CN116708435A - 基于密码的无协议跨网访问方法和系统 - Google Patents
基于密码的无协议跨网访问方法和系统 Download PDFInfo
- Publication number
- CN116708435A CN116708435A CN202310747480.7A CN202310747480A CN116708435A CN 116708435 A CN116708435 A CN 116708435A CN 202310747480 A CN202310747480 A CN 202310747480A CN 116708435 A CN116708435 A CN 116708435A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- cross
- external network
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000002955 isolation Methods 0.000 claims abstract description 37
- 230000003287 optical effect Effects 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims description 32
- 230000002093 peripheral effect Effects 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 11
- 238000009877 rendering Methods 0.000 claims description 11
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 abstract description 15
- 238000012795 verification Methods 0.000 abstract description 12
- 238000012423 maintenance Methods 0.000 abstract description 11
- 230000008676 import Effects 0.000 description 19
- 238000005516 engineering process Methods 0.000 description 15
- 238000004140 cleaning Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000007689 inspection Methods 0.000 description 7
- 230000002452 interceptive effect Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000007500 overflow downdraw method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种基于密码的无协议跨网访问方法和系统,所述方法包括:内部网络获取当前用户的用于进行跨网访问的输入操作信息,对所述输入操作信息进行加密,将生成的加密数据通过内网计算机转发至跨网访问隔离区;跨网访问隔离区的内网单元对接收到的加密数据进行解密,对解密数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元,所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络。以此方式,采用基于密码的双单向传输链路,有效解决实时安全跨网访问问题,在实现身份有效核验和保证数据安全导入的同时,降低管理运维成本。
Description
技术领域
本公开的实施例一般涉及网络安全技术领域,并且更具体地,涉及一种基于密码的无协议跨网访问方法和系统。
背景技术
信息系统普遍存在于各行业网络中,根据安全需求,各行各业非敏感网络与敏感网络(或高密级网络)传输数据时,往往通过单向光闸来实现。在信息网络的域间访问时往往遇到如下的情况:用户在办公网(内网)经常需要访问外部同等密级或低级密网络或,通过外网网络进行办公、向办公内网下载数据,或是从外部网络运维内部网络中的信息系统,但内部网络往往密级更高,需要保证访问外部网络或从外网访问内网时数据不会泄露到外部网络中。
申请人在实现本申请技术方案的过程中发现,现有技术中采用多台主机或者通过隔离交换技术实现应用代理来达到多网访问的诉求。但是无论采用多台主机还是常规隔离交换技术,依然存在如下问题:
