面向网闸的安全防护方法、装置及网络系统.pdf

《面向网闸的安全防护方法、装置及网络系统.pdf》由会员分享，可在线阅读，更多相关《面向网闸的安全防护方法、装置及网络系统.pdf（10页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010298542.7 (22)申请日 2020.04.16 (71)申请人 网御安全技术 （深圳） 有限公司 地址 518000 广东省深圳市南山区粤海街 道高新区社区粤兴三道9号华中科技 大学深圳产学研基地大楼A305 (72)发明人 不公告发明人 (74)专利代理机构 深圳君信诚知识产权代理事 务所(普通合伙) 44636 代理人 刘伟 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 面向网闸的安全防护方法、 装置及网络系统 (57)。

2、摘要 本发明涉及了一种面向网闸的安全防护方 法、 装置及网络系统， 该安全防护方法包括： 截取 网络终端发送给网闸的网络数据包； 对所述网络 数据包进行安全检查， 并判断是否通过安全检 查； 若是， 则将安全检查后的网络数据包发送至 网闸； 若否， 则中止所述网络数据包的传送。 实施 本发明的技术方案， 增强网闸的访问控制安全， 且不占用网闸的计算、 存储资源， 也不会改变原 网络架构和部署方式， 可以直接集成在已有网络 中， 无需更换网闸， 节约成本。 权利要求书2页 说明书5页 附图2页 CN 111585972 A 2020.08.25 CN 111585972 A 1.一种面向网闸的安。

3、全防护方法， 其特征在于， 包括： 截取网络终端发送给网闸的网络数据包； 对所述网络数据包进行安全检查， 并判断是否通过安全检查； 若是， 则将安全检查后的网络数据包发送至网闸； 若否， 则中止所述网络数据包的传送。 2.根据权利要求1所述的面向网闸的安全防护方法， 其特征在于， 还包括： 在安全检查未通过时， 将安全检查结果上报给网管。 3.根据权利要求1或2所述的面向网闸的安全防护方法， 其特征在于， 对所述网络数据 包进行安全检查， 包括： 对发送所述网络数据包的网络终端进行身份验证； 和/或， 对所述网络数据包的协议进行检查。 4.根据权利要求3所述的面向网闸的安全防护方法， 其特征在。

4、于， 对发送所述网络数据 包的网络终端进行身份验证， 包括： 获取所述网络数据包的源IP地址， 并判断所述源IP地址是否在预设的IP地址授权列表 中； 和/或， 对发送所述网络数据包的网络终端的签名信息进行验证。 5.根据权利要求3所述的面向网闸的安全防护方法， 其特征在于， 对所述网络数据包的 协议进行检查包括： 获取所述网络数据包的协议类型， 并判断所述协议类型是否在预设的合法协议列表 中； 若在预设的合法协议列表中， 则对所述协议的格式及内容进行合规检查。 6.根据权利要求3所述的面向网闸的安全防护方法， 其特征在于， 还包括： 判断所述网络数据包中是否存在特定应用层协议的数据； 若不存。

5、在， 则将所述网络数据包发送至网闸 若存在， 则提取所述网络数据包中的应用层数据， 并根据预设的信息隐藏规则， 在所述 应用层数据中嵌入随机生成的干扰数据， 且将添加了所述干扰数据后的网络数据包发送至 网闸。 7.一种面向网闸的安全防护装置， 设置在网络终端与网闸之间， 其特征在于， 包括： 网络接口模块， 用于截取网络终端发送给网闸的网络数据包； 安全防护模块， 用于对所述网络数据包进行安全检查； 网闸接口模块， 用于在安全检查通过时， 将安全检查后的网络数据包发送至网闸； 在安 全检查未通过时， 中止所述网络数据包的传送。 8.根据权利要求7所述的面向网闸的安全防护装置， 其特征在于， 还。

6、包括： 上报模块， 用于在安全检查未通过时， 将安全检查结果上报给网管。 9.根据权利要求7或8所述的面向网闸的安全防护装置， 其特征在于， 所述安全防护模 块包括： 身份验证单元， 用于对发送所述网络数据包的网络终端进行身份验证； 和/或， 协议解析单元， 用于对所述网络数据包的协议进行检查。 10.根据权利要求9所述的面向网闸的安全防护装置， 其特征在于， 所述身份验证单元 权利要求书 1/2 页 2 CN 111585972 A 2 包括： IP验证子单元， 用于获取所述网络数据包的源IP地址， 并判断所述源IP地址是否在预 设的IP地址授权列表中； 和/或， 签名验证子单元， 用于对发。

