CN109936566B - 一种数据传输方法系统、装置及计算机可读存储介质 - Google Patents
一种数据传输方法系统、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN109936566B CN109936566B CN201910080839.3A CN201910080839A CN109936566B CN 109936566 B CN109936566 B CN 109936566B CN 201910080839 A CN201910080839 A CN 201910080839A CN 109936566 B CN109936566 B CN 109936566B
- Authority
- CN
- China
- Prior art keywords
- data packet
- private protocol
- protocol data
- private
- side system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 54
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000004590 computer program Methods 0.000 claims description 12
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000012986 modification Methods 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 25
- 230000000694 effects Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012858 packaging process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009781 safety test method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Communication Control (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据传输方法,首先接收外部网卡获取到的通用协议数据,并将其中的合法数据包进行解析得到目标数据,将目标数据转换为私有协议数据,当前系统为开放侧系统时,即可利用私有协议将私有协议数据包发送到安全侧,再由安全侧将数据转发给内部系统。开放侧系统与安全侧系统是通过私有协议进行通信的,外部系统的通用协议数据包是不能够直接被传输到安全侧,而内部系统是与安全侧系统直接通信,因此,当外部通信数据包不能传输到安全侧系统时,也就不能够传输到内部系统,从而保证内部系统的安全。本申请还提供了一种数据传输方法、系统、装置及计算机可读存储介质,同样可以实现上述技术效果。
Description
技术领域
本发明涉及工业控制通信技术,更具体地说,涉及一种数据传输方法、系统、装置及计算机可读存储介质。
背景技术
在工业控制现场,不同的控制系统之间传输数据会采用标准工业通信协议,例如OPC、ModbusTCP等,这些协议均是基于TCP/IP协议的。传统的通信方案通常是在需要通信的系统之间安装一台网关,通过基于TCP/IP协议的工业标准协议进行数据传输。但是,由于TCP/IP是公开的标准协议,因此外部攻击方很容易根据该协议生成危险数据包,然后利用该协议传输到工业控制线程的内部系统,对内部系统进行攻击。因此,目前基于TCP/IP协议的数据传输很容易受到恶意攻击,威胁到控制系统的安全运行。
因此,如何保证内部控制系统的安全运行,是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种数据传输方法、系统、装置及计算机可读存储介质,以解决如何保证内部控制系统的安全运行的问题。
为实现上述目的,本发明实施例提供了如下技术方案:
一种数据传输方法,包括:
接收利用外部网卡获取到的通用协议数据包;
解析所述通用协议数据包中的合法数据包,得到目标数据;
利用预设私有协议将所述目标数据生成私有协议数据包;
当前系统为开放侧系统时,利用所述私有协议将所述私有协议数据包发送至安全侧系统,以使所述安全侧系统将所述私有协议数据包中的数据发送至内部系统。
其中,当前系统为开放侧系统时,所述利用预设私有协议将所述目标数据生成私有协议数据包,包括:
利用所述预设私有协议将所述目标数据生成私有协议数据包;
将当前系统所在主机的IP地址添加至所述私有协议数据包中的源IP地址;
将当前系统所在主机的端口号添加至所述私有协议数据包中的源端口号。
其中,所述利用预设私有协议将所述目标数据生成私有协议数据包之后,还包括:
将所述私有协议数据包的协议头中的命令类型赋值为转发私有协议类型,以利用所述命令类型判断所述私有协议数据包的数据是否需要转发至外部系统或内部系统。
其中,当前系统为开放侧系统时,所述方法还包括:
接收所述安全侧系统发送的私有协议数据包;
判断所述私有协议数据包的数据是否需要转发至所述外部系统;
若是,则将所述私有协议数据包的数据转换为对应所述外部系统的通用协议的通用协议数据包。
其中,所述方法还包括:
当前系统为安全侧系统时,利用所述私有协议将所述私有协议数据包发送至所述开放侧系统,以使所述开放侧系统将所述私有协议数据包中的数据发送至外部系统。
其中,当前系统为安全侧系统时,所述方法还包括:
接收所述开放侧系统发送的私有协议数据包;
判断所述私有协议数据包的数据是否需要转发至所述内部系统;
若是,则将所述私有协议数据包的数据转换为对应所述内部系统的通用协议的通用协议数据包。
为实现上述目的,本申请还提供了一种数据传输系统,包括:
通用协议数据包接收模块,用于接收利用外部网卡获取到的通用协议数据包;
解析模块,用于解析所述通用协议数据包中的合法数据包,得到目标数据;
私有协议数据包生成模块,用于利用预设私有协议将所述目标数据生成私有协议数据包;
第一发送模块,用于当前系统为开放侧系统时,利用所述私有协议将所述私有协议数据包发送至安全侧系统,以使所述安全侧系统将所述私有协议数据包中的数据发送至内部系统。
其中,所述系统还包括:
第二发送模块,用于当前系统为安全侧系统时,利用所述私有协议将所述私有协议数据包发送至所述开放侧系统,以使所述开放侧系统将所述私有协议数据包中的数据发送至外部系统。
为实现上述目的,本申请还提供了一种数据传输装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如所述数据传输方法的步骤。
为实现上述目的,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如所述数据传输方法的步骤。
通过以上方案可知,本发明提供的一种数据传输方法,包括:接收利用外部网卡获取到的通用协议数据包;解析所述通用协议数据包中的合法数据包,得到目标数据;利用预设私有协议将所述目标数据生成私有协议数据包;当前系统为开放侧系统时,利用所述私有协议将所述私有协议数据包发送至安全侧系统,以使所述安全侧系统将所述私有协议数据包中的数据发送至内部系统。
由此可见,本申请实施例提供的一种数据传输方法,首先接收外部网卡获取到的通用协议数据,并将其中的合法数据包进行解析得到目标数据,将目标数据转换为私有协议数据,当前系统为开放侧系统时,即可利用私有协议将私有协议数据包发送到安全侧,再由安全侧将数据转发给内部系统。开放侧系统与安全侧系统是通过私有协议进行通信的,外部系统的通用协议数据包是不能够直接被传输到安全侧,而内部系统是与安全侧系统直接通信,因此,当外部通信数据包不能传输到安全侧系统时,也就不能够传输到内部系统,从而保证内部系统的安全。本申请还提供了一种数据传输方法、系统、装置及计算机可读存储介质,同样可以实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种数据传输方法流程图;
图2为本发明实施例公开的工业安全网闸结构示意图;
图3为本发明实施例公开的数据传输方法应用系统结构示意图;
图4为本发明实施例公开的一种数据传输系统结构示意图;
图5为本发明实施例公开的一种数据传输装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种数据传输方法、系统、装置及计算机可读存储介质,以解决如何保证内部控制系统的安全运行的问题。
参见图1,本发明实施例提供的一种数据传输方法,具体包括:
S101,接收利用外部网卡获取到的通用协议数据包。
参见图2,在本方案中,提供一个用于隔离内部系统与外部系统的工业安全网闸,在网闸中包括两个主机,一个安全侧主机与一个开放侧主机,每个主机上,均包括一个外部网卡和一个内部网卡。两个主机上的内部网卡用于两个主机之间的相互通信;开放侧主机的外部网卡用于接收外部系统发送的数据,或向外部系统发送数据,安全侧主机的内部网卡用于接收内部系统发送的数据,或向内部系统发送数据。
需要说明的是,内部系统即为受到安全防护的工业控制系统,例如,DCS(Distributed Control System,分布式控制系统)、PLC(Programmable LogicController,可编程逻辑控制器),外部系统即为与内部系统进行通信的其他系统,如远程操作站、远程工程师站等。
在每个主机的系统中分别装有应用层数据传输程序和内核的私有协议驱动。数据传输程序被执行时会实现本方案所提供的数据传输方法,私有协议驱动实现应用层与网卡之间私有协议数据传输。
首先,接收到利用外部网卡获取到的通用协议数据包。需要说明的是,由于外部网卡是用于与外部系统或内部系统进行通信的网卡,而与外部系统或内部系统进行通信时,由于无法对这两种系统进行更改,这些系统在进行数据传输时,还是会使用例如TCP/IP这样的通用协议。因此,在本方案中,利用外部网卡获取到的数据是通用协议数据包,即根据通用协议生成的数据包。
例如,当前程序是运行在开放侧系统的,则利用外部网卡获取到的通用协议数据包,即为外部系统要发送到内部系统的数据包。区别于现有技术,当外部系统要向内部系统发送通用协议数据包时,该通用协议数据包并不由网关直接转发给内部系统,而是先由开放侧系统利用外部网卡接收,也就是说,在本方案中,内部系统并不会直接接收到外部系统发送的通用协议数据包。
S102,解析所述通用协议数据包中的合法数据包,得到目标数据。
具体地,在接收到通用协议数据包后,将其中的合法数据包进行解析。需要说明的是,由于内部系统为需要被安全防护的系统,因此,合法数据包主要是对应内部系统的合法数据包。具体确定合法数据包的方法在本方案中不做具体限定,例如,可以是根据通信协议数据包中的源IP、源端口等信息,判断发送该数据包的外部系统是否为允许向内部系统发送数据包的合法外部系统,如果是,则该数据包认为是合法数据包。
对合法数据包进行解析后,即得到目标数据。
S103,利用预设私有协议将所述目标数据生成私有协议数据包。
在本方案中,开放侧系统与安全侧系统是通过私有协议进行通信的,外部系统的通用协议数据包是不能够直接被传输到安全侧,而内部系统是与安全侧系统直接通信,因此,当外部通信数据包不能传输到安全侧系统时,也就不能够传输到内部系统,从而保证内部系统的安全。
为了能够将外部系统要发送到内部系统数据成功的完成发送,先要利用预设私有协议将目标数据生成私有协议数据包,具体地,按照私有协议的格式要求生成私有协议数据包。需要说明的是私有协议即自行设定一种通信协议,该通信协议是不被外界公知的通信协议,安全侧和开放侧之间的数据传输只有利用私有协议才可以进行。由于不被外界公知,因此,攻击方很难伪造私有协议数据包,从而即可以保证安全侧系统接收到的数据包均是开放侧转发的安全数据。
需要说明的是,预设私有协议的具体设定在本方案中不做具体限定,可根据实际情况自行设定。
S104,当前系统为开放侧系统时,利用所述私有协议将所述私有协议数据包发送至安全侧系统,以使所述安全侧系统将所述私有协议数据包中的数据发送至内部系统。
需要说明的是,开放侧系统与安全侧系统都可以运行同样的数据传输程序,在本方案中,具体介绍数据传输程序运行在开放侧系统的操作。当前系统为开放侧系统时,利用私有协议将数据包发送到安全侧系统,从而使安全侧系统将私有协议数据包中的数据发到内部系统。
需要说明的是,开放侧系统与安全侧系统之间的通信是利用双方的内部网卡完成的,内部网卡与外部网卡相互独立,安全侧系统仅将从内部网卡接收到的私有协议数据包中的数据转发到内部系统。
由此可见,本申请实施例提供的一种数据传输方法,首先接收外部网卡获取到的通用协议数据,并将其中的合法数据包进行解析得到目标数据,将目标数据转换为私有协议数据,当前系统为开放侧系统时,即可利用私有协议将私有协议数据包发送到安全侧,再由安全侧将数据转发给内部系统。开放侧系统与安全侧系统是通过私有协议进行通信的,外部系统的通用协议数据包是不能够直接被传输到安全侧,而内部系统是与安全侧系统直接通信,因此,当外部通信数据包不能传输到安全侧系统时,也就不能够传输到内部系统,从而保证内部系统的安全。
在前述实施例的基础上,本申请实施例对技术方案进行进一步的说明和优化。具体如下:
当前系统为开放侧系统时,所述利用预设私有协议将所述目标数据生成私有协议数据包,包括:
利用所述预设私有协议将所述目标数据生成私有协议数据包;
将当前系统所在主机的IP地址添加至所述私有协议数据包中的源IP地址;
将当前系统所在主机的端口号添加至所述私有协议数据包中的源端口号。
需要说明的是,当外部系统向内部系统发送数据包后,内部系统通常需要回包,也就是说需要作出回应,并将回应的数据发送到外部系统。
在本方案中,由于内部系统与外部系统并不是直接通信,而是通过开放侧系统与安全侧系统进行间接通信,因此回包的过程同样也需要利用开放侧系统与安全侧系统。
因此,为了方便安全侧将回应的数据包返回给开放侧,在开放侧向安全侧传输数据包时就将自己的IP地址作为私有协议数据包中的源IP地址,将自己的端口号作为私有协议数据包中的源端口号,以便后续安全侧利用这个源IP地址与端口号将回应的数据发送到开放侧。
在前述实施例的基础上,本申请实施例对技术方案进行进一步的说明和优化。具体如下:
在前述实施例的基础上,本申请实施例在上述S103之后,还包括:
将所述私有协议数据包的协议头中的命令类型赋值为转发私有协议类型,以利用所述命令类型判断所述私有协议数据包的数据是否需要转发至外部系统或内部系统。
在本方案中,为了使接收到私有协议数据包的安全侧系统或开放侧系统可以根据数据包直接对数据包进行操作,在本方案中,直接在私有协议数据包的包头将命令类型赋值为转发私有协议类型,该命令类型作为一种操作标识,当接收到该私有协议数据包的是安全侧系统时,则将数据包中的数据进一步操作,转发到内部系统;相反,当接收到该私有协议数据包的是开放侧系统时,也就是说该私有协议数据包是安全侧将内部系统返回的数据利用私有协议传输到开放侧系统的数据包,此时,如果命令类型是转发私有协议类型,则需要将接收到的数据包进行处理,发送到外部系统。
需要说明的是,安全侧系统利用其外部网卡与内部系统进行通信,通信协议在本方案不做具体限定,例如,可以利用TCP/IP协议进行传输,则安全侧系统在将数据传输到内部系统之前,还需要根据二者之间的通信协议生成相应的数据包,然后再进行传输。需要说明的是,内部系统只向安全侧系统开放通信接口,因此即便之间的通信协议是通用协议,但是只有安全侧系统才能够利用通用协议向内部系统发送数据包,而安全侧系统发送的数据包经过开放侧、私有协议即可保证是安全的,从而内部系统接收到的数据包也是安全的。
开放侧系统与外部系统的通信协议在本方案中同样不做具体限定,同样可以是例如TCP/IP这样的通用协议,在向外部系统发送数据包前,同样需要根据通信协议将私有数据包转换为通用协议数据包。
在前述实施例的基础上,本申请实施例对技术方案进行进一步的说明和优化。具体如下:
在前述实施例的基础上,当前系统为开放侧系统时,所述方法还包括:
接收所述安全侧系统发送的私有协议数据包;
判断所述私有协议数据包的数据是否需要转发至所述外部系统;
若是,则将所述私有协议数据包的数据转换为对应所述外部系统的通用协议的通用协议数据包。
需要说明的是,开放侧系统与安全侧系统均会接收到通用协议数据包,然后再转换为私有数据包发送给对方,同样,也会接收到对方发送的私有协议数据包,然后再转换成通用协议数据包发送出去。在本方案中,对开放侧系统接收到私有协议数据包后的处理进行介绍,安全侧系统的内容将在下文实施例中介绍,此处不进行赘述。
具体地,首先接收到安全侧系统发送的私有协议数据包。安全侧发送的私有协议数据包即可以为内部系统需要经过安全侧转发的数据。该数据既可以是要发给外部系统的数据,也可以是发给开放侧的数据。
因此,还需要判断接收到的私有协议数据包是否需要转发至外部系统。具体判断方法可以判断其协议数据包的头部是否有转发私有协议类型,若是,则需要进行转发,否则需要留在开放侧本地。此外,还可以根据私有协议数据包中的目的IP地址和目的端口号判断是否与开放侧系统相同,相同说明该数据包发到开放侧系统即可,否则还需要转发到外部系统。
如果需要转发到外部系统,则需要根据与外部系统的通信协议,将数据包转换为相应的通用协议数据包,再进行发送。
参见图3,需要说明的是,当外部系统和开放侧的外部网卡不在同一局域网时,开放侧系统并不能直接将通用协议数据包发送的外部系统,还需要经过路由器等转发到云端服务器上,然后利用公网IP进行发送,因此本方案中需要先将通用协议数据包发送到云端服务器。当外部系统和开放侧的外部网卡在同一局域网时,开放侧系统也可不需要云端服务器,直接将通用协议数据包发送到外部系统。
在前述实施例的基础上,本申请实施例对技术方案进行进一步的说明和优化。具体如下:
在前述实施例的基础上,所述方法还包括:
当前系统为安全侧系统时,利用所述私有协议将所述私有协议数据包发送至所述开放侧系统,以使所述开放侧系统将所述私有协议数据包中的数据发送至外部系统。
在本方案中,当前系统如果是安全侧系统时,则需要将私有协议数据包发送到安全侧系统,从而使开放侧系统将私有协议数据包中的数据发送到外部系统,有关开放侧系统将私有协议数据包中的数据发送到外部系统的具体内容已在上述实施例做出介绍,此处将不再赘述。
可选地,当前系统为安全侧系统时,所述方法还包括:
接收所述开放侧系统发送的私有协议数据包;
判断所述私有协议数据包的数据是否需要转发至所述内部系统;
若是,则将所述私有协议数据包的数据转换为对应所述内部系统的通用协议的通用协议数据包。
具体地,当前系统为安全侧系统时,则会接收开放侧系统发送的私有协议数据包,并判断该私有协议数据包是否需要转发给内部系统,如果需要,在根据安全侧系统与内部系统之间的通信协议,将私有协议数据包转换为相应协议的数据包,利用安全侧系统的外部网卡发送至内部系统中。
需要说明的是,判断私有协议数据包是否需要被转发的方法可以参见上述实施例中开放侧系统的判断操作,可以判断其协议数据包的头部是否有转发私有协议类型,若是,则需要进行转发,否则需要留在安全侧本地。此外,还可以根据私有协议数据包中的目的IP地址和目的端口号判断是否与安全侧系统相同,相同说明该数据包发到安全放侧系统即可,否则还需要转发到内部系统。
下面对本申请实施例提供的一种数据传输系统进行介绍,下文描述的一种数据传输系统与上述任一实施例可以相互参照。
参见图4,本申请实施例提供的一种数据传输系统,具体包括:
通用协议数据包接收模块201,用于接收利用外部网卡获取到的通用协议数据包。
解析模块202,用于解析所述通用协议数据包中的合法数据包,得到目标数据。
私有协议数据包生成模块203,用于利用预设私有协议将所述目标数据生成私有协议数据包。
第一发送模块204,用于当前系统为开放侧系统时,利用所述私有协议将所述私有协议数据包发送至安全侧系统,以使所述安全侧系统将所述私有协议数据包中的数据发送至内部系统。
可选的,当前系统为开放侧系统时,私有协议数据包生成模块203具体用于利用所述预设私有协议将所述目标数据生成私有协议数据包;将当前系统所在主机的IP地址添加至所述私有协议数据包中的源IP地址;将当前系统所在主机的端口号添加至所述私有协议数据包中的源端口号。
可选的,所述系统还包括:
命令类型修改模块,用于将所述私有协议数据包的协议头中的命令类型赋值为转发私有协议类型,以利用所述命令类型判断所述私有协议数据包的数据是否需要转发至外部系统或内部系统。
可选的,当前系统为开放侧系统时,所述系统还包括:
第一接收模块,用于接收所述安全侧系统发送的私有协议数据包;
第一判断模块,用于判断所述私有协议数据包的数据是否需要转发至所述外部系统;
第一转换模块,用于将所述私有协议数据包的数据转换为对应所述外部系统的通用协议的通用协议数据包。
可选的,所述系统还包括:
第二发送模块,用于当前系统为安全测系统时,利用所述私有协议将所述私有协议数据包发送至所述开放侧系统,以使所述开放侧系统将所述私有协议数据包中的数据发送至外部系统。
可选的,当前系统为安全侧系统时,所述系统还包括:
第二接收模块,用于接收所述开放侧系统发送的私有协议数据包;
第二判断模块,用于判断所述私有协议数据包的数据是否需要转发至所述内部系统;
第二转换模块,用于将所述私有协议数据包的数据转换为对应所述内部系统的通用协议的通用协议数据包。
本实施例的数据传输系统用于实现前述的数据传输方法,因此数据传输系统中的具体实施方式可见前文中的数据传输方法的实施例部分,例如,通用协议数据包接收模块201,解析模块202,私有协议数据包生成模块203,第一发送模块204,分别用于实现上述数据传输方法中步骤S101,S102,S103,S104,所以,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再赘述。
本申请还提供了一种数据传输装置,参见图5,本申请实施例提供的数据传输装置的结构图,如图5所示,包括:
存储器100,用于存储计算机程序;
处理器200,用于执行所述计算机程序时可以实现上述实施例所提供的步骤。
具体的,存储器100包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机可读指令,该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。处理器200为数据传输装置提供计算和控制能力,可以实现如上述任一实施例所述的数据传输方法的步骤。
进一步的,本实施例中的数据传输装置,还可以包括:
输入接口300,用于获取外界导入的计算机程序,并将获取到的计算机程序保存至所述存储器100中,还可以用于获取外界终端设备传输的各种指令和参数,并传输至处理器200中,以便处理器200利用上述各种指令和参数展开相应的处理。本实施例中,所述输入接口300具体可以包括但不限于USB接口、串行接口、语音输入接口、指纹输入接口、硬盘读取接口等。
输出接口400,用于将处理器200产生的各种数据输出至与其相连的终端设备,以便于与输出接口400相连的其他终端设备能够获取到处理器200产生的各种数据。本实施例中,所述输出接口400具体可以包括但不限于USB接口、串行接口等。
通讯单元500,用于在数据传输装置和其他节点之间建立远程连接,以便于接收交易,并同步区块数据。
键盘600,用于获取用户通过实时敲击键帽而输入的各种参数数据或指令。
显示器700,用于对交易数据封装过程的相关信息进行实时显示,以便于用户及时地了解当前交易数据封装情况。
鼠标800,可以用于协助用户输入数据并简化用户的操作。
本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种数据传输方法,其特征在于,包括:
接收利用外部网卡获取到的通用协议数据包;
解析所述通用协议数据包中的合法数据包,得到目标数据;
利用预设私有协议将所述目标数据生成私有协议数据包;
当前系统为开放侧系统时,利用所述私有协议将所述私有协议数据包发送至安全侧系统,以使所述安全侧系统将所述私有协议数据包中的数据发送至内部系统;
当前系统为开放侧系统时,所述利用预设私有协议将所述目标数据生成私有协议数据包,包括:利用所述预设私有协议将所述目标数据生成私有协议数据包;将当前系统所在主机的IP地址添加至所述私有协议数据包中的源IP地址;将当前系统所在主机的端口号添加至所述私有协议数据包中的源端口号,以便后续所述安全侧系统利用所述源IP地址与所述源端口号将回应的数据包发送到所述开放侧系统;
所述利用预设私有协议将所述目标数据生成私有协议数据包之后,还包括:将所述私有协议数据包的协议头中的命令类型赋值为转发私有协议类型,以利用所述命令类型判断所述私有协议数据包的数据是否需要转发至外部系统或内部系统;当接收到所述私有协议数据包的是所述安全侧系统时,则判断所述私有协议数据包的头部是否有所述转发私有协议类型,若是,则转发到所述内部系统,否则,则留在所述安全侧系统;当接收到所述私有协议数据包的是所述开放侧系统时,则判断所述私有协议数据包的头部是否有所述转发私有协议类型,若是,则转发到所述外部系统,否则,则留在所述开放侧系统。
2.根据权利要求1所述的方法,其特征在于,当前系统为开放侧系统时,所述方法还包括:
接收所述安全侧系统发送的私有协议数据包;
判断所述私有协议数据包的数据是否需要转发至所述外部系统;
若是,则将所述私有协议数据包的数据转换为对应所述外部系统的通用协议的通用协议数据包。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当前系统为安全侧系统时,利用所述私有协议将所述私有协议数据包发送至所述开放侧系统,以使所述开放侧系统将所述私有协议数据包中的数据发送至外部系统。
4.根据权利要求3所述的方法,其特征在于,当前系统为安全侧系统时,所述方法还包括:
接收所述开放侧系统发送的私有协议数据包;
判断所述私有协议数据包的数据是否需要转发至所述内部系统;
若是,则将所述私有协议数据包的数据转换为对应所述内部系统的通用协议的通用协议数据包。
5.一种数据传输系统,其特征在于,包括:
通用协议数据包接收模块,用于接收利用外部网卡获取到的通用协议数据包;
解析模块,用于解析所述通用协议数据包中的合法数据包,得到目标数据;
私有协议数据包生成模块,用于利用预设私有协议将所述目标数据生成私有协议数据包;
第一发送模块,用于当前系统为开放侧系统时,利用所述私有协议将所述私有协议数据包发送至安全侧系统,以使所述安全侧系统将所述私有协议数据包中的数据发送至内部系统;
当前系统为开放侧系统时,所述私有协议数据包生成模块具体用于利用所述预设私有协议将所述目标数据生成私有协议数据包;将当前系统所在主机的IP地址添加至所述私有协议数据包中的源IP地址;将当前系统所在主机的端口号添加至所述私有协议数据包中的源端口号,以便后续所述安全侧系统利用所述源IP地址与所述源端口号将回应的数据包发送到所述开放侧系统;
所述系统还包括:命令类型修改模块,用于将所述私有协议数据包的协议头中的命令类型赋值为转发私有协议类型,以利用所述命令类型判断所述私有协议数据包的数据是否需要转发至外部系统或内部系统;当接收到所述私有协议数据包的是所述安全侧系统时,则判断所述私有协议数据包的头部是否有所述转发私有协议类型,若是,则转发到所述内部系统,否则,则留在所述安全侧系统;当接收到所述私有协议数据包的是所述开放侧系统时,则判断所述私有协议数据包的头部是否有所述转发私有协议类型,若是,则转发到所述外部系统,否则,则留在所述开放侧系统。
6.根据权利要求5所述的系统,其特征在于,所述系统还包括:
第二发送模块,用于当前系统为安全侧系统时,利用所述私有协议将所述私有协议数据包发送至所述开放侧系统,以使所述开放侧系统将所述私有协议数据包中的数据发送至外部系统。
7.一种数据传输装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述数据传输方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述数据传输方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910080839.3A CN109936566B (zh) | 2019-01-28 | 2019-01-28 | 一种数据传输方法系统、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910080839.3A CN109936566B (zh) | 2019-01-28 | 2019-01-28 | 一种数据传输方法系统、装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109936566A CN109936566A (zh) | 2019-06-25 |
| CN109936566B true CN109936566B (zh) | 2022-08-02 |
Family
ID=66985242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910080839.3A Active CN109936566B (zh) | 2019-01-28 | 2019-01-28 | 一种数据传输方法系统、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109936566B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131154A (zh) * | 2019-11-19 | 2020-05-08 | 北京国铁盛阳技术有限公司 | 网管数据摆渡方法和系统、存储介质以及计算机设备 |
| CN111385631B (zh) * | 2020-03-04 | 2022-05-24 | 海信视像科技股份有限公司 | 一种显示设备、通信方法及存储介质 |
| CN113242261B (zh) * | 2021-06-10 | 2023-04-07 | Oppo广东移动通信有限公司 | 共享数据网络的方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882828A (zh) * | 2011-07-11 | 2013-01-16 | 上海可鲁系统软件有限公司 | 一种内网与外网间的信息安全传输控制方法及其网关 |
| CN104125311A (zh) * | 2014-06-18 | 2014-10-29 | 安一恒通(北京)科技有限公司 | 基于wfp框架的数据传输方法及装置 |
| CN104767752A (zh) * | 2015-04-07 | 2015-07-08 | 西安汇景倬元信息技术有限公司 | 一种分布式网络隔离系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067534B (zh) * | 2012-12-26 | 2016-09-28 | 中兴通讯股份有限公司 | 一种NAT实现系统、方法及Openflow交换机 |
-
2019
- 2019-01-28 CN CN201910080839.3A patent/CN109936566B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882828A (zh) * | 2011-07-11 | 2013-01-16 | 上海可鲁系统软件有限公司 | 一种内网与外网间的信息安全传输控制方法及其网关 |
| CN104125311A (zh) * | 2014-06-18 | 2014-10-29 | 安一恒通(北京)科技有限公司 | 基于wfp框架的数据传输方法及装置 |
| CN104767752A (zh) * | 2015-04-07 | 2015-07-08 | 西安汇景倬元信息技术有限公司 | 一种分布式网络隔离系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109936566A (zh) | 2019-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109936566B (zh) | 一种数据传输方法系统、装置及计算机可读存储介质 | |
| JP4047303B2 (ja) | 提供装置、提供プログラム、及び、提供方法 | |
| CN103179100B (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
| US20150289301A1 (en) | Terminal matching method, terminal and system | |
| CN101252584B (zh) | 双向转发检测协议会话的认证方法、系统和设备 | |
| US20100202451A1 (en) | Modified internet protocol (ip) data packet for asynchronous ip communications | |
| CN102231748B (zh) | 一种客户端验证方法及装置 | |
| US9344399B2 (en) | Relay server and relay communication system | |
| CN112437100A (zh) | 漏洞扫描方法及相关设备 | |
| CN114172929A (zh) | 通信方法、装置以及网关 | |
| CN111756716A (zh) | 流量检测方法、装置及计算机可读存储介质 | |
| EP2787692B1 (en) | Relay server with control unit adapted to set an overlap detection condition | |
| CN109474540B (zh) | 一种识别opc流量的方法及装置 | |
| CN103105784B (zh) | 信息处理设备和方法以及装置控制设备、方法和系统 | |
| CN102422606A (zh) | 网络通信装置、方法及程序 | |
| US8737413B2 (en) | Relay server and relay communication system | |
| CN104618323B (zh) | 基于网络过滤驱动的业务系统传输安全加固方法 | |
| CN113872949B (zh) | 一种地址解析协议的应答方法及相关装置 | |
| CN113114643B (zh) | 一种运维审计系统的运维接入方法及系统 | |
| CN113014664B (zh) | 网关适配方法、装置、电子设备和存储介质 | |
| US7864800B2 (en) | Communication system, auxiliary device and communication method | |
| CN114050917A (zh) | 音频数据的处理方法、装置、终端、服务器及存储介质 | |
| JP5757160B2 (ja) | 制御バスシステム | |
| US20060282523A1 (en) | System and method for non-obtrusive monitoring and control of remote services and control gateways | |
| CN114979064B (zh) | Opcda报文处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |