CN103997495A - 一种安全隔离文件传输控制方法 - Google Patents
一种安全隔离文件传输控制方法 Download PDFInfo
- Publication number
- CN103997495A CN103997495A CN201410220748.2A CN201410220748A CN103997495A CN 103997495 A CN103997495 A CN 103997495A CN 201410220748 A CN201410220748 A CN 201410220748A CN 103997495 A CN103997495 A CN 103997495A
- Authority
- CN
- China
- Prior art keywords
- file
- main frame
- request end
- end main
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全隔离文件传输控制方法,基于通过协议控制模块、安全保障模块的单向传输网络架构,实现内外网安全传输文件,其主要步骤有:配置安全保障模块、启动系统各单元、请求端主机发起建立与目的主机的数据连接、目的主机响应请求端主机的数据连接请求、请求端主机的文件传输命令的封装、传输文件拆分、文件传输、文件合并、撤销连接。实现请求端主机向目的主机发送文件和请求端主机从目的主机下载文件,可以实现多任务、多用户的并发发送文件和下载文件。本发明使基于单向网络隔离设备的内外网数据能够透明传输,通过软交换协议能提高内外网的数据传输效率。
Description
技术领域
本发明涉及一种安全隔离控制方法,具体涉及一种安全隔离文件传输控制方法。它特别适用于在不同保密级别的网络间传输数据,在保证内网安全的同时,实现文件在内外网的高效传输。
背景技术
在网络安全方面,目前采用的是第五代隔离技术来保证网络的安全,其主要产品即网络安全隔离装置。大多数主流产商对于网络安全隔离装置的核心原理采用的是协议剥离和身份验证的方法,国内以山东思瑞,北京数码星辰等为代表的主要公司,目前大量采用的都是这一技术的产品。这一技术能够保证内网安全的关键点是通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,而数据流经网络安全隔离装置时TCP/IP协议被终止,防止了利用协议进行攻击,在某一时刻网络安全隔离装置只能连接到一个网络。网络安全隔离装置作为代理从内网的网络数据包中抽取出数据然后通过数据缓冲设施转到外网,完成数据中转。在中转过程中,网络安全隔离装置会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施综合过滤控制,只有满足要求的报文才可以通过网络安全隔离装置。由于网络安全隔离装置采用了独特的开关切换机制,因此,在进行检查时网络实际上处于断开状态,即使遭到攻击,由于攻击发生时内外网始终处于物理断开状态,内网仍是安全的。
网络安全隔离装置在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。在安全岛硬件上将外网到内网传递的应用数据大小限定为用于TCP握手的几个字节外,保证从外网到内网的TCP应答禁止携带应用数据,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换,并提高了防止病毒和黑客非法访问的能力。
正是由于以上的安全机制,安全隔离装置不能部署应用层协议(如FTP,HTTP,SNMP等),同时目前广泛使用的单向隔离装置,不具备数据双向通信的功能,不能满足需要实现高效可靠双向通信的业务。因此,亟需解决利用单向安全隔离装置实现数据的高效可靠双向通信。
发明内容
基于单向网络隔离设备,本发明的目的在于通过各模块、分时序和定义专有协议的控制方法控制正反向数据传输,从而在保证内网安全的同时又大幅度提升数据交换的性能,并使整个系统可靠稳定工作。
实现本发明目标的技术解决方案为一种安全隔离文件传输控制方法,基于通过前协议控制模块、安全保障模块和后协议控制模块内外网传输文件的网络架构,分为:
1、外网主机向内网主机请求连接,发送文件或者下载文件,即发送文件时,外网主机为发送端,内网主机为接收端;下载文件时,外网主机为接收端,内网主机为发送端。
2、内网主机向外网主机请求连接,发送文件或者下载文件,即发送文件时,内网主机为发送端,外网主机为接收端;下载文件时,内网主机为接收端,外网主机为发送端。
请求端主机的人机交互模块请求发送文件时:
步骤1、配置安全保障模块:配置IP地址与端口映射表,使来自合法IP地址的数据可以通过正向隔离设备或反向隔离设备的端口进行转发;
步骤2、启动系统各单元:启动单元包括信息处理单元、数据交互控制单元、人机交互模块;
步骤3、请求端主机发起建立与目的主机的数据连接:在请求端主机的人机交互模块中输入连接命令VCON,由连接请求端主机的协议控制模块的数据交互控制单元封装成VCON报文并发送至目的主机;
步骤4、目的主机响应请求端主机的数据连接请求:连接目的主机的协议控制模块的数据交互控制单元解析请求的连接命令VCON,生成用户标识及反馈报文,通知请求端主机连接已建立,并可以进行下一步操作;
步骤5、请求端主机的文件传输命令的封装:在请求端主机的人机交互模块中输入发送文件命令VPUT,连接请求端主机的协议控制模块的数据交互控制单元进行封装命令报文并发送;
步骤6、传输文件的拆分:连接请求端主机的协议控制模块的文件处理单元处理需要传输的文件,如果文件的大小超过拆分的阈值,则将文件拆分成多个固定大小的文件,同时生成拆分配置文件;
步骤7、文件传输:连接请求端主机的协议控制模块的信息处理单元将发送文件命令报文、拆分配置文件、拆分后的数据文件,经隔离设备配置的端口传输给连接目的主机的协议控制模块的文件处理单元;
步骤8、文件合并:连接目的主机的协议控制模块的文件处理单元解析拆分配置文件信息,并按照配置文件中的内容恢复文件,并传送给目的主机;
步骤9、撤销连接:请求端主机的人机交互模块发出退出命令VQUIT,关闭已建立文件传输连接,释放系统资源以及占用的端口;
请求端主机的人机交互模块请求下载文件时:
步骤1、配置安全保障模块:配置IP地址与端口映射表,使来自合法IP地址的数据可以通过正向隔离设备或反向隔离设备的端口进行转发;
步骤2、启动系统各单元:启动单元包括信息处理单元、数据交互控制单元、人机交互模块;
步骤3、请求端主机发起建立与目的主机的数据连接:在请求端主机的人机交互模块中输入连接命令VCON,由连接请求端主机的协议控制模块的数据交互控制单元封装成VCON报文并发送至目的主机;
步骤4、目的主机响应请求端主机的数据连接请求:连接目的主机的协议控制模块的数据交互控制单元解析请求的连接命令VCON,生成用户标识及反馈报文,通知请求端主机连接已建立,并可以进行下一步操作;
步骤5、请求端主机的获取文件命令的封装:在请求端主机的人机交互模块中输入获取文件命令VGET,连接请求端主机的协议控制模块的数据交互控制单元进行封装命令报文并发送;
步骤6、解析文件获取命令并拆分需传输的文件:连接目的主机的协议控制模块的数据交互控制单元解析命令报文,连接目的主机的协议控制模块的文件处理单元处理需要传输的文件,如果文件的大小超过拆分的阈值,则将文件拆分成多个固定大小的文件,同时生成拆分配置文件;
步骤7、文件传输:连接目的主机的的协议控制模块的信息处理单元将命令报文、拆分配置文件、拆分后的数据文件,经隔离设备配置的端口传输给连接请求端主机的协议控制模块的文件处理单元;
步骤8、文件合并:连接请求端主机协议控制模块的的文件处理单元解析拆分配置文件,并按照配置文件中的内容恢复文件,并传送给请求端主机;
步骤9、撤销连接:请求端主机的人机交互模块发出退出命令VQUIT,关闭已建立文件传输连接,释放系统资源以及占用的端口。
重复以上步骤,在请求端主机的人机交互模块中增加任务调度功能的子模块,可以实现多任务、多用户的并发发送文件和下载文件。
内网主机向外网主机请求发送文件和内网主机向外网主机请求下载文件的步骤与外网主机向内网主机请求发送文件和外网主机向内网主机请求下载文件 的步骤相同。
本发明具有以下显著特点:
1)通过各模块分时序定义专有协议的工作模式,显著提高了文件数据在内外网传输的可控性,高效性,传输速率仅限于网络安全隔离的网络带宽,提高了用户体验质量。
2)使内外网的文件数据能够互通,不局限于单向传输,内网的工作效率相应提高。
附图说明
图1为现有技术的单向网络安全隔离装置原理图。
图2为本发明基于的总体框图。
图3为本发明的发送文件流程图。
图4为本发明的下载文件流程图。
图5为本发明的文件发送时序图。
图6为本发明的报文交互时序图。
图7为本发明的报文格式。
具体实施方式
下面结合附图对本发明做进一步详细描述:
图1为现有技术的单向网络安全隔离装置原理图,由控制台单元、内部单元、外部单元及数据交换单元4部分组成。其中:内部单元、外部单元都由身份认证单元和协议剥离单元构成,负责与内网、外网的交互;数据交换单元是不基于网络传输的中介单元,负责内部单元和外部单元的数据交换;控制台控制内部单元和外部单元的配置信息,决定网络隔离装置的安全策略。单向网络安全隔离装置保证任意时刻它与内网和外网的其中一个相连接。
图2是本发明基于的总体框图,包括有前协议控制模块、安全保障模块和后协议控制模块组成的架构。
前协议控制模块和后协议控制模块可以分别工作在一台多网口的工控机中,具体负责整个协议的解析执行,使文件的交互更加可控和高效。前协议控制模块和后协议控制模块分别包含有数据交互控制单元、信息处理单元和文件处理单元。前协议控制模块和后协议控制模块工作原理相同。
安全保障模块负责系统的安全机制,在安全保障模块中包含正向隔离设备和反向隔离设备,分别用于单项数据传输。正向隔离设备用于维护内网到外网的数据流,即从内网的人机交互模块经后协议控制模块、安全保障模块中的正向隔离设备、前协议控制模块到外网的人机交互模块的数据流;反向隔离设备用于维护外网到内网的数据流,即从外网的人机交互模块经前协议控制模块、安全保障模块中的反向隔离设备、后协议控制模块到内网的人机交互模块的数据流,保证数据的双向传输;在正反向隔离设备中的控制台单元分别对正向隔离设备和反向隔离设备进行安全配置,使符合规则的数据流通过,配置的规则包括:IP地址、网络端口、特征码验证、MAC地址绑定等。
前协议控制模块和后协议控制模块负责文件传输的可控性,是本发明的核心,前协议控制模块通过网络接口与外网、安全保障模块中的正向隔离设备和反向隔离设备连接;后协议控制模块通过网络接口与内网、安全保障模块中的正向隔离设备和反向隔离设备连接。两个协议看下模块均包括3个子模块:数据交互控制单元、文件处理单元和信息处理单元,完成的功能分别为:1)协议报文的封装与解析;2)文件的分割与合并;3)命令的执行与反馈。
就图2本发明基于的总体框图的结构而言,外网至内网的数据通路与内网至外网的数据通路为对称结构。即有外网主机请求的数据传输与内网请求的数据传输方法是相同的。
在两个协议控制模块中,数据交互控制单元,提供了完成相关操作的命令字。具体的命令字包括:
连接(VCON):VCON destIP
VCON为发起连接的命令字,destIP为必填字段,是希望建立连接的目的主机IP地址。该命令用于判断本机到对方主机的数据链路是否可达,及对方主机服务是否已部署。以内网主机向外网主机发起VCON命令为例,在内网人机交互模块中输入VCON,必填字段destIP为外网主机的IP地址,后协议模块的信息处理单元解析destIP地址,通过正向隔离设备传输给外网的前协议控制模块,前协议控制模块解析VCON命令,在外网的人机交互模块中提示内网主机发起建立连接请求,同时通过反向隔离设备反馈连接建立成功消息,至此,内网主机与外网主机之间建立好连接。
设置本机当前目录(VDIR):VDIR directory
VDIR为设置本机当前目录的命令字,directory为必填字段,是需要设置的本地目录。设置完本机当前目录后,本地相对文件的路径都默认是本机当前目录。
设置目的主机当前目录(VLDIR):VLDIR directory
VLDIR是设置目的主机当前目录的命令字,directory为必填字段,是需要设置的目的主机目录。设置完目的主机当前目录后,目的主机相对文件的路径都默认是本机当前目录。
获取文件信息列表(VLS):VLS
VLS为获取文件信息列表的命令字,无参数。该命令用于获取目的主机当前目录下的所有文件信息。以内网主机向外网主机发起VLS命令为例,在内网人机交互模块中输入VLS,后协议模块的信息处理单元解析VLS命令字,通过正向隔离设备传输给外网的前协议控制模块,前协议控制模块解析VLS命令字后,获取当前目录下的文件信息列表,并通过反向隔离设备将文件信息列表反馈给内网主机,通过内网主机的人机交互模块展示出来。
获取文件(VGET):VGET [fileName/fileFullPath]
VGET为文件获取命令字,必选参数可以是文件名fileName,也可以是文件的完整路径fileFullPath,为文件名时,表示当前目录下的文件。该命令用于获取目的主机的文件数据。以内网主机向外网主机发起VGET命令为例,在内网人机交互模块中输入VGET,必选参数fileName为目的主机当前目录下的一个文件,后协议模块的信息处理单元解析VGET命令字,并通过正向隔离设备传输给外网的前协议控制模块,前协议控制模块解析VGET命令字后,获取当前目录下的fileName文件,经文件处理单元拆分文件,然后通过反向隔离设备传输给后协议控制模块,在后协议控制模块的文件处理单元进行文件的合并处理,并存储在指定目录下。
发送文件(VPUT):VPUT [fileName/fileFullPath]
VPUT 为文件发送命令字,必选参数可以是文件名fileName,也可以是文件的完整路径fileFullPath,为文件名时,表示当前目录下的文件。该命令用于向连接已建立好的目的主机发送文件。以内网主机向外网主机发起VPUT命令为例,在内网人机交互模块中输入VPUT,必选参数fileName为内网主机当前目录下的一个文件,后协议模块的信息处理单元解析VPUT命令字,通过文件处理单元获取fileName所指文件的数据信息,进行拆包封装后,通过正向隔离设备传输给外网的前协议控制模块,前协议控制模块解析VPUT命令字后,将接收到的数据信息,经文件处理单元合并恢复,并存储在当前目录下,然后将确认接收成功消息通过反向隔离设备传输给内网主机。
设置自动发送目录:VAUTODIR [directory]
VAUTODIR 为设置自动发送目录的命令字,可选参数是目录名directory,表示需要自动发送的目录,可选参数为空时,表示自动发送目录为当前目录。该命令用于设置需要自动发送文件的目录。
设置自动发送文件(VAUTO):VAUTO
VAUTO为设置自动发送文件的命令字,无参数。该命令用于切换自动发送文件的状态,VAUTO状态为1,表示设置自动发送文件,状态为2,表示取消自动发送文件。设置VAUTO时,其状态在1和2之间切换。
退出命令(VQUIT):VQUIT
VQUIT为退出命令,无参数。该命令用于关闭已建立文件传输连接,用于释放系统资源以及占用的端口。
传输方,文件处理单元用于文件传输之前相关处理,适当提高文件传输的安全性和效率性,其工作过程如下:首先将大文件按协议规定大小拆分,按照命名规则重新给每个文件命名,生成配置信息文件,配置信息文件说明原始文件名、拆分个数和其他信息。拆分文件命名规则:原始文件名(含扩展名)、拆分文件顺序号。然后将拆分后的文件放置文件发送缓冲目录。接收方,文件处理单元用于接收完成后相关操作,根据配置信息文件将拆分文件恢复至原文件。
为了完成相关的操作和功能,内网和外网通过某种特定格式的报文来完成,报文格式见附图6。报文携带命令和文件数据,完成内外网数据的交互。
信息处理单元主要功能是分析处理内外网接收到的报文,接收方根据报文的命令实现相关的操作,并将操作的结果封装成协议报文反馈给发送方。分析和处理的机制根据报文的格式而定。
内网和外网的人机交互模块分别工作于内外网的主机中,人机交互模块负责外网用户与内网系统的交互,位于系统架构的外围。人机交互模块主要是提供基于窗口的功能接口,为用户提供命令输入界面,方便用户的操作。
根据图3本发明的发送文件流程图,如当外网主机向内网主机请求发送文件时,即由外网主机的人机交互模块向内网主机的人机交互模块发送文件,本发明的工作过程如下:
步骤1:配置安全保障模块。配置IP地址与端口映射表,使来自合法IP地址的数据可以通过隔离设备的端口进行转发,需要同时配置正向隔离设备与反向隔离设备的映射表。
通过安全保障模块中的正向隔离设备和反向隔离设备的控制台单元进行配置,建立IP地址映射表,设置允许通过隔离设备的单个IP地址或者多个IP网段,每个IP地址的转发端口。使合法IP地址的数据可以通过隔离设备的特定端口,允许外网主机的人机交互模块向内网主机的人机交互模块发出请求连接命令通过隔离设备。
步骤2:启动系统各单元。启动单元包括信息处理单元、数据交互控制单元、人机交互模块。即启动内外网主机的人机交互模块,启动两个协议控制模块的信息处理单元和数据交互控制单元。
步骤3:外网主机发起建立与内网主机的数据连接。在外网主机的人机交互模块中输入连接命令VCON,由前协议控制模块的数据交互控制单元封装成VCON报文并发送至内网主机。
步骤4:内网主机的人机交互模块响应外网主机的数据连接请求。后协议控制模块的数据交互控制单元解析连接命令VCON,生成用户标识及反馈报文,通知外网主机连接已建立,可以进行发送文件操作。
步骤5:外网文件传输命令的封装。在外网主机的人机交互模块中输入发送文件命令VPUT filename,其中filename为需要发送文件的地址,前协议控制模块的数据交互控制单元封装命令报文。
步骤6:外网传输文件的拆分。前协议控制模块的文件处理单元处理需要传输的文件,如果文件的大小超过拆分的阈值,则将文件拆分成多个固定大小的文件,同时生成拆分配置文件。
前协议控制模块的文件处理单元将filename所指文件拆分成固定大小的小文件,并形成拆分配置文件。拆分后的小文件和拆分配置文件,一并存储至前协议控制模块中的文件发送缓冲目录。
步骤7:文件传输。前协议控制模块的信息处理单元将命令报文、拆分配置文件、拆分后的数据文件,经反向隔离设备配置的端口传输给内网主机。
反向隔离设备循环发送前协议控制模块中的文件发送缓冲目录中的文件,通过绑定的端口发送文件。
步骤8:文件合并。后协议控制模块的文件处理单元解析拆分配置文件信息,并按照配置文件中的内容恢复文件。
后协议控制模块的信息处理单元将接收到的文件存储到后协议控制模块中的接收缓冲目录,根据接收到的拆分配置文件,将接收缓冲目录小文件恢复成原始文件,并存储到内网主机的当前目录下,并发送文件接收成功的反馈报文给外网主机的人机交互模块。
步骤9:撤销连接。外网主机的人机交互模块发出退出命令VQUIT,关闭已建立文件传输连接,释放系统资源以及占用的端口。
重复以上步骤,通过加载任务调度模块,可支持多用户并发。
根据图4本发明的下载文件流程图,如当外网主机向内网主机请求下载文件时,即由外网主机的人机交互模块向内网主机的人机交互模块请求获取文件,本发明的工作过程如下:
步骤1:配置安全保障模块。配置IP地址与端口映射表,使来自合法IP地址的数据可以通过隔离设备的端口进行转发,需要同时配置正向隔离设备与反向隔离设备的映射表。
通过安全保障模块中的正向隔离设备和反向隔离设备的控制台单元进行配置,建立IP地址映射表,设置允许通过隔离设备的单个IP地址或者多个IP网段,每个IP地址的转发端口。使合法IP地址的数据可以通过隔离设备的特定端口,允许外网主机的人机交互模块向内网主机的人机交互模块发出请求连接命令通过隔离设备。
步骤2:启动系统各单元。启动单元包括信息处理单元、数据交互控制单元、人机交互模块。即启动内外网主机的人机交互模块,启动两个协议控制模块的信息处理单元和数据交互控制单元。
步骤3:外网发起建立与内网的数据连接。在外网主机的人机交互模块中输入VCON命令,由前协议控制模块的数据交互控制单元封装成VCON报文并发送至内网主机。
步骤4:内网主机的人机交互模块响应外网主机的数据连接请求。后协议控制模块的数据交互控制单元解析请求的VCON命令,生成用户标识及反馈报文,通知外网主机连接已建立,并可以进行文件下载操作。
步骤5:外网文件获取命令的封装。在外网主机的人机交互模块中输入获取文件命令VGET,前协议控制模块的数据交互控制单元进行封装并发送。
在外网主机的人机交互模块中输入获取文件命令VGET filename,其中filename 为需要下载文件在内网主机的地址。
步骤6:内网解析文件获取命令并拆分需传输文件。后协议控制模块的数据交互控制单元解析命令报文,文件处理单元处理需要传输的文件,如果文件的大小超过拆分的阈值,则将文件拆分成多个固定大小的文件,同时生成拆分配置文件。
后协议控制模块的信息处理单元解析到VGET命令,调用文件处理单元,文件处理单元将filename所指文件拆分成固定大小的小文件,并形成拆分配置文件。拆分后的小文件和拆分配置文件,一并存储至文件发送缓冲目录。
步骤7:文件传输。后协议控制模块的信息处理单元将命令报文、拆分配置文件、拆分后的数据文件,经正向隔离设备配置的端口传输给外网主机。
正向隔离设备循环发送缓冲目录中的文件,通过特定的端口发送文件到前协议控制模块。
步骤8:文件合并。前协议控制模块的文件处理单元解析拆分配置文件,并按照配置文件中的内容恢复文件。
前协议控制模块的信息处理单元将接收到的文件存储到接收缓冲目录,文件处理单元根据接收到的拆分配置文件,将接收缓冲目录小文件恢复成原始文件,并存储到外网主机的当前目录下。
步骤9:重复以上步骤,通过加载任务调度模块,可支持多用户并发。
图5为本发明的文件发送时序图,发送文件时,软交换工控机中的协议控制模块首先将文件进行拆分,创建拆分配置文件,将拆分后的文件和配置文件一起放置至发送目录,进行发送,穿过隔离装置到达接收端后,软交换工控机中的协议控制模块寻找配置文件,读取配置信息,进行恢复文件操作,放置至主机接收目录,完成文件传输。
图6为本发明的报文交互时序图,以下载流程为例,首先外网主机发送请求下载命令GET,收到内网主机回复后做好接收准备,每收到文件信息报文后,反馈告知内网主机可以进行下一报文的分发,直至文件发送完毕,若内网主机未收到反馈信息,重传上一个文件信息报文。
系统采取应答式的控制机制运作,可靠的TCP协议已不能通过网络安全隔离装置,为保证本发明的传输可靠性,严格的时序是确保文件传输最好的前提,即用户端和服务器双方在请求命令和执行命令前必须确保对方已处在就绪状态。
