一种基于策略的数据传输认证方法与流程

1.本发明涉及数据传输技术领域，特别涉及一种基于策略的数据传输认证方法。


背景技术：

2.安全隔离装置是一种应用于网络边界防护的核心设备，它预设允许通行的策略，通过实时捕获网口报文提取其中的地址信息并与与预设的策略进行比较，符合策略的报文则提取应用数据从隔离卡摆渡通过，不符合策略的则予以抛弃。身份假冒是网络中的一种典型攻击行为，通过假冒合法设备的地址信息，从事非法活动。当前隔离装置中的策略只有纯粹的地址信息，比如协议、源mac、源ip、源端口、目的ip、目的端口，这些信息都很容易被攻击者进行假冒，此时现有技术的数据传输认证方法和隔离装置并不能有效识别这些假冒的设备。


技术实现要素：

3.基于上述现有技术中的问题，本发明的目的是提供一种基于策略的数据传输认证方法。本发明的方法适用于两个网络边界进行通信控制的安全隔离设备。
4.本发明由下述技术方案实现：
5.一种基于策略的数据传输认证方法，包括如下步骤：
6.步骤s100，收集认证所需的秘钥、传输工具的指纹，所述密钥和指纹与需要通过隔离装置的传输任务信息分别存储至认证服务端与客户端；
7.步骤s200，认证服务端对认证客户端、传输模块及传输任务信息进行认证；
8.步骤s300，策略控制模块收到传输报文后，检测该报文所对应的策略状态，如果有效则进行转发处理，如果无效则丢弃。
9.进一步的，所述步骤s100中，传输工具的指纹生成方法如下：
10.指定传输工具的可执行程序目录；
11.扫描该目录下的所有二进制文件；
12.利用sm3算法生成每个文件的哈希值并拼接为一个临时文件，最后将此临时文件生成一个新哈希值。
13.进一步的，所述步骤s100中，秘钥管理的方法如下：
14.由第三方证书管理软件生成一个秘钥对；
15.私钥加密存储在认证客户端程序中；
16.公钥加密存储在认证服务端程序中。
17.进一步的，所述步骤s100中，传输任务信息的获取与存储方法如下：
18.部分传输任务信息从传输工具的任务中提取，另一部分传输任务信息从源传输设备和目的传输设备的网卡信息中获取；
19.隔离装置将上述内容作为策略信息保存，认证客户端在本地保存。
20.进一步的，所述步骤s200包括：
21.步骤s210，对认证客户端进行认证；
22.步骤s220，如果对认证客户端进行认证有效，周期对传输工具进行身份认证；
23.步骤s230，如果步骤s200认证有效，周期对策略进行认证。
24.进一步的，步骤s200中，策略信息的指纹生成方法如下：
25.按协议、源mac、源ip、目的ip、目的端口、目的mac顺序组合为一个二进制串，并利用sm3算法生成哈希值。
26.本发明的技术方案能够实现如下有益的技术效果：
27.本发明通过增加一对认证模块，实现对认证客户端、传输工具及传输任务的三级认证，用来加强对符合策略的数据传输链路及工具的控制，只有通过认证后的策略才允许通行，可有效抵御假冒设备信息进行的网络攻击行为。本发明的方法可以大大降低设备被假冒的风险，在增强安全性的基础上，无需修改原有传输设备的软件，易于部署使用，可有效降低使用隔离装置单位的改造难度和部署成本。
附图说明
28.图1为本发明的基于策略的数据传输认证方法在隔离装置的应用示意图。
具体实施方式
29.为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
30.在具体的实施例中，本发明提供了一种基于策略的数据传输认证方法，本发明的方法适用于两个网络边界进行通信控制的安全隔离设备。
31.具体的，本发明的方法在传输设备、隔离装置上分别增加一个认证模块,所述认证模块之间采用基于udp的自定义协议。
32.具体的，所述基于策略的数据传输认证方法包括如下步骤：
33.步骤s100，收集认证所需的秘钥、传输工具的指纹，所述密钥和指纹与需要通过隔离装置的传输任务信息分别存储至认证服务端与客户端；
34.即：所述密钥和指纹存储至认证服务端，所述通过隔离装置的传输任务信息存储至客户端。
35.具体的，步骤s100中，传输工具的指纹生成方法如下：
36.(4)指定传输工具的可执行程序目录；
37.(5)扫描该目录下的所有二进制文件(可执行及动态库)；
38.(6)利用sm3算法生成每个文件的哈希值file-hash并拼接为一个临时文件，最后将此临时文件生成一个新哈希值tool-hash。
39.具体的，步骤s100中，秘钥管理的方法如下：
40.(4)由第三方证书管理软件生成一个秘钥对；
41.(5)私钥加密存储在认证客户端程序中；
42.(6)公钥加密存储在认证服务端程序中；
43.具体的，传输任务(策略)信息的获取与存储方法如下：
44.(1)传输任务信息包括：协议、源mac、源ip、目的ip、目的端口、目的mac；
45.其中协议、目的ip、目的端口从传输工具的任务中提取，源mac、源ip、目的mac分别从源传输设备和目的传输设备的网卡信息中获取；
46.(2)隔离装置将上述内容作为策略信息保存，认证客户端在本地保存。
47.步骤s200，认证服务端对认证客户端、传输模块及传输任务信息进行认证。
48.具体的，所述步骤s200包括：
49.步骤s210，对认证客户端进行认证。
50.认证服务端与认证客户端采用非对称加密算法进行身份认证，数据采用加密传输；由认证客户端主动发起认证请求，服务端根据秘钥进行验证其有效性，并将结果返回给认证客户端。
51.步骤s220，如果对认证客户端进行认证有效，周期对传输工具进行身份认证。
52.认证客户端周期的动态生成传输工具的指纹，并加密发给认证服务端，认证服务端与预设传输工具指纹进行比对，并将结果返回给认证客户端；如果认证无效，则将该工具所有传输任务对应的策略置为无效。
53.步骤s230，如果步骤s200认证有效，周期对策略进行认证。
54.认证客户端周期将传输工具的传输任务信息生成哈希值(task-hash)后加密发给认证服务端，认证服务端与预设的策略信息的哈希值(policy-hash)进行比对，如果有效则将该传输任务对应的策略状态置为有效，否则置为无效。
55.具体的，步骤s200中，策略信息(传输任务信息)的指纹生成方法如下：
56.按协议、源mac、源ip、目的ip、目的端口、目的mac顺序组合为一个二进制串，并利用sm3算法生成哈希值。
57.步骤s300，策略控制模块收到传输报文后，检测该报文所对应的策略状态，如果有效则进行转发处理，如果无效则丢弃。
58.在本发明另外的实施例中，认证模块，不局限一个独立软件模块，也可以是一个源码片与原有的代码集成到一起也是可以的。该方法不局限与隔离装置，用在其他使用相似策略的网络边界防护设备上也是可以的，比如防火墙。另外，也可以使用tcp作为认证传输的协议，或者修改计算哈希所用的算法。
59.综上所述，本发明提供了一种基于策略的数据传输认证方法，包括如下步骤：步骤s100，收集认证所需的秘钥、传输工具的指纹，所述密钥和指纹与需要通过隔离装置的传输任务信息分别存储至认证服务端与客户端；步骤s200，认证服务端对认证客户端、传输模块及传输任务信息进行认证；步骤s300，策略控制模块收到传输报文后，检测该报文所对应的策略状态，如果有效则进行转发处理，如果无效则丢弃。本发明通过增加一对认证模块，实现对认证客户端、传输工具及传输任务的三级认证，用来加强对符合策略的数据传输链路及工具的控制，只有通过认证后的策略才允许通行，可有效抵御假冒设备信息进行的网络攻击行为。
60.本发明的方法可以大大降低设备被假冒的风险，在增强安全性的基础上，无需修改原有传输设备的软件，易于部署使用，可有效降低使用隔离装置单位的改造难度和部署成本。
61.应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。