一种基于单向分光的无状态端到端连接的内外网数据实时交换系统的制作方法

本发明涉及网络通信技术领域，特别是涉及一种基于单向分光技术的上下行分离的无状态端到端连接的内外网数据实时交换系统。

背景技术：

随着计算机通讯技术与互联网的迅速发展，越来越多的企业或政府部门都通过计算机网络进行办公，单位内部网络中建设了大量的信息系统，并产生了海量的数据。随着移动互联网的发展，为了能够达到提高办公效率，提高管理水平，提高决策能力，降低成本，提高效益的目的，内部网络的办公模式成为了一个企业整体运营的非常重要的一部分，在现代高效管理企业中已经是非常普遍的应用了。但是这种内部网络办公模式给办公带来了全新体验的同时也引入了新的网络不安全性，因此企业对内部网络的安全性要求也越来越高。传统的内外网数据实时交换主要采用vpn，即在公用网络上建立专用网络，进行加密通讯。主要是通过创建vpn连接到某企业的vpn服务器，通过单行隧道服务访问企业网络的内部资源。这种单行隧道服务的访问内网的方法很容易受到arp攻击、dns欺骗等，其安全性与稳定性将大打折扣。

为了解决vpn连接的安全性与稳定性，2012年，中国专利文献“一种访问vpn服务端内网资源的方法及装置”（cn103023898b），提出了建立虚拟ip的方法，解决了由于地址重叠造成的用户主机无法正常访问vpn服务端内网资源；2012年，中国专利文献“一种用户端通过vpn访问内网的系统及方法”（cn103840994a），主要是用户端与内网vpn服务器联络，在用户端建立vpn隧道，通过应用程序进程内的数据拦截系统及方法，提高了安全性；2016年，中国专利文献“基于轻量级安全虚拟专用网的智能分流网关”（cn106330653a），通过虚拟专用网解决企业移动ip网络层安全问题，提高了ip网络的安全传输性能。

技术实现要素：

本发明提供一种基于单向分光技术的上下行分离的无状态端到端连接的内外网数据实时交换系统，该内外网数据实时交换系统不同于传统的内外网访问单一的服务平台，在数据传输过程中将内外网访问的互联网连接上下行隧道服务分离并内网部分通过单向分光器物理隔离互联网连接，防止线路上的上下行数据关联探测和分析等。互联网连接时采用随机端口，使传统的基于四元组（源地址／目的地址，源端口／目的端口）的事务分析无法跟踪事务，进一步防止链路的状态跟踪，实现了无状态连接。

本发明的技术方案如下：

基于单向分光的无状态端到端连接的内外网数据实时交换系统包括：

1、请求连接模块，用于用户端（用户端为受本系统装置保护的需要通过互联网访问远端局域网服务的任意联网装置，为本系统和装置的用户）向目的服务请求逻辑连接，本系统对用户端而言是透明的。

2、客户端节点模块，包括加解密模块、上下行数据分离模块、单向分光隔离模块和互联网连接模块等四个子模块。

所述加解密模块包括：重定向服务、加解密服务和无状态隧道服务，加解密模块将用户所有的事务请求通过重定向服务将请求事务内容发送至加解密服务，对其进行加密（加密算法可以任选），再将加密数据发送到无状态隧道服务；所述客户端节点模块的加解密模块中的无状态隧道服务同时分别发起上行隧道连接请求和下行隧道接收请求，并将状态维持到收到数据或者超时。

所述上下行数据分离模块被分为独立的上行隧道服务与下行隧道服务，并设置有陷阱服务器，主要对加密后的用户请求进行传输，并接收来自服务端节点模块的回应数据。在上下行数据分离模块的发送端和接收端都会经过单向分光隔离模块中的单向分光器，所述单向分光器是将原本发送至陷阱服务器的数据复制一份进行实际数据处理，将实际的数据处理和互联网进行隔离，以保证数据处理过程的安全性。在所述单向分光隔离模块的单向分光器分别作用于上行和下行数据分离模块的发送端和接收端。

在发送端，数据被单向分光器复制，被复制的一份到达客户端节点模块的上行陷阱服务器，上行陷阱服务器将数据通过wan1口发送至服务端节点模块的上行隧道服务；另一份则在到达重定向服务后被丢弃，用于维持链路的物理连接信号。

在接收端，分光器将数据复制，一份到达下行陷阱服务器，用于维持互联网连接；另一份到达无状态隧道服务，交由加解密模块作进一步处理。

所述互联网连接模块在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接，用于提供客户端节点模块的互联网通信。

3、服务端节点模块，同样包括互联网连接模块、单向分光隔离模块、上下行数据分离模块与加解密模块等四个子模块。

所述互联网连接模块在互联网中被分为独立的上行隧道服务连接与下行隧道服务连接，用于提供客户端节点模块的互联网通信。

所述上下行数据分离模块被分为独立的上行隧道服务与下行隧道服务，所述上行隧道服务和下行隧道服务均分有内网口和外网口，所述内网口会通过单向分光隔离模块中的单向分光器，在接收端，上行隧道服务会将收到的数据通过分光器复制，原始的一份数据被发送给服务端节点模块中的上行隧道服务中的上行陷阱服务器的接收口，然后上行陷阱服务器处理该数据，被复制的一份数据则被发送至加解密模块作进一步处理。本发明中单向分光器将加密数据进行分流，数据的实际处理被隔离在单向分光器后面，并且网络传输的上下行数据被完全分离，这里放置的陷阱服务器（在上行隧道服务处理数据的是设有地址的上行陷阱服务器），设置有静态互联网地址，专门用于防止未识别流量。未识别流量将由隧道服务转到这里，而隧道本身的信息将发送至加解密模块，进而送至内网目的服务系统；为了保护内网不受攻击，未识别互联网连接事务隔离在dmz区，即可以直接连接网络的两个路由器。所述隧道传输的加密在事务启动时通过协商传输的密钥，每次事务采用的密钥不相同。

所述加解密模块，包括数据处理板和密钥认证控制板，将数据进行加解密处理，以便用户最终访问到内部网络中的目的服务系统。所述数据处理板和密钥认证控制板工作过程包括：

上行隧道服务利用分光器将加密后的用户事务请求数据流量传送至数据处理板，再送至密钥认证控制板进行加解密；所述数据处理板直接连接内网布线系统中信息插座即通信引出端连接器；数据处理板将要传回的数据，发送至密钥认证控制板，通过上下行数据分离模块，然后通过分光器复制一份流量最终发送至客户端节点模块，而密钥认证控制板则丢弃该流量；所述加解密线路和分光器分流线路互不相干。

4、用户访问内部网络中的目的服务系统模块，用于实现用户最初的请求与目的服务系统的逻辑连接建立。

所述客户端节点模块中的加解密模块进一步包括，将加密数据发送到无状态隧道服务，分别发起上行隧道连接请求和下行隧道接收请求，并将状态维持到收到数据或者超时；所述客户端节点模块所使用的ip地址为可以为动态ip地址/静态地址或其他任意互联网接入方式，且设置有陷阱服务器防止非法攻击。所述服务端节点模块的所有互联网节点无任何端口配置，所有服务节点设备对外无端口连接，所有传输层协议被转换为udp传输，转换的udp传输的端口号不作为事务连接判断，仅用于穿越网关和防火墙，对每次事务连接，端口是不确定的，并且无状态维持。

本系统中的各个模块独立工作，互不耦合。

由以上发明内容可知，本发明相比现有技术具有以下优点：

本发明提出了一种基于单向分光的上下行分离的无状态端到端连接的内外网数据实时交换系统及装置，通过区分上下行隧道服务，所有互联网节点无任何固定端口配置，并利用分光器将数据流量分流后再进行数据的实际处理，利用陷阱设备承受所有互联网攻击，保护内网安全，不受arp攻击、dns欺骗等；除此之外，非认证互联网连接事务隔离在dmz区(即用于直接连接网络的路由器)，解决了vpn访问内网的诸多安全问题，提高了内外网数据实时传输交换的安全防护性能。

