用于隔离网络的安全远程数据交互方法及相关设备与流程

1.本发明适用于信息安全技术领域，尤其涉及一种用于隔离网络的安全远程数据交互方法及相关设备。


背景技术：

2.为保障系统安全，工控网络常常采用分级隔离的方法，将不同安全等级的内部和外部网络隔离开来，并在网络边界设置网闸，保证数据传输的单向性。但是，由于内部网络中软件、数据常常需要进行更新，不可避免地需要与外部网络进行数据交互，在隔离网络环境下，单向数据传输无法保证交互过程中数据的正确性和可用性，因此一般的，隔离网络中会在网闸两端分别设置一个代理服务器，并通过两个代理服务器在隔离网络间实现数据交互。
3.问题在于，代理服务器的存在使得本来物理隔离的网络上存在潜在的双向连接，如果代理服务器被非隔离网络上的恶意攻击者控制，那么攻击者可以轻易地通过代理服务器穿透内外网络的隔离，使单向网闸失去作用，从而产生网络安全问题。也就是说，现有的隔离网络中的具有代理服务器的交互方式具有极大的安全隐患。


技术实现要素：

4.本发明实施例提供一种用于隔离网络的安全远程数据交互方法及相关设备，旨在解决现有的隔离网络中代理服务器容易受到攻击的网络安全问题。
5.第一方面，本发明实施例提供一种用于隔离网络的安全远程数据交互方法，所述安全远程数据交互方法基于设置在代理服务器两侧的第一安全单元和第二安全单元，并通过所述第一安全单元实现，所述代理服务器设置于被网闸隔离的第一网络中，所述第一安全单元与所述第二安全单元通过直连通信链路实现通讯连接，所述安全远程数据交互方法包括以下步骤：所述第一安全单元获取所述第一网络中的数据包；所述第一安全单元利用预设密码算法计算出所述数据包的安全标记，并通过所述直连通信链路发出，所述安全标记用于所述第二安全单元接收；所述第一安全单元根据确认信息将向所述数据包添加所述安全标记，并将添加了所述安全标记的所述数据包发出，添加了所述安全标记的所述数据包用于所述代理服务器接收，所述确认信息为所述第二安全单元发出。
6.更进一步地，所述预设密码算法为根据预设的共享密钥进行数据加密或解密。
7.更进一步地，所述第一安全单元与所述第二安全单元之间每隔一段预设更新时间，皆通过所述直连通信链路更新使用的所述共享密钥。
8.第二方面，本发明实施例还提供一种用于隔离网络的安全远程数据交互方法，所述安全远程数据交互方法基于设置在代理服务器两侧的第一安全单元和第二安全单元，并通过所述第二安全单元实现，所述代理服务器设置于被网闸隔离的第一网络中，所述第一
安全单元与所述第二安全单元通过直连通信链路实现通讯连接，所述安全远程数据交互方法包括以下步骤：所述第二安全单元通过所述直连通信链路接收安全标记并保存至标记列表中，并根据所述安全标记，通过所述直连通信链路回复确认信息，所述安全标记为所述第一安全单元发出；所述第二安全单元获取数据包，并根据预设密码算法对所述数据包进行解密计算，得到解密标记；所述数据包为所述代理服务器向第二网络发送；所述第二安全单元判断所述标记列表中是否存在与所述解密标记相同的所述安全标记，其中：若是，则将所述数据包经过所述网闸发送给所述第二网络，并将所述数据包对应的所述安全标记从所述标记列表中删除；若否，则将所述数据包拦截，并发出警告。
9.更进一步地，所述预设密码算法为根据预设的共享密钥进行数据加密或解密。
10.更进一步地，所述第一安全单元与所述第二安全单元之间每隔一段预设更新时间，皆通过所述直连通信链路更新使用的所述共享密钥。
11.第三方面，本发明实施例还提供一种第一安全模块，包括：第一拦截模块，用于获取第一网络中的数据包；第一加密交互模块，用于利用预设密码算法计算出所述数据包的安全标记，并通过直连通信链路发出，所述安全标记用于第二安全模块接收；加密传输模块，用于根据确认信息将向所述数据包添加所述安全标记，并将添加了所述安全标记的所述数据包发出，添加了所述安全标记的所述数据包用于代理服务器接收，所述确认信息为所述第二安全模块发出。
12.第四方面，本发明实施例还提供一种第二安全模块，包括：第二加密交互模块，用于通过直连通信链路接收安全标记并保存至标记列表中，并根据所述安全标记，通过所述直连通信链路回复确认信息，所述安全标记为第一安全模块发出；第二拦截模块，用于获取数据包，并根据预设密码算法对所述数据包进行解密计算，得到解密标记；所述数据包为代理服务器向第二网络发送；解密传输模块，用于判断所述标记列表中是否存在与所述解密标记相同的所述安全标记，其中：若是，则将所述数据包经过网闸发送给所述第二网络，并将所述数据包对应的所述安全标记从所述标记列表中删除；若否，则将所述数据包拦截，并发出警告。
