CN106911720A - 一种网闸系统中的安全仲裁方法和装置 - Google Patents
一种网闸系统中的安全仲裁方法和装置 Download PDFInfo
- Publication number
- CN106911720A CN106911720A CN201710266215.1A CN201710266215A CN106911720A CN 106911720 A CN106911720 A CN 106911720A CN 201710266215 A CN201710266215 A CN 201710266215A CN 106911720 A CN106911720 A CN 106911720A
- Authority
- CN
- China
- Prior art keywords
- data message
- data
- receiving
- strategy
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000012545 processing Methods 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims description 34
- 230000000052 comparative effect Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开是关于一种网闸系统中的安全仲裁方法和装置,所述方法包括:接收来自专用网络和/或开放网络的数据报文;对接收的数据报文进行可靠性验证;当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,其中,任一所述预配置的策略包括匹配条件和执行规则;当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。本公开通过对数据报文进行可靠性检验并对数据报文进行策略匹配,按匹配的执行规则进行对应处理,能够避免恶意攻击并对数据报文进行预定处理避免数据泄露。
Description
技术领域
本公开涉及网络安全领域,尤其涉及一种网闸系统中的安全仲裁方法和装置。
背景技术
在互联网应用中,为了安全性考虑,需要将开放网络,如因特网,与专用网络,如金融内部网络,轨交控制网络,进行物理隔离,同时也需要开放网络与专用网络进行数据通信。在这种情况下,需要引入网闸系统用于连接开放网络和专用网络。网闸系统可由双机或三机系统组成。对于三机系统,通常包括连接专用网络的内端机、连接开放网络的外端机和连接内端机和外端机的仲裁机。来自于开放网络的报文将会在外端机上终结,进行报文分组转换后发给内端机,内端机再重建网络报文。仲裁机在中间对内外端机的报文进行监控、仲裁,用以防止外端机发送的数据含有不符合规则的请求,避免攻击;防止内端机发送的数据含有不符合规则的请求,避免数据泄露。因此,提高网闸系统的安全性,特别是仲裁机的仲裁准确性,对保护专用网络具有重要的意义。因此,需要提供一种可靠的安全仲裁方案以保证专用网络的安全性。
发明内容
为克服相关技术中存在的问题,本公开提供一种网闸系统中的安全仲裁方法和装置。
根据本公开实施例的第一方面,提供一种网闸系统中的安全仲裁方法,所述方法包括:接收来自专用网络和/或开放网络的数据报文;对接收的数据报文进行可靠性验证;当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,其中,任一所述预配置的策略包括匹配条件和执行规则;当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。
可选的,所述方法还包括:检测接收的数据报文的长度是否正确;当所述数据报文的长度正确时,执行对接收的数据报文进行可靠性验证的步骤。
可选的,所述可靠性验证包括完整性验证,所述对接收的数据报文进行可靠性验证包括:根据预设算法计算接收的数据报文的摘要值;将计算所得摘要值与接收的数据报文中携带的摘要值进行比较,以得到比较结果;根据所述比较结果确定接收的数据报文是否通过完整性验证。
可选的,所述根据所述比较结果确定接收的数据报文是否通过完整性验证包括:当计算所得的摘要值与接收的数据报文中携带的摘要值相等时,确定接收的数据报文通过完整性验证。
可选的,所述可靠性验证包括合法性验证,所述对接收的数据报文进行可靠性验证包括:提取接收的数据报文中所携带的签名信息;判断所述签名信息是否符合预设的签名要求;当所述签名信息符合预设的签名要求时,确定接收的数据报文通过合法性验证。
