CN112637149A - 一种不对称安全策略分区间的数据通信方法 - Google Patents
一种不对称安全策略分区间的数据通信方法 Download PDFInfo
- Publication number
- CN112637149A CN112637149A CN202011451001.XA CN202011451001A CN112637149A CN 112637149 A CN112637149 A CN 112637149A CN 202011451001 A CN202011451001 A CN 202011451001A CN 112637149 A CN112637149 A CN 112637149A
- Authority
- CN
- China
- Prior art keywords
- request
- data
- response
- packet
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明公开了一种不对称安全策略分区间的数据通信方法,包括客户端发送服务请求至请求代理程序;所述请求代理程序将请求数据通过隔离器传输至请求处理程序;所述请求处理程序将所述请求数据传输至服务端进行处理,并将响应信息利用不对称安全策略通过隔离器传输至所述请求代理程序,并返回响应结果实现数据通信。利用单向隔离器实现了硬件设备级的包过滤及单向通信控制,保证了任何传统的软件都无法穿透硬件设备,对网络造成侵害,只有满足包过滤控制协议的数据包才能通过硬件隔离设备,两个以上硬件设备的配合才能实现完整的网络实时通信,进一步提高了网络间通信的安全性。
Description
技术领域
本发明涉及数据通信的技术领域,尤其涉及一种不对称安全策略分区间的数据通信方法。
背景技术
企业内部存在多个网络,如生产网和管理网。每个网络对安全策略的要求不同。传统的网络间通信是通过防火墙进行网络间的通信隔离,防火墙是基于TCP/IP协议,通过请求转发等方式实现网络间的互通,这种方式支持UDP或TCP的数据转发,防火墙的通信方式是双向的。防火墙采用通用的TCP/IP协议,也有被攻破的可能性。甚至利用防火墙的已有规则也可能进行通信。
本通信方案在传统TCP/IP协议的基础上,实现了硬件设备级的包过滤及单向通信控制,保证了任何传统的软件都无法穿透硬件设备,对网络造成侵害。只有满足包过滤控制协议的数据包才能通过硬件隔离设备,两个以上硬件设备的配合才能实现完整的网络实时通信。进一步提高了网络间通信的安全性。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有网络通信存在的问题,提出了本发明。
因此,本发明解决的技术问题是:防火墙通过UDP或TCP转发规则的配置,实现跨网络实时通信的方案,但防火墙也有被攻破的风险;一旦配置了防火墙的转发规则,现有的任何通信软件可利用防火墙的跳转通道进行通信。。
为解决上述技术问题,本发明提供如下技术方案:客户端发送服务请求至请求代理程序;所述请求代理程序将请求数据通过隔离器传输至请求处理程序;所述请求处理程序将所述请求数据传输至服务端进行处理,并将响应信息通过隔离器传输至所述请求代理程序,并返回响应结果实现数据通信。
作为本发明所述的不对称安全策略分区间的数据通信方法的一种优选方案,其中:所述隔离器包括,正向隔离器和反向隔离器,所述请求代理程序通过所述正向隔离器发送请求,通过所述反向隔离器接收响应结果,所述正向隔离区和反向隔离器之间均采用UDP协议进行通信。
作为本发明所述的不对称安全策略分区间的数据通信方法的一种优选方案,其中:所述不对称安全策略包括,所述请求代理程序将请求数据以请求数据包形式发送至所述请求处理程序,并且以请求应答包的形式返回至所述请求代理程序,其中所述请求数据包通过所述正向隔离器,所述请求应答包通过所述反向隔离器;所述请求处理程序接收服务端的响应结果以响应数据包的形式发送至所述请求代理程序,所述请求代理程序接收后再发送响应应答包至请求处理程序,以表示数据接收,其中所述相应数据包通过反向隔离装置进行传输,所述响应应答包通过正向隔离装置进行传输,与请求数据的传输表现出不对称的形式,增强数据传输的安全性。
作为本发明所述的不对称安全策略分区间的数据通信方法的一种优选方案,其中:所述请求代理程序包括,所述请求代理程序提供一个通用的数据通信协议,接收客户端的服务请求,并将所述服务请求转换为满足隔离器通信要求的数据包格式进行请求转发,并且对于大数据包进行分包处理,采用滑动窗口及请求应答的确认,确保数据可靠通信,所述请求代理程序只能将请求发送到对端的所述请求处理程序。
作为本发明所述的不对称安全策略分区间的数据通信方法的一种优选方案,其中:所述请求处理程序包括,所述请求处理程序接收所述请求代理程序发送过来的请求,对应于一个特定的请求代理程序,在所述请求代理程序中需要配置请求处理程序的接收IP地址和端口号,根据服务端的请求接收协议,所述请求处理程序发送满足该协议要求的请求,并获取响应结果,并将结果返回到所述请求代理程序。
作为本发明所述的不对称安全策略分区间的数据通信方法的一种优选方案,其中:所述请求数据和响应信息包括,所述请求数据和响应信息均采用数据包的形式进行传输,并且均使用相同的数据包格式;在传输所述请求数据和响应信息时,所述请求代理程序和请求处理程序会根据数据包进行应答,应答包和所述数据包的格式相同,只是所述应答包只有帧序号、会话编号及CRC校验是有效的字段,其它均为固定值。
作为本发明所述的不对称安全策略分区间的数据通信方法的一种优选方案,其中:所述数据包格式包括,所述数据包格式为:包头-固定值4字节,所述数据包的均采用固定整数数值;总帧数-2字节,短整数,请求或响应拆成分包的总包数;帧序号-2字节,短整数,当前帧的序号,从0开始,小于总帧数;数据长度-4字节,后续数据的总长度;数据-n字节,按照实际发送的数据字节计算;会话编号-4字节,由所述请求代理程序统一分配,保证在一段时间内全局唯一,循环使用,会话编号用于请求和响应之间的数据对应,所以同一服务调用过程的请求和响应采用相同的会话编号;CRC校验-是从包头开始,到会话编号之间的CRC循环冗余校验码,用于检验数据的误码错误。
作为本发明所述的不对称安全策略分区间的数据通信方法的一种优选方案,其中:所述应答包包括,所述应答包的格式为:包头-固定值4字节,采用与数据包相同的固定整数数值;总帧数-2字节,短整数,固定为0;帧序号-2字节,短整数,接收到的数据帧的序号,从0开始,小于总帧数;数据长度-4字节,固定为0,所述应答包没有实际数据;数据-0字节,所述应答包中没有数据;会话编号-4字节,与相应的数据包的会话编号保持一致;CRC校验-是从包头开始,到会话编号之间的CRC循环冗余校验码,用于检验数据的误码错误。
作为本发明所述的不对称安全策略分区间的数据通信方法的一种优选方案,其中:所述采用UDP协议通信包括,由于所述UDP协议通信是一种不可靠的通信方式,因此利用重发机制实现可靠的数据通信,其中超时重发的控制通过发送端发送程序、发送端超时处理程序、发送端应答处理程序、接收端接收程序四部分配合完成;所述发送程序限定最大一次性发送数据包的数量,所述接收端接收程序利用待接收指针按编号依次接收数据包,所述发送端应答处理程序接收所述接收端的应答包并检查序号,根据所述序号唤醒所述发送端发送程序执行,所述发送端超时处理程序在长时间没有接收到应答包时进行执行,将发送尾指针设置等于头指针,触发所述发送端发送程序进行重复发送。
作为本发明所述的不对称安全策略分区间的数据通信方法的一种优选方案,其中:所述数据通信包括,通过所述正向隔离器发送请求,通过所述反向隔离器接收响应与通过反向隔离器发送请求,通过正向隔离器接收响应的通信过程相一致,仅在通信方向和通信协议中略有差异。
本发明的有益效果:利用单向隔离器实现了硬件设备级的包过滤及单向通信控制,保证了任何传统的软件都无法穿透硬件设备,对网络造成侵害,只有满足包过滤控制协议的数据包才能通过硬件隔离设备,两个以上硬件设备的配合才能实现完整的网络实时通信,进一步提高了网络间通信的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明第一个实施例所述的不对称安全策略分区间的数据通信方法的流程示意图;
图2为本发明第一个实施例所述的不对称安全策略分区间的数据通信方法的隔离器数据通信方案示意图;
图3为本发明第一个实施例所述的不对称安全策略分区间的数据通信方法的数据包格式图;
图4为本发明第一个实施例所述的不对称安全策略分区间的数据通信方法的应答包格式图;
