本公开是关于一种网闸系统中的安全仲裁方法和装置,所述方法包括:接收来自专用网络和/或开放网络的数据报文;对接收的数据报文进行可靠性验证;当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,其中,任一所述预配置的策略包括匹配条件和执行规则;当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。本公开通过对数据报文进行可靠性检验并对数据报文进行策略匹配,按匹配的执行规则进行对应处理,能够避免恶意攻击并对数据报文进行预定处理避免数据泄露。
【技术实现步骤摘要】
一种网闸系统中的安全仲裁方法和装置
本公开涉及网络安全领域,尤其涉及一种网闸系统中的安全仲裁方法和装置。
技术介绍
在互联网应用中,为了安全性考虑,需要将开放网络,如因特网,与专用网络,如金融内部网络,轨交控制网络,进行物理隔离,同时也需要开放网络与专用网络进行数据通信。在这种情况下,需要引入网闸系统用于连接开放网络和专用网络。网闸系统可由双机或三机系统组成。对于三机系统,通常包括连接专用网络的内端机、连接开放网络的外端机和连接内端机和外端机的仲裁机。来自于开放网络的报文将会在外端机上终结,进行报文分组转换后发给内端机,内端机再重建网络报文。仲裁机在中间对内外端机的报文进行监控、仲裁,用以防止外端机发送的数据含有不符合规则的请求,避免攻击;防止内端机发送的数据含有不符合规则的请求,避免数据泄露。因此,提高网闸系统的安全性,特别是仲裁机的仲裁准确性,对保护专用网络具有重要的意义。因此,需要提供一种可靠的安全仲裁方案以保证专用网络的安全性。
技术实现思路
为克服相关技术中存在的问题,本公开提供一种网闸系统中的安全仲裁方法和装置。根据本公开实施例的第一方面,提供一种网闸系统中的安全仲裁方法,所述方法包括:接收来自专用网络和/或开放网络的数据报文;对接收的数据报文进行可靠性验证;当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,其中,任一所述预配置的策略包括匹配条件和执行规则;当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。可选的,所述方法还包括:检测接收的数据报文的长度是否正确;当所述数据报文的长度正确时,执行对接收的数据报文进行可靠性验证的步骤。可选的,所述可靠性验证包括完整性验证,所述对接收的数据报文进行可靠性验证包括:根据预设算法计算接收的数据报文的摘要值;将计算所得摘要值与接收的数据报文中携带的摘要值进行比较,以得到比较结果;根据所述比较结果确定接收的数据报文是否通过完整性验证。可选的,所述根据所述比较结果确定接收的数据报文是否通过完整性验证包括:当计算所得的摘要值与接收的数据报文中携带的摘要值相等时,确定接收的数据报文通过完整性验证。可选的,所述可靠性验证包括合法性验证,所述对接收的数据报文进行可靠性验证包括:提取接收的数据报文中所携带的签名信息;判断所述签名信息是否符合预设的签名要求;当所述签名信息符合预设的签名要求时,确定接收的数据报文通过合法性验证。可选的,所述方法还包括:在接收的数据报文通过可靠性验证之后,判断接收的数据报文的数据类型;当确定所述接收的数据报文的数据类型为业务数据时,执行将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配的步骤;当确定所述接收的数据报文的数据类型为配置数据时,根据所述配置数据中的配置文件进行策略配置,以形成所述预配置的策略。可选的,所述方法还包括:检测所述配置数据的数据来源是否合法;当确定所述配置数据的数据来源合法时,执行在根据所述配置数据中的配置文件进行策略配置的步骤。根据本公开实施例的第二方面,提供一种网闸系统中的安全仲裁装置,所述装置包括:通信模块,用于接收来自专用网络和/或开放网络的数据报文;验证模块,用于对接收的数据报文进行可靠性验证;匹配模块,用于当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,其中,任一所述预配置的策略包括匹配条件和执行规则;处理模块,用于当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。可选的,所述装置还包括:检测模块,用于检测接收的数据报文的长度是否正确,当所述数据报文的长度正确时,指示所述验证模块对接收的数据报文进行可靠性验证。可选的,所述装置还包括判断模块和配置模块:所述判断模块用于在接收的数据报文通过可靠性验证之后,判断接收的数据报文的数据类型;所述匹配模块用于当所述判断模块确定所述接收的数据报文的数据类型为业务数据时,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配;所述配置模块用于当所述判断模块确定所述接收的数据报文的数据类型为配置数据时,根据所述配置数据中的配置文件进行策略配置,以形成所述预配置的策略。