CN107579971A - 一种基于安全平台的内外网数据交换方法 - Google Patents
一种基于安全平台的内外网数据交换方法 Download PDFInfo
- Publication number
- CN107579971A CN107579971A CN201710776858.0A CN201710776858A CN107579971A CN 107579971 A CN107579971 A CN 107579971A CN 201710776858 A CN201710776858 A CN 201710776858A CN 107579971 A CN107579971 A CN 107579971A
- Authority
- CN
- China
- Prior art keywords
- local terminal
- intranet
- security platform
- request message
- message table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于安全平台的内外网数据交换方法,包括:应用调用本端指令接收组件,发起指令下发消息,指令接收组件将其写入本端请求消息触发器表和本端请求消息表中;安全平台自动同步请求数据到对端请求消息表,对端请求消息表触发器调用对端指令发送组件向真实服务端发送请求;对端指令发送组件收到响应并将数据写入对端响应消息表,安全平台自动同步响应数据到本端响应消息表;本端指令接收组件检测到对应响应消息,构造响应返回应用调用。有益效果:通过在内外网分别部署指令接收、指令发送组件及数据库,借助安全平台的隔离功能及通道功能,既能保证内外网访问数据的安全性,也能实现指令的实时同步,提高内外网指令交互的效率。
Description
技术领域
本发明涉及网络通信技术领域,具体来说,涉及一种基于安全平台的内外网数据交换方法。
背景技术
政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与外网连通,则面临来自公网的各种威胁。安全专家给出的建议是:由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开,所以在公安部的技术要求中,要求电子政务的内、外网络之间“物理隔离”,而这通常需要借助安全平台来实现。
许多安全性要求较高的公司也会通过安全平台采用物理隔离内外网的方式来保证公司内网数据、设备等的安全性。但通常的内外网隔离方式由于其实现原理为物理隔离,因此在数据无法实时交互,导致内外网指令交互时会有滞后,无法实时同步。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中的上述技术问题,本发明提出一种基于安全平台的内外网数据交换方法,能够实现实时指令交互。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种基于安全平台的内外网数据交换方法,包括:
S1应用调用本端指令接收组件,发起指令下发消息,所述指令接收组件将其写入本端请求消息触发器表和本端请求消息表中;
S2安全平台自动同步请求数据到对端请求消息表,对端请求消息表触发器调用对端指令发送组件向真实服务端发送请求;
S3对端指令发送组件收到响应并将数据写入对端响应消息表,安全平台自动同步响应数据到本端响应消息表;
S4本端指令接收组件检测到对应响应消息,构造响应返回应用调用。
作为优选,进一步包括本端指令接收组件删除本端请求消息触发器表、本端请求消息表以及本端响应消息表中对应记录。
作为优选,S1进一步包括所述本端指令接收组件启动定时检测相应消息表是否存在对应流水号的数据。
进一步的,所述请求消息触发器表包括流水号。
进一步的,所述请求消息表包括流水号、HTTP请求方法、请求时间、目的服务URL、请求消息体以及本机IP地址。
进一步的,所述响应消息表包括流水号、响应时间、响应消息体、重试次数以及结果码。
本发明的有益效果:通过在内外网分别部署指令接收、指令发送组件以及关系数据库,借助安全平台的隔离功能及通道功能,既能保证内外网访问数据的安全性,也能实现指令的实时同步,提高内外网指令交互的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例所述的一种基于安全平台的内外网数据交换方法的数据由外向内流向示意图;
图2是根据本发明实施例所述的一种基于安全平台的内外网数据交换方法的实施功能设计图;
图3是根据本发明实施例所述的一种基于安全平台的内外网数据交换方法的组网实施示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,根据本发明实施例所述的一种基于安全平台的内外网数据交换方法,包括:
S1应用调用本端指令接收组件,发起指令下发消息,所述指令接收组件将其写入本端请求消息触发器表和本端请求消息表中;
S2安全平台自动同步请求数据到对端请求消息表,对端请求消息表触发器调用对端指令发送组件向真实服务端发送请求;
S3对端指令发送组件收到响应并将数据写入对端响应消息表,安全平台自动同步响应数据到本端响应消息表;
S4本端指令接收组件检测到对应响应消息,构造响应返回应用调用。
作为优选,进一步包括本端指令接收组件删除本端请求消息触发器表、本端请求消息表以及本端响应消息表中对应记录。
作为优选,S1进一步包括所述本端指令接收组件启动定时检测相应消息表是否存在对应流水号的数据。
进一步的,所述请求消息触发器表包括流水号。
进一步的,所述请求消息表包括流水号、HTTP请求方法、请求时间、目的服务URL、请求消息体以及本机IP地址。
进一步的,所述响应消息表包括流水号、响应时间、响应消息体、重试次数以及结果码。