图5为本发明第一个实施例所述的不对称安全策略分区间的数据通信方法的可靠UDP通信数据处理时序图;
图6为本发明第二个实施例所述的不对称安全策略分区间的数据通信方法的超时重发机制原理图;
图7为本发明第三个实施例所述的不对称安全策略分区间的数据通信方法的测试环境配置图;
图8为本发明第三个实施例所述的不对称安全策略分区间的数据通信方法的正向隔离器上配置端口转发规则图;
图9为本发明第三个实施例所述的不对称安全策略分区间的数据通信方法的反向隔离器上配置端口转发规则图;
图10为本发明第三个实施例所述的不对称安全策略分区间的数据通信方法的实验结果图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1~5,为本发明的第一个实施例,该实施例提供了一种不对称安全策略分区间的数据通信方法,包括:
S1:客户端发送服务请求至请求代理程序。其中需要说明的是,
客户端对请求代理程序发送服务请求并接收请求代理程序返回的响应结果。
S2:所述请求代理程序将请求数据通过隔离器传输至请求处理程序。其中需要说明的是,
所述隔离器包括,正向隔离器和反向隔离器,所述请求代理程序通过所述正向隔离器发送请求,通过所述反向隔离器接收响应结果,所述正向隔离区和反向隔离器之间均采用UDP协议进行通信,并且通过所述正向隔离器发送请求,通过所述反向隔离器接收响应,与通过反向隔离器发送请求,通过正向隔离器接收响应的通信过程相一致,仅在通信方向和通信协议中略有差异。
进一步的是,所述请求代理程序提供一个通用的数据通信协议,接收客户端的服务请求,通过正向隔离器发送请求,通过反向隔离器接收响应结果,并将所述服务请求转换为满足隔离器通信要求的数据包格式进行请求转发,并且对于大数据包进行分包处理,采用滑动窗口及请求应答的确认,确保数据可靠通信,所述请求代理程序只能将请求发送到对端的所述请求处理程序。
所述请求处理程序接收所述请求代理程序发送过来的请求,对应于一个特定的请求代理程序,在所述请求代理程序中需要配置请求处理程序的接收IP地址和端口号,根据服务端的请求接收协议,所述请求处理程序发送满足该协议要求的请求,并获取响应结果,并将结果返回到所述请求代理程序。
更进一步的是,请求数据和响应信息包括,所述请求数据和响应信息均采用数据包的形式进行传输,并且均使用相同的数据包格式;在传输所述请求数据和响应信息时,所述请求代理程序和请求处理程序会根据数据包进行应答,应答包和所述数据包的格式相同,只是所述应答包只有帧序号、会话编号及CRC校验是有效的字段,其它均为固定值。
其中所述数据包格式为:包头-固定值4字节,所述数据包的均采用固定整数数值;总帧数-2字节,短整数,请求或响应拆成分包的总包数;帧序号-2字节,短整数,当前帧的序号,从0开始,小于总帧数;数据长度-4字节,后续数据的总长度;数据-n字节,按照实际发送的数据字节计算;会话编号-4字节,由所述请求代理程序统一分配,保证在一段时间内全局唯一,循环使用,会话编号用于请求和响应之间的数据对应,所以同一服务调用过程的请求和响应采用相同的会话编号;CRC校验-是从包头开始,到会话编号之间的CRC循环冗余校验码,用于检验数据的误码错误。
所述应答包的格式为:包头-固定值4字节,采用与数据包相同的固定整数数值;总帧数-2字节,短整数,固定为0;帧序号-2字节,短整数,接收到的数据帧的序号,从0开始,小于总帧数;数据长度-4字节,固定为0,所述应答包没有实际数据;数据-0字节,所述应答包中没有数据;会话编号-4字节,与相应的数据包的会话编号保持一致;CRC校验-是从包头开始,到会话编号之间的CRC循环冗余校验码,用于检验数据的误码错误。
S3:所述请求处理程序将所述请求数据传输至服务端进行处理,并将响应信息利用不对称安全策略通过隔离器传输至所述请求代理程序,并返回响应结果实现数据通信。
所述不对称安全策略包括,所述请求代理程序将请求数据以请求数据包形式发送至所述请求处理程序,并且以请求应答包的形式返回至所述请求代理程序,其中所述请求数据包通过所述正向隔离器,所述请求应答包通过所述反向隔离器;所述请求处理程序接收服务端的响应结果以响应数据包的形式发送至所述请求代理程序,所述请求代理程序接收后再发送响应应答包至请求处理程序,以表示数据接收,其中所述相应数据包通过反向隔离装置进行传输,所述响应应答包通过正向隔离装置进行传输,与请求数据的传输表现出不对称的形式,增强数据传输的安全性。
