高效安全的异构型媒体网关

1.一种病毒扫描与过滤的方法，其特征在于：它包括以下步骤：
（1）白名单扫描，将媒体数据文件的特征和白名单中媒体数据文件的特征进行比对，只接收“白名单”上的数据文件并通过解析被认可后才能进入本业务板块；
（2）端口映射，媒体网关采用端口映射的方式与板块物理存储池进行联结，合法的媒体数据通过门户网关时不停留，被同步转发到目的存储地；
（3）极速的数据切片指纹扫描，只对应用层的数据进行快速地扫描校验，其他协议层的数据直接隔离，其中，所述的极速的数据切片指纹扫描包括以下子步骤：
（a）微通道内存映射：把视频文件映射到系统物理内存的虚拟地址空间中，按照内存数据的存取方式实现文件的存取；
（b）智能数据切片：将映射到内存的数据进行智能切片，切成多个数据块；
（c）并行处理数据切片：多线程并行地对数据块执行MD5算法，分别得到各数据块的消息摘要即MD5码；
（d）MD5指纹提取，综合各数据块的消息摘要即MD5码，得到整个视频文件的MD5码指纹信息。
2．根据权利要求1所述的一种病毒扫描与过滤的方法，其特征在于：对于帧内压缩文件，数据切片时按照预置的文件块大小直接分割。
3．根据权利要求1所述的一种病毒扫描与过滤的方法，其特征在于：对于帧间压缩文件，数据切片时以I帧为基准帧进行分割。

高效安全的异构型媒体网关\n技术领域\n[0001] 本发明涉及一种高效安全的异构型媒体网关。\n背景技术\n[0002] 目前，蠕虫、木马、间谍软件、带宽滥用、DDoS等等，在全台网中形成复合型威胁，使威胁更加危险和难以抵御，而且这些威胁直接攻击企业核心服务器和应用，给电视台带来了重大损失，特别是播出系统，天天面临着这些威胁,造成可能停播的严重事故。\n[0003] 这些威胁的具体表现主要包括：攻击终端用户计算机，给用户带来信息风险甚至财产损失；对网络基础设施进行DoS/DDoS攻击，造成基础设施的瘫痪；带宽资源被业务无关流量浪费，形成巨大的资源损失。\n[0004] 面对这些问题，传统解决方案最大的问题是，防火墙工作在TCP/IP 3-4层上，对网络数据包逐一进行特征检测，互通性能急剧降低，而且根本就“看”不到应用层的这些威胁的存在，而IDS作为一个旁路设备，对这些威胁又“看而不阻”，因此我们需要一个全新的针对应用层安全的安全解决方案。\n发明内容\n[0005] 本发明的发明目的在于克服现有技术的不足，提供一种针对应用层的高效且安全的异构型媒体网关，实现高效、安全、不存在防护滞后的防病毒系统。\n[0006] 本发明的发明目的是通过以下技术方案实现的：高效安全的异构型媒体网关，它包括至少一台网关服务器及病毒扫描与过滤的模块，其特征在于：所述的病毒扫描与过滤包括以下步骤：\n[0007] （1）白名单扫描，将媒体数据文件的特征和白名单中媒体数据文件的特征进行比对，只接收“白名单”上的数据文件并通过解析被认可后才能进入本业务板块；\n[0008] （2）端口映射，媒体网关采用端口映射的方式与板块物理存储池进行联结，合法的媒体数据通过门户网关时不停留，被同步转发到目的存储地；\n[0009] （3）极速的数据切片指纹扫描，只对应用层的数据进行快速地扫描校验，其他协议层的数据直接隔离。\n[0010] 本发明所述的异构型媒体网关的运行平台是嵌入式UNIX操作系统。\n[0011] 本发明所述的白名单扫描包括以下步骤：\n[0012] （1）建立白名单列表，白名单列表中的每一个登记项对应一种有效的文件类型；\n[0013] （2）建立匹配特征码列表，匹配特征码列表的每一个登记项表示一种有效的文件类型的特征；\n[0014] （3）读入待解析的数据文件，检查文件的类型是否在白名单列表中存在对应的登记项，如果找不到对应的登记项，则丢弃该文件；\n[0015] （4）读取通过白名单检验的文件的特征码，从匹配特征码列表中查找是否存在对应登记项，如果找不到对应的登记项，则丢弃该文件；\n[0016] （5）生成板块指纹，并将板块指纹绑定在数据流上；\n[0017] （6）将数据流传输到存储结点；\n[0018] （7）接收数据流，并对数据流进行校验对比；\n[0019] （8）用发送端公钥解密并校验板块指纹；\n[0020] （9）判断解密得到的板块指纹与绑定在数据流中的板块指纹是否相同，如果相同则通过数据为合法性校验，对数据予以存储，否则丢弃该数据。\n[0021] 本发明所述的极速的数据切片指纹扫描只对应用层的数据进行快速地扫描校验，包括以下步骤：\n[0022] （1）微通道内存映射：把视频文件映射到系统物理内存的虚拟地址空间中，按照内存数据的存取方式实现文件的存取；\n[0023] （2）智能数据切片：将映射到内存的数据进行智能切片，切成多个数据块；\n[0024] （3）并行处理数据切片：多线程并行地对数据块执行MD5算法，分别得到各数据块的消息摘要即MD5码；\n[0025] （4）MD5指纹提取，综合各数据块的消息摘要即MD5码，得到整个视频文件的MD5码指纹信息。\n[0026] 本发明所述的数据切片方法包括帧内压缩文件数据切片方法和帧间压缩文件数据切片方法：\n[0027] （1）对于帧内压缩文件数据，仅考虑本帧的数据而不考虑相邻帧之间的冗余信息，不使用运动补偿，所以是随机存取的入点，按照预置的文件块大小直接分割；\n[0028] （2）对于帧间压缩文件数据，它是基于时空相关性的视频帧间压缩方法，在数据分割时，以I帧为基准帧进行分割。\n[0029] 本发明的有益效果是：提供了一种针对应用层的高效且安全的异构型媒体网关及方法，此病毒隔离系统具有更高的数据传输效率，网关本身也具有较高安全性，与传统的防病毒软件和防火墙相比，具有高效、安全性能好和不存在防护滞后的问题等优势。\n附图说明\n[0030] 图1 高效安全的异构型媒体网关工作流程图\n[0031] 图2 基于白名单的数据检验工作过程示意图\n[0032] 图3 应用层数据极速扫描数据切片示意图。\n具体实施方式\n[0033] 下面结合附图具体说明本发明的技术方案，高效安全的异构型媒体网关，它包括至少一台网关服务器及病毒扫描与过滤的模块，其特征在于：所述的病毒扫描与过滤包括以下步骤：\n[0034] （1）白名单扫描，将媒体数据文件的特征和白名单中媒体数据文件的特征进行比对，只接收“白名单”上的数据文件并通过解析被认可后才能进入本业务板块；\n[0035] （2）端口映射，媒体网关采用端口映射的方式与板块物理存储池进行联结，合法的媒体数据通过门户网关时不停留，被同步转发到目的存储地；\n[0036] （3）极速的数据切片指纹扫描，只对应用层的数据进行快速地扫描校验，其他协议层的数据直接隔离。\n[0037] 本发明所述的异构型媒体网关的运行平台是嵌入式UNIX操作系统。\n[0038] 本发明所述的白名单扫描包括以下步骤：\n[0039] （1）建立白名单列表，白名单列表中的每一个登记项对应一种有效的文件类型；\n[0040] （2）建立匹配特征码列表，匹配特征码列表的每一个登记项表示一种有效的文件类型的特征；\n[0041] （3）读入待解析的数据文件，检查文件的类型是否在白名单列表中存在对应的登记项，如果找不到对应的登记项，则丢弃该文件；\n[0042] （4）读取通过白名单检验的文件的特征码，从匹配特征码列表中查找是否存在对应登记项，如果找不到对应的登记项，则丢弃该文件；\n[0043] （5）生成板块指纹，并将板块指纹绑定在数据流上；\n[0044] （6）将数据流传输到存储结点；\n[0045] （7）接收数据流，并对数据流进行校验对比；\n[0046] （8）用发送端公钥解密并校验板块指纹；\n[0047] （9）判断解密得到的板块指纹与绑定在数据流中的板块指纹是否相同，如果相同则通过数据为合法性校验，对数据予以存储，否则丢弃该数据。\n[0048] 本发明所述的极速的数据切片指纹扫描只对应用层的数据进行快速地扫描校验，包括以下步骤：\n[0049] （1）微通道内存映射：把视频文件映射到系统物理内存的虚拟地址空间中，按照内存数据的存取方式实现文件的存取；\n[0050] （2）智能数据切片：将映射到内存的数据进行智能切片，切成多个数据块；\n[0051] （3）并行处理数据切片：多线程并行地对数据块执行MD5算法，分别得到各数据块的消息摘要即MD5码；\n[0052] （4）MD5指纹提取，综合各数据块的消息摘要即MD5码，得到整个视频文件的MD5码指纹信息。\n[0053] 本发明所述的数据切片方法包括帧内压缩文件数据切片方法和帧间压缩文件数据切片方法：\n[0054] （1）对于帧内压缩文件数据，由于它压缩时仅考虑本帧的数据而不考虑相邻帧之间的冗余信息，不使用运动补偿，所以是随机存取的入点，按照预置的文件块大小直接分割；\n[0055] （2）对于帧间压缩文件数据，由于它是基于时空相关性的视频帧间压缩方法，在数据分割时，以I帧为基准帧进行分割。\n[0056] 如图1，当数据传输到异构型媒体网关时，首先进行白名单扫描，即将媒体数据文件的特征和白名单中媒体数据文件的特征进行比对，只接收“白名单”上的数据文件并通过解析被认可后才能进入本业务板块。\n[0057] 如图2，基于白名单机制的数据检验包括以下步骤：\n[0058] （1）建立白名单列表，白名单列表中的每一个登记项对应一种有效的文件类型；\n[0059] （2）建立匹配特征码列表，匹配特征码列表的每一个登记项表示一种有效的文件类型的特征；\n[0060] （3）读入待解析的数据文件，检查文件的类型是否在白名单列表中存在对应的登记项，如果找不到对应的登记项，则丢弃该文件；\n[0061] （4）读取通过白名单检验的文件的特征码，从匹配特征码列表中查找是否存在对应登记项，如果找不到对应的登记项，则丢弃该文件；\n[0062] （5）生成板块指纹，并将板块指纹绑定在数据流上；\n[0063] （6）将数据流传输到存储结点；\n[0064] （7）接收数据流，并对数据流进行校验对比；\n[0065] （8）用发送端公钥解密并校验板块指纹；\n[0066] （9）判断解密得到的板块指纹与绑定在数据流中的板块指纹是否相同，如果相同则通过数据为合法性校验，对数据予以存储，否则丢弃该数据。\n[0067] 如图1，通过白名单扫描的数据而后经过端口映射，媒体网关采用端口映射的方式与板块物理存储池进行联结，合法的媒体数据通过门户网关时不停留，被同步转发到目的存储地。\n[0068] 如图1、图3， 数据经过端口映射方式直接同步转发到目的存储地时，极速的数据切片指纹扫描，只对应用层的数据进行快速地扫描校验，其他协议层的数据直接隔离，极速的数据切片指纹扫描又包括以下步骤：\n[0069] （1）微通道内存映射：把视频文件映射到系统物理内存的虚拟地址空间中，按照内存数据的存取方式实现文件的存取；\n[0070] （2）智能数据切片：将映射到内存的数据进行智能切片，切成多个数据块；\n[0071] （3）并行处理数据切片：多线程并行地对数据块执行MD5算法，分别得到各数据块的消息摘要即MD5码；\n[0072] （4）MD5指纹提取，综合各数据块的消息摘要即MD5码，得到整个视频文件的MD5码指纹信息。\n[0073] 将提取的MD5码指纹信息与源MD5码指纹信息进行比对，即可判断文件是否被篡改。