一种多系统终端跨域通信管控系统及方法与流程

本发明涉及多系统终端跨域通信，具体涉及一种多系统终端跨域通信管控系统及方法。

背景技术：

1、多系统终端指的是在一台终端硬件上构建多个虚拟终端，其中一个虚拟终端用于生活，连接互联网；其余虚拟终端用于工作，连接专网。多系统终端中，root命名空间的nat模块具备网桥功能，可以将生活域虚拟终端和工作域虚拟终端之间的路由配通。不同虚拟终端之间跨域通信的链路建立起来之后，任何信息都可以通过虚拟链路进行转发交互。因此，多系统终端的跨域交互存在以下风险：

2、1、多系统终端跨域通信缺少管控，存在将专网敏感数据泄露到互联网的风险；

3、2、多系统终端跨域通信接口由终端设备厂商控制，没有统一的数据格式，缺乏审计，存在将互联网恶意代码或攻击引入专网的风险。

技术实现思路

1、针对现有技术的不足，本发明旨在提供一种多系统终端跨域通信管控系统及方法。

2、为了实现上述目的，本发明采用如下技术方案：

3、一种多系统终端跨域通信管控系统，包括多系统终端、互联网服务平台和专网服务平台；

4、所述多系统终端存在多个虚拟终端vp，其中至少包含一个用于生活的虚拟终端vp1和一个用于工作的虚拟终端vp2；vp1能够访问互联网服务平台，vp2仅能使用专用链路或专用网络访问专网服务平台；

5、多系统终端中还具有root命名空间和设备命名空间；多系统终端启动之后，root命名空间会为每个vp建立虚拟链路，每条虚拟链路的一端都在root命名空间中，另一端则在对应的vp中；

6、root命名空间中部署有nat读写代理，所述nat读写代理用于读取root命名空间中nat模块的配置或者向nat模块下发配置，添加或删除路由；

7、vp1中部署有vp1认证客户端和vp1认证鉴权组件，所述vp1认证客户端用于进行跨域通信前的认证请求，vp1认证鉴权组件用于接收vp2认证客户端发起的认证请求，与其交互，完成认证；

8、vp2中部署有vp2认证客户端、vp2认证鉴权组件、nat管控模块和消息管理模块；所述vp2认证客户端用于进行跨域通信前的认证请求；vp2认证鉴权组件用于接收vp1认证客户端发起的认证请求，与其交互，完成认证；nat管控模块用于通过root命名空间的nat读写代理完成root命名空间中nat模块的配置的读取或写入；消息管理模块用于对多系统终端上所有app的跨域消息进行日志记录和管理；

9、设备命名空间中部署有密码模块，密码模块用于为vp1中的vp1认证客户端和vp1认证鉴权组件以及vp2中的vp2认证客户端和vp2认证鉴权组件提供证书接口，完成基于数字证书的认证和鉴权；

10、互联网服务平台中部署有认证服务，所述认证服务用于接收vp1认证鉴权组件发起的认证请求，与其交互，帮助其完成vp2中的app的跨域通信认证；

11、专网服务平台中部署有认证服务、跨域消息管理模块和nat管理模块；专网服务平台的认证服务用于接收vp2认证鉴权组件发起的认证请求，与其交互，帮助其完成vp1中的app的跨域通信认证；跨域消息管理模块用于通过vp2的消息管理模块完成多系统终端的跨域消息的日志记录和管理；nat管理模块用于通过vp2的nat管控模块完成对root命名空间的nat模块的配置的读取和写入。

12、本发明还提供一种利用上述系统的多系统终端跨域通信管控方法，具体过程如下：当多系统终端的用户驻留在vp2时，vp1的app收到一条新消息；vp1的app向vp1认证客户端发起认证请求；vp1认证客户端读取密码模块中的证书信息，携带认证信息通过虚拟链路向vp2认证鉴权组件发送认证请求；vp2认证鉴权组件将该认证请求发送到专网服务平台的认证服务，对vp1的app完成认证，然后向vp1的app返回认证token；vp1的app携带认证token信息向vp2认证鉴权组件发送跨域消息，vp2认证鉴权组件鉴权通过，并对跨域消息进行解密之后在vp2的通知栏显示；vp2的消息管理模块将该跨域消息按照规定格式发送到专网服务平台的跨域消息管理模块；vp2的nat管控模块可以通过root命名空间的nat读写代理来管控vp1和vp2之间的虚拟链路。

