一种应用于物理隔离网闸的策略同步方法及其系统

摘要

本发明公开了一种应用于物理隔离网闸的策略同步方法及其系统，用于将物理网闸内网处理单元配置的策略信息同步到物理网闸的外网处理单元，物理网闸内网处理单元的策略识别器对策略流进行识别，如果策略识别器识别出策略，则将该策略进行序列化、构建同步命令并发送至物理网闸外网处理单元。物理网闸外网侧的策略识别器对策略流进行识别，并根据所属控制策略对该业务进行相应的控制。本发明通过在内网处理单元进行策略配置即可同时完成物理网闸的内网处理单元和外网处理单元的策略配置，保证了配置策略文件的安全，进一步增强了物理网闸的安全性；并且外网处理单元在网闸主程序退出的时候会对外网策略的内存进行销毁以进一步保障策略文件的安全。

说明书

技术领域

本发明涉及信息技术领域，具体涉及一种应用于物理隔离网闸的策略同步方法及其 系统。

背景技术

网络隔离技术已经得到越来越多用户的重视，重要的网络和部门均开始采用物理隔 离网闸产品来保护内部网络和关键点的基础设施。物理隔离网闸是一种由带有多种控制 功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应 用数据交换的网络安全设备。出于安全性考虑，物理网闸的配置策略需要保存在内部处 理单元，然而，外部处理单元也需要相应的配置策略进行数据报文控制，所以内部处理 单元与外部处理单元之间需要进行配置策略的同步。

发明内容

针对现有技术的不足，本发明提供一种应用于物理隔离网闸的策略同步方法及其系 统，实现将物理网闸内网处理单元配置的策略信息同步到物理网闸的外网处理单元。

本发明提供的一种应用于物理隔离网闸的策略同步方法，将物理网闸内网处理单元 配置的策略信息同步到物理网闸的外网处理单元，其改进之处在于，所述方法是物理网 闸内网处理单元的策略识别器对策略流进行识别，若策略识别器识别出策略，则将该策 略进行序列化后发送至物理网闸外网处理单元；物理网闸外网侧的策略识别器对策略流 进行识别，并根据所述控制策略对业务进行控制。

其中，所述物理网闸内网处理单元的策略识别器对策略流进行识别，若策略识别器 识别出策略，则将该策略进行序列化后发送至物理网闸外网处理单元包括如下步骤：

（1）通过策略识别模块遍历本地所有的配置策略；

（2）判断所述配置策略是否能够识别，是则进入步骤（3），否则返回步骤（1）；

（3）将遍历的能识别的配置策略通过策略序列化模块按照报文格式进行序列化；

（4）加密认证模块将序列化后的策略报文进行认证和加密处理，并由同步构建模 块将其发送至外网处理单元。其中，认证是指使用公私钥机制判断内网处理单元和外网 处理单元身份的真实性，内网处理单元使用外网处理单元的公钥加密序列化后的策略报 文，由同步构建模块发送至外网处理单元，外网处理单元使用自己的私钥进行解密得到 序列化后的策略报文。

（5）等待外网处理单元策略响应反馈，若成功，则策略同步成功，并根据所述控 制策略对业务进行控制；若失败，则返回步骤（1）。

其中，所述物理网闸外网侧的策略识别器对策略流进行识别，并根据所述控制策略 对业务进行控制包括如下步骤：

1）外网处理单元接收内网处理单元发送的加密策略报文，交由解密认证模块进行 解密处理；

2）通过策略识别模块识别解密后的策略同步报文，通过策略反序列化模块进行发 序列化操作，并构建策略链表；

3）由同步结果返回模块返回策略同步结果至同步构建模块。

其中，步骤（3）所述报文格式的内容包括数据包长、策略个数、策略长、策略编 号、策略数据和请求类型。

本发明基于另一目的提供的一种应用于物理隔离网闸的策略同步系统，其改进之处 在于，所述系统包括物理网闸内网处理单元、物理网闸外网处理单元和安全隔离切换装 置；所述物理网闸内网处理单元和所述物理网闸外网处理单元通过所述安全隔离切换装 置相互通信；所述安全隔离切换装置保存通信时的数据。

其中，所述物理网闸内网处理单元包括依次连接的配置策略识别模块、策略序列化 模块、加密认证模块和同步命令构建模块。

其中，所述外网处理单元包括依次连接的解密认证模块、策略反序列化模块、策略 识别模块和同步结果返回模块。

与现有技术比，本发明的有益效果为：

1、通过在内网处理单元进行策略配置即可同时完成物理网闸的内网处理单元和外 网处理单元的策略配置，保证了配置策略文件的安全，进一步增强了物理网闸的安全性；

2、外网处理单元在网闸主程序退出的时候会对外网策略的内存进行销毁以进一步 保障策略文件的安全。

3、本发明物理隔离网闸是利用双主机形式，从物理上来隔离阻断潜在攻击的连接。 物理隔离网闸(GAP)的硬件主要包括三部分：分别是专用的安全隔离切换装置、内部处 理单元和外部处理单元。系统中专用的安全隔离切换装置分别连接内部处理单元和外部 处理单元。这种独特和巧妙的设计，保证了安全隔离切换装置中的数据暂存区在任一时 刻仅连通内部或者外部处理单元，从而实现内外网的安全隔离。

附图说明

图1为本发明提供的策略同步方法流程图；

图2为本发明提供的策略同步的报文格式；

图3为本发明提供的策略同步的模块交互图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步的详细说明。

本实施例提出的一种应用于物理隔离网闸的策略同步方法，是将物理网闸内网处理 单元配置的策略信息同步到物理网闸的外网处理单元，其特征在于，所述方法是物理网 闸内网处理单元的策略识别器对策略流进行识别，若策略识别器识别出策略，则将该策 略进行序列化后发送至物理网闸外网处理单元；物理网闸外网侧的策略识别器对策略流 进行识别，并根据所述控制策略对业务进行控制。其整体的流程图如图1所示，其中：

所述物理网闸内网处理单元的策略识别器对策略流进行识别，若策略识别器识别出 策略，则将该策略进行序列化后发送至物理网闸外网处理单元包括如下步骤：

（1）通过策略识别模块遍历本地所有的配置策略；

（2）判断每个配置策略是否能够识别，是则进入步骤（3），否则返回步骤（1）重 新遍历，若再识别失败，则跳过此配置策略；

（3）将遍历的能识别的配置策略通过策略序列化模块按照报文格式进行序列化； 所述报文格式的内容如图2所示，包括数据包长、策略个数、策略长、策略编号、策略 数据和请求类型。

（4）加密认证模块将序列化后的策略报文进行认证和加密处理，并由同步构建模 块将其发送至外网处理单元。

（5）同步构建模块等待外网处理单元策略响应反馈，若成功，则策略同步成功， 并根据所述控制策略对业务进行控制；若失败，则返回步骤（1）。根据用户的需求，系 统设定相应的策略，对业务进行控制，

所述物理网闸外网侧的策略识别器对策略流进行识别，并根据所述控制策略对业务 进行控制包括如下步骤：

1）外网处理单元接收内网处理单元发送的加密策略报文，交由解密认证模块进行 解密处理；

2）通过策略识别模块识别解密后的策略同步报文，通过策略反序列化模块进行发 序列化操作，并构建策略链表；

3）由同步结果返回模块返回策略同步结果至同步构建模块。

对应的，本实施例提出的一种应用于物理隔离网闸的策略同步系统，其框图如图3 所示。包括物理网闸内网处理单元、物理网闸外网处理单元和安全隔离切换装置；所述 物理网闸内网处理单元和所述物理网闸外网处理单元通过所述安全隔离切换装置相互 通信；所述安全隔离切换装置保存通信时的数据，其为数据暂存区。

其中，所述物理网闸内网处理单元包括依次连接的配置策略识别模块、策略序列化 模块、加密认证模块和同步命令构建模块。所述外网处理单元包括依次连接的解密认证 模块、策略反序列化模块、策略识别模块和同步结果返回模块。

本发明通过对内网处理单元进行策略配置即可同时完成物理网闸的内网处理单元 和外网处理单元的策略配置，保证了配置策略文件的安全，进一步增强了物理网闸的安 全性。

本发明网闸内网处理单元可通过一台独立的计算机实现、物理网闸外网处理单元可 通过另一台独立的计算机实现，安全隔离切换装置可通过专用物理隔离卡实现。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管 参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然 可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任 何修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。