本公开的实施例提供的技术方案可以包括以下有益效果:通过对数据报文进行可靠性检验并对数据报文进行策略匹配,按匹配的执行规则进行对应处理,能够避免恶意攻击并对数据报文进行预定处理避免数据泄露。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本专利技术的原理。图1是根据一示例性实施例示出的一种网闸系统中的安全仲裁方法的流程图。图2是根据一示例性实施例示出的检验数据报文长度的过程的流程图。图3是根据一示例性实施例示出的进行完整性验证的过程流程图。图4是根据一示例性实施例示出的进行合法性验证的过程流程图。图5是根据一示例性实施例示出的进行类型判断的过程流程图。图6是根据一示例性实施例示出的数据报文的格式的示意图;图7是根据一示例性实施例示出的应用实施例中技术方案的网络连接环境的示意图。图8是根据一示例性实施例示出的一种网闸系统中的安全仲裁方法的流程图。图9是根据一示例性实施例示出的一种网闸系统中的安全仲裁装置的结构框图。图10是根据一示例性实施例示出的一种网闸系统中的安全仲裁装置的结构框图。图11是根据一示例性实施例示出的一种网闸系统中的安全仲裁装置的结构框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。图1是根据一示例性实施例示出的一种网闸系统中的安全仲裁方法的流程图,该方法可用于仲裁机或其他进行网络安全性防护的设备中,以下示例性说明中以在仲裁机中执行本公开中方法为例进行说明,但本公开中方法不限于仅在仲裁机中运行。如图1所示,该方法可包括以下步骤。在步骤S11中,接收来自专用网络或开放网络的数据报文。举例而言,网闸系统可包括内端机、仲裁机和外端机。内端机和外端机通过PCIE(PeripheralComponentInterfaceExpress,外部器件互联扩展)总线与仲裁机相连接。外端机提供网络接口与不可信的开放网络连接,内端机提供网络接口与可信的专用网络连接,此外,内端机还可提供管理用的网口、串口等接入方式。仲裁机除了与内外端机连接的PCIE接口外,可以不提供控制接口。仲裁机可以从连接至专用网络的内端机中接收专用网络的数据报文,或者仲裁机可以从连接至开放网络的外端机中接收开放网络的数据报文,或者仲裁机既可从连接至专用网络的内端机中接收专用网络的数据报文又可从连接至开放网络的外端机中接收开放网络的数据报文。在步骤S12中,对接收的数据报文进行可靠性验证。举例而言,当仲裁机接收到专用网络的数据报文或开放网络的数据报本文档来自技高网...
【技术保护点】
一种网闸系统中的安全仲裁方法,其特征在于,所述方法包括:接收来自专用网络和/或开放网络的数据报文;对接收的数据报文进行可靠性验证;当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,其中,任一所述预配置的策略包括匹配条件和执行规则;当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。
【技术特征摘要】
1.一种网闸系统中的安全仲裁方法,其特征在于,所述方法包括:接收来自专用网络和/或开放网络的数据报文;对接收的数据报文进行可靠性验证;当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,其中,任一所述预配置的策略包括匹配条件和执行规则;当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。2.根据权利要求1所述的安全仲裁方法,其特征在于,所述方法还包括:检测接收的数据报文的长度是否正确;当所述数据报文的长度正确时,执行对接收的数据报文进行可靠性验证的步骤。3.根据权利要求1所述的安全仲裁方法,其特征在于,所述可靠性验证包括完整性验证,所述对接收的数据报文进行可靠性验证包括:根据预设算法计算接收的数据报文的摘要值;将计算所得摘要值与接收的数据报文中携带的摘要值进行比较,以得到比较结果;根据所述比较结果确定接收的数据报文是否通过完整性验证。4.根据权利要求3所述的安全仲裁方法,其特征在于,所述根据所述比较结果确定接收的数据报文是否通过完整性验证包括:当计算所得的摘要值与接收的数据报文中携带的摘要值相等时,确定接收的数据报文通过完整性验证。5.根据权利要求1或4所述的安全仲裁方法,其特征在于,所述可靠性验证包括合法性验证,所述对接收的数据报文进行可靠性验证包括:提取接收的数据报文中所携带的签名信息;判断所述签名信息是否符合预设的签名要求;当所述签名信息符合预设的签名要求时,确定接收的数据报文通过合法性验证。6.根据权利要求1至4任一所述的安全仲裁方法,其特征在于,所述方法还包括:在接收的数据报文通过可靠性验证之后,判断接收的数据报文的数据类型;当确定所述接收的数据报文的数据类型...
【专利技术属性】
技术研发人员:冯明,滕俐军,
申请(专利权)人:北京匡恩网络科技有限责任公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。