CN101771667A - 一种基于地面移动多媒体广播系统网络信息安全内容迁移系统与方法 - Google Patents
一种基于地面移动多媒体广播系统网络信息安全内容迁移系统与方法 Download PDFInfo
- Publication number
- CN101771667A CN101771667A CN200810240830A CN200810240830A CN101771667A CN 101771667 A CN101771667 A CN 101771667A CN 200810240830 A CN200810240830 A CN 200810240830A CN 200810240830 A CN200810240830 A CN 200810240830A CN 101771667 A CN101771667 A CN 101771667A
- Authority
- CN
- China
- Prior art keywords
- message
- equipment
- network
- data
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明一种移动多媒体广播系统网络信息内容迁移系统以及其使用的安全传输方法,特别涉及一种针对MPEG I Layer II PAD(Programme Associated Data)多媒体音频节目伴随数据文件传输的防入侵、防病毒的数字音频多媒体安全网域系统以及其使用的安全传输方法。包括:网域设备,包含由数字水印设备及隔离网域设备构成的若干组处理设备,每一组处理设备分别连接到各个网络,其中,数字水印设备对传输报文进行水印处理;隔离网域,隔离各个网络,对不同网络间的报文进行搬移,并破坏通用的TCP/IP报文。可杜绝黑客从接入网通过网域系统对通信/广播网各种形式的攻击。尤其针对黑客惯用的探测手段,本系统将内接入网报文通信分流,破坏黑客的探测报文,从而避免了与黑客的任何报文交流,达到对探测的完全免疫。本发明的网域系统利用一种MPEG I Layer II音频帧数字水印技术,动态地对数据代码链进行实时多维变换,破坏有可能藏匿在MPEG I Layer II音频帧数据中的病毒代码,形成了一个防止黑客入侵以及病毒侵袭的安全网域系统。
Description
技术领域
本发明涉及一种网域系统以及其使用的安全传输方法,特别涉及一种针对MPEG I Layer IIPAD(Programme Associated Data)多媒体音频节目伴随数据文件传输的防入侵、防病毒的音频安全网域系统以及其使用的安全传输方法。
背景技术
在广播电视(NGB)、移动通信(3G)、互联网(NGI)等大众信息化行业的信息移动化实施过程中,一个不可回避的问题是各类业务网络和因特网的连接问题。完全隔离虽然带来安全水平的提高,但却以信息流通的不畅作为代价的。简单连接,虽然业务运营很方便,但安全却是很大隐患。在网络攻击和病毒都很频繁和厉害的情况下,没有安全措施或没有严密的安全措施,业务的正常运营是很难保证的。这种情况下,网域隔离接入产品将是以上三种专业网络接入的保障。
在网络互联中的安全威胁主要有两种:一种是黑客攻击;一种是病毒。其实这两种也已经开始互相混合。
因特网采用的协议为IP协议,所以在内、外网互联中,因特网上的黑客对内网的攻击和对信息的窃取等任务都是通过IP来承载。在一般的物理两网互联的隔离方面采用网域的隔离功能,通过对IP包的拆分和搬移,来隔离信息。网域隔离功能对一般的IP攻击是非常有效的,但并不能防范所有的攻击,而且对有些类型的攻击防范办法有限。同样,网域的防病毒软件虽然能对大多数病毒进行防范和消除,但对很多新的病毒仍然不能及时消除,对邮件病毒的传播也有一定的防范难度,比如特洛伊等这样的病毒就在一些安装了先进的防病毒系统的网络上发作,严重影响网络的正常运行。
现有技术的网域产品,无法完全防止黑客入侵,同时其防病毒的设计原理是对病毒特征码进行检测以发现病毒从而阻止病毒侵入,对新出现的病毒需要重新识别匹配和设置防护功能,有些病毒可能难以及时被发现。因而这是一种被动的滞后的防护办法。在病毒和黑客充斥的互联网中,网域系统只能起到亡羊补牢的作用,数字音频多媒体内容传输采用这样的安全防范措施与广域内容接入网相联时其安全性是达不到要求的。
而MPEG I Layer II PAD(Programme Associated Data)多媒体音频节目伴随数据文件中,完全有可能藏匿了病毒代码,而用传统的方法对可疑代码做病毒特征匹配显然是不能保证音频数据的安全。
物理隔离网域是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网域所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令,因此有人就盲目的认为物理隔离网域从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。同时,由于网域都是通过内嵌其它公司的防病毒内核来实现查杀病毒,因此其声称具有“完美”的抗病毒能力。
图1为现有的网域产品,从功能上分包含以下4个主要模块:
1.安全模块
对接收到的报文进行病毒、访问控制等检测,过滤不安全的数据报文;
2.报文分解模块
将原始报文分解并格式化传输信息和原始数据;
3.隔离交换模块
将格式化的数据通过存储区拷贝方式“复制”到另一段网络;
4.报文重组模块
将“复制”过来的数据恢复为原始报文,然后传输到本端相联网络。
但是上述的网域产品存在如下的缺点:
隐患1:病毒漏检
由上述分析可以看出,其安全性主要依赖于安全模块,而其大力推荐的“桥接”功能其实只能防止传输过程中的“实时监听”,无非起到了一种延迟作用,因为如果一个新的网络病毒不能被其安全模块检测到,那么尽管该病毒相关报文在传输过程中被分解过,但过了“桥接”后依然被原样复原并继续传输。
隐患2:入侵漏洞
如上所述,网域其实无法真正阻断网络报文的传输,那么黑客的入侵扫描将会顺利的进入通信/广播网,同时扫描到的信息也会同样顺利的发送到广域内容接入网,这样黑客就可以为所欲为的进行自己的入侵活动。
发明内容
针对安全传输的上述需求,本发明提供一种广域内容接入网与通信/广播网之间数据传输网域系统。系统在能在保证内网及数据安全的情况下,实现广域内容接入网与通信/广播网的单向或双向高速传输。
本发明的网域系统将网络的防火墙与防病毒产品的功能合二为一,在防止黑客攻击方面采用专用的数据通信链路多环节自主协议,结合特有的物理层网络通信设计,在单彼此隔离的网络中,采用专用的“伪VPN技术仿真FTP传输协议”发送传输控制信息以及获取数据。尤其针对黑客惯用的探测手段,通用的网络协议对本发明的网域系统毫无作用,对各种非系统定义的探测报文没有任何响应,这样就杜绝了被感染网络病毒的可能,同时使得常用的黑客攻击软件失效,宛如数据包掉进“黑洞”没有响应。
本发明的网域系统利用一种MPEG I Layer II PAD(Programme Associated Data)多媒体音频节目伴随数据音频数字水印技术,动态地对数据代码链进行实时多维变换,破坏有可能藏匿在MPEG I Layer II PAD(Programme Associated Data)音频帧数据中的病毒代码,形成了一个防止黑客入侵以及病毒侵袭的数字音频多媒体安全网域系统。
附图说明
图1是现有技术中的网域系统示意图;
图2是本发明的安全网域系统示意图;
图3是通用TCP/IP报文头格式示意图;
图4是本发明数据传输过程示意图;;
图5是本发明中对加入水印信息位的示意图;
图6是本发明中加入水印信息位后,病毒代码被破坏后的示意图。
具体实施方式
以两个不同的网络之间的相互隔离为例,如图2所示,本发明的安全网域系统从功能上主要包括以下组件:
网域设备10、外网1、内网8。其中外网1由各个终端5通过现有技术的网络技术连接构成。
图3表示出现有技术中通用的TCP/IP报文头格式。
网域设备
如图2所示,网域设备10分别与外网1、内网8相连。一个水印设备4与隔离网域3相连构成构成一组处理模块,该处理模块与不同的网络相连,若干个处理模块彼此隔离,并构成了网域设备10。在本实施例中针对内网采用一组处理设备,针对外网采用另一组处理设备。
为保证整体的隔离性,将内网和外网划分为不同的IP网段,网段之间的报文传输必须通过网域10;该网域10设计为单向传输,针对网络入侵行为中的漏洞扫描,隔离网域破坏所有非系统自定义协议的报文,这样从内网看来,除非是本系统自定义的应用请求,其它任何网络行为都将展示为单方作用,得不到任何响应。
报文格式
本系统以加密IP头的TCP/IP报文为载体,通过在隔离网域上部署的自定义控制报文对广域内容接入服务器和通信/广播网存储之间提供通用FTP连接,完成数据传输。
首先,加密IP报头,如AES(Advanced Encryption Standard)加密,同时可以完全使用通用FTP协议的功能。
其次,使用自定义控制报文结构。
在报文的数据段,定义了一个12字节的控制信息,结构如下:
●CMD字段:4字节,指明控制命令类型;
●LINK字段:4字节,指明连接通道号,缺省为1;
●LEN字段:4字节,指明有效数据长度,包括该控制信息;
系统数据传输过程
参考图4详细介绍系统数据的传输过程中采用的“伪”FTP协议:
步骤101:广域内容接入服务器向隔离网域A发送IP报头加密后的FTP请求;
步骤102:隔离网域A接收到请求后,首先判断报文的IP报头是否加密;非加密IP头报文则自动丢弃,不作任何响应;如果是,则从该报文中取出通信/广播网存储IP地址作为数据,然后使用自己的控制报文(CMD=1)发送给隔离网域B,同时将广域内容接入服务器IP地址保存;
步骤103:隔离网域B判断接收报文是否加密,是否来自于隔离网域A;如果满足,则构建自己的FTP请求(步骤102中的报文中取得内网IP地址)报文,并发送给通信/广播网存储;
步骤104:通信/广播网存储首先解密IP报头,然后交给FTP服务器(通用的适合于WIN2000的FTP服务器)处理;处理后的响应报文经加密IP头后发送给隔离网域B;
步骤105:检查IP头是否加密,然后将该响应报文(CMD=2)转发给隔离网域A;
步骤106:检查IP头是否加密,然后使用保存的IP地址将响应报文转发给广域内容接入服务器;
步骤107:广域内容接入服务器向隔离网域A发送IP报头加密后的登陆FTP所需用户名和密码;
步骤108:隔离网域A接收到请求后,首先判断报文的IP报头是否加密;非加密IP头报文则自动丢弃,不作任何响应;如果是,则从该报文中取出通信/广播网存储IP地址作为数据,然后使用自己的控制报文(CMD=3)将登陆信息发送给隔离网域B;
步骤109:隔离网域B判断接收报文是否加密,是否来自于隔离网域A;如果满足,则构建自己的FTP登陆信息(从控制报文2中取得素材库IP地址)报文,并发送给通信/广播网存储;
步骤110、111、112:通信/广播网存储首先解密IP报头,然后将登陆信息交给FTP服务器处理,如果登陆成功,则允许在广域内容接入服务器和通信/广播网存储之间建立直接的数据通道(隔离网域A和B直接转发数据信息,对传输的两端透明),传输数据;报文处理过程同104、105、106,不同的是CMD=4。
数据信息:通信/广播网存储透明的向广域内容接入服务器传送数据。
数字水印设备
下面详细描述MPEG I Layer II PAD(Programme Associated Data)多媒体音频节目伴随数据音频数字水印技术中的处理过程。
MPEG I Layer II PAD(Programme Associated Data)多媒体音频文件中每帧中的数据按照子带顺序存放,也就是先存低频子带的音频信息,后存高频子带的音频信息。为了兼顾加入水印后的音频质量和鲁棒性,按照传统数字水印技术的原则,数字水印数据一般是选择中频的某一个(或几个)子带加入,而且是选择子带中比较靠前数据。但是采用这种方法,水印对MPEG I Layer II PAD(Programme Associated Data)多媒体音频文件中仅有的部分子带进行处理,改变的幅度(范围)相对很有限,会使得音频文件中会有足够的空间可以加入恶意代码。
通常的MPEG I Layer II PAD(Programme Associated Data)多媒体音频文件每一帧的大小一般在700-1000字节左右,(以位率48k,采样频率256k立体声MPII音频格式为例)音频文件有若干音频帧组成。每个帧由帧头、位分配信息、缩放因子选择信息、缩放因子信息、成组信息、组样本编码、样本编码七部分构成。样本编码占650字节左右,其余六部分占130字节左右,帧长度768字节。样本编码被分为32个子块,每个子块中都可均匀地插入数字水印信息。其余部分中位分配信息和成组信息都可做小幅度调整。可以保证音频文件中可能存在的恶意代码被有效破坏。
由于每帧的样本编码占650字节左右,而迄今为止发现的Windows平台上的恶意代码片断最小为200字节。如果在安全网域产品中不对MPII的音频文件做破坏病毒的技术处理,那么MPII的多媒体音频文件将是病毒代码的一个非常好的载体。
MPEG I Layer II PAD(Programme Associated Data)多媒体音频数字水印加入的基本目标是
1.完全破坏音频文件中可能夹带的恶意代码;
2.保证音频还原质量;
3.不改变压缩率、采样率、帧能量等原有属性;
4.使用原有的解码软件可以正常解码。
为了保证基本目标的实现,应保证水印的加入间隔小于100字节,这就是说每帧数据中至少加入4位以上的数字水印改变。鉴于鲁棒性和水印文件大小的保守考虑,优选实施例中在每帧立体声文件中加入96位水印信息。
参照图5,以位率48k,采样频率256k立体声mpII音频格式为例,音频文件有若干音频帧组成。每个帧的样本编码占650字节左右,样本编码被分为32个子块,每个子块平均20字节。应保证水印的加入间隔小于100字节,即每帧样本编码占650字节的数据中至少加入4位以上的水印改变位。优选实施例中在每帧立体声文件中加入96位水印信息。因为在每个子块内平均有20字节样本编码,所以在加入水印信息后,一个子块中平均有2-3个字节被篡改:
如图6所示,在每帧立体声文件中实际加入96位水印信息后,藏匿在MPII音频样本编码数据中的任何病毒代码都被彻底的破坏。从而维护了数据的稳定。
进一步的,可以针对不同的网络采用两组以上的处理设备来完成更多网络之间的隔离连接。
本领域的技术人员懂得,在本申请所描述的在广播电视(NGB)、移动通信(3G)、互联网(NGI)等大众信息化行业的信息移动化实施过程中实施例基础上,在不脱离所述权利要求书及说明书所揭示的发明构思和保护范围内,并不局限于特定的示例的技术,可以在很宽的应用范围内改变和变化。
Claims (10)
1.一种安全网域系统,包括:
网域设备,包含两个或者两个以上隔离网域,分别连接到彼此隔离的网络,通过在报文数据段添加控制信息,破坏通用的TCP/IP报文。
2.如权利要求1所述的安全网域系统,其特征在于隔离网桥检测接收的IP报头是否加密,对非加密的IP报头的报文不作任何响应。
3.如权利要求2所述的安全网域系统,其特征在于隔离网桥对加密IP报头的报文解析,通过所述的控制信息建立到另接入网络的连接。
4.如权利要求1所述的安全网域系统,其特征在于所述控制信息用来标识:命令类型,连接通道号,有效数据长度。
5.如权利要求1-4所述的任意一个安全网域系统,其特征在于所述网域设备中还包含与隔离网域连接的数字水印设备,在每帧数据中加入水印信息的间隔小于100字节。数字水印设备在每帧数据中加入水印信息的间隔为96字节,所述不同网络间的传输报文为MPEG ILayer II数字音频文件。
6.一种用于安全网域系统的方法,包括步骤:
对来自不同网络的报文进行传送;
在报文数据段添加控制信息,破坏通用的TCP/IP报文。
7.如权利要求6所述的方法,其特征在于检测的IP报头是否加密,对非加密的IP报头的报文不作任何响应。
8.如权利要求7所述的方法,其特征在于对加密IP报头的报文解析,通过所述的控制信息建立到另接入网络的连接。
9.如权利要求7-8所述的任意一个方法,所述控制信息用来标识:命令类型,连接通道号,有效数据长度,其特征在于在每帧数据中加入数字水印信息,其水印间隔小于100字节。
10.如权利要求9所述的方法,其特征在于在每帧数据中加入水印信息的间隔为96字节,所述不同网络间的传输报文为MPEG I LayerII PAD(Programme Associated Data)多媒体音频节目伴随数据音频文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810240830A CN101771667A (zh) | 2008-12-26 | 2008-12-26 | 一种基于地面移动多媒体广播系统网络信息安全内容迁移系统与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810240830A CN101771667A (zh) | 2008-12-26 | 2008-12-26 | 一种基于地面移动多媒体广播系统网络信息安全内容迁移系统与方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101771667A true CN101771667A (zh) | 2010-07-07 |
Family
ID=42504267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810240830A Pending CN101771667A (zh) | 2008-12-26 | 2008-12-26 | 一种基于地面移动多媒体广播系统网络信息安全内容迁移系统与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101771667A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104349174A (zh) * | 2013-08-05 | 2015-02-11 | 浙江大华系统工程有限公司 | 音视频数据传输系统、存储及生成方法、装置及设备 |
-
2008
- 2008-12-26 CN CN200810240830A patent/CN101771667A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104349174A (zh) * | 2013-08-05 | 2015-02-11 | 浙江大华系统工程有限公司 | 音视频数据传输系统、存储及生成方法、装置及设备 |
| CN104349174B (zh) * | 2013-08-05 | 2017-12-19 | 浙江大华系统工程有限公司 | 音视频数据传输系统、存储及生成方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100547996C (zh) | 内外网信息安全传递系统与方法 | |
| CN109246108B (zh) | 拟态化蜜罐指纹混淆系统及其sdn网络架构 | |
| CN101425903A (zh) | 一种基于身份的可信网络架构 | |
| US20040086121A1 (en) | Secure automatic dependant surveillance | |
| CN106953855B (zh) | 一种对iec61850数字变电站goose报文的入侵检测的方法 | |
| CN106060003A (zh) | 一种网络边界单向隔离传输装置 | |
| JP2007189725A (ja) | 通信方法及び通信網侵入防御方法並びに通信網侵入試み検知システム | |
| Shifa et al. | Multimedia security perspectives in IoT | |
| CN107172030B (zh) | 一种高隐秘且抗溯源的通信方法 | |
| Adlakha et al. | Cyber security goal’s, issue’s, categorization & data breaches | |
| Okpe et al. | Intrusion detection in internet of things (IoT). | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Nair et al. | Security attacks in internet of things | |
| CN101771667A (zh) | 一种基于地面移动多媒体广播系统网络信息安全内容迁移系统与方法 | |
| CN111464551A (zh) | 一种网络安全分析系统 | |
| Li | Study on security and prevention strategies of computer network | |
| Shetty et al. | Survey of hacking techniques and it's prevention | |
| Tom et al. | Cyberspace: Mitigating Against Cyber Security Threats and Attacks | |
| Obodoeze et al. | A holistic mobile security framework for Nigeria | |
| Yuling | A research on problems and countermeasures of computer network security in the era of big data | |
| Deep et al. | Analysis and Impact of Cyber Security Threats in India using Mazarbot Case Study | |
| CN105871788A (zh) | 一种登录服务器的密码生成方法及装置 | |
| Parihar et al. | Agent based intrusion detection system to find layers attacks | |
| CN107819575A (zh) | 一种安全音视频加密服务端及认证的实现方法 | |
| Rizvi et al. | A review on intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20100707 |