本公开提供了一种基于密码的无协议跨网访问方法和系统,所述方法包括:内部网络获取当前用户的用于进行跨网访问的输入操作信息,对所述输入操作信息进行加密,将生成的加密数据通过内网计算机转发至跨网访问隔离区;跨网访问隔离区的内网单元对接收到的加密数据进行解密,对解密数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元,所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络。以此方式,采用基于密码的双单向传输链路,有效解决实时安全跨网访问问题,在实现身份有效核验和保证数据安全导入的同时,降低管理运维成本。降低管理运维成本。降低管理运维成本。
【技术实现步骤摘要】
基于密码的无协议跨网访问方法和系统
[0001]本公开的实施例一般涉及网络安全
,并且更具体地,涉及一种基于密码的无协议跨网访问方法和系统。
技术介绍
[0002]信息系统普遍存在于各行业网络中,根据安全需求,各行各业非敏感网络与敏感网络(或高密级网络)传输数据时,往往通过单向光闸来实现。在信息网络的域间访问时往往遇到如下的情况:用户在办公网(内网)经常需要访问外部同等密级或低级密网络或,通过外网网络进行办公、向办公内网下载数据,或是从外部网络运维内部网络中的信息系统,但内部网络往往密级更高,需要保证访问外部网络或从外网访问内网时数据不会泄露到外部网络中。
[0003]申请人在实现本申请技术方案的过程中发现,现有技术中采用多台主机或者通过隔离交换技术实现应用代理来达到多网访问的诉求。但是无论采用多台主机还是常规隔离交换技术,依然存在如下问题:
[0004]无法满足实时跨网访问的诉求,光闸类设备的单向使得数据只能单向发送,无法实现实时的数据交互,导致用户跨网办公、协作、运维困难;
[0005]无法实现身份有效核验,常规的身份核验机制采用软算法实现,容易被绕过或攻破,无法保证跨网访问时用户身份的合法性;
[0006]无法保证数据安全导入,在跨网访问时无论是跨网访问场景、还是日常办公场景,均涉及到数据导入的问题,存在数据传输过程中被篡改的问题,破坏内网的安全性;
[0007]管理运维成本高昂,访问多个外网既需要建设多个网络基础设施、提供多网访问场所,建设管理成本高昂。
技术实现思路
[0008]根据本公开的实施例,提供了一种基于密码的无协议跨网访问方案,来解决现有技术中的跨域访问存在的无法满足实时跨网访问的诉求、无法实现身份有效核验、无法保证数据安全导入,以及管理运维成本高昂的技术问题。
[0009]在本公开的第一方面,提供了一种基于密码的无协议跨网访问方法,包括:
[0010]内部网络获取当前用户的用于进行跨网访问的输入操作信息,对所述输入操作信息进行加密,将生成的加密数据通过内网计算机转发至跨网访问隔离区;
[0011]跨网访问隔离区的内网单元对接收到的加密数据进行解密,对解密数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元,所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络。
[0012]在一些实施例中,所述输入操作信息包括鼠标、键盘和USBKey的输入信息。
[0013]在一些实施例中,所述对所述输入操作信息进行加密,包括:
[0014]将所述输入操作信息封装为多个数据包,并对每个数据包进行逐包加密。
[0015]在一些实施例中,在所述对所述输入操作信息进行加密之后,所述方法还包括:
[0016]对生成的加密数据包利用加密设备对应证书进行签名;
[0017]所述对解密数据进行验证,包括:
[0018]对解密数据进行设备认证,协议检查和内容检查。
[0019]在一些实施例中,在所述外网单元获取解密数据后,所述方法还包括:
[0020]对当前用户的身份信息进行验证,在身份信息验证通过后,对当前用户的访问权限进行验证,并在访问权限验证通过后,将所述输入操作信息在虚拟机中释放,通过虚拟机访问外部网络。
[0021]在一些实施例中,还包括:
[0022]外网单元获取虚拟机显示的外部网络访问结果的音视频数据,将所述音视频数据发送至跨网访问隔离区的内网单元,跨网访问隔离区的内网单元在接收到所述音视频数据后,对所述音视频数据进行清洗,并将清洗后的音视频数据发送至内网计算机,由内网计算机进行声音播放和屏幕渲染。
[0023]在一些实施例中,还包括:
[0024]外网单元接收文件格式的外网数据,对所述外网数据进行格式检查和数据安全检查后,发送至内网单元,由内网单元通过单向光通道发送至内网计算机。
[0025]在本公开的第二方面,提供一种基于密码的无协议跨网访问系统,包括:
[0026]内部网络、跨网访问隔离区和外部网络;
[0027]其中,所述内部网络包括外设、终端访问模块和内网计算机,所述外设用于接收跨网访问的输入操作,所述终端访问模块用于捕获外设的输入操作信息,对外设的输入操作信息进行加密,并将加密数据发送至内网计算机;所述内网计算机用于接收所述加密数据,并将所述加密数据转发至所述跨网访问隔离区,以及,接收跨网访问隔离区返回的清洗后的音视频数据或者外网数据;
[0028]所述跨网访问隔离区包括密码处理单元、内网单元和外网单元,所述密码处理单元用于对所述加密数据进行解密,并将解密后的数据发送至内网单元;所述内网单元用于对解密后的数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元;所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络,以及获取虚拟机显示的外部网络访问结果的音视频数据,将所述音视频数据发送至内网单元,跨网访问由内网单元对所述音视频数据进行清洗,并将清洗后的音视频数据发送至内网计算机,由内网计算机进行声音播放和屏幕渲染。
[0029]在本公开的第三方面,提供了一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
[0030]在本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如以上所述的方法。
[0031]通过本公开的基于密码的无协议跨网访问方法,基于密码的双单向传输链路,有效解决实时安全跨网访问问题,在实现身份有效核验和保证数据安全导入的同时,降低管理运维成本。
[0032]
技术实现思路
部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
[0033]结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
[0034]图1示出了本公开实施例一的基于密码的无协议跨网访问方法的流程图;
[0035]图2示出了本公开实施例二的基于密码的无协议跨网访问系统的结构示意图;
[0036]图3示出了用来实施本公开的实施例的电子设备的示意性框图;
[0037]图4示出了本公开实施例三的基于密码的无协议跨网访问系统的应用实例示意图。
具体实施方式
[0038]为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
[0039]另外,本文中术语“和/或本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于密码的无协议跨网访问方法,其特征在于,包括:内部网络获取当前用户的用于进行跨网访问的输入操作信息,对所述输入操作信息进行加密,将生成的加密数据通过内网计算机转发至跨网访问隔离区;跨网访问隔离区的内网单元对接收到的加密数据进行解密,对解密数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元,所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络。2.根据权利要求1所述的方法,其特征在于,所述输入操作信息包括鼠标、键盘和USBKey的输入信息。3.根据权利要求1所述的方法,其特征在于,所述对所述输入操作信息进行加密,包括:将所述输入操作信息封装为多个数据包,并对每个数据包进行逐包加密。4.根据权利要求3所述的方法,其特征在于,在所述对所述输入操作信息进行加密之后,所述方法还包括:对生成的加密数据包利用加密设备对应证书进行签名;所述对解密数据进行验证,包括:对解密数据进行设备认证,协议检查和内容检查。5.根据权利要求4所述的方法,其特征在于,在所述外网单元获取解密数据后,所述方法还包括:对当前用户的身份信息进行验证,在身份信息验证通过后,对当前用户的访问权限进行验证,并在访问权限验证通过后,将所述输入操作信息在虚拟机中释放,通过虚拟机访问外部网络。6.根据权利要求5所述的方法,其特征在于,还包括:外网单元获取虚拟机显示的外部网络访问结果的音视频数据,将所述音视频数据发送至跨网访问隔离区的内网单元,跨网访问隔离区的内网单元在接收到所述音视频数据后,对所述音视频数据进行清洗,并将清洗后的音视频数据发送至内网计算机,由内网计算机进行声音播放和屏幕渲染。7...
【专利技术属性】
技术研发人员:李继勇,杨伟,唐三平,
申请(专利权)人:中铁信安北京信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。