[发明专利]一种安全通信方法及系统

权利要求书

1.一种安全通信方法，其特征在于，包括以下步骤：

过滤网关建立与汇聚单元通信的加密通信通道；

所述过滤网关接收数据包，还原出所述数据包的应用层数据内容；

所述过滤网关根据预设的内容过滤规则对所述应用层数据内容进行处理，过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包；

所述过滤网关将未被过滤的数据包通过所述加密通信通道发送给所述汇聚单元；

其中，所述过滤网关接收数据包，还原出所述数据包的应用层数据内容具体包括：

所述过滤网关接收数据包，提取所述数据包中的目标IP地址、目标端口、源IP地址、源端口和传输层协议号，并根据所述目标IP地址、所述目标端口、所述源IP地址、所述源端口和所述传输层协议号计算所述数据包的哈希值；

所述过滤网关将所述哈希值与预设的数据表中的哈希值进行匹配，当匹配到相同的哈希值时，过滤掉所述数据包；当未匹配到相同的哈希值时，还原出所述数据包的应用层数据内容。

2.根据权利要求1所述的安全通信方法，其特征在于，所述过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包之后，还包括：

所述过滤网关将所述哈希值存储在所述数据表中；

所述过滤网关对所述数据表中哈希值的匹配次数进行监控，当在预设时间间隔内检测到匹配成功次数超过预设次数的哈希值时，向预设接收端发送疑似网络攻击的提示消息。

3.根据权利要求1或2所述的安全通信方法，其特征在于，所述根据预设的内容过滤规则对所述应用层数据内容进行处理，过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包具体包括：

根据所述内容过滤规则对所述应用层数据内容进行关键词检测，当检测到预设的关键词时，过滤掉所述应用层数据内容包含所述关键词的数据包。

4.根据权利要求3所述的安全通信方法，其特征在于，所述当检测到预设的关键词时，则过滤掉所述数据包还包括：

当检测到预设的关键词时，记录所述关键词；

当所述应用层数据内容全部检测完毕后，根据预设的语义分析算法，依次对全部所述关键词进行处理，提取各所述关键词之前的一个紧邻的第一字符；

判断所述第一字符是否能与所述关键词组合成新的词组，当结果为是时，提取所述关键词之后的一个紧邻的第二字符；

判断所述关键词是否能与所述第二字符组合成新的词组，当结果为是时，则所述关键词为误判关键词；

当全部所述关键词处理完毕后，从记录的全部所述关键词中去除所述误判关键词，并将筛选完毕后剩下关键词作为待过滤关键词；

当所述待过滤关键词的数量大于预设数量时，过滤掉所述数据包。

5.一种安全通信系统，其特征在于，包括：过滤网关和汇聚单元，所述过滤网关具体包括：

通信单元，用于建立与汇聚单元通信的加密通信通道；

处理单元，用于接收数据包，还原出所述数据包的应用层数据内容；

过滤单元，用于根据预设的内容过滤规则对所述应用层数据内容进行处理，过滤掉所述应用层数据内容不符合所述内容过滤规则的数据包；

所述通信单元还用于将未被过滤的数据包通过所述加密通信通道发送给所述汇聚单元；

其中，所述处理单元具体用于接收数据包，并提取所述数据包中的目标IP地址、目标端口、源IP地址、源端口和传输层协议号，并根据所述目标IP地址、所述目标端口、所述源IP地址、所述源端口和所述传输层协议号计算所述数据包的哈希值，并将所述哈希值与预设的数据表中的哈希值进行匹配，当匹配到相同的哈希值时，过滤掉所述数据包；当未匹配到相同的哈希值时，还原出所述数据包的应用层数据内容。

6.根据权利要求5所述的安全通信系统，其特征在于，所述过滤单元还用于将所述哈希值存储在所述数据表中，并对所述数据表中哈希值的匹配次数进行监控，当在预设时间间隔内检测到匹配成功次数超过预设次数的哈希值时，向预设接收端发送疑似网络攻击的提示消息。