(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210907716.4 (22)申请日 2022.07.29 (71)申请人 深圳市风云实业有限公司 地址 518040 广东省深圳市福田区车公庙 天安工业区天吉大厦2B2、 3B2、 4B1 (72)发明人 芦伟　陈世伟　詹晋川　张晋　 张帆　 (74)专利代理 机构 北京正华智诚专利代理事务 所(普通合伙) 11870 专利代理师 李梦蝶 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/2503(2022.01) H04L 69/16(2022.01) H04L 69/22(2022.01) (54)发明名称 一种基于数据透明落地及协议隔离的传输 方法和隔离设备 (57)摘要 本发明公开了一种基于数据透明落地及协 议隔离的传输方法和隔离设备， 该方法和设备采 用一种特殊的地址转换， 使 IP数据可以透明的在 设备上通过协议栈应用层落地， 传输的数据在应 用层上剥离了TCP\IP传输协议， 并进行应用层格 式检查、 传输协议清洗、 密标核检等安全操作， 加 载过安全手段后， 重新再将数据发送给目标终 端， 使两段的传输协议隔离。 使数据在传输过程 中可能存在的离线协议分析和 内容夹带等安全 风险具备有效的防护手段。 权利要求书2页 说明书5页 附图3页 CN 115277221 A 2022.11.01 CN 115277221 A 1.一种基于数据透明落 地及协议隔离的传输方法， 其特 征在于， 包括如下步骤： S1、 配置链路数据截获模块的数据截获类型， 根据所配置的模式对数据进行过滤匹配， 将匹配上的IP数据报文放入待处 理接收队列； S2、 地址映射转换模块轮询遍历待处理接收队列， 收到待处理IP报文后进行解析并将 解析结果发送至落 地服务模块和协议隔离模块； S3、 所述落地服务模块收到解析结果后在本地创建基于所述解析结果的接收服务， 并 从该接收服务的接收队列中读取实体内容， 将获得的实体数据放入内容安全检查模块的任 务队列中； 所述协议隔离模块收到解析结果后在本地创建反向目标连接服务， 并实时监听 反向目标 连接服务的发送队列； S4、 内容安全检查模块轮训遍历任务队列， 当任务队列中存在带处理数据时， 内容安全 检查模块对数据进 行统计， 并将统计的信息发送至审 计模块； 若发送的数据为合法数据， 则 拷贝数据至内容存储模块， 同时将该数据加入协 议隔离模块中； 若为异常数据， 则异常报文 进行数据丢弃。 2.根据权利要求1所述的一种基于数据透 明落地及协议隔离的传输方法， 其特征在于， 所述S1中配置链路数据截获模块的数据截获类型的具体方式为数据全截获方式、 协议及端 口业务截获和特定协议。 3.根据权利要求1所述的一种基于数据透 明落地及协议隔离的传输方法， 其特征在于， 所述S2具体包括如下步骤： S21、 地址映射转换模块收到待 处理IP报文后， 解析IP数据并获取到目的IP地址、 协议、 目的端口， 将协议、 目的端口通告给落地服务模块， 同时将目的IP、 协 议、 目的端口通告到协 议隔离模块； S22、 将待 处理IP报文中的目的地址修改为本机IP地址， 使修改后的报文存储在本地该 协议的接收队列中， 使报文在本地 落地； S23、 在地址映射 转换模块中形成原 始报文与落 地报文之间的映射关系。 4.根据权利要求3所述的一种基于数据透 明落地及协议隔离的传输方法， 其特征在于， 所述S23中的映射关系表示 为： 原地址、 目的地址、 协议、 源端口、 目的端口 ‑>原地址、 本地地址、 协议、 源端口、 目的端 口。 5.根据权利要求1所述的一种基于数据透 明落地及协议隔离的传输方法， 其特征在于， 所述落地服务模块收到协议及dst  port通告后， 在本地创建基于该协议和dst  port的数据 接收服务， 之后从该协议服务的接 收队列中读取报文实体内容,该实体内容已经剥离了IP 协议及tcp\udp协 议头， 为纯通信落地数据。 并将获得的数据放入内容安全检查模块任务队 列中。 6.根据权利要求1所述的一种基于数据透 明落地及协议隔离的传输方法， 其特征在于， 所述内容安全检查模块 发现队列中有待处理的数据时， 对数据进 行格式检查、 夹带检索、 病 毒携带、 攻击行为、 及关键表象索引， 对合法及异常的数据进行统计， 将统计的信息发送到 行为审计模块。 7.一种基于数据透明落 地及协议隔离的设备， 其特 征在于， 包括： 链路数据截获模块： 设备串行部署在传输链路中， 该设备通过链路数据截获模块透明权　利　要　求　书 1/2 页 2 CN 115277221 A 2截获链路上传输的数据， 为数据透明落 地提供数据来源； 地址映射转换模块： 该模块将截获的数据报文进行本地透明落地信息转换， 并形成源 数据与落 地数据的映射关系。 为入设备和出设备的数据提供透明传输保障； 落地服务模块： 该模块对需要落地的数据进行本地服务监听， 并获取链路报文数据内 容实体， 为内容实体安全分析和内容格式检查 提供数据来源； 协议隔离模块： 通过本地重新创建新的目的连接， 通过新的目的连接将处理完成的落 地数据发送出去， 从而实现协议隔离目的； 内容安全检查模块： 该模块对落地的实体数据内容进行格 式检查、 行为分析、 夹带检索 等安全操作， 保证链路传输中的数据安全可靠； 行为审计模块： 该模块对安全检查的内容数据进行审计， 包括报文长度、 协议动作、 安 全特性、 双方通信地址等信息， 为管理员提供安全态 势回溯的手段； 内容存储模块： 对落地的数据进行本地备份存储， 用于导出备案或为第三方安全设备 提供离线分析 数据源； 管理模块： 对设备进行自身参数配置， 包括地址、 管理三元等配置项； 对审计数据提供 人机交互展示； 以及设备自身运行状态展示。权　利　要　求　书 2/2 页 3 CN 115277221 A 3