專利名稱:安全隔離與信息交換系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種安全隔離與信息交換系統(tǒng)及方法,屬于網(wǎng)絡(luò)安全領(lǐng)域。
背景技術(shù):
計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用是當(dāng)今信息社會(huì)的一場(chǎng)革命。電子商務(wù)和電子政務(wù)等 網(wǎng)絡(luò)應(yīng)用的發(fā)展和普及不僅給生活帶來了很大的便利,而且正在創(chuàng)造著巨大的財(cái)富,以 Internet為代表的全球性信息化浪潮日益深刻,信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛, 應(yīng)用層次不斷深入,應(yīng)用領(lǐng)域更是從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。 與此同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)也正面臨著日益劇增的安全威脅。廣為網(wǎng)絡(luò)用戶所知的黑 客行為和攻擊活動(dòng)正以每年10倍的速度增長(zhǎng),網(wǎng)絡(luò)與信息安全問題日益突出,已經(jīng)成為影 響國(guó)家安全、社會(huì)穩(wěn)定和人民生活的大事。現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)中,防火墻技術(shù)可以在 一定程度上解決一些網(wǎng)絡(luò)安全問題,但是防火墻產(chǎn)品存在著局限性。其最大的局限性就是 防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全,不能防御來自內(nèi)部的攻擊,不能防御繞 過防火墻的攻擊行為,不能防御完全新的威脅。 于是新的OS漏洞和網(wǎng)絡(luò)層攻擊層出不窮,攻破防火墻、攻擊計(jì)算機(jī)網(wǎng)絡(luò)的事件也 越來越多,因此,開發(fā)一個(gè)更為完善的網(wǎng)絡(luò)安全防范系統(tǒng)來有效保護(hù)網(wǎng)絡(luò)系統(tǒng),已經(jīng)成為各 網(wǎng)絡(luò)安全廠商和用戶的共同需求和目標(biāo)。安全隔離與信息交換系統(tǒng)又稱網(wǎng)閘,是用于外網(wǎng) 和內(nèi)網(wǎng)之間或者是在不同涉密級(jí)別的網(wǎng)絡(luò)之間的一種使用物理隔離技術(shù)實(shí)現(xiàn)信息安全傳 輸?shù)囊环N設(shè)備,具有較高的安全可靠性。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是克服現(xiàn)有技術(shù)的不足,提供一個(gè)更為完善的網(wǎng)絡(luò)安 全防范系統(tǒng)來有效保護(hù)網(wǎng)絡(luò)系統(tǒng)。 本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下一種安全隔離與信息交換系統(tǒng),包括 第一設(shè)備和第二設(shè)備,所述第一設(shè)備用于接收和解析第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,提取有用 的數(shù)據(jù)信息,重新組建新的數(shù)據(jù)信息加密后并將加密后的數(shù)據(jù)信息同步至第二設(shè)備,或者 將經(jīng)第二設(shè)備同步的加密后的數(shù)據(jù)信息解密后發(fā)送至第一網(wǎng)絡(luò);所述第二設(shè)備用于將經(jīng)第 一設(shè)備同步的加密后的數(shù)據(jù)信息解密后發(fā)送至第二網(wǎng)絡(luò),或者接收和解析第二網(wǎng)絡(luò)傳輸?shù)?數(shù)據(jù)信息,提取有用的數(shù)據(jù)信息,重新組建新的數(shù)據(jù)信息加密后并將加密后的數(shù)據(jù)信息同 步至第一設(shè)備。 本發(fā)明的有益效果是通過在相互獨(dú)立的第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間連接的安全隔 離與信息交換系統(tǒng),使得第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間不存在直接的數(shù)據(jù)鏈路,而可以進(jìn)行網(wǎng) 絡(luò)間的信息和數(shù)據(jù)的交換;同時(shí),通過對(duì)第一設(shè)備或第二設(shè)備中的數(shù)據(jù)信息進(jìn)行加密處理 后,再發(fā)送至第二設(shè)備或第一設(shè)備進(jìn)行解密處理,進(jìn)一步提高了第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間 信息和數(shù)據(jù)交換的安全性,充分保證了信息傳遞的準(zhǔn)確性和可靠性。
進(jìn)一步,所述第一設(shè)備包括第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊、第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊、第一 服務(wù)模塊、第一系統(tǒng)管理模塊、第一安全策略模塊、第一系統(tǒng)日志模塊和第一加/解密模 塊; 所述第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊,用于接收第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,并將數(shù)據(jù)信息 發(fā)送至第一服務(wù)模塊,或者接收第一服務(wù)模塊發(fā)送的解密后的數(shù)據(jù)信息,并將數(shù)據(jù)信息發(fā) 送至第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊; 所述第一服務(wù)模塊,用于接收和解析第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的數(shù)據(jù)信息,丟 棄不符合規(guī)則的數(shù)據(jù)信息,并將符合規(guī)則的數(shù)據(jù)信息發(fā)送至第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊,或者 接收第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的解密后的數(shù)據(jù)信息; 所述第一系統(tǒng)管理模塊,用于在第一服務(wù)模塊上配置第一設(shè)備的系統(tǒng)狀態(tài); 所述第一安全策略模塊,用于根據(jù)用戶配置的策略規(guī)則,將規(guī)則處理為系統(tǒng)可識(shí)
別的形式,并對(duì)經(jīng)第一服務(wù)模塊解析后的數(shù)據(jù)信息進(jìn)行相應(yīng)的規(guī)則過濾; 所述第一系統(tǒng)日志模塊,用于記錄第一服務(wù)模塊產(chǎn)生的日志信息; 所述第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊,用于在符合規(guī)則的數(shù)據(jù)信息中提取有用的數(shù)據(jù)信
息,重新組建新的數(shù)據(jù)信息,并將新的數(shù)據(jù)信息發(fā)送至第一加/解密模塊加密后同步至第
二設(shè)備,或者將經(jīng)第二設(shè)備解密后的數(shù)據(jù)信息發(fā)送至第一服務(wù)模塊; 所述第一加/解密模塊,用于對(duì)經(jīng)第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊重新組建的新的數(shù)據(jù)信
息進(jìn)行加密處理,或者對(duì)經(jīng)第二設(shè)備同步的加密后的數(shù)據(jù)信息進(jìn)行解密處理。 進(jìn)一步,所述第二設(shè)備包括第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊、第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊、第二
服務(wù)模塊、第二系統(tǒng)管理模塊、第二安全策略模塊、第二系統(tǒng)日志模塊和第二加/解密模
塊; 所述第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊,用于接收第二網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,并將數(shù)據(jù)信息 發(fā)送至第二服務(wù)模塊,或者接收第二服務(wù)模塊發(fā)送的解密后的數(shù)據(jù)信息,并將數(shù)據(jù)信息發(fā) 送至第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊; 所述第二服務(wù)模塊,用于接收和解析第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的數(shù)據(jù)信息,丟 棄不符合規(guī)則的數(shù)據(jù)信息,并將符合規(guī)則的數(shù)據(jù)信息發(fā)送至第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊,或者 接收第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的解密后的數(shù)據(jù)信息; 所述第二系統(tǒng)管理模塊,用于在第二服務(wù)模塊上配置第二設(shè)備的系統(tǒng)狀態(tài); 所述第二安全策略模塊,用于根據(jù)用戶配置的策略規(guī)則,將規(guī)則處理為系統(tǒng)可識(shí)
別的形式,并對(duì)經(jīng)第二服務(wù)模塊解析后的數(shù)據(jù)信息進(jìn)行相應(yīng)的規(guī)則過濾; 所述第二系統(tǒng)日志模塊,用于記錄第二服務(wù)模塊產(chǎn)生的日志信息; 所述第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊,用于在符合規(guī)則的數(shù)據(jù)信息中提取有用的數(shù)據(jù)信
息,重新組建新的數(shù)據(jù)信息,并將新的數(shù)據(jù)信息發(fā)送至第二加/解密模塊加密后同步至第
一設(shè)備,或者將經(jīng)第一設(shè)備解密后的數(shù)據(jù)信息發(fā)送至第二服務(wù)模塊; 所述第二加/解密模塊,用于對(duì)經(jīng)第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊重新組建的新的數(shù)據(jù)信
息進(jìn)行加密處理,或者對(duì)經(jīng)第一設(shè)備同步的加密后的數(shù)據(jù)信息進(jìn)行解密處理。 進(jìn)一步,所述服務(wù)模塊包括FTP模塊、HTTP模塊、P0P3模塊、SMTP模塊或者數(shù)據(jù)庫(kù)模塊。 進(jìn)一步,所述第一網(wǎng)絡(luò)為外網(wǎng),所述第二網(wǎng)絡(luò)為內(nèi)網(wǎng)。
在上述技術(shù)方案的基礎(chǔ)上,本發(fā)明還提供了另一種技術(shù)方案,一種安全隔離與信 息交換方法,包括以下步驟 步驟一 接收和解析第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,提取有用的數(shù)據(jù)信息,重新組建新 的數(shù)據(jù)信息加密后并將加密后的數(shù)據(jù)信息同步; 步驟二 將經(jīng)同步的加密后的數(shù)據(jù)信息解密后發(fā)送至第二網(wǎng)絡(luò)。
進(jìn)一步,所述步驟一包括以下步驟 第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊接收第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,并將數(shù)據(jù)信息發(fā)送至第一 服務(wù)模塊; 第一服務(wù)模塊接收和解析第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的數(shù)據(jù)信息,丟棄不符合規(guī) 則的數(shù)據(jù)信息,并將符合規(guī)則的數(shù)據(jù)信息發(fā)送至第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊;
第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊在符合規(guī)則的數(shù)據(jù)信息中提取有用的數(shù)據(jù)信息,重新組建 新的數(shù)據(jù)信息,并將新的數(shù)據(jù)信息發(fā)送至第一加/解密模塊;以及 第一加/解密模塊對(duì)經(jīng)第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊重新組建的新的數(shù)據(jù)信息進(jìn)行加
密處理后并發(fā)送至第一私用網(wǎng)絡(luò)驅(qū)動(dòng)模塊進(jìn)行數(shù)據(jù)信息同步。 進(jìn)一步,所述步驟二包括以下步驟 第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊接收經(jīng)第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊同步的數(shù)據(jù)信息,并將數(shù)據(jù) 信息發(fā)送至第二加/解密模塊; 第二加/解密模塊對(duì)經(jīng)第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的數(shù)據(jù)信息進(jìn)行解密處理,并
將解密后的數(shù)據(jù)信息經(jīng)由第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送至第二服務(wù)模塊;以及 第二服務(wù)模塊接收解密后的數(shù)據(jù)信息并經(jīng)第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送至第二網(wǎng)絡(luò)。 進(jìn)一步,所述第一網(wǎng)絡(luò)為外網(wǎng),所述第二網(wǎng)絡(luò)為內(nèi)網(wǎng)。
圖1為本發(fā)明安全隔離與信息交換系統(tǒng)第一實(shí)施例的結(jié)構(gòu)示意圖;
圖2為本發(fā)明安全隔離與信息交換系統(tǒng)第二實(shí)施例的結(jié)構(gòu)示意圖;
圖3為本發(fā)明安全隔離與信息交換系統(tǒng)第三實(shí)施例的結(jié)構(gòu)示意圖;
圖4為本發(fā)明安全隔離與信息交換方法的流程示意圖。
具體實(shí)施例方式
以下結(jié)合附圖對(duì)本發(fā)明的原理和特征進(jìn)行描述,所舉實(shí)例只用于解釋本發(fā)明,并 非用于限定本發(fā)明的范圍。 圖1為本發(fā)明安全隔離與信息交換系統(tǒng)第一實(shí)施例的結(jié)構(gòu)示意圖。如圖1所示, 該安全隔離與信息交換系統(tǒng)包括第一設(shè)備10和第二設(shè)備20,所述第一設(shè)備10和第二設(shè)備 20通過數(shù)據(jù)傳輸線相互連接。該安全隔離與信息交換系統(tǒng)連接在相互獨(dú)立的第一網(wǎng)絡(luò)30 和第二網(wǎng)絡(luò)40之間,使得第一網(wǎng)絡(luò)30和第二網(wǎng)絡(luò)40之間不存在直接的數(shù)據(jù)鏈路,而可以 進(jìn)行網(wǎng)絡(luò)間的信息和數(shù)據(jù)的交換。所述第一設(shè)備10連接到第一網(wǎng)絡(luò)30,所述第二設(shè)備20 連接到第二網(wǎng)絡(luò)40。本發(fā)明中,所述第一網(wǎng)絡(luò)30為外網(wǎng),所述第二網(wǎng)絡(luò)40為內(nèi)網(wǎng),所述第 一設(shè)備IO為主設(shè)備,負(fù)責(zé)接收外網(wǎng)發(fā)送的數(shù)據(jù)信息,所述第二設(shè)備20為從設(shè)備,在所述安全隔離與信息交換系統(tǒng)中將第一設(shè)備IO接收的數(shù)據(jù)信息同步到第二設(shè)備20中,使第一設(shè) 備10和第二設(shè)備20的數(shù)據(jù)信息相同。 本實(shí)施例中的安全隔離與信息交換系統(tǒng)通過網(wǎng)絡(luò)的混雜模式接收和發(fā)送數(shù)據(jù)信 息,不建立任何網(wǎng)絡(luò)連接,從而使該系統(tǒng)成為透明網(wǎng)絡(luò)設(shè)備。該系統(tǒng)在接入到實(shí)際的網(wǎng)絡(luò)環(huán) 境中時(shí),不會(huì)被發(fā)現(xiàn)其在網(wǎng)絡(luò)中的存在且不占用網(wǎng)絡(luò)資源,避免或減少了本發(fā)明的安全隔 離與信息交換系統(tǒng)被攻擊或者被入侵的可能性,從而保障了該系統(tǒng)的安全性。同時(shí),該系統(tǒng) 成為透明網(wǎng)絡(luò)設(shè)備后,不會(huì)成為網(wǎng)絡(luò)中的節(jié)點(diǎn),不需要配置IP地址等網(wǎng)絡(luò)信息,也不需要 配置原網(wǎng)絡(luò)中其他設(shè)備的配置,同時(shí)也不會(huì)占用原網(wǎng)絡(luò)中其他設(shè)備的資源,即不需要改動(dòng) 原網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)配置。 圖2為本發(fā)明安全隔離與信息交換系統(tǒng)第二實(shí)施例的結(jié)構(gòu)示意圖。如圖2所示,與 圖1不同之處在于,所述第一設(shè)備10包括第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊101、第一服務(wù)模塊102、 第一系統(tǒng)管理模塊103、第一安全策略模塊104、第一系統(tǒng)日志模塊105、第一私有網(wǎng)絡(luò)驅(qū)動(dòng) 模塊106和第一加/解密模塊107。所述第二設(shè)備20包括第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊201、第 二服務(wù)模塊202、第二系統(tǒng)管理模塊203、第二安全策略模塊204、第二系統(tǒng)日志模塊205、第 二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊206和第二加/解密模塊207。 所述第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊101負(fù)責(zé)接收第一網(wǎng)絡(luò)30發(fā)送的數(shù)據(jù)信息,并將數(shù)據(jù) 信息發(fā)送至第一服務(wù)模塊102,或者接收第一服務(wù)模塊102發(fā)送的數(shù)據(jù)信息,并將數(shù)據(jù)信息 發(fā)送至第一網(wǎng)絡(luò)30 ;所述第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊201負(fù)責(zé)接收第二網(wǎng)絡(luò)40發(fā)送的數(shù)據(jù)信 息,并將數(shù)據(jù)信息發(fā)送至第二服務(wù)模塊202,或者接收第二服務(wù)模塊202發(fā)送的數(shù)據(jù)信息, 并將數(shù)據(jù)信息發(fā)送至第二網(wǎng)絡(luò)40。所述第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊101和第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模 塊201中的數(shù)據(jù)格式是符合標(biāo)準(zhǔn)的TCP/IP協(xié)議標(biāo)準(zhǔn)的。 所述第一服務(wù)模塊102是第一設(shè)備10中的核心模塊,負(fù)責(zé)連接第一設(shè)備10中的 各個(gè)模塊,在接收第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊101發(fā)送的數(shù)據(jù)信息后,根據(jù)第一安全策略模塊 104設(shè)置的過濾規(guī)則,將符合過濾規(guī)則的數(shù)據(jù)信息發(fā)送至第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊106 ;所述 第二服務(wù)模塊202是第二設(shè)備20中的核心模塊,負(fù)責(zé)連接第二設(shè)備20中的各個(gè)模塊,在接 收第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊201發(fā)送的數(shù)據(jù)信息后,根據(jù)第二安全策略模塊204設(shè)置的過濾 規(guī)則,將符合過濾規(guī)則的數(shù)據(jù)信息發(fā)送至第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊206。 所述第一系統(tǒng)管理模塊103用于配置第一設(shè)備10的系統(tǒng)狀態(tài),比如設(shè)備狀態(tài)的管 理、版本控制的管理等,本身并不參與數(shù)據(jù)信息的處理;所述第二系統(tǒng)管理模塊203用于配 置第二設(shè)備20的系統(tǒng)狀態(tài),比如設(shè)備狀態(tài)的管理、版本控制的管理等,本身并不參與數(shù)據(jù) 信息的處理。 所述第一安全策略模塊104可以根據(jù)用戶配置的策略規(guī)則,將規(guī)則處理為系統(tǒng)可 識(shí)別的形式,加在到核心的第一服務(wù)模塊102上,為第一服務(wù)模塊102提供過濾規(guī)則,如IP 過濾規(guī)則、協(xié)議過濾規(guī)則等;所述第二安全策略模塊204可以根據(jù)用戶配置的策略規(guī)則,將 規(guī)則處理為系統(tǒng)可識(shí)別的形式,加在到核心的第二服務(wù)模塊202上,為第二服務(wù)模塊202提 供過濾規(guī)則,如IP過濾規(guī)則、協(xié)議過濾規(guī)則等。 所述第一系統(tǒng)日志模塊105在第一設(shè)備10運(yùn)行的過程中可以記錄到該第一設(shè)備 10的一些日志情況;所述第二系統(tǒng)日志模塊205在第二設(shè)備20運(yùn)行的過程中可以記錄到 該第二設(shè)備20的一些日志情況。
所述第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊106和第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊206負(fù)責(zé)第一設(shè)備10 和第二設(shè)備20之間的數(shù)據(jù)信息通訊,均采用的是私有數(shù)據(jù)信息通訊格式,分別將第一服務(wù) 模塊102和第二服務(wù)模塊202發(fā)送的數(shù)據(jù)信息重新按照私有數(shù)據(jù)信息通訊格式進(jìn)行重組。 該私有數(shù)據(jù)信息通訊格式包括協(xié)議頭結(jié)構(gòu)定義和應(yīng)用數(shù)據(jù)格式定義,與現(xiàn)有技術(shù)不用,本 發(fā)明所采用的私有數(shù)據(jù)信息通訊格式簡(jiǎn)化了復(fù)雜的協(xié)議頭結(jié)構(gòu),僅保留必要的信息,如目 標(biāo)MAC地址、MAC地址、控制指令、加密指令、數(shù)據(jù)指令、保留位以及校驗(yàn)和;同時(shí)在應(yīng)用數(shù)據(jù) 格式定義中采用了可以同時(shí)傳輸多塊數(shù)據(jù)的應(yīng)用,從而提高了數(shù)據(jù)信息的傳輸效率。本發(fā) 明中所采用的私有數(shù)據(jù)信息通訊格式可以有效防止第三方通過非正常手段獲取、監(jiān)聽甚至 篡改網(wǎng)絡(luò)中的數(shù)據(jù)信息。 所述第一加/解密模塊107和第二加/解密模塊207負(fù)責(zé)分別對(duì)第一設(shè)備10和 第二設(shè)備20中的數(shù)據(jù)信息進(jìn)行加密和解密處理,從而保證第一設(shè)備IO和第二設(shè)備20內(nèi)部 通訊的安全性和完整性。 圖3為本發(fā)明安全隔離與信息交換系統(tǒng)第三實(shí)施例的結(jié)構(gòu)示意圖。如圖3所示,與 圖2不同之處在于,所述第一服務(wù)模塊102可以包括各種應(yīng)用協(xié)議模塊,如FTP模塊、HTTP 模塊、P0P3模塊、SMTP模塊或者數(shù)據(jù)庫(kù)模塊;所述第二服務(wù)模塊202可以包括各種應(yīng)用協(xié) 議模塊,如FTP模塊、HTTP模塊、P0P3模塊、SMTP模塊或者數(shù)據(jù)庫(kù)模塊。
圖4為本發(fā)明安全隔離與信息交換方法的流程示意圖。如圖4所示,該方法包括 以下步驟 步驟50 :接收和解析第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,提取有用的數(shù)據(jù)信息,重新組建 新的數(shù)據(jù)信息加密后并將加密后的數(shù)據(jù)信息同步; 步驟51 :將經(jīng)同步的加密后的數(shù)據(jù)信息解密后發(fā)送至第二網(wǎng)絡(luò)。
在實(shí)施例中所述第一網(wǎng)絡(luò)為外網(wǎng),第二網(wǎng)絡(luò)為內(nèi)網(wǎng),下面以本實(shí)施例中圖3所示 的安全隔離與信息交換系統(tǒng)為基礎(chǔ),詳述數(shù)據(jù)信息從外網(wǎng)經(jīng)過該系統(tǒng)向內(nèi)網(wǎng)傳輸?shù)倪^程, 如果從內(nèi)網(wǎng)經(jīng)過該系統(tǒng)向外網(wǎng)進(jìn)行數(shù)據(jù)信息傳輸,則與數(shù)據(jù)信息從外網(wǎng)經(jīng)過該系統(tǒng)向內(nèi)網(wǎng) 傳輸?shù)倪^程相反,在此不再敖述。 本實(shí)施例中安全隔離與信息交換方法中步驟50包括以下步驟 步驟501 :第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊接收第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,并將數(shù)據(jù)信息
發(fā)送至第一服務(wù)模塊。 步驟502 :第一服務(wù)模塊接收和解析第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的數(shù)據(jù)信息,丟 棄不符合規(guī)則的數(shù)據(jù)信息,并將符合規(guī)則的數(shù)據(jù)信息發(fā)送至第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊。
所述第一服務(wù)模塊102按照不同的數(shù)據(jù)信息啟用不同的應(yīng)用協(xié)議模塊,如HTTP模 塊,對(duì)數(shù)據(jù)信息進(jìn)行解析;并根據(jù)第一安全策略模塊104提供的策略規(guī)則,進(jìn)行相應(yīng)的規(guī)則 過濾,如是否滿足IP特征,是否滿足URL特征等,丟棄不符合規(guī)則的數(shù)據(jù)信息;同時(shí)產(chǎn)生相 關(guān)的日志信息通過第一系統(tǒng)日志模塊105進(jìn)行記錄。 步驟503 :第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊在符合規(guī)則的數(shù)據(jù)信息中提取有用的數(shù)據(jù)信
息,重新組建新的數(shù)據(jù)信息,并將新的數(shù)據(jù)信息發(fā)送至第一加/解密模塊。 所述第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊106在第一服務(wù)模塊102發(fā)送的符合規(guī)則的數(shù)據(jù)信息
中提取有用的數(shù)據(jù)信息,如數(shù)據(jù)內(nèi)容、通訊地址、時(shí)間、連接信息等,再將這些有用的數(shù)據(jù)信
息重新按照私有數(shù)據(jù)信息通訊格式進(jìn)行重組。
步驟504 :第一加/解密模塊對(duì)經(jīng)第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊重新組建的新的數(shù)據(jù)信 息進(jìn)行加密處理后并發(fā)送至第一私用網(wǎng)絡(luò)驅(qū)動(dòng)模塊進(jìn)行數(shù)據(jù)信息同步。
通過第一設(shè)備10中第一加/解密模塊107提供的加密算法和加密密鑰對(duì)重新組 建的新的數(shù)據(jù)信息進(jìn)行加密處理。本實(shí)施例中以不定期的時(shí)間作為加密密鑰生成唯一的解 密密鑰,如以標(biāo)準(zhǔn)時(shí)間為時(shí)間格式,即從1970年1月1日0點(diǎn)到當(dāng)前的秒數(shù),如當(dāng)前時(shí)間是 2008-11-27, 11:30:17,第一設(shè)備將此時(shí)間轉(zhuǎn)換為標(biāo)準(zhǔn)時(shí)間,即生成1259379017的時(shí)間字 符串,進(jìn)行兩次MD5算法的散列,得到一個(gè)32位的字符串,這個(gè)就是加解密的密鑰。第一設(shè) 備10會(huì)將這個(gè)密鑰發(fā)送給第二設(shè)備20。同時(shí),在生成這個(gè)密鑰后,安全隔離與信息交換系 統(tǒng)中第二設(shè)備20的第二加/解密模塊207將通知第一設(shè)備10的第一加/解密模塊107,改 變第一加/解密模塊107中的加密算法或者加密密鑰,進(jìn)一步提高系統(tǒng)數(shù)據(jù)信息傳輸?shù)陌?全信。 本實(shí)施例中安全隔離與信息交換方法中步驟51包括以下步驟 步驟511 :第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊接收經(jīng)第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊同步的數(shù)據(jù)信
息,并將數(shù)據(jù)信息發(fā)送至第二加/解密模塊。 步驟512 :第二加/解密模塊對(duì)經(jīng)第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的數(shù)據(jù)信息進(jìn)行解
密處理,并將解密后的數(shù)據(jù)信息經(jīng)由第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送至第二服務(wù)模塊。 所述第二加/解密模塊207先將經(jīng)第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊206發(fā)送的數(shù)據(jù)信息進(jìn)
行解密處理,再將解密后的數(shù)據(jù)信息重新組建成為標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)格式。 步驟513 :第二服務(wù)模塊接收解密后的數(shù)據(jù)信息并經(jīng)第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送
至第二網(wǎng)絡(luò)。 所述第二服務(wù)模塊202接收解密后的數(shù)據(jù)信息后,不再啟用第二服務(wù)模塊202中 的應(yīng)用協(xié)議模塊,即不再進(jìn)行協(xié)議分析,僅在第二系統(tǒng)日志模塊205中記錄必要日志信息 后,再轉(zhuǎn)發(fā)給第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊201 。 以上所述僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和 原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
9
權(quán)利要求
一種安全隔離與信息交換系統(tǒng),其特征在于,該安全隔離與信息交換系統(tǒng)包括第一設(shè)備和第二設(shè)備,所述第一設(shè)備用于接收和解析第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,提取有用的數(shù)據(jù)信息,重新組建新的數(shù)據(jù)信息加密后并將加密后的數(shù)據(jù)信息同步至第二設(shè)備,或者將經(jīng)第二設(shè)備同步的加密后的數(shù)據(jù)信息解密后發(fā)送至第一網(wǎng)絡(luò);所述第二設(shè)備用于將經(jīng)第一設(shè)備同步的加密后的數(shù)據(jù)信息解密后發(fā)送至第二網(wǎng)絡(luò),或者接收和解析第二網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息,提取有用的數(shù)據(jù)信息,重新組建新的數(shù)據(jù)信息加密后并將加密后的數(shù)據(jù)信息同步至第一設(shè)備。
2. 根據(jù)權(quán)利要求1所述的安全隔離與信息交換系統(tǒng),其特征在于,所述第一設(shè)備包括 第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊、第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊、第一服務(wù)模塊、第一系統(tǒng)管理模塊、第一 安全策略模塊、第一系統(tǒng)日志模塊和第一加/解密模塊;所述第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊,用于接收第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,并將數(shù)據(jù)信息發(fā)送 至第一服務(wù)模塊,或者接收第一服務(wù)模塊發(fā)送的解密后的數(shù)據(jù)信息,并將數(shù)據(jù)信息發(fā)送至 第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊;所述第一服務(wù)模塊,用于接收和解析第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的數(shù)據(jù)信息,丟棄不 符合規(guī)則的數(shù)據(jù)信息,并將符合規(guī)則的數(shù)據(jù)信息發(fā)送至第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊,或者接收 第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的解密后的數(shù)據(jù)信息;所述第一系統(tǒng)管理模塊,用于在第一服務(wù)模塊上配置第一設(shè)備的系統(tǒng)狀態(tài);所述第一安全策略模塊,用于根據(jù)用戶配置的策略規(guī)則,將規(guī)則處理為系統(tǒng)可識(shí)別的 形式,并對(duì)經(jīng)第一服務(wù)模塊解析后的數(shù)據(jù)信息進(jìn)行相應(yīng)的規(guī)則過濾;所述第一系統(tǒng)日志模塊,用于記錄第一服務(wù)模塊產(chǎn)生的日志信息;所述第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊,用于在符合規(guī)則的數(shù)據(jù)信息中提取有用的數(shù)據(jù)信息,重 新組建新的數(shù)據(jù)信息,并將新的數(shù)據(jù)信息發(fā)送至第一加/解密模塊加密后同步至第二設(shè) 備,或者將經(jīng)第二設(shè)備解密后的數(shù)據(jù)信息發(fā)送至第一服務(wù)模塊;所述第一加/解密模塊,用于對(duì)經(jīng)第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊重新組建的新的數(shù)據(jù)信息進(jìn) 行加密處理,或者對(duì)經(jīng)第二設(shè)備同步的加密后的數(shù)據(jù)信息進(jìn)行解密處理。
3. 根據(jù)權(quán)利要求1所述的安全隔離與信息交換系統(tǒng),其特征在于,所述第二設(shè)備包括 第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊、第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊、第二服務(wù)模塊、第二系統(tǒng)管理模塊、第二 安全策略模塊、第二系統(tǒng)日志模塊和第二加/解密模塊;所述第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊,用于接收第二網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,并將數(shù)據(jù)信息發(fā)送 至第二服務(wù)模塊,或者接收第二服務(wù)模塊發(fā)送的解密后的數(shù)據(jù)信息,并將數(shù)據(jù)信息發(fā)送至 第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊;所述第二服務(wù)模塊,用于接收和解析第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的數(shù)據(jù)信息,丟棄不 符合規(guī)則的數(shù)據(jù)信息,并將符合規(guī)則的數(shù)據(jù)信息發(fā)送至第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊,或者接收 第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的解密后的數(shù)據(jù)信息;所述第二系統(tǒng)管理模塊,用于在第二服務(wù)模塊上配置第二設(shè)備的系統(tǒng)狀態(tài);所述第二安全策略模塊,用于根據(jù)用戶配置的策略規(guī)則,將規(guī)則處理為系統(tǒng)可識(shí)別的 形式,并對(duì)經(jīng)第二服務(wù)模塊解析后的數(shù)據(jù)信息進(jìn)行相應(yīng)的規(guī)則過濾;所述第二系統(tǒng)日志模塊,用于記錄第二服務(wù)模塊產(chǎn)生的日志信息;所述第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊,用于在符合規(guī)則的數(shù)據(jù)信息中提取有用的數(shù)據(jù)信息,重新組建新的數(shù)據(jù)信息,并將新的數(shù)據(jù)信息發(fā)送至第二加/解密模塊加密后同步至第一設(shè) 備,或者將經(jīng)第一設(shè)備解密后的數(shù)據(jù)信息發(fā)送至第二服務(wù)模塊;所述第二加/解密模塊,用于對(duì)經(jīng)第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊重新組建的新的數(shù)據(jù)信息進(jìn) 行加密處理,或者對(duì)經(jīng)第一設(shè)備同步的加密后的數(shù)據(jù)信息進(jìn)行解密處理。
4. 根據(jù)權(quán)利要求2或3所述的安全隔離與信息交換系統(tǒng),其特征在于,所述服務(wù)模塊包 括FTP模塊、HTTP模塊、P0P3模塊、SMTP模塊或者數(shù)據(jù)庫(kù)模塊。
5. 根據(jù)權(quán)利要求2或3所述的安全隔離與信息交換系統(tǒng),其特征在于,所述第一網(wǎng)絡(luò)為 外網(wǎng),所述第二網(wǎng)絡(luò)為內(nèi)網(wǎng)。
6. —種應(yīng)用如權(quán)利要求l-3任一項(xiàng)所述的安全隔離與信息交換系統(tǒng)的安全隔離與信 息交換方法,其特征在于,該方法包括以下步驟步驟一 接收和解析第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,提取有用的數(shù)據(jù)信息,重新組建新的數(shù) 據(jù)信息加密后并將加密后的數(shù)據(jù)信息同步;步驟二 將經(jīng)同步的加密后的數(shù)據(jù)信息解密后發(fā)送至第二網(wǎng)絡(luò)。
7. 根據(jù)權(quán)利要求6所述的安全隔離與信息交換方法,其特征在于,所述步驟一包括以 下步驟第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊接收第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,并將數(shù)據(jù)信息發(fā)送至第一服務(wù) 模塊;第一服務(wù)模塊接收和解析第一通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的數(shù)據(jù)信息,丟棄不符合規(guī)則的 數(shù)據(jù)信息,并將符合規(guī)則的數(shù)據(jù)信息發(fā)送至第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊;第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊在符合規(guī)則的數(shù)據(jù)信息中提取有用的數(shù)據(jù)信息,重新組建新的 數(shù)據(jù)信息,并將新的數(shù)據(jù)信息發(fā)送至第一加/解密模塊;以及第一加/解密模塊對(duì)經(jīng)第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊重新組建的新的數(shù)據(jù)信息進(jìn)行加密處 理后并發(fā)送至第一私用網(wǎng)絡(luò)驅(qū)動(dòng)模塊進(jìn)行數(shù)據(jù)信息同步。
8. 根據(jù)權(quán)利要求6所述的安全隔離與信息交換方法,其特征在于,所述步驟二包括以 下步驟第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊接收經(jīng)第一私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊同步的數(shù)據(jù)信息,并將數(shù)據(jù)信息 發(fā)送至第二加/解密模塊;第二加/解密模塊對(duì)經(jīng)第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的數(shù)據(jù)信息進(jìn)行解密處理,并將解 密后的數(shù)據(jù)信息經(jīng)由第二私有網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送至第二服務(wù)模塊;以及第二服務(wù)模塊接收解密后的數(shù)據(jù)信息并經(jīng)第二通用網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送至第二網(wǎng)絡(luò)。
9. 根據(jù)權(quán)利要求6所述的安全隔離與信息交換方法,其特征在于,所述第一網(wǎng)絡(luò)為外網(wǎng),所述第二網(wǎng)絡(luò)為內(nèi)網(wǎng)。
全文摘要
本發(fā)明涉及一種安全隔離與信息交換系統(tǒng),該安全隔離與信息交換系統(tǒng)包括第一設(shè)備和第二設(shè)備,所述第一設(shè)備用于接收和解析第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)信息,提取有用的數(shù)據(jù)信息,重新組建新的數(shù)據(jù)信息加密后并將加密后的數(shù)據(jù)信息同步至第二設(shè)備,或者將經(jīng)第二設(shè)備同步的加密后的數(shù)據(jù)信息解密后發(fā)送至第一網(wǎng)絡(luò);所述第二設(shè)備用于將經(jīng)第一設(shè)備同步的加密后的數(shù)據(jù)信息解密后發(fā)送至第二網(wǎng)絡(luò),或者接收和解析第二網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息,提取有用的數(shù)據(jù)信息,重新組建新的數(shù)據(jù)信息加密后并將加密后的數(shù)據(jù)信息同步至第一設(shè)備。
文檔編號(hào)H04L29/06GK101753553SQ20081030603
公開日2010年6月23日 申請(qǐng)日期2008年12月8日 優(yōu)先權(quán)日2008年12月8日
發(fā)明者呂超, 張為斌 申請(qǐng)人:北京財(cái)富天湖科技有限公司