CN109743287A - 一种基于数据隔离的数据重组方法及装置 - Google Patents
一种基于数据隔离的数据重组方法及装置 Download PDFInfo
- Publication number
- CN109743287A CN109743287A CN201811489550.9A CN201811489550A CN109743287A CN 109743287 A CN109743287 A CN 109743287A CN 201811489550 A CN201811489550 A CN 201811489550A CN 109743287 A CN109743287 A CN 109743287A
- Authority
- CN
- China
- Prior art keywords
- data
- data packet
- mapping
- board card
- card module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种基于数据隔离的数据重组方法及装置,其中方法包括:外板卡模块获取由外网数据包经过包头剥离预处理后得到的初始数据包,并根据预置的数据映射表,将数据映射参数插入初始数据包,得到第一数据包,并通过隔离板卡模块将第一数据包转发至内板卡模块;内板卡模块接收到第一数据包后,根据第一数据包中的数据映射参数和数据映射表对第一数据包进行映射项查询匹配,并根据匹配结果,对第一数据包进行数据重组还原。本申请基于外板卡模块和内板卡模块通过相同的数据映射表进行对应关联,内板卡模块根据其中的数据映射参数从数据隐射表中快速查询出对应的匹配项进行重组,避免了通过协议转换的繁琐,提高了整体的数据传输效率。
Description
技术领域
本申请涉及数据安全技术领域,尤其涉及一种基于数据隔离的数据重组方法及装置。
背景技术
目前,安全防护技术已经有了很大提高,防火墙技术已经从第一代IP及端口过滤技术进化成WEB应用防火墙。然而,安全防护技术的提升也带来了设备配置的复杂化和专业化,WEB防火墙需要和信息系统深度关联定制配置,才能实现有效的网络安全防护。另一方面,网络攻击手段也在不断的进化,互联网上不仅出现利用WEB防火墙配置缺陷而攻击应用系统的方法,还出现了攻击WEB防火墙自身漏洞的安全技术,给应用系统的网络安全带来很大的威胁。
现有的信息安全隔离防护主要依赖于网络安全隔离装置实现的,通过网络安全隔离装置能有效切断不同安全等级信息系统之间的TCP和UDP网络连接,能有效保护好高安全等级的信息系统。然而传统的网络安全隔离装置基于数据摆渡技术原理实现,数据在内网和外网之间传输,需要通过特定的密文协议在外网部分进行加密转换,然后在内网部分进行还原转换,转换过程耗时较长,导致了现有的信息安全隔离防护技术的传输性能受限的技术问题。
发明内容
本申请提供了一种基于数据隔离的数据重组方法及装置,用于解决现有的信息安全隔离防护技术的传输性能受限的技术问题。
本申请第一方面提供了一种基于数据隔离的数据重组方法,包括:
外板卡模块获取由外网数据包经过包头剥离预处理后得到的初始数据包,并根据预置的数据映射表,将数据映射参数插入所述初始数据包,得到第一数据包,并通过隔离板卡模块将所述第一数据包转发至内板卡模块;
所述内板卡模块接收到所述第一数据包后,根据所述第一数据包中的所述数据映射参数和所述数据映射表对所述第一数据包进行映射项查询匹配,并根据匹配结果,对所述第一数据包进行数据重组还原。
优选地,所述数据映射参数具体包括:映射项ID和CRC校验码。
优选地,所述数据映射表具体包括:映射项ID,源IP地址,目的IP地址、CRC校验码和下一项地址。
优选地,所述根据所述第一数据包中的所述数据映射参数和所述数据映射表对所述第一数据包进行映射项查询匹配具体包括:
根据所述第一数据包中的所述数据映射参数和所述数据映射表,通过HASH查询方式对所述第一数据包进行映射项查询匹配。
本申请第二方面提供了一种基于数据隔离的数据重组装置,包括:
外板卡模块,用于获取由外网数据包经过包头剥离预处理后得到的初始数据包,并根据预置的数据映射表,将数据映射参数插入所述初始数据包,得到第一数据包;
所述隔离板卡模块,用于将所述第一数据包转发至内板卡模块;
所述内板卡模块,用于接收到所述第一数据包后,根据所述第一数据包中的所述数据映射参数和所述数据映射表对所述第一数据包进行映射项查询匹配,并根据匹配结果,对所述第一数据包进行数据重组还原。
优选地,所述数据映射参数具体包括:映射项ID和CRC校验码。
优选地,所述数据映射表具体包括:映射项ID,源IP地址,目的IP地址、CRC校验码和下一项地址。
优选地,所述根据所述第一数据包中的所述数据映射参数和所述数据映射表对所述第一数据包进行映射项查询匹配具体包括:
根据所述第一数据包中的所述数据映射参数和所述数据映射表,通过HASH查询方式对所述第一数据包进行映射项查询匹配。
从以上技术方案可以看出,本申请具有以下优点:
本申请提供了一种基于数据隔离的数据重组方法,包括:外板卡模块获取由外网数据包经过包头剥离预处理后得到的初始数据包,并根据预置的数据映射表,将数据映射参数插入所述初始数据包,得到第一数据包,并通过隔离板卡模块将所述第一数据包转发至内板卡模块;所述内板卡模块接收到所述第一数据包后,根据所述第一数据包中的所述数据映射参数和所述数据映射表对所述第一数据包进行映射项查询匹配,并根据匹配结果,对所述第一数据包进行数据重组还原。
本申请基于外板卡模块和内板卡模块通过相同的数据映射表进行对应关联,内板卡模块在接收到第一数据包后,根据其中的数据映射参数从数据隐射表中快速查询出对应的匹配项进行重组,避免了通过协议转换的繁琐,提高了整体的数据传输效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本申请提供的一种基于数据隔离的数据重组方法的一个实施例的流程示意图;
图2为本申请提供的一种基于数据隔离的数据重组装置的一个实施例的架构示意图。
具体实施方式
本申请实施例提供了一种基于数据隔离的数据重组方法及装置,用于解决现有的信息安全隔离防护技术的传输性能受限的技术问题。
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本申请一部分实施例,而非全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
请参阅图1,本申请实施例提供了一种基于数据隔离的数据重组方法,包括:
101:外板卡模块获取由外网数据包经过包头剥离预处理后得到的初始数据包,并根据预置的数据映射表,将数据映射参数插入初始数据包,得到第一数据包,并通过隔离板卡模块将第一数据包转发至内板卡模块;
102:内板卡模块接收到第一数据包后,根据第一数据包中的数据映射参数和数据映射表对第一数据包进行映射项查询匹配,并根据匹配结果,对第一数据包进行数据重组还原。
优选地,数据映射参数具体包括:映射项ID和CRC校验码。
优选地,数据映射表数据映射表具体包括:映射项ID,源IP地址,目的IP地址、CRC校验码和下一项地址。
优选地,根据第一数据包中的数据映射参数和数据映射表对第一数据包进行映射项查询匹配具体包括:
根据第一数据包中的数据映射参数和数据映射表,通过HASH查询方式对第一数据包进行映射项查询匹配。
需要说明的是,本申请的数据重组方法是基于网络数据隔离技术实现的。
具体地,本申请的外板卡模块与低安全区的信息系统相连,在外板卡剥离网络数据包的以太网头和IP头,结合应用层数据过滤技术实现数据包高强度的访问控制;隔离板卡模块对通信双方的内容、过程施以严格的检测,实现IP数据头信息处理、应用层数据审查和数据映射,并将数据发送至对端隔离板卡;内板卡模块与高安全级别的信息系统连接,根据数据映射表进行数据重新封装和转发,确保数据交互的安全可控。
为实现本实施例的IP数据包的重组,需要在内板卡模块和外板卡模块分别存有一个内容完全一致的数据映射表。具体的,当外网数据包的IP头被外板卡模块剥离时,其剥离后的IP头部标识被一个内板卡模块与外板卡模块所共知的数据映射项的ID与CRC校验码所取代,并转发至内板卡模块,由内板卡模块对数据包进行重组还原。
其中,本实施例的数据映射表由ID,源IP地址,目的IP地址、CRC校验码内容组成,在数据映射表当中,ID代表数据包在映射表中的位置编号;CRC用于数据包的校验,防止内外板卡之间HASH表数据不同步或被篡改,其校验范围包括映射表项ID、源IP地址、目的地址三个字段;下一项地址主要用于解决HASH碰撞问题,当HASH发生碰撞时,其存储的是下一对应数据包的入口,其为单向链表。
而且在对IP数据头进行剥离和重组的过程中,都涉及到数据包的查找,查找依据为IP报文的源地址、目的地址,常见的查找算法主要有顺序查找和HASH查找两种,两种查找算法的计算复杂度如表1所示:
表格1查找算法的计算复杂度比对
| 序号 | 查找算法 | 计算复杂度 |
| 1 | 顺序查找算法 | O(n) |
| 2 | HASH查找算法 | O(1) |
基于上述对比,本申请优选采用HASH查找算法,具体的设定K代表HASH表的大小,S代表数据包的源IP地址,D代表数据包的目的IP地址,I代表HASH表内索引值,那么I的算法如下公式所示:
I=((S+D)^((S+D)>>16))Mod K
即从任意IP报文头部提取出得S、D经过该公式运算后均能得到一个HASH表内索引值,取值范围在{0,K-1},HASH表内第I项即是要查找的条目。通过该种设计,可以解决数据包的查找效率问题。
以上为本申请提供的一种基于数据隔离的数据重组方法的一个实施例的详细说明,下面为本申请提供的一种基于数据隔离的数据重组装置的一个实施例的详细说明。
请参阅图2,本申请实施例提供了一种基于数据隔离的数据重组装置,包括:
外板卡模块201,用于获取由外网数据包经过包头剥离预处理后得到的初始数据包,并根据预置的数据映射表,将数据映射参数插入初始数据包,得到第一数据包;
隔离板卡模块202,用于将第一数据包转发至内板卡模块;
内板卡模块203,用于接收到第一数据包后,根据第一数据包中的数据映射参数和数据映射表对第一数据包进行映射项查询匹配,并根据匹配结果,对第一数据包进行数据重组还原。
需要说明的是,本申请的装置采用内外网双板卡设计,网络安全隔离装置由外板卡、内板卡和隔离板卡组成,装置具体结构可参阅图2。
具体的,本申请的外板卡模块与低安全区的信息系统相连,在外板卡剥离网络数据包的以太网头和IP头,结合应用层数据过滤技术实现数据包高强度的访问控制;隔离板卡模块对通信双方的内容、过程施以严格的检测,实现IP数据头信息处理、应用层数据审查和数据映射,并将数据发送至对端隔离板卡;内板卡模块与高安全级别的信息系统连接,根据数据映射表进行数据重新封装和转发,确保数据交互的安全可控。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (8)
1.一种基于数据隔离的数据重组方法,其特征在于,包括:
外板卡模块获取由外网数据包经过包头剥离预处理后得到的初始数据包,并根据预置的数据映射表,将数据映射参数插入所述初始数据包,得到第一数据包,并通过隔离板卡模块将所述第一数据包转发至内板卡模块;
所述内板卡模块接收到所述第一数据包后,根据所述第一数据包中的所述数据映射参数和所述数据映射表对所述第一数据包进行映射项查询匹配,并根据匹配结果,对所述第一数据包进行数据重组还原。
2.根据权利要求1所述的一种基于数据隔离的数据重组方法,其特征在于,所述数据映射参数具体包括:映射项ID和CRC校验码。
3.根据权利要求1所述的一种基于数据隔离的数据重组方法,其特征在于,所述数据映射表具体包括:映射项ID,源IP地址,目的IP地址、CRC校验码和下一项地址。
4.根据权利要求1所述的一种基于数据隔离的数据重组方法,其特征在于,所述根据所述第一数据包中的所述数据映射参数和所述数据映射表对所述第一数据包进行映射项查询匹配具体包括:
根据所述第一数据包中的所述数据映射参数和所述数据映射表,通过HASH查询方式对所述第一数据包进行映射项查询匹配。
5.一种基于数据隔离的数据重组装置,其特征在于,包括:
外板卡模块,用于获取由外网数据包经过包头剥离预处理后得到的初始数据包,并根据预置的数据映射表,将数据映射参数插入所述初始数据包,得到第一数据包;
所述隔离板卡模块,用于将所述第一数据包转发至内板卡模块;
所述内板卡模块,用于接收到所述第一数据包后,根据所述第一数据包中的所述数据映射参数和所述数据映射表对所述第一数据包进行映射项查询匹配,并根据匹配结果,对所述第一数据包进行数据重组还原。
6.根据权利要求5所述的一种基于数据隔离的数据重组装置,其特征在于,所述数据映射参数具体包括:映射项ID和CRC校验码。
7.根据权利要求5所述的一种基于数据隔离的数据重组装置,其特征在于,所述数据映射表具体包括:映射项ID,源IP地址,目的IP地址、CRC校验码和下一项地址。
8.根据权利要求5所述的一种基于数据隔离的数据重组装置,其特征在于,所述根据所述第一数据包中的所述数据映射参数和所述数据映射表对所述第一数据包进行映射项查询匹配具体包括:
根据所述第一数据包中的所述数据映射参数和所述数据映射表,通过HASH查询方式对所述第一数据包进行映射项查询匹配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811489550.9A CN109743287A (zh) | 2018-12-06 | 2018-12-06 | 一种基于数据隔离的数据重组方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811489550.9A CN109743287A (zh) | 2018-12-06 | 2018-12-06 | 一种基于数据隔离的数据重组方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109743287A true CN109743287A (zh) | 2019-05-10 |
Family
ID=66359251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811489550.9A Pending CN109743287A (zh) | 2018-12-06 | 2018-12-06 | 一种基于数据隔离的数据重组方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109743287A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110572373A (zh) * | 2019-08-20 | 2019-12-13 | 北京安盟信息技术股份有限公司 | 一种数据交换平台和文件数据流处理方法 |
| CN110674068A (zh) * | 2019-09-24 | 2020-01-10 | 国网上海市电力公司 | 一种板卡间的信息交互方法、分布式板卡及存储介质 |
| CN111796835A (zh) * | 2020-06-19 | 2020-10-20 | 南京南瑞继保工程技术有限公司 | 一种数据处理方法、嵌入式设备及存储介质 |
| CN113037833A (zh) * | 2021-03-04 | 2021-06-25 | 北京安华金和科技有限公司 | 数据处理方法和装置、存储介质及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103812861A (zh) * | 2014-01-20 | 2014-05-21 | 广东电网公司电力科学研究院 | Ipsec vpn设备及其隔离方法与系统 |
| CN104270344A (zh) * | 2014-09-12 | 2015-01-07 | 北京天行网安信息技术有限责任公司 | 万兆网闸 |
| WO2016154248A1 (en) * | 2015-03-25 | 2016-09-29 | Tevetron, Llc | Communication network employing network devices with packet delivery over pre-assigned optical channels |
| CN107147658A (zh) * | 2017-05-31 | 2017-09-08 | 广东辰宜信息科技有限公司 | 一种物理隔离信息交换方法 |
| WO2018052726A1 (en) * | 2016-09-15 | 2018-03-22 | Nuts Holdings, Llc | Encrypted userdata transit and storage |
| US20180107841A1 (en) * | 2014-09-23 | 2018-04-19 | FHOOSH, Inc. | Secure high speed data storage, access, recovery, and transmission |
-
2018
- 2018-12-06 CN CN201811489550.9A patent/CN109743287A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103812861A (zh) * | 2014-01-20 | 2014-05-21 | 广东电网公司电力科学研究院 | Ipsec vpn设备及其隔离方法与系统 |
| CN104270344A (zh) * | 2014-09-12 | 2015-01-07 | 北京天行网安信息技术有限责任公司 | 万兆网闸 |
| US20180107841A1 (en) * | 2014-09-23 | 2018-04-19 | FHOOSH, Inc. | Secure high speed data storage, access, recovery, and transmission |
| WO2016154248A1 (en) * | 2015-03-25 | 2016-09-29 | Tevetron, Llc | Communication network employing network devices with packet delivery over pre-assigned optical channels |
| WO2018052726A1 (en) * | 2016-09-15 | 2018-03-22 | Nuts Holdings, Llc | Encrypted userdata transit and storage |
| CN107147658A (zh) * | 2017-05-31 | 2017-09-08 | 广东辰宜信息科技有限公司 | 一种物理隔离信息交换方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110572373A (zh) * | 2019-08-20 | 2019-12-13 | 北京安盟信息技术股份有限公司 | 一种数据交换平台和文件数据流处理方法 |
| CN110674068A (zh) * | 2019-09-24 | 2020-01-10 | 国网上海市电力公司 | 一种板卡间的信息交互方法、分布式板卡及存储介质 |
| CN110674068B (zh) * | 2019-09-24 | 2023-10-24 | 国网上海市电力公司 | 一种板卡间的信息交互方法、分布式板卡及存储介质 |
| CN111796835A (zh) * | 2020-06-19 | 2020-10-20 | 南京南瑞继保工程技术有限公司 | 一种数据处理方法、嵌入式设备及存储介质 |
| CN113037833A (zh) * | 2021-03-04 | 2021-06-25 | 北京安华金和科技有限公司 | 数据处理方法和装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109743287A (zh) | 一种基于数据隔离的数据重组方法及装置 | |
| Maximov et al. | Hiding computer network proactive security tools unmasking features | |
| CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| US20140369363A1 (en) | Apparatus and Method for Uniquely Enumerating Paths in a Parse Tree | |
| CN103812861B (zh) | Ipsec vpn设备的隔离方法与系统 | |
| CN108683682A (zh) | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 | |
| CN103916384A (zh) | 一种面向gap隔离交换设备的渗透测试方法 | |
| CN105763449A (zh) | 基于存储资源自适应调整的单包溯源方法 | |
| CN104219338B (zh) | 授权地址解析协议安全表项的生成方法及装置 | |
| CN102045344B (zh) | 一种基于路径信息弹性分片的跨域溯源方法及系统 | |
| CN112910851A (zh) | 基于知识图谱的数据包标记溯源装置 | |
| CN101009706B (zh) | 保护基于sip的应用的方法 | |
| CN106453225B (zh) | 实现隐秘通信的方法及客户端、服务器 | |
| CN105812372A (zh) | 基于标签交换的单包溯源方法 | |
| CN106657035B (zh) | 一种网络报文传输方法及装置 | |
| CN103746920A (zh) | 一种基于网闸实现数据传输的方法 | |
| CN110351397A (zh) | 一种匹配ip网段的方法及装置 | |
| CN109495583B (zh) | 一种基于主机特征混淆的数据安全交互方法 | |
| CN110113333A (zh) | 一种tcp/ip协议指纹动态化处理方法及装置 | |
| CN106302236A (zh) | 一种数据分流的方法及接入设备 | |
| CN105791300B (zh) | 基于追踪痕迹重要性评估的单包溯源方法 | |
| CN107888494B (zh) | 一种基于社区发现的包分类方法及系统 | |
| CN114697106A (zh) | 威胁自动关联溯源方法、系统、计算机设备和存储介质 | |
| CN110505176A (zh) | 报文优先级的确定、发送方法及装置、路由系统 | |
| CN102231702A (zh) | 一种跨公共网络的标识网络间的端到端的通信方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190510 |