无法满足实时跨网访问的诉求,光闸类设备的单向使得数据只能单向发送,无法实现实时的数据交互,导致用户跨网办公、协作、运维困难;
无法实现身份有效核验,常规的身份核验机制采用软算法实现,容易被绕过或攻破,无法保证跨网访问时用户身份的合法性;
无法保证数据安全导入,在跨网访问时无论是跨网访问场景、还是日常办公场景,均涉及到数据导入的问题,存在数据传输过程中被篡改的问题,破坏内网的安全性;
管理运维成本高昂,访问多个外网既需要建设多个网络基础设施、提供多网访问场所,建设管理成本高昂。
发明内容
根据本公开的实施例,提供了一种基于密码的无协议跨网访问方案,来解决现有技术中的跨域访问存在的无法满足实时跨网访问的诉求、无法实现身份有效核验、无法保证数据安全导入,以及管理运维成本高昂的技术问题。
在本公开的第一方面,提供了一种基于密码的无协议跨网访问方法,包括:
内部网络获取当前用户的用于进行跨网访问的输入操作信息,对所述输入操作信息进行加密,将生成的加密数据通过内网计算机转发至跨网访问隔离区;
跨网访问隔离区的内网单元对接收到的加密数据进行解密,对解密数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元,所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络。
在一些实施例中,所述输入操作信息包括鼠标、键盘和USBKey的输入信息。
在一些实施例中,所述对所述输入操作信息进行加密,包括:
将所述输入操作信息封装为多个数据包,并对每个数据包进行逐包加密。
在一些实施例中,在所述对所述输入操作信息进行加密之后,所述方法还包括:
对生成的加密数据包利用加密设备对应证书进行签名;
所述对解密数据进行验证,包括:
对解密数据进行设备认证,协议检查和内容检查。
在一些实施例中,在所述外网单元获取解密数据后,所述方法还包括:
对当前用户的身份信息进行验证,在身份信息验证通过后,对当前用户的访问权限进行验证,并在访问权限验证通过后,将所述输入操作信息在虚拟机中释放,通过虚拟机访问外部网络。
在一些实施例中,还包括:
外网单元获取虚拟机显示的外部网络访问结果的音视频数据,将所述音视频数据发送至跨网访问隔离区的内网单元,跨网访问隔离区的内网单元在接收到所述音视频数据后,对所述音视频数据进行清洗,并将清洗后的音视频数据发送至内网计算机,由内网计算机进行声音播放和屏幕渲染。
在一些实施例中,还包括:
外网单元接收文件格式的外网数据,对所述外网数据进行格式检查和数据安全检查后,发送至内网单元,由内网单元通过单向光通道发送至内网计算机。
在本公开的第二方面,提供一种基于密码的无协议跨网访问系统,包括:
内部网络、跨网访问隔离区和外部网络;
其中,所述内部网络包括外设、终端访问模块和内网计算机,所述外设用于接收跨网访问的输入操作,所述终端访问模块用于捕获外设的输入操作信息,对外设的输入操作信息进行加密,并将加密数据发送至内网计算机;所述内网计算机用于接收所述加密数据,并将所述加密数据转发至所述跨网访问隔离区,以及,接收跨网访问隔离区返回的清洗后的音视频数据或者外网数据;
所述跨网访问隔离区包括密码处理单元、内网单元和外网单元,所述密码处理单元用于对所述加密数据进行解密,并将解密后的数据发送至内网单元;所述内网单元用于对解密后的数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元;所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络,以及获取虚拟机显示的外部网络访问结果的音视频数据,将所述音视频数据发送至内网单元,跨网访问由内网单元对所述音视频数据进行清洗,并将清洗后的音视频数据发送至内网计算机,由内网计算机进行声音播放和屏幕渲染。
在本公开的第三方面,提供了一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
在本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如以上所述的方法。
通过本公开的基于密码的无协议跨网访问方法,基于密码的双单向传输链路,有效解决实时安全跨网访问问题,在实现身份有效核验和保证数据安全导入的同时,降低管理运维成本。
发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本公开实施例一的基于密码的无协议跨网访问方法的流程图;
图2示出了本公开实施例二的基于密码的无协议跨网访问系统的结构示意图;
图3示出了用来实施本公开的实施例的电子设备的示意性框图;
图4示出了本公开实施例三的基于密码的无协议跨网访问系统的应用实例示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本公开实施例的基于密码的无协议跨网访问方法,采用基于密码的双单向传输链路,从而有效解决实时安全跨网访问问题,并能够在实现身份有效核验和保证数据安全导入的同时,降低管理运维成本。
具体地,如图1所示,为本公开实施例一的基于密码的无协议跨网访问方法的流程图。在本实施例中,所述基于密码的无协议跨网访问方法,可以包括以下步骤:
S101:内部网络获取当前用户的用于进行跨网访问的输入操作信息,对所述输入操作信息进行加密,将生成的加密数据通过内网计算机转发至跨网访问隔离区。
本公开实施例的基于密码的无协议跨网访问方法,可以应用于跨网访问。本实施例中的跨网访问分为内部网络访问外部网络和内部网络访问内部网络,本实施例针对内部网络访问外部网络这种情形进行说明。
具体地,当用户需要通过内部网络访问外部网络时,用户可以通过外部输入设备对终端访问模块进行操作,本实施例中的外部输入设备例如可以是鼠标、键盘或者USBkey等,终端访问模块捕获用户针对外部输入设备的输入操作信息,例如对鼠标的移动点击操作,对键盘的点击操作,或者对USBkey的插入和拔出操作等。终端访问模块捕获到输入操作信息后,对所述输入操作信息进行加密,将生成的加密数据通过内网计算机转发至跨网访问隔离区。例如,可以将所述输入操作信息封装为多个数据包,并对每个数据包进行逐包加密。
为了避免不可信外设带来的安全风险,在终端访问模块内部设计了单向通道,支持鼠键信息单向传输到内网计算机,阻止问题鼠键对内网计算机发起的HID窃密攻击,并实现终端访问模块的密码资源与内网计算机的隔离,使得内网计算机无法获得密码资源,由此保证有且只有合法的鼠键信息能通过访问网关的门卫式解密和验证,彻底阻断跨双单向形成攻击回路的能力。
同时,还可以在终端访问模块上对加密数据进行签名保护,具体地,可以按照数据包的接收顺序对每个数据包进行前面,以便于在跨网访问隔离区进行验签,确保跨网访问使用的终端访问模块的真实性、有效性。
S102:跨网访问隔离区的内网单元对接收到的加密数据进行解密,对解密数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元,所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络。
在本实施例中,当跨网访问隔离区的内网单元接收到加密数据后,对所述加密数据进行解密,并对解密后的数据进行验证。具体地,当跨网访问隔离区的内网单元接收到加密数据后,可以采用预先设定的解密算法对加密数据进行解密,生成解密数据,然后对解密后的数据进行验证。在验证过程中,可以进行设备认证,协议检查和内容检查。其中,设备认证可以是对终端访问模块的签名进行验证,以此,来判断终端访问模块的合法性,此外,解密数据中还设计数据的通信协议和具体的内容,因此,需要对具体的通信协议和内容进行检查。
为了更好的提高跨网访问的安全性,当用户需要通过内部网络访问外部网络时,可以先在终端访问模块中插入USBkey,以对用户的身份信息进行认证,并在用户的身份信息认证通过后,才允许用户使用内部网络访问外部网络。相应地,在所述外网单元获取解密数据后,还可以进一步地对当前用户的身份信息进行验证,在身份信息验证通过后,对当前用户的访问权限进行验证,并在访问权限验证通过后,将所述输入操作信息在虚拟机中释放,通过虚拟机访问外部网络。
本实施例中的身份信息可以是预先为用户分配的身份标识信息,并且,在本实施例中,用户的身份信息可以与访问权限对应,可以针对不同的身份信息设定不同的访问权限,当用户需要访问外部网络时,不同的访问权限可以对应不同的访问内容。
在对解密数据验证通过后,可以将验证后的解密数据通过单向光通道发送至外网单元,所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络。
本公开实施例的基于密码的无协议跨网访问方法,采用基于密码的双单向传输链路,从而有效解决实时安全跨网访问问题,并能够在实现身份有效核验和保证数据安全导入的同时,降低管理运维成本。
此外,作为本公开的一个可选实施例,在上述实施例的基础上,所述方法还可以包括返回访问结果的过程,具体包括:
外网单元获取虚拟机显示的外部网络访问结果的音视频数据,将所述音视频数据发送至跨网访问隔离区的内网单元,跨网访问隔离区的内网单元在接收到所述音视频数据后,对所述音视频数据进行清洗,并将清洗后的音视频数据发送至内网计算机,由内网计算机进行声音播放和屏幕渲染。
在实施例中,外网单元被配置为只接收文件格式的外网数据,在外网单元接收到外网数据后,对所述外网数据进行格式检查和数据安全检查后,发送至内网单元,由内网单元通过单向光通道发送至内网计算机。
本实施例中的外网单元和内网单元之间设置有访问网关,访问网关支持对传输至内网的音视频数据和文件数据实时清洗。通过对音视频数据进行重新编码,实现对输入内网的虚拟机音视频数据进行清洗,防止码流中夹带攻击数据,保护内网的安全。
作为本公开的另一个可选实施例,所述访问网关支持用户通过文件方式将外网数据导入内网。用户从外网上传至内网的文件由网关外网单元数据接收服务进行转发,再经过数据格式检查、数据安全检查,再由数据清洗单元的门卫式密码进行完整性校验,校验通过后通过安全代理单向传输到密码处理单元,再由密码处理单元转发到内网终端进行存储。通过对外网导入数据进行安全清洗,防止导入数据中夹带攻击数据,确保导入内网文件的安全性。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应所述知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应所述知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
如图2所示,为本公开实施例二的基于密码的无协议跨网访问系统的结构示意图,本实施例的基于密码的无协议跨网访问系统,包括:
内部网络201、跨网访问隔离区202和外部网络203;
其中,所述内部网络201包括外设、终端访问模块和内网计算机,所述外设用于接收跨网访问的输入操作,所述终端访问模块用于捕获外设的输入操作信息,对外设的输入操作信息进行加密,并将加密数据发送至内网计算机;所述内网计算机用于接收所述加密数据,并将所述加密数据转发至所述跨网访问隔离区202,以及,接收跨网访问隔离区202返回的清洗后的音视频数据或者外网数据;
所述跨网访问隔离区202包括密码处理单元、内网单元和外网单元,所述密码处理单元用于对所述加密数据进行解密,并将解密后的数据发送至内网单元;所述内网单元用于对解密后的数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元;所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络203,以及获取虚拟机显示的外部网络访问结果的音视频数据,将所述音视频数据发送至内网单元,跨网访问由内网单元对所述音视频数据进行清洗,并将清洗后的音视频数据发送至内网计算机,由内网计算机进行声音播放和屏幕渲染。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
下面结合一个具体的应用实例对本公开的系统进行进一步说明。如图4所示,为本公开实施例三的基于密码的无协议跨网访问系统的应用实例示意图。
本实施例的基于密码的无协议跨网访问系统分为三大部分,分别是:
内网部分,包括部署外设、终端访问模块、内网计算机;
跨网访问隔离区,包括部署终端跨网交互密码网关(以下简称:访问网关),其包含密码处理单元、内网单元、外网单元、门卫式处理单元、双单向通道、虚拟机等;
外网部分,包括部署信息系统。
其中,外设包括跨网访问所需的鼠标、键盘、USBKey,实现跨网访问的输入;终端访问模块包括一端连接外设,一端连接内网计算机,实现内网外模式的切换,以及内网模式下的鼠键、USBKey透传到内网计算机、外网模式下鼠键加密后传输至内网计算机;内网计算机包括一端连接内网,一端连接跨网交互密码网关,实现数据的接收、转发及外网虚拟机音视频数据的渲染、文件、剪贴板数据的写入。
终端跨网交互密码网关:基于密码技术、双单向技术、虚拟化技术、数据清洗技术等实现跨网访问所需的虚拟化平台、双单向通道以及密码隔离、数据清洗能力,保证跨网访问数据受控、单向安全传输。
外网虚拟机:进行实际跨网访问操作的主机,内网用户在内网侧的鼠键操作将在虚拟机中进行还原,实际的操作动作由虚拟机执行,运行结果展示也由虚拟机传递给内网计算机;
信息系统:跨网访问的目标信息系统,内网用户通过网络实现远程操作虚拟机访问信息系统,达到跨网访问目的。
为了实现基于密码的双单向无协议的跨网访问,其核心有五点:
单终端分时多网访问:为了满足单终端分时访问内网和多个外网,采用了终端外设物理切换技术。该技术以主从模拟和物理切换技术为基础,通过二者的同步控制,实现内网计算机外设在内网计算机和多个外网虚拟机之间的分时切换,确保内网终端外设在不同安全等级计算机系统或网络间的安全、稳定、高效切换。
门卫式密码隔离:为了满足跨网访问数据安全需求,采用了基于密码的红黑隔离技术。该技术以密码为核心,实现跨网访问过程中内网与外网的隔离。该技术的实现方式是采用门卫式密码设计,保证从内网传输至外网虚拟机的任何数据都不能绕过访问网关。
部署在内网计算机上的终端安全组件在与访问网关通信时会使用终端访问模块会对数据逐包加密,访问网关内的门卫式密码处理单元对接收到的报文进行解密,解密成功则传递到虚拟机,否则拒绝转发并产生告警信息。通过门卫式密码机制可有效保证数据在传输过程中不被篡改、窃听,非法伪造的数据无法通过访问网关传输至外网。同时,因为内网终端无法访问终端访问模块的密码资源,运行于内网终端或内网其他计算机/服务器的木马程序无法构造合法数据报文,无法通过门卫式密码的检测发送数据到外网。因此,可以保证:任何通过门卫式密码验证发送到外网虚拟机的数据,有且只有合法处理的鼠键、USBKey数据。
鼠键、USBKey数据传递及音视频信息渲染:内网计算机的键盘、鼠标操作过程传递给外网虚拟机释放,虚拟机的操作结果-音视频信息传输到内网计算机进行渲染,传输通道基于无协议的双单向通道实现。
为此,在内网计算机上的终端安全组件具有鼠标键盘捕获模块及屏幕信息渲染展示模块,其中鼠标键盘捕获模块负责实时获取终端访问模块传递的加密的鼠标及键盘数据,然后将鼠标键盘操作信息发送给密码处理单元,由密码处理单元解密后采用单向光通道1传输至外网虚拟机中进行释放。
虚拟机的音视频采集程序捕获内网用户操作的虚拟机音视频信息,再经过音视频清洗后通过单向通道2传递至内网计算机。内网计算机的数据接受模块负责接收数据,在内网计算机上解封装后进行屏幕渲染、声音播放。
双单向无协议数据传输:访问网关包含两个单向传输通道,一个内网计算机向外网虚拟机传输鼠标、键盘、USBKey的信息通道,称为导出通道;另一个是外网虚拟机向内网计算机传输音视频信息、文件数据的通道,称为导入通道。两个传输通道基于单向光信号通信原理实现,导出及导入通道均采用无协议的数据传输机制,避免网络协议的攻击风险。
受控文件导入:访问网关支持用户通过文件方式将外网数据导入内网。用户从外网上传至内网的文件由网关外网单元数据接收服务进行转发,再经过数据格式检查、数据安全检查,再由数据清洗单元的门卫式密码进行完整性校验,校验通过后通过安全代理单向传输到密码处理单元,再由密码处理单元转发到内网终端进行存储。
数据安全处理:为了保证跨网访问过程安全,除了门卫式密码隔离、双单向无协议数据传输、受控文件导入外,还实现以下安全机制:
数据签名验签:通过对在终端访问模块上对设备认证报文进行签名保护,在访问网关进行验签,确保跨网访问使用的终端访问模块的真实性、有效性。
鼠键单向:为了避免不可信外设带来的安全风险,在终端访问模块内部设计了单向通道,支持鼠键信息单向传输到内网计算机,阻止问题鼠键对内网计算机发起的HID窃密攻击,并实现终端访问模块的密码资源与内网计算机的隔离,使得内网计算机无法获得密码资源,由此保证有且只有合法的鼠键信息能通过访问网关的门卫式解密和验证,彻底阻断跨双单向形成攻击回路的能力。
外设过滤:通过外设类型过滤,保证有且只有鼠标、键盘、USBKey能被终端访问模块识别和使用,杜绝非法设备在外网虚拟机中使用,防止内网数据泄露到外网。
数据安全检查:访问网关支持对鼠键、USBKey数据进行格式检查和内容检查,确保只有鼠标、键盘及USBKey信息能进行传输到外网虚拟机中。同时支持对导入内网的文件数据进行文件类型白名单检查、格式检查、大小检查、内容检查等,确保导入内网数据的安全性。
数据安全清洗:访问网关支持对传输至内网的音视频数据和文件数据实时清洗。通过对音视频数据进行重新编码,实现对输入内网的虚拟机音视频数据进行清洗,防止码流中夹带攻击数据,保护内网的安全。通过对外网导入数据进行安全清洗,防止导入数据中夹带攻击数据,确保导入内网文件的安全性。
跨网访问分为两个模式,内网模式和外网模式。内网模式下鼠标键盘数据传递到内网进行外网访问。外网模式下鼠键数据传递到外网进行外网访问。
外网访问流程分为三个阶段:认证、鼠键捕获及释放、音视频捕获及渲染阶段。
认证阶段:
用户在内网操作终端访问模块切换到外网模式;
终端访问模块将认证报文发送至访问网关密码处理单元;
访问网关对数据进行解密。解密成功表明密码配对,失败则拒绝转发并告警。
鼠键捕获及释放阶段:
鼠键输入,终端访问模块获取鼠标、键盘的输入信息。
数据加密,终端访问模块将鼠键信息加密后单向发送至内网计算机。
鼠键数据捕获,内网终端安全组件获得加密的鼠键信息。
数据发送,终端安全组件发送加密的鼠键信息至访问网关的密码处理单元。
数据解密,密码处理单元解密接收的鼠键信息。
数据安全发送,内网单元进行格式和内容检查后至转发数据安全代理模块,由数据安全代理模块将数据通过光单向通道1发送至外网服务单元数据安全代理模块。
转发数据,外网服务单元进行认证和权限检查。检查成功则将数据转发至相应的虚拟机。
鼠键释放,虚拟机内获取鼠键信息并释放。
音视频捕获及渲染阶段:
屏幕显示捕获,虚拟机捕获屏幕、声音信息。
显示信息转发,虚拟桌面服务将获取的屏幕显示信息转发至外网单元。
数据发送,外网服务单元将数据转发至门卫式密码2,由门卫式密码2进一步转发至音视频清洗模块。
音视频清洗,音视频清洗模块对音视频数据进行重新编码,生成新的码流转发至密码处理单元,由密码处理单元转发是内网计算机。
显示渲染,内网计算机安全组件将接收的显示数据在终端安全组件显示渲染。
通过以上步骤,完成内外网分时跨网访问。
另外,跨网访问过程中外网数据导入采用一次一密以及门卫式密码检验保证文件受控安导入。文件导入过程如下:
受控文件导入分为两个阶段:发起导入阶段和文件导入。
发起导入阶段
1)用户通过终端访问密码模块及机架型终端跨网交互密码网关正常访问外部网络;
2)用户在终端按下组合键(可自定义)发起文件导入操作;
3)终端访问密码模块接收到数据后进行检测,判断是否为文件导入操作;
4)终端访问密码模块调用内置的密码产生一次性密钥R;
5)采用门卫式密码2的公钥PKB和调用式密码的公钥PKC分别对R进行加密,得到EPKB[R]EPKC[R],再用门卫式密码1的公钥PKA对EPKB[R]EPKC[R]加密,并使用终端访问密码模块的私钥对EPKB[R]EPKC[R]进行签名,得到最终要发送的报文EPKA[EPKB[R]EPKC[R]||SIGRID(EPKB[R]EPKC[R])];
6)终端访问密码模块将加密后的报文发送至密码网关的数据处理单元;
7)密码网关的数据处理单元转发至门卫式密码1进行解密和验签,得到EPKB[R]EPKC[R],并进一步发送至内网服务单元;
8)内网服务单元将文件导入报文通过单向发送外网服务单;
9)由外网服务单元数据转发模块将EPKB[R]发送至门卫式密码2、EPKC[R]发送至调用式密码,并向用户当前正在访问的虚拟机发送一个文件导入请求。
文件导入阶段:
1)虚拟机启动文件导入应用;
2)用户在虚拟机选择要导入的文件到文件导入应用中;
3)文件导入应用将文件数据发送至密码网关外网服务单元的文件导入服务,当文件发送完成,文件导入应用自动关闭。如需要进行文件导入,则必须重新发起文件导入;
4)数据接收,密码网关外网服务单元数据接收服务接收虚拟机发送的文件数据;
5)数据格式检查及安全检查,外网服务单元对接收的数据进行数据格式检查、安全检查(大小检查、内容检查等);
6)人工审核,如已开启人工审核策略,则对安全检查通过的数据进一步进行人工审核,未通过审核则无法进行到内网终端;
7)外网文件数据在通过安全检查后,外网服务单元数据安全代理则调用门卫式密码,采用终端访问密码模块产生一次性密钥及调用式密码的公钥PKA对文件进行的HMAC保护,然后再传输至门卫式密码2;
8)门卫式密码2根据接收到的一次性密钥R和自身的公钥PKA对文件进行HMAC校验。检验通过则进一步通过视频清洗卡发送单向至密码网关数据处理单元,检查不通过则会被丢弃;
9)密码网关的数据处理单元对收到导入的数据经过格式识别及安全检查后转发至内网终端;
10)文件接收及处理,内网终端安全组件接收到数据后根据协议格式将文件写入到内网终端。
访问网关外网采用虚拟化技术,可支持多人同时并发访问外部网络。在某些场景中,往往同时会有多个人对相同或不同的网络进行运维,此时可以采用以下架构进行跨网访问:
多个内网终端通过一台网密码关访问同一外部网络域:
在内部网络域与外部网络域之间部署一台终端跨网交互密码网关设备和多套终端访问模块,多个内网终端可通过多个终端访问模块和一台访问网关访问一个外部网络。
多个终端通过多台访问网关访问同一网络域:
在内部网络域与一个外部网络域之间部署多台终端跨网交互密码网关设备和多套终端访问模块,多台访问网关接入相同的外部网络,多个内网终端通过多个终端访问模块和多台密码网关访问同一个外部网络。
多个终端通过多台访问网关访问多个外部网络域:
在内部网络域与多个外部网络域之间部署多台终端跨网交互密码网关设备和多套终端访问模块,一台密码网关设备接入一个外部网络,多个内网终端可通过多个终端访问模块和不同的密码网关设备访问不同的外部网络域。
针对跨网运维这一特殊场景,为了进一步提升运维过程的安全,可在基于密码的双单向无协议分时跨网访问系统与被运维系统之间部署堡垒机产品,通过对运维协议的深度检查及过滤,提升运维整体的可控性。
图3示出了可以用来实施本公开的实施例的电子设备300的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
电子设备300包括计算单元301,其可以根据存储在ROM302中的计算机程序或者从存储单元308加载到RAM303中的计算机程序,来执行各种适当的动作和处理。在RAM303中,还可存储电子设备300操作所需的各种程序和数据。计算单元301、ROM302以及RAM303通过总线304彼此相连。I/O接口305也连接至总线304。
电子设备300中的多个部件连接至I/O接口305,包括:输入单元306,例如键盘、鼠标等;输出单元307,例如各种类型的显示器、扬声器等;存储单元308,例如磁盘、光盘等;以及通信单元309,例如网卡、调制解调器、无线通信收发机等。通信单元309允许电子设备300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元301可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元301的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元301执行上文所描述的各个方法和处理,例如树型数据的融合方法。例如,在一些实施例中,树型数据的融合方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元308。在一些实施例中,计算机程序的部分或者全部可以经由ROM302和/或通信单元309而被载入和/或安装到电子设备300上。当计算机程序加载到RAM303并由计算单元301执行时,可以执行上文描述的树型数据的融合方法的一个或多个步骤。备选地,在其他实施例中,计算单元301可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行树型数据的融合方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置;以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (10)
1.基于密码的无协议跨网访问方法,其特征在于,包括:
内部网络获取当前用户的用于进行跨网访问的输入操作信息,对所述输入操作信息进行加密,将生成的加密数据通过内网计算机转发至跨网访问隔离区;
跨网访问隔离区的内网单元对接收到的加密数据进行解密,对解密数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元,所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络。
2.根据权利要求1所述的方法,其特征在于,所述输入操作信息包括鼠标、键盘和USBKey的输入信息。
3.根据权利要求1所述的方法,其特征在于,所述对所述输入操作信息进行加密,包括:
将所述输入操作信息封装为多个数据包,并对每个数据包进行逐包加密。
4.根据权利要求3所述的方法,其特征在于,在所述对所述输入操作信息进行加密之后,所述方法还包括:
对生成的加密数据包利用加密设备对应证书进行签名;
所述对解密数据进行验证,包括:
对解密数据进行设备认证,协议检查和内容检查。
5.根据权利要求4所述的方法,其特征在于,在所述外网单元获取解密数据后,所述方法还包括:
对当前用户的身份信息进行验证,在身份信息验证通过后,对当前用户的访问权限进行验证,并在访问权限验证通过后,将所述输入操作信息在虚拟机中释放,通过虚拟机访问外部网络。
6.根据权利要求5所述的方法,其特征在于,还包括:
外网单元获取虚拟机显示的外部网络访问结果的音视频数据,将所述音视频数据发送至跨网访问隔离区的内网单元,跨网访问隔离区的内网单元在接收到所述音视频数据后,对所述音视频数据进行清洗,并将清洗后的音视频数据发送至内网计算机,由内网计算机进行声音播放和屏幕渲染。
7.根据权利要求1所述的方法,其特征在于,还包括:
外网单元接收文件格式的外网数据,对所述外网数据进行格式检查和数据安全检查后,发送至内网单元,由内网单元通过单向光通道发送至内网计算机。
8.基于密码的无协议跨网访问系统,其特征在于,包括:
内部网络、跨网访问隔离区和外部网络;
其中,所述内部网络包括外设、终端访问模块和内网计算机,所述外设用于接收跨网访问的输入操作,所述终端访问模块用于捕获外设的输入操作信息,对外设的输入操作信息进行加密,并将加密数据发送至内网计算机;所述内网计算机用于接收所述加密数据,并将所述加密数据转发至所述跨网访问隔离区,以及,接收跨网访问隔离区返回的清洗后的音视频数据或者外网数据;
所述跨网访问隔离区包括密码处理单元、内网单元和外网单元,所述密码处理单元用于对所述加密数据进行解密,并将解密后的数据发送至内网单元;所述内网单元用于对解密后的数据进行验证,并将验证后的解密数据通过单向光通道发送至外网单元;所述外网单元获取解密数据,并将所述输入操作在虚拟中释放,通过虚拟机访问外部网络,以及获取虚拟机显示的外部网络访问结果的音视频数据,将所述音视频数据发送至内网单元,跨网访问由内网单元对所述音视频数据进行清洗,并将清洗后的音视频数据发送至内网计算机,由内网计算机进行声音播放和屏幕渲染。
9.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310747480.7A CN116708435A (zh) | 2023-06-21 | 2023-06-21 | 基于密码的无协议跨网访问方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310747480.7A CN116708435A (zh) | 2023-06-21 | 2023-06-21 | 基于密码的无协议跨网访问方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116708435A true CN116708435A (zh) | 2023-09-05 |
Family
ID=87829015
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310747480.7A Pending CN116708435A (zh) | 2023-06-21 | 2023-06-21 | 基于密码的无协议跨网访问方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116708435A (zh) |
-
2023
- 2023-06-21 CN CN202310747480.7A patent/CN116708435A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361668B (zh) | 一种数据可信传输方法 | |
| CN110870277B (zh) | 将中间盒引入到客户端与服务器之间的安全通信中 | |
| AU2009329836B2 (en) | Digital video guard | |
| EP3324572B1 (en) | Information transmission method and mobile device | |
| US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
| US9838870B2 (en) | Apparatus and method for authenticating network devices | |
| US20160119291A1 (en) | Secure communication channel with token renewal mechanism | |
| WO2016011778A1 (zh) | 数据处理的方法和装置 | |
| CN109510802B (zh) | 鉴权方法、装置及系统 | |
| CN103916363B (zh) | 加密机的通讯安全管理方法和系统 | |
| US10129229B1 (en) | Peer validation | |
| CN106941404B (zh) | 密钥保护方法及装置 | |
| CN113992346B (zh) | 一种基于国密加固的安全云桌面的实现方法 | |
| CN112989426B (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
| CA3178204A1 (en) | Secure messaging between cryptographic hardware modules | |
| WO2007053255A1 (en) | Total exchange session security | |
| CN112689014A (zh) | 一种双全工通信方法、装置、计算机设备和存储介质 | |
| CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN115001686A (zh) | 一种全域量子安全设备及系统 | |
| JP2022117456A (ja) | ハードウェアセキュリティモジュールを備えたメッセージ伝送システム | |
| CN113904767A (zh) | 一种基于ssl建立通信的系统 | |
| WO2024021958A1 (zh) | 通信处理方法及系统、客户端、通信服务端和监管服务端 | |
| CN112073185A (zh) | 云游戏安全传输方法及装置 | |
| CN111901312A (zh) | 一种网络访问控制的方法、系统、设备及可读存储介质 | |
| JP2005175992A (ja) | 証明書配布システムおよび証明書配布方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |