CN114124549A - 一种基于可见光系统的安全访问邮件的方法、系统和装置 - Google Patents
一种基于可见光系统的安全访问邮件的方法、系统和装置 Download PDFInfo
- Publication number
- CN114124549A CN114124549A CN202111424308.5A CN202111424308A CN114124549A CN 114124549 A CN114124549 A CN 114124549A CN 202111424308 A CN202111424308 A CN 202111424308A CN 114124549 A CN114124549 A CN 114124549A
- Authority
- CN
- China
- Prior art keywords
- request message
- network
- unit
- visible light
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000002955 isolation Methods 0.000 claims abstract description 54
- 230000005540 biological transmission Effects 0.000 claims description 44
- 230000015654 memory Effects 0.000 claims description 16
- 238000011084 recovery Methods 0.000 claims description 15
- 238000004422 calculation algorithm Methods 0.000 claims description 13
- 241000700605 Viruses Species 0.000 claims description 8
- 238000007689 inspection Methods 0.000 claims description 4
- 238000012546 transfer Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 15
- 238000012545 processing Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 8
- 238000003860 storage Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/11—Arrangements specific to free-space transmission, i.e. transmission through air or vacuum
- H04B10/114—Indoor or close-range type systems
- H04B10/116—Visible light communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Human Resources & Organizations (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Data Mining & Analysis (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Electromagnetism (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种基于可见光系统的安全访问邮件的方法、系统和装置,用于解决现有技术中无法在绝对物理单向隔离的网络环境下实现跨密级网络邮件高安全访问的技术问题。包括:网络单元,设置于密级网络与隔离交换单元之间,用于对接收到的请求报文进行加密或解密处理,并将处理后的请求报文发送到目标位置;其中目标位置包括专有隔离交换单元、邮件服务器或外网客户端,邮件服务器和外网客户端分别处于被专有隔离交换单元物理隔离的不同密级的网络中;所述专有隔离交换单元,设置在两个所述网络单元之间,用于通过不同的单向可见光系统,在两个网络单元间传输处理后的请求报文;其中两个网络单元分别连接不同密级的网络。
Description
技术领域
本发明专利涉及信息安全技术领域,尤其涉及一种基于可见光系统的安全访问邮件的方法、系统和装置。
背景技术
随着信息化发展,出于安全原因,很多重要领域的网络进行物理隔离建设,以保障核心领域网络安全。
所谓“物理隔离”是指不同安全等级的网络,在任何时间都不存在直接的物理连接,每一个网络都是独自的信息孤岛,这样才能保证每个网络的信息安全。但是,在现实生活中,人们常常需要在不同密级的网络间使用邮件进行沟通,此时就需要保证在数据绝对单向传递的基础上,同时实现不同密级网络之间邮件信息安全传递。
现有技术中不同密级的网络间通常布设有网闸,网闸是使用带有多种控制功能的固态开关读写介质,能够使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。网闸内部使用专有隔离硬件通过时钟开关实现数据的单向写入和单向读出,从而实现数据的单向传递。但基于电气隔离的单向技术难以证明其单向的有效性,同时由程序控制的数据单向写入、单向读出理论上依然存在被人为篡改,从而导致单向隔离失效,出现泄密风险。
鉴于此,如何在绝对物理单向隔离的网络环境下实现跨密级网络邮件高安全访问,成为一个亟待解决的技术问题。
发明内容
本发明提供一种基于可见光系统的安全访问邮件的方法、系统和设备,用于解决现有技术中无法在绝对物理单向隔离的网络环境下实现跨密级网络邮件高安全访问的技术问题。
本发明第一方面提供了一种邮件传输系统,所述邮件传输系统包括:
网络单元,设置于密级网络与隔离交换单元之间,用于对接收到的请求报文进行加密或解密处理,并将处理后的请求报文发送到目标位置;其中,所述目标位置包括专有隔离交换单元,或外网客户端;
所述专有隔离交换单元,设置在两个所述网络单元之间,用于通过两个不同数据传输方向的单向可见光系统在两个所述网络单元之间传输所述处理后的请求报文。
可选的,所述网络单元还用于:
接收所述请求报文,根据所述请求报文的来源信息,验证所述请求报文是否具有访问权限;其中,所述网络单元中预设有具有访问权限的请求报文的来源信息;
若所述请求报文具有访问权限,则对所述请求报文进行加密,并将加密后的请求报文发送给所述专有隔离交换单元;若所述请求报文不具有访问权限,则放弃所述请求报文。
可选的,所述网络单元还用于:
使用私有协议,对所述请求报文进行加密或解密;其中所述私有协议包含用于加密邮件报文的预设加密算法和预设共享密钥。
可选的,当所述网络单元的类型为外网单元时,所述密级网络为低密级网络,所述低密级网络设置在所述外网客户端与所述网络单元之间,所述网络单元还用于:
当所述请求报文具有访问权限时,根据所述请求报文的相关信息,判断所述请求报文是否为邮件报文;其中所述相关信息包括所述请求报文的传输协议类型和目标服务端口;
当所述请求报文是邮件报文时,对所述请求报文进行病毒查杀;
当所述请求报文不是邮件报文时,放弃所述请求报文。
可选的,当所述网络单元的类型为内网单元时,所述密级网络为高密级网络,所述高密级网络中设置有邮件服务器,所述网络单元还用于:
检测所述请求报文中包含的请求报文的来源信息,根据所述来源信息判断发送所述请求报文的邮件服务器是否具有发送权限;
若发送所述请求报文的邮件服务器具有发送权限,则检测并替换所述请求报文中的敏感字;
若发送所述请求报文的邮件服务器不具有发送权限,则放弃所述请求报文。
可选的,所述单向可见光系统包括:
发送单元,设置于所述单向可见光系统的发送侧,用于通过编码模块对所述处理后的请求报文进行编码,并将编码后的请求报文,通过LED以可见光的形式发送给接收单元;其中,所述发送单元和所述接收单元在同一直线上,且保持物理隔离状态;
所述接收单元,设置于所述单向可见光系统的接收侧,用于接收所述发送单元的LED发送的所述编码后的请求报文,并使用解码模块解码所述编码后的请求报文,获得解码后的请求报文。
可选的,所述接收单元还用于:
通过哈希检验模块验证所述解码后的请求报文是否完整,当所述解码后的请求报文不完整时,使用数据恢复模块恢复所述解码后的请求报文;其中,所述数据恢复模块使用所述请求报文在编码时加入的冗余数据恢复所述编码后的请求报文中丢失的部分编码。
第二方面,本申请实施例提供了一种基于可见光系统的安全访问邮件的方法,包括:
对接收到的请求报文进行加密或解密处理,并将处理后的请求报文发送到目标位置;其中所述目标位置包括专有隔离交换单元、邮件服务器或外网客户端,所述邮件服务器和所述外网客户端分别处于被所述专有隔离交换单元物理隔离的不同密级的网络中;
通过不同的单向可见光系统,在两个所述网络单元间传输所述处理后的请求报文;其中所述两个网络单元分别连接不同密级的网络。
第三方面,本申请实施例提供了一种基于可见光系统的安全访问邮件的系统,包括:
外网客户端,设置于低密级网络中,用于向邮件传输系统发送请求报文,并接收对应的回复;
邮件服务器,设置于高密级网络中,用于接收所述邮件传输系统发送的请求报文并回复所述请求报文;
所述邮件传输系统,设置于所述低密级网络和高密级网络之间,用于执行如第一方面所述的方法,以保证在隔离所述低密级网络和高密级网络的同时,在所述外网客户端和邮件服务器件之间传输请求报文。
第四方面,本申请实施例提供了一种基于可见光系统的安全访问邮件的装置,包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令具有如第一方面任一项所述的用途。
第五方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机具有如第一方面任一项所述的用途。
本发明实施例中的技术方案具有以下有益效果:当网络单元接收到请求报文时,对接收到的请求报文进行加密或解密处理,并将处理后的请求报文发送到目标位置;其中目标位置包括专有隔离交换单元、邮件服务器或外网客户端,邮件服务器和外网客户端分别位于被专有隔离交换单元物理隔离的不同密级的网络中;专有隔离交换单元通过不同的单向可见光系统,在两个网络单元间传输处理后的请求报文;其中两个网络单元分别连接不同密级的网络。从而通过可见光物理隔离了邮件传输系统两侧不同的密级网络,并利用可见光的单向传输使邮件传输系统内的数据能单向传输,完成了在绝对物理单向隔离的网络环境下实现跨密级网络邮件高安全访问。
附图说明
图1是本发明实施例提供的一种邮件传输系统的结构示意图;
图2是本发明实施例提供的另一种邮件传输系统的结构示意图;
图3是本发明实施例提供的一种网络单元对请求报文进行验证和加密的流程图;
图4是本发明实施例提供的一种单向可见光系统的结构示意图;
图5是本发明实施例提供的另一种单向可见光系统的结构示意图;
图6是本发明实施例提供的一种基于可见光系统的安全访问邮件的方法的流程图;
图7是本发明实施例提供的一种基于可见光系统的安全访问邮件的系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
现有技术中,为了确保不同密级网络间数据单向传输,通常使用光闸设备。光闸设备中包括:内网单元、外网单元和光隔离卡。其中内、外网单元和光隔离卡间通过高速串行计算机扩展总线标准(Peripheral Component Interconnect Express,PCIE)接口通信,而光隔离卡中则通过光纤通信,其内外单元实质上仍然通过有线介质相连,无法达到绝对物理单向隔离。