为了方便理解本发明的上述技术方案,以下通过具体使用方式上对本发明的上述技术方案进行详细说明。
如图1和2所示,在具体使用时,根据本发明所述的一种基于安全平台的内外网数据交换方法,其中:
指令接收组件的功能:
1)指令接收组件部署在前置机和后置机,启动监听端口,分别处理来自外网平台和内网应用平台的主动请求消息;
2)组件接收应用端的REST请求并解析真实目的地址、HTTP方法、请求内容;
3)将解析数据写入本机关系数据库中的<请求消息表>(ORACLE数据库还需写入<请求消息触发器表>),其中为辨识是否本机写入的数据,使用IP地址标记;
4)写入数据库成功,启动定时检测程序,周期性根据的流水号查询<响应消息表>,若检测响应消息存在,取出数据构造响应返回客户端;若检测达到最大时长,向客户端返回异常响应,提示等待响应超时;
5)向客户端完成响应,删除<请求消息表>和<响应消息表>中对应记录数据;
6)指令接受组件负责对关系数据库中失效(超过1天的)的请求消息和响应消息进行删除。
指令发送组件的功能:
1)指令发送程序部署在前置机和后置机,不做服务监听,只接受数据库触发器调用。
2)关系数据库在<请求消息触发器表>创建AFTER INSERT触发器,若基表增加数据,触发器调用指令发送程序处理该记录;
3)指令发送程序连接关系数据库,根据触发参数“流水号”查询<请求消息表>提取请求数据,先判断IP地址标记是否为本机,若为本机程序退出,不做处理;若非本机继续下面处理;
4)指令发送程序根据请求数据,构造向真实服务器发送的请求体,按客户端发送的HTTP方法请求服务器,指令发送程序等待服务器响应,将其写入<响应消息表>;
5)指令发送程序处理请求过程中发现的系统异常和协议异常,使用约定的异常码写入<响应消息表>;
6)指令发送程序判断真实服务器返回的HTTP状态码非成功,将状态码和响应消息体透传返回给客户端。
安全平台提供数据库通道和文件通道,借助于内外网两端的指令接收组件、指令发送组件以及关系数据库,可供内外网进行数据交互。
指令交互流程为:1)应用调用本端指令接收组件发起指令下发消息,组件将其写入本端<请求消息表>,同时启动定时检测<响应消息表>是否存在对应流水号的数据;2)安全平台自动同步请求数据到对端<请求消息表>,对端<请求消息表>触发器调用对端指令发送组件向真实服务端发送请求,阻塞等待响应,收到响应后将数据写入对端<响应消息表>,安全平台自动同步响应数据到本端<响应消息表>;3)本端指令接收组件检测到对应响应消息,构造响应返回应用调用(之后删除请求消息记录和响应消息记录);
另外,借助安全平台本身的功能,仍可实现文件获取:1)环境准备:外网的前置机和内网的后置机分别创建两个FTP账户,一个用于外网向内网传递文件(pro_f2p),一个用于内网向外网传递文件(pro_p2f);2)安全平台配置:安全平台平台配置两个同步服务,一个服务是检测外网前置机账户pro_f2p目录下文件是否增加,若发现增加,将其同步至内网后置机账户pro_f2p指定目录下,并将外网文件删除(子目录会保留);另一个服务是检测内往后置机账户pro_p2f目录下文件是否增加,若发现增加,将其同步至外网前置机pro_p2f指定目录下,并将内网文件删除(子目录会保留)。安全平台平台配置文件同步后删除源端文件,不删除子目录;3)文件上传:外网的平台将数据文件使用FTP-PUT方式(应用平台分配FTP地址、FTP账户、密码、路径),推送到前置机指定目录下;内网的应用平台将数据文件使用FTP-PUT方式(应用平台分配FTP地址、FTP账户、密码、路径),推送到后置机指定目录下;4)文件同步:安全平台平台服务分别检测外网和内网主机指定目录下是否新增文件,若有新增,将其同步到对端指定目录下;删除源端文件。5)文件处理:文件处理分为两类,一类为直接读取文件用于展示;一类是定时业务处理文件,将其内网转移至关系数据库或文件服务器;具体应用由业务选择。
如图3所示,在实际应用中,可采取如下组网方案:
1)组网涉及三个网段,内网网段,外网前置机网卡B所在网段2(具体地址由安全平台分配),外网前置机网卡A所在网段1;
2)应用平台使用安全平台的两种通道方式:
FTP通道:从外网同步非结构化数据(文件);
数据库通道:应用平台与外网实时交互的指令数据;
3)外网设置前置机,部署在互联网机房,服务器安装两张网卡,网卡A对接运营商专线,网卡B对接安全平台设备;内网设置后置机,部署在内网。
综上所述,借助于本发明的上述技术方案,通过在内外网分别部署指令接收、指令发送组件以及关系数据库,借助安全平台的隔离功能及通道功能,既能保证内外网访问数据的安全性,也能实现指令的实时同步,提高内外网指令交互的效率。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于安全平台的内外网数据交换方法,其特征在于,包括:
S1 应用调用本端指令接收组件,发起指令下发消息,所述指令接收组件将其写入本端请求消息触发器表和本端请求消息表中;
S2 安全平台自动同步请求数据到对端请求消息表,对端请求消息表触发器调用对端指令发送组件向真实服务端发送请求;
S3 对端指令发送组件收到响应并将数据写入对端响应消息表,安全平台自动同步响应数据到本端响应消息表;
S4 本端指令接收组件检测到对应响应消息,构造响应返回应用调用。
2.根据权利要求1所述的基于安全平台的内外网数据交换方法,其特征在于,进一步包括本端指令接收组件删除本端请求消息触发器表、本端请求消息表以及本端响应消息表中对应记录。
3.根据权利要求1所述的基于安全平台的内外网数据交换方法,其特征在于,S1进一步包括所述本端指令接收组件启动定时检测相应消息表是否存在对应流水号的数据。
4.根据权利要求1所述的基于安全平台的内外网数据交换方法,其特征在于,所述请求消息触发器表包括流水号。
5.根据权利要求1所述的基于安全平台的内外网数据交换方法,其特征在于,所述请求消息表包括流水号、HTTP请求方法、请求时间、目的服务URL、请求消息体以及本机IP地址。
6.根据权利要求1所述的基于安全平台的内外网数据交换方法,其特征在于,所述响应消息表包括流水号、响应时间、响应消息体、重试次数以及结果码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710776858.0A CN107579971A (zh) | 2017-08-31 | 2017-08-31 | 一种基于安全平台的内外网数据交换方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710776858.0A CN107579971A (zh) | 2017-08-31 | 2017-08-31 | 一种基于安全平台的内外网数据交换方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107579971A true CN107579971A (zh) | 2018-01-12 |
Family
ID=61030444
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710776858.0A Pending CN107579971A (zh) | 2017-08-31 | 2017-08-31 | 一种基于安全平台的内外网数据交换方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107579971A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108616603A (zh) * | 2018-05-15 | 2018-10-02 | 厦门市美亚柏科信息股份有限公司 | 一种内外网数据同步方法和系统 |
| CN111371847A (zh) * | 2020-02-21 | 2020-07-03 | 杭州数梦工场科技有限公司 | 一种支付消息通知系统、业务服务器和支付服务器 |
| CN111770145A (zh) * | 2020-06-17 | 2020-10-13 | 浙江申跃信息科技有限公司 | 一种基于日志解析的单向网络双边数据同步系统及方法 |
| CN111818187A (zh) * | 2020-09-03 | 2020-10-23 | 国网汇通金财(北京)信息科技有限公司 | 一种内外网通信方法及系统 |
| CN112565220A (zh) * | 2020-11-26 | 2021-03-26 | 南京南瑞信息通信科技有限公司 | 一种基于国网隔离装置安全的http服务网关实现方法 |
| CN114598749A (zh) * | 2020-12-17 | 2022-06-07 | 国网信息通信产业集团有限公司 | 一种服务访问方法及装置 |
| CN115460225A (zh) * | 2022-08-10 | 2022-12-09 | 国家电网有限公司客户服务中心 | 内外网数据同步方法及相关设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101256577A (zh) * | 2008-03-18 | 2008-09-03 | 中兴通讯股份有限公司 | 一种嵌入式数据库中触发器的实现方法 |
| CN101820449A (zh) * | 2010-04-20 | 2010-09-01 | 江苏电力调度通信中心 | 跨安全区应用服务隔离平台 |
| CN101819592A (zh) * | 2010-04-19 | 2010-09-01 | 山东高效能服务器和存储研究院 | 一种通用的跨操作系统的海量历史数据处理方法 |
| CN104125240A (zh) * | 2014-08-15 | 2014-10-29 | 国家电网公司 | 一种信息外网、信息内网及内外网数据交互系统和方法 |
| US20160294808A1 (en) * | 2005-01-21 | 2016-10-06 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Authentication of remote host via closed ports |
-
2017
- 2017-08-31 CN CN201710776858.0A patent/CN107579971A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160294808A1 (en) * | 2005-01-21 | 2016-10-06 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Authentication of remote host via closed ports |
| CN101256577A (zh) * | 2008-03-18 | 2008-09-03 | 中兴通讯股份有限公司 | 一种嵌入式数据库中触发器的实现方法 |
| CN101819592A (zh) * | 2010-04-19 | 2010-09-01 | 山东高效能服务器和存储研究院 | 一种通用的跨操作系统的海量历史数据处理方法 |
| CN101820449A (zh) * | 2010-04-20 | 2010-09-01 | 江苏电力调度通信中心 | 跨安全区应用服务隔离平台 |
| CN104125240A (zh) * | 2014-08-15 | 2014-10-29 | 国家电网公司 | 一种信息外网、信息内网及内外网数据交互系统和方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108616603A (zh) * | 2018-05-15 | 2018-10-02 | 厦门市美亚柏科信息股份有限公司 | 一种内外网数据同步方法和系统 |
| CN108616603B (zh) * | 2018-05-15 | 2021-11-02 | 厦门市美亚柏科信息股份有限公司 | 一种内外网数据同步方法和系统 |
| CN111371847A (zh) * | 2020-02-21 | 2020-07-03 | 杭州数梦工场科技有限公司 | 一种支付消息通知系统、业务服务器和支付服务器 |
| CN111770145A (zh) * | 2020-06-17 | 2020-10-13 | 浙江申跃信息科技有限公司 | 一种基于日志解析的单向网络双边数据同步系统及方法 |
| CN111818187A (zh) * | 2020-09-03 | 2020-10-23 | 国网汇通金财(北京)信息科技有限公司 | 一种内外网通信方法及系统 |
| CN111818187B (zh) * | 2020-09-03 | 2021-01-22 | 国网汇通金财(北京)信息科技有限公司 | 一种内外网通信方法及系统 |
| CN112565220A (zh) * | 2020-11-26 | 2021-03-26 | 南京南瑞信息通信科技有限公司 | 一种基于国网隔离装置安全的http服务网关实现方法 |
| CN114598749A (zh) * | 2020-12-17 | 2022-06-07 | 国网信息通信产业集团有限公司 | 一种服务访问方法及装置 |
| CN114598749B (zh) * | 2020-12-17 | 2024-01-09 | 国网信息通信产业集团有限公司 | 一种服务访问方法及装置 |
| CN115460225A (zh) * | 2022-08-10 | 2022-12-09 | 国家电网有限公司客户服务中心 | 内外网数据同步方法及相关设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107579971A (zh) | 一种基于安全平台的内外网数据交换方法 | |
| CN101931626B (zh) | 远程控制过程中实现安全审计功能的服务终端 | |
| CN101605074B (zh) | 基于网络通讯行为特征监测木马的方法与系统 | |
| WO2022083417A1 (zh) | 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品 | |
| CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| US20080196099A1 (en) | Systems and methods for detecting and blocking malicious content in instant messages | |
| CN104994104B (zh) | 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 | |
| US20070124577A1 (en) | Systems and methods for implementing protocol enforcement rules | |
| CN104348914B (zh) | 一种防篡改系统文件同步系统及其方法 | |
| CN106850690B (zh) | 一种蜜罐构造方法及系统 | |
| CN102413105A (zh) | 防范cc攻击的方法和装置 | |
| CN106161395A (zh) | 一种防止暴力破解的方法、装置及系统 | |
| CN104967588A (zh) | 分布式拒绝服务DDoS攻击的防护方法及其装置和系统 | |
| CN101286850A (zh) | 路由器安全防御装置及防御系统和方法 | |
| CN105516129A (zh) | 基于sdn技术实现僵尸网络控制信道阻断的方法和装置 | |
| CN109450841A (zh) | 一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御系统及防御方法 | |
| CN102970330B (zh) | 一种浏览器之间交互的实现方法和装置 | |
| CN106130962A (zh) | 一种报文处理方法和装置 | |
| CN105791269A (zh) | 一种基于数据白名单的信息安全网关 | |
| CN104506559B (zh) | 一种基于Android系统的DDoS防御系统和方法 | |
| CN102694850A (zh) | 一种基于HttpClient技术的系统集成方法 | |
| CN103475491A (zh) | 一种无密码安全登录的远程维护系统和实现方法 | |
| CN103281300B (zh) | 远程文件包含漏洞的识别方法及装置 | |
| CN102143173A (zh) | 防御分布式拒绝服务攻击的方法、系统以及网关设备 | |
| KR100518119B1 (ko) | 네트워크 기반의 보안 솔루션 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180112 |
|
| RJ01 | Rejection of invention patent application after publication |