专利名称:多级网络结构及其数据传输方法
技术领域:
本发明涉及网络安全技术,更具体地说,涉及多级网络及其数据传输方法。
背景技术:
网络安全是网络技术中的一个重要方面,尤其对于一些重要的网络,比如政府部 门、专业数据库等来说,网络安全显得尤为重要。对于网络安全来说,将网络尽可能地与外 界隔离是阻断外部攻击、消除网络安全隐患的最佳方式,但是对于服务或者公益性质的网 络来说,其存在的目的就是为了提供各种服务,因此是不肯能将它们与外界隔离的。
发明内容
本发明旨在提供一种多级网络及其数据传输方法,能很好地解决网络安全的问 题。根据本发明的一方面,提供一种多级网络结构,包括核心网络,核心网络执行核心数据处理,核心网络是一个物理上隔绝的独立网 络;外围网络,通过网闸与核心网络建立逻辑连接,由网闸对核心网络与外围网络之 间的数据传输进行授权验证,外围网络执行非核心数据处理,外围网络具有对外接口,与外 部网络进行数据交换,对外接口进行数据采集;映射装置,建立核心网络的核心数据处理与外围网络的非核心数据处理之间的映 射关系,将核心网络执行核心数据处理使用的核心接口映射到外围网络的对外接口 ;将经 过网间授权验证后的数据通过逻辑连接映射到核心网络中相应的核心接口进行核心数据 处理;以及将核心数据处理的处理结果映射到对外接口 ;数据格式转换装置,将对外接口采集的数据进行格式转换,转换成预定的格式后 提供给网间,由网间对数据进行授权验证。根据一个实施例,网闸对核心网络与外围网络之间的数据传输进行授权验证包括 以IP地址和MAC地址绑定方式进行身份验证。核心网络可以包括决策机构网络,外围网络包括专业网络。或者,核心网络可以包 括市级政府网络,外围网络可以包括区级和更低级别的政府网络。根据本发明的另一方面,提供一种多级网络结构的数据传输方法,该多级网络包括核心网络和外围网络,核心网络执行核心数据处理,核心网络是一个物理上隔绝的独立 网络,外围网络,通过网闸与核心网络建立逻辑连接,由网闸对核心网络与外围网络之间的 数据传输进行授权验证,外围网络执行非核心数据处理,外围网络具有对外接口,与外部网 络进行数据交换,该方法包括建立核心网络的核心数据处理与外围网络的非核心数据处理之间的映射关系;将核心网络执行核心数据处理使用的核心端口映射到外围网络的对外接口 ;对外接口采集数据;
将对外接口采集的数据进行格式转换,转换成预定的格式后提供给网闸;网间对数据进行授权验证,通过授权验证后利用所述逻辑连接,将数据映射到核 心网络中相应的核心接口进行核心数据处理;将核心数据处理的处理结果映射到对外接口。根据一个实施例,网闸对核心网络与外围网络之间的数据传输进行授权验证包括 以IP地址和MAC地址绑定方式进行身份验证。核心网络可以包括决策机构网络,外围网络包括专业网络。或者,核心网络可以包 括市级政府网络,外围网络可以包括区级和更低级别的政府网络。采用本发明的技术方案,通过配置多级网络,将核心网络与外界进行物理隔离,仅提供由网闸控制的逻辑连接,确保了核心网络的数据安全。同时,外围网络可以提供对外接 口,保持与外部网络连通的能力。
图1揭示了根据本发明的一实施例的多级网络结构的网络结构图;图2揭示了根据本发明的一实施例的多级网络结构的数据传输方法的流程图。
具体实施例方式在本发明的技术方案中,利用到了网闸,首先介绍一下网闸的工作原理网闸源自Sneaker-NET技术,在Sneaker-NET中,由一个人来操作,另外包括两个 网络不可信网络和可信网络,这两个网络物理隔断,在大多数Sneaker-NET方案中,也有 一个独立的计算机,或者一个与两个网络分离的DMZ区域,用于内容检查。采用Sneaker-NET技术后,网络信息流如下1)该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。2)该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。检测包括(不仅仅 这些)病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。3)如果内容检测为不安全或非法,它们将被丢弃;如果内容是安全和合法的,此 人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。4)信息从可信网络传输到不可信网络将也用相似的流程。在Sneaker-NET技术中,没有人可以从不可信的网络访问和操作控制可信网络上 的计算机,所有允许到可信网络的数据都在一个安全的环境中经过详细的审查,这是从不 安全环境到安全环境信息传输的一个最安全的方法。网闸技术就是基于这样的一个机理发展并实现的一种安全信息交换技术。在 Sneaker-NET中,人的作用是在两个网络之间进行低速的手工交换数据,而在采用网闸技术 的设备中,用一个快速电子开关来实现这一功能;用在SSneaker-NET中做数据交换的磁介 质,在网闸技术中则用存储设备来代替。在某一时刻,电子开关只能连接到其中的一个网 络,其它的硬件和软件实施则类似于Sneaker-NET的装置。对于可信网络和不可信网络有连接的网络,如防火墙,黑客可以使用各种方法,通 过连接并最终控制可信网络。然而,网间技术可以创建一个这样的环境,即两个网络物理断 开,但却逻辑相连的环境。网闸技术在这两个网络之间创建了一个物理隔断,这意味着网络数据包不能从一个网络流向另外一个网络,并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接,从而杜绝黑客控制可信网络的情况发生。同SSneaker-NET即使类似,网闸技术除可以实现物理隔断外,还可以允许可信网 络和不可信网络之间的数据、资源和信息的安全交换。网闸技术的突出优点在于,物理隔断使可信网络安全,而逻辑连接使我们可以在 线式访问不可信网络。通过网闸技术,特别是反射网闸技术,可以将我们的核心业务系统和 因特网物理隔离开,保护它们免受各类已知甚至未知的网络威胁和攻击。结合图1所示,本发明提出一种多级网络结构,包括核心网络10,核心网络10执行核心数据处理,核心网络10是一个物理上隔绝的独
立网络;外围网络11,通过网闸12与核心网络10建立逻辑连接,由网闸12对核心网络10 与外围网络11之间的数据传输进行授权验证,外围网络11执行非核心数据处理,外围网络 11具有对外接口,与外部网络进行数据交换,对外接口进行数据采集;映射装置13,建立核心网络10的核心数据处理与外围网络11的非核心数据处理 之间的映射关系,将核心网络10执行核心数据处理使用的核心接口映射到外围网络11的 对外接口 ;将经过网闸12授权验证后的数据通过逻辑连接映射到核心网络10中相应的核 心接口进行核心数据处理;以及将核心数据处理的处理结果映射到对外接口 ;数据格式转换装置14,将对外接口采集的数据进行格式转换,转换成预定的格式 后提供给网闸12,由网闸12对数据进行授权验证。为了确保安全性,网闸12对核心网络10与外围网络11之间的数据传输进行授权 验证可以包括以IP地址和MAC地址绑定方式进行身份验证。在实际的应用中,可以将决策机构网络配置为核心网络,而将各种专业网络配置 为外围网络。或者,可以将安全性要求较高的市级政府网络配置为核心网络,而将安全性相 对要求较低的区级和更低级别的政府网络配置为外围网络。参考图2所示,揭示了根据本发明的一实施例的多级网络结构的数据传输方法的 流程图。该多级网络结构的数据传输方法应用于一种多级网络,该多级网络包括核心网络 和外围网络,核心网络执行核心数据处理,核心网络是一个物理上隔绝的独立网络,外围网 络,通过网闸与核心网络建立逻辑连接,由网闸对核心网络与外围网络之间的数据传输进 行授权验证,外围网络执行非核心数据处理,外围网络具有对外接口,与外部网络进行数据 交换,该方法包括21.建立核心网络的核心数据处理与外围网络的非核心数据处理之间的映射关 系;22.将核心网络执行核心数据处理使用的核心端口映射到外围网络的对外接口 ;23.对外接口采集数据;24.将对外接口采集的数据进行格式转换,转换成预定的格式后提供给网闸;25.网间对数据进行授权验证,通过授权验证后利用逻辑连接,将数据映射到核心 网络中相应的核心接口进行核心数据处理;26.将核心数据处理的处理结果映射到对外接口。
