[发明专利]一种内网安全接入方法及系统有效
| 申请号: | 201710555318.X | 申请日: | 2017-07-10 |
| 公开(公告)号: | CN107360154B | 公开(公告)日: | 2020-01-07 |
| 发明(设计)人: | 李喜旺;王群;李忠诚;向勇;侯严光 | 申请(专利权)人: | 中国科学院沈阳计算技术研究所有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/46;H04L12/741 |
| 代理公司: | 21002 沈阳科苑专利商标代理有限公司 | 代理人: | 许宗富 |
| 地址: | 110168 辽*** | 国省代码: | 辽宁;21 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 接入服务模块 终端 采集服务器 安全接入 内网业务 外网终端 主站 内存 下行数据报文 加密文件 物理隔离 下行 上行数据报文 网络适应性 流式处理 内网安全 数据安全 数据采集 通信延时 驻留 点对点 上下行 报文 正向 加密 解析 隧道 传输 便利 返回 通信 保证 | ||
1.一种内网安全接入方法,其特征在于,包括以下步骤:
步骤1:在主站采集服务器与内网业务接入服务模块之间建立点对点隧道;在外网终端接入服务模块与安全接入终端之间建立点对点隧道;内网业务接入服务模块初始化内存文件目录;启动内网业务接入服务模块的网络监听;启动安全接入终端的网络监听;在内网业务接入服务模块上配置外部接入厂站IP,将外部接入厂站附加路由更新脚本传送给主站采集服务器;主站采集服务器运行路由更新脚本更新附加路由表;
步骤2:主站采集服务器发起网络会话连接信息,附加路由表将连接请求引导到内网业务接入服务模块的端口监听服务、将下行数据报文通过主站采集服务器与内网业务接入服务模块之间的点对点隧道发送给内网业务接入服务模块的网络监听;
步骤3:内网业务接入服务模块在接收到下行数据报文后,加密创建包含网络会话连接信息和下行数据报文的下行内存加密文件并发送给物理隔离正向终端;同时更新网络会话连接信息至连接白名单;
步骤4:物理隔离正向终端将下行内存加密文件交换到外网终端接入服务模块的指定内存文件中;
步骤5:外网终端接入服务模块对接收的下行内存加密文件进行解密解析得到网络会话连接信息和下行数据报文,根据网络会话连接信息向安全接入终端发起连接,并通过外网终端接入服务模块与安全接入终端之间的点对点隧道发送下行数据报文给安全接入终端的网络监听;
步骤6:安全接入终端根据接收的下行数据报文的规约内容,生成相应的上行数据报文,并通过外网终端接入服务模块与安全接入终端之间的点对点隧道返回给外网终端接入服务模块的网络监听;
步骤7:外网终端接入服务模块接收到上行数据报文后,加密创建包含网络会话连接信息和上行数据报文的上行内存加密文件并发送给物理隔离反向终端;
步骤8:物理隔离反向终端将上行内存加密文件交换到内网业务接入服务模块;
步骤9:内网业务接入服务模块对接收的上行内存加密文件进行解密解析得到网络会话连接信息和上行数据报文;判断网络会话连接信息的连接合法性,若合法则获得对应的会话连接并将上行数据报文发送给主站采集服务器,若非法则丢弃本次连接并记录日志到非法日志文件中。
2.按照权利要求1所述一种内网安全接入方法,其特征在于,所述点对点隧道采用GRE隧道的方式。
3.按照权利要求1所述一种内网安全接入方法,其特征在于,所述厂站附加路由的目标地址为厂站IP地址,路由地址为点对点隧道内网业务接入服务器侧的IP地址。
4.按照权利要求1所述一种内网安全接入方法,其特征在于,所述连接白名单采用Hash表结构。
5.按照权利要求1所述一种内网安全接入方法,其特征在于,所述判断网络会话连接信息的连接合法性为查询连接白名单Hash表中是否存在网络会话连接信息,若存在则判断合法,若不存在则判断非法。
6.按照权利要求1所述一种内网安全接入方法,其特征在于,所述内网业务接入服务模块在解析加密文件时,如果解析失败,则丢弃文件,并将丢弃记录到非法日志文件中。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院沈阳计算技术研究所有限公司,未经中国科学院沈阳计算技术研究所有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710555318.X/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种开关模块安全装置
- 下一篇:一种曝光控制方法、移动终端和计算机存储介质
