CN115296940A - 用于隔离网络的安全远程数据交互方法及相关设备 - Google Patents

用于隔离网络的安全远程数据交互方法及相关设备 Download PDF

Info

Publication number
CN115296940A
CN115296940A CN202211228550.XA CN202211228550A CN115296940A CN 115296940 A CN115296940 A CN 115296940A CN 202211228550 A CN202211228550 A CN 202211228550A CN 115296940 A CN115296940 A CN 115296940A
Authority
CN
China
Prior art keywords
security
data packet
network
safety
mark
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211228550.XA
Other languages
English (en)
Other versions
CN115296940B (zh
Inventor
罗禹铭
杨莉
黄铄琳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wangyu Safety Technology Shenzhen Co ltd
Original Assignee
Wangyu Safety Technology Shenzhen Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wangyu Safety Technology Shenzhen Co ltd filed Critical Wangyu Safety Technology Shenzhen Co ltd
Priority to CN202211228550.XA priority Critical patent/CN115296940B/zh
Publication of CN115296940A publication Critical patent/CN115296940A/zh
Application granted granted Critical
Publication of CN115296940B publication Critical patent/CN115296940B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明适用于信息安全技术领域,提供了一种用于隔离网络的安全远程数据交互方法及相关设备,所述方法基于设置在通过网闸隔离的第一网络中的代理服务器两侧的第一安全单元和第二安全单元,并通过所述第一安全单元实现,所述第一安全单元与所述第二安全单元之间通过直连通信链路实现通讯连接,所述方法包括:第一安全单元获取第一网络中的数据包;第一安全单元利用预设密码算法计算出数据包的安全标记,并通过直连通信链路发送给第二安全单元;第一安全单元根据确认信息向代理服务器发送添加了安全标记的数据包。本发明在不对原有网络架构进行调整的情况下实现了隔离网络中代理服务器的数据检查,确保了隔离网络中数据的安全性。

