本发明专利技术提供了一种基于单向通道的网络安全隔离与信息交换方法及系统,属于计算机网络安全领域。网络安全隔离与信息交换系统包括数据采集模块、协议还原模块、数据审计模块、信息卸载和封装模块以及数据发送模块。各模块的实现可以采用硬件或/与软件实现。网络安全隔离与信息交换方法包括数据采集、协议还原、数据审计、信息卸载和封装以及数据发送等步骤。本发明专利技术采用单向通道传输数据,通过专用的数据包处理方法,对传输的数据进行审计和卸载,当出现故障时,会形成物理隔离。本发明专利技术的网络安全隔离与信息交换方法及系统可以显著提高数据吞吐率,有效保护不同网络间的数据安全,防止非法用户的入侵和控制,并降低了系统的成本。
【技术实现步骤摘要】
本专利技术涉及计算机网络安全领域,更确切的讲,本专利技术涉及一种网络安全隔离与信息交换方法及其系统。
技术介绍
信息化是世界科学技术和社会发展的主流趋势,国民经济和社会对于信息和信息系统的依赖性越来越大,信息通信技术的应用已经渗透到人们生产、生活的方方面面,网络间通信设备已经成为不同机构之间、个人之间交流的基本工具。我们在享受网络带来便利的同时也遭受到恶意代码攻击、黑客入侵、信息泄漏等问题的困扰。不同网络之间的信息交互一方面要满足不同的网络之间进行信息共享的要求,解决信息孤岛的问题。另一方面,也要在信息系统开放的同时防止核心涉密网络遭受外部攻击,防止信息外泄。从网络安全的角度来看,网络安全隔离与信息交换技术是一种能在保证重要网络与其他网络安全隔离的同时,实现高效、受控的安全数据交互的技术。在这样的背景下,网络安全隔离与信息交换具有重大的应用价值。传统的实现方式如下:(1)“2+1”的系统架构。包括“内端机”+“交换隔离矩阵”+“外端机”,隔离部件采用双工双通道物理隔离安全板设计,安全板采用ASIC芯片为核心。整个架构完全模拟实现了人工拷盘(Sneaker-net安全架构)的安全数据传输过程。内端机和外端机具有独立的存储和运算单元,并具有独立总线。内端机和外端机分别是内网和外网网络协议的终点。所有过往的应用层数据都从内网和外网的TCP/IP协议中剥离,被剥离的数据再通过数据迁移控制单元在内外端机之间进行传输。由于安全性由物理隔离安全板来保证,不仅减缓了数据访问的效率,而且对大多数的网络应用协议支持较差。(2)三机三系统架构。包括“内端机”+“仲裁机”+“外端机”,内端机和外端机分别是内网和外网网络协议的终点。所有过往的应用层信息都从内网和外网的网络协议中剥离,被还原为应用层信息。这些信息再通过专用硬件和专用通信协议发送给仲裁系统。仲裁机对收到的应用层信息进行过滤检查,控制网络间传播的信息内容,同时能查杀恶意代码,如病毒等。仲裁系统对信息内容进行审查处理之后,再将确认为安全的数据发给内/外端机的另一方,最终还原为通用的网络协议包格式。在某种意义上来说,对于合法用户的合理信息交换请求,三机三系统是“透明的”,在提供安全保障的同时,为用户提供流畅的服务。但是三机三系统的架构整体成本较高,吞吐量也由于架构的复杂性而受影响。
技术实现思路
本专利技术针对传统网络安全隔离与信息交换技术存在的数据访问效率低、架构成本高等问题,提出了一种基于单向通道的网络安全隔离与信息交换方法及系统。本专利技术公开了一种基于单向通道的网络安全隔离与信息交换方法,数据由A网发送到B网,具体步骤包括:步骤1:数据采集:从指定的网络接口采集A网数据报文,并对数据报文进行如下处理,具体包括:步骤1.1:如果数据报文是ARP广播帧,且询问的是本网卡的MAC地址,则将该ARP广播帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP广播帧;步骤1.2:如果数据报文是ARP应答帧,且回答本网卡MAC地址的询问,则将该ARP应答帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP应答帧;步骤1.3:如果数据报文是IP协议的以太网帧,则通过单向通道发送到步骤2。步骤2:协议还原:将以太网帧中的IP数据包进行上层协议的还原,解析出TCP或UDP的上层应用协议。具体包括:步骤2.1:如果IP数据包的协议为TCP时,将TCP数据包进行协议还原,当识别出上层应用协议时,将还原的TCP数据包单向转发到步骤3;步骤2.2:如果IP数据包的协议为UDP时,将UDP数据包进行协议还原,当识别出上层应用协议时,将还原的UDP数据包单向转发到步骤3;步骤2.3:如果IP数据包为其它协议字段时,协议不是TCP或UDP时,丢弃该数据包。步骤3:数据审计:对进入该步骤中的数据包根据审计配置规则进行过滤和审查,将符合审计配置规则的数据包转发到步骤4;对不符合审计配置规则的数据包丢弃。步骤4:信息卸载和封装:在该步骤中将数据包中的载荷部分提取出来,根据封装配置规则,重新组装成新的数据包,具体包括:步骤4.1:如果数据包中存在载荷信息,则截断数据包的单向传送,提取载荷信息,根据封装配置规则中的映射地址和端口,重新在载荷信息上封装形成新的数据包,将新的数据包单向转发给步骤5;步骤4.2:如果数据包中不存在载荷信息,则根据封装配置规则中的映射地址和端口,直接将数据包单向转发给步骤5或者修改数据包中的特定字段后转发给步骤5。所述的特定字段包括但不限于源IP和源端口。步骤5:数据发送:对于从A网到B网的单向数据传送,单向发送到B网的数据流向为正向,单向发送到A网的数据流向为反向;设X为A或B;数据发送模块对接收到的ARP广播帧、ARP应答帧以及IP数据包分别进行如下处理:步骤5.1:如果是ARP广播帧,则根据地址配置规则表中的IP和MAC地址构造ARP应答帧发送到X网;步骤5.2:如果是ARP应答帧,则将ARP应答帧中的<IP,MAC>地址对添加到ARP映射表中;步骤5.3:如果是步骤4发送来的IP数据包,则查看地址转发表(Address Forwarding Table,AFT)是否有目的IP的MAC地址,如果有则构造数据帧直接发送到X网,否则转到步骤5.4;步骤5.4:在路由表中查找相应的路由表项,如果未找到相应的路由表项,则配置路由后再进行查找;如果找到相应的路由表项,获取下一跳路由器的IP地址,根据路由器的IP地址在ARP映射表中查找对应的MAC地址,如果未找到则构造ARP广播帧询问路由器的MAC地址,并暂时缓存该IP数据包,等待反向的数据采集转发回来的ARP应答帧以获取路由器的MAC地址;当获得路由器的MAC地址后,构造数据帧发送到X网,同时更新地址转发表。步骤6:重复上述步骤1~5直到数据发送完成。本专利技术相应地也公开了一种基于单向通道的网络安全隔离与信息交换系统,包括数据采集模块、协议还原模块、数据审计模块、信息卸载和封装模块、以及数据发送模块。所述的网络安全隔离与信息交换系统将数据从A网单向传输到B网,或者相反。下面是基于数据从A网单向传输到B网的情况进行说明。数据采集模块从指定的网络接口采集A网数据报文,对数据报文进行分类处理:(1)如果数据报文是ARP广播帧,且该ARP广播帧询问本网卡的MAC地址,则将该ARP广播帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP广播帧;所述的反向的数据发送模块是将数据本文档来自技高网...
【技术保护点】
一种基于单向通道的网络安全隔离与信息交换系统,用于将数据从A网单向传输到B网,其特征在于,所述的网络安全隔离与信息交换系统包括数据采集模块、协议还原模块、数据审计模块、信息卸载和封装模块、以及数据发送模块;数据采集模块从指定的网络接口采集A网数据报文,对数据报文进行分类处理:(1)如果数据报文是ARP广播帧,且该ARP广播帧询问本网卡的MAC地址,则将该ARP广播帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP广播帧;(2)如果数据报文是ARP应答帧,且该ARP应答帧回答本网卡MAC地址的询问,则将该ARP应答帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP应答帧;(3)如果数据报文是IP协议的以太网帧,则将该以太网帧通过单向通道发送到协议还原模块;(4)如果数据报文不是ARP广播帧、ARP应答帧和IP协议的以太网帧中的任意一种,丢弃该数据报文;协议还原模块将以太网帧中的IP数据包进行上层协议的还原;当IP数据包中的协议为TCP或UDP时,协议还原模块解析出TCP或UDP的上层应用协议,将还原的TCP或UDP数据包单向转发到数据审计模块;当IP数据包的协议不是TCP或UDP时,丢弃该数据包;数据审计模块根据审计配置规则对数据包进行过滤和审查,将符合规则的数据包转发到信息卸载和封装模块;信息卸载和封装模块对接收到的数据包进行处理,具体是:如果数据包中存在载荷信息,提取载荷信息,根据封装配置规则,重新在所提取的载荷信息上封装形成新的数据包,并将新的数据包单向转发给数据发送模块;如果数据包中不存在载荷信息,根据封装配置规则,将数据包直接单向转发给数据发送模块,或者修改数据包中的特定字段后转发给数据发送模块;对于从A网到B网的单向数据传送,正向的数据发送模块将数据单向发送到B网,反向的数据发送模块将数据单向发送到A网;设X为A或B;数据发送模块对接收到的ARP广播帧、ARP应答帧以及IP数据包分别进行如下处理:(1)对于ARP广播帧,根据地址配置规则表中的IP和MAC地址构造ARP应答帧发送到X网;所述的地址配置规则表中记录数据采集模块的IP和MAC地址;(2)对于ARP应答帧,将ARP应答帧中的<IP,MAC>地址对添加到ARP映射表中;(3)对于IP数据包,查看地址转发表是否有目的IP的MAC地址,如果有则构造数据帧直接发送到X网,否则在路由表中查找相应的路由表项,获取下一跳路由器的IP地址,根据路由器的IP地址在ARP映射表中查找对应的MAC地址,如果未找到则构造ARP广播帧询问路由器的MAC地址,等待转发回来的ARP应答帧以获取路由器的MAC地址,在获得路由器的MAC地址后,构造数据帧发送到X网,同时更新地址转发表;所述的地址转发表为IP与MAC地址的映射表。...
【技术特征摘要】
1.一种基于单向通道的网络安全隔离与信息交换系统,用于将数据从A网单向传输到B
网,其特征在于,所述的网络安全隔离与信息交换系统包括数据采集模块、协议还原模块、
数据审计模块、信息卸载和封装模块、以及数据发送模块;
数据采集模块从指定的网络接口采集A网数据报文,对数据报文进行分类处理:(1)如
果数据报文是ARP广播帧,且该ARP广播帧询问本网卡的MAC地址,则将该ARP广播帧
通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP广播帧;(2)如果数据报文
是ARP应答帧,且该ARP应答帧回答本网卡MAC地址的询问,则将该ARP应答帧通过单
向数据通道转发到反向的数据发送模块,否则丢弃该ARP应答帧;(3)如果数据报文是IP
协议的以太网帧,则将该以太网帧通过单向通道发送到协议还原模块;(4)如果数据报文不
是ARP广播帧、ARP应答帧和IP协议的以太网帧中的任意一种,丢弃该数据报文;
协议还原模块将以太网帧中的IP数据包进行上层协议的还原;当IP数据包中的协议为
TCP或UDP时,协议还原模块解析出TCP或UDP的上层应用协议,将还原的TCP或UDP
数据包单向转发到数据审计模块;当IP数据包的协议不是TCP或UDP时,丢弃该数据包;
数据审计模块根据审计配置规则对数据包进行过滤和审查,将符合规则的数据包转发到
信息卸载和封装模块;
信息卸载和封装模块对接收到的数据包进行处理,具体是:如果数据包中存在载荷信息,
提取载荷信息,根据封装配置规则,重新在所提取的载荷信息上封装形成新的...
【专利技术属性】
技术研发人员:杜飞,迟悦,
申请(专利权)人:北京锐驰信安技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。