可选的,所述方法还包括:在接收的数据报文通过可靠性验证之后,判断接收的数据报文的数据类型;当确定所述接收的数据报文的数据类型为业务数据时,执行将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配的步骤;当确定所述接收的数据报文的数据类型为配置数据时,根据所述配置数据中的配置文件进行策略配置,以形成所述预配置的策略。
可选的,所述方法还包括:检测所述配置数据的数据来源是否合法;当确定所述配置数据的数据来源合法时,执行在根据所述配置数据中的配置文件进行策略配置的步骤。
根据本公开实施例的第二方面,提供一种网闸系统中的安全仲裁装置,所述装置包括:通信模块,用于接收来自专用网络和/或开放网络的数据报文;验证模块,用于对接收的数据报文进行可靠性验证;匹配模块,用于当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,其中,任一所述预配置的策略包括匹配条件和执行规则;处理模块,用于当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。
可选的,所述装置还包括:检测模块,用于检测接收的数据报文的长度是否正确,当所述数据报文的长度正确时,指示所述验证模块对接收的数据报文进行可靠性验证。
可选的,所述装置还包括判断模块和配置模块:所述判断模块用于在接收的数据报文通过可靠性验证之后,判断接收的数据报文的数据类型;所述匹配模块用于当所述判断模块确定所述接收的数据报文的数据类型为业务数据时,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配;所述配置模块用于当所述判断模块确定所述接收的数据报文的数据类型为配置数据时,根据所述配置数据中的配置文件进行策略配置,以形成所述预配置的策略。
本公开的实施例提供的技术方案可以包括以下有益效果:通过对数据报文进行可靠性检验并对数据报文进行策略匹配,按匹配的执行规则进行对应处理,能够避免恶意攻击并对数据报文进行预定处理避免数据泄露。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本发明的原理。
图1是根据一示例性实施例示出的一种网闸系统中的安全仲裁方法的流程图。
图2是根据一示例性实施例示出的检验数据报文长度的过程的流程图。
图3是根据一示例性实施例示出的进行完整性验证的过程流程图。
图4是根据一示例性实施例示出的进行合法性验证的过程流程图。
图5是根据一示例性实施例示出的进行类型判断的过程流程图。
图6是根据一示例性实施例示出的数据报文的格式的示意图;
图7是根据一示例性实施例示出的应用实施例中技术方案的网络连接环境的示意图。
图8是根据一示例性实施例示出的一种网闸系统中的安全仲裁方法的流程图。
图9是根据一示例性实施例示出的一种网闸系统中的安全仲裁装置的结构框图。
图10是根据一示例性实施例示出的一种网闸系统中的安全仲裁装置的结构框图。
图11是根据一示例性实施例示出的一种网闸系统中的安全仲裁装置的结构框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
图1是根据一示例性实施例示出的一种网闸系统中的安全仲裁方法的流程图,该方法可用于仲裁机或其他进行网络安全性防护的设备中,以下示例性说明中以在仲裁机中执行本公开中方法为例进行说明,但本公开中方法不限于仅在仲裁机中运行。如图1所示,该方法可包括以下步骤。
在步骤S11中,接收来自专用网络或开放网络的数据报文。
举例而言,网闸系统可包括内端机、仲裁机和外端机。内端机和外端机通过PCIE(Peripheral Component Interface Express,外部器件互联扩展)总线与仲裁机相连接。外端机提供网络接口与不可信的开放网络连接,内端机提供网络接口与可信的专用网络连接,此外,内端机还可提供管理用的网口、串口等接入方式。仲裁机除了与内外端机连接的PCIE接口外,可以不提供控制接口。仲裁机可以从连接至专用网络的内端机中接收专用网络的数据报文,或者仲裁机可以从连接至开放网络的外端机中接收开放网络的数据报文,或者仲裁机既可从连接至专用网络的内端机中接收专用网络的数据报文又可从连接至开放网络的外端机中接收开放网络的数据报文。
在步骤S12中,对接收的数据报文进行可靠性验证。
举例而言,当仲裁机接收到专用网络的数据报文或开放网络的数据报文时,仲裁机需要对接收的数据报文进行可靠性验证。可靠性验证可包括完整性验证或合法性验证,或者完整性验证和合法性验证。完整性验证是验证数据报文是否传输完整,是否无传输错误,无篡改。合法性验证是验证数据报文是否来自可靠信息源。
在步骤S13中,当可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配。
其中,任一预配置的策略包括匹配条件和执行规则。
举例而言,匹配条件可包括:IP报文五元组和关键字中的至少一者。执行规则可包括:丢弃、缓存、复制、转发和延迟中的至少一者。每个匹配条件配置有对应的执行规则。对于可靠性验证通过的数据报文,从数据报文中提取数据内容,将提取的数据内容与策略中包括的匹配条件进行比较来进行策略匹配。
在步骤S14中,当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对接收的数据报文进行处理。
举例而言,当提取的数据报文中的数据内容与某一策略包含的匹配条件相符时,确定接收的数据报文与该策略相匹配,依照该策略包括的执行规则对数据报文进行处理。
通过本实施例中技术方案,对数据报文进行可靠性检验并对数据报文进行策略匹配,按匹配的执行规则进行对应处理,能够避免恶意攻击并对数据报文进行预定处理避免数据泄露
在一实施例中,如图2所示,所述方法还可包括如下步骤。
在步骤S21中,检测接收的数据报文的长度是否正确。
在步骤S22中,当数据报文的长度正确时,执行对接收的数据报文进行可靠性验证的步骤。
举例而言,仲裁机接收到内端机或外端机发来的数据报文后,首先检测数据报文中的长度字段,判断长度字段包括的数据报文长度是否超过最大允许长度,如果没有超过最大允许长度,则确定数据报文的长度正确,进行对接收的数据报文进行可靠性验证的步骤,如果数据报文长度超过最大允许长度,则确定接收的数据报文异常,将接收的数据报文丢弃,并可以做异常记录。例如,仲裁机接收报文的最大允许长度为16K字节,判断长度字段包括的数据报文长度是否不超过16K字节,将报文长度超过16K字节的数据报文进行丢弃,对报文长度没有超过16K字节的数据报文进行可靠性验证。其中,数据报文长度可不包括摘要长度。
通过本实施例中技术方案,对数据报文长度进行验证,保证进行处理的数据报文为正常数据报文,避免对异常数据报文进行处理,进而提高了操作的运行效率。
在一实施例中,所述可靠性验证包括完整性验证,如图3所示,所述对接收的数据报文进行可靠性验证可包括如下步骤。
在步骤S31中,根据预设算法计算接收的数据报文的摘要值。
在步骤S32中,将计算所得摘要值与接收的数据报文中携带的摘要值进行比较,以得到比较结果。
在步骤S33中,根据比较结果确定接收的数据报文是否通过完整性验证。
进一步地,所述根据比较结果确定接收的数据报文是否通过完整性验证可包括:当计算所得的摘要值与接收的数据报文中携带的摘要值相等时,确定接收的数据报文通过完整性验证。
举例而言,仲裁机可利用MD5(Message Digest Algorithm,消息摘要算法第五版)算法来计算数据报文的MD5摘要值。示例性地,数据报文中用于计算MD5摘要值的部分不包括数据报文中携带的摘要值。例如,将数据报文携带的摘要值置于数据报文的尾部,仅针对之前的报文头和数据内容进行MD5计算,获得MD5摘要值。仲裁机将计算所得的MD5摘要值与数据报文中携带的MD5摘要值进行比较,当两者一致时,确定接收的数据报文通过完整性验证,开始进行后续操作。如果计算所得的MD5摘要值与数据报文中携带的MD5摘要值不一致,则判定接收的数据报文没有通过完整性验证,将接收的数据报文丢弃,还可进行异常记录。
本实施例中对接收的数据报文的完整性进行验证,保证数据未被伪造篡改,进一步提高了网络的安全性。
在一实施例中,所述可靠性验证包括合法性验证,如图4所示,所述对接收的数据报文进行可靠性验证可包括如下步骤。
在步骤S41中,提取接收的数据报文中所携带的签名信息。
在步骤S42中,判断签名信息是否符合预设的签名要求。
在步骤S43中,当签名信息符合预设的签名要求时,确定接收的数据报文通过合法性验证。
举例而言,在仲裁机中存储有签名要求,签名要求与产品系列号相对应。例如,仲裁机接收到配置文件,配置文件中包括产品序列号和对应的签名要求,仲裁机对应于产品序列号存储签名要求。之后,仲裁机接收到数据报文后,从报文头的签名字段中解析出签名信息和产品序列号。仲裁机利用产品序列号查找到存储的与该产品序列号对应的签名要求,判断解析出的签名信息是否符合查找到的签名要求,如果符合则确定数据报文通过合法性验证,开始进行后续操作;否则,确定数据报文没有通过合法性验证,将数据报文丢弃,并可进行异常记录。数据报文的包头中除了包括签名字段外,还可包括过期时间、报文序列和报文长度等。
本实施例中对接收的数据的合法性进行验证,保证数据来源的可靠性,进一步提高了网络的安全性。
在一实施例中,如图5所示,所述方法还可包括如下步骤。
在步骤S51中,在接收的数据报文通过可靠性验证之后,判断接收的数据报文的数据类型。
在步骤S52中,当确定接收的数据报文的数据类型为业务数据时,执行将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配的步骤。
在步骤S53中,当确定所述接收的数据报文的数据类型为配置数据时,根据配置数据中的配置文件进行策略配置,以形成预配置的策略。
进一步地,所述方法还可包括:检测配置数据的数据来源是否合法;当确定配置数据的数据来源合法时,执行在根据配置数据中的配置文件进行策略配置的步骤。
举例而言,仲裁机接收到数据报文后,对数据报文进行可靠性验证,当数据报文通过可靠性验证后,根据报文头的数据类型字段确定数据报文的类型。如果数据报文为业务数据,则对数据报文进行策略匹配,如果数据报文为配置数据,则判断该数据报文是否是从与内端机链接的PCIE通道收取到的报文,如果是,则确定该配置数据的数据来源合法,根据配置数据中的配置文件进行策略配置,否则,确定该配置数据的数据来源不合法,丢弃该配置数据,并可进行异常记录。
在本实施例中,依据数据的数据类型进行对应处理,提高处理的准确性;并且对配置数据的数据来源进行合法性验证,保证了配置的安全性。
以下以图6所示的数据报文和如图7所示的网闸系统为例,对本公开中技术方案进行说明。如图6所示,数据报文包括报文头、数据内容和数据摘要,报文头包括数据长度字段、数据类型字段和签名字段;此外报文头中还可包括序列号和过期时间等(图6中未示出)。如图7所示,网闸系统包括内端机、仲裁机和外端机。内端机和外端机通过PCIE总线与仲裁机相连接。外端机提供网络接口与不可信的开放网络连接,内端机提供网络接口与可信的专用网络连接,此外,内端机还可提供管理用的网口、串口等接入方式(图7未示出)。本实施例中方法运行于仲裁机中,如图8所示,该方法可包括如下步骤。
在步骤S801中,接收来自专用网络或开放网络的数据报文。在步骤S802中,判断长度字段包括的数据报文长度是否超过最大允许长度,如果没有超过最大允许长度,则判定数据报文的长度正确,执行步骤S803,否则,判定接收的数据报文异常,执行步骤S813。在步骤S803中,利用MD5算法来计算数据报文的MD5摘要值。在步骤S804中,判断计算所得的MD5摘要值与数据报文中携带的MD5摘要值是否一致,如果一致,判定接收的数据报文通过完整性验证,执行步骤S805,如果不一致,判定接收的数据报文没有通过完整性验证,执行步骤S813。在步骤S805中,从接收的数据报文的签名字段中解析出签名信息和产品序列号。在步骤S806中,根据产品序列号查找到存储的与该产品序列号对应的签名要求。在步骤S807中,判断解析出的签名信息是否符合查找到的签名要求,如果符合,则判定数据报文通过合法性验证,执行步骤S808;否则,判定数据报文没有通过合法性验证,执行步骤S813。在步骤S808中,判断接收的数据报文的数据类型,当确定接收的数据报文的数据类型为业务数据时,执行步骤S809,当确定接收的数据报文的数据类型为配置数据时,执行步骤S811。在步骤S809中,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,然后执行步骤S810。在步骤S810中,当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对接收的数据报文进行处理。在步骤S811中,判断数据报文是否接收自与内端机链接的PCIE通道,如果是,则确定该配置数据的数据来源合法,执行步骤S812,否则,确定该配置数据的数据来源不合法,执行步骤S813。在步骤S812中,根据配置数据中的配置文件进行策略配置,以形成预配置的策略。在步骤S813中,将接收的数据报文丢弃,并进行异常记录。
上述实施例用于对本公开中技术方案进行示例性说明,不用于限制本公开的保护范围。
图9是根据一示例性实施例示出的一种网闸系统中的安全仲裁装置的结构框图。参照图9,该装置包括通信模块91、验证模块92、匹配模块93和处理模块94。
该通信模块91用于接收来自专用网络和/或开放网络的数据报文。
该验证模块92用于对接收的数据报文进行可靠性验证。
该匹配模块93用于当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配。其中,任一所述预配置的策略包括匹配条件和执行规则。
该处理模块94用于当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。
通过本实施例中技术方案,对数据报文进行可靠性检验并对数据报文进行策略匹配,按匹配的执行规则进行对应处理,能够避免恶意攻击并对数据报文进行预定处理避免数据泄露。
在一实施例中,所述可靠性验证包括完整性验证,验证模块92用于根据预设算法计算接收的数据报文的摘要值;将计算所得摘要值与接收的数据报文中携带的摘要值进行比较,以得到比较结果;根据所述比较结果确定接收的数据报文是否通过完整性验证。
进一步地,验证模块92用于当计算所得的摘要值与接收的数据报文中携带的摘要值相等时,确定接收的数据报文通过完整性验证。
本实施例中对接收的数据报文的完整性进行验证,保证数据未被伪造篡改,进一步提高了网络的安全性。
在一实施例中,所述可靠性验证包括合法性验证,验证模块92用于提取接收的数据报文中所携带的签名信息;判断所述签名信息是否符合预设的签名要求;当所述签名信息符合预设的签名要求时,确定接收的数据报文通过合法性验证。
本实施例中对接收的数据的合法性进行验证,保证数据来源的可靠性,进一步提高了网络的安全性。
在一实施例中,如图10所示,装置还包括检测模块101,用于检测接收的数据报文的长度是否正确,当所述数据报文的长度正确时,指示验证模块92对接收的数据报文进行可靠性验证。
通过本实施例中技术方案,对数据报文长度进行验证,保证进行处理的数据报文为正常数据报文,避免对异常数据报文进行处理,进而提高了操作的运行效率。
在一实施例中,如图11所示,装置还包括判断模块111和配置模块112。
判断模块111用于在接收的数据报文通过可靠性验证之后,判断接收的数据报文的数据类型;
匹配模块93用于判断模块111确定接收的数据报文的数据类型为业务数据时,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配;
配置模块112用于当判断模块111确定接收的数据报文的数据类型为配置数据时,根据配置数据中的配置文件进行策略配置,以形成预配置的策略。
进一步地,配置模块112还用于检测配置数据的数据来源是否合法;当确定所述配置数据的数据来源合法时,在根据配置数据中的配置文件进行策略配置。
在本实施例中,依据数据的数据类型进行对应处理,提高处理的准确性;并且对配置数据的数据来源进行合法性验证,保证了配置的安全性。
上述装置与前述方法相对应,关于装置的具体实施方式可参见方法中详细描述,在此不再赘述。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (10)
1.一种网闸系统中的安全仲裁方法,其特征在于,所述方法包括:
接收来自专用网络和/或开放网络的数据报文;
对接收的数据报文进行可靠性验证;
当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,其中,任一所述预配置的策略包括匹配条件和执行规则;
当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。
2.根据权利要求1所述的安全仲裁方法,其特征在于,所述方法还包括:
检测接收的数据报文的长度是否正确;
当所述数据报文的长度正确时,执行对接收的数据报文进行可靠性验证的步骤。
3.根据权利要求1所述的安全仲裁方法,其特征在于,所述可靠性验证包括完整性验证,
所述对接收的数据报文进行可靠性验证包括:
根据预设算法计算接收的数据报文的摘要值;
将计算所得摘要值与接收的数据报文中携带的摘要值进行比较,以得到比较结果;
根据所述比较结果确定接收的数据报文是否通过完整性验证。
4.根据权利要求3所述的安全仲裁方法,其特征在于,所述根据所述比较结果确定接收的数据报文是否通过完整性验证包括:
当计算所得的摘要值与接收的数据报文中携带的摘要值相等时,确定接收的数据报文通过完整性验证。
5.根据权利要求1或4所述的安全仲裁方法,其特征在于,所述可靠性验证包括合法性验证,
所述对接收的数据报文进行可靠性验证包括:
提取接收的数据报文中所携带的签名信息;
判断所述签名信息是否符合预设的签名要求;
当所述签名信息符合预设的签名要求时,确定接收的数据报文通过合法性验证。
6.根据权利要求1至4任一所述的安全仲裁方法,其特征在于,所述方法还包括:
在接收的数据报文通过可靠性验证之后,判断接收的数据报文的数据类型;
当确定所述接收的数据报文的数据类型为业务数据时,执行将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配的步骤;
当确定所述接收的数据报文的数据类型为配置数据时,根据所述配置数据中的配置文件进行策略配置,以形成所述预配置的策略。
7.根据权利要求6所述的安全仲裁方法,其特征在于,所述方法还包括:
检测所述配置数据的数据来源是否合法;
当确定所述配置数据的数据来源合法时,执行在根据所述配置数据中的配置文件进行策略配置的步骤。
8.一种网闸系统中的安全仲裁装置,其特征在于,所述装置包括:
通信模块,用于接收来自专用网络和/或开放网络的数据报文;
验证模块,用于对接收的数据报文进行可靠性验证;
匹配模块,用于当所述可靠性验证通过后,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配,其中,任一所述预配置的策略包括匹配条件和执行规则;
处理模块,用于当匹配到任一预配置的策略时,通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。
9.根据权利要求8所述的安全仲裁装置,其特征在于,所述装置还包括:
检测模块,用于检测接收的数据报文的长度是否正确,当所述数据报文的长度正确时,指示所述验证模块对接收的数据报文进行可靠性验证。
10.根据权利要求8所述的安全仲裁装置,其特征在于,所述装置还包括判断模块和配置模块:
所述判断模块用于在接收的数据报文通过可靠性验证之后,判断接收的数据报文的数据类型;
所述匹配模块用于当所述判断模块确定所述接收的数据报文的数据类型为业务数据时,将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配;
所述配置模块用于当所述判断模块确定所述接收的数据报文的数据类型为配置数据时,根据所述配置数据中的配置文件进行策略配置,以形成所述预配置的策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710266215.1A CN106911720A (zh) | 2017-04-21 | 2017-04-21 | 一种网闸系统中的安全仲裁方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710266215.1A CN106911720A (zh) | 2017-04-21 | 2017-04-21 | 一种网闸系统中的安全仲裁方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106911720A true CN106911720A (zh) | 2017-06-30 |
Family
ID=59210087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710266215.1A Pending CN106911720A (zh) | 2017-04-21 | 2017-04-21 | 一种网闸系统中的安全仲裁方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106911720A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113422671A (zh) * | 2021-06-30 | 2021-09-21 | 北京交通大学 | 一种用于司法公开的内外网数据一致性的核验方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101022343A (zh) * | 2007-03-19 | 2007-08-22 | 杭州华为三康技术有限公司 | 网络入侵检测/抵御系统及方法 |
CN102546398A (zh) * | 2011-12-16 | 2012-07-04 | 华为技术有限公司 | 一种报文匹配方法及装置 |
CN103746920A (zh) * | 2014-01-24 | 2014-04-23 | 成都卫士通信息产业股份有限公司 | 一种基于网闸实现数据传输的方法 |
US20150310067A1 (en) * | 2014-04-28 | 2015-10-29 | Red Hat, Inc. | Method and system for providing security in a data federation system |
CN106230795A (zh) * | 2016-07-22 | 2016-12-14 | 北京近颐科技有限公司 | 一种移动互联网环境下的网络安全系统 |
CN106452792A (zh) * | 2016-11-21 | 2017-02-22 | 济南浪潮高新科技投资发展有限公司 | 一种基于数字签名完整性校验的数据单项传输模块 |
CN106487772A (zh) * | 2015-09-01 | 2017-03-08 | 威海兴达信息科技有限公司 | 一种内网安全隔离网闸系统 |
-
2017
- 2017-04-21 CN CN201710266215.1A patent/CN106911720A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101022343A (zh) * | 2007-03-19 | 2007-08-22 | 杭州华为三康技术有限公司 | 网络入侵检测/抵御系统及方法 |
CN102546398A (zh) * | 2011-12-16 | 2012-07-04 | 华为技术有限公司 | 一种报文匹配方法及装置 |
CN103746920A (zh) * | 2014-01-24 | 2014-04-23 | 成都卫士通信息产业股份有限公司 | 一种基于网闸实现数据传输的方法 |
US20150310067A1 (en) * | 2014-04-28 | 2015-10-29 | Red Hat, Inc. | Method and system for providing security in a data federation system |
CN106487772A (zh) * | 2015-09-01 | 2017-03-08 | 威海兴达信息科技有限公司 | 一种内网安全隔离网闸系统 |
CN106230795A (zh) * | 2016-07-22 | 2016-12-14 | 北京近颐科技有限公司 | 一种移动互联网环境下的网络安全系统 |
CN106452792A (zh) * | 2016-11-21 | 2017-02-22 | 济南浪潮高新科技投资发展有限公司 | 一种基于数字签名完整性校验的数据单项传输模块 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113422671A (zh) * | 2021-06-30 | 2021-09-21 | 北京交通大学 | 一种用于司法公开的内外网数据一致性的核验方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104901971B (zh) | 对网络行为进行安全分析的方法和装置 | |
KR101702545B1 (ko) | 데이터 인증방법 및 그 장치 | |
US8423835B2 (en) | System and method providing fault detection capability | |
CN110351281B (zh) | 一种通用数据帧解析方法、装置及设备 | |
CN109190362B (zh) | 安全通信方法及相关设备 | |
CN111866024B (zh) | 一种网络加密流量识别方法及装置 | |
JP2005341552A (ja) | 証明書失効リストの分配管理方法 | |
EP3220576A1 (en) | Information processing device and message authentication method | |
Van den Herrewegen et al. | Beneath the bonnet: A breakdown of diagnostic security | |
KR20170120029A (ko) | 데이터 전송 조작을 방지하기 위한 방법 및 장치 | |
CN114444105B (zh) | 一种智能审计数据报送安全方法 | |
JP7040992B2 (ja) | 脆弱性情報生成装置および脆弱性評価装置 | |
CN109159758A (zh) | 设备认证方法及车载设备 | |
CN108028846A (zh) | 对测试数据组完整性的监视 | |
CN115270128A (zh) | 安全系统和安全方法 | |
CN106911720A (zh) | 一种网闸系统中的安全仲裁方法和装置 | |
US11895127B2 (en) | Vehicle communication device, method of determining communication abnormality, and storage medium storing program | |
CN113660254A (zh) | 一种云桌面分布式网络终端安全接入策略、设备及系统 | |
CN107332862A (zh) | 一种身份认证方法、前置机及身份认证系统 | |
US20230224289A1 (en) | Communication device, vehicle, communication method, and recording medium recorded with program | |
CN115829572A (zh) | 跨链数据交互方法、装置、设备、介质及产品 | |
JP7176564B2 (ja) | 監視装置、および、監視方法 | |
CN114449504B (zh) | 一种nfc标签的验证方法、电子设备及存储介质 | |
CN106372523A (zh) | 一种modem文件安全保护方法及系统 | |
CN106548098A (zh) | 用于检测故障攻击的方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |