[发明专利]通信处理方法及装置

说明书

技术领域

本公开涉及网络安全技术领域，尤其涉及通信处理方法及装置。

背景技术

由于安全原因，在工业网络的通信系统中，通常会设置有对数据包进行业务处理的网络安全装置，以对通信网络中传输的数据包进行处理，例如判断数据包中是否包含有恶意攻击数据或其他对通信系统有威胁的数据，但是网络安全装置可能会因为断电或死机等异常事件而不能正常工作，因此为了避免网络安全装置故障而影响整个通信系统的正常通信，通常都设置有旁路功能(Bypass)。

旁路功能(bypass)是指通过特定的触发状态(如断电或死机、业务程序运行异常等)让两个通信网络不通过网络安全装置，而直接物理上导通，所以有了Bypass后，当网络安全装置故障时，不影响正常的数据通信。

相关技术中，通常利用继电器原理，采用看门狗(Watchdog)或通用输入输出接口(GPIO)两种方式来实现Bypass功能。上述相关技术中的方案在开启Bypass后，网络安全装置无法接收数据包，因而无法对当前的数据包通信状态进行判断，尤其在因当前数据包数量超出业务程序处理能力而引起网络安全装置的业务处理程序运行异常(如通常所说的“卡死”现象)而启动Bypass时，由于网络安全装置不能探知目前通信状态下的数据包数量，因而不能及时恢复正常通信状态。

发明内容

为克服相关技术中存在的问题，本公开提供一种通信处理方法及装置，利用所述通信处理方法及装置，能够及时在网络安全装置的工作状态异常时，及时进入旁路通信状态。

根据本公开实施例的第一方面，提供一种通信处理方法，应用在设置有网络安全装置的通信系统中，所述方法包括：检测网络安全装置的工作状态；当所述网络安全装置的工作状态异常时，开启旁路通信，以使所述网络安全装置所在的通信系统正常传输网络数据包。

其中，所述当所述网络安全装置的工作状态异常时，开启旁路通信包括：当网络安全装置的工作状态为第一异常状态时，使第一传输控制物理网口的接收端与第一传输控制物理网口的发送端连通，以开启第一旁路通信状态；并且所述方法还包括：在所述第一旁路通信状态下，使网络安全装置的接收端镜像到所述第一传输控制物理网口接收端，并使网络安全装置的发送端镜像到所述第一传输控制物理网口发送端，其中，所述第一旁路通信状态是指，网络安全装置不接收和发送数据包，同时被传输的数据包被镜向到网络安全装置的接收端和发送端的旁路通信状态；所述第一异常状态是指，网络安全装置正常启动，但其中的业务程序运行异常的工作状态。

其中，所述方法还包括：当网络安全装置处于正常工作状态时，使所述第一传输控制物理网口接收端与所述网络安全装置的接收端连接，并使所述第一传输控制物理网口发送端与所述网络安全装置发送端连接，其中，在正常作状态下，网络安全装置正常启动，且其中的业务程序正常运行。

其中，所述当所述网络安全装置的工作状态异常时，开启旁路通信可以包括：当网络安全装置的工作状态为第二异常状态时，使第二传输控制物理网口接收端与第二传输控制物理网口发送端连通，以开启第二旁路通信状态，其中，所述第二旁路通信状态指，数据包由所述第二传输控制物理网口的接收端接收后，不经过网络安全装置而直接由所述第二传输控制物理网口的发送端发口；所述第二异常状态指，网络安全装置未正常启动或断电的工作状态。

其中，所述方法还可以包括：当网络安全装置处于正常启动状态时，所述第二传输控制物理网口接收端与所述第一传输控制物理网口接收端连接，所述第二传输控制物理网口发送端与所述第一传输控制物理网口发送端连接。

本公开实施例的另一方面，还提供一种通信处理装置，应用在设置有网络安全装置的通信系统中，所述装置包括：状态检测模块，被配置为检测网络安全装置的工作状态；转换控制模块，被配置为当所述网络安全装置的工作状态异常时，开启旁路通信，以使所述网络安全装置所在的通信系统正常传输网络数据包。

其中，所述转换控制模块包括：第一旁路控制子模块，被配置为当网络安全装置的工作状态为第一异常状态时，使第一传输控制物理网口的接收端与第一传输控制物理网口的发送端连通，以开启第一旁路通信状态，镜像控制子模块，被配置为第一旁路通信状态下，使网络安全装置的接收端镜像到所述第一传输控制物理网口接收端，并使网络安全装置的发送端镜像到所述第一传输控制物理网口发送端，其中，所述第一旁路通信状态是指，网络安全装置不接收和发送数据包，同时被传输的数据包被镜向到网络安全装置的接收端和发送端的旁路通信状态；所述第一异常状态是指，网络安全装置正常启动，但其中的业务程序运行异常的工作状态。