一種云安全網關及云安全系統的制作方法
本發明涉及網絡信息安全領域,特別是指一種云安全網關及云安全系統。
背景技術:
隨著信息化進程的深入和互聯網的迅速發展,人們的工作、學習和生活方式正在發生巨大變化,效率大為提高,信息資源得到最大程度的共享。但緊隨信息化發展而來的網絡安全問題日漸凸出,如果不很好的解決這個問題,必將阻礙信息化發展的進程。
互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間,網絡技術的迅速發展和廣泛應用,為人類社會的進步提供了巨大推動力。然而,正是由于互聯網的上述特性,產生了許多安全問題:
a)信息泄漏、信息污染、信息不易受控。例如,資源未授權侵用、未授權信息流出現、系統拒絕信息流和系統否認等,這些都是信息安全的技術難點。
b)在網絡環境中,一些組織或個人出于某種特殊目的,進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透,甚至通過網絡進行政治顛覆等活動,使國家利益、社會公共利益和各類主體的合法權益受到威脅。
c)網絡運用的趨勢是全社會廣泛參與,隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧,使信息資源的保護和管理出現脫節和真空,從而使信息安全問題變得廣泛而復雜。
d)隨著社會重要基礎設施的高度信息化,社會的“命脈”和核心控制系統有可能面臨惡意攻擊而導致損壞和癱瘓,包括國防通信設施、動力控制網、金融系統和政府網站等。
當前,制約我國提高網絡安全防御能力的主要因素有以下幾方面。
a)缺乏自主的計算機網絡和軟件核心技術;
b)安全意識淡薄是網絡安全的瓶頸;
c)運行管理機制的缺陷和不足制約了安全防范的力度;
d)缺乏行之有效的安全檢查和制度化的防范機制。
現有技術中采用的安全方案一般包括:防火墻技術,安全路由器等。但是防火墻技術雖然可以阻斷攻擊,但是不能消滅攻擊源,不能抵抗最新的未設置策略的攻擊漏洞,且并發連接數限制容易導致擁塞或者溢出;安全路由器對用戶訪問的認證存在問題,遠程攻擊者可以利用此漏洞非授權訪問設備,存在極大的安全隱患。
技術實現要素:
本發明的目的在于提供一種云安全網關及云安全系統,解決了現有技術中的由于防火墻技術和/或安全路由器存在漏洞而導致的網絡安全的問題。
為了達到上述目的,本發明實施例提供一種云安全網關,包括:內網口,信息處理單元,會話管理單元以及外網口;其中,
內網口接收用戶設備通過有線網絡發送的明文業務數據,然后將接收到的明文業務數據傳輸給所述信息處理單元,經過所述信息處理單元的加密處理,并由會話管理單元核驗用戶設備的身份后,得到加密的業務數據,最后將所述加密的業務數據利用有線網絡并通過外網口傳輸至云服務器進行保存。
其中,所述信息處理單元包括:
與所述內網口連接的網絡數據接口;
與所述網絡數據接口連接的格式轉換模塊;
與所述格式轉換模塊連接的信息加密單元;其中,
網絡數據接口接收從所述內網口傳輸過來的明文業務數據,并將明文業務數據傳輸給所述格式轉換模塊,經過所述格式轉換模塊的格式轉換處理得到預設格式的數據,再由所述信息加密單元對所述預設格式的數據進行加密處理得到加密的業務數據。
其中,所述會話管理單元還用于管理所述信息處理單元對明文業務數據進行加密處理過程中的加密密鑰。
其中,所述會話管理單元還用于管理與所述云安全網關建立通信的用戶設 備的通信數據;所述通信數據包括帶寬和數據權限。
其中,所述云安全網關還包括:
與所述用戶設備通過總線連接的總線數據接收單元;
與所述總線數據接收單元連接的總線協議轉換單元;其中,
總線數據接收單元接收用戶設備通過總線發送的業務數據,并將業務數據傳輸給所述總線協議轉換單元,經過所述總線協議轉換單元的轉換處理,得到格式與所述網絡數據接口輸出的數據相同的明文業務數據,并將明文業務數據傳輸給所述格式轉換模塊。
其中,所述云安全網關還包括:
與所述內網口連接的內網感知單元;
以及審計單元和日志單元;
其中,
所述審計單元用于用戶設備和云安全網關之間的通信過程的審計;
所述日志單元用于用戶設備和云安全網關之間的通信過程的日志記錄。
本發明實施例還提供一種云安全系統,包括:云服務器以及基于有線網絡的如上所述的云安全網關。
本發明實施例還提供一種云安全網關,包括:內網口,信息處理單元,會話管理單元以及外網口;其中,
外網口接收用戶設備通過有線網絡發送的數據請求消息,然后將接收到所述數據請求消息傳輸給所述會話管理單元,經過所述會話管理單元對所述用戶設備的身份認證后,由所述信息處理單元從云服務器中獲取與所述數據請求消息對應的加密的業務數據,并對所述加密的業務數據進行解密處理得到明文業務數據,最后利用有線網絡并通過所述內網口傳輸至所述用戶設備。
其中,所述信息處理單元包括:
與所述內網口連接的網絡數據接口;
與所述網絡數據接口連接的格式轉換模塊;
與所述格式轉換模塊連接的信息解密單元;其中,
信息解密單元對加密的業務數據進行解密處理,格式轉換模塊對解密后的業務數據進行格式轉換后得到明文業務數據,并從所述網絡數據接口將所述明 文業務數據傳輸至所述內網口。
其中,所述會話管理單元還用于管理所述信息處理單元對加密的業務數據進行解密處理過程中的解密密鑰。
其中,所述會話管理單元還用于管理與所述云安全網關建立通信的用戶設備的通信數據;所述通信數據包括帶寬和數據權限。
其中,所述云安全網關還包括:
與所述外網口連接的外網感知單元;
以及審計單元和日志單元;
其中,
所述審計單元用于用戶設備和云安全網關之間的通信過程的審計;
所述日志單元用于用戶設備和云安全網關之間的通信過程的日志記錄。
本發明實施例還提供一種云安全系統,包括云服務器以及基于有線網絡的如上所述的云安全網關。
本發明的上述技術方案至少具有如下有益效果:
本發明實施例的云安全網關及云安全系統中,通過信息處理單元和會話管理單元實現對用戶設備的身份校驗和業務數據傳輸和數據存儲全程加密保護;并提供安全的互聯網入口,即內網口和外網口,保證業務數據采集和數據輸出安全,保護用戶網絡免受黑客攻擊、病毒、蠕蟲、木馬、惡意代碼攻擊等混合威脅的侵害,大大提高了網絡的安全性能。
附圖說明
圖1表示本發明實施例提供的云安全網關的原理圖;
圖2表示本發明實施例提供的云安全系統的結構圖。
具體實施方式
為使本發明要解決的技術問題、技術方案和優點更加清楚,下面將結合附圖及具體實施例進行詳細描述。
第一實施例
如圖1所示,本發明的第一實施例提供一種云安全網關,包括:內網口1, 信息處理單元2,會話管理單元3以及外網口4;其中,
內網口1接收用戶設備通過有線網絡發送的明文業務數據,然后將接收到的明文業務數據傳輸給所述信息處理單元2,經過所述信息處理單元2的加密處理,并由會話管理單元3核驗用戶設備的身份后,得到加密的業務數據,最后將所述加密的業務數據利用有線網絡并通過外網口4傳輸至云服務器進行保存。
本發明的上述實施例提供一種基于有線網絡的云安全網關,通過該云安全網關的內網口1接收數據,外網口4發送數據,保證業務數據采集及數據輸出的安全,其中,內網口1和/或外網口4可以是電口,也可以是光口;并通過信息處理單元2對明文業務數據進行加密處理,該信息處理單元2基于高性能芯片的各類加密算法來實現,以保證數據吞吐量和加密強度,同時為不同的用戶設備分配不同的密鑰等級,從而實現不同密級數據的“押運”;進一步通過會話管理單元3對用戶設備進行認證,例如按照規則通信協議的黑白名單,授權用戶管理,對所有建立起來的會話通信進行管理、根據認證管理規則,對通信用戶進行身份認證等。
具體的,本發明的第一實施例中針對用于用戶的實際情況不同,業務數據使用的密鑰等級不同,一般把密鑰分為5個等級:絕密、機密、秘密、商密以及明文。云安全網關按照數據管控規則,將業務數據按照指定的加密算法,用協商好的密鑰進行數據加密。
具體的,本發明的第一實施例中所述信息處理單元2包括:
與所述內網口1連接的網絡數據接口21;
與所述網絡數據接口21連接的格式轉換模塊22;
與所述格式轉換模塊22連接的信息加密單元23;其中,
網絡數據接口21接收從所述內網口1傳輸過來的明文業務數據,并將明文業務數據傳輸給所述格式轉換模塊22,經過所述格式轉換模塊22的格式轉換處理得到預設格式的數據,再由所述信息加密單元23對所述預設格式的數據進行加密處理得到加密的業務數據。
本發明的上述實施例中,從網路數據接口21處接收到的明文業務數據均為標準網絡數據,為了解決數據格式標準化的問題,采用格式轉換模塊22對明文的業務數據按照國家標準處理,進行標準格式轉換。具體的,該格式轉換模塊 22還包括一業務數據緩存模塊,業務數據緩存模塊主要用于將接收到的來自內網口的數據(如視頻、圖片類)進行緩存,為格式標準化做好準備;繼而通過業務數據格式標準化/數據置換模塊對緩存的內容按國家標準處理,進行標準格式轉換。
將不同格式的數據進行標準化,可得到不同種類的索引。索引包括:信息內容索引、信息長度索引、信息密級索引等,便于數據的管理、查找及存儲。
具體的,本發明的第一實施例中所述會話管理單元3還用于管理所述信息處理單元對明文業務數據進行加密處理過程中的加密密鑰。
且所述會話管理單元3還用于管理與所述云安全網關建立通信的用戶設備的通信數據;所述通信數據包括帶寬和數據權限。
綜上,會話管理單元3用于在數據傳輸過程中進行會話管理,按照規則通信協議的黑白名單,授權用戶管理,對所有建立起來的會話通信進行管理。針對一些特殊應用,可以定制帶寬保證,延時保證服務。然后根據密鑰管理規則進行數據密鑰管理,再根據認證管理規則,對通信用戶進行身份認證,或者對云安全網關進行身份認證;最后對建立通信連接的用戶進行實時通信使能,帶寬管理,數據權限管理等。
需要說明的是,本發明的第一實施例提供的會話管理單元3的集成在云安全網關上的,實際應用中,該會話管理單元3也可以不集成在云安全網關上,其會話管理單元3可單獨設置,也可集成在云服務器或者其他通信設備上,在此不作具體限定;所有能夠達到上述作用的會話管理單元均適用于本發明實施例,均屬于本申請的保護范圍。
進一步的,本發明的第一實施例中所述云安全網關還包括:
與所述用戶設備通過總線連接的總線數據接收單元5;
與所述總線數據接收單元5連接的總線協議轉換單元6;其中,
總線數據接收單元5接收用戶設備通過總線發送的業務數據,并將業務數據傳輸給所述總線協議轉換單元6,經過所述總線協議轉換單元6的轉換處理,得到格式與所述網絡數據接口輸出的數據相同的明文業務數據,并將明文業務數據傳輸給所述格式轉換模塊22。
本發明的上述實施例中,用戶設備的業務數據除了從內網口傳輸之外,還 可以通過總線傳輸,例如利用汽車總線canbus、工業總線等傳輸數據,通過信號轉接板可以接收到來自于這些網絡的數據信號;同時為了方便后續格式標準化、加密處理等過程,需要利用總線協議轉換單元6將從總線數據接收單元5處接收到的數據的通信方式從總線轉換成基于tcp的通信,如將工業總線(過程現場總線profibus、modbus、地鐵總線,醫療設備通信協議dicom),汽車總線canbus等數據,按照標準的規則,轉換成標準的網絡數據。
進一步的,本發明的第一實施例提供的基于有線網絡的云安全網關的硬件采用高性能的異構架構,在不影響云安全網關的總體性能(數據傳輸速度、數據質量)的情況下,可以對內網提供感知的運行環境,即所述云安全網關還包括:
與所述內網口連接的內網感知單元7;
以及審計單元8和日志單元9;
其中,
所述審計單元8用于用戶設備和云安全網關之間的通信過程的審計;
所述日志單元9用于用戶設備和云安全網關之間的通信過程的日志記錄。
本發明的上述實施例中,通過內網感知單元7提供內網感知環境,并根據審計的總體要求,通過審計單元8植入審計功能,并通過日志單元9建立整個設備的運行、故障、規則修改等日志操作。即本發明的第一實施例提供的云安全網關為用戶提供統一地管理各種安全特性及相關日志、報告,大大降低了設備部署、管理和維護的運營成本,實現不同業務信息的互聯互通。
下面結合圖1對用戶a將明文業務數據上傳至云服務器進行保存的過程進行詳細描述:
用戶a通過有線網絡將業務數據以明文信息方式將用戶業務數據從內網口(可以是電口,可以是光口)傳輸至云安全網關的網絡數據接口。或者由其他總線傳輸數據,通過信號轉接板,可以接收到來自于這些網絡的數據信號,將接收到來自其他總線的數據,按照標準的規則,轉換成標準的網絡數據。
且硬件采用高性能的異構架構,在不影響總體性能的情況下(數據傳輸速度、數據質量),可以對內網提供感知的運行環境,根據審計的總體要求,植入審計功能,并建立整個設備的運行,故障,規則修改日志操作。緊接著將接收 到來自內網的數據(如視頻類、圖片類)進行緩存,為格式標準化做好準備,并將要傳輸的內容按國家標準處理,進行標準格式轉換,并對用戶數據內容進行加密,針對用戶的實際情況不同,用戶數據使用的密鑰等級不同。一般把密鑰分為以下5個等級。a)絕密、b)機密、c)秘密、d)商密、e)明文;按照數據管控規則,將數據按照指定的加密算法,用協商好的密鑰進行數據加密。
傳輸過程中進行會話管理,按照規則通訊協議的黑白名單,授權用戶管理,對所有建立起來的會話通訊進行管理。(針對一些特殊應用,可以定制帶寬保證,延時保證服務)。然后根據密鑰管理規則進行數據密鑰管理,再根據認證管理規則,對通訊用戶進行身份認證,或者對網關a進行身份認證。最后,對建立通訊連接的用戶進行實時通訊使能,帶寬管理,數據權限管理。
最后通過云安全網關的外網口將已加密的業務數據通過有線網絡上傳到云服務器。
綜上,本發明的第一實施例提供云安全網關,具有安全防護功能,避免用戶數據受到攻擊;具有數據加密功能,防止用戶數據泄露,確保數據安全保密傳輸;具有數據認證功能,防止系統被其他非授權控制控制,上傳或者下載數據。同時,為了保證用戶設備與云安全網關之間的有線網絡連接,云安全網關連接有一有線通信模塊,使用rj45網口,連網方式為同軸電纜、雙絞線以及光纖中的一種或多種;且該有線通信模塊內置于云安全網關內部,或者有線通信模塊可拆卸地固定在云安全網關上。
第二實施例
為了更好的實現上述目的,如圖2所示,本發明的第二實施例還提供一種云安全系統,包括:云服務器以及如上所述的基于有線網絡的云安全網關。
需要說明的是,本發明的第二實施例提供的云安全系統是包括上述第一實施例提供的云安全網關的云安全系統,故上述第一實施例的所有實施例均適用于該云安全系統,且均能達到相同或相似的有益效果。
第三實施例
如圖1所示,本發明的第三實施例還提供一種云安全網關,包括:內網口1,信息處理單元2,會話管理單元3以及外網口4;其中,
外網口4接收用戶設備通過有線網絡發送的數據請求消息,然后將接收到 所述數據請求消息傳輸給所述會話管理單元3,經過所述會話管理單元3對所述用戶設備的身份認證后,由所述信息處理單元2從云服務器中獲取與所述數據請求消息對應的加密的業務數據,并對所述加密的業務數據進行解密處理得到明文業務數據,最后利用有線網絡并通過所述內網口1傳輸至所述用戶設備。
本發明的上述實施例提供一種基于有線網絡的云安全網關,通過該云安全網關的內網口1接收數據,外網口4發送數據,保證業務數據采集及數據輸出的安全,其中,內網口1和/或外網口4可以是電口,也可以是光口;并通過信息處理單元2對加密的業務數據進行解密處理,該信息處理單元2基于高性能芯片的各類加密算法來實現,以保證數據吞吐量,進一步通過會話管理單元3對用戶設備進行認證,例如按照規則通信協議的黑白名單,授權用戶管理,對所有建立起來的會話通信進行管理、根據認證管理規則,對通信用戶進行身份認證等。
具體的,所述信息處理單元2包括:
與所述內網口1連接的網絡數據接口21;
與所述網絡數據接口21連接的格式轉換模塊22;
與所述格式轉換模塊22連接的信息解密單元24;其中,
信息解密單元24對加密的業務數據進行解密處理,格式轉換模塊對解密后的業務數據進行格式轉換后得到明文業務數據,并從所述網絡數據接口21將所述明文業務數據傳輸至所述內網口1。
本發明的上述實施例中,從云服務器獲取的加密的業務數據可能是標準格式的,也能的非標準格式的;對于標準格式的加密的業務數據,信息解密單元24對其進行解密處理后即可直接從網絡數據接口21傳輸至內網口1;而對于非標準格式的加密的業務數據,信息解密單元24對其進行解密處理后還需經過格式轉換模塊22的格式轉換處理,使其得到標準格式的明文業務數據,再從網絡數據接口21傳輸至內網口1。
需要說明的是,與第一實施例相似的是該格式轉換模塊22也包括一業務數據緩存模塊,業務數據緩存模塊主要用于將接收到的來自外網口的數據(如視頻、圖片類)進行緩存,為格式標準化做好準備;繼而通過業務數據格式標準化/數據置換模式對緩存的內容按國家標準處理,進行標準格式轉換。將不同格 式的數據進行標準化,可得到不同種類的索引。索引包括:信息內容索引、信息長度索引、信息密級索引等,便于數據的管理、查找及存儲。
具體的,本發明的第二實施例中所述會話管理單元3還用于管理所述信息處理單元對加密的業務數據進行解密處理過程中的解密密鑰。
且所述會話管理單元3還用于管理與所述云安全網關建立通信的用戶設備的通信數據;所述通信數據包括帶寬和數據權限。
綜上,會話管理單元3用于在數據傳輸過程中進行會話管理,按照規則通信協議的黑白名單,授權用戶管理,對所有建立起來的會話通信進行管理。針對一些特殊應用,可以定制帶寬保證,延時保證服務。然后根據密鑰管理規則進行數據密鑰管理,再根據認證管理規則,對通信用戶進行身份認證,或者對云安全網關進行身份認證;最后對建立通信連接的用戶進行實時通信使能,帶寬管理,數據權限管理等。
需要說明的是,本發明的第一實施例提供的會話管理單元3的集成在云安全網關上的,實際應用中,該會話管理單元3也可以不集成在云安全網關上,其會話管理單元3可單獨設置,也可集成在云服務器或者其他通信設備上,在此不作具體限定;所有能夠達到上述作用的會話管理單元均適用于本發明實施例,均屬于本申請的保護范圍。
進一步的,本發明的第一實施例提供的基于有線網絡的云安全網關的硬件采用高性能的異構架構,在不影響云安全網關的總體性能(數據傳輸速度、數據質量)的情況下,可以對內網提供感知的運行環境,即所述云安全網關還包括:
與所述外網口4連接的外網感知單元10;
以及審計單元8和日志單元9;
其中,
所述審計單元8用于用戶設備和云安全網關之間的通信過程的審計;
所述日志單元9用于用戶設備和云安全網關之間的通信過程的日志記錄。
本發明的上述實施例中,通過外網感知單元10提供外網感知環境,并根據審計的總體要求,通過審計單元8植入審計功能,并通過日志單元9建立整個設備的運行、故障、規則修改等日志操作。即本發明的第三實施例提供的云安 全網關為用戶提供統一地管理各種安全特性及相關日志、報告,大大降低了設備部署、管理和維護的運營成本,實現不同業務信息的互聯互通。
下面結合圖1對用戶b獲取云服務器上加密的數據的過程進行詳細描述:
用戶b通過有線網絡發送信息請求至云安全網關的外網口。由于硬件采用高性能的異構架構,在不影響總體性能的情況下,對外網提供感知的運行環境,根據審計的總體要求,植入審計功能,并建立整個設備的運行,故障,規則修改日志操作。
云安全網關進行會話管理,按照規則通訊協議的黑白名單,授權用戶管理,對所有建立起來的會話通訊進行管理。(針對一些特殊應用,可以定制帶寬保證,延時保證服務)。根據密鑰管理規則進行數據密鑰管理,再根據認證管理規則,對通訊用戶進行身份認證。最后,對建立通訊連接的用戶進行實時通訊使能,帶寬管理,數據權限管理。認證通過后加密的數據通過有線網絡加密傳輸到達用戶b的云安全網關。
云安全網關按照數據管控規則,將數據按照指定的解密算法,用協商好的密鑰進行數據解密。同時為了解決數據格式標準化問題,需要將接收到來自外網的數據(如視頻類、圖片類)進行緩存,為格式標準化做好準備。再將要傳輸的內容按國家標準處理,進行標準格式轉換。
最后安全網關通過網絡數據接口發送已標準化的解密數據,用戶b通過有線網絡接收云安全網關發送的已標準化的解密數據。
綜上,本發明的第三實施例提供云安全網關,具有安全防護功能,避免用戶數據受到攻擊;具有數據認證功能,防止系統被其他非授權控制控制,上傳或者下載數據。同時,為了保證用戶設備與云安全網關之間的有線網絡連接,云安全網關連接有一有線通信模塊,使用rj45網口,連網方式為同軸電纜、雙絞線以及光纖中的一種或多種;且該有線通信模塊內置于云安全網關內部,或者有線通信模塊可拆卸地固定在云安全網關上。
第四實施例
為了更好的實現上述目的,如圖2所示,本發明的第四實施例還提供一種云安全系統,其特征在于,包括云服務器以及如上所述的基于有線網絡的云安全網關。
需要說明的是,本發明的第四實施例提供的云安全系統是包括上述第三實施例提供的云安全網關的云安全系統,故上述第三實施例的所有實施例均適用于該云安全系統,且均能達到相同或相似的有益效果。
應理解,說明書通篇中提到的“一個實施例”或“一實施例”意味著與實施例有關的特定特征、結構或特性包括在本發明的至少一個實施例中。因此,在整個說明書各處出現的“在一個實施例中”或“在一實施例中”未必一定指相同的實施例。此外,這些特定的特征、結構或特性可以任意適合的方式結合在一個或多個實施例中。
另外,本文中術語“系統”和“網絡”在本文中常可互換使用。
應理解,本文中術語“和/或”,僅僅是一種描述關聯對象的關聯關系,表示可以存在三種關系,例如,a和/或b,可以表示:單獨存在a,同時存在a和b,單獨存在b這三種情況。另外,本文中字符“/”,一般表示前后關聯對象是一種“或”的關系。
在本申請所提供的實施例中,應理解,“與a相應的b”表示b與a相關聯,根據a可以確定b。但還應理解,根據a確定b并不意味著僅僅根據a確定b,還可以根據a和/或其它信息確定b。
以上所述是本發明的優選實施方式,應當指出,對于本技術領域的普通技術人員來說,在不脫離本發明所述原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護范圍。
- 還沒有人留言評論。精彩留言會獲得點贊!