本發(fā)明涉及一種雙向網(wǎng)絡(luò)安全隔離系統(tǒng)及方法,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。
背景技術(shù):
隨著互聯(lián)網(wǎng)的應(yīng)用普及,網(wǎng)絡(luò)安全面臨嚴(yán)峻的挑戰(zhàn),各種安全事件層出不窮。面對這一形勢,對于一個組織的內(nèi)部網(wǎng)絡(luò),希望既能連接到互聯(lián)網(wǎng)上進行信息交互,又能盡可能的避免各種來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊。在傳統(tǒng)防火墻、入侵檢測系統(tǒng)等安全設(shè)備的防御下,網(wǎng)絡(luò)安全隔離設(shè)備逐漸顯露出了重要的作用。
網(wǎng)絡(luò)安全隔離設(shè)備能夠隔離組織的內(nèi)網(wǎng)與外網(wǎng)的連接,對進出內(nèi)網(wǎng)的數(shù)據(jù)流進行檢查,過濾掉試圖進入內(nèi)網(wǎng)的惡意代碼,以及試圖流出到外網(wǎng)的敏感信息,并且憑借內(nèi)外網(wǎng)的物理隔離,屏蔽基于網(wǎng)絡(luò)連接的攻擊行為,對于保護組織的內(nèi)網(wǎng)起到了重要的作用。
目前網(wǎng)絡(luò)安全隔離設(shè)備分為單向和雙向兩種。單向網(wǎng)絡(luò)安全隔離設(shè)備只允許外網(wǎng)數(shù)據(jù)進入內(nèi)網(wǎng),不允許內(nèi)網(wǎng)數(shù)據(jù)流出外網(wǎng),這樣就嚴(yán)格保證了內(nèi)網(wǎng)中的敏感數(shù)據(jù)不會泄露到外網(wǎng)。而雙向網(wǎng)絡(luò)安全隔離設(shè)備允許內(nèi)、外網(wǎng)之間的雙向數(shù)據(jù)流動,通過嚴(yán)格的數(shù)據(jù)內(nèi)容檢查來防止敏感數(shù)據(jù)的泄露。
單向網(wǎng)絡(luò)安全隔離設(shè)備的安全性是基于經(jīng)典的blp安全模型,能夠在blp模型下證明是安全的,但目前的雙向網(wǎng)絡(luò)安全隔離設(shè)備實際上是違反blp安全模型的,無法從理論上證明目前的雙向網(wǎng)絡(luò)安全隔離設(shè)備是安全的。因此,如何設(shè)計新的雙向網(wǎng)絡(luò)安全隔離系統(tǒng),既滿足安全模型的要求,又能實現(xiàn)雙向數(shù)據(jù)通信,就成為一個難點。
技術(shù)實現(xiàn)要素:
針對上述不足,本發(fā)明提供了一種雙向網(wǎng)絡(luò)安全隔離系統(tǒng)及方法,其能夠安全隔離不同安全等級的網(wǎng)絡(luò),并保證不同安全等級網(wǎng)絡(luò)之間的雙向數(shù)據(jù)通信。
本發(fā)明解決其技術(shù)問題采取的技術(shù)方案是:
本發(fā)明的一種雙向網(wǎng)絡(luò)安全隔離系統(tǒng),其特征是,包括外網(wǎng)處理模塊、內(nèi)網(wǎng)處理模塊和過渡區(qū)域,所述外網(wǎng)處理模塊接入外網(wǎng)并通過單向數(shù)據(jù)鏈路與內(nèi)網(wǎng)處理模塊連接,所述內(nèi)網(wǎng)處理模塊接入內(nèi)網(wǎng)并通過帶開關(guān)的單向數(shù)據(jù)鏈路與過渡區(qū)域連接,所述過渡區(qū)域通過帶開關(guān)的單向數(shù)據(jù)鏈路與外網(wǎng)處理模塊連接。
優(yōu)選地,所述外網(wǎng)處理模塊通過單向數(shù)據(jù)鏈路將數(shù)據(jù)直接發(fā)送給內(nèi)網(wǎng)處理模塊,所述內(nèi)網(wǎng)處理模塊通過帶開關(guān)的單向數(shù)據(jù)鏈路將數(shù)據(jù)發(fā)送給過渡區(qū)域進行過渡,所述過渡區(qū)域通過帶開關(guān)的單向數(shù)據(jù)鏈路將過渡數(shù)據(jù)發(fā)送給外網(wǎng)處理模塊。
優(yōu)選地,所述外網(wǎng)處理模塊包括身份認(rèn)證模塊、外網(wǎng)數(shù)據(jù)緩存區(qū)、外網(wǎng)協(xié)議轉(zhuǎn)換模塊和惡意代碼過濾模塊,所述身份認(rèn)證模塊用以對外網(wǎng)用戶進行身份認(rèn)證,如果通過認(rèn)證則允許外網(wǎng)用戶登錄外網(wǎng)處理模塊,否則拒絕外網(wǎng)用戶的連接請求;所述外網(wǎng)數(shù)據(jù)緩存區(qū)用以存儲外網(wǎng)發(fā)送給內(nèi)網(wǎng)的數(shù)據(jù)和內(nèi)網(wǎng)發(fā)送給外網(wǎng)的數(shù)據(jù);所述外網(wǎng)協(xié)議轉(zhuǎn)換模塊用以按照tcp/ip協(xié)議對外網(wǎng)發(fā)給內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)進行解析或按照tcp/ip協(xié)議將內(nèi)網(wǎng)發(fā)送給外網(wǎng)的數(shù)據(jù)打包為網(wǎng)絡(luò)數(shù)據(jù)包;所述惡意代碼過濾模塊用以對外網(wǎng)發(fā)給內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)進行惡意代碼檢測并過濾掉其中可能存在的惡意代碼。
優(yōu)選地,所述內(nèi)網(wǎng)處理模塊包括內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū)、內(nèi)網(wǎng)協(xié)議轉(zhuǎn)換模塊和敏感信息過濾模塊,所述內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū)用以存儲外網(wǎng)發(fā)送給內(nèi)網(wǎng)的數(shù)據(jù)和內(nèi)網(wǎng)發(fā)送給外網(wǎng)的數(shù)據(jù);所述內(nèi)網(wǎng)協(xié)議轉(zhuǎn)換模塊用以按照tcp/ip協(xié)議對內(nèi)網(wǎng)發(fā)給外網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)進行解析或按照tcp/ip協(xié)議將外網(wǎng)發(fā)送給內(nèi)網(wǎng)的數(shù)據(jù)打包為網(wǎng)絡(luò)數(shù)據(jù)包;所述敏感信息過濾模塊用以對內(nèi)網(wǎng)發(fā)給外網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)進行敏感信息檢測并過濾掉其中可能存在的敏感信息。
優(yōu)選地,所述過渡區(qū)域包括過渡數(shù)據(jù)緩存區(qū)、系統(tǒng)還原模塊和數(shù)據(jù)加密模塊,所述過渡數(shù)據(jù)緩存區(qū)用以存儲內(nèi)網(wǎng)發(fā)送給外網(wǎng)數(shù)據(jù)時的過渡數(shù)據(jù);所述數(shù)據(jù)加密模塊用以對內(nèi)網(wǎng)發(fā)送給外網(wǎng)的數(shù)據(jù)進行加密;所述系統(tǒng)還原模塊用以清空過渡區(qū)域中的數(shù)據(jù)緩存區(qū)并將過渡區(qū)域還原為初始狀態(tài)。
本發(fā)明的一種雙向網(wǎng)絡(luò)安全隔離方法,其特征是,外網(wǎng)向內(nèi)網(wǎng)發(fā)送數(shù)據(jù)時外網(wǎng)處理模塊通過單向數(shù)據(jù)鏈路將外網(wǎng)數(shù)據(jù)直接發(fā)送給內(nèi)網(wǎng)處理模塊;內(nèi)網(wǎng)向外網(wǎng)發(fā)送數(shù)據(jù)時內(nèi)網(wǎng)處理模塊通過帶開關(guān)的單向數(shù)據(jù)鏈路將內(nèi)網(wǎng)數(shù)據(jù)先發(fā)送給過渡區(qū)域進行過渡,然后過渡區(qū)域通過帶開關(guān)的單向數(shù)據(jù)鏈路將過渡數(shù)據(jù)再發(fā)送給外網(wǎng)處理模塊。
進一步地,所述外網(wǎng)向內(nèi)網(wǎng)發(fā)送數(shù)據(jù)的過程包括以下步驟:
步驟101:外網(wǎng)用戶向外網(wǎng)處理模塊中的身份認(rèn)證模塊進行身份認(rèn)證,如果通過認(rèn)證則允許外網(wǎng)用戶登錄網(wǎng)絡(luò)處理模塊,否則拒絕外網(wǎng)用戶的連接請求;
步驟102:外網(wǎng)用戶向外網(wǎng)處理模塊按照tcp/ip協(xié)議傳輸要發(fā)送給內(nèi)網(wǎng)用戶的數(shù)據(jù);
步驟103:外網(wǎng)協(xié)議轉(zhuǎn)換模塊按照tcp/ip協(xié)議將發(fā)送給內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)解析出來并存入外網(wǎng)數(shù)據(jù)緩存區(qū);
步驟104:惡意代碼過濾模塊對外網(wǎng)數(shù)據(jù)緩存區(qū)中的應(yīng)用層數(shù)據(jù)進行惡意代碼檢測,過濾掉其中可能存在的惡意代碼后再存入外網(wǎng)數(shù)據(jù)緩存區(qū);
步驟105:外網(wǎng)處理模塊將經(jīng)過惡意代碼過濾的外網(wǎng)數(shù)據(jù)緩存區(qū)中的數(shù)據(jù)通過單向數(shù)據(jù)鏈路傳輸給內(nèi)網(wǎng)處理模塊;
步驟106:內(nèi)網(wǎng)處理模塊將收到的數(shù)據(jù)存入內(nèi)網(wǎng)處理模塊中的內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū);
步驟107:內(nèi)網(wǎng)處理模塊中的內(nèi)網(wǎng)協(xié)議轉(zhuǎn)換模塊將收到的數(shù)據(jù)按照tcp/ip協(xié)議重新打包為網(wǎng)絡(luò)數(shù)據(jù)包后發(fā)送給內(nèi)網(wǎng)用戶;
所述內(nèi)網(wǎng)向外網(wǎng)發(fā)送數(shù)據(jù)的過程包括以下步驟:
步驟201:內(nèi)網(wǎng)用戶將需要傳輸給外網(wǎng)用戶的數(shù)據(jù)按照tcp/ip協(xié)議傳輸給內(nèi)網(wǎng)處理模塊;
步驟202:內(nèi)網(wǎng)處理模塊將要傳輸給外網(wǎng)用戶的數(shù)據(jù)存入內(nèi)網(wǎng)處理模塊的內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū);
步驟203:內(nèi)網(wǎng)協(xié)議轉(zhuǎn)換模塊按照tcp/ip協(xié)議將要傳輸給外網(wǎng)用戶的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)解析出來并存入內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū);
步驟204:內(nèi)網(wǎng)處理模塊中的敏感信息過濾模塊對內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū)中的要傳輸給外網(wǎng)用戶的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)進行敏感信息檢測,過濾掉其中可能存在的敏感信息后再存入內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū);
步驟205:內(nèi)網(wǎng)處理模塊將與過濾區(qū)域連接的帶開關(guān)的單向數(shù)據(jù)鏈路的開關(guān)閉合,將經(jīng)過敏感信息過濾的內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū)中的數(shù)據(jù)通過帶開關(guān)的單向數(shù)據(jù)鏈路傳輸給過渡區(qū)域;
步驟206:內(nèi)網(wǎng)處理模塊將數(shù)據(jù)傳輸完畢斷開與過渡區(qū)域連接的帶開關(guān)的單向數(shù)據(jù)鏈路的開關(guān);
步驟207:過渡區(qū)域?qū)⑹盏降臄?shù)據(jù)存入過渡區(qū)域中的過渡數(shù)據(jù)緩存區(qū);
步驟208:過渡區(qū)域中的數(shù)據(jù)加密模塊隨機生成一個數(shù)據(jù)加密密鑰,使用分組加密算法將過渡數(shù)據(jù)緩存區(qū)中的數(shù)據(jù)進行加密,并使用外網(wǎng)用戶的公鑰加密該數(shù)據(jù)的加密密鑰;
步驟209:過渡區(qū)域閉合與外網(wǎng)處理模塊連接的帶開關(guān)的單向數(shù)據(jù)鏈路的開關(guān);
步驟210:過渡區(qū)域?qū)⒓用芎蟮臄?shù)據(jù)和密鑰一同通過與外網(wǎng)處理模塊連接的帶開關(guān)的單向數(shù)據(jù)鏈路發(fā)送給外網(wǎng)處理模塊;
步驟211:數(shù)據(jù)發(fā)送完畢,過渡區(qū)域斷開與外網(wǎng)處理模塊連接的帶開關(guān)的單向數(shù)據(jù)鏈路的開關(guān),同時啟動系統(tǒng)還原模塊清空過渡區(qū)域中的過渡數(shù)據(jù)緩存區(qū),并將過渡區(qū)域還原為初始狀態(tài);
步驟212:外網(wǎng)處理模塊將收到的內(nèi)網(wǎng)用戶傳輸給外網(wǎng)用戶的數(shù)據(jù)存入外網(wǎng)處理模塊中的外網(wǎng)數(shù)據(jù)緩存區(qū);
步驟213:外網(wǎng)處理模塊中的外網(wǎng)協(xié)議轉(zhuǎn)換模塊按照tcp/ip協(xié)議將外網(wǎng)數(shù)據(jù)緩存區(qū)中內(nèi)網(wǎng)用戶傳輸給外網(wǎng)用戶的數(shù)據(jù)打包為網(wǎng)絡(luò)數(shù)據(jù)包后發(fā)送給外網(wǎng)用戶;
步驟214:外網(wǎng)用戶收到數(shù)據(jù)后,先用自己的私鑰解密數(shù)據(jù)加密密鑰,再用數(shù)據(jù)加密密鑰解密數(shù)據(jù),獲得內(nèi)網(wǎng)用戶發(fā)送的數(shù)據(jù)。
本發(fā)明的有益效果是:
本發(fā)明的系統(tǒng)包括外網(wǎng)處理模塊、內(nèi)網(wǎng)處理模塊和過渡區(qū)域,其中外網(wǎng)處理模塊通過單向數(shù)據(jù)鏈路與內(nèi)網(wǎng)處理模塊連接;內(nèi)網(wǎng)處理模塊通過帶開關(guān)的單向數(shù)據(jù)鏈路與過渡區(qū)域連接;過渡區(qū)域通過帶開關(guān)的單向數(shù)據(jù)鏈路與外網(wǎng)處理模塊連接,通過雙單向數(shù)據(jù)鏈路來實現(xiàn)不同安全等級網(wǎng)絡(luò)之間的數(shù)據(jù)的雙向通信,并通過過渡區(qū)域的系統(tǒng)還原和數(shù)據(jù)加密操作來實現(xiàn)數(shù)據(jù)從高安全等級內(nèi)網(wǎng)流入低安全等級外網(wǎng)。本發(fā)明用于不同安全等級網(wǎng)絡(luò)之間的安全隔離,在實現(xiàn)數(shù)據(jù)雙向通信的前提下保證數(shù)據(jù)的安全。
本發(fā)明不僅能夠安全隔離不同安全等級的網(wǎng)絡(luò),并保證不同安全等級網(wǎng)絡(luò)之間的雙向數(shù)據(jù)通信,而且能夠保證系統(tǒng)的安全性,同時又保證雙向數(shù)據(jù)通信的安全。
附圖說明
下面結(jié)合說明書附圖對本發(fā)明進行說明。
圖1為本發(fā)明的雙向網(wǎng)絡(luò)安全隔離系統(tǒng)的結(jié)構(gòu)圖。
具體實施方式
為能清楚說明本方案的技術(shù)特點,下面通過具體實施方式,并結(jié)合其附圖,對本發(fā)明進行詳細(xì)闡述。下文的公開提供了許多不同的實施例或例子用來實現(xiàn)本發(fā)明的不同結(jié)構(gòu)。為了簡化本發(fā)明的公開,下文中對特定例子的部件和設(shè)置進行描述。此外,本發(fā)明可以在不同例子中重復(fù)參考數(shù)字和/或字母。這種重復(fù)是為了簡化和清楚的目的,其本身不指示所討論各種實施例和/或設(shè)置之間的關(guān)系。應(yīng)當(dāng)注意,在附圖中所圖示的部件不一定按比例繪制。本發(fā)明省略了對公知組件和處理技術(shù)及工藝的描述以避免不必要地限制本發(fā)明。
如圖1所示,本發(fā)明的一種雙向網(wǎng)絡(luò)安全隔離系統(tǒng),它包括外網(wǎng)處理模塊、內(nèi)網(wǎng)處理模塊和過渡區(qū)域,所述外網(wǎng)處理模塊接入外網(wǎng)(與外網(wǎng)雙向通信)并通過單向數(shù)據(jù)鏈路與內(nèi)網(wǎng)處理模塊連接,所述內(nèi)網(wǎng)處理模塊接入內(nèi)網(wǎng)(與內(nèi)網(wǎng)雙向通信)并通過帶開關(guān)的單向數(shù)據(jù)鏈路與過渡區(qū)域連接,所述過渡區(qū)域通過帶開關(guān)的單向數(shù)據(jù)鏈路與外網(wǎng)處理模塊連接。
優(yōu)選地,所述外網(wǎng)處理模塊通過單向數(shù)據(jù)鏈路將數(shù)據(jù)直接發(fā)送給內(nèi)網(wǎng)處理模塊,所述內(nèi)網(wǎng)處理模塊通過帶開關(guān)的單向數(shù)據(jù)鏈路將數(shù)據(jù)發(fā)送給過渡區(qū)域進行過渡,所述過渡區(qū)域通過帶開關(guān)的單向數(shù)據(jù)鏈路將過渡數(shù)據(jù)發(fā)送給外網(wǎng)處理模塊。
優(yōu)選地,所述外網(wǎng)處理模塊包括身份認(rèn)證模塊、外網(wǎng)數(shù)據(jù)緩存區(qū)、外網(wǎng)協(xié)議轉(zhuǎn)換模塊和惡意代碼過濾模塊,所述身份認(rèn)證模塊用以對外網(wǎng)用戶進行身份認(rèn)證,如果通過認(rèn)證則允許外網(wǎng)用戶登錄外網(wǎng)處理模塊,否則拒絕外網(wǎng)用戶的連接請求;所述外網(wǎng)數(shù)據(jù)緩存區(qū)用以存儲外網(wǎng)發(fā)送給內(nèi)網(wǎng)的數(shù)據(jù)和內(nèi)網(wǎng)發(fā)送給外網(wǎng)的數(shù)據(jù);所述外網(wǎng)協(xié)議轉(zhuǎn)換模塊用以按照tcp/ip協(xié)議對外網(wǎng)發(fā)給內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)進行解析或按照tcp/ip協(xié)議將內(nèi)網(wǎng)發(fā)送給外網(wǎng)的數(shù)據(jù)打包為網(wǎng)絡(luò)數(shù)據(jù)包;所述惡意代碼過濾模塊用以對外網(wǎng)發(fā)給內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)進行惡意代碼檢測并過濾掉其中可能存在的惡意代碼。
優(yōu)選地,所述內(nèi)網(wǎng)處理模塊包括內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū)、內(nèi)網(wǎng)協(xié)議轉(zhuǎn)換模塊和敏感信息過濾模塊,所述內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū)用以存儲外網(wǎng)發(fā)送給內(nèi)網(wǎng)的數(shù)據(jù)和內(nèi)網(wǎng)發(fā)送給外網(wǎng)的數(shù)據(jù);所述內(nèi)網(wǎng)協(xié)議轉(zhuǎn)換模塊用以按照tcp/ip協(xié)議對內(nèi)網(wǎng)發(fā)給外網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)進行解析或按照tcp/ip協(xié)議將外網(wǎng)發(fā)送給內(nèi)網(wǎng)的數(shù)據(jù)打包為網(wǎng)絡(luò)數(shù)據(jù)包;所述敏感信息過濾模塊用以對內(nèi)網(wǎng)發(fā)給外網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)進行敏感信息檢測并過濾掉其中可能存在的敏感信息。
優(yōu)選地,所述過渡區(qū)域包括過渡數(shù)據(jù)緩存區(qū)、系統(tǒng)還原模塊和數(shù)據(jù)加密模塊,所述過渡數(shù)據(jù)緩存區(qū)用以存儲內(nèi)網(wǎng)發(fā)送給外網(wǎng)數(shù)據(jù)時的過渡數(shù)據(jù);所述數(shù)據(jù)加密模塊用以對內(nèi)網(wǎng)發(fā)送給外網(wǎng)的數(shù)據(jù)進行加密;所述系統(tǒng)還原模塊用以清空過渡區(qū)域中的數(shù)據(jù)緩存區(qū)并將過渡區(qū)域還原為初始狀態(tài)。
本發(fā)明的外網(wǎng)處理模塊通過單向數(shù)據(jù)鏈路與內(nèi)網(wǎng)處理模塊連接,即只允許數(shù)據(jù)從外網(wǎng)處理模塊通過該單向數(shù)據(jù)鏈路進入內(nèi)網(wǎng)處理模塊;內(nèi)網(wǎng)處理模塊通過帶開關(guān)的單向數(shù)據(jù)鏈路與過渡區(qū)域連接,即只允許數(shù)據(jù)從內(nèi)網(wǎng)處理模塊通過該帶開關(guān)的單向數(shù)據(jù)鏈路進入過渡區(qū)域;過渡區(qū)域通過帶開關(guān)的單向數(shù)據(jù)鏈路與外網(wǎng)處理模塊連接,即只允許數(shù)據(jù)從過渡區(qū)域通過該帶開關(guān)的單向數(shù)據(jù)鏈路進入外網(wǎng)處理模塊;本發(fā)明在目前雙向網(wǎng)絡(luò)安全隔離系統(tǒng)架構(gòu)的基礎(chǔ)上設(shè)計了一種新的雙向網(wǎng)絡(luò)安全隔離系統(tǒng),既滿足安全模型的要求,又能實現(xiàn)雙向數(shù)據(jù)通信。
本發(fā)明的一種雙向網(wǎng)絡(luò)安全隔離方法,在外網(wǎng)向內(nèi)網(wǎng)發(fā)送數(shù)據(jù)時外網(wǎng)處理模塊通過單向數(shù)據(jù)鏈路將外網(wǎng)數(shù)據(jù)直接發(fā)送給內(nèi)網(wǎng)處理模塊;在內(nèi)網(wǎng)向外網(wǎng)發(fā)送數(shù)據(jù)時內(nèi)網(wǎng)處理模塊通過帶開關(guān)的單向數(shù)據(jù)鏈路將內(nèi)網(wǎng)數(shù)據(jù)先發(fā)送給過渡區(qū)域進行過渡,然后過渡區(qū)域通過帶開關(guān)的單向數(shù)據(jù)鏈路將過渡數(shù)據(jù)再發(fā)送給外網(wǎng)處理模塊。
進一步地,所述外網(wǎng)向內(nèi)網(wǎng)發(fā)送數(shù)據(jù)的過程(即當(dāng)處于外網(wǎng)的用戶需要向內(nèi)網(wǎng)用戶傳輸數(shù)據(jù)時)包括以下步驟:
步驟101:外網(wǎng)用戶向外網(wǎng)處理模塊中的身份認(rèn)證模塊進行身份認(rèn)證,如果通過認(rèn)證則允許外網(wǎng)用戶登錄網(wǎng)絡(luò)處理模塊,否則拒絕外網(wǎng)用戶的連接請求;
步驟102:外網(wǎng)用戶向外網(wǎng)處理模塊按照tcp/ip協(xié)議傳輸要發(fā)送給內(nèi)網(wǎng)用戶的數(shù)據(jù);
步驟103:外網(wǎng)協(xié)議轉(zhuǎn)換模塊按照tcp/ip協(xié)議將發(fā)送給內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)解析出來并存入外網(wǎng)數(shù)據(jù)緩存區(qū);
步驟104:惡意代碼過濾模塊對外網(wǎng)數(shù)據(jù)緩存區(qū)中的應(yīng)用層數(shù)據(jù)進行惡意代碼檢測,過濾掉其中可能存在的惡意代碼后再存入外網(wǎng)數(shù)據(jù)緩存區(qū);
步驟105:外網(wǎng)處理模塊將經(jīng)過惡意代碼過濾的外網(wǎng)數(shù)據(jù)緩存區(qū)中的數(shù)據(jù)通過單向數(shù)據(jù)鏈路傳輸給內(nèi)網(wǎng)處理模塊;
步驟106:內(nèi)網(wǎng)處理模塊將收到的數(shù)據(jù)存入內(nèi)網(wǎng)處理模塊中的內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū);
步驟107:內(nèi)網(wǎng)處理模塊中的內(nèi)網(wǎng)協(xié)議轉(zhuǎn)換模塊將收到的數(shù)據(jù)按照tcp/ip協(xié)議重新打包為網(wǎng)絡(luò)數(shù)據(jù)包后發(fā)送給內(nèi)網(wǎng)用戶。
所述內(nèi)網(wǎng)向外網(wǎng)發(fā)送數(shù)據(jù)的過程(即當(dāng)處于內(nèi)網(wǎng)的用戶需要傳輸數(shù)據(jù)給外網(wǎng)用戶時)包括以下步驟:
步驟201:內(nèi)網(wǎng)用戶將需要傳輸給外網(wǎng)用戶的數(shù)據(jù)按照tcp/ip協(xié)議傳輸給內(nèi)網(wǎng)處理模塊;
步驟202:內(nèi)網(wǎng)處理模塊將要傳輸給外網(wǎng)用戶的數(shù)據(jù)存入內(nèi)網(wǎng)處理模塊的內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū);
步驟203:內(nèi)網(wǎng)協(xié)議轉(zhuǎn)換模塊按照tcp/ip協(xié)議將要傳輸給外網(wǎng)用戶的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)解析出來并存入內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū);
步驟204:內(nèi)網(wǎng)處理模塊中的敏感信息過濾模塊對內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū)中的要傳輸給外網(wǎng)用戶的網(wǎng)絡(luò)數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)進行敏感信息檢測,過濾掉其中可能存在的敏感信息后再存入內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū);
步驟205:內(nèi)網(wǎng)處理模塊將與過濾區(qū)域連接的帶開關(guān)的單向數(shù)據(jù)鏈路的開關(guān)閉合,將經(jīng)過敏感信息過濾的內(nèi)網(wǎng)數(shù)據(jù)緩存區(qū)中的數(shù)據(jù)通過帶開關(guān)的單向數(shù)據(jù)鏈路傳輸給過渡區(qū)域;
步驟206:內(nèi)網(wǎng)處理模塊將數(shù)據(jù)傳輸完畢斷開與過渡區(qū)域連接的帶開關(guān)的單向數(shù)據(jù)鏈路的開關(guān);
步驟207:過渡區(qū)域?qū)⑹盏降臄?shù)據(jù)存入過渡區(qū)域中的過渡數(shù)據(jù)緩存區(qū);
步驟208:過渡區(qū)域中的數(shù)據(jù)加密模塊隨機生成一個數(shù)據(jù)加密密鑰,使用分組加密算法(如aes算法)將過渡數(shù)據(jù)緩存區(qū)中的數(shù)據(jù)進行加密,并使用外網(wǎng)用戶的公鑰加密該數(shù)據(jù)的加密密鑰;
步驟209:過渡區(qū)域閉合與外網(wǎng)處理模塊連接的帶開關(guān)的單向數(shù)據(jù)鏈路的開關(guān);
步驟210:過渡區(qū)域?qū)⒓用芎蟮臄?shù)據(jù)和密鑰一同通過與外網(wǎng)處理模塊連接的帶開關(guān)的單向數(shù)據(jù)鏈路發(fā)送給外網(wǎng)處理模塊;
步驟211:數(shù)據(jù)發(fā)送完畢,過渡區(qū)域斷開與外網(wǎng)處理模塊連接的帶開關(guān)的單向數(shù)據(jù)鏈路的開關(guān),同時啟動系統(tǒng)還原模塊清空過渡區(qū)域中的過渡數(shù)據(jù)緩存區(qū),并將過渡區(qū)域還原為初始狀態(tài);
步驟212:外網(wǎng)處理模塊將收到的內(nèi)網(wǎng)用戶傳輸給外網(wǎng)用戶的數(shù)據(jù)存入外網(wǎng)處理模塊中的外網(wǎng)數(shù)據(jù)緩存區(qū);
步驟213:外網(wǎng)處理模塊中的外網(wǎng)協(xié)議轉(zhuǎn)換模塊按照tcp/ip協(xié)議將外網(wǎng)數(shù)據(jù)緩存區(qū)中內(nèi)網(wǎng)用戶傳輸給外網(wǎng)用戶的數(shù)據(jù)打包為網(wǎng)絡(luò)數(shù)據(jù)包后發(fā)送給外網(wǎng)用戶;
步驟214:外網(wǎng)用戶收到數(shù)據(jù)后,先用自己的私鑰解密數(shù)據(jù)加密密鑰,再用數(shù)據(jù)加密密鑰解密數(shù)據(jù),獲得內(nèi)網(wǎng)用戶發(fā)送的數(shù)據(jù)。
本發(fā)明通過雙單向數(shù)據(jù)鏈路來實現(xiàn)不同安全等級網(wǎng)絡(luò)之間的數(shù)據(jù)的雙向通信,并通過過渡區(qū)域的系統(tǒng)還原和數(shù)據(jù)加密操作來實現(xiàn)數(shù)據(jù)從高安全等級內(nèi)網(wǎng)流入低安全等級外網(wǎng),在實現(xiàn)數(shù)據(jù)雙向通信的前提下保證數(shù)據(jù)的安全,可應(yīng)用于不同安全等級網(wǎng)絡(luò)之間的安全隔離。
以上所述只是本發(fā)明的優(yōu)選實施方式,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也被視為本發(fā)明的保護范圍。