一种安全通信方法及系统与流程
本发明涉及通信领域,尤其涉及一种安全通信方法及系统。
背景技术:
目前,互联网的数据量呈爆炸式增长,其中的信息安全也越来越引起人们的重视,然而,网络上充斥着各种各样的负面信息,主要包括恐怖暴力、色情、反政府等,还有对个人终端产生威胁的病毒感染信息和垃圾邮件等,还有就是利用网络窃取泄漏公司机密等信息威胁,这些信息威胁亟需进行处理。
过滤网关作为专用设备,用于将有意义的数据转发给汇聚单元。然而,目前在过滤网关和汇聚单元之间的数据传输没有安全保障,通常,过滤网关用于根据特定规则对报文信息或数据包等进行过滤,过滤网关与汇聚单元之间的通信过程并不安全,缺乏保障,无法对网络中的这些信息威胁进行有效的防范。
技术实现要素:
本发明所要解决的技术问题是针对现有技术的不足,提供一种安全通信方法及系统。
本发明解决上述技术问题的技术方案如下:
一种安全通信方法,包括以下步骤:
过滤网关建立与汇聚单元通信的加密通信通道;
所述过滤网关接收数据包,还原出所述数据包的应用层数据内容;
所述过滤网关根据预设的内容过滤规则对所述应用层数据内容进行处理,过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包;
所述过滤网关将未被过滤的数据包通过所述加密通信通道发送给所述汇聚单元。
本发明的有益效果是:本发明提供的一种安全通信方法,通过在过滤网关与汇聚单元之间建立通信的加密通信通道,可以确保过滤网关和汇聚单元之间的信息传输安全,并通过过滤网关还原出数据包的应用层内容,根据预设的内容过滤规则对所述数据包进行过滤,实现了对包含不良信息和特定信息的数据包进行过滤,避免用户使用的终端接收到包含有信息威胁的数据包,保证了用户的信息安全,还可以根据用户的需求设置需要过滤的内容,可以根据客户的需求进行定制化过滤,进一步提高信息的安全性,有效的防范了网络中的信息威胁。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步地,所述过滤网关建立与汇聚单元通信的加密通信通道具体包括:
过滤网关和汇聚单元分别获取对方的ip地址,并分别在所述过滤网关和所述汇聚单元设置地址过滤规则;
所述过滤网关和所述汇聚单元之间执行ip地址过滤,建立用于通信的加密通信通道。
采用上述进一步方案的有益效果是:通过地址过滤规则在过滤网关和汇聚单元之间建立加密的通信通道,可以提高过滤网关和汇聚单元之间的通信安全性。
本发明解决上述技术问题的另一种技术方案如下:
一种安全通信系统,包括:过滤网关和汇聚单元,所述过滤网关具体包括:
通信单元,用于建立与汇聚单元通信的加密通信通道;
处理单元,用于接收数据包,还原出所述数据包的应用层数据内容;
过滤单元,用于根据预设的内容过滤规则对所述应用层数据内容进行处理,过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包;
所述通信单元还用于将未被过滤的数据包通过所述加密通信通道发送给所述汇聚单元。
本发明的有益效果是:本发明提供的一种安全通信系统,通过在过滤网关与汇聚单元之间建立通信的加密通信通道,可以确保过滤网关和汇聚单元之间的信息传输安全,并通过过滤网关还原出数据包的应用层内容,根据预设的内容过滤规则对所述数据包进行过滤,实现了对包含不良信息和特定信息的数据包进行过滤,避免用户使用的终端接收到包含有信息威胁的数据包,保证了用户的信息安全,还可以根据用户的需求设置需要过滤的内容,可以根据客户的需求进行定制化过滤,进一步提高信息的安全性,有效的防范了网络中的信息威胁。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步地,所述过滤网关和所述汇聚单元分别用于获取对方的ip地址,并分别在所述过滤网关和所述汇聚单元设置地址过滤规则,并在所述过滤网关和所述汇聚单元之间执行ip地址过滤,建立用于通信的加密通信通道。
采用上述进一步方案的有益效果是:通过地址过滤规则在过滤网关和汇聚单元之间建立加密的通信通道,可以提高过滤网关和汇聚单元之间的通信安全性。
本发明附加的方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明实践了解到。
附图说明
图1为本发明实施例提供的一种安全通信方法的流程示意图;
图2为本发明另一实施例提供的一种安全通信方法的流程示意图;
图3为本发明另一实施例提供的一种安全通信方法的流程示意图;
图4为本发明另一实施例提供的一种安全通信方法的流程示意图;
图5为本发明另一实施例提供的一种安全通信方法的流程示意图;
图6为本发明另一实施例提供的一种安全通信方法的流程示意图;
图7为本发明另一实施例提供的一种安全通信系统的结构框架图;
图8为本发明另一实施例提供的一种安全通信系统的网络拓扑图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,为本发明实施例提供的一种安全通信方法的流程示意图,该方法包括以下步骤:
s1,过滤网关建立与汇聚单元通信的加密通信通道。
例如,使过滤网关和汇聚单元之间分别获取对方的ip地址,并分别在过滤网关和汇聚单元设置ip地址过滤规则,使过滤网关和汇聚单元在通信之前根据预先设置的ip地址过滤规则执行ip地址过滤,这样就可以建立起一条加密的通信通道,可以提升数据在过滤网关与汇聚单元之间传输的安全性。
又例如,过滤网关和汇聚单元之间可以基于对称认证密钥ka/ka'执行双向认证,并基于对称通信密钥kc/kc'建立加密移动通信。
又例如,过滤网关和汇聚单元之间可以按预设的生成规则生成哈希值暗号,然后进行哈希值暗号匹配,当过滤网关和汇聚单元之间的哈希值暗号相同时,建立加密移动通信。
s2,过滤网关接收数据包,还原出数据包的应用层数据内容。
例如,这里以tcp报文为例,对还原过程进行说明。过滤网关在接收到数据包后,首先将数据包写入缓存文件,然后对写入缓存文件的数据包进行重组,还原为tcp连接数据,为协议识别提供了手段。写入缓存文件的数据包的内容可以包括:tcp连接的源ip地址、目标ip地址、源端口、目标端口、序列号、确认序号以及数据包的数据内容,对缓存后的数据包进行重组的过程可以利用tcp报头中的序号和确认序号进行。
s3,过滤网关根据预设的内容过滤规则对应用层数据内容进行处理,过滤掉应用层数据内容不符合内容过滤规则的数据包。
预设的内容过滤规则是预先由使用者设置的,并存储在过滤网关的数据表中,以便调用。例如,当需要对网络中的黄暴信息进行过滤时,可以预先设置一些黄暴词组作为检测关键词,当应用层数据内容出现预先设置的黄暴词组时,过滤掉包含检测关键词的数据包。又例如,当需要对包含公司机密信息的内容进行过滤时,可以预先设置一些公司机密信息的关键词,当应用层数据内容出现预先设置的包含公司机密信息的关键词时,过滤掉包含检测关键词的数据包,可以防止公司机密信息泄露。
s4,过滤网关将未被过滤的数据包通过加密通信通道发送给汇聚单元。
本实施例提供的一种安全通信方法,通过在过滤网关与汇聚单元之间建立通信的加密通信通道,可以确保过滤网关和汇聚单元之间的信息传输安全,并通过过滤网关还原出数据包的应用层内容,根据预设的内容过滤规则对数据包进行过滤,实现了对包含不良信息和特定信息的数据包进行过滤,避免用户使用的终端接收到包含有信息威胁的数据包,保证了用户的信息安全,还可以根据用户的需求设置需要过滤的内容,可以根据客户的需求进行定制化过滤,进一步提高信息的安全性,有效的防范了网络中的信息威胁。
在另一实施例中,如图2所示,为本发明另一实施例提供的一种安全通信方法的流程示意图,该方法包括以下步骤:
s1,过滤网关建立与汇聚单元通信的加密通信通道。
例如,使过滤网关和汇聚单元之间分别获取对方的ip地址,并分别在过滤网关和汇聚单元设置ip地址过滤规则,使过滤网关和汇聚单元在通信之前根据预先设置的ip地址过滤规则执行ip地址过滤,这样就可以建立起一条加密的通信通道,可以提升数据在过滤网关与汇聚单元之间传输的安全性。
又例如,过滤网关和汇聚单元之间可以基于对称认证密钥ka/ka'执行双向认证,并基于对称通信密钥kc/kc'建立加密移动通信。
又例如,过滤网关和汇聚单元之间可以按预设的生成规则生成哈希值暗号,然后进行哈希值暗号匹配,当过滤网关和汇聚单元之间的哈希值暗号相同时,建立加密移动通信。
下面给出步骤s1的一种优选实施方案,具体包括以下步骤:
s11,过滤网关和汇聚单元分别获取对方的ip地址,并分别在过滤网关和汇聚单元设置地址过滤规则。
具体地,过滤网关从互联网获取本机的ip地址ip1,并发送给汇聚单元;
过滤网关获取汇聚单元的ip地址ip2;
过滤网关设置ip地址过滤规则,允许本机接收ip源地址为ip2的ip数据包;
汇聚单元设置ip地址过滤规则,允许本机接收ip源地址为ip1的ip数据包。
s12,过滤网关和汇聚单元之间执行ip地址过滤,建立用于通信的加密通信通道。
s2,过滤网关接收数据包,还原出数据包的应用层数据内容。
例如,这里以tcp报文为例,对还原过程进行说明。过滤网关在接收到数据包后,首先将数据包写入缓存文件,然后对写入缓存文件的数据包进行重组,还原为tcp连接数据,为协议识别提供了手段。写入缓存文件的数据包的内容可以包括:tcp连接的源ip地址、目标ip地址、源端口、目标端口、序列号、确认序号以及数据包的数据内容,对缓存后的数据包进行重组的过程可以利用tcp报头中的序号和确认序号进行。
s3,过滤网关根据预设的内容过滤规则对应用层数据内容进行处理,过滤掉应用层数据内容不符合内容过滤规则的数据包。
预设的内容过滤规则是预先由使用者设置的,并存储在过滤网关的数据表中,以便调用。例如,当需要对网络中的黄暴信息进行过滤时,可以预先设置一些黄暴词组作为检测关键词,当应用层数据内容出现预先设置的黄暴词组时,过滤掉包含检测关键词的数据包。又例如,当需要对包含公司机密信息的内容进行过滤时,可以预先设置一些公司机密信息的关键词,当应用层数据内容出现预先设置的包含公司机密信息的关键词时,过滤掉包含检测关键词的数据包,可以防止公司机密信息泄露。
s4,过滤网关将未被过滤的数据包通过加密通信通道发送给汇聚单元。
本实施例提供的一种安全通信方法,在上一实施例的基础上,进一步通过过滤网关和汇聚单元分别获取对方的ip地址,并设置地址过滤规则,使双方执行ip地址过滤,能够建立起安全性高的加密通信通道,使过滤网关和汇聚单元只根据预设的地址过滤规则接收彼此的数据,可以确保过滤网关和汇聚单元之间的信息传输安全,有效地防范网络攻击等行为,从数据的底层传输过程中就保障了数据的传输安全,使过滤网关与汇聚单元之间的数据流动更加稳定可靠。
在另一实施例中,如图3所示,为本发明另一实施例提供的一种安全通信方法的流程示意图,该方法包括以下步骤:
s1,过滤网关建立与汇聚单元通信的加密通信通道。
下面给出步骤s1的一种优选实施方案,具体包括以下步骤:
s11,过滤网关和汇聚单元分别获取对方的ip地址,并分别在过滤网关和汇聚单元设置地址过滤规则。
具体地,过滤网关从互联网获取本机的ip地址ip1,并发送给汇聚单元;
过滤网关获取汇聚单元的ip地址ip2;
过滤网关设置ip地址过滤规则,允许本机接收ip源地址为ip2的ip数据包;
汇聚单元设置ip地址过滤规则,允许本机接收ip源地址为ip1的ip数据包。
s12,过滤网关和汇聚单元之间执行ip地址过滤,建立用于通信的加密通信通道。
s2,过滤网关接收数据包,还原出数据包的应用层数据内容。
例如,这里以tcp报文为例,对还原过程进行说明。过滤网关在接收到数据包后,首先将数据包写入缓存文件,然后对写入缓存文件的数据包进行重组,还原为tcp连接数据,为协议识别提供了手段。写入缓存文件的数据包的内容可以包括:tcp连接的源ip地址、目标ip地址、源端口、目标端口、序列号、确认序号以及数据包的数据内容,对缓存后的数据包进行重组的过程可以利用tcp报头中的序号和确认序号进行。
具体地,步骤s2可以细化为以下几个步骤:
s21,过滤网关接收数据包,提取数据包中的目标ip地址、目标端口、源ip地址、源端口和传输层协议号,并据此计算数据包的哈希值。
下面以一个普通报文为例,对这一步骤进行详细说明。
假设该报文的报文头为:
02:54:cd:d8:f3:22>52:54:d1:f2:8e:38,172.17.0.3.53794>172.17.1.2.22,ttl63,prototcp
从中可以得到:
源ip地址及源端口:172.17.0.3.53794
目标ip地址及目标端口:172.17.1.2.22
传输层协议号:6
计算得到哈希值为2293368848795334559。
s22,过滤网关将哈希值与预设的数据表中的哈希值进行匹配,当匹配到相同的哈希值时,过滤掉数据包;当未匹配到相同的哈希值时,还原出数据包的应用层数据内容。
过滤网关在得到该哈希值后,从预设的数据表中查找是否有相同的哈希值,当匹配到相同的哈希值时,说明在先从源ip地址及源端口172.17.0.3.53794发送到目标ip地址及目标端口172.17.1.2.22的tcp报文被过滤掉了,因此,可以直接将从该源ip地址及源端口发送到该目标ip地址及目标端口的后续报文过滤掉,能够有效地防止网络攻击或病毒注入,提高报文的过滤效率与数据传输的安全性。
而如果没有在数据表中匹配到相同的哈希值,则还原出数据包的应用层数据内容,对该数据包中的内容进行进一步的检测。
优选地,当匹配到相同的哈希值时,过滤掉数据包具体包括:
当匹配到相同的哈希值时,获取在一定时间内接收到的该哈希值所对应的数据包的数量,当该哈希值所对应的数据包的数量大于预设数量阈值时,过滤掉数据包。
需要说明的是,这里的一定时间可以根据实际情况设置,例如,可以设置为5s,当在5s内接收到了大量的数据包,而这些数据包的哈希值相同,且在数据表中查找到了相同的哈希值,说明有可能是网络攻击行为或病毒感染等,可以直接将后续的数据包过滤掉,而不用再经过还原应用层内容,在进行匹配检测等,可以减轻过滤网关的工作压力,提高数据的转发速度。
s3,过滤网关根据预设的内容过滤规则对应用层数据内容进行处理,过滤掉应用层数据内容不符合内容过滤规则的数据包。
预设的内容过滤规则是预先由使用者设置的,并存储在过滤网关的数据表中,以便调用。例如,当需要对网络中的黄暴信息进行过滤时,可以预先设置一些黄暴词组作为检测关键词,当应用层数据内容出现预先设置的黄暴词组时,过滤掉包含检测关键词的数据包。又例如,当需要对包含公司机密信息的内容进行过滤时,可以预先设置一些公司机密信息的关键词,当应用层数据内容出现预先设置的包含公司机密信息的关键词时,过滤掉包含检测关键词的数据包,可以防止公司机密信息泄露。
s4,过滤网关将未被过滤的数据包通过加密通信通道发送给汇聚单元。
本实施例提供的一种安全通信方法,在上一实施例的基础上,通过根据已被过滤的报文的哈希值,直接将源ip地址及源端口和目标ip地址及目标端口相同的后续报文过滤掉,能够有效地防止网络攻击或病毒注入,提高报文的过滤效率与数据传输的安全性,可以减轻过滤网关的工作压力,提高数据的转发速度。
在另一实施例中,如图4所示,为本发明另一实施例提供的一种安全通信方法的流程示意图,该方法包括以下步骤:
s1,过滤网关建立与汇聚单元通信的加密通信通道。
下面给出步骤s1的一种优选实施方案,具体包括以下步骤:
s11,过滤网关和汇聚单元分别获取对方的ip地址,并分别在过滤网关和汇聚单元设置地址过滤规则。
具体地,过滤网关从互联网获取本机的ip地址ip1,并发送给汇聚单元;
过滤网关获取汇聚单元的ip地址ip2;
过滤网关设置ip地址过滤规则,允许本机接收ip源地址为ip2的ip数据包;
汇聚单元设置ip地址过滤规则,允许本机接收ip源地址为ip1的ip数据包。
s12,过滤网关和汇聚单元之间执行ip地址过滤,建立用于通信的加密通信通道。
s2,过滤网关接收数据包,还原出数据包的应用层数据内容。
具体地,步骤s2可以细化为以下几个步骤:
s21,过滤网关接收数据包,提取数据包中的目标ip地址、目标端口、源ip地址、源端口和传输层协议号,并据此计算数据包的哈希值。
s22,过滤网关将哈希值与预设的数据表中的哈希值进行匹配,当匹配到相同的哈希值时,过滤掉数据包;当未匹配到相同的哈希值时,还原出数据包的应用层数据内容。
s3,过滤网关根据预设的内容过滤规则对应用层数据内容进行处理,过滤掉应用层数据内容不符合内容过滤规则的数据包。
预设的内容过滤规则是预先由使用者设置的,并存储在过滤网关的数据表中,以便调用。例如,当需要对网络中的黄暴信息进行过滤时,可以预先设置一些黄暴词组作为检测关键词,当应用层数据内容出现预先设置的黄暴词组时,过滤掉包含检测关键词的数据包。又例如,当需要对包含公司机密信息的内容进行过滤时,可以预先设置一些公司机密信息的关键词,当应用层数据内容出现预先设置的包含公司机密信息的关键词时,过滤掉包含检测关键词的数据包,可以防止公司机密信息泄露。
s4,过滤网关将哈希值存储在数据表中,可以为后续数据包的处理提供依据,当匹配到相同的哈希值时,直接过滤掉该报文,可以进一步提高数据在过滤网关与汇聚单元之间的传输速度。
例如,以下报文的报文头为例:
02:54:cd:d8:f3:22>52:54:d1:f2:8e:38,172.17.0.3.53794>172.17.1.2.22,ttl63,prototcp
从中可以得到:
源ip地址及源端口:172.17.0.3.53794
目标ip地址及目标端口:172.17.1.2.22
传输层协议号:6
据此计算得到该数据的哈希值为2293368848795334559。
s5,过滤网关对数据表中哈希值的匹配次数进行监控,当在预设时间间隔内检测到匹配成功次数超过预设次数的哈希值时,向预设接收端发送疑似网络攻击的提示消息。
需要说明的是,提示消息的具体提示内容可以根据实际需求设置,例如,当公司为了防止公司机密泄露时,会设置一些相关的关键词,当偶尔一次两次被过滤时,可能并没有泄露公司机密,而当短时间内大量数据包被过滤掉时(显然是通过在数据表中匹配哈希值的方式呗过滤掉的),那么就说明极有可能有人正在向外泄露公司机密,因此,可以向预设的接收端发送公司机密疑似泄露的提示消息,接收端可以是终端,如手机、电脑等,也可以是数据处理器等。
s6,过滤网关将未被过滤的数据包通过加密通信通道发送给汇聚单元。
本实施例提供的一种安全通信方法,在上一实施例的基础上,通过获取被过滤数据包的哈希值,并将该哈希值存储在数据表中,可以为后续数据包的处理提供依据,当匹配到相同的哈希值时,直接过滤掉该报文,可以进一步提高数据在过滤网关与汇聚单元之间的传输速度,并且对数据表中哈希值的匹配次数进行监控,当在预设的时间段内接收到大量的应用层数据内容不符合内容过滤规则的的数据包时,可以准确地判断信息泄露或信息攻击行为,以便及时向预设的接收端发送疑似网络攻击的提示消息,及时提醒用户进行处理或防范,提高信息传输的安全性。
在另一实施例中,如图5所示,为本发明另一实施例提供的一种安全通信方法的流程示意图,该方法包括以下步骤:
s1,过滤网关建立与汇聚单元通信的加密通信通道。
下面给出步骤s1的一种优选实施方案,具体包括以下步骤:
s11,过滤网关和汇聚单元分别获取对方的ip地址,并分别在过滤网关和汇聚单元设置地址过滤规则。
具体地,过滤网关从互联网获取本机的ip地址ip1,并发送给汇聚单元;
过滤网关获取汇聚单元的ip地址ip2;
过滤网关设置ip地址过滤规则,允许本机接收ip源地址为ip2的ip数据包;
汇聚单元设置ip地址过滤规则,允许本机接收ip源地址为ip1的ip数据包。
s12,过滤网关和汇聚单元之间执行ip地址过滤,建立用于通信的加密通信通道。
s2,过滤网关接收数据包,还原出数据包的应用层数据内容。
具体地,步骤s2可以细化为以下几个步骤:
s21,过滤网关接收数据包,提取数据包中的目标ip地址、目标端口、源ip地址、源端口和传输层协议号,并据此计算数据包的哈希值。
s22,过滤网关将哈希值与预设的数据表中的哈希值进行匹配,当匹配到相同的哈希值时,过滤掉数据包;当未匹配到相同的哈希值时,还原出数据包的应用层数据内容。
s3,根据内容过滤规则对应用层数据内容进行关键词检测,当检测到预设的关键词时,过滤掉应用层数据内容包含预设的关键词的数据包。
关键词是预先由使用者设置的,并存储在过滤网关的数据表中,以便调用。例如,当需要对网络中的黄暴信息进行过滤时,可以预先设置一些黄暴词组作为检测关键词,当应用层数据内容出现预先设置的黄暴词组时,过滤掉包含检测关键词的数据包。又例如,当需要对包含公司机密信息的内容进行过滤时,可以预先设置一些公司机密信息的关键词,当应用层数据内容出现预先设置的包含公司机密信息的关键词时,过滤掉包含检测关键词的数据包,可以防止公司机密信息泄露。
s4,过滤网关将哈希值存储在数据表中。
s5,过滤网关对数据表中哈希值的匹配次数进行监控,当在预设时间间隔内检测到匹配成功次数超过预设次数的哈希值时,向预设接收端发送疑似网络攻击的提示消息。
s6,过滤网关将未被过滤的数据包通过加密通信通道发送给汇聚单元。
本实施例提供的一种安全通信方法,在上一实施例的基础上,通过设置关键词来对还原后的应用层数据内容进行关键词检测,可以准确地识别出数据中的违规信息和内容,能够准确定向地对数据进行过滤,防止敏感数据泄露,网络垃圾信息的传播,提高网络安全性。
在另一实施例中,如图6所示,为本发明另一实施例提供的一种安全通信方法的流程示意图,该方法包括以下步骤:
s1,过滤网关建立与汇聚单元通信的加密通信通道。
下面给出步骤s1的一种优选实施方案,具体包括以下步骤:
s11,过滤网关和汇聚单元分别获取对方的ip地址,并分别在过滤网关和汇聚单元设置地址过滤规则。
具体地,过滤网关从互联网获取本机的ip地址ip1,并发送给汇聚单元;
过滤网关获取汇聚单元的ip地址ip2;
过滤网关设置ip地址过滤规则,允许本机接收ip源地址为ip2的ip数据包;
汇聚单元设置ip地址过滤规则,允许本机接收ip源地址为ip1的ip数据包。
s12,过滤网关和汇聚单元之间执行ip地址过滤,建立用于通信的加密通信通道。
s2,过滤网关接收数据包,还原出数据包的应用层数据内容。
具体地,步骤s2可以细化为以下几个步骤:
s21,过滤网关接收数据包,提取数据包中的目标ip地址、目标端口、源ip地址、源端口和传输层协议号,并据此计算数据包的哈希值。
s22,过滤网关将哈希值与预设的数据表中的哈希值进行匹配,当匹配到相同的哈希值时,过滤掉数据包;当未匹配到相同的哈希值时,还原出数据包的应用层数据内容。
s3,根据内容过滤规则对应用层数据内容进行关键词检测,当检测到预设的关键词时,过滤掉应用层数据内容包含预设的关键词的数据包。
关键词是预先由使用者设置的,并存储在过滤网关的数据表中,以便调用。例如,当需要对网络中的黄暴信息进行过滤时,可以预先设置一些黄暴词组作为检测关键词,当应用层数据内容出现预先设置的黄暴词组时,过滤掉包含检测关键词的数据包。又例如,当需要对包含公司机密信息的内容进行过滤时,可以预先设置一些公司机密信息的关键词,当应用层数据内容出现预先设置的包含公司机密信息的关键词时,过滤掉包含检测关键词的数据包,可以防止公司机密信息泄露。
具体地,步骤s3可以细化为以下几个步骤:
s31,当检测到预设的关键词时,记录关键词。
例如,可以将检测到的全部关键词存储在预设的文件夹中,为了便于后续步骤的分析,可以在检测到关键词后,将关键词所在的句子一并存储。
例如,将关键词设置为“暴力”,那么在对某数据包的应用层数据进行还原后,检测得到了以下两处包含预设的关键词:
……………按原计划对x市进行暴力袭击…………..
……………他身体的周围环绕着一种狂暴力量…………..
那么可以理解,第一个句子中的“暴力”可能意味着恐怖分子的一场暴力袭击计划,是需要过滤掉的信息,而第二个句子中的“暴力”是对“狂暴力量”的误判,可能属于武侠小说的一部分,属于不应该被过滤的信息,因此,可以将检测到的关键词,提取其所在的句子,得到以下两个记录:
记录1:按原计划对x市进行暴力袭击。
记录2:他身体的周围环绕着一种狂暴力量。
将记录1和记录2存储在预设的文件夹中,以便后续调用。
s32,当应用层数据内容全部检测完毕后,根据预设的语义分析算法,对记录的全部关键词进行筛选,当出现误判关键词时,从记录的全部关键词中去除误判关键词,并将筛选完毕后剩下关键词作为待过滤关键词。
具体地,根据语义分析算法为依次对全部关键词进行处理,提取各关键词之前的一个紧邻的第一字符;
判断第一字符是否能与关键词组合成新的词组,当结果为是时,提取关键词之后的一个紧邻的第二字符;
判断关键词是否能与第二字符组合成新的词组,当结果为是时,则关键词为误判关键词。依次对全部记录进行分析,预设的语义分析算法具体实现方式为:首先提取关键词的前一个字符a,判断a与关键词是否能组合成新的词组,当可以组合成新词组时,提取关键词的后一个字符b,判断b与关键词是否能组合成新的词组,当可以组合成新词组时,得到该关键词为误判关键词。
下面以上述记录1和记录2为例,进行说明。
记录1中,提取关键词“暴力”的前一个字符“形”,“形暴”或“形暴力”均不是词组,因此,记录1中的“暴力”不是误判关键词,应该被过滤。
记录2中,提取关键词“暴力”的前一个字符“狂”,“狂暴”是词组,因此,再提取关键词“暴力”的后一个字符“量”,“力量”也是词组,因此,判断出记录2中的“暴力”是误判词组,删除记录2。
最终将记录1中的“暴力”作为待过滤关键词。
需要说明的是,如果记录1和记录2属于同一个数据包,那么经过判断,还是有记录1中的关键词需要被过滤,因此该数据包还是会被过滤掉;如果记录1和记录2属于不同的数据包,那么由于记录2已被删除,那么过滤掉的就是记录1所在的数据包,记录2所在的数据包不会被过滤掉。
s33,当待过滤关键词的数量大于预设数量时,过滤掉该数据包。
这一步骤是为了提高过滤的容错率,并根据实际使用需求设置过滤规则。
例如,可以将预设数量设为0,那么假设在某数据包中匹配到了1个关键词,那么经过该步骤的判断,匹配到关键词数量大于0,于是便过滤掉该数据包,也就是说,当预设数量设为0时,只要出现非误判的关键词,该数据包奥就会被过滤掉。
又例如,当数据包中包含海量数据时,可以将预设数量设置为100,那么只有当检测到的关键词大于100时,才会过滤掉该数据包,提高过滤的容错率,能够有效地防止误过滤。
s4,过滤网关将哈希值存储在数据表中。
s5,过滤网关对数据表中哈希值的匹配次数进行监控,当在预设时间间隔内检测到匹配成功次数超过预设次数的哈希值时,向预设接收端发送疑似网络攻击的提示消息。
s6,过滤网关将未被过滤的数据包通过加密通信通道发送给汇聚单元。
本实施例提供的一种安全通信方法,在上一实施例的基础上,通过对数据包还原出的应用层数据进行关键词检测,能够高效地检测出应用层数据内容中所包含的违规关键词,并对这些关键词进行语义分析,提取这些关键词的前一个和后一个字符,判断是否为误判的关键词,可以减少过滤时产生的误判问题,可以使过滤更加准确和可靠,并通过设置数量阈值等处理,可以提高过滤的容错率,能够有效地防止误过滤。
在另一实施例中,如图7所示,为本发明另一实施例提供的一种安全通信系统的结构框架图,该系统包括:过滤网关1和汇聚单元2,在数据传输之前,过滤网关1和汇聚单元2之间分别获取对方的ip地址,过滤网关1和汇聚单元2分别设置各自的地址过滤规则,过滤网关1和汇聚单元2之间分别执行ip地址过滤,建立起用于通信的加密通信通道。
下面对过滤网关1的结构进行进一步说明,过滤网关1具体包括:用于建立与汇聚单元2通信的加密通信通道的通信单元11,用于接收数据包,还原出数据包的应用层数据内容的处理单元12,用于根据预设的内容过滤规则对应用层数据内容进行处理,过滤掉应用层数据内容不符合内容过滤规则的数据包的过滤单元13,通信单元11还用于将未被过滤的数据包通过加密通信通道发送给汇聚单元2。
从上述结构中可以看出,处理单元12和过滤单元13起到了重要的作用,下面对这两个单元进行进一步地说明。
优选地,处理单元12具体用于接收数据包,并提取数据包中的目标ip地址、目标端口、源ip地址、源端口和传输层协议号,并根据数据包的目标ip地址、目标端口、源ip地址、源端口和传输层协议号计算数据包的哈希值,并将哈希值与预设的数据表中的哈希值进行匹配,当匹配到相同的哈希值时,过滤掉数据包;当未匹配到相同的哈希值时,还原出数据包的应用层数据内容。
需要说明的是数据表中的哈希值是由过滤单元13存储在数据表中的,过滤单元13获取处理单元12计算得到的哈希值,并将哈希值存储在数据表中,并对数据表中哈希值的匹配次数进行监控,当在预设时间间隔内检测到匹配成功次数超过预设次数的哈希值时,通过通信单元11向预设接收端发送疑似网络攻击的提示消息。
优选地,过滤单元13具体用于根据内容过滤规则对应用层数据内容进行关键词检测,当检测到预设的关键词时,过滤掉应用层数据内容不符合内容过滤规则的数据包数据包。
当检测到预设的关键词时,记录关键词,并当应用层数据内容全部检测完毕后,根据预设的语义分析算法,依次对全部关键词进行处理,提取各关键词之前的一个紧邻的第一字符,判断第一字符是否能与关键词组合成新的词组,当结果为是时,提取关键词之后的一个紧邻的第二字符,判断关键词是否能与第二字符组合成新的词组,当结果为是时,则关键词为误判关键词,当全部关键词处理完毕后,从记录的全部关键词中去除误判关键词,并将筛选完毕后剩下的关键词作为待过滤关键词,并当待过滤关键词的数量大于预设数量时,过滤掉数据包。
本实施例提供的一种安全通信系统,通过在过滤网关1与汇聚单元2之间建立通信的加密通信通道,可以确保过滤网关1和汇聚单元2之间的信息传输安全,并通过过滤网关1还原出数据包的应用层内容,根据预设的内容过滤规则对数据包进行过滤,实现了对包含不良信息和特定信息的数据包进行过滤,避免用户使用的终端接收到包含有信息威胁的数据包,保证了用户的信息安全,还可以根据用户的需求设置需要过滤的内容,可以根据客户的需求进行定制化过滤,进一步提高信息的安全性,有效的防范了网络中的信息威胁。
在另一实施例中,如图8所示,为本发明另一实施例提供的一种安全通信系统的网络拓扑图,下面结合图8对该系统的网络连接架构进行说明。
过滤网关1从网络中获取到数据后,在内部对数据进行过滤,然后与汇聚单元之间建立加密的通信通道,通过该通道来传输数据,保证数据的安全性。
图中以一个过滤网关1为例,连接有多个汇聚层设备,这些汇聚层设备可以理解为汇聚单元,例如交换机2,每个交换机2与接入层设备3或多台终端4进行数据交换,这只是网络架构的一种优选方案,实际可以有其他的组网方式,例如网状网络拓扑、星装网络拓扑等。
当过滤网关1的处理能力不足时,可以对过滤网关1进行扩容、组网。
读者应理解,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!