一种数据交换方法和安全网关技术

本申请实施例提供了一种数据交换方法，应用于视联网中，所述视联网通过安全网关连接至互联网，安全网关中预先配置有第一白名单；安全网关接收来自所述视联网的多个视联网数据包及来自所述互联网的多个互联网数据包时；对各所述互联网数据包及各所述视联网数据包进行白名单验证，保留验证合格的数据包；从验证合格的视联网数据包中提取第一视联网音视频流数据，从验证合格的互联网数据包中提取第一互联网音视频流数据；基于各第一视联网音视频流数据及各第一互联网音视频流数据，更新第一白名单；并基于更新后的第二白名单，提取第二视联网数据包及第二互联网数据包，并将各第二视联网数据包转换及各第二互联网数据包发生至视联网或互联网。

A Data Exchange Method and Security Gateway

【技术实现步骤摘要】
一种数据交换方法和安全网关
本申请涉及视联网
，特别是涉及一种数据交换方法和安全网关。
技术介绍
视联网是不同于互联网的高级网络形态，利用视联网可以进行大规模的音视频高清传输，通常被用在实时监控领域以及视频会议中，视联网网络独立于互联网网络，一般不与互联网通信，但是，由于越来越多的双网互相通信的需求，视联网与互联网也实现了通信网络的连接；但是，在视联网与其他现有的网络链接时，出现了受到其他网络不可预料的攻击，导致全网瘫痪的问题，因此在视联网网络与其他网络的互通方面，对于如何保证视联网网络以及其他网络的通信安全性提出了考验。
技术实现思路
鉴于上述问题，提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种数据交换方法和相应的一种安全网关。为了解决上述问题，本申请公开了一种数据交换方法，所述方法应用于视联网,所述视联网通过安全网关连接至互联网，所述安全网关中预先配置有第一白名单；所述方法包括：所述安全网关接收来自所述视联网的多个视联网数据包，以及接收来自所述互联网的多个互联网数据包；所述安全网关基于所述第一白名单，验证各所述视联网数据包中的端口信息、协议类型及MAC地址是否合法，以及验证各所述互联网数据包中的端口信息、协议类型及MAC地址是否合法；所述安全网关从所述多个视联网数据包中提取出验证合法的N个第一视联网数据包，以及从所述多个互联网数据包中提取出验证合法的M个第一互联网数据包；其中，N与M均为正整数；所述安全网关从各所述第一视联网数据包中提取第一视联网音视频流数据，以及从各所述第一互联网数据包中提取第一互联网音视频流数据；所述安全网关基于各所述第一视联网音视频流数据及各所述第一互联网音视频流数据，将所述第一白名单更新为第二白名单；所述安全网关基于所述第二白名单，从N个所述第一视联网数据包中提取出A个第二视联网数据包，以及从M个所述第一互联网数据包中提取出B个第二互联网数据包，并将各所述第二视联网数据包转换成目标互联网数据包，将各所述第二互联网数据包转换成目标视联网数据包；并将各所述目标视联网数据包发送至所述视联网，将各所述目标互联网数据包发送至所述互联网；A为小于或等于N的正整数，B为小于或等于M的正整数。可选地，所述第一白名单中包括第一端口信息、第一MAC信息及第一协议类型信息，所述安全网关基于所述第一白名单，验证各所述视联网数据包中的端口信息、协议类型或MAC地址是否合法，以及验证各所述互联网数据包中的端口信息、协议类型或MAC地址是否合法的步骤包括：所述安全网关从各所述视联网数据包中提取出第二端口信息、第二MAC信息及第二协议类型信息，从各所述互联网数据包中提取出第三端口信息、第三MAC信息及第三协议类型信息；在所述第二端口信息、所述第二MAC信息及所述第二协议类型信息分别与所述第一端口信息、所述第一MAC信息及所述第一协议类型信息一致时，所述安全网关验证所述视联网数据包合法；在所述第三端口信息、所述第三MAC信息及所述第三协议类型信息分别与所述第一端口信息、所述第一MAC信息及所述第一协议类型信息一致时，所述安全网关验证所述互联网数据包合法。可选地，所述安全网关每间隔预设的时间，从各所述第一视联网数据包中提取第一视联网音视频流数据，以及从各所述第一互联网数据包中提取第一互联网音视频流数据。可选地，所述安全网关基于各所述第一视联网音视频流数据及各所述第一互联网音视频流数据，将所述第一白名单更新为第二白名单的步骤，包括：所述安全网关判断各所述第一视联网音视频流数据及各所述第一互联网音视频流数据是否能被解码；若是，则所述安全网关将所述第一白名单的创建时间更新为当前时间，并将更新创建时间后的所述第一白名单标记为第二白名单；若否，则所述安全网关根据预设的安全等级协议，从不能被解码的第二视联网音视频流数据中提取第四端口信息或第四MAC地址，及，从不能被解码的第二互联网音视频流数据中提取第五端口信息或第五MAC地址；并在所述第一白名单中，删除与所述第四MAC地址及所述第五MAC地址，或者，删除所述第四端口信息及所述第五端口信息。可选地，所述安全网关将所述目标视联网数据包发送至所述视联网的步骤，包括：所述安全网关为所述目标视联网数据包添加第三数字签名，并将添加所述第三数字签名后的目标视联网数据包发送至所述视联网。可选地，在所述安全网关接收来自所述视联网的多个视联网数据包，以及接收来自所述互联网的多个互联网数据包的步骤后，以及，在所述安全网关基于所述第一白名单，验证各所述视联网数据包中的端口信息、协议类型及MAC地址是否合法，以及验证各所述互联网数据包中的端口信息、协议类型及MAC地址是否合法的步骤前，还包括：所述安全网关对各所述视联网数据包携带的第一数字签名进行验证，保留验证合法的视联网数据包，丢弃验证不合法的视联网数据包；以及，为各所述互联网数据包添加第二数字签名。为了解决上述技术问题，本申请还公开了一种安全网关，所述安全网关分别连接至视联网及互联网，所述安全网关包括白名单配置模块，所述白名单配置模块预先配置有第一白名单，所述安全网关还包括：视联网网关模块，用于在接收到来自所述视联网的多个视联网数据包时，基于预先接收的所述第一白名单，验证各所述视联网数据包中的端口信息、协议类型及MAC地址是否合法，并从所述多个视联网数据包中提取出验证合法的N个第一视联网数据包；其中，N为正整数；互联网网关模块，用于在接收来自所述互联网的多个互联网数据包时，基于预先接收的所述第一白名单，验证各所述互联网数据包中的端口信息、协议类型及MAC地址是否合法，并从所述多个互联网数据包中提取合法的M个第一互联网数据包；其中，M为正整数；数据提取模块，用于从各所述第一视联网数据包中提取第一视联网音视频流数据，以及从各所述第一互联网数据包中提取第一互联网音视频流数据，并将所述第一视联网音视频流数据及各所述第一互联网音视频流数据发送至所述白名单配置模块；所述白名单配置模块，用于基于所述第一视联网音视频流数据及各所述第一互联网音视频流数据，将预设的所述第一白名单更新为第二白名单，并将所述第二白名单发送至所述视联网网关模块及所述互联网网关模块，以通知视联网网关模块及所述互联网网关模块，将所述将预存的第一白名单替换为第二白名单；数据转换转发模块，用于在接收到所述白名单配置模块发送的所述第二白名单时，基于所述第二白名单，从N个所述第一视联网数据包中提取出A个第二视联网数据包，从M个所述第一互联网数据包中提取出B第二互联网数据包；并将所述第二视联网数据包转换成目标互联网数据包，将所述第二互联网数据包转换成目标视联网数据包；并将所述目标视联网数据包发送至所述视联网网关模块，将所述目标互联网数据包发送至所述互联网网关模块；其中，A为小于或等于N的正整数，B为小于或等于M的正整数。可选地，述第一白名单中包括第一端口信息、第一MAC信息及第一协议类型信息；所述视联网网关模块包括：第一信息提取模块，用于从各所述视联网数据包中提取出第二端口信息、第二MAC信息及第二协议类型信息；第一白名单验证模块，在所述第二端口信息、所述第二MAC信息及所述第二协议类型信息分别与所述第一端口信息、所述第一MAC信息及所述第一协议类型信息本文档来自技高网...

【技术保护点】
1.一种数据交换方法，其特征在于，所述方法应用于视联网,所述视联网通过安全网关连接至互联网，所述安全网关中预先配置有第一白名单；所述方法包括：所述安全网关接收来自所述视联网的多个视联网数据包，以及接收来自所述互联网的多个互联网数据包；所述安全网关基于所述第一白名单，验证各所述视联网数据包中的端口信息、协议类型及MAC地址是否合法，以及验证各所述互联网数据包中的端口信息、协议类型及MAC地址是否合法；所述安全网关从所述多个视联网数据包中提取出验证合法的N个第一视联网数据包，以及从所述多个互联网数据包中提取出验证合法的M个第一互联网数据包；其中，N与M均为正整数；所述安全网关从各所述第一视联网数据包中提取第一视联网音视频流数据，以及，从各所述第一互联网数据包中提取第一互联网音视频流数据；所述安全网关基于各所述第一视联网音视频流数据及各所述第一互联网音视频流数据，将所述第一白名单更新为第二白名单；所述安全网关基于所述第二白名单，从N个所述第一视联网数据包中提取出A个第二视联网数据包，以及从M个所述第一互联网数据包中提取出B个第二互联网数据包，并将各所述第二视联网数据包转换成目标互联网数据包，将各所述第二互联网数据包转换成目标视联网数据包；并将各所述目标视联网数据包发送至所述视联网，将各所述目标互联网数据包发送至所述互联网；A为小于或等于N的正整数，B为小于或等于M的正整数。...

【技术特征摘要】
1.一种数据交换方法，其特征在于，所述方法应用于视联网,所述视联网通过安全网关连接至互联网，所述安全网关中预先配置有第一白名单；所述方法包括：所述安全网关接收来自所述视联网的多个视联网数据包，以及接收来自所述互联网的多个互联网数据包；所述安全网关基于所述第一白名单，验证各所述视联网数据包中的端口信息、协议类型及MAC地址是否合法，以及验证各所述互联网数据包中的端口信息、协议类型及MAC地址是否合法；所述安全网关从所述多个视联网数据包中提取出验证合法的N个第一视联网数据包，以及从所述多个互联网数据包中提取出验证合法的M个第一互联网数据包；其中，N与M均为正整数；所述安全网关从各所述第一视联网数据包中提取第一视联网音视频流数据，以及，从各所述第一互联网数据包中提取第一互联网音视频流数据；所述安全网关基于各所述第一视联网音视频流数据及各所述第一互联网音视频流数据，将所述第一白名单更新为第二白名单；所述安全网关基于所述第二白名单，从N个所述第一视联网数据包中提取出A个第二视联网数据包，以及从M个所述第一互联网数据包中提取出B个第二互联网数据包，并将各所述第二视联网数据包转换成目标互联网数据包，将各所述第二互联网数据包转换成目标视联网数据包；并将各所述目标视联网数据包发送至所述视联网，将各所述目标互联网数据包发送至所述互联网；A为小于或等于N的正整数，B为小于或等于M的正整数。2.根据权利要求1所述的方法，其特征在于，所述第一白名单中包括第一端口信息、第一MAC信息及第一协议类型信息，所述安全网关基于所述第一白名单，验证各所述视联网数据包中的端口信息、协议类型或MAC地址是否合法，以及验证各所述互联网数据包中的端口信息、协议类型或MAC地址是否合法的步骤包括：所述安全网关从各所述视联网数据包中提取出第二端口信息、第二MAC信息及第二协议类型信息，从各所述互联网数据包中提取出第三端口信息、第三MAC信息及第三协议类型信息；在所述第二端口信息、所述第二MAC信息及所述第二协议类型信息分别与所述第一端口信息、所述第一MAC信息及所述第一协议类型信息一致时，所述安全网关验证所述视联网数据包合法；在所述第三端口信息、所述第三MAC信息及所述第三协议类型信息分别与所述第一端口信息、所述第一MAC信息及所述第一协议类型信息一致时，所述安全网关验证所述互联网数据包合法。3.根据权利要求2所述的方法，其特征在于，所述安全网关每间隔预设的时间，从各所述第一视联网数据包中提取第一视联网音视频流数据，以及从各所述第一互联网数据包中提取第一互联网音视频流数据。4.根据权利要求1所述的方法，其特征在于，所述安全网关基于各所述第一视联网音视频流数据及各所述第一互联网音视频流数据，将所述第一白名单更新为第二白名单的步骤，包括：所述安全网关判断各所述第一视联网音视频流数据及各所述第一互联网音视频流数据是否能被解码；若是，则所述安全网关将所述第一白名单的创建时间更新为当前时间，并将更新创建时间后的所述第一白名单标记为第二白名单；若否，则所述安全网关根据预设的安全等级协议，从不能被解码的第二视联网音视频流数据中提取第四端口信息或第四MAC地址，及，从不能被解码的第二互联网音视频流数据中提取第五端口信息或第五MAC地址；并在所述第一白名单中，删除与所述第四MAC地址及所述第五MAC地址，或者，删除所述第四端口信息及所述第五端口信息。5.根据权利要求4所述的方法，其特征在于，所述安全网关将所述目标视联网数据包发送至所述视联网的步骤，包括：所述安全网关为所述目标视联网数据包添加第三数字签名，并将添加所述第三数字签名后的目标视联网数据包发送至所述视联网。6.根据权利要求1所述的方法，其特征在于，在所述安全网关接收来自所述视联网的多个视联网数据包，以及接收来自所述互联网的多个互联网数据包的步骤后，以及，在所述安全网关基于所述第一白名单，验证各所述视联网数据包中的端口信息、协议类型及MAC地址是否合法，以及验证各所述互联网数据包中的端口信息、协议类型及MAC地址是否...

【专利技术属性】
技术研发人员：覃才俊，秦元河，孙洋，韩杰，
申请(专利权)人：视联动力信息技术股份有限公司，
类型：发明
国别省市：北京,11