CN111131154A - 网管数据摆渡方法和系统、存储介质以及计算机设备 - Google Patents

网管数据摆渡方法和系统、存储介质以及计算机设备 Download PDF

Info

Publication number
CN111131154A
CN111131154A CN201911134865.6A CN201911134865A CN111131154A CN 111131154 A CN111131154 A CN 111131154A CN 201911134865 A CN201911134865 A CN 201911134865A CN 111131154 A CN111131154 A CN 111131154A
Authority
CN
China
Prior art keywords
data
application data
server
packet
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911134865.6A
Other languages
English (en)
Inventor
史增树
杨滨茂
杜怡曼
张启鹤
马研
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Guotie Shengyang Technology Co Ltd
Original Assignee
Beijing Guotie Shengyang Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guotie Shengyang Technology Co Ltd filed Critical Beijing Guotie Shengyang Technology Co Ltd
Priority to CN201911134865.6A priority Critical patent/CN111131154A/zh
Publication of CN111131154A publication Critical patent/CN111131154A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0246Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申请涉及一种网管数据摆渡方法和系统、存储介质以及计算机设备,所述方法包括第一服务器接收第一网络设备输入的第一数据包,将所述第一数据包通过通用协议解析后得到应用数据,对所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至第二服务器;所述第二服务器接收所述第一应用数据封装包,将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备,从而实现网管系统对安全数据网配置的安全管控,避免引入外部威胁,造成安全隐患,以保证安全数据网的封闭性和独立性。