Description

用于隔离网络的安全远程数据交互方法及相关设备
技术领域
本发明适用于信息安全技术领域,尤其涉及一种用于隔离网络的安全远程数据交互方法及相关设备。
背景技术
为保障系统安全,工控网络常常采用分级隔离的方法,将不同安全等级的内部和外部网络隔离开来,并在网络边界设置网闸,保证数据传输的单向性。但是,由于内部网络中软件、数据常常需要进行更新,不可避免地需要与外部网络进行数据交互,在隔离网络环境下,单向数据传输无法保证交互过程中数据的正确性和可用性,因此一般的,隔离网络中会在网闸两端分别设置一个代理服务器,并通过两个代理服务器在隔离网络间实现数据交互。
问题在于,代理服务器的存在使得本来物理隔离的网络上存在潜在的双向连接,如果代理服务器被非隔离网络上的恶意攻击者控制,那么攻击者可以轻易地通过代理服务器穿透内外网络的隔离,使单向网闸失去作用,从而产生网络安全问题。也就是说,现有的隔离网络中的具有代理服务器的交互方式具有极大的安全隐患。
发明内容
本发明实施例提供一种用于隔离网络的安全远程数据交互方法及相关设备,旨在解决现有的隔离网络中代理服务器容易受到攻击的网络安全问题。
第一方面,本发明实施例提供一种用于隔离网络的安全远程数据交互方法,所述安全远程数据交互方法基于设置在代理服务器两侧的第一安全单元和第二安全单元,并通过所述第一安全单元实现,所述代理服务器设置于被网闸隔离的第一网络中,所述第一安全单元与所述第二安全单元通过直连通信链路实现通讯连接,所述安全远程数据交互方法包括以下步骤:
所述第一安全单元获取所述第一网络中的数据包;
所述第一安全单元利用预设密码算法计算出所述数据包的安全标记,并通过所述直连通信链路发出,所述安全标记用于所述第二安全单元接收;
所述第一安全单元根据确认信息将向所述数据包添加所述安全标记,并将添加了所述安全标记的所述数据包发出,添加了所述安全标记的所述数据包用于所述代理服务器接收,所述确认信息为所述第二安全单元发出。
更进一步地,所述预设密码算法为根据预设的共享密钥进行数据加密或解密。
更进一步地,所述第一安全单元与所述第二安全单元之间每隔一段预设更新时间,皆通过所述直连通信链路更新使用的所述共享密钥。
第二方面,本发明实施例还提供一种用于隔离网络的安全远程数据交互方法,所述安全远程数据交互方法基于设置在代理服务器两侧的第一安全单元和第二安全单元,并通过所述第二安全单元实现,所述代理服务器设置于被网闸隔离的第一网络中,所述第一安全单元与所述第二安全单元通过直连通信链路实现通讯连接,所述安全远程数据交互方法包括以下步骤:
所述第二安全单元通过所述直连通信链路接收安全标记并保存至标记列表中,并根据所述安全标记,通过所述直连通信链路回复确认信息,所述安全标记为所述第一安全单元发出;
所述第二安全单元获取数据包,并根据预设密码算法对所述数据包进行解密计算,得到解密标记;所述数据包为所述代理服务器向第二网络发送;
所述第二安全单元判断所述标记列表中是否存在与所述解密标记相同的所述安全标记,其中:
若是,则将所述数据包经过所述网闸发送给所述第二网络,并将所述数据包对应的所述安全标记从所述标记列表中删除;
若否,则将所述数据包拦截,并发出警告。
更进一步地,所述预设密码算法为根据预设的共享密钥进行数据加密或解密。
更进一步地,所述第一安全单元与所述第二安全单元之间每隔一段预设更新时间,皆通过所述直连通信链路更新使用的所述共享密钥。
第三方面,本发明实施例还提供一种第一安全模块,包括:
第一拦截模块,用于获取第一网络中的数据包;
第一加密交互模块,用于利用预设密码算法计算出所述数据包的安全标记,并通过直连通信链路发出,所述安全标记用于第二安全模块接收;
加密传输模块,用于根据确认信息将向所述数据包添加所述安全标记,并将添加了所述安全标记的所述数据包发出,添加了所述安全标记的所述数据包用于代理服务器接收,所述确认信息为所述第二安全模块发出。
第四方面,本发明实施例还提供一种第二安全模块,包括:
第二加密交互模块,用于通过直连通信链路接收安全标记并保存至标记列表中,并根据所述安全标记,通过所述直连通信链路回复确认信息,所述安全标记为第一安全模块发出;
第二拦截模块,用于获取数据包,并根据预设密码算法对所述数据包进行解密计算,得到解密标记;所述数据包为代理服务器向第二网络发送;
解密传输模块,用于判断所述标记列表中是否存在与所述解密标记相同的所述安全标记,其中:
