本發(fā)明涉及信息通信領(lǐng)域。

背景技術(shù)：

隨著互聯(lián)網(wǎng)及信息技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)和人們生活的關(guān)系越來越密切，很多活動也轉(zhuǎn)移到互聯(lián)網(wǎng)(或物聯(lián)網(wǎng)、城域網(wǎng)及其它廣域網(wǎng))上進行，比如網(wǎng)上購物，網(wǎng)絡(luò)銀行，電子商務(wù)，電子政務(wù)等。同時，由于互聯(lián)網(wǎng)本身的開放性，也面臨很多安全問題。

這其中，有一些活動會涉及到特別重要的信息。比如電子政務(wù)，其中的信息可能會影響到國計民生。再比如金融系統(tǒng)，會涉及到巨額資金。

對于這類活動，一種解決辦法是物理隔離，信息保存在內(nèi)網(wǎng)中，而內(nèi)網(wǎng)和外網(wǎng)是從物理上斷開的，沒有信息通道，自然也就避免了攻擊。但是，這樣做雖然可以提高信息的安全程度，但付出的代價是無法利用互聯(lián)網(wǎng)(或其它廣域網(wǎng))及現(xiàn)代信息技術(shù)的各種好處。

技術(shù)實現(xiàn)要素：

本發(fā)明提出了一種抗攻擊的內(nèi)網(wǎng)數(shù)據(jù)傳輸方法及系統(tǒng)，目的在于解決現(xiàn)有信息傳輸過程中所存在的安全性以及實用性的問題。

本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下：一種抗攻擊的內(nèi)網(wǎng)數(shù)據(jù)傳輸方法，所述方法包括：

本地內(nèi)網(wǎng)網(wǎng)關(guān)對本地內(nèi)部局域網(wǎng)中的內(nèi)網(wǎng)數(shù)據(jù)進行加密處理；

將加密后的內(nèi)網(wǎng)數(shù)據(jù)通過專有信道發(fā)送至本地外網(wǎng)網(wǎng)關(guān)，本地外網(wǎng)網(wǎng)關(guān)將加密數(shù)據(jù)發(fā)送至外網(wǎng)；

遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)從外網(wǎng)獲取加密數(shù)據(jù)，對所述加密數(shù)據(jù)進行檢查后通過專有信道發(fā)給遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)；

遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)對加密數(shù)據(jù)進行解密后獲得本地內(nèi)部局域網(wǎng)中的內(nèi)網(wǎng)數(shù)據(jù)。

本發(fā)明的有益效果是：本發(fā)明所述的傳輸方法能夠?qū)?shù)據(jù)通過外網(wǎng)轉(zhuǎn)接的方式在不同區(qū)域的內(nèi)部局域網(wǎng)之間進行傳輸，在外網(wǎng)與局域網(wǎng)之間進行信息傳輸?shù)倪^程中，通過專有信道轉(zhuǎn)接的方式使外網(wǎng)與局域網(wǎng)之間產(chǎn)生隔離，完全不同于傳統(tǒng)的內(nèi)網(wǎng)與外網(wǎng)直接連接的方式，抗攻擊性大大增強，同時與遠(yuǎn)程內(nèi)部局域網(wǎng)相對應(yīng)的外網(wǎng)網(wǎng)關(guān)能夠?qū)?shù)據(jù)進行檢查，過濾掉非法的數(shù)據(jù)包，隔離多種類型的攻擊。同時對傳輸?shù)男畔⑦M行加密處理，既提高了信息的安全性，又可以利用外網(wǎng)帶來的益處，并且其抗攻擊的能力大大超過傳統(tǒng)的虛擬專網(wǎng)系統(tǒng)。

在上述技術(shù)方案的基礎(chǔ)上，本發(fā)明還可以做如下改進。

進一步，所述對內(nèi)網(wǎng)數(shù)據(jù)進行加密的過程為：

對本地內(nèi)部局域網(wǎng)和遠(yuǎn)程內(nèi)部局域網(wǎng)的通信方進行身份進行認(rèn)證；

對內(nèi)網(wǎng)數(shù)據(jù)中的數(shù)據(jù)信息進行加密處理；

對內(nèi)網(wǎng)數(shù)據(jù)進行完整性保護。

采用上述進一步方案的有益效果是：上述方案通過身份認(rèn)證、加密以及完整性保護，對內(nèi)網(wǎng)數(shù)據(jù)進行了充分的保護，能夠防止對信息的假冒、竊聽和篡改。

進一步，所述遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)采用固化的硬件邏輯對從外網(wǎng)中獲取的加密數(shù)據(jù)進行檢查。

采用上述進一步方案的有益效果是：通過固化的硬件邏輯使得黑客無法通過修改檢查邏輯本身而入侵內(nèi)網(wǎng)網(wǎng)關(guān)，消除了軟件檢查所帶來的漏洞，提高了安全性。

為了解決上述技術(shù)問題，本發(fā)明還提出了一種抗攻擊的內(nèi)網(wǎng)數(shù)據(jù)傳輸系統(tǒng)，所述系統(tǒng)包括：本地內(nèi)網(wǎng)網(wǎng)關(guān)、遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)、本地外網(wǎng)網(wǎng)關(guān)和遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)，

所述本地內(nèi)網(wǎng)網(wǎng)關(guān)，用于對本地內(nèi)部局域網(wǎng)中的內(nèi)網(wǎng)數(shù)據(jù)進行協(xié)議處理以及加密處理，并將加密后的內(nèi)網(wǎng)數(shù)據(jù)通過專有信道發(fā)送至本地外網(wǎng)網(wǎng)關(guān)；

所述本地外網(wǎng)網(wǎng)關(guān)，用于對加密后的內(nèi)網(wǎng)數(shù)據(jù)進行轉(zhuǎn)接，并將轉(zhuǎn)接后的加密內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至外網(wǎng)；

所述遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)，用于通過專用信道獲取外網(wǎng)中的加密內(nèi)網(wǎng)數(shù)據(jù)，并對外網(wǎng)中的加密內(nèi)網(wǎng)數(shù)據(jù)進行檢查，然后通過專有信道將檢查后的加密內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)；

所述遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)，用于對檢查后的加密內(nèi)網(wǎng)數(shù)據(jù)進行解密處理，并將解密后的內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至遠(yuǎn)程內(nèi)部局域網(wǎng)。

本發(fā)明的有益效果：本發(fā)明所述的傳輸系統(tǒng)能夠?qū)?shù)據(jù)通過外網(wǎng)轉(zhuǎn)接的方式在不同區(qū)域的內(nèi)部局域網(wǎng)之間進行傳輸，在外網(wǎng)與局域網(wǎng)之間進行信息傳輸?shù)倪^程中，通過轉(zhuǎn)接的方式使外網(wǎng)與局域網(wǎng)之間產(chǎn)生隔離，完全不同于傳統(tǒng)的內(nèi)網(wǎng)與外網(wǎng)直接連接的方式，抗攻擊性大大增強，同時與遠(yuǎn)程內(nèi)部局域網(wǎng)相對應(yīng)的外網(wǎng)網(wǎng)關(guān)能夠?qū)?shù)據(jù)進行檢查，過濾掉非法的數(shù)據(jù)包，隔離多種類型的攻擊。同時對傳輸?shù)男畔⑦M行加密處理，既提高了信息的安全性，又可以利用外網(wǎng)帶來的益處，并且其抗攻擊的能力大大超過傳統(tǒng)的虛擬專網(wǎng)系統(tǒng)。

進一步，所述本地內(nèi)網(wǎng)網(wǎng)關(guān)與遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)內(nèi)部結(jié)構(gòu)相同且可相互轉(zhuǎn)換。

進一步，所述本地內(nèi)網(wǎng)網(wǎng)關(guān)包括內(nèi)網(wǎng)網(wǎng)卡和處理模塊，

所述內(nèi)網(wǎng)網(wǎng)卡，用于接收本地內(nèi)部局域網(wǎng)的內(nèi)網(wǎng)數(shù)據(jù)，并將所述內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至處理模塊；當(dāng)本地內(nèi)網(wǎng)網(wǎng)關(guān)為遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)時，接收處理模塊發(fā)送的解密后的內(nèi)網(wǎng)數(shù)據(jù)，并將所述解密后的內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至遠(yuǎn)程內(nèi)部局域網(wǎng)；

所述處理模塊，用于對內(nèi)網(wǎng)數(shù)據(jù)進行協(xié)議處理以及加密處理，然后將加密內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至本地外網(wǎng)網(wǎng)關(guān)中；當(dāng)本地內(nèi)網(wǎng)網(wǎng)關(guān)為遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)時，接收遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)發(fā)送的轉(zhuǎn)接的加密內(nèi)網(wǎng)數(shù)據(jù)，并對其進行解密處理后發(fā)送至內(nèi)網(wǎng)網(wǎng)卡。

采用上述進一步方案的有益效果是：采用內(nèi)網(wǎng)網(wǎng)卡和處理模塊及專有信道，使內(nèi)部局域網(wǎng)與外網(wǎng)生成隔離層，并對內(nèi)網(wǎng)數(shù)據(jù)進行加密處理，保證了數(shù)據(jù)的安全性。

進一步，所述處理模塊包括：

身份認(rèn)證模塊，用于對本地內(nèi)部局域網(wǎng)和遠(yuǎn)程內(nèi)部局域網(wǎng)通信方的身份進行認(rèn)證；

數(shù)據(jù)加密模塊，用于對內(nèi)網(wǎng)數(shù)據(jù)中的數(shù)據(jù)信息進行加密處理；

完整性保護模塊，用于對內(nèi)網(wǎng)數(shù)據(jù)進行完整性保護。

采用上述進一步方案的有益效果是：上述方案通過身份認(rèn)證、加密以及完整性保護，對內(nèi)網(wǎng)數(shù)據(jù)進行了充分的保護，能夠防止對信息的假冒、竊聽和篡改。

進一步，所述本地外網(wǎng)網(wǎng)關(guān)與遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)內(nèi)部結(jié)構(gòu)相同且可相互轉(zhuǎn)換。

進一步，所述本地外網(wǎng)網(wǎng)關(guān)包括外網(wǎng)網(wǎng)卡和轉(zhuǎn)接模塊；

所述轉(zhuǎn)接模塊，用于接收本地內(nèi)網(wǎng)網(wǎng)關(guān)發(fā)送的經(jīng)過協(xié)議處理和加密處理的內(nèi)網(wǎng)數(shù)據(jù)，并將加密后的內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至外網(wǎng)網(wǎng)卡；當(dāng)本地外網(wǎng)網(wǎng)關(guān)為遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)時，接收外網(wǎng)網(wǎng)卡發(fā)送的從外網(wǎng)中獲取的加密內(nèi)網(wǎng)數(shù)據(jù)，并將所述加密內(nèi)網(wǎng)數(shù)據(jù)進行檢查后發(fā)送至遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)；

所述外網(wǎng)網(wǎng)卡，用于將接收到的經(jīng)過協(xié)議處理和加密處理的內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至外網(wǎng)中，當(dāng)本地外網(wǎng)網(wǎng)關(guān)為遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)時，從外網(wǎng)中獲取加密內(nèi)網(wǎng)數(shù)據(jù)，并將所述加密內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至轉(zhuǎn)接模塊。

采用上述進一步方案的有益效果是：通過轉(zhuǎn)接功能實現(xiàn)外網(wǎng)與內(nèi)部局域網(wǎng)之間的隔離，能夠防御黑客的攻擊，提高網(wǎng)關(guān)的安全性能。

進一步，所述轉(zhuǎn)接模塊中包括固化的硬件邏輯模塊，所述硬件邏輯模塊用于對從外網(wǎng)中獲取的加密內(nèi)網(wǎng)數(shù)據(jù)進行檢查。

采用上述進一步方案的有益效果是：通過固化的硬件邏輯模塊使得黑客無法通過修改檢查邏輯本身而入侵內(nèi)網(wǎng)網(wǎng)關(guān)，消除了軟件檢查所帶來的漏洞，提高了安全性。

附圖說明

圖1為本發(fā)明實施例一所述的抗攻擊的內(nèi)網(wǎng)數(shù)據(jù)傳輸方法的流程圖；

圖2為本發(fā)明實施例二所述的抗攻擊的內(nèi)網(wǎng)數(shù)據(jù)傳輸系統(tǒng)的原理示意圖；

圖3為本發(fā)明實施例二所述的抗攻擊的內(nèi)網(wǎng)數(shù)據(jù)傳輸系統(tǒng)的應(yīng)用示意圖；

圖4為本發(fā)明實施例二所述的處理模塊的原理示意圖；

圖5為本發(fā)明實施例二所述的轉(zhuǎn)接模塊的原理示意圖。

具體實施方式

以下結(jié)合附圖對本發(fā)明的原理和特征進行描述，所舉實例只用于解釋本發(fā)明，并非用于限定本發(fā)明的范圍。

實施例1

如圖1所示，本實施例提出了一種抗攻擊的內(nèi)網(wǎng)數(shù)據(jù)傳輸方法，所述方法包括：

S1、本地內(nèi)網(wǎng)網(wǎng)關(guān)對本地內(nèi)部局域網(wǎng)中的內(nèi)網(wǎng)數(shù)據(jù)進行加密處理；

S2、將加密后的內(nèi)網(wǎng)數(shù)據(jù)通過專有信道發(fā)送至本地外網(wǎng)網(wǎng)關(guān)，本地外網(wǎng)網(wǎng)關(guān)將加密數(shù)據(jù)發(fā)送至外網(wǎng)；

S3、遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)從外網(wǎng)獲取加密數(shù)據(jù)，對所述加密數(shù)據(jù)進行檢查后通過專有信道發(fā)給遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)；

S4、遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)對加密數(shù)據(jù)進行解密后獲得本地內(nèi)部局域網(wǎng)中的內(nèi)網(wǎng)數(shù)據(jù)。

本實施例將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)和外部網(wǎng)，內(nèi)部網(wǎng)是一個單位或組織私有的網(wǎng)絡(luò)，其重要信息只能在內(nèi)部網(wǎng)中使用，由于每個用戶所處地點的不同將其分為本地內(nèi)部局域網(wǎng)和遠(yuǎn)程內(nèi)部局域網(wǎng)，外網(wǎng)可以為互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等多種不同的網(wǎng)絡(luò)形式。

對于內(nèi)部網(wǎng)中的重要信息而言，保密工作實乃重中之重，為了能夠確保信息的安全性，本實施例采用三層保護方式、即身份認(rèn)證、加密和完整性保護，具體的，通過數(shù)字證書和非對稱算法(如RSA、ECC、SM2等)進行身份認(rèn)證，以保證通信雙方身份的合法性。攻擊者拿不到數(shù)字證書和私鑰，就通不過身份認(rèn)證，就會被過濾掉，無法實施進一步的攻擊。采用對稱算法(如AES、3DES、SM4等)對傳輸?shù)臄?shù)據(jù)進行加密，加密后，攻擊者只能看到亂碼，而看不到明文數(shù)據(jù)，以保證數(shù)據(jù)不被竊聽。采用哈希算法對傳輸數(shù)據(jù)算出數(shù)字摘要，并用非對稱算法對數(shù)據(jù)摘要進行簽名?；虿捎肕AC算法完成與上述哈希+非對稱算法相同的功能。當(dāng)傳輸?shù)臄?shù)據(jù)被篡改后，在接收端做驗證運算的時候能夠發(fā)現(xiàn)。發(fā)現(xiàn)之后，用戶就可以根據(jù)自己的安全級別和安全策略，進行丟棄、重傳和報警等后續(xù)處理。通過這一層處理，保護了數(shù)據(jù)的完整性。

以上三層處理方式能夠保證數(shù)據(jù)的安全性，具體采用何種算法可視情況而定，只要能夠滿足對身份驗證、加密和完整性保護的效果即可。

傳統(tǒng)的虛擬專網(wǎng)網(wǎng)關(guān)通常只有一層，并且是與外網(wǎng)直接連接的，因此，如果它的處理加密、完整性保護以及處理網(wǎng)絡(luò)協(xié)議的部分，以及操作系統(tǒng)等軟件存在漏洞，比如緩沖區(qū)溢出之類的漏洞，就有可能被來自外網(wǎng)的黑客攻擊。一旦網(wǎng)關(guān)被攻破，那么整個內(nèi)部網(wǎng)就會暴露在黑客的攻擊之下了。

因此，本實施例充分考慮到上述問題，在將加密后的內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至外網(wǎng)的過程中，首先將加密后的內(nèi)網(wǎng)數(shù)據(jù)通過專有信道發(fā)送至本地內(nèi)部局域網(wǎng)相對應(yīng)的外網(wǎng)網(wǎng)關(guān)中進行轉(zhuǎn)接，與本地內(nèi)部局域網(wǎng)相對應(yīng)的外網(wǎng)網(wǎng)關(guān)再將轉(zhuǎn)接后的加密內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至外網(wǎng)中。轉(zhuǎn)接通過專有信道來進行，專有信道的數(shù)據(jù)傳輸方式可以為光傳輸、電傳輸?shù)确绞綄崿F(xiàn)，其特征是能夠保證外網(wǎng)無法發(fā)現(xiàn)和訪問專有信道，以此來隔離來自外網(wǎng)的攻擊。

同時在遠(yuǎn)程內(nèi)部局域網(wǎng)獲得本地內(nèi)部局域網(wǎng)中的內(nèi)網(wǎng)數(shù)據(jù)過程中，也是首先通過與遠(yuǎn)程內(nèi)部局域網(wǎng)相對應(yīng)的外網(wǎng)網(wǎng)關(guān)對外網(wǎng)中的加密內(nèi)網(wǎng)數(shù)據(jù)進行轉(zhuǎn)接。

進一步地，在轉(zhuǎn)接的過程中對加密內(nèi)網(wǎng)數(shù)據(jù)進行檢查，過濾掉非法的數(shù)據(jù)包，隔離攻擊，在遠(yuǎn)程內(nèi)部局域網(wǎng)中將檢查后的加密內(nèi)網(wǎng)數(shù)據(jù)進行解密處理后獲得本地內(nèi)部局域網(wǎng)中的內(nèi)網(wǎng)數(shù)據(jù)。由此，即便操作系統(tǒng)或者網(wǎng)絡(luò)協(xié)議棧存在漏洞，也無法從外網(wǎng)當(dāng)中直接進行訪問。黑客攻擊也無法找到攻擊點。大大提高了系統(tǒng)的安全性。

實施例2

如圖2所示，本實施例提出了一種抗攻擊的內(nèi)網(wǎng)數(shù)據(jù)傳輸系統(tǒng)，所述系統(tǒng)包括：本地內(nèi)網(wǎng)網(wǎng)關(guān)、遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)、本地外網(wǎng)網(wǎng)關(guān)和遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)，

所述本地內(nèi)網(wǎng)網(wǎng)關(guān)，用于對本地內(nèi)部局域網(wǎng)中的內(nèi)網(wǎng)數(shù)據(jù)進行協(xié)議處理以及加密處理，并將加密后的內(nèi)網(wǎng)數(shù)據(jù)通過專有信道發(fā)送至本地外網(wǎng)網(wǎng)關(guān)；

所述本地外網(wǎng)網(wǎng)關(guān)，用于對加密后的內(nèi)網(wǎng)數(shù)據(jù)進行轉(zhuǎn)接，并將轉(zhuǎn)接后的加密內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至外網(wǎng)；

所述遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)，用于獲取外網(wǎng)中的加密內(nèi)網(wǎng)數(shù)據(jù)，并對外網(wǎng)中的加密內(nèi)網(wǎng)數(shù)據(jù)進行檢查，然后通過專有信道將檢查后的加密內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)；

所述遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)，用于對檢查后的加密內(nèi)網(wǎng)數(shù)據(jù)進行解密處理，并將解密后的內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至遠(yuǎn)程內(nèi)部局域網(wǎng)。

本實施例中，本地內(nèi)網(wǎng)網(wǎng)關(guān)和遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)僅僅是由于信息傳輸?shù)钠瘘c和終點不用從而在名稱上加以區(qū)分的，實質(zhì)上本地內(nèi)網(wǎng)網(wǎng)關(guān)也能夠作為遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)，遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)也能夠作為本地內(nèi)網(wǎng)網(wǎng)關(guān)，同理，本地外網(wǎng)網(wǎng)關(guān)和遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)也是一樣可以相互進行轉(zhuǎn)換的。為了能夠更加明確的了解本實施例所述的系統(tǒng)在實際應(yīng)用時的工作原理，參照圖3所示，本實施例將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)和外部網(wǎng)，內(nèi)部網(wǎng)是一個單位或組織私有的網(wǎng)絡(luò)，其重要信息只能在內(nèi)部網(wǎng)中使用，由于每個用戶所處地點的不同將其分為本地內(nèi)部局域網(wǎng)和遠(yuǎn)程內(nèi)部局域網(wǎng)。

具體的，所述本地內(nèi)網(wǎng)網(wǎng)關(guān)包括內(nèi)網(wǎng)網(wǎng)卡和處理模塊，

所述內(nèi)網(wǎng)網(wǎng)卡，用于接收本地內(nèi)部局域網(wǎng)的內(nèi)網(wǎng)數(shù)據(jù)，并將所述內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至處理模塊；當(dāng)本地內(nèi)網(wǎng)網(wǎng)關(guān)為遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)時，接收處理模塊發(fā)送的解密后的內(nèi)網(wǎng)數(shù)據(jù)，并將所述解密后的內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至遠(yuǎn)程內(nèi)部局域網(wǎng)；

所述處理模塊，用于對內(nèi)網(wǎng)數(shù)據(jù)進行協(xié)議處理以及加密處理，然后將加密內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至本地外網(wǎng)網(wǎng)關(guān)中；當(dāng)本地內(nèi)網(wǎng)網(wǎng)關(guān)為遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)是，接收遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)發(fā)送的轉(zhuǎn)接的加密內(nèi)網(wǎng)數(shù)據(jù)，并對其進行解密處理后發(fā)送至內(nèi)網(wǎng)網(wǎng)卡。

其中，所述處理模塊包括：

身份認(rèn)證模塊，用于對本地內(nèi)部局域網(wǎng)和遠(yuǎn)程內(nèi)部局域網(wǎng)通信方的身份進行認(rèn)證；

數(shù)據(jù)加密模塊，用于對內(nèi)網(wǎng)數(shù)據(jù)中的數(shù)據(jù)信息進行加密處理；

完整性保護模塊，用于對內(nèi)網(wǎng)數(shù)據(jù)進行完整性保護。

采用內(nèi)網(wǎng)網(wǎng)卡和處理模塊使內(nèi)部局域網(wǎng)與外網(wǎng)生成隔離層，并對內(nèi)網(wǎng)數(shù)據(jù)進行加密處理，保證了數(shù)據(jù)的安全性，本實施例采用三層保護方式、即身份認(rèn)證、加密和完整性保護，具體的，通過數(shù)字證書和非對稱算法(如RSA、ECC、SM2等)進行身份認(rèn)證，以保證通信雙方身份的合法性。攻擊者拿不到數(shù)字證書和私鑰，就通不過身份認(rèn)證，就會被過濾掉，無法實施進一步的攻擊。采用對稱算法(如AES、3DES、SM4等)對傳輸?shù)臄?shù)據(jù)進行加密，加密后，攻擊者只能看到亂碼，而看不到明文數(shù)據(jù)，以保證數(shù)據(jù)不被竊聽。采用哈希算法或MAC算法對傳輸數(shù)據(jù)算出數(shù)字摘要，并用非對稱算法對數(shù)據(jù)摘要進行簽名。當(dāng)傳輸?shù)臄?shù)據(jù)被篡改后，在接收端做驗證運算的時候能夠發(fā)現(xiàn)。發(fā)現(xiàn)之后，用戶就可以根據(jù)自己的安全級別和安全策略，進行丟棄、重傳和報警等后續(xù)處理。也就是說，通過這一層處理，保護了數(shù)據(jù)的完整性。

以上三層處理方式能夠保證數(shù)據(jù)的安全性，具體采用何種算法可視情況而定，只要能夠滿足對身份驗證、加密和完整性保護的效果即可。處理模塊的內(nèi)部邏輯結(jié)構(gòu)如圖4所示。

具體的，所述本地外網(wǎng)網(wǎng)關(guān)包括外網(wǎng)網(wǎng)卡和轉(zhuǎn)接模塊；

所述轉(zhuǎn)接模塊，用于接收本地內(nèi)網(wǎng)網(wǎng)關(guān)發(fā)送的經(jīng)過協(xié)議處理和加密處理的內(nèi)網(wǎng)數(shù)據(jù)，并將加密后的內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至外網(wǎng)網(wǎng)卡；當(dāng)本地外網(wǎng)網(wǎng)關(guān)為遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)時，接收外網(wǎng)網(wǎng)卡發(fā)送的從外網(wǎng)中獲取的加密內(nèi)網(wǎng)數(shù)據(jù)，并將所述加密內(nèi)網(wǎng)數(shù)據(jù)進行檢查后發(fā)送至遠(yuǎn)程內(nèi)網(wǎng)網(wǎng)關(guān)；

所述外網(wǎng)網(wǎng)卡，用于將接收到的經(jīng)過協(xié)議處理和加密處理的內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至外網(wǎng)中，當(dāng)本地外網(wǎng)網(wǎng)關(guān)為遠(yuǎn)程外網(wǎng)網(wǎng)關(guān)時，從外網(wǎng)中獲取加密內(nèi)網(wǎng)數(shù)據(jù)，并將所述加密內(nèi)網(wǎng)數(shù)據(jù)發(fā)送至轉(zhuǎn)接模塊。

傳統(tǒng)的虛擬專網(wǎng)網(wǎng)關(guān)只有一層，并且是與外網(wǎng)有直接連接的，因此，它的處理加密、完整性保護以及處理網(wǎng)絡(luò)協(xié)議的部分，以及操作系統(tǒng)等軟件如果有漏洞，比如緩沖區(qū)溢出之類的漏洞，就有可能被來自外網(wǎng)的黑客攻擊。一旦網(wǎng)關(guān)被攻破，那么整個內(nèi)網(wǎng)就暴露在黑客的攻擊之下。

而本實施例所述系統(tǒng)的網(wǎng)關(guān)分為兩層，上述處理加密、完整性保護以及處理網(wǎng)絡(luò)協(xié)議等軟件處于內(nèi)網(wǎng)網(wǎng)關(guān)，和外網(wǎng)之間沒有直接的連接，中間有一層隔離。

因此，對本實施例系統(tǒng)而言，即使操作系統(tǒng)或網(wǎng)絡(luò)協(xié)議棧存在漏洞，但是由于是處在內(nèi)網(wǎng)網(wǎng)關(guān)上，從外網(wǎng)無法直接訪問。內(nèi)外網(wǎng)之間只有一條專有信道，黑客即使知道內(nèi)網(wǎng)網(wǎng)關(guān)的漏洞，也無法通過專有信道來接觸到內(nèi)網(wǎng)的軟件，因此沒有途徑去利用軟件的漏洞。外網(wǎng)網(wǎng)關(guān)只做加密數(shù)據(jù)包的檢查和轉(zhuǎn)發(fā)，這部分邏輯是固化在FPGA芯片中，如圖5所示，從硬件的層面保證了無法通過軟件來修改這部分邏輯。這部分邏輯除了用FPGA，也可以用其它的方式實現(xiàn)，比如ASIC，只讀的ROM，熔絲類型或紫外線擦寫的可編程器件等等。其主要特征是無法通過軟件進行修改。

以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。