CN109391635A - 基于双向网闸的数据传输方法、装置、设备及介质 - Google Patents
基于双向网闸的数据传输方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN109391635A CN109391635A CN201811540894.8A CN201811540894A CN109391635A CN 109391635 A CN109391635 A CN 109391635A CN 201811540894 A CN201811540894 A CN 201811540894A CN 109391635 A CN109391635 A CN 109391635A
- Authority
- CN
- China
- Prior art keywords
- message
- destination
- main frame
- udp
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于双向网闸的数据传输方法,双向网闸包括外端主机及内端主机,外端主机与访问终端处于第一安全域,内端主机与服务终端处于第二安全域。在第一安全域,访问终端向外端主机发送UDP数据报文;外端主机判断UDP数据报文中是否合法,若是,则将UDP数据报文中的源IP、源端口、目的IP及目的端口添加到UDP数据报文中,以组成私有协议数据报文并发送至内端主机;在第二安全域,内端主机剥离私有协议数据报文中的源IP、源端口、目的IP、目的端口,并根据目的IP及目的端口将UDP数据报文发送至服务终端。该方法支持使用UDP进行数据传输的任何应用层协议。本发明还提供一种数据传输装置、设备及计算机可读介质。
Description
技术领域
本发明涉及数据安全领域领域,尤其涉及一种基于双向网闸的数据传输方法、装置、设备及介质。
背景技术
TCP/IP四层模型由上至下命名为链路层、网络层、传输层及应用层。网闸的所有功能模块均工作在应用层且需对协议进行剥离和重组,也就是说,功能模块监听的实体应该为本机地址,对于目标地址非本机的所有报文均无法被协议栈处理。要想实现UDP协议透传(客户端访问真实的服务器地址,UDP协议报文中的目标地址非本机地址),需在网络层和传输层对报文进行二次处理。目前,还没有成熟的设计方案和应用技术来实现UDP协议的透传。
发明内容
(一)要解决的技术问题
针对目前存在的技术问题,本发明提出一种基于双向网闸的数据传输方法、装置、设备及介质,用于至少部分解决上述技术问题。
(二)技术方案
本发明一方面提供一种基于双向网闸的数据传输方法,该双向网闸包括外端主机及内端主机,其中,外端主机与访问终端处于第一安全域,内端主机与服务终端处于第二安全域,方法包括:在第一安全域中,访问终端向外端主机发送UDP数据报文;外端主机判断UDP数据报文中的目标地址是否合法,若是,则将UDP数据报文中的源IP、源端口、目的IP及目的端口添加到UDP数据报文中,以组成私有协议数据报文并发送至所述内端主机;在第二安全域中,内端主机将私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离,并根据目的IP及目的端口将UDP数据报文发送至所述服务终端。
可选地,外端主机包括第一网络层、第一内核态及第一用户态,在第一网络层捕获UDP数据报文,并判断其目标地址是否合法,若是,则发送UDP数据报文至所述内核态;在第一内核态获取所述源IP、源端口、目的IP及目的端口;在第一用户态将源IP、源端口、目的IP及目的端口添加到UDP数据报文中,以组成私有协议数据报文并发送至所述内端主机。
可选地,内端主机包括第二网络层及第二用户态,在第二网络层判断私有协议数据报文是否合法,若是,则发送至第二用户态;在第二用户态将私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离,并根据目的IP及目的端口将UDP数据报文发送至服务终端。
可选地,在所述第一网络层捕获UDP数据报文,并判断其目的地址是否合法,包括:自定义列表,将可信的IP地址信息添加到列表中生成白名单;获取UDP数据报文的目的地址,与白名单中的IP地址信息对比,若白名单中具有UDP数据报文的目的地址,则合法,否则不合法。
可选地,在第一内核态获取源IP、源端口、目的IP及目的端口,包括:从UDP数据报文的IP头部获取所述源IP及目的IP;从UDP数据报文的UDP头部获取源端口及目的端口;将源IP、源端口、目的IP及目的端口添加到第一用户态自定义个一结构列表中,结构列表用于被第一用户态在生成上述私有协议数据报文的过程中调用。
可选地,在第二网络层判断私有协议数据报文是否合法,包括:通过私有协议数据报文中的数据标识和校验和检测该私有协议数据报文的合法性。
可选地,在第二用户态将私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离,并根据目的IP及目的端口将所述UDP数据报文发送至所述服务终端之前,还包括:获取所述私有协议数据报文中的任务ID;判断任务ID中是否存在与私有协议数据报文对应的任务条目,若是,则将私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离。
本发明另一方面提供一种基于双向网闸的数据传输的装置,双向网闸包括外端主机及内端主机,其中,外端主机与访问终端处于第一安全域,内端主机与服务终端处于第二安全域,该装置包括:报文捕获模块,用于捕获访问终端发送至外端主机的UDP数据报文,并判断UDP数据报文中的目的地址是否合法;报文生成模块,用于将合法的UDP数据报文中的源IP、源端口、目的IP及目的端口添加到UDP数据报文中,以组成私有数据协议报文并发送至所述内端主机;报文发送模块,用于将私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离,并根据目的IP及目的端口将UDP数据报文发送至服务终端。
本发明另一方面还提供一种电子设备,包括:处理器;存储器,其存储有计算机可执行程序,该程序在被所述处理器执行时,使得所述处理器执行本发明中的基于双向网闸的数据传输方法。
本发明另一方面还提供一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现本发明中的基于双向网闸的数据传输方法。
(三)有益效果
本发明提供的一种基于双向网闸的数据传输方法、装置、设备及介质,有益效果为:通过外端主机和内端主机构成的双向安全隔离网闸对访问终端发送的目标地址非本机的UDP数据报文进行二次处理,转变为私有协议格式的数据报文后发送至服务终端,实现目标地址非本机的数据报文的完整传输,且该方法支持使用UDP协议进行数据传输的任何应用层协议。
附图说明
为了更完整地理解本发明及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本发明实施例的双向安全隔离网闸架构的示意图。
图2示意性示出了根据本发明实施例的UDP协议透传方法的流程提。
图3示意性示出了根据本发明实施例的IP头部结构与UDP头部结构定义的示意图。
图4示意性示出了根据本发明实施例的私有协议格式的数据报文结构定义的示意图。
图5示意性示出了根据本发明实施例的基于双向安全隔离网闸的数据传输装置的框图
图6示意性示出了根据本发明实施例的基于双向安全隔离网闸的数据传输的电子设备框图。
具体实施方式
以下,将参照附图来描述本发明的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本发明的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本发明实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
本发明实施例提出一种基于双向网闸的数据传输方法,可用于基于UDP所有应用层协议的透传。
双向安全隔离网闸,简称“双向网闸”。由外端主机与内端主机构成,外端主机和内段主机分别安装标准的Linux操作系统。其主要部署在两个不同的安全域之间,实现不同密级网络域的安全隔离与数据交换需求,其中,外端主机与访问终端处于第一安全域,内端主机与服务终端处于第二安全域。UDP协议透传是指通过双向网闸传输目标地址非本机的网络报文。反映到具体的业务层面,可在不改变整个网络拓扑与业务访问模式的情况下,实现两个不同密级网络域的安全隔离与数据交换。UDP协议工作在传输层,基于UDP承载的应用层(用户态)协议有很多,例如:SNMP协议、DNS协议及SIP协议等。
图1示意性示出了双向网闸架构的示意图。如图1所示,该双向网闸架构包括:
外端主机,包括部署在网络层的数据分析引擎,部署在内核态的报文处理服务模块及部署在用户态的UDP协议监听服务模块。
具体地,外端主机的用户态在应用层的本机地址上启动一个固定端口的UDP协议监听服务,配置允许被访问的真实目标服务地址并将策略信息下发至内核态。在网络层截获目标地址非本机的数据报文,分析其IP头部结构,获取该数据报文的协议类型及目标地址。如果协议类型为UDP且目标地址允许被访问,那么把目标地址非本机的数据报文经由内核态推送至用户态进行处理;否则,该报文在网络层被直接丢弃。用户态在读取到该报文信息后,对数据内容进行安全过滤,将合法的报文进行协议私有化处理生成私有数据报文,发送至内端主机,非法的数据报文将被直接阻断。
内端主机,包括部署在网络层的数据分析引擎,部署在用户态的UDP协议监听服务模块及协议分析引擎。
具体地,内端主机在网络层读取由外端主机推送过来的私有数据报文,在用户态判断任务ID中是否存在与私有数据报文对应的任务条目后,剥离掉对应的任务条目的私有数据报文的MAC、IP及UDP头部,通过私有化协议头部获取真实的服务地址,将重新组装的TCP/IP协议五元组与数据报文信息发送至服务终端中真实的目标服务器。
总体来说,外端主机和内端主机组成了安全隔离区域。访问终端为真实的数据请求者,服务终端为真实的业务请求响应者。外端主机和内端主机各功能模块协同联动,实现访问终端与服务终端之间目标地址非本机的数据报文的完整传输。
图2示意性示出了本发明实施例的基于双向网闸的数据传输方法具体流程图。如图2所示,方法包括:
S1,在第一安全域中,访问终端向外端主机发送UDP数据报文。
访问终端会根据需求生成数据报文发送至服务终端,该数据报文中的目的地址非本机地址。
S2,外端主机判断UDP数据报文中的目标地址是否合法,若是,则将所述UDP数据报文中的源IP、源端口、目的IP及目的端口添加到所述UDP数据报文中,以组成私有协议数据报文并发送至内端主机
具体地,在外端主机的第一网络层启动网络层数据分析引擎,读取第一用户态应用层UDP协议监听服务(指具体的应用协议进程,例如SNMP协议等)下发的服务器白名单访问控制策略将相关可信的IP地址信息加入到自定义列表中生成白名单;在第一网络层,启动的数据分析引擎服务,开始接收访问终端发向外端主机的的目标地址非本机的数据报文。当第一网络层的数据捕获引擎接收到该数据报文时,首先获取数据报文中IP头的协议类型及目的地址信息。如果协议类型为UDP协议且在可信控制列表的白名单中可找到获取的目的地址,则说明该数据报文为UDP数据报文且合法,那么将UDP数据报文发送给第一内核态的报文处理服务模块;否则,该UDP数据报文不合法,丢弃该UDP数据报文,第一网络层的数据分析引擎继续接收数据。
第一内核态的报文处理服务模块在接收到UDP数据报文后,从UDP数据报文中的IP头部获取源和目标的地址信息,从UDP头部获取源和目标的端口信息,IP头部结构与UDP头部结构定义如图3所示。然后,将获取的4元组信息(源IP、源端口、目的IP、目的端口)填充到第一用户态自定义的一个结构列表中,该结构列表将被第一用户态的UDP协议监听服务模块调取和使用。完成上述操作后,第一内核态的报文处理服务模块将报文发送给第一用户态的UDP协议监听服务模块。
第一用户态的UDP协议监听服务模块接收第一内核态的报文处理服务模块发送的UDP数据报文后,对其内容进行过滤,判断其是否合法,过滤主要是判断UDP数据报文的内容是否包含非法的关键字等。若合法,则调用结构列表获取源IP、源端口、目的IP及目的端口,将其添加至UDP数据报文数据报文的头部组装成私有协议格式的数据报文,并将还其中私有协议格式的数据报文数据报文头部还包括数据标识和任务ID。
该私有协议的数据报文结构定义如图4所示。其中,数据标识:唯一标识由外端主机发送的合法报文;任务ID:用户态可启动多个进程服务,用来响应不同的请求;源端地址:访问终端的IP地址信息;目的地址:终端访问的真实IP地址信息;源端端口:访问终端的端口信息;目的端口:终端访问的真实端口信息;用户数据包长度:数据报文的总长度;校验和:对数据报文进行MD5编码,防止信息被篡改;数据报文:终端发送的真实请求数据。
S3,在第二安全域中,内端主机将私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离,并根据目的IP及目的端口将UDP数据报文发送至服务终端中的这是服务器。
具体地,在第二网络层,启动数据分析引擎,接收外端主机发送过来的私有协议数据报文,通过数据标识和校验和检测报文的合法性。将合法的私有协议数据报文经由第二内核态直接发送给第二用户态的UDP协议监听服务模块,非法的报文则被直接丢弃。由于该报文无需在内核态进行二次处理,所以采用标准的Linux协议栈进行数据摆渡即可。
第二用户态的UDP协议监听服务模块接收合法的私有协议数据报文后,获取该私有协议格式数据报文头中的任务ID,通过该任务ID判定该任务ID中是否存在与私有协议格式数据报文对应的任务条目,若不存在,即报文匹配失败,直接将其丢弃;若存在,将该数据报文发送给第二用户态的协议分析引擎。
在第二用户态,协议分析引擎接收存在对应任务条目的私有协议格式数据报文,剥离掉私有协议数据报文的头部(即源IP、源端口、目的IP、目的端口等),提取从访问终端发送过来的原始UDP数据报文,,将该UDP数据报文发送至私有协议数据报文头部中目的地址与端口在服务终端对应的具体目的地址与端口。
综上所述,本发明实施例提出一种基于双向安全隔离网闸的数据传输方法,通过外端主机和内端主机构成的双向安全隔离网闸对访问终端发送的目标地址非本机的UDP数据报文进行二次处理,转变为私有协议格式的数据报文进行传输,最后剥离私有协议格式的数据报文的头部重新得到UDP数据报文,并发送至终端业务服务器,实现目标地址非本机的数据报文的完整传输。该方法支持使用UDP协议进行数据传输的任何应用层协议。
图5示意性示出了根据本发明实施例的基于双向安全隔离网闸的协议透传装置500的框图。
如图5所示,UDP协议透传的装置500包括报文捕获模块510、报文生成模块520及报文发送模块530。
报文捕获模块510,用于捕获访问终端发送至外端主机的数据报文,并判断所述UDP数据报文中的目的地址是否合法。具体地,在第一网络层启动数据分析引擎服务,开始接收发向外端主机的目标地址非本机的数据报文。当数据捕获引擎接收到该数据报文时,首先获取IP头的协议类型及目的地址信息。如果协议类型为UDP协议且在可信控制列表的白名单中可找到获取的目的地址,那么,说明该报文为合法的UDP数据报文,将该UDP数据报文发送给第一内核态的报文处理服务模块。
报文生成模块520,用于将合法的UDP数据报文中的源IP、源端口、目的IP及目的端口添加到UDP数据报文中,以组成私有数据协议报文并发送至内端主机。具体的,在第一内核态获取合法的UDP数据报文中的源IP、源端口、目的IP及目的端口填充到用户态自定义的一个结构列表中后,将UDP数据报文发送至第一用户态。在第一用户态,UDP协议监听服务模块对其内容进行过滤,判断其是否合法,过滤主要是判断UDP数据报文的内容是否包含非法的关键字等。若合法,则调用结构列表获取源IP、源端口、目的IP及目的端口,将其添加至UDP数据报文数据报文的头部组装成私有协议格式的数据报文,并将还其中私有协议格式的数据报文数据报文头部还包括数据标识和任务ID。
报文发送模块530,用于将私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离,并根据目的IP及目的端口将UDP数据报文发送至服务终端。具体地,在第二网络层,数据分析引擎接收私有协议数据报文,判断其是否合法,具体是通过私有协议数据报文中的数据标识和校验和检测报文的合法性,将合法的私有协议数据报文发送至第二用户态。在第二用户态中,根据该私有协议数据报文中的任务ID判定任务ID中是否存在与该私有协议数据报文对应的任务条目,若有,剥离该私有协议数据报文的头部获取原始的UDP数据报文,并根据目的IP与目的端口将UDP数据报文发送至所述服务终端。
应当理解,报文捕获模块510、报文生成模块520及报文发送模块530可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本发明的实施例,报文捕获模块510、报文生成模块520及报文发送模块530中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以以对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式的适当组合来实现。或者,报文捕获模块510、报文生成模块520及报文发送模块530中的至少一个可以至少被部分地实现为计算机程序模块,当该程序被计算机运行时,可以执行相应模块的功能。
本发明提供一种电子设备,如图6所示,该电子设备600包括处理器610和存储器620。该电子设备600可以执行根据图2所示的本发明实施例的方法。
具体地,处理器610例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器610还可以包括用于缓存用途的板载存储器。处理器610可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
存储器620,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
存储器620可以包括计算机程序621,该计算机程序621可以包括代码/计算机可执行指令,其在由处理器610执行时使得处理器610执行根据本公开实施例的方法或其任何变形。
计算机程序621可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序621中的代码可以包括至少一个程序模块,例如包括模块621A、模块621B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器610执行时,使得处理器610可以执行根据本公开实施例的方法或其任何变形。
本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线、光缆、射频信号等等,或者上述的任意合适的组合。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (10)
1.一种基于双向网闸的数据传输方法,其特征在于,所述双向网闸包括外端主机及内端主机,其中,外端主机与访问终端处于第一安全域,所述内端主机与服务终端处于第二安全域,方法包括:
在所述第一安全域中,所述访问终端向外端主机发送UDP数据报文;
所述外端主机判断所述UDP数据报文中的目标地址是否合法,若是,则将所述UDP数据报文中的源IP、源端口、目的IP及目的端口添加到所述UDP数据报文中,以组成私有协议数据报文并发送至所述内端主机;
在所述第二安全域中,所述内端主机将所述私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离,并根据所述目的IP及目的端口将所述UDP数据报文发送至所述服务终端。
2.根据权利要求1所述的基于双向网闸的数据传输方法,其特征在于,所述外端主机包括第一网络层、第一内核态及第一用户态,
在所述第一网络层捕获所述UDP数据报文,并判断其目标地址是否合法,若是,则发送所述UDP数据报文至所述内核态;
在所述第一内核态获取所述源IP、源端口、目的IP及目的端口;
在所述第一用户态将源IP、源端口、目的IP及目的端口添加到所述UDP数据报文中,以组成私有协议数据报文并发送至所述内端主机。
3.根据权利要求1所述的基于双向网闸的数据传输方法,其特征在于,所述内端主机包括第二网络层及第二用户态,
在所述第二网络层判断所述私有协议数据报文是否合法,若是,则发送至所述第二用户态;
在所述第二用户态将所述私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离,并根据所述目的IP及目的端口将所述UDP数据报文发送至所述服务终端。
4.根据权利要求2所述的基于双向网闸的数据传输方法,其特征在于,所述在所述第一网络层捕获所述UDP数据报文,并判断其目的地址是否合法,包括:
自定义列表,将可信的IP地址信息添加到所述列表中生成白名单;
获取所述UDP数据报文的目的地址,与所述白名单中的IP地址信息对比,若所述白名单中具有所述UDP数据报文的目的地址,则合法,否则不合法。
5.根据权利要求2所述的基于双向网闸的数据传输方法,其特征在于,在所述第一内核态获取所述源IP、源端口、目的IP及目的端口,包括:
从所述UDP数据报文的IP头部获取所述源IP及目的IP;
从所述UDP数据报文的UDP头部获取所述源端口及目的端口;
将所述源IP、源端口、目的IP及目的端口添加到所述第一用户态自定义个一结构列表中,所述结构列表用于被所述第一用户态在生成上述私有协议数据报文的过程中调用。
6.根据权利要求3所述的基于双向网闸的数据传输方法,其特征在于,在所述第二网络层判断所述私有协议数据报文是否合法,包括:
通过所述私有协议数据报文中的数据标识和校验和检测该私有协议数据报文的合法性。
7.根据权利要求3所述的基于双向网闸的数据传输方法,其特征在于,所述在所述第二用户态将所述私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离,并根据所述目的IP及目的端口将所述UDP数据报文发送至所述服务终端之前,还包括:
获取所述私有协议数据报文中的任务ID;
判断所述任务ID中是否存在与所述私有协议数据报文对应的任务条目,若是,则将所述私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离。
8.一种基于双向网闸的数据传输的装置,其特征在于,所述双向网闸包括外端主机及内端主机,其中,外端主机与访问终端处于第一安全域,所述内端主机与服务终端处于第二安全域,所述装置包括:
报文捕获模块,用于捕获所述访问终端发送至外端主机的UDP数据报文,并判断所述UDP数据报文中的目的地址是否合法;
报文生成模块,用于将合法的所述UDP数据报文中的源IP、源端口、目的IP及目的端口添加到所述UDP数据报文中,以组成私有数据协议报文并发送至所述内端主机;
报文发送模块,用于将所述私有协议数据报文中的源IP、源端口、目的IP、目的端口剥离,并根据所述目的IP及目的端口将所述UDP数据报文发送至所述服务终端。
9.一种电子设备,包括:
处理器;
存储器,其存储有计算机可执行程序,该程序在被所述处理器执行时,使得所述处理器执行如权利要求1-7中任意一项所述的基于双向网闸的数据传输方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任意一项所述的基于双向网闸的数据传输方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811540894.8A CN109391635B (zh) | 2018-12-17 | 2018-12-17 | 基于双向网闸的数据传输方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811540894.8A CN109391635B (zh) | 2018-12-17 | 2018-12-17 | 基于双向网闸的数据传输方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109391635A true CN109391635A (zh) | 2019-02-26 |
| CN109391635B CN109391635B (zh) | 2021-12-17 |
Family
ID=65430259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811540894.8A Active CN109391635B (zh) | 2018-12-17 | 2018-12-17 | 基于双向网闸的数据传输方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109391635B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111083158A (zh) * | 2019-12-26 | 2020-04-28 | 深圳市东晟数据有限公司 | 一种通过两单向网闸进行双向报文传输的处理方法及系统 |
| CN111131154A (zh) * | 2019-11-19 | 2020-05-08 | 北京国铁盛阳技术有限公司 | 网管数据摆渡方法和系统、存储介质以及计算机设备 |
| CN112468518A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 访问数据处理方法、装置、存储介质及计算机设备 |
| CN113282893A (zh) * | 2021-04-27 | 2021-08-20 | 南方电网数字电网研究院有限公司 | 源代码加固方法、装置、计算机设备和存储介质 |
| CN113596184A (zh) * | 2020-04-30 | 2021-11-02 | 华为技术有限公司 | 混合云系统、网闸、网络访问方法及存储介质 |
| CN114039788A (zh) * | 2021-11-15 | 2022-02-11 | 绿盟科技集团股份有限公司 | 一种策略传输方法、网闸系统、电子设备及存储介质 |
| CN114598497A (zh) * | 2022-01-26 | 2022-06-07 | 南京南瑞信息通信科技有限公司 | 基于传输卡可纠错多通道的数据隔离装置及方法 |
| CN114710570A (zh) * | 2022-03-16 | 2022-07-05 | 深圳市风云实业有限公司 | 一种基于内核态协议栈的udp数据零拷贝传输方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254396A (zh) * | 2016-10-13 | 2016-12-21 | 成都东方盛行电子有限责任公司 | 私有协议信息传输系统与方法 |
| CN107172020A (zh) * | 2017-04-28 | 2017-09-15 | 湖北微源卓越科技有限公司 | 一种网络数据安全交换方法及系统 |
| KR20180020852A (ko) * | 2016-08-19 | 2018-02-28 | 한국전자통신연구원 | 조건부 양방향 통신 장치 및 방법 |
| CN107809415A (zh) * | 2017-08-07 | 2018-03-16 | 国网河南省电力公司 | 基于双单向通道传输技术的网络隔离系统及其实现方法 |
| CN208063238U (zh) * | 2018-02-28 | 2018-11-06 | 北京崇远信达科技有限公司 | 数据加密安全网闸 |
-
2018
- 2018-12-17 CN CN201811540894.8A patent/CN109391635B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180020852A (ko) * | 2016-08-19 | 2018-02-28 | 한국전자통신연구원 | 조건부 양방향 통신 장치 및 방법 |
| CN106254396A (zh) * | 2016-10-13 | 2016-12-21 | 成都东方盛行电子有限责任公司 | 私有协议信息传输系统与方法 |
| CN107172020A (zh) * | 2017-04-28 | 2017-09-15 | 湖北微源卓越科技有限公司 | 一种网络数据安全交换方法及系统 |
| CN107809415A (zh) * | 2017-08-07 | 2018-03-16 | 国网河南省电力公司 | 基于双单向通道传输技术的网络隔离系统及其实现方法 |
| CN208063238U (zh) * | 2018-02-28 | 2018-11-06 | 北京崇远信达科技有限公司 | 数据加密安全网闸 |
Non-Patent Citations (1)
| Title |
|---|
| 王济意: "基于物理隔离技术的安全信息交换系统", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131154A (zh) * | 2019-11-19 | 2020-05-08 | 北京国铁盛阳技术有限公司 | 网管数据摆渡方法和系统、存储介质以及计算机设备 |
| CN111083158A (zh) * | 2019-12-26 | 2020-04-28 | 深圳市东晟数据有限公司 | 一种通过两单向网闸进行双向报文传输的处理方法及系统 |
| CN111083158B (zh) * | 2019-12-26 | 2022-03-08 | 深圳市东晟数据有限公司 | 一种通过两单向网闸进行双向报文传输的处理方法及系统 |
| CN113596184B (zh) * | 2020-04-30 | 2023-08-08 | 华为云计算技术有限公司 | 混合云系统、网闸、网络访问方法及存储介质 |
| CN113596184A (zh) * | 2020-04-30 | 2021-11-02 | 华为技术有限公司 | 混合云系统、网闸、网络访问方法及存储介质 |
| CN112468518A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 访问数据处理方法、装置、存储介质及计算机设备 |
| CN112468518B (zh) * | 2021-01-28 | 2021-04-20 | 腾讯科技(深圳)有限公司 | 访问数据处理方法、装置、存储介质及计算机设备 |
| CN113282893A (zh) * | 2021-04-27 | 2021-08-20 | 南方电网数字电网研究院有限公司 | 源代码加固方法、装置、计算机设备和存储介质 |
| CN114039788A (zh) * | 2021-11-15 | 2022-02-11 | 绿盟科技集团股份有限公司 | 一种策略传输方法、网闸系统、电子设备及存储介质 |
| CN114039788B (zh) * | 2021-11-15 | 2023-05-26 | 绿盟科技集团股份有限公司 | 一种策略传输方法、网闸系统、电子设备及存储介质 |
| CN114598497A (zh) * | 2022-01-26 | 2022-06-07 | 南京南瑞信息通信科技有限公司 | 基于传输卡可纠错多通道的数据隔离装置及方法 |
| CN114598497B (zh) * | 2022-01-26 | 2023-10-20 | 南京南瑞信息通信科技有限公司 | 基于传输卡可纠错多通道的数据隔离装置及方法 |
| CN114710570A (zh) * | 2022-03-16 | 2022-07-05 | 深圳市风云实业有限公司 | 一种基于内核态协议栈的udp数据零拷贝传输方法 |
| CN114710570B (zh) * | 2022-03-16 | 2023-08-25 | 深圳市风云实业有限公司 | 一种基于内核态协议栈的udp数据零拷贝传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109391635B (zh) | 2021-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109391635A (zh) | 基于双向网闸的数据传输方法、装置、设备及介质 | |
| CN109347881B (zh) | 基于网络欺骗的网络防护方法、装置、设备及存储介质 | |
| CN111917727A (zh) | 基于5G和WiFi的电力物联网安全智能图传系统及方法 | |
| CN110061993B (zh) | 一种包含公网出口地址的日志生成方法、装置及接入设备 | |
| CN109587097A (zh) | 一种实现安全访问内部网络的系统、方法和装置 | |
| US9294463B2 (en) | Apparatus, method and system for context-aware security control in cloud environment | |
| EP3817272A1 (en) | Information synchronization method, authentication method and device | |
| CN109005204A (zh) | 一种直播处理方法、装置及系统 | |
| CN108881308A (zh) | 一种用户终端及其认证方法、系统、介质 | |
| US11431806B2 (en) | Internet of things information system of multiple objects | |
| US20120030351A1 (en) | Management server, communication cutoff device and information processing system | |
| CN105262597B (zh) | 网络接入认证方法、客户终端、接入设备及认证设备 | |
| CN107094293A (zh) | 一种获取WiFi终端真实MAC地址的装置及方法 | |
| WO2016202007A1 (zh) | 一种设备运维方法及系统 | |
| CN104683313B (zh) | 多媒体业务处理装置、方法及系统 | |
| CN113132170B (zh) | 数据管理方法及系统、关联子系统和计算机可读介质 | |
| CN110162979A (zh) | 一种Web API的安全测试方法、装置、电子设备及存储介质 | |
| CN104601550A (zh) | 基于集群阵列的反向隔离文件传输系统及其方法 | |
| US20230232219A1 (en) | Data transmission method and system, electronic device and computer-readable storage medium | |
| CN109167780A (zh) | 一种控制资源访问的方法、设备、系统和介质 | |
| CN109413219A (zh) | 一种域名解析方法和装置、服务器及存储介质 | |
| JP2016524392A (ja) | Ottビデオの品質を監視する方法、装置、およびシステム | |
| CN110225064A (zh) | 监测僵尸网络攻击行为的方法、装置、设备和存储介质 | |
| CN107196954A (zh) | 一种服务访问方法、装置及系统 | |
| CN110022374A (zh) | 基于物联网的网络连接方法、装置、通信设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: Qianxin Technology Group Co., Ltd. Address before: Beijing Chaoyang District Jiuxianqiao Road 10, building 15, floor 17, layer 1701-26, 3 Applicant before: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |