CN117834212A - 一种安全网关及通信系统 - Google Patents
一种安全网关及通信系统 Download PDFInfo
- Publication number
- CN117834212A CN117834212A CN202311723885.3A CN202311723885A CN117834212A CN 117834212 A CN117834212 A CN 117834212A CN 202311723885 A CN202311723885 A CN 202311723885A CN 117834212 A CN117834212 A CN 117834212A
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- module
- physical port
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 31
- 238000002955 isolation Methods 0.000 claims description 50
- 230000003993 interaction Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 abstract description 7
- 238000000034 method Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013478 data encryption standard Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种安全网关及通信系统。对从非密区模块获取到的数据,该安全网关的交换模块可以基于该数据的源物理端口信息以及目的物理端口信息,确定该数据是否需要加解密,从而指导该安全网关的密区模块准确对需要加解密的数据提供加解密处理。在该数据需要加解密的情况下,将该数据传输至安全网关的密区模块,以使该密区模块对该数据进行加解密处理,而在该数据不需要加解密的情况下,通过该数据的目的物理端口信息所对应的物理端口,将该数据转发出去。通过上述方式,可以允许安全网关选择性地只对特定类型的数据进行加解密,使该安全网关更加灵活和适应不同的应用场景。
Description
技术领域
本申请涉及量子通信安全技术领域,尤其涉及一种安全网关及通信系统。
背景技术
随着信息技术的迅猛发展和网络通信的广泛应用,数据安全性的保障变得尤为重要。在当今的数字化社会中,大量的敏感信息和个人隐私通过网络进行传输,涉及到用户的金融数据、个人身份信息、医疗健康数据等,这使得网络通信中的数据安全问题成为了一项不可忽视的挑战。
在网络通信中,数据可能需要穿越不同的环境、设备和协议,因此确保数据的机密性和完整性显得尤为关键。网络安全威胁的多样性和复杂性使得必须采取一系列全面的安全手段,以防止未经授权的访问、窃取和篡改。在这一过程中,网关作为信息流的重要节点发挥着关键作用。
网关在信息流中扮演着重要的角色,连接着多个设备、系统和网络,承担着数据交换和传输的责任。为了保护网络和连接的设备,网关需要提供强大的安全手段,以抵御各种攻击,确保数据在传输过程中的安全性。网关不仅需要检测和阻止恶意攻击,还需要协调不同设备和系统之间的安全通信。
然而,由于不同的设备和应用采用不同的通信协议和安全标准,为了确保这些敏感信息在传输过程中不受到威胁,需要一种灵活的信息安全手段。这种灵活性包括对多样化的协议和标准的适应性,使得网关能够根据具体的通信环境和要求,提供定制化的安全保障。
因此,亟需发明一种具有灵活性的安全网关,能够适应多样化的通信协议和安全标准,成为确保数字社会信息安全的关键一环。
发明内容
本申请提供了一种安全网关及通信系统,用以解决现有网关无法灵活适应现有多样化的安全标准的问题。
第一方面,本申请提供了一种安全网关,所述安全网关包括:交换模块、密区模块;其中,所述交换模块以及所述密区模块连接;
所述交换模块,用于对于从非所述密区模块获取到的数据,确定所述数据携带的目的媒体存取控制MAC地址所对应的目的物理端口信息;基于源物理端口信息以及所述目的物理端口信息,确定所述数据是否需要加解密;其中,所述源物理端口信息为所述交换模块接收所述数据的物理端口的信息;若确定所述数据需要加解密,则将所述数据以及所述数据对应的加解密标识传输至所述密区模块;其中,所述加解密标识用于表征所述数据是需要加密还是需要解密;若确定所述数据不需要加解密,则通过所述交换模块上所述目的物理端口信息对应的物理端口,发送所述数据;以及,对于从所述密区模块获取到的数据,确定所述数据携带的目的MAC地址所对应的目的物理端口信息并通过所述交换模块上所述目的物理端口信息对应的物理端口,发送所述数据;
所述密区模块,用于获取所述交换模块传输的需要加解密的数据以及所述数据对应的加解密标识;以及,在所述数据对应的加解密标识表征所述数据需要加密的情况下,基于所述数据的源物理端口信息,确定加密类型,并按照所述加密类型,对所述数据进行加密;其中,所述源物理端口信息为所述交换模块确定所述数据需要加密的情况下封装到所述数据中的;在所述数据对应的加解密标识表征所述数据需要解密的情况下,则基于所述数据的加密头,确定加密类型,并按照所述加密类型,对所述数据进行解密;以及,将对所述数据的加解密结果传输至所述交换模块。
第二方面,本申请还提供了一种通信系统,所述通信系统包括如上述所述的安全网关以及接入到所述安全网关的至少一个终端设备。
本申请的有益效果如下:
1、由于入网标识包含了量子安全局域网信息、接入基站信息以及用户端信息,确保了用户端的身份在网络中的唯一性和安全性,且接入同一量子安全局域网的用户端入网标识中的量子安全局域网信息一致,接入到同一接入基站下的用户端入网标识中的接入基站信息一致,同一量子安全局域网中不同用户端的入网标识中的用户端信息不同,从而保持了网络的一致性和合规性。
2、在接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定该密钥接收端接入到该量子安全局域网的情况下,该接入基站可以基于密钥接收端的入网标识中的信息确定密钥接收端接入到该接入基站,就基于用户端信息确定密钥接收端的目的IP地址,从而实现将密钥发送到密钥接收端,这确保了密钥的准确传递。
3、在接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定该密钥接收端接入到该量子安全局域网的情况下,该接入基站可以基于密钥接收端的入网标识中的信息确定密钥接收端未接入到该接入基站,则根据入网标识中的接入基站信息确定密钥接收端接入的接入基站的IP地址,以通过该IP地址的接入基站将密钥发送至密钥接收端,这有助于确保即使在用户端移动或更换接入基站的情况下,密钥仍可以可靠传输。
4、通过该量子安全局域网,可以实现接入到该用户端的量子安全通信,提高了用户端间通信的安全性。
附图说明
图1为本申请实施例提供的一种安全网关的结构示意图;
图2为本申请实施例提供的再一种安全网关的结构示意图;
图3为本申请实施例提供的一种具体的安全网关的结构示意图;
图4为本申请实施例提供的一种通信系统的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为了提高安全网关的安全性,实现安全网关适应多样化的安全标准,本申请实施例提供了一种安全网关及通信系统。
实施例1:
图1为本申请实施例提供的一种安全网关的结构示意图,所述安全网关包括:交换模块11、密区模块12;其中,所述交换模块11以及所述密区模块12连接;
所述交换模块11,用于对于从非所述密区模块12获取到的数据,确定所述数据携带的目的媒体存取控制MAC地址所对应的目的物理端口信息;基于源物理端口信息以及所述目的物理端口信息,确定所述数据是否需要加解密;其中,所述源物理端口信息为所述交换模块11接收所述数据的物理端口的信息;若确定所述数据需要加解密,则将所述数据以及所述数据对应的加解密标识传输至所述密区模块12;其中,所述加解密标识用于表征所述数据是需要加密还是需要解密;若确定所述数据不需要加解密,则通过所述交换模块11上所述目的物理端口信息对应的物理端口,发送所述数据;以及,对于从所述密区模块12获取到的数据,确定所述数据携带的目的MAC地址所对应的目的物理端口信息并通过所述交换模块11上所述目的物理端口信息对应的物理端口,发送所述数据;
所述密区模块12,用于获取所述交换模块11传输的需要加解密的数据以及所述数据对应的加解密标识;以及,在所述数据对应的加解密标识表征所述数据需要加密的情况下,基于所述数据的源物理端口信息,确定加密类型,并按照所述加密类型,对所述数据进行加密;其中,所述源物理端口信息为所述交换模块11确定所述数据需要加密的情况下封装到所述数据中的;在所述数据对应的加解密标识表征所述数据需要解密的情况下,则基于所述数据的加密头,确定加密类型,并按照所述加密类型,对所述数据进行解密;以及,将对所述数据的加解密结果传输至所述交换模块11。
为了实现安全网关适应多样化的安全标准,在本申请中,该安全网关可以包括交换模块11以及密区模块12,该交换模块11与该密区模块12连接。该交换模块11可以通过该交换模块11上的物理端口获取数据,将该数据在该交换模块11上不同的物理端口之间转发,例如,将需要加解密的数据传输到该安全网关的密区模块12。其中,该交换模块11获取到的数据可以包括该交换模块11从非密区模块12获取到的数据,以及从密区模块12获取到的数据。该密区模块12用于对交换模块11传输的需要加解密的数据进行加解密处理,并将该数据对应的加解密结果返回至该交换模块11。
考虑到有些通信可能发生在相对安全的内部网络,可以不经过加密处理,而外部网络或公共网络上的通信则需要加密以提高安全性。如果安全网关对传输的所有数据均进行加解密,会增加该安全网关的负载,消耗该安全网关大量的资源用于对数据进行加解密。基于此,在本申请中,对于交换模块11从非密区模块12获取到的不同数据,例如,该安全网关支持终端设备通过局域网(Local Area Network,LAN)接入到该安全网关,安全网关通过该安全网关的局域网(Local Area Network,LAN)口获取终端设备通过LAN发送的数据,和/或,该安全网关还支持通过广域网(Wide Area Network,WAN)接入到网络,安全网关通过WAN口获取到互联网数据等,用户可以配置该数据是否需要加解密,以使该安全网关可以针对不同的数据,灵活地选择是否对该数据进行加解密。例如,可以在该交换模块11上维护有加密表,该加密表包括物理端口组合以及加密配置信息,该物理端口组合中包括一个用于接收数据的物理端口的端口信息(为了方便描述,记为源物理端口信息)和一个用于转发该数据的物理端口的端口信息(为了方便描述,记为目的物理端口信息)。用户通过配置各物理端口组合分别对应的加解密配置信息,从而实现配置在该交换模块11的物理端口组合上转发的哪些数据是需要加解密,哪些数据是不需要加解密的。其中,任一物理端口组合对应的加解密配置信息用于指示通过该物理端口组合转发的数据不需要加解密,或需要加密还是需要解密。
示例性的,对于该安全网关的交换模块11从非密区模块12获取到的数据,该数据通常会携带有目的媒体存取控制MAC地址。交换模块11通过解析该数据,可以提取目的MAC地址。根据该数据所携带的目的媒体存取控制MAC地址,确定该数据在交换模块11上的目的物理端口信息。例如,交换模块11可以基于预先保存的各MAC地址与物理端口信息的对应关系,确定该目的MAC地址所对应的目的物理端口信息。再例如,交换模块11中预先维护有MAC地址表,该MAC地址表可以是该交换模块11动态学习的,也可以是用户静态配置的,还可以是动态学习以及静态配置的结合,该MAC地址表记录了每个已知设备节点的MAC地址及其所连接的物理端口,该交换模块11通过查询该MAC地址表,确定该目的MAC地址所对应的目的物理端口信息。交换模块11在获取到该数据对应的目的物理端口信息后,可以在保存的加密表中,查询包含该数据携带的源物理端口信息以及该目的物理端口信息的物理端口组合所对应的加解密配置信息,从而确定该数据是否需要加解密。
在一种可能的实施方式中,可能存在接入到该安全网关的终端设备之间进行通信的情况,例如,通过LAN接入到该安全网关的终端设备之间进行通信,该终端设备之间的通信无需加解密。因此,对于该安全网关的交换模块11从非密区模块12获取到的数据,交换模块11确定该数据携带的目的MAC地址所对应的目的物理端口信息后,可以基于该数据的源物理端口信息以及该目的物理端口信息,确定该数据是否为局域网数据。若该数据为局域网数据,则该交换模块11无需执行基于该数据的源物理端口信息以及该目的物理端口信息,确定该数据是否需要加解密的步骤,直接通过该交换模块11上该目的物理端口信息对应的物理端口,发送该数据;若该数据为非局域网数据,则该交换模块11基于该数据的源物理端口信息以及该目的物理端口信息,确定该数据是否需要加解密。
由于该数据可能是不需要加解密的,也可能是需要加密的,还可能是需要解密的,基于此,交换模块11在确定数据需要加解密的情况下,比如,该数据需要加密或该数据需要解密,则交换模块11基于该数据对应的加解密配置信息,确定该数据携带的加解密标识,然后将该数据以及该数据对应的加解密标识传输到该安全网关的密区模块12,以通过该密区模块12对该数据进行加解密操作。例如,将该加解密标识封装到该数据中,然后通过该交换模块11到密区模块12的数据通道,将携带有该加解密标识的数据传输到密区模块12。在确定数据不需要加解密的情况下,该数据是不需要该安全网关的密区模块12对其进行加解密处理的,则交换模块11基于该数据的目的物理端口信息所对应的物理端口,转发该数据。
其中,该加解密标识用于表征该数据是需要加密还是需要解密。其中,该加解密标识可以通过数字、字符串等表现形式表示,也可以通过其它方式表示,只要可以唯一标识需要加密的情况以及需要解密的情况的表现形式均可应用于本申请,在此不做具体限定。
通过上述实施例中该安全网关的交换模块11对从非密区模块12获取到的数据进行的处理,可以允许安全网关选择性地只对特定类型的数据进行加解密,使该安全网关更加灵活和适应不同的应用场景。通过允许选择性加解密,可以实现安全网关在性能和安全性之间取得平衡,只对真正需要保护的数据进行加密,从而提高整体性能,减少安全网关在数据加解密浪费的资源。
在本申请中,该安全网关的密区模块12可能会接收到该安全网关的交换模块11传输来的需要加解密的数据,该数据可能是需要密区模块12进行加密的数据,也可能是需要密区模块12进行解密的数据。该密区模块12可以基于该数据携带的加解密标识,对该数据进行加解密处理。例如,若该数据携带的加解密标识表征该数据需要加密,则对该数据进行加密处理;若该数据携带的加解密标识表征该数据需要解密,则对该数据进行解密处理。
在一种示例中,不同的应用场景和数据类型对安全性有不同的需求。有些信息可能需要更强大的加密算法,以抵御高级威胁和攻击,例如金融数据或涉及个人隐私的信息。而在一般通信中,可能会考虑使用轻量级的加密,以保证通信的效率和实时性。基于此,在本申请中,该密区模块12可以支持至少一种加密类型的加密方式用于对数据进行加密,且用户可以根据需求配置该密区模块12对不同数据的加密方式。示例性的,交换模块11可以保存物理端口信息与加密类型的对应关系,交换模块11在确定某一数据需要加密的情况下,可以根据保存的物理端口信息与加密类型的对应关系,确定该数据携带的源物理端口信息所对应的加密类型,该交换模块11将该数据对应的加密类型以及该数据对应的加解密标识一并封装到该数据中并将携带有加密类型以及加解密标识的数据发送至该密区模块12,以指导该密区模块12按照该加密类型对该数据进行加密。又一示例性的,还可以在密区模块12中保存物理端口信息与加密类型的对应关系,交换模块11在确定某一数据需要加密的情况下,可以将该数据携带的源物理端口信息以及该数据对应的加解密标识一并封装到该数据中并将携带有源物理端口信息以及加解密标识的数据发送至该密区模块12发送至该密区模块12,以指导该密区模块12基于该源物理端口信息,确定对该数据进行加密的加密类型,然后按照该加密类型对该数据进行加密。
在本申请中,可以采用经典加密的加密方式对数据进行加密,也可以采用量子加密的加密方式对数据进行加密,当然还可以采用经典加密和量子加密的方式对数据进行加密。示例性的,数据可以采用的加密类型包括以下一种或多种:经典加密、量子加密、先量子加密再经典加密、先经典加密再量子加密。其中,该经典加密可以采用至少一种经典加密算法,例如,对称加密算法(如高级加密标准算法AES、数据加密标准DES等)、非对称加密算法(如数字签名算法DSA、基于大整数因子分解的非对称加密算法RSA等)等。
同样的,对于需要解密的数据,该安全网关的密区模块12也支持一种或多种加密类型对该数据进行进行解密。例如,该需要解密的数据可以通过量子加密进行解密,也可以通过经典加密进行解密,也可以通过多种加密类型进行解密。示例性的,对于需要解密的数据,也就是密文数据,该密文数据的数据头中可以包含有加密头,该加密头用于存储加密算法、密钥信息以及其他必要的加密参数。密区模块12在基于获取到的数据所携带的加解密标识,确定该数据需要解密的情况下,该密区模块12可以先获取该数据的加密头,通过该加密头获取该数据的加密类型,从而按照确定的加密类型,对该数据进行解密。
在一种示例中,在密区模块12支持量子加密的加密类型的情况下,该密区模块12中可以保存有量子密钥,以基于该量子密钥进行量子加解密。示例性的,该密区模块12中可以包括加解密单元122,所述加解密单元122,还用于存储并管理量子密钥,以基于所述量子密钥进行量子加密。
基于上述的实施例,密区模块12对数据进行加解密处理之后,可以将该数据对应的加解密结果返回至交换模块11,以通过该交换模块11对该加解密结果进行转发。对于交换模块11从该密区模块12获取到的数据,例如,密区模块12发送的加解密结果等,该交换模块11可以确定该数据携带的目的MAC地址所对应的目的物理端口信息并通过该交换模块11上该目的物理端口信息所对应的物理端口发送该数据。
本申请的有益效果如下:
1、对从非密区模块12获取到的数据,该安全网关的交换模块11可以基于该数据的源物理端口信息以及目的物理端口信息,确定该数据是否需要加解密,从而指导该安全网关的密区模块12准确对需要加解密的数据提供加解密处理。
2、该安全网关的交换模块11对从非密区模块12获取到的数据进行处理,基于该数据的源物理端口信息以及目的物理端口信息,确定该数据是否需要加解密,然后在该数据需要加解密的情况下,将该数据传输至安全网关的密区模块12,以使该密区模块12对该数据进行加解密处理,而在该数据不需要加解密的情况下,通过该数据的目的物理端口信息所对应的物理端口,将该数据转发出去。通过上述方式,可以允许安全网关选择性地只对特定类型的数据进行加解密,使该安全网关更加灵活和适应不同的应用场景。通过允许选择性加解密,可以实现安全网关在性能和安全性之间取得平衡,只对真正需要保护的数据进行加密,从而提高整体性能,减少安全网关在数据加解密浪费的资源。
3、该安全网关的密区模块12可以对需要加解密的数据提供加解密处理,从而实现需要保护的数据以密文的形式在网络中传输,保护数据在网络传输过程中的安全性,为通过该安全网关传输的数据提供了一种高强度的安全保护措施。
4、在数据需要加密的情况下,密区模块12基于数据的源物理端口信息,动态确定加密类型,并按照加密类型对数据进行加密。在数据需要解密的情况下,密区模块12基于数据的加密头动态确定解密类型,并按照解密类型对数据进行解密。这种动态处理确保了系统对于不同数据的适应性和灵活性。
实施例2:
为了保证数据加解密的安全,在上述实施例的基础上,在本申请中,所述密区模块12包括隔离单元121以及加解密单元122;所述隔离单元121与所述交换模块11连接,所述加解密单元122与所述隔离单元121连接;
所述隔离单元121,用于对所述交换模块11与所述加解密单元122之间交互的数据进行安全校验;
所述加解密单元122,用于通过所述隔离单元121获取所述交换模块11传输的需要加解密的数据以及所述数据对应的加解密标识;以及,在所述数据对应的加解密标识表征所述数据需要加密的情况下,基于所述数据的源物理端口信息,确定加密类型,并按照所述加密类型,对所述数据进行加密;在所述数据对应的加解密标识表征所述数据需要解密的情况下,则基于所述数据的加密头,确定加密类型,并按照所述加密类型,对所述数据进行解密;以及,通过所述隔离单元121将对所述数据的加解密结果传输至所述交换模块11。
在本申请中,该密区模块12可以包括隔离单元121以及加解密单元122。图2为本申请实施例提供的一种安全网关的结构示意图,如图2所示,交换模块11与该隔离单元121连接,该隔离单元121与该加解密单元122连接,即该交换模块11通过该隔离单元121与该加解密单元122连接。该隔离单元121用于实现将交换模块11与该加解密单元122之间隔离,例如,物理隔离和/或逻辑隔离,并对交换模块11与加解密单元122之间交互的数据进行安全校验,从而保护加解密单元122内如量子密钥、加密算法等安全数据。该加解密单元122用于对交换模块11传输来的数据进行加解密。
示例性的,该加解密单元122通过隔离单元121接收到交换模块11传输的数据后,若基于该数据携带的加解密标识确定该数据需要加密,则基于该数据携带的源物理端口信息,确定该数据需要量子加密,则基于保存的量子密钥,对该数据进行量子加密,获取该数据对应的密文数据。例如,该加解密单元122可以基于预设的量子加密算法以及预设的加密比例,通过该量子密钥,对该数据进行加密。该加解密单元122通过隔离单元121将该数据对应的密文数据以及该密文数据对应的密钥信息分别传递至交换模块11,以通过该交换模块11可以将该密文数据以及该密钥信息发送至外网设备。
又一示例性的,该加解密单元122通过隔离单元121接收到交换模块11传输的数据后,若基于该数据携带的加解密标识确定该数据需要解密,则基于该数据的加密头,确定加密类型为量子加密,则获取该数据对应的密钥信息并基于该密钥信息,获取解密密钥,通过该解密密钥,对该数据进行量子解密,获取该数据对应的明文数据。其中,该数据对应的密钥信息可以为该交换模块11从外网设备获取到的并通过隔离单元121传递到该加解密单元122的,也可以是在该数据的加密头中携带的。该加解密单元122通过隔离单元121将该数据对应的明文数据传递至交换模块11。该交换模块11可以将该明文数据发送至接入到该安全网关的终端设备,从而实现终端设备与外网设备之间的量子加密通信,保证了该终端设备从外网设备获取到的数据的安全性。
在一种示例中,该安全网关的隔离单元121中预设有校验条件,以实现该隔离单元121对传输的数据进行安全校验。其中,该校验条件可以是隔离单元121可以传输的数据的名单(记为白名单),也可以是隔离单元121禁止传输的数据的名单(记为黑名单),还可以是隔离单元121可以传输的数据需要满足预设的传输格式,又可以是对数据进行哈希校验等,具体的校验条件可以根据实际需求进行灵活设置,在此不做具体限定。示例性的,该安全网关的隔离单元121接收到该安全网关的交换模块11传输来的需要加解密的数据后,可以对该数据进行校验,确定该数据是否满足预设的校验条件。若该隔离单元121确定该数据不满足预设的校验条件,则丢弃该数据;若该隔离单元121确定该数据满足预设的校验条件,则将该数据传输至该安全网关的加解密单元122。又一示例性的,当加解密单元122获取到数据对应的加解密结果后,可以将该加解密结果传输至隔离单元121。隔离单元121接收到该加解密单元122传输的数据后,也可以对该数据进行校验,确定该数据是否满足预设的校验条件。若该隔离单元121确定该数据不满足预设的校验条件,则丢弃该数据;若该隔离单元121确定该数据满足预设的校验条件,则将该数据传输至该安全网关的交换模块11,以通过该交换模块11将该数据转发出去。
在一种可能的实施方式中,该隔离单元121可以对传输的不同数据分别设置安全校验条件,即对于该隔离单元121传输的需要加密的数据设置对应的安全校验条件,对该隔离单元121传输的需要解密的数据设置对应的安全校验条件,对该隔离单元121传输的加密后的数据设置对应的安全校验条件等。例如,可以在隔离单元121配置可以加密的加密数据。隔离单元121从交换模块11获取数据后,读取该数据携带的加解密标识,在根据该加解密标识确定该数据是需要加密的情况下,隔离单元121可以校验该数据是否为预先配置的加密数据。若确定该数据为预先配置的加密数据,则确定该数据通过安全校验;若确定该数据不为预先配置的加密数据,则确定该数据不通过安全校验。例如,可以在隔离单元121配置需要解密的数据的加密头所包含的加密特征,该加密特征可以为加密类型、认证标签、消息验证码、字节长度、字段内容、字段类型等。隔离单元121从交换模块11获取数据后,读取该数据携带的加解密标识,在根据该加解密标识确定该数据是需要解密的情况下,隔离单元121可以读取该数据的加密头,校验该加密头中是否包含预先配置的加密特征。若确定该数据包含预先配置的加密特征,则确定该数据通过安全校验;若确定该数据不包含预先配置的加密特征,则确定该数据不通过安全校验。再例如,可以在隔离单元121配置加密后的数据的加密头所包含的加密特征。隔离单元121从加解密单元122获取到加密后的数据后,读取该加密后的数据的加密头,校验该加密头中是否包含预先配置的加密特征。若确定该加密后的数据包含预先配置的加密特征,则确定该数据通过安全校验;若确定该加密后的数据不包含预先配置的加密特征,则确定该数据不通过安全校验。
实施例3:
为了增加安全网关的应用场景,在上述各实施例的基础上,在本申请中,该安全网关支持终端设备通过LAN接入到该安全网关上。对于通过LAN接入到该安全网关的终端设备,该安全网关的交换模块11上配置有服务于LAN的物理端口,通过该物理端口可以实现该交换模块11与通过LAN接入到该安全网关的终端设备之间的交互。
在一种示例中,该安全网关还可以支持终端设备通过无线网络(WirelessFidelity,WiFi)接入到该安全网关。例如,该安全网关上配置有WiFi模组,该WiFi模组用于实现终端设备通过WiFi的接入。为实现交换模块11与通过WiFi接入到该安全网关的终端设备之间的交互,该安全网关还可以包括转发模块,该转发模块分别与该安全模块的WiFi模组以及交换模块11连接。该转发模块上配置有服务于WiFi的物理端口以及WiFi单元,安全模块的交换模块11通过该转发模块的WiFi单元可以与通过WiFi接入的终端设备进行数据交互。示例性的,当转发模块上的物理端口接收到WiFi模组转发的数据时,该转发模块的WiFi单元可以根据该数据的目的MAC地址,确定该数据在该转发模块上的目的物理端口信息,并通过该转发模块上的目的物理端口信息所对应的物理端口,通过该物理端口将该数据转发至该安全网关的交换模块11。又一示例性的,当转发模块的WiFi单元上接收到交换模块11通过交换模块11上的物理端口所WiFi的数据时,该WiFi单元可以根据该数据的目的MAC地址,确定该数据在该WiFi单元上的目的物理端口信息,并通过该WiFi单元上的目的物理端口信息所对应的物理端口,通过该物理端口将该数据转发到WiFi模组,通过该WiFi模组将数据转发到通过WiFi接入到该安全网关的终端设备。
在本申请中,该安全网关支持通过广域网WAN收发互联网数据,并且该安全网关的交换模块11上配置有服务于WAN的物理端口,通过该物理端口可以实现该交换模块11通过广域网WAN收发互联网数据。
其中,该安全网关可以包括至少一个WAN口,一个WAN口为主口,其他WAN口为备用口,在实际使用过程中,优先采用主口进行互联网数据的收发,当主口出现故障的时候,选择备用口进行互联网数据的收发。
在一种示例中,该安全网关还可以通过移动网络(如4G、5G等)收发互联网数据。例如,该安全网关上配置有移动网络模组,该移动网络模组用于实现该安全网关通过移动网络接入到网络。为实现交换模块11通过移动网络收发互联网数据,该安全网关的转发模块上可以配置有移动网络单元以及服务于移动网络的物理端口,安全模块的交换模块11通过该转发模块的移动网络单元可以通过移动网络收发互联网数据。示例性的,当转发模块的移动网络单元上的物理端口接收到移动网络模组转发的数据时,该转发模块的移动网络单元可以根据该数据的目的MAC地址,确定该数据的目的物理端口信息,并通过该移动网络单元上的目的物理端口信息所对应的物理端口,通过该物理端口将该数据转发至该安全网关的交换模块11。又一示例性的,当转发模块的移动网络单元上的物理端口接收到交换模块11通过交换模块11上的物理端口所转发的数据时,该移动网络单元可以根据该数据的目的MAC地址,确定该数据在该移动网络单元上移动网络对应的目的物理端口信息,并通过该移动网络单元上的目的物理端口信息所对应的物理端口,通过该物理端口将该数据转发到该安全网关的移动网络模组,通过该移动网络模组将数据转发出去到互联网。
实施例4:
下面通过具体的实施例对本申请提供的安全网关的工作流程进行说明,图3为本申请提供的一种具体的安全网关的结构示意图,该安全网关包括:WiFi模组、转发模块、交换模块11、隔离单元121、加解密单元122、以及移动网络模组,该交换模块11上配置有服务于LAN的LAN口以及服务于WAN的WAN口,该转发模块包括WiFi单元以及移动网络单元。该安全网关支持终端设备通过WiFi以及LAN接入到该安全网关,也支持通过移动网络以及WAN接入到网络。也就是说,通过WIFI接入到安全网关的终端设备通过该安全网关,可以与移动网络和/或WAN进行数据交互,还可以与通过LAN接入到该安全网关的终端设备进行数据交互;通过LAN接入到安全网关的终端设备通过该安全网关,可以与移动网络和/或WAN进行数据交互,还可以与通过WiFi接入到该安全网关的终端设备进行数据交互。
以安全网关接收到通过WiFi接入到该安全网关的终端设备发送的数据为例:
对于通过WiFi接入到该安全网关的终端设备,该安全网关可以通过WiFi模组接入该终端设备。当WiFi单元上的物理端口接收到WiFi模组转发的数据时,该WiFi单元可以根据该数据的目的MAC地址,确定该数据在该WiFi单元上WiFi对应的目的物理端口信息,并通过该WiFi单元上的目的物理端口信息所对应的物理端口,通过该物理端口将该数据转发至该安全网关的交换模块11。
对于从WiFi单元获取到的数据,交换模块11通过解析该数据,提取目的MAC地址。交换模块11通过查询该MAC地址表,确定该目的MAC地址所对应的目的物理端口信息。交换模块11在获取到该数据对应的目的物理端口信息后,可以基于该数据的源物理端口信息以及该目的物理端口信息,确定该数据非局域网数据,则在保存的各物理端口组合分别对应的加解密配置信息中,查询包含该数据携带的源物理端口信息以及该目的物理端口信息的物理端口组合所对应的加解密配置信息,从而确定该数据是否需要加密。若交换模块11确定该数据不需要加密,则通过该目的物理端口信息所对应的物理端口,将该数据转发出去,例如,该物理端口为WAN口对应的物理端口,则交换模块11通过该物理端口将数据发送到广域网,或,该物理端口为LAN口对应的物理端口,则交换模块11通过该物理端口将数据发送到通过LAN接入到安全网关的终端节点上,或,该物理端口为移动网络对应的物理端口,则交换模块11通过该物理端口将数据发送到WiFi单元。若交换模块11确定该数据需要加密,则在该数据中封装加解密标识以及源物理端口信息,然后通过该交换模块11与隔离单元121之间的数据通道,将该封装有加解密标识以及源物理端口信息的数据传输至隔离单元121。
如果隔离单元121从交换模块11获取到需要加解密的数据,隔离单元121读取该数据携带的加解密标识,在根据该加解密标识确定该数据是需要加密的情况下,隔离单元121可以校验该数据是否为预先配置的加密数据。若确定该数据为预先配置的加密数据,则确定该数据通过安全校验,将该数据传输至加解密单元122;若确定该数据不为预先配置的加密数据,则确定该数据不通过安全校验,则丢弃该数据。
该加解密单元122通过隔离单元121接收到交换模块11传输的数据后,若基于该数据携带的加解密标识确定该数据需要加密,则基于该数据携带的源物理端口信息,确定该数据的加密类型,然后按照该加密类型,对该数据进行加密。例如,确定该数据需要量子加密,则加解密单元122可以预设的量子加密算法以及预设的加密比例,通过该量子密钥,对该数据进行加密。该加解密单元122向隔离单元121传输该数据对应的加密后的数据。
隔离单元121从加解密单元122获取到加密后的数据后,读取该加密后的数据的加密头,校验该加密头中是否包含预先配置的加密特征。若确定该加密后的数据包含预先配置的加密特征,则确定该数据通过安全校验,将该数据传输至交换模块11;若确定该加密后的数据不包含预先配置的加密特征,则确定该数据不通过安全校验,则丢弃该数据。
交换模块11接收到隔离单元121传输的数据后,该交换模块11可以确定该数据携带的目的MAC地址所对应的目的物理端口信息并通过该交换模块11上该目的物理端口信息所对应的物理端口发送该数据。例如,该物理端口为WAN口对应的物理端口,则交换模块11通过该物理端口将数据发送到广域网,或,该物理端口为LAN口对应的物理端口,则交换模块11通过该物理端口将数据发送到通过LAN接入到安全网关的终端节点上,或,该物理端口为移动网络对应的物理端口,则交换模块11通过该物理端口将数据发送到WiFi单元。
如果WiFi单元接收到交换模块11传输的数据,该WiFi单元可以根据该数据的目的MAC地址,确定该数据在该WiFi单元上移动网络对应的目的物理端口信息,并通过该WiFi单元上的目的物理端口信息所对应的物理端口,通过该物理端口将该数据转发出去。
以安全网关通过移动网络接收到互联网数据为例:
当移动网络单元上的物理端口接收到移动网络模组转发的数据时,该移动网络单元可以根据该数据的目的MAC地址,确定该数据在该移动网络单元上的目的物理端口信息,并通过该移动网络单元上的目的物理端口信息所对应的物理端口,通过该物理端口将该数据转发至该安全网关的交换模块11。
对于从移动网络单元获取到的数据,交换模块11通过解析该数据,提取目的MAC地址。交换模块11通过查询该MAC地址表,确定该目的MAC地址所对应的目的物理端口信息。交换模块11在获取到该数据对应的目的物理端口信息后,可以基于该数据的源物理端口信息以及该目的物理端口信息,确定该数据非局域网数据,则在保存的各物理端口组合分别对应的加解密配置信息中,查询包含该数据携带的源物理端口信息以及该目的物理端口信息的物理端口组合所对应的加解密配置信息,从而确定该数据是否需要解密。若交换模块11确定该数据不需要解密,则通过该目的物理端口信息所对应的物理端口,将该数据转发出去,例如,该物理端口为LAN口对应的物理端口,则交换模块11通过该物理端口将数据发送到通过LAN接入到安全网关的终端节点上,或,该物理端口为WiFi对应的物理端口,则交换模块11通过该物理端口将数据发送到移动网络单元。若交换模块11确定该数据需要解密,则在该数据中封装加解密标识以及源物理端口信息,然后通过该交换模块11与隔离单元121之间的数据通道,将该封装有加解密标识的数据传输至隔离单元121。
如果隔离单元121从交换模块11获取到需要加解密的数据,隔离单元121读取该数据携带的加解密标识,在根据该加解密标识确定该数据是需要解密的情况下,隔离单元121可以读取该数据的加密头,校验该加密头中是否包含预先配置的加密特征。若确定该数据包含预先配置的加密特征,则确定该数据通过安全校验,将该数据传输至加解密单元122;若确定该数据包含预先配置的加密特征,则确定该数据不通过安全校验,则丢弃该数据。
该加解密单元122通过隔离单元121接收到交换模块11传输的数据后,若基于该数据携带的加解密标识确定该数据需要解密,则基于该数据的加密头,确定该数据的加密类型,然后按照该加密类型,对该数据进行解密。例如,确定该数据需要量子加密,则加解密单元122获取该数据对应的密钥信息并基于该密钥信息,获取解密密钥,通过该解密密钥,对该数据进行量子解密,获取该数据对应的明文数据。该加解密单元122通过隔离单元121向交换模块11传输该数据对应的明文数据。
交换模块11接收到隔离单元121传输的数据后,该交换模块11可以确定该数据携带的目的MAC地址所对应的目的物理端口信息并通过该交换模块11上该目的物理端口信息所对应的物理端口发送该数据。例如,该物理端口为LAN口对应的物理端口,则交换模块11通过该物理端口将数据发送到通过LAN接入到安全网关的终端节点上,或,该物理端口为WiFi对应的物理端口,则交换模块11通过该物理端口将数据发送到移动网络单元。
如果移动网络单元接收到交换模块11传输的数据,该移动网络单元可以根据该数据的目的MAC地址,确定该数据在该移动网络单元上WiFi对应的目的物理端口信息,并通过该移动网络单元上的目的物理端口信息所对应的物理端口,通过该物理端口将该数据转发出去。
实施例5:
本申请还提供了一种通信系统,图4为本申请实施例提供的一种通信系统的结构示意图,该系统包括:实施例1-4任一所述的安全网关41以及接入到所述安全网关的至少一个终端设备42。
需要说明的是,该通信系统解决问题的原理与上述实施例中安全网关解决问题的原理类似,具体可以参见上述实施例内容,重复之处不做具体赘述。
Claims (11)
1.一种安全网关,其特征在于,所述安全网关包括:交换模块、密区模块;其中,所述交换模块以及所述密区模块连接;
所述交换模块,用于对于从非所述密区模块获取到的数据,确定所述数据携带的目的媒体存取控制MAC地址所对应的目的物理端口信息;基于源物理端口信息以及所述目的物理端口信息,确定所述数据是否需要加解密;其中,所述源物理端口信息为所述交换模块接收所述数据的物理端口的信息;若确定所述数据需要加解密,则将所述数据以及所述数据对应的加解密标识传输至所述密区模块;其中,所述加解密标识用于表征所述数据是需要加密还是需要解密;若确定所述数据不需要加解密,则通过所述交换模块上所述目的物理端口信息对应的物理端口,发送所述数据;以及,对于从所述密区模块获取到的数据,确定所述数据携带的目的MAC地址所对应的目的物理端口信息并通过所述交换模块上所述目的物理端口信息对应的物理端口,发送所述数据;
所述密区模块,用于获取所述交换模块传输的需要加解密的数据以及所述数据对应的加解密标识;以及,在所述数据对应的加解密标识表征所述数据需要加密的情况下,基于所述数据的源物理端口信息,确定加密类型,并按照所述加密类型,对所述数据进行加密;其中,所述源物理端口信息为所述交换模块确定所述数据需要加密的情况下封装到所述数据中的;在所述数据对应的加解密标识表征所述数据需要解密的情况下,则基于所述数据的加密头,确定加密类型,并按照所述加密类型,对所述数据进行解密;以及,将对所述数据的加解密结果传输至所述交换模块。
2.如权利要求1所述的安全网关,其特征在于,所述加密类型包括以下一种或多种:经典加密、量子加密、先量子加密再经典加密、先经典加密再量子加密。
3.如权利要求2所述的安全网关,其特征在于,所述密区模块包括隔离单元以及加解密单元;所述隔离单元与所述交换模块连接,所述加解密单元与所述隔离单元连接;
所述隔离单元,用于对所述交换模块与所述加解密单元之间交互的数据进行安全校验;
所述加解密单元,用于通过所述隔离单元获取所述交换模块传输的需要加解密的数据以及所述数据对应的加解密标识;以及,在所述数据对应的加解密标识表征所述数据需要加密的情况下,基于所述数据的源物理端口信息,确定加密类型,并按照所述加密类型,对所述数据进行加密;在所述数据对应的加解密标识表征所述数据需要解密的情况下,则基于所述数据的加密头,确定加密类型,并按照所述加密类型,对所述数据进行解密;以及,通过所述隔离单元将对所述数据的加解密结果传输至所述交换模块。
4.如权利要求3所述的安全网关,其特征在于,所述隔离单元,具体用于对于从所述交换模块获取到的数据,在所述数据对应的加解密标识表征所述数据需要加密的情况下,校验所述数据为预先配置的加密数据,则将所述数据传输至所述加解密单元。
5.如权利要求3所述的安全网关,其特征在于,所述隔离单元,具体用于对于所述交换模块传输来的数据,在所述数据对应的加解密标识表征所述数据需要解密的情况下,基于所述数据的加密头,确定所述数据通过安全校验,则将所述数据传输至所述加解密单元。
6.如权利要求3所述的安全网关,其特征在于,所述隔离单元,具体用于若接收到所述加解密单元传输的加密后的数据,基于所述加密后的数据的加密头确定所述加密后的数据通过安全校验,则将所述加密后的数据传输至所述交换模块。
7.如权利要求3所述的安全网关,其特征在于,所述加解密单元,还用于存储并管理量子密钥,以基于所述量子密钥进行量子加密。
8.如权利要求1所述的安全网关,其特征在于,对于从非所述密区模块获取到的数据包括以下至少一种:通过本地局域网LAN接入到所述安全网关的终端设备发送的数据、以及通过广域网WAN接收到的互联网数据。
9.如权利要求8所述的安全网关,其特征在于,在所述安全网关支持所述终端设备通过WiFi接入,和/或,支持通过移动网络收发互联网数据的情况下,所述安全网关还包括转发模块,所述转发模块与所述交换模块连接;
所述交换模块,具体用于通过所述转发模块中的WiFi单元与通过WiFi接入的终端设备进行数据交互;和/或,通过所述转发模块中的移动网络单元向所述移动网络收发互联网数据。
10.如权利要求1所述的安全网关,其特征在于,所述交换模块,具体用于所述对于从非所述密区模块获取到的数据,确定所述数据携带的目的媒体存取控制MAC地址所对应的目的物理端口信息之后,所述基于源物理端口信息以及所述目的物理端口信息,确定所述数据是否需要加解密之前,基于源物理端口信息以及所述目的物理端口信息,确定所述数据非局域网数据。
11.一种通信系统,其特征在于,所述通信系统包括如权利要求1-10任一所述的安全网关以及接入到所述安全网关的至少一个终端设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311723885.3A CN117834212A (zh) | 2023-12-15 | 2023-12-15 | 一种安全网关及通信系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311723885.3A CN117834212A (zh) | 2023-12-15 | 2023-12-15 | 一种安全网关及通信系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117834212A true CN117834212A (zh) | 2024-04-05 |
Family
ID=90523660
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311723885.3A Pending CN117834212A (zh) | 2023-12-15 | 2023-12-15 | 一种安全网关及通信系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117834212A (zh) |
-
2023
- 2023-12-15 CN CN202311723885.3A patent/CN117834212A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6970446B2 (en) | Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network | |
KR101421399B1 (ko) | 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법 | |
US7548532B2 (en) | Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network | |
US9219709B2 (en) | Multi-wrapped virtual private network | |
WO2018076742A1 (zh) | 一种数据传输方法、相关设备及系统 | |
CN102202299A (zh) | 一种基于3g/b3g的端到端语音加密系统的实现方法 | |
CN110266725B (zh) | 密码安全隔离模块及移动办公安全系统 | |
EP3892022B1 (en) | Method and apparatuses for ensuring secure attachment in size constrained authentication protocols | |
Farinacci et al. | Locator/ID separation protocol (LISP) data-plane confidentiality | |
CN113015157A (zh) | 一种用于无线通信系统支持多种加密的方法、装置及系统 | |
Damir et al. | A beyond-5G authentication and key agreement protocol | |
US11689358B2 (en) | Methods providing transmission and/or searching of encrypted data and related devices | |
JPH06318939A (ja) | 暗号通信システム | |
US7333612B2 (en) | Methods and apparatus for confidentiality protection for Fibre Channel Common Transport | |
US20020116606A1 (en) | Encryption and decryption system for multiple node network | |
CN114039812B (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
CN113765900B (zh) | 协议交互信息输出传输方法、适配器装置及存储介质 | |
CN110830421A (zh) | 数据传输方法和设备 | |
CN117834212A (zh) | 一种安全网关及通信系统 | |
JPH11239184A (ja) | スイッチングハブ | |
JPH11243388A (ja) | 暗号通信システム | |
CN110650476B (zh) | 管理帧加密和解密 | |
KR101952351B1 (ko) | 네트워크의 고유 번호가 없는 장비를 이용한 통신 보안 방법 및 시스템 | |
CN116325656A (zh) | 通信网络中敏感用户数据的保护 | |
CN115765979A (zh) | 一种通信方法及通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |