专利名称:安全隔离与信息交换系统及方法
技术领域:
本发明涉及一种安全隔离与信息交换系统及方法,属于网络安全领域。
背景技术:
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等 网络应用的发展和普及不仅给生活带来了很大的便利,而且正在创造着巨大的财富,以 Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛, 应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。 与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑 客行为和攻击活动正以每年10倍的速度增长,网络与信息安全问题日益突出,已经成为影 响国家安全、社会稳定和人民生活的大事。现有的各种网络安全技术中,防火墙技术可以在 一定程度上解决一些网络安全问题,但是防火墙产品存在着局限性。其最大的局限性就是 防火墙自身不能保证其准许放行的数据是否安全,不能防御来自内部的攻击,不能防御绕 过防火墙的攻击行为,不能防御完全新的威胁。 于是新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也 越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各 网络安全厂商和用户的共同需求和目标。安全隔离与信息交换系统又称网闸,是用于外网 和内网之间或者是在不同涉密级别的网络之间的一种使用物理隔离技术实现信息安全传 输的一种设备,具有较高的安全可靠性。
发明内容
本发明所要解决的技术问题是克服现有技术的不足,提供一个更为完善的网络安 全防范系统来有效保护网络系统。 本发明解决上述技术问题的技术方案如下一种安全隔离与信息交换系统,包括 第一设备和第二设备,所述第一设备用于接收和解析第一网络发送的数据信息,提取有用 的数据信息,重新组建新的数据信息加密后并将加密后的数据信息同步至第二设备,或者 将经第二设备同步的加密后的数据信息解密后发送至第一网络;所述第二设备用于将经第 一设备同步的加密后的数据信息解密后发送至第二网络,或者接收和解析第二网络传输的 数据信息,提取有用的数据信息,重新组建新的数据信息加密后并将加密后的数据信息同 步至第一设备。 本发明的有益效果是通过在相互独立的第一网络和第二网络之间连接的安全隔 离与信息交换系统,使得第一网络和第二网络之间不存在直接的数据链路,而可以进行网 络间的信息和数据的交换;同时,通过对第一设备或第二设备中的数据信息进行加密处理 后,再发送至第二设备或第一设备进行解密处理,进一步提高了第一网络和第二网络之间 信息和数据交换的安全性,充分保证了信息传递的准确性和可靠性。
进一步,所述第一设备包括第一私有网络驱动模块、第一通用网络驱动模块、第一 服务模块、第一系统管理模块、第一安全策略模块、第一系统日志模块和第一加/解密模 块; 所述第一通用网络驱动模块,用于接收第一网络发送的数据信息,并将数据信息 发送至第一服务模块,或者接收第一服务模块发送的解密后的数据信息,并将数据信息发 送至第一通用网络驱动模块; 所述第一服务模块,用于接收和解析第一通用网络驱动模块发送的数据信息,丢 弃不符合规则的数据信息,并将符合规则的数据信息发送至第一私有网络驱动模块,或者 接收第一私有网络驱动模块发送的解密后的数据信息; 所述第一系统管理模块,用于在第一服务模块上配置第一设备的系统状态; 所述第一安全策略模块,用于根据用户配置的策略规则,将规则处理为系统可识
别的形式,并对经第一服务模块解析后的数据信息进行相应的规则过滤; 所述第一系统日志模块,用于记录第一服务模块产生的日志信息; 所述第一私有网络驱动模块,用于在符合规则的数据信息中提取有用的数据信
息,重新组建新的数据信息,并将新的数据信息发送至第一加/解密模块加密后同步至第
二设备,或者将经第二设备解密后的数据信息发送至第一服务模块; 所述第一加/解密模块,用于对经第一私有网络驱动模块重新组建的新的数据信
息进行加密处理,或者对经第二设备同步的加密后的数据信息进行解密处理。 进一步,所述第二设备包括第二私有网络驱动模块、第二通用网络驱动模块、第二
服务模块、第二系统管理模块、第二安全策略模块、第二系统日志模块和第二加/解密模
块; 所述第二通用网络驱动模块,用于接收第二网络发送的数据信息,并将数据信息 发送至第二服务模块,或者接收第二服务模块发送的解密后的数据信息,并将数据信息发 送至第二通用网络驱动模块; 所述第二服务模块,用于接收和解析第二通用网络驱动模块发送的数据信息,丢 弃不符合规则的数据信息,并将符合规则的数据信息发送至第二私有网络驱动模块,或者 接收第二私有网络驱动模块发送的解密后的数据信息; 所述第二系统管理模块,用于在第二服务模块上配置第二设备的系统状态; 所述第二安全策略模块,用于根据用户配置的策略规则,将规则处理为系统可识
别的形式,并对经第二服务模块解析后的数据信息进行相应的规则过滤; 所述第二系统日志模块,用于记录第二服务模块产生的日志信息; 所述第二私有网络驱动模块,用于在符合规则的数据信息中提取有用的数据信
息,重新组建新的数据信息,并将新的数据信息发送至第二加/解密模块加密后同步至第
一设备,或者将经第一设备解密后的数据信息发送至第二服务模块; 所述第二加/解密模块,用于对经第二私有网络驱动模块重新组建的新的数据信
息进行加密处理,或者对经第一设备同步的加密后的数据信息进行解密处理。 进一步,所述服务模块包括FTP模块、HTTP模块、P0P3模块、SMTP模块或者数据库模块。 进一步,所述第一网络为外网,所述第二网络为内网。
在上述技术方案的基础上,本发明还提供了另一种技术方案,一种安全隔离与信 息交换方法,包括以下步骤 步骤一 接收和解析第一网络发送的数据信息,提取有用的数据信息,重新组建新 的数据信息加密后并将加密后的数据信息同步; 步骤二 将经同步的加密后的数据信息解密后发送至第二网络。
进一步,所述步骤一包括以下步骤 第一通用网络驱动模块接收第一网络发送的数据信息,并将数据信息发送至第一 服务模块; 第一服务模块接收和解析第一通用网络驱动模块发送的数据信息,丢弃不符合规 则的数据信息,并将符合规则的数据信息发送至第一私有网络驱动模块;
第一私有网络驱动模块在符合规则的数据信息中提取有用的数据信息,重新组建 新的数据信息,并将新的数据信息发送至第一加/解密模块;以及 第一加/解密模块对经第一私有网络驱动模块重新组建的新的数据信息进行加
密处理后并发送至第一私用网络驱动模块进行数据信息同步。 进一步,所述步骤二包括以下步骤 第二私有网络驱动模块接收经第一私有网络驱动模块同步的数据信息,并将数据 信息发送至第二加/解密模块; 第二加/解密模块对经第二私有网络驱动模块发送的数据信息进行解密处理,并
将解密后的数据信息经由第二私有网络驱动模块发送至第二服务模块;以及 第二服务模块接收解密后的数据信息并经第二通用网络驱动模块发送至第二网络。 进一步,所述第一网络为外网,所述第二网络为内网。
图1为本发明安全隔离与信息交换系统第一实施例的结构示意图;
图2为本发明安全隔离与信息交换系统第二实施例的结构示意图;
图3为本发明安全隔离与信息交换系统第三实施例的结构示意图;
图4为本发明安全隔离与信息交换方法的流程示意图。
具体实施例方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并 非用于限定本发明的范围。 图1为本发明安全隔离与信息交换系统第一实施例的结构示意图。如图1所示, 该安全隔离与信息交换系统包括第一设备10和第二设备20,所述第一设备10和第二设备 20通过数据传输线相互连接。该安全隔离与信息交换系统连接在相互独立的第一网络30 和第二网络40之间,使得第一网络30和第二网络40之间不存在直接的数据链路,而可以 进行网络间的信息和数据的交换。所述第一设备10连接到第一网络30,所述第二设备20 连接到第二网络40。本发明中,所述第一网络30为外网,所述第二网络40为内网,所述第 一设备IO为主设备,负责接收外网发送的数据信息,所述第二设备20为从设备,在所述安全隔离与信息交换系统中将第一设备IO接收的数据信息同步到第二设备20中,使第一设 备10和第二设备20的数据信息相同。 本实施例中的安全隔离与信息交换系统通过网络的混杂模式接收和发送数据信 息,不建立任何网络连接,从而使该系统成为透明网络设备。该系统在接入到实际的网络环 境中时,不会被发现其在网络中的存在且不占用网络资源,避免或减少了本发明的安全隔 离与信息交换系统被攻击或者被入侵的可能性,从而保障了该系统的安全性。同时,该系统 成为透明网络设备后,不会成为网络中的节点,不需要配置IP地址等网络信息,也不需要 配置原网络中其他设备的配置,同时也不会占用原网络中其他设备的资源,即不需要改动 原网络的拓扑结构和网络配置。 图2为本发明安全隔离与信息交换系统第二实施例的结构示意图。如图2所示,与 图1不同之处在于,所述第一设备10包括第一通用网络驱动模块101、第一服务模块102、 第一系统管理模块103、第一安全策略模块104、第一系统日志模块105、第一私有网络驱动 模块106和第一加/解密模块107。所述第二设备20包括第二通用网络驱动模块201、第 二服务模块202、第二系统管理模块203、第二安全策略模块204、第二系统日志模块205、第 二私有网络驱动模块206和第二加/解密模块207。 所述第一通用网络驱动模块101负责接收第一网络30发送的数据信息,并将数据 信息发送至第一服务模块102,或者接收第一服务模块102发送的数据信息,并将数据信息 发送至第一网络30 ;所述第二通用网络驱动模块201负责接收第二网络40发送的数据信 息,并将数据信息发送至第二服务模块202,或者接收第二服务模块202发送的数据信息, 并将数据信息发送至第二网络40。所述第一通用网络驱动模块101和第二通用网络驱动模 块201中的数据格式是符合标准的TCP/IP协议标准的。 所述第一服务模块102是第一设备10中的核心模块,负责连接第一设备10中的 各个模块,在接收第一通用网络驱动模块101发送的数据信息后,根据第一安全策略模块 104设置的过滤规则,将符合过滤规则的数据信息发送至第一私有网络驱动模块106 ;所述 第二服务模块202是第二设备20中的核心模块,负责连接第二设备20中的各个模块,在接 收第二通用网络驱动模块201发送的数据信息后,根据第二安全策略模块204设置的过滤 规则,将符合过滤规则的数据信息发送至第二私有网络驱动模块206。 所述第一系统管理模块103用于配置第一设备10的系统状态,比如设备状态的管 理、版本控制的管理等,本身并不参与数据信息的处理;所述第二系统管理模块203用于配 置第二设备20的系统状态,比如设备状态的管理、版本控制的管理等,本身并不参与数据 信息的处理。 所述第一安全策略模块104可以根据用户配置的策略规则,将规则处理为系统可 识别的形式,加在到核心的第一服务模块102上,为第一服务模块102提供过滤规则,如IP 过滤规则、协议过滤规则等;所述第二安全策略模块204可以根据用户配置的策略规则,将 规则处理为系统可识别的形式,加在到核心的第二服务模块202上,为第二服务模块202提 供过滤规则,如IP过滤规则、协议过滤规则等。 所述第一系统日志模块105在第一设备10运行的过程中可以记录到该第一设备 10的一些日志情况;所述第二系统日志模块205在第二设备20运行的过程中可以记录到 该第二设备20的一些日志情况。
所述第一私有网络驱动模块106和第二私有网络驱动模块206负责第一设备10 和第二设备20之间的数据信息通讯,均采用的是私有数据信息通讯格式,分别将第一服务 模块102和第二服务模块202发送的数据信息重新按照私有数据信息通讯格式进行重组。 该私有数据信息通讯格式包括协议头结构定义和应用数据格式定义,与现有技术不用,本 发明所采用的私有数据信息通讯格式简化了复杂的协议头结构,仅保留必要的信息,如目 标MAC地址、MAC地址、控制指令、加密指令、数据指令、保留位以及校验和;同时在应用数据 格式定义中采用了可以同时传输多块数据的应用,从而提高了数据信息的传输效率。本发 明中所采用的私有数据信息通讯格式可以有效防止第三方通过非正常手段获取、监听甚至 篡改网络中的数据信息。 所述第一加/解密模块107和第二加/解密模块207负责分别对第一设备10和 第二设备20中的数据信息进行加密和解密处理,从而保证第一设备IO和第二设备20内部 通讯的安全性和完整性。 图3为本发明安全隔离与信息交换系统第三实施例的结构示意图。如图3所示,与 图2不同之处在于,所述第一服务模块102可以包括各种应用协议模块,如FTP模块、HTTP 模块、P0P3模块、SMTP模块或者数据库模块;所述第二服务模块202可以包括各种应用协 议模块,如FTP模块、HTTP模块、P0P3模块、SMTP模块或者数据库模块。
图4为本发明安全隔离与信息交换方法的流程示意图。如图4所示,该方法包括 以下步骤 步骤50 :接收和解析第一网络发送的数据信息,提取有用的数据信息,重新组建 新的数据信息加密后并将加密后的数据信息同步; 步骤51 :将经同步的加密后的数据信息解密后发送至第二网络。
在实施例中所述第一网络为外网,第二网络为内网,下面以本实施例中图3所示 的安全隔离与信息交换系统为基础,详述数据信息从外网经过该系统向内网传输的过程, 如果从内网经过该系统向外网进行数据信息传输,则与数据信息从外网经过该系统向内网 传输的过程相反,在此不再敖述。 本实施例中安全隔离与信息交换方法中步骤50包括以下步骤 步骤501 :第一通用网络驱动模块接收第一网络发送的数据信息,并将数据信息
发送至第一服务模块。 步骤502 :第一服务模块接收和解析第一通用网络驱动模块发送的数据信息,丢 弃不符合规则的数据信息,并将符合规则的数据信息发送至第一私有网络驱动模块。
所述第一服务模块102按照不同的数据信息启用不同的应用协议模块,如HTTP模 块,对数据信息进行解析;并根据第一安全策略模块104提供的策略规则,进行相应的规则 过滤,如是否满足IP特征,是否满足URL特征等,丢弃不符合规则的数据信息;同时产生相 关的日志信息通过第一系统日志模块105进行记录。 步骤503 :第一私有网络驱动模块在符合规则的数据信息中提取有用的数据信
息,重新组建新的数据信息,并将新的数据信息发送至第一加/解密模块。 所述第一私有网络驱动模块106在第一服务模块102发送的符合规则的数据信息
中提取有用的数据信息,如数据内容、通讯地址、时间、连接信息等,再将这些有用的数据信
息重新按照私有数据信息通讯格式进行重组。
步骤504 :第一加/解密模块对经第一私有网络驱动模块重新组建的新的数据信 息进行加密处理后并发送至第一私用网络驱动模块进行数据信息同步。
通过第一设备10中第一加/解密模块107提供的加密算法和加密密钥对重新组 建的新的数据信息进行加密处理。本实施例中以不定期的时间作为加密密钥生成唯一的解 密密钥,如以标准时间为时间格式,即从1970年1月1日0点到当前的秒数,如当前时间是 2008-11-27, 11:30:17,第一设备将此时间转换为标准时间,即生成1259379017的时间字 符串,进行两次MD5算法的散列,得到一个32位的字符串,这个就是加解密的密钥。第一设 备10会将这个密钥发送给第二设备20。同时,在生成这个密钥后,安全隔离与信息交换系 统中第二设备20的第二加/解密模块207将通知第一设备10的第一加/解密模块107,改 变第一加/解密模块107中的加密算法或者加密密钥,进一步提高系统数据信息传输的安 全信。 本实施例中安全隔离与信息交换方法中步骤51包括以下步骤 步骤511 :第二私有网络驱动模块接收经第一私有网络驱动模块同步的数据信
息,并将数据信息发送至第二加/解密模块。 步骤512 :第二加/解密模块对经第二私有网络驱动模块发送的数据信息进行解
密处理,并将解密后的数据信息经由第二私有网络驱动模块发送至第二服务模块。 所述第二加/解密模块207先将经第二私有网络驱动模块206发送的数据信息进
行解密处理,再将解密后的数据信息重新组建成为标准的网络数据格式。 步骤513 :第二服务模块接收解密后的数据信息并经第二通用网络驱动模块发送
至第二网络。 所述第二服务模块202接收解密后的数据信息后,不再启用第二服务模块202中 的应用协议模块,即不再进行协议分析,仅在第二系统日志模块205中记录必要日志信息 后,再转发给第二通用网络驱动模块201 。 以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和 原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
9
权利要求
一种安全隔离与信息交换系统,其特征在于,该安全隔离与信息交换系统包括第一设备和第二设备,所述第一设备用于接收和解析第一网络发送的数据信息,提取有用的数据信息,重新组建新的数据信息加密后并将加密后的数据信息同步至第二设备,或者将经第二设备同步的加密后的数据信息解密后发送至第一网络;所述第二设备用于将经第一设备同步的加密后的数据信息解密后发送至第二网络,或者接收和解析第二网络传输的数据信息,提取有用的数据信息,重新组建新的数据信息加密后并将加密后的数据信息同步至第一设备。
2. 根据权利要求1所述的安全隔离与信息交换系统,其特征在于,所述第一设备包括 第一私有网络驱动模块、第一通用网络驱动模块、第一服务模块、第一系统管理模块、第一 安全策略模块、第一系统日志模块和第一加/解密模块;所述第一通用网络驱动模块,用于接收第一网络发送的数据信息,并将数据信息发送 至第一服务模块,或者接收第一服务模块发送的解密后的数据信息,并将数据信息发送至 第一通用网络驱动模块;所述第一服务模块,用于接收和解析第一通用网络驱动模块发送的数据信息,丢弃不 符合规则的数据信息,并将符合规则的数据信息发送至第一私有网络驱动模块,或者接收 第一私有网络驱动模块发送的解密后的数据信息;所述第一系统管理模块,用于在第一服务模块上配置第一设备的系统状态;所述第一安全策略模块,用于根据用户配置的策略规则,将规则处理为系统可识别的 形式,并对经第一服务模块解析后的数据信息进行相应的规则过滤;所述第一系统日志模块,用于记录第一服务模块产生的日志信息;所述第一私有网络驱动模块,用于在符合规则的数据信息中提取有用的数据信息,重 新组建新的数据信息,并将新的数据信息发送至第一加/解密模块加密后同步至第二设 备,或者将经第二设备解密后的数据信息发送至第一服务模块;所述第一加/解密模块,用于对经第一私有网络驱动模块重新组建的新的数据信息进 行加密处理,或者对经第二设备同步的加密后的数据信息进行解密处理。
3. 根据权利要求1所述的安全隔离与信息交换系统,其特征在于,所述第二设备包括 第二私有网络驱动模块、第二通用网络驱动模块、第二服务模块、第二系统管理模块、第二 安全策略模块、第二系统日志模块和第二加/解密模块;所述第二通用网络驱动模块,用于接收第二网络发送的数据信息,并将数据信息发送 至第二服务模块,或者接收第二服务模块发送的解密后的数据信息,并将数据信息发送至 第二通用网络驱动模块;所述第二服务模块,用于接收和解析第二通用网络驱动模块发送的数据信息,丢弃不 符合规则的数据信息,并将符合规则的数据信息发送至第二私有网络驱动模块,或者接收 第二私有网络驱动模块发送的解密后的数据信息;所述第二系统管理模块,用于在第二服务模块上配置第二设备的系统状态;所述第二安全策略模块,用于根据用户配置的策略规则,将规则处理为系统可识别的 形式,并对经第二服务模块解析后的数据信息进行相应的规则过滤;所述第二系统日志模块,用于记录第二服务模块产生的日志信息;所述第二私有网络驱动模块,用于在符合规则的数据信息中提取有用的数据信息,重新组建新的数据信息,并将新的数据信息发送至第二加/解密模块加密后同步至第一设 备,或者将经第一设备解密后的数据信息发送至第二服务模块;所述第二加/解密模块,用于对经第二私有网络驱动模块重新组建的新的数据信息进 行加密处理,或者对经第一设备同步的加密后的数据信息进行解密处理。
4. 根据权利要求2或3所述的安全隔离与信息交换系统,其特征在于,所述服务模块包 括FTP模块、HTTP模块、P0P3模块、SMTP模块或者数据库模块。
5. 根据权利要求2或3所述的安全隔离与信息交换系统,其特征在于,所述第一网络为 外网,所述第二网络为内网。
6. —种应用如权利要求l-3任一项所述的安全隔离与信息交换系统的安全隔离与信 息交换方法,其特征在于,该方法包括以下步骤步骤一 接收和解析第一网络发送的数据信息,提取有用的数据信息,重新组建新的数 据信息加密后并将加密后的数据信息同步;步骤二 将经同步的加密后的数据信息解密后发送至第二网络。
7. 根据权利要求6所述的安全隔离与信息交换方法,其特征在于,所述步骤一包括以 下步骤第一通用网络驱动模块接收第一网络发送的数据信息,并将数据信息发送至第一服务 模块;第一服务模块接收和解析第一通用网络驱动模块发送的数据信息,丢弃不符合规则的 数据信息,并将符合规则的数据信息发送至第一私有网络驱动模块;第一私有网络驱动模块在符合规则的数据信息中提取有用的数据信息,重新组建新的 数据信息,并将新的数据信息发送至第一加/解密模块;以及第一加/解密模块对经第一私有网络驱动模块重新组建的新的数据信息进行加密处 理后并发送至第一私用网络驱动模块进行数据信息同步。
8. 根据权利要求6所述的安全隔离与信息交换方法,其特征在于,所述步骤二包括以 下步骤第二私有网络驱动模块接收经第一私有网络驱动模块同步的数据信息,并将数据信息 发送至第二加/解密模块;第二加/解密模块对经第二私有网络驱动模块发送的数据信息进行解密处理,并将解 密后的数据信息经由第二私有网络驱动模块发送至第二服务模块;以及第二服务模块接收解密后的数据信息并经第二通用网络驱动模块发送至第二网络。
9. 根据权利要求6所述的安全隔离与信息交换方法,其特征在于,所述第一网络为外网,所述第二网络为内网。
全文摘要
本发明涉及一种安全隔离与信息交换系统,该安全隔离与信息交换系统包括第一设备和第二设备,所述第一设备用于接收和解析第一网络发送的数据信息,提取有用的数据信息,重新组建新的数据信息加密后并将加密后的数据信息同步至第二设备,或者将经第二设备同步的加密后的数据信息解密后发送至第一网络;所述第二设备用于将经第一设备同步的加密后的数据信息解密后发送至第二网络,或者接收和解析第二网络传输的数据信息,提取有用的数据信息,重新组建新的数据信息加密后并将加密后的数据信息同步至第一设备。
文档编号H04L29/06GK101753553SQ20081030603
公开日2010年6月23日 申请日期2008年12月8日 优先权日2008年12月8日
发明者吕超, 张为斌 申请人:北京财富天湖科技有限公司