本发明专利技术提供了一种VPN安全网关,包括内网通信单元、外网通信单元、加解密单元和管理单元,其中:内网通信单元,用于将内网数据传给所述的加解密单元,并用于将所述加解密单元传输来的解密数据传入内网;外网通信单元,用于将外网数据传给所述的加解密单元,并用于将所述加解密单元传输来的加密数据传入外网;加解密单元,用于对内网通信单元及外网通信单元传输来的相应数据信息进行相应的处理;管理单元,用于统一管理该所述的内网通信单元、外网通信单元和加解密单元,并用于监控该所述内网通信单元、外网通信单元和加解密单元的工作状态。本发明专利技术提高了VPN安全网关的隔离性能。
【技术实现步骤摘要】
一种VPN安全网关
本专利技术涉及安全网关领域,具体是一种VPN安全网关。
技术介绍
随着现代网络技术的迅猛发展,网络互联已经成为一种不可阻挡的潮流,但这种互联方式极易受到各种攻击,导致对内部网络的非法访问和信息泄露。如何保证用户的信息在网络安全的传递,不被怀有恶意的人加以窃听、破坏,是目前安全界面临的一个重要的课题和发展方向。VPN技术是一种通过在公共网络中构建一条加密的隧道,从而扩大局域网通信距离的技术。这种技术可实现网络-网络(site-site)和主机-网络(terminal-site)之间的通信,极大的方便了企业内部信息的共享。但目前,将VPN技术应用于敏感信息的传输,依然存在相对较大的风险:一是对于单主机转发数据的通信方式,存在主机被控制的风险;二是未能实现可信区域与不可信区域的隔离,不能阻止非法数据包进入可信网络;三是无法在使用VPN的终端之间的进行相互认证问题。鉴于上述问题的存在,VPN安全网关的隔离性能不太理想,此为现有技术的不足之处。针对这些不足,本申请设计了一种VPN安全网关,其用于提高内网与外网的隔离强度,实现数据在公共网络上传输的安全性。
技术实现思路
本专利技术所要解决的技术问题是,针对现有技术的不足,提供一种VPN安全网关,用于提高VPN安全网关的隔离性能。为解决上述技术问题,本专利技术提供了一种VPN安全网关,包括内网通信单元、外网通信单元、加解密单元和管理单元,其中:内网通信单元,与内网及所述的加解密单元通信连接,用于将内网数据传给所述的加解密单元,并用于将所述加解密单元传输来的解密数据传入内网;外网通信单元,与外网及所述的加解密单元通信连接,用于将外网数据传给所述的加解密单元,并用于将所述加解密单元传输来的加密数据传入外网;加解密单元,用于对内网通信单元及外网通信单元传输来的相应数据信息进行相应的处理,所述相应的处理为加密处理、解密处理与丢弃处理中的任意一种处理;管理单元,与所述的内网通信单元、外网通信单元和加解密单元通信连接,用于统一管理该所述的内网通信单元、外网通信单元和加解密单元,并用于监控该所述内网通信单元、外网通信单元和加解密单元的工作状态。其中,所述的管理单元用于向所述的内网通信单元、外网通信单元和加解密单元分别下发相同的数据加解密匹配策略;所述的内网通信单元,在将内网数据传给所述的加解密单元之前,还包括:基于上述管理单元下发的数据加解密匹配策略,对当前所要传输的内网数据进行相应的重组,该重组后的内网数据包括用于对当前所要传输的内网数据进行加密的加密算法名称;所述的外网通信单元,在将外网数据传给所述的加解密单元之前,还包括:基于上述管理单元下发的数据加解密匹配策略,对当前所要传输的外网数据进行相应的重组,该重组后的外网数据包括将要对当前所要传输的外网数据进行解密的解密算法名称;所述的加解密单元,对内网通信单元及外网通信单元传输来的相应数据信息进行相应的处理的方法步骤包括:步骤s1、分别对由各相应通信单元传输来的相应数据信息进行解析,分别解析出上述各相应通信单元当前传输来的相应数据及其各自对应的加解密算法名称;步骤s2;遍历所述管理单元下发的数据加解密匹配策略中所涉及的各加解密算法名称,若遍历结果为存在与当前解析出的相应加解密算法名称相一致的算法名称,则执行步骤s3,否则执行步骤s4;步骤s3、调用与当前解析出的相应加解密算法名称相一致的加解密算法,对当前解析出的相应数据进行加密处理或解密处理;步骤s4、对当前解析出的相应数据信息进行丢弃处理。其中,所述的管理单元还用于完成本网关在工作期间的日志审计。其中,所述的内网通信单元和外网通信单元分别通过高速接口连接所述的加解密单元,所述的内网通信单元、外网通信单元和加解密单元均通过中速接口或低速接口连接所述的管理单元。其中,所述的外网通信单元包括内存、用于该外网通信单元的数据存储的数据存储模块,以及连接所述的内存及数据存储模块的处理器。其中,所述的内网通信单元包括内存、用于该内网通信单元的数据存储模块,以及连接所述的内存及数据存储模块的处理器。其中,所述的加解密单元包括主控芯片、FPGA加密芯片和FPGA解密芯片,所述的主控芯片通过FPGA接口连接所述的FPGA加密芯片和FPGA解密芯片。其中,所述的管理单元包括内存、硬盘以及处理器,该处理器与所述的内存和硬盘相连。其中,所述的管理单元带有一用于双机热备的串口。与现有技术相比,本专利技术的优点在于:(1)本专利技术所述的VPN安全网关,设有内网通信单元、外网通信单元、加解密单元和管理单元,其采用四板架构技术,即整个VPN安全网关设备有四个严格区分的功能单元,其中所述的内网通信单元和外网通信单元被所述的加解密单元隔离,使VPN安全网关用于与内网连接的内网通信单元具有一定的网络抗攻击能力,进而实现可信区域(内网)和非可信区域(外网)的隔离,进而提高内网的安全性;(2)本专利技术所述的VPN安全网关,其管理单元能够向所述的内网通信单元、外网通信单元和加解密单元分别下发相同的数据加解密匹配策略,而加解密单元基于上述管理单元下发的数据加解密匹配策略,对其解析出的相应加解密算法名称进行认证,即判定当前解析出的相应加解密算法名称,是否为上述管理单元下发的数据加解密匹配策所涉及的各加解密算法名称中的一种,若认证通过,则调用该所述当前解析出的相应加解密算法名称对应的加解密算法进行当前解析出的相应数据进行加密或解密,否则直接丢弃该当前解析出的相应数据,这能够增加通过外网传输数据的安全性,进而能提高VPN安全网关的隔离性能;(3)本专利技术所述VPN安全网关的加解密单元,包括主控芯片、FPGA加密芯片和FPGA解密芯片,其使用,实现了内网通信单元和外网通信单元之间的物理隔离,进而能够提高内网的安全性;(4)本专利技术所述的VPN安全网关,其管理单元带有一用于双机热备的串口,可通过管理单元可配置为双机热备设备,即使得本VPN安全网关具有支持双机热备的功能,这在一定程度上便于降低内外网通信中断的可能性,进而提高内外网通信的可靠性。由此可见,本专利技术与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。附图说明图1为本专利技术所述VPN安全网关的架构图示意图。其中:1、中速接口,2、串口,3、本地配置串口,4、通信通道,5、通信通道,6、高速接口。具体实施方式为使本专利技术的技术方案和优点更加清楚,下面将结合附图,对本专利技术的技术方案进行清楚、完整地描述。具体实施方式1:如图1所示,本专利技术的一种VPN安全网关,包括内网通信单元、外网通信单元、加解密单元和管理单元,其中:内网通信单元,与内网及所述的加解密单元通信连接,用于将内网数据传给所述的加解密单元,并用于将所述加解密单元传输来的解密数据传入内网;外网通信单元,与外网及所述的加解密单元通信连接,用于将外网数据传给所述的加解密单元,并用于将所述加解密单元传输来的加密数据传入外网;加解密单元,用于对内网通信单元及外网通信单元传输来的相应数据信息进行相应的处理,所述相应的处理为加密处理、解密处理与丢弃处理中的任意一种处理;管理单元,与所述的内网通信单元、外网通信单元和加解密单元通信连接,用于统一管理该所述的内网通信单元、外网通信单元和加解密单元,并用于本文档来自技高网...
【技术保护点】
一种VPN安全网关,其特征在于,包括内网通信单元、外网通信单元、加解密单元和管理单元,其中:内网通信单元,与内网及所述的加解密单元通信连接,用于将内网数据传给所述的加解密单元,并用于将所述加解密单元传输来的解密数据传入内网;外网通信单元,与外网及所述的加解密单元通信连接,用于将外网数据传给所述的加解密单元,并用于将所述加解密单元传输来的加密数据传入外网;加解密单元,用于对内网通信单元及外网通信单元传输来的相应数据信息进行相应的处理,所述相应的处理为加密处理、解密处理与丢弃处理中的任意一种处理;管理单元,与所述的内网通信单元、外网通信单元和加解密单元通信连接,用于统一管理该所述的内网通信单元、外网通信单元和加解密单元,并用于监控该所述内网通信单元、外网通信单元和加解密单元的工作状态。
【技术特征摘要】
1.一种VPN安全网关,其特征在于,包括内网通信单元、外网通信单元、加解密单元和管理单元,其中:内网通信单元,与内网及所述的加解密单元通信连接,用于将内网数据传给所述的加解密单元,并用于将所述加解密单元传输来的解密数据传入内网;外网通信单元,与外网及所述的加解密单元通信连接,用于将外网数据传给所述的加解密单元,并用于将所述加解密单元传输来的加密数据传入外网;加解密单元,用于对内网通信单元及外网通信单元传输来的相应数据信息进行相应的处理,所述相应的处理为加密处理、解密处理与丢弃处理中的任意一种处理;管理单元,与所述的内网通信单元、外网通信单元和加解密单元通信连接,用于统一管理该所述的内网通信单元、外网通信单元和加解密单元,并用于监控该所述内网通信单元、外网通信单元和加解密单元的工作状态。2.根据权利要求1所述的VPN安全网关,其特征在于,所述的管理单元用于向所述的内网通信单元、外网通信单元和加解密单元分别下发相同的数据加解密匹配策略;所述的内网通信单元,在将内网数据传给所述的加解密单元之前,还包括:基于上述管理单元下发的数据加解密匹配策略,对当前所要传输的内网数据进行相应的重组,该重组后的内网数据包括用于对当前所要传输的内网数据进行加密的加密算法名称;所述的外网通信单元,在将外网数据传给所述的加解密单元之前,还包括:基于上述管理单元下发的数据加解密匹配策略,对当前所要传输的外网数据进行相应的重组,该重组后的外网数据包括将要对当前所要传输的外网数据进行解密的解密算法名称;所述的加解密单元,对内网通信单元及外网通信单元传输来的相应数据信息进行相应的处理的方法步骤包括:步骤s1、分别对由各相应通信单元传输来的相应数据信息进行解析,分别解析出上述各相应通...
【专利技术属性】
技术研发人员:赵瑞东,张小亮,刘强,李若寒,曹刚,
申请(专利权)人:山东超越数控电子有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。