一種安全隔離文件傳輸控制方法
【專利摘要】本發(fā)明公開了一種安全隔離文件傳輸控制方法，基于通過協(xié)議控制模塊、安全保障模塊的單向傳輸網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)內(nèi)外網(wǎng)安全傳輸文件，其主要步驟有：配置安全保障模塊、啟動(dòng)系統(tǒng)各單元、請(qǐng)求端主機(jī)發(fā)起建立與目的主機(jī)的數(shù)據(jù)連接、目的主機(jī)響應(yīng)請(qǐng)求端主機(jī)的數(shù)據(jù)連接請(qǐng)求、請(qǐng)求端主機(jī)的文件傳輸命令的封裝、傳輸文件拆分、文件傳輸、文件合并、撤銷連接。實(shí)現(xiàn)請(qǐng)求端主機(jī)向目的主機(jī)發(fā)送文件和請(qǐng)求端主機(jī)從目的主機(jī)下載文件，可以實(shí)現(xiàn)多任務(wù)、多用戶的并發(fā)發(fā)送文件和下載文件。本發(fā)明使基于單向網(wǎng)絡(luò)隔離設(shè)備的內(nèi)外網(wǎng)數(shù)據(jù)能夠透明傳輸，通過軟交換協(xié)議能提高內(nèi)外網(wǎng)的數(shù)據(jù)傳輸效率。
【專利說明】一種安全隔離文件傳輸控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種安全隔離控制方法，具體涉及一種安全隔離文件傳輸控制方法。它特別適用于在不同保密級(jí)別的網(wǎng)絡(luò)間傳輸數(shù)據(jù)，在保證內(nèi)網(wǎng)安全的同時(shí)，實(shí)現(xiàn)文件在內(nèi)外網(wǎng)的高效傳輸。
【背景技術(shù)】
[0002]在網(wǎng)絡(luò)安全方面，目前采用的是第五代隔離技術(shù)來保證網(wǎng)絡(luò)的安全，其主要產(chǎn)品即網(wǎng)絡(luò)安全隔離裝置。大多數(shù)主流產(chǎn)商對(duì)于網(wǎng)絡(luò)安全隔離裝置的核心原理采用的是協(xié)議剝離和身份驗(yàn)證的方法，國(guó)內(nèi)以山東思瑞，北京數(shù)碼星辰等為代表的主要公司，目前大量采用的都是這一技術(shù)的產(chǎn)品。這一技術(shù)能夠保證內(nèi)網(wǎng)安全的關(guān)鍵點(diǎn)是通過開關(guān)切換及數(shù)據(jù)緩沖設(shè)施來進(jìn)行數(shù)據(jù)交換。開關(guān)的切換使得在任何時(shí)刻兩個(gè)網(wǎng)絡(luò)沒有直接連通，而數(shù)據(jù)流經(jīng)網(wǎng)絡(luò)安全隔離裝置時(shí)TCP/IP協(xié)議被終止，防止了利用協(xié)議進(jìn)行攻擊，在某一時(shí)刻網(wǎng)絡(luò)安全隔離裝置只能連接到一個(gè)網(wǎng)絡(luò)。網(wǎng)絡(luò)安全隔離裝置作為代理從內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包中抽取出數(shù)據(jù)然后通過數(shù)據(jù)緩沖設(shè)施轉(zhuǎn)到外網(wǎng)，完成數(shù)據(jù)中轉(zhuǎn)。在中轉(zhuǎn)過程中，網(wǎng)絡(luò)安全隔離裝置會(huì)對(duì)抽取的數(shù)據(jù)報(bào)文的IP地址、MAC地址、端口號(hào)、連接方向?qū)嵤┚C合過濾控制，只有滿足要求的報(bào)文才可以通過網(wǎng)絡(luò)安全隔離裝置。由于網(wǎng)絡(luò)安全隔離裝置采用了獨(dú)特的開關(guān)切換機(jī)制，因此，在進(jìn)行檢查時(shí)網(wǎng)絡(luò)實(shí)際上處于斷開狀態(tài)，即使遭到攻擊，由于攻擊發(fā)生時(shí)內(nèi)外網(wǎng)始終處于物理斷開狀態(tài)，內(nèi)網(wǎng)仍是安全的。
網(wǎng)絡(luò)安全隔離裝置在實(shí)現(xiàn)物理隔斷的同時(shí)允許可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的數(shù)據(jù)和信息的安全交換。在安全島硬件上將外網(wǎng)到內(nèi)網(wǎng)傳遞的應(yīng)用數(shù)據(jù)大小限定為用于TCP握手的幾個(gè)字節(jié)外，保證從外網(wǎng)到內(nèi)網(wǎng)的TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)，因此，內(nèi)網(wǎng)不會(huì)受到網(wǎng)絡(luò)層的攻擊，這就在物理隔離的同時(shí)實(shí)現(xiàn)了數(shù)據(jù)的安全交換，并提高了防止病毒和黑客非法訪問的能力。
[0003]正是由于以上的安全機(jī)制，安全隔離裝置不能部署應(yīng)用層協(xié)議(如FTP，HTTP，SNMP等)，同時(shí)目前廣泛使用的單向隔離裝置，不具備數(shù)據(jù)雙向通信的功能，不能滿足需要實(shí)現(xiàn)高效可靠雙向通信的業(yè)務(wù)。因此，亟需解決利用單向安全隔離裝置實(shí)現(xiàn)數(shù)據(jù)的高效可靠雙向通信。

【發(fā)明內(nèi)容】

[0004]基于單向網(wǎng)絡(luò)隔離設(shè)備，本發(fā)明的目的在于通過各模塊、分時(shí)序和定義專有協(xié)議的控制方法控制正反向數(shù)據(jù)傳輸，從而在保證內(nèi)網(wǎng)安全的同時(shí)又大幅度提升數(shù)據(jù)交換的性能，并使整個(gè)系統(tǒng)可靠穩(wěn)定工作。
[0005]實(shí)現(xiàn)本發(fā)明目標(biāo)的技術(shù)解決方案為一種安全隔離文件傳輸控制方法，基于通過前協(xié)議控制模塊、安全保障模塊和后協(xié)議控制模塊內(nèi)外網(wǎng)傳輸文件的網(wǎng)絡(luò)架構(gòu)，分為:
1、外網(wǎng)主機(jī)向內(nèi)網(wǎng)主機(jī)請(qǐng)求連接，發(fā)送文件或者下載文件，即發(fā)送文件時(shí)，外網(wǎng)主機(jī)為發(fā)送端，內(nèi)網(wǎng)主機(jī)為接收端；下載文件時(shí),外網(wǎng)主機(jī)為接收端，內(nèi)網(wǎng)主機(jī)為發(fā)送端。[0006]2、內(nèi)網(wǎng)主機(jī)向外網(wǎng)主機(jī)請(qǐng)求連接，發(fā)送文件或者下載文件，即發(fā)送文件時(shí)，內(nèi)網(wǎng)主機(jī)為發(fā)送端,外網(wǎng)主機(jī)為接收端；下載文件時(shí)，內(nèi)網(wǎng)主機(jī)為接收端,外網(wǎng)主機(jī)為發(fā)送端。
【權(quán)利要求】
1.一種安全隔離文件傳輸控制方法，通過前協(xié)議控制模塊、安全保障模塊和后協(xié)議控制模塊，實(shí)現(xiàn)內(nèi)外網(wǎng)的文件傳輸，其特征在于包括以下步驟: 請(qǐng)求端主機(jī)的人機(jī)交互模塊請(qǐng)求發(fā)送文件時(shí): 步驟1、配置安全保障模塊:配置IP地址與端口映射表，使合法IP地址的數(shù)據(jù)可以通過正向隔離設(shè)備或反向隔離設(shè)備的端口進(jìn)行轉(zhuǎn)發(fā)； 步驟2、啟動(dòng)系統(tǒng)各單元:啟動(dòng)單元包括信息處理單元、數(shù)據(jù)交互控制單元、人機(jī)交互模塊； 步驟3、請(qǐng)求端主機(jī)發(fā)起建立與目的主機(jī)的數(shù)據(jù)連接:在請(qǐng)求端主機(jī)的人機(jī)交互模塊中輸入連接命令VCON，由連接請(qǐng)求端主機(jī)的協(xié)議控制模塊的數(shù)據(jù)交互控制單元封裝成VCON報(bào)文，并發(fā)送至目的主機(jī)； 步驟4、目的主機(jī)響應(yīng)請(qǐng)求端主機(jī)的數(shù)據(jù)連接請(qǐng)求:連接目的主機(jī)的協(xié)議控制模塊的數(shù)據(jù)交互控制單元解析請(qǐng)求的連接命令VC0N，生成用戶標(biāo)識(shí)及反饋報(bào)文，通知請(qǐng)求端主機(jī)連接已建立，并可以進(jìn)行下一步操作； 步驟5、請(qǐng)求端主機(jī)的文件傳輸命令的封裝:在請(qǐng)求端主機(jī)的人機(jī)交互模塊中輸入發(fā)送文件命令VPUT，連接請(qǐng)求端主機(jī)的協(xié)議控制模塊的數(shù)據(jù)交互控制單元進(jìn)行封裝命令報(bào)文并發(fā)送； 步驟6、傳輸文件的拆分:連接請(qǐng)求端主機(jī)的協(xié)議控制模塊的文件處理單元處理需要傳輸?shù)奈募绻?件的大小超過拆分的閾值，則將文件拆分成多個(gè)固定大小的文件，同時(shí)生成拆分配置文件； 步驟7、文件傳輸:連接請(qǐng)求端主機(jī)的協(xié)議控制模塊的信息處理單元將發(fā)送文件命令報(bào)文、拆分配置文件、拆分后的數(shù)據(jù)文件，經(jīng)隔離設(shè)備配置的端口傳輸給連接目的主機(jī)的協(xié)議控制模塊的文件處理單元； 步驟8、文件合并:連接目的主機(jī)的協(xié)議控制模塊的文件處理單元解析拆分配置文件信息，并按照配置文件中的內(nèi)容恢復(fù)文件，并傳送給目的主機(jī)； 步驟9、撤銷連接:請(qǐng)求端主機(jī)的人機(jī)交互模塊發(fā)出退出命令VQUIT，關(guān)閉已建立文件傳輸連接，釋放系統(tǒng)資源以及占用的端口 ； 請(qǐng)求端主機(jī)的人機(jī)交互模塊請(qǐng)求下載文件時(shí): 步驟1、配置安全保障模塊:配置IP地址與端口映射表，使來自合法IP地址的數(shù)據(jù)可以通過正向隔離設(shè)備或反向隔離設(shè)備的端口進(jìn)行轉(zhuǎn)發(fā)； 步驟2、啟動(dòng)系統(tǒng)各單元:啟動(dòng)單元包括信息處理單元、數(shù)據(jù)交互控制單元、人機(jī)交互模塊； 步驟3、請(qǐng)求端主機(jī)發(fā)起建立與目的主機(jī)的數(shù)據(jù)連接:在請(qǐng)求端主機(jī)的人機(jī)交互模塊中輸入連接命令VC0N，由連接請(qǐng)求端主機(jī)的協(xié)議控制模塊的數(shù)據(jù)交互控制單元封裝成VCON報(bào)文并發(fā)送至目的主機(jī)； 步驟4、目的主機(jī)響應(yīng)請(qǐng)求端主機(jī)的數(shù)據(jù)連接請(qǐng)求:連接目的主機(jī)的協(xié)議控制模塊的數(shù)據(jù)交互控制單元解析請(qǐng)求的連接命令VC0N，生成用戶標(biāo)識(shí)及反饋報(bào)文，通知請(qǐng)求端主機(jī)連接已建立，并可以進(jìn)行下一步操作； 步驟5、請(qǐng)求端主機(jī)的獲取文件命令的封裝:在請(qǐng)求端主機(jī)的人機(jī)交互模塊中輸入獲取文件命令VGET，連接請(qǐng)求端主機(jī)的協(xié)議控制模塊的數(shù)據(jù)交互控制單元進(jìn)行封裝命令報(bào)文并發(fā)送； 步驟6、解析文件獲取命令并拆分需傳輸?shù)奈募?連接目的主機(jī)的協(xié)議控制模塊的數(shù)據(jù)交互控制單元解析命令報(bào)文，連接目的主機(jī)的協(xié)議控制模塊的文件處理單元處理需要傳輸?shù)奈募?，如果文件的大小超過拆分的閾值，則將文件拆分成多個(gè)固定大小的文件，同時(shí)生成拆分配置文件； 步驟7、文件傳輸:連接目的主機(jī)的協(xié)議控制模塊的信息處理單元將命令報(bào)文、拆分配置文件、拆分后的數(shù)據(jù)文件，經(jīng)隔離設(shè)備配置的端口傳輸給連接請(qǐng)求端主機(jī)的協(xié)議控制模塊的文件處理單元； 步驟8、文件合并:連接請(qǐng)求端主機(jī)協(xié)議控制模塊的文件處理單元解析拆分配置文件，并按照配置文件中的內(nèi)容恢復(fù)文件，并傳送給請(qǐng)求端主機(jī)； 步驟9、撤銷連接:請(qǐng)求端主機(jī)的人機(jī)交互模塊發(fā)出退出命令VQUIT，關(guān)閉已建立文件傳輸連接，釋放系統(tǒng)資源以及占用的端口。
2.根據(jù)權(quán)利要求1所述的一種安全隔離文件傳輸控制方法，其特征在于配置安全保障模塊，配置的規(guī)則包括IP地址、網(wǎng)絡(luò)端口、特征碼驗(yàn)證、MAC地址綁定。
3.根據(jù)權(quán) 利要求2所述的一種安全隔離文件傳輸控制方法，其特征在于在請(qǐng)求端主機(jī)的人機(jī)交互模塊中增加任務(wù)調(diào)度功能的子模塊，可以實(shí)現(xiàn)多任務(wù)、多用戶的并發(fā)發(fā)送文件和下載文件。
【文檔編號(hào)】H04L29/06GK103997495SQ201410220748
【公開日】2014年8月20日 申請(qǐng)日期:2014年5月23日 優(yōu)先權(quán)日:2014年5月23日
【發(fā)明者】馮徑, 馬瑋駿, 沈曄, 張珅, 吳陽(yáng) 申請(qǐng)人:中國(guó)人民解放軍理工大學(xué)