处理报文的方法及装置的制造方法

处理报文的方法及装置的制造方法
【专利摘要】本申请提供一种处理报文的方法及装置，所述方法包括：在发送数据报文时，获取与所述数据报文对应的会话的信号标记；若所述信号标记表示所述会话对应的终端认证状态发生变更，则向安全联动设备发送与所述会话对应的状态通知报文，所述状态通知报文用于将所述终端认证状态通知至所述安全联动设备，以使得所述安全联动设备根据所述终端认证状态处理所述会话的数据报文。应用本申请实施例可以使得安全联动设备在NAT架构中仍然能够识别发送报文的终端安全性。
【专利说明】
处理报文的方法及装置
技术领域
[0001] 本申请设及网络通信技术领域，尤其设及处理报文的方法及装置。
【背景技术】
[0002] 随着网络技术的发展，终端的安全可靠问题日益突出，比如，有的终端不安装杀毒 软件、不升级病毒库、滥用软件等。当终端自身存在安全问题时，一旦该终端接入企业网络， 将会影响到企业网络的正常使用。因此，相关技术中，为了保证企业网络中的相关服务器的 安全，可W通过与安全联动设备进行配合，对尝试接入企业网络的终端进行安全检测，在保 证终端安全的基础上，再对终端发送的报文进行转发处理，如果终端本身并不安全，则安全 联动设备可W直接丢弃其发送的报文，W及时切断企业网络与有安全隐患的终端之间的连 接。可W用是否通过认证表示终端是否安全，比如，通过认证的终端为安全终端。
[0003] 现有技术中，安全联动设备对于接收到的报文，可W通过该报文的源IP地址识别 出该报文是哪个终端发送的，继而根据该终端的认证状态，确定是否继续处理该报文，比如 根据预设的安全策略确定如何转发该报文。但是，如今NAT (Network Address 化ansIation，网络地址转换)技术已经普遍应用在企业网络的组网方式中，不同终端向企 业相关服务器发送的报文在经过MT地址转换后将具有相同的源IP地址，那么，安全联动设 备将无法通过报文的源IP地址识别出该报文是哪个终端所发送的，也无法确定发送该报文 的终端是否是安全终端，从而无法获知如何处理该报文。若采取在报文中添加终端标识字 段的方式辅助安全联动设备识别终端，不仅处理过程较为繁琐，而且该字段将有可能影响 安全联动设备对报文的识别，导致错误地处理报文，对企业网络的安全造成威胁。

【发明内容】

[0004] 有鉴于此，本申请提供一种处理报文的方法及装置，目的是使得安全联动设备在 MT架构中仍然能够识别发送报文的终端安全性。
[0005] 具体地，本申请是通过如下技术方案实现的：
[0006] 根据本申请实施例的第一方面，提供处理报文的方法，可W包括：
[0007] 在发送数据报文时，获取与所述数据报文对应的会话的信号标记；
[000引若所述信号标记表示所述会话对应的终端认证状态发生变更，则向安全联动设备 发送与所述会话对应的状态通知报文，所述状态通知报文用于将所述终端认证状态通知至 所述安全联动设备，W使得所述安全联动设备根据所述终端认证状态处理所述会话的数据 报文。
[0009] 在一实施例中，所述获取与所述数据报文对应的会话的信号标记，包括：
[0010] 获取对应终端的全局信号标记，所述全局信号标记用于表示所述终端对应的会话 中是否有会话的终端认证状态发生变更；
[0011] 若所述全局信号标记表示存在终端认证状态发生变更的会话，则继续获取与所述 数据报文对应的会话的信号标记。
[0012] 在一实施例中，所述方法还包括：
[0013] 当所有会话对应的信号标记均表示终端认证状态未发生变更时，将所述全局信号 标记变更为第一标记值，所述第一标记值表示不存在终端认证状态发生变更的会话；
[0014] 当所述终端认证状态发生变更时，将所述全局信号标记变更为第二标记值，所述 第二标记值表示存在终端认证状态发生变更的会话。
[0015] 在一实施例中，所述向安全联动设备发送与所述会话对应的状态通知报文，包括：
[0016] 构造与所述会话对应的状态通知报文，并向安全联动设备发送所述状态通知报 文，所述状态通知报文携带终端认证状态标记与信号报文标记，所述终端认证状态标记用 于表示终端是否通过认证，所述信号报文标记用于使安全联动设备根据所述信号报文标记 识别接收到的状态通知报文。
[0017] 在一实施例中，所述向安全联动设备发送与所述会话对应的状态通知报文，包括：
[0018] 若变更后的终端认证状态为通过认证状态，则复制所述数据报文，并向安全联动 设备发送所述复制的数据报文。
[0019] 在一实施例中，所述若所述信号标记表示所述会话对应的终端认证状态发生变 更，则向安全联动设备发送与所述会话对应的状态通知报文，包括：
[0020] 当所述信号标记表示终端认证状态发生变更时，且所述信号标记的值为N，则向安 全联动设备发送脚欠与所述会话对应的状态通知报文，N为不小于1的自然数；
[0021] 每向安全联动设备发送一次所述会话对应的状态通知报文，将所述会话对应的信 号标记值减1，直至为0。
[0022] 根据本申请实施例的第二方面，提供处理报文的方法，可W包括：
[0023] 在接收到终端发送的状态通知报文时，根据所述状态通知报文记录所述状态通知 报文所在会话对应的终端认证状态；
[0024] 根据所述终端认证状态，处理终端发送的所述会话的数据报文。
[0025] 根据本申请实施例的第=方面，提供处理报文的装置，可W包括：
[0026] 获取单元，用于在发送数据报文时，获取与所述数据报文对应的会话的信号标记；
[0027] 发送单元，用于在所述信号标记表示所述会话对应的终端认证状态发生变更时， 向安全联动设备发送与所述会话对应的状态通知报文，所述状态通知报文用于将所述终端 认证状态通知至所述安全联动设备，W使得所述安全联动设备根据所述终端认证状态处理 所述会话的数据报文。
[00%]在一实施例中，所述获取单元包括：
[0029] 第一获取子单元，用于获取对应终端的全局信号标记，所述全局信号标记用于表 示所述终端对应的会话中是否有会话的终端认证状态发生变更；
[0030] 第二获取子单元，用于在所述全局信号标记表示存在终端认证状态发生变更的会 话时，继续获取与所述数据报文对应的会话的信号标记。
[0031] 在一实施例中，所述装置还包括：
[0032] 变更标记单元，用于当所有会话对应的信号标记均表示终端认证状态未发生变更 时，将所述全局信号标记变更为第一标记值，所述第一标记值表示不存在终端认证状态发 生变更的会话；
[0033] 当所述终端认证状态发生变更时，将所述全局信号标记变更为第二标记值，所述 第二标记值表示存在终端认证状态发生变更的会话。
[0034] 在一实施例中，所述发送单元包括：
[0035] 构造发送子单元，用于构造与所述会话对应的状态通知报文，并向安全联动设备 发送所述状态通知报文，所述状态通知报文携带终端认证状态标记与信号报文标记，所述 终端认证状态标记用于表示终端是否通过认证，所述信号报文标记用于使安全联动设备根 据所述信号报文标记识别接收到的状态通知报文。
[0036] 在一实施例中，所述发送单元包括：
[0037] 复制发送子单元，用于在变更后的终端认证状态为通过认证状态时，复制所述数 据报文，并向安全联动设备发送所述复制的数据报文。
[0038] 在一实施例中，所述发送单元包括：
[0039] 发送子单元，用于当所述信号标记表示终端认证状态发生变更时，且所述信号标 记的值为N，则向安全联动设备发送N次与所述会话对应的状态通知报文，N为不小于1的自 然数；
[0040] 更新子单元，用于每向安全联动设备发送一次所述会话对应的状态通知报文，将 所述会话对应的信号标记值减1，直至为0。
[0041] 根据本申请实施例的第四方面，提供处理报文的方法，可W包括：
[0042] 记录单元，用于在接收到终端发送的状态通知报文时，根据所述状态通知报文记 录所述状态通知报文所在会话对应的终端认证状态；
[0043] 处理单元，用于根据所述终端认证状态，处理终端发送的所述会话的数据报文。
[0044] 本实施例处理报文的方法，通过发送状态通知报文，将终端的各个会话对应的终 端认证状态通知给安全联动设备，使得安全联动设备可W根据终端认证状态处理各个会话 的数据报文。运种方式的应用，使得在NAT架构中，即使不同终端的IP地址经过NAT转换后地 址相同，但是不同终端的不同会话，在经过NAT地址后的会话信息，比如IP地址和端口号是 不同的，安全联动设备通过记录会话信息，并记录各个会话对应的终端认证状态，实际上也 实现了对不同终端的会话识别的效果，并且通过记录会话的终端认证状态识别了不同终端 对应的认证状态，从而使得在MT架构中仍然能够识别发送报文的终端安全性，避免不安全 的终端接入企业网，对企业网的安全造成威胁。
[0045] 此外，本实施例在通知状态时是采用状态通知报文，该报文是独立于终端发送的 数据报文之外的报文，使用状态通知报文执行对安全联动设备的状态通知，既能达到通知 终端状态的目的，而且还不会对原有数据报文进行改动和影响，实施方便，效果更好，避免 了修改原数据报文可能造成的错误。
【附图说明】
[0046] 图1示出了一种本申请实施例实现处理报文的方法的应用场景示意图。
[0047] 图2是根据一示例性实施例示出的处理报文的方法的一个实施例流程图。
[0048] 图3是根据一示例性实施例示出的处理报文的方法的另一个实施例流程图。
[0049] 图4示出了另一种本申请实施例实现处理报文的方法的架构图。
[0050] 图5A是根据一示例性实施例示出的处理报文的方法的另一个实施例流程图。
[0051] 图5B示出了本申请实施例中一种状态通知报文的结构图。
[0052] 图6为本申请处理报文的装置所在设备的一种硬件结构图。
[0053] 图7为本申请处理报文的装置的一个实施例框图。
[0054] 图8为本申请处理报文的装置的另一个实施例框图。
[0055] 图9为本申请处理报文的装置的另一个实施例框图。
[0056] 图10为本申请处理报文的装置的另一个实施例框图。
【具体实施方式】
[0057] 运里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述设及 附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。W下示例性实施例 中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附 权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0058] 在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多数 形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语"和/或"是指并包 含一个或多个相关联的列出项目的任何或所有可能组合。
[0059] 应当理解，尽管在本申请可能采用术语第一、第二、第=等来描述各种信息，但运 些信息不应限于运些术语。运些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离 本申请范围的情况下，第一信息也可W被称为第二信息，类似地，第二信息也可W被称为第 一信息。取决于语境，如在此所使用的词语"如果"可W被解释成为"在…...时"或"当…... 时"或"响应于确定"。
[0060] NAT架构是当前企业网络中普遍应用的一种组网方式，参见图1的示例，该图1示出 了一种本申请实施例实现处理报文的方法的应用场景示意图，该应用场景中应用了 NAT架 构。其中，终端11和终端12均位于私网Intranet中，并分别与NAT设备13连接，企业服务器15 位于企业网中，安全联动设备14位于私网In化anet与企业网之间。当终端11或终端12向企 业服务器15发送报文时，该报文传输至MT设备14,由NAT设备14将该报文的源IP地址进行 转换，之后，该报文将传输至安全联动设备14,安全联动设备14可W通过执行本申请实施例 中处理报文的方法，对该报文进行识别，W确定发送该报文的终端的安全性，根据识别结果 处理该报文，W避免未通过认证的不安全终端接入企业网，对企业网的安全造成威胁。
[0061] 可W理解的是，图1中的终端11和终端12仅W电脑为例进行说明，实际应用中的终 端可W是平板电脑、手机等其它具备网络资源访问功能的终端。
[0062] W图1中所示的应用场景为例，其中的终端11或终端12可W执行图2所示的流程， 该图2是根据一示例性实施例示出的处理报文的方法的一个实施例流程图，可W包括：
[0063] 步骤S201:在发送数据报文时，获取与数据报文对应的会话的信号标记。
[0064] 步骤S202:若所述信号标记表示所述会话对应的终端认证状态发生变更，则向安 全联动设备发送与所述会话对应的状态通知报文，所述状态通知报文用于将所述终端认证 状态通知至所述安全联动设备，W使得所述安全联动设备根据所述终端认证状态处理所述 会话的数据报文。
[0065] W图1中所示的应用场景为例，其中的安全联动设备14可W执行图3所示的流程， 该图3是根据一示例性实施例示出的处理报文的方法的另一个实施例流程图，可W包括：
[0066] 步骤S301:在接收到终端发送的状态通知报文时，根据所述状态通知报文记录所 述状态通知报文所在会话对应的终端认证状态。
[0067] 步骤S302:根据所述终端认证状态，处理终端发送的会话的数据报文。
[0068] 如下的图4,示出了一种本申请实施例实现处理报文的方法的架构图，该图4W图！ 所示的应用场景图为基础，W终端11和安全联动设备14执行本申请处理报文的方法为例， 该图4中包括终端11和安全联动设备14,终端11上保存有所有会话的会话标记与对应的信 号标记，安全联动设备14上保存有会话标记与对应的终端认证状态，关于终端11和安全联 动设备14上所保存的信息的详细说明可参见下述描述，在此先不做详述。
[0069] 为了更详细地说明本申请如何实现处理报文的方法，结合图4所示的架构图，对图 2和图3所示的流程进行详细描述。
[0070] 本申请实施例中，终端可W获取自己的认证状态，例如，终端11上可W预先设置了 终端认证状态标记，通过该标记来表示终端认证状态，终端认证状态可W包括未通过认证 和通过认证，通过认证的终端是安全终端。该终端认证状态标记可W存储在内存的固定位 置上，例如，占用两个字节内存。终端认证状态标记例如可W是"00"或者"11"，"00"表示终 端未通过认证，"11"表示终端通过认证，当然具体实施中并不局限于该表示方式。
[0071] 终端11上可W存在多个会话，即会话的数量可W不止一个。在本申请的例子中，上 面描述的终端认证状态标记可W是一个全局的认证状态标记，即所有会话对应的终端认证 状态可W是一致的，比如，当终端通过认证时，所有会话对应的终端认证状态标记都是 "11"，后续安全联动设备获取到终端通过认证时，可W认为该终端的所有会话的数据报文 都是安全的；当终端未通过认证时，所有会话的终端认证状态标记都是"00"，后续安全联动 设备获取到终端未通过认证时，可W认为该终端的所有会话的数据报文都是不安全的，从 而直接丢弃。
[0072] 终端11还可W保存会话状态标记映射表，参见下面表1的示例，该表1为会话状态 标记映射表的一种示例。该会话状态标记映射表包括了终端11上所有会话的会话标记，该 会话标记可W唯一的表示一个会话;每个会话均对应一个信号标记，该信号标记用于表示 会话对应的终端认证状态是否发生变更，例如，终端认证状态从未通过认证变更为通过认 证。例如，会话标记可W包括源IP地址、源端口号、目的IP地址、目的端口号，通过运些信息 唯一表示一个会话;该信号标记可W取值为0或1，并预先设定，当信号标记的值为加寸，表示 会话对应的终端认证状态未发生变更，当信号标记的值为1时，表示会话对应的终端认证状 态发生变更。
[0073] 表 1 「00741
LUU/0」 yuj：巧1，母下管巧乂了拉的情亏杯化刃U助i，W wyu r巧脾：例^4,3巧铜的认 证状态发生变化时，比如，由未通过认证变更为通过认证，或者由通过认证变更为未通过认 证，那么上述表1中该终端所有会话对应的信号标记都要变更为"1"，即表示所有会话的终 端认证状态都发生变化，那么，每个会话都可W重新通知一次安全联动设备该终端的最新 认证状态；当会话向安全联动设备通知认证状态后，该会话的信号标记再变更为"0"。又例 如，假设该终端增加了一个新的会话，那么该新会话对应的信号标记可W设置为"1"，即表 示可W通知安全联动设备去记录该新会话对应的终端认证状态（当然，与其他会话对应的 终端认证状态是相同的），而其他已通知过认证状态的会话的信号标记仍然为"0"，因为已 经将终端认证状态通知过安全联动设备了，不用再次通知了。
[0076] 具体的，可W参见步骤S201，当终端11发送数据报文时，可W获取与该数据报文对 应会话的信号标记。例如，可W根据该数据报文中携带的源IP地址、源端口号、目的IP地址、 目的端口号查找上述表1所示例的会话状态标记映射表，确定与该数据报文对应的会话的 会话标记，继而获取该会话标记对应的信号标记。例如，该数据报文中携带的源IP地址、源 端口号、目的IP地址、目的端口号分别为10.0.1.1、12、30.0.0.2、80，根据该4项数据查找上 表1，可W获取该数据报文对应的会话的信号标记为1。
[0077] 如果会话的信号标记表示所述会话对应的终端认证状态发生变更，例如上述例子 所述的，会话10.0.1.1:12-〉30.0.0.2:80对应的信号标记是1，表示该会话的终端认证状态 发生了变更，例如，该会话可能是新建的会话，且当前终端认证状态为通过认证。则在步骤 S202中，终端11向安全联动设备14发送与所述会话对应的状态通知报文，所述状态通知报 文用于将所述变更后的最新终端认证状态通知至所述安全联动设备14, W使得所述安全联 动设备14根据所述终端认证状态处理所述会话的数据报文。比如，可W将会话10.0.1.1: 12-〉30.0.0.2:80对应的终端认证状态通知给安全联动设备14，使得该安全联动设备根据 该终端认证状态处理后续会话10.0.1.1:12-〉30.0.0.2:80中的数据报文。
[0078] 安全联动设备14在接收到终端11发送的状态通知报文时，将根据所述状态通知报 文记录所述状态通知报文所在会话对应的终端认证状态。本申请实施例中，安全联动设备 14中可W保存会话状态控制表，该会话状态控制表包括会话标记与终端认证状态的对应关 系。即，安全联动设备14可W记录终端上的所有会话对应的终端认证状态。
[0079] 参见下表2的示例，该表2为会话状态控制表的一种示例：
[0080] 表 2
[0081]
[0082] 如上表2，例如，可W用％0"表示终端已经通过认证，在表2中示例了某一个终端上 的两个会话，运两个会话对应的终端认证状态可W是相同的，比如，终端已经通过认证。在 其他的场景中，如果终端的认证状态是未通过认证，那么在表2中可W用"1 r表示。
[0083] 在步骤S302中，安全联动设备14在记录终端认证状态后，可W根据各个会话的终 端认证状态，处理终端发送的所述会话的数据报文。
[0084] 例如，假设安全联动设备14接收到了一个数据报文，安全联动设备14可W根据数 据报文的源IP地址、源端口号、目的IP地址、目的端口号等信息，查找上述表2,得到该数据 报文对应的会话，并且可W通过表2得到该会话对应的终端认证状态。
[0085] 比如，如果表2中，数据报文所在会话的终端认证状态为表示终端已通过认证时， 该终端为安全终端，安全联动设备14可W根据自身保存的安全策略继续转发该会话的数据 报文；当终端认证状态为未通过认证时，该终端为不安全终端，安全联动设备14可W将该会 话的数据报文阻断，从而避免该不安全的终端对企业网络的安全造成威胁。
[0086] 本实施例处理报文的方法，通过发送状态通知报文，将终端的各个会话对应的终 端认证状态通知给安全联动设备，使得安全联动设备可W根据终端认证状态处理各个会话 的数据报文。运种方式的应用，使得在NAT架构中，即使不同终端的IP地址经过NAT转换后地 址相同，但是不同终端的不同会话，在经过NAT地址后的会话信息，比如IP地址和端口号是 不同的，安全联动设备通过记录会话信息，并记录各个会话对应的终端认证状态，实际上也 实现了对不同终端的会话识别的效果，并且通过记录会话的终端认证状态识别了不同终端 对应的认证状态，从而使得在MT架构中仍然能够识别发送报文的终端安全性，避免不安全 的终端接入企业网，对企业网的安全造成威胁。
[0087] 此外，本实施例在通知状态时是采用状态通知报文，该报文是独立于终端发送的 数据报文之外的报文，使用状态通知报文执行对安全联动设备的状态通知，既能达到通知 终端状态的目的，而且还不会对原有数据报文进行改动和影响，实施方便，效果更好，避免 了修改原数据报文可能造成的错误。
[0088] 在上述图2和图3所示的处理报文的基础上，为了更高效地确认终端认证状态是否 发生变更，还可W设置全局信号标记，用于表示终端的所有会话中是否有会话的终端认证 状态发生变更。如下的图5A，是根据一示例性实施例示出的处理报文的方法的另一个实施 例流程图，可W包括：
[0089] 步骤S501:终端在发送数据报文时，获取对应的全局信号标记。
[0090] 本实施例中，终端可W设置有全局信号标记，用于表示终端的所有会话中是否有 会话的终端认证状态发生变更。例如，该全局信号标记是"0"或者"r，"0"表示不存在终端 认证状态发生变更的会话，"r表示存在终端认证状态发生变更的会话。W上述表1所示的 会话状态标记映射表为例，表1中存在信号标记为1的会话，即存在终端认证状态发生变更 的会话，那么，此时全局信号标记为"r;若会话状态标记映射表中所有的信号标记均为0， 即表示所有会话的终端认证状态未发生变更，则全局信号标记为"0"。
[0091] 根据上述描述，本实施例中，可W根据会话状态标记映射表中信号标记的值维护 全局信号标记。例如，当会话状态标记映射表中的所有信号标记均变更为0时，可W将全局 信号标记变更为0，该"0"可W称为第一标记值，用于表示该终端的所有会话中不存在终端 认证状态发生变更的会话。又例如，当终端认证状态发生变更时（例如，终端认证状态从未 通过认证变更为通过认证），根据上述描述，该终端上所有会话的信号标记也将变更为1，从 而，可W将全局信号标记也变更为1，该"r可W称为第二标记值。再例如，当终端上产生新 的会话时，该新会话的信号标记为1，则可W将全局信号标记再变更为1。从而，通过维护全 局信号标记，使得全局信号标记准确地表示是否存在终端认证状态发生变化的会话。
[0092] 步骤S502:若所述全局信号标记表示存在终端认证状态发生变更的会话，则终端 继续获取与所述数据报文对应的会话的信号标记。
[0093] 当通过全局信号标记确定存在终端认证状态发生变更的会话时，终端11可W进一 步确认该数据报文对应的会话的终端认证状态是否发生变更，即继续获取与该数据报文对 应的会话的信号标记，本步骤中，如何获取该信号标记可W参见上述实施例步骤S201中的 相关描述，在此不再详细寶述。
[0094]此外，本实施例中，当通过全局信号标记确定不存在终端认证状态发生变更的会 话时，则终端11可W直接确定该数据报文对应的会话的终端认证状态未发生变更，则可W 不用再执行获取该数据报文对应的会话的信号标记过程，从而加快了确认数据报文对应的 会话的终端认证状态是否发生变更的速度。
[00M]步骤S503:若所述信号标记表示所述会话对应的终端认证状态发生变更，则终端 构造与所述会话对应的状态通知报文，并向安全联动设备发送所述状态通知报文。
[0096] 由上述实施例所述，当信号标记表示该会话对应的终端认证状态发生了变更时， 终端向安全联动设备发送与该会话对应的状态通知报文，用于将变更后的最新终端认证状 态通知至安全联动设备。
[0097] 在实施例一个可选的实现方式中，终端可W构造一个状态通知报文，该状态通知 报文携带信号报文标记和终端认证状态标记，其中，信号报文标记用W表示该报文为状态 通知报文，使得安全联动设备在接收到报文时可W根据该信号报文标记识别出所接收到的 为状态通知报文。例如，如下的图5B所示，示出了本申请实施例中一种状态通知报文的结构 图。
[0098] 图5B所示的状态通知报文的格式基于UDP报文格式，信号报文标记和终端认证状 态标记位于该状态通知报文的数据字段中。
[0099] 此外，由上面实施例所述，当会话的信号标记为1时，终端可W向安全联动设备发 送一次会话的状态通知报文后，可W在会话状态标记映射表中，将该会话的信号标记变更 为0,用W表示不用再次发送该会话的状态通知报文了。若由于某些异常情况，该状态通知 报文未到达安全联动设备，那么，安全联动设备接收不到状态通知报文，则无法记录该会话 对应的终端认证状态。为了尽量避免运种情况的发生，减小状态通知报文未正常到达安全 联动设备的几率，可W多次发送状态通知报文。具体地，可W设置信号标记为加寸，表示终端 认证状态未变更，而信号标记不为0时，表示终端认证状态发生变更，例如，当终端上新产生 会话时，该新会话的信号标记为N(N为大于1的自然数），当发送一次该新会话的状态通知报 文后，将信号标记减1，若此时信号标记仍不为0，则再发送一次该新会话的状态通知报文， 直至该信号标记为0。例如，N为5,那么，按照上述描述，终端共可W发送5次该新会话的状态 通知报文。
[0100] 步骤S504:安全联动设备在接收到终端发送的状态通知报文时，根据所述状态通 知报文记录所述状态通知报文所在会话对应的终端认证状态。
[0101 ]安全联动设备在接收到该状态通知报文时，记录会话的终端认证状态的执行过程 可W参见上述实施例中的相关描述，在此不再详细寶述。
[0102] 步骤S505:安全联动设备根据所述终端认证状态，处理终端发送的所述会话的数 据报文。
[0103] 本步骤的描述可W参见上述步骤S301和步骤S302的相关描述，在此不再寶述。
[0104] 此外，在本申请实施例中，状态通知报文可W采用上述例子中构造一个包含终端 认证状态的报文，还可W是其他方式，比如，当执行完步骤S502,通过获取到的信号标记确 定终端认证状态发生变更时，继续确认变更后的终端认证状态是否为通过认证，若是，则可 W将待发送的数据报文进行复制，将复制的数据报文与原数据报文一并发送至安全联动设 备，或在预设的时间间隔内先后发送至安全联动设备。运种情况下，复制的数据报文就相当 于状态通知报文。
[0105] 若该状态通知报文为复制的数据报文，则安全联动设备同时，或者在预设的时间 间隔内，比如1秒内，接收到两个相同的数据报文，即状态通知报文和原数据报文时，则可W 认为该数据报文对应的会话的终端认证状态为通过认证，则安全联动设备可W根据自身保 存的安全策略继续转发该数据报文;若在同一时间，或者预设的时间间隔内，只接收到一个 数据报文，则可W认为该数据报文对应的会话的终端认证状态为未通过认证，则安全联动 设备可W丢弃该数据报文。
[0106] 本实施例处理报文的方法，通过全局信号标记可W加快确定会话的终端认证状态 是否发生变更的速度，在确定会话的终端认证状态发生变更后，还可W通过信号标记的值 控制终端多次向安全联动设备发送状态通知报文，由于多次发送状态通知报文，使得安全 联动设备因异常情况无法接收到状态通知报文的几率减小，从而使得安全联动设备可W根 据接收到的状态通知报文记录会话的终端认证状态，根据该终端认证状态处理各个会话的 数据报文。运种方式的应用，使得在NAT架构中，仍然能够识别发送报文的终端安全性，避免 不安全的终端接入企业网，对企业网的安全造成威胁。
[0107] 此外，本实施例在通知状态时采用的状态通知报文可W是终端新构造的报文，也 可W是终端复制的数据报文，不论该状态通知报文采用上述何种方式，该报文都是独立于 终端发送的数据报文之外的报文，使用状态通知报文执行对安全联动设备的状态通知，既 能达到通知终端状态的目的，而且还不会对原有数据报文进行改动和影响，实施方便，效果 更好，避免了修改原数据报文可能造成的错误。
[0108] 与前述处理报文的方法的实施例相对应，本申请还提供了处理报文的装置的实施 例。
[0109] 本申请处理报文的装置的实施例可W分别应用在终端和安全联动设备上，也可W 应用在其他设备上，本申请对此不做限制。装置实施例可W通过软件实现，也可W通过硬件 或者软硬件结合的方式实现。W软件实现为例，作为一个逻辑意义上的装置，是通过其所在 设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬 件层面而言，如图6所示，为本申请处理报文的装置所在设备的一种硬件结构图，除了图6所 示的处理器61、内存63、网络接口 62、W及非易失性存储器64之外，实施例中装置所在的设 备通常根据该设备的实际功能，还可W包括其他硬件，对此不再寶述。
