权利要求书

1. 一种边缘安全计算节点的知识库信息同步系统，其特征在于，包括外网节点、内网节点和设置在外网节点和内网节点之间的数据摆渡区，所述内网节点用于同步所述外网节点中的变化数据，所述数据摆渡区包括：

外部处理单元，用于监听网络服务端口，通过TCP/IP协议接收数据包，根据安全策略模块中的过滤规则检查所有接收的数据包，并分类处理各类数据包，再重构数据包，所述数据包内封装有外网知识库发送到内网数据库的同步更新数据；

数据隔离转发模块，用于隔离中转来自所述外网节点数据包；

外部处理单元，用于重构来自所述数据隔离转发模块的数据包并转发至内网节点；

安全策略模块，预存有数据过滤规则和访问控制策略；

知识库更新策略库，用于存储同步过程的数据和同步日志。

2. 根据权利要求1所述的一种边缘安全计算节点的知识库信息同步系统，其特征在于，所述内网节点包括：

数据处理模块，用于从所述知识库更新策略库中获取需要更新的知识库信息；

内网知识库，用于根据所述知识库更新策略库和接收的知识库更新信息对内部进行更新。

3. 根据权利要求2所述的一种边缘安全计算节点的知识库信息同步系统，其特征在于，所述外网节点包括：

外网知识库，用于提供知识库同步信息；

变化监测模块，用于定时监测内网知识库数据与外网知识库数据是否一致，如果一致，则继续监测，如果不一致，则启动同步调度模块；

同步调度模块，用于调动同步程序，读取知识库同步配置信息，过滤数据，使用TCP/IP协议将待同步数据表格打包，加密并签名信息并发送给所述外部处理单元。

4. 根据权利要求3所述的一种边缘安全计算节点的知识库信息同步系统，其特征在于，所述外部处理单元包括：

数据接收端口，用于监听网络服务端口，通过TCP/IP协议接收数据包；

包过滤模块，用于根据所述安全策略模块中的过滤规则检查所有接收的数据包，并根据所述数据过滤规则将所述数据包分为三个类型，一类是强隔离环境数据包，转发至数据包分析模块；一类是弱隔离数据包，对该数据包进行身份认证，通过访问控制，转发至所述外部处理单元的数据转发端口，第三类两者都不是，直接丢弃；

数据包分析模块，用于将所述包过滤模块处理后的数据包的TCP/IP协议消息头剥离、检查数据字段的安全性、生成新的消息认证印戳，然后根据安全专用协议重构数据包。

5. 根据权利要求4所述的一种边缘安全计算节点的知识库信息同步系统，其特征在于，所述数据隔离转发模块包括：

隔离区存储介质，作为中转站接收数据包或者接收专用协议格式的数据包；

隔离区开关控制模块，根据转发请求的具体内容，控制所述隔离区存储介质与所述内网节点或者所述外网节点的连接，实现接收数据和转发数据的分离。

6. 根据权利要求5所述的一种边缘安全计算节点的知识库信息同步系统，其特征在于，所述内部处理单元包括：

数据包重封装模块，用于分解专用协议数据包，验证数据字段完整性，然后重构来自所述数据隔离转发模块的数据包；

数据转发端口，用于将所述数据包重封装模块重构后的数据包转发至内网节点。

7. 根据权利要求1所述的一种边缘安全计算节点的知识库信息同步系统，其特征在于，所述同步过程的数据包括内网、外网、时间戳数据，用于处理冲突；所述同步日志用于记录每次数据同步的情况，包括同步时间及同步的数据概况。

8. 根据权利要求1所述的一种边缘安全计算节点的知识库信息同步系统，其特征在于，所述内网节点还用于读写所述安全策略模块和知识库更新策略库，所述外网节点、外部处理单元、数据隔离转发模块和内部处理单元用于只读所述安全策略模块和知识库更新策略库。

9. 一种根据权利要求5所述边缘安全计算节点的知识库信息同步系统的同步方法，其特征在于，包括以下步骤：

S1：外网节点的变化监测模块定时感知内网知识库信息与外网知识库数据是否一致，如果一致，则继续监测，如果不一致，则启动同步调度模块；

S2：同步调度模块根据启动调度程序，读取外网节点的知识库数据配置信息；

S3：根据所述知识库数据配置信息及数据过滤规则，对外网知识库进行过滤，然后将过滤后需要进行同步的数据打包并加密签名，通过TCP/IP协议发送到外部处理单元的数据接收端口；

S4：数据接收端口持续监听网络服务端口，不断检查是否有TCP/IP连接请求，每当接收到请求时，与外网节点建立TCP/IP连接，然后接收所述外网节点发送的数据包，再将数据转发至包过滤模块；

S5：包过滤模块检查数据包的IP地址及端口、协议信息，根据数据过滤规则将所述数据包分为三个类型，一类是强隔离环境数据包，转发至数据包分析模块；一类是弱隔离数据包，对该数据包进行身份认证，通过访问控制，转发至数据转发端口，第三类两者都不是，直接丢弃；

S6：数据包分析模块接收数据包之后，首先校验数据包是否完整无误，然后检查端口号是否正确，若检验失败，则丢弃数据包，若检验成功，则分别提取TCP/IP协议的消息头部分信息及携带的数据字段；然后通过内容检查检测数据字段的安全性，查杀病毒及控制文件类型，丢弃存在安全隐患的数据；再使用MD5算法计算得到数据字段的消息摘要，然后对消息摘要进行加密得到密文；根据TCP/IP消息头获得的关键信息以及消息认证模块得到的摘要密文重新封装，遵循专用传输协议规则封装得到专用协议数据包，将所述专用协议数据包发送至隔离区存储介质；所述关键信息包括源IP地址、目标IP地址、源端口号、目标端口号、消息类型、数据字段长度和数据字段；

S7：隔离区存储介质接收到专用协议数据包后，通过隔离区开关控制断开与外网的连接，与内网建立连接，再将专用协议数据包转发至数据包重封装模块；

S8：重封装模块首先分解专用协议数据包，提取数据包头的关键信息及传输的数据字段；然后解密从专用协议分解模块获得的摘要密文，并使用MD5算法计算数据字段的消息摘要，比较验证消息是否正确无误；验证签名信息，比对信息校验和；对于验证成功的数据，根据从专用协议数据包消息头获得的关键信息，重构TCP/IP协议数据包；

S9：数据转发端口将接收的TCP/IP数据包转发至内网节点的数据处理模块；

S10：数据处理模块处理TCP/IP数据包，得到需要更新的知识库信息；

S11：根据知识库更新策略库以及接收的知识库更新表对内网知识库进行同步操作，然后将同步过程以日志的形式更新至知识库更新策略库中。

10. 根据权利要求9所述的同步方法，其特征在于，所述知识库数据配置信息包括是否可同步、同步操作、同步方法。