亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于單向通道的網(wǎng)絡安全隔離與信息交換方法及系統(tǒng)的制作方法

文檔序號:7819814閱讀:321來源:國知局
一種基于單向通道的網(wǎng)絡安全隔離與信息交換方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于單向通道的網(wǎng)絡安全隔離與信息交換方法及系統(tǒng),屬于計算機網(wǎng)絡安全領域。網(wǎng)絡安全隔離與信息交換系統(tǒng)包括數(shù)據(jù)采集模塊、協(xié)議還原模塊、數(shù)據(jù)審計模塊、信息卸載和封裝模塊以及數(shù)據(jù)發(fā)送模塊。各模塊的實現(xiàn)可以采用硬件或/與軟件實現(xiàn)。網(wǎng)絡安全隔離與信息交換方法包括數(shù)據(jù)采集、協(xié)議還原、數(shù)據(jù)審計、信息卸載和封裝以及數(shù)據(jù)發(fā)送等步驟。本發(fā)明采用單向通道傳輸數(shù)據(jù),通過專用的數(shù)據(jù)包處理方法,對傳輸?shù)臄?shù)據(jù)進行審計和卸載,當出現(xiàn)故障時,會形成物理隔離。本發(fā)明的網(wǎng)絡安全隔離與信息交換方法及系統(tǒng)可以顯著提高數(shù)據(jù)吞吐率,有效保護不同網(wǎng)絡間的數(shù)據(jù)安全,防止非法用戶的入侵和控制,并降低了系統(tǒng)的成本。
【專利說明】
一種基于單向通道的網(wǎng)絡安全隔離與信息交換方法及系統(tǒng)

【技術領域】
[0001]本發(fā)明涉及計算機網(wǎng)絡安全領域,更確切的講,本發(fā)明涉及一種網(wǎng)絡安全隔離與信息交換方法及其系統(tǒng)。

【背景技術】
[0002]信息化是世界科學技術和社會發(fā)展的主流趨勢,國民經(jīng)濟和社會對于信息和信息系統(tǒng)的依賴性越來越大,信息通信技術的應用已經(jīng)滲透到人們生產(chǎn)、生活的方方面面,網(wǎng)絡間通信設備已經(jīng)成為不同機構(gòu)之間、個人之間交流的基本工具。我們在享受網(wǎng)絡帶來便利的同時也遭受到惡意代碼攻擊、黑客入侵、信息泄漏等問題的困擾。不同網(wǎng)絡之間的信息交互一方面要滿足不同的網(wǎng)絡之間進行信息共享的要求,解決信息孤島的問題。另一方面,也要在信息系統(tǒng)開放的同時防止核心涉密網(wǎng)絡遭受外部攻擊,防止信息外泄。從網(wǎng)絡安全的角度來看,網(wǎng)絡安全隔離與信息交換技術是一種能在保證重要網(wǎng)絡與其他網(wǎng)絡安全隔離的同時,實現(xiàn)高效、受控的安全數(shù)據(jù)交互的技術。在這樣的背景下,網(wǎng)絡安全隔離與信息交換具有重大的應用價值。傳統(tǒng)的實現(xiàn)方式如下:
[0003](I) “2+1”的系統(tǒng)架構(gòu)。包括“內(nèi)端機”+ “交換隔離矩陣”+ “外端機”,隔離部件采用雙工雙通道物理隔離安全板設計,安全板采用ASIC芯片為核心。整個架構(gòu)完全模擬實現(xiàn)了人工拷盤(Sneaker-net安全架構(gòu))的安全數(shù)據(jù)傳輸過程。內(nèi)端機和外端機具有獨立的存儲和運算單元,并具有獨立總線。內(nèi)端機和外端機分別是內(nèi)網(wǎng)和外網(wǎng)網(wǎng)絡協(xié)議的終點。所有過往的應用層數(shù)據(jù)都從內(nèi)網(wǎng)和外網(wǎng)的TCP/IP協(xié)議中剝離,被剝離的數(shù)據(jù)再通過數(shù)據(jù)遷移控制單元在內(nèi)外端機之間進行傳輸。由于安全性由物理隔離安全板來保證,不僅減緩了數(shù)據(jù)訪問的效率,而且對大多數(shù)的網(wǎng)絡應用協(xié)議支持較差。
[0004](2)三機三系統(tǒng)架構(gòu)。包括“內(nèi)端機”+ “仲裁機”+ “外端機”,內(nèi)端機和外端機分別是內(nèi)網(wǎng)和外網(wǎng)網(wǎng)絡協(xié)議的終點。所有過往的應用層信息都從內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)絡協(xié)議中剝離,被還原為應用層信息。這些信息再通過專用硬件和專用通信協(xié)議發(fā)送給仲裁系統(tǒng)。仲裁機對收到的應用層信息進行過濾檢查,控制網(wǎng)絡間傳播的信息內(nèi)容,同時能查殺惡意代碼,如病毒等。仲裁系統(tǒng)對信息內(nèi)容進行審查處理之后,再將確認為安全的數(shù)據(jù)發(fā)給內(nèi)/外端機的另一方,最終還原為通用的網(wǎng)絡協(xié)議包格式。在某種意義上來說,對于合法用戶的合理信息交換請求,三機三系統(tǒng)是“透明的”,在提供安全保障的同時,為用戶提供流暢的服務。但是三機三系統(tǒng)的架構(gòu)整體成本較高,吞吐量也由于架構(gòu)的復雜性而受影響。


【發(fā)明內(nèi)容】

[0005]本發(fā)明針對傳統(tǒng)網(wǎng)絡安全隔離與信息交換技術存在的數(shù)據(jù)訪問效率低、架構(gòu)成本高等問題,提出了一種基于單向通道的網(wǎng)絡安全隔離與信息交換方法及系統(tǒng)。
[0006]本發(fā)明公開了一種基于單向通道的網(wǎng)絡安全隔離與信息交換方法,數(shù)據(jù)由A網(wǎng)發(fā)送到B網(wǎng),具體步驟包括:
[0007]步驟1:數(shù)據(jù)采集:從指定的網(wǎng)絡接口采集A網(wǎng)數(shù)據(jù)報文,并對數(shù)據(jù)報文進行如下處理,具體包括:
[0008]步驟1.1:如果數(shù)據(jù)報文是ARP廣播幀,且詢問的是本網(wǎng)卡的MAC地址,則將該ARP廣播幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP廣播幀;
[0009]步驟1.2:如果數(shù)據(jù)報文是ARP應答幀,且回答本網(wǎng)卡MAC地址的詢問,則將該ARP應答幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP應答幀;
[0010]步驟1.3:如果數(shù)據(jù)報文是IP協(xié)議的以太網(wǎng)幀,則通過單向通道發(fā)送到步驟2。
[0011]步驟2:協(xié)議還原:將以太網(wǎng)幀中的IP數(shù)據(jù)包進行上層協(xié)議的還原,解析出TCP或UDP的上層應用協(xié)議。具體包括:
[0012]步驟2.1:如果IP數(shù)據(jù)包的協(xié)議為TCP時,將TCP數(shù)據(jù)包進行協(xié)議還原,當識別出上層應用協(xié)議時,將還原的TCP數(shù)據(jù)包單向轉(zhuǎn)發(fā)到步驟3 ;
[0013]步驟2.2:如果IP數(shù)據(jù)包的協(xié)議為UDP時,將UDP數(shù)據(jù)包進行協(xié)議還原,當識別出上層應用協(xié)議時,將還原的UDP數(shù)據(jù)包單向轉(zhuǎn)發(fā)到步驟3 ;
[0014]步驟2.3:如果IP數(shù)據(jù)包為其它協(xié)議字段時,協(xié)議不是TCP或UDP時,丟棄該數(shù)據(jù)包。
[0015]步驟3:數(shù)據(jù)審計:對進入該步驟中的數(shù)據(jù)包根據(jù)審計配置規(guī)則進行過濾和審查,將符合審計配置規(guī)則的數(shù)據(jù)包轉(zhuǎn)發(fā)到步驟4 ;對不符合審計配置規(guī)則的數(shù)據(jù)包丟棄。
[0016]步驟4:信息卸載和封裝:在該步驟中將數(shù)據(jù)包中的載荷部分提取出來,根據(jù)封裝配置規(guī)則,重新組裝成新的數(shù)據(jù)包,具體包括:
[0017]步驟4.1:如果數(shù)據(jù)包中存在載荷信息,則截斷數(shù)據(jù)包的單向傳送,提取載荷信息,根據(jù)封裝配置規(guī)則中的映射地址和端口,重新在載荷信息上封裝形成新的數(shù)據(jù)包,將新的數(shù)據(jù)包單向轉(zhuǎn)發(fā)給步驟5;
[0018]步驟4.2:如果數(shù)據(jù)包中不存在載荷信息,則根據(jù)封裝配置規(guī)則中的映射地址和端口,直接將數(shù)據(jù)包單向轉(zhuǎn)發(fā)給步驟5或者修改數(shù)據(jù)包中的特定字段后轉(zhuǎn)發(fā)給步驟5。所述的特定字段包括但不限于源IP和源端口。
[0019]步驟5:數(shù)據(jù)發(fā)送:對于從A網(wǎng)到B網(wǎng)的單向數(shù)據(jù)傳送,單向發(fā)送到B網(wǎng)的數(shù)據(jù)流向為正向,單向發(fā)送到A網(wǎng)的數(shù)據(jù)流向為反向;設X為A或B ;數(shù)據(jù)發(fā)送模塊對接收到的ARP廣播幀、ARP應答幀以及IP數(shù)據(jù)包分別進行如下處理:
[0020]步驟5.1:如果是ARP廣播幀,則根據(jù)地址配置規(guī)則表中的IP和MAC地址構(gòu)造ARP應答幀發(fā)送到X網(wǎng);
[0021 ] 步驟5.2:如果是ARP應答巾貞,則將ARP應答幀中的〈IP, MAO地址對添加到ARP映射表中;
[0022]步驟5.3:如果是步驟4發(fā)送來的IP數(shù)據(jù)包,則查看地址轉(zhuǎn)發(fā)表(AddressForwarding Table, AFT)是否有目的IP的MAC地址,如果有則構(gòu)造數(shù)據(jù)幀直接發(fā)送到X網(wǎng),否則轉(zhuǎn)到步驟5.4 ;
[0023]步驟5.4:在路由表中查找相應的路由表項,如果未找到相應的路由表項,則配置路由后再進行查找;如果找到相應的路由表項,獲取下一跳路由器的IP地址,根據(jù)路由器的IP地址在ARP映射表中查找對應的MAC地址,如果未找到則構(gòu)造ARP廣播幀詢問路由器的MAC地址,并暫時緩存該IP數(shù)據(jù)包,等待反向的數(shù)據(jù)采集轉(zhuǎn)發(fā)回來的ARP應答幀以獲取路由器的MAC地址;當獲得路由器的MAC地址后,構(gòu)造數(shù)據(jù)幀發(fā)送到X網(wǎng),同時更新地址轉(zhuǎn)發(fā)表。
[0024]步驟6:重復上述步驟I?5直到數(shù)據(jù)發(fā)送完成。
[0025]本發(fā)明相應地也公開了一種基于單向通道的網(wǎng)絡安全隔離與信息交換系統(tǒng),包括數(shù)據(jù)采集模塊、協(xié)議還原模塊、數(shù)據(jù)審計模塊、信息卸載和封裝模塊、以及數(shù)據(jù)發(fā)送模塊。所述的網(wǎng)絡安全隔離與信息交換系統(tǒng)將數(shù)據(jù)從A網(wǎng)單向傳輸?shù)紹網(wǎng),或者相反。下面是基于數(shù)據(jù)從A網(wǎng)單向傳輸?shù)紹網(wǎng)的情況進行說明。
[0026]數(shù)據(jù)采集模塊從指定的網(wǎng)絡接口采集A網(wǎng)數(shù)據(jù)報文,對數(shù)據(jù)報文進行分類處理:(I)如果數(shù)據(jù)報文是ARP廣播巾貞,且該ARP廣播幀詢問本網(wǎng)卡的MAC地址,則將該ARP廣播幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP廣播幀;所述的反向的數(shù)據(jù)發(fā)送模塊是將數(shù)據(jù)向A網(wǎng)發(fā)送;(2)如果數(shù)據(jù)報文是ARP應答幀,且回答本網(wǎng)卡MAC地址的詢問,則將該ARP應答幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP應答幀;(3)如果數(shù)據(jù)報文是IP協(xié)議的以太網(wǎng)幀,則將以太網(wǎng)幀通過單向通道發(fā)送到協(xié)議還原模塊;(4)如果數(shù)據(jù)報文不是ARP廣播幀、ARP應答幀和IP協(xié)議的以太網(wǎng)幀中的任意一種,丟棄該數(shù)據(jù)報文。
[0027]協(xié)議還原模塊將以太網(wǎng)幀中的IP數(shù)據(jù)包進行上層協(xié)議的還原,解析出TCP或UDP的上層應用協(xié)議,將還原的TCP或UDP數(shù)據(jù)包單向轉(zhuǎn)發(fā)到數(shù)據(jù)審計模塊。如果IP數(shù)據(jù)包的協(xié)議為TCP時,將TCP數(shù)據(jù)包進行協(xié)議還原,當識別出上層應用協(xié)議時,將還原的數(shù)據(jù)流單向轉(zhuǎn)發(fā)到數(shù)據(jù)審計模塊;如果IP數(shù)據(jù)包的協(xié)議為UDP時,將UDP數(shù)據(jù)包進行協(xié)議還原,當識別出上層應用協(xié)議時,將還原的數(shù)據(jù)流單向轉(zhuǎn)發(fā)到數(shù)據(jù)審計模塊。如果IP數(shù)據(jù)包的協(xié)議不是TCP與UDP,為其它協(xié)議字段時,丟棄該數(shù)據(jù)包。
[0028]數(shù)據(jù)審計模塊根據(jù)審計配置規(guī)則對數(shù)據(jù)包進行過濾和審查,將符合審計配置規(guī)則的數(shù)據(jù)包轉(zhuǎn)發(fā)到信息卸載和封裝模塊;將不符合審計配置規(guī)則的數(shù)據(jù)包丟棄。審計配置規(guī)則包括但不限于白名單、五元組的任意組合、機器學習獲得的協(xié)議特征串等。
[0029]信息卸載和封裝模塊對接收到的數(shù)據(jù)包進行處理,具體是:如果數(shù)據(jù)包中存在載荷信息,則截斷數(shù)據(jù)包的單向傳送,提取載荷信息,根據(jù)封裝配置規(guī)則,在載荷信息上重新封裝形成新的數(shù)據(jù)包,將新的數(shù)據(jù)包單向轉(zhuǎn)發(fā)給數(shù)據(jù)發(fā)送模塊;如果數(shù)據(jù)包中不存在載荷信息,則根據(jù)封裝配置規(guī)則,直接將數(shù)據(jù)包單向轉(zhuǎn)發(fā)給數(shù)據(jù)發(fā)送模塊,或者修改數(shù)據(jù)包中的特定字段后再轉(zhuǎn)發(fā)給數(shù)據(jù)發(fā)送模塊。所定義的特定字段包括但不限于源IP和源端口。所述的封裝配置規(guī)則,記錄地址和端口的映射關系,將源IP地址和源端口變換成不同的地址和端口,使得A網(wǎng)發(fā)送到B網(wǎng)的數(shù)據(jù)包隱藏A網(wǎng)拓撲結(jié)構(gòu)。
[0030]對于從A網(wǎng)到B網(wǎng)的單向數(shù)據(jù)傳送,正向的數(shù)據(jù)發(fā)送模塊將數(shù)據(jù)單向發(fā)送到B網(wǎng),反向的數(shù)據(jù)發(fā)送模塊將數(shù)據(jù)單向發(fā)送到A網(wǎng);設X為A或B。數(shù)據(jù)發(fā)送模塊對接收到的ARP廣播幀、ARP應答幀以及IP數(shù)據(jù)包分別進行如下處理:(I)對于ARP廣播幀,根據(jù)地址配置規(guī)則表中的IP和MAC地址構(gòu)造ARP應答幀發(fā)送到X網(wǎng);所述的地址配置規(guī)則表中記錄數(shù)據(jù)采集模塊的IP和MAC地址。(2)對于ARP應答巾貞,將ARP應答幀中的〈IP, MAO地址對添加到ARP映射表中。(3)對于IP數(shù)據(jù)包,查看地址轉(zhuǎn)發(fā)表是否有目的IP的MAC地址,如果有則構(gòu)造數(shù)據(jù)幀直接發(fā)送到X網(wǎng),否則在路由表中查找相應的路由表項,獲取下一跳路由器的IP地址,根據(jù)路由器的IP地址在ARP映射表中查找對應的MAC地址,如果未找到則構(gòu)造ARP廣播幀詢問路由器的MAC地址,并暫時緩存該IP數(shù)據(jù)包,等待轉(zhuǎn)發(fā)回來的ARP應答幀以獲取路由器的MAC地址,在獲得路由器的MAC地址后,構(gòu)造數(shù)據(jù)幀發(fā)送到X網(wǎng),同時更新地址轉(zhuǎn)發(fā)表。所述的地址轉(zhuǎn)發(fā)表為IP與MAC地址的映射表。
[0031]本發(fā)明公開了一種基于單向通道的網(wǎng)絡安全隔離與信息交換方法及系統(tǒng),與已公開的方法相比,具有如下優(yōu)點:
[0032](I)高性能:網(wǎng)絡安全隔離與信息交換系統(tǒng)各模塊采用單向通道傳輸數(shù)據(jù),與傳統(tǒng)的“2+1的系統(tǒng)架構(gòu)”和“三機三系統(tǒng)”相比,可以顯著提高數(shù)據(jù)吞吐率。
[0033](2)安全性:網(wǎng)絡安全隔離與信息交換系統(tǒng)各模塊通過單向通道相連,采用專用的數(shù)據(jù)包處理方法,對傳輸?shù)臄?shù)據(jù)進行審計和卸載,當出現(xiàn)故障時,會形成物理隔離,有效保護不同網(wǎng)絡間的數(shù)據(jù)安全,防止非法用戶的入侵和控制。
[0034](3)成本低:網(wǎng)絡安全隔離與信息交換系統(tǒng)可采用通用硬件平臺和安全內(nèi)核的操作系統(tǒng)。有效地降低了系統(tǒng)的成本。

【專利附圖】

【附圖說明】
[0035]圖1是本發(fā)明的網(wǎng)絡安全隔離與信息交換方法的步驟流程圖;
[0036]圖2是本發(fā)明的網(wǎng)絡安全隔離與信息交換系統(tǒng)的部署圖;
[0037]圖3是本發(fā)明的網(wǎng)絡安全隔離與信息交換系統(tǒng)的結(jié)構(gòu)示意圖。

【具體實施方式】
[0038]下面將結(jié)合附圖和實施例對本發(fā)明作進一步的詳細說明。
[0039]圖1給出了本發(fā)明基于單向通道的網(wǎng)絡安全隔離與信息交換方法步驟流程。數(shù)據(jù)由A網(wǎng)發(fā)送到B網(wǎng),在系統(tǒng)初始化并讀取相關取配置信息后,具體實施步驟如下:
[0040]步驟1:數(shù)據(jù)采集:從指定的網(wǎng)絡接口采集A網(wǎng)數(shù)據(jù)報文,根據(jù)數(shù)據(jù)報文類型進行處理,具體包括:
[0041]步驟1.1:如果數(shù)據(jù)報文是ARP廣播幀,且詢問本網(wǎng)卡的MAC地址,則將該ARP廣播幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP廣播幀;此處反向的數(shù)據(jù)發(fā)送模塊將構(gòu)建對應的ARP應答幀發(fā)送給A網(wǎng)。對于從A網(wǎng)到B網(wǎng)的單向數(shù)據(jù)傳送,單向發(fā)送到B網(wǎng)的數(shù)據(jù)流向為正向,單向發(fā)送到A網(wǎng)的數(shù)據(jù)流向為反向。
[0042]步驟1.2:如果數(shù)據(jù)報文是ARP應答幀,且回答本網(wǎng)卡MAC地址的詢問,則該ARP應答幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP應答幀。
[0043]步驟1.3:如果數(shù)據(jù)報文是IP協(xié)議的以太網(wǎng)幀,則通過單向通道發(fā)送到協(xié)議還原步驟2。
[0044]如果數(shù)據(jù)報文不是ARP廣播幀、ARP應答幀和IP協(xié)議的以太網(wǎng)幀中的任意一種,丟棄該數(shù)據(jù)報文,繼續(xù)采集并按照上面步驟1.1?1.3處理數(shù)據(jù)報文。
[0045]本發(fā)明實施例中安全隔離與信息交換設備,通過專用的數(shù)據(jù)包處理方法從指定的網(wǎng)絡接口采集數(shù)據(jù)幀。該方法為:在數(shù)據(jù)鏈路層判斷數(shù)據(jù)幀是否為ARP協(xié)議,并校驗其內(nèi)容是否和本網(wǎng)卡有關,若是則修改ARP數(shù)據(jù)幀的轉(zhuǎn)發(fā)路徑,進行反向的數(shù)據(jù)發(fā)送,否則丟棄該幀;如果為以太網(wǎng)的IP數(shù)據(jù)幀,則直接轉(zhuǎn)發(fā)到協(xié)議還原步驟,否則丟棄該幀。該專用的數(shù)據(jù)包處理方法基于現(xiàn)有數(shù)據(jù)包處理方法進行改進,具有如下特性:a)為了提高處理性能,不進行內(nèi)核的拷貝山)為了提高安全性,也不走傳統(tǒng)的TCP/IP協(xié)議棧。
[0046]步驟2:協(xié)議還原:將以太網(wǎng)幀中的IP數(shù)據(jù)包進行上層協(xié)議的還原,解析出TCP和UDP的上層應用協(xié)議。具體包括:
[0047]步驟2.1:如果IP數(shù)據(jù)包的協(xié)議為TCP時,將TCP數(shù)據(jù)包進行協(xié)議還原,當識別出上層應用協(xié)議時,將還原的數(shù)據(jù)流單向轉(zhuǎn)發(fā)到步驟3 ;
[0048]步驟2.2:如果IP數(shù)據(jù)包的協(xié)議為UDP時,將UDP數(shù)據(jù)包進行協(xié)議還原,當識別出上層應用協(xié)議時,將還原的數(shù)據(jù)流單向轉(zhuǎn)發(fā)到步驟3 ;
[0049]步驟2.3:如果IP數(shù)據(jù)包為其它協(xié)議字段時,丟棄該數(shù)據(jù)包。
[0050]該步驟中,解析出上層的應用協(xié)議即認為對協(xié)議還原完成,不需要緩存整個數(shù)據(jù)流的包。
[0051]步驟3:數(shù)據(jù)審計:對進入該步驟中的數(shù)據(jù)包進行過濾和審查,根據(jù)審計配置規(guī)貝U,將符合審計配置規(guī)則的數(shù)據(jù)包轉(zhuǎn)發(fā)到步驟4 ;對不符合審計配置規(guī)則的數(shù)據(jù)包,丟棄該數(shù)據(jù)包。
[0052]該步驟中,審計配置規(guī)則包括但不限于I)白名單;2)五元組的任意組合;所述的五元組為{源IP,目的IP,源端口,目的端口,協(xié)議} ;3)機器學習獲得的協(xié)議特征串。
[0053]步驟4:信息卸載和封裝:在該步驟中將數(shù)據(jù)包中的載荷部分提取出來,根據(jù)封裝配置規(guī)則,重新組裝成新的數(shù)據(jù)包,具體包括:
[0054]步驟4.1:如果數(shù)據(jù)包中存在載荷信息,則截斷數(shù)據(jù)包的單向傳送,提取載荷信息,根據(jù)封裝配置規(guī)則中的映射地址和端口,重新在載荷信息上封裝形成新的數(shù)據(jù)包,將新的數(shù)據(jù)包單向轉(zhuǎn)發(fā)給步驟5;
[0055]步驟4.2:如果數(shù)據(jù)包中不存在載荷信息,則根據(jù)封裝配置規(guī)則中的映射地址和端口,直接將數(shù)據(jù)包單向轉(zhuǎn)發(fā)給步驟5或者修改數(shù)據(jù)包中的特定字段后轉(zhuǎn)發(fā)給步驟5。所定義的特定字段包括但不限于源IP和源端口。
[0056]在該步驟中,對數(shù)據(jù)的提取直接在原始數(shù)據(jù)包中操作,不進行內(nèi)存的拷貝操作;其封裝配置中的映射規(guī)則截斷了單向的數(shù)據(jù)傳遞。封裝配置規(guī)則記錄了地址和端口的映射關系,將源IP地址和源端口變換成不同的地址和端口,使得A網(wǎng)發(fā)送到B網(wǎng)的數(shù)據(jù)包隱藏A網(wǎng)拓撲結(jié)構(gòu)。
[0057]步驟5:數(shù)據(jù)發(fā)送:數(shù)據(jù)發(fā)送模塊對接收到的ARP廣播幀、ARP應答幀以及IP數(shù)據(jù)包分別進行如下處理:
[0058]步驟5.1:如果是ARP廣播幀,對于正向的數(shù)據(jù)發(fā)送模塊,從反向的數(shù)據(jù)采集轉(zhuǎn)發(fā)來ARP廣播幀,根據(jù)地址配置規(guī)則表中的IP和MAC地址構(gòu)造ARP應答幀發(fā)送到B網(wǎng);對于步驟1.1正向數(shù)據(jù)采集獲取的ARP廣播幀由反向的數(shù)據(jù)發(fā)送模塊根據(jù)地址配置規(guī)則表中的IP和MAC地址構(gòu)造相應的ARP應答幀發(fā)送到A網(wǎng);
[0059]步驟5.2:如果是ARP應答巾貞,則將ARP應答幀中的〈IP, MAO地址對添加到ARP映射表中;
[0060]步驟5.3:如果是步驟4發(fā)送來的IP數(shù)據(jù)包,則查看地址轉(zhuǎn)發(fā)表是否有目的IP的MAC地址,如果有則構(gòu)造數(shù)據(jù)幀直接發(fā)送到B網(wǎng),否則轉(zhuǎn)到步驟5.4 ;
[0061]步驟5.4:在路由表中查找相應的路由表項,如果未找到相應的路由表項,則配置路由后再進行查找;如果找到相應的路由表項,獲取下一跳路由器的IP地址,根據(jù)路由器的IP地址在ARP映射表中查找對應的MAC地址,如果未找到則構(gòu)造ARP廣播幀詢問路由器的MAC地址,暫時緩存該IP數(shù)據(jù)包,等待反向的數(shù)據(jù)采集轉(zhuǎn)發(fā)回來的ARP應答幀,對ARP應答幀轉(zhuǎn)到步驟5.2執(zhí)行,以獲取路由器的MAC地址;如果找到,則構(gòu)造數(shù)據(jù)幀發(fā)送到B網(wǎng),同時更新地址轉(zhuǎn)發(fā)表。所述的地址轉(zhuǎn)發(fā)表包括目的IP地址和目的MAC地址的映射,并且為各映射關系〈IP,MAC〉設置生存周期,對地址轉(zhuǎn)發(fā)表內(nèi)超時的映射關系將刪除。地址轉(zhuǎn)發(fā)表AFT、路由表、ARP映射表的更新是自適應學習的,數(shù)據(jù)需要反向的數(shù)據(jù)采集來提供。
[0062]該步驟中使用的地址轉(zhuǎn)發(fā)表AFT、路由表、ARP映射表等信息可以由專用的硬件來實現(xiàn),也可以由軟件來實現(xiàn)。地址轉(zhuǎn)發(fā)表AFT包括了目的IP地址和目的MAC地址的映射,并且其〈目的IP,目的MAC〉對的生存周期根據(jù)網(wǎng)絡環(huán)境設置,超時將刪除該映射關系。
[0063]步驟6:重復上述步驟I?5直到信息交換完成。
[0064]本發(fā)明公開的基于單向通道的網(wǎng)絡安全隔離與信息交換系統(tǒng),具有可靠高速率的網(wǎng)間信息交換能力,主要部署于不能直接互聯(lián)而存在信息共享需求的兩個或多個網(wǎng)絡之間。本發(fā)明的網(wǎng)絡安全隔離與信息交換系統(tǒng)采用獨立模塊,模塊之間彼此獨立,每個模塊的實現(xiàn)可以采用硬件實現(xiàn),可以采用軟件實現(xiàn),也可以采用軟件與硬件相結(jié)合的方式實現(xiàn)。
[0065]接入網(wǎng)絡安全隔離與信息交換系統(tǒng):系統(tǒng)接入位置為網(wǎng)絡出口交換機或者路由器,接入點為交換機或路由器的關口模塊,系統(tǒng)部署如圖2的(a)和(b)所示,接入方式為光纖單向連接。圖2的(a)中,網(wǎng)絡安全隔離與信息交換系統(tǒng)接入在A網(wǎng)交換機和B網(wǎng)交換機之間;圖2的(b)中,網(wǎng)絡安全隔離與信息交換系統(tǒng)接入在A網(wǎng)交換機和B網(wǎng)出口路由器之間。
[0066]本發(fā)明的網(wǎng)絡安全隔離與信息交換系統(tǒng)主要包括如下模塊:數(shù)據(jù)采集模塊、協(xié)議還原模塊、數(shù)據(jù)審計模塊、信息卸載和封裝模塊、以及數(shù)據(jù)發(fā)送模塊。這些模塊將數(shù)據(jù)從A網(wǎng)單向傳輸?shù)紹網(wǎng),或者將數(shù)據(jù)從B網(wǎng)單向傳輸?shù)紸網(wǎng)。各個模塊沿數(shù)據(jù)流方向單向連接。如圖3所示,為網(wǎng)絡安全隔離與信息交換系統(tǒng)的結(jié)構(gòu)示意圖。下面結(jié)合圖3來說明各個模塊的功能。
[0067]網(wǎng)絡安全隔離與信息交換系統(tǒng)在應用前首先進行系統(tǒng)初始化,系統(tǒng)初始化是指從配置管理文件中讀取系統(tǒng)的配置信息。系統(tǒng)的配置信息包括系統(tǒng)的數(shù)據(jù)采集模塊IP地址、審計配置規(guī)則、封裝配置規(guī)則、地址配置規(guī)則表、地址轉(zhuǎn)發(fā)表AFT、路由表以及ARP映射表。配置信息加載成功后,系統(tǒng)監(jiān)聽網(wǎng)卡等待接收數(shù)據(jù)。
[0068]地址轉(zhuǎn)發(fā)表AFT、路由表、ARP映射表等信息可以由專用的硬件來實現(xiàn),也可以由軟件來實現(xiàn)。地址轉(zhuǎn)發(fā)表AFT包括了目的IP地址和目的MAC地址的映射,并且其內(nèi)映射條目<IP,MAC>的生存周期根據(jù)網(wǎng)絡環(huán)境設置,超時將刪除該映射關系。地址轉(zhuǎn)發(fā)表AFT的設計提高了數(shù)據(jù)轉(zhuǎn)發(fā)的效率。
[0069]下面基于數(shù)據(jù)從A網(wǎng)單向傳輸?shù)紹網(wǎng)的情況進行說明。
[0070]數(shù)據(jù)采集模塊:從指定的網(wǎng)絡接口采集A網(wǎng)數(shù)據(jù)報文。對采集的報文進行如下分類處理:(I)如果數(shù)據(jù)報文是ARP廣播巾貞,且詢問的本網(wǎng)卡的MAC地址,則將該ARP廣播幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP廣播幀;所述的反向的數(shù)據(jù)發(fā)送模塊是指將數(shù)據(jù)向A網(wǎng)發(fā)送的數(shù)據(jù)發(fā)送模塊,與數(shù)據(jù)從A網(wǎng)向B網(wǎng)單向傳輸?shù)姆较蛳喾矗聪虻臄?shù)據(jù)發(fā)送模塊將根據(jù)地址配置規(guī)則表中的IP和MAC地址構(gòu)造ARP應答幀發(fā)送到A網(wǎng);⑵如果數(shù)據(jù)報文是ARP應答巾貞,且回答本網(wǎng)卡MAC地址的詢問,則將該ARP應答幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP應答幀;(3)如果數(shù)據(jù)報文是IP協(xié)議的以太網(wǎng)幀,則將該以太網(wǎng)幀通過單向通道發(fā)送到協(xié)議還原模塊;(4)對不屬于(I)?(3)中任一所述的數(shù)據(jù)報文,丟棄該數(shù)據(jù)報文。
[0071]協(xié)議還原模塊:將以太網(wǎng)幀中的IP數(shù)據(jù)包進行上層協(xié)議的還原,解析出TCP和UDP的上層應用協(xié)議。將還原的TCP或UDP數(shù)據(jù)包單向轉(zhuǎn)發(fā)到數(shù)據(jù)審計模塊。如果IP數(shù)據(jù)包的協(xié)議為TCP時,將TCP數(shù)據(jù)包進行協(xié)議還原,當識別出上層應用協(xié)議時,將還原的數(shù)據(jù)流單向轉(zhuǎn)發(fā)到數(shù)據(jù)審計模塊;如果IP數(shù)據(jù)包的協(xié)議為UDP時,將UDP數(shù)據(jù)包進行協(xié)議還原,當識別出上層應用協(xié)議時,將還原的數(shù)據(jù)流單向轉(zhuǎn)發(fā)到數(shù)據(jù)審計模塊;如果IP數(shù)據(jù)包為其它協(xié)議字段時,丟棄該數(shù)據(jù)包。
[0072]數(shù)據(jù)審計模塊:對數(shù)據(jù)包進行過濾和審查,根據(jù)審計配置規(guī)則,將符合規(guī)則的數(shù)據(jù)包轉(zhuǎn)發(fā)到信息卸載和封裝模塊;否則,丟棄該數(shù)據(jù)包。審計配置規(guī)則包括但不限于白名單、五元組的任意組合、機器學習獲得的協(xié)議特征串等。所述的五元組包括源IP、目的IP、源端口、目的端口和協(xié)議。
[0073]信息卸載和封裝模塊將數(shù)據(jù)包中的載荷部分提取出來,根據(jù)封裝配置規(guī)則,重新組裝成新的數(shù)據(jù)包。封裝配置規(guī)則記錄了地址和端口映射關系,將源IP地址和源端口變換成不同的地址和端口,使本端網(wǎng)絡對對端網(wǎng)絡透明,使得A網(wǎng)發(fā)送到B網(wǎng)的數(shù)據(jù)包,對B網(wǎng)隱藏A網(wǎng)拓撲結(jié)構(gòu)。封裝配置規(guī)則所記錄的地址和端口映射是一個可以逆向的映射對,通過映射關系來達到對B網(wǎng)隱藏A網(wǎng)拓撲結(jié)構(gòu)的效果,實現(xiàn)了數(shù)據(jù)包單向傳送和隔離。如果數(shù)據(jù)包中存在載荷信息,則截斷數(shù)據(jù)包的單向傳送,提取載荷信息,根據(jù)封裝配置規(guī)則中的映射地址和端口,重新在載荷的信息上封裝成新的數(shù)據(jù)包,單向轉(zhuǎn)發(fā)給數(shù)據(jù)發(fā)送模塊;如果數(shù)據(jù)包中不存在載荷信息,則根據(jù)封裝配置規(guī)則中的映射地址和端口,直接單向轉(zhuǎn)發(fā)給數(shù)據(jù)發(fā)送模塊或者修改數(shù)據(jù)包中的特定字段后轉(zhuǎn)發(fā)給數(shù)據(jù)發(fā)送模塊。所定義的特定字段包括但不限于源IP和源端口。
[0074]對于從A網(wǎng)到B網(wǎng)的單向數(shù)據(jù)傳送,正向的數(shù)據(jù)發(fā)送模塊將數(shù)據(jù)單向發(fā)送到B網(wǎng),反向的數(shù)據(jù)發(fā)送模塊將數(shù)據(jù)單向發(fā)送到A網(wǎng)。對于從B網(wǎng)到A網(wǎng)的數(shù)據(jù)傳送,正向的數(shù)據(jù)發(fā)送模塊將數(shù)據(jù)單向發(fā)送到A網(wǎng),反向的數(shù)據(jù)發(fā)送模塊將數(shù)據(jù)單向發(fā)送到到B網(wǎng)。下面就數(shù)據(jù)流向為從A網(wǎng)到B網(wǎng)的正向的數(shù)據(jù)發(fā)送模塊來說明數(shù)據(jù)發(fā)送模塊的功能。
[0075]數(shù)據(jù)發(fā)送模塊主要將數(shù)據(jù)包根據(jù)地址轉(zhuǎn)發(fā)表(Address Forwarding Table, AFT)構(gòu)造成數(shù)據(jù)幀,通過單向通道發(fā)送到B網(wǎng)。數(shù)據(jù)發(fā)送模塊接收到三種數(shù)據(jù):ARP廣播幀、ARP應答幀以及IP數(shù)據(jù)包。如果是ARP廣播幀,則根據(jù)地址配置規(guī)則表中的IP和MAC地址構(gòu)造ARP應答幀發(fā)送到B網(wǎng)。如果是ARP應答幀,則將ARP應答幀中的〈IP, MAO地址對添加到ARP映射表中。如果是信息卸載和封裝模塊發(fā)送來的普通的IP數(shù)據(jù)包,則查看地址轉(zhuǎn)發(fā)表是否有目的IP的MAC地址,如果有則構(gòu)造數(shù)據(jù)幀直接發(fā)送到B網(wǎng),否則在路由表中查找相應的路由表項,如果未找到相應的路由表項,則需要配置路由;若找到相應的路由表項,獲取下一跳路由器的IP地址,根據(jù)路由器的IP地址在ARP映射表中查找路由器的MAC地址,如果未找到則構(gòu)造ARP廣播幀詢問路由器IP的MAC地址,暫時緩存所要發(fā)送的IP數(shù)據(jù)包,等待轉(zhuǎn)發(fā)回來的ARP應答幀以獲取路由器的MAC地址,獲得路由器的MAC地址后,構(gòu)造數(shù)據(jù)幀發(fā)送到B網(wǎng),同時更新地址轉(zhuǎn)發(fā)表。更新地址轉(zhuǎn)發(fā)表,就是在該表中添加新找到的目的IP和MAC地址的映射關系。所述的地址配置規(guī)則表記載的是上端網(wǎng)卡,也就是數(shù)據(jù)采集模塊的IP地址和MAC地址,用于構(gòu)造ARP應答包的時候使用,當數(shù)據(jù)發(fā)送模塊收到ARP廣播幀時,需要根據(jù)地址配置規(guī)則表中記錄的數(shù)據(jù)采集模塊的IP和MAC來構(gòu)造ARP應答幀,代理上端網(wǎng)卡來應答。通過路由表可獲取轉(zhuǎn)發(fā)路由器的IP地址,通過ARP映射表獲取已知IP地址對應的MAC地址。
[0076]由于網(wǎng)絡安全隔離與信息交換系統(tǒng)內(nèi)部各模塊沿數(shù)據(jù)流方向以單向連接,如圖3所示,各模塊的連接方法如下:上端控制A網(wǎng)到B網(wǎng)數(shù)據(jù)流的引擎為I,下端控制B網(wǎng)到A網(wǎng)數(shù)據(jù)流的引擎為II。引擎I和引擎II分別在A網(wǎng)端和B網(wǎng)端都具有數(shù)據(jù)收發(fā)的端口。弓丨擎I在A網(wǎng)端的數(shù)據(jù)采集模塊I單向連接引擎II在A網(wǎng)端的數(shù)據(jù)發(fā)送模塊II,引擎II在B網(wǎng)端的數(shù)據(jù)采集模塊II單向連接引擎I在B網(wǎng)端的數(shù)據(jù)發(fā)送模塊I。數(shù)據(jù)發(fā)送模塊II就作為A網(wǎng)向B網(wǎng)單向數(shù)據(jù)傳輸?shù)姆聪虻臄?shù)據(jù)發(fā)送模塊,數(shù)據(jù)發(fā)送模塊I就作為B網(wǎng)向A網(wǎng)單向數(shù)據(jù)傳輸?shù)姆聪虻臄?shù)據(jù)發(fā)送模塊。每個引擎中都包含一個數(shù)據(jù)采集模塊、一個數(shù)據(jù)發(fā)送模塊、一個協(xié)議還原模塊、一個數(shù)據(jù)審計模塊以及一個信息卸載和封裝模塊。引擎1:在A網(wǎng)端的輸入端口連接數(shù)據(jù)采集模塊I,數(shù)據(jù)采集模塊I的輸出單向連接協(xié)議還原模塊I,協(xié)議還原模塊I的輸出單向連接數(shù)據(jù)審計模塊I,數(shù)據(jù)審計模塊I的輸出單向連接信息卸載和封裝模塊I,信息卸載和封裝模塊I的輸出單向連接數(shù)據(jù)發(fā)送模塊I,數(shù)據(jù)發(fā)送模塊I的輸出單向連接A網(wǎng)端的輸出端口。在B網(wǎng)端的輸入端口連接數(shù)據(jù)采集模塊II,引擎II中沿B網(wǎng)到A網(wǎng)數(shù)據(jù)流方向的各模塊連接結(jié)構(gòu)與引擎I中沿A網(wǎng)到B網(wǎng)數(shù)據(jù)流方向的各模塊連接結(jié)構(gòu)相同,圖中通過給模塊名稱添加兩個引擎的編號I和II以區(qū)分。
[0077]通過專用的數(shù)據(jù)包處理方法從指定的網(wǎng)絡接口采集數(shù)據(jù)幀。該方法為:在數(shù)據(jù)鏈路層判斷數(shù)據(jù)幀是否為ARP協(xié)議,并校驗其內(nèi)容是否和本網(wǎng)卡有關,若是則修改ARP數(shù)據(jù)幀的轉(zhuǎn)發(fā)路徑,將該ARP數(shù)據(jù)幀發(fā)送到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該幀;如果為以太網(wǎng)的IP數(shù)據(jù)幀,則直接轉(zhuǎn)發(fā)到協(xié)議還原模塊,若也不是以太網(wǎng)的IP數(shù)據(jù)幀,則丟棄該幀。該專用的數(shù)據(jù)包處理方法基于現(xiàn)有數(shù)據(jù)包處理方法進行改進,為了提高處理性能,不進行內(nèi)核的拷貝;同時為了提高安全性,也不走傳統(tǒng)的TCP/IP協(xié)議棧。
【權利要求】
1.一種基于單向通道的網(wǎng)絡安全隔離與信息交換系統(tǒng),用于將數(shù)據(jù)從A網(wǎng)單向傳輸?shù)紹網(wǎng),其特征在于,所述的網(wǎng)絡安全隔離與信息交換系統(tǒng)包括數(shù)據(jù)采集模塊、協(xié)議還原模塊、數(shù)據(jù)審計模塊、信息卸載和封裝模塊、以及數(shù)據(jù)發(fā)送模塊; 數(shù)據(jù)采集模塊從指定的網(wǎng)絡接口采集A網(wǎng)數(shù)據(jù)報文,對數(shù)據(jù)報文進行分類處理:(I)如果數(shù)據(jù)報文是ARP廣播幀,且該ARP廣播幀詢問本網(wǎng)卡的MAC地址,則將該ARP廣播幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP廣播幀;(2)如果數(shù)據(jù)報文是ARP應答幀,且該ARP應答幀回答本網(wǎng)卡MAC地址的詢問,則將該ARP應答幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP應答幀;(3)如果數(shù)據(jù)報文是IP協(xié)議的以太網(wǎng)幀,則將該以太網(wǎng)幀通過單向通道發(fā)送到協(xié)議還原模塊;(4)如果數(shù)據(jù)報文不是ARP廣播幀、ARP應答幀和IP協(xié)議的以太網(wǎng)幀中的任意一種,丟棄該數(shù)據(jù)報文; 協(xié)議還原模塊將以太網(wǎng)幀中的IP數(shù)據(jù)包進行上層協(xié)議的還原;當IP數(shù)據(jù)包中的協(xié)議為TCP或UDP時,協(xié)議還原模塊解析出TCP或UDP的上層應用協(xié)議,將還原的TCP或UDP數(shù)據(jù)包單向轉(zhuǎn)發(fā)到數(shù)據(jù)審計模塊;當IP數(shù)據(jù)包的協(xié)議不是TCP或UDP時,丟棄該數(shù)據(jù)包; 數(shù)據(jù)審計模塊根據(jù)審計配置規(guī)則對數(shù)據(jù)包進行過濾和審查,將符合規(guī)則的數(shù)據(jù)包轉(zhuǎn)發(fā)到信息卸載和封裝模塊; 信息卸載和封裝模塊對接收到的數(shù)據(jù)包進行處理,具體是:如果數(shù)據(jù)包中存在載荷信息,提取載荷信息,根據(jù)封裝配置規(guī)則,重新在所提取的載荷信息上封裝形成新的數(shù)據(jù)包,并將新的數(shù)據(jù)包單向轉(zhuǎn)發(fā)給數(shù)據(jù)發(fā)送模塊;如果數(shù)據(jù)包中不存在載荷信息,根據(jù)封裝配置規(guī)則,將數(shù)據(jù)包直接單向轉(zhuǎn)發(fā)給數(shù)據(jù)發(fā)送模塊,或者修改數(shù)據(jù)包中的特定字段后轉(zhuǎn)發(fā)給數(shù)據(jù)發(fā)送模塊; 對于從A網(wǎng)到B網(wǎng)的單向數(shù)據(jù)傳送,正向的數(shù)據(jù)發(fā)送模塊將數(shù)據(jù)單向發(fā)送到B網(wǎng),反向的數(shù)據(jù)發(fā)送模塊將數(shù)據(jù)單向發(fā)送到A網(wǎng);設X為A或B ; 數(shù)據(jù)發(fā)送模塊對接收到的ARP廣播幀、ARP應答幀以及IP數(shù)據(jù)包分別進行如下處理:(I)對于ARP廣播巾貞,根據(jù)地址配置規(guī)則表中的IP和MAC地址構(gòu)造ARP應答幀發(fā)送到X網(wǎng);所述的地址配置規(guī)則表中記錄數(shù)據(jù)采集模塊的IP和MAC地址;(2)對于ARP應答幀,將ARP應答幀中的〈IP,MAO地址對添加到ARP映射表中;(3)對于IP數(shù)據(jù)包,查看地址轉(zhuǎn)發(fā)表是否有目的IP的MAC地址,如果有則構(gòu)造數(shù)據(jù)幀直接發(fā)送到X網(wǎng),否則在路由表中查找相應的路由表項,獲取下一跳路由器的IP地址,根據(jù)路由器的IP地址在ARP映射表中查找對應的MAC地址,如果未找到則構(gòu)造ARP廣播幀詢問路由器的MAC地址,等待轉(zhuǎn)發(fā)回來的ARP應答幀以獲取路由器的MAC地址,在獲得路由器的MAC地址后,構(gòu)造數(shù)據(jù)幀發(fā)送到X網(wǎng),同時更新地址轉(zhuǎn)發(fā)表;所述的地址轉(zhuǎn)發(fā)表為IP與MAC地址的映射表。
2.根據(jù)權利要求1所述的一種基于單向通道的網(wǎng)絡安全隔離與信息交換系統(tǒng),其特征在于,所述的數(shù)據(jù)審計模塊,其使用的審計配置規(guī)則包括:1)白名單;2)五元組{源IP,目的IP,源端口,目的端口,協(xié)議}中的任意組合;3)機器學習獲得的協(xié)議特征串。
3.根據(jù)權利要求1所述的一種基于單向通道的網(wǎng)絡安全隔離與信息交換系統(tǒng),其特征在于,所述的封裝配置規(guī)則,記錄地址和端口的映射關系,將源IP地址和源端口變換成不同的地址和端口,使得A網(wǎng)發(fā)送到B網(wǎng)的數(shù)據(jù)包隱藏A網(wǎng)拓撲結(jié)構(gòu)。
4.根據(jù)權利要求1所述的一種基于單向通道的網(wǎng)絡安全隔離與信息交換系統(tǒng),其特征在于,所述的網(wǎng)絡安全隔離與信息交換系統(tǒng),在A網(wǎng)與B網(wǎng)之間進行數(shù)據(jù)交互,設上端控制A網(wǎng)到B網(wǎng)數(shù)據(jù)流的引擎為I,下端控制B網(wǎng)到A網(wǎng)數(shù)據(jù)流的引擎為II ;引擎I和引擎II分別在A網(wǎng)端和B網(wǎng)端都具有數(shù)據(jù)收發(fā)的端口 ;每個引擎中都包含五個功能模塊:一個數(shù)據(jù)采集模塊、一個協(xié)議還原模塊、一個數(shù)據(jù)審計模塊、一個信息卸載和封裝模塊以及一個數(shù)據(jù)發(fā)送模塊;引擎I在A網(wǎng)端的數(shù)據(jù)采集模塊單向連接引擎II在A網(wǎng)端的數(shù)據(jù)發(fā)送模塊,弓丨擎II在B網(wǎng)端的數(shù)據(jù)采集模塊單向連接引擎I在B網(wǎng)端的數(shù)據(jù)發(fā)送模塊;各引擎中:對應網(wǎng)端的輸入連接數(shù)據(jù)采集模塊,數(shù)據(jù)采集模塊的輸出單向連接協(xié)議還原模塊,協(xié)議還原模塊的輸出單向連接數(shù)據(jù)審計模塊,數(shù)據(jù)審計模塊的輸出單向連接信息卸載和封裝模塊,信息卸載和封裝模塊的輸出單向連接數(shù)據(jù)發(fā)送模塊,數(shù)據(jù)發(fā)送模塊的輸出單向連接對應網(wǎng)端的輸出端口。
5.一種基于單向通道的網(wǎng)絡安全隔離與信息交換方法,數(shù)據(jù)由A網(wǎng)單向發(fā)送到B網(wǎng),其特征在于,包括如下步驟: 步驟1:數(shù)據(jù)采集:從指定的網(wǎng)絡接口采集A網(wǎng)數(shù)據(jù)報文,并對數(shù)據(jù)報文進行如下處理,具體包括: 步驟1.1:如果數(shù)據(jù)報文是ARP廣播幀,且詢問本網(wǎng)卡的MAC地址,則將該ARP廣播幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP廣播幀; 步驟1.2:如果數(shù)據(jù)報文是ARP應答巾貞,且回答本網(wǎng)卡MAC地址的詢問,則將該ARP應答幀通過單向數(shù)據(jù)通道轉(zhuǎn)發(fā)到反向的數(shù)據(jù)發(fā)送模塊,否則丟棄該ARP應答幀; 步驟1.3:如果數(shù)據(jù)報文是IP協(xié)議的以太網(wǎng)幀,則通過單向通道將以太網(wǎng)幀發(fā)送到步驟2處理; 步驟2:協(xié)議還原:將以太網(wǎng)幀中的IP數(shù)據(jù)包進行上層協(xié)議的還原,解析出TCP或UDP的上層應用協(xié)議,具體包括: 步驟2.1:如果IP數(shù)據(jù)包的協(xié)議為TCP時,將TCP數(shù)據(jù)包進行協(xié)議還原,當識別出上層應用協(xié)議時,將還原的TCP數(shù)據(jù)包單向轉(zhuǎn)發(fā)到步驟3 ; 步驟2.2:如果IP數(shù)據(jù)包的協(xié)議為UDP時,將UDP數(shù)據(jù)包進行協(xié)議還原,當識別出上層應用協(xié)議時,將還原的UDP數(shù)據(jù)包單向轉(zhuǎn)發(fā)到步驟3 ; 步驟2.3:如果IP數(shù)據(jù)包的協(xié)議不是TCP或UDP時,丟棄該數(shù)據(jù)包; 步驟3:數(shù)據(jù)審計:對進入該步驟中的數(shù)據(jù)包根據(jù)審計配置規(guī)則進行過濾和審查,將符合規(guī)則的數(shù)據(jù)包轉(zhuǎn)發(fā)到步驟4 ;對不符合規(guī)則的數(shù)據(jù)包丟棄; 步驟4:信息卸載和封裝,具體是: 步驟4.1:如果數(shù)據(jù)包中存在載荷信息,提取載荷信息,根據(jù)封裝配置規(guī)則中的映射地址和端口,重新在載荷信息上封裝形成新的數(shù)據(jù)包,將新的數(shù)據(jù)包單向轉(zhuǎn)發(fā)給步驟5 ; 步驟4.2:如果數(shù)據(jù)包中不存在載荷信息,則根據(jù)封裝配置規(guī)則中的映射地址和端口,直接單向轉(zhuǎn)發(fā)給步驟5或者修改數(shù)據(jù)包中的特定字段后轉(zhuǎn)發(fā)給步驟5 ; 步驟5:數(shù)據(jù)發(fā)送:對于從A網(wǎng)到B網(wǎng)的單向數(shù)據(jù)傳送,單向發(fā)送到B網(wǎng)的數(shù)據(jù)流向為正向,單向發(fā)送到A網(wǎng)的數(shù)據(jù)流向為反向;設X為A或B ;數(shù)據(jù)發(fā)送模塊對接收到的ARP廣播幀、ARP應答幀以及IP數(shù)據(jù)包分別進行如下處理: 步驟5.1:如果是ARP廣播幀,則根據(jù)地址配置規(guī)則表中的IP和MAC地址構(gòu)造ARP應答幀發(fā)送到X網(wǎng); 步驟5.2:如果是ARP應答幀,則將ARP應答幀中的〈IP, MAO地址對添加到ARP映射表中; 步驟5.3:如果是IP數(shù)據(jù)包,則查看地址轉(zhuǎn)發(fā)表是否有目的IP的MAC地址,如果有則構(gòu)造數(shù)據(jù)幀直接發(fā)送到X網(wǎng),否則轉(zhuǎn)到步驟5.4 ; 步驟5.4:在路由表中查找相應的路由表項,如果未找到相應的路由表項,則配置路由后再進行查找;如果找到相應的路由表項,獲取下一跳路由器的IP地址,根據(jù)路由器的IP地址在ARP映射表中查找對應的MAC地址,如果未找到則構(gòu)造ARP廣播幀詢問路由器的MAC地址,并暫時緩存該IP數(shù)據(jù)包,等待反向的數(shù)據(jù)采集轉(zhuǎn)發(fā)回來的ARP應答幀以獲取路由器的MAC地址;當獲得路由器的MAC地址后,構(gòu)造數(shù)據(jù)幀發(fā)送到X網(wǎng),同時更新地址轉(zhuǎn)發(fā)表; 步驟6:重復上述步驟I?5直到數(shù)據(jù)發(fā)送完成。
6.根據(jù)權利要求5所述的基于單向通道的網(wǎng)絡安全隔離與信息交換方法,其特征在于,步驟3中所述的審計配置規(guī)則包括:1)白名單;2)五元組{源IP,目的IP,源端口,目的端口,協(xié)議}中的任意組合;3)機器學習獲得的協(xié)議特征串。
7.根據(jù)權利要求5所述的基于單向通道的網(wǎng)絡安全隔離與信息交換方法,其特征在于,步驟4中所述的封裝配置規(guī)則,記錄地址和端口的映射關系,將源IP地址和源端口變換成不同的地址和端口,使得A網(wǎng)發(fā)送到B網(wǎng)的數(shù)據(jù)包隱藏A網(wǎng)拓撲結(jié)構(gòu)。
8.根據(jù)權利要求5所述的基于單向通道的網(wǎng)絡安全隔離與信息交換方法,其特征在于,步驟5中所述的地址轉(zhuǎn)發(fā)表包括目的IP地址和目的MAC地址的映射,并且為各映射關系〈IP,MAO設置生存周期,對地址轉(zhuǎn)發(fā)表內(nèi)超時的映射關系刪除。
【文檔編號】H04L29/06GK104363231SQ201410652474
【公開日】2015年2月18日 申請日期:2014年11月17日 優(yōu)先權日:2014年11月17日
【發(fā)明者】杜飛, 遲悅 申請人:北京銳馳信安技術有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1