一种基于协议内容识别的数据安全隔离网闸和方法技术

本发明专利技术涉及一种基于协议内容识别的数据安全隔离网闸和方法，包括：一个中心节点和多个边缘设备，所述的中心节点设有多个由一个用于将边缘设备中的视频流传输至中心节点的HDMI输入接口，和一个用于中心节点发送至边缘设备的视频流的HDMI输出接口所构成的HDMI端口，所述的各个HDMI端口通过两条HDMI线缆连接各自的边缘设备。本发明专利技术通过设置中心节点和边缘设备的方式使用隔离子网之间的联系，并利用HDMI端口作用中心节点和边缘设备之间的通讯端口，并采用CRC32校验、RS编码、zabbix等协议内容识别的方法对数据进行检验，即实现了子网之间的数据传递，又确保了网络安全。又确保了网络安全。又确保了网络安全。

【技术实现步骤摘要】
一种基于协议内容识别的数据安全隔离网闸和方法


[0001]本专利技术涉及一种基于协议内容识别的数据安全隔离网闸和方法，是一种计算机网络的安全设备和方法，是一种网闸隔离和检测视频数据的方法。

技术介绍

[0002]传随着智慧广电建设进程的推进，各级广播电视台站、融媒体中心都部署了大量的IT设备和生产保障设备。同时也部署了智慧运维平台以协助管理员及时应对设备的突发情况。因此，智慧运维平台通常通过微信、钉钉等即时通信软件将故障报警信息实时推送给管理员，从而要求智慧运维平台必须和互联网联通。但是，广播电视台站、融媒体中心的设备，尤其是与视音频内容相关的设备，由于安全性和保密性要求，不允许连接互联网，甚至不允许间接连接互联网，从而确保视音频内容不泄露、不被篡改。这与智慧运维的设备要求是矛盾的。因此，如何既可以保证保密设备的数据监测信息能够实时发送到智慧运维平台，又要即使智慧运维平台被攻陷，仍能够确保被攻陷的风险不会通过视频传输线缆扩大到保密设备，如何做到这一点，是一个需要解决的问题。