附图说明

图1为本发明系统运行的流程示意图；

图2为客户端节点模块的内部结构图；

图3为加解密模块的工作过程时序图；

图4为客户端节点模块上行隧道服务对加密后的用户请求进行处理和传输的流程模块；

图5为客户端节点模块下行隧道服务从服务端节点模块接收数据的流程模块；

图6为服务端节点模块的内部结构图；

图7为服务端节点模块中的加解密模块的数据处理板和密钥认证控制板工作过程。

具体实施方式

以下结合附图对发明的技术内容做进行一步说明：

本发明系统及装置运行的主要流程如图1所示，其步骤主要包括：

步骤11:用户请求连接模块，用户向目的服务系统提出连接请求。

所述目的服务系统，是包含用户请求访问的服务的计算机系统，并且该系统处于无法通过互联网络直接访问的内部网络中；所述用户请求，是用户对目的服务系统发送的访问请求，其目的是访问目的服务系统上的特定资源，请求的内容包含目的服务系统的网络地址、端口、特定指令等预先定义的信令。

步骤12:客户端节点模块，其内部结构如图2所示，客户端节点模块包括加解密模块、上下行数据分离模块、单向分光隔离模块、互联网连接模块在内的四个子模块。

步骤12-1：加解密模块。所述加解密模块包括重定向服务31、加解密服务32、无状态隧道服务33，其工作过程时序图如图3所示。重定向服务31接收到用户提出的访问目的服务系统的请求，加解密服务32对其进行加密(加密算法可以任选）；再将加密数据发送到无状态隧道服务33，并由无状态隧道服务33将其发送至客户端节点设备上行隧道服务。在接收数据时，无状态隧道服务33会接收到来自上下行数据分离模块中的下行隧道服务的数据，然后将这些数据发送给加解密服务32进行解密操作，然后通过重定向服务31反馈给用户。

所述重定向服务31，是加解密模块内置的服务，其功能是将接收数据，并且转发给特定的实体，从而实现数据交换。

所述加解密服务32为加解密模块所提供的数据加解密功能，所用密钥由事务启动时通过协议协商传输，且每次事务中的密钥都不相同。

所述无状态隧道服务33，为加解密模块所使用的通信服务，该服务借助重定向服务31将来自加解密服务32的数据根据服务节点模块上行路由器的互联网地址在传输层上用udp协议封装，并发起接收连接隧道请求，发送到上下行数据分离模块的上行隧道服务，维持到收到数据或超时，并接收来自上下行数据分离模块下行隧道服务的udp数据包数据。

所述udp数据包，为转换的传输层协议数据包，用于兼容目前的互联网协议并穿越网关和防火墙，其中所包含的端口号不作为原始用户事务连接的判断，并且对于每次新的用户请求事务连接，该端口号可以根据需要，可以不同，也可相同。

步骤12-2：上下行数据分离模块。所述上下行数据分离模块包括上行隧道服务和下行隧道服务。

所述上行隧道服务对加密后的用户请求进行处理和传输的流程如图4所示，此时客户端节点模块处于任一连接互联网的局域网中。加解密模块中无状态隧道服务向重定向服务发送数据，数据在经过光纤时会通过单向分光隔离模块被分光器复制，被复制的一份到达客户端节点模块的上行陷阱服务器，上行陷阱服务器将数据通过wan1口发送至服务端节点模块的上行隧道服务；另一份则在到达重定向服务后被丢弃。

所述下行隧道服务从服务端节点模块接收数据的流程如图5所示。客户端节点模块互联网连接模块wan2口接收到来自互联网的数据，包括服务端节点模块传输的数据；该数据会被送往客户端节点模块的下行陷阱服务器，此时单向分光隔离模块会将该数据复制，原始的一份到达下行陷阱服务器，用于处理互联网数据；被复制的一份到达无状态隧道服务，交由加解密模块作进一步处理。

步骤12-3：单向分光隔离模块。所述单向分光隔离模块包括单向分光器，该单向分光器将wan1口处原本发送至下行陷阱服务器的数据复制一份通过上下行数据分离模块发往加解密模块进行实际数据处理；或将加解密模块无状态隧道服务原本发送至加解密模块重定向服务的数据在不建立链路连接的条件下复制一份发往上下行数据分离模块上行隧道服务，最终发往服务端节点模块。该模块将实际的数据处理过程和互联网进行隔离，以保证数据处理过程的安全性。

步骤12-4：互联网连接模块。所述互联网连接模块包括一个wan1口和一个wan2口，所述wan1口具有动态的互联网地址或内部的局域网地址，用来从服务端节点模块接收数据；所述wan2口具有动态的互联网地址或内部的局域网地址，用来将数据发送至服务端节点模块。

步骤13:服务端节点模块，其内部结构如图6所示，服务端节点模块包括互联网连接模块、单向分光隔离模块、上下行数据分离模块、加解密模块在内的四个子模块。

步骤13-1：互联网连接模块。所述互联网连接模块包括一个wan1口和一个wan2口，所述wan1口具有静态的互联网地址用来从服务端节点模块接收数据；所述wan2口具有静态的互联网地址用来将数据发送至服务端节点模块。

步骤13-2：单向分光隔离模块。所述单向分光隔离模块包括单向分光器，该单向分光器将wan1口处原本发送至上行陷阱服务器的数据复制一份通过上下行数据分离模块发往加解密模块进行实际数据处理；或将加解密模块数据处理板原本发送至加解密模块密钥认证控制板的数据在不建立逻辑链路的情况下复制一份发往上下行数据分离模块下行隧道服务，最终发往客户端节点模块。该模块将实际的数据处理过程和互联网进行隔离，以保证数据处理过程的安全性。

步骤13-3：上下行数据分离模块。所述上下行数据分离模块包括上行隧道服务和下行隧道服务。

所述上行隧道服务和下行隧道服务对数据进行处理和传输的流程与客户端节点模块上下行数据分离模块基本相同。

步骤13-4：加解密模块。所述加解密模块包括数据处理板和密钥认证控制板，将数据进行加解密处理，以便用户最终访问到内部网络中的目的服务系统。

所述数据处理板和密钥认证控制板工作过程如图7所示。服务端节点模块上行隧道服务利用分光器将加密后的用户事务请求数据流量传送至数据处理板，再送至密钥认证控制板进行加解密；所述数据处理板直接连接内网布线系统中信息插座即通信引出端连接器；数据处理板将要传回的数据，发送至密钥认证控制板，通过上下行数据分离模块，然后通过分光器复制一份流量最终发送至客户端节点模块，而密钥认证控制板则丢弃该流量；所述加解密线路和分光器分流线路互不相干。

步骤14:访问内部网络中的目的服务系统，服务端节点模块处理之后的数据会通过内网到达目的服务系统，目的服务系统处理之后的数据也会通过内网发送至服务端节点模块。

通过以上实施方式可以看出，本发明提供的基于单向分光的上下行分离的无状态端到端连接的内外网数据实时交换系统及装置能够通过分光器单向分光的特性和陷阱服务将内部网络隐匿，以及把非认证数据隔离在陷阱服务器的方式对攻击进行防御，从而将用户与目的服务系统之间的数据进行安全地交换，并且在交换时对上下行的数据路径进行了分离，进一步提高了数据的安全性，能够更好地防范中间人攻击等劫持、入侵手段。装置在保证接入安全前提下，也同时提供了对所有tcp／udp服务的实时服务能力。