本發(fā)明涉及網(wǎng)絡(luò)數(shù)據(jù)傳輸領(lǐng)域,特別是涉及一種網(wǎng)絡(luò)信息安全傳輸方法����。
背景技術(shù):
傳統(tǒng)防火墻只對(duì)網(wǎng)絡(luò)層和傳輸層進(jìn)行安全防護(hù),只對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的包頭進(jìn)行分析��,以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的過濾�,存在安全漏洞,需要用戶添加其他軟硬件才提高安全效果���,但同時(shí)增加了成本�、提高了檢測(cè)的復(fù)雜度。
此外����,在有了硬件防火墻后,用戶一般還會(huì)安裝殺毒軟件�����。常規(guī)的殺毒軟件對(duì)文件的解析只能做到已知病毒或木馬文件的判斷��,本身并沒有根據(jù)文件的格式數(shù)據(jù)進(jìn)行判斷���,而文件作為數(shù)據(jù)的載體其網(wǎng)絡(luò)威脅是極大的,通過文件傳播病毒����、木馬等也是常用的黑客手段。因此���,通過殺毒軟件進(jìn)行防護(hù)�,功能單一����,存在安全隱患。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的是提供一種網(wǎng)絡(luò)信息安全傳輸方法,可提高信息傳輸?shù)陌踩浴?/p>
為實(shí)現(xiàn)上述目的�����,本發(fā)明提供了如下方案:
一種網(wǎng)絡(luò)信息安全傳輸方法���,所述安全傳輸方法包括:
在數(shù)據(jù)鏈路層��、網(wǎng)絡(luò)層及傳輸層中���,基于TCP/IP協(xié)議對(duì)網(wǎng)絡(luò)數(shù)據(jù)的數(shù)據(jù)報(bào)文信息進(jìn)行過濾,終止不符合TCP/IP協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸����,獲得符合TCP/IP協(xié)議的初級(jí)網(wǎng)絡(luò)數(shù)據(jù);
在應(yīng)用層��,判斷所述初級(jí)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用層協(xié)議是否符合規(guī)定��,終止不符合規(guī)定的應(yīng)用層協(xié)議對(duì)應(yīng)的初級(jí)網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸��,獲得符合規(guī)定的二級(jí)網(wǎng)絡(luò)數(shù)據(jù)�;
解析所述二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用層協(xié)議,提取二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的文本內(nèi)容��,判斷所述二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的文本內(nèi)容是否符合用戶設(shè)置,終止不符合用戶設(shè)置的文本內(nèi)容對(duì)應(yīng)的二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸���,獲得三級(jí)網(wǎng)絡(luò)數(shù)據(jù)在網(wǎng)絡(luò)中繼續(xù)傳輸�����。
可選的��,所述應(yīng)用層協(xié)議包括HTTP協(xié)議����、FTP協(xié)議��、SMTP協(xié)議及POP3協(xié)議中至少一者�����。
可選的��,所述判斷所述初級(jí)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用層協(xié)議是否符合規(guī)定包括:
預(yù)設(shè)協(xié)議頭部和協(xié)議尾部的危險(xiǎn)命令字��;
判斷所述初級(jí)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用層協(xié)議的協(xié)議頭部和/或協(xié)議尾部是否有危險(xiǎn)命令字的使用��,如果有����,則使用危險(xiǎn)命令字的應(yīng)用層協(xié)議對(duì)應(yīng)的初級(jí)網(wǎng)絡(luò)數(shù)據(jù)不符合規(guī)定;否則符合���。
可選的��,所述用戶設(shè)置包括設(shè)置待檢測(cè)文件的級(jí)別��,選擇文件后綴名�、文件格式并存儲(chǔ)�。
可選的,所述待檢測(cè)文件的級(jí)別分為初級(jí)����、中級(jí)和高級(jí);其中�,
所述判斷所述應(yīng)用層中的數(shù)據(jù)是否符合用戶設(shè)置包括:
當(dāng)待檢測(cè)文件的級(jí)別為初級(jí)時(shí),初級(jí)檢測(cè)文件的后綴名是否與存儲(chǔ)的文件后綴名匹配�����,終止不匹配的文件名對(duì)應(yīng)的二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸���;
當(dāng)待檢測(cè)文件的級(jí)別為中級(jí)時(shí)�����,在完成初級(jí)檢測(cè)后��,中級(jí)檢測(cè)文件的文件頭是否與存儲(chǔ)的文件后綴名匹配�����,終止不匹配的文件頭對(duì)應(yīng)的二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸��;
當(dāng)待檢測(cè)文件的級(jí)別為高級(jí)時(shí)��,在完成初級(jí)檢測(cè)和中級(jí)檢測(cè)后���,高級(jí)檢測(cè)文件的內(nèi)容是否與存儲(chǔ)的文件后綴名匹配,終止不匹配的文件內(nèi)容對(duì)應(yīng)的二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸����。
可選的,所述選擇的文件后綴名����、文件格式以數(shù)據(jù)表的形式存儲(chǔ)。
可選的���,所述基于TCP/IP協(xié)議對(duì)網(wǎng)絡(luò)數(shù)據(jù)的數(shù)據(jù)報(bào)文信息進(jìn)行過濾包括:
基于TCP/IP協(xié)議判斷所述數(shù)據(jù)報(bào)文信息的IP地址�����、MAC地址以及端口是否有效���,如果是��,則有效的數(shù)據(jù)報(bào)文信息對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)符合TCP/IP協(xié)議�;否則不符合��。
根據(jù)本發(fā)明提供的具體實(shí)施例�����,本發(fā)明公開了以下技術(shù)效果:
本發(fā)明網(wǎng)絡(luò)信息安全傳輸方法基于TCP/IP協(xié)議對(duì)網(wǎng)絡(luò)數(shù)據(jù)的數(shù)據(jù)報(bào)文信息進(jìn)行過濾����、對(duì)應(yīng)用層協(xié)議判斷和解析,深入到應(yīng)用層數(shù)據(jù)內(nèi)部��,通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的多級(jí)別分析��,提高網(wǎng)絡(luò)數(shù)據(jù)的安全性��。
附圖說明
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下��,還可以根據(jù)這些附圖獲得其他的附圖���。
圖1為本發(fā)明實(shí)施例網(wǎng)絡(luò)信息安全傳輸方法的流程圖��。
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍�。
本發(fā)明的目的是提供一種網(wǎng)絡(luò)信息安全傳輸方法����,基于TCP/IP協(xié)議對(duì)網(wǎng)絡(luò)數(shù)據(jù)的數(shù)據(jù)報(bào)文信息進(jìn)行過濾、對(duì)應(yīng)用層協(xié)議判斷和解析�,深入到應(yīng)用層數(shù)據(jù)內(nèi)部,通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的多級(jí)別分析����,提高網(wǎng)絡(luò)數(shù)據(jù)的安全性。
為使本發(fā)明的上述目的���、特征和優(yōu)點(diǎn)能夠更加明顯易懂����,下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明。
如圖1所示���,本發(fā)明網(wǎng)絡(luò)信息安全傳輸方法包括:
步驟100:在數(shù)據(jù)鏈路層�����、網(wǎng)絡(luò)層及傳輸層中��,基于TCP/IP協(xié)議對(duì)網(wǎng)絡(luò)數(shù)據(jù)的數(shù)據(jù)報(bào)文信息進(jìn)行過濾�,終止不符合TCP/IP協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸�����,獲得符合TCP/IP協(xié)議的初級(jí)網(wǎng)絡(luò)數(shù)據(jù)���。
步驟200:在應(yīng)用層�,判斷所述初級(jí)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用層協(xié)議是否符合規(guī)定����,終止不符合規(guī)定的應(yīng)用層協(xié)議對(duì)應(yīng)的初級(jí)網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸,獲得符合規(guī)定的二級(jí)網(wǎng)絡(luò)數(shù)據(jù)��。
步驟300:解析所述二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用層協(xié)議����,提取二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的文本內(nèi)容,判斷所述二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的文本內(nèi)容是否符合用戶設(shè)置��,終止不符合用戶設(shè)置的文本內(nèi)容對(duì)應(yīng)的二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸�,獲得三級(jí)網(wǎng)絡(luò)數(shù)據(jù)在網(wǎng)絡(luò)中繼續(xù)傳輸。
其中��,在步驟100中��,基于TCP/IP協(xié)議判斷所述數(shù)據(jù)報(bào)文信息的IP地址�、MAC地址以及端口是否有效,如果是���,則有效的數(shù)據(jù)報(bào)文信息對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)符合TCP/IP協(xié)議�����;否則不符合�。
所述應(yīng)用層協(xié)議包括HTTP協(xié)議�、FTP協(xié)議、SMTP協(xié)議及POP3協(xié)議中至少一者��。
在步驟200中�,所述判斷所述初級(jí)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用層協(xié)議是否符合規(guī)定包括:
步驟201:預(yù)設(shè)協(xié)議頭部和協(xié)議尾部的危險(xiǎn)命令字;
步驟202:判斷所述初級(jí)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用層協(xié)議的協(xié)議頭部和/或協(xié)議尾部是否有危險(xiǎn)命令字的使用;如果有��,則使用危險(xiǎn)命令字的應(yīng)用層協(xié)議對(duì)應(yīng)的初級(jí)網(wǎng)絡(luò)數(shù)據(jù)不符合規(guī)定���;否則符合���。終止應(yīng)用層協(xié)議中不符合規(guī)定的網(wǎng)絡(luò)數(shù)據(jù)的鏈路傳輸。
用戶設(shè)置包括設(shè)置待檢測(cè)文件的級(jí)別�����,選擇文件后綴名����、文件格式并存儲(chǔ)。優(yōu)選的����,所述選擇的文件后綴名、文件格式以數(shù)據(jù)表的形式存儲(chǔ)�,便于用戶選擇和設(shè)定。
其中����,所述待檢測(cè)文件的級(jí)別分為初級(jí)���、中級(jí)和高級(jí)。所述判斷所述應(yīng)用層中的數(shù)據(jù)是否符合用戶設(shè)置包括:當(dāng)待檢測(cè)文件的級(jí)別為初級(jí)時(shí)�����,初級(jí)檢測(cè)文件的后綴名是否與存儲(chǔ)的文件后綴名匹配�����,終止不匹配的文件名對(duì)應(yīng)的二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸��;當(dāng)待檢測(cè)文件的級(jí)別為中級(jí)時(shí)���,在完成初級(jí)檢測(cè)后,中級(jí)檢測(cè)文件的文件頭是否與存儲(chǔ)的文件后綴名匹配����,終止不匹配的文件頭對(duì)應(yīng)的二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸;當(dāng)待檢測(cè)文件的級(jí)別為高級(jí)時(shí)�,在完成初級(jí)檢測(cè)和中級(jí)檢測(cè)后,高級(jí)檢測(cè)文件的內(nèi)容是否與存儲(chǔ)的文件后綴名匹配����,終止不匹配的文件內(nèi)容對(duì)應(yīng)的二級(jí)網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)傳輸��。
應(yīng)用層協(xié)議解析(即文件解析)機(jī)制是一種白名單機(jī)制�����,只識(shí)別已知的用戶文件�,禁止傳輸未知的文件��,其中包含禁止病毒文件等其他危險(xiǎn)文件�。這樣就可以有效的禁止病毒文件的傳輸。相對(duì)于殺毒軟件的黑名單機(jī)制��,文件解析這種白名單機(jī)制可以不因?yàn)椴《镜母露鵁o法識(shí)別����,大大提高了系統(tǒng)的安全性。
本發(fā)明網(wǎng)絡(luò)信息安全傳輸方法可在保證高性能傳輸?shù)幕A(chǔ)上���,確保網(wǎng)絡(luò)數(shù)據(jù)的安全�。在傳統(tǒng)網(wǎng)閘的基礎(chǔ)上��,增加對(duì)應(yīng)用層協(xié)議的解析���,深入到應(yīng)用層數(shù)據(jù)內(nèi)部�����,保證網(wǎng)絡(luò)數(shù)據(jù)的安全性�����,在應(yīng)用層協(xié)議之上����,對(duì)其傳輸?shù)奈募M(jìn)行多級(jí)別分析����,包括:文件名、關(guān)鍵字���、格式信息等�����,可保證文件作為數(shù)據(jù)的載體安全可靠�。
本說明書中各個(gè)實(shí)施例采用遞進(jìn)的方式描述���,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處�����,各個(gè)實(shí)施例之間相同相似部分互相參見即可�。
本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想���;同時(shí)���,對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想�����,在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處���。綜上所述����,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制���。