CN101286978A - 语义完整的tcp连接隔离与控制方法和系统 - Google Patents
语义完整的tcp连接隔离与控制方法和系统 Download PDFInfo
- Publication number
- CN101286978A CN101286978A CNA2008100378236A CN200810037823A CN101286978A CN 101286978 A CN101286978 A CN 101286978A CN A2008100378236 A CNA2008100378236 A CN A2008100378236A CN 200810037823 A CN200810037823 A CN 200810037823A CN 101286978 A CN101286978 A CN 101286978A
- Authority
- CN
- China
- Prior art keywords
- tcp
- processing unit
- message
- application layer
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
一种保证语义完整的TCP连接隔离与控制方法和系统,属于信息安全领域。本发明方法修改后TCP处理步骤保证收到SYN报文后,将该报文特征信息通知到另外一个网络处理单元,由另外一个网络处理单元重新生成该SYN报文,发送到网络上,待另外一个网络处理单元收到ACK后,再由本协议栈生成对应的报文。本发明系统包括包括TCP握手处理模块、TCP连接检查模块、应用层数据检查模块、应用层协议处理模块、安全数据交换通道模块。本发明不仅能够隔离内外网络之间的TCP连接,进行应用层数据交换,也能够保证TCP的语义完整性,不会出现服务器关闭而客户端也能建立起TCP连接的情况。
Description
技术领域
本发明涉及一种网络信息安全技术领域的方法和系统,具体是一种语义完整的TCP连接隔离与控制方法和系统。
背景技术
随着信息技术和网络互联技术的发展,网络与信息安全问题日益突出。由于网络攻击方法和黑客技术不断提高和发展,普通网络安全产品无法满足重要网络和数据的安全需求。对于金融、政府和科研机构等对网络安全有高等级要求的用户,它们往往是建立一个专用内部网络,和公网之间采用物理或逻辑隔离。这就给不同信任域之间的信息交换带来了不便,各种隔离技术应运而生。
物理隔离技术(GAP技术)最早由美国、以色列提出,该技术利用专用硬件使两个网络在不连通的情况下实现数据安全传输和资源共享,已被美国、以色列等的军政、航天、金融等要害部门以及其它电子政务网络广泛采用。
国外有Whale公司的e-Gap系统、Spearhead公司的NetGAP等,国内有北京天行网安的天行安全隔离网闸(Topwalk-GAP),北京京泰的京泰安全信息交流系统(安全网闸)。Whale公司将e-Gap系统定位为应用层的防护设备,该产品通过隔离服务器、数据暂存区、隔离开关(Air Gap Switch),并结合应用层安全控制来达到整体安全。它集成了加密技术、授权认证、PKI、HTTP镜像、规则过滤、Air Gap(空气隔离)等技术构成软硬一体化安全平台。Spearhead公司的NetGAP直接连接两个网络。通过插在PCI槽的安全电路板与LVDS总线一起实现了“Reflective GAP”技术,每个安全电路板包含一对双开关结构,双开关结构确保了在两个网络之间链路层隔断。数据包从外网传至内网需要经历会话终止、剥离数据、编码、恶意代码扫描、传输恢复、会话再生等过程,确保内网的安全性。由于NetGAP对外部与内部服务器的会话请求进行规则过滤后重组,所以出现过安全漏洞,如过滤规则可被特殊编码攻击代码绕过漏洞,外部黑客可通过特殊URL组合穿过NetGAP拒绝规则而访问内部Web服务器。
TCP连接容易导致很大的安全问题,很多网络攻击,如序列号攻击等,都是针对TCP连接的攻击。因此,几乎所有的网络隔离技术和系统,都不允许TCP连接直接穿透所连接的内网和外网。经研究和分析发现,TCP连接能够在内外网间得到阻断,但是TCP连接的语义完整性无法得到保证。具体原因如下:
要实现网络隔离,需要存在两个网络处理单元(这里分别称为内网处理单元、外网处理单元)。假定由内网的一个客户端向外网的服务器发起一个TCP连接,原有网络隔离系统几乎都使用如下方法进行TCP连接的隔离与控制:内网处理单元先代替外网服务器和内网的客户端通过三次握手过程完成TCP连接的建立,然后网络隔离系统基于内网客户端和所连接的外网服务器的各种特征判断是否应该支持该服务器和客户端的信息交换,如果能够进行信息交换,则内网处理单元将客户端信息和所连接的服务器信息通过对应的隔离交换技术传输到外网处理单元,外网处理单元模拟客户端向外网服务器发起TCP连接请求,连接建立后,就可以进行相应的数据隔离和信息交换了。
从上述的TCP连接的隔离和数据交换的过程中可以看出,如果客户端发起TCP连接最终能够形成数据隔离交换通路,TCP连接的语义完整性就没有问题。如果最终的TCP连接没有形成对应的隔离交换通路,则TCP连接的语义完整性就不能得到保证。假如外网服务器目前处于关机状态,外网处理单元代替客户端向外网服务器不能完成三次握手过程,也不能成功建立起TCP连接。这时候,外网处理单元只能告知内网处理单元对服务器连接失败,这时候内网处理单元只能关闭与客户端已经建立起来的TCP连接,或者通过超时等机制自动关闭TCP连接。这样对内网的客户端而言,它不能理解为何TCP连接已经成功建立,又要被“服务器”主动关闭,如果是服务器关闭,TCP握手过程就应该不能成功,而现在握手过程成功后,还没有进行信息传递就已经关闭了。这就是语义完整性,也就是说这种TCP连接隔离与控制方法会破坏TCP连接的完整性。
发明内容
本发明针对现有技术中存在的上述不足,提供一种语义完整的TCP连接隔离与控制方法和系统,使其既可实现TCP连接的安全隔离,也能保证TCP连接语义完整的网络安全隔离系统。本发明解决了上述网络安全隔离系统不能保证TCP连接语义完整性的不足,能够支持各种基于TCP协议的网络应用,对客户端呈现出连接和数据交换许可一致的TCP连接特征,即如果能够建立TCP连接,就能完成基于TCP的数据交换。
本发明是通过如下技术方案实现的:
本发明所述的语义完整的TCP连接隔离与控制方法,其中的网络隔离和数据交换分为两个阶段完成,一是TCP连接建立阶段,二是应用层数据控制和交换阶段。在TCP连接建立阶段,需要修改网络隔离系统中的操作系统协议栈,更改TCP连接的建立流程。
当内网向外网发起TCP连接请求时,处理步骤如下:
●内网处理单元的TCP协议栈在收到客户端发来的SYN报文后,并不立即向客户端回复ACK/SYN报文,而是将该SYN报文各种通信特征(如客户端地址、端口等)提取出来。
●基于从SYN报文提取出的通信特征判断是否满足既定的安全策略,如不满足既定安全策略,则终止报文处理(相当于阻断了该TCP连接建立过程),同时进行相应的审计操作。
●若满足既定的安全策略,则将SYN报文的通信特征通过内外处理单元的安全数据通道发送到外网处理单元。
●外网处理单元接收到内网处理单元发送来的SYN报文的通信特征,通过修改的网络协议栈生成相应的SYN报文,发送到客户端所要连接的服务器及对应端口,所生成的SYN报文不要求与客户端发到内网处理单元的SYN报文的序列号相同。
●外网处理单元等待外网的服务器发送回来的二次握手SYN/ACK报文,若接收到相应的二次握手报文,则提取出该报文的通信特征,然后基于内外网处理单元的安全数据通道将该通信特征发送到内网处理单元。
●内网处理单元在收到外网处理单元发送来的二次握手报文特征后,根据前面从客户端接收到的SYN报文,生成相应的二次握手报文发送到内网的客户端。
●内网处理单元等待内网的客户端发送回来的三次握手ACK报文,若接收到相应的三次握手报文,则表明内网处理单元已经代替外网的服务器与客户端建立起TCP连接,同时提取出该报文的通信特征,然后基于内外网处理单元的安全数据通道将该通信特征发送到外网处理单元。
●外网处理单元根据收到的内网处理单元发送来的三次握手报文特征,基于前面的一次和两次握手报文,生成对应的三次握手ACK报文,发送到外网服务器的对应端口。
当外网向内网发起TCP连接请求时,对应的处理步骤与内网至外网的处理步骤类似,只是:内网处理单元功能和外网处理单元功能对调一下。
至此,内网处理单元代替外网服务器与内网客户端建立起了TCP连接,外网处理单元代替内网客户端与服务器建立起了TCP连接,这两个TCP和内网间的安全数据通道一起构成了一个应用层数据交换通路,依据对应的安全策略开始第二阶段,即应用层数据控制和交换阶段。
应用层数据控制和交换阶段的数据处理步骤如下:
●第一个网络处理单元从网络协议栈中接收数据包,分析出应用层数据,以及对应的TCP连接参数(源、目标地址,端口等)。
●将分析出的应用层数据和TCP连接参数打包,通过内外网处理单元间的安全数据交换通道,发送到第二个网络处理单元。
