网闸代理模块管理及数据转发技术制造技术

本发明专利技术公开了网闸代理模块管理及数据转发技术，该发明专利技术针对现有技术中网络应用ftp、邮件等无法直接在网闸环境下使用的不足，采用了基于应用层代理及私有协议的网闸数据转发技术的方案，实现在网闸提供的安全环境下，为ftp、邮件、网页浏览等上层应用提供底层数据转发功能的目的。

Gate agent module management and data forwarding technology

【技术实现步骤摘要】
网闸代理模块管理及数据转发技术
本专利技术涉及数据处理
，尤其涉及网闸代理模块管理及数据转发技术。
技术介绍
2007年3月份，发布了《电子政务保密管理指南》。《指南》中规定：按照信息保密的技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，若非涉密网络与互联网物理隔离，则采用双向网闸隔离涉密网络与非涉密网络连接，保证涉密数据不从高密级网络流向低密级网络。政府涉密网络、军工、电力等行业中含有大量的敏感信息及涉密数据(可能定级为涉密网或含有敏感数据的非涉密网)，这些涉密数据是绝对不能流入比它密级低的网络中的，但这些网络通常又需要能从密级低的网络中获取数据。网闸代理模块管理及数据转发技术是在网闸将涉密网络与非涉密网络物理隔离的基础上，以业务代理模块为单位，交换网闸相端的应用数据，使涉密网络用户能够安全的使用各种网络应用。
技术实现思路
本专利技术将处理隔离卡通信细节的模块也抽象为应用层代理，将其与普通的应用代理统一管理，从而使管理服务不依赖于具体的隔离卡硬件。首先，代理接收到用户请求并将数据以私有协议的方式发送给管理服务，管理服务将数据进行解析并校验，必要时对数据进行病毒检测；其次，再将数据以私有协议格式转到网闸的另一端；位于网闸另一端的管理服务将数据发送到相应的代理模块。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1是本专利技术流程图；图2是本专利技术以邮件及WEB功能举例流程图具体实施方式下面将结合附图，对本专利技术进行详细说明。所描述的详细案例仅是本专利技术的一部分，而不是对本专利技术的限制。网闸有两种主流的实现架构，一种称为三区构架，一种称为2+1架构。三区架构由由三个主板组成，每个主板运行一个操作系统。2+1架构，由两个主板和一个专用芯片组成。以下以2+1架构为基础进行说明。网闸代理模块管理及数据转发技术，不提供ftp代理、网页代理等具体的应用层面的功能，而是为这些上层应用提供穿透网闸的服务。该技术以代理模块为单位，以私有协议与代理模块通信，并以私有协议将数据发送到网闸的另一端。本技术将处理隔离卡通信细节的模块也抽象为应用层代理，将其与普通的应用代理统一管理，从而使管理服务不依赖于具体的隔离卡硬件。本技术工作流程大致为：首先，代理接收到用户请求并将数据以私有协议的方式发送给管理服务，管理服务将数据进行解析并校验，必要时对数据进行病毒检测，再将数据以私有协议格式转到网闸的另一端；位于网闸另一端的管理服务将数据发送到相应的代理模块。网闸代理模块管理及数据转发技术详细说明：首先应用层代理模块登录管理服务，管理服务支持tcp套接字、unix域流套接字两种连接方式。管理服务对代理模块合法性进行校验，并向代理模块发送校验结果。如果校验成功，代理模块与管理服务协商数据协议及数据传输使用的数据链路类型。管理服务支持tcp、UDP、unix域流套接字、管道、消息队列、共享内存等多种数据链路。管理服务创建完成数据链路后，向代理模块发送数据链路标识。为实现某种业务，需要在网闸两端各部署一个代理模块，分别登录网闸两端的管理服务。为了能够实时检测代理是否已终止，管理服务与代理模块使用登录连接会话来发送与接收心跳包。至此，代理模块与管理服务已完成握手过程，管理服务开始等待接收代理数据。管理服务接收到代理数据后，根据协商时使用的数据协议解析数据并对数据进行校验。此外，根据代理登录时的要求，在必要时对数据进行病毒检测。如果数据正确，管理服务根据数据来源是否为隔离卡代理模块，分两种情况处理。如果数据来源是普通的代理模块，不是隔离卡代理，那么管理服务首先在已登录的代理列表查找隔离卡代理模块，并将数据发送至隔离卡代理模块，由隔离卡代理模块将数据穿透隔离卡发送到网闸另一端的管理服务。如果数据源是隔离卡代理模块，那么说明数据是由位于网闸的另一端普通代理发送，管理服务从数据协议中提取产生该数据的原始代理模块类型，并在已登录的代理模块列表中，查到该类型的代理模块，并将数据发送至该模块。从技术的角度来说，可以通过将单进程多线程、io复用、非阻塞IO等编程技术组合起来使管理服务达到满负荷运行。因为该技术是从应用代理模块的维度进行抽象的，这种抽象方式决定了，管理服务所处理的客户端数量不会很多，但每个连接上的数据量很大。各种应用所产生的并发量由相应的代理模块来处理，对管理服务来说，只处理与代理模块之间的一个连接。以网页浏览功能为例，由网页代理模块处理http相关的业务及并发量，而管理服务只处理与网页代理之间的一个连接，但由网页所处理的数据量将都汇聚到该连接上。使用epoll处理IP复用时，应该使用水平触发模式，如果使用发缘触发模式，实现时很容易导致不能均匀处理各个代理模块的数据，在这个情况下，如果某个时间段内其中一个代理模块数据量很大，将导致其它模块的数据不能及时处理。实现该技术时，应用使用一个单独的线程来接收代理的连接请求，一个线程来处理已连接代理模块的合法性验证及协商过程，数据转发则可使用一个或多个线程。为了合理使用异步发送，管理服务应该为每个登录的代理模块创建发送缓冲区。此外，由于管理服务与各个代理模块使用多种通信方式，为了正确解析数据，管理应该为每个登录的代理模块创建一个接收缓冲区。以上对本专利技术实施例所提供的网闸代理模块管理及数据转发技术进行了详细介绍。本文中应用了具体个例对本专利技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本专利技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本专利技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本专利技术的限制。本文档来自技高网...

【技术保护点】
1.网闸代理模块管理及数据转发技术，该专利技术从业务维度实现网闸两端的数据交换。业务数据转发时，网闸两端的业务代理首先必须分别登录两端对应的管理服务进行鉴权及相关信息的协商，并且需要按管理服务规定的私有协议格式对数据进行封装。管理服务根据业务代理的唯一标识来将数据分发到对应的业务代理。

【技术特征摘要】
1.网闸代理模块管理及数据转发技术，该发明从业务维度实现网闸两端的数据交换。业务数据转发时，网闸两端的业务代理首先必须分别登录两端对应的管理服务进行鉴权及相关信息的协商，并且需要按管理服务规定的私有协议格式对数据进行封装。管理服务根据业务代理的唯一标识来将数据分发到对应的业务代理。2.根据权利...

【专利技术属性】
技术研发人员：杨育斌，王效中，柯宗贵，
申请(专利权)人：蓝盾信息安全技术有限公司，
类型：发明
国别省市：广东,44