【技术实现步骤摘要】
一种基于单向分光的无状态端到端连接的内外网数据实时交换系统
本专利技术涉及网络通信
,特别是涉及一种基于单向分光技术的上下行分离的无状态端到端连接的内外网数据实时交换系统。
技术介绍
随着计算机通讯技术与互联网的迅速发展,越来越多的企业或政府部门都通过计算机网络进行办公,单位内部网络中建设了大量的信息系统,并产生了海量的数据。随着移动互联网的发展,为了能够达到提高办公效率,提高管理水平,提高决策能力,降低成本,提高效益的目的,内部网络的办公模式成为了一个企业整体运营的非常重要的一部分,在现代高效管理企业中已经是非常普遍的应用了。但是这种内部网络办公模式给办公带来了全新体验的同时也引入了新的网络不安全性,因此企业对内部网络的安全性要求也越来越高。传统的内外网数据实时交换主要采用VPN,即在公用网络上建立专用网络,进行加密通讯。主要是通过创建VPN连接到某企业的VPN服务器,通过单行隧道服务访问企业网络的内部资源。这种单行隧道服务的访问内网的方法很容易受到ARP攻击、DNS欺骗等,其安全性与稳定性将大打折扣。为了解决VPN连接的安全性与稳定性,2012年,中国专利文献“一种访问VPN服务端内网资源的方法及装置”(CN103023898B),提出了建立虚拟IP的方法,解决了由于地址重叠造成的用户主机无法正常访问VPN服务端内网资源;2012年,中国专利文献“一种用户端通过VPN访问内网的系统及方法”(CN103840994A),主要是用户端与内网VPN服务器联络,在用户端建立VPN隧道,通过应用程序进程内的数据拦截系统及方法,提高了安全性;2016年,中国 ...
【技术保护点】
1.一种基于单向分光的无状态端到端连接的内外网数据实时交换系统,其特征在于,包括:请求连接模块,用于用户端向目的服务请求逻辑连接,所述用户端为受本系统保护的需要通过互联网访问远端局域网服务的任意联网装置,为本系统的用户,本系统对用户端而言是透明的;客户端节点模块,包括加解密模块、上下行数据分离模块、单向分光隔离模块和互联网连接模块;所述加解密模块,用于将用户所有事务请求重定向至加解密服务,并通过无状态隧道服务发送至服务端节点模块;所述上下行数据分离模块,其网络连接在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接,对加密后的用户请求进行传输,并接收来自服务端节点模块的回应数据;所述单向分光隔离模块包括单向分光器,所述单向分光器分别作用于上行和下行数据分离模块的发送端和接收端;所述互联网连接模块,用于提供客户端节点模块的互联网通信;服务端节点模块,包括互联网连接模块以及与客户端相同的加解密模块、上下行数据分离模块和单向分光隔离模块;所述互联网连接模块在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接,用于提供客户端节点模块的互联网通信;用户访问内部网络中的目的服务系统模块,用 ...
【技术特征摘要】
1.一种基于单向分光的无状态端到端连接的内外网数据实时交换系统,其特征在于,包括:请求连接模块,用于用户端向目的服务请求逻辑连接,所述用户端为受本系统保护的需要通过互联网访问远端局域网服务的任意联网装置,为本系统的用户,本系统对用户端而言是透明的;客户端节点模块,包括加解密模块、上下行数据分离模块、单向分光隔离模块和互联网连接模块;所述加解密模块,用于将用户所有事务请求重定向至加解密服务,并通过无状态隧道服务发送至服务端节点模块;所述上下行数据分离模块,其网络连接在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接,对加密后的用户请求进行传输,并接收来自服务端节点模块的回应数据;所述单向分光隔离模块包括单向分光器,所述单向分光器分别作用于上行和下行数据分离模块的发送端和接收端;所述互联网连接模块,用于提供客户端节点模块的互联网通信;服务端节点模块,包括互联网连接模块以及与客户端相同的加解密模块、上下行数据分离模块和单向分光隔离模块;所述互联网连接模块在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接,用于提供客户端节点模块的互联网通信;用户访问内部网络中的目的服务系统模块,用于实现用户最初的请求与目的服务系统的逻辑连接建立;所述目的服务系统,是包含用户请求访问的服务的计算机系统,并且该系统处于无法通过互联网络直接访问的内部网络中。2.根据权利要求1所述的系统,其特征在于,系统中的各个模块独立工作,互不耦合。3.根据权利要求1所述的系统,其特征在于,所述客户端的加解密模块包括:重定向服务、加解密服务和无状态隧道服务,加解密模块将用户所有的事务请求通过重定向服务将请求事务内容发送至加解密服务,对其进行加密,再将加密数据发送到无状态隧道服务;无状态隧道服务同时分别发起上行隧道连接请求和下行隧道接收请求,并将状态维持到收到数据或者超时。4.根据权利要求3所述的系统,其特征在于,所述无状态隧道服务借助重定向服务将来自加解密服务的数据根据服务节点模块上行路由器的互联网地址在传输层上用UDP协议封装,并发起接收连接隧道请求,发送到客户端节点模块的上行隧道服务,维持到收到数据或超时,并接收来自客户端节点模块的下行隧道服务的UDP数据包数据;所述UDP数据包,为转换的传输层协议数据包,用于兼容目前的互联网协议并穿越网关和防火墙,其中所包含的端口号不作为原始用户事务连接的判断,并且对于每次新的用户请求事务连接,该端口号可以根据需要,可以不同,也可相同。5.根据权利要求1所述的系统,其特征在于,所述单向分光隔离模块包括一个单向分光器,所述单向分光器是将原本发送至陷阱服务器的数据复制一份进行实际数据处理,将实际数据处理和互联网进行隔离,以保证数据处理过程的安全性;所述客户端节点模块中的单向分光隔离模块,在发送端,数据被单向分光器复制,被复制的一份到达客户端节点模块的上行陷阱服务器,在不建立链路连接的条件下,上行陷阱服务器将数据通过WAN1口发送至服务端节点模块的上行隧道服务;另一份则在到达重定向服务后被丢弃,用于维持链路的物理连接信号;在接收端,单向分光器将数据...
【专利技术属性】
技术研发人员:程克非,张睿,刘晓侠,
申请(专利权)人:重庆邮电大学,
类型:发明
国别省市:重庆,50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。