[0110] 请参考图7,为本申请处理报文的装置的一个实施例框图，可W包括:获取单元71、 发送单元72。
[0111] 其中，获取单元71，可W用于在发送数据报文时，获取与所述数据报文对应的会话 的信号标记；
[0112] 发送单元72,可W用于在所述信号标记表示所述会话对应的终端认证状态发生变 更时，向安全联动设备发送与所述会话对应的状态通知报文，所述状态通知报文用于将所 述终端认证状态通知至所述安全联动设备，W使得所述安全联动设备根据所述终端认证状 态处理所述会话的数据报文。
[0113] 请参考图8,为本申请处理报文的装置的另一个实施例框图，如图8所示，在上述图 7所示的处理报文的装置的基础上，所述获取单元71可W包括:第一获取子单元711、第二获 取子单元712。
[0114] 其中，所述第一获取子单元711，可W用于获取对应终端的全局信号标记，所述全 局信号标记用于表示所述终端对应的会话中是否有会话的终端认证状态发生变更；
[0115] 所述第二获取子单元712,可W用于在所述全局信号标记表示存在终端认证状态 发生变更的会话时，继续获取与所述数据报文对应的会话的信号标记。
[0116] 所述装置还可W包括:变更标记单元73。
[0117] 所述变更标记单元73,可W用于当所有会话对应的信号标记均表示终端认证状态 未发生变更时，将所述全局信号标记变更为第一标记值，所述第一标记值表示不存在终端 认证状态发生变更的会话；
[0118] 当所述终端认证状态发生变更时，将所述全局信号标记变更为第二标记值，所述 第二标记值表示存在终端认证状态发生变更的会话。
[0119] 所述发送单元72可W包括:构造发送子单元721、发送子单元722、更新子单元723。
[0120] 其中，所述构造发送子单元721，可W用于构造与所述会话对应的状态通知报文， 并向安全联动设备发送所述状态通知报文，所述状态通知报文携带终端认证状态标记与信 号报文标记，所述终端认证状态标记用于表示终端是否通过认证，所述信号报文标记用于 使安全联动设备根据所述信号报文标记识别接收到的状态通知报文。
[0121] 所述发送子单元722，可W用于当所述信号标记表示终端认证状态发生变更时，且 所述信号标记的值为N，则向安全联动设备发送N次与所述会话对应的状态通知报文，N为不 小于1的自然数；
[0122] 所述更新子单元723,可W用于每向安全联动设备发送一次所述会话对应的状态 通知报文，将所述会话对应的信号标记值减1，直至为0。
[0123] 请参考图9,为本申请处理报文的装置的另一个实施例框图，如图9所示，在上述图 7所示的处理报文的装置的基础上，与上述图8所示的处理报文的装置不同之处在，所述发 送单元72不包括构造子单元721，而包括复制发送子单元724。
[0124] 所述复制发送子单元724,用于在变更后的终端认证状态为通过认证状态时，复制 所述数据报文，并向安全联动设备发送所述复制的数据报文。
[0125] 请参考图10,为本申请处理报文的装置的另一个实施例框图，可W包括记录单元 101、处理单元102。
[0126] 其中，所述记录单元101，可W用于在接收到终端发送的状态通知报文时，根据所 述状态通知报文记录所述状态通知报文所在会话对应的终端认证状态；
[0127] 所述处理单元102,可W用于根据所述终端认证状态，处理终端发送的所述会话的 数据报文。
[0128] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程，在此不再寶述。
[0129] 对于装置实施例而言，由于其基本对应于方法实施例，所W相关之处参见方法实 施例的部分说明即可。W上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件 说明的单元可W是或者也可W不是物理上分开的，作为单元显示的部件可W是或者也可W 不是物理单元，即可W位于一个地方，或者也可W分布到多个网络单元上。可W根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下，即可W理解并实施。
[0130] W上所述仅为本申请的较佳实施例而已，并不用W限制本申请，凡在本申请的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。
【主权项】
