一种安全通信方法及系统技术方案

本发明专利技术涉及一种安全通信方法及系统，该方法包括：过滤网关建立与汇聚单元通信的加密通信通道；过滤网关接收数据包，还原出数据包的应用层数据内容；过滤网关根据预设的内容过滤规则对应用层数据内容进行处理，过滤掉应用层数据内容不符合内容过滤规则的数据包；过滤网关将未被过滤的数据包通过加密通信通道发送给汇聚单元。本发明专利技术提供的一种安全通信方法及系统，可以确保过滤网关和汇聚单元之间的信息传输安全，实现了对包含不良信息和特定信息的数据包进行过滤，避免用户使用的终端接收到包含有信息威胁的数据包，保证了用户的信息安全，有效的防范了网络中的信息威胁。

A secure communication method and system

The invention relates to a method and system for secure communication, the method comprises the following steps: Filtering Gateway establishment and aggregation unit communication encryption communication channel; filtering gateway receives the data packet, restore data application layer data packet content filtering gateway; processing the application layer data content according to preset content filtering rules, filter out the application layer data the content does not comply with the rules of the data packet content filtering; Filtering Gateway will not be filtered packets sent through encrypted communication channel to the sink unit. A secure communication system and method provided by the invention can ensure the security of information transmission between the gateway and the filtering convergence unit, the realization of bad information and contains specific information packet filtering, terminal users to avoid receiving packets containing information threats, ensure the security of user information, effective the information in the network threat prevention.

