状态为关闭状态。待所有需要安装加固软件的设备都安装完成后,由安全管理中心
统一调整网络标记状态,先将所有已安装加固软件的设备的网络标记状态修改为第一半开
状态,都修改后,如果各设备通信正常,再由安全管理中心全部调整为第二半开状态,都修
改后,如果各设备通信正常,再由安全管理中心全部调整为全开状态,至此,网络标记状态
修改完毕。由于关闭状态和第一半开状态之间能够正常通信,第一半开状态和第二半开状
态之间能够正常通信,第二半开状态和全开状态之间能够正常通信,所以在网络标记开启
的整个过程中都不会出现网络中断的问题。

附图说明

[0072] 此处所说明的附图用来提供对本文件的进一步理解,构成本文件的一部分,本文件的示意性实施例及其说明用于解释本文件,并不构成对本文件的不当限定。在附图中:
[0073] 图1为本申请一个实施例提供的加固软件部署方法、装置、电子设备及存储介质的应用环境示意图。
[0074] 图2为本申请一个实施例提供的加固软件部署方法的流程图。
[0075] 图3为本申请一个实施例提供的电子设备的结构示意图。
[0076] 图4为本申请一个实施例提供的加固软件部署装置的结构示意图。

具体实施方式

[0077] 为了避免在加固软件部署过程中,由于部署间隙而造成网络中断的问题,本申请实施例提供了一种加固软件部署方法、装置、电子设备及存储介质,该加固软件部署方法、
装置、电子设备及存储介质可避免在加固软件部署过程中出现网络中断的问题。
[0078] 首先,为了更直观地理解本申请实施例提供的方案,下面结合图1,对本申请实施例提供的加固软件部署方案的系统架构进行说明。
[0079] 如图1所示,是本申请一个或多个实施例提供的加固软件部署方法、装置、电子设备及存储介质的应用环境示意图。如图1所示,两个边界设备之间通过网络通信连接,各边
界设备通信连接有多个可相互通信的终端设备,安全管理中心分别与两个边界设备以及各
终端设备通信连接,以便向网络中的设备下发相应的通信策略以及相关数据,所述终端设
备可以是已安装加固软件或未安装加固软件。
[0080] 下面将对本申请实施例提供的加固软件部署方法进行详细说明。
[0081] 本申请实施例提供的加固软件部署方法可应用于安全管理中心。为便于描述,除特别说明外,本申请实施例均以安全管理中心为执行主体进行说明。
[0082] 可以理解,所述执行主体并不构成对本申请实施例的限定。
[0083] 如图2所示,本申请实施例提供的加固软件部署方法可以包括如下步骤:
[0084] 步骤S201,将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备。
[0085] 本申请实施例中,将网络中已安装加固软件的边界设备和终端设备称之为第一设备。在对网络中的未安装加固软件或新接入网络中的设备安装加固软件之前,安全管理中
心可将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品
序列码分别下发至网络中的各设备。
[0086] 其中,网络角色可根据需要进行设定,同一设备(边界设备或终端设备)可包括一个或多个网络角色,不同设备可指定相同或不同的网络角色。
[0087] 网络标记状态包括有全开状态、第二半开状态、第一半开状态和关闭状态。
[0088] 其中,在全开状态下的设备按照如下策略收发数据:
[0089] 接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
[0090] 可信IP为网络中允许与其他设备通信的设备的IP地址,非可信IP为网络中不允许与其他设备通信的设备的IP地址。
[0091] 在关闭状态下的设备按照如下策略收发数据:
[0092] 接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头。
[0093] 在第一半开状态下的设备按照如下策略收发数据:
[0094] 接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头。
[0095] 在第二半开状态下的设备按照如下策略收发数据:
[0096] 接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。
[0097] 步骤S202,将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备。
[0098] 其中,可信的第二设备为网络中允许与其他设备通信的设备。
[0099] 步骤S203,当第三设备安装加固软件时,将第三设备的网络标记状态设置为全开状态。
[0100] 其中,第三设备为第二设备中的其中一个或新接入到网络中的设备。
[0101] 由于网络标记状态为全开状态的设备,接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件
的第一设备发送数据时携带网络标记头,向可信IP所对应设备发送数据时不携带网络标记
头,禁止向非可信IP所对应设备发送数据。因此,无论已安装加固软件的设备和可信IP所对
应设备发送的数据是否携带网络标记头,均不会对已安装加固软件的设备和可信IP所对应
设备发送的数据进行丢弃,从而避免了在加固软件部署过程中出现网络中断的问题。
[0102] 进一步的,本申请实施例还提供了一种在部署加固软件后出现不能正常通信的设备的情形下,定义不能正常通信原因的可能设计一,其可以包括但不限于如下的步骤S301‑
S303。
[0103] 其中,不能正常通信是指在安装加固软件设备上运行的客户业务程序通信异常,不能正常的收发数据。
[0104] 步骤S301,如果网络中存在不能正常通信的目标设备,则将目标设备的网络标记状态修改为第二半开状态,以定位不能正常通信的原因。
[0105] 本申请实施例中,在将对网络中的设备部署加固软件并将第三设备的网络标记状态设置为全开状态后,如果网络中存在允许通信但不能正常通信的目标设备,则此时安全
管理中心可将该不能正常通信的目标设备的网络标记状态修改为第二半开状态,以便用户
来定位不能正常通信的原因,如果定位出不能正常通信的原因,则结束整个流程,否则执行
步骤S302。
[0106] 步骤S302,如果在将目标设备的网络标记状态修改为第二半开状态后,未能定位出不能正常通信的原因,则将目标设备的网络标记状态修改为第一半开状态,以定位不能
正常通信的原因。
[0107] 如果将目标设备的网络标记状态修改为第二半开状态后,未能定位出不能正常通信的原因,则此时安全管理中心可将该不能正常通信的目标设备的网络标记状态修改为第
一半开状态,以便用户来定位不能正常通信的原因,如果定位出不能正常通信的原因,则结
束整个流程,否则执行步骤S303。
[0108] 步骤S303,如果在将目标设备的网络标记状态修改为第一半开状态后,未能定位出不能正常通信的原因,则将目标设备的网络标记状态修改为关闭状态,以定位不能正常
通信的原因。
[0109] 如果将目标设备的网络标记状态修改为第一半开状态后,未能定位出不能正常通信的原因,则此时安全管理中心可将该不能正常通信的目标设备的网络标记状态修改为关
闭状态,以便用户来定位不能正常通信的原因。
[0110] 其中,在关闭状态下的设备会丢弃携带网络标记头的数据,因此将目标设备的网络标记状态修改为关闭状态,以定位不能正常通信的原因时,可能会出现网络中断的情形。
[0111] 当网络中存在不能正常通信的目标设备时,通过先将目标设备的网络标记状态修改为第二半开状态以定位不能正常通信的原因,在第二半开状态下未能定位出不能正常通
信的原因时,再将目标设备的网络标记状态修改为第一半开状态以定位不能正常通信的原
因,在第一半开状态下未能定位出不能正常通信的原因时,最后将目标设备的网络标记状
态修改为关闭状态以定位不能正常通信的原因时。由于在第二半开状态和第一半开状态
下,不会对接收到的数据进行丢弃,因此在第二半开状态和第一半开状态下定位不能正常
通信的原因不会出现网络中断的情形,因而在定位不能正常通信的原因时,能够优先在确
保不出现网络中断的前提下进行定位,确保网络稳定,从而能够尽可能减少网络中断的情
形出现。
[0112] 进一步的,本申请实施例还提供了一种在新部署网络时,避免出现网络中断的可能设计二,其可以包括但不限于如下的步骤S401‑S404。
[0113] 步骤S401,将所有已安装加固软件的第一设备的网络标记状态均设置为关闭状态。
[0114] 具体的,在将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备之前,且需要安装加固软件的设备都已安
装完加固软件后,安全管理中心可将已安装加固软件的所有第一设备的网络标记状态均设
置为关闭状态。
[0115] 进一步的,本申请实施例中,需要安装加固软件的设备都已安装完加固软件后,安全管理中心还会向网络中的各设备下发通信策略,在该通信策略下的设备之间按照如下方
式通信:
[0116] 包含相同网络角色的且未被下发拒绝通信策略的设备之间正常通信,已安装加固软件的设备与其可信IP列表中的可信IP所对应的未安装加固软件的设备之间正常通信。
[0117] 步骤S402,如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络标记状态均修改为第一半开状态并通知网络中的各已安装加固软件的设备。
[0118] 本申请实施例中,在将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备之后,如果网络中允许通信的
设备之间正常通信,则可以由安全管理中心将所有已安装加固软件的设备的网络标记状态
均修改为第一半开状态并通知网络中的各已安装加固软件的设备。
[0119] 步骤S403,在将所有已安装加固软件的设备的网络标记状态均修改为第一半开状态后,如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络
标记状态均修改为第二半开状态并通知网络中的各已安装加固软件的设备。
[0120] 步骤S404,在将所有已安装加固软件的设备的网络标记状态均修改为第二半开状态后,如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络
标记状态均修改为全开状态并通知网络中的各已安装加固软件的设备。
[0121] 由于新部署加固软件的网络环境,网络中各设备安装加固软件后,网络标记默认状态为关闭状态。待所有需要安装加固软件的设备都安装完成后,由安全管理中心统一调
整网络标记状态,先将所有已安装加固软件的设备的网络标记状态修改为第一半开状态,
都修改后,如果各设备通信正常,再由安全管理中心全部调整为第二半开状态,都修改后,
如果各设备通信正常,再由安全管理中心全部调整为全开状态,至此,网络标记状态修改完
毕。由于关闭状态和第一半开状态之间能够正常通信,第一半开状态和第二半开状态之间
能够正常通信,第二半开状态和全开状态之间能够正常通信,所以在网络标记开启的整个
过程中都不会出现网络中断的问题。
[0122] 图3是本申请的一个实施例提供的电子设备的结构示意图。请参考图3,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能
包含内存,例如高速随机存取存储器(Random‑Access Memory,RAM),也可能还包括非易失
性存储器(non‑volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包
括其他业务所需要的硬件。
[0123] 处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(Peripheral 
Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard 
Architecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总
线等。为便于表示,图3中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的
总线。
[0124] 存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
[0125] 处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成加固软件部署装置。处理器,执行存储器所存放的程序,并具体用于执行以下操
作:
[0126] 将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
[0127] 将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
[0128] 当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
[0129] 其中,在全开状态下的设备按照如下策略收发数据:
[0130] 接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
[0131] 上述如本申请图3所示实施例揭示的加固软件部署装置执行的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实
现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指
令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,
CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal 
Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现
场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分
立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请一个或多个实施例中
的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任
何常规的处理器等。结合本申请一个或多个实施例所公开的方法的步骤可以直接体现为硬
件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块
可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、
寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,
结合其硬件完成上述方法的步骤。
[0132] 该电子设备还可执行图2的方法,并实现加固软件部署装置在图3所示实施例的功能,本申请实施例在此不再赘述。
[0133] 当然,除了软件实现方式之外,本申请的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻
辑单元,也可以是硬件或逻辑器件。
[0134] 本申请实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的便携式电子
设备执行时,能够使该便携式电子设备执行图2所示实施例的方法,并具体用于执行以下操
作:
[0135] 将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
[0136] 将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
[0137] 当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
[0138] 其中,在全开状态下的设备按照如下策略收发数据:
[0139] 接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
[0140] 图4是本申请的一个实施例提供的加固软件部署装置的结构示意图。请参阅图4,在一种软件实施方式中,加固软件部署装置包括:
[0141] 第一下发单元,用于将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
[0142] 第二下发单元,用于将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
[0143] 设置单元,用于当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
[0144] 其中,在全开状态下的设备按照如下策略收发数据:
[0145] 接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
[0146] 在一个可能的设计中,加固软件部署装置还包括:
[0147] 第一修改单元,用于将所述第三设备的网络标记状态设置为全开状态之后,如果网络中存在不能正常通信的目标设备,则将所述目标设备的网络标记状态修改为第二半开
状态,以定位不能正常通信的原因;
[0148] 第二修改单元,用于如果在将所述目标设备的网络标记状态修改为第二半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为第一半开
状态,以定位不能正常通信的原因;
[0149] 第三修改单元,用于如果在将所述目标设备的网络标记状态修改为第一半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为关闭状态,
以定位不能正常通信的原因;
[0150] 其中,在关闭状态下的设备按照如下策略收发数据:
[0151] 接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头;
[0152] 在第一半开状态下的设备按照如下策略收发数据:
[0153] 接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头;
[0154] 在第二半开状态下的设备按照如下策略收发数据:
[0155] 接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。
[0156] 总之,以上所述仅为本文件的较佳实施例而已,并非用于限定本文件的保护范围。凡在本文件的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本文件的
保护范围之内。
[0157] 上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可
以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放
器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何
设备的组合。
[0158] 计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。
计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动
态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除
可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD‑ROM)、
数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备
或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算
机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
[0159] 本文件中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施
例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的
部分说明即可。