1. 一种处理报文的方法，其特征在于，所述方法包括： 在发送数据报文时，获取与所述数据报文对应的会话的信号标记； 若所述信号标记表示所述会话对应的终端认证状态发生变更，则向安全联动设备发送 与所述会话对应的状态通知报文，所述状态通知报文用于将所述终端认证状态通知至所述 安全联动设备，以使得所述安全联动设备根据所述终端认证状态处理所述会话的数据报 文。2. 根据权利要求1所述的方法，其特征在于，所述获取与所述数据报文对应的会话的信 号标记，包括： 获取对应终端的全局信号标记，所述全局信号标记用于表示所述终端对应的会话中是 否有会话的终端认证状态发生变更； 若所述全局信号标记表示存在终端认证状态发生变更的会话，则继续获取与所述数据 报文对应的会话的信号标记。3. 根据权利要求2所述的方法，其特征在于，所述方法还包括： 当所有会话对应的信号标记均表示终端认证状态未发生变更时，将所述全局信号标记 变更为第一标记值，所述第一标记值表示不存在终端认证状态发生变更的会话； 当所述终端认证状态发生变更时，将所述全局信号标记变更为第二标记值，所述第二 标记值表示存在终端认证状态发生变更的会话。4. 根据权利要求1所述的方法，其特征在于，所述向安全联动设备发送与所述会话对应 的状态通知报文，包括： 构造与所述会话对应的状态通知报文，并向安全联动设备发送所述状态通知报文，所 述状态通知报文携带终端认证状态标记与信号报文标记，所述终端认证状态标记用于表示 终端是否通过认证，所述信号报文标记用于使安全联动设备根据所述信号报文标记识别接 收到的状态通知报文。5. 根据权利要求1所述的方法，其特征在于，所述向安全联动设备发送与所述会话对应 的状态通知报文，包括： 若变更后的终端认证状态为通过认证状态，则复制所述数据报文，并向安全联动设备 发送所述复制的数据报文。6. 根据权利要求1所述的方法，其特征在于，所述若所述信号标记表示所述会话对应的 终端认证状态发生变更，则向安全联动设备发送与所述会话对应的状态通知报文，包括： 当所述信号标记表示终端认证状态发生变更时，且所述信号标记的值为N，则向安全联 动设备发送N次与所述会话对应的状态通知报文，N为不小于1的自然数； 每向安全联动设备发送一次所述会话对应的状态通知报文，将所述会话对应的信号标 记值减1，直至为0。7. -种处理报文的方法，其特征在于，所述方法包括： 在接收到终端发送的状态通知报文时，根据所述状态通知报文记录所述状态通知报文 所在会话对应的终端认证状态； 根据所述终端认证状态，处理终端发送的所述会话的数据报文。8. -种处理报文的装置，其特征在于，所述装置包括： 获取单元，用于在发送数据报文时，获取与所述数据报文对应的会话的信号标记； 发送单元，用于在所述信号标记表示所述会话对应的终端认证状态发生变更时，向安 全联动设备发送与所述会话对应的状态通知报文，所述状态通知报文用于将所述终端认证 状态通知至所述安全联动设备，以使得所述安全联动设备根据所述终端认证状态处理所述 会话的数据报文。9. 根据权利要求8所述的装置，其特征在于，所述获取单元包括： 第一获取子单元，用于获取对应终端的全局信号标记，所述全局信号标记用于表示所 述终端对应的会话中是否有会话的终端认证状态发生变更； 第二获取子单元，用于在所述全局信号标记表示存在终端认证状态发生变更的会话 时，继续获取与所述数据报文对应的会话的信号标记。10. 根据权利要求9所述的装置，其特征在于，所述装置还包括： 变更标记单元，用于当所有会话对应的信号标记均表示终端认证状态未发生变更时， 将所述全局信号标记变更为第一标记值，所述第一标记值表示不存在终端认证状态发生变 更的会话； 当所述终端认证状态发生变更时，将所述全局信号标记变更为第二标记值，所述第二 标记值表示存在终端认证状态发生变更的会话。11. 根据权利要求8所述的装置，其特征在于，所述发送单元包括： 构造发送子单元，用于构造与所述会话对应的状态通知报文，并向安全联动设备发送 所述状态通知报文，所述状态通知报文携带终端认证状态标记与信号报文标记，所述终端 认证状态标记用于表示终端是否通过认证，所述信号报文标记用于使安全联动设备根据所 述信号报文标记识别接收到的状态通知报文。12. 根据权利要求8所述的装置，其特征在于，所述发送单元包括： 复制发送子单元，用于在变更后的终端认证状态为通过认证状态时，复制所述数据报 文，并向安全联动设备发送所述复制的数据报文。13. 根据权利要求8所述的装置，其特征在于，所述发送单元包括： 发送子单元，用于当所述信号标记表示终端认证状态发生变更时，且所述信号标记的 值为N，则向安全联动设备发送N次与所述会话对应的状态通知报文，N为不小于1的自然数； 更新子单元，用于每向安全联动设备发送一次所述会话对应的状态通知报文，将所述 会话对应的信号标记值减1，直至为0。14. 一种处理报文的装置，其特征在于，所述装置包括： 记录单元，用于在接收到终端发送的状态通知报文时，根据所述状态通知报文记录所 述状态通知报文所在会话对应的终端认证状态； 处理单元，用于根据所述终端认证状态，处理终端发送的所述会话的数据报文。
【文档编号】H04L29/12GK105939401SQ201610072814
【公开日】2016年9月14日
【申请日】2016年2月2日
【发明人】汪少杰
【申请人】杭州迪普科技有限公司