7、送所述网络数据包的网络终端的签名信息进行验证。 11.根据权利要求9所述的面向网闸的安全防护装置， 其特征在于， 所述协议解析单元 包括： 类型判断子单元， 用于获取所述网络数据包的协议类型， 并判断所述协议类型是否在 预设的合法协议列表中； 合规检查子单元， 用于在预设的合法协议列表中时， 对所述协议的格式及内容进行合 规检查。 12.根据权利要求9所述的面向网闸的安全防护装置， 其特征在于， 所述安全防护模块 还包括隐信道干扰单元， 而且， 所述协议解析单元， 还判断所述网络数据包中是否存在特定应用层协议的数据， 并在 存在时， 提取所述网络数据包中的应用层数据， 并将其发送至所述隐信道干。

8、扰模块； 所述隐信道干扰单元， 用于根据预设的信息隐藏规则， 在所述应用层数据中嵌入随机 生成的干扰数据， 且将添加了所述干扰数据后的网络数据包发送至网闸。 13.一种网络系统， 包括网络终端、 网闸， 其特征在于， 还包括权利要求7-12任一项所述 的安全防护装置。 14.根据权利要求13所述的网络系统， 其特征在于， 在所述网络终端的数量为多个时， 所述网络系统还包括至少一个交换机， 且所述安全防护装置通过所述交换机获取所述网络 终端发送至网闸的网络数据包。 权利要求书 2/2 页 3 CN 111585972 A 3 面向网闸的安全防护方法、 装置及网络系统 技术领域 0001 本发明涉。

9、及信息安全领域， 尤其涉及一种面向网闸的安全防护方法、 装置及网络 系统。 背景技术 0002 网闸旨在解决安全隔离下的信息可控交换等问题， 以实现两个断开网络间的信息 摆渡， 构建信息可控交换 “安全岛” ， 所以在政府、 军队、 电力等领域有着广泛的应用。 目前， 网闸可以满足内部网络用户与外部的文件交换、 收发邮件、 单向浏览、 数据库交换等的要 求。 在当前的使用环境中， 网闸往往作为网络安全设备， 以网络安全服务的提供者身份参与 网络通信活动。 但事实上， 网闸自身即是安全服务提供者， 也是网络中一个固定终端节点， 与其他网络终端一样也可能成为恶意攻击者的目标。 甚至由于其特殊地位和。

10、作用， 攻击者 会投入更多精力研究网闸的攻击方法。 这对该问题， 现有方案多是在网闸中集成安全防护 功能， 但更换网闸会带来高额的成本支出， 而且这种方式无法解决现有网闸的安全防护问 题。 所以， 如何在已使用网闸的网络中增强对网闸的安全防护， 仍是本领域技术人员亟待解 决的问题。 发明内容 0003 本发明要解决的技术问题在于， 针对现有技术存在的网闸易遭到恶意攻击的缺 陷， 提供一种面向网闸的安全防护方法、 装置及网络系统。 0004 本发明解决其技术问题所采用的技术方案是： 构造一种面向网闸的安全防护方 法， 包括： 0005 截取网络终端发送给网闸的网络数据包； 0006 对所述网络数。

11、据包进行安全检查， 并判断是否通过安全检查； 0007 若是， 则将安全检查后的网络数据包发送至网闸； 0008 若否， 则中止所述网络数据包的传送。 0009 优选地， 还包括： 0010 在安全检查未通过时， 将安全检查结果上报给网管。 0011 优选地， 对所述网络数据包进行安全检查， 包括： 0012 对发送所述网络数据包的网络终端进行身份验证； 和/或， 0013 对所述网络数据包的协议进行检查。 0014 优选地， 对发送所述网络数据包的网络终端进行身份验证， 包括： 0015 获取所述网络数据包的源IP地址， 并判断所述源IP地址是否在预设的IP地址授权 列表中； 和/或， 00。

12、16 对发送所述网络数据包的网络终端的签名信息进行验证。 0017 优选地， 对所述网络数据包的协议进行检查包括： 0018 获取所述网络数据包的协议类型， 并判断所述协议类型是否在预设的合法协议列 说明书 1/5 页 4 CN 111585972 A 4 表中； 0019 若在预设的合法协议列表中， 则对所述协议的格式及内容进行合规检查。 0020 优选地， 还包括： 0021 判断所述网络数据包中是否存在特定应用层协议的数据； 0022 若不存在， 则将所述网络数据包发送至网闸 0023 若存在， 则提取所述网络数据包中的应用层数据， 并根据预设的信息隐藏规则， 在 所述应用层数据中嵌入随。

13、机生成的干扰数据， 且将添加了所述干扰数据后的网络数据包发 送至网闸。 0024 本发明还构造一种面向网闸的安全防护装置， 设置在网络终端与网闸之间， 包括： 0025 网络接口模块， 用于截取网络终端发送给网闸的网络数据包； 0026 安全防护模块， 用于对所述网络数据包进行安全检查； 0027 网闸接口模块， 用于在安全检查通过时， 将安全检查后的网络数据包发送至网闸； 在安全检查未通过时， 中止所述网络数据包的传送。 0028 优选地， 还包括： 0029 上报模块， 用于在安全检查未通过时， 将安全检查结果上报给网管。 0030 优选地， 所述安全防护模块包括： 0031 身份验证单元。

14、， 用于对发送所述网络数据包的网络终端进行身份验证； 和/或， 0032 协议解析单元， 用于对所述网络数据包的协议进行检查。 0033 优选地， 所述身份验证单元包括： 0034 IP验证子单元， 用于获取所述网络数据包的源IP地址， 并判断所述源IP地址是否 在预设的IP地址授权列表中； 和/或， 0035 签名验证子单元， 用于对发送所述网络数据包的网络终端的签名信息进行验证。 0036 优选地， 所述协议解析单元包括： 0037 类型判断子单元， 用于获取所述网络数据包的协议类型， 并判断所述协议类型是 否在预设的合法协议列表中； 0038 合规检查子单元， 用于在预设的合法协议列表中。

15、时， 对所述协议的格式及内容进 行合规检查。 0039 优选地， 所述安全防护模块还包括隐信道干扰单元， 而且， 0040 所述协议解析单元， 还判断所述网络数据包中是否存在特定应用层协议的数据， 并在存在时， 提取所述网络数据包中的应用层数据， 并将其发送至所述隐信道干扰模块； 0041 所述隐信道干扰单元， 用于根据预设的信息隐藏规则， 在所述应用层数据中嵌入 随机生成的干扰数据， 且将添加了所述干扰数据后的网络数据包发送至网闸。 0042 本发明还构造一种网络系统， 包括网络终端、 网闸， 其特征在于， 还包括以上所述 的安全防护装置。 0043 优选地， 在所述网络终端的数量为多个时，。

16、 所述网络系统还包括至少一个交换机， 且所述安全防护装置通过所述交换机获取所述网络终端发送至网闸的网络数据包。 0044 实施本发明的技术方案， 通过在网络终端与网闸之间部署一独立的安全防护装 置， 并通过该安全防护装置对网络终端发送给网闸的网络数据包进行截取及安全检查， 且 仅允许安全检查通过的网络数据包到达网闸。 这样， 可以增强网闸的访问控制安全， 且不占 说明书 2/5 页 5 CN 111585972 A 5 用网闸的计算、 存储资源， 也不会改变原网络架构和部署方式， 可以直接集成在已有网络 中， 无需更换网闸， 节约成本。 附图说明 0045 为了更清楚地说明本发明实施例， 下面。

17、将对实施例描述中所需要使用的附图作简 单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技 术人员来讲， 在不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。 附图 中： 0046 图1是本发明面向网闸的安全防护方法实施例一的流程图； 0047 图2是本发明网络系统实施例一的逻辑结构图； 0048 图3是本发明面向网闸的安全防护装置实施例一的逻辑结构图。 具体实施方式 0049 下面结合附图详细说明本发明的具体实施方式。 0050 在此记载的具体实施方式/实施例为本发明的特定的具体实施方式， 用于说明本 发明的构思， 均是解释性和示例性的， 不应解。

18、释为对本发明实施方式及本发明范围的限制。 除在此记载的实施例外， 本领域技术人员还能够基于本申请权利要求书和说明书所公开的 内容采用显而易见的其它技术方案， 这些技术方案包括采用对在此记载的实施例的做出任 何显而易见的替换和修改的技术方案， 都在本发明的保护范围之内。 0051 需要说明的是， 在不冲突的情况下， 本申请中的实施例及实施例中的特征可以相 互组合。 0052 图1是本发明面向网闸的安全防护方法实施例一的流程图， 该实施例的安全防护 方法应用在安全防护装置中， 且该安全防护装置设置在网络终端与网闸之间， 因此可先于 网闸获取该网闸所在内部网络中网络终端发送给网闸的网络数据包。 该实。

19、施例的安全防护 方法包括以下步骤： 0053 步骤S10.截取网络终端发送给网闸的网络数据包； 0054 步骤S20.对所述网络数据包进行安全检查， 并判断是否通过安全检查， 若是， 则执 行步骤S30； 若否， 则执行步骤S40； 0055 步骤S30.将安全检查后的网络数据包发送至网闸； 0056 步骤S40.中止所述网络数据包的传送。 0057 在该实施例的技术方案中， 通过在网络终端与网闸之间部署一独立的安全防护装 置， 并通过该安全防护装置对网络终端发送给网闸的网络数据包进行截取及安全检查， 且 仅允许安全检查通过的网络数据包到达网闸。 因此， 具有以下技术效果： 0058 1.可以。

20、增强网闸的访问控制安全； 0059 2.不占用网闸的计算、 存储资源， 也不会改变原网络架构和部署方式， 可以直接集 成在已有网络中， 无需更换网闸， 节约成本； 0060 3.安全防护装置在网络中部署后， 既没有物理地址， 也没有IP地址， 对网络中所有 设备透明， 不会给网络带来额外负担。 0061 进一步地， 本发明面向网闸的安全防护方法还包括： 说明书 3/5 页 6 CN 111585972 A 6 0062 在安全检查未通过时， 将安全检查结果上报给网管， 以进行人工干预。 0063 在一个可选实施例中， 步骤S20中对所述网络数据包进行安全检查包括： 对发送所 述网络数据包的网络。

21、终端进行身份验证。 具体地， 可通过以下方式进行身份验证： 1.获取所 述网络数据包的源IP地址， 并判断所述源IP地址是否在预设的IP地址授权列表中； 2.若在 所述IP地址授权列表中， 则对发送所述网络数据包的网络终端的签名信息进行验证。 0064 关于上述实施例， 需说明的是， 本发明并不限定签名信息的验证方法， 可根据应用 场景或所要达到的安全等级选择不同强度的密码学方法。 0065 另外， 以上两种身份验证的方式可独立进行， 也可同时进行， 例如， 在一个具体实 施例中， 在对与网闸通信的网络终端没有签名认证要求的场景下， 也可以省略方式2， 即， 若 判断网络数据包的源IP地址在白。

22、名单(IP地址授权列表)时， 则可确定通过了身份验证， 若 否， 则确定未通过安全检查； 在另一个具体实施例中， 先判断网络数据包的源IP地址是否在 预设的白名单中， 若是， 则再对网络终端的签名信息进行验证， 只有源IP地址及签名信息均 验证通过时， 才认为通过了身份验证。 0066 在另一个可选实施例中， 步骤S20中对所述网络数据包进行安全检查包括： 对所述 网络数据包的协议进行检查。 具体地， 可通过以下方式检查网络数据包的协议： 获取所述网 络数据包的协议类型， 并判断所述协议类型是否在预设的合法协议列表中； 若在预设的合 法协议列表中， 则对所述协议的格式及内容进行合规检查。 在该。

23、实施例中， 可利用网络数据 包内协议头字段判别协议类型， 若协议类型不在预设的合法协议列表中， 则确定未通过协 议检查， 此时， 中止通信并向网管报告； 若在预设的合法协议列表中， 则依协议标准对该网 络数据包的协议格式及内容进行合规检查， 若未通过合规检查， 则中止通信并将情况向网 管报告； 若通过合规检查， 则确定通过了协议检查。 0067 在此需说明的是， 步骤S20在对网络数据包进行安全检查时， 可仅进行发送该网络 数据包的网络终端的身份验证， 也可仅进行该网络数据包的协议检查， 当然， 在其它的一些 实施例中， 可同时对网络终端的身份及网络数据包的协议进行检查。 0068 进一步地，。

24、 步骤S20在对网络数据包进行安全检查时， 还可进一步执行： 0069 判断所述网络数据包中是否存在特定应用层协议的数据， 在此需说明的是， 特定 应用层协议是指SMTP、 RTP等邮件协议、 音/视频流协议等易被植入隐藏信息的应用层协议； 0070 若不存在， 则将所述网络数据包发送至网闸 0071 若存在， 则提取所述网络数据包中的应用层数据， 并根据预设的信息隐藏规则， 在 所述应用层数据中嵌入随机生成的干扰数据， 且将添加了所述干扰数据后的网络数据包发 送至网闸。 在此需说明的是， 本发明不限定所采用的信息隐藏方法， 例如可为： 文本信息隐 藏、 LSB、 变换域隐藏等音视频信息隐藏方。

25、法， 而且， 将添加了干扰数据后的网络数据包根据 协议标准重新封装后， 再发送给网闸。 0072 在该实施例中， 若判断网络数据包不存在特定应用层协议的数据， 则认为该网络 数据包不易被植入隐藏信息， 此时直接将网络数据包发送至网闸； 若判断网络数据包存在 特定应用层协议的数据， 则认为该网络数据包易被植入隐藏信息， 此时， 通过在网络数据包 中添加干扰信息来增加数据流出网闸后原始数据中隐藏信息被提取的难度。 0073 最后需说明的是， 上面各种方法的步骤划分， 只是为了描述清楚， 实现时可以合并 为一个步骤或者对某些步骤进行拆分， 分解为多个步骤， 只要包括相同的逻辑关系， 都在本 说明书 。

26、4/5 页 7 CN 111585972 A 7 专利的保护范围内； 对方法中或者流程中添加无关紧要的修改或者引入无关紧要的设计， 但不改变其算法和流程的核心设计都在该专利的保护范围内。 0074 图2是本发明网络系统实施例一的逻辑结构图， 该实施例的网络系统包括多个网 络终端21、 、 22、 交换机40、 安全防护装置10及网闸30， 其中， 安全防护装置10至少具有两 个网络接口， 且一个网络接口通过交换机40连接多个网络终端21、 、 22， 另一个网络接口 连接网闸30。 当然， 在其它实施例中， 也可将网络终端直接与安全防护装置10连接。 另外， 该 安全防护装置10可在新规划的网。

27、络中配置， 也可以在不改变网络架构的情况下在已有网络 中添加， 能够在不影响正常网络通信的基础上保护网闸功能完整性， 降低被攻击的风险。 0075 结合图3所示的安全防护装置， 该实施例的安全防护装置包括依次相连的网络接 口模块11、 安全防护模块12和网闸接口模块13， 其中， 网络接口模块11用于截取网络终端发 送给网闸的网络数据包； 安全防护模块12用于对所述网络数据包进行安全检查； 网闸接口 模块13用于在安全检查通过时， 将安全检查后的网络数据包发送至网闸； 在安全检查未通 过时， 中止所述网络数据包的传送。 0076 安全防护模块12进一步包括： 身份验证单元121、 协议解析单元。

28、122和隐信道干扰 单元123， 其中， 身份验证单元121用于对发送所述网络数据包的网络终端进行身份验证； 协 议解析单元122用于对所述网络数据包的协议进行检查， 还用于判断所述网络数据包中是 否存在特定应用层协议的数据， 并在存在时， 提取所述网络数据包中的应用层数据， 并将其 发送至所述隐信道干扰模块123； 隐信道干扰单元123用于根据预设的信息隐藏规则， 在所 述应用层数据中嵌入随机生成的干扰数据， 且将添加了所述干扰数据后的网络数据包发送 至网闸。 0077 关于身份验证单元121， 在一个可选实施例中， 其可包括： IP验证子单元和签名验 证子单元， 其中， IP验证子单元用于。

29、获取所述网络数据包的源IP地址， 并判断所述源IP地址 是否在预设的IP地址授权列表中； 签名验证子单元用于对发送所述网络数据包的网络终端 的签名信息进行验证。 0078 关于协议解析单元122， 在一个可选实施例中， 其可包括： 类型判断子单元和合规 检查子单元， 其中， 类型判断子单元用于获取所述网络数据包的协议类型， 并判断所述协议 类型是否在预设的合法协议列表中； 合规检查子单元， 用于在预设的合法协议列表中时， 对 所述协议的格式及内容进行合规检查。 具体地， 通过对网络数据包进行解析， 来获取该网络 数据包中各层协议头， 对照预设的协议白名单， 判断各层所采用协议是否在白名单上， 。

30、如果 网络数据包中出现了不在白名单中的协议字段， 则向网管报告； 若各层协议均在预设白名 单上， 则对各层协议进行合规性检查， 具体地， 首先检查协议格式是否遵循协议标准， 再检 查协议各项参数是否在正常范围内， 若有以下情况出现： 不遵循标准、 参数不在正常范围内 或传输层、 网络层协议有附加字段， 则判定为有畸形攻击数据出现， 立刻中止对数据包的处 理并将情况向网管报告。 0079 进一步地， 本发明的安全防护装置还可包括上报模块， 该上报模块用于在安全检 查未通过时， 将安全检查结果上报给网管。 0080 以上所述仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本领域的技 术人员来说， 本发明可以有各种更改和变化。 凡在本发明的精神和原则之内， 所作的任何纂 改、 等同替换、 改进等， 均应包含在本发明的权利要求范围之内。 说明书 5/5 页 8 CN 111585972 A 8 图1 图2 说明书附图 1/2 页 9 CN 111585972 A 9 图3 说明书附图 2/2 页 10 CN 111585972 A 10 。