[发明专利]一种基于web代理的网闸穿透方法及系统

说明书

本发明公开了一种基于Web代理的网闸穿透方法及系统，该方法包括以下步骤：第一网络的终端用户向第二网络的目标服务器发起http请求；将所述http请求发送到第一web代理服务器；所述第一web代理服务器将所述http请求的http数据包通过icap协议，发送给第一icap服务器；所述第一icap服务器将所述http数据包的内容保存为文件；通过单向网闸机制将所述文件发送到第二网络；所述第二web代理服务器将该http请求发送给所述目标服务器，所述目标服务器通过icap协议向终端用户返回http响应数据包。通过该发明的方案，能快速实现网闸隔离网两端的web数据传输，实用性高，运行可靠稳定。

技术领域

本发明涉及数据安全领域，具体涉及一种基于web代理的网闸穿透方法及系统。

背景技术

按照信息保密的技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，如果涉密网络与互联网没有物理隔离，则采用网闸来隔离涉密网络与非涉密网络。因此网闸广泛应用于有涉密网络的国家机构或企事业单位，保证了安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证，防止了未知和已知的木马攻击。

然而，在实际应用中，网闸也对需要穿透涉密网络和互联网的合法数据交互也进行了限制，从而对某些需要进行涉密网络和互联网数据通讯的应用，产生了影响。如何在保证网闸隔离的基础上，又能保证合法数据的便捷传输，是许多国家机构、企事业单位或网闸厂商面临的技术难点。

跨网闸数据传输是长期以来面临的热点问题，相关的技术研究较多。经查询《一种网络隔离网闸数据交换系统》(申请专利号201410633461.2)《一种跨网闸的通信方法和通信系统》(申请号：200910000215.2)《一种基于网闸实现数据传输的方法》(申请专利号201410032613.3)均是该类技术。

上述专利申请主要特征是在网闸两端的网络中部署专用软件,完成业务流数据端口动态转换，网络包数据根据四元组HASH值转发或者网络包协议识别解析与还原等底层方法来实现。

现有技术存在以下缺点：

(1)对底层网络TCP包进行处理。由于要对底层TCP包进行处理，因此部署在网闸两端的专用程序必须获取到TCP层数据，依据获取到的数据再进行协议解析，端口动态转换、四元组HASH等过程，专用程序处理流程复杂，适应性差，策略规则同步便利性差。

(2)实际应用中web数据特别是http数据如何便利的是通过网闸，满足移动互联或者网络互联的要求是关键点。上述方案提到的都是通用的TCP数据的跨网闸通信，实施复杂，对于web数据便利的跨网闸访问，指导意义不大。

本发明通过在涉密网络和互联网络部署两个web代理，web代理间通过文件传输的方法来实现网闸两端网络的透明传输。最终保证网络两端的合法web数据传输。

发明内容

为解决上述技术问题，本发明提供了一种基于Web代理的网闸穿透方法，包括以下步骤：

1)第一网络的终端用户向第二网络的目标服务器发起http请求；

2)将所述http请求发送到第一web代理服务器；

3)所述第一web代理服务器将所述http请求相应的http请求数据包通过ICAP(Internet Content Adaptation Protocol)协议，发送给第一ICAP服务器；

4)所述第一ICAP服务器将所述http请求数据包的内容保存为请求文件；

5)将所述请求文件通过位于第一网络的第一网闸发送到位于第二网络的第二网闸；

6)所述第二网络的第二ICAP服务器从所述第二网闸自动加载所述请求文件，伪造出所述http请求，并发送给所述第二网络的第二web代理服务器；