●第二个网络处理单元接收到第一个网络处理单元发送来的应用层数据和TCP连接参数之后,首先基于TCP连接参数判断出该数据需要通过哪个TCP连接发送出去,然后通过该TCP连接将相应的应用层数据发送出去。
本发明所述的语义完整的TCP连接隔离与控制系统,包含如下模块:
TCP握手处理模块:主要用于保证语义完整的TCP握手过程,具体涉及三个方面的内容:1)取消原有TCP协议握手报文的发送流程;2)接收从网络发来的TCP握手报文,并提取相应握手报文的特征信息,并将握手报文的特征信息转交给应用层协议处理模块;3)从应用层协议处理模块接收到有关另一端网络发送来的TCP握手报文的特征信息,生成对应的TCP握手报文发送出去。
TCP连接检查模块:供应用层协议处理模块调用,用于判断客户端向服务器端发送的连接请求是否满足既定安全策略的要求,应用层协议处理模块会根据该模块的判断结果对TCP连接请求进行相应的处理,即拒绝或允许。
应用层数据检查模块:供应用层协议处理模块调用,用于判断客户端向服务器端发送的应用层数据是否满足既定安全策略的要求,应用层协议处理模块会根据该模块的判断结果对应用层数据进行相应的处理,即拒绝应用层数据交换或允许应用层数据交换。
应用层协议处理模块:该模块完成两个方面的功能,一是从TCP/IP协议栈层接收协议数据或TCP握手报文的特征信息,同时对协议数据进行应用层分析,分析出其中的通信特征,然后将对应的特征信息交给TCP连接检查模块或应用数据检查模块,若这些模块判定满足既定策略,则将这些特征信息和应用层数据内容交给安全数据交换模块通道,否则不进行数据交换,进行相关安全审计;二是从安全数据交换通道获得对应报文特征信息和应用层数据,或交给TCP握手处理模块处理,或通过TCP/IP协议栈将应用层协议和数据发送出去。
安全数据交换通道模块:用于完成内外网单元之间的安全、可靠的应用层信息交换,交换的内容涉及以下三类:应用数据,应用层的协议特征信息,TCP握手信息特征。该模块能够保证所交换数据的可靠性得到保证,不会出现数据丢失的情况。
从目前公开的资料看,现有的网络隔离控制技术,主要在两个层次上实现:1)网络层的报文过滤和控制,该方式能够保证TCP连接的语义完整性,不会出现服务器关闭时客户端也能建立起TCP连接的情况,但是没有进行应用层数据解析,同时也没有阻断TCP连接。2)基于应用层代理机制的应用层数据交换,该方式能够进行应用层数据解析,同时也能阻断TCP连接,但不能保证TCP连接的语义完整性,可能会出现服务器关闭时客户端也能建立起TCP连接的情况。目前还没有发现即能实现应用数据交换,又能保证TCP连接的语义完整性的方法或系统。
本发明方法和系统能够隔离内外网络之间的TCP连接,进行应用层数据交换,保证信息交换的安全性,同时该系统能够保证TCP的语义完整性,不会出现服务器关闭时客户端也能建立起TCP连接的情况。修改TCP/IP协议栈中的握手报文的处理步骤是保证TCP连接语义完整的物质基础和关键,修改后TCP处理步骤保证收到SYN报文后,不立即回复相应的ACK报文,而是将该报文特征信息通知到另外一个网络处理单元,由另外一个网络处理单元重新生成该SYN报文,发送到网络上,待另外一个网络处理单元收到ACK后,再由本协议栈生成对应的报文。与已有的相应技术相比,该方法和系统不仅能够隔离内外网络之间的TCP连接,进行应用层数据交换,也能够保证TCP的语义完整性,不会出现服务器关闭而客户端也能建立起TCP连接的情况。
附图说明
图1为本发明系统结构框图
具体实施方式
下面结合附图对本发明的实施例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,所述的语义完整的TCP连接隔离与控制系统,其内外网处理单元上的模块结构是完全对等的,分别包括:TCP握手处理模块、应用层协议处理模块、TCP连接检查模块、应用数据检查模块,以及涉及两个处理单元的安全数据交换通道模块。
所述TCP握手处理模块用于保证语义完整的TCP握手过程,具体包括取消原有TCP协议握手报文的发送流程;接收从网络发来的TCP握手报文,并提取相应握手报文的特征信息,并将握手报文的特征信息转交给应用层协议处理模块;从应用层协议处理模块接收到有关另一端网络发送来的TCP握手报文的特征信息,生成对应的TCP握手报文发送出去。
所述TCP连接检查模块供应用层协议处理模块调用,用于判断客户端向服务器端发送的连接请求是否满足既定安全策略的要求,应用层协议处理模块会根据该模块的判断结果对TCP连接请求进行相应的处理,即拒绝或允许。
所述应用层数据检查模块供应用层协议处理模块调用,用于判断客户端向服务器端发送的应用层数据是否满足既定安全策略的要求,应用层协议处理模块会根据该模块的判断结果对应用层数据进行相应的处理,即拒绝应用层数据交换或允许应用层数据交换。
所述应用层协议处理模块从TCP/IP协议栈层接收协议数据或TCP握手报文的特征信息,同时对协议数据进行应用层分析,分析出其中的通信特征,然后将对应的特征信息交给TCP连接检查模块或应用数据检查模块,若这些模块判定满足既定策略,则将这些特征信息和应用层数据内容交给安全数据交换模块通道,否则不进行数据交换,进行相关安全审计;应用层协议处理模块从安全数据交换通道获得对应报文特征信息和应用层数据,或交给TCP握手处理模块处理,或通过TCP/IP协议栈将应用层协议和数据发送出去。
所述安全数据交换通道模块用于完成内外网单元之间的安全、可靠的应用层信息交换,交换的内容涉及应用数据、应用层的协议特征信息、TCP握手信息特征。
本实施例涉及到TCP/IP网络协议栈的修改,因此选择基于Linux操作系统进行实现,选用Linux的好处在于,其TCP/IP协议栈实现的源代码是公开的,可以按照自己的需求进行相应的修改,以完成本实施例中的TCP连接和控制的流程。
具体的连接处理和数据交换的流程为:
●一网络处理单元(记作A单元)的TCP握手处理模块接收从网络发来的TCP握手报文,并提取相应握手报文的特征信息,并将握手报文的特征信息转交给应用层协议处理模块。
●A单元的应用层数据检查模块从TCP/IP协议栈层接收协议数据或TCP握手报文的特征信息,同时对协议数据进行应用层分析,分析出其中的通信特征,然后将对应的特征信息交给TCP连接检查模块或应用数据检查模块。
●A单元的TCP连接检查模块判断客户端向服务器端发送的TCP连接是否满足既定安全策略的要求。
●A单元的应用数据检查模块,判断客户端向服务器端发送的应用层数据是否满足既定安全策略的要求。
●A单元的应用层数据检查模块根据TCP连接检查模块或应用数据检查模块的判断结果对TCP连接或应用层数据进行相应的处理,即拒绝或允许TCP连接、应用层数据交换。若允许,将应用层数据或TCP连接信息发送到安全数据交换通道模块。
●安全数据交换通道模块将应用层数据或TCP连接信息从A单元发送到另一网络处理单元(记作B单元)
●B单元的应用层协议处理模块从安全数据交换通道获得对应报文特征信息和应用层数据,或交给TCP握手处理模块处理,或通过TCP/IP协议栈将应用层协议和数据发送出去。
●B单元的TCP握手处理模块从应用层协议处理模块接收到有关另一端网络发送来的TCP握手报文的特征信息,生成对应的TCP握手报文发送出去。
本实施例经在公安、机要、电子政务网络等重要部门的网络中应用,测试和试用初步表明:本实施例既能保证隔离系统的应用层数据交换的特性,又能够TCP连接的语义完整性和正确性。
Claims (6)
1、一种语义完整的TCP连接隔离与控制方法,其特征在于,分为两个阶段完成,一是TCP连接建立阶段,二是应用层数据控制和交换阶段,其中:
所述TCP连接建立阶段,当内网向外网发起TCP连接请求时,处理步骤如下:
●内网处理单元的TCP协议栈在收到客户端发来的SYN报文后,并不立即向客户端回复ACK/SYN报文,而是将该SYN报文各种通信特征提取出来;
●基于从SYN报文提取出的通信特征判断是否满足既定的安全策略,如不满足既定安全策略,则终止报文处理,同时进行相应的审计操作;
●若满足既定的安全策略,则将SYN报文的通信特征通过内外处理单元的安全数据通道发送到外网处理单元;
●外网处理单元接收到内网处理单元发送来的SYN报文的通信特征,通过修改的网络协议栈生成相应的SYN报文,发送到客户端所要连接的服务器及对应端口,所生成的SYN报文不要求与客户端发到内网处理单元的SYN报文的序列号相同;
●外网处理单元等待外网的服务器发送回来的二次握手SYN/ACK报文,若接收到相应的二次握手报文,则提取出该报文的通信特征,然后基于内外网处理单元的安全数据通道将该通信特征发送到内网处理单元;
●内网处理单元在收到外网处理单元发送来的二次握手报文特征后,根据前面从客户端接收到的SYN报文,生成相应的二次握手报文发送到内网的客户端;
●内网处理单元等待内网的客户端发送回来的三次握手ACK报文,若接收到相应的三次握手报文,则表明内网处理单元已经代替外网的服务器与客户端建立起TCP连接,同时提取出该报文的通信特征,然后基于内外网处理单元的安全数据通道将该通信特征发送到外网处理单元;
●外网处理单元根据收到的内网处理单元发送来的三次握手报文特征,基于前面的一次和两次握手报文,生成对应的三次握手ACK报文,发送到外网服务器的对应端口;
至此,内网处理单元代替外网服务器与内网客户端建立起了TCP连接,外网处理单元代替内网客户端与服务器建立起了TCP连接,这两个TCP和内网间的安全数据通道一起构成了一个应用层数据交换通路,依据对应的安全策略开始第二阶段,即应用层数据控制和交换阶段;
所述应用层数据控制和交换阶段,其数据处理步骤如下:
●第一个网络处理单元从网络协议栈中接收数据包,分析出应用层数据,以及对应的TCP连接参数;
●将分析出的应用层数据和TCP连接参数打包,通过内外网处理单元间的安全数据交换通道,发送到第二个网络处理单元;
●第二个网络处理单元接收到第一个网络处理单元发送来的应用层数据和TCP连接参数之后,首先基于TCP连接参数判断出该数据需要通过哪个TCP连接发送出去,然后通过该TCP连接将相应的应用层数据发送出去。
2、根据权利要求1所述的语义完整的TCP连接隔离与控制方法,其特征是,所述通信特征,包括客户端地址、端口。
3、根据权利要求1所述的语义完整的TCP连接隔离与控制方法,其特征是,所述TCP连接参数,包括源、目标地址、端口。
4、根据权利要求1所述的语义完整的TCP连接隔离与控制方法,其特征是,所述TCP连接建立阶段,当外网向内网发起TCP连接请求时,对应的处理步骤与内网至外网的处理步骤相同,只是内网处理单元功能和外网处理单元功能对调一下。
5、一种语义完整的TCP连接隔离与控制系统,其特征在于,包括TCP握手处理模块、TCP连接检查模块、应用层数据检查模块、应用层协议处理模块、安全数据交换通道模块,其中:
所述TCP握手处理模块用于保证语义完整的TCP握手过程,具体包括取消原有TCP协议握手报文的发送流程;接收从网络发来的TCP握手报文,并提取相应握手报文的特征信息,并将握手报文的特征信息转交给应用层协议处理模块;从应用层协议处理模块接收到有关另一端网络发送来的TCP握手报文的特征信息,生成0 对应的TCP握手报文发送出去;
所述TCP连接检查模块供应用层协议处理模块调用,用于判断客户端向服务器端发送的连接请求是否满足既定安全策略的要求,应用层协议处理模块会根据该模块的判断结果对TCP连接请求进行相应的处理,即拒绝或允许;
所述应用层数据检查模块供应用层协议处理模块调用,用于判断客户端向服务器端发送的应用层数据是否满足既定安全策略的要求,应用层协议处理模块会根据该模块的判断结果对应用层数据进行相应的处理,即拒绝应用层数据交换或允许应用层数据交换;
所述应用层协议处理模块从TCP/IP协议栈层接收协议数据或TCP握手报文的特征信息,同时对协议数据进行应用层分析,分析出其中的通信特征,然后将对应的特征信息交给TCP连接检查模块或应用数据检查模块,若这些模块判定满足既定策略,则将这些特征信息和应用层数据内容交给安全数据交换模块通道,否则不进行数据交换,进行相关安全审计;
所述安全数据交换通道模块用于完成内外网单元之间的安全、可靠的应用层信息交换,交换的内容涉及应用数据、应用层的协议特征信息、TCP握手信息特征。
6、根据权利要求5所述的语义完整的TCP连接隔离与控制系统,其特征是,所述应用层协议处理模块从安全数据交换通道获得对应报文特征信息和应用层数据,交给TCP握手处理模块处理,或通过TCP/IP协议栈将应用层协议和数据发送出去。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100378236A CN101286978B (zh) | 2008-05-22 | 2008-05-22 | 语义完整的tcp连接隔离与控制方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100378236A CN101286978B (zh) | 2008-05-22 | 2008-05-22 | 语义完整的tcp连接隔离与控制方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101286978A true CN101286978A (zh) | 2008-10-15 |
CN101286978B CN101286978B (zh) | 2011-08-31 |
Family
ID=40058948
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100378236A Expired - Fee Related CN101286978B (zh) | 2008-05-22 | 2008-05-22 | 语义完整的tcp连接隔离与控制方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101286978B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN103166933A (zh) * | 2011-12-15 | 2013-06-19 | 北京天行网安信息技术有限责任公司 | 一种数据安全交换系统及方法 |
CN103841139A (zh) * | 2012-11-22 | 2014-06-04 | 深圳市腾讯计算机系统有限公司 | 传输数据的方法、装置和系统 |
CN104767752A (zh) * | 2015-04-07 | 2015-07-08 | 西安汇景倬元信息技术有限公司 | 一种分布式网络隔离系统及方法 |
CN109547519A (zh) * | 2017-09-22 | 2019-03-29 | 中兴通讯股份有限公司 | 反向代理方法、装置及计算机可读存储介质 |
CN110890984A (zh) * | 2019-11-27 | 2020-03-17 | 山东九州信泰信息科技股份有限公司 | 一种基于隔离设备的双机热备的切换方法 |
CN111711615A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 一种边缘安全计算节点的知识库信息同步系统和方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6865672B1 (en) * | 1998-05-18 | 2005-03-08 | Spearhead Technologies, Ltd. | System and method for securing a computer communication network |
CN1176421C (zh) * | 2002-03-04 | 2004-11-17 | 北京启明星辰信息技术有限公司 | 内联网计算机与因特网未授权连接监测系统及方法 |
CN2638341Y (zh) * | 2003-07-14 | 2004-09-01 | 北京京泰网络科技有限公司 | 京泰安全隔离与信息交换网闸 |
CN101127760A (zh) * | 2006-08-16 | 2008-02-20 | 北京城市学院 | 网络中双向协议隔离方法及其装置 |
-
2008
- 2008-05-22 CN CN2008100378236A patent/CN101286978B/zh not_active Expired - Fee Related
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103166933A (zh) * | 2011-12-15 | 2013-06-19 | 北京天行网安信息技术有限责任公司 | 一种数据安全交换系统及方法 |
CN103166933B (zh) * | 2011-12-15 | 2015-08-19 | 北京天行网安信息技术有限责任公司 | 一种数据安全交换系统及方法 |
CN103841139A (zh) * | 2012-11-22 | 2014-06-04 | 深圳市腾讯计算机系统有限公司 | 传输数据的方法、装置和系统 |
CN103841139B (zh) * | 2012-11-22 | 2018-02-02 | 深圳市腾讯计算机系统有限公司 | 传输数据的方法、装置和系统 |
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN102984170B (zh) * | 2012-12-11 | 2016-08-03 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN104767752A (zh) * | 2015-04-07 | 2015-07-08 | 西安汇景倬元信息技术有限公司 | 一种分布式网络隔离系统及方法 |
CN109547519A (zh) * | 2017-09-22 | 2019-03-29 | 中兴通讯股份有限公司 | 反向代理方法、装置及计算机可读存储介质 |
CN110890984A (zh) * | 2019-11-27 | 2020-03-17 | 山东九州信泰信息科技股份有限公司 | 一种基于隔离设备的双机热备的切换方法 |
CN111711615A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 一种边缘安全计算节点的知识库信息同步系统和方法 |
CN111711615B (zh) * | 2020-05-29 | 2022-07-26 | 成都金隼智安科技有限公司 | 一种边缘安全计算节点的知识库信息同步系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101286978B (zh) | 2011-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101286978B (zh) | 语义完整的tcp连接隔离与控制方法和系统 | |
CN104753887B (zh) | 安全管控实现方法、系统及云桌面系统 | |
CN101867530B (zh) | 基于虚拟机的物联网网关系统及数据交互方法 | |
CN102882828A (zh) | 一种内网与外网间的信息安全传输控制方法及其网关 | |
CN104335546A (zh) | 使用邻居发现来为其它应用创建信任信息 | |
WO2020174121A1 (en) | Inter-mobile network communication authorization | |
CN101662359A (zh) | 电力专用公网通信数据安全防护方法 | |
WO2017012142A1 (zh) | 一种双连接安全通讯的方法及装置 | |
CN107277058B (zh) | 一种基于bfd协议的接口认证方法及系统 | |
CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
US20140337951A1 (en) | Security management system including multiple relay servers and security management method | |
CN103220279A (zh) | 数据安全传输的方法和系统 | |
Albahar et al. | Bluetooth MITM vulnerabilities: a literature review, novel attack scenarios, novel countermeasures, and lessons learned | |
CN104519012A (zh) | 基于sip协议的通信网攻击的检测方法及系统 | |
CN106603512A (zh) | 一种基于sdn架构的is‑is路由协议的可信认证方法 | |
CN101227452B (zh) | 一种网络接入认证的方法及系统 | |
CN116963050B (zh) | 一种基于端到端IPv6密码标识的可信通信方法及系统 | |
CN101621503A (zh) | 应用于虚拟专用网络架构下的身份识别系统与方法 | |
Liu | Next generation SSH2 implementation: securing data in motion | |
CN1787523B (zh) | 动态打开网络地址转换和防火墙端口的方法 | |
CN101616087A (zh) | 关联至安全设备的路由器 | |
JP2009258965A (ja) | 認証システム、認証装置、通信設定装置および認証方法 | |
You et al. | OpenFlow security threat detection and defense services | |
CN112865975A (zh) | 消息安全交互方法和系统、信令安全网关装置 | |
Phan et al. | Threat detection and mitigation with MonB5G components in the aLTEr scenario |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110831 Termination date: 20150522 |
|
EXPY | Termination of patent right or utility model |