13.第五方面，本发明实施例还提供一种用于隔离网络的安全远程数据交互系统，包括如上实施例中所述的第一安全模块和第二安全模块，所述第一安全模块与所述第二安全模块分别设置在代理服务器两侧，所述代理服务器设置于被网闸隔离的第一网络中，所述第一安全单元与所述第二安全单元通过直连通信链路实现通讯连接。
14.第六方面，本发明实施例还提供一种计算机设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时
实现如上述实施例中任意一项所述的用于隔离网络的安全远程数据交互方法中的步骤。
15.第七方面，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述实施例中任意一项所述的用于隔离网络的安全远程数据交互方法中的步骤。
16.本发明所达到的有益效果：一、本发明通过在代理服务器两端设置安全模块，检查进入代理服务器及其输出的数据包是否具有一致性，安全模块与代理服务器的唯一出口相连并对每一个出口的数据包进行检查，可确保隔离网络中数据流出的唯一性；二、本发明在代理服务器两端设置的安全模块只对数据包进行检查，并不会和高密级、低密级中的任何客户端建立连接，攻击面更小，可靠性高；三、本发明的远程数据交互中不需要对原有网络架构进行调整，也不需要改变客户端、网闸的网络设置，与现有的网络架构之间具有更好的适应性。
附图说明
17.图1是本发明实施例提供的安全远程数据交互方法的网络结构图；图2是本发明实施例提供的安全远程数据交互方法的步骤流程示意图；图3是本发明实施例提供的另一种安全远程数据交互方法的步骤流程示意图；图4是本发明实施例提供的用于隔离网络的安全远程数据交互系统的结构示意图；图5是本发明实施例提供的计算机设备的结构示意图。
具体实施方式
18.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
19.实施例一本发明实施例提供一种用于隔离网络的安全远程数据交互方法，所述安全远程数据交互方法基于设置在代理服务器两侧的第一安全单元和第二安全单元，并通过所述第一安全单元实现，所述代理服务器设置于被网闸隔离的第一网络中，所述第一安全单元与所述第二安全单元之间通过直连通信链路实现通讯连接，具体的，请参照图1，图1是本发明实施例提供的安全远程数据交互方法的网络结构图，在一种需要隔离内部与外部网络流量的拓扑中，第一网络作为高密级网络（内部网络），其中客户设备统一连接到交换机上，再与所述第一网络中的代理服务器1建立数据连接，从而获取到代理服务器1上的数据，网闸1和网闸2作为隔离高密级网络和第二网络（低密级网络，外部网络）的设备，以单向网络传输的方式设置于代理服务器1与代理服务器2之间，其中，代理服务器2是第二网络的设备，其与资源服务器连接。
20.在一种典型的使用场景中，处于第一网络中的客户设备需要获取更新的数据，此时，其需要向代理服务器1进行数据请求，而更新的数据是需要连接到资源服务器获取的，这种情况下就需要代理服务器1与代理服务器2之间进行数据交互，从而使得代理服务器1
能够获取到资源服务器上的更新数据。
21.请参照图2，图2是本发明实施例提供的安全远程数据交互方法的步骤流程示意图，所述安全远程数据交互方法包括以下步骤：s11、所述第一安全单元获取所述第一网络中的数据包。
22.在本发明实施例中，所述第一安全单元相当于图1中的安全模块1，所述第二安全单元相当于图1中的安全模块2，所述第一安全单元获取所述第一网络中的所述数据包的方式是一种拦截方式，因为网络拓扑的直连设计，第一网络中的客户端设备向代理服务器请求数据时，必定会经过所述第一安全单元。
23.s12、所述第一安全单元利用预设密码算法计算出所述数据包的安全标记，并通过所述直连通信链路发出，所述安全标记用于所述第二安全单元接收。
24.更进一步地，所述预设密码算法为根据预设的共享密钥进行数据加密或解密。
25.示例性的，所述第一安全单元利用所述预设密码算法计算出所述安全标记的方式可以是：从所述数据包中提取出ip数据报s，并计算数据报s的md5值，将md5值与所述预设共享密钥进行逐比特异或运算，生成所述安全标记。
26.s13、所述第一安全单元根据确认信息将向所述数据包添加所述安全标记，并将添加了所述安全标记的所述数据包发出，添加了所述安全标记的所述数据包用于所述代理服务器接收，所述确认信息为所述第二安全单元发出。
27.更进一步地，所述第一安全单元与所述第二安全单元之间每隔一段预设更新时间，皆通过所述直连通信链路更新使用的所述共享密钥。这样设计的目的在于，通过不断更新的所述共享密钥来增加安全单元之间的交互安全性，减少密钥泄露造成的影响。
28.实施例二本发明实施例还提供一种用于隔离网络的安全远程数据交互方法，所述安全远程数据交互方法基于设置在代理服务器两侧的第一安全单元和第二安全单元，并通过所述第二安全单元实现，所述代理服务器设置于被网闸隔离的第一网络中，所述第一安全单元与所述第二安全单元通过直连通信链路实现通讯连接。
29.请参照图3，图3是本发明实施例提供的另一种安全远程数据交互方法的步骤流程示意图，所述安全远程数据交互方法包括以下步骤：s21、所述第二安全单元通过所述直连通信链路接收安全标记并保存至标记列表中，并根据所述安全标记，通过所述直连通信链路回复确认信息，所述安全标记为所述第一安全单元发出。
30.具体的，所述标记列表是存储于所述第二安全单元本地的一种列表式数据库，用于记录接收到的不同的所述安全标记。
31.s22、所述第二安全单元获取数据包，并根据预设密码算法对所述数据包进行解密计算，得到解密标记；所述数据包为所述代理服务器向第二网络发送。
32.示例性的，与实施例一中的所述第一安全单元对应，所述第二安全单元根据所述预设密码算法对所述数据包进行解密计算，得到所述解密标记的方式可以是：从所述数据包中提取出ip数据报s’，并计算数据报s’的md5值，将md5值与所述预设共享密钥进行逐比特异或运算，生成所述解密标记。
33.s23、所述第二安全单元判断所述标记列表中是否存在与所述解密标记相同的所
述安全标记，其中：若是，则将所述数据包经过所述网闸发送给所述第二网络，并将所述数据包对应的所述安全标记从所述标记列表中删除；若否，则将所述数据包拦截，并发出警告。
34.更进一步地，所述预设密码算法为根据预设的共享密钥进行数据加密或解密。
35.更进一步地，所述第一安全单元与所述第二安全单元之间每隔一段预设更新时间，皆通过所述直连通信链路更新使用的所述共享密钥。
36.示例性的，所述第二安全单元将所述解密标记与所述标记列表中存储的各个所述安全标记进行逐一比较，若发现有一项所述解密标记与所述安全标记相同，则将所述数据包发送给网闸1，并将对应的所述安全标记从所述标记列表中删除；若所述标记列表中没有任何一项标记与所述解密标记相同，则将所述解密标记存入所述标记列表，若所述标记列表中存入的条目数大于预设的安全门限，则发出警告，警示第一网络内可能存在网络攻击的流量。
37.实施例三本实施例用于描述本发明的用于隔离网络的安全远程数据交互方法中的所述第一安全单元与所述第二安全单元之间的整体交互方式，参照实施例一与实施例二中的所述第一安全单元与所述第二安全单元与其网络拓扑环境的描述，本发明实施例所提供的用于隔离网络的安全远程数据交互方法的整体流程如下：s1、所述第一安全单元获取所述第一网络中的数据包；s2、所述第一安全单元利用预设密码算法计算出所述数据包的安全标记，并通过所述直连通信链路向所述第二安全单元发出；s3、所述第二安全单元通过所述直连通信链路接收安全标记并保存至标记列表中，并根据所述安全标记，通过所述直连通信链路回复确认信息；s4、所述第一安全单元根据确认信息将向所述数据包添加所述安全标记，并将添加了所述安全标记的所述数据包发出，添加了所述安全标记的所述数据包用于所述代理服务器接收；s5、所述第二安全单元获取数据包，并根据预设密码算法对所述数据包进行解密计算，得到解密标记；所述数据包为所述代理服务器向第二网络发送；s6、所述第二安全单元判断所述标记列表中是否存在与所述解密标记相同的所述安全标记，其中：若是，则将所述数据包经过所述网闸发送给所述第二网络，并将所述数据包对应的所述安全标记从所述标记列表中删除；若否，则将所述数据包拦截，并发出警告。
38.本发明所达到的有益效果：一、本发明通过在代理服务器两端设置安全模块，检查进入代理服务器及其输出的数据包是否具有一致性，安全模块与代理服务器的唯一出口相连并对每一个出口的数据包进行检查，可确保隔离网络中数据流出的唯一性；二、本发明在代理服务器两端设置的安全模块只对数据包进行检查，并不会和高密级、低密级中的任何客户端建立连接，攻击面更小，可靠性高；
三、本发明的远程数据交互中不需要对原有网络架构进行调整，也不需要改变客户端、网闸的网络设置，与现有的网络架构之间具有更好的适应性。
39.实施例四本发明实施例还提供一种第一安全模块201，包括：第一拦截模块2011，用于获取第一网络中的数据包；第一加密交互模块2012，用于利用预设密码算法计算出所述数据包的安全标记，并通过直连通信链路发出，所述安全标记用于第二安全模块接收；加密传输模块2013，用于根据确认信息将向所述数据包添加所述安全标记，并将添加了所述安全标记的所述数据包发出，添加了所述安全标记的所述数据包用于代理服务器接收，所述确认信息为所述第二安全模块发出。
40.实施例五本发明实施例还提供一种第二安全模块202，包括：第二加密交互模块2021，用于通过直连通信链路接收安全标记并保存至标记列表中，并根据所述安全标记，通过所述直连通信链路回复确认信息，所述安全标记为第一安全模块发出；第二拦截模块2022，用于获取数据包，并根据预设密码算法对所述数据包进行解密计算，得到解密标记；所述数据包为代理服务器向第二网络发送；解密传输模块2023，用于判断所述标记列表中是否存在与所述解密标记相同的所述安全标记，其中：若是，则将所述数据包经过网闸发送给所述第二网络，并将所述数据包对应的所述安全标记从所述标记列表中删除；若否，则将所述数据包拦截，并发出警告。
41.实施例六本发明实施例还提供一种用于隔离网络的安全远程数据交互系统200，请参照图4，图4是本发明实施例提供的用于隔离网络的安全远程数据交互系统的结构示意图，包括如上实施例中所述的第一安全模块201和第二安全模块202，所述第一安全模块201与所述第二安全模块202分别设置在代理服务器两侧，所述代理服务器设置于被网闸隔离的第一网络中，所述第一安全单元201与所述第二安全单元202通过直连通信链路实现通讯连接。
42.所述用于隔离网络的安全远程数据交互系统200能够实现如上述实施例中的用于隔离网络的安全远程数据交互方法中的步骤，且能实现同样的技术效果，参上述实施例中的描述，此处不再赘述。
43.实施例七本发明实施例还提供一种计算机设备，请参照图5，图5是本发明实施例提供的计算机设备的结构示意图，所述计算机设备300包括：存储器302、处理器301及存储在所述存储器302上并可在所述处理器301上运行的计算机程序。
44.所述处理器301调用所述存储器302存储的计算机程序，执行本发明实施例提供的用于隔离网络的安全远程数据交互方法中的步骤，请结合图1或图2，具体包括：s11、所述第一安全单元获取所述第一网络中的数据包。
45.s12、所述第一安全单元利用预设密码算法计算出所述数据包的安全标记，并通过
所述直连通信链路发出，所述安全标记用于所述第二安全单元接收。
46.s13、所述第一安全单元根据确认信息将向所述数据包添加所述安全标记，并将添加了所述安全标记的所述数据包发出，添加了所述安全标记的所述数据包用于所述代理服务器接收，所述确认信息为所述第二安全单元发出。
47.或：s21、所述第二安全单元通过所述直连通信链路接收安全标记并保存至标记列表中，并根据所述安全标记，通过所述直连通信链路回复确认信息，所述安全标记为所述第一安全单元发出。
48.s22、所述第二安全单元获取数据包，并根据预设密码算法对所述数据包进行解密计算，得到解密标记；所述数据包为所述代理服务器向第二网络发送。
49.s23、所述第二安全单元判断所述标记列表中是否存在与所述解密标记相同的所述安全标记，其中：若是，则将所述数据包经过所述网闸发送给所述第二网络，并将所述数据包对应的所述安全标记从所述标记列表中删除；若否，则将所述数据包拦截，并发出警告。
50.本发明实施例提供的计算机设备300能够实现如上述实施例中的用于隔离网络的安全远程数据交互方法中的步骤，且能实现同样的技术效果，参上述实施例中的描述，此处不再赘述。
51.实施例八本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现本发明实施例提供的用于隔离网络的安全远程数据交互方法中的各个过程及步骤，且能实现相同的技术效果，为避免重复，这里不再赘述。
52.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（read-only memory，rom）或随机存取存储器（random access memory，简称ram）等。
53.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
54.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质（如rom/ram、磁碟、光盘）中，包括若干指令用以使得一台终端（可以是手机，计算机，服务器，空调器，或者网络设备等）执行本发明各个实施例所述的方法。
55.上面结合附图对本发明的实施例进行了描述，所揭露的仅为本发明较佳实施例而已，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式用等同变化，均属于本发明的保护之内。