不同网络间安全通信装置及其通信方法
【技术领域】
[0001]本发明涉及网络通信领域,具体涉及一种不同网络间安全通信装置及其方法。
【背景技术】
[0002]在现有网络中,在不同网络环境之间对网络安全意识和要求越来越高,其中安全接入、服务控制、业务转发、业务监控等保障业务和控制业务技术在网络部署中占有越来越大的比重。随着网络日渐复杂化,保障业务和控制业务越来越困难。目前针对不同网络间的用户通讯主要采用路由打通的方式进行通讯,传输网络作为一个整体单元,通过控制业务发起者的发送情况,对比业务接收者的接收情况,从而判断业务在整个网络中的传输情况。而业务在不通网络间转发情况却没有很好的办法进行控制。随着网络安全大量普及,权限划分,导致可见网络设备和可操作网络设备日渐减少,管理人员只能管理本网络中某一小部分,但是业务转发却贯穿不同的网络,使得管理人员对业务转发情况不能很好的管理和控制。
[0003]目前常用的网络监控和业务控制大都采用在网络边缘通过旁路一套监控系统,通过交换机镜像将业务数据镜像到监控系统中,对通讯的数据报文进行业务分析,例如通讯双方IP地址、应用协议、端口号、以及通信行为;或者是在网络边缘上串行一台防火墙,对报文进行协议过滤进而达到对业务数据的控制。这种实施的代价就是需要管理人员在不同的网络边缘节点进行设备部署,但是管理信息的下发和监控数据的汇总确无法进行统一管理,造成大量的人力和物力的浪费,并且无法对不同网络中的终端用户进行控制,并且无法对整个业务通讯过程中数据安全进行保障,因此对网络行为控制力度、安全力度上显得尤为薄弱。
【发明内容】
[0004]针对现有技术中的上述不足,本发明提供了一种通信安全且便于管理人员对不同网络间的通信进行统一管理的不同网络间安全通信装置及其方法。
[0005]为了达到上述发明目的,本发明采用的技术方案为:
第一方面,提供一种不同网络间安全通信装置,其包括:
若干网关设备,部署于不同网络边缘,用于接收通信终端上传的隧道报文,并判断隧道报文是否被篡改,若未被篡改,则将隧道报文发送给被通信设备;
网关控制设备,与网关设备连接,用于给网关设备配置网络接口地址和静态路由信息;
以及
管理控制系统,与网关控制设备进行通信,用于通信终端的安全认证和判断通信终端请求的被通信设备是否在线,若在线,将被通信设备在线的信息发送给通信终端。
[0006]第二方面,提供一种不同网络间安全通信方法,其包括:
管理控制系统接收通信终端上传的证书信息和终端IP地址,并将证书信息和终端IP地址与其内部存储的数据进行对比: 若存在相应的证书信息和终端IP地址,则允许通信终端通过安全认证,并将含有安全通信数据的安装认证通过信息发送给通信终端;
管理控制系统接收通信终端上传的被通信设备的目标IP地址,根据目标IP地址分析判断其内部的在线用户数据库中是否存在被通信设备:
若存在,管理控制系统将含有被通信设备接入的网关设备的通信IP地址的路径查询回应报文发送给通信终端;
网关设备接收通信终端上传的隧道报文,并判断隧道报文是否被篡改,若未被篡改,则将隧道报文发送给被通信设备。
[0007]本发明的有益效果为:不同网络之间的通信终端和被通信设备进行通信时,管理控制系统首先会对通信终端进行安全认证,从而保证了管理人员对对不同网络间的通信进行统一管理;
通信终端通过安全认证后方可通过不同网络间安全通信装置向被通信设备进行隧道报文传输;管理控制系统确认隧道报文在传输过程是否被其他恶意软件篡改,若是未被修改则向被通信设备发送隧道报文,若是被篡改则丢弃该隧道报文,从而保证了不同网络之间的通信终端和被通信设备进行通信的安全通信。
【附图说明】
[0008]图1为不同网络间安全通信装置的原理框图。
[0009]图2为不同网络间安全通信方法的流程图。
【具体实施方式】
[0010]下面对本发明的【具体实施方式】进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于【具体实施方式】的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
[0011]参考图1,图1示出了不同网络间安全通信装置的原理框图。如图1所示,该不同网络间安全通信装置包括若干网关设备、网关控制设备和管理控制系统。
[0012]其中,网关设备部署于不同网络边缘,用于接收通信终端上传的隧道报文,并判断隧道报文是否被篡改,若未被篡改,则将隧道报文发送给被通信设备。
[0013]在本发明的一个实施例中,网关设备包括隔离卡及分别与隔离卡连接的网络业务板和若干处理板,每个处理板分别与不同的网络进行通信、且每个处理板只能与隔离卡和与其连接的网络进行通信。
[0014]在使用时,网络业务板接收通信终端上传的隧道报文,并将对通信终端的安全通信数据和报文数据采用SHA1方式计算得到的计算结果与安全数据进行比较:若计算结果与安全数据相等,则隧道报文未被篡改,网络业务板将隧道报文通过网关设备的隔离卡摆渡到网关设备中与被通信设备所在网络对应的处理板上。
[0015]与被通信设备所在网络对应的处理板收到隧道报文后,将对通信终端的安全通信数据和报文数据采用SHA1方式计算得到数据结果与安全数据进行比较:若数据结果与安全数据相等,则隧道报文未被篡改,与被通信设备所在网络对应的处理板将报文发送给被通信设备。
[0016]再次参考图1,网关控制设备与网关设备连接,具体地,该网关控制设备与网关设备中任意一个处理板连接,用于给网关设备配置网络接口地址和静态路由信息。
[0017]管理控制系统与网关控制设备进行通信,用于通信终端的安全认证和判断通信终端请求的被通信设备是否在线,若在线,将被通信设备在线的信息发送给通信终端。
[0018]使用时,网关控制设备和管理控制系统均可以选用服务器。
[0019]管理控制系统所在网络与其他网络(通信终端或被通信设备所在网络)之间是等价的,因此管理控制系统所在网络与其他网络之间是路由相互隔离的。管理控制系统主要是对该网络中所有的网关设备、网关控制设备进行集中式的管理,并进行网络态势展现以及对网络用户的权限控制。
[0020]这里对所有的网关设备、网关控制设备进行集中式的管理主要是指只有经过管理控制系统通过入网服务申请的通信终端才可以接入不同网络间安全通信装置中,管理控制系统审批入网服务申请的通信终端时可以对通信终端的权限进行限制,比如可以限制用户具体通信的数据类型,如:SSH,telnet等。
[0021]管理控制系统可以支持2-3级部署,呈现树状;管理控制系统由数据库、web、以及后台应用层组成。第一层管理控制系统可以配置2台,彼此之间通过同步数据库信息,达到备份过程。
[0022]至此已完成对不同网络间安全通信装置的描述,下面结合附图2对该不同网络间安全通信装置的通信方法进行详细地说明:
如图2所示,该不同网络间安全通信方法包括:
管理控制系统接收通信终端上传的证书信息和终端IP地址,并将证书信息和终端IP地址与其内部存储的数据进行对比,若存在相应的证书信息和终端IP地址,则允许通信终端通过安全认证,并将含有安全通信数据的安装认证通过信息发送给通信终端。
[0023]所有需要进行不同网络通信的通信终端/设备均需要一个全网唯一标示的usbkey,这个硬件key主要用来标示通信终端/设备的唯一性以及安全性,在通信终端/设备提交入网申请时应将USBKEY中的证书信息发送到管理控制系统中。
[0024]认证成功的通信终端,管理控制系统会分配一个32字节的安全通信数据。在数据通讯过程中,通信终端将需要传输的报文数据和这32个字节安全通信数据进行SHA1运算,当隧道报文发送到网关设备上时,网关设备也需要通过这32个字节安全通信数据和报文数据再进行SHA1运算一遍,两者如果运行结果一样,说明在整个通讯过程中的隧道报文没有被篡改,SHA1运算和MD5校验方法类似。
[0025]业务通信隧道报文中32个字节的安全信息有数据包的序列号、安全校验值、特征码、版本号、数据窗口值。序列号就是每个报文数据的唯一标示;安全校验值是20个字节,是用认证通过时声称的32字节安全字、终端IP地址、原始通讯报文一起运算得出的值,这个安全校验值是用来判断该报文数据是否在传输过程被篡改;特征码是用来标示安全数据结构;
版本号用来标示该通讯协议当前版本;数据窗口值用来处理数据抗重放,数据抗重放的实现过程是:每个通讯报文都会携带一个窗口号,这个窗口号是整数类型的,网关上会对每个通讯终端建立一个通讯窗口,具体实现过程和TCP窗口重放是一个原理