技术实现思路

[0003]为了克服现有技术的问题，本专利技术提出了一种基于协议内容识别的数据安全隔离网闸和方法。所述的隔离网闸和方法通过设置中心节点和边缘设备的方式使用隔离子网之间的联系，并利用协议内容识别的方式对子网之间传递的数据进行合法性检验，即实现了子网之间的数据传递，又确保了网络安全。
[0004]本专利技术的目的是这样实现的：一种基于协议内容识别的数据安全隔离网闸，包括：一个中心节点和多个边缘设备，所述的中心节点设有多个由一个用于将边缘设备中的视频流传输至中心节点的HDMI输入接口，和一个用于中心节点发送至边缘设备的视频流的HDMI输出接口所构成的HDMI端口，所述的各个HDMI端口通过两条HDMI线缆连接各自的边缘设备；所述的中心节点是设有CPU、内存、存储器的具有数字存储功能和数字运算功能的电子设备；所述的中心节点是负责采集HDMI线缆中的视频流，并将视频流转换为数据流，通过分析数据流中的协议内容，判断该数据流是否为合法数据流的设备；所述的边缘设备是设有CPU、内存、硬盘具有数字存储功能和数字运算功能的电子装置；所述的边缘设备设有至少一个用于通过以太网连接网络设备并进行通信的网口。
[0005]进一步的，所述的中心节点和网络边缘设备所使用的CPU是X86或ARM架构。
[0006]进一步的，所述的HDMI端口和两条HDMI线缆为HDMI1.3、1.4、2.0版本之一。
[0007]进一步的，所述的中心节点和网络边缘设备之间的负载协议为Zabbix。
[0008]一种使用上述数据安全隔离网闸的基于协议内容识别的数据安全隔离方法，包括：所述的中心节点用于采集HDMI线缆中的视频流，并将视频流转换为数据流，通过
分析数据流中的协议内容，判断该数据流是否为合法数据流，如合法，则根据数据流内容通过相应的HDMI线缆向子网进行发送，如数据流非法，则丢弃该数据流；所述的边缘设备用于接收子网内设备上报的监测数据，验证该数据流格式是否合法，以及是否符合通讯协议，不符合则丢弃该数据流，符合则将监测数据由Zabbix协议转换为视频流，由HDMI线缆发送给中心节点，所述的边缘设备还用于从HDMI线缆上采集中心节点发来的视频流，并转换为数据流，验证该数据流格式是否合法，以及是否符合Zabbix协议，不符合则丢弃该数据流，符合则依据数据流内容将监测数据发到子网。
[0009]进一步的，所述的中心节点的数据转发方法包括如下步骤：1）数据由HDMI线缆采集到之后转换为原始数据报文，并对原始数据报文判断是否合法；2）内置MAC表用于报文转发；3）将原始数据报文中的源MAC与发来该报文的HDMI端口关系存入MAC表便于回复报文端口查找；4）根据原始数据报文中的目的MAC在MAC表中查找是否存在对应的HDMI端口，如不存在，则向所有HDMI端口发送查询报文并等待回复，并将回复的MAC地址与HDMI端口关系存入MAC表；5）如存在，则将原始数据报文向该HDMI端口发送，发送过程与边缘设备一致。
[0010]进一步的，所述的边缘设备的Zabbix协议数据上行流程为：1）根据上报设备发送来的数据报文，判断是否符合IP协议，即IP头信息中记录的数据长度是否与报文长度匹配；2）根据数据报文IP协议内容，判断是否符合Zabbix协议，如果全部匹配，则验证成功，允许该报文继续传送，否则丢弃该报文；3）在报文头增加CRC32校验，并拆分为64字节的数据片段，不足64字节的数据片段进行补0填充，不足4段数据片段的补0填充，每4段数据片段进行RS纠错编码，生成1段校验数据，打包成320字节数据组，后续数据片段依次打包成数据组；4）数据包头与多个数据组依次排列形成基带数据包；5）将基带数据包依据BGR颜色表逐行填入图像矩阵，不足1帧图像的补0填充；6）图像分辨率设置为任何分辨率；7）多帧图像组成视频流由HDMI输出接口进行发送；边缘设备的Zabbix协议数据下行流程为：1）通过HDMI采集器采集HDMI输入接口的数据流；2）将数据流拆分成每一帧图像；3）逐行获取图像的BGR颜色并转换成基带数据流；4）在基带数据流中查找“EUCASG”字符串，如找到，则确定基带数据包的起始位置；5）依据基带数据包的协议版本和数据长度获取完整基带数据包；6）基带数据包以320字节为单位拆分成多个数据组；7）每个数据组以64字节为单位拆分成5个数据片段，5个数据片段根据RS纠删解码，得到4个原始数据片段；8）将每个数据组获得的原始数据片段依次排列形成原始数据报文，原始数据报文
根据头信息记录的CRC32校验码进行校验；9）根据原始数据报文，判断是否符合IP协议，即IP头信息中记录的数据长度是否与报文长度匹配；10）根据原始数据报文IP协议内容，判断是否符合Zabbix协议，如果全部匹配，则验证成功，允许该报文继续传送，否则丢弃该报文；11）原始数据报文通过以太网发送至相应设备。
[0011]进一步的，所述的基带数据包格式如下：第一栏为协议名称，长度为6字节；第二栏为协议版本，长度为1字节；第三栏为数据长度，长度为8字节；第四栏为纠删数据包依次排列。
[0012]进一步的，所述的判断是否符合Zabbix协议的判断如下：1）协议头是否由“ZBXD\x01”5字节起始；2）数据长度是否与报文匹配；3）数据内容是否为json格式；4）json内容是否存在关键key。
[0013]本专利技术的优点和有益效果是：本专利技术通过设置中心节点和边缘设备的方式使用隔离子网之间的联系，并利用HDMI端口作用中心节点和边缘设备之间的通讯端口，并采用CRC32校验、RS编码、zabbix等协议内容识别的方法对数据进行检验，即实现了子网之间的数据传递，又确保了网络安全。
附图说明
[0014]下面结合附图和实施例对本专利技术作进一步说明。
[0015]图1是本专利技术实施例一所述数据安全隔离网闸的原理示意图；图2是本专利技术实施例五中应用实例一的流程图。
具体本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于协议内容识别的数据安全隔离网闸，其特征在于，包括：一个中心节点和多个边缘设备，所述的中心节点设有多个由一个用于将边缘设备中的视频流传输至中心节点的HDMI输入接口，和一个用于中心节点发送至边缘设备的视频流的HDMI输出接口所构成的HDMI端口，所述的各个HDMI端口通过两条HDMI线缆连接各自的边缘设备；所述的中心节点是设有CPU、内存、存储器的具有数字存储功能和数字运算功能的电子设备；所述的中心节点是负责采集HDMI线缆中的视频流，并将视频流转换为数据流，通过分析数据流中的协议内容，判断该数据流是否为合法数据流的设备；所述的边缘设备是设有CPU、内存、硬盘具有数字存储功能和数字运算功能的电子装置；所述的边缘设备设有至少一个用于通过以太网连接网络设备并进行通信的网口。2.根据权利要求1所述的数据安全隔离网闸，其特征在于，所述的中心节点和网络边缘设备所使用的CPU是X86或ARM架构。3.根据权利要求2所述的数据安全隔离网闸，其特征在于，所述的HDMI端口和两条HDMI线缆为HDMI1.3、1.4、2.0版本之一。4.根据权利要求3所述的数据安全隔离网闸，其特征在于，所述的中心节点和网络边缘设备之间的负载协议为Zabbix。5.一种使用权利要求4所述数据安全隔离网闸的基于协议内容识别的数据安全隔离方法，其特征在于：所述的中心节点用于采集HDMI线缆中的视频流，并将视频流转换为数据流，通过分析数据流中的协议内容，判断该数据流是否为合法数据流，如合法，则根据数据流内容通过相应的HDMI线缆向子网进行发送，如数据流非法，则丢弃该数据流；所述的边缘设备用于接收子网内设备上报的监测数据，验证该数据流格式是否合法，以及是否符合通讯协议，不符合则丢弃该数据流，符合则将监测数据由Zabbix协议转换为视频流，由HDMI线缆发送给中心节点，所述的边缘设备还用于从HDMI线缆上采集中心节点发来的视频流，并转换为数据流，验证该数据流格式是否合法，以及是否符合Zabbix协议，不符合则丢弃该数据流，符合则依据数据流内容将监测数据发到子网。6.根据权利要求5所述的数据安全隔离方法，其特征在于，所述的中心节点的数据转发方法包括如下步骤：1）数据由HDMI线缆采集到之后转换为原始数据报文，并对原始数据报文判断是否合法；2）内置MAC表用于报文转发；3）将原始数据报文中的源MAC与发来该报文的HDMI端口关系存入MAC表便于回复报文端口查找；4）根据原始数据报文中的目的MAC在MAC表中查找是否存在对应的HDMI端口，如不存在，则向所有HDMI端口发送查询报文并等待回复，并将回...

【专利技术属性】
技术研发人员：王安，马永刚，黄贤强，张跃，
申请(专利权)人：北京精一强远科技有限公司，
类型：发明
国别省市：