Description

网管数据摆渡方法和系统、存储介质以及计算机设备
技术领域
本申请涉及网络与信息安全技术领域,特别是涉及一种网管数据摆渡方法和系统、存储介质以及计算机设备。
背景技术
铁路信号安全数据网是专用数据传输光纤网络、交换机、网管服务器、网管终端以及接入网络的列控中心(TCC)、计算机联锁(CBI)、临时限速服务器(TSRS)、无线闭塞中心(RBC)等设备的统称。铁路信号安全数据网由EMS网络管理系统统一管理,EMS网管系统对安全数据网网络拓扑进行展示,网络拓扑图反映网络设备状态、网络设备的连接状态。EMS网管系统对安全数据网配置进行管控,完成配置文件的导入、导出,对告警信息进行展示、提供告警确认、删除、过滤的操作。
在现有系统结构中,EMS网管系统与铁路信号安全数据网中交换机之间直接进行配置文件的传输(导入、导出),破坏了铁路信号安全数据网的封闭性,存在通过EMS网管系统对铁路信号安全数据网引入外部威胁的问题,无法保证铁路信号安全数据网的运维安全。
发明内容
基于此,有必要针对上述技术问题,提供一种网管数据摆渡方法和系统、存储介质以及计算机设备。
一方面,本申请提供了一种网管数据摆渡方法,应用于网管数据摆渡系统,所述网管数据摆渡系统设置于第一网络设备和第二网络设备之间,包括第一服务器及第二服务器,所述第一服务器与所述第一网络设备通讯连接,所述第二服务器与所述第二网络设备通讯连接,所述第一网络设备和第二网络设备分别处于内网及外网中,所述方法包括:
所述第一服务器接收所述第一网络设备输入的第一数据包;
所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据;
所述第一服务器将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器;
所述第二服务器接收所述第一应用数据封装包,将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
另一方面,本申请还提供了一种网管数据摆渡方法,应用于网管数据摆渡系统,所述网管数据摆渡系统设置于第一网络设备和第二网络设备之间,包括第一服务器及第二服务器,所述第一服务器与所述第一网络设备通讯连接,所述第二服务器与所述第二网络设备通讯连接,所述第一网络设备和第二网络设备分别处于内网及外网中,所述方法包括:
所述第一服务器接收所述第一网络设备输入的第一数据包;
所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据;
所述第一服务器将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器;
其中,传输至所述第二服务器的第一应用封装数据包经所述私有协议解析,所述通用协议封装后得到第二应用数据封装包,所述第二服务器输出所述第二应用数据封装包至所述第二网络设备。
另一方面,本申请还提供了一种网管数据摆渡方法,应用于网管数据摆渡系统,所述网管数据摆渡系统设置于第一网络设备和第二网络设备之间,包括第一服务器及第二服务器,所述第一服务器与所述第一网络设备通讯连接,所述第二服务器与所述第二网络设备通讯连接,所述第一网络设备和第二网络设备分别处于内网及外网中,所述方法包括:
所述第二服务器接收所述第一网络设备发送的第一应用数据封装包,其中,所述第一应用数据包为经过所述第一服务器进行通用协议解析,私有协议封装得到的数据包;;
所述第二服务器将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据;
所述第二服务器将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
另一方面,本申请还提供了一种网管数据摆渡系统,包括:
第一服务器和第二服务器,所述第一服务器与第一网络设备通讯连接,所述第二服务器与第二网络设备通讯连接,所述第一网络设备和第二网络设备分别处于内网及外网中;
所述第一服务器用于接收所述第一网络设备输入的第一数据包,将所述第一数据包通过通用协议解析后得到应用数据,对所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器;
所述第二服务器用于接收所述第一应用数据封装包,将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
另一方面,本申请还提供了一种存储介质,所述存储介质为计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述中任一项所述的方法的步骤。
另一方面,本申请还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时实现上述中任一项所述方法的步骤。
本申请提供的应用于网管数据摆渡系统的网管数据摆渡方法,所述网管数据摆渡系统设置于第一网络设备和第二网络设备之间,所述第一网络设备和第二网络设备分别处于内网及外网中,通过所述网管数据摆渡系统中的第一服务器接收所述第一网络设备输入的第一数据包,对所述第一数据包进行通用协议解析、私有协议封装后得到第一应用数据封装包,并传输至所述网管数据摆渡系统中的第二服务器;所述第二服务器接收所述第一应用数据封装包,对所述第一应用数据封装包进行所述私有协议解析、所述通用协议封装后得到第二应用数据封装包,并输出所述第二应用数据封装包至所述第二网络设备,在内外网间安全隔离的基础上,使得所述第一网络设备与所述第二网络设备之间通过所述网管数据摆渡系统实现安全管控,避免引入外部威胁,造成安全隐患,以保证内网的运维安全。
附图说明
图1是本申请提供的网管数据摆渡系统框架结构示意图;
图2是本申请提供的一实施例中网管数据摆渡方法的流程示意图;
图3是本申请提供的另一实施例中网管数据摆渡方法的流程示意图;
图4是本申请提供的另一实施例中网管数据摆渡方法的流程示意图;
图5是本申请提供的另一实施例中网管数据摆渡方法的流程示意图;
图6是本申请提供的另一实施例中网管数据摆渡方法的流程示意图;
图7是本申请提供的一实施例中网管数据摆渡系统的结构示意图;
图8是本申请提供的一实施例中通过网管摆渡系统导入文件时EMS与交换机之间的交互示意图;
图9是本申请提供的另一实施例中网管数据摆渡系统的结构示意图;
图10是本申请提供的另一实施例中通过网管摆渡系统导出文件时EMS与交换机之间的交互示意图;
图11是本申请提供的另一实施例中采用Web登录的方式通过EMS管控交换机时的交互示意图;
图12是本申请网管数据摆渡系统中第一服务器与第二服务器间的连接结构示意图;
图13是本申请提供网管数据摆渡系统应用场景示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的网管数据摆渡方法,应用于网管数据摆渡系统。如图1所示,所述网管数据摆渡系统100设置于第一网络设备10和第二网络设备20之间,包括第一服务器110及第二服务器120,所述第一服务器110与所述第一网络设备10通讯连接,所述第二服务器120与所述第二网络设备20通讯连接,所述第一网络设备10和第二网络设备20分别处于内网及外网中。
请参阅图2,是本申请提供的一实施例中网管数据摆渡方法的流程示意图。
所述方法包括:
步骤21:所述第一服务器接收所述第一网络设备输入的第一数据包。
本实施例中,所述网管数据摆渡方法可应用于EMS网管系统(以下简称“EMS”)和铁路信号安全数据网(以下简称“安全数据网”)中设备(如交换机)的管控场景。其中,EMS处于外网,安全数据网中的交换机处于内网,外网中的EMS对内网中的交换机进行管控。
具体的,结合图1,所述第一网络设备10为EMS,所述第二网络设备20为安全数据网中的交换机,所述第一服务器110与EMS通讯连接,所述第二服务器120与交换机通讯连接。其中,所述网管数据摆渡系统100设置于EMS和安全数据网中交换机之间,将外网与内网安全隔离,通过所述网管数据摆渡系统100实现EMS与交换机之间的无网络协议的通信交互。
具体的,所述第一数据包为EMS通过所述网管摆渡系统100对安全数据网中交换机进行信息查询、文件传输等相关管控操作的指令数据包。
具体的,所述第一服务器110用于对所述指令数据包进行数据处理,如通用协议剥离,数据安全检查,数据私有协议封装、数据转发等数据处理过程。
本实施例中,所述方法应用于通过EMS查询安全数据网中交换机在线状态的场景,所述第一数据包为查询安全数据网中交换机在线状态的指令数据包。所述第一服务器110接收EMS输入的查询安全数据网中交换机在线状态的指令数据包(以下简称“查询数据包”)。
步骤22:所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据。
具体的,EMS与安全数据网中交换机之间基于SNMP协议传输数据,所述第一服务器110将所述查询数据包的SNMP通用协议通过SNMP通用协议解,剥离所述查询指令包的SNMP通用协议,得到没有通用协议的应用数据。
步骤23:所述第一服务器将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器。
具体的,所述第一服务器110将所述指令数据包的通用网络协议(TCP/IP协议)剥离得到所述应用数据,使得所有应用层协议都从TCP/IP协议剥离成为没有通用协议的应用层信息,再进行私有协议封装得到所述第一应用数据封装包,并传输至所述第二服务器120,避免使用通用网络协议向内网引入安全威胁。
具体的,所述私有协议可通过改变数据包组成、自定义数字帧格式等方式实现,采用独自的数据包组成和通信应答方式,让攻击者即使截取传输信息也无法解开信息的内容。
步骤24:所述第二服务器接收所述第一应用数据封装包,将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
具体的,所述第二服务器120对所述第一应用数据封装包采用与上述私有协议封装相同的私有协议进行所述私有协议解析,将所述第一应用数据封装包的私有协议剥离,再采用与上述通用协议解析相同的通用协议进行所述通用协议封装,将私有协议剥离的所述第一应用数据包再进行SNMP通用协议封装,得到所述第二应用协议封装数据包,并将所述第二应用数据封装包输出至安全数据网中交换机,以此实现查询安全数据网中交换机在线状态的指令数据包由EMS至安全数据网中交换机的安全摆渡。
本实施例中,所述网管数据摆渡方法通过对接收到的数据进行通用协议剥离、私有协议封装传输,再通过私有协议剥离、通用协议封装传输,在保证数据传输的基础上实现内网和外网之间的网间安全隔离,剥离了通用协议的所述应用数据为无通用协议格式的上层应用数据,通过私有协议的封装传输,实现了数据由外网至内网的安全摆渡,避免了使用通用协议传输无法拦截非法访问和恶意攻击,无法对不合法的命令或指令进行阻断,无法管控运维工作中的人为误操作、恶意破坏等安全性问题,从而提高了数据传输的安全性。
在另一实施例中,如图3所示,为了及时响应所述第一网络设备10对所述第二网络设备20的管控操作,所述方法还包括:
步骤35:所述第二服务器接收所述第二网络设备返回的第二数据包,将所述第二数据包通过所述通用协议解析,得到反馈数据,将所述反馈数据通过所述私有协议封装后,得到第一反馈数据封装包,并将所述第一反馈数据封装包传输至所述第一服务器。
本实施例中,结合图1,所述第一网络设备10为EMS网管系统(以下简称“EMS”),所述第二网络设备20为铁路信号安全数据网(以下简称“安全数据网”)中的交换机。
具体的,所述第二数据包为安全数据网中交换机通过所述网管摆渡系统100向EMS反馈信息查询、文件传输等相关管控操作的反馈数据包。
具体的,安全数据网中交换机接收到EMS发送的查询交换机在线状态的查询数据包后,响应该查询数据包中的查询指令,发送反馈安全数据网中交换机在线状态的数据包(以下简称“状态数据包”),所述第二服务器120接收安全数据网中交换机返回的所述状态数据包,将所述状态数据包通过所述SNMP通用协议解析,将所述状态数据包的SNMP通用协议剥离,得到没有通用协议的应用层反馈数据,再将所述反馈数据通过所述私有协议封装后,得到第二反馈数据封装包,并将所述第二反馈数据封装包传输至所述第一服务器110。
步骤36:所述第一服务器接收所述第一反馈数据封装包,通过所述私有协议将所述第一反馈数据封装包进行解析,得到所述反馈数据,将所述反馈数据进行所述通用协议封装后,得到第二反馈数据封装包,输出所述第二反馈数据封装包至所述第一网络设备。
具体的,所述第一服务器110接收所述第二反馈数据封装包,通过所述私有协议将所述第二反馈数据封装包进行解析,将所述第二反馈数据封装包的私有协议剥离,得到没有通用协议的所述反馈数据,再将所述反馈数据进行所述SNMP通用协议封装后,得到第二反馈数据封装包,输出所述第二反馈数据封装包至EMS。从而实现反映安全数据网中交换机在线状态的所述状态数据包由安全数据网中交换机至EMS的安全摆渡,整体上实现安全数据网中交换机响应EMS通过网管摆渡系统对安全数据网中交换机在线状态的查询。
在另一实施例中,如图4所示,与图3相较,在步骤41所述第一服务器接收所述第一网络设备输入的第一数据包后,步骤42所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据前还包括:
步骤411:所述第一服务器对所述第一数据包进行第一安全检查。
在另一实施例中,所述第一安全检查包括:
判断所述第一数据包所使用的通用协议是否与黑名单中的通用协议匹配。
本实施例中,所述第一服务器110对管控安全数据网中交换机的所述第一数据包所使用的通用协议进行协议权限控制安全检查,预设使用明文信息的通用协议为禁止使用的黑名单通用协议,如Telnet、ICMP、http等协议,检测所述第一数据包所使用的通用协议是否与上述预设的黑名单中的通用协议匹配。若不匹配,则所述第一安全检查结果为安全,执行步骤42;若匹配,则所述第一安全检查结果为不安全,执行步骤412。
步骤412:所述第一服务器发出警告信息。
具体的,所述警告信息包括不全安全原因。本实施例中,所述警告信息包括的不安全原因为对管控安全数据网中交换机的所述第一数据包所使用的通用协议是禁止使用的黑名单通用协议。
在另一实施例中,在步骤42后,步骤43所述第一服务器将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器步骤前还包括:
步骤413:所述第一服务器对所述应用数据进行第二安全检查。
在另一实施例中,所述第二安全检查包括:
查询所述应用数据中所包含的第一网络设备的IP/MAC地址是否与白名单中的IP/MAC地址匹配。
本实施例中,所述第一服务器110对接入安全数据网中交换机的EMS的IP/MAC地址进行接入认证安全检查,预设允许接入设备的IP/MAC地址为白名单IP/MAC地址,查询EMS的IP/MAC地址是否与预设的白名单中的IP/MAC地址匹配。
若匹配,则所述第二安全检查结果为安全,执行所述步骤43;若不匹配,则所述第二安全检查结果为不安全,执行所述步骤412,所述第一服务器110发出警告信息,所述警告信息包括的不安全原因为通过所述网管数据摆渡系统100接入安全数据网中交换机的EMS的IP/MAC地址不是白名单IP/MAC地址,为非法接入设备。
在另一实施例中,所述第二安全检查包括检测所述应用数据中的用户账号是否为经过验证的合法用户账号。
本实施例中,所述第一服务器110对管控安全数据网中交换机的用户账号进行管理权限控制安全检查,检测所述应用数据中的用户账号是否为通过USB-key账号身份验证的合法用户账号。
若合法,则所述第二安全检查结果为安全,执行步骤43;若不合法,则所述第二安全检查结果为不安全,则执行步骤412,所述警告信息包括的不安全原因为通过所述网管数据摆渡系统100管控安全数据网中交换机的用户账号不是通过USB-key账号身份验证的合法用户账号。
在另一实施例中,所述第二安全检查包括检测所述应用数据中控制指令所需执行的时间是否在合法时间段内。
本实施例中,所述第一服务器110对管控安全数据网中交换机的所述应用数据中的控制指令所需执行的时间进行管理权限控制安全检查,预设允许外界设备通过所述网管数据摆渡系统100对安全数据网中交换机进行访问的时间段为合法时间段,检测EMS发送的所述应用数据中控制指令所需执行的时间是否在上述预设的合法时间段内。若在合法时间段,则所述第二安全检查结果为安全,执行步骤43;若不在合法时间段,则所述第二安全检查结果为不安全,执行步骤412,所述警告信息包括的不安全原因为对管控安全数据网中交换机的所述应用数据中控制指令所需执行的时间不在合法时间段内,为非法访问时间。
在另一实施例中,所述第二安全检查包括判断所述应用数据的配置参数是否与预设的配置参数匹配。
本实施例中,所述第一服务器110对所述应用数据的数据特征进行配置参数安全检查,预设实现相同功能的应用数据的常规数据大小,检测管控安全数据网中交换机的所述应用数据的数据大小是否与上述预设的常规数据大小匹配。若匹配,则所述第二安全检查结果为安全,执行步骤43;若不匹配,则所述第二安全检查结果为不安全,执行步骤412,所述警告信息包括的不安全原因为管控安全数据网中交换机的所述应用数据的数据特征为非常规数据特征。
在另一实施例中,所述第二安全检查包括上述所有的第二安全检查方法,若同时满足所述第二安全检查结果为安全,则执行步骤43;若存在所述第二安全检查结果为不安全,则执行步骤412,所述警告信息包括不安全原因。
本实施例中,所述第一服务器110对所述第一数据包进行第一安全检查,对所述应用数据进行第二安全检查,对EMS通过所述网管数据摆渡系统100对安全数据网中交换机的管控进行访问控制,具体包括对所述第一数据使包所用的通用协议进行安全验证,对接入安全数据网的设备进行接入认证,对通过EMS登录的账号进行身份验证,对发送的所述应用数据中控制指令所需执行的时间进行合法性验证,实现EMS通过所述网管数据摆渡系统对安全数据网中交换机管控过程中数据传输的多方位安全检查,进一步确保了通过EMS对安全数据网中交换机进行管控时数据传输的安全性,避免引入网络攻击和病毒,以保证安全数据网的封闭性与独立性。
在另一实施例中,在步骤413后,步骤43前还包括:
步骤414:所述第一服务器检测所述应用数据是否包括文本数据。
在另一实施例中,若所述应用数据不包括所述文本数据,则执行步骤43。
若所述应用数据包括所述文本数据,则执行
步骤415:所述第一服务器对所述文本数据进行第三安全检查。
在另一实施例中,所述第三安全检查包括:
判断所述文本数据经过所述第二安全检查前后的哈希值是否一致。
本实施例中,所述第一数据包为从EMS向安全数据网中交换机导入文件,并且包括所要导入的文本数据的指令数据包。所述第一服务器110接收EMS输入的向安全数据网中导入文件的指令数据包(以下简称“导入数据包”),将所述导入数据包的SNMP通用协议通过SNMP通用协议解析得到应用数据,对所述应用数据进行安全检查,检测到所述应用数据中包括所述文本数据,则执行步骤415。所述第三安全检查包括判断所述文本数据经过所述第二安全检查前后的哈希值是否一致,以确定所述文本数据在经过一系列安全检查后是否发生变化或损坏。若判断结果为不一致,则所述第三安全检查结果为不安全,执行步骤412,所述警告信息包括的不安全原因为所述文本数据经之前一系列的安全检查后数据发生了变化或损坏,导致所述文本数据不可信,存在安全隐患。若判断结果为一致,则所述第三安全检查结果为安全,执行步骤43,再执行步骤44第二服务器120接收所述第一应用数据封装包,将所述第一应用数据封装包通过所述私有协议进行解析,得到所述包括文本数据的应用数据,并将所述应用数据通过所述SNMP通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至安全数据网中交换机。从而实现EMS通过所述网管数据摆渡系统100将EMS内的文件安全导入安全数据网中交换机。
本实施例中,在EMS与安全数据网中交换机间存在文件传输时,进一步对所述应用数据中的文本数据进行安全检查,实现对所述应用数据从网络安全到业务安全的检查功能,确保不会由所述应用数据中的文本数据引入对安全数据网的安全隐患。
在另一个实施例中,为了及时反映所述第一网络设备10对所述第二网络设备20管控操作的数据传输情况,在步骤44之后,所述方法还包括步骤45和46。
步骤45:所述第二服务器接收所述第二网络设备返回的第二数据包,将所述第二数据包通过所述通用协议解析,得到反馈数据,将所述反馈数据通过所述私有协议封装后,得到第一反馈数据封装包,并将所述第一反馈数据封装包传输至所述第一服务器。
本实施例中,所述第一数据包为从EMS向安全数据网中交换机导入文件,并且包括所要导入的文本数据的指令数据包时,所述第二数据包为通过安全数据网向EMS反馈所述第一数据包传输情况的反馈数据包。
具体的,安全数据网中交换机接收到EMS发送的包括所述文本数据的第一应用数据封装包后,安全数据网中交换机反馈文件接收成功数据包(以下简称“成功数据包”),所述第二服务器120接收交换机返回的所述成功数据包,将所述成功数据包通过所述SNMP通用协议解析,进行SNMP通用协议剥离,得到应用层的反馈数据,再将所述反馈数据通过所述私有协议封装后,得到第一反馈数据封装包,并将所述第一反馈数据封装包传输至所述第一服务器110。
步骤46:所述第一服务器接收所述第一反馈数据封装包,通过所述私有协议将所述第一反馈数据封装包进行解析,得到所述反馈数据,将所述反馈数据进行所述通用协议封装后,得到第二反馈数据封装包,输出所述第二反馈数据封装包至所述第一网络设备。
具体的,所述第一服务器110接收所述第一反馈数据封装包,通过所述私有协议将所述第一反馈数据封装包进行解析,将所述私有协议剥离,得到应用层的所述反馈数据,将所述反馈数据进行所述SNMP通用协议封装后,得到第二反馈数据封装包,输出所述第二反馈数据封装包至EMS。从而实现确认文件传输成功的所述成功数据包由安全数据网中交换机至EMS的安全摆渡,整体上实现通过所述网管数据摆渡系统100从EMS导入文件至安全数据网中交换机,并由安全数据网中交换机反馈给EMS文件导入成功通知。
在另一实施例中,为记录所述第一网络设备10与所述第二网络设备20间的管控操作,所述方法还包括:
步骤47:所述第一服务器记录所述第一网络设备对所述第二网络设备的配置操作,产生日志记录;和/或
若所述应用数据包括文本数据,且所述第三安全检查结果为安全,则保存所述文本数据。
本实施例中,所述第一服务器110记录EMS通过所述网管数据摆渡系统100对安全数据网中交换机的管控操作,如内网设备状态查询,设备参数查询以及修改,并产生日志记录。若所述应用数据包括文本数据,即EMS通过网管数据摆渡系统100对安全数据网中交换机进行设计涉及文件传输的管控操作时,如文件导出,文件导入,所述第三安全检查结果为安全,则保存所述应用数据中的文本数据。若所述第三安全检查结果为不安全,则所述第一服务器110只记录EMS对安全数据网中交换机的管控操作,产生日志记录。
在另一实施例中,所述日志记录采用标准日志格式和机制,如syslog日志机制,以便集中管理。
具体的,可通过第一服务器110记录所述第一网络设备10对所述第二网络设备20的配置操作,第二服务器120记录所述第二网络设备20对所述第一网络设备10的配置操作,产生日志记录,也可通过同一服务器(第一服务器110或第二服务器120)记录所述第一网络设备10对所述第二网络设备20的配置操作和所述第二网络设备20对第一网络设备10的配置操作,产生日志记录,以实现记录第一网络设备10与第二网络设备20间配置操作,保存文件留档为目的,在此不做具体限制。
本实施例中,通过对EMS和安全数据网中交换机之间的配置操作进行记录,并产生日志记录,保存文本数据,以便用户后续进行跟踪查询,实现查询有据可依。
请参阅图5,是本申请提供的另一实施例中网管数据摆渡方法的流程示意图。其中,所述网管数据摆渡方法应用于网管数据摆渡系统(图1所示),所述网管数据摆渡系统100设置于第一网络设备10和第二网络设备20之间,包括第一服务器110及第二服务器120,所述第一服务器110与所述第一网络设备10通讯连接,所述第二服务器120与所述第二网络设备20通讯连接,所述第一网络设备10和第二网络设备20分别处于内网及外网中。
以所述第一服务器110作为执行主体,所述方法包括:
步骤51:所述第一服务器接收所述第一网络设备输入的第一数据包。
步骤52:所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据。
步骤53:所述第一服务器将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至第二服务器。其中,传输至所述第二服务器的第一应用封装数据包经所述私有协议解析,所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
请参阅图6,是本申请提供的另一实施例中网管数据摆渡方法的流程示意图。与上一实施例(图5)的区别点在于,本实施例是以所述第二服务器120作为执行主体,所述方法包括:
步骤61:所述第二服务器接收所述第一网络设备发送的第一应用数据封装包,其中,所述第一应用数据包为经过所述第一服务器进行通用协议解析,私有协议封装得到的数据包。
步骤62:所述第二服务器将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据。
步骤63:所述第二服务器将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
具体数据摆渡过程同图2~图4的过程描述,在此不做赘述。
上述实施例的应用环境均为通过EMS网管系统利用所述网管数据摆渡系统100对铁路信号安全数据网中交换机进行管控,也可以应用于采用网页登录的形式利用所述网管数据摆渡系统100对所述铁路信号安全数据网中交换机进行管控,实现外网数据与内网数据之间的数据安全交互。
请参阅图7,是本申请提供的一实施例中数据摆渡系统的结构示意图。所述网管数据摆渡系统700包括:
第一服务器710和第二服务器720,所述第一服务器710与第一网络设备11通讯连接,所述第二服务器720与第二网络设备21通讯连接,所述第一网络设备11和第二网络设备21分别处于内网及外网中。
在另一实施例中,所述第一服务器710包括第一业务接口711、第一协议处理模块712、第一协议代理模块713、第一数据摆渡模块714以及第一单向传输模块715。
具体的,所述第一业务接口711用于接收第一网络设备11输入的第一数据包,所述第一协议处理模712块用于将所述第一数据包通过通用协议剥离后得到应用数据,所述第一协议代理模块713用于将所述应用数据传输至所述第一数据摆渡模块714,所述第一数据摆渡模块714用于对所述应用数据通过私有协议封装后得到第一应用数据封装包,所述第一单向传输模块715用于将所述第一应用数据封装包传输至所述第二单向传输模块725。
在另一实施例中,所述第二服务器720包括第二业务接口721、第二协议处理模块722、第二协议代理模块723、第二数据摆渡模块724以及第二单向传输模块725。
具体的,所述第二单向传输模块725用于接收所述第一应用数据封装包,所述第二数据摆渡模块724用于将所述第一应用数据封装包通过所述私有协议进行剥离,得到所述应用数据,并将所述应用数据传输至所述第二协议代理模块723,所述第二协议代理模块723用于将所述应用数据传输至所述第二协议处理模块722,所述第二协议处理模块722用于将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,所述第二业务接口721用于输出所述第二应用数据封装包至第二网络设备21。
本实施例中,所述第一网络设备11为EMS网管系统(以下简称“EMS”),所述第二网络设备21为铁路信号安全数据网(以下简称“安全数据网”)中交换机。其中,EMS通过所述网管数据摆渡系统700对安全数据网中交换机进行管控,EMS与安全数据网中交换机之间基于SNMP协议传输数据,所述第一协议代理模块713和第二协议代理模块723均包括SNMP代理模块。
当通过EMS利用所述网管数据摆渡系统700查询安全数据网中交换机的在线状态时,所述第一数据包为查询安全数据网中交换机在线状态的指令数据包(以下简称“查询数据包”)。所述第一业务接口711接收EMS输入的查询数据包,所述第一协议处理模块712将所述查询数据包通过SNMP通用协议解析后得到应用数据,所述第一协议代理模块713中的SNMP代理模块将所述应用数据传输至所述第一数据摆渡模块714,所述第一数据摆渡模块714对所述应用数据通过私有协议封装后得到第一应用数据封装包,所述第一单向传输模块715将所述第一应用数据封装包传输至所述第二单向传输模块725。
所述第二单向传输模块725接收所述第一应用数据封装包,所述第二数据摆渡模块724将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据传输至所述第二协议代理模块723中的SNMP协理模块,所述SNMP代理模块将所述应用数据传输至所述第二协议处理模块722,所述第二协议处理模块722将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,所述第二业务接口721输出所述第二应用数据封装包至安全数据网中交换机。
安全数据网中交换机接收到EMS发送的查询安全数据网中交换机在线状态的指令数据包后,响应该查询数据包中的查询指令,发送反馈交换机在线状态的数据包(以下简称“状态数据包”),所述第二业务接口721接收交换机返回的所述状态数据包,所述第二协议处理模块722将所述状态数据包通过SNMP通用协议解析后得到反馈数据,所述第二协议代理模块723中的SNMP代理模块将所述反馈数据传输至所述第二数据摆渡模块724,所述第二数据摆渡模块724对所述反馈数据通过私有协议封装后得到第二反馈数据封装包,所述第二单向传输模块725将所述第二反馈数据封装包传输至所述第一单向传输模块715。
所述第一单向传输模块715接收所述第二反馈数据封装包,所述第一数据摆渡模块714将所述第二反馈数据封装包通过所述私有协议进行解析,得到所述反馈数据,并将所述反馈数据传输至所述第一协议代理模块713中的SNMP代理模块,所述SNMP代理模块将所述反馈数据传输至所述第一协议处理模块712,所述第一协议处理模块712将所述反馈数据通过所述通用协议封装后得到第二反馈数据封装包,所述第一业务接口711输出所述第二反馈数据封装包至EMS。从而实现所述状态数据包由安全数据网中交换机至EMS的安全摆渡,整体上实现安全数据网中交换机响应EMS通过所述网管数据摆渡系统700的对安全数据网中交换机在线状态的查询。
当通过EMS利用所述网管数据摆渡系统700向安全数据网中交换机中导入文件时,所述第一协议代理模块713和第二协议代理模块723还包括FTP代理模块,用于实现文本数据的传输。所述第一数据包为从EMS向安全数据网中交换机导入文件的指令数据包。
如图8所示,用户通过EMS客户端选择向安全数据网中交换机导入文件,其中,A机表示第一服务器,B机表示第二服务器。结合图7,所述第一业务接口711接收EMS输入的向安全数据网中交换机S导入文件的指令数据包(以下简称“导入数据包”),EMS的服务器以告知交换机S导入的文件名称,所述第一协议处理模块712将所述导入数据包的SNMP通用协议通过SNMP通用协议解析得到指令应用数据,所述指令应用数据包括文本数据和非文本数据,所述网管数据摆渡系统700调用所述第一协议代理模块713中的FTP代理模块,所述FTP代理模块作为客户端与EMS进行交互,从EMS下载并接收所需导入的文件,所述第一协议代理模块713中的SNMP代理模块将所述非文本数据传输至所述第一数据摆渡模块714,所述第一协议代理模块713中的FTP代理模块将所述文本数据传输至所述第一数据摆渡模块714,所述第一数据摆渡模块714对所述指令应用数据(包括所述非文本数据和文本数据)通过私有协议封装后得到第一应用数据封装包,所述第一单向传输模块715将所述第一应用数据封装包传输至所述第二单向传输模块725,所述第一应用数据封装包包括文件信息和所要导入文件的交换机S信息。
所述第二单向传输模块725接收所述第一应用数据封装包,所述第二数据摆渡模块724将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,所述应用数据包括非文本数据和文本数据,并将所述非文本数据传输至所述第二协议代理模块723中的SNMP代理模块,所述SNMP代理模块将所述非文本数据传输至所述第二协议处理模块722,所述第二协议处理模块722将所述非文本数据通过所述SNMP通用协议封装后得到第二应用数据封装包,所述第二业务接口721输出所述第二应用数据封装包至安全数据网中的交换机S,通知交换机S需要导入的文件名称,交换机S作为FTP客户端与所述第二服务器770主动建立连接,请求下载所述文件,所述文本数据传输至所述第二协议代理模块723中的FTP代理模块,所述FTP代理模块响应所述请求下载所述文件,将所述文本数据传输至所述第二协议处理模块722进行FTP通用协议封装后,通过所述第二业务接口721输出至交换机S。
安全数据网中的交换机S接收到EMS发送的文件后,安全数据网中交换机S反馈文件接受成功数据包(以下简称“成功数据包”),所述第二业务接口721接收交换机S返回的所述成功数据包,所述第二协议处理模块722将所述成功数据包通过SNMP通用协议解析后得到反馈数据,所述第二协议代理模块723中的SNMP代理模块将所述反馈数据传输至所述第二数据摆渡模块724,所述第二数据摆渡模块724对所述反馈数据通过私有协议封装后得到第二反馈数据封装包,所述第二单向传输模块725将所述第二反馈数据封装包传输至所述第一单向传输模块715。
所述第一单向传输模块715接收所述第二反馈数据封装包,所述第一数据摆渡模块714将所述第二反馈数据封装包通过所述私有协议进行解析,得到所述反馈数据,并将所述反馈数据传输至所述第一协议代理模块713中的SNMP代理模块,所述SNMP代理模块将所述反馈数据传输至所述第一协议处理模块712,所述第一协议处理模块712将所述反馈数据通过所述通用协议封装后得到第二反馈数据封装包,所述第一业务接口711输出所述第二反馈数据封装包至EMS。从而实现反映文件传输成功的所述成功数据包由安全数据网中交换机S至EMS的安全摆渡,整体上实现通过所述网管数据摆渡系统700从EMS导入文件至安全数据网中交换机S,并由安全数据网中交换机S反馈给EMS文件导入成功通知。
当EMS通过所述网管数据摆渡系统700从安全数据网中交换机导出文件时,所述第一数据包为从安全数据网中交换机中向EMS中导出文件的指令数据包。
如图9所示,用户通过EMS客户端选择向安全数据网中交换机S导出文件,其中,A机表示第一服务器,B机表示第二服务器。结合图7,所述第一业务接口711接收EMS输入的从安全数据网中交换机导出文件的指令数据包(以下简称“导出数据包”),EMS的服务器以告知交换机S需要导出的文件名称,所述第一协议处理模块712将所述导出数据包的SNMP通用协议通过SNMP通用协议解析得到指令应用数据,所述第一协议代理模块713中的SNMP代理模块将所述指令应用数据传输至所述第一数据摆渡模块714,所述第一数据摆渡模块714对所述指令应用数据通过私有协议封装后得到第一应用数据封装包,所述第一单向传输模715将所述第一应用数据封装包传输至所述第二单向传输模块725,所述第一应用数据封装包包括所要导出文件的交换机S信息。
所述第二单向传输模块725接收所述第一应用数据封装包,所述第二数据摆渡模块724将所述第一应用数据封装包通过所述私有协议进行解析,得到所述指令应用数据,并将所述指令应用数据传输至所述第二协议代理模块723中的SNMP代理模块,所述SNMP代理模块将所述指令应用数据传输至所述第二协议处理模块722,所述第二协议处理模块822将所述指令应用数据通过所述通用协议封装后得到第二应用数据封装包,所述第二业务接口721输出所述第二应用数据封装包至安全数据网中交换机S,通知交换机S需要导出的文件名称,交换机S作为FTP客户端与所述第二服务器720主动建立连接,响应所述指令数据中的导出文件指令,执行导出文件操作,将所述“导出文件”通过所述第二业务接口721传输至所述第二协议处理模块722,所述“导出文件”中的文件的文本数据经所述第二协议处理模块722进行FTP通用协议解析,所述“导出文件”中的非文本数据经所述第二协议处理模块722进行SNMP通用协议解析(交换机与EMS间基于SNMP协议传输数据),剥离SNMP通用协议,得到包括文本数据和非文本数据的应用数据,将所述文本数据传输至所述第二协议代理模块723中的FTP代理模块,将所述非文本数据传输至所述第二协议代理模块723中的SNMP代理模块,所述FTP代理模块将所述文本数据传输至所述第二数据摆渡模块724,所述SNMP代理模块将所述非文本数据传输至所述第二数据摆渡模块724。所述第二数据摆渡模块724将所述应用数据(包括非文本数据和文本数据)通过私有协议封装后传输至所述第一数据摆渡模块714,所述第一数据摆渡模块714对经过所述私有协议封装的应用数据进行所述私有协议解析,将所述文本数据传输至所述第一协议代理模块712中的FTP代理模块,将所述非文本数据传输至所述第一协议代理模块713中的SNMP代理模块,所述FTP代理模块作为FTP客户端与EMS的FTP服务器建立连接,所述文本数据经所述第一协议处理模块712进行FTP通用协议封装后,所述非文本数据经所述第一协议处理模块712进行SNMP通用协议封装后,均由所述第一业务接口711传输至EMS的FTP服务器,从而将安全数据网中交换机S中的文件导出至EMS。从而实现文件导出数据包由安全数据网中交换机S至EMS的安全摆渡,整体上实现通过所述网管数据摆渡系统700从安全数据网中交换机S导出文件至EMS中。
其中,所述非文本数据包括反馈每一步数据是否传输成功的反馈数据。
在另一个实施例中,采用网页登录的形式对所述铁路信号安全数据网中交换机进行管控。基于Web协议进行数据传输,接入安全数据网中交换机的设备服务器通过HTTP协议进行登录。在进行上述查询/修改内网中设备状态、文件导入、导出的管控时,所述第一协议代理模块713和第二协议代理模块723还包括Web代理模块,所述第一协议处理模块712和所述第二协议处理模块722用于解析或封装HTTP通用协议,具体数据摆渡过程如图10所示。其中,所述网管摆渡系统中第一服务器710与交换机S间存在数据同步,所述第一服务器710获得的交换机S配置文件与实际交换机配置文件一致,用户登录后在所述第一服务器端710修改交换机配置数据,修改数据通过所述第二服务器720传输至交换机S,后将交换机S配置数据修改更新,更新后的配置数据再通过所述第二服务器720传输至所述第一服务器710,以实现所述第一服务器710上交换机配置信息与实际交换机间的数据同步,完成TRAP主动上报和SNMP轮询。
在另一个实施例中,如图11所示,所述第一服务器810还包括安全检查模块817,用于对所述第一数据包和/或应用数据进行安全检查。
在另一个实施例中,所述安全检查模块817包括协议权限控制单元,所述协议权限控制单元用于判断所述第一数据包使用的通用协议是否与黑名单中的通用协议匹配。
具体的,本实施例中,所述协议权限控制单元对管控安全数据网的所述第一数据包所使用的通用协议进行权限控制安全检查,预设使用明文信息的通用协议为禁止使用的黑名单通用协议,如Telnet、ICMP、http等协议,检测所述第一数据包所使用的通用协议是否与上述预设的黑名单中的通用协议匹配。若不匹配,则所述安全检查模块817允许通过EMS使用该通用协议对安全数据网中交换机进行管控;若匹配,则所述安全检查模块817发出警告信息,所述警告信息包括的不安全原因为对管控安全数据网的所述第一数据包所使用的通用协议是禁止使用的黑名单通用协议。
在另一个实施例中,所述安全检查模块817包括接入认证单元,用于查询所述应用数据中所包含的第一网络设备12的IP/MAC地址是否与白名单中的IP/MAC地址的匹配。
本实施例中,所述接入认证单元对通过所述网管数据摆渡系统800接入安全数据网中交换机的EMS的IP/MAC地址进行接入认证安全检查,预设允许接入设备的IP/MAC地址为白名单IP/MAC地址,查询EMS的IP/MAC地址是否与预设的白名单中的IP/MAC地址匹配。若匹配,则所述安全检查模块817允许EMS接入安全数据网中交换机;若不匹配,则所述安全检查模块817发出警告信息,所述警告信息包括的不安全原因为通过所述网管数据摆渡系统800接入安全数据网中交换机的EMS的IP/MAC地址不是白名单IP/MAC地址,为非法接入设备。
在另一个实施例中,所述安全检查模块817包括管理权限控制单元,用于检测所述应用数据中的用户账号是否为经过验证的合法用户账号。
本实施例中,所述管理权限控制单元对管控安全数据网中交换机的用户账号进行身份验证安全检查,检测所述应用数据中的用户账号是否为经过验证的合法用户账号。其中,所述第一服务器810包括第一USB端口818,用于连接USB验证设备,通过USB-key对所述用户账号进行账号身份验证。若是合法用户账号,则所述安全检查模块817允许使用该用户账号通过EMS对安全数据网中交换机进行管控;若不是合法用户账号,则所述安全检查模块817发出警告信息,所述警告信息包括的不安全原因为对管控安全数据网中交换机的用户账号不是合法用户账号。
在另一个实施例中,所述管理权限控制单元用于检测所述应用数据中控制指令所需执行的时间是否在合法时间段内。
本实施例中,所述管理权限控制单元对管控安全数据网中交换机的所述应用数据中控制指令所需执行的时间进行权限控制安全检查,预设允许外界设备通过所述网管数据摆渡系统800对安全数据网中交换机进行访问的时间段(以下简称“合法时间段”),检测EMS发送的所述应用数据中控制指令所需执行的时间是否在上述预设的合法时间段内。若在合法时间段内,则所述安全检查模块817允许EMS在该时间对安全数据网中交换机进行管控;若不在合法时间段内,则所述安全检查模块817发出警告信息,所述警告信息包括的不安全原因为对管控安全数据网中交换机的所述应用数据中控制指令所需执行的时间不在合法访问时间段内,为非法访问时间。
在另一实施例中,所述安全检查模块817还包括一致性检查单元,在所述应用数据包括文本数据时,用于判断所述文本数据经过上述安全检查前后的哈希值是否一致。
本实施例中,所述一致性检查单元对由EMS导入安全数据网中交换机的文件进行文件一致性安全检查。由于实际应用中所述安全检查模块817还包括一些现有的杀毒单元,以对所述文件进行杀毒处理,所述一致性检查单元用于判断经过所述安全检查模块817进行安全检查(包括杀毒处理)后的文本的哈希值是否发生变化,以确定所述文本数据是否安全。若一致,则所述安全检查结果为安全;若不一致,则所述安全检查结果为不安全,所述文本数据经所述安全检查后数据发生了变化或损坏,导致所述文本数据不可信,存在安全隐患。
在另一实施例中,所述安全检查模块817用于实现上述所有安全检查内容,若同时满足所述安全检查结果为安全,则所述安全检查模块817允许EMS对安全数据网中交换机进行管控;若存在所述安全检查结果为不安全,则所述安全检查模块817发出警告信息,所述警告信息包括不安全原因。
本实施例中,所述安全检查模块对所述应用数据进行安全检查,对EMS通过所述网管数据摆渡系统对安全数据网中交换机进行访问控制,包括对接入安全数据网中交换机的设备进行接入认证,对通过EMS登录的账号进行身份验证,对发送的所述应用数据中控制指令所需执行的时间进行合法性验证,对所述第一数据包所使用的通用协议进行安全验证,实现EMS通过所述网管数据摆渡系统对安全数据网管控的多方位安全检查,进一步确保了通过EMS对安全数据网中交换机进行管控时数据传输的安全性,避免引入网络攻击和病毒,以保证安全数据网的封闭性与独立性。
在另一个实施例中,如图11所示,所述第二服务器820包括第二USB端口826,Ping服务模块827和SSH服务模块828;所述第二USB端口826用于连接USB验证设备,进行USB-key账号身份验证,所述Ping服务模块827用于查询所述第二网络设备22内设备的网络连接状态,所述SSH服务模块828用于对所述第二网络设备22内设备进行远程控制。
应用于所述第一网络设备12为EMS,第二网络设备22为安全数据中交换机的场景中,所述第一服务器810禁止从EMS端利用telnet远程登录安全数据网中的交换机,禁止从EMS端查询安全数据网中交换机的网络连接状态,具体通过所述第二服务器820中的SSH服务模块828实现对安全数据网中交换机的远程登录,所述第二服务器820中的Ping服务模块827实现对安全数据网中交换机的网络连接状态查询。
在另一个实施例中,所述Ping服务模块827和SSH服务模块828均包括接入认证单元和权限控制单元。
具体的,所述接入认证单元用于判断发送Ping服务指令/SSH服务指令的设备的IP/MAC地址是否与白名单中的IP/MAC地址的匹配。
具体的,所述权限控制单元用于判断发送Ping服务指令/SSH服务指令的用户账号是否为允许用户账号、判断发送Ping服务指令/SSH服务指令的时间是否在合法时间段内、所述Ping服务指令/SSH服务指令所使用的通用协议是否与黑名单中的通用协议匹配。
本实施例中,通过所述第二服务器820内的Ping服务模块827和SSH服务模块828,经过所述认证单元的接入认证,允许白名单IP/MAC地址的设备接入安全数据网,经过所述权限控制单元的权限控制验证,允许最高权限用户账号对安全数据网中交换机进行SSH远程登录,允许所述设备在合法时间段内对安全数据网中交换机进行管控,禁止使用黑名单通用协议对安全数据网中交换机进行管控,从而在数据传输安全的情况下,满足对安全数据网中设备的远程登录及网络连接状态查询的业务需求。
在另一个实施例中,所述第一服务器810还包括审计模块8191,用于记录所述第一网络设备12对所述第二网络设备22的配置操作,产生日志记录;
若所述应用数据包括文本数据,且所述安全检查结果为安全,则保存所述文本数据。
在另一个实施例中,所述第二服务器810还包括审计模块829,用于记录所述第二网络设备22对所述第一网络设备12的配置操作,产生日志记录。
若所述应用数据包括文本数据,且所述安全检查结果为安全,则保存所述文本数据。
在另一个实施例中,所述网管数据摆渡系统可采用一审计模块对所述第一网络设备12和第二网络设备22的之间的配置操作进行记录,产生日志记录,保存所述文本数据。
在另一个实施例中,所述第一服务器810还包括管理接口8192,连接维护终端,用于通过所述维护终端查看所述网管数据摆渡系统800的日志记录、设备状态、连接状态、配置信息以及修改所述配置信息。
在另一个实施例中,如图12所示,所述第一单向传输模块815包括第一单向网口8151,所述第二单向传输模块825包括第二单向网口8251,所述第一单向网口8151通过第一传输网线8152和第二传输网线8252与所述第二单向网口8251连接,所述第一传输网线8152用于将数据由所述第一服务器810传输至所述第二服务器820,所述第二传输网线8252用于将数据由所述第二服务器传输820至所述第一服务器810。
在另一个实施例中,所述第一服务器810和所述第二服务器820之间还可通过其他非网络接口连接,如串口或光纤,以实现单向传输为目的,在此不做具体限制。
本实施例中,所述第一服务器和所述第二服务器之间通过非网络接口连接,一方的网络协议不可向对方延伸,通过单向网口连接,实现私有协议封装的数据包的单向传输,进一步增强了内外网间的安全隔离,保障了所述铁路安全数据网的运维安全。
在一个实施例中,本申请提供了一种存储介质,所述存储介质为计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如下骤:
所述网管数据摆渡系统设置于第一网络设备和第二网络设备之间,包括第一服务器及第二服务器,所述第一服务器与所述第一网络设备通讯连接,所述第二服务器与所述第二网络设备通讯连接,所述第一网络设备和第二网络设备分别处于内网及外网中,所述方法包括:
所述第一服务器接收所述第一网络设备输入的第一数据包;
所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据;
所述第一服务器将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器;
所述第二服务器接收所述第一应用数据封装包,将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图11所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储所要进行摆渡的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网管数据摆渡方法。
本领域技术人员可以理解,图11中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
所述计算机程序被处理器执行时还实现以下步骤:
所述第一服务器接收第一网络设备输入的第一数据包;所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据;所述第一服务器对所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至第二服务器;所述第二服务器接收所述第一应用数据封装包,将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
综上所述,本申请提供的网管数据摆渡系统,设置在分别处于内网及外网中的EMS网管系统和安全数据网中交换机之间,EMS网管系统通过所述网管数据摆渡系统实现如图13中所示的,对安全数据网中交换机进行如告警管理、交换机基本信息获取、维护操作、拓扑管理、Web登录等的安全管控。具体通过所述网管数据摆渡系统中的第一服务器作为外网主机接收EMS网管服务器输入的第一数据包,对所述第一数据包进行通用协议解析、安全检查、私有协议封装后得到第一应用数据封装包,并传输至所述网管数据摆渡系统中的作为内网主机的第二服务器,所述内外网主机间通过非网络接口连接;所述内网主机接收所述第一应用数据封装包,对所述第一应用数据封装包进行所述私有协议解析、所述通用协议封装后得到第二应用数据封装包,并输出所述第二应用数据封装包至安全数据网中交换机,同时所述内网主机还包括SSH服务模块和Ping服务模块,相应的对接入设备进行接入认证和权限控制检查,允许最高权限对所述第二网络设备进行远程登录和设备网络连接状态查询。从而在满足业务需求的情况下,实内外网间的安全隔离,使得EMS网管系统与安全数据网中交换机通过所述网管数据摆渡系统实现安全管控,避免引入外部威胁,造成安全隐患,以保证内网的封闭性和独立性。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (15)

1.一种网管数据摆渡方法,应用于网管数据摆渡系统,其特征在于,所述网管数据摆渡系统设置于第一网络设备和第二网络设备之间,包括第一服务器及第二服务器,所述第一服务器与所述第一网络设备通讯连接,所述第二服务器与所述第二网络设备通讯连接,所述第一网络设备和第二网络设备分别处于内网及外网中,所述方法包括:
所述第一服务器接收所述第一网络设备输入的第一数据包;
所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据;
所述第一服务器将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器;
所述第二服务器接收所述第一应用数据封装包,将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第二服务器接收所述第二网络设备返回的第二数据包,将所述第二数据包通过所述通用协议解析,得到反馈数据,将所述反馈数据通过所述私有协议封装后,得到第一反馈数据封装包,并将所述第一反馈数据封装包传输至所述第一服务器;
所述第一服务器接收所述第一反馈数据封装包,通过所述私有协议将所述第一反馈数据封装包进行解析,得到所述反馈数据,将所述反馈数据进行所述通用协议封装后,得到第二反馈数据封装包,输出所述第二反馈数据封装包至所述第一网络设备。
3.根据权利要求1所述的方法,其特征在于,在所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据步骤前还包括:
所述第一服务器对所述第一数据包进行第一安全检查;所述第一安全检查包括:
判断所述第一数据包所使用的通用协议是否与黑名单中的通用协议匹配;
若不匹配,则所述第一安全检查结果为安全,执行所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据的步骤;
和/或,
在所述第一服务器将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器步骤前还包括:
所述第一服务器对所述应用数据进行第二安全检查;
所述第二安全检查包括:
查询所述应用数据中所包含的第一网络设备的IP/MAC地址是否与白名单中的IP/MAC地址匹配;和/或
检测所述应用数据中的用户账号是否为经过验证的合法用户账号;和/或
检测所述应用数据中控制指令所需执行的时间是否在合法时间段内;和/或
判断所述应用数据所包含的配置参数是否与预设的配置参数匹配;
若所述应用数据中的用户账号为合法账号,和/或所述应用数据中指控指令所需执行的时间在合法时间段内,和/或所述应用数据所包含的配置参数与预设的配置参数匹配,则所述第二安全检查结果为安全,执行所述第一服务器对所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器的步骤。
4.根据权利要求2所述的方法,其特征在于,在所述第一服务器将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器步骤前还包括:
所述第一服务器检测所述应用数据是否包括文本数据;
若所述应用数据包括文本数据,则执行所述第一服务器对所述文本数据进行第三安全检查;
所第三述安全检查包括:
判断所述文本数据经过所述安全检查前后的哈希值是否一致;
若一致,则所述第三安全检查结果为安全,执行所述第一服务器对所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器的步骤。
5.根据权利要求4所述的方法,其特征在于,所述第二服务器接收所述第一应用数据封装包,将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备步骤之后还包括:
所述第一服务器记录所述第一网络设备对所述第二网络设备的配置操作,产生日志记录;和/或
若所述应用数据包括文本数据,且所述安全检查结果为安全,则保存所述文本数据。
6.一种网管数据摆渡方法,应用于网管数据摆渡系统,其特征在于,所述网管数据摆渡系统设置于第一网络设备和第二网络设备之间,包括第一服务器及第二服务器,所述第一服务器与所述第一网络设备通讯连接,所述第二服务器与所述第二网络设备通讯连接,所述第一网络设备和第二网络设备分别处于内网及外网中,所述方法包括:
所述第一服务器接收所述第一网络设备输入的第一数据包;
所述第一服务器将所述第一数据包通过通用协议解析后得到应用数据;
所述第一服务器将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器;
其中,传输至所述第二服务器的第一应用封装数据包经所述私有协议解析,所述通用协议封装后得到第二应用数据封装包,所述第二服务器输出所述第二应用数据封装包至所述第二网络设备。
7.一种网管数据摆渡方法,应用于网管数据摆渡系统,其特征在于,所述网管数据摆渡系统设置于第一网络设备和第二网络设备之间,包括第一服务器及第二服务器,所述第一服务器与所述第一网络设备通讯连接,所述第二服务器与所述第二网络设备通讯连接,所述第一网络设备和第二网络设备分别处于内网及外网中,所述方法包括:
所述第二服务器接收所述第一网络设备发送的第一应用数据封装包,其中,所述第一应用数据包为经过所述第一服务器进行通用协议解析,私有协议封装得到的数据包;
所述第二服务器将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据;
所述第二服务器将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
8.一种网管数据摆渡系统,其特征在于,包括:
第一服务器和第二服务器,所述第一服务器与第一网络设备通讯连接,所述第二服务器与第二网络设备通讯连接,所述第一网络设备和第二网络设备分别处于内网及外网中;
所述第一服务器用于接收所述第一网络设备输入的第一数据包,将所述第一数据包通过通用协议解析后得到应用数据,将所述应用数据通过私有协议封装后得到第一应用数据封装包,并将所述第一应用数据封装包传输至所述第二服务器;
所述第二服务器用于接收所述第一应用数据封装包,将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,输出所述第二应用数据封装包至所述第二网络设备。
9.根据权利要求8所述的网管数据摆渡系统,其特征在于,
所述第一服务器包括第一业务接口、第一协议处理模块、第一协议代理模块、第一数据摆渡模块以及第一单向传输模块;
所述第二服务器包括第二业务接口、第二协议处理模块、第二协议代理模块、第二数据摆渡模块以及第二单向传输模块;
所述第一业务接口用于接收所述第一网络设备输入的第一数据包,所述第一协议处理模块用于将所述第一数据包通过通用协议解析后得到应用数据,所述第一协议代理模块用于将所述应用数据传输至所述第一数据摆渡模块,所述第一数据摆渡模块用于将所述应用数据通过私有协议封装后得到第一应用数据封装包,所述第一单向传输模块用于将所述第一应用数据封装包传输至所述第二单向传输模块;
所述第二单向传输模块用于接收所述第一应用数据封装包,所述第二数据摆渡模块用于将所述第一应用数据封装包通过所述私有协议进行解析,得到所述应用数据,并将所述应用数据传输至所述第二协议代理模块,所述第二协议代理模块用于将所述应用数据传输至所述第二协议处理模块,所述第二协议处理模块用于将所述应用数据通过所述通用协议封装后得到第二应用数据封装包,所述第二业务接口用于输出所述第二应用数据封装包至所述第二网络设备。
10.根据权利要求9所述的网管数据摆渡系统,其特征在于,所述第一服务器还包括安全检查模块,用于对所述第一数据包和应用数据进行安全检查;
所述第一服务器包括第一USB端口,用于连接USB验证设备,进行USB-key账号身份验证;
所述安全检查模块包括接入认证单元,用于查询所述应用数据中所包含的第一网络设备的IP/MAC地址是否与白名单中的IP/MAC地址的匹配;和/或
所述安全检查模块包括权限控制单元,用于判断所述第一数据包使用的通用协议是否与黑名单中的通用协议匹配;和/或检测所述应用数据中的用户账号是否为经过所述USB-key账号身份验证的合法用户账号;和/或检测所述应用数据中控制指令所需执行的时间是否在合法时间段内;
所述安全检查模块包括数据配置检查单元,用于判断所述应用数据所包含的配置参数是否与预设的配置参数匹配。
11.根据权利要求9所述的网管数据摆渡系统,其特征在于,所述第二服务器包括第二USB端口,Ping服务模块和SSH服务模块;所述第二USB端口用于连接USB验证设备,进行USB-key账号身份验证,所述Ping服务模块用于查询所述第二网络设备内设备的网络连接状态,所述SSH服务模块用于对所述第二网络设备内设备进行远程控制;
所述Ping服务模块和SSH服务模块均包括接入认证单元和权限控制单元;
所述接入认证单元用于判断发送Ping服务指令/SSH服务指令设备的IP/MAC地址是否为允许的IP/MAC地址;
所述权限控制单元用于判断发送Ping服务指令/SSH服务指令的用户账号是否为经过所述USB-key账号身份验证的合法用户账号、判断发送Ping服务指令/SSH服务指令的时间是否在允许时间段内、所述Ping服务指令/SSH服务指令使用的协议是否与白名单中的通用协议匹通。
12.根据权利要求9所述的网管数据摆渡系统,其特征在于,所述第一单向传输模块包括第一单向网口,所述第二单向传输模块包括第二单向网口,所述第一单向网口通过第一传输网线和第二传输网线与所述第二单向网口连接,所述第一传输网线用于将数据由所述第一服务器传输至所述第二服务器,所述第二传输网线用于将数据由所述第二服务器传输至所述第一服务器。
13.根据权利要求9所述的网管数据摆渡系统,其特征在于,所述第一服务器还包括管理接口,连接维护终端,用于通过所述维护终端查看所述网管数据摆渡系统中存储的日志信息、设备状态、连接状态、配置信息以及修改所述配置信息。
14.一种存储介质,所述存储介质为计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
15.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时实现权利要求1至7中任一项所述方法的步骤。
CN201911134865.6A 2019-11-19 2019-11-19 网管数据摆渡方法和系统、存储介质以及计算机设备 Pending CN111131154A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911134865.6A CN111131154A (zh) 2019-11-19 2019-11-19 网管数据摆渡方法和系统、存储介质以及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911134865.6A CN111131154A (zh) 2019-11-19 2019-11-19 网管数据摆渡方法和系统、存储介质以及计算机设备

Publications (1)

Publication Number Publication Date
CN111131154A true CN111131154A (zh) 2020-05-08

Family

ID=70495815

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911134865.6A Pending CN111131154A (zh) 2019-11-19 2019-11-19 网管数据摆渡方法和系统、存储介质以及计算机设备

Country Status (1)

Country Link
CN (1) CN111131154A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113194085A (zh) * 2021-04-27 2021-07-30 云南电网有限责任公司信息中心 数据自主安全传输设备
CN114154609A (zh) * 2021-12-21 2022-03-08 福建省气象信息中心(福建省气象档案馆) 一种私有协议的单向安全传输简便装置
CN115065498A (zh) * 2022-04-15 2022-09-16 北京全路通信信号研究设计院集团有限公司 一种外设摆渡装置及其系统
CN115314544A (zh) * 2022-08-05 2022-11-08 成都卫士通信息产业股份有限公司 一种tcp数据单向传输方法、装置、设备及介质
CN116094828A (zh) * 2023-02-14 2023-05-09 深圳市利谱信息技术有限公司 一种基于物理隔离的动态协议网关系统
CN116319094A (zh) * 2023-05-19 2023-06-23 北京安帝科技有限公司 基于烟草行业的数据安全传输方法、计算机设备和介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101834742A (zh) * 2010-05-06 2010-09-15 烽火通信科技股份有限公司 通过网管服务器远程配置网元的方法
CN105656883A (zh) * 2015-12-25 2016-06-08 冶金自动化研究设计院 一种适用于工控网络的单向传输内外网安全隔离网闸
CN106992987A (zh) * 2017-04-15 2017-07-28 北京科罗菲特科技有限公司 一种基于usb的信息传输设备及方法
CN107070907A (zh) * 2017-03-31 2017-08-18 杭州通悟科技有限公司 内外网数据单向传输方法及系统
US20180183937A1 (en) * 2016-12-28 2018-06-28 Motorola Solutions, Inc. Methods and systems for connecting isolated networks
CN109391635A (zh) * 2018-12-17 2019-02-26 北京奇安信科技有限公司 基于双向网闸的数据传输方法、装置、设备及介质
CN109936566A (zh) * 2019-01-28 2019-06-25 北京和利时工业软件有限公司 一种数据传输方法系统、装置及计算机可读存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101834742A (zh) * 2010-05-06 2010-09-15 烽火通信科技股份有限公司 通过网管服务器远程配置网元的方法
CN105656883A (zh) * 2015-12-25 2016-06-08 冶金自动化研究设计院 一种适用于工控网络的单向传输内外网安全隔离网闸
US20180183937A1 (en) * 2016-12-28 2018-06-28 Motorola Solutions, Inc. Methods and systems for connecting isolated networks
CN107070907A (zh) * 2017-03-31 2017-08-18 杭州通悟科技有限公司 内外网数据单向传输方法及系统
CN106992987A (zh) * 2017-04-15 2017-07-28 北京科罗菲特科技有限公司 一种基于usb的信息传输设备及方法
CN109391635A (zh) * 2018-12-17 2019-02-26 北京奇安信科技有限公司 基于双向网闸的数据传输方法、装置、设备及介质
CN109936566A (zh) * 2019-01-28 2019-06-25 北京和利时工业软件有限公司 一种数据传输方法系统、装置及计算机可读存储介质

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113194085A (zh) * 2021-04-27 2021-07-30 云南电网有限责任公司信息中心 数据自主安全传输设备
CN114154609A (zh) * 2021-12-21 2022-03-08 福建省气象信息中心(福建省气象档案馆) 一种私有协议的单向安全传输简便装置
CN115065498A (zh) * 2022-04-15 2022-09-16 北京全路通信信号研究设计院集团有限公司 一种外设摆渡装置及其系统
CN115065498B (zh) * 2022-04-15 2024-03-22 北京全路通信信号研究设计院集团有限公司 一种外设摆渡装置及其系统
CN115314544A (zh) * 2022-08-05 2022-11-08 成都卫士通信息产业股份有限公司 一种tcp数据单向传输方法、装置、设备及介质
CN115314544B (zh) * 2022-08-05 2023-12-15 成都卫士通信息产业股份有限公司 一种tcp数据单向传输方法、装置、设备及介质
CN116094828A (zh) * 2023-02-14 2023-05-09 深圳市利谱信息技术有限公司 一种基于物理隔离的动态协议网关系统
CN116094828B (zh) * 2023-02-14 2023-11-17 深圳市利谱信息技术有限公司 一种基于物理隔离的动态协议网关系统
CN116319094A (zh) * 2023-05-19 2023-06-23 北京安帝科技有限公司 基于烟草行业的数据安全传输方法、计算机设备和介质
CN116319094B (zh) * 2023-05-19 2023-08-11 北京安帝科技有限公司 基于烟草行业的数据安全传输方法、计算机设备和介质

Similar Documents

Publication Publication Date Title
CN111131154A (zh) 网管数据摆渡方法和系统、存储介质以及计算机设备
CN110661761B (zh) 一种访问控制设备、方法、计算机程序产品和计算机可读介质
US11539695B2 (en) Secure controlled access to protected resources
CN116708416B (zh) 数据传输控制方法、系统、控制设备及可读存储介质
CN114995214A (zh) 远程访问应用的方法、系统、装置、设备及存储介质
CN101399838A (zh) 报文处理方法、装置和系统
CN114257413B (zh) 基于应用容器引擎的反制阻断方法、装置和计算机设备
O'Neill et al. {TrustBase}: An architecture to repair and strengthen certificate-based authentication
CN113472758B (zh) 访问控制方法、装置、终端、连接器及存储介质
Januário et al. Security challenges in SCADA systems over Wireless Sensor and Actuator Networks
CN113422768B (zh) 零信任中的应用接入方法、装置及计算设备
CN104994094A (zh) 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统
WO2018160413A1 (en) Managing data encrypting application
CN115499177A (zh) 云桌面访问方法、零信任网关、云桌面客户端和服务端
CN113872933B (zh) 隐藏源站的方法、系统、装置、设备及存储介质
CN112822146A (zh) 网络连接的监控方法、装置、系统和计算机可读存储介质
US11349882B2 (en) Connecting devices to the cloud
CN114390049A (zh) 一种应用数据获取方法及装置
US11683167B2 (en) Network traffic management using server name indication
CN115567498A (zh) 一种基于单向可靠网络安全传输协议的系统
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
EP4047885A1 (en) Method and system for processing network service, and gateway device
CN114465744A (zh) 一种安全访问方法及网络防火墙系统
KR101992985B1 (ko) 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템
Robinson et al. A cyber-defensive industrial control system with redundancy and intrusion detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200508

RJ01 Rejection of invention patent application after publication