CN110247924A - 基于物理传输的双向传输及控制***和数据传输方法 - Google Patents
基于物理传输的双向传输及控制***和数据传输方法 Download PDFInfo
- Publication number
- CN110247924A CN110247924A CN201910556388.6A CN201910556388A CN110247924A CN 110247924 A CN110247924 A CN 110247924A CN 201910556388 A CN201910556388 A CN 201910556388A CN 110247924 A CN110247924 A CN 110247924A
- Authority
- CN
- China
- Prior art keywords
- data packet
- end server
- intranet
- outer net
- insincere
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例公开了一种基于物理传输的双向传输及控制***和数据传输方法,所述***包括不可信端服务器、可信端服务器和双向物理传输装置,所述不可信端服务器的一端与不可信网络连接,另一端与所述双向物理传输装置,所述可信端服务器的一端连接于可信网络,另一端连接于所述双向物理传输装置,所述双向物理传输装置包括内网信号收发器、外网信号收发器和双向传输的物理连接装置,所述不可信端服务器与所述外网信号收发器通过PCI‑E总线连接,所述可信端服务器与所述内网信号收发器通过PCI‑E总线连接,所述内网信号收发器与所述外网信号收发器通过双向传输的所述物理连接装置连接。该技术方案能够实现双向、高效、安全的通讯。
Description
技术领域
本公开涉及网络安全技术领域,具体涉及一种基于物理传输的双向传输及控制***和数据传输方法。
背景技术
互联网的飞速发展正在变革社会生活的各个领域。随着全球网民数量的增加和上网设备的不断增多,网络攻击、信息泄露、网上犯罪层出不穷,网络安全形势日益严重。以防火墙、防病毒和入侵检测防御***为核心的网络边界防御体系只能满足信息化建设的一般安全需求,难以解决政府部门及涉密信息***等重要网络的保护问题。但是电子政务的建设不能因此停止和减缓,政务部门的网络也不能隔断信息交换途径,成为孤岛。针对政府部门互联网传输的安全要求,能够实现物理隔离的信息单向传输设备(俗称网闸)成为实现低安全级非涉密网和高安全级涉密网数据传输的主要解决方案。
近十年来,物理隔离网闸在安全信息交换方面获得了极大应用,它在涉密网络(通常称作内网或可信网络)和公共互联网(通常称作外网或不可信网络)之间传输数据时扮演着一种类似“信息渡船”的角色,“船闸”的控制通过开关控制***实现。传统的开关控制技术主要有两种:电开关和存储介质读写控制开关。其中,电子开关受器件本身限制,开关速度低,数据传输存在比较大的延时,因此网络的性能受到极大影响。存储介质读写控制开关受总线标准的限制,速度达不到要求,因而严重制约了网闸的性能发挥。更重要的是,这两种开关控制技术都是基于电接口的,物理上难以避免反馈控制信道的使用,因此由程序控制的数据单向写入、单向读出理论上依然存在被人为篡改的可能,从而导致单向隔离失效,产生灾难性的后果。
在实现本公开的过程中,发明人发现,现有技术中,网络安全隔离技术还普遍存在带宽不足、效率低下、结构复杂、只能单向传输等问题,很难满足新出现的高速通信的要求,而且***的安全性不高,容易出现服务器被黑客入侵控制,病毒数据渗透传播,涉密信息有被盗取等问题。例如,公开号为CN 105656902A的专利中公开了利用光传输的单向性来实现物理层无反馈的传输通道,但只能做单向传输,应用场景有一定的局限性。公开号为CN201307864Y的专利中公开了一种基于1394接口的数据隔离转发***,虽然能够提高网络的安全性,但传输速率很低。
发明内容
为了解决相关技术中的问题,本公开实施例提供一种基于物理传输的双向传输及控制***和数据传输方法。
第一方面,本公开实施例中提供了一种基于物理传输的双向传输及控制***,所述***包括:不可信端服务器、可信端服务器和双向物理传输装置,其中:
所述不可信端服务器用于为基于TCP/IP公有协议的互联网应用提供服务,其一端与不可信网络连接,另一端与所述双向物理传输装置;
所述可信端服务器的一端连接于可信网络,另一端连接于所述双向物理传输装置;
所述双向物理传输装置的一端连接于所述不可信端服务器,另一端连接于所述可信端服务器,其包括内网信号收发器、外网信号收发器和双向传输的物理连接装置,其中,所述不可信端服务器与所述外网信号收发器通过PCI-E总线连接,所述可信端服务器与所述内网信号收发器通过PCI-E总线连接,所述内网信号收发器与所述外网信号收发器通过双向传输的所述物理连接装置连接。
可选地,所述双向物理传输装置采用私有通讯协议,所述私有通讯协议包括时分切换逻辑。
可选地,所述内网信号收发器为FPGA板卡;所述外网信号收发器为FPGA板卡;
所述物理连接装置包括:内网SMA收发器、外网SMA收发器和SMA连接线,其中,所述内网信号收发器连接于所述内网SMA收发器,所述外网信号收发器连接于所述外网SMA收发器,所述内网SMA收发器与所述外网SMA收发器通过所述SMA连接线连接。
可选地,所述可信端服务器和/或不可信端服务器采用日志告警模式。
第二方面,本公开实施例中提供了一种基于第一方面中所述的***的数据传输方法,包括:
获取通讯信息符合白名单规则的数据包;
不可信端服务器对所述数据包进行外网自定义校验;
当所述数据包满足所述外网自定义校验时,双向物理传输装置将所述数据包传输至可信端服务器;
所述可信端服务器对所述数据包进行内网自定义校验。
可选地,所述不可信端服务器对所述数据包进行外网自定义校验,包括:
获取所述数据包的入侵特征;
当所述入侵特征满足预设入侵条件时,检测所述数据包的外网业务逻辑;
当所述外网业务逻辑满足外网预设逻辑条件时,将所述数据包传输至所述双向物理传输装置。
可选地,所述数据包块设有包头,所述包头至少包括校验码、序列号、数据包类型、目的模块识别码中的一种或多种信息。
可选地,所述可信端服务器对所述数据包进行内网自定义校验,包括:
获取所述数据包的包头;
基于所述校验码,检测所述数据包的传输合法性;
当所述数据包满足传输合法性,基于所述序列号,对所述数据包进行丢包检测;
当不存在丢包现象时,检测所述数据包的内网业务逻辑;
当所述内网业务逻辑满足所述内网预设逻辑条件时,基于所述目的模块识别码,发送所述数据包。
可选地,所述将所述数据包传输至所述双向物理传输装置,包括:
获取所述数据包的包头;
剥离所述数据包的网络头,获得应用数据包;
基于所述数据包类型和目的模块识别码,对所述应用数据包进行封装,获得可传输数据包;
将所述可传输数据包传输至所述双向物理传输装置。
可选地,所述方法还包括所述不可信端服务器和/或所述可信端服务器对所述数据包相对应的文件进行病毒检测。
本公开实施例提供的技术方案可以包括以下有益效果:
根据本公开实施例提供的技术方案,不可信端服务器与可信端服务器之间通过双向物理传输装置进行数据包的传输。一方面,由于数据包的传输是通过基于私有通讯协议的双向物理传输装置实现的,有效避免了恶意数据包利用数据传输从不可信端服务器攻击可信服务端等问题,从而提高了服务器和数据传输的安全性。另外,数据包在不可信端服务器与可信端服务器之间的传输是双向的,从而扩大了该***的应用范围。
根据本公开实施例提供的技术方案,不可信端服务器能够获取通讯信息符合白名单规则的数据包,并对获取的数据包进行外网自定义校验,只有满足所述外网自定义校验的数据包才能通过私有通讯协议,传输至可信端服务器,并需要在可信端服务器接收内网自定义校验,从而有效降低了利用数据包攻击可信端服务器的可能性,提高了服务器和数据传输的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
结合附图,通过以下非限制性实施方式的详细描述,本公开的其它特征、目的和优点将变得更加明显。在附图中:
图1示出根据本公开实施例基于物理传输的双向传输及控制***的结构示意图;
图2示出根据本公开实施例双向物理传输装置的结构示意图;
图3示出根据本公开实施例物理连接装置的信号连接示意图;
图4示出根据本公开实施例数据传输方法的流程图;
图5示出根据本公开实施例外网自定义校验的流程图;
图6示出根据本公开实施例内数据包传输至双向物理传输装置的流程图;
图7示出根据本公开实施例内网自定义校验的流程图;
图8示出根据本公开实施例内数据包传输过程的流程图;
图9示出根据本公开实施例内数据包传输至不可信网络的流程图。
具体实施方式
下文中,将参考附图详细描述本公开的示例性实施方式,以使本领域技术人员可容易地实现它们。此外,为了清楚起见,在附图中省略了与描述示例性实施方式无关的部分。
在本公开中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
另外还需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
上文提及,现有技术中,网络安全隔离技术还普遍存在带宽不足、效率低下、结构复杂、只能单向传输等问题,很难满足新出现的高速通信的要求,而且***的安全性不高,容易出现服务器被黑客入侵控制,病毒数据渗透传播,涉密信息有被盗取等问题。
考虑到上述缺陷,本公开实施例提供了一种基于物理传输的双向传输及控制***,所述***包括不可信端服务器、可信端服务器和双向物理传输装置,所述不可信端服务器用于为基于TCP/IP公有协议的网络应用提供服务,其一端与不可信网络连接,另一端与所述双向物理传输装置,所述可信端服务器的一端连接于可信网络,另一端连接于所述双向物理传输装置,所述双向物理传输装置的一端连接于所述不可信端服务器,另一端连接于所述可信端服务器,其包括内网信号收发器、外网信号收发器和双向传输的物理连接装置,其中,所述不可信端服务器与所述外网信号收发器通过PCI-E总线连接,所述可信端服务器与所述内网信号收发器通过PCI-E总线连接,所述内网信号收发器与所述外网信号收发器通过双向传输的所述物理连接装置连接。该技术方案通过双向物理传输装置实现数据包在不可信端服务器与可信端服务器之间的传输,一方面,由于数据包的传输是通过基于私有通讯协议的双向物理传输装置实现的,有效避免了恶意数据包利用数据传输从不可信端服务器攻击可信服务端等问题,从而提高了服务器和数据传输的安全性。另外,数据包在不可信端服务器与可信端服务器之间的传输是双向的,从而扩大了该***的应用范围。
图1示出根据本公开实施例基于物理传输的双向传输及控制***的结构示意图,如图1所示,所述***包括:不可信端服务器、可信端服务器和双向物理传输装置。
在本发明一实施方式中,所述不可信端服务器用于为基于TCP/IP公有协议的网络应用提供服务,其一端与不可信网络连接,另一端与所述双向物理传输装置。
在本发明一实施方式中,所述可信端服务器的一端连接于可信网络,另一端连接于所述双向物理传输装置。
在本发明一实施方式中,所述可信网络是指需要保护的网络,通常是局域网,例如,政府部门及涉密信息***、公司内部网络等。所述不可信网络是指所述可信网络之外的网络,可以局域网,也可以是广域网。可以理解的,所述可信网络和所述不可信网络的范围不是绝对的,例如,当所述可信网络是指公司内部网络时,所述不可信网络可以是指广域网;当所述可信网络是某个部门的内部网络时,所述不可信网络是可以是该部门所属公司的内部网络,也可以是整个广域网,本公开对可信网络和不可信网络的范围不作具体设定。
在本发明一实施方式中,不可信端服务器是指与不可信网络基于TCP/IP公有协议进行网络连接的服务器,用于为不可信网络中的网络应用提供服务。可信端服务器是指与可信网络基于TCP/IP公有协议进行网络连接的服务器,为可信网络中的网络应用提供服务。其中,所述网络应用是指需要在网络上进行操作以实现至少一种特定功能(例如,文件交换、文件共享、文件传输协议同步应用、数据库同步、其它通讯功能等)的应用软件。需要说明的是,本公开对于网络应用的内容和实现的功能不作具体限定。
继续参考图1,在本发明一实施方式中,所述双向物理传输装置的一端连接于所述不可信端服务器,另一端连接于所述可信端服务器,其包括内网信号收发器、外网信号收发器和双向传输的物理连接装置,其中,所述不可信端服务器与所述外网信号收发器通过PCI-E总线连接,所述可信端服务器与所述内网信号收发器通过PCI-E总线连接,所述内网信号收发器与所述外网信号收发器通过双向传输的所述物理连接装置连接。
图2示出根据本公开实施例双向物理传输装置的结构示意图,如图2所示,所述内网信号收发器为FPGA板卡,所述外网信号收发器为FPGA板卡。
根据本公开的实施例,内网信号收发器和外网信号收发器均为FPGA板卡,其中,FPGA(Field-Programmable Gate Array,现场可编程门阵列)板卡是指FPGA芯片以板卡的形式,从而可以***到可信端服务器或不可信端服务器的主板中,并通过PCI-E总线与相应的服务器进行连接以实现通讯。由于FPGA板卡的通讯速度较大,例如,Altera的Cyclone IVGX系列中的FPGA板卡,其通讯速度最高能达到3.125Gbit/s,从硬件性能上保障了***内的通讯速度。
在本发明一实施方式中,所述物理连接装置包括:内网SMA收发器、外网SMA收发器和SMA连接线。其中,所述内网信号收发器连接于所述内网SMA收发器,所述外网信号收发器连接于所述外网SMA收发器,所述内网SMA收发器与所述外网SMA收发器通过所述SMA连接线连接。
在本发明一实施方式中,当所述物理连接装置包括内网SMA收发器、外网SMA收发器和SMA连接线时,所述物理连接装置是一种SMA连接器。其中,所述SMA(Sub-Miniature A)连接器是一种小型螺纹连接的同轴连接器,具有频带宽、性能优、高可靠、寿命长的特点。
在本发明一实施方式中,假设所述外网信号收发器和内网信号收发器均为FPGA板卡,则所述内网信号收发器连接于所述内网SMA收发器,所述外网信号收发器连接于所述外网SMA收发器,可以是每个FPGA板卡上设置多个SMA接口;所述内网SMA收发器与所述外网SMA收发器通过所述SMA连接线连接,可以是不同FPGA上的多个SMA接口通过SMA连接线对应连接。
图3示出根据本公开实施例物理连接装置的信号连接示意图,如图3所示,每个FPGA板卡上设置六个SMA接口:SMA_RX+接口、SMA_RX-接口、SMA_TX+接口、SMA_TX-接口、SMA_CLK+接口和SMA_CLK-接口。
其中,每个FPGA板卡上的SMA_RX+接口和SMA_RX-接口分别与另一FPGA板卡上的SMA_TX+接口和SMA_TX-接口连接,用于接收另一FPGA板卡的数据包;每个FPGA板卡上的SMA_TX+接口和SMA_TX-接口分别与另一板卡上的SMA_RX+接口和SMA_RX-接口连接,用于向另一FPGA板卡发送数据包;每个FPGA板卡上的SMA_CLK+接口和SMA_CLK-接口分别与另一板卡上的SMA_CLK-接口和SMA_CLK+接口连接,用于传输时钟信号以保证内网信号收发器和外网信号收发器能够同步运作。
在本发明一实施方式中,所述双向物理传输装置采用私有通讯协议,所述私有通讯协议包括时分切换逻辑。
在本发明一实施方式中,所述双向物理传输装置采用的私有通讯协议,实现了在***通讯中能够进行安全有效的物理隔离。另外,所述私有通讯协议中包括时分切换逻辑,使得在每个时钟周期内,所述内网信号收发器(或者外网信号收发器)只能接受或发送数据包,也就是说,所述双向物理传输装置在每个时钟周期内只能进行单向的物理传输,从而实现“渡船模式”的传输方式,既能保证双向通讯,又能有效避免利用双向通讯实现跨域(可信网络和不可信网络之间)传输的潜在危险,从而实现双向、安全、有效的物理隔离。
在本发明一实施方式中,所述可信端服务器和/或不可信端服务器采用日志告警模式。
在本发明一实施方式中,所述可信端服务器和不可信端服务器采用日志告警模式。具体地,可信端服务器(或者不可信端服务器)基于记录的***中硬件、软件、***问题、发生事件等信息来形成***日志,使得用户能够根据所述***日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹,所述可信端服务器(或者不可信端服务器)还可以将所述***日志发送到指定位置(例如,管理员客户端),来实现对用户的主动告警。
基于上述***,本公开实施例还提供了一种数据传输方法,所述方法包括获取通讯信息符合白名单规则的数据包,不可信端服务器对所述数据包进行外网自定义校验,当所述数据包满足所述外网自定义校验时,双向物理传输装置将所述数据包传输至可信端服务器,所述可信端服务器对所述数据包进行内网自定义校验。该技术方案能够令不可信端服务器基于白名单规则,获取数据包,并对获取的数据包进行外网自定义校验,只有满足所述外网自定义校验的数据包才能通过私有通讯协议,传输至可信端服务器,并需要在可信端服务器接收内网自定义校验,从而有效降低了利用数据包攻击可信端服务器的可能性,提高了服务器和数据传输的安全性。
图4示出根据本公开实施例数据传输方法的流程图,如图4所示,所述数据传输方法包括以下步骤S101-S104:
在步骤S101中,获取通讯信息符合白名单规则的数据包;
在步骤S102中,不可信端服务器对所述数据包进行外网自定义校验;
在步骤S103中,当所述数据包满足所述外网自定义校验时,双向物理传输装置将所述数据包传输至可信端服务器;
在步骤S104中,所述可信端服务器对所述数据包进行内网自定义校验。
在本发明一实施方式中,用户可以根据实际需要在不可信端服务器中设置白名单规则,例如,通过设置防火墙对数据包进行过滤,其中,所述白名单规则可以包括网络接口、源IP、源端口、目的IP、目的端口等,使得所述不可信端服务器只获取传输信息(例如,网络接口、源IP、源端口、目的IP、目的端口等)满足所述白名单规则的数据包,例如,可以设置所述不可信端服务器接收来自网络接口为eth1,源IP为172.16.0.53以及源端口为21的数据包。具体地,所述不可信端服务器可以根据数据包的传输信息确定是否接收所述数据包,如果匹配不成功,则丢弃所述数据包,如果匹配成功,则接收所述数据包。
在本发明一实施方式中,用户也可以根据实际需要在不可信端服务器中设置黑名单规则,使得所述不可信端服务器不接收传输信息满足所述黑名单规则的任意数据包,例如,拒绝接收对于来自网络接口为eth1,源IP为172.16.0.53以及源端口为21的数据包。
在本发明一实施方式中,用户可以利用iptables规则在不可信端服务器中设置白名单规则和黑名单规则。
图5示出根据本公开实施例外网自定义校验的流程图,如图5所示,所述不可信端服务器对所述数据包进行外网自定义校验,即所述步骤S102中包括以下步骤S201-S203:
在步骤S201中,获取所述数据包的入侵特征;
在步骤S202中,当所述入侵特征满足预设入侵条件时,检测所述数据包的外网业务逻辑;
在步骤S203中,当所述外网业务逻辑满足外网预设逻辑条件时,将所述数据包传输至所述双向物理传输装置。
在本发明一实施方式中,不可信端服务器在获取数据包之后,会对数据包进行入侵检测,即获取所述数据包的入侵特征。所述入侵特征满足预设入侵条件表示所述数据包不存在入侵攻击行为。具体地,所述入侵攻击行为主要是指对***资源的非授权使用,可能会造成***数据的丢失和破坏、***拒绝服务等危害,例如,DOS攻击、DDOS攻击,DNS攻击,ARP欺骗,缓冲器溢出攻击,端口扫描,CGI攻击,SMB探测等。所述入侵特征包括IP包(包括TCP协议和UDP协议)首部、数据包中的数据段信息、发生频率等。
在本发明一实施方式中,当所述入侵特征不满足预设入侵条件时,表示所述数据包存在入侵攻击行为。对于存在入侵攻击行为的数据包,所述不可信端服务器可以采取丢弃所述数据包的操作,还可以同时根据所述数据包的传输信息,生成或更新白名单规则(或者黑名单规则),使得所述不可信端服务器不再获取具有所述传输信息的数据包。另外,所述不可信端服务器还可以生成***日志,并将所述***日志发送到指定位置,来实现对用户的主动告警。
在本发明一实施方式中,当数据包的入侵特征满足预设入侵条件时,即所述数据包不存在入侵攻击行为时,所述不可信端服务器检测所述数据包的外网业务逻辑,即检测该***以及可信网络对所述数据包是否有业务需要。具体地,可以先检测所述数据包是否符合业务逻辑合法性,以避免获取的数据包为恶意伪造的数据包,而出现数据欺骗等问题;然后检测该***当前的业务逻辑状态(例如,是否处于下载状态等),以判断所述数据包的外网业务逻辑是否符合所述业务逻辑状态,从而避免非法数据进入甚至攻击该***。可以理解的,本申请对于如何判断所述数据包的外网业务逻辑是否满足外网预设逻辑条件的方法不作具体限定。
在本发明一实施方式中,当所述外网业务逻辑满足外网预设逻辑条件时,即所述可信网络对所述数据包具有业务需求,可以将所述数据包传输至所述双向物理传输装置。当所述外网业务逻辑不满足外网预设逻辑条件时,即所述可信网络对所述数据包不具有业务需求,所述不可信端服务器终止传输,并丢弃所述数据包。
在本发明一实施方式中,所述数据包块设有包头,所述包头至少包括校验码、序列号、数据包类型、目的模块识别码中的一种或多种信息。
在本发明一实施方式中,在步骤S203中,当所述外网业务逻辑满足外网预设逻辑条件时,将所述数据包传输至所述双向物理传输装置。图6示出根据本公开实施例内数据包传输至双向物理传输装置的流程图,如图6所示,所述将所述数据包传输至所述双向物理传输装置包括以下步骤S301-S304:
在步骤S301中,获取所述数据包的包头;
在步骤S302中,剥离所述数据包的网络头,获得应用数据包;
在步骤S303中,基于所述数据包类型和目的模块识别码,对所述应用数据包进行封装,获得可传输数据包;
在步骤S304中,将所述可传输数据包传输至所述双向物理传输装置。
在本发明一实施方式中,所述网络头是指数据包在不可信网络中的传输过程中,根据通讯协议被添加的相关信息,例如,用于控制信息的运载和传输的数据包前面的定义位长度的特殊保留字段。所述剥离所述数据包的网络头,是指去除所述数据包在不可信网络中的传输过程中,根据通讯协议被添加的相关信息。
在本发明一实施方式中,所述封装是指数据包在传输前被添加上必要的协议信息,用以实现数据包的传输。所述对所述应用数据包进行封装,是指根据所述双向物理传输装置的传输协议,根据所述数据包的包头信息(例如,数据包类型和目的模块识别码)在应用数据包上添加必要的协议信息,以实现将所述数据包传输至可信端服务器。
在本发明一实施方式中,当数据包通过双向物理传输装置传输至可信端服务器后,所述可信端服务器对所述数据包进行内网自定义校验。图7示出根据本公开实施例内网自定义校验的流程图,如图7所示,所述可信端服务器对所述数据包进行内网自定义校验,即所述步骤S104中包括以下步骤S401-S405:
在步骤S401中,获取所述数据包的包头;
在步骤S402中,基于所述校验码,检测所述数据包的传输合法性;
在步骤S403中,当所述数据包满足传输合法性,基于所述序列号,对所述数据包进行丢包检测;
在步骤S404中,当不存在丢包现象时,检测所述数据包的内网业务逻辑;
在步骤S405中,当所述内网业务逻辑满足所述内网预设逻辑条件时,基于所述目的模块识别码,发送所述数据包。
在本发明一实施方式中,所述校验码是指数据包在由双向物理传输装置进行传输前,根据所述私有通讯协议,在包头中添加的字段。所述传输合法性是指指所述数据包遵循私有通讯协议,在物理传输过程中没有出现传输错误、被篡改等问题,且传输后的数据包内容完整、与源数据相同。因此,可信端服务器可以按照自定义的校验算法对数据包的包头中的校验码进行校验,以检测所述数据包的传输合法性。当所述可信端服务器检测到数据包不具有传输合法性,终止传输过程,并可以丢弃所述数据包。另外,所述可信端服务器还可以生成***日志,并将所述***日志发送到指定位置,来实现对用户的主动告警。
在本发明一实施方式中,数据包的包头中有序列号,所述序列号是用于标记并保证数据包在传输过程中的顺序的字段。丢包(Packet loss)是指在传输过程中出现意外丢失数据包的现象。因此,可信端服务器可以通过检测数据包的序列号于前后接收到的其他数据包的序列号,来检测传输过程中是否出现丢包现象。当所述可信端服务器检测到传输过程中有丢包现象时,通过私有通讯协议向所述不可信端服务器发送重传数据包的请求,若没有检测到丢包现象,则继续检测所述数据包的内网业务逻辑。
在本发明一实施方式中,所述内网业务逻辑是指该***以及可信网络对所述数据包是否有业务需求。具体地,所述可信端服务器可以先检测所述数据包是否符合业务逻辑合法性,以避免获取的数据包为恶意伪造的数据包,而出现数据欺骗等问题;然后检测该***当前的业务逻辑状态(例如,是否处于下载状态等),以判断所述数据包的内网业务逻辑是否符合所述业务逻辑状态,从而避免非法数据进入甚至攻击该***,本公开对于检测数据包的内网业务逻辑的方法不作具体限定。
在本发明一实施方式中,可信端服务器在所述数据包的内网业务逻辑符合所述内网预设逻辑条件时,根据所述数据包的目的模块识别码,将所述数据包发送到所述目的模块识别码所对应的位置,例如,可信网络中的指定主机的指定目录。
在本发明一实施方式中,所述方法还包括步骤S105:
在步骤S105中,所述不可信端服务器和/或所述可信端服务器对所述数据包相对应的文件进行病毒检测。
在本发明一实施方式中,数据包在传输至可信端服务器之前,所述不可信端服务器可以对所述数据包相对应的文件进行病毒检测。数据包在传输至可信网络,即所述可信端服务器在发送所述数据包之前,也可以对所述数据包相对应的文件进行病毒检测。所述病毒检测可以是对数据包相对应的文件进行病毒特征的扫描,若扫描过程中发现所述数据包相对应的文件具有病毒特征,例如,繁殖性、破坏性、传染性、潜伏性、隐蔽性、可触发性等,表示所述数据包相对应的文件可能存在病毒,不可信端服务器(或者可信端服务器)停止数据传输,并丢弃所述数据包。另外,所述不可信端服务器(或者可信端服务器)还可以生成***日志,并将所述***日志发送到指定位置,来实现对用户的主动告警。
图8示出根据本公开实施例内数据包传输过程的流程图,如图8所示,假设不可信网络向本申请提供的***传输一个数据包A。
在步骤S101中,不可信端服务器将所述数据包A的通信参数,与预设的白名单规则进行匹配,当匹配成功时,所述不可信端服务器确定接收所述数据包A,当匹配不成功时,所述不可信端服务器终止传输,并丢弃所述数据包A。
在步骤S102中,所述不可信端服务器对获取的所述数据包A进行外网自定义校验。具体地,可以先获取所述数据包A的入侵特征,判断所述入侵特征是否满足预设入侵条件(步骤S201),若所述入侵特征满足预设入侵条件,表示所述数据包A不具有入侵攻击行为,可以继续传输,否则所述不可信端服务器终止传输,并丢弃所述数据包A。
在确定所述数据包A不具有入侵攻击行为时,所述不可信端服务器检测所述数据包A的外网业务逻辑(步骤S202),即判断可信网络是否需要所述数据包A,如果所述数据包A的外网业务逻辑满足外网预设逻辑条件时,即所述可信网络需要所述数据包A时,可以在所述数据包A相对应的文件通过病毒检测(步骤S105)后,通过双向物理传输装置传输至可信端服务器(步骤S203),否则所述不可信端服务器终止传输,并丢弃所述数据包A,若所述数据包A相对应的文件没有通过病毒检测,则丢弃所述数据包A。
在步骤S102中,所述可信端服务器获取所述数据包A后,可以对所述数据包A进行内网自定义校验。具体地,所述可信端服务器可以先获取所述数据包A的包头(步骤S401),根据所述包头中的校验码,通过自定义的校验算法,检测所述数据包A的传输合法性(步骤S402),若所述数据包A满足传输合法性,说明所述数据包A的传输符合所述私有通讯协议,即所述数据包A在传输前后能够保持内容完整、一致,可以继续传输,否则,说明所述数据包A可能存在错误,甚至是非法进入的,为了保证所述可信端服务器以及可信网络的安全,所述可信端服务器可以终止传输,并删除所述数据包A。
假设所述数据包A满足传输合法性,则所述可信端服务器可以根据所述数据包A的序列号,检测是否在传输过程中存在丢包现象(步骤S403),如果存在,则通过所述私有通讯协议,向所述不可信端服务器发送重传数据包A的请求,若不存在丢包现象,则可以基于所述数据包的目的模块识别码检测所述数据包A的内网业务逻辑(步骤S403),如果所述可信网络不需要所述数据包A,则所述可信端服务器可以停止传输,并丢弃所述数据包A,否则,可以在所述数据包A相对应的文件通过病毒检测后(步骤S105),根据所述数据包A的包头中的目的模块识别码,将所述数据包A发送到目的地址,若所述数据包A相对应的文件没有通过病毒检测,则丢弃所述数据包A。
在本发明一实施方式中,数据包也可以由可信端服务器发送至不可信端服务器,即用户可以将可信网络中的数据包发送至不可信网络中。
在本发明一实施方式中,用户可以根据实际需要在可信端服务器中设置内网白名单规则,例如,通过设置防火墙对向不可信网络传输的数据包进行过滤,其中,所述内网白名单规则可以包括网络接口、源IP、源端口、目的IP、目的端口等,使得所述可信端服务器只能够向不可信网络发送传输信息(例如,网络接口、源IP、源端口、目的IP、目的端口等)满足所述内网白名单规则的数据包,例如,只允许数据包从网络接口为eth1向目的IP为172.16.0.53,端口为21的地址进行传输。用户也可以根据实际需要在所述可信端服务器中设置黑名单规则,使得所述可信端服务器不能将传输信息满足所述黑名单规则的任意数据包向不可信网络传输,例如,拒绝所有从网络接口为eth1向不可信网络发送数据包的请求。需要说明的是,本公开对于白名单规则和黑名单规则的具体内容不作限制。
图9示出根据本公开实施例内数据包传输至不可信网络的流程图,如图9所示,当用户通过可信网络向所述***申请要向不可信网络传输一个数据包B,所述可信端服务器根据所述数据包B的传输信息,与预设的内网白名单规则进行匹配,当匹配成功时,所述可信端服务器将所述数据包B通过双向物理传输装置传输至所述不可信端服务器,进而传输至不可信网络,即放行所述数据包B;当匹配不成功时,所述可信端服务器终止传输。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种基于物理传输的双向传输及控制***,其特征在于,所述***包括:不可信端服务器、可信端服务器和双向物理传输装置,其中:
所述不可信端服务器用于为基于TCP/IP公有协议的互联网应用提供服务,其一端与不可信网络连接,另一端与所述双向物理传输装置;
所述可信端服务器的一端连接于可信网络,另一端连接于所述双向物理传输装置;
所述双向物理传输装置的一端连接于所述不可信端服务器,另一端连接于所述可信端服务器,其包括内网信号收发器、外网信号收发器和双向传输的物理连接装置,其中,所述不可信端服务器与所述外网信号收发器通过PCI-E总线连接,所述可信端服务器与所述内网信号收发器通过PCI-E总线连接,所述内网信号收发器与所述外网信号收发器通过双向传输的所述物理连接装置连接。
2.根据权利要求1所述的***,其特征在于,所述双向物理传输装置采用私有通讯协议,所述私有通讯协议包括时分切换逻辑。
3.根据权利要求1所述的***,其特征在于,所述内网信号收发器为FPGA板卡;所述外网信号收发器为FPGA板卡;
所述物理连接装置包括:内网SMA收发器、外网SMA收发器和SMA连接线,其中,所述内网信号收发器连接于所述内网SMA收发器,所述外网信号收发器连接于所述外网SMA收发器,所述内网SMA收发器与所述外网SMA收发器通过所述SMA连接线连接。
4.根据权利要求1所述的***,其特征在于,所述可信端服务器和/或不可信端服务器采用日志告警模式。
5.一种基于权利要求1-4中任意一项所述的***的数据传输方法,其特征在于,包括:
获取通讯信息符合白名单规则的数据包;
不可信端服务器对所述数据包进行外网自定义校验;
当所述数据包满足所述外网自定义校验时,双向物理传输装置将所述数据包传输至可信端服务器;
所述可信端服务器对所述数据包进行内网自定义校验。
6.根据权利要求5所述的方法,其特征在于,所述不可信端服务器对所述数据包进行外网自定义校验,包括:
获取所述数据包的入侵特征;
当所述入侵特征满足预设入侵条件时,检测所述数据包的外网业务逻辑;
当所述外网业务逻辑满足外网预设逻辑条件时,将所述数据包传输至所述双向物理传输装置。
7.根据权利要求5所述的方法,其特征在于,所述数据包块设有包头,所述包头至少包括校验码、序列号、数据包类型、目的模块识别码中的一种或多种信息。
8.根据权利要求7所述的方法,其特征在于,所述可信端服务器对所述数据包进行内网自定义校验,包括:
获取所述数据包的包头;
基于所述校验码,检测所述数据包的传输合法性;
当所述数据包满足传输合法性,基于所述序列号,对所述数据包进行丢包检测;
当不存在丢包现象时,检测所述数据包的内网业务逻辑;
当所述内网业务逻辑满足所述内网预设逻辑条件时,基于所述目的模块识别码,发送所述数据包。
9.根据权利要求7所述的方法,其特征在于,所述将所述数据包传输至所述双向物理传输装置,包括:
获取所述数据包的包头;
剥离所述数据包的网络头,获得应用数据包;
基于所述数据包类型和目的模块识别码,对所述应用数据包进行封装,获得可传输数据包;
将所述可传输数据包传输至所述双向物理传输装置。
10.根据权利要求5所述的方法,其特征在于,还包括:
所述不可信端服务器和/或所述可信端服务器对所述数据包相对应的文件进行病毒检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910556388.6A CN110247924A (zh) | 2019-06-25 | 2019-06-25 | 基于物理传输的双向传输及控制***和数据传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910556388.6A CN110247924A (zh) | 2019-06-25 | 2019-06-25 | 基于物理传输的双向传输及控制***和数据传输方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110247924A true CN110247924A (zh) | 2019-09-17 |
Family
ID=67889580
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910556388.6A Pending CN110247924A (zh) | 2019-06-25 | 2019-06-25 | 基于物理传输的双向传输及控制***和数据传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110247924A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615082A (zh) * | 2022-04-07 | 2022-06-10 | 西安热工研究院有限公司 | 一种使用正反向网闸模拟tcp双工安全通讯***和方法 |
| CN116094753A (zh) * | 2022-11-29 | 2023-05-09 | 国网山东省电力公司信息通信公司 | 一种面向电力异构融合场景的调度消息交互方法及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102843352A (zh) * | 2012-05-15 | 2012-12-26 | 广东电网公司茂名供电局 | 在内网和外网之间跨物理隔离透明传输数据的***和方法 |
| US20130033815A1 (en) * | 2011-08-04 | 2013-02-07 | Wen-Hsiung Yang | Airflow adjustment device and blade server |
| CN103944865A (zh) * | 2013-01-22 | 2014-07-23 | 横河电机株式会社 | 隔离保护***及其执行双向数据包过滤检查的方法 |
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
| CN106941494A (zh) * | 2017-03-30 | 2017-07-11 | 中国电力科学研究院 | 一种适用于用电信息采集***的安全隔离网关及其使用方法 |
-
2019
- 2019-06-25 CN CN201910556388.6A patent/CN110247924A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130033815A1 (en) * | 2011-08-04 | 2013-02-07 | Wen-Hsiung Yang | Airflow adjustment device and blade server |
| CN102843352A (zh) * | 2012-05-15 | 2012-12-26 | 广东电网公司茂名供电局 | 在内网和外网之间跨物理隔离透明传输数据的***和方法 |
| CN103944865A (zh) * | 2013-01-22 | 2014-07-23 | 横河电机株式会社 | 隔离保护***及其执行双向数据包过滤检查的方法 |
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
| CN106941494A (zh) * | 2017-03-30 | 2017-07-11 | 中国电力科学研究院 | 一种适用于用电信息采集***的安全隔离网关及其使用方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615082A (zh) * | 2022-04-07 | 2022-06-10 | 西安热工研究院有限公司 | 一种使用正反向网闸模拟tcp双工安全通讯***和方法 |
| CN114615082B (zh) * | 2022-04-07 | 2023-09-12 | 西安热工研究院有限公司 | 一种使用正反向网闸模拟tcp双工安全通讯***和方法 |
| CN116094753A (zh) * | 2022-11-29 | 2023-05-09 | 国网山东省电力公司信息通信公司 | 一种面向电力异构融合场景的调度消息交互方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7370354B2 (en) | Method of remotely managing a firewall | |
| US8136162B2 (en) | Intelligent network interface controller | |
| US7100201B2 (en) | Undetectable firewall | |
| US7734776B2 (en) | Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram | |
| US8413248B2 (en) | Method for secure single-packet remote authorization | |
| EP2095603B1 (en) | Methods and apparatus for delivering control messages during a malicious attack in one or more packet networks | |
| US8181237B2 (en) | Method for improving security of computer networks | |
| US7380123B1 (en) | Remote activation of covert service channels | |
| WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| Lu et al. | An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6 | |
| CN110247924A (zh) | 基于物理传输的双向传输及控制***和数据传输方法 | |
| Nagesh et al. | A survey on denial of service attacks and preclusions | |
| Lindberg | Security analysis of vehicle diagnostics using DoIP | |
| US20060225141A1 (en) | Unauthorized access searching method and device | |
| US11310265B2 (en) | Detecting MAC/IP spoofing attacks on networks | |
| US11706624B1 (en) | Agile node isolation through using packet level non-repudiation for mobile networks | |
| Millar | Network security issues in the Internet of Things (IoT) | |
| RU2445692C1 (ru) | Способ обеспечения информационной безопасности при доступе пользователя к внешним информационным ресурсам через интернет | |
| KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
| KR20170106865A (ko) | 일방향 데이터 전송장치 | |
| CN117879942A (zh) | 一种跨网数据交换装置及方法 | |
| Alaa et al. | A proposed firewall security method against different types of attacks | |
| Inácio et al. | Zombie Identification Port | |
| Singh et al. | COMPARATIVE ANALYSIS OF DATA SECURITY TECHNIQUES IN NETWORK ENVIRONMENT | |
| Quibell et al. | Distributed End User Security System In a Community Wireless Mesh Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190917 |
|
| RJ01 | Rejection of invention patent application after publication |