由于所述UDP协议通信是一种不可靠的通信方式,因此利用重发机制实现可靠的数据通信,其中超时重发的控制通过发送端发送程序、发送端超时处理程序、发送端应答处理程序、接收端接收程序四部分配合完成;所述发送程序限定最大一次性发送数据包的数量,所述接收端接收程序利用待接收指针按编号依次接收数据包,所述发送端应答处理程序接收所述接收端的应答包并检查序号,根据所述序号唤醒所述发送端发送程序执行,所述发送端超时处理程序在长时间没有接收到应答包时进行执行,将发送尾指针设置等于头指针,触发所述发送端发送程序进行重复发送。
其中对于隔离器,正向隔离器支持单向的UDP或TCP通信协议,反向隔离器只支持单项的UDP通信协议,并且不管是正向隔离器还是反向隔离器,仅支持一个方向的数据传输,反向传输的数据包将被丢弃,而且通过私密的数据包协议,保证了只有满足私密协议的数据包才能通过隔离器,其它数据包将被丢弃,也就是在现有的TCP/IP的基础之上,叠加了私有的控制协议,保证了任何通用软件都无法跨隔离器通信,只有专门针对隔离器内部协议进行开发的企业内部软件才能通过跨网通信,保证了网络间的数据安全性。
实施例2
参照图6,为本发明的第二个实施例,该实施例对重发机制进行说明,由于UDP是不可靠的通信方式,因此需要通过重发机制来实现可靠的数据通信,其中超时重发的控制通过发送端发送程序、发送端超时处理程序、发送端应答处理程序、接收端接收程序四部分的协调配合完成。
发送端发送程序,发送程序用于限定最大一次性发送数据包的数量;在发送前,发送头指针和发送尾指针值为0,指向发送队列的第一包,发送程序执行时,检查尾指针和头指针的差值,如果大于或等于最大一次性发送包的数量则不发送,否则连续发送数据包,每次发送完,尾指针加1,直到尾指针和头指针的差值,大于等于最大一次性发送包的数量为止,发送完后,重置定时器,发送程序进入等待唤醒状态;其中发送头指针等于总帧数表示所有帧发送完成,发送程序进行下一步处理,发送程序只移动发送尾指针,表示该帧数据包已发送,但不一定正确接收,接收到应答包后,才移动发送头指针,小于头指针的帧是已正确发送的数据帧。
接收端接收程序,用于接收下一帧的数据包号,其中待接收指针表示希望接收的下一帧的数据包号,在此之前的帧已正确接收;接收到数据包后,分析数据包的session编号和帧序号,若是新的session编号且帧序号为0,则创建新的空接收缓冲区,置待接收指针为0,分析接收数据包的帧序号如果等于待接收指针,则数据有效,添加到缓冲区尾部,待接收指针加1,并向发送端发送应答ack包,应答包中的帧序号为接收包的序号;若接收数据包无效则返回待接收指针减1;接收程序返回的应答包中的帧序号永远是接收端已确切接收到的数据包的最后一帧的序号。
发送端应答处理程序,用于保障数据发送的正常运行,发送端应答处理程序在接收到接收端返回的应答包后,检查应答包中的帧序号,如果等于发送头指针,则发送头指针加1,重置定时器,并唤醒发送端发送程序执行。
发送端超时处理程序,用于对超时数据进行重新发送处理,发送端超时处理程序只有在发送数据后,一段时间内没有接收到应答包时,发送处理定时程序才会触发执行,执行过程中设置发送尾指针等于头指针,即清除掉发送窗口,并触发发送端发送程序进行重复发送。
实施例3
参照图7~10,为本发明的第三个实施例,为了更好地对本发明方法中采用的技术效果加以验证说明,本实施例中选择模拟通过隔离器实现内、外网之间的数据安全通信,以科学论证的手段验证本方法所具有的真实效果。
为验证本发明方法的可行性,采用一台正向隔离器,一台反向隔离器、发送代理程序、发送处理程序及相应的客户端、及服务端进行测试,对通过隔离器内、外网之间的数据安全通信进行模拟。
参照图7,测试环境的配置为内网ip为192.168.30.xxx,外网ip为172.16.30.xxx,发送代理程序为192.168.30.110,发送处理程序为192.16.30.110,其中正向隔离器的内网为192.168.30.111,外网为172.16.30.111,反向隔离器的内网为192.168.30.112,外网为172.16.30.112,其数据接受端口包括8000、8001、8002和8003,与客户端相连的接受端口为8888,与服务器端相连的接收端口为8889;首先在正、反向隔离器上配置端口转发规则,其规则参照图8,外网IP及端口是指端口转发目标服务器的IP和端口,外网虚拟IP是目标服务器在内网的映射IP,内网的发送代理程序访问外网虚拟IP等同于访问外网的转发目标服务器,我们这个实验中目标服务器是指发送处理程序,内网IP是被转发的源服务器的IP,这里是指发送代理程序所在服务器的IP,隔离器通过指定源和目标服务器,该规则限定了只能在这两台服务器之间单向通信,内网虚拟IP是源服务器在外网中的映射IP,和外网虚拟IP的概念一致;同理,反向隔离器的转发规则参照图9,接着在发送代理程序和发送处理程序上配置相应的请求、响应的发送地址及应答的发送或接收地址(参考测试环境配置)。
服务器是一个demo服务调用响应程序,接收到请求后,立即返回结果,没有延时,所以测试中的服务调用时长就是通过整个通信处理过程造成的延时,这个时长可用于评估本方案对通信数据处理的效率;客户端是一个请求发送程序,可进行单次或批量的服务调用,对服务器发起1000次调用进行本方法的测试,其结果参照图10所示,可以看出系统接收数据的平均请求时长为14.0ms,最大请求时长为509ms,最小请求时长为9ms,表明本发明方法通过正、反向隔离器可以实现毫秒级的服务可靠调用,在调用过程中会出现UDP丢包现象,但通过及时的重发机制,能够保证通信服务的可靠性。
由于隔离器只容许单向通信,且通过白名单方式容许特定服务器之间点到点进行通信,杜绝了其它任何形式的通信软件能够跨隔离器进行网络间的相互访问,只有按照隔离器数据包协议要求开发的应用,才能在配置的限定下跨网络进行通信,传统的通信为TCP/IP的双向通信规则,其标准为对外公开,各种通用软件可以随意通行,本发明利用单向隔离器,使得大量通用软件无法实现通行,依据上述的测试条件进行软件通行的测试,随机选取10种通用软件和2种私密文件,本方法能够准确拦截所有通用软件而传统通信规则可以全部通行,因此本发明可以保障网络通信的安全性,可以在一些安全性要求较高的企业中,实现应用系统互通。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种不对称安全策略分区间的数据通信方法,其特征在于:包括,
客户端发送服务请求至请求代理程序;
所述请求代理程序将请求数据通过隔离器传输至请求处理程序;
所述请求处理程序将所述请求数据传输至服务端进行处理,并将响应信息利用不对称安全策略通过隔离器传输至所述请求代理程序,并返回响应结果实现数据通信。
2.如权利要求1所述的不对称安全策略分区间的数据通信方法,其特征在于:所述隔离器包括,
正向隔离器和反向隔离器,所述请求代理程序通过所述正向隔离器发送请求,通过所述反向隔离器接收响应结果,所述正向隔离区和反向隔离器之间均采用UDP协议进行通信。
3.如权利要求2所述的不对称安全策略分区间的数据通信方法,其特征在于:所述不对称安全策略包括,
所述请求代理程序将请求数据以请求数据包形式发送至所述请求处理程序,并且以请求应答包的形式返回至所述请求代理程序,其中所述请求数据包通过所述正向隔离器,所述请求应答包通过所述反向隔离器;所述请求处理程序接收服务端的响应结果以响应数据包的形式发送至所述请求代理程序,所述请求代理程序接收后再发送响应应答包至请求处理程序,以表示数据接收,其中所述相应数据包通过反向隔离装置进行传输,所述响应应答包通过正向隔离装置进行传输,与请求数据的传输表现出不对称的形式,增强数据传输的安全性。
4.如权利要求3所述的不对称安全策略分区间的数据通信方法,其特征在于:所述请求代理程序包括,
所述请求代理程序提供一个通用的数据通信协议,接收客户端的服务请求,并将所述服务请求转换为满足隔离器通信要求的数据包格式进行请求转发,并且对于大数据包进行分包处理,采用滑动窗口及请求应答的确认,确保数据可靠通信,所述请求代理程序只能将请求发送到对端的所述请求处理程序。
5.如权利要求1~4任一所述的不对称安全策略分区间的数据通信方法,其特征在于:所述请求处理程序包括,
所述请求处理程序接收所述请求代理程序发送过来的请求,对应于一个特定的请求代理程序,在所述请求代理程序中需要配置请求处理程序的接收IP地址和端口号,根据服务端的请求接收协议,所述请求处理程序发送满足该协议要求的请求,并获取响应结果,并将结果返回到所述请求代理程序。
6.如权利要求5所述的不对称安全策略分区间的数据通信方法,其特征在于:所述请求数据和响应信息包括,
所述请求数据和响应信息均采用数据包的形式进行传输,并且均使用相同的数据包格式;在传输所述请求数据和响应信息时,所述请求代理程序和请求处理程序会根据数据包进行应答,应答包和所述数据包的格式相同,只是所述应答包只有帧序号、会话编号及CRC校验是有效的字段,其它均为固定值。
7.如权利要求6所述的不对称安全策略分区间的数据通信方法,其特征在于:所述数据包格式包括,
所述数据包格式为:包头-固定值4字节,所述数据包的均采用固定整数数值;总帧数-2字节,短整数,请求或响应拆成分包的总包数;帧序号-2字节,短整数,当前帧的序号,从0开始,小于总帧数;数据长度-4字节,后续数据的总长度;数据-n字节,按照实际发送的数据字节计算;会话编号-4字节,由所述请求代理程序统一分配,保证在一段时间内全局唯一,循环使用,会话编号用于请求和响应之间的数据对应,所以同一服务调用过程的请求和响应采用相同的会话编号;CRC校验-是从包头开始,到会话编号之间的CRC循环冗余校验码,用于检验数据的误码错误。
8.如权利要求6或7所述的不对称安全策略分区间的数据通信方法,其特征在于:所述应答包包括,
所述应答包的格式为:包头-固定值4字节,采用与数据包相同的固定整数数值;总帧数-2字节,短整数,固定为0;帧序号-2字节,短整数,接收到的数据帧的序号,从0开始,小于总帧数;数据长度-4字节,固定为0,所述应答包没有实际数据;数据-0字节,所述应答包中没有数据;会话编号-4字节,与相应的数据包的会话编号保持一致;CRC校验-是从包头开始,到会话编号之间的CRC循环冗余校验码,用于检验数据的误码错误。
9.如权利要求2所述的不对称安全策略分区间的数据通信方法,其特征在于:所述采用UDP协议通信包括,
由于所述UDP协议通信是一种不可靠的通信方式,因此利用重发机制实现可靠的数据通信,其中超时重发的控制通过发送端发送程序、发送端超时处理程序、发送端应答处理程序、接收端接收程序四部分配合完成;所述发送程序限定最大一次性发送数据包的数量,所述接收端接收程序利用待接收指针按编号依次接收数据包,所述发送端应答处理程序接收所述接收端的应答包并检查序号,根据所述序号唤醒所述发送端发送程序执行,所述发送端超时处理程序在长时间没有接收到应答包时进行执行,将发送尾指针设置等于头指针,触发所述发送端发送程序进行重复发送。
10.如权利要求8所述的不对称安全策略分区间的数据通信方法,其特征在于:所述数据通信包括,
通过所述正向隔离器发送请求,通过所述反向隔离器接收响应与通过反向隔离器发送请求,通过正向隔离器接收响应的通信过程相一致,仅在通信方向和通信协议中略有差异。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011451001.XA CN112637149B (zh) | 2020-12-11 | 2020-12-11 | 一种不对称安全策略分区间的数据通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011451001.XA CN112637149B (zh) | 2020-12-11 | 2020-12-11 | 一种不对称安全策略分区间的数据通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112637149A true CN112637149A (zh) | 2021-04-09 |
CN112637149B CN112637149B (zh) | 2023-09-01 |
Family
ID=75309693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011451001.XA Active CN112637149B (zh) | 2020-12-11 | 2020-12-11 | 一种不对称安全策略分区间的数据通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112637149B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113918999A (zh) * | 2021-12-15 | 2022-01-11 | 天津联想协同科技有限公司 | 安全摆渡通道的建立方法、装置、网盘及存储介质 |
CN114205125A (zh) * | 2021-11-25 | 2022-03-18 | 北京国泰网信科技有限公司 | 一种基于安全区域的策略管理方法、装置、设备及介质 |
CN115022013A (zh) * | 2022-05-30 | 2022-09-06 | 上海博般数据技术有限公司 | 网络数据仿真装置及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045362A (zh) * | 2010-12-21 | 2011-05-04 | 北京高森明晨信息科技有限公司 | 一种基于udp协议的数据传输方法和系统 |
CN104270355A (zh) * | 2014-09-25 | 2015-01-07 | 国电南瑞科技股份有限公司 | 一种基于网络总线跨安全区传输数据的方法 |
CN104363221A (zh) * | 2014-11-10 | 2015-02-18 | 青岛微智慧信息有限公司 | 一种网络安全隔离文件传输控制方法 |
CN109756475A (zh) * | 2018-11-27 | 2019-05-14 | 中国船舶重工集团公司第七0九研究所 | 一种单向网络中数据传输方法及装置 |
CN110912940A (zh) * | 2019-12-25 | 2020-03-24 | 普世(南京)智能科技有限公司 | 一种基于双单向交换设备的隔离网络透明业务访问方法及系统 |
-
2020
- 2020-12-11 CN CN202011451001.XA patent/CN112637149B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045362A (zh) * | 2010-12-21 | 2011-05-04 | 北京高森明晨信息科技有限公司 | 一种基于udp协议的数据传输方法和系统 |
CN104270355A (zh) * | 2014-09-25 | 2015-01-07 | 国电南瑞科技股份有限公司 | 一种基于网络总线跨安全区传输数据的方法 |
CN104363221A (zh) * | 2014-11-10 | 2015-02-18 | 青岛微智慧信息有限公司 | 一种网络安全隔离文件传输控制方法 |
CN109756475A (zh) * | 2018-11-27 | 2019-05-14 | 中国船舶重工集团公司第七0九研究所 | 一种单向网络中数据传输方法及装置 |
CN110912940A (zh) * | 2019-12-25 | 2020-03-24 | 普世(南京)智能科技有限公司 | 一种基于双单向交换设备的隔离网络透明业务访问方法及系统 |
Non-Patent Citations (2)
Title |
---|
CSDN: ""正向隔离/反向隔离的TCP/UDP穿透"", 《HTTPS://BLOG.CSDN.NET/HANXB/ARTICLE/DETAILS/104601401》 * |
CSDN: ""正向隔离/反向隔离的TCP/UDP穿透"", 《HTTPS://BLOG.CSDN.NET/HANXB/ARTICLE/DETAILS/104601401》, 1 March 2020 (2020-03-01), pages 1 - 5 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114205125A (zh) * | 2021-11-25 | 2022-03-18 | 北京国泰网信科技有限公司 | 一种基于安全区域的策略管理方法、装置、设备及介质 |
CN114205125B (zh) * | 2021-11-25 | 2024-03-29 | 北京国泰网信科技有限公司 | 一种基于安全区域的策略管理方法、装置、设备及介质 |
CN113918999A (zh) * | 2021-12-15 | 2022-01-11 | 天津联想协同科技有限公司 | 安全摆渡通道的建立方法、装置、网盘及存储介质 |
CN113918999B (zh) * | 2021-12-15 | 2022-02-22 | 天津联想协同科技有限公司 | 安全摆渡通道的建立方法、装置、网盘及存储介质 |
CN115022013A (zh) * | 2022-05-30 | 2022-09-06 | 上海博般数据技术有限公司 | 网络数据仿真装置及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112637149B (zh) | 2023-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110995697B (zh) | 一种大数据传输方法及系统 | |
CN112637149A (zh) | 一种不对称安全策略分区间的数据通信方法 | |
US20170149675A1 (en) | Packet retransmission method and apparatus | |
US9042364B2 (en) | Method of detecting and handling an endless RLC retransmission | |
EP3737016A1 (en) | Data transmission method, apparatus and system | |
US7742415B1 (en) | Non-intrusive knowledge suite for evaluation of latencies in IP networks | |
CN107360177B (zh) | 一种基于udp的报文传输方法及装置 | |
US10728220B2 (en) | System and method for covertly transmitting a payload of data | |
US10505677B2 (en) | Fast detection and retransmission of dropped last packet in a flow | |
Das | Evaluation of QUIC on web page performance | |
KR20130065619A (ko) | 송신 노드로부터 목적지 노드로의 데이터 전송 방법 | |
JP2020010326A (ja) | WiFi管理フレームを利用したデータ送信方法、データ受信方法及びデータ通信方法 | |
CN102299777B (zh) | 数据重传方法及装置 | |
Kim et al. | Modeling network coded tcp: Analysis of throughput and energy cost | |
CN114827234A (zh) | 一种数据传输方法、系统、装置及存储介质 | |
CN109525374A (zh) | 数据传输的方法、无线接入点、用户设备及传输设备 | |
US20170033946A1 (en) | Negative acknowledgment of tunneled encapsulated media | |
US11055166B2 (en) | Covertly storing a payload of data within a network | |
CN109151904B (zh) | 一种Lora报文重装及重传方法、发送端及接收端 | |
Olenev et al. | STP-ISS Transport Protocol for SpaceWire On-Board Networks: Development and Evolution | |
Weinrank | SCTP as an Universal Multiplexing Layer | |
US20230036140A1 (en) | Wireless aware network stack | |
Rebok | Active router communication layer | |
Le Vier et al. | A tool for stateful replay | |
Vier | A TOOL FOR STATEFUL REPLAY |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |