加固软件部署方法、装置、电子设备及存储介质转让专利
申请号 : CN202110978283.7
文献号 : CN113438119B
文献日 : 2021-11-09
发明人 : 高晓飞 , 徐明娇 , 祁叶飞
申请人 : 北京信达环宇安全网络技术有限公司
摘要 :
权利要求 :
1.一种加固软件部署方法,其特征在于,包括:将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
其中,在全开状态下的设备按照如下策略收发数据:接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送数据,所述网络标记头包括网络角色和产品序列码。
2.根据权利要求1所述的方法,其特征在于,在将所述第三设备的网络标记状态设置为全开状态之后,所述方法还包括:如果网络中存在不能正常通信的目标设备,则将所述目标设备的网络标记状态修改为第二半开状态,以定位不能正常通信的原因;
如果在将所述目标设备的网络标记状态修改为第二半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为第一半开状态,以定位不能正常通信的原因;
如果在将所述目标设备的网络标记状态修改为第一半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为关闭状态,以定位不能正常通信的原因;
其中,在关闭状态下的设备按照如下策略收发数据:接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头;
在第一半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头;
在第二半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。
3.根据权利要求1所述的方法,其特征在于,在将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备之前,所述方法还包括:
将所有已安装加固软件的所述第一设备的网络标记状态均设置为关闭状态;
在将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备之后,所述方法还包括:如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络标记状态均修改为第一半开状态并通知网络中的各已安装加固软件的设备;
在将所有已安装加固软件的设备的网络标记状态均修改为第一半开状态后,如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络标记状态均修改为第二半开状态并通知网络中的各已安装加固软件的设备;
在将所有已安装加固软件的设备的网络标记状态均修改为第二半开状态后,如果网络中允许通信的设备之间正常通信,则将所有已安装加固软件的设备的网络标记状态均修改为全开状态并通知网络中的各已安装加固软件的设备;
其中,在关闭状态下的设备按照如下策略收发数据:接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头;
在第一半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头;
在第二半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。
4.根据权利要求3所述的方法,其特征在于,将所有已安装加固软件的所述第一设备的网络标记状态均设置为关闭状态之后,所述方法还包括:向网络中的各设备下发通信策略,所述通信策略下的设备之间按照如下方式通信:包含相同网络角色的且未被下发拒绝通信策略的设备之间正常通信;
已安装加固软件的设备与其可信IP列表中的可信IP所对应的未安装加固软件的设备之间正常通信。
5.根据权利要求1所述的方法,其特征在于,已安装加固软件的第一设备包括一个或多个网络角色。
6.根据权利要求1所述的方法,其特征在于,网络中的设备包括边界设备和终端设备。
7.一种加固软件部署装置,其特征在于,包括:第一下发单元,用于将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
第二下发单元,用于将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
设置单元,用于当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
其中,在全开状态下的设备按照如下策略收发数据:接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送数据,所述网络标记头包括网络角色和产品序列码。
8.根据权利要求7所述的加固软件部署装置,其特征在于,还包括:第一修改单元,用于将所述第三设备的网络标记状态设置为全开状态之后,如果网络中存在不能正常通信的目标设备,则将所述目标设备的网络标记状态修改为第二半开状态,以定位不能正常通信的原因;
第二修改单元,用于如果在将所述目标设备的网络标记状态修改为第二半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为第一半开状态,以定位不能正常通信的原因;
第三修改单元,用于如果在将所述目标设备的网络标记状态修改为第一半开状态后,未能定位出不能正常通信的原因,则将所述目标设备的网络标记状态修改为关闭状态,以定位不能正常通信的原因;
其中,在关闭状态下的设备按照如下策略收发数据:接收未携带网络标记头的数据,丢弃携带网络标记头的数据,发送数据时不携带网络标记头;
在第一半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,发送数据时不携带网络标记头;
在第二半开状态下的设备按照如下策略收发数据:接收携带网络标记头的数据和未携带网络标记头的数据,安装加固软件的设备发送数据时携带网络标记头,未安装加固软件的设备发送数据时不携带网络标记头。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序,实现以下流程:将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
其中,在全开状态下的设备按照如下策略收发数据:接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送数据,所述网络标记头包括网络角色和产品序列码。
10.一种计算机可读存储介质,其特征在于,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现以下流程:将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品序列码分别下发至网络中的各设备;
将未安装加固软件且可信的第二设备的可信IP下发至网络中的各设备,其中可信的第二设备为网络中允许与其他设备通信的设备;
当第三设备安装加固软件时,将所述第三设备的网络标记状态设置为全开状态,所述第三设备为所述第二设备中的其中一个或新接入到网络中的设备;
其中,在全开状态下的设备按照如下策略收发数据:接收已安装加固软件的各第一设备以及可信IP所对应的设备发送的数据,丢弃非可信IP所对应设备发送的数据,向已安装加固软件的第一设备发送数据时携带网络标记头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送数据,所述网络标记头包括网络角色和产品序列码。
说明书 :
加固软件部署方法、装置、电子设备及存储介质
技术领域
背景技术
求不高的商业用户来说,短暂的网络中断是可以接受的,但对于网络实时性要求高的系统
中,这种中断会造成严重的后果,是完全不能接受的。
发明内容
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
常通信的原因;
信的原因;
修改为第二半开状态并通知网络中的各已安装加固软件的设备;
修改为全开状态并通知网络中的各已安装加固软件的设备;
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
状态,以定位不能正常通信的原因;
状态,以定位不能正常通信的原因;
以定位不能正常通信的原因;
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
对应设备发送的数据是否携带网络标记头,均不会对已安装加固软件的设备和可信IP所对
应设备发送的数据进行丢弃,从而避免在加固软件部署过程中出现网络中断的问题。
统一调整网络标记状态,先将所有已安装加固软件的设备的网络标记状态修改为第一半开
状态,都修改后,如果各设备通信正常,再由安全管理中心全部调整为第二半开状态,都修
改后,如果各设备通信正常,再由安全管理中心全部调整为全开状态,至此,网络标记状态
修改完毕。由于关闭状态和第一半开状态之间能够正常通信,第一半开状态和第二半开状
态之间能够正常通信,第二半开状态和全开状态之间能够正常通信,所以在网络标记开启
的整个过程中都不会出现网络中断的问题。
附图说明
具体实施方式
装置、电子设备及存储介质可避免在加固软件部署过程中出现网络中断的问题。
界设备通信连接有多个可相互通信的终端设备,安全管理中心分别与两个边界设备以及各
终端设备通信连接,以便向网络中的设备下发相应的通信策略以及相关数据,所述终端设
备可以是已安装加固软件或未安装加固软件。
心可将网络中所有已安装加固软件的第一设备的IP地址、网络标记状态、网络角色和产品
序列码分别下发至网络中的各设备。
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
的第一设备发送数据时携带网络标记头,向可信IP所对应设备发送数据时不携带网络标记
头,禁止向非可信IP所对应设备发送数据。因此,无论已安装加固软件的设备和可信IP所对
应设备发送的数据是否携带网络标记头,均不会对已安装加固软件的设备和可信IP所对应
设备发送的数据进行丢弃,从而避免了在加固软件部署过程中出现网络中断的问题。
S303。
管理中心可将该不能正常通信的目标设备的网络标记状态修改为第二半开状态,以便用户
来定位不能正常通信的原因,如果定位出不能正常通信的原因,则结束整个流程,否则执行
步骤S302。
正常通信的原因。
一半开状态,以便用户来定位不能正常通信的原因,如果定位出不能正常通信的原因,则结
束整个流程,否则执行步骤S303。
通信的原因。
闭状态,以便用户来定位不能正常通信的原因。
信的原因时,再将目标设备的网络标记状态修改为第一半开状态以定位不能正常通信的原
因,在第一半开状态下未能定位出不能正常通信的原因时,最后将目标设备的网络标记状
态修改为关闭状态以定位不能正常通信的原因时。由于在第二半开状态和第一半开状态
下,不会对接收到的数据进行丢弃,因此在第二半开状态和第一半开状态下定位不能正常
通信的原因不会出现网络中断的情形,因而在定位不能正常通信的原因时,能够优先在确
保不出现网络中断的前提下进行定位,确保网络稳定,从而能够尽可能减少网络中断的情
形出现。
装完加固软件后,安全管理中心可将已安装加固软件的所有第一设备的网络标记状态均设
置为关闭状态。
式通信:
设备之间正常通信,则可以由安全管理中心将所有已安装加固软件的设备的网络标记状态
均修改为第一半开状态并通知网络中的各已安装加固软件的设备。
标记状态均修改为第二半开状态并通知网络中的各已安装加固软件的设备。
标记状态均修改为全开状态并通知网络中的各已安装加固软件的设备。
整网络标记状态,先将所有已安装加固软件的设备的网络标记状态修改为第一半开状态,
都修改后,如果各设备通信正常,再由安全管理中心全部调整为第二半开状态,都修改后,
如果各设备通信正常,再由安全管理中心全部调整为全开状态,至此,网络标记状态修改完
毕。由于关闭状态和第一半开状态之间能够正常通信,第一半开状态和第二半开状态之间
能够正常通信,第二半开状态和全开状态之间能够正常通信,所以在网络标记开启的整个
过程中都不会出现网络中断的问题。
包含内存,例如高速随机存取存储器(Random‑Access Memory,RAM),也可能还包括非易失
性存储器(non‑volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包
括其他业务所需要的硬件。
Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard
Architecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总
线等。为便于表示,图3中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的
总线。
作:
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指
令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,
CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal
Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现
场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分
立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请一个或多个实施例中
的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任
何常规的处理器等。结合本申请一个或多个实施例所公开的方法的步骤可以直接体现为硬
件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块
可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、
寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,
结合其硬件完成上述方法的步骤。
辑单元,也可以是硬件或逻辑器件。
设备执行时,能够使该便携式电子设备执行图2所示实施例的方法,并具体用于执行以下操
作:
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
头,向可信IP所对应设备发送数据时不携带网络标记头,禁止向非可信IP所对应设备发送
数据,所述网络标记头包括网络角色和产品序列码。
状态,以定位不能正常通信的原因;
状态,以定位不能正常通信的原因;
以定位不能正常通信的原因;
保护范围之内。
以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放
器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何
设备的组合。
计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动
态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除
可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD‑ROM)、
数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备
或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算
机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的
部分说明即可。