一种抗攻击的内网数据传输方法及系统与流程
本发明涉及信息通信领域。
背景技术:
随着互联网及信息技术的迅速发展,网络和人们生活的关系越来越密切,很多活动也转移到互联网(或物联网、城域网及其它广域网)上进行,比如网上购物,网络银行,电子商务,电子政务等。同时,由于互联网本身的开放性,也面临很多安全问题。
这其中,有一些活动会涉及到特别重要的信息。比如电子政务,其中的信息可能会影响到国计民生。再比如金融系统,会涉及到巨额资金。
对于这类活动,一种解决办法是物理隔离,信息保存在内网中,而内网和外网是从物理上断开的,没有信息通道,自然也就避免了攻击。但是,这样做虽然可以提高信息的安全程度,但付出的代价是无法利用互联网(或其它广域网)及现代信息技术的各种好处。
技术实现要素:
本发明提出了一种抗攻击的内网数据传输方法及系统,目的在于解决现有信息传输过程中所存在的安全性以及实用性的问题。
本发明解决上述技术问题的技术方案如下:一种抗攻击的内网数据传输方法,所述方法包括:
本地内网网关对本地内部局域网中的内网数据进行加密处理;
将加密后的内网数据通过专有信道发送至本地外网网关,本地外网网关将加密数据发送至外网;
远程外网网关从外网获取加密数据,对所述加密数据进行检查后通过专有信道发给远程内网网关;
远程内网网关对加密数据进行解密后获得本地内部局域网中的内网数据。
本发明的有益效果是:本发明所述的传输方法能够将数据通过外网转接的方式在不同区域的内部局域网之间进行传输,在外网与局域网之间进行信息传输的过程中,通过专有信道转接的方式使外网与局域网之间产生隔离,完全不同于传统的内网与外网直接连接的方式,抗攻击性大大增强,同时与远程内部局域网相对应的外网网关能够对数据进行检查,过滤掉非法的数据包,隔离多种类型的攻击。同时对传输的信息进行加密处理,既提高了信息的安全性,又可以利用外网带来的益处,并且其抗攻击的能力大大超过传统的虚拟专网系统。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述对内网数据进行加密的过程为:
对本地内部局域网和远程内部局域网的通信方进行身份进行认证;
对内网数据中的数据信息进行加密处理;
对内网数据进行完整性保护。
采用上述进一步方案的有益效果是:上述方案通过身份认证、加密以及完整性保护,对内网数据进行了充分的保护,能够防止对信息的假冒、窃听和篡改。
进一步,所述远程外网网关采用固化的硬件逻辑对从外网中获取的加密数据进行检查。
采用上述进一步方案的有益效果是:通过固化的硬件逻辑使得黑客无法通过修改检查逻辑本身而入侵内网网关,消除了软件检查所带来的漏洞,提高了安全性。
为了解决上述技术问题,本发明还提出了一种抗攻击的内网数据传输系统,所述系统包括:本地内网网关、远程内网网关、本地外网网关和远程外网网关,
所述本地内网网关,用于对本地内部局域网中的内网数据进行协议处理以及加密处理,并将加密后的内网数据通过专有信道发送至本地外网网关;
所述本地外网网关,用于对加密后的内网数据进行转接,并将转接后的加密内网数据发送至外网;
所述远程外网网关,用于通过专用信道获取外网中的加密内网数据,并对外网中的加密内网数据进行检查,然后通过专有信道将检查后的加密内网数据发送至远程内网网关;
所述远程内网网关,用于对检查后的加密内网数据进行解密处理,并将解密后的内网数据发送至远程内部局域网。
本发明的有益效果:本发明所述的传输系统能够将数据通过外网转接的方式在不同区域的内部局域网之间进行传输,在外网与局域网之间进行信息传输的过程中,通过转接的方式使外网与局域网之间产生隔离,完全不同于传统的内网与外网直接连接的方式,抗攻击性大大增强,同时与远程内部局域网相对应的外网网关能够对数据进行检查,过滤掉非法的数据包,隔离多种类型的攻击。同时对传输的信息进行加密处理,既提高了信息的安全性,又可以利用外网带来的益处,并且其抗攻击的能力大大超过传统的虚拟专网系统。
进一步,所述本地内网网关与远程内网网关内部结构相同且可相互转换。
进一步,所述本地内网网关包括内网网卡和处理模块,
所述内网网卡,用于接收本地内部局域网的内网数据,并将所述内网数据发送至处理模块;当本地内网网关为远程内网网关时,接收处理模块发送的解密后的内网数据,并将所述解密后的内网数据发送至远程内部局域网;
所述处理模块,用于对内网数据进行协议处理以及加密处理,然后将加密内网数据发送至本地外网网关中;当本地内网网关为远程内网网关时,接收远程外网网关发送的转接的加密内网数据,并对其进行解密处理后发送至内网网卡。
采用上述进一步方案的有益效果是:采用内网网卡和处理模块及专有信道,使内部局域网与外网生成隔离层,并对内网数据进行加密处理,保证了数据的安全性。
进一步,所述处理模块包括:
身份认证模块,用于对本地内部局域网和远程内部局域网通信方的身份进行认证;
数据加密模块,用于对内网数据中的数据信息进行加密处理;
完整性保护模块,用于对内网数据进行完整性保护。
采用上述进一步方案的有益效果是:上述方案通过身份认证、加密以及完整性保护,对内网数据进行了充分的保护,能够防止对信息的假冒、窃听和篡改。
进一步,所述本地外网网关与远程外网网关内部结构相同且可相互转换。
进一步,所述本地外网网关包括外网网卡和转接模块;
所述转接模块,用于接收本地内网网关发送的经过协议处理和加密处理的内网数据,并将加密后的内网数据发送至外网网卡;当本地外网网关为远程外网网关时,接收外网网卡发送的从外网中获取的加密内网数据,并将所述加密内网数据进行检查后发送至远程内网网关;
所述外网网卡,用于将接收到的经过协议处理和加密处理的内网数据发送至外网中,当本地外网网关为远程外网网关时,从外网中获取加密内网数据,并将所述加密内网数据发送至转接模块。
采用上述进一步方案的有益效果是:通过转接功能实现外网与内部局域网之间的隔离,能够防御黑客的攻击,提高网关的安全性能。
进一步,所述转接模块中包括固化的硬件逻辑模块,所述硬件逻辑模块用于对从外网中获取的加密内网数据进行检查。
采用上述进一步方案的有益效果是:通过固化的硬件逻辑模块使得黑客无法通过修改检查逻辑本身而入侵内网网关,消除了软件检查所带来的漏洞,提高了安全性。
附图说明
图1为本发明实施例一所述的抗攻击的内网数据传输方法的流程图;
图2为本发明实施例二所述的抗攻击的内网数据传输系统的原理示意图;
图3为本发明实施例二所述的抗攻击的内网数据传输系统的应用示意图;
图4为本发明实施例二所述的处理模块的原理示意图;
图5为本发明实施例二所述的转接模块的原理示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
实施例1
如图1所示,本实施例提出了一种抗攻击的内网数据传输方法,所述方法包括:
S1、本地内网网关对本地内部局域网中的内网数据进行加密处理;
S2、将加密后的内网数据通过专有信道发送至本地外网网关,本地外网网关将加密数据发送至外网;
S3、远程外网网关从外网获取加密数据,对所述加密数据进行检查后通过专有信道发给远程内网网关;
S4、远程内网网关对加密数据进行解密后获得本地内部局域网中的内网数据。
本实施例将网络划分为内部网和外部网,内部网是一个单位或组织私有的网络,其重要信息只能在内部网中使用,由于每个用户所处地点的不同将其分为本地内部局域网和远程内部局域网,外网可以为互联网、物联网等多种不同的网络形式。
对于内部网中的重要信息而言,保密工作实乃重中之重,为了能够确保信息的安全性,本实施例采用三层保护方式、即身份认证、加密和完整性保护,具体的,通过数字证书和非对称算法(如RSA、ECC、SM2等)进行身份认证,以保证通信双方身份的合法性。攻击者拿不到数字证书和私钥,就通不过身份认证,就会被过滤掉,无法实施进一步的攻击。采用对称算法(如AES、3DES、SM4等)对传输的数据进行加密,加密后,攻击者只能看到乱码,而看不到明文数据,以保证数据不被窃听。采用哈希算法对传输数据算出数字摘要,并用非对称算法对数据摘要进行签名。或采用MAC算法完成与上述哈希+非对称算法相同的功能。当传输的数据被篡改后,在接收端做验证运算的时候能够发现。发现之后,用户就可以根据自己的安全级别和安全策略,进行丢弃、重传和报警等后续处理。通过这一层处理,保护了数据的完整性。
以上三层处理方式能够保证数据的安全性,具体采用何种算法可视情况而定,只要能够满足对身份验证、加密和完整性保护的效果即可。
传统的虚拟专网网关通常只有一层,并且是与外网直接连接的,因此,如果它的处理加密、完整性保护以及处理网络协议的部分,以及操作系统等软件存在漏洞,比如缓冲区溢出之类的漏洞,就有可能被来自外网的黑客攻击。一旦网关被攻破,那么整个内部网就会暴露在黑客的攻击之下了。
因此,本实施例充分考虑到上述问题,在将加密后的内网数据发送至外网的过程中,首先将加密后的内网数据通过专有信道发送至本地内部局域网相对应的外网网关中进行转接,与本地内部局域网相对应的外网网关再将转接后的加密内网数据发送至外网中。转接通过专有信道来进行,专有信道的数据传输方式可以为光传输、电传输等方式实现,其特征是能够保证外网无法发现和访问专有信道,以此来隔离来自外网的攻击。
同时在远程内部局域网获得本地内部局域网中的内网数据过程中,也是首先通过与远程内部局域网相对应的外网网关对外网中的加密内网数据进行转接。
进一步地,在转接的过程中对加密内网数据进行检查,过滤掉非法的数据包,隔离攻击,在远程内部局域网中将检查后的加密内网数据进行解密处理后获得本地内部局域网中的内网数据。由此,即便操作系统或者网络协议栈存在漏洞,也无法从外网当中直接进行访问。黑客攻击也无法找到攻击点。大大提高了系统的安全性。
实施例2
如图2所示,本实施例提出了一种抗攻击的内网数据传输系统,所述系统包括:本地内网网关、远程内网网关、本地外网网关和远程外网网关,
所述本地内网网关,用于对本地内部局域网中的内网数据进行协议处理以及加密处理,并将加密后的内网数据通过专有信道发送至本地外网网关;
所述本地外网网关,用于对加密后的内网数据进行转接,并将转接后的加密内网数据发送至外网;
所述远程外网网关,用于获取外网中的加密内网数据,并对外网中的加密内网数据进行检查,然后通过专有信道将检查后的加密内网数据发送至远程内网网关;
所述远程内网网关,用于对检查后的加密内网数据进行解密处理,并将解密后的内网数据发送至远程内部局域网。
本实施例中,本地内网网关和远程内网网关仅仅是由于信息传输的起点和终点不用从而在名称上加以区分的,实质上本地内网网关也能够作为远程内网网关,远程内网网关也能够作为本地内网网关,同理,本地外网网关和远程外网网关也是一样可以相互进行转换的。为了能够更加明确的了解本实施例所述的系统在实际应用时的工作原理,参照图3所示,本实施例将网络划分为内部网和外部网,内部网是一个单位或组织私有的网络,其重要信息只能在内部网中使用,由于每个用户所处地点的不同将其分为本地内部局域网和远程内部局域网。
具体的,所述本地内网网关包括内网网卡和处理模块,
所述内网网卡,用于接收本地内部局域网的内网数据,并将所述内网数据发送至处理模块;当本地内网网关为远程内网网关时,接收处理模块发送的解密后的内网数据,并将所述解密后的内网数据发送至远程内部局域网;
所述处理模块,用于对内网数据进行协议处理以及加密处理,然后将加密内网数据发送至本地外网网关中;当本地内网网关为远程内网网关是,接收远程外网网关发送的转接的加密内网数据,并对其进行解密处理后发送至内网网卡。
其中,所述处理模块包括:
身份认证模块,用于对本地内部局域网和远程内部局域网通信方的身份进行认证;
数据加密模块,用于对内网数据中的数据信息进行加密处理;
完整性保护模块,用于对内网数据进行完整性保护。
采用内网网卡和处理模块使内部局域网与外网生成隔离层,并对内网数据进行加密处理,保证了数据的安全性,本实施例采用三层保护方式、即身份认证、加密和完整性保护,具体的,通过数字证书和非对称算法(如RSA、ECC、SM2等)进行身份认证,以保证通信双方身份的合法性。攻击者拿不到数字证书和私钥,就通不过身份认证,就会被过滤掉,无法实施进一步的攻击。采用对称算法(如AES、3DES、SM4等)对传输的数据进行加密,加密后,攻击者只能看到乱码,而看不到明文数据,以保证数据不被窃听。采用哈希算法或MAC算法对传输数据算出数字摘要,并用非对称算法对数据摘要进行签名。当传输的数据被篡改后,在接收端做验证运算的时候能够发现。发现之后,用户就可以根据自己的安全级别和安全策略,进行丢弃、重传和报警等后续处理。也就是说,通过这一层处理,保护了数据的完整性。
以上三层处理方式能够保证数据的安全性,具体采用何种算法可视情况而定,只要能够满足对身份验证、加密和完整性保护的效果即可。处理模块的内部逻辑结构如图4所示。
具体的,所述本地外网网关包括外网网卡和转接模块;
所述转接模块,用于接收本地内网网关发送的经过协议处理和加密处理的内网数据,并将加密后的内网数据发送至外网网卡;当本地外网网关为远程外网网关时,接收外网网卡发送的从外网中获取的加密内网数据,并将所述加密内网数据进行检查后发送至远程内网网关;
所述外网网卡,用于将接收到的经过协议处理和加密处理的内网数据发送至外网中,当本地外网网关为远程外网网关时,从外网中获取加密内网数据,并将所述加密内网数据发送至转接模块。
传统的虚拟专网网关只有一层,并且是与外网有直接连接的,因此,它的处理加密、完整性保护以及处理网络协议的部分,以及操作系统等软件如果有漏洞,比如缓冲区溢出之类的漏洞,就有可能被来自外网的黑客攻击。一旦网关被攻破,那么整个内网就暴露在黑客的攻击之下。
而本实施例所述系统的网关分为两层,上述处理加密、完整性保护以及处理网络协议等软件处于内网网关,和外网之间没有直接的连接,中间有一层隔离。
因此,对本实施例系统而言,即使操作系统或网络协议栈存在漏洞,但是由于是处在内网网关上,从外网无法直接访问。内外网之间只有一条专有信道,黑客即使知道内网网关的漏洞,也无法通过专有信道来接触到内网的软件,因此没有途径去利用软件的漏洞。外网网关只做加密数据包的检查和转发,这部分逻辑是固化在FPGA芯片中,如图5所示,从硬件的层面保证了无法通过软件来修改这部分逻辑。这部分逻辑除了用FPGA,也可以用其它的方式实现,比如ASIC,只读的ROM,熔丝类型或紫外线擦写的可编程器件等等。其主要特征是无法通过软件进行修改。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!