【技术实现步骤摘要】
一种安全通信方法及系统
本专利技术涉及通信领域，尤其涉及一种安全通信方法及系统。
技术介绍
目前，互联网的数据量呈爆炸式增长，其中的信息安全也越来越引起人们的重视，然而，网络上充斥着各种各样的负面信息，主要包括恐怖暴力、色情、反政府等，还有对个人终端产生威胁的病毒感染信息和垃圾邮件等，还有就是利用网络窃取泄漏公司机密等信息威胁，这些信息威胁亟需进行处理。过滤网关作为专用设备，用于将有意义的数据转发给汇聚单元。然而，目前在过滤网关和汇聚单元之间的数据传输没有安全保障，通常，过滤网关用于根据特定规则对报文信息或数据包等进行过滤，过滤网关与汇聚单元之间的通信过程并不安全，缺乏保障，无法对网络中的这些信息威胁进行有效的防范。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术的不足，提供一种安全通信方法及系统。本专利技术解决上述技术问题的技术方案如下：一种安全通信方法，包括以下步骤：过滤网关建立与汇聚单元通信的加密通信通道；所述过滤网关接收数据包，还原出所述数据包的应用层数据内容；所述过滤网关根据预设的内容过滤规则对所述应用层数据内容进行处理，过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包；所述过滤网关将未被过滤的数据包通过所述加密通信通道发送给所述汇聚单元。本专利技术的有益效果是：本专利技术提供的一种安全通信方法，通过在过滤网关与汇聚单元之间建立通信的加密通信通道，可以确保过滤网关和汇聚单元之间的信息传输安全，并通过过滤网关还原出数据包的应用层内容，根据预设的内容过滤规则对所述数据包进行过滤，实现了对包含不良信息和特定信息的数据包进行过滤，避免用户使用的终端接收到包含有信息威胁的数据包，保证了用户的信息安全，还可以根据用户的需求设置需要过滤的内容，可以根据客户的需求进行定制化过滤，进一步提高信息的安全性，有效的防范了网络中的信息威胁。在上述技术方案的基础上，本专利技术还可以做如下改进。进一步地，所述过滤网关建立与汇聚单元通信的加密通信通道具体包括：过滤网关和汇聚单元分别获取对方的IP地址，并分别在所述过滤网关和所述汇聚单元设置地址过滤规则；所述过滤网关和所述汇聚单元之间执行IP地址过滤，建立用于通信的加密通信通道。采用上述进一步方案的有益效果是：通过地址过滤规则在过滤网关和汇聚单元之间建立加密的通信通道，可以提高过滤网关和汇聚单元之间的通信安全性。本专利技术解决上述技术问题的另一种技术方案如下：一种安全通信系统，包括：过滤网关和汇聚单元，所述过滤网关具体包括：通信单元，用于建立与汇聚单元通信的加密通信通道；处理单元，用于接收数据包，还原出所述数据包的应用层数据内容；过滤单元，用于根据预设的内容过滤规则对所述应用层数据内容进行处理，过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包；所述通信单元还用于将未被过滤的数据包通过所述加密通信通道发送给所述汇聚单元。本专利技术的有益效果是：本专利技术提供的一种安全通信系统，通过在过滤网关与汇聚单元之间建立通信的加密通信通道，可以确保过滤网关和汇聚单元之间的信息传输安全，并通过过滤网关还原出数据包的应用层内容，根据预设的内容过滤规则对所述数据包进行过滤，实现了对包含不良信息和特定信息的数据包进行过滤，避免用户使用的终端接收到包含有信息威胁的数据包，保证了用户的信息安全，还可以根据用户的需求设置需要过滤的内容，可以根据客户的需求进行定制化过滤，进一步提高信息的安全性，有效的防范了网络中的信息威胁。在上述技术方案的基础上，本专利技术还可以做如下改进。进一步地，所述过滤网关和所述汇聚单元分别用于获取对方的IP地址，并分别在所述过滤网关和所述汇聚单元设置地址过滤规则，并在所述过滤网关和所述汇聚单元之间执行IP地址过滤，建立用于通信的加密通信通道。采用上述进一步方案的有益效果是：通过地址过滤规则在过滤网关和汇聚单元之间建立加密的通信通道，可以提高过滤网关和汇聚单元之间的通信安全性。本专利技术附加的方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术实践了解到。附图说明图1为本专利技术实施例提供的一种安全通信方法的流程示意图；图2为本专利技术另一实施例提供的一种安全通信方法的流程示意图；图3为本专利技术另一实施例提供的一种安全通信方法的流程示意图；图4为本专利技术另一实施例提供的一种安全通信方法的流程示意图；图5为本专利技术另一实施例提供的一种安全通信方法的流程示意图；图6为本专利技术另一实施例提供的一种安全通信方法的流程示意图；图7为本专利技术另一实施例提供的一种安全通信系统的结构框架图；图8为本专利技术另一实施例提供的一种安全通信系统的网络拓扑图。具体实施方式以下结合附图对本专利技术的原理和特征进行描述，所举实例只用于解释本专利技术，并非用于限定本专利技术的范围。如图1所示，为本专利技术实施例提供的一种安全通信方法的流程示意图，该方法包括以下步骤：S1，过滤网关建立与汇聚单元通信的加密通信通道。例如，使过滤网关和汇聚单元之间分别获取对方的IP地址，并分别在过滤网关和汇聚单元设置IP地址过滤规则，使过滤网关和汇聚单元在通信之前根据预先设置的IP地址过滤规则执行IP地址过滤，这样就可以建立起一条加密的通信通道，可以提升数据在过滤网关与汇聚单元之间传输的安全性。又例如，过滤网关和汇聚单元之间可以基于对称认证密钥Ka/Ka'执行双向认证，并基于对称通信密钥Kc/Kc'建立加密移动通信。又例如，过滤网关和汇聚单元之间可以按预设的生成规则生成哈希值暗号，然后进行哈希值暗号匹配，当过滤网关和汇聚单元之间的哈希值暗号相同时，建立加密移动通信。S2，过滤网关接收数据包，还原出数据包的应用层数据内容。例如，这里以TCP报文为例，对还原过程进行说明。过滤网关在接收到数据包后，首先将数据包写入缓存文件，然后对写入缓存文件的数据包进行重组，还原为TCP连接数据，为协议识别提供了手段。写入缓存文件的数据包的内容可以包括：TCP连接的源IP地址、目标IP地址、源端口、目标端口、序列号、确认序号以及数据包的数据内容，对缓存后的数据包进行重组的过程可以利用TCP报头中的序号和确认序号进行。S3，过滤网关根据预设的内容过滤规则对应用层数据内容进行处理，过滤掉应用层数据内容不符合内容过滤规则的数据包。预设的内容过滤规则是预先由使用者设置的，并存储在过滤网关的数据表中，以便调用。例如，当需要对网络中的黄暴信息进行过滤时，可以预先设置一些黄暴词组作为检测关键词，当应用层数据内容出现预先设置的黄暴词组时，过滤掉包含检测关键词的数据包。又例如，当需要对包含公司机密信息的内容进行过滤时，可以预先设置一些公司机密信息的关键词，当应用层数据内容出现预先设置的包含公司机密信息的关键词时，过滤掉包含检测关键词的数据包，可以防止公司机密信息泄露。S4，过滤网关将未被过滤的数据包通过加密通信通道发送给汇聚单元。本实施例提供的一种安全通信方法，通过在过滤网关与汇聚单元之间建立通信的加密通信通道，可以确保过滤网关和汇聚单元之间的信息传输安全，并通过过滤网关还原出数据包的应用层内容，根据预设的内容过滤规则对数据包进行过滤，实现了对包含不良信息和特定信息的数据包进行过滤，避免用户使用的终端接收到包含有信息威胁的数据包，保证了用户的信息安全，还可以根据用户的需求设置需要过滤的内容，可本文档来自技高网...

【技术保护点】
一种安全通信方法，其特征在于，包括以下步骤：过滤网关建立与汇聚单元通信的加密通信通道；所述过滤网关接收数据包，还原出所述数据包的应用层数据内容；所述过滤网关根据预设的内容过滤规则对所述应用层数据内容进行处理，过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包；所述过滤网关将未被过滤的数据包通过所述加密通信通道发送给所述汇聚单元。

【技术特征摘要】
1.一种安全通信方法，其特征在于，包括以下步骤：过滤网关建立与汇聚单元通信的加密通信通道；所述过滤网关接收数据包，还原出所述数据包的应用层数据内容；所述过滤网关根据预设的内容过滤规则对所述应用层数据内容进行处理，过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包；所述过滤网关将未被过滤的数据包通过所述加密通信通道发送给所述汇聚单元。2.根据权利要求1所述的安全通信方法，其特征在于，所述过滤网关接收数据包，还原出所述数据包的应用层数据内容具体包括：所述过滤网关接收数据包，提取所述数据包中的目标IP地址、目标端口、源IP地址、源端口和传输层协议号，并根据所述目标IP地址、所述目标端口、所述源IP地址、所述源端口和所述传输层协议号计算所述数据包的哈希值；所述过滤网关将所述哈希值与预设的数据表中的哈希值进行匹配，当匹配到相同的哈希值时，过滤掉所述数据包；当未匹配到相同的哈希值时，还原出所述数据包的应用层数据内容。3.根据权利要求2所述的安全通信方法，其特征在于，所述过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包之后，还包括：所述过滤网关将所述哈希值存储在所述数据表中；所述过滤网关对所述数据表中哈希值的匹配次数进行监控，当在预设时间间隔内检测到匹配成功次数超过预设次数的哈希值时，向预设接收端发送疑似网络攻击的提示消息。4.根据权利要求1至3中任一项所述的安全通信方法，其特征在于，所述根据预设的内容过滤规则对所述应用层数据内容进行处理，过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包具体包括：根据所述内容过滤规则对所述应用层数据内容进行关键词检测，当检测到预设的关键词时，过滤掉所述应用层数据内容包含所述关键词的数据包。5.根据权利要求4所述的安全通信方法，其特征在于，所述当检测到预设的关键词时，则过滤掉所述数据包还包括：当检测到预设的关键词时，记录所述关键词；当所述应用层数据内容全部检测完毕后，根据预设的语义分析算法，依次对全部所述关键词进行处理，提取各所述关键词之前的一个紧邻的第一字符；判断所述第一字符是否能与所述关键词组合成新的词组，当结果为是时，提取所述关键词之后的一个紧邻的第二字符；判断所述关键词是否能与所述第二字符组合成新的词组，当结果为是时，则所述关键词为误判关键词；当全部所述关键词处理完毕后，从记录的全部所述关键词中去除所述误...

【专利技术属性】
技术研发人员：杜光东，
申请(专利权)人：深圳市盛路物联通讯技术有限公司，
类型：发明
国别省市：广东,44