为了确保安全性,网闸对核心网络与外围网络之间的数据传输进行授权验证可以包括以IP地址和MAC地址绑定方式进行身份验证。在实际的应用中,可以将决策机构网络配置为核心网络,而将各种专业网络配置 为外围网络。或者,可以将安全性要求较高的市级政府网络配置为核心网络,而将安全性相 对要求较低的区级和更低级别的政府网络配置为外围网络。采用本发明的技术方案,通过配置多级网络,将核心网络与外界进行物理隔离,仅 提供由网闸控制的逻辑连接,确保了核心网络的数据安全。同时,外围网络可以提供对外接 口,保持与外部网络连通的能力。
权利要求
一种多级网络结构,其特征在于,包括核心网络,所述核心网络执行核心数据处理,所述核心网络是一个物理上隔绝的独立网络;外围网络,通过网闸与所述核心网络建立逻辑连接,由所述网闸对所述核心网络与外围网络之间的数据传输进行授权验证,所述外围网络执行非核心数据处理,所述外围网络具有对外接口,与外部网络进行数据交换,所述对外接口进行数据采集;映射装置,建立所述核心网络的核心数据处理与外围网络的非核心数据处理之间的映射关系,将所述核心网络执行核心数据处理使用的核心接口映射到所述外围网络的对外接口;将经过网闸授权验证后的数据通过所述逻辑连接映射到所述核心网络中相应的核心接口进行核心数据处理;以及将核心数据处理的处理结果映射到所述对外接口;数据格式转换装置,将对外接口采集的数据进行格式转换,转换成预定的格式后提供给所述网闸,由所述网闸对所述数据进行授权验证。
2.如权利要求1所述的多级网络结构,其特征在于,所述网闸对所述核心网络与外围 网络之间的数据传输进行授权验证包括以IP地址和MAC地址绑定方式进行身份验证。
3.如权利要求1所述的多级网络结构,其特征在于,所述核心网络包括决策机构网络, 所述外围网络包括专业网络。
4.如权利要求1所述的多级网络结构,其特征在于,所述核心网络包括市级政府网络, 所述外围网络包括区级和更低级别的政府网络。
5.一种多级网络结构的数据传输方法,其特征在于,所述多级网络包括核心网络和外 围网络,所述核心网络执行核心数据处理,所述核心网络是一个物理上隔绝的独立网络,所 述外围网络,通过网闸与所述核心网络建立逻辑连接,由所述网闸对所述核心网络与外围 网络之间的数据传输进行授权验证,所述外围网络执行非核心数据处理,所述外围网络具 有对外接口,与外部网络进行数据交换,所述方法包括建立所述核心网络的核心数据处理与外围网络的非核心数据处理之间的映射关系;将所述核心网络执行核心数据处理使用的核心端口映射到所述外围网络的对外接Π ;所述对外接口采集数据;将对外接口采集的数据进行格式转换,转换成预定的格式后提供给所述网闸;所述网间对所述数据进行授权验证,通过授权验证后利用所述逻辑连接,将所述数据 映射到所述核心网络中相应的核心接口进行核心数据处理;将核心数据处理的处理结果映射到所述对外接口。
6.如权利要求5所述的多级网络结构的数据传输方法,其特征在于,所述网闸对所述 核心网络与外围网络之间的数据传输进行授权验证包括以IP地址和MAC地址绑定方式进 行身份验证。
7.如权利要求5所述的多级网络结构,其特征在于,所述核心网络包括决策机构网络, 所述外围网络包括专业网络。
8.如权利要求5所述的多级网络结构,其特征在于,所述核心网络包括市级政府网络, 所述外围网络包括区级和更低级别的政府网络。
全文摘要
本发明揭示了一种多级网络结构,包括核心网络,执行核心数据处理,核心网络是一个物理上隔绝的独立网络;外围网络,通过网闸与核心网络建立逻辑连接,由网闸对核心网络与外围网络之间的数据传输进行授权验证,外围网络执行非核心数据处理,具有对外接口,与外部网络进行数据交换,进行数据采集;映射装置,建立核心数据处理与非核心数据处理之间的映射关系,将核心接口映射到对外接口;将经过网闸授权验证后的数据通过逻辑连接映射到相应的核心接口进行核心数据处理;以及将核心数据处理的处理结果映射到对外接口;数据格式转换装置,将对外接口采集的数据进行格式转换,转换成预定的格式后提供给网闸,由网闸对数据进行授权验证。
文档编号H04L29/06GK101815059SQ20091004636
公开日2010年8月25日 申请日期2009年2月19日 优先权日2009年2月19日
发明者崔永发, 李绍锟, 王占宏, 顾国强, 高志刚 申请人:上海众恒信息产业股份有限公司