图7为本发明的报文组织形式,包括身份ID、命令字、附带参数、具体数据信息、数据长度、反馈信息以及拓展字段。
实验采取的网络隔离装置是宇宙盾通用单向物理隔离网闸,工控机平台为ARM7,操作系统为Linux,协议实现语言为JAVA,根据图2搭建整个系统,内网只接受符合IP规则的请求,屏蔽不合法请求,数据交互效率只与网络安全隔离装置的带宽相关,大量实验中,文件传输成功率100%。本发明能够解决单向网络安全隔离装置不能部署应用层协议,数据互通性能差的缺点,可以批量上传下载文件,上传下载速度达到网络隔离装置的带宽上限,支持并发,提高被隔离装置隔离的内外网数据交换效率。
Claims (3)
1.一种安全隔离文件传输控制方法,通过前协议控制模块、安全保障模块和后协议控制模块,实现内外网的文件传输,其特征在于包括以下步骤:
请求端主机的人机交互模块请求发送文件时:
步骤1、配置安全保障模块:配置IP地址与端口映射表,使合法IP地址的数据可以通过正向隔离设备或反向隔离设备的端口进行转发;
步骤2、启动系统各单元:启动单元包括信息处理单元、数据交互控制单元、人机交互模块;
步骤3、请求端主机发起建立与目的主机的数据连接:在请求端主机的人机交互模块中输入连接命令VCON,由连接请求端主机的协议控制模块的数据交互控制单元封装成VCON报文,并发送至目的主机;
步骤4、目的主机响应请求端主机的数据连接请求:连接目的主机的协议控制模块的数据交互控制单元解析请求的连接命令VCON,生成用户标识及反馈报文,通知请求端主机连接已建立,并可以进行下一步操作;
步骤5、请求端主机的文件传输命令的封装:在请求端主机的人机交互模块中输入发送文件命令VPUT,连接请求端主机的协议控制模块的数据交互控制单元进行封装命令报文并发送;
步骤6、传输文件的拆分:连接请求端主机的协议控制模块的文件处理单元处理需要传输的文件,如果文件的大小超过拆分的阈值,则将文件拆分成多个固定大小的文件,同时生成拆分配置文件;
步骤7、文件传输:连接请求端主机的协议控制模块的信息处理单元将发送文件命令报文、拆分配置文件、拆分后的数据文件,经隔离设备配置的端口传输给连接目的主机的协议控制模块的文件处理单元;
步骤8、文件合并:连接目的主机的协议控制模块的文件处理单元解析拆分配置文件信息,并按照配置文件中的内容恢复文件,并传送给目的主机;
步骤9、撤销连接:请求端主机的人机交互模块发出退出命令VQUIT,关闭已建立文件传输连接,释放系统资源以及占用的端口;
请求端主机的人机交互模块请求下载文件时:
步骤1、配置安全保障模块:配置IP地址与端口映射表,使来自合法IP地址的数据可以通过正向隔离设备或反向隔离设备的端口进行转发;
步骤2、启动系统各单元:启动单元包括信息处理单元、数据交互控制单元、人机交互模块;
步骤3、请求端主机发起建立与目的主机的数据连接:在请求端主机的人机交互模块中输入连接命令VCON,由连接请求端主机的协议控制模块的数据交互控制单元封装成VCON报文并发送至目的主机;
步骤4、目的主机响应请求端主机的数据连接请求:连接目的主机的协议控制模块的数据交互控制单元解析请求的连接命令VCON,生成用户标识及反馈报文,通知请求端主机连接已建立,并可以进行下一步操作;
步骤5、请求端主机的获取文件命令的封装:在请求端主机的人机交互模块中输入获取文件命令VGET,连接请求端主机的协议控制模块的数据交互控制单元进行封装命令报文并发送;
步骤6、解析文件获取命令并拆分需传输的文件:连接目的主机的协议控制模块的数据交互控制单元解析命令报文,连接目的主机的协议控制模块的文件处理单元处理需要传输的文件,如果文件的大小超过拆分的阈值,则将文件拆分成多个固定大小的文件,同时生成拆分配置文件;
步骤7、文件传输:连接目的主机的协议控制模块的信息处理单元将命令报文、拆分配置文件、拆分后的数据文件,经隔离设备配置的端口传输给连接请求端主机的协议控制模块的文件处理单元;
步骤8、文件合并:连接请求端主机协议控制模块的文件处理单元解析拆分配置文件,并按照配置文件中的内容恢复文件,并传送给请求端主机;
步骤9、撤销连接:请求端主机的人机交互模块发出退出命令VQUIT,关闭已建立文件传输连接,释放系统资源以及占用的端口。
2.根据权利要求1所述的一种安全隔离文件传输控制方法,其特征在于配置安全保障模块,配置的规则包括IP地址、网络端口、特征码验证、MAC地址绑定。
3.根据权利要求2所述的一种安全隔离文件传输控制方法,其特征在于在请求端主机的人机交互模块中增加任务调度功能的子模块,可以实现多任务、多用户的并发发送文件和下载文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410220748.2A CN103997495A (zh) | 2014-05-23 | 2014-05-23 | 一种安全隔离文件传输控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410220748.2A CN103997495A (zh) | 2014-05-23 | 2014-05-23 | 一种安全隔离文件传输控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103997495A true CN103997495A (zh) | 2014-08-20 |
Family
ID=51311502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410220748.2A Pending CN103997495A (zh) | 2014-05-23 | 2014-05-23 | 一种安全隔离文件传输控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103997495A (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104184823A (zh) * | 2014-09-05 | 2014-12-03 | 北京京东尚科信息技术有限公司 | 一种自动化任务调度的方法和系统 |
| CN105812416A (zh) * | 2014-12-29 | 2016-07-27 | 金蝶软件(中国)有限公司 | 不同网络间传输文件的方法和系统 |
| CN106657014A (zh) * | 2016-11-16 | 2017-05-10 | 东软集团股份有限公司 | 访问数据的方法、装置及系统 |
| CN106973050A (zh) * | 2017-03-23 | 2017-07-21 | 山东中创软件商用中间件股份有限公司 | 一种跨网闸信息共享的方法及装置 |
| CN107634895A (zh) * | 2016-07-19 | 2018-01-26 | 上海诺基亚贝尔股份有限公司 | 用于基于文件或单个消息的批量操作处理方法和设备 |
| CN107888277A (zh) * | 2017-11-17 | 2018-04-06 | 中国航空工业集团公司西安航空计算技术研究所 | 飞机‑地面网络系统文件传输服务通信方法 |
| CN108600185A (zh) * | 2018-03-29 | 2018-09-28 | 武汉虹旭信息技术有限责任公司 | 一种数据安全传输网络系统及其方法 |
| CN108769076A (zh) * | 2018-07-06 | 2018-11-06 | 北京绪水互联科技有限公司 | 具有网络隔离功能的数据采集系统、方法及装置 |
| CN109391644A (zh) * | 2017-08-03 | 2019-02-26 | 蓝盾信息安全技术有限公司 | 一种基于单导设备的智能文件上传、下载和管理技术 |
| CN109525606A (zh) * | 2019-01-04 | 2019-03-26 | 安徽和信科技发展有限责任公司 | 一种基于企业数据采集的物联网安全接入终端 |
| CN109547172A (zh) * | 2018-12-14 | 2019-03-29 | 东莞见达信息技术有限公司 | 数据传输方法、系统及数据发送设备、数据接收设备 |
| CN109639707A (zh) * | 2018-12-27 | 2019-04-16 | 北京奇安信科技有限公司 | 基于网闸的数据传输方法、设备、系统和介质 |
| CN110572357A (zh) * | 2019-07-25 | 2019-12-13 | 中国科学院信息工程研究所 | 一种实现安全信息导出的装置及方法 |
| CN110912940A (zh) * | 2019-12-25 | 2020-03-24 | 普世(南京)智能科技有限公司 | 一种基于双单向交换设备的隔离网络透明业务访问方法及系统 |
| CN111027076A (zh) * | 2019-12-26 | 2020-04-17 | 山西银河电子设备厂 | 一种安全隔离的计算机应用系统及其设计方法 |
| CN112202714A (zh) * | 2020-08-31 | 2021-01-08 | 国网山东省电力公司临沂供电公司 | 一种适用于物联网的轻量型网络安全加密装置及方法 |
| CN112291341A (zh) * | 2020-10-28 | 2021-01-29 | 维沃移动通信有限公司 | 文件传输方法、装置和设备 |
| CN112583918A (zh) * | 2020-12-11 | 2021-03-30 | 广州润普网络科技有限公司 | 内外网文档交互系统、方法及存储介质 |
| CN109639652B (zh) * | 2018-11-22 | 2021-08-27 | 贵州华云创谷科技有限公司 | 一种基于安全隔离的网间数据访问的方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447956A (zh) * | 2009-01-13 | 2009-06-03 | 杭州华三通信技术有限公司 | 一种跨网闸的通信方法和通信系统 |
| CN102006307A (zh) * | 2010-12-16 | 2011-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于应用代理的网管系统隔离控制装置 |
| CN102202055A (zh) * | 2011-04-28 | 2011-09-28 | 广州汇智通信技术有限公司 | 隔离网闸 |
| CN102843352A (zh) * | 2012-05-15 | 2012-12-26 | 广东电网公司茂名供电局 | 在内网和外网之间跨物理隔离透明传输数据的系统和方法 |
| CN103036881A (zh) * | 2012-12-11 | 2013-04-10 | 广东电网公司电力调度控制中心 | 一种对隔离装置统一配置的系统 |
| WO2013159492A1 (zh) * | 2012-04-26 | 2013-10-31 | 华为技术有限公司 | 信息上报与下载的方法及系统 |
| CN204089858U (zh) * | 2014-05-23 | 2015-01-07 | 中国人民解放军理工大学 | 一种安全隔离应用层网关 |
-
2014
- 2014-05-23 CN CN201410220748.2A patent/CN103997495A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447956A (zh) * | 2009-01-13 | 2009-06-03 | 杭州华三通信技术有限公司 | 一种跨网闸的通信方法和通信系统 |
| CN102006307A (zh) * | 2010-12-16 | 2011-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于应用代理的网管系统隔离控制装置 |
| CN102202055A (zh) * | 2011-04-28 | 2011-09-28 | 广州汇智通信技术有限公司 | 隔离网闸 |
| WO2013159492A1 (zh) * | 2012-04-26 | 2013-10-31 | 华为技术有限公司 | 信息上报与下载的方法及系统 |
| CN102843352A (zh) * | 2012-05-15 | 2012-12-26 | 广东电网公司茂名供电局 | 在内网和外网之间跨物理隔离透明传输数据的系统和方法 |
| CN103036881A (zh) * | 2012-12-11 | 2013-04-10 | 广东电网公司电力调度控制中心 | 一种对隔离装置统一配置的系统 |
| CN204089858U (zh) * | 2014-05-23 | 2015-01-07 | 中国人民解放军理工大学 | 一种安全隔离应用层网关 |
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104184823B (zh) * | 2014-09-05 | 2017-11-14 | 北京京东尚科信息技术有限公司 | 一种自动化任务调度的方法和系统 |
| CN104184823A (zh) * | 2014-09-05 | 2014-12-03 | 北京京东尚科信息技术有限公司 | 一种自动化任务调度的方法和系统 |
| CN105812416A (zh) * | 2014-12-29 | 2016-07-27 | 金蝶软件(中国)有限公司 | 不同网络间传输文件的方法和系统 |
| CN105812416B (zh) * | 2014-12-29 | 2019-11-05 | 金蝶软件(中国)有限公司 | 不同网络间传输文件的方法和系统 |
| CN107634895B (zh) * | 2016-07-19 | 2020-09-22 | 上海诺基亚贝尔股份有限公司 | 用于基于文件或单个消息的批量操作处理方法和设备 |
| CN107634895A (zh) * | 2016-07-19 | 2018-01-26 | 上海诺基亚贝尔股份有限公司 | 用于基于文件或单个消息的批量操作处理方法和设备 |
| US10798204B2 (en) | 2016-07-19 | 2020-10-06 | Alcatel Lucent | File based or single message based bulk operation processing method and device |
| CN106657014A (zh) * | 2016-11-16 | 2017-05-10 | 东软集团股份有限公司 | 访问数据的方法、装置及系统 |
| CN106657014B (zh) * | 2016-11-16 | 2020-06-19 | 东软集团股份有限公司 | 访问数据的方法、装置及系统 |
| CN106973050A (zh) * | 2017-03-23 | 2017-07-21 | 山东中创软件商用中间件股份有限公司 | 一种跨网闸信息共享的方法及装置 |
| CN109391644A (zh) * | 2017-08-03 | 2019-02-26 | 蓝盾信息安全技术有限公司 | 一种基于单导设备的智能文件上传、下载和管理技术 |
| CN107888277A (zh) * | 2017-11-17 | 2018-04-06 | 中国航空工业集团公司西安航空计算技术研究所 | 飞机‑地面网络系统文件传输服务通信方法 |
| CN108600185A (zh) * | 2018-03-29 | 2018-09-28 | 武汉虹旭信息技术有限责任公司 | 一种数据安全传输网络系统及其方法 |
| CN108769076B (zh) * | 2018-07-06 | 2023-12-05 | 北京绪水互联科技有限公司 | 具有网络隔离功能的数据采集系统、方法及装置 |
| CN108769076A (zh) * | 2018-07-06 | 2018-11-06 | 北京绪水互联科技有限公司 | 具有网络隔离功能的数据采集系统、方法及装置 |
| CN109639652B (zh) * | 2018-11-22 | 2021-08-27 | 贵州华云创谷科技有限公司 | 一种基于安全隔离的网间数据访问的方法及系统 |
| CN109547172A (zh) * | 2018-12-14 | 2019-03-29 | 东莞见达信息技术有限公司 | 数据传输方法、系统及数据发送设备、数据接收设备 |
| CN109639707A (zh) * | 2018-12-27 | 2019-04-16 | 北京奇安信科技有限公司 | 基于网闸的数据传输方法、设备、系统和介质 |
| CN109639707B (zh) * | 2018-12-27 | 2021-07-09 | 奇安信科技集团股份有限公司 | 基于网闸的数据传输方法、设备、系统和介质 |
| CN109525606B (zh) * | 2019-01-04 | 2021-07-09 | 中通服和信科技有限公司 | 一种基于企业数据采集的物联网安全接入终端 |
| CN109525606A (zh) * | 2019-01-04 | 2019-03-26 | 安徽和信科技发展有限责任公司 | 一种基于企业数据采集的物联网安全接入终端 |
| CN110572357A (zh) * | 2019-07-25 | 2019-12-13 | 中国科学院信息工程研究所 | 一种实现安全信息导出的装置及方法 |
| CN110572357B (zh) * | 2019-07-25 | 2020-09-18 | 中国科学院信息工程研究所 | 一种实现安全信息导出的装置及方法 |
| CN110912940A (zh) * | 2019-12-25 | 2020-03-24 | 普世(南京)智能科技有限公司 | 一种基于双单向交换设备的隔离网络透明业务访问方法及系统 |
| CN111027076A (zh) * | 2019-12-26 | 2020-04-17 | 山西银河电子设备厂 | 一种安全隔离的计算机应用系统及其设计方法 |
| CN112202714A (zh) * | 2020-08-31 | 2021-01-08 | 国网山东省电力公司临沂供电公司 | 一种适用于物联网的轻量型网络安全加密装置及方法 |
| CN112202714B (zh) * | 2020-08-31 | 2022-08-30 | 国网山东省电力公司临沂供电公司 | 一种适用于物联网的轻量型网络安全加密装置及方法 |
| CN112291341A (zh) * | 2020-10-28 | 2021-01-29 | 维沃移动通信有限公司 | 文件传输方法、装置和设备 |
| CN112583918A (zh) * | 2020-12-11 | 2021-03-30 | 广州润普网络科技有限公司 | 内外网文档交互系统、方法及存储介质 |
| CN112583918B (zh) * | 2020-12-11 | 2022-11-18 | 广州润普网络科技有限公司 | 内外网文档交互系统、方法及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103997495A (zh) | 一种安全隔离文件传输控制方法 | |
| CN107070613B (zh) | 分布式网络环境下数据可靠传输方法 | |
| US9319439B2 (en) | Secured wireless session initiate framework | |
| KR101938623B1 (ko) | 오픈 플로우 통신 방법, 시스템, 제어기 및 서비스 게이트웨이 | |
| WO2020159848A1 (en) | Link establishment between a radio equipment controller (rec) and radio equipment (re) in a fronthaul network | |
| EP3073705A1 (en) | Channel establishing method and apparatus | |
| CN102833345A (zh) | 一种设备间共享内容的方法、装置及系统 | |
| CN102497395A (zh) | 断点上传应用控制方法 | |
| CN103825821A (zh) | 一种报文转发方法以及一种网络接入设备 | |
| CN105580334A (zh) | 一种数据传输方法、终端和服务器 | |
| CN109067796A (zh) | 一种数据传输方法及装置 | |
| CN108616547A (zh) | 一种传输文件的方法及装置 | |
| CN106412960A (zh) | 一种实现Wi‑Fi配网的控制方法 | |
| CN103379182A (zh) | 数据传输方法和客户端 | |
| CN109639703A (zh) | 一种基于b/s架构的电台遥控方法及系统 | |
| US10177973B2 (en) | Communication apparatus, communication method, and communication system | |
| CN111385068B (zh) | 数据传输方法、装置、电子设备及通信系统 | |
| CN103442015A (zh) | 一种基于linux虚拟网卡的在无线网络控制器上对capwap隧道数据的处理方法及系统 | |
| CN103546493A (zh) | 一种跨设备通信方法 | |
| CN109089299A (zh) | 一种基于SmartConfig模式让设备注册到云端的配网方法 | |
| CN104509083A (zh) | 通信系统、方法和程序 | |
| WO2013044516A1 (zh) | 网络拨号的方法及装置 | |
| CN105635076A (zh) | 一种媒体传输方法和设备 | |
| CN107566476B (zh) | 一种接入方法、sdn控制器、转发设备及用户接入系统 | |
| CN104935490A (zh) | 基于云端虚拟机的移动互联网终端接入装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140820 |