13、进一步地，所述跨域消息格式采用sys log日志格式进行定义。

14、进一步地，跨域消息通过tls进行传输加密，加密密钥为认证阶段协商的密钥。

15、本发明还提供另一种利用上述系统的多系统终端跨域通信管控方法，具体过程为：

16、当多系统终端的用户驻留在vp1时，vp2的app收到一条新消息；vp2的app向vp2认证客户端发起认证请求；vp2认证客户端读取密码模块中的证书信息，携带认证信息通过虚拟链路向vp1认证鉴权组件发送认证请求；vp1认证鉴权组件将该认证请求发送到互联网服务平台的认证服务，对vp2的app完成认证，然后向vp2的app返回认证token；vp2的app携带认证token信息向vp1认证鉴权组件发送跨域消息，vp1认证鉴权组件鉴权通过，对该跨域消息进行解密之后在vp1的通知栏显示；vp2的消息管理模块将该跨域消息按照规定格式发送到专网服务平台的跨域消息管理模块；vp2的nat管控模块可以通过root命名空间的nat读写代理来管控vp1和vp2之间的虚拟链路。

17、本发明的有益效果在于：

18、1、本发明方法可以实现多系统终端跨域通信认证、鉴权和加密，确保跨域通信安全，防止专网敏感信息泄露到互联网上。

19、2、本发明方法通过统一跨域通信数据接口，可以防止互联网恶意代码进入工作区vp，在工作区vp部署跨域消息管理功能，便于进行安全审计。

20、3、本发明方法通过对root命名空间的nat模块进行管控，可以防止在不同vp之间创建非法通信链路。

技术特征：

1.一种多系统终端跨域通信管控系统，其特征在于，包括多系统终端、互联网服务平台和专网服务平台；

2.一种利用权利要求1所述系统的多系统终端跨域通信管控方法，其特征在于，具体过程如下：当多系统终端的用户驻留在vp2时，vp1的app收到一条新消息；vp1的app向vp1认证客户端发起认证请求；vp1认证客户端读取密码模块中的证书信息，携带认证信息通过虚拟链路向vp2认证鉴权组件发送认证请求；vp2认证鉴权组件将该认证请求发送到专网服务平台的认证服务，对vp1的app完成认证，然后向vp1的app返回认证token；vp1的app携带认证token信息向vp2认证鉴权组件发送跨域消息，vp2认证鉴权组件鉴权通过，并对跨域消息进行解密之后在vp2的通知栏显示；vp2的消息管理模块将该跨域消息按照规定格式发送到专网服务平台的跨域消息管理模块；vp2的nat管控模块可以通过root命名空间的nat读写代理来管控vp1和vp2之间的虚拟链路。

3.根据权利要求2所述的方法，其特征在于，所述跨域消息格式采用syslog日志格式进行定义。

4.根据权利要求2所述的方法，其特征在于，跨域消息通过tls进行传输加密，加密密钥为认证阶段协商的密钥。

5.一种利用权利要求1所述系统的多系统终端跨域通信管控方法，其特征在于，具体过程为：

技术总结本发明公开了一种多系统终端跨域通信管控系统及方法，系统包括多系统终端、互联网服务平台和专网服务平台；多系统终端存在多个VP，其中至少包含一个用于生活的VP1和一个用于工作的VP2；多系统终端中还具有Root命名空间和设备命名空间，Root命名空间中部署有NAT读写代理，VP1中部署有VP1认证客户端和VP1认证鉴权组件，VP2中部署有VP2认证客户端、VP2认证鉴权组件、NAT管控模块和消息管理模块，设备命名空间中部署有密码模块，互联网服务平台中部署有认证服务，专网服务平台中部署有认证服务、跨域消息管理模块和NAT管理模块。本发明可以防止专网敏感信息泄露到互联网上，可以防止互联网恶意代码进入工作区VP，并且可以防止在不同VP之间创建非法通信链路。技术研发人员：张春慧,周昕,赵荣辉,陈妍,侯志东受保护的技术使用者：公安部第一研究所技术研发日：技术公布日：2024/12/2