为此,本发明提供一种基于可见光系统的安全访问邮件的方法、系统和设备,用于解决现有技术中,无法在绝对物理单向隔离的网络环境下实现跨密级网络邮件高安全访问的技术问题。
下面结合说明书附图介绍本申请实施例提供的技术方案。
请参见图1,本发明提供一种邮件传输系统,该邮件传输系统中包括:
网络单元1,设置于密级网络与专有隔离交换单元2之间,用于对接收到的请求报文进行加密或解密处理,并将处理后的请求报文发送到目标位置;其中,目标位置包括专有隔离交换单元,或外网客户端;
专有隔离交换单元2,设置在两个网络单元1之间,用于通过不同数据传输方向的单向可见光系统在两个网络单元1之间传输处理后的请求报文。
图1中,两个网络单元1分别连接高密级网络和低密级网络,与低密级网络连接的网络单元1对从密级网络中接收到的请求报文进行加密处理,并将加密后的请求报文发送给专有隔离交换单元2。专有隔离交换单元2中包含两个不同数据传输方向的单向可见光系统。为了区分,将数据传输方向为低密级网络到高密级网络的单向可见光系统,记为第一单向可见光系统;将数据方向为高密级网络到低密级网络的单向可见光系统,记为第二单向可见光系统。专有隔离交换单元2通过第一单向可见光系统,将来自低密级网络的请求报文传输至连接高密级网络的网络单元1中。连接高密级网络的网络单元1在接收专有隔离交换单元2发送的加密后的请求报文后,进行解密处理获得请求报文,并将该请求报文发送至高密级网络。同样的,专有隔离交换单元2通过第二单向可见光系统将来自高密级网络的请求报文,传输至连接低密级网络的网络单元1,并由连接低密级网络的网络单元1将请求报文发送至低密级网络。从而在保持不同网络间物理隔离的同时,依靠单向可见光系统在不同密级的网络间传输请求报文,解决了现有技术中,无法在绝对物理单向隔离的网络环境下实现跨密级网络邮件高安全访问的技术问题。
例如,请参见图2,图2为本发明实施提供的另一种邮件传输系统的结构示意图。网络单元1包括和不同密级网络连接的两种不同网络单元,为了区分,将与低密级网络连接的网络单元1的类型记为外网单元11,与高密级网络连接的网络单元1的类型记为内网单元12,专有隔离交换单元2设置在内网单元12与外网单元11之间。专有隔离交换单元2中包含单向可见光系统21,单向可见光系统中包括第一单向可见光系统211和第二单向可见光系统212,。假设此时低密级网络中的外网客户端向邮件传输系统发送了访问请求。
外网单元11接收到低密级网络中的外网客户端发送的访问请求,将该访问请求进行加密,并将加密后的请求报文发送至专有隔离交换单元2。专有隔离交换单元2通过第一单向可见光系统211,将加密后的请求报文传输至内网单元12处。内网单元12对该加密后的请求报文进行解密,获得请求报文,并按照请求报文中的内容转发至高密级网络中对应的邮件服务器。
邮件服务器在接收到该请求报文后,对该请求报文进行了回复,并将对应的回复报文发送至内网单元12处。内网单元12将回复报文进行加密,加密后发送给专有隔离交换单元2。专有隔离交换单元2通过第二单向可见光系统212将加密后的回复报文发送给外网单元11。外网单元11解密该加密后的回复报文,并将解密得到的回复报文发送给低密级网络中对应的外网客户端。
在本发明提供的实施例中,当网络单元1接收到请求报文时,对接收到的请求报文进行加密或解密处理,并将处理后的请求报文发送到目标位置;其中目标位置包括专有隔离交换单元2、邮件服务器或外网客户端,邮件服务器和外网客户端分别处于被专有隔离交换单元2物理隔离的不同密级的网络中;专有隔离交换单元2通过不同的单向可见光系统21,在两个网络单元1间传输处理后的请求报文;其中两个网络单元1分别连接不同密级的网络。从而依靠可见光传输数据保证了邮件传输系统内数据的单向传输,并且在不同密级的网络间没有物理连接,保证了物理隔离,完成了在绝对物理单向隔离的网络环境下实现跨密级网络邮件高安全访问。
一种可能的实施方式,网络单元1还用于:
接收请求报文,根据请求报文的来源信息,验证请求报文是否具有访问权限;其中,网络单元1中预设有具有访问权限的请求报文的来源信息;若请求报文具有访问权限,则对请求报文进行加密,并将加密后的请求报文发送给专有隔离交换单元2;若请求报文不具有访问权限,则放弃请求报文。
其中,网络单元1还用于:
使用私有协议,对请求报文进行加密或解密;其中私有协议包含用于加密邮件报文的预设加密算法和预设共享密钥,预设加密算法可以包括国密SM1,SM2,SM3和SM4等加密算法。
例如,请参见图3,图3为本发明实施例提供的一种网络单元对请求报文进行验证和加密的流程图。网络单元1在接收到请求报文后,按如下步骤进行验证和加密:
S301、接收请求报文;
S302、判断报文是否具有访问权限;
S303、若请求报文具有访问权限,则对请求报文进行加密;
S304、将加密后的请求报文发送给专有隔离交换单元;
S305、若请求报文不具有访问权限,则放弃请求报文。
以图2中的例子为例,假设外网单元11中预设的具有访问权限的外网客户端的IP地址为192.168.10.1,私有协议为国密SM4.0加密算法,预设共享密钥为Y。
当外网单元11接收到请求报文1为{传输协议类型=UDP;目标服务端口=22;来源IP地址=192.168.10.1},根据请求报文的来源IP地址,确定该IP地址具有访问权限。然后使用国密SM4.0加密算法和预设共享密钥Y将请求报文1的加密为新的用户数据包协议(UserDatagramProtocol,UDP)报文1,将UDP报文1发送给专有隔离交换单元2。
当外网单元11接收到请求报文2为{传输协议类型=TLS;目标服务端口=443;来源IP地址=192.168.0.1},根据请求报文的来源IP地址,确定该IP地址不具有访问权限,于是不进行任何处理,直接放弃请求报文2。
在本发明提供的实施例中,网络单元1可以根据请求报文的来源,确定该请求报文是否具有访问权限,对具有访问权限的请求报文按照预设私有协议和密钥进行加密,对不具有访问权限的请求报文直接放弃。从而在保证请求报文的机密性的同时,将不具备访问权限的报文阻断在网络单元1中,减小专有隔离交换单元的传输压力。
一种可能的实施方式,当网络单元1的类型为外网单元11时,密级网络为低密级网络,低密级网络设置在外网客户端与网络单元1之间,网络单元1还用于:
当请求报文具有访问权限时,根据请求报文的相关信息,判断请求报文是否为邮件报文;其中相关信息包括请求报文的传输协议类型和目标服务端口;当请求报文是邮件报文时,对请求报文进行病毒查杀;当请求报文不是邮件报文时,放弃请求报文。
例如,以图2中的例子为例,假设外网单元11中预设的具有访问权限的外网客户端的IP地址为192.168.10.1,邮件报文所使用的协议为用户数据包协议(User DatagramProtocol,UDP)或者传输控制协议(TCP,Transmission Control Protocol),目标服务端口为22.
外网单元11接收到请求报文1为{传输协议类型=UDP;目标服务端口=22;来源IP地址=192.168.10.1},根据IP地址判断请求报文1具有访问权限。并且请求报文1使用UDP协议,其目标服务端口为22,属于邮件报文,于是对请求报文1进行流式病毒查杀。
外网单元11接收到请求报文3为{传输协议类型=TLS;目标服务端口=443;来源IP地址=192.168.10.1},根据IP地址判断请求报文1具有访问权限。但是请求报文3使用的协议为安全传输层协议(Transport Layer Security,TLS),对应的目标服务端口的443,而非预设的UDP协议或TCP协议,目标服务端口22。因此,请求报文3并非邮件报文,不进行其他处理直接放弃请求报文3.
在本发明提供的实施例中,外网单元11通过请求报文的协议和目标服务端口来判断请求报文是否是邮件报文,对邮件报文进行病毒查杀,并放弃非邮件报文,从而保证了外网单元11仅将符合预设条件的邮件报文发送至专有隔离交换单元2中,同时确保了专有隔离交换单元2接收的报文均不携带病毒,保证了低密级网络中的病毒不会被传输到高安全的高密级网络中。
一种可能的实施方式,当网络单元1的类型为内网单元12时,密级网络为高密级网络,高密级网络中设置有邮件服务器,网络单元1还用于:
检测请求报文中包含的请求报文的来源信息,根据来源信息判断发送请求报文的邮件服务器是否具有发送权限;若发送请求报文的邮件服务器具有发送权限,则检测并替换请求报文中的敏感字;若发送请求报文的邮件服务器不具有发送权限,则放弃请求报文。
例如,以图2中的例子为例,假设内网单元12中预设的具有访问权限的邮件服务器的IP地址为192.168.100.1,敏感字为该邮件服务器的IP地址192.168.100.1。
内网单元12接收到请求报文4为{报文内容=回复地址为192.168.100.1;来源IP地址=192.168.100.1}。内网单元12经检测后确定发送请求报文4的邮件服务器地址和预设地址相同,具有访问权限。然后对请求报文4的内容进行敏感字清洗,将其中的敏感字转换为*号,处理后的请求报文4为{报文内容=回复地址为*;来源IP地址=*},将处理后的请求报文4发送给专有隔离交换单元2。
内网单元12接收到请求报文5为{报文内容=请发送至192.168.100.1;来源IP地址=192.168.100.10}。内网单元12检测确定发送请求报文5的邮件服务器地址和预设地址不同,因此该邮件服务器不具有访问权限。内网单元12放弃请求报文5。
在本发明提供的实施例中,内网单元12通过请求报文的来源信息确定是否具有访问权限,对不具有访问权的请求报文直接放弃;对具有访问权限的请求报文在清洗敏感字后,发送给专有隔离交换单元2。从而保证了只有具有访问权限的邮件服务器才能发送请求报文至外网客户端,并且该请求报文中不会携带任何敏感信息,避免了泄密。
一种可能的实施方式,请参见图4,单向可见光系统21包括:
发送单元401,设置于单向可见光系统21的发送侧,用于通过编码模块对处理后的请求报文进行编码,并将编码后的请求报文,通过LED以可见光的形式发送给接收单元402;其中,发送单元401和接收单元402在同一直线上,且保持物理隔离状态;接收单元402,设置于单向可见光系统21的接收侧,用于接收发送单元401的LED发送的编码后的请求报文,并使用解码模块解码编码后的请求报文,获得解码后的请求报文。
其中,接收单元402还用于:
通过哈希检验模块验证解码后的请求报文是否完整,当解码后的请求报文不完整时,使用数据恢复模块恢复解码后的请求报文;其中,数据恢复模块使用所述请求报文在编码时加入的冗余数据恢复编码后的请求报文中丢失的部分编码。
例如,请参见图5。图5为本发明实施例提供的另一种单向可见光系统的结构示意图一个单向光可见系统21中包括两个单元,分别是发送单元401和接收单元402。发送单元401中包含哈希模块4011、编码模块4012和LED模块4013;接收单元402包含光敏模块4021、解码模块4022、哈希校验模块4023和恢复模块4024。假设哈希模块4011和哈希校验模块4023均使用SM3算法,恢复模块4024使用喷泉编码恢复数据。
发送单元401接收处理后的请求报文1,通过哈希模块4011计算器哈希校验码为527969de913bbebb8e593846d1e79eeb,编码模块4012将该哈希校验码和处理后的请求报文1一起使用喷泉编码算法进行编码。编码后通过LED模块4013以可见光的形式发送至接收单元402。
接收单元402利用光敏模块4021接收LED模块4013以可见光的形式发送的编码,并使用解码模块4022解码。解码后使用哈希校验模块4023计算解码后的处理过的请求报文1的哈希校验码为26493fa942a33ed2c1eda1f73021a2e3,和接收到的哈希校验码527969de913bbebb8e593846d1e79eeb不相同。因此判断报文不完整,输入到恢复模块4023中,使用喷泉码利用请求报文1在编码时加入的冗余数据进行数据恢复,恢复后再次验证请求报文的哈希校验码为527969de913bbebb8e593846d1e79eeb,确定报文完整,获得处理后的请求报文1。
在实际使用中,哈希校验算法可以根据安全性需要,选择SHA256、SM3、CRC32等算法进行计算。数据恢复方法也可以使用其他引入冗余数据确保数据恢复能力的算法,例如LT码、Raptor码等等。
在本发明提供的实施例中,单向可见光系统通过喷泉码对报文进行编码,保证了报文的可恢复性,同时使用哈希校验码对报文进行校验,保证了报文的完整性。
基于同一发明构思,本发明提供一种基于可见光系统的安全访问邮件的方法,参见图6,该方法包括:
S601、对接收到的请求报文进行加密或解密处理,并将处理后的请求报文发送到目标位置;其中目标位置包括专有隔离交换单元、邮件服务器或外网客户端,邮件服务器和外网客户端分别处于被专有隔离交换单元物理隔离的不同密级的网络中;
S602、通过不同的单向可见光系统,在两个网络单元间传输处理后的请求报文;其中两个网络单元分别连接不同密级的网络。
一种可能的实施方式,对接收到的请求报文进行加密或解密处理之前,还包括:
接收请求报文,根据请求报文的来源信息,验证请求报文是否具有访问权限;其中,网络单元中预设有具有访问权限的请求报文的来源信息;若请求报文具有访问权限,则对请求报文进行加密,并将加密后的请求报文发送给专有隔离交换单元;若请求报文不具有访问权限,则放弃请求报文。
一种可能的实施方式,对接收到的请求报文进行加密或解密处理,包括:
使用私有协议,对请求报文进行加密或解密;其中私有协议包含用于加密邮件报文的预设加密算法和预设共享密钥。
一种可能的实施方式,若请求报文具有访问权限,则对请求报文进行加密,并将加密后的请求报文发送给专有隔离交换单元之前,包括:
当请求报文具有访问权限时,根据请求报文的相关信息,判断请求报文是否为邮件报文;其中相关信息包括请求报文的传输协议类型和目标服务端口;当请求报文是邮件报文时,对请求报文进行病毒查杀;当请求报文不是邮件报文时,放弃请求报文。
一种可能的实施方式,通过不同的单向可见光系统,在两个网络单元间传输处理后的请求报文,包括:
通过编码模块对处理后的请求报文进行编码,并将编码后的请求报文,通过LED以可见光的形式发送给接收单元;其中,发送单元和接收单元在同一直线上,且保持物理隔离状态;接收发送单元的LED发送的编码后的请求报文,并使用解码模块解码编码后的请求报文,获得解码后的请求报文。
一种可能的实施方式,并使用解码模块解码编码后的请求报文,获得解码后的请求报文,包括:
通过哈希检验模块验证解码后的请求报文是否完整,当解码后的请求报文不完整时,使用数据恢复模块恢复解码后的请求报文;其中,数据恢复模块使用使用所述请求报文在编码时加入的冗余数据恢复编码后的请求报文中丢失的部分编码。
一种可能的实施方式,若请求报文具有访问权限,则对请求报文进行加密,并将加密后的请求报文发送给专有隔离交换单元,还包括:
检测请求报文中包含的请求报文的来源信息,根据来源信息判断发送请求报文的邮件服务器是否具有发送权限;若发送请求报文的邮件服务器具有发送权限,则检测并替换请求报文中的敏感字;若发送请求报文的邮件服务器不具有发送权限,则放弃请求报文。
基于同一发明构思,本发明提供一种基于可见光系统的安全访问邮件的系统,请参见图7,该系统包括
外网客户端701,设置于低密级网络中,用于向邮件传输系统发送请求报文,并接收对应的回复;
邮件服务器702,设置于高密级网络中,用于接收邮件传输系统发送的请求报文并回复请求报文;
邮件传输系统703,设置于低密级网络和高密级网络之间,用于执行如上的方法,以保证在隔离低密级网络和高密级网络的同时,在外网客户端和邮件服务器件之间传输请求报文。
基于同一发明构思,本发明一实施例提供一种基于可见光系统的安全访问邮件,该基于可见光系统的安全访问邮件可以是个人电脑等电子设备,该装置可以包括:
至少一个处理器,处理器用于执行存储器中存储的计算机程序时实现本申请实施例提供的如上的基于可见光系统的安全访问邮件的方法的步骤。
可选的,处理器具体可以是中央处理器、特定应用集成电路(英文:ApplicationSpecificIntegratedCircuit,简称:ASIC),可以是一个或多个用于控制程序执行的集成电路。
可选的,该数据完整性保护的设备还包括与至少一个处理器连接的存储器,存储器可以包括只读存储器(英文:ReadOnlyMemory,简称:ROM)、随机存取存储器(英文:RandomAccessMemory,简称:RAM)和磁盘存储器。存储器用于存储处理器运行时所需的数据,即存储有可被至少一个处理器执行的指令,至少一个处理器通过执行存储器存储的指令,执行如图五所示的方法。其中,存储器的数量为一个或多个。
本申请实施例还提供一种计算机存储介质,其中,计算机存储介质存储有计算机指令,当计算机指令在计算机上运行时,使得计算机执行如上的基于可见光系统的安全访问邮件的方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种邮件传输系统,其特征在于,包括:
网络单元,设置于密级网络与专有隔离交换单元之间,用于对接收到的请求报文进行加密或解密处理,并将处理后的请求报文发送到目标位置;其中,所述目标位置包括专有隔离交换单元,或外网客户端;
所述专有隔离交换单元,设置在两个所述网络单元之间,用于通过两个不同数据传输方向的单向可见光系统在两个所述网络单元之间传输所述处理后的请求报文。
2.如权利要求1所述的邮件传输系统,其特征在于,所述网络单元还用于:
接收所述请求报文,根据所述请求报文的来源信息,验证所述请求报文是否具有访问权限;其中,所述网络单元中预设有具有访问权限的请求报文的来源信息;
若所述请求报文具有访问权限,则对所述请求报文进行加密,并将加密后的请求报文发送给所述专有隔离交换单元;若所述请求报文不具有访问权限,则放弃所述请求报文。
3.如权利要求2所述的邮件传输系统,其特征在于,所述网络单元还用于:
使用私有协议,对所述请求报文进行加密或解密;其中所述私有协议包含用于加密邮件报文的预设加密算法和预设共享密钥。
4.如权利要求2或3所述的邮件传输系统,其特征在于,当所述网络单元的类型为外网单元时,所述密级网络为低密级网络,所述低密级网络设置在所述外网客户端与所述网络单元之间,所述网络单元还用于:
当所述请求报文具有访问权限时,根据所述请求报文的相关信息,判断所述请求报文是否为邮件报文;其中所述相关信息包括所述请求报文的传输协议类型和目标服务端口;
当所述请求报文是邮件报文时,对所述请求报文进行病毒查杀;
当所述请求报文不是邮件报文时,放弃所述请求报文。
5.如权利要求4所述的邮件传输系统,其特征在于,当所述网络单元的类型为内网单元时,所述密级网络为高密级网络,所述高密级网络中设置有邮件服务器,所述网络单元还用于:
检测所述请求报文中包含的请求报文的来源信息,根据所述来源信息判断发送所述请求报文的邮件服务器是否具有发送权限;
若发送所述请求报文的邮件服务器具有发送权限,则检测并替换所述请求报文中的敏感字;
若发送所述请求报文的邮件服务器不具有发送权限,则放弃所述请求报文。
6.如权利要求5所述的邮件传输系统,其特征在于,所述单向可见光系统包括:
发送单元,设置于所述单向可见光系统的发送侧,用于通过编码模块对所述处理后的请求报文进行编码,并将编码后的请求报文,通过LED以可见光的形式发送给接收单元;其中,所述发送单元和所述接收单元在同一直线上,且保持物理隔离状态;
所述接收单元,设置于所述单向可见光系统的接收侧,用于接收所述发送单元的LED发送的所述编码后的请求报文,并使用解码模块解码所述编码后的请求报文,获得解码后的请求报文。
7.如权利要求6所述的邮件传输系统,其特征在于,所述接收单元还用于:
通过哈希检验模块验证所述解码后的请求报文是否完整,当所述解码后的请求报文不完整时,使用数据恢复模块恢复所述解码后的请求报文;其中,所述数据恢复模块使用所述请求报文在编码时加入的冗余数据恢复所述编码后的请求报文中丢失的部分编码。
8.一种基于可见光系统的安全访问邮件的方法,其特征在于,包括:
对接收到的请求报文进行加密或解密处理,并将处理后的请求报文发送到目标位置;其中所述目标位置包括专有隔离交换单元、邮件服务器或外网客户端,所述邮件服务器和所述外网客户端分别处于被所述专有隔离交换单元物理隔离的不同密级的网络中;
通过不同的单向可见光系统,在两个所述网络单元间传输所述处理后的请求报文;其中所述两个网络单元分别连接不同密级的网络。
9.一种基于可见光系统的安全访问邮件的系统,其特征在于,包括:
外网客户端,设置于低密级网络中,用于向邮件传输系统发送请求报文,并接收对应的回复;
邮件服务器,设置于高密级网络中,用于接收所述邮件传输系统发送的请求报文并回复所述请求报文;
所述邮件传输系统,设置于所述低密级网络和高密级网络之间,用于执行如权利要求1-7中任一项所述的用途,以保证在隔离所述低密级网络和高密级网络的同时,在所述外网客户端和邮件服务器件之间传输请求报文。
10.一种基于可见光系统的安全访问邮件的装置,其特征在于,包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令具有如权利要求1-7中任一项所述的用途。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111424308.5A CN114124549A (zh) | 2021-11-26 | 2021-11-26 | 一种基于可见光系统的安全访问邮件的方法、系统和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111424308.5A CN114124549A (zh) | 2021-11-26 | 2021-11-26 | 一种基于可见光系统的安全访问邮件的方法、系统和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114124549A true CN114124549A (zh) | 2022-03-01 |
Family
ID=80370434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111424308.5A Pending CN114124549A (zh) | 2021-11-26 | 2021-11-26 | 一种基于可见光系统的安全访问邮件的方法、系统和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124549A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448723A (zh) * | 2022-03-16 | 2022-05-06 | 成都思鸿维科技有限责任公司 | 网络访问方法及相关装置 |
| CN116886208A (zh) * | 2023-09-06 | 2023-10-13 | 鼎铉商用密码测评技术(深圳)有限公司 | 信息加密传输方法、装置、终端设备以及存储介质 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000065456A1 (fr) * | 1999-04-26 | 2000-11-02 | Outserv Co., Ltd. | Systeme de courrier electronique, systeme de transmission/reception de courrier electronique, et support d'enregistrement |
| CN104601576A (zh) * | 2015-01-16 | 2015-05-06 | 网神信息技术(北京)股份有限公司 | 一种基于单向安全隔离网闸的文件传输方法和装置 |
| CN104767752A (zh) * | 2015-04-07 | 2015-07-08 | 西安汇景倬元信息技术有限公司 | 一种分布式网络隔离系统及方法 |
| CN204578564U (zh) * | 2015-04-07 | 2015-08-19 | 西安汇景倬元信息技术有限公司 | 一种安全隔离设备 |
| CN105812387A (zh) * | 2016-05-09 | 2016-07-27 | 北京航天数控系统有限公司 | 一种单向数据安全交换设备 |
| CN206272653U (zh) * | 2016-12-07 | 2017-06-20 | 常州华龙通信科技股份有限公司 | 一种单向隔离光闸 |
| CN109862039A (zh) * | 2019-03-25 | 2019-06-07 | 中国电子科技集团公司第二十八研究所 | 基于射频技术的跨网隔离单向导入系统及数据导入方法 |
| CN110474681A (zh) * | 2019-07-15 | 2019-11-19 | 安徽继远软件有限公司 | 一种跨网络安全隔离传输管理系统及其传输方法 |
| CN110798261A (zh) * | 2019-11-15 | 2020-02-14 | 安徽中骄智能科技有限公司 | 基于可见光通信的传输高并发部署系统及传输方法 |
| CN110868256A (zh) * | 2019-11-20 | 2020-03-06 | 安徽中骄智能科技有限公司 | 量子加密可见光单向网络隔离的数据高速传输设备 |
| CN110933385A (zh) * | 2019-11-20 | 2020-03-27 | 安徽中骄智能科技有限公司 | 基于可见光单向网络隔离的视频流传输系统 |
| CN112019542A (zh) * | 2020-08-28 | 2020-12-01 | 航天科工网络信息发展有限公司 | 一种跨网安全电子邮件系统 |
| CN112073375A (zh) * | 2020-08-07 | 2020-12-11 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
| CN112887267A (zh) * | 2021-01-05 | 2021-06-01 | 天津七所精密机电技术有限公司 | 一种具有报文认证功能的网络隔离系统及其方法 |
| WO2021219104A1 (zh) * | 2020-04-30 | 2021-11-04 | 华为技术有限公司 | 混合云系统、网闸、网络访问方法及存储介质 |
-
2021
- 2021-11-26 CN CN202111424308.5A patent/CN114124549A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000065456A1 (fr) * | 1999-04-26 | 2000-11-02 | Outserv Co., Ltd. | Systeme de courrier electronique, systeme de transmission/reception de courrier electronique, et support d'enregistrement |
| CN104601576A (zh) * | 2015-01-16 | 2015-05-06 | 网神信息技术(北京)股份有限公司 | 一种基于单向安全隔离网闸的文件传输方法和装置 |
| CN104767752A (zh) * | 2015-04-07 | 2015-07-08 | 西安汇景倬元信息技术有限公司 | 一种分布式网络隔离系统及方法 |
| CN204578564U (zh) * | 2015-04-07 | 2015-08-19 | 西安汇景倬元信息技术有限公司 | 一种安全隔离设备 |
| CN105812387A (zh) * | 2016-05-09 | 2016-07-27 | 北京航天数控系统有限公司 | 一种单向数据安全交换设备 |
| CN206272653U (zh) * | 2016-12-07 | 2017-06-20 | 常州华龙通信科技股份有限公司 | 一种单向隔离光闸 |
| CN109862039A (zh) * | 2019-03-25 | 2019-06-07 | 中国电子科技集团公司第二十八研究所 | 基于射频技术的跨网隔离单向导入系统及数据导入方法 |
| CN110474681A (zh) * | 2019-07-15 | 2019-11-19 | 安徽继远软件有限公司 | 一种跨网络安全隔离传输管理系统及其传输方法 |
| CN110798261A (zh) * | 2019-11-15 | 2020-02-14 | 安徽中骄智能科技有限公司 | 基于可见光通信的传输高并发部署系统及传输方法 |
| CN110868256A (zh) * | 2019-11-20 | 2020-03-06 | 安徽中骄智能科技有限公司 | 量子加密可见光单向网络隔离的数据高速传输设备 |
| CN110933385A (zh) * | 2019-11-20 | 2020-03-27 | 安徽中骄智能科技有限公司 | 基于可见光单向网络隔离的视频流传输系统 |
| WO2021219104A1 (zh) * | 2020-04-30 | 2021-11-04 | 华为技术有限公司 | 混合云系统、网闸、网络访问方法及存储介质 |
| CN112073375A (zh) * | 2020-08-07 | 2020-12-11 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
| CN112019542A (zh) * | 2020-08-28 | 2020-12-01 | 航天科工网络信息发展有限公司 | 一种跨网安全电子邮件系统 |
| CN112887267A (zh) * | 2021-01-05 | 2021-06-01 | 天津七所精密机电技术有限公司 | 一种具有报文认证功能的网络隔离系统及其方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448723A (zh) * | 2022-03-16 | 2022-05-06 | 成都思鸿维科技有限责任公司 | 网络访问方法及相关装置 |
| CN116886208A (zh) * | 2023-09-06 | 2023-10-13 | 鼎铉商用密码测评技术(深圳)有限公司 | 信息加密传输方法、装置、终端设备以及存储介质 |
| CN116886208B (zh) * | 2023-09-06 | 2023-12-29 | 鼎铉商用密码测评技术(深圳)有限公司 | 信息加密传输方法、装置、终端设备以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110799941B (zh) | 防盗和防篡改的数据保护 | |
| KR102477070B1 (ko) | 데이터 변환 시스템 및 방법 | |
| US10243928B2 (en) | Detection of stale encryption policy by group members | |
| KR101055712B1 (ko) | 모바일 장치에서의 메시지 핸들링 | |
| US9432360B1 (en) | Security-aware split-server passcode verification for one-time authentication tokens | |
| CN101789866B (zh) | 高可靠性安全隔离与信息交换方法 | |
| CN106797317A (zh) | 安全共享密钥共享系统及方法 | |
| US20170063853A1 (en) | Data cipher and decipher based on device and data authentication | |
| CN114124549A (zh) | 一种基于可见光系统的安全访问邮件的方法、系统和装置 | |
| US7680273B2 (en) | System and method for optimizing error detection to detect unauthorized modification of transmitted data | |
| KR101739203B1 (ko) | 일회용 개인키 기반 전자 서명과 동형 암호를 이용한 패스워드 기반 사용자 인증 방법 | |
| US10601793B2 (en) | Systems and methods for securing electronic data with embedded security engines | |
| CN102843232A (zh) | 生成安全装置密钥 | |
| CN114422173B (zh) | 一种基于可见光的数据传输的方法、系统和存储介质 | |
| CN115336230B (zh) | 用于使用气隙系统硬件协议进行安全数据传输的系统和方法 | |
| WO2016194810A1 (ja) | 認証装置、認証システム、認証方法、およびプログラム | |
| US10491570B2 (en) | Method for transmitting data, method for receiving data, corresponding devices and programs | |
| US10862675B2 (en) | Method for exchanging messages between security-relevant devices | |
| CN113591109B (zh) | 可信执行环境与云端通信的方法及系统 | |
| CN115102768B (zh) | 一种数据处理方法、装置及计算机设备 | |
| CN100596350C (zh) | 工业控制数据的加密解密方法 | |
| Blaze | Key escrow from a safe distance: looking back at the clipper chip | |
| KR101691201B1 (ko) | Dnp 메시지의 보안통신장치 및 방법 | |
| KR20230058685A (ko) | 네트워크 코딩 기반 보안 통신 | |
| CN106998327A (zh) | 一种接入控制方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |