技術(shù)領(lǐng)域

本發(fā)明涉及信息技術(shù)領(lǐng)域，具體涉及一種應(yīng)用于物理隔離網(wǎng)閘的策略同步方法及其系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)隔離技術(shù)已經(jīng)得到越來越多用戶的重視，重要的網(wǎng)絡(luò)和部門均開始采用物理隔離網(wǎng)閘產(chǎn)品來保護(hù)內(nèi)部網(wǎng)絡(luò)和關(guān)鍵點(diǎn)的基礎(chǔ)設(shè)施。物理隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。出于安全性考慮，物理網(wǎng)閘的配置策略需要保存在內(nèi)部處理單元，然而，外部處理單元也需要相應(yīng)的配置策略進(jìn)行數(shù)據(jù)報文控制，所以內(nèi)部處理單元與外部處理單元之間需要進(jìn)行配置策略的同步。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)的不足，本發(fā)明提供一種應(yīng)用于物理隔離網(wǎng)閘的策略同步方法及其系統(tǒng)，實(shí)現(xiàn)將物理網(wǎng)閘內(nèi)網(wǎng)處理單元配置的策略信息同步到物理網(wǎng)閘的外網(wǎng)處理單元。

本發(fā)明提供的一種應(yīng)用于物理隔離網(wǎng)閘的策略同步方法，將物理網(wǎng)閘內(nèi)網(wǎng)處理單元配置的策略信息同步到物理網(wǎng)閘的外網(wǎng)處理單元，其改進(jìn)之處在于，所述方法是物理網(wǎng)閘內(nèi)網(wǎng)處理單元的策略識別器對策略流進(jìn)行識別，若策略識別器識別出策略，則將該策略進(jìn)行序列化后發(fā)送至物理網(wǎng)閘外網(wǎng)處理單元；物理網(wǎng)閘外網(wǎng)側(cè)的策略識別器對策略流進(jìn)行識別，并根據(jù)所述控制策略對業(yè)務(wù)進(jìn)行控制。

其中，所述物理網(wǎng)閘內(nèi)網(wǎng)處理單元的策略識別器對策略流進(jìn)行識別，若策略識別器識別出策略，則將該策略進(jìn)行序列化后發(fā)送至物理網(wǎng)閘外網(wǎng)處理單元包括如下步驟：

（1）通過策略識別模塊遍歷本地所有的配置策略；

（2）判斷所述配置策略是否能夠識別，是則進(jìn)入步驟（3），否則返回步驟（1）；

（3）將遍歷的能識別的配置策略通過策略序列化模塊按照報文格式進(jìn)行序列化；

（4）加密認(rèn)證模塊將序列化后的策略報文進(jìn)行認(rèn)證和加密處理，并由同步構(gòu)建模塊將其發(fā)送至外網(wǎng)處理單元。其中，認(rèn)證是指使用公私鑰機(jī)制判斷內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元身份的真實(shí)性，內(nèi)網(wǎng)處理單元使用外網(wǎng)處理單元的公鑰加密序列化后的策略報文，由同步構(gòu)建模塊發(fā)送至外網(wǎng)處理單元，外網(wǎng)處理單元使用自己的私鑰進(jìn)行解密得到序列化后的策略報文。

（5）等待外網(wǎng)處理單元策略響應(yīng)反饋，若成功，則策略同步成功，并根據(jù)所述控制策略對業(yè)務(wù)進(jìn)行控制；若失敗，則返回步驟（1）。

其中，所述物理網(wǎng)閘外網(wǎng)側(cè)的策略識別器對策略流進(jìn)行識別，并根據(jù)所述控制策略對業(yè)務(wù)進(jìn)行控制包括如下步驟：

1）外網(wǎng)處理單元接收內(nèi)網(wǎng)處理單元發(fā)送的加密策略報文，交由解密認(rèn)證模塊進(jìn)行解密處理；

2）通過策略識別模塊識別解密后的策略同步報文，通過策略反序列化模塊進(jìn)行發(fā)序列化操作，并構(gòu)建策略鏈表；

3）由同步結(jié)果返回模塊返回策略同步結(jié)果至同步構(gòu)建模塊。

其中，步驟（3）所述報文格式的內(nèi)容包括數(shù)據(jù)包長、策略個數(shù)、策略長、策略編號、策略數(shù)據(jù)和請求類型。

本發(fā)明基于另一目的提供的一種應(yīng)用于物理隔離網(wǎng)閘的策略同步系統(tǒng)，其改進(jìn)之處在于，所述系統(tǒng)包括物理網(wǎng)閘內(nèi)網(wǎng)處理單元、物理網(wǎng)閘外網(wǎng)處理單元和安全隔離切換裝置；所述物理網(wǎng)閘內(nèi)網(wǎng)處理單元和所述物理網(wǎng)閘外網(wǎng)處理單元通過所述安全隔離切換裝置相互通信；所述安全隔離切換裝置保存通信時的數(shù)據(jù)。

其中，所述物理網(wǎng)閘內(nèi)網(wǎng)處理單元包括依次連接的配置策略識別模塊、策略序列化模塊、加密認(rèn)證模塊和同步命令構(gòu)建模塊。

其中，所述外網(wǎng)處理單元包括依次連接的解密認(rèn)證模塊、策略反序列化模塊、策略識別模塊和同步結(jié)果返回模塊。

與現(xiàn)有技術(shù)比，本發(fā)明的有益效果為：

1、通過在內(nèi)網(wǎng)處理單元進(jìn)行策略配置即可同時完成物理網(wǎng)閘的內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元的策略配置，保證了配置策略文件的安全，進(jìn)一步增強(qiáng)了物理網(wǎng)閘的安全性；

2、外網(wǎng)處理單元在網(wǎng)閘主程序退出的時候會對外網(wǎng)策略的內(nèi)存進(jìn)行銷毀以進(jìn)一步保障策略文件的安全。

3、本發(fā)明物理隔離網(wǎng)閘是利用雙主機(jī)形式，從物理上來隔離阻斷潛在攻擊的連接。物理隔離網(wǎng)閘(GAP)的硬件主要包括三部分：分別是專用的安全隔離切換裝置、內(nèi)部處理單元和外部處理單元。系統(tǒng)中專用的安全隔離切換裝置分別連接內(nèi)部處理單元和外部處理單元。這種獨(dú)特和巧妙的設(shè)計，保證了安全隔離切換裝置中的數(shù)據(jù)暫存區(qū)在任一時刻僅連通內(nèi)部或者外部處理單元，從而實(shí)現(xiàn)內(nèi)外網(wǎng)的安全隔離。

附圖說明

圖1為本發(fā)明提供的策略同步方法流程圖；

圖2為本發(fā)明提供的策略同步的報文格式；

圖3為本發(fā)明提供的策略同步的模塊交互圖。

具體實(shí)施方式