[发明专利]一种网闸系统中的安全仲裁方法和装置

说明书

技术领域

本公开涉及网络安全领域，尤其涉及一种网闸系统中的安全仲裁方法和装置。

背景技术

在互联网应用中，为了安全性考虑，需要将开放网络，如因特网，与专用网络，如金融内部网络，轨交控制网络，进行物理隔离，同时也需要开放网络与专用网络进行数据通信。在这种情况下，需要引入网闸系统用于连接开放网络和专用网络。网闸系统可由双机或三机系统组成。对于三机系统，通常包括连接专用网络的内端机、连接开放网络的外端机和连接内端机和外端机的仲裁机。来自于开放网络的报文将会在外端机上终结，进行报文分组转换后发给内端机，内端机再重建网络报文。仲裁机在中间对内外端机的报文进行监控、仲裁，用以防止外端机发送的数据含有不符合规则的请求，避免攻击；防止内端机发送的数据含有不符合规则的请求，避免数据泄露。因此，提高网闸系统的安全性，特别是仲裁机的仲裁准确性，对保护专用网络具有重要的意义。因此，需要提供一种可靠的安全仲裁方案以保证专用网络的安全性。

发明内容

为克服相关技术中存在的问题，本公开提供一种网闸系统中的安全仲裁方法和装置。

根据本公开实施例的第一方面，提供一种网闸系统中的安全仲裁方法，所述方法包括：接收来自专用网络和/或开放网络的数据报文；对接收的数据报文进行可靠性验证；当所述可靠性验证通过后，将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配，其中，任一所述预配置的策略包括匹配条件和执行规则；当匹配到任一预配置的策略时，通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。

可选的，所述方法还包括：检测接收的数据报文的长度是否正确；当所述数据报文的长度正确时，执行对接收的数据报文进行可靠性验证的步骤。

可选的，所述可靠性验证包括完整性验证，所述对接收的数据报文进行可靠性验证包括：根据预设算法计算接收的数据报文的摘要值；将计算所得摘要值与接收的数据报文中携带的摘要值进行比较，以得到比较结果；根据所述比较结果确定接收的数据报文是否通过完整性验证。

可选的，所述根据所述比较结果确定接收的数据报文是否通过完整性验证包括：当计算所得的摘要值与接收的数据报文中携带的摘要值相等时，确定接收的数据报文通过完整性验证。

可选的，所述可靠性验证包括合法性验证，所述对接收的数据报文进行可靠性验证包括：提取接收的数据报文中所携带的签名信息；判断所述签名信息是否符合预设的签名要求；当所述签名信息符合预设的签名要求时，确定接收的数据报文通过合法性验证。

可选的，所述方法还包括：在接收的数据报文通过可靠性验证之后，判断接收的数据报文的数据类型；当确定所述接收的数据报文的数据类型为业务数据时，执行将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配的步骤；当确定所述接收的数据报文的数据类型为配置数据时，根据所述配置数据中的配置文件进行策略配置，以形成所述预配置的策略。

可选的，所述方法还包括：检测所述配置数据的数据来源是否合法；当确定所述配置数据的数据来源合法时，执行在根据所述配置数据中的配置文件进行策略配置的步骤。

根据本公开实施例的第二方面，提供一种网闸系统中的安全仲裁装置，所述装置包括：通信模块，用于接收来自专用网络和/或开放网络的数据报文；验证模块，用于对接收的数据报文进行可靠性验证；匹配模块，用于当所述可靠性验证通过后，将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配，其中，任一所述预配置的策略包括匹配条件和执行规则；处理模块，用于当匹配到任一预配置的策略时，通过匹配的策略中包含的执行规则对所述接收的数据报文进行处理。

可选的，所述装置还包括：检测模块，用于检测接收的数据报文的长度是否正确，当所述数据报文的长度正确时，指示所述验证模块对接收的数据报文进行可靠性验证。

可选的，所述装置还包括判断模块和配置模块：所述判断模块用于在接收的数据报文通过可靠性验证之后，判断接收的数据报文的数据类型；所述匹配模块用于当所述判断模块确定所述接收的数据报文的数据类型为业务数据时，将接收的数据报文中的数据内容与预配置的策略中包含的匹配条件进行策略匹配；所述配置模块用于当所述判断模块确定所述接收的数据报文的数据类型为配置数据时，根据所述配置数据中的配置文件进行策略配置，以形成所述预配置的策略。

本公开的实施例提供的技术方案可以包括以下有益效果：通过对数据报文进行可靠性检验并对数据报文进行策略匹配，按匹配的执行规则进行对应处理，能够避免恶意攻击并对数据报文进行预定处理避免数据泄露。