网络安全中的数据回传的方法及装置

1.一种网络安全中的数据回传的方法，其特征在于，所述方法包括：
基于安装的移动网络网卡，绑定所述移动网络网卡对应的移动网络账号；
监控被控用户通过互联网传输的被控数据，并根据被控数据产生主控数据，其中，所述主控数据是网络安全设备为了实现网络安全目标而收发的数据；
通过移动网络向网络安全服务器发起网络连接请求，并建立移动网络连接；
对要回传的主控数据进行封装，并按照数字证书中的公共密钥对封装后的主控数据进行加密后，通过所述移动网络发送至网络安全服务器。
2.根据权利要求1所述的方法，其特征在于，所述移动网络包括3G移动网络或者2G移动网络。
3.根据权利要求2所述的方法，其特征在于，所述通过移动网络向网络安全服务器发起网络连接请求，并建立移动网络连接包括：
向3G移动网络发起网络连接请求；
如果连接成功，则向所述3G移动网络发送数字证书，请求3G移动网络认证身份，并接收
3G移动网络发来的数字证书认证所述3G移动网络的身份，建立3G移动网络连接；
如果连接不成功，则向2G移动网络发起网络连接请求，建立2G移动网络连接。
4.根据权利要求1-3中任一项所述的方法，其特征在于，所述方法还包括：
监听网络安全客户端发起的网络连接请求；
如果有网络连接请求，则根据配置表判断所述网络安全客户端是否是合法的连接用户；
如果所述网络安全客户端是合法的连接用户，则接收所述网络安全客户端发来的数据，对接收到的数据进行解密，并根据所述数据的报文类型进行相应处理。
5.根据权利要求1所述的方法，其特征在于，所述方法还包括：
设置并存储自身作为移动网络连接的客户端和/或服务器，以及对端通信对象。
6.一种网络安全中的数据回传的装置，其特征在于，所述装置包括：
账号绑定模块，用于基于安装的移动网络网卡，绑定所述移动网络网卡对应的移动网络账号；
监控模块，用于监控被控用户通过互联网传输的被控数据，并根据被控数据产生主控数据，其中，所述主控数据是网络安全设备为了实现网络安全目标而收发的数据；
网络连接请求模块，用于通过移动网络向网络安全服务器发起网络连接请求，并建立移动网络连接；
发送模块，用于对要回传的主控数据进行封装，并按照数字证书中的公共密钥对封装后的主控数据进行加密后，通过所述移动网络发送至网络安全服务器。
7.根据权利要求6所述的装置，其特征在于，所述移动网络包括3G移动网络或者2G移动网络。
8.根据权利要求7所述的装置，其特征在于，所述装置还包括：
3G移动网络连接请求模块，用于向3G移动网络发起网络连接请求；
认证模块，用于如果连接成功，则向所述3G移动网络发送数字证书，请求3G移动网络认证身份，并接收3G移动网络发来的数字证书认证所述3G移动网络的身份，建立3G移动网络连接；
2G移动网络连接模块，用于如果连接不成功，则向2G移动网络发起网络连接请求，建立
2G移动网络连接。
9.根据权利要求6-8中任一项所述的装置，其特征在于，所述装置还包括：
监听模块，用于监听网络安全客户端发起的网络连接请求；
判断模块，用于如果有网络连接请求，则根据配置表判断所述网络安全客户端是否是合法的连接用户；
接收模块，用于如果所述网络安全设备是合法的连接用户，则接收所述网络安全设备发来的数据，对接收到的数据进行解密，并根据所述数据的报文类型进行相应处理。
10.根据权利要求6所述的装置，其特征在于，所述装置还包括：
设置存储模块，用于设置并存储自身作为移动网络连接的客户端和/或服务器，以及对端通信对象。

网络安全中的数据回传的方法及装置\n技术领域\n[0001] 本发明实施例涉及网络安全技术，尤其涉及一种网络安全中的数据回传的方法及装置。\n背景技术\n[0002] 随着通信技术的普及和发展，网络通信已成为人们日常生活的一部分，越来越多的人通过网络了解时事、收发邮件、和朋友即时交流、购物、预订行程、休闲娱乐等。在提升人们的生活品质的同时，网络也被少数不法分子利用，用于组织、传播各种不良信息，从事犯罪活动。网络安全产品的出现，有力的提升了相关人员对网络侦查和攻击的能力。\n[0003] 目前的网络安全产品，无论是针对传统的以太网、ADSL、以太光纤线路，还是针对新兴的GPON、EPON线路，对被控数据的接入方式大多采用并接方式或者串接方式。并接方式，也称作数据镜像方式，在不影响原有数据传输的情况下，将被控数据复制一份传送给网络安全设备，由网络安全设备对捕获的数据进行分析处理，最后根据不同的用户需求由网络安全设备将分析后的数据整理入库或者对被控用户发起攻击；串接方式，也称作数据中继方式,直接把被控网络截断，由网络安全设备对截断点两侧双方向的数据进行分析处理，最后将分析结果进行数据入库、根据用户需求由网络安全设备判断将截断的被控数据正常投递、中止投递或者发起攻击。网络安全设备一般部署在靠近被控用户一端，使用环境复杂、艰苦，往往没有额外的数据回传线路，导致网络安全设备虽然掌握大量现场信息，却无法及时传递到指挥中心的网络安全服务器端，从而形成信息孤岛，不利于发挥网络安全设备响应及时的优势。而且，无论哪种接入方式，网络安全设备处理的数据量都非常巨大，如果不能及时将处理后的数据传送到后台服务器端，网络安全设备本身能存储的数据将非常有限。所以，在进行网络安全保障的同时，必须对数据进行回传，以保证前端网络安全设备能够工作更持久。在以往的网络安全产品系统设计中，由于网络数据传输速率不高，比如ADSL线路峰值在2M左右，采用借线回传，图1是现有技术中的借线回传方式的示意图，如图1所示，网络安全设备利用被控用户的网络把数据传回网络安全服务器端，可以利用本地缓存避开网络高峰，传统的借线回传技术，部署比较简单，不需要额外增加设备就能实现数据回传。\n[0004] 但是，随着网络技术的发展，现有技术中的借线回传的方式也有很明显的不足：第一，如果被控用户采用流量计费或者被控用户对流量比较敏感，则很容易暴露；第二，借线回传的方式会挤占用户带宽，容易造成网络拥塞；第三，借用的线路本身存在信息泄漏，不利于网络安全设备自身安全；第四，所有数据，无论是网络安全系统本身的控制信息、网络安全处理后生成的数据还是被控用户的上网数据都通过同一条线路进行传递，不利于系统问题定位和分析。\n发明内容\n[0005] 有鉴于此，本发明实施例提供一种网络安全中的数据回传的方法及装置，以解决在不具备有线数据回传的情况下实现数据回传的问题，保证数据传输的安全性，提高隐蔽性。\n[0006] 一方面，本发明实施例提供了一种网络安全中的数据回传的方法，所述方法包括：\n[0007] 监控被控用户通过互联网传输的被控数据，并根据被控数据产生主控数据；\n[0008] 通过移动网络向网络安全服务器发起网络连接请求，并建立移动网络连接；\n[0009] 对要回传的主控数据进行封装，并按照数字证书中的公共密钥对封装后的主控数据进行加密后，通过所述移动网络发送至网络安全服务器。\n[0010] 进一步地，所述移动网络包括3G移动网络或者2G移动网络。\n[0011] 进一步地，所述通过移动网络向网络安全服务器发起网络连接请求包括：\n[0012] 向3G移动网络发起网络连接请求；\n[0013] 如果连接成功，则向所述3G移动网络发送数字证书，请求3G移动网络认证身份，并接收3G移动网络发来的数字证书认证所述3G移动网络的身份，建立3G移动网络连接；\n[0014] 如果连接不成功，则向2G移动网络发起网络连接请求，建立2G移动网络。\n[0015] 进一步地，所述方法还包括：\n[0016] 监听网络安全客户端发起的网络连接请求；\n[0017] 如果有网络连接请求，则根据配置表判断所述网络安全客户端是否是合法的连接用户；\n[0018] 如果所述网络安全客户端是合法的连接用户，则接收所述网络安全客户端发来的数据，对接收到的数据进行解密，并根据所述数据的报文类型进行相应处理。\n[0019] 进一步地，所述方法还包括：\n[0020] 设置并存储自身作为移动网络连接的客户端和/或服务器，以及对端通信对象。\n[0021] 另一方面，本发明实施例还提供了一种网络安全中的数据回传的装置，所述装置包括：\n[0022] 监控模块，用于监控被控用户通过互联网传输的被控数据，并根据被控数据产生主控数据；\n[0023] 网络连接请求模块，用于通过移动网络向网络安全服务器发起网络连接请求，建立移动网络连接；\n[0024] 发送模块，用于对要回传的主控数据进行封装，并按照数字证书中的公共密钥对封装后的主控数据进行加密后，通过所述移动网络发送至网络安全服务器。\n[0025] 进一步地，所述移动网络包括3G移动网络或者2G移动网络。\n[0026] 进一步地，所述装置还包括：\n[0027] 3G移动网络连接请求模块，用于向3G移动网络发起网络连接请求；\n[0028] 认证模块，用于如果连接成功，则向所述3G移动网络发送数字证书，请求3G移动网络认证身份，并接收3G移动网络发来的数字证书认证所述3G移动网络的身份，建立3G移动网络连接；\n[0029] 2G移动网络连接模块，用于如果连接不成功，则向2G移动网络发起网络连接请求，建立2G移动网络连接。\n[0030] 进一步地，所述装置还包括：\n[0031] 监听模块，用于监听网络安全客户端发起的网络连接请求；\n[0032] 判断模块，用于如果有网络连接请求，则根据配置表判断所述网络安全客户端是否是合法的连接用户；\n[0033] 接收模块，用于如果所述网络安全客户端是合法的连接用户，则接收所述网络安全客户端发来的数据，对接收到的数据进行解密，并根据所述数据的报文类型进行相应处理。\n[0034] 进一步地，所述装置还包括：\n[0035] 设置存储模块，用于设置并存储自身作为移动网络连接的客户端和/或服务器，以及对端通信对象。\n[0036] 本发明实施例提供的网络安全中的数据回传的方法及装置通过监控被控用户的被控数据，根据被控数据产生主控数据，对要回传的主控数据进行封装，并按照数字证书进行加密后通过移动网络发送至网络安全服务器，解决了在不具备有线数据回传的情况下实现数据回传的问题，避免形成信息孤岛，提高了网络的安全可靠性，保证了数据传输的安全性，提高了隐蔽性，并且可以和被控数据使用不同的线路传输实现了物理上的隔离。\n附图说明\n[0037] 图1是现有技术中的借线回传方式的示意图；\n[0038] 图2是本发明第一实施例提供的网络安全中的数据回传的方法的流程图；\n[0039] 图3是网络安全设备使用本发明实施例提供的网络安全中的数据回传的方法进行数据回传的示意图；\n[0040] 图4是本发明第二实施例提供的网络安全中的数据回传的装置的示意图。\n具体实施方式\n[0041] 下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部内容。\n[0042] 本发明实施例所述的网络安全中的数据回传的方法及装置可以用于各种网络安全设备上，在使用本发明实施例所述的网络安全中的数据回传的方法及装置之前，需要向移动网络运营商申请移动网络账号（如3G账号），在网络安全设备上按照相应的移动网络网卡（如3G网卡）及相应的设备驱动程序，将账号和网络安全设备进行绑定，使移动网络网卡能够正确接入到相应的移动网络中。\n[0043] 图2示出了本发明的第一实施例。\n[0044] 图2是本发明第一实施例提供的网络安全中的数据回传的方法的实现流程图，图3是网络安全设备使用本发明实施例提供的网络安全中的数据回传的方法进行数据回传的示意图。在网络安全的系统架构中，一般可涉及网络安全数据中心和多个网络安全设备，各网络安全设备用于监测被控用户的被控数据。被控数据是被控用户通过互联网所交互传输的数据。在网络安全设备之间，特别是网络安全设备与网络安全数据中心之间均存在主控数据的回传需求，本实施例即提供了数据回传方法，可由任意需要进行数据回传的网络安全设备或网络安全数据中心，作为发起网络连接的网络安全客户端来执行。该方法详述如下：\n[0045] 在步骤201中，监控被控用户通过互联网传输的被控数据，并根据被控数据产生主控数据。\n[0046] 执行网络安全中的数据回传的方法的网络安全设备对被控用户通过互联网传输的数据进行监控，并根据被控数据产生主控数据。其中，被控数据是指被网络安全设备监控的用户即被控用户收发的数据；主控数据是指网络安全设备为了实现网络安全目标而收发的所有数据。\n[0047] 在步骤202中，通过移动网络向网络安全服务器发起网络连接请求，并建立移动网络连接。\n[0048] 在移动网络和执行网络安全中的数据回传的方法的网络安全设备均通过对方的认证后，执行网络安全中的数据回传的方法的网络安全设备通过移动网络向网络安全服务器发起网络连接请求，并建立与网络安全服务器之间的移动网络连接。\n[0049] 其中，网络安全服务器用于对执行网络安全中的数据回传的方法的网络安全设备发送来的主控数据进行分析及发送控制指令给执行网络安全中的数据回传的方法的网络安全设备。所述网络安全服务器可以是网络安全数据中心或其他网络安全设备。\n[0050] 示例性的，所述移动网络包括3G移动网络或者2G移动网络。\n[0051] 示例性的，在所述通过移动网络向网络安全服务器发起网络连接请求，并建立移动网络连接包括：\n[0052] 向3G移动网络发起网络连接请求；\n[0053] 如果连接成功，则向所述3G移动网络发送数字证书，请求3G移动网络认证身份，并接收3G移动网络发来的数字证书认证所述3G移动网络的身份，建立3G移动网络连接；\n[0054] 如果连接不成功，则向2G移动网络发起网络连接请求，建立2G移动网络连接。\n[0055] 执行网络安全中的数据回传的方法的网络安全设备以客户端的身份主动向3G移动网络发起网络连接请求，判断与3G移动网络的连接是否成功，如果连接成功，则根据SSL（Secure Sockets Layer，安全套接层)协议，向3G移动网络发送自身存储的数字证书，请求\n3G移动网络认证自己的身份，同时，接收3G移动网络发来的数字证书，根据移动网络发来的数字证书认证所述3G移动网络的身份，在双方均通过对方的身份认证后，建立3G移动网络连接；如果与3G移动网络的连接不成功，则向2G移动网络发起网络连接请求，建立2G移动网络连接。\n[0056] 其中，2G是第二代（The2nd Generation）移动通信技术的简称，一般定义为无法直接传送如电子邮件、软件等信息，只具有通话和一些如时间日期等传送的手机通信技术规格。3G是第三代（3rd-generation）移动通信技术的简称，是指支持高速数据传输的蜂窝移动通讯技术。3G服务能够同时传送声音及数据信息，速率一般在几百kbps以上。3G与2G的主要区别是在传输声音和数据的速度上的提升，它能够在全球范围内更好地实现无线漫游，并处理图像、音乐、视频流等多种媒体形式，提供包括网页浏览、电话会议、电子商务等多种信息服务，同时也要考虑与2G的良好兼容性。\n[0057] SSL协议是网景公司（Netscape）所研发，用以保障在网络上数据传输的安全，利用数据加密技术，确保数据在网络上的传输过程中不会被截取及窃听。SSL协议的当前版本为\n3.0，已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSL Record Protocol），建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持；SSL握手协议（SSL Handshake Protocol），建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。SSL协议提供的服务主要包括：认证用户和服务器，确保数据发送到正确的客户机和服务器；加密数据以防止数据中途被窃取；维护数据的完整性，确保数据在传输过程中不被改变。\n[0058] 在步骤203中，对要回传的主控数据进行封装，并按照数字证书中的公共密钥对封装后的主控数据进行加密后，通过所述移动网络发送至网络安全服务器。\n[0059] 执行网络安全中的数据回传的方法的网络安全设备对要回传的主控数据按照SSL协议进行封装，并按照自身存储的数字证书的公共密钥对封装后的主控数据进行HTTPS格式加密，并将加密后的主控数据通过所述移动网络发送至网络安全服务器。\n[0060] 其中，HTTPS（Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP（Hypertext Transfer Protocol，超文本传输协议）通道，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容需要SSL。HTTPS用于安全的HTTP数据传输，由Netscape开发，用于对数据进行加密和解密操作，并返回网络上传送回的结果。\nHTTPS实际上应用了Netscape的SSL作为HTTP应用层的子层。HTTPS的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。\n[0061] 示例性的，上述网络安全设备或网络安全数据中心，也存在接收回传数据的情况，则其可作为网络安全服务器执行下述操作，即所述方法还包括：\n[0062] 监听网络安全客户端发起的网络连接请求；\n[0063] 如果有网络连接请求，则根据配置表判断所述网络安全客户端是否是合法的连接用户；\n[0064] 如果所述网络安全客户端是合法的连接用户，则接收所述网络安全客户端发来的数据，对接收到的数据进行解密，并根据所述数据的报文类型进行相应处理。\n[0065] 传输层采用SSL作为传输层安全协议，执行网络安全中的数据回传的方法的网络安全设备监听其他网络安全客户端发起的网络连接请求；如果有网络连接请求，则根据配置表判断所述网络安全客户端是否是合法的连接用户，如果没有网络连接请求，则继续监听网络安全客户端发起的网络连接请求；如果所述网络安全客户端是合法的连接用户，则接受所述网络安全客户端发来的数据，按照SSL协议对接收到的数据进行解密，解析出数据的报文类型，根据所述数据的报文类型进行相应处理，例如：更新配置、查询、执行指令或连接终止等等。\n[0066] 其中，所述配置表用于存储合法用户的用户名、密码、访问者的IP地址及访问的端口等。在根据配置表判断所述网络安全设备是否是合法的连接用户时，只有所述网络安全设备的相应内容与配置表中的内容一一对应，即全部合法才认为是合法的连接用户。\n[0067] 示例性的，所述方法还包括：\n[0068] 设置并存储自身作为移动网络连接的客户端和/或服务器，以及对端通信对象。\n[0069] 执行网络安全中的数据回传的方法的网络安全设备设置并存储与自己进行通信的通信对象，及与所述通信对象通信时的身份，即作为移动网络连接的客户端还是服务器，或者两者兼具，即部署执行网络安全中的数据回传的方法的网络安全设备的通信范围，及与通信范围内的设备通信时的身份，即部署执行网络安全中的数据回传的方法的网络安全设备是接收所述通信对象的数据还是发送数据给所述通信对象。\n[0070] 本实施例通过监控被控用户的被控数据，根据被控数据产生主控数据，对要回传的主控数据进行封装，并按照数字证书进行加密后通过移动网络发送至网络安全服务器；\n图3是网络安全设备使用本发明实施例提供的网络安全中的数据回传的方法进行数据回传的示意图，如图3所示，在进行数据回传时，不需要挤占用户带宽，使用移动网络进行数据的无线传输，解决了在不具备有线数据回传的情况下实现数据回传的问题，避免形成信息孤岛，提高了网络的安全可靠性，保证了数据传输的安全性，提高了隐蔽性，并且可以和被控数据使用不同的线路传输实现了物理上的隔离。\n[0071] 图4示出了本发明的第二实施例。\n[0072] 图4是本发明第二实施例提供的网络安全中的数据回传的装置的示意图。本实施例所述的网络安全中的数据回传的装置用于实现第一实施例所述的网络安全中的数据回传的方法。如图4所示，本实施例所述的网络安全中的数据回传的装置包括：监控模块401、网络连接请求模块402和发送模块403。\n[0073] 其中，监控模块401用于监控被控用户通过互联网传输的被控数据，并根据被控数据产生主控数据。所述监控模块401用于实现第一实施例所述的网络安全中的数据回传的方法中的步骤201，这里不再赘述。\n[0074] 网络连接请求模块402用于通过移动网络向网络安全服务器发起网络连接请求，并建立移动网络连接。所述网络连接请求模块402用于实现第一实施例所述的网络安全中的数据回传的方法中的步骤202，这里不再赘述。\n[0075] 示例性的，所述移动网络包括3G移动网络或者2G移动网络。\n[0076] 示例性的，所述装置还包括：\n[0077] 3G移动网络连接请求模块，用于向3G移动网络发起网络连接请求；\n[0078] 认证模块，用于如果连接成功，则向所述3G移动网络发送数字证书，请求3G移动网络认证身份，并接收3G移动网络发来的数字证书认证所述3G移动网络的身份，建立3G移动网络连接；\n[0079] 2G移动网络连接模块，用于如果连接不成功，则向2G移动网络发起网络连接请求，建立2G移动网络连接。\n[0080] 发送模块403用于对要发送的数据进行封装，并按照数字证书中的公共密钥对封装后的数据进行加密后通过所述移动网络发送至网络安全服务器。所述第一发送模块403用于实现第一实施例所述的网络安全中的数据回传的方法中的步骤203，这里不再赘述。\n[0081] 示例性的，所述装置还包括：\n[0082] 监听模块，用于监听网络安全客户端发起的网络连接请求；\n[0083] 判断模块，用于如果有网络连接请求，则根据配置表判断所述网络安全客户端是否是合法的连接用户；\n[0084] 接收模块，用于如果所述网络安全客户端是合法的连接用户，则接收所述网络安全客户端发来的数据，对接收到的数据进行解密，并根据所述数据的报文类型进行相应处理。\n[0085] 示例性的，所述装置还包括：\n[0086] 设置存储模块，用于设置并存储自身作为移动网络连接的客户端和/或服务器，以及对端通信对象。\n[0087] 本实施例通过监控模块监控被控用户通过互联网传输的被控数据，并根据被控数据产生主控数据，网络连接请求模块通过移动网络向网络安全服务器发起网络连接请求，并建立移动网络连接，发送模块对要回传的主控数据进行封装，并按照数字证书中的公共密钥对封装后的主控数据进行加密后通过所述移动网络发送至网络安全服务器，解决了在不具备有线数据回传的情况下实现数据回传的问题，避免形成信息孤岛，提高了网络的安全可靠性，保证了数据传输的安全性，提高了隐蔽性。\n[0088] 注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。