CN117319088B - 一种阻断违规外联设备的方法、装置、设备及介质 - Google Patents
一种阻断违规外联设备的方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN117319088B CN117319088B CN202311597140.7A CN202311597140A CN117319088B CN 117319088 B CN117319088 B CN 117319088B CN 202311597140 A CN202311597140 A CN 202311597140A CN 117319088 B CN117319088 B CN 117319088B
- Authority
- CN
- China
- Prior art keywords
- blocking
- equipment
- alarm information
- external connection
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 178
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000012544 monitoring process Methods 0.000 claims abstract description 74
- 238000005538 encapsulation Methods 0.000 claims abstract description 55
- 230000005540 biological transmission Effects 0.000 claims abstract description 42
- 239000000969 carrier Substances 0.000 claims abstract description 23
- 230000009471 action Effects 0.000 claims abstract description 11
- 238000012795 verification Methods 0.000 claims description 20
- 230000011664 signaling Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 238000004806 packaging method and process Methods 0.000 claims description 7
- 230000006399 behavior Effects 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000000694 effects Effects 0.000 abstract description 2
- 238000004422 calculation algorithm Methods 0.000 description 23
- 238000001514 detection method Methods 0.000 description 11
- 230000003993 interaction Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 3
- 229910002056 binary alloy Inorganic materials 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000003032 molecular docking Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种阻断违规外联设备的方法、装置、设备及介质,涉及网络安全技术领域。其中,该方法应用于互联网监测服务器中,互联网监测服务器应用于公安视频传输网的外联阻断场景,该方法包括:获取告警信息;告警信息用于指示产生违规行为的外联设备的信息;以边界设备允许通过的数据类型和协议类型为载体,对告警信息进行封装,获得封装报文;通过边界设备将封装报文转发给内网阻断服务器,以使内网阻断服务器对封装报文进行解析,获得告警信息,以及根据告警信息,对该外联设备进行阻断。本申请具有提高公安视频传输网中对违规外联设备的阻断效率的效果。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及一种阻断违规外联设备的方法、装置、设备及介质。
背景技术
公安视频传输网是指专门用于支撑视频图像服务及汇接各层级图像信息的专用网络。在现有技术中,对公安视频传输网中违规外联设备的监控与阻断,主要分为两种方法。一种是基于客户端的检测方法,但大部分前端设备(如摄像机、门禁等)无法安装、个人终端使用者存在恶意卸载等问题。另一种是采用内网扫描加外网取证的方法。内网扫描服务器构造以外网取证服务器公网地址为源IP探测报文,诱使被检测设备访问外网取证服务器,外网取证服务器记录违规外联设备的信息产生告警。
由于内网和外网之间的隔离控制措施导致告警信息无法回传至内网扫描服务器,因此外网取证服务器只能将告警信息发送给对应网络管理员,由管理员人工判断违规外联设备的物理或网络接入位置后进行手动阻断。这种手动阻断方式效率低下,且大多数外联设备的主观恶意违规行为发生在非工作时间段,例如凌晨,会导致对违规外联设备的阻断滞后,内网安全遭到严重威胁。
发明内容
为了解决如何将违规外联设备的告警信息传回公安视频传输网中的问题,本申请提供了一种阻断违规外联设备的方法、装置、设备及介质。
第一方面,本申请提供一种阻断违规外联设备的方法,采用如下的技术方案:
一种阻断违规外联设备的方法,应用于互联网监测服务器中,所述互联网监测服务器应用于公安视频传输网的外联阻断场景,所述方法包括:
获取告警信息;所述告警信息用于指示产生违规行为的外联设备的信息;
以边界设备允许通过的数据类型和协议类型为载体,对所述告警信息进行封装,获得封装报文;
通过所述边界设备将所述封装报文转发给内网阻断服务器,以使内网阻断服务器对所述封装报文进行解析,获得所述告警信息,以及根据所述告警信息,对所述外联设备进行阻断。
通过采用上述技术方案,互联网监测服务器以边界设备允许通过的数据类型和协议类型为载体,对违规外联设备的告警信息进行报文封装,以合规的方式通过边界设备转发给内网阻断服务器,解决了如何将违规外联设备的告警信息传回公安视频传输网中的问题,且内网阻断服务器可以根据告警信息,对违规外联设备进行自动阻断,不需要人工介入,解决了公安视频传输网中对违规外联设备的阻断效率低下和滞后的问题,提高了公安视频传输网中对违规外联设备的阻断效率,保证了公安视频传输网的网络安全。
可选的,以边界设备允许通过的数据类型和协议类型为载体,对所述告警信息进行封装,获得封装报文,包括:
对所述告警信息进行加密,获得密文;
根据所述密文和所述互联网监测服务器的唯一机器码,获得签名数据;
以边界设备允许通过的数据类型和协议类型为载体,对所述密文和所述签名数据进行封装,获得封装报文。
通过采用上述技术方案,对告警信息进行加密和签名,保证告警信息的私密性,同时保证密文的完整性与可信性,避免错误阻断外联设备,保证正常外联设备的通信。
可选的,所述数据类型为视频控制信令,所述协议类型为会话初始协议SIP;以边界设备允许通过的数据类型和协议类型为载体,对所述密文和所述签名数据进行封装,获得封装报文,包括:
将所述密文和所述签名数据构建为可扩展标记语言XML文件;
以所述SIP为载体,对所述XML文件进行封装,获得封装报文。
通过采用上述技术方案,将密文和签名数据构建为XML文件,以SIP为载体,对XML文件进行封装,获得封装报文,保证封装后的报文能够顺利通过边界设备,发送至内网阻断设备。
第二方面,本申请提供一种阻断违规外联设备的方法,采用如下的技术方案:
一种阻断违规外联设备的方法,应用于内网阻断服务器中,所述内网阻断服务器应用于公安视频传输网的外联阻断场景,所述方法包括:
接收边界设备转发的封装报文;所述封装报文为互联网监测服务器以所述边界设备允许通过的数据类型和协议类型为载体对告警信息进行封装后发送给所述边界设备的;所述告警信息用于指示产生违规行为的外联设备的信息;
对所述封装报文进行解析,获得所述告警信息;
根据所述告警信息,对所述外联设备进行阻断。
可选的,对所述封装报文进行解析,获得所述告警信息,包括:
对所述封装报文进行解析,获得密文和签名数据;
对所述签名数据进行签名验证;
若验证通过,对所述密文进行解密,获得所述告警信息。
可选的,根据所述告警信息,对所述违规外联设备进行阻断,包括:
在阻断设备的访问控制列表中新增所述违规外联设备的IP地址;
或者,向所述违规外联设备发送重置RST报文;所述RST报文用于强制所述违规外联设备终止连接。
第三方面,本申请提供一种阻断违规外联设备的装置,采用如下的技术方案:
一种阻断违规外联设备的装置,设置于互联网监测服务器中,所述互联网监测服务器应用于公安视频传输网的外联阻断场景,所述装置包括:
获取模块,用于获取告警信息;所述告警信息用于指示产生违规行为的外联设备的信息;
封装模块,用于以边界设备允许通过的协议为载体,对所述告警信息进行封装,获得封装报文;
发送模块,用于通过所述边界设备将所述封装报文转发给内网阻断服务器,以使内网阻断服务器对所述封装报文进行解析,获得所述告警信息,以及根据所述告警信息,对所述外联设备进行阻断。
第四方面,本申请提供一种阻断违规外联设备的装置,采用如下的技术方案:
一种阻断违规外联设备的装置,设置于内网阻断服务器中,所述内网阻断服务器应用于公安视频传输网的外联阻断场景,所述装置包括:
获取模块,用于接收边界设备转发的封装报文;所述封装报文为互联网监测服务器以所述边界设备允许通过的数据类型和协议类型为载体对告警信息进行封装后发送给所述边界设备的;所述告警信息用于指示产生违规行为的外联设备的信息;
解析模块,用于对所述封装报文进行解析,获得所述告警信息;
阻断模块,用于根据所述告警信息,对所述外联设备进行阻断。
第五方面,本申请提供一种计算机设备,采用如下的技术方案:
一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面或第二方面所述的方法。
第六方面,本申请提供一种计算机可读存储介质,采用如下的技术方案:
一种计算机可读存储介质,存储有能够被处理器加载并执行如第一方面或第二方面中任一种方法的计算机程序。
综上所述,本申请包括以下至少一种有益技术效果:
互联网监测服务器以边界设备允许通过的数据类型和协议类型为载体,对违规外联设备的告警信息进行封装,获得封装报文,以合规的方式通过边界设备将封装报文转发给内网阻断服务器,解决了如何将违规外联设备的告警信息传回公安视频传输网中的问题,且,内网阻断服务器对封装报文进行解析,获得告警信息,根据告警信息对违规外联设备进行自动阻断,提高了公安视频传输网中对违规外联设备的阻断效率,进而保证公安视频传输网的网络安全。
附图说明
图1是现有技术中公安视频传输网与其他网络互联的网络拓扑示意图。
图2是本申请实施例提供的一种阻断违规外联设备的方法的应用场景图。
图3是本申请实施例提供的图2中各个设备的交互示意图。
图4是本申请实施例提供的一种阻断违规外联设备的方法的流程图一。
图5是本申请实施例提供的一种阻断违规外联设备的方法的流程图二。
图6是本申请实施例提供的一种阻断违规外联设备的装置的结构图一。
图7是本申请实施例提供的一种阻断违规外联设备的装置的结构图二。
附图标记说明:200、外网取证服务器;201、互联网监测服务器;202、边界设备;203、内网阻断服务器;204、阻断设备、205、交换机;206、防火墙;207、其他安全设备;601、获取模块;602、封装模块;603、发送模块;604、加密模块;605、签名模块;701、接收模块;702、解析模块;703、阻断模块;704、验证模块;705、解密模块。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图1-7及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
公安视频传输网(以下简称视频专网)是指专门用于支撑视频图像服务及汇接各层级图像信息的专用网络。根据GA/T1788.3《公安视频图像信息系统安全技术要求》对视频专网与其他网络互联的安全交互体系要求,分为横向边界安全交互系统与纵向安全防护系统。请参照图1,为现有技术中公安视频传输网与其他网络互联的网络拓扑示意图。公安视频传输网内部分为上级、本级和下级,可以通过纵向安全防护系统相互传递数据。公安视频传输网可通过横向边界安全交互系统与互联网、公安移动信息网、电子政务外网及其他专网等进行视音频与数据交换,同时要求横向边界安全交互系统提供单向导入的能力,并对其可交换的协议类型和数据类型进行了严格限制,导致违规外联设备的告警信息无法直接通过横向边界安全交互系统从互联网传输至公安视频传输网。
系统管理员在互联网侧收到告警信息后,需到达具体内部网络现场位置后对违规外联设备进行阻断,这往往需要耗费大量时间,导致无法及时阻断违规外联设备,使得公安视频传输网长时间面临网络安全风险。
中国专利文献CN111131203A公开了一种外联监控方法及装置,该方法包括如下步骤:向内网检测设备发送内网访问请求;接收内网检测设备返回的访问请求结果和检测脚本,访问请求结果是内网检测设备将内网访问请求转发至内网服务器后,由内网服务器返回的请求结果;显示访问请求结果,并根据检测脚本中预设的外网服务器地址,向外网服务器发送外网访问请求;若外网访问请求响应成功,向内网检测设备发送阻断请求,以由内网检测设备阻断内网终端与内网服务器的连接。
中国专利文献CN111385376A公开了一种终端的非法外联监测方法、装置、系统及设备,该方法包括如下步骤:内网设备向待监测终端发送源IP地址为预设外网服务器的IP地址的第一报文,以便待监测终端在与外网连接的情况下将第一报文转发至外网服务器,并由外网服务器向待监测终端返回源IP地址为内网设备的IP地址的第二报文;如果内网设备接收到来自待监测终端的第二报文,则确定待监测终端为非法外联的终端。
与上述两种方法不同,为了解决如何将违规外联设备的告警信息传回公安视频传输网中的问题,本申请提供一种阻断外联设备的方法,通过互联网监测服务器实时获取违规外联设备的告警信息,将告警信息以边界设备允许通过的数据类型和协议类型为载体进行报文封装,以合规的方式通过边界设备发送给内网阻断服务器,实现及时阻断。
请参照图2所示的应用场景图,下面对该阻断外联设备的方法适用的应用场景进行示例说明。
该应用场景包括多个外网取证服务器200、互联网监测服务器201、边界设备202、内网阻断服务器203、多个阻断设备204,多个外网取证服务器200包括外网取证服务器A、外网取证服务器B和外网取证服务器C,多个阻断设备204包括交换机205、防火墙206、其他安全设备207。其中,多个外网取证服务器200和互联网监测服务器201位于互联网内部,边界设备202位于互联网与视频专网之间,内网阻断服务器203和多个阻断设备204位于视频专网内部。
应当说明的是,图2是以多个外网取证服务器200包括三个外网取证服务器例,实际上不限制外网取证服务器的数量。图2是以多个阻断设备204包括交换机205、防火墙206、其他安全设备207为例,实际上不限制阻断设备204的数量。
如上介绍了本申请实施例的应用场景,下面结合上述应用场景介绍本申请实施例提供的技术方案。请参照图3,为本申请实施例提供图2中各个设备之间的交互示意图,下面对该交互过程进行介绍。
S301、互联网监测服务器201获取告警信息。
具体的,外网取证服务器确定某外联设备产生违规行为,则生成告警信息,并将该告警信息发送给互联网监测服务器201。告警信息用于指示产生违规行为的外联设备的信息,下文中将产生违规行为的外联设备简称违规外联设备,告警信息包括违规外联设备的地址和告警时间,地址例如IP地址、物理地址等,告警时间可以是外网取证服务器确定违规外联设备的时间,也可以是违规外联设备接入视频专网的时间。
S302、互联网监测服务器201对告警信息进行加密。
为了保证告警信息的私密性,互联网监测服务器201获取到告警信息之后,可以对告警信息进行加密,获得密文。加密算法有很多,例如TF-Symmetry算法,本申请实施例不做具体限制。
S303、互联网监测服务器201对密文进行签名。
为了保证密文的完整性与可信性,互联网监测服务器201获得密文之后,可以根据互联网监测服务器201的唯一机器码与密文,获得签名数据。签名算法有多种,例如TF-Sign算法,本申请实施例不做具体限制。
S304、互联网监测服务器201对密文和签名数据进行封装。
具体的,互联网监测服务器201获得密文和签名数据之后,以边界设备202允许通过的数据类型和协议类型为载体,对密文和签名数据进行封装,获得封装报文。边界设备202允许通过的数据类型例如文件类型、视频流、视频控制信令等,边界设备202允许通过的数据类型例如SIP等各种应用协议。
S305、互联网监测服务器201将封装报文发送给边界设备202。
具体的,互联网监测服务器201使用socket通信方式将封装报文发送给边界设备202。
S306、边界设备202将封装报文发送给内网阻断服务器203。
具体的,由于封装报文是以边界设备允许通过的数据类型和协议类型为载体进行封装的,因此边界设备202收到封装报文之后,可以将封装报文转发给内网阻断服务器203。
S307、内网阻断服务器203对封装报文进行解析。
具体的,内网阻断服务器203获取到封装报文之后,对封装报文进行解析,获得密文和签名数据。
S308、内网阻断服务器203进行签名验证。
具体的,内网阻断服务器203根据双方约定好的签名算法对签名数据进行验证,双方是指互联网监测服务器201和内网阻断服务器203。例如在S303中互联网监测服务器201使用TF-Sign算法对密文进行签名,获得签名数据,则内网阻断设备203同样使用TF-Sign算法对封装报文中的密文进行签名,获得校验签名数据,若该校验签名数据与S303得到的签名数据相同,则验证通过。
S309、内网阻断服务器203对密文进行解密。
具体的,内网阻断设备203根据双方约定好的解密算法对密文进行解密,例如在S302中互联网监测服务器201使用TF-Symmetry算法对告警信息进行加密,获得密文,则内网阻断设备203同样使用TF-Symmetry算法对封装报文中的密文进行解密,获得告警信息。
S310、内网阻断服务器203对外联设备进行阻断。
具体的,内网阻断服务器203获得告警信息之后,可以向违规外联设备发送重置RST报文进行阻断,也可以通过交换机、防火墙等阻断设备对违规外联设备进行阻断,具体阻断过程将在下文进行详细介绍。
如上介绍了应用场景中各个设备之间的交互过程,本申请实施例还公开了一种阻断违规外联设备的方法,该方法应用于互联网监测服务器201中,互联网监测服务器201应用于公安视频传输网的外联阻断场景。请参照图4,为本申请实施例提供的一种阻断违规外联设备的方法的流程图一,下面结合图4,对互联网监测服务器201执行的阻断违规外联设备的方法进行详细介绍。
S401、获取告警信息。
具体的,各个外网取证服务器200针对违规外联设备生成告警信息之后,可以通过微信公众号、邮件、短信、应用程序接口中至少一种方式,将告警信息发送给互联网监测服务器201,从而使互联网监测服务器201获取到告警信息。告警信息的含义请参照前文论述的内容,此处不再赘述。在本申请实施例中,互联网监测服务器可以通过多种方式实时获取违规外联设备的告警信息,避免遗漏告警信息,进一步保证公安视频传输网的网络安全。
在一种可能的实施例中,互联网监测服务器201从各个外网取证服务器获取到违规外联设备的告警信息之后,还可以根据不同的外网取证服务器对告警信息进行分类存储。在本申请实施例中,互联网监测服务器201对告警信息进行备份,如果后续传递过程中的告警信息丢失,也能从互联网监测服务器201中获取到备份的告警信息。
S402、以边界设备允许通过的数据类型和协议类型为载体,对告警信息进行封装,获得封装报文。
根据实际情况不同,互联网监测服务器201对告警信息进行封装的处理过程不同,下面分别进行介绍。
第一种情况,互联网监测服务器201以边界设备允许通过的数据类型和协议类型为载体,对告警信息进行封装,获得封装报文。
第二种情况,互联网监测服务器201对告警信息进行加密,获得密文,以边界设备允许通过的数据类型和协议类型为载体,对密文进行封装,获得满足封装报文。
第三种情况,互联网监测服务器201对告警信息进行加密,获得密文,以边界设备允许通过的数据类型和协议类型为载体,对密文和签名数据进行封装,获得封装报文。
在一种可能的实施例中,数据类型为文件类型,协议类型为文件传输协议(FileTransfer Protocol,FTP),互联网监测服务器201将密文和签名数据写入txt文件,以FTP为载体,对txt文件进行封装,获得封装报文。
在一种可能的实施例中,数据类型为视频控制信令,协议类型为会话初始协议(Session initialization Protocol,SIP);互联网监测服务器201将密文和签名数据构建为可扩展标记语言(Extensible Markup Language,XML)文件,以SIP为载体,对XML文件进行封装,获得封装报文。
例如,边界设备为视频网闸设备,只允许通过视频控制信令和视频流,XML文件示例如下:
<?xml version="1.0"?> //xml的版本号为1.0
<Notify> //通知
<CmdType>BlackListed</CmdType> //命令类型为黑名单
<CipherText>M</CipherText> // M为密文
<Sign>sign</Sign> // sign为签名数据
. . . . . .
</ Notify>
SIP协议的示例如下:
NOTIFY sip:视频网闸设备编码@视频网闸设备地址 SIP/2.0
Via: SIP/2.0/UDP 互联网监测服务器地址
Max-Forwards:70
From: 显示名<sip:互联网监测服务器编码@互联网监测服务器地址>;tag=BK32B1U8DKDrB
To: 显示名<sip:视频网闸设备编码@视频网闸设备地址>
Call-ID: 17250
CSeq:1 NOTIFY
Subscription-State:active;expires=90;retry-after=0
Event:presence
Content-type: Application/MANSCDP+XML
Content-Length: 消息实体的字节长度
<?xml version="1.0"?>
<Notify>
<CmdType>BlackListed</CmdType>
<CipherText>M</CipherText>
<Sign>sign</Sign>
. . . . . .
</ Notify>
如上介绍了如何对密文和签名数据进行封装,其中涉及到如何对告警信息进行加密,下面进行介绍。
考虑到需加密数据为违规外联设备的IP地址等告警数据,无用户名、口令等敏感信息,数据的保密级别无需过高,应在兼顾数据一定程度私密性的同时保证加密和解密速度,可以采用TF-Symmetry算法(基于异或运算的对称加、解密算法)。TF-Symmetry算法的具体步骤如下:
S1.1、对明文首尾进行填充,生成长度为秘钥整数倍的填充数据。
其中,为原始数据即告警信息,/>与/>分别为首尾的填充数据,/>为填充数据即对告警信息填充后的数据。
S1.2、将填充数据转为二进制。
其中,为填充数据,/>为二进制填充数据,b()表示二进制运算。
S1.3、将二进制填充数据进行二分倒序排列。
其中,为二进制乱序数据,/>为二进制填充数据,/> 为二进制填充数据的长度。
S1.4、将秘钥转为二进制。
其中,为二进制秘钥,/>为秘钥,b()表示二进制运算。
S1.5、对二进制乱序数据与二进制秘钥进行异或运算得到密文。
其中,M为密文,为二进制秘钥,/>为二进制乱序数据,/>表示异或运算。
如上介绍了如何对告警信息进行加密,为了保障密文的完整性与可信性,可以对传输的密文进行签名。为了保障签名和验证速度,可以使用TF-Sign算法(基于哈希运算的签名、验证算法),TF-Sign算法的具体步骤如下:
S2.1、将唯一机器码与密文进行拼接,获得拼接数据。
其中,M为密文数据,PK为互联网监测服务器的唯一机器码,为拼接数据。
S2.2、对拼接数据进行哈希运算得到签名数据。
其中,为拼接数据,sign为签名数据,hash()表示哈希运算。
S403、通过边界设备将封装报文转发给内网阻断服务器。
具体的,互联网监测服务器201获得封装报文之后,可以将封装报文发送给边界设备202进行存储,内网阻断服务器203定时向边界设备202发送询问消息,边界设备202收到询问消息之后,若存储有封装报文,便将封装报文发送给内网阻断服务器203,若没有封装报文,便不予响应。或者,为了使网阻断服务器203能够及时阻断违规外联设备,边界设备202收到封装报文之后,立即将封装报文发送给内网阻断服务器203。
如上介绍了互联网监测服务器201如何执行本申请实施例提供的违规外联设备的阻断方法。请参照图5,为本申请实施例提供的一种违规外联设备的阻断方法的流程图二,该方法应用于内网阻断服务器203中,内网阻断服务器203应用于公安视频传输网的外联阻断场景。下面结合图5对内网阻断服务器203执行的违规外联设备的阻断方法进行详细介绍。
S501、接收边界设备转发的封装报文。
内网阻断服务器203接收边界设备202转发的封装报文,封装报文为互联网监测服务器201以边界设备202允许通过的数据类型和协议类型为载体对告警信息进行封装后发送给边界设备的;数据类型、协议类型、告警信息的含义参照前文论述的内容,此处不再赘述。
S502、对封装报文进行解析,获得告警信息。
具体的,由于互联网监测服务器201对告警信息进行封装的处理过程不同,因此内网阻断服务器203对封装报文进行解析的处理过程不同,下面分别进行介绍。
针对前文论述的第一种情况,内网阻断服务器203对封装报文进行解析,直接获得告警信息。
针对前文论述的第二种情况,内网阻断服务器203对封装报文进行解析,获得密文,对密文进行解密,获得告警信息。
针对前文论述的第三种情况,内网阻断服务器203对封装报文进行解析,获得密文和签名数据,对签名数据进行签名验证,若验证通过,对密文进行解密,获得告警信息。
内网阻断服务器203使用双方约定好的签名算法进行验证,例如互联网检测服务器201使用TF-Sign算法生成签名数据,则内网阻断服务器203同样使用TF-Sign算法进行签名验证。验证的具体步骤如下:
S3.1、将唯一机器码与密文进行拼接,获得拼接数据。
其中,M为密文,PK为互联网监测服务器的唯一机器码,为拼接数据。
S3.2、对拼接数据进行哈希运算,获得校验签名数据。
其中,为校验签名数据,/>为拼接数据,hash()表示哈希运算。
S3.3、验证签名。
若校验签名数据与签名数据/>相同,则验证通过,继续对密文进行解密获得告警信息。若校验签名数据/>与签名数据/>不同,则验证失败,丢弃该封装报文。
内网阻断服务器203使用双方约定好的解密算法对密文进行解密,例如互联网检测服务器201使用TF-Symmetry算法进行加密,则内网阻断服务器203同样使用TF-Symmetry算法进行解密。解密的具体步骤如下:
S4.1、将秘钥转为二进制秘钥。
其中,Key为秘钥,b()表示二进制运算,为二进制秘钥。
S4.2、将密文转为二进制密文。
其中,为密文,b()表示二进制运算,/>为二进制密文。
S4.3、对二进制密文与二进制秘钥进行异或运算得到二进制乱序数据。
其中,为二进制乱序数据,/>为二进制秘钥,/>为密文,/>表示异或运算。
S4.4、将二进制乱序数据恢复数据排列,得到二进制填充数据。
其中,为二进制填充数据,/>表示二进制乱序数据的长度。
S4.5、将二进制填充数据转为字符串填充数据。
其中,为字符串填充数据,/>为二进制填充数据。
S4.6、将首尾填充数据移除,得到原始数据。
其中,为原始数据即告警信息,/>与/>分别为首尾的填充数据,/>为字符串填充数据。
S503、根据告警信息,对外联设备进行阻断。
具体的,内网阻断服务器203获得告警信息之后,根据告警信息中的IP地址,对外联设备进行阻断。其中阻断方式有多种,下面分别进行介绍。
第一种方式,向外联设备发送重置RST报文。
具体的,重置(ReSeT ,RST)报文用于强制外联设备终止连接。内网阻断服务器可以根据告警信息中的IP地址,向违规外联设备可以发送一个RST报文,以强制终止连接。
第二种方式,在阻断设备的访问控制列表(Access Control List, ACL)中新增外联设备的IP地址。
具体的,当阻断设备为交换机时,内网阻断服务器可以采用广度优先搜索(BFS)算法,确定与违规外联设备直连的交换机,根据事先配置的交换机的IP、账户名、口令等信息连接该交换机,并在交换机的增加ACL中新增违规外联设备的IP地址。
综上所述,在本申请实施例中,互联网监测服务器通过多种方式实时获取违规外联设备的告警信息,以边界设备允许通过的数据类型和协议类型为载体,将告警信息封装为封装报文,以合规的方式通过边界设备将封装报文发送给内网阻断服务器,解决了如何将违规外联设备的告警信息传回公安视频传输网中的问题。且内网阻断服务器对封装报文解析后获得违规外联设备的告警信息,对违规外联设备进行自动阻断,解决了在视频专网中对违规外联事件处置的滞后问题。本申请可以对接多个不同类型的互联网监测服务器,可解决各视频专网承建单位过旧的问题,节约成本。本申请可对接多个不同类型视频专网的边界设备,可适配各承建单位具体网络环境。本申请可对接多个不同类型的阻断设备,实现在接入层最小范围内对违规外联设备进行阻断。
本申请实施例还公开一种阻断违规外联设备的装置,设置于前文论述的互联网监测服务器201中,互联网监测服务器201应用于公安视频传输网的外联阻断场景。
参照图6,一种阻断违规外联设备的装置包括:
获取模块601,用于获取告警信息;告警信息用于指示产生违规行为的外联设备的信息;
封装模块602,用于以边界设备允许通过的数据类型和协议类型为载体,对告警信息进行封装,获得封装报文;
发送模块603,用于通过边界设备将封装报文转发给内网阻断服务器,以使内网阻断服务器对封装报文进行解析,获得告警信息,以及根据告警信息,对外联设备进行阻断。
继续参照图6,该装置还包括加密模块604和签名模块605;
加密模块604用于对告警信息进行加密,获得密文;
签名模块605用于根据密文和互联网监测服务器的唯一机器码,获得签名数据;
封装模块602用于以边界设备允许通过的数据类型和协议类型为载体,对密文和签名数据进行封装,获得封装报文。
继续参照图6,数据类型为视频控制信令,协议类型为会话初始协议SIP;封装模块602具体用于:
将密文和签名数据构建为可扩展标记语言XML文件;
以SIP为载体,对XML文件进行封装,获得封装报文。
本申请实施例的阻断违规外联设备的装置能够实现图4中阻断违规外联设备的方法的任一种方法,且阻断违规外联设备的装置中各个模块的具体工作过程可参考上述方法实施例中的对应过程。
本申请实施例还公开一种阻断违规外联设备的装置,设置于前文论述的内网阻断服务器203中,内网阻断服务器203应用于公安视频传输网的外联阻断场景。
参照图7,一种阻断违规外联设备的装置包括:
接收模块701,用于接收边界设备转发的封装报文;封装报文为互联网监测服务器以边界设备允许通过的数据类型和协议类型为载体对告警信息进行封装后发送给边界设备的;告警信息用于指示产生违规行为的外联设备的信息;
解析模块702,用于对封装报文进行解析,获得告警信息;
阻断模块703,用于根据告警信息,对外联设备进行阻断。
继续参照图7,该装置还包括验证模块704和解密模块705;
解析模块702用于对封装报文进行解析,获得密文和签名数据;
验证模块704用于对签名数据进行签名验证;
解密模块705用于若验证通过,对密文进行解密,获得告警信息。
继续参照图7,阻断模块703具体用于:
在阻断设备的访问控制列表中新增外联设备的IP地址;
或者,向违规外联设备发送重置RST报文;RST报文用于强制外联设备终止连接。
本申请实施例的阻断违规外联设备的装置能够实现上述图5中阻断违规外联设备的方法的任一种方法,且阻断违规外联设备的装置中各个模块的具体工作过程可参考上述方法实施例中的对应过程。
本申请实施例还公开一种计算机设备。
计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述的阻断违规外联设备的方法。
本申请实施例还公开一种计算机可读存储介质。
计算机可读存储介质,存储有能够被处理器加载并执行如上述的阻断违规外联设备的方法中任一种方法的计算机程序。
其中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用;计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
需要说明的是,在上述实施例中,对各个实施例的描述各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,本说明书(包括摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
Claims (7)
1.一种阻断违规外联设备的方法,其特征在于,应用于互联网监测服务器中,所述互联网监测服务器应用于公安视频传输网的外联阻断场景,所述场景包括多个外网取证服务器、互联网监测服务器、边界设备、内网阻断服务器和多个阻断设备,多个外网取证服务器和互联网监测服务器位于互联网内部,边界设备位于互联网与公安视频传输网之间,内网阻断服务器和多个阻断设备位于公安视频传输网内部;所述方法包括:
获取告警信息;所述告警信息用于指示产生违规行为的外联设备的信息,告警信息通过外网取证服务器确定外联设备产生违规行为时生成,根据不同的外网取证服务器进行分类存储;
以边界设备允许通过的数据类型和协议类型为载体,对所述告警信息进行封装,获得封装报文;
通过所述边界设备将所述封装报文转发给内网阻断服务器,以使内网阻断服务器对所述封装报文进行解析,获得所述告警信息,以及根据所述告警信息,对所述外联设备进行阻断;
根据所述告警信息,对所述违规外联设备进行阻断,包括:
在阻断设备的访问控制列表中新增所述外联设备的IP地址;
或者,向所述外联设备发送重置RST报文;所述RST报文用于强制所述外联设备终止连接;以边界设备允许通过的数据类型和协议类型为载体,对所述告警信息进行封装,获得封装报文,包括:
对所述告警信息进行加密,获得密文;
根据所述密文和所述互联网监测服务器的唯一机器码,获得签名数据;
以边界设备允许通过的数据类型和协议类型为载体,对所述密文和所述签名数据进行封装,获得封装报文;其中,数据类型包括文件类型、视频流和视频控制信令,协议类型包括文件传输协议和会话初始协议。
2.根据权利要求1所述的一种阻断违规外联设备的方法,其特征在于,所述数据类型为视频控制信令,所述协议类型为会话初始协议SIP;以边界设备允许通过的数据类型和协议类型为载体,对所述密文和所述签名数据进行封装,获得封装报文,包括:
将所述密文和所述签名数据构建为可扩展标记语言XML文件;
以所述SIP为载体,对所述XML文件进行封装,获得封装报文。
3.一种阻断违规外联设备的方法,其特征在于,应用于内网阻断服务器中,所述内网阻断服务器应用于公安视频传输网的外联阻断场景,所述场景包括多个外网取证服务器、互联网监测服务器、边界设备、内网阻断服务器和多个阻断设备,多个外网取证服务器和互联网监测服务器位于互联网内部,边界设备位于互联网与公安视频传输网之间,内网阻断服务器和多个阻断设备位于公安视频传输网内部;所述方法包括:
接收边界设备转发的封装报文;所述封装报文为互联网监测服务器以所述边界设备允许通过的数据类型和协议类型为载体对告警信息进行封装后发送给所述边界设备的;所述告警信息用于指示产生违规行为的外联设备的信息,告警信息通过外网取证服务器确定外联设备产生违规行为时生成,根据不同的外网取证服务器进行分类存储;
对所述封装报文进行解析,获得所述告警信息;
根据所述告警信息,对所述外联设备进行阻断;
根据所述告警信息,对所述违规外联设备进行阻断,包括:
在阻断设备的访问控制列表中新增所述外联设备的IP地址;
或者,向所述外联设备发送重置RST报文;所述RST报文用于强制所述外联设备终止连接;
以边界设备允许通过的数据类型和协议类型为载体,对所述告警信息进行封装,获得封装报文,包括:
对所述告警信息进行加密,获得密文;
根据所述密文和所述互联网监测服务器的唯一机器码,获得签名数据;
以边界设备允许通过的数据类型和协议类型为载体,对所述密文和所述签名数据进行封装,获得封装报文;其中,数据类型包括文件类型、视频流和视频控制信令,协议类型包括文件传输协议和会话初始协议;
对所述封装报文进行解析,获得所述告警信息,包括:
对所述封装报文进行解析,获得密文和签名数据;
对所述签名数据进行签名验证;
若验证通过,对所述密文进行解密,获得所述告警信息。
4.一种阻断违规外联设备的装置,其特征在于,用于执行权利要求1到2任一所述的阻断违规外联设备的方法,设置于互联网监测服务器中,所述互联网监测服务器应用于公安视频传输网的外联阻断场景,所述装置包括:
获取模块,用于:获取告警信息;所述告警信息用于指示产生违规行为的外联设备的信息;封装模块,用于:以边界设备允许通过的协议为载体,对所述告警信息进行封装,获得封装报文;
发送模块,用于:通过所述边界设备将所述封装报文转发给内网阻断服务器,以使内网阻断服务器对所述封装报文进行解析,获得所述告警信息,以及根据所述告警信息,对所述外联设备进行阻断。
5.一种阻断违规外联设备的装置,其特征在于,用于执行权利要求3所述的阻断违规外联设备的方法,设置于内网阻断服务器中,所述内网阻断服务器应用于公安视频传输网的外联阻断场景,所述装置包括:
接收模块,用于:接收边界设备转发的封装报文;所述封装报文为互联网监测服务器以所述边界设备允许通过的数据类型和协议类型为载体对告警信息进行封装后发送给所述边界设备的;所述告警信息用于指示产生违规行为的外联设备的信息;
解析模块,用于:对所述封装报文进行解析,获得所述告警信息;
阻断模块,用于:根据所述告警信息,对所述外联设备进行阻断。
6.一种计算机设备,其特征在于:包括存储器和服务器,所述存储器上存储有被服务器加载并执行的如权利要求1-2或3中任一所述的方法的计算机程序。
7.一种计算机可读存储介质,其特征在于,存储有能够被服务器加载并执行如权利要求1-2或3中任一所述的方法的计算机程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311597140.7A CN117319088B (zh) | 2023-11-28 | 2023-11-28 | 一种阻断违规外联设备的方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311597140.7A CN117319088B (zh) | 2023-11-28 | 2023-11-28 | 一种阻断违规外联设备的方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117319088A CN117319088A (zh) | 2023-12-29 |
CN117319088B true CN117319088B (zh) | 2024-02-23 |
Family
ID=89297590
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311597140.7A Active CN117319088B (zh) | 2023-11-28 | 2023-11-28 | 一种阻断违规外联设备的方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117319088B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102006186A (zh) * | 2010-11-16 | 2011-04-06 | 暨南大学 | 一种内网设备非法外联监控系统及其方法 |
CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
CN106302501A (zh) * | 2016-08-27 | 2017-01-04 | 浙江远望信息股份有限公司 | 一种实时发现跨网络通信行为的方法 |
CN108881447A (zh) * | 2018-06-25 | 2018-11-23 | 北京北信源信息安全技术有限公司 | 违规外联数据上报方法和装置 |
CN111385376A (zh) * | 2020-02-24 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
CN111917701A (zh) * | 2020-03-31 | 2020-11-10 | 北京融汇画方科技有限公司 | 基于非客户端模式被动检查在线违规外联技术 |
CN113328974A (zh) * | 2020-02-28 | 2021-08-31 | 浙江宇视科技有限公司 | 视频专网监测方法、装置、设备及存储介质 |
CN114257404A (zh) * | 2021-11-16 | 2022-03-29 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
CN115834205A (zh) * | 2022-11-23 | 2023-03-21 | 贵州电网有限责任公司 | 一种监控系统违规外联告警系统 |
WO2023210860A1 (ko) * | 2022-04-29 | 2023-11-02 | 주식회사 프랭클린테크놀로지 | 단말 그룹핑 기반의 인터넷 접속 관리 서비스를 제공할 수 있는 인터넷 접속 관리 서비스 서버 및 그 동작 방법 |
-
2023
- 2023-11-28 CN CN202311597140.7A patent/CN117319088B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102006186A (zh) * | 2010-11-16 | 2011-04-06 | 暨南大学 | 一种内网设备非法外联监控系统及其方法 |
CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
CN106302501A (zh) * | 2016-08-27 | 2017-01-04 | 浙江远望信息股份有限公司 | 一种实时发现跨网络通信行为的方法 |
CN108881447A (zh) * | 2018-06-25 | 2018-11-23 | 北京北信源信息安全技术有限公司 | 违规外联数据上报方法和装置 |
CN111385376A (zh) * | 2020-02-24 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
CN113328974A (zh) * | 2020-02-28 | 2021-08-31 | 浙江宇视科技有限公司 | 视频专网监测方法、装置、设备及存储介质 |
CN111917701A (zh) * | 2020-03-31 | 2020-11-10 | 北京融汇画方科技有限公司 | 基于非客户端模式被动检查在线违规外联技术 |
CN114257404A (zh) * | 2021-11-16 | 2022-03-29 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
WO2023210860A1 (ko) * | 2022-04-29 | 2023-11-02 | 주식회사 프랭클린테크놀로지 | 단말 그룹핑 기반의 인터넷 접속 관리 서비스를 제공할 수 있는 인터넷 접속 관리 서비스 서버 및 그 동작 방법 |
CN115834205A (zh) * | 2022-11-23 | 2023-03-21 | 贵州电网有限责任公司 | 一种监控系统违规外联告警系统 |
Also Published As
Publication number | Publication date |
---|---|
CN117319088A (zh) | 2023-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109413060B (zh) | 报文处理方法、装置、设备及存储介质 | |
US8719938B2 (en) | Detecting network intrusion using a decoy cryptographic key | |
US8364772B1 (en) | System, device and method for dynamically securing instant messages | |
CN106357690B (zh) | 一种数据传输方法、数据发送装置及数据接收装置 | |
US9219709B2 (en) | Multi-wrapped virtual private network | |
US8370630B2 (en) | Client device, mail system, program, and recording medium | |
JP4107213B2 (ja) | パケット判定装置 | |
JP2006032997A (ja) | ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置 | |
CN113067828A (zh) | 报文处理方法、装置、服务器、计算机设备及存储介质 | |
CN111107087B (zh) | 报文检测方法及装置 | |
CN106487802B (zh) | 基于DPD协议的IPSec SA的异常探测方法及装置 | |
CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
CN103441983A (zh) | 基于链路层发现协议的信息保护方法和装置 | |
CN111988289B (zh) | Epa工业控制网络安全测试系统及方法 | |
CN114938312B (zh) | 一种数据传输方法和装置 | |
CN113904809A (zh) | 一种通信方法、装置、电子设备及存储介质 | |
WO2022099683A1 (zh) | 一种数据传输方法、装置、设备、系统及存储介质 | |
CN117319088B (zh) | 一种阻断违规外联设备的方法、装置、设备及介质 | |
KR101089269B1 (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
CN115766902A (zh) | 一种通过quic发送非敏感数据的方法、装置、设备、介质 | |
CN114978769A (zh) | 单向导入装置、方法、介质、设备 | |
CN114915503A (zh) | 基于安全芯片的数据流拆分处理加密方法及安全芯片装置 | |
CN111221764B (zh) | 一种跨链路数据传输方法及系统 | |
CN113992734A (zh) | 会话连接方法及装置、设备 | |
CN102857507A (zh) | 磁盘映射方法及磁盘映射系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |