CN102916960A - 一种应用于物理隔离网闸的策略同步方法及其系统 - Google Patents
一种应用于物理隔离网闸的策略同步方法及其系统 Download PDFInfo
- Publication number
- CN102916960A CN102916960A CN2012103973723A CN201210397372A CN102916960A CN 102916960 A CN102916960 A CN 102916960A CN 2012103973723 A CN2012103973723 A CN 2012103973723A CN 201210397372 A CN201210397372 A CN 201210397372A CN 102916960 A CN102916960 A CN 102916960A
- Authority
- CN
- China
- Prior art keywords
- processing unit
- strategy
- tactful
- module
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种应用于物理隔离网闸的策略同步方法及其系统,用于将物理网闸内网处理单元配置的策略信息同步到物理网闸的外网处理单元,物理网闸内网处理单元的策略识别器对策略流进行识别,如果策略识别器识别出策略,则将该策略进行序列化、构建同步命令并发送至物理网闸外网处理单元。物理网闸外网侧的策略识别器对策略流进行识别,并根据所属控制策略对该业务进行相应的控制。本发明通过在内网处理单元进行策略配置即可同时完成物理网闸的内网处理单元和外网处理单元的策略配置,保证了配置策略文件的安全,进一步增强了物理网闸的安全性;并且外网处理单元在网闸主程序退出的时候会对外网策略的内存进行销毁以进一步保障策略文件的安全。
Description
技术领域
本发明涉及信息技术领域,具体涉及一种应用于物理隔离网闸的策略同步方法及其系统。
背景技术
网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用物理隔离网闸产品来保护内部网络和关键点的基础设施。物理隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。出于安全性考虑,物理网闸的配置策略需要保存在内部处理单元,然而,外部处理单元也需要相应的配置策略进行数据报文控制,所以内部处理单元与外部处理单元之间需要进行配置策略的同步。
发明内容
针对现有技术的不足,本发明提供一种应用于物理隔离网闸的策略同步方法及其系统,实现将物理网闸内网处理单元配置的策略信息同步到物理网闸的外网处理单元。
本发明提供的一种应用于物理隔离网闸的策略同步方法,将物理网闸内网处理单元配置的策略信息同步到物理网闸的外网处理单元,其改进之处在于,所述方法是物理网闸内网处理单元的策略识别器对策略流进行识别,若策略识别器识别出策略,则将该策略进行序列化后发送至物理网闸外网处理单元;物理网闸外网侧的策略识别器对策略流进行识别,并根据所述控制策略对业务进行控制。
其中,所述物理网闸内网处理单元的策略识别器对策略流进行识别,若策略识别器识别出策略,则将该策略进行序列化后发送至物理网闸外网处理单元包括如下步骤:
(1)通过策略识别模块遍历本地所有的配置策略;
(2)判断所述配置策略是否能够识别,是则进入步骤(3),否则返回步骤(1);
(3)将遍历的能识别的配置策略通过策略序列化模块按照报文格式进行序列化;
(4)加密认证模块将序列化后的策略报文进行认证和加密处理,并由同步构建模块将其发送至外网处理单元。其中,认证是指使用公私钥机制判断内网处理单元和外网处理单元身份的真实性,内网处理单元使用外网处理单元的公钥加密序列化后的策略报文,由同步构建模块发送至外网处理单元,外网处理单元使用自己的私钥进行解密得到序列化后的策略报文。
(5)等待外网处理单元策略响应反馈,若成功,则策略同步成功,并根据所述控制策略对业务进行控制;若失败,则返回步骤(1)。
其中,所述物理网闸外网侧的策略识别器对策略流进行识别,并根据所述控制策略对业务进行控制包括如下步骤:
1)外网处理单元接收内网处理单元发送的加密策略报文,交由解密认证模块进行解密处理;
2)通过策略识别模块识别解密后的策略同步报文,通过策略反序列化模块进行发序列化操作,并构建策略链表;
3)由同步结果返回模块返回策略同步结果至同步构建模块。
其中,步骤(3)所述报文格式的内容包括数据包长、策略个数、策略长、策略编号、策略数据和请求类型。
本发明基于另一目的提供的一种应用于物理隔离网闸的策略同步系统,其改进之处在于,所述系统包括物理网闸内网处理单元、物理网闸外网处理单元和安全隔离切换装置;所述物理网闸内网处理单元和所述物理网闸外网处理单元通过所述安全隔离切换装置相互通信;所述安全隔离切换装置保存通信时的数据。
其中,所述物理网闸内网处理单元包括依次连接的配置策略识别模块、策略序列化模块、加密认证模块和同步命令构建模块。
其中,所述外网处理单元包括依次连接的解密认证模块、策略反序列化模块、策略识别模块和同步结果返回模块。
与现有技术比,本发明的有益效果为:
1、通过在内网处理单元进行策略配置即可同时完成物理网闸的内网处理单元和外网处理单元的策略配置,保证了配置策略文件的安全,进一步增强了物理网闸的安全性;
2、外网处理单元在网闸主程序退出的时候会对外网策略的内存进行销毁以进一步保障策略文件的安全。
3、本发明物理隔离网闸是利用双主机形式,从物理上来隔离阻断潜在攻击的连接。物理隔离网闸(GAP)的硬件主要包括三部分:分别是专用的安全隔离切换装置、内部处理单元和外部处理单元。系统中专用的安全隔离切换装置分别连接内部处理单元和外部处理单元。这种独特和巧妙的设计,保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元,从而实现内外网的安全隔离。
附图说明
图1为本发明提供的策略同步方法流程图;
图2为本发明提供的策略同步的报文格式;
图3为本发明提供的策略同步的模块交互图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步的详细说明。
本实施例提出的一种应用于物理隔离网闸的策略同步方法,是将物理网闸内网处理单元配置的策略信息同步到物理网闸的外网处理单元,其特征在于,所述方法是物理网闸内网处理单元的策略识别器对策略流进行识别,若策略识别器识别出策略,则将该策略进行序列化后发送至物理网闸外网处理单元;物理网闸外网侧的策略识别器对策略流进行识别,并根据所述控制策略对业务进行控制。其整体的流程图如图1所示,其中:
所述物理网闸内网处理单元的策略识别器对策略流进行识别,若策略识别器识别出策略,则将该策略进行序列化后发送至物理网闸外网处理单元包括如下步骤:
(1)通过策略识别模块遍历本地所有的配置策略;
(2)判断每个配置策略是否能够识别,是则进入步骤(3),否则返回步骤(1)重新遍历,若再识别失败,则跳过此配置策略;
(3)将遍历的能识别的配置策略通过策略序列化模块按照报文格式进行序列化;所述报文格式的内容如图2所示,包括数据包长、策略个数、策略长、策略编号、策略数据和请求类型。
(4)加密认证模块将序列化后的策略报文进行认证和加密处理,并由同步构建模块将其发送至外网处理单元。
(5)同步构建模块等待外网处理单元策略响应反馈,若成功,则策略同步成功,并根据所述控制策略对业务进行控制;若失败,则返回步骤(1)。根据用户的需求,系统设定相应的策略,对业务进行控制,
所述物理网闸外网侧的策略识别器对策略流进行识别,并根据所述控制策略对业务进行控制包括如下步骤:
1)外网处理单元接收内网处理单元发送的加密策略报文,交由解密认证模块进行解密处理;
2)通过策略识别模块识别解密后的策略同步报文,通过策略反序列化模块进行发序列化操作,并构建策略链表;
3)由同步结果返回模块返回策略同步结果至同步构建模块。
对应的,本实施例提出的一种应用于物理隔离网闸的策略同步系统,其框图如图3所示。包括物理网闸内网处理单元、物理网闸外网处理单元和安全隔离切换装置;所述物理网闸内网处理单元和所述物理网闸外网处理单元通过所述安全隔离切换装置相互通信;所述安全隔离切换装置保存通信时的数据,其为数据暂存区。
其中,所述物理网闸内网处理单元包括依次连接的配置策略识别模块、策略序列化模块、加密认证模块和同步命令构建模块。所述外网处理单元包括依次连接的解密认证模块、策略反序列化模块、策略识别模块和同步结果返回模块。
本发明通过对内网处理单元进行策略配置即可同时完成物理网闸的内网处理单元和外网处理单元的策略配置,保证了配置策略文件的安全,进一步增强了物理网闸的安全性。
本发明网闸内网处理单元可通过一台独立的计算机实现、物理网闸外网处理单元可通过另一台独立的计算机实现,安全隔离切换装置可通过专用物理隔离卡实现。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
Claims (7)
1.一种应用于物理隔离网闸的策略同步方法,将物理网闸内网处理单元配置的策略信息同步到物理网闸的外网处理单元,其特征在于,所述方法是物理网闸内网处理单元的策略识别器对策略流进行识别,若策略识别器识别出策略,则将该策略进行序列化后发送至物理网闸外网处理单元;物理网闸外网侧的策略识别器对策略流进行识别,并根据所述控制策略对业务进行控制。
2.如权利要求1所述的策略同步方法,其特征在于,所述物理网闸内网处理单元的策略识别器对策略流进行识别,若策略识别器识别出策略,则将该策略进行序列化后发送至物理网闸外网处理单元包括如下步骤:
(1)通过策略识别模块遍历本地所有的配置策略;
(2)判断所述配置策略是否能够识别,是则进入步骤(3),否则返回步骤(1);
(3)将遍历的能识别的配置策略通过策略序列化模块按照报文格式进行序列化;
(4)加密认证模块将序列化后的策略报文进行认证和加密处理,并由同步构建模块将其发送至外网处理单元。
(5)等待外网处理单元策略响应反馈,若成功,则策略同步成功,并根据所述控制策略对业务进行控制;若失败,则返回步骤(1)。
3.如权利要求1所述的策略同步方法,其特征在于,所述物理网闸外网侧的策略识别器对策略流进行识别,并根据所述控制策略对业务进行控制包括如下步骤:
1)外网处理单元接收内网处理单元发送的加密策略报文,交由解密认证模块进行解密处理;
2)通过策略识别模块识别解密后的策略同步报文,通过策略反序列化模块进行发序列化操作,并构建策略链表;
3)由同步结果返回模块返回策略同步结果至同步构建模块。
4.如权利要求2所述的策略同步方法,其特征在于,步骤(3)所述报文格式的内容包括数据包长、策略个数、策略长、策略编号、策略数据和请求类型。
5.一种应用于物理隔离网闸的策略同步系统,其特征在于,所述系统包括物理网闸内网处理单元、物理网闸外网处理单元和安全隔离切换装置;所述物理网闸内网处理单元和所述物理网闸外网处理单元通过所述安全隔离切换装置相互通信;所述安全隔离切换装置保存通信时的数据。
6.如权利要求5所述的策略同步系统,其特征在于,所述物理网闸内网处理单元包括依次连接的配置策略识别模块、策略序列化模块、加密认证模块和同步命令构建模块。
7.如权利要求5所述的策略同步系统,其特征在于,所述外网处理单元包括依次连接的解密认证模块、策略反序列化模块、策略识别模块和同步结果返回模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210397372.3A CN102916960B (zh) | 2012-10-18 | 2012-10-18 | 一种应用于物理隔离网闸的策略同步方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210397372.3A CN102916960B (zh) | 2012-10-18 | 2012-10-18 | 一种应用于物理隔离网闸的策略同步方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102916960A true CN102916960A (zh) | 2013-02-06 |
| CN102916960B CN102916960B (zh) | 2016-12-21 |
Family
ID=47615194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210397372.3A Active CN102916960B (zh) | 2012-10-18 | 2012-10-18 | 一种应用于物理隔离网闸的策略同步方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102916960B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746920A (zh) * | 2014-01-24 | 2014-04-23 | 成都卫士通信息产业股份有限公司 | 一种基于网闸实现数据传输的方法 |
| CN106230795A (zh) * | 2016-07-22 | 2016-12-14 | 北京近颐科技有限公司 | 一种移动互联网环境下的网络安全系统 |
| CN109246104A (zh) * | 2018-09-12 | 2019-01-18 | 合肥开元埃尔软件股份有限公司 | 一种面向高保密环境的安全移动警务平台 |
| CN110413702A (zh) * | 2019-06-18 | 2019-11-05 | 山谷网安科技股份有限公司 | 异构数据库内外网同步方法、装置及系统 |
| CN113473218A (zh) * | 2021-07-08 | 2021-10-01 | 北京安盟信息技术股份有限公司 | 一种平台级联视频平衡方法及系统 |
| CN114039788A (zh) * | 2021-11-15 | 2022-02-11 | 绿盟科技集团股份有限公司 | 一种策略传输方法、网闸系统、电子设备及存储介质 |
| CN114124431A (zh) * | 2021-09-13 | 2022-03-01 | 许昌许继软件技术有限公司 | 一种用于隔离装置的文件实时自动同步方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2588677Y (zh) * | 2002-12-10 | 2003-11-26 | 北京天行网安信息技术有限责任公司 | 安全隔离网闸 |
-
2012
- 2012-10-18 CN CN201210397372.3A patent/CN102916960B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2588677Y (zh) * | 2002-12-10 | 2003-11-26 | 北京天行网安信息技术有限责任公司 | 安全隔离网闸 |
Non-Patent Citations (2)
| Title |
|---|
| 周永明: "网络隔离与安全交换原型研究", 《中国优秀硕士学位论文全文数据库信息科技辑》, 15 August 2006 (2006-08-15) * |
| 黑广彬等: "网闸技术应用模式初探", 《全国第19届计算机技术与应用(CACIS)学术会议论文集(下册)》, 31 July 2008 (2008-07-31) * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746920A (zh) * | 2014-01-24 | 2014-04-23 | 成都卫士通信息产业股份有限公司 | 一种基于网闸实现数据传输的方法 |
| CN103746920B (zh) * | 2014-01-24 | 2017-03-15 | 成都卫士通信息产业股份有限公司 | 一种基于网闸实现数据传输的方法 |
| CN106230795A (zh) * | 2016-07-22 | 2016-12-14 | 北京近颐科技有限公司 | 一种移动互联网环境下的网络安全系统 |
| CN109246104A (zh) * | 2018-09-12 | 2019-01-18 | 合肥开元埃尔软件股份有限公司 | 一种面向高保密环境的安全移动警务平台 |
| CN109246104B (zh) * | 2018-09-12 | 2021-06-08 | 安徽中科数盾科技有限公司 | 一种面向高保密环境的安全移动警务系统 |
| CN110413702A (zh) * | 2019-06-18 | 2019-11-05 | 山谷网安科技股份有限公司 | 异构数据库内外网同步方法、装置及系统 |
| CN113473218A (zh) * | 2021-07-08 | 2021-10-01 | 北京安盟信息技术股份有限公司 | 一种平台级联视频平衡方法及系统 |
| CN113473218B (zh) * | 2021-07-08 | 2022-05-24 | 北京安盟信息技术股份有限公司 | 一种平台级联视频平衡方法及系统 |
| CN114124431A (zh) * | 2021-09-13 | 2022-03-01 | 许昌许继软件技术有限公司 | 一种用于隔离装置的文件实时自动同步方法及系统 |
| CN114039788A (zh) * | 2021-11-15 | 2022-02-11 | 绿盟科技集团股份有限公司 | 一种策略传输方法、网闸系统、电子设备及存储介质 |
| CN114039788B (zh) * | 2021-11-15 | 2023-05-26 | 绿盟科技集团股份有限公司 | 一种策略传输方法、网闸系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102916960B (zh) | 2016-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102916960A (zh) | 一种应用于物理隔离网闸的策略同步方法及其系统 | |
| CN103780397B (zh) | 一种多屏多因子便捷web身份认证方法 | |
| CN105610706B (zh) | 一种面向物联网控制系统的智能网关平台 | |
| US20230089134A1 (en) | Data communication method and apparatus, computer device, and storage medium | |
| CN108965215A (zh) | 一种多融合联动响应的动态安全方法与系统 | |
| CN104780177B (zh) | 物联网感知设备云端仿真系统的信息安全保障方法 | |
| CN104113839A (zh) | 基于sdn的移动数据安全保护系统及方法 | |
| CN109040063A (zh) | 车辆ecu密钥的确定方法、装置、设备及存储介质 | |
| CN106209897A (zh) | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 | |
| KR20140046474A (ko) | 지문 정보 인증을 이용한 통신 방법 | |
| CN103281224A (zh) | 一种智能照明控制系统中can总线安全通信方法 | |
| CN103916848A (zh) | 一种移动终端数据备份和恢复的方法及系统 | |
| CN103401771A (zh) | 网络隔离方法及系统 | |
| EP3713147B1 (en) | Railway signal security encryption method and system | |
| CN105262752A (zh) | 一种虚拟钥匙的数据处理方法、装置及移动终端、服务器 | |
| CN109831479A (zh) | 区块链的数据处理方法和系统 | |
| CN106162626A (zh) | 群组通信空口安全控制的方法、装置和系统 | |
| CN102255904B (zh) | 一种通信网络以及对终端的认证方法 | |
| CN103905389B (zh) | 基于中继设备的安全关联、数据传输方法及装置、系统 | |
| CN103916851B (zh) | 一种安全认证的方法、设备及系统 | |
| CN105592121A (zh) | 一种rdp数据采集装置及方法 | |
| CN112953897B (zh) | 一种基于云计算设备的列控系统边缘安全节点的实现方法 | |
| CN109587121A (zh) | 安全策略的管控方法及装置 | |
| CN103096318A (zh) | 一种基于身份隐替机制的无线异构网络统一接入认证方法 | |
| CN101478428B (zh) | 软硬件协同的以太网故障安全通信系统和数据传输方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160427 Address after: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15 Applicant after: China Electric Power Research Institute Applicant after: State Grid Smart Grid Institute Applicant after: State Grid Corporation of China Address before: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15 Applicant before: China Electric Power Research Institute Applicant before: State Grid Corporation of China |
|
| CB02 | Change of applicant information |
Address after: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15 Applicant after: China Electric Power Research Institute Applicant after: GLOBAL ENERGY INTERCONNECTION RESEARCH INSTITUTE Applicant after: State Grid Corporation of China Address before: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15 Applicant before: China Electric Power Research Institute Applicant before: State Grid Smart Grid Institute Applicant before: State Grid Corporation of China |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |