一种基于单向分光的无状态端到端连接的内外网数据实时交换系统技术方案

一种基于单向分光和无状态端到端连接的内外网数据实时交换系统，包括用户请求连接模块、客户端节点模块、服务端节点模块与用户访问内部网络中的目的服务系统模块。其中客户端节点模块包括加解密模块、上下行数据分离模块、单向分光隔离模块和互联网连接模块。其中服务端节点同样包括互联网连接模块、单向分光隔离模块、上下行数据汇聚分派模块与加解密模块。其中用户访问内部网络中的目的服务系统模块，实现用户最初的请求与目的服务系统的逻辑连接建立。本系统利用陷阱设备承受所有互联网攻击，保护内网安全，可防止ARP攻击、DNS欺骗等，除此之外，非认证互联网连接事务隔离在DMZ区，提高了内外网数据实时传输交换的安全防护性能。

【技术实现步骤摘要】
一种基于单向分光的无状态端到端连接的内外网数据实时交换系统
本专利技术涉及网络通信
，特别是涉及一种基于单向分光技术的上下行分离的无状态端到端连接的内外网数据实时交换系统。
技术介绍
随着计算机通讯技术与互联网的迅速发展，越来越多的企业或政府部门都通过计算机网络进行办公，单位内部网络中建设了大量的信息系统，并产生了海量的数据。随着移动互联网的发展，为了能够达到提高办公效率，提高管理水平，提高决策能力，降低成本，提高效益的目的，内部网络的办公模式成为了一个企业整体运营的非常重要的一部分，在现代高效管理企业中已经是非常普遍的应用了。但是这种内部网络办公模式给办公带来了全新体验的同时也引入了新的网络不安全性，因此企业对内部网络的安全性要求也越来越高。传统的内外网数据实时交换主要采用VPN，即在公用网络上建立专用网络，进行加密通讯。主要是通过创建VPN连接到某企业的VPN服务器，通过单行隧道服务访问企业网络的内部资源。这种单行隧道服务的访问内网的方法很容易受到ARP攻击、DNS欺骗等，其安全性与稳定性将大打折扣。为了解决VPN连接的安全性与稳定性，2012年，中国专利文献“一种访问VPN服务端内网资源的方法及装置”（CN103023898B），提出了建立虚拟IP的方法，解决了由于地址重叠造成的用户主机无法正常访问VPN服务端内网资源；2012年，中国专利文献“一种用户端通过VPN访问内网的系统及方法”（CN103840994A），主要是用户端与内网VPN服务器联络，在用户端建立VPN隧道，通过应用程序进程内的数据拦截系统及方法，提高了安全性；2016年，中国专利文献“基于轻量级安全虚拟专用网的智能分流网关”（CN106330653A），通过虚拟专用网解决企业移动IP网络层安全问题，提高了IP网络的安全传输性能。
技术实现思路
本专利技术提供一种基于单向分光技术的上下行分离的无状态端到端连接的内外网数据实时交换系统，该内外网数据实时交换系统不同于传统的内外网访问单一的服务平台，在数据传输过程中将内外网访问的互联网连接上下行隧道服务分离并内网部分通过单向分光器物理隔离互联网连接，防止线路上的上下行数据关联探测和分析等。互联网连接时采用随机端口，使传统的基于四元组（源地址／目的地址，源端口／目的端口）的事务分析无法跟踪事务，进一步防止链路的状态跟踪，实现了无状态连接。本专利技术的技术方案如下：基于单向分光的无状态端到端连接的内外网数据实时交换系统包括：1、请求连接模块，用于用户端（用户端为受本系统装置保护的需要通过互联网访问远端局域网服务的任意联网装置，为本系统和装置的用户）向目的服务请求逻辑连接，本系统对用户端而言是透明的。2、客户端节点模块，包括加解密模块、上下行数据分离模块、单向分光隔离模块和互联网连接模块等四个子模块。所述加解密模块包括：重定向服务、加解密服务和无状态隧道服务，加解密模块将用户所有的事务请求通过重定向服务将请求事务内容发送至加解密服务，对其进行加密（加密算法可以任选），再将加密数据发送到无状态隧道服务；所述客户端节点模块的加解密模块中的无状态隧道服务同时分别发起上行隧道连接请求和下行隧道接收请求，并将状态维持到收到数据或者超时。所述上下行数据分离模块被分为独立的上行隧道服务与下行隧道服务，并设置有陷阱服务器，主要对加密后的用户请求进行传输，并接收来自服务端节点模块的回应数据。在上下行数据分离模块的发送端和接收端都会经过单向分光隔离模块中的单向分光器，所述单向分光器是将原本发送至陷阱服务器的数据复制一份进行实际数据处理，将实际的数据处理和互联网进行隔离，以保证数据处理过程的安全性。在所述单向分光隔离模块的单向分光器分别作用于上行和下行数据分离模块的发送端和接收端。在发送端，数据被单向分光器复制，被复制的一份到达客户端节点模块的上行陷阱服务器，上行陷阱服务器将数据通过WAN1口发送至服务端节点模块的上行隧道服务；另一份则在到达重定向服务后被丢弃，用于维持链路的物理连接信号。在接收端，分光器将数据复制，一份到达下行陷阱服务器，用于维持互联网连接；另一份到达无状态隧道服务，交由加解密模块作进一步处理。所述互联网连接模块在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接，用于提供客户端节点模块的互联网通信。3、服务端节点模块，同样包括互联网连接模块、单向分光隔离模块、上下行数据分离模块与加解密模块等四个子模块。所述互联网连接模块在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接，用于提供客户端节点模块的互联网通信。所述上下行数据分离模块被分为独立的上行隧道服务与下行隧道服务，所述上行隧道服务和下行隧道服务均分有内网口和外网口，所述内网口会通过单向分光隔离模块中的单向分光器，在接收端，上行隧道服务会将收到的数据通过分光器复制，原始的一份数据被发送给服务端节点模块中的上行隧道服务中的上行陷阱服务器的接收口，然后上行陷阱服务器处理该数据，被复制的一份数据则被发送至加解密模块作进一步处理。本专利技术中单向分光器将加密数据进行分流，数据的实际处理被隔离在单向分光器后面，并且网络传输的上下行数据被完全分离，这里放置的陷阱服务器（在上行隧道服务处理数据的是设有地址的上行陷阱服务器），设置有静态互联网地址，专门用于防止未识别流量。未识别流量将由隧道服务转到这里，而隧道本身的信息将发送至加解密模块，进而送至内网目的服务系统；为了保护内网不受攻击，未识别互联网连接事务隔离在DMZ区，即可以直接连接网络的两个路由器。所述隧道传输的加密在事务启动时通过协商传输的密钥，每次事务采用的密钥不相同。所述加解密模块，包括数据处理板和密钥认证控制板，将数据进行加解密处理，以便用户最终访问到内部网络中的目的服务系统。所述数据处理板和密钥认证控制板工作过程包括：上行隧道服务利用分光器将加密后的用户事务请求数据流量传送至数据处理板，再送至密钥认证控制板进行加解密；所述数据处理板直接连接内网布线系统中信息插座即通信引出端连接器；数据处理板将要传回的数据，发送至密钥认证控制板，通过上下行数据分离模块，然后通过分光器复制一份流量最终发送至客户端节点模块，而密钥认证控制板则丢弃该流量；所述加解密线路和分光器分流线路互不相干。4、用户访问内部网络中的目的服务系统模块，用于实现用户最初的请求与目的服务系统的逻辑连接建立。所述客户端节点模块中的加解密模块进一步包括，将加密数据发送到无状态隧道服务，分别发起上行隧道连接请求和下行隧道接收请求，并将状态维持到收到数据或者超时；所述客户端节点模块所使用的IP地址为可以为动态IP地址/静态地址或其他任意互联网接入方式，且设置有陷阱服务器防止非法攻击。所述服务端节点模块的所有互联网节点无任何端口配置，所有服务节点设备对外无端口连接，所有传输层协议被转换为UDP传输，转换的UDP传输的端口号不作为事务连接判断，仅用于穿越网关和防火墙，对每次事务连接，端口是不确定的，并且无状态维持。本系统中的各个模块独立工作，互不耦合。由以上
技术实现思路
可知，本专利技术相比现有技术具有以下优点：本专利技术提出了一种基于单向分光的上下行分离的无状态端到端连接的内外网数据实时交换系统及装置，通过区分上下行隧道服务，所有互联网节点无任何固定本文档来自技高网...

【技术保护点】
1.一种基于单向分光的无状态端到端连接的内外网数据实时交换系统，其特征在于，包括：请求连接模块，用于用户端向目的服务请求逻辑连接，所述用户端为受本系统保护的需要通过互联网访问远端局域网服务的任意联网装置，为本系统的用户，本系统对用户端而言是透明的;客户端节点模块，包括加解密模块、上下行数据分离模块、单向分光隔离模块和互联网连接模块；所述加解密模块，用于将用户所有事务请求重定向至加解密服务，并通过无状态隧道服务发送至服务端节点模块；所述上下行数据分离模块，其网络连接在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接，对加密后的用户请求进行传输，并接收来自服务端节点模块的回应数据；所述单向分光隔离模块包括单向分光器，所述单向分光器分别作用于上行和下行数据分离模块的发送端和接收端；所述互联网连接模块，用于提供客户端节点模块的互联网通信;服务端节点模块，包括互联网连接模块以及与客户端相同的加解密模块、上下行数据分离模块和单向分光隔离模块；所述互联网连接模块在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接，用于提供客户端节点模块的互联网通信;用户访问内部网络中的目的服务系统模块，用于实现用户最初的请求与目的服务系统的逻辑连接建立；所述目的服务系统，是包含用户请求访问的服务的计算机系统，并且该系统处于无法通过互联网络直接访问的内部网络中。...

【技术特征摘要】
1.一种基于单向分光的无状态端到端连接的内外网数据实时交换系统，其特征在于，包括：请求连接模块，用于用户端向目的服务请求逻辑连接，所述用户端为受本系统保护的需要通过互联网访问远端局域网服务的任意联网装置，为本系统的用户，本系统对用户端而言是透明的;客户端节点模块，包括加解密模块、上下行数据分离模块、单向分光隔离模块和互联网连接模块；所述加解密模块，用于将用户所有事务请求重定向至加解密服务，并通过无状态隧道服务发送至服务端节点模块；所述上下行数据分离模块，其网络连接在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接，对加密后的用户请求进行传输，并接收来自服务端节点模块的回应数据；所述单向分光隔离模块包括单向分光器，所述单向分光器分别作用于上行和下行数据分离模块的发送端和接收端；所述互联网连接模块，用于提供客户端节点模块的互联网通信;服务端节点模块，包括互联网连接模块以及与客户端相同的加解密模块、上下行数据分离模块和单向分光隔离模块；所述互联网连接模块在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接，用于提供客户端节点模块的互联网通信;用户访问内部网络中的目的服务系统模块，用于实现用户最初的请求与目的服务系统的逻辑连接建立；所述目的服务系统，是包含用户请求访问的服务的计算机系统，并且该系统处于无法通过互联网络直接访问的内部网络中。2.根据权利要求1所述的系统，其特征在于，系统中的各个模块独立工作，互不耦合。3.根据权利要求1所述的系统，其特征在于，所述客户端的加解密模块包括：重定向服务、加解密服务和无状态隧道服务，加解密模块将用户所有的事务请求通过重定向服务将请求事务内容发送至加解密服务，对其进行加密，再将加密数据发送到无状态隧道服务；无状态隧道服务同时分别发起上行隧道连接请求和下行隧道接收请求，并将状态维持到收到数据或者超时。4.根据权利要求3所述的系统，其特征在于，所述无状态隧道服务借助重定向服务将来自加解密服务的数据根据服务节点模块上行路由器的互联网地址在传输层上用UDP协议封装，并发起接收连接隧道请求，发送到客户端节点模块的上行隧道服务，维持到收到数据或超时，并接收来自客户端节点模块的下行隧道服务的UDP数据包数据；所述UDP数据包，为转换的传输层协议数据包，用于兼容目前的互联网协议并穿越网关和防火墙，其中所包含的端口号不作为原始用户事务连接的判断，并且对于每次新的用户请求事务连接，该端口号可以根据需要，可以不同，也可相同。5.根据权利要求1所述的系统，其特征在于，所述单向分光隔离模块包括一个单向分光器，所述单向分光器是将原本发送至陷阱服务器的数据复制一份进行实际数据处理，将实际数据处理和互联网进行隔离，以保证数据处理过程的安全性；所述客户端节点模块中的单向分光隔离模块，在发送端，数据被单向分光器复制，被复制的一份到达客户端节点模块的上行陷阱服务器，在不建立链路连接的条件下，上行陷阱服务器将数据通过WAN1口发送至服务端节点模块的上行隧道服务；另一份则在到达重定向服务后被丢弃，用于维持链路的物理连接信号；在接收端，单向分光器将数据...

【专利技术属性】
技术研发人员：程克非，张睿，刘晓侠，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：重庆,50