專利名稱:多級網(wǎng)絡結(jié)構(gòu)及其數(shù)據(jù)傳輸方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡安全技術(shù)��,更具體地說�����,涉及多級網(wǎng)絡及其數(shù)據(jù)傳輸方法����。
背景技術(shù):
網(wǎng)絡安全是網(wǎng)絡技術(shù)中的一個重要方面,尤其對于一些重要的網(wǎng)絡�����,比如政府部 門����、專業(yè)數(shù)據(jù)庫等來說�����,網(wǎng)絡安全顯得尤為重要�。對于網(wǎng)絡安全來說����,將網(wǎng)絡盡可能地與外 界隔離是阻斷外部攻擊、消除網(wǎng)絡安全隱患的最佳方式����,但是對于服務或者公益性質(zhì)的網(wǎng) 絡來說,其存在的目的就是為了提供各種服務��,因此是不肯能將它們與外界隔離的�����。
發(fā)明內(nèi)容
本發(fā)明旨在提供一種多級網(wǎng)絡及其數(shù)據(jù)傳輸方法�,能很好地解決網(wǎng)絡安全的問 題。根據(jù)本發(fā)明的一方面����,提供一種多級網(wǎng)絡結(jié)構(gòu)�����,包括核心網(wǎng)絡,核心網(wǎng)絡執(zhí)行核心數(shù)據(jù)處理���,核心網(wǎng)絡是一個物理上隔絕的獨立網(wǎng) 絡��;外圍網(wǎng)絡�����,通過網(wǎng)閘與核心網(wǎng)絡建立邏輯連接����,由網(wǎng)閘對核心網(wǎng)絡與外圍網(wǎng)絡之 間的數(shù)據(jù)傳輸進行授權(quán)驗證�,外圍網(wǎng)絡執(zhí)行非核心數(shù)據(jù)處理,外圍網(wǎng)絡具有對外接口���,與外 部網(wǎng)絡進行數(shù)據(jù)交換��,對外接口進行數(shù)據(jù)采集��;映射裝置����,建立核心網(wǎng)絡的核心數(shù)據(jù)處理與外圍網(wǎng)絡的非核心數(shù)據(jù)處理之間的映 射關(guān)系,將核心網(wǎng)絡執(zhí)行核心數(shù)據(jù)處理使用的核心接口映射到外圍網(wǎng)絡的對外接口 �����;將經(jīng) 過網(wǎng)間授權(quán)驗證后的數(shù)據(jù)通過邏輯連接映射到核心網(wǎng)絡中相應的核心接口進行核心數(shù)據(jù) 處理�����;以及將核心數(shù)據(jù)處理的處理結(jié)果映射到對外接口 ���;數(shù)據(jù)格式轉(zhuǎn)換裝置���,將對外接口采集的數(shù)據(jù)進行格式轉(zhuǎn)換,轉(zhuǎn)換成預定的格式后 提供給網(wǎng)間��,由網(wǎng)間對數(shù)據(jù)進行授權(quán)驗證���。根據(jù)一個實施例�����,網(wǎng)閘對核心網(wǎng)絡與外圍網(wǎng)絡之間的數(shù)據(jù)傳輸進行授權(quán)驗證包括 以IP地址和MAC地址綁定方式進行身份驗證��。核心網(wǎng)絡可以包括決策機構(gòu)網(wǎng)絡�����,外圍網(wǎng)絡包括專業(yè)網(wǎng)絡��?�;蛘?,核心網(wǎng)絡可以包 括市級政府網(wǎng)絡����,外圍網(wǎng)絡可以包括區(qū)級和更低級別的政府網(wǎng)絡。根據(jù)本發(fā)明的另一方面�,提供一種多級網(wǎng)絡結(jié)構(gòu)的數(shù)據(jù)傳輸方法,該多級網(wǎng)絡包括核心網(wǎng)絡和外圍網(wǎng)絡����,核心網(wǎng)絡執(zhí)行核心數(shù)據(jù)處理,核心網(wǎng)絡是一個物理上隔絕的獨立 網(wǎng)絡���,外圍網(wǎng)絡��,通過網(wǎng)閘與核心網(wǎng)絡建立邏輯連接�,由網(wǎng)閘對核心網(wǎng)絡與外圍網(wǎng)絡之間的 數(shù)據(jù)傳輸進行授權(quán)驗證,外圍網(wǎng)絡執(zhí)行非核心數(shù)據(jù)處理�,外圍網(wǎng)絡具有對外接口,與外部網(wǎng) 絡進行數(shù)據(jù)交換���,該方法包括建立核心網(wǎng)絡的核心數(shù)據(jù)處理與外圍網(wǎng)絡的非核心數(shù)據(jù)處理之間的映射關(guān)系���;將核心網(wǎng)絡執(zhí)行核心數(shù)據(jù)處理使用的核心端口映射到外圍網(wǎng)絡的對外接口 ;對外接口采集數(shù)據(jù)��;
將對外接口采集的數(shù)據(jù)進行格式轉(zhuǎn)換����,轉(zhuǎn)換成預定的格式后提供給網(wǎng)閘;網(wǎng)間對數(shù)據(jù)進行授權(quán)驗證���,通過授權(quán)驗證后利用所述邏輯連接���,將數(shù)據(jù)映射到核 心網(wǎng)絡中相應的核心接口進行核心數(shù)據(jù)處理;將核心數(shù)據(jù)處理的處理結(jié)果映射到對外接口�。根據(jù)一個實施例,網(wǎng)閘對核心網(wǎng)絡與外圍網(wǎng)絡之間的數(shù)據(jù)傳輸進行授權(quán)驗證包括 以IP地址和MAC地址綁定方式進行身份驗證��。核心網(wǎng)絡可以包括決策機構(gòu)網(wǎng)絡,外圍網(wǎng)絡包括專業(yè)網(wǎng)絡�����?��;蛘?��,核心網(wǎng)絡可以包 括市級政府網(wǎng)絡���,外圍網(wǎng)絡可以包括區(qū)級和更低級別的政府網(wǎng)絡���。采用本發(fā)明的技術(shù)方案,通過配置多級網(wǎng)絡��,將核心網(wǎng)絡與外界進行物理隔離����,僅提供由網(wǎng)閘控制的邏輯連接,確保了核心網(wǎng)絡的數(shù)據(jù)安全���。同時�����,外圍網(wǎng)絡可以提供對外接 口��,保持與外部網(wǎng)絡連通的能力����。
圖1揭示了根據(jù)本發(fā)明的一實施例的多級網(wǎng)絡結(jié)構(gòu)的網(wǎng)絡結(jié)構(gòu)圖;圖2揭示了根據(jù)本發(fā)明的一實施例的多級網(wǎng)絡結(jié)構(gòu)的數(shù)據(jù)傳輸方法的流程圖����。
具體實施例方式在本發(fā)明的技術(shù)方案中,利用到了網(wǎng)閘�,首先介紹一下網(wǎng)閘的工作原理網(wǎng)閘源自Sneaker-NET技術(shù),在Sneaker-NET中����,由一個人來操作,另外包括兩個 網(wǎng)絡不可信網(wǎng)絡和可信網(wǎng)絡�����,這兩個網(wǎng)絡物理隔斷���,在大多數(shù)Sneaker-NET方案中�,也有 一個獨立的計算機,或者一個與兩個網(wǎng)絡分離的DMZ區(qū)域��,用于內(nèi)容檢查�。采用Sneaker-NET技術(shù)后,網(wǎng)絡信息流如下1)該人在不可信網(wǎng)絡上的計算機上手工方式拷貝文件到磁盤或磁帶�。2)該人將磁盤或磁帶拿到一個獨立的計算機上進行內(nèi)容檢測。檢測包括(不僅僅 這些)病毒掃描�����、檢驗該文件格式是否和預先定義的文件格式相符等���。3)如果內(nèi)容檢測為不安全或非法�����,它們將被丟棄;如果內(nèi)容是安全和合法的����,此 人在可信網(wǎng)絡上的計算機上手工方式將該磁盤或磁帶的文件拷貝到計算機上。4)信息從可信網(wǎng)絡傳輸?shù)讲豢尚啪W(wǎng)絡將也用相似的流程��。在Sneaker-NET技術(shù)中�����,沒有人可以從不可信的網(wǎng)絡訪問和操作控制可信網(wǎng)絡上 的計算機,所有允許到可信網(wǎng)絡的數(shù)據(jù)都在一個安全的環(huán)境中經(jīng)過詳細的審查�����,這是從不 安全環(huán)境到安全環(huán)境信息傳輸?shù)囊粋€最安全的方法���。網(wǎng)閘技術(shù)就是基于這樣的一個機理發(fā)展并實現(xiàn)的一種安全信息交換技術(shù)���。在 Sneaker-NET中,人的作用是在兩個網(wǎng)絡之間進行低速的手工交換數(shù)據(jù)��,而在采用網(wǎng)閘技術(shù) 的設備中�,用一個快速電子開關(guān)來實現(xiàn)這一功能;用在SSneaker-NET中做數(shù)據(jù)交換的磁介 質(zhì)����,在網(wǎng)閘技術(shù)中則用存儲設備來代替。在某一時刻�����,電子開關(guān)只能連接到其中的一個網(wǎng) 絡�����,其它的硬件和軟件實施則類似于Sneaker-NET的裝置。對于可信網(wǎng)絡和不可信網(wǎng)絡有連接的網(wǎng)絡�,如防火墻,黑客可以使用各種方法���,通 過連接并最終控制可信網(wǎng)絡����。然而����,網(wǎng)間技術(shù)可以創(chuàng)建一個這樣的環(huán)境,即兩個網(wǎng)絡物理斷 開��,但卻邏輯相連的環(huán)境�。網(wǎng)閘技術(shù)在這兩個網(wǎng)絡之間創(chuàng)建了一個物理隔斷,這意味著網(wǎng)絡數(shù)據(jù)包不能從一個網(wǎng)絡流向另外一個網(wǎng)絡����,并且可信網(wǎng)絡上的計算機和不可信網(wǎng)絡上的計算機從不會有實際的連接����,從而杜絕黑客控制可信網(wǎng)絡的情況發(fā)生���。同SSneaker-NET即使類似,網(wǎng)閘技術(shù)除可以實現(xiàn)物理隔斷外�����,還可以允許可信網(wǎng) 絡和不可信網(wǎng)絡之間的數(shù)據(jù)�、資源和信息的安全交換。網(wǎng)閘技術(shù)的突出優(yōu)點在于���,物理隔斷使可信網(wǎng)絡安全����,而邏輯連接使我們可以在 線式訪問不可信網(wǎng)絡����。通過網(wǎng)閘技術(shù),特別是反射網(wǎng)閘技術(shù)���,可以將我們的核心業(yè)務系統(tǒng)和 因特網(wǎng)物理隔離開����,保護它們免受各類已知甚至未知的網(wǎng)絡威脅和攻擊�����。結(jié)合圖1所示,本發(fā)明提出一種多級網(wǎng)絡結(jié)構(gòu)�����,包括核心網(wǎng)絡10�����,核心網(wǎng)絡10執(zhí)行核心數(shù)據(jù)處理���,核心網(wǎng)絡10是一個物理上隔絕的獨
立網(wǎng)絡�;外圍網(wǎng)絡11���,通過網(wǎng)閘12與核心網(wǎng)絡10建立邏輯連接�,由網(wǎng)閘12對核心網(wǎng)絡10 與外圍網(wǎng)絡11之間的數(shù)據(jù)傳輸進行授權(quán)驗證���,外圍網(wǎng)絡11執(zhí)行非核心數(shù)據(jù)處理�����,外圍網(wǎng)絡 11具有對外接口���,與外部網(wǎng)絡進行數(shù)據(jù)交換,對外接口進行數(shù)據(jù)采集��;映射裝置13����,建立核心網(wǎng)絡10的核心數(shù)據(jù)處理與外圍網(wǎng)絡11的非核心數(shù)據(jù)處理 之間的映射關(guān)系,將核心網(wǎng)絡10執(zhí)行核心數(shù)據(jù)處理使用的核心接口映射到外圍網(wǎng)絡11的 對外接口 ��;將經(jīng)過網(wǎng)閘12授權(quán)驗證后的數(shù)據(jù)通過邏輯連接映射到核心網(wǎng)絡10中相應的核 心接口進行核心數(shù)據(jù)處理�;以及將核心數(shù)據(jù)處理的處理結(jié)果映射到對外接口 ;數(shù)據(jù)格式轉(zhuǎn)換裝置14����,將對外接口采集的數(shù)據(jù)進行格式轉(zhuǎn)換,轉(zhuǎn)換成預定的格式 后提供給網(wǎng)閘12����,由網(wǎng)閘12對數(shù)據(jù)進行授權(quán)驗證。為了確保安全性��,網(wǎng)閘12對核心網(wǎng)絡10與外圍網(wǎng)絡11之間的數(shù)據(jù)傳輸進行授權(quán) 驗證可以包括以IP地址和MAC地址綁定方式進行身份驗證����。在實際的應用中�,可以將決策機構(gòu)網(wǎng)絡配置為核心網(wǎng)絡�����,而將各種專業(yè)網(wǎng)絡配置 為外圍網(wǎng)絡����。或者�����,可以將安全性要求較高的市級政府網(wǎng)絡配置為核心網(wǎng)絡�,而將安全性相 對要求較低的區(qū)級和更低級別的政府網(wǎng)絡配置為外圍網(wǎng)絡。參考圖2所示��,揭示了根據(jù)本發(fā)明的一實施例的多級網(wǎng)絡結(jié)構(gòu)的數(shù)據(jù)傳輸方法的 流程圖�。該多級網(wǎng)絡結(jié)構(gòu)的數(shù)據(jù)傳輸方法應用于一種多級網(wǎng)絡,該多級網(wǎng)絡包括核心網(wǎng)絡 和外圍網(wǎng)絡����,核心網(wǎng)絡執(zhí)行核心數(shù)據(jù)處理,核心網(wǎng)絡是一個物理上隔絕的獨立網(wǎng)絡�,外圍網(wǎng) 絡,通過網(wǎng)閘與核心網(wǎng)絡建立邏輯連接,由網(wǎng)閘對核心網(wǎng)絡與外圍網(wǎng)絡之間的數(shù)據(jù)傳輸進 行授權(quán)驗證�����,外圍網(wǎng)絡執(zhí)行非核心數(shù)據(jù)處理��,外圍網(wǎng)絡具有對外接口����,與外部網(wǎng)絡進行數(shù)據(jù) 交換��,該方法包括21.建立核心網(wǎng)絡的核心數(shù)據(jù)處理與外圍網(wǎng)絡的非核心數(shù)據(jù)處理之間的映射關(guān) 系�;22.將核心網(wǎng)絡執(zhí)行核心數(shù)據(jù)處理使用的核心端口映射到外圍網(wǎng)絡的對外接口 ;23.對外接口采集數(shù)據(jù)����;24.將對外接口采集的數(shù)據(jù)進行格式轉(zhuǎn)換,轉(zhuǎn)換成預定的格式后提供給網(wǎng)閘�;25.網(wǎng)間對數(shù)據(jù)進行授權(quán)驗證,通過授權(quán)驗證后利用邏輯連接�����,將數(shù)據(jù)映射到核心 網(wǎng)絡中相應的核心接口進行核心數(shù)據(jù)處理�����;26.將核心數(shù)據(jù)處理的處理結(jié)果映射到對外接口。
為了確保安全性��,網(wǎng)閘對核心網(wǎng)絡與外圍網(wǎng)絡之間的數(shù)據(jù)傳輸進行授權(quán)驗證可以包括以IP地址和MAC地址綁定方式進行身份驗證���。在實際的應用中����,可以將決策機構(gòu)網(wǎng)絡配置為核心網(wǎng)絡���,而將各種專業(yè)網(wǎng)絡配置 為外圍網(wǎng)絡����?�;蛘?���,可以將安全性要求較高的市級政府網(wǎng)絡配置為核心網(wǎng)絡,而將安全性相 對要求較低的區(qū)級和更低級別的政府網(wǎng)絡配置為外圍網(wǎng)絡�����。采用本發(fā)明的技術(shù)方案,通過配置多級網(wǎng)絡�����,將核心網(wǎng)絡與外界進行物理隔離�,僅 提供由網(wǎng)閘控制的邏輯連接,確保了核心網(wǎng)絡的數(shù)據(jù)安全�����。同時����,外圍網(wǎng)絡可以提供對外接 口�,保持與外部網(wǎng)絡連通的能力。
權(quán)利要求
一種多級網(wǎng)絡結(jié)構(gòu)�,其特征在于,包括核心網(wǎng)絡�����,所述核心網(wǎng)絡執(zhí)行核心數(shù)據(jù)處理�,所述核心網(wǎng)絡是一個物理上隔絕的獨立網(wǎng)絡;外圍網(wǎng)絡�,通過網(wǎng)閘與所述核心網(wǎng)絡建立邏輯連接,由所述網(wǎng)閘對所述核心網(wǎng)絡與外圍網(wǎng)絡之間的數(shù)據(jù)傳輸進行授權(quán)驗證,所述外圍網(wǎng)絡執(zhí)行非核心數(shù)據(jù)處理�,所述外圍網(wǎng)絡具有對外接口,與外部網(wǎng)絡進行數(shù)據(jù)交換�,所述對外接口進行數(shù)據(jù)采集;映射裝置��,建立所述核心網(wǎng)絡的核心數(shù)據(jù)處理與外圍網(wǎng)絡的非核心數(shù)據(jù)處理之間的映射關(guān)系��,將所述核心網(wǎng)絡執(zhí)行核心數(shù)據(jù)處理使用的核心接口映射到所述外圍網(wǎng)絡的對外接口����;將經(jīng)過網(wǎng)閘授權(quán)驗證后的數(shù)據(jù)通過所述邏輯連接映射到所述核心網(wǎng)絡中相應的核心接口進行核心數(shù)據(jù)處理;以及將核心數(shù)據(jù)處理的處理結(jié)果映射到所述對外接口�����;數(shù)據(jù)格式轉(zhuǎn)換裝置���,將對外接口采集的數(shù)據(jù)進行格式轉(zhuǎn)換��,轉(zhuǎn)換成預定的格式后提供給所述網(wǎng)閘���,由所述網(wǎng)閘對所述數(shù)據(jù)進行授權(quán)驗證。
2.如權(quán)利要求1所述的多級網(wǎng)絡結(jié)構(gòu)��,其特征在于,所述網(wǎng)閘對所述核心網(wǎng)絡與外圍 網(wǎng)絡之間的數(shù)據(jù)傳輸進行授權(quán)驗證包括以IP地址和MAC地址綁定方式進行身份驗證����。
3.如權(quán)利要求1所述的多級網(wǎng)絡結(jié)構(gòu),其特征在于�,所述核心網(wǎng)絡包括決策機構(gòu)網(wǎng)絡, 所述外圍網(wǎng)絡包括專業(yè)網(wǎng)絡�����。
4.如權(quán)利要求1所述的多級網(wǎng)絡結(jié)構(gòu)���,其特征在于,所述核心網(wǎng)絡包括市級政府網(wǎng)絡�����, 所述外圍網(wǎng)絡包括區(qū)級和更低級別的政府網(wǎng)絡��。
5.一種多級網(wǎng)絡結(jié)構(gòu)的數(shù)據(jù)傳輸方法����,其特征在于,所述多級網(wǎng)絡包括核心網(wǎng)絡和外 圍網(wǎng)絡����,所述核心網(wǎng)絡執(zhí)行核心數(shù)據(jù)處理���,所述核心網(wǎng)絡是一個物理上隔絕的獨立網(wǎng)絡,所 述外圍網(wǎng)絡�,通過網(wǎng)閘與所述核心網(wǎng)絡建立邏輯連接,由所述網(wǎng)閘對所述核心網(wǎng)絡與外圍 網(wǎng)絡之間的數(shù)據(jù)傳輸進行授權(quán)驗證���,所述外圍網(wǎng)絡執(zhí)行非核心數(shù)據(jù)處理�,所述外圍網(wǎng)絡具 有對外接口��,與外部網(wǎng)絡進行數(shù)據(jù)交換���,所述方法包括建立所述核心網(wǎng)絡的核心數(shù)據(jù)處理與外圍網(wǎng)絡的非核心數(shù)據(jù)處理之間的映射關(guān)系���;將所述核心網(wǎng)絡執(zhí)行核心數(shù)據(jù)處理使用的核心端口映射到所述外圍網(wǎng)絡的對外接Π ;所述對外接口采集數(shù)據(jù)�����;將對外接口采集的數(shù)據(jù)進行格式轉(zhuǎn)換�����,轉(zhuǎn)換成預定的格式后提供給所述網(wǎng)閘;所述網(wǎng)間對所述數(shù)據(jù)進行授權(quán)驗證����,通過授權(quán)驗證后利用所述邏輯連接,將所述數(shù)據(jù) 映射到所述核心網(wǎng)絡中相應的核心接口進行核心數(shù)據(jù)處理����;將核心數(shù)據(jù)處理的處理結(jié)果映射到所述對外接口。
6.如權(quán)利要求5所述的多級網(wǎng)絡結(jié)構(gòu)的數(shù)據(jù)傳輸方法�,其特征在于,所述網(wǎng)閘對所述 核心網(wǎng)絡與外圍網(wǎng)絡之間的數(shù)據(jù)傳輸進行授權(quán)驗證包括以IP地址和MAC地址綁定方式進 行身份驗證���。
7.如權(quán)利要求5所述的多級網(wǎng)絡結(jié)構(gòu)���,其特征在于����,所述核心網(wǎng)絡包括決策機構(gòu)網(wǎng)絡, 所述外圍網(wǎng)絡包括專業(yè)網(wǎng)絡�。
8.如權(quán)利要求5所述的多級網(wǎng)絡結(jié)構(gòu),其特征在于�,所述核心網(wǎng)絡包括市級政府網(wǎng)絡, 所述外圍網(wǎng)絡包括區(qū)級和更低級別的政府網(wǎng)絡�。
全文摘要
本發(fā)明揭示了一種多級網(wǎng)絡結(jié)構(gòu)�,包括核心網(wǎng)絡�,執(zhí)行核心數(shù)據(jù)處理,核心網(wǎng)絡是一個物理上隔絕的獨立網(wǎng)絡�;外圍網(wǎng)絡,通過網(wǎng)閘與核心網(wǎng)絡建立邏輯連接��,由網(wǎng)閘對核心網(wǎng)絡與外圍網(wǎng)絡之間的數(shù)據(jù)傳輸進行授權(quán)驗證�,外圍網(wǎng)絡執(zhí)行非核心數(shù)據(jù)處理,具有對外接口��,與外部網(wǎng)絡進行數(shù)據(jù)交換���,進行數(shù)據(jù)采集�;映射裝置�,建立核心數(shù)據(jù)處理與非核心數(shù)據(jù)處理之間的映射關(guān)系,將核心接口映射到對外接口�����;將經(jīng)過網(wǎng)閘授權(quán)驗證后的數(shù)據(jù)通過邏輯連接映射到相應的核心接口進行核心數(shù)據(jù)處理���;以及將核心數(shù)據(jù)處理的處理結(jié)果映射到對外接口����;數(shù)據(jù)格式轉(zhuǎn)換裝置,將對外接口采集的數(shù)據(jù)進行格式轉(zhuǎn)換�,轉(zhuǎn)換成預定的格式后提供給網(wǎng)閘,由網(wǎng)閘對數(shù)據(jù)進行授權(quán)驗證�。
文檔編號H04L29/06GK101815059SQ20091004636
公開日2010年8月25日 申請日期2009年2月19日 優(yōu)先權(quán)日2009年2月19日
發(fā)明者崔永發(fā), 李紹錕, 王占宏, 顧國強, 高志剛 申請人:上海眾恒信息產(chǎn)業(yè)股份有限公司