网关设备及数据传输方法与流程

本发明涉及网络安全设备技术领域，具体而言，涉及一种网关设备及数据传输方法。

背景技术：

现代信息系统网络中，不同的网络域面临的安全威胁不同。公共访问网络由于不对接入终端进行安全控制等原因，存在比内部网络更多的安全威胁。但是在实际应用中，不可避免的出现公共访问网络与内部访问网络需要数据交换的情况。在严格要求“物理隔离”的网络环境中，传统实现方式是使用人工交换数据。但随着交换数据量的增多及新型业务应用的部署，传统方式无法满足现代应用需求。而通过防火墙等安全网关方式实现数据交换，由于其实现协议层数据交互，很难在数据段中识别出恶意代码特征并阻断。因此如何提供一种可解决上述问题的方案以成为本领域技术人员亟需解决的技术问题。

技术实现要素：

为了克服上述现有技术中的不足，本发明提供一种网关设备及数据传输方法，通过阻断协议层数据交互，以提高数据传输的安全性，进而解决上述问题。

为了实现上述目的，本发明较佳实施例所提供的技术方案如下所示：

本发明较佳实施例提供一种网关设备，所述网关设备通过网络与第一用户终端及第二用户终端通信连接，所述网关设备包括控制模块及转换模块，其中：

所述转换模块与所述控制模块连接，用于接收所述第一用户终端传输的加密报文并将在第一预设时段内接收的该报文转换为第一文件以发送至所述控制模块；

所述控制模块包括接收/发送单元及与所述接收/发送单元连接的加密/解密单元；

所述加密/解密单元用于根据预设密钥策略对接收的第一文件解密并加密，所述接收/发送单元用于接收加密后的第一文件，并将加密后的第一文件转发到所述网络中对应的第二用户终端。

在本发明的较佳实施例中，上述控制模块还包括与所述加密/解密单元连接的分割单元及组合单元；

所述分割单元用于根据预设的子文件大小阈值，将接收的第一文件分割为对应的多个子文件，并将多个子文件发送至所述加密/解密单元，以使该加密/解密单元对各子文件根据预设密钥策略解密并加密；

所述组合单元与所述接收/发送单元连接，用于接收加密后的各子文件，并组合成新的第一文件以发送至所述接收/发送单元，以使所述接收/发送单元将组合成的新的第一文件发送至所述网络中对应的第二用户终端。

在本发明的较佳实施例中，上述网关设备还包括与所述控制模块电性连接的用于导入或导出数据信息的输入/输出模块，所述数据信息包括所述第一用户终端对应的密钥信息、第二用户终端对应的密钥信息、加密/解密规则、传输的所述第一文件和/或第二文件的大小等中的至少一种。

在本发明的较佳实施例中，上述网关设备还包括与所述控制模块连接的电源模块，以为所述控制模块持续提供电能，所述电源模块包括第一电源单元及第二电源单元，其中，所述第二电源单元用于在所述第一电源单元无法为所述控制模块提供电能时接管供电工作，以使该控制模块持续处于上电状态。

在本发明的较佳实施例中，上述控制模块还包括与所述接收/发送单元连接的数据转换单元，所述数据转换单元还用于将所述第一文件根据预设格式策略进行转换，以使所述接收/发送单元将转换后的第一文件发送到所述网络中对应的第二用户终端。

在本发明的较佳实施例中，上述网关设备还包括与所述控制模块连接的用于根据报警信号发出报警提示的报警模块，其中，所述报警信号包括所述控制模块根据在检测到所述电源模块供电故障时生成的第一报警信号，所述控制模块根据所述转换模块与所述控制模块的通信中断生成的第二报警信号。

本发明的较佳实施例还提供一种数据传输方法，应用于上述的网关设备，所述网关设备通过网络与第一用户终端及第二用户终端通信连接；所述方法包括：

接收所述第一用户终端传输的加密报文并将在第一预设时段内接收的该报文转换为第一文件；

根据预设密钥策略对所述第一文件解密并加密；

将加密后的第一文件转发到所述网络中对应的第二用户终端。

在本发明的较佳实施例中，上述将加密后的第一文件转发到所述网络中对应的第二用户终端的步骤，包括：

根据预设的子文件大小阈值，将接收的第一文件分割为对应的多个子文件；

根据预设密钥策略对各子文件解密并加密；

将加密后的各子文件组合成新的第一文件，并将组合成的新的第一文件发送至所述网络中对应的第二用户终端。

在本发明的较佳实施例中，上述根据预设密钥策略对所述第一文件解密并加密的步骤之前，所述方法还包括：

配置密钥策略，以作为所述预设密钥策略存储在所述网关设备，所述密钥策略包括：

将所述第一用户终端对报文进行加密的密钥作为所述网关设备解密的密钥，将所述第二用户终端解密所接收的第一文件的密钥作为所述网关设备加密的密钥。

在本发明的较佳实施例中，上述将加密后的第一文件转发到所述网络中对应的第二用户终端的步骤，包括：

将所述第一文件根据预设格式策略进行转换，以使转换后的第一文件可发送至所述网络中对应的第二用户终端。

与现有技术相比，本发明提供的网关设备及数据传输方法至少具有以下有益效果：本发明提供的方案通过转换模块将第一用户终端发送的加密报文转换为第一文件，控制模块中的加密/解密单元根据预设密钥策略对接收的第一文件解密并加密，控制模块中的接收/发送单元接收加密后的第一文件，并将加密后的第一文件转发到所述网络中对应的第二用户终端。该方案阻断了第一用户终端与第二用户终端的协议连接，保持物理的分离，实现数据的倒换，有助于提高网络之间数据传输的安全性。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举本发明较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍。应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明较佳实施例提供的网关设备与第一用户终端、第二用户终端的交互示意图。

图2为本发明较佳实施例提供的网关设备的方框示意图之一。

图3为本发明较佳实施例提供的网关设备的方框示意图之二。

图4为本发明较佳实施例提供的是数据传输方法的流程示意图。

图标：10-第一用户终端；20-第二用户终端；30-第一网络；40-第二网络；100-网关设备；110-控制模块；111-接收/发送单元；112-加密/解密单元；113-分割单元；114-组合单元；115-数据转换单元；120-转换模块；121-第一转换单元；122-第二转换单元；130-电源模块；131-第一电源单元；132-第二电源单元；140-报警模块；150-输入/输出模块。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。此外，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“设置”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接。可以是机械连接，也可以是电性连接。可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

下面结合附图，对本发明的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

第一实施例：

请参照图1，图1为本发明较佳实施例提供的网关设备100与第一用户终端10、第二用户终端20的交互示意图。本实施例中，该网关设备100可以通过网络与至少一个第一用户终端10及至少一个第二用户终端20通信连接，以构成数据传输系统。其中，该网络可以包括第一网络30及第二网络40。例如，至少一个第一用户终端10通过第一网络30与网关设备100连接，至少一个第二用户终端20通过第二网络40与网关设备100连接。

进一步地，所述第一网络30可以与第二网络40相同，也可以不同。例如，所述第一网络30为内外，所述第二网络40为外网，或者第一网络30和第二网络40均为外网等，这里对第一网络30和第二网络40的类型不作具体限定。

在本实施例中，若第一网络30中的第一用户终端10需要向第二网络40中对应的一个第二用户终端20发送数据或进行数据交互，第一用户终端10发送的加密数据需要通过网关设备100转换为文件形式的数据，并解密再重新加密处理，以将重新加密后的文件传输至第二用户，而重新加密的密钥为与第二用户预先关联的密钥，使得第二用户可对重新加密后的文件进行解密，以提高数据在传输过程中的安全。

请参照图2，本发明较佳实施例提供的网关设备100的方框示意图之一。本发明的较佳实施例提供的网关设备100可以应用于上述的数据传输系统。该网关设备100通过网络与第一用户终端10及第二用户终端20通信连接，以对接收的第一用户终端10发送的报文或第二用户终端20发送的报文进行处理，通过阻断第一用户终端10与第二用户终端20协议连接，以实现纯数据(或文件)的交换，进而提高输出传输数据的安全性。其中，该网关设备100可以包括控制模块110及转换模块120，控制模块110可以包括接收/发送单元111及加密/解密单元112。

在本实施例中，转换模块120与控制模块110连接，用于接收第一用户终端10传输的加密报文并将在第一预设时段内接收的该报文转换为第一文件以发送至所述控制模块110。该第一预设时间段可根据实际情况进行设置，这里不作具体限定。

可理解地，第一用户终端10通过传输加密报文，可提高该报文在传输过程中的安全性。其中，网关设备100上配置有第一用户终端10对该报文加密的密钥，使得网关设备100可对该报文进行解密。

其中，第一用户终端10与第二用户终端20是相对的，也就是该转换模块120还可以用于接收第二用户传输的加密报文并将在第二预设时段内接收的该报文转换为第二文件以发送至所述控制模块110。该第二预设时间段可以与第一预设时间段相同，也可以不同，这里不作具体限定。

在本实施例中，加密/解密单元112用于根据预设密钥策略对接收的第一文件解密并加密。接收/发送单元111用于接收加密后的第一文件，并将加密后的第一文件转发到所述网络中对应的第二用户终端20。

可选地，该预设密钥策略包括：将第一用户终端10对报文进行加密的密钥作为所述网关设备100解密的密钥，将所述第二用户终端20解密所接收的第一文件的密钥作为所述网关设备100加密的密钥。也就是该预设密钥可由管理人员基于第一用户终端10的加密密钥及第二用户终端20的解密密钥配置得到。

第二用户终端20接收经网关设备100加密的第一文件，因加密密钥为预先约定的密钥，第二用户终端20便可对接收的第一文件进行解密，也就可安全接收到第一用户发送的有效文件，避免了第二用户终端20无法对接收的第一文件解密的情况发生。

第二实施例：

请参照图3，是本发明较佳实施例提供的网关设备100的方框示意图之二。与第一实施提供的网关设备100相比，第二实施例提供的网关设备100中的转发模块可以包括第一转换单元121及第二转换单元122，控制模块110还可以包括分割单元113及组合单元114。其中，在同一时刻，第一转换单元121和第二转换单元122中可以仅有其中一个在接收用户终端发送的数据，也就是同一时刻，数据传输的方向是单向的，以保持物理的分离，实现数据的倒换，进而提高数据传输的安全性。

在本实施例中，控制模块110、第一转换单元121与第二转换单元122可以三者具有相同或类似的硬件结构。例如，控制模块110可以设置1个10/100/1000m自适应rj-45以太管理接口、1个rs232管理串口、2个usb资源接口，在同一时刻保证只有一个传输方向可达，以保证第一网络30、第二网络40的隔离。第一转换单元121或第二转换单元122可以包括2个10/100/1000m自适应rj-45以太网业务接口、1个10/100/1000m自适应rj-45以太管理接口、1个rs232管理串口、2个usb资源接口。其中，该以太业务接口用于连接第一网络30，接收第一网络30中的第一用户终端10发送的报文并格式化为第一文件以待处理。

进一步地，控制模块110、第一转换单元121、第二转换单元122均可以包括处理器及存储器等硬件，其硬件可以为相同型号，也可以为不同型号。例如，该处理器为1个英特尔cpu，该存储器包括1g容量的ddr3内存颗粒及4g电子磁盘。该处理器用于交互数据(例如接收的报文、第一文件等)的处理，该存储器用于存储第一文件、密码策略等。

具体地，例如，第一转换单元121与分割单元113连接，第一转换单元121可用于接收第一用户终端10传输的加密报文并将在第一预设时段内接收的该报文转换为第一文件以发送至分割单元113，以进行协议终结，实现数据落地。该分割单元113用于根据预设的子文件大小阈值，将接收的第一文件分割为对应的多个子文件，并将多个子文件发送至所述加密/解密单元112，以使该加密/解密单元112对各子文件根据预设密钥策略解密并加密。该组合单元114与接收/发送单元111连接，用于接收加密后的各子文件，并组合成新的第一文件以发送至所述接收/发送单元111，以使所述接收/发送单元111将组合成的新的第一文件发送至所述网络中对应的第二用户终端20。

比如，预设的子文件大小阈值为10mb，第一转换单元121在第一预设时间段内接收转换成第一文件的大小为100mb，那么分割单元113便会将100mb大小的第一文件根据预设分割规则划分为10个子文件，且分割后的每个子文件大小为10mb。加密/解密单元112便会根据预设密码策略，对各子文件进行解密并加密，然后将加密后的各子文件发送至组合单元114。组合单元114接收到加密后的各子文件后，根据预设组合规则进行组合，形成新的第一文件。其中，预设分割规则与预设组合规则相对应，比如可根据接收的时间顺序将转换成的第一文件进行分割，然后根据该时间顺序进行组合，以使组合后的第一文件时序与分割前的第一文件的时序相同。

值得说明的是，若成第一文件的大小并非预设的子文件大小阈值，便将最后不足该子文件大小阈值大小的文件作为单独被划分的文件。比如，若第一文件的大小为99mb，那么分割单元113便会将该第一文件分割为9个10mb的子文件及一个9mb的子文件。

又例如，第二转换单元122与分割单元113连接，第二转换单元122可用于接收第二用户传输的加密报文并将在第二预设时段内接收的该报文转换为第二文件以发送至分割单元113，以进行协议终结，实现数据落地。该分割单元113用于根据预设的子文件大小阈值，将接收的第二文件分割为对应的多个子文件，并将多个子文件发送至所述加密/解密单元112，以使该加密/解密单元112对各子文件根据预设密钥策略解密并加密。该组合单元114与接收/发送单元111连接，用于接收加密后的各子文件，并组合成新的第二文件以发送至所述接收/发送单元111，以使所述接收/发送单元111将组合成的新的第二文件发送至所述网络中对应的第一用户终端10。

在本实施例中，所述控制模块110还可以包括数据转换单元115。该数据转换模块120可与接收/发送单元111及组合单元114连接，用于根据预设格式策略对组合后的第一文件进行转换。

例如，该数据转换单元115可将组合后的第一文件的目的地址组入该第一文件，该目的地址也就是需要发送的第二网络40中的第二用户终端20的地址信息。通过将目的地址组入第一文件，使得网关设备100可将该第一文件发送至第二网络40中对应的第二用户终端20。

在本实施例中，网关设备100还包括与所述控制模块110电性连接的用于导入或导出数据信息的输入/输出模块150，所述数据信息包括所述第一用户终端10对应的密钥信息、第二用户终端20对应的密钥信息、加密/解密规则、传输的所述第一文件和/或第二文件的大小等中的至少一种。

在本实施例中，该网关设备100还可以包括与该控制模块110连接的输入/输出模块150。该输入/输出模块150与控制模块110电性连接，用于导入或导出数据信息。例如，管理员可通过输入/输出模块150向网关设备100导入密码策略以作为预设密码策略，可以导出网关设备100传输的文件记录，该记录包括但不限于传输文件的大小、传输时间、源地址及目的地址、传输成功、传输失败等信息。该输入/输出模块150可以包括但不限于usb接口、rj-45管理及数据接口等，这里不作具体限定。

在本实施例中，网关设备100还可以包括与控制模块110连接的电源模块130，用于为控制模块110持续提供电能。该电源模块130可以包括第一电源单元131及第二电源单元132，其中，所述第二电源单元132用于在所述第一电源单元131无法为所述控制模块110提供电能时接管供电工作，以使该控制模块110持续处于上电状态，以保持网关设备100持续供电。其中，第一电源单元131和第二电源单元132可以为型号相同的电源管理芯片，也可以为不同型号的电源管理芯片，这里不作具体限定。

可理解地，第一电源单元131及第二电源单元132该电源管理芯片协同工作，以实现双电源冗余备份。例如，将电网(普通市电，比如220伏特的交流电或直流电等)作为该网关设备100的供电电源，该供电电源通过第一电源单元131处理(比如整流、滤波、升/降压等)形成供控制模块110使用的电源，若第一电源单元131出现故障，便由第二电源单元132接管第一电源单元131对该供电电源的处理工作。

在本实施例中，该网关设备100还可以包括与所述控制模块110连接报警模块140。该报警模块140用于根据报警信号发出相应的报警提示。其中，该报警信号包括但不限于控制模块110根据在检测到电源模块130供电故障时(比如，电源模块130硬件损坏、散热异常导致温度过超过阈值，该阈值可根据实际情况进行设置)生成的第一报警信号，控制模块110根据转换模块120与控制模块110的通信中断生成的第二报警信号。比如，检测到网关设备100内的硬件或软件出现故障、文件传输失败、电源模块130出现故障等，便生成相应的报警信号，以使报警模块140发出报警提示。

进一步地，该报警模块140可以是一个或多个指示灯，可通过发出不同的颜色进行报警提示。该报警模块140还可以包括发声单元，比如喇叭或蜂鸣器等，可通过发出不同的声音进行报警提示。

第三实施例：

请参照图4，是本发明较佳实施例提供的数据传输方法的流程示意图。本发明提供的数据传输方法可以应用于上述实施例中的网关设备100，该网关设备100通过网络与第一用户终端10及第二用户终端20通信连接。该方法通过阻断第一用户终端10与第二用户终端20的协议连接，保持物理的分离，以提高数据传输的安全性。可理解地，经网关设备100处理，第一用户终端10与第二用户终端20的数据传输仅为纯数据的交换，也就是通过协议分离，数据落地以提高数据传输的安全性。

下面将对图4中所示的数据传输方法各步骤进行详细阐述，在本发明较佳实施例中，该数据传输方法可以包括以下步骤：

步骤s210，接收第一用户终端10传输的加密报文并将在第一预设时段内接收的该报文转换为第一文件。

在本实施例中，步骤s210可由上述的第一转换单元121执行，具体的执行内容可参照对第一转换单元121的详细描述，这里不再赘述。

步骤s220，根据预设密钥策略对所述第一文件解密并加密。

在本实施例中，步骤s220可由上述的加密/解密单元112执行，具体的执行内容可参照对加密/解密单元112的详细描述，这里不再赘述。

在本实施例中，在步骤s220之前，该方法还可以包括：配置密钥策略，以作为所述预设密钥策略存储在所述网关设备100。所述密钥策略包括：将所述第一用户终端10对报文进行加密的密钥作为所述网关设备100解密的密钥，将所述第二用户终端20解密所接收的第一文件的密钥作为所述网关设备100加密的密钥。具体地，该步骤可由上述的输入/输出模块150执行，具体的执行内容可参照对输入/输出模块150的详细描述，这里不再赘述。

进一步地，该密钥策略还包括加解密算法。比如，可将第一用户终端10接收的文件使用数据加密解密(dataencryptionalgorithm，des)算法进行加密/解密，将发送至第二用户终端20的文件使用高级加密解密标准(advancedencryptionstandard，aes)算法进行加密/解密。

步骤s230，将加密后的第一文件转发到所述网络中对应的第二用户终端20。

在本实施例中，步骤s230可以包括：根据预设的子文件大小阈值，将接收的第一文件分割为对应的多个子文件；根据预设密钥策略对各子文件解密并加密；将加密后的各子文件组合成新的第一文件，并将组合成的新的第一文件发送至所述网络中对应的第二用户终端20。

进一步地，步骤s230还可以包括：将所述第一文件根据预设格式策略进行转换，以使转换后的第一文件可发送至所述网络中对应的第二用户终端20。具体地，该步骤可由上述的数据转换单元115执行，具体的执行内容可参照对数据转换单元115的详细描述，这里不再赘述。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现，基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中，包括若干指令用以使得网关设备100执行本发明各个实施场景所述的方法。

综上所述，本发明提供一种网关设备及数据传输方法，通过转换模块将第一用户终端发送的加密报文转换为第一文件，控制模块中的加密/解密单元根据预设密钥策略对接收的第一文件解密并加密，控制模块中的接收/发送单元接收加密后的第一文件，并将加密后的第一文件转发到网络中对应的第二用户终端。该方案阻断了第一用户终端与第二用户终端的协议连接，保持物理的分离，实现数据的倒换，有助于提高网络之间数据传输的安全性。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。