一种基于非网络层的通信系统及通信方法技术方案

本发明专利技术公开了一种基于非网络层的通信系统及通信方法，该系统包括支持二层转发能力的二层交换机、第一内网机、第二内网机、第一外网机和第二外网机；所述第一内网机和第二内网机均通过MAC接口与二层交换机连接，第一外网机和第二外网机之间通过IP网络连接，第一外网机通过MAC接口与第一内网机连接，第二外网机通过MAC接口与第二内网机连接。本发明专利技术中内网环境主机间与内外网环境主机间的数据均采用RAW Socket结合自定义数据结构方式，不再需要基于网络层的协议转发，杜绝基于网络层通讯信息被泄露的风险，而且自定义的数据结构能够根据用户自选择制定过滤数据的规则，增加定制化以适应不同业务或场景操作要求。应不同业务或场景操作要求。应不同业务或场景操作要求。

【技术实现步骤摘要】
一种基于非网络层的通信系统及通信方法


[0001]本专利技术涉及通讯
，具体涉及一种基于非网络层的通信系统及通信方法。

技术介绍

[0002]随着移动化办公、5G及物联网等业务的快速发展，网络数据无穷无尽，人们对数据的共享需求不断加大，无关地域，无关网络环境，越来越多的业务数据需要在外网与内网间通讯，而现有的基于数据库访问过滤的数据过滤方式已经无法满足业务的快速扩展需求。
[0003]当前内外网应用场景下都是基于常规IP/MASK过滤结合路由网关屏蔽，理论上来说，都是软件层次的一种策略实现以达到规范流量期望转达的目的。
[0004]由于是软件层次的策略实现，因此在当前已有技术实现中，可以通过基于网络层的协议数据操作来透传内网信息至外网，如VPN隧道技术、基于端口透传技术等，虽然应用层次和技术面存在差异，但就结果来说，无法从软件层次彻底避免内网信息被动泄露的可能。数据一旦泄露，意味着掌握该数据的公司或者个人对你已经了如指掌，任人宰割。
[0005]同时，由于内外网同时工作的需求正不断增加，基于网络层的协议数据操作来透传内网信息至外网会导致内网环境存在IPv4资源不足的情况，当然用IPv6可以大幅缓解，但是IPv6在系统的兼容性、软件支持度、用户配置习惯等场景下，不足以完全替代。

技术实现思路

[0006]专利技术目的：本专利技术目的是提供一种基于非网络层的通信系统及通信方法，解决了当前已有技术通过基于网络层的协议数据操作来透传内网信息至外网，无法彻底避免内网信息被动泄露的问题；还解决了基于网络层的协议数据操作来透传内网信息至外网会导致内网环境存在IPv4资源不足的问题。本专利技术中内网环境主机间与内外网环境主机间的数据均采用RAW Socket结合自定义数据结构方式，不再需要基于网络层的协议转发，杜绝基于网络层通讯信息被泄露的风险，而且自定义的数据结构能够根据用户自选择制定过滤数据的规则，增加定制化以适应不同业务或场景操作要求。
[0007]技术方案：本专利技术一种基于非网络层的通信系统，所述系统包括支持二层转发能力的二层交换机、第一内网机、第二内网机、第一外网机和第二外网机；所述第一内网机和第二内网机均通过MAC接口与二层交换机连接，第一外网机和第二外网机之间通过IP网络连接，第一外网机通过MAC接口与第一内网机连接，第二外网机通过MAC接口与第二内网机连接。
[0008]进一步的，所述第一内网机、第二内网机、第一外网机和第二外网机均包括有数据接收单元和数据发送单元；
[0009]所述数据发送单元包括第一过滤模块、数据拆分模块和发送模块；所述第一过滤模块用于将待发送的数据按照预设的过滤规则进行过滤；所述数据拆分模块用于将过滤之后放行的待发送数据进行拆分处理；所述发送模块将拆分之后的数据帧发送出去；
[0010]所述数据接收单元包括接收模块、数据重组模块、第二过滤模块和显示模块；所述
接收模块用于接收外部传输过来的数据帧；所述数据重组模块用于将接收的数据帧进行重组；所述第二过滤模块用于将重组之后的数据按照预设的过滤规则进行过滤；所述显示模块用于将过滤之后放行的数据显示出来。
[0011]进一步的，所述第一过滤模块和第二过滤模块中预设的过滤规则为数据类型过滤，或者为承载内容过滤，或者为数据类型过滤和承载内容过滤的叠加；
[0012]所述数据类型过滤是指对数据的消息类型进行判断，对符合条件的类型数据进行丢弃，不符合条件直接放行；
[0013]所述承载内容过滤是指将收发行为定义为Input/Output，对应关键字Flow，对发送方和接收方的Flow关键字是否等于Input/Output进行判断，对符合条件的类型数据进行丢弃，不符合条件直接放行。
[0014]进一步的，所述拆分处理的具体操作为：将过滤之后放行的待发送数据的首部加上预设帧头和预设公共头部得到初始数据帧，对初始数据帧进行判断，若初始数据帧的字节长度小于等于预设的最大传输字节长度，则输出初始数据帧；若初始数据帧的字节长度大于预设的最大传输字节长度，从初始数据帧首部拆分出与预设的最大传输字节长度相同的第一数据帧，将剩下的数据帧首部加上预设帧头之后记为第一剩余数据帧进行判断，若第一剩余数据帧的字节长度小于等于预设的最大传输字节长度，则输出第一数据帧和第一剩余数据帧，若第一剩余数据帧的字节长度大于预设的最大传输字节长度，从第一剩余数据帧首部拆分出与预设的最大传输字节长度相同的第二数据帧，将剩下的第一剩余数据帧首部加上预设帧头之后记为第二剩余数据帧进行判断，若第二剩余数据帧的字节长度小于等于预设的最大传输字节长度，则输出第一数据帧、第二数据帧和第二剩余数据帧，若第二剩余数据帧的字节长度大于预设的最大传输字节长度，从第二剩余数据帧首部拆分出与预设的最大传输字节长度相同的第三数据帧，将剩下的第二剩余数据帧首部加上预设帧头之后记为第三剩余数据帧进行判断；以此类推，直至记为第N剩余数据帧的字节长度小于等于预设的最大传输字节长度，则输出第一至第N数据帧和第N剩余数据帧，其中N为正整数。
[0015]进一步的，所述预设帧头的结构至少包括接收方的MAC地址、发送方的MAC地址、数据编号、数据帧的序号和拆分的总帧数。
[0016]进一步的，所述数据帧进行重组的具体操作为：收到数据帧之后，根据发送方的MAC地址进行组包，组包满足数据帧中数据编号相同且拆分的总帧数等于数据帧个数累计之和，然后按照数据帧序号的数值升序排列，将各个数据帧拼接，去除预设帧头和预设公共头部即可得到重组数据。
[0017]本专利技术还包括一种基于非网络层的通信方法，所述方法包括第一内网机与第二内网机在内网间双向通讯和第一内网机与第一外网机在内外网间双向通讯。
[0018]进一步的，所述第一内网机与第二内网机在内网间双向通讯的具体过程为：
[0019](1)第一内网机作为发送方获取第二内网机的MAC地址后，将待发送的数据按照预设的过滤规则进行过滤，过滤之后放行的待发送数据进行拆分处理得到拆分之后的数据帧，数据帧通过MAC层通讯方式发送至二层交换机，不能放行的数据直接本地丢弃；
[0020](2)二层交换机通过接收到的数据帧中的第二内网机MAC地址，将数据帧转发至第二内网机；
[0021](3)第二内网机作为接收方接收数据帧，然后将数据帧进行重组，重组之后的数据
按照预设的过滤规则进行过滤，过滤之后放行的数据显示出来，不能放行的数据直接丢弃。
[0022]进一步的，所述第一内网机与第一外网机在内外网间双向通讯的具体过程为：
[0023](1)第一内网机作为发送方获取第一外网机的MAC地址后，将待发送的数据按照预设的过滤规则进行过滤，过滤之后放行的待发送数据进行拆分处理得到拆分之后的数据帧，数据帧通过MAC层通讯方式发送至第一外网机，不能放行的数据直接本地丢弃；
[0024](2)第一外网机作为接收方接收数据帧，然后将数据帧进行重组，重组之后的数据按照预设的过滤规则进行过滤，过本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于非网络层的通信系统，其特征在于，所述系统包括支持二层转发能力的二层交换机、第一内网机、第二内网机、第一外网机和第二外网机；所述第一内网机和第二内网机均通过MAC接口与二层交换机连接，第一外网机和第二外网机之间通过IP网络连接，第一外网机通过MAC接口与第一内网机连接，第二外网机通过MAC接口与第二内网机连接。2.根据权利要求1所述的一种基于非网络层的通信系统，其特征在于：所述第一内网机、第二内网机、第一外网机和第二外网机均包括有数据接收单元和数据发送单元；所述数据发送单元包括第一过滤模块、数据拆分模块和发送模块；所述第一过滤模块用于将待发送的数据按照预设的过滤规则进行过滤；所述数据拆分模块用于将过滤之后放行的待发送数据进行拆分处理；所述发送模块将拆分之后的数据帧发送出去；所述数据接收单元包括接收模块、数据重组模块、第二过滤模块和显示模块；所述接收模块用于接收外部传输过来的数据帧；所述数据重组模块用于将接收的数据帧进行重组；所述第二过滤模块用于将重组之后的数据按照预设的过滤规则进行过滤；所述显示模块用于将过滤之后放行的数据显示出来。3.根据权利要求2所述的一种基于非网络层的通信系统，其特征在于：所述第一过滤模块和第二过滤模块中预设的过滤规则为数据类型过滤，或者为承载内容过滤，或者为数据类型过滤和承载内容过滤的叠加；所述数据类型过滤是指对数据的消息类型进行判断，对符合条件的类型数据进行丢弃，不符合条件直接放行；所述承载内容过滤是指将收发行为定义为Input/Output，对应关键字Flow，对发送方和接收方的Flow关键字是否等于Input/Output进行判断，对符合条件的类型数据进行丢弃，不符合条件直接放行。4.根据权利要求2所述的一种基于非网络层的通信系统，其特征在于，所述拆分处理的具体操作为：将过滤之后放行的待发送数据的首部加上预设帧头和预设公共头部得到初始数据帧，对初始数据帧进行判断，若初始数据帧的字节长度小于等于预设的最大传输字节长度，则输出初始数据帧；若初始数据帧的字节长度大于预设的最大传输字节长度，从初始数据帧首部拆分出与预设的最大传输字节长度相同的第一数据帧，将剩下的数据帧首部加上预设帧头之后记为第一剩余数据帧进行判断，若第一剩余数据帧的字节长度小于等于预设的最大传输字节长度，则输出第一数据帧和第一剩余数据帧，若第一剩余数据帧的字节长度大于预设的最大传输字节长度，从第一剩余数据帧首部拆分出与预设的最大传输字节长度相同的第二数据帧，将剩下的第一剩余数据帧首部加上预设帧头之后记为第二剩余数据帧进行判断，若第二剩余数据帧的字节长度小于等于预设的最大传输字节长度，则输出第一数据帧、第二数据帧和第二剩余数据帧，若第二剩余数据帧的字节长度大于预设的最大传输字节长度，从第二剩余数据帧首部拆分出与预设的最大传输字节长度相同的第三数据帧，将剩下的第二剩余数据帧首部加上预设帧头之后记为第三剩余数据帧进行判断；以此类推，直至记为第N剩余数据帧的字节长度小于等于预设的最大传输字节长度，则输出第一至第N数据帧和第N剩余数据帧，其中N为正整数。5.根据权利要求4所述的一种基于非网络层的通信系统，其特征在于：所述预设帧头的结构至少包括接收方的MAC地址、发送方的MAC地址、数据编号、数据帧的序号和拆分的总帧数。
6.根据权利要求5所述的一种基于非网络层的通信系统，其特征在于，所述数据帧进行重组的具体操作为：收到数据帧之后，根据发送方的MAC地址进行组包，组包满足数据帧中数据编号相同且拆分的总帧数等于数据帧个数累计之和，然后按照数据帧序号的数值升序排列，将各个数据帧拼接，去除预设帧头和预设公共头部即可得到重组数据。7.一种基于非网络层的通信方法，其特征在于，所述方法包括第一内网机与第二内网机在内网间双向通讯和第一内网机与第一外网机在内外网间双向通讯。8...

【专利技术属性】
技术研发人员：张仕峰，杨鸽，赵呈洋，董晓哲，
申请(专利权)人：矩阵时光数字科技有限公司，
类型：发明
国别省市：