若是,则将所述数据包经过网闸发送给所述第二网络,并将所述数据包对应的所述安全标记从所述标记列表中删除;
若否,则将所述数据包拦截,并发出警告。
第五方面,本发明实施例还提供一种用于隔离网络的安全远程数据交互系统,包括如上实施例中所述的第一安全模块和第二安全模块,所述第一安全模块与所述第二安全模块分别设置在代理服务器两侧,所述代理服务器设置于被网闸隔离的第一网络中,所述第一安全单元与所述第二安全单元通过直连通信链路实现通讯连接。
第六方面,本发明实施例还提供一种计算机设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述实施例中任意一项所述的用于隔离网络的安全远程数据交互方法中的步骤。
第七方面,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述实施例中任意一项所述的用于隔离网络的安全远程数据交互方法中的步骤。
本发明所达到的有益效果:
一、本发明通过在代理服务器两端设置安全模块,检查进入代理服务器及其输出的数据包是否具有一致性,安全模块与代理服务器的唯一出口相连并对每一个出口的数据包进行检查,可确保隔离网络中数据流出的唯一性;
二、本发明在代理服务器两端设置的安全模块只对数据包进行检查,并不会和高密级、低密级中的任何客户端建立连接,攻击面更小,可靠性高;
三、本发明的远程数据交互中不需要对原有网络架构进行调整,也不需要改变客户端、网闸的网络设置,与现有的网络架构之间具有更好的适应性。
附图说明
图1是本发明实施例提供的安全远程数据交互方法的网络结构图;
图2是本发明实施例提供的安全远程数据交互方法的步骤流程示意图;
图3是本发明实施例提供的另一种安全远程数据交互方法的步骤流程示意图;
图4是本发明实施例提供的用于隔离网络的安全远程数据交互系统的结构示意图;
图5是本发明实施例提供的计算机设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一
本发明实施例提供一种用于隔离网络的安全远程数据交互方法,所述安全远程数据交互方法基于设置在代理服务器两侧的第一安全单元和第二安全单元,并通过所述第一安全单元实现,所述代理服务器设置于被网闸隔离的第一网络中,所述第一安全单元与所述第二安全单元之间通过直连通信链路实现通讯连接,具体的,请参照图1,图1是本发明实施例提供的安全远程数据交互方法的网络结构图,在一种需要隔离内部与外部网络流量的拓扑中,第一网络作为高密级网络(内部网络),其中客户设备统一连接到交换机上,再与所述第一网络中的代理服务器1建立数据连接,从而获取到代理服务器1上的数据,网闸1和网闸2作为隔离高密级网络和第二网络(低密级网络,外部网络)的设备,以单向网络传输的方式设置于代理服务器1与代理服务器2之间,其中,代理服务器2是第二网络的设备,其与资源服务器连接。
在一种典型的使用场景中,处于第一网络中的客户设备需要获取更新的数据,此时,其需要向代理服务器1进行数据请求,而更新的数据是需要连接到资源服务器获取的,这种情况下就需要代理服务器1与代理服务器2之间进行数据交互,从而使得代理服务器1能够获取到资源服务器上的更新数据。
请参照图2,图2是本发明实施例提供的安全远程数据交互方法的步骤流程示意图,所述安全远程数据交互方法包括以下步骤:
S11、所述第一安全单元获取所述第一网络中的数据包。
在本发明实施例中,所述第一安全单元相当于图1中的安全模块1,所述第二安全单元相当于图1中的安全模块2,所述第一安全单元获取所述第一网络中的所述数据包的方式是一种拦截方式,因为网络拓扑的直连设计,第一网络中的客户端设备向代理服务器请求数据时,必定会经过所述第一安全单元。
S12、所述第一安全单元利用预设密码算法计算出所述数据包的安全标记,并通过所述直连通信链路发出,所述安全标记用于所述第二安全单元接收。
更进一步地,所述预设密码算法为根据预设的共享密钥进行数据加密或解密。
示例性的,所述第一安全单元利用所述预设密码算法计算出所述安全标记的方式可以是:从所述数据包中提取出IP数据报S,并计算数据报S的MD5值,将MD5值与所述预设共享密钥进行逐比特异或运算,生成所述安全标记。
S13、所述第一安全单元根据确认信息将向所述数据包添加所述安全标记,并将添加了所述安全标记的所述数据包发出,添加了所述安全标记的所述数据包用于所述代理服务器接收,所述确认信息为所述第二安全单元发出。
更进一步地,所述第一安全单元与所述第二安全单元之间每隔一段预设更新时间,皆通过所述直连通信链路更新使用的所述共享密钥。这样设计的目的在于,通过不断更新的所述共享密钥来增加安全单元之间的交互安全性,减少密钥泄露造成的影响。
实施例二
本发明实施例还提供一种用于隔离网络的安全远程数据交互方法,所述安全远程数据交互方法基于设置在代理服务器两侧的第一安全单元和第二安全单元,并通过所述第二安全单元实现,所述代理服务器设置于被网闸隔离的第一网络中,所述第一安全单元与所述第二安全单元通过直连通信链路实现通讯连接。
请参照图3,图3是本发明实施例提供的另一种安全远程数据交互方法的步骤流程示意图,所述安全远程数据交互方法包括以下步骤:
S21、所述第二安全单元通过所述直连通信链路接收安全标记并保存至标记列表中,并根据所述安全标记,通过所述直连通信链路回复确认信息,所述安全标记为所述第一安全单元发出。
具体的,所述标记列表是存储于所述第二安全单元本地的一种列表式数据库,用于记录接收到的不同的所述安全标记。
S22、所述第二安全单元获取数据包,并根据预设密码算法对所述数据包进行解密计算,得到解密标记;所述数据包为所述代理服务器向第二网络发送。
示例性的,与实施例一中的所述第一安全单元对应,所述第二安全单元根据所述预设密码算法对所述数据包进行解密计算,得到所述解密标记的方式可以是:从所述数据包中提取出IP数据报S’,并计算数据报S’的MD5值,将MD5值与所述预设共享密钥进行逐比特异或运算,生成所述解密标记。
S23、所述第二安全单元判断所述标记列表中是否存在与所述解密标记相同的所述安全标记,其中:
若是,则将所述数据包经过所述网闸发送给所述第二网络,并将所述数据包对应的所述安全标记从所述标记列表中删除;
若否,则将所述数据包拦截,并发出警告。
更进一步地,所述预设密码算法为根据预设的共享密钥进行数据加密或解密。
更进一步地,所述第一安全单元与所述第二安全单元之间每隔一段预设更新时间,皆通过所述直连通信链路更新使用的所述共享密钥。
示例性的,所述第二安全单元将所述解密标记与所述标记列表中存储的各个所述安全标记进行逐一比较,若发现有一项所述解密标记与所述安全标记相同,则将所述数据包发送给网闸1,并将对应的所述安全标记从所述标记列表中删除;若所述标记列表中没有任何一项标记与所述解密标记相同,则将所述解密标记存入所述标记列表,若所述标记列表中存入的条目数大于预设的安全门限,则发出警告,警示第一网络内可能存在网络攻击的流量。
实施例三
本实施例用于描述本发明的用于隔离网络的安全远程数据交互方法中的所述第一安全单元与所述第二安全单元之间的整体交互方式,参照实施例一与实施例二中的所述第一安全单元与所述第二安全单元与其网络拓扑环境的描述,本发明实施例所提供的用于隔离网络的安全远程数据交互方法的整体流程如下:
S1、所述第一安全单元获取所述第一网络中的数据包;
S2、所述第一安全单元利用预设密码算法计算出所述数据包的安全标记,并通过所述直连通信链路向所述第二安全单元发出;
S3、所述第二安全单元通过所述直连通信链路接收安全标记并保存至标记列表中,并根据所述安全标记,通过所述直连通信链路回复确认信息;
S4、所述第一安全单元根据确认信息将向所述数据包添加所述安全标记,并将添加了所述安全标记的所述数据包发出,添加了所述安全标记的所述数据包用于所述代理服务器接收;
S5、所述第二安全单元获取数据包,并根据预设密码算法对所述数据包进行解密计算,得到解密标记;所述数据包为所述代理服务器向第二网络发送;
S6、所述第二安全单元判断所述标记列表中是否存在与所述解密标记相同的所述安全标记,其中:
若是,则将所述数据包经过所述网闸发送给所述第二网络,并将所述数据包对应的所述安全标记从所述标记列表中删除;
若否,则将所述数据包拦截,并发出警告。
本发明所达到的有益效果:
一、本发明通过在代理服务器两端设置安全模块,检查进入代理服务器及其输出的数据包是否具有一致性,安全模块与代理服务器的唯一出口相连并对每一个出口的数据包进行检查,可确保隔离网络中数据流出的唯一性;
二、本发明在代理服务器两端设置的安全模块只对数据包进行检查,并不会和高密级、低密级中的任何客户端建立连接,攻击面更小,可靠性高;
三、本发明的远程数据交互中不需要对原有网络架构进行调整,也不需要改变客户端、网闸的网络设置,与现有的网络架构之间具有更好的适应性。
实施例四
本发明实施例还提供一种第一安全模块201,包括:
第一拦截模块2011,用于获取第一网络中的数据包;
第一加密交互模块2012,用于利用预设密码算法计算出所述数据包的安全标记,并通过直连通信链路发出,所述安全标记用于第二安全模块接收;
加密传输模块2013,用于根据确认信息将向所述数据包添加所述安全标记,并将添加了所述安全标记的所述数据包发出,添加了所述安全标记的所述数据包用于代理服务器接收,所述确认信息为所述第二安全模块发出。
实施例五
本发明实施例还提供一种第二安全模块202,包括:
第二加密交互模块2021,用于通过直连通信链路接收安全标记并保存至标记列表中,并根据所述安全标记,通过所述直连通信链路回复确认信息,所述安全标记为第一安全模块发出;
第二拦截模块2022,用于获取数据包,并根据预设密码算法对所述数据包进行解密计算,得到解密标记;所述数据包为代理服务器向第二网络发送;
解密传输模块2023,用于判断所述标记列表中是否存在与所述解密标记相同的所述安全标记,其中:
若是,则将所述数据包经过网闸发送给所述第二网络,并将所述数据包对应的所述安全标记从所述标记列表中删除;
若否,则将所述数据包拦截,并发出警告。
实施例六
本发明实施例还提供一种用于隔离网络的安全远程数据交互系统200,请参照图4,图4是本发明实施例提供的用于隔离网络的安全远程数据交互系统的结构示意图,包括如上实施例中所述的第一安全模块201和第二安全模块202,所述第一安全模块201与所述第二安全模块202分别设置在代理服务器两侧,所述代理服务器设置于被网闸隔离的第一网络中,所述第一安全单元201与所述第二安全单元202通过直连通信链路实现通讯连接。
所述用于隔离网络的安全远程数据交互系统200能够实现如上述实施例中的用于隔离网络的安全远程数据交互方法中的步骤,且能实现同样的技术效果,参上述实施例中的描述,此处不再赘述。
实施例七
本发明实施例还提供一种计算机设备,请参照图5,图5是本发明实施例提供的计算机设备的结构示意图,所述计算机设备300包括:存储器302、处理器301及存储在所述存储器302上并可在所述处理器301上运行的计算机程序。
所述处理器301调用所述存储器302存储的计算机程序,执行本发明实施例提供的用于隔离网络的安全远程数据交互方法中的步骤,请结合图1或图2,具体包括:
S11、所述第一安全单元获取所述第一网络中的数据包。
S12、所述第一安全单元利用预设密码算法计算出所述数据包的安全标记,并通过所述直连通信链路发出,所述安全标记用于所述第二安全单元接收。
S13、所述第一安全单元根据确认信息将向所述数据包添加所述安全标记,并将添加了所述安全标记的所述数据包发出,添加了所述安全标记的所述数据包用于所述代理服务器接收,所述确认信息为所述第二安全单元发出。
或:
S21、所述第二安全单元通过所述直连通信链路接收安全标记并保存至标记列表中,并根据所述安全标记,通过所述直连通信链路回复确认信息,所述安全标记为所述第一安全单元发出。
S22、所述第二安全单元获取数据包,并根据预设密码算法对所述数据包进行解密计算,得到解密标记;所述数据包为所述代理服务器向第二网络发送。
S23、所述第二安全单元判断所述标记列表中是否存在与所述解密标记相同的所述安全标记,其中:
若是,则将所述数据包经过所述网闸发送给所述第二网络,并将所述数据包对应的所述安全标记从所述标记列表中删除;
若否,则将所述数据包拦截,并发出警告。
本发明实施例提供的计算机设备300能够实现如上述实施例中的用于隔离网络的安全远程数据交互方法中的步骤,且能实现同样的技术效果,参上述实施例中的描述,此处不再赘述。
实施例八
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现本发明实施例提供的用于隔离网络的安全远程数据交互方法中的各个过程及步骤,且能实现相同的技术效果,为避免重复,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存取存储器(Random AccessMemory,简称RAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,所揭露的仅为本发明较佳实施例而已,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式用等同变化,均属于本发明的保护之内。

Claims (11)

1.一种用于隔离网络的安全远程数据交互方法,所述安全远程数据交互方法基于设置在代理服务器两侧的第一安全单元和第二安全单元,并通过所述第一安全单元实现,所述代理服务器设置于被网闸隔离的第一网络中,所述第一安全单元与所述第二安全单元通过直连通信链路实现通讯连接,其特征在于,所述安全远程数据交互方法包括以下步骤:
所述第一安全单元获取所述第一网络中的数据包;
所述第一安全单元利用预设密码算法计算出所述数据包的安全标记,并通过所述直连通信链路发出,所述安全标记用于所述第二安全单元接收;
所述第一安全单元根据确认信息将向所述数据包添加所述安全标记,并将添加了所述安全标记的所述数据包发出,添加了所述安全标记的所述数据包用于所述代理服务器接收,所述确认信息为所述第二安全单元发出。
2.如权利要求1所述的用于隔离网络的安全远程数据交互方法,其特征在于,所述预设密码算法为根据预设的共享密钥进行数据加密或解密。
3.如权利要求2所述的用于隔离网络的安全远程数据交互方法,其特征在于,所述第一安全单元与所述第二安全单元之间每隔一段预设更新时间,皆通过所述直连通信链路更新使用的所述共享密钥。
4.一种用于隔离网络的安全远程数据交互方法,所述安全远程数据交互方法基于设置在代理服务器两侧的第一安全单元和第二安全单元,并通过所述第二安全单元实现,所述代理服务器设置于被网闸隔离的第一网络中,所述第一安全单元与所述第二安全单元通过直连通信链路实现通讯连接,其特征在于,所述安全远程数据交互方法包括以下步骤:
所述第二安全单元通过所述直连通信链路接收安全标记并保存至标记列表中,并根据所述安全标记,通过所述直连通信链路回复确认信息,所述安全标记为所述第一安全单元发出;
所述第二安全单元获取数据包,并根据预设密码算法对所述数据包进行解密计算,得到解密标记;所述数据包为所述代理服务器向第二网络发送;
所述第二安全单元判断所述标记列表中是否存在与所述解密标记相同的所述安全标记,其中:
若是,则将所述数据包经过所述网闸发送给所述第二网络,并将所述数据包对应的所述安全标记从所述标记列表中删除;
若否,则将所述数据包拦截,并发出警告。
5.如权利要求4所述的用于隔离网络的安全远程数据交互方法,其特征在于,所述预设密码算法为根据预设的共享密钥进行数据加密或解密。
6.如权利要求5所述的用于隔离网络的安全远程数据交互方法,其特征在于,所述第一安全单元与所述第二安全单元之间每隔一段预设更新时间,皆通过所述直连通信链路更新使用的所述共享密钥。
7.一种第一安全模块,其特征在于,包括:
第一拦截模块,用于获取第一网络中的数据包;
第一加密交互模块,用于利用预设密码算法计算出所述数据包的安全标记,并通过直连通信链路发出,所述安全标记用于第二安全模块接收;
加密传输模块,用于根据确认信息将向所述数据包添加所述安全标记,并将添加了所述安全标记的所述数据包发出,添加了所述安全标记的所述数据包用于代理服务器接收,所述确认信息为所述第二安全模块发出。
8.一种第二安全模块,其特征在于,包括:
第二加密交互模块,用于通过直连通信链路接收安全标记并保存至标记列表中,并根据所述安全标记,通过所述直连通信链路回复确认信息,所述安全标记为第一安全模块发出;
第二拦截模块,用于获取数据包,并根据预设密码算法对所述数据包进行解密计算,得到解密标记;所述数据包为代理服务器向第二网络发送;
解密传输模块,用于判断所述标记列表中是否存在与所述解密标记相同的所述安全标记,其中:
若是,则将所述数据包经过网闸发送给所述第二网络,并将所述数据包对应的所述安全标记从所述标记列表中删除;
若否,则将所述数据包拦截,并发出警告。
9.一种用于隔离网络的安全远程数据交互系统,其特征在于,包括如权利要求7所述的第一安全模块和权利要求8所述的第二安全模块,所述第一安全模块与所述第二安全模块分别设置在代理服务器两侧,所述代理服务器设置于被网闸隔离的第一网络中,所述第一安全单元与所述第二安全单元通过直连通信链路实现通讯连接。
10.一种计算机设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至3中任意一项所述的用于隔离网络的安全远程数据交互方法或如权利要求4至6中任意一项所述的用于隔离网络的安全远程数据交互方法中的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3中任意一项所述的用于隔离网络的安全远程数据交互方法或如权利要求4至6中任意一项所述的用于隔离网络的安全远程数据交互方法中的步骤。
CN202211228550.XA 2022-10-09 2022-10-09 用于隔离网络的安全远程数据交互方法及相关设备 Active CN115296940B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211228550.XA CN115296940B (zh) 2022-10-09 2022-10-09 用于隔离网络的安全远程数据交互方法及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211228550.XA CN115296940B (zh) 2022-10-09 2022-10-09 用于隔离网络的安全远程数据交互方法及相关设备

Publications (2)

Publication Number Publication Date
CN115296940A true CN115296940A (zh) 2022-11-04
CN115296940B CN115296940B (zh) 2023-01-17

Family

ID=83819467

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211228550.XA Active CN115296940B (zh) 2022-10-09 2022-10-09 用于隔离网络的安全远程数据交互方法及相关设备

Country Status (1)

Country Link
CN (1) CN115296940B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130303085A1 (en) * 2012-05-11 2013-11-14 Research In Motion Limited Near field communication tag data management
US20130332724A1 (en) * 2012-01-24 2013-12-12 Cummings Engineering Consultants, Inc. User-Space Enabled Virtual Private Network
CN107454094A (zh) * 2017-08-23 2017-12-08 北京明朝万达科技股份有限公司 一种数据交互方法和系统
CN107749840A (zh) * 2017-09-27 2018-03-02 北京机电工程研究所 基于单向网闸的数据单向安全传输及协同处理系统及方法
CN108234506A (zh) * 2018-01-15 2018-06-29 马晓东 一种单向隔离网闸和数据传输方法
CN109600410A (zh) * 2017-09-30 2019-04-09 杭州海康威视数字技术股份有限公司 数据存储系统以及方法
US20200236093A1 (en) * 2016-10-24 2020-07-23 Nubeva, Inc. Extracting Encryption Keys to Enable Monitoring Services

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130332724A1 (en) * 2012-01-24 2013-12-12 Cummings Engineering Consultants, Inc. User-Space Enabled Virtual Private Network
US20130303085A1 (en) * 2012-05-11 2013-11-14 Research In Motion Limited Near field communication tag data management
US20200236093A1 (en) * 2016-10-24 2020-07-23 Nubeva, Inc. Extracting Encryption Keys to Enable Monitoring Services
CN107454094A (zh) * 2017-08-23 2017-12-08 北京明朝万达科技股份有限公司 一种数据交互方法和系统
CN107749840A (zh) * 2017-09-27 2018-03-02 北京机电工程研究所 基于单向网闸的数据单向安全传输及协同处理系统及方法
CN109600410A (zh) * 2017-09-30 2019-04-09 杭州海康威视数字技术股份有限公司 数据存储系统以及方法
CN108234506A (zh) * 2018-01-15 2018-06-29 马晓东 一种单向隔离网闸和数据传输方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘谦: "基于网络隔离技术的信息资源共享方案研究", 《中小企业管理与科技(上旬刊)》 *

Also Published As

Publication number Publication date
CN115296940B (zh) 2023-01-17

Similar Documents

Publication Publication Date Title
Al‐Turjman et al. An overview of security and privacy in smart cities' IoT communications
CN109639642B (zh) 基于mqtt的安全认证方法、装置及存储介质
US20080005558A1 (en) Methods and apparatuses for authentication and validation of computer-processable communications
CN104980920A (zh) 智能终端建立通信连接的方法及装置
CN104954386A (zh) 一种网络反劫持方法及装置
Aziz et al. A lightweight and compromise‐resilient authentication scheme for IoTs
KR20110031752A (ko) 유비쿼터스 센서 네트워크에서의 위치 정보 및 해쉬 체인을 이용한 시빌 공격 노드 탐지 방법 및 장치
CN112311769B (zh) 安全认证的方法、系统、电子设备及介质
Munilla et al. Attacks on ownership transfer scheme for multi-tag multi-owner passive RFID environments
CN105100268A (zh) 一种物联网设备的安全控制方法、系统及应用服务器
Safkhani et al. Implementation of secret disclosure attack against two IoT lightweight authentication protocols
CN112751866B (zh) 一种网络数据传输方法及系统
JP2023535474A (ja) アソシエーション制御方法及び関連装置
US20150200919A1 (en) Object level encryption system inlcuding encryption key management system
CN103916359A (zh) 防止网络中arp中间人攻击的方法和装置
CN115296940B (zh) 用于隔离网络的安全远程数据交互方法及相关设备
Sara et al. Survey on Internet of Things and 4G
CN104243413A (zh) 对局域网中的arp中间人攻击进行防范的方法和系统
CN114598724B (zh) 电力物联网的安全防护方法、装置、设备及存储介质
CN101217532B (zh) 一种防止网络攻击的数据传输方法及系统
CN112134884B (zh) 一种报文序列号的更新方法
CN114567678A (zh) 一种云安全服务的资源调用方法、装置及电子设备
US11399279B2 (en) Security credentials recovery in Bluetooth mesh network
CN112333146B (zh) 变电智能网关arp安全防御方法及变电智能网关
CN115987524B (zh) 一种用于堡垒机的多因子认证安全管理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant