一种监狱与银行内外网安全隔离的数据传输方法及系统与流程

本发明涉及网络安全领域，尤其涉及一种监狱与银行内外网安全隔离的数据传输方法及系统。

背景技术：

目前狱内服刑人员个人资金银行化管理已成为一种趋势，由于涉及金融交易，对于监狱与银行的网络安全要求较高，尽管我们可以使用防火墙、代理服务器、入侵检测等安全措施，但是这些技术都是基于软件的逻辑隔离产品，对于黑客和内部用户而言是可能被操纵的，无法满足金融部门对数据安全的要求。再加上目前我国使用的计算机核心软硬件都依赖进口，谁也无法保证这些软硬中没有后门、没有漏洞。因此，最好的办法就是让用户重要的数据和外部的互联网没有物理上的连接，采用物理隔离的方式，让黑客无机可乘，但是这样又不能实现与外部银行网络的互通。所以就需要一种技术来帮助用户既能有效地隔离内外网络，又能方便地使用内外网的资源，这就是物理隔离技术要完成的任务。

技术实现要素：

本发明提供一种监狱与银行内外网安全隔离的数据传输方法及系统，解决现有技术中监狱网络与外部银行网络互通受限、网络安全保障不足的技术问题。

本发明的目的是通过以下技术方案实现的：

一种监狱与银行内外网安全隔离的数据传输方法，包括：

获取第一网络数据包，进行身份认证；

对所述第一网络数据包进行解封装，以还原原始数据；

对所述原始数据进行校验处理；

对所述原始数据进行加密处理；

根据第二网络的类型，对所述原始数据进行协议封装，生成第二网络数据包；

向第二网络转发所述第二网络数据包。

一种监狱与银行内外网安全隔离的数据传输系统，包括：

获取模块，用于获取第一网络数据包，进行身份认证；

解封模块，用于对所述第一网络数据包进行解封装，以还原原始数据；

校验模块，用于对所述原始数据进行校验处理；

加密模块，用于对所述原始数据进行加密处理；

封装模块，用于根据第二网络的类型，对所述原始数据进行协议封装，生成第二网络数据包；

发送模块，用于向第二网络转发所述第二网络数据包。

本发明提供一种监狱与银行内外网安全隔离的数据传输方法及系统，通过获取第一网络数据包，进行身份认证；对所述第一网络数据包进行解封装，以还原原始数据；对所述原始数据进行校验处理；对所述原始数据进行加密处理；根据第二网络的类型，对所述原始数据进行协议封装，生成第二网络数据包；向第二网络转发所述第二网络数据包。本发明杜绝了由TCP/IP网络协议脆弱性和部分操作系统的内在隐患带来的安全问题。采用数据摆渡的方式从硬件和软件上同时保证监狱与银行网络间的安全隔离。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可根据这些附图获得其他的附图。

图1为本发明实施例的一种监狱与银行内外网安全隔离的数据传输方法的流程图；

图2为本发明实施例的一种监狱与银行内外网安全隔离的数据传输系统的结构图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图1所示，为一种监狱与银行内外网安全隔离的数据传输方法，包括：

步骤101、获取第一网络数据包，进行身份认证；

步骤102、对所述第一网络数据包进行解封装，以还原原始数据；

步骤103、对所述原始数据进行校验处理；

步骤104、对所述原始数据进行加密处理；

步骤105、根据第二网络的类型，对所述原始数据进行协议封装，生成第二网络数据包；

步骤106、向第二网络转发所述第二网络数据包。

其中，步骤101具体可以包括：

步骤101-1、通过第一网络接口获取第一网络数据包；

步骤101-2、根据第一网络数据包的IP地址、端口进行IP认证、端口认证。

当所述第一网络为银行网络时，所述第二网络为监狱网络；当所述第一网络为监狱网络时，所述第二网络为银行网络。

步骤105具体可以包括根据第二网络的类型，对所述原始数据进行TCP封装，生成第二网络数据包。

在步骤102之后，步骤103之前，还包括：

对所述原始数据进行病毒扫描。可对数据部分隐含的安全威胁进行识别。

本发明提供一种监狱与银行内外网安全隔离的数据传输方法，通过获取第一网络数据包，进行身份认证；对所述第一网络数据包进行解封装，以还原原始数据；对所述原始数据进行校验处理；对所述原始数据进行加密处理；根据第二网络的类型，对所述原始数据进行协议封装，生成第二网络数据包；向第二网络转发所述第二网络数据包。本发明杜绝了由TCP/IP网络协议脆弱性和部分操作系统的内在隐患带来的安全问题。采用数据摆渡的方式从硬件和软件上同时保证监狱与银行网络间的安全隔离。

本发明实施例还提供了一种监狱与银行内外网安全隔离的数据传输系统，如图2所示，包括：

获取模块210，用于获取第一网络数据包，进行身份认证；

解封模块220，用于对所述第一网络数据包进行解封装，以还原原始数据；

校验模块230，用于对所述原始数据进行校验处理；

加密模块240，用于对所述原始数据进行加密处理；

封装模块250，用于根据第二网络的类型，对所述原始数据进行协议封装，生成第二网络数据包；

发送模块260，用于向第二网络转发所述第二网络数据包。

其中，所述获取模块210包括：

接收单元211，用于通过第一网络接口获取第一网络数据包；

认证单元212，用于根据第一网络数据包的IP地址、端口进行IP认证、端口认证。

封装模块250具体用于根据第二网络的类型，对所述原始数据进行TCP封装，生成第二网络数据包。

本系统还可以包括病毒扫描模块270，用于在对所述第一网络数据包进行解封装之后，对所述原始数据进行校验处理之前，对所述原始数据进行病毒扫描。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现，当然也可以全部通过硬件来实施，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

以上对本发明进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。