CN101083607A - 一种用于内外网络隔离的因特网访问服务器及其处理方法 - Google Patents
一种用于内外网络隔离的因特网访问服务器及其处理方法 Download PDFInfo
- Publication number
- CN101083607A CN101083607A CNA2006100270472A CN200610027047A CN101083607A CN 101083607 A CN101083607 A CN 101083607A CN A2006100270472 A CNA2006100270472 A CN A2006100270472A CN 200610027047 A CN200610027047 A CN 200610027047A CN 101083607 A CN101083607 A CN 101083607A
- Authority
- CN
- China
- Prior art keywords
- internet
- server
- client
- user
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种用于内外网络隔离的因特网访问服务器及其处理方法,其中该服务器用于将用户计算机和因特网隔开,并在基于通用的计算机服务器本体上包括图形终端服务模块、图形终端网络传输模块、对内网络传输控制模块、文件传输控制模块、系统配置和用户管理模块和因特网访问传输模块。本发明是以特殊的访问方式和传输控制来实现内外网络的隔离和安全。所有有授权的内网中计算机可以通过因特网访问服务器访问因特网,因特网访问服务器包含图像终端,而通过这些方式下载下来的文件或信息,只能存放在外网的个人专用存储空间中,再从外网服务器上下载下来到内网。而无法(或严格受控)把内网中的文件上传。本发明不仅实现可以保护内网中的资料,而且可以提供对外的资料查询和联系。
Description
技术领域
本发明涉及计算机网络安全技术,尤其适用于在局域网络里实现网络中内外网的隔离,即内网是内网含有机密文件和资料的网络,外网是可以和internet连接的网络,并在隔离同时实现internet的便利使用,具体地说,本发明是涉及一种用于内外网络隔离的因特网访问服务器及其处理方法。
背景技术
现有公司和机构网络架构最常用的方式就是在内部建构自己的局域网,然后自己的局域网再通过防火墙或NAT(内部网络地址转换协议)的方式连接到外部的因特网(internet),这样内部计算机就通过防火墙安全管理访问internet了,而外部到内部的连接必须经过防火墙的合法验证。
为实现内部局域网中上internet的追踪和控制,一般企业还会建设一个proxy server(代理服务器),所有的局域网中计算机只有透过proxy server才能上网。
图1是一个典型的局域网连接广域网络的典型结构,包括由若干个计算机1、交换机2和路由器3组成的局域网、防火墙4和因特网5。
隔离概念是在为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。
第一代隔离技术-完全的隔离
此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。
第二代隔离技术-硬件卡隔离
在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。
第三代隔离技术-数据转播隔离
利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。
第四代隔离技术-空气开关隔离
它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。
第五代隔离技术-安全通道隔离
此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
但是,在第五代隔离技术中如何做到安全和使用便利是难点所在。
最常用的访问internet的访问方式有web,mail,FTP等方式,这些方式都是灵活而强大的,而internet中这些的内容资源丰富巨大,为工作与外部世界的交互提供非常多的方便和帮助。
而与internet的交互中包括从internet中拿取资料和把自己的资料分享或传递到internet和别人分享。关键就在于这个把自己资料分享或传递出去,internet技术为我们提供成百上千种方法,这些方法在为大家提供便利的同时,也为组织和机构的资料外泄带来巨大的风险。
为防范这些风险,从技术上来讲,有些组织和机构通常采用的有两种办法,一就是对所有机密的文件采用加密的方法,二是用隔离的办法把有机密资料的网络与internet隔离开。
然而第一种方法,即对所有机密文件加密的方式,用密码控制文件的访问和文件用密码又为用户带来的不方便性,所以就出现了对文件进行文件密钥集中控制的方法,但这又有另外的问题,各种机密文件有各种格式,所有的文件的阅读都必须在特殊的文件阅读器中去阅读。这个又为密码控制带来不方便性。
第二种方法也被广泛采用,许多网络从物理上被分为两个网络,两台计算机分别被连接到不同网络。而且也因此出现了很多在这方面的技术,比如物理隔离卡,网闸。物理隔离卡需要对一台计算机做改装来实现一台计算机里的两块硬盘的物理隔离,而且能在两个网络中切换。网闸是用来隔离两个内外网,并允许两个网络中必要的传输。
但上述的两种方法都为用户的使用带来许多的额外的使用成本和不方便。而采用逻辑的方式有着internet连接的多样性,彻底的逻辑隔离是很难做到的。而本发明就是针对解决上述问题提出的。
发明内容
本发明的目的在于提供一种用于内外网络隔离的因特网访问服务器及其处理方法,通过该因特网访问服务器,既能使用户能方便地从internet上获得信息和资料,又能使组织和机构内的文件发送得到有序的控制,实现方便合理的分隔企业内部网络和外部internet网络。
本发明所提供的一种用于内外网络隔离的因特网访问服务器,连接在由若干个用户计算机组成的内网和因特网之间,用于将用户计算机和因特网隔开,其基于通用的计算机服务器本体,其特征在于:
它包括:图形终端服务模块,图形终端网络传输模块,对内网络传输控制模块,文件传输控制模块,系统配置和用户管理模块,以及因特网访问传输模块,其中:
图形终端服务模块与图形终端网络传输模块相连,为客户端提供图形终端服务;
对内网络传输控制模块,连接在所述计算机服务器本体上,用于提供对网络会话的严格限制,保证网络内客户端和本因特网访问服务器之间都是合法的会话;
文件传输控制模块,连接在所述计算机服务器本体上,用于管理用户计算机本地硬盘与因特网访问服务器各用户专有存储空间之间文件资料的传输;
系统配置和用户管理模块,连接在所述计算机服务器本体上,用于增删、修改用户设置,上载部分流程设计,以及系统参数设置;
因特网访问传输模块,连接在所述计算机服务器本体上,用于提供所述图形终端服务模块访问internet的传输控制管理。
在上述的用于内外网络隔离的因特网访问服务器中,它还包括两个网络界面,一个是对用户计算机提供因特网图形终端访问服务的网络界面,另一个是连接和访问因特网的网络界面。
在上述的用于内外网络隔离的因特网访问服务器中,所述图形终端服务模块包括www网页浏览器,电子邮件客户端,FTP客户端。
在上述的用于内外网络隔离的因特网访问服务器中,所述对内网络传输控制模块在客户端和internet服务器之间所控制的数据传输有三种数据会话,即:图象终端网络协议,服务器向客户的合法下载,客户机向因特网访问服务器的受控的上载。
在上述的用于内外网络隔离的因特网访问服务器中,所述文件传输控制模块包括下载和上载两部分。
本发明还提供了一种上述的因特网访问服务器中进行客户端登记的方法,包括下列步骤:
客户端程序初始化,得到数据标识号和用户授权信息,向因特网访问服务器登记数据标识号和授权过程;
对于因特网访问服务器确认授权的,则因特网访问服务器记录登记,并告登记结束;否则直接告登记结束。
本发明又提供了一种在上述的因特网访问服务器中进行数据包过滤的方法,包括下列步骤:
收到传输数据包,判断是否有正确数据标识号:
对于有正确数据标识号的,从数据包中得到K客户端和服务器地址,并判断是否拥有授权登记并且数据类型的合法性:
若是,则传输数据包到正确地址,并告结束;
若否,丢弃数据包;
对于没有正确数据标识号的,则直接丢弃数据包,并告结束。
本发明还提供了一种在权利要求1所述的因特网访问服务器中用户从internet上下载到用户客户端的方法,包括下列步骤:
在用户使用图形终端中的www网页浏览器,或电子邮件客户端,或FTP客户端把文件下载到用户私有存储空间后,文件传输模块在下载连接初始化后可根据服务器用户私有存储空间的文件清单对客户端列出所有文件信息,用户可选择的下载;
在读取用户定义好的目标目录后,传输模块通过受认证的数据传输通道,传输到用户自己的内网机器上的预先定义好的本地文件目录中。
本发明再提供了一种在上述的因特网访问服务器中进行上传控制的方法,包括下列步骤:
传输连接初始化后,认证用户通过文件上传文件,上传文件保存服务器保密区,经判断后,若通过,则从保密区传输到用户个人存储区,并告结束;若不通过,则直接记录失败结果,并告结束。
本发明最后提供了一种如上的用于内外网络隔离的因特网访问服务器,其特征在于:所述的对内网络传输控制模块、图形终端服务模块、文件传输控制模块、系统配置和用户管理模块、以及因特网访问传输模块按预定的组合方式分别设置在不同的通用的计算机服务器本体上。
本发明是以特殊的访问方式和传输控制来实现内外网络的隔离和安全。所有有授权的内网中计算机可以通过因特网访问服务器访问因特网,因特网访问服务器可以包含图象终端中的internet常用客户端工具(如:www,email,ftp等)。而通过这些方式下载下来的文件或信息,它们只能存放在外网的个人专用存储空间中,再从外网服务器上下载下来到内网。而无法(或严格受控)把内网中的文件上传。通过本发明不仅可以实现隔离保护内网中的资料,而且可以提供对外的资料查询和联系。
附图说明
通过以下对本发明的一实施例结合其附图的描述,可以进一步理解本发明的目的、具体结构特征和优点。其中,附图为:
图1是现有典型的网络架构示意图;
图2是本发明因特网访问服务器置于图1所示网络架构中的示意图;
图3是本发明因特网访问服务器的功能模块框图;
图4是本发明中客户端登记流程示意图;
图5是本发明中对内数据控制模块数据包过滤过程示意图;
图6是本发明中文件传输控制模块具体上传的控制流程示意图;
图7是本发明中图形终端服务模块建立一个internet访问连接的流程示意图;
图8本发明中文件传输控制模块具体下载的控制流程示意图。
具体实施方式
本发明的基本思想是:实现在机构内既能便利地访问internet,又通过隔离和特殊的传输方法充分保障机构内的网络安全。
本发明首先需要对网络结构进行改造,以图1所示的现有典型网络结构看,本发明把由若干个用户计算机(客户端)组成的内网和因特网(internet)隔开,使的客户端无法直接或间接(透过proxy等方法)访问internet资源。
如图2所示,本发明在因特网(internet)5和用户计算机1之间架设了因特网访问服务器6。客户端与internet是隔开的,只有因特网访问服务器才能真正透过路由器和防火墙来访问internet,客户端只能通过因特网访问服务器图形终端来访问internet。
1)因特网访问服务器
硬件平台的实现
因特网访问服务器硬件本是采用通用的计算机服务器,包含服务器的主板、CPU、内存、显示适配卡和网卡。在本服务器中需要对网络布件做特殊改变。需要两块网卡,一块是对客户机器提供internet图形终端访问服务的,它的IP是网络内部计算机能直接连接的。一块是连接和访问internet的,它的IP是能和网络中internet路由器直接通信的。当然另一种变通的做法它也可以采用一块网卡,在操作系统中绑定两套网络配置设置到一块网卡中。这两套网络配置的作用分别与前面相同。总之该服务器有两个网络界面,一个是对客户机器提供internet图形终端访问服务的,一个是连接和访问internet的。
另外在服务器的操作系统中这两个网络界面不提供路由或数据包转发功能。
软件部分设计和实现
如图3所示,因特网访问服务器包括:图形终端服务模块61,图形终端网络传输模块62,对内网络传输控制模块63,文件传输控制模块64,系统配置和用户管理模块65,因特网访问传输模块66。
图形终端服务模块与图形终端网络传输模块相结合,为客户端提供图形终端服务。
对内网络传输控制模块,用于提供对网络会话的严格限制,保证网络内客户端和本服务器系统之间都是合法的会话。
文件传输控制模块,用于管理用户计算机本地硬盘与因特网访问服务器各用户专有存储空间之间文件资料的传输。
系统配置和用户管理模块,用于增删、修改用户设置,上载部分流程设计,以及系统参数设置。
因特网访问传输模块,用于提供所述图形终端服务模块访问internet的传输控制管理。
本服务器可以实现在Linux,Microsoft Window服务器和Unix中的任一种操作系统上。
下面就各个功能模块分别进行详细描述。
1)图形终端服务模块与图形终端网络传输模块
图形终端服务模块包括基本的www网页浏览器,电子邮件,FTP客户端。图形终端服务模块能启动/调用www网页浏览器,电子邮件,FTP作为客户访问internet的工具。但随着internet技术的发展,这些常用工具是可以灵活扩充的。
图形终端服务模块的客户/服务器模型不是建立在特定的软、硬件资源之上,而是建立在图形终端协议之上。图形终端协议是一个抽象的应用服务协议,包括了终端的输入请求和对服务器服务程序发出的屏幕/媒体输出命令,不包括对底层硬件的访问和控制。图形终端协议是图形终端服务程序和图形终端客户程序进行通信的途径。图形终端客户程序通过它向图形终端服务程序发送请求,而图形终端服务程序通过它回送状态及一些其它的信息。真正控制终端工作的是图形终端服务程序。
此外,图形终端协议是建立在一些常用的传输协议之上,包括TCP/IP、IPX/SPX和DECnet等网络协议。通过这些协议,客户和服务器之间就可能方便地对话。
图形终端是一个基于网络的图形引擎,它可以在与远端机连接、在服务器机器上运行应用,使用远程服务器的CPU,硬盘空间的同时,在客户端的图形终端上处理I/O操作,包括输入,显示,声音。使用internet访问图形终端访问internet与普通客户端直接访问internet最大的不同就在于你的网页浏览器,邮件客户端实际上是在服务器上运行的,你能直接使用的硬盘空间是服务器上您被授权能使用的硬盘空间。本发明不局限于何种图形终端的协议。
服务器建立一个internet访问连接的流程见图7。首先检查服务器是否正常,正常再读取连接用户的个性化配置和数据,以便对www浏览器,email,ftp客户端进行初始化。在初始化一个internet连接中包含重要的一点,每个用户都有自己的个性化设置,比如internet访问的cookie(个性化参数)。这些初始化设置都单独保存在每个用户的私有存储区。在访问连接初始化过程中需要参考他们。
www网页浏览器实现的是基于http网络协议的的html(超文本标记语言)显示和浏览组件,电子邮件客户端是基于smtp(简单邮件传输协议)的email管理工具,FTP客户端是FTP图形化界面。它们的使用可以是采用第三方组件的方式来调用,而这类第三方组件非常繁多。这里不对这三部分的实现做详细的描述。
而图形终端网络传输模块维护的是把图形终端服务层的对网络上机器的输出请求做压缩,使得在网络上占的频宽足够小。
本发明中internet访问的实现是通过把客户端和internet千变万化的传输协议统一转变为客户端和internet访问服务器之间的基于图形终端的传输协议和后面讲的传输协议。
2)对内网络传输控制模块
对内网络传输控制模块是用于控制客户端和internet访问服务器之间的数据安全传输,实现方式是有条件的数据包过滤。
数据包过滤的实现是在对内的网络界面上的网络协议中绑定网络数据包的过滤程序实现的。通过对内网络界面的数据包都需要受到对内网络传输控制层的筛选。
只有合法的数据包才允许通过。
对内网络传输控制模块是实现在客户端和本因特网访问服务器之间的数据传输只能是三种数据会话:图象终端网络协议,服务器向客户的合法下载,客户机向internet访问服务器的严格受控的上载。而控制网关识别这三类会话是通过识别通信网络数据包中加密后的数据标记。 没有正确数据标记的数据包一律被丢弃。
数据包的标记可以是在网络数据每个数据包中必须包含客户端网卡的物理地址和会话开始登记时间的加密数据转化。
在对内网络传输控制层登记的会话记录是:
| ClientMac | 客户端mac地址 |
| ClientIP | IP地址 |
| ServerMac | 服务器mac地址 |
| ServerIP | 服务器IP地址 |
| SessionMark | 会话标记号 |
| Sessionstarttime | 会话开始时间 |
| SessionLasttime | 最近会话开始时间 |
| Active | 是否失效 |
系统每隔两分种会自动刷新记录一次, 两分钟内没有通话的会话记录会失效。再使用需要重新认证。
具体客户端登记的流程见图4,数据过滤的流程图见图5。
参见图4,客户端程序初始化,得到数据标识号和用户授权信息,向因特网访问服务器登记数据标识号和授权过程,对于因特网访问服务器确认授权的,则因特网访问服务器记录登记,并告登记结束;否则直接告登记结束。
参见图5,收到传输数据包,判断是否有正确数据标识号:
对于有正确数据标识号的,从数据包中得到客户端和服务器地址,并判断是否拥有授权登记并且数据类型的合法性,若是,则传输数据包到正确地址,并告结束;若否,丢弃数据包;
对于没有正确数据标识号的,则直接丢弃数据包,并告结束。
因此,客户端要访问因特网访问服务器必须先向对内网络传输控制模块登记并得到服务器用户认证,才允许数据包通过,而客户端关闭或长时间没有活动,在访问控制网关这个客户端的登记蒋被注销。新使用时需要重新登记。
没有登记的访问不会被通过,不管是从客户端到服务器端还是服务端到客户端。所以会话登记和数据包的加密数据标记是数据包通过的两个关键条件。
3)文件传输控制模块
除了图形终端协议,在internet访问服务器和internet访问的客户端还允许存在文件传输加密的数据传输通道,在这里面包含下载和上载两部分。
具体下载的控制流程如图8所示,在用户使用图形终端中的www网页浏览器,或电子邮件客户端,或FTP客户端把文件下载到用户私有存储空间后,文件传输模块在下载连接初始化后可根据服务器用户私有存储空间的文件清单对客户端列出所有文件信息,用户可选择的下载;
在读取用户定义好的目标目录后,传输模块通过受认证的数据传输通道,传输到用户自己的内网机器上的预先定义好的本地文件目录中。
用户从internet中下载文件方法是先把internet中文件下载到本因特网访问服务器中私有的存储空间中。然后文件传输模块中可根据存储空间的文件对客户端列出所有文件信息,用户可选择的下载。通过受认证的数据传输通道,传输到用户自己的内网机器上的预先定义好的本地文件目录中。
高级用户则允许可控的文件上传。
具体上传的控制流程如图6所示,即:上传中高级用户通过受认证的加密的数据传输通道上传后,上传后文件被放在服务器的保密存储区,然后文件会受到相关的审查,只有通过后文件才会出现在服务器中的用户的专用存储区。用户则可以再通过图形终端服务对internet访问时做真正的文件外传。在下载和上传中internet服务器上为用户分配的个人存储区在个人用户的内网络机器和外部internet之间起到了存储过渡作用。
4)系统配置和用户管理模块
该模块关键在用户管理部分,用户管理部分是对可访问internet的用户的管理,对用户的增删,修改,用户使用存储区空间和空间大小的指定。
具体核心用户数据记录是:
| Username | 用户名 |
| Password | 用户密码 |
| SpacePath | 私有存储路径 |
| SpaceSize | 私有存储空间大小 |
| DownloadEnable | 能否下载 |
| UploadEnable | 能否上载 |
| Disable | 用户是否失效 |
5)因特网访问传输模块
在本系统internet访问传输实现的是为图形终端服务提供internet访问传输。它的实现不在保护范围之内。故不再详述。
本发明对内网络传输控制模块和图形终端服务模块等各子模块可以分开实施在不同的服务器中。如对内传输控制模块的实施在服务器A上,图形终端服务实施在B上,那么客户端的数据访问必须访问A,然后经过A验证之后再由A把数据包转发给B。实现方法和效果相同。它们的分开实施在不同服务器上是本服务系统的一种变型。
该发明的实施效果:
在企业或机构里实施本结构的系统后,用户可以很方便的使用专用的客户端连接到远程的因特网访问服务器,用户的客户端是对服务器的远程图象终端。在这个客户端里使web,email,ftp,每个用户在服务器上有个自己私有的下载存储区,用户可以很方便的把自己的下载存储区中的文件再传递到用户自己的办公电脑上去。而文件的上载是严格受控的。
本发明使用后,大部分需要物理区分内外网络的机构,都可以在享用internet便利性的同时又保证了信息的安全,可反防止失误的性的信息外泄,同时对防止病毒和木马都是一个有效的措施。
虽然本发明已参照当前的具体实例进行了描述,但是本技术领域的普通技术人员应该认识到,以上的实例仅是用来说明本发明,在没有脱离本发明精神的情况下还可作出各种等效的变化和修改。因此,只要在本发明的实质精神范围内对上述实例的变化,变型都将落在本发明的权利要求书的范围内。
Claims (10)
1.一种用于内外网络隔离的因特网访问服务器,连接在由若干个用户计算机组成的内网和因特网之间,用于将用户计算机和因特网隔开,其基于通用的计算机服务器本体,其特征在于:
它包括:图形终端服务模块,图形终端网络传输模块,对内网络传输控制模块,文件传输控制模块,系统配置和用户管理模块,以及因特网访问传输模块,其中:
图形终端服务模块与图形终端网络传输模块相连,为客户端提供图形终端服务;
对内网络传输控制模块,连接在所述计算机服务器本体上,用于提供对网络会话的严格限制,保证网络内客户端和本因特网访问服务器之间都是合法的会话;
文件传输控制模块,连接在所述计算机服务器本体上,用于管理用户计算机本地硬盘与因特网访问服务器各用户专有存储空间之间文件资料的传输;
系统配置和用户管理模块,连接在所述计算机服务器本体上,用于增删、修改用户设置,上载部分流程设计,以及系统参数设置;
因特网访问传输模块,连接在所述计算机服务器本体上,用于提供所述图形终端服务模块访问因特网的传输控制管理。
2.根据权利要求1所述的用于内外网络隔离的因特网访问服务器,其特征在于:
它还包括两个网络界面,一个是对用户计算机提供因特网图形终端访问服务的网络界面,另一个是连接和访问因特网的网络界面。
3.根据权利要求1或2所述的用于内外网络隔离的因特网访问服务器,其特征在于:
所述图形终端服务模块包括www网页浏览器,电子邮件客户端,FTP客户端。
4.根据权利要求1或2所述的用于内外网络隔离的因特网访问服务器,其特征在于:
所述对内网络传输控制模块在客户端和因特网访问服务器之间所控制的数据传输有三种数据会话,即:图象终端网络协议,服务器向客户的合法下载,客户机向因特网访问服务器的受控的上载。
5.根据权利要求1或2所述的用于内外网络隔离的因特网访问服务器,其特征在于:
所述文件传输控制模块包括下载和上载两部分。
6.一种在权利要求1所述的因特网访问服务器中进行客户端登记的方法,包括下列步骤:
客户端程序初始化,得到数据标识号和用户授权信息,向因特网访问服务器登记数据标识号和授权过程;
对于因特网访问服务器确认授权的,则因特网访问服务器记录登记,并告登记结束;否则直接告登记结束。
7.一种在权利要求1所述的因特网访问服务器中进行数据包过滤的方法,包括下列步骤:
收到传输数据包,判断是否有正确数据标识号:
对于有正确数据标识号的,从数据包中得到K客户端和服务器地址,并判断是否拥有授权登记并且数据类型的合法性:
若是,则传输数据包到正确地址,并告结束;
若否,丢弃数据包;
对于没有正确数据标识号的,则直接丢弃数据包,并告结束。
8.一种在权利要求1所述的因特网访问服务器中用户从internet上下载到用户客户端的方法,包括下列步骤:
在用户使用图形终端中的www网页浏览器,或电子邮件客户端,或FTP客户端把文件下载到用户私有存储空间后,文件传输模块在下载连接初始化后可根据服务器用户私有存储空间的文件清单对客户端列出所有文件信息,用户可选择的下载;
在读取用户定义好的目标目录后,传输模块通过受认证的数据传输通道,传输到用户自己的内网机器上的预先定义好的本地文件目录中。
9.一种在权利要求1所述的因特网访问服务器中进行上传控制的方法,包括下列步骤:
传输连接初始化后,认证用户通过文件上传文件,上传文件保存服务器保密区,经判断后,若通过,则从保密区传输到用户个人存储区,并告结束;若不通过,则直接记录失败结果,并告结束。
10.一种如权利要求1所述的用于内外网络隔离的因特网访问服务器,其特征在于:
所述的对内网络传输控制模块、图形终端服务模块、文件传输控制模块、系统配置和用户管理模块、以及因特网访问传输模块按预定的组合方式分别设置在不同的通用的计算机服务器本体上。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100270472A CN101083607B (zh) | 2006-05-30 | 2006-05-30 | 一种用于内外网络隔离的因特网访问服务器及其处理方法 |
| US12/302,821 US8051147B2 (en) | 2006-05-30 | 2007-01-11 | Internet access server for isolating the internal network from the external network and a process method thereof |
| PCT/CN2007/000108 WO2007140671A1 (fr) | 2006-05-30 | 2007-01-11 | Serveur d'accès internet pour isoler le réseau intérieur du réseau extérieur et son procédé de traitement |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100270472A CN101083607B (zh) | 2006-05-30 | 2006-05-30 | 一种用于内外网络隔离的因特网访问服务器及其处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101083607A true CN101083607A (zh) | 2007-12-05 |
| CN101083607B CN101083607B (zh) | 2010-12-08 |
Family
ID=38801047
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100270472A Active CN101083607B (zh) | 2006-05-30 | 2006-05-30 | 一种用于内外网络隔离的因特网访问服务器及其处理方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8051147B2 (zh) |
| CN (1) | CN101083607B (zh) |
| WO (1) | WO2007140671A1 (zh) |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286871B (zh) * | 2008-05-22 | 2010-12-01 | 上海交通大学 | 基于数字证书和安全协议的隔离系统配置方法 |
| CN101188557B (zh) * | 2007-12-07 | 2010-12-08 | 杭州华三通信技术有限公司 | 管理用户上网行为的方法、客户端、服务器和系统 |
| CN102006312A (zh) * | 2010-12-31 | 2011-04-06 | 凌涛 | 酒店个性化网络服务方法及酒店个性化网络服务系统 |
| CN102065093A (zh) * | 2010-12-31 | 2011-05-18 | 凌涛 | 酒店多媒体网络服务方法及酒店多媒体网络服务系统 |
| CN102083068A (zh) * | 2010-12-27 | 2011-06-01 | 中国电信股份有限公司 | 数据预处理及交换服务模块、信息共享方法和系统 |
| CN102325016A (zh) * | 2011-10-18 | 2012-01-18 | 深圳市融创天下科技股份有限公司 | 一种建立数据通道的请求和应答方法、系统和终端设备 |
| CN101834764B (zh) * | 2009-03-13 | 2012-04-18 | 上海络杰软件有限公司 | 一种业务流程离线操作处理系统 |
| CN101588366B (zh) * | 2009-06-25 | 2013-01-23 | 用友软件股份有限公司 | 基于SaaS接入企业信息系统的系统和方法 |
| CN101883083B (zh) * | 2009-05-08 | 2013-02-13 | 杨宏桥 | 一种内外网隔离器及其在医院中的应用方法 |
| CN103997487A (zh) * | 2014-05-04 | 2014-08-20 | 绿网天下(福建)网络科技有限公司 | 一种基于浏览器的安全上网隔离方法 |
| CN105072020A (zh) * | 2015-08-04 | 2015-11-18 | 广州华多网络科技有限公司 | 即时通信消息处理的方法及系统 |
| CN105681334A (zh) * | 2016-03-02 | 2016-06-15 | 清华大学 | 一种信息交互系统及方法 |
| CN106921557A (zh) * | 2015-12-25 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 一种邮件发送方法和设备 |
| CN107995217A (zh) * | 2017-12-22 | 2018-05-04 | 安徽龙运智能科技有限公司 | 一种群体办公后台伺服机设备 |
| CN108322484A (zh) * | 2018-04-11 | 2018-07-24 | 江苏亨通工控安全研究院有限公司 | 一种工控数据摆渡系统 |
| CN109144830A (zh) * | 2018-09-06 | 2019-01-04 | 山西警察学院 | 一种数据采集漏报监管及快速切换网络环境的方法与系统 |
| CN109543463A (zh) * | 2018-10-11 | 2019-03-29 | 平安科技(深圳)有限公司 | 数据安全访问方法、装置、计算机设备及存储介质 |
| CN109600410A (zh) * | 2017-09-30 | 2019-04-09 | 杭州海康威视数字技术股份有限公司 | 数据存储系统以及方法 |
| CN109884262A (zh) * | 2017-12-06 | 2019-06-14 | 北京亿阳信通科技有限公司 | 一种基于检测仪器的数据采集系统及方法 |
| CN110290060A (zh) * | 2019-07-15 | 2019-09-27 | 腾讯科技(深圳)有限公司 | 一种跨网络通信方法、装置及存储介质 |
| CN110351179A (zh) * | 2018-04-02 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于网闸系统的邮件安全访问技术 |
| CN111554368A (zh) * | 2020-04-27 | 2020-08-18 | 贵州精准健康数据有限公司 | 公共卫生系统与医疗系统互通系统及方法 |
| CN111869181A (zh) * | 2018-03-14 | 2020-10-30 | 赛峰飞机发动机公司 | 用于工业设备的远程维护的安全远程维护设备和方法 |
| CN112688981A (zh) * | 2019-10-18 | 2021-04-20 | 中国司法大数据研究院有限公司 | 一种通过单向隔离光闸远程操作Linux主机的系统和实现方法 |
| CN113746835A (zh) * | 2021-08-31 | 2021-12-03 | 浙江惠瀜网络科技有限公司 | 数据传输方法、装置、设备和存储介质 |
| CN114978784A (zh) * | 2022-08-02 | 2022-08-30 | 矩阵时光数字科技有限公司 | 一种数据保护设备及系统 |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083607B (zh) * | 2006-05-30 | 2010-12-08 | 倪海生 | 一种用于内外网络隔离的因特网访问服务器及其处理方法 |
| US9251360B2 (en) | 2012-04-27 | 2016-02-02 | Intralinks, Inc. | Computerized method and system for managing secure mobile device content viewing in a networked secure collaborative exchange environment |
| US9253176B2 (en) | 2012-04-27 | 2016-02-02 | Intralinks, Inc. | Computerized method and system for managing secure content sharing in a networked secure collaborative exchange environment |
| US9553860B2 (en) | 2012-04-27 | 2017-01-24 | Intralinks, Inc. | Email effectivity facility in a networked secure collaborative exchange environment |
| AU2013251304B2 (en) | 2012-04-27 | 2018-12-20 | Intralinks, Inc. | Computerized method and system for managing networked secure collaborative exchange |
| CN102780609A (zh) * | 2012-05-17 | 2012-11-14 | 江苏中科梦兰电子科技有限公司 | 一种多网络环境下的数据交换系统及交换方法 |
| CN102820994A (zh) * | 2012-08-20 | 2012-12-12 | 广州易宝信息技术有限公司 | 一种用于网络隔离环境下的数据交换装置及方法 |
| US9514327B2 (en) | 2013-11-14 | 2016-12-06 | Intralinks, Inc. | Litigation support in cloud-hosted file sharing and collaboration |
| GB2530685A (en) | 2014-04-23 | 2016-03-30 | Intralinks Inc | Systems and methods of secure data exchange |
| CN104270344B (zh) * | 2014-09-12 | 2018-05-11 | 北京天行网安信息技术有限责任公司 | 万兆网闸 |
| CN104378231A (zh) * | 2014-11-06 | 2015-02-25 | 四川传世科技有限公司 | 企业无线路由器的控制系统和控制方法 |
| US10193857B2 (en) * | 2015-06-30 | 2019-01-29 | The United States Of America, As Represented By The Secretary Of The Navy | Secure unrestricted network for innovation |
| US10033702B2 (en) | 2015-08-05 | 2018-07-24 | Intralinks, Inc. | Systems and methods of secure data exchange |
| CN106453336B (zh) * | 2016-10-20 | 2019-12-10 | 杭州孚嘉科技有限公司 | 一种内网主动提供外网主机调用服务的方法 |
| CN110545324B (zh) * | 2019-09-04 | 2022-06-14 | 北京百度网讯科技有限公司 | 数据处理方法、装置、系统、网络设备和存储介质 |
| CN113992276A (zh) * | 2020-07-08 | 2022-01-28 | 广东华风海洋信息系统服务有限公司 | 一种基于光耦合的数据分发安全传输设备 |
| CN111935112B (zh) * | 2020-07-29 | 2024-02-23 | 深圳市安车检测股份有限公司 | 一种基于串行的跨网数据安全摆渡设备和方法 |
| CN111917800B (zh) * | 2020-08-14 | 2022-05-31 | 北京超维电感科技有限公司 | 基于协议的外置授权系统及授权方法 |
| CN113055356A (zh) * | 2021-02-24 | 2021-06-29 | 深圳中广核工程设计有限公司 | 一种核电厂振动数据传输系统及方法 |
| CN113347178A (zh) * | 2021-05-26 | 2021-09-03 | 国网宁夏电力有限公司营销服务中心(国网宁夏电力有限公司计量中心) | 一种基于内外网安全快速穿透提升方法 |
| CN113922978B (zh) * | 2021-08-18 | 2023-10-03 | 北京市大数据中心 | 具备三网切换的多元数据融合平台 |
| CN114726850B (zh) * | 2022-04-02 | 2024-01-05 | 福达新创通讯科技(厦门)有限公司 | 一种vnc远程访问的方法、装置及存储介质 |
| CN114629730B (zh) * | 2022-05-16 | 2022-08-12 | 华能国际电力江苏能源开发有限公司 | 一种区域公司计算机网络安全互联方法及系统 |
| CN116471103B (zh) * | 2023-05-04 | 2023-09-22 | 深圳市显科科技有限公司 | 基于边界网络的内外网数据安全交换方法、装置及设备 |
| CN117081852B (zh) * | 2023-10-12 | 2023-12-15 | 人力资源和社会保障部人事考试中心 | 基于内外网隔离的公共信息安全发布方法以及装置 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5872915A (en) * | 1996-12-23 | 1999-02-16 | International Business Machines Corporation | Computer apparatus and method for providing security checking for software applications accessed via the World-Wide Web |
| DE19952527C2 (de) * | 1999-10-30 | 2002-01-17 | Ibrixx Ag Fuer Etransaction Ma | Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen unterscheidbaren Netzen |
| JP3605343B2 (ja) * | 2000-03-31 | 2004-12-22 | デジタルア−ツ株式会社 | インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置 |
| US6981041B2 (en) * | 2000-04-13 | 2005-12-27 | Aep Networks, Inc. | Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities |
| US20020165945A1 (en) * | 2001-05-07 | 2002-11-07 | Randy Buswell | Method and system for registry flying in a network |
| CN1142506C (zh) * | 2001-12-03 | 2004-03-17 | 复旦大学 | 信息桥网络安全隔离装置 |
| FR2838843B1 (fr) * | 2002-04-23 | 2004-12-17 | Cit Alcatel | Dispositif d'adaptation dynamique de filtres de donnees |
| US7631179B2 (en) * | 2002-08-02 | 2009-12-08 | The Boeing Company | System, method and apparatus for securing network data |
| US20040181663A1 (en) * | 2003-03-13 | 2004-09-16 | Sami Pienimaki | Forced encryption for wireless local area networks |
| US7246174B2 (en) * | 2003-10-28 | 2007-07-17 | Nacon Consulting, Llc | Method and system for accessing and managing virtual machines |
| US20050144297A1 (en) * | 2003-12-30 | 2005-06-30 | Kidsnet, Inc. | Method and apparatus for providing content access controls to access the internet |
| CN1305271C (zh) * | 2004-04-29 | 2007-03-14 | 上海交通大学 | 基于代理映射的网络安全隔离与信息交换系统及方法 |
| US7649854B2 (en) * | 2004-05-19 | 2010-01-19 | Bea Systems, Inc. | System and method for providing channels in application servers and transaction-based systems |
| KR20050114047A (ko) * | 2004-05-31 | 2005-12-05 | 삼성전자주식회사 | 원격지에 소재하는 다수의 클라이언트들을 지원하는 방법및 서버 |
| US7594277B2 (en) * | 2004-06-30 | 2009-09-22 | Microsoft Corporation | Method and system for detecting when an outgoing communication contains certain content |
| DE502005004396D1 (de) * | 2005-04-22 | 2008-07-24 | Trumpf Laser Gmbh & Co Kg | Vorrichtung für sicheren Fernzugriff |
| US7779091B2 (en) * | 2005-12-19 | 2010-08-17 | Vmware, Inc. | Method and system for providing virtualized application workspaces |
| US9294729B2 (en) * | 2006-01-19 | 2016-03-22 | At&T Intellectual Property I, L.P. | System and method for providing content over a television network |
| US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
| US9462118B2 (en) * | 2006-05-30 | 2016-10-04 | Microsoft Technology Licensing, Llc | VoIP communication content control |
| CN101083607B (zh) * | 2006-05-30 | 2010-12-08 | 倪海生 | 一种用于内外网络隔离的因特网访问服务器及其处理方法 |
| US8683059B2 (en) * | 2006-06-15 | 2014-03-25 | Fujitsu Limited | Method, apparatus, and computer program product for enhancing computer network security |
-
2006
- 2006-05-30 CN CN2006100270472A patent/CN101083607B/zh active Active
-
2007
- 2007-01-11 WO PCT/CN2007/000108 patent/WO2007140671A1/zh active Application Filing
- 2007-01-11 US US12/302,821 patent/US8051147B2/en not_active Expired - Fee Related
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188557B (zh) * | 2007-12-07 | 2010-12-08 | 杭州华三通信技术有限公司 | 管理用户上网行为的方法、客户端、服务器和系统 |
| CN101286871B (zh) * | 2008-05-22 | 2010-12-01 | 上海交通大学 | 基于数字证书和安全协议的隔离系统配置方法 |
| CN101834764B (zh) * | 2009-03-13 | 2012-04-18 | 上海络杰软件有限公司 | 一种业务流程离线操作处理系统 |
| CN101883083B (zh) * | 2009-05-08 | 2013-02-13 | 杨宏桥 | 一种内外网隔离器及其在医院中的应用方法 |
| CN101588366B (zh) * | 2009-06-25 | 2013-01-23 | 用友软件股份有限公司 | 基于SaaS接入企业信息系统的系统和方法 |
| CN102083068A (zh) * | 2010-12-27 | 2011-06-01 | 中国电信股份有限公司 | 数据预处理及交换服务模块、信息共享方法和系统 |
| CN102083068B (zh) * | 2010-12-27 | 2015-04-01 | 中国电信股份有限公司 | 信息共享方法和系统 |
| CN102065093A (zh) * | 2010-12-31 | 2011-05-18 | 凌涛 | 酒店多媒体网络服务方法及酒店多媒体网络服务系统 |
| CN102006312A (zh) * | 2010-12-31 | 2011-04-06 | 凌涛 | 酒店个性化网络服务方法及酒店个性化网络服务系统 |
| CN102325016A (zh) * | 2011-10-18 | 2012-01-18 | 深圳市融创天下科技股份有限公司 | 一种建立数据通道的请求和应答方法、系统和终端设备 |
| CN103997487A (zh) * | 2014-05-04 | 2014-08-20 | 绿网天下(福建)网络科技有限公司 | 一种基于浏览器的安全上网隔离方法 |
| CN105072020A (zh) * | 2015-08-04 | 2015-11-18 | 广州华多网络科技有限公司 | 即时通信消息处理的方法及系统 |
| CN106921557A (zh) * | 2015-12-25 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 一种邮件发送方法和设备 |
| CN105681334B (zh) * | 2016-03-02 | 2019-03-29 | 湖南岳麓山数据科学与技术研究院有限公司 | 一种信息交互系统及方法 |
| CN105681334A (zh) * | 2016-03-02 | 2016-06-15 | 清华大学 | 一种信息交互系统及方法 |
| CN109600410A (zh) * | 2017-09-30 | 2019-04-09 | 杭州海康威视数字技术股份有限公司 | 数据存储系统以及方法 |
| CN109884262A (zh) * | 2017-12-06 | 2019-06-14 | 北京亿阳信通科技有限公司 | 一种基于检测仪器的数据采集系统及方法 |
| CN107995217A (zh) * | 2017-12-22 | 2018-05-04 | 安徽龙运智能科技有限公司 | 一种群体办公后台伺服机设备 |
| CN111869181A (zh) * | 2018-03-14 | 2020-10-30 | 赛峰飞机发动机公司 | 用于工业设备的远程维护的安全远程维护设备和方法 |
| CN110351179A (zh) * | 2018-04-02 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于网闸系统的邮件安全访问技术 |
| CN108322484A (zh) * | 2018-04-11 | 2018-07-24 | 江苏亨通工控安全研究院有限公司 | 一种工控数据摆渡系统 |
| CN109144830A (zh) * | 2018-09-06 | 2019-01-04 | 山西警察学院 | 一种数据采集漏报监管及快速切换网络环境的方法与系统 |
| CN109543463A (zh) * | 2018-10-11 | 2019-03-29 | 平安科技(深圳)有限公司 | 数据安全访问方法、装置、计算机设备及存储介质 |
| CN109543463B (zh) * | 2018-10-11 | 2023-12-22 | 平安科技(深圳)有限公司 | 数据安全访问方法、装置、计算机设备及存储介质 |
| CN110290060A (zh) * | 2019-07-15 | 2019-09-27 | 腾讯科技(深圳)有限公司 | 一种跨网络通信方法、装置及存储介质 |
| CN110290060B (zh) * | 2019-07-15 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 一种跨网络通信方法、装置及存储介质 |
| CN112688981A (zh) * | 2019-10-18 | 2021-04-20 | 中国司法大数据研究院有限公司 | 一种通过单向隔离光闸远程操作Linux主机的系统和实现方法 |
| CN111554368A (zh) * | 2020-04-27 | 2020-08-18 | 贵州精准健康数据有限公司 | 公共卫生系统与医疗系统互通系统及方法 |
| CN113746835A (zh) * | 2021-08-31 | 2021-12-03 | 浙江惠瀜网络科技有限公司 | 数据传输方法、装置、设备和存储介质 |
| CN114978784A (zh) * | 2022-08-02 | 2022-08-30 | 矩阵时光数字科技有限公司 | 一种数据保护设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101083607B (zh) | 2010-12-08 |
| WO2007140671A1 (fr) | 2007-12-13 |
| US20090222535A1 (en) | 2009-09-03 |
| US8051147B2 (en) | 2011-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101083607B (zh) | 一种用于内外网络隔离的因特网访问服务器及其处理方法 | |
| US7533409B2 (en) | Methods and systems for firewalling virtual private networks | |
| US8332464B2 (en) | System and method for remote network access | |
| CA2394455C (en) | System for automated connection to virtual private networks | |
| US8239531B1 (en) | Method and apparatus for connection to virtual private networks for secure transactions | |
| CN1086086C (zh) | 用于防止未经授权的通信的安全系统和方法 | |
| CA2394456C (en) | Flexible automated connection to virtual private networks | |
| US8006297B2 (en) | Method and system for combined security protocol and packet filter offload and onload | |
| JP4307448B2 (ja) | 分散オブジェクトを単一表現として管理するシステムおよび方法 | |
| US6981156B1 (en) | Method, server system and device for making safe a communication network | |
| Avolio et al. | A network perimeter with secure external access | |
| JP2016518648A (ja) | サービスとしての装置の提供 | |
| CN102197400A (zh) | 用于直接访问网络的网络位置确定 | |
| CN1354934A (zh) | 实现对计算机网络中服务的安全访问的系统和方法 | |
| CN1703867A (zh) | 防火墙 | |
| JP2008299617A (ja) | 情報処理装置、および情報処理システム | |
| Curtin | Introduction to network security | |
| JPH11205388A (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
| CN110717149A (zh) | 一种安全架构及其运行方法、设备及可读存储介质 | |
| CN103731410A (zh) | 虚拟网络构建系统、方法、小型终端及认证服务器 | |
| CN109040112A (zh) | 网络控制方法和装置 | |
| KR101858207B1 (ko) | 국군 여가복지전용 보안망 시스템 | |
| Cisco | Configuring Network Data Encryption | |
| CN108809938A (zh) | 一种密码设备的远程管控实现方法及系统 | |
| Cisco | Configuring Network Data Encryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: SHANGHAI DALONG INFORMATION TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: NI HAISHENG Effective date: 20101123 Free format text: FORMER OWNER: ZHU LIN |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 201204 ROOM 202, NO. 24, LANE 199, BAIYANG ROAD, PUDONG NEW DISTRICT, SHANGHAI TO: 200127 ROOM 301, NO. 1432, PUJIAN ROAD, PUDONG NEW DISTRICT, SHANGHAI |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20101123 Address after: 200127, room 1432, 301 Pu Jian Road, Shanghai, Pudong New Area Applicant after: Dalongtech Address before: 201204, room 24, No. 199, Lane 202, Baiyang Road, Pudong New Area, Shanghai Applicant before: Ni Haisheng Co-applicant before: Zhu Lin |