CN107846405A - 内外网文件互访的控制系统及实现方法 - Google Patents
内外网文件互访的控制系统及实现方法 Download PDFInfo
- Publication number
- CN107846405A CN107846405A CN201711043044.2A CN201711043044A CN107846405A CN 107846405 A CN107846405 A CN 107846405A CN 201711043044 A CN201711043044 A CN 201711043044A CN 107846405 A CN107846405 A CN 107846405A
- Authority
- CN
- China
- Prior art keywords
- file
- intranet
- server
- outer net
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/172—Caching, prefetching or hoarding of files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/176—Support for shared access to files; File sharing support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种内外网文件互访的控制系统,包括:内网文件审查服务器,连接到内网客户端,用于实现文件的审查、扫描及获取相关人员的授权;内网文件服务器,连接内网文件审查服务器,用于进行本地校验,以及根据共享的文件设置对应的缓存策略;外网文件服务器,连接到外网客户端及内网文件服务器,用于完成于外网及内网文件服务器的信息交互。本公开针对性地解决了企业内外网文件互访问题,在增加访问灵活性的同时,降低了工作的复杂度和手动操作的繁琐流程;同时通过设置缓存策略和防盗链策略,并且采用文件校验,大大提高了内外网互访的安全性。
Description
技术领域
本公开涉及互联网安全领域,尤其涉及一种内外网文件互访的控制系统及实现方法。
背景技术
目前大多数公司的内网环境为了保护公司内部文件不被泄露,同时降低公网攻击和泄露等安全风险,限制了内网机器的公网访问,同时内网机器的U盘接口等都无法访问,保护了公司内部保密文件、信息不外传泄露,但是也极大的限制了内网人员的使用灵活性,尤其是开发人员在部署及测试环境时常常无法使用在线工具,如常用的git、pip、yum等在线方式。
现有解决技术主要包含:1.内外网SVN部署方式;2.内外网FTP文件共享方式。首先,这两种技术针对内外网控制完全依赖于账号的权限控制,在使用上非常不灵活。通常普通员工拥有最低的权限,在文件访问共享上比较受限,而团队的核心一般拥有较高的账号权限,自身可以任意的内外网互传文件,虽然有后续的文件审查但是在时效性和安全性上效果并不理想。一方面普通员工需要不断的找核心员工共享文件,无疑增加了核心员工的工作量,分散了精力;另一方面核心员工完全可以将重要代码、文件合并到图片、安装包等文件中共享到公网,然后私自保存,这样便不能有效的针对SVN或者FTP的共享文件进行审查;其次,SVN和FTP的手动工作比较繁琐,在拥有账号权限的同时,文件的共享重度依赖于手动操作。内网的文件共享需要登录、上传、共享文件,外网使用文件也需要切换到外网机器,然后登录、下载、使用文件,非常繁琐。
公开内容
(一)要解决的技术问题
本公开提供了一种内外网文件互访的控制系统及实现方法,以至少部分解决以上所提出的技术问题。
(二)技术方案
根据本公开的一个方面,提供了一种内外网文件互访的控制系统,包括:内网文件审查服务器,连接到内网客户端,用于实现文件的审查、扫描及获取相关人员的授权;内网文件服务器,连接内网文件审查服务器,用于进行本地校验,以及根据共享的文件设置对应的缓存策略;外网文件服务器,连接到外网客户端及内网文件服务器,用于完成于外网及内网文件服务器的信息交互。
在本公开一些实施例中,所述内网文件审查服务器对需要共享的文件进行扫描,记录内网客户端的地址,并将内网客户端的地址及需要共享文件的相关信息发送给相关人员审查,在审查通过后将文件推送给需要获取共享文件的服务器。
在本公开一些实施例中,所述内网客户端的地址包括IP地址和MAC地址,所述文件的相关信息包括文件类型及大小等信息。
在本公开一些实施例中,所述内网文件服务器向外网文件服务器传递信息的过程中携带文件的缓存策略及安全策略,所述外网文件服务器遵循内网文件服务器设置的缓存策略将文件缓存指定的时间,并生成指定时间段的防盗链,通过内网客户端的IP地址和MAC地址的HASH进行key设置;所述内网文件服务器及外网文件服务器均采用Nginx服务器。
根据本公开的另一个方面,提供了一种内外网文件互访的实现方法,采用如上所述的内外网文件互访的控制系统,当内网客户端共享文件到外网时,包括步骤:由内网客户端向文件审查服务器发起申请,并将文件共享到文件审查服务器。内网文件审查服务器记录内网客户端的地址,并将上传的文件进行扫描校验,并将内网客户端的地址及文件的相关信息发给相关人员审核;内网文件审查服务器收到审查通过的信息后将文件推送给内网文件服务器,并根据需共享的文件设置对应缓存策略;内网文件服务器收到文件后,进行本地校验,然后增量同步到外网文件服务器,传递的过程中携带文件的缓存策略及安全策略;外网服务器收到同步过来的文件后,遵循内网服务器的缓存策略,将文件缓存指定的时间,并生成指定时间段的防盗链,通过内网客户端的地址的HASH进行key设置,生效后只有指定的外网客户端可以访问共享的文件资源。
在本公开一些实施例中,所述内网客户端的地址包括IP地址和MAC地址,所述文件的相关信息包括文件类型及大小等信息。
根据本公开的另一个方面,提供了一种内外网文件互访的实现方法,采用前述的内外网文件互访的控制系统,当外网客户端共享文件到内网客户端时,包括步骤:内网客户端向内网文件审查服务器发起申请,经过相关人员审批通过;审批通过后授权外网客户端拥有上传文件到外网文件服务器的权限,外网客户端将要共享的文件上传到外网文件服务器,外网文件服务器将文件同步到内网文件服务器;内网文件服务器将文件推送给内网文件审查服务器,内网文件审查服务器通过文件扫描等手段进行文件安全鉴定,确认安全后授予内网客户端的文件下载权限;内网客户端下载文件。
根据本公开的另一个方面,提供了一种内外网文件互访的实现方法,采用前述的内外网文件互访的控制系统,内外网文件互访时外网客户端使用内网客户端、或者内网客户端使用外网客户端共享文件时,包括步骤:通过内网文件审查服务器记录内网的IP地址和MAC地址,以及需要访问此文件的外网IP地址,同时外网文件服务器根据外网IP地址生成动态防盗链策略,仅允许指定的外网IP地址访问下载共享的文件;外网文件服务器收到外网客户端文件请求时,首先按照约定解析IP地址是否合法,将URL请求中的IP地址解析出来,然后与HTTP请求的原IP进行比较,若一致则验证通过;外网文件服务器将外网请求URL中的时间戳解析,与当前系统时间进行比较,查看请求的文件是否在有效期内,若在,则验证通过。
在本公开一些实施例中,当IP地址比较及查看请求的文件是否在有效期内的验证均通过,请求才是合法的,否则外网文件服务器认为此请求不合法,返回权限拒绝的状态。
在本公开一些实施例中,外网文件服务器根据时间和外网IP地址来生成动态防盗链,外网文件服务器根据外网请求判断是否为合法外网服务器访问此资源,是否在过期时间内访问此文件。
在本公开一些实施例中,所述动态防盗链采用IP序列化算法,为动态的、可根据客户私有密码和自定义属性的加密算法。
(三)有益效果
从上述技术方案可以看出,本公开内外网文件互访的控制系统至少具有以下有益效果其中之一:
(1)通过内外网同时部署一台文件服务器,并在内网部署一台文件审查服务器,针对性地解决了企业内外网文件互访问题,在增加访问灵活性的同时,降低了工作的复杂度和手动操作的繁琐流程;
(2)通过设置缓存策略和防盗链策略,并且采用文件校验,大大提高了内外网互访的安全性。
附图说明
图1为本公开第一实施例内外网文件互访的控制系统的结构示意图。
图2为本公开第二实施例内外网文件互访时内网客户端共享文件到外网的流程图。
图3为本公开第二实施例内外网文件互访时内网客户端共享文件到外网的过程示意图。
图4为本公开第三实施例内外网文件互访时外网客户端共享文件到内网客户端的流程图。
图5为本公开第三实施例内外网文件互访时外网客户端共享文件到内网客户端的过程示意图。
图6为本公开第四实施例内外网文件互访时外网客户端使用内网客户端共享文件的流程图。
具体实施方式
本公开提供了一种内外网文件互访的控制系统。通过在内外网同时部署一台文件服务器,并在内网部署一台文件审查服务器。内外网文件服务器用于文件的共享、缓存、访问控制;内网文件审查服务器用于文件的审查、扫描及获取相关人员的授权,获取授权的人员在指定的时间段内可以将文件共享和下载使用。
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
本公开某些实施例于后方将参照所附附图做更全面性地描述,其中一些但并非全部的实施例将被示出。实际上,本公开的各种实施例可以许多不同形式实现,而不应被解释为限于此数所阐述的实施例;相对地,提供这些实施例使得本公开满足适用的法律要求。
在本公开的第一个示例性实施例中,提供了一种内外网文件互访的控制系统。图1为本公开第一实施例内外网文件互访的控制系统的结构示意图。如图1所示,本公开内外网文件互访的控制系统包括:内网文件审查服务器、内网文件服务器和外网文件服务器。
内网文件审查服务器连接到内网客户端,用于对需要共享的文件进行扫描,记录内网客户端的地址及需要共享文件的相关信息,并将相关信息发送给相关人员审查,在审查通过后将文件推送给需要获取共享文件的服务器。所述内网客户端的地址包括IP地址和MAC地址,所述文件的相关信息包括文件类型及大小等信息;
内网文件服务器连接内网文件审查服务器,用于进行本地校验,以及根据共享的文件设置对应的缓存策略,并与外网文件服务器进行信息传递,传递的过程中携带文件的缓存策略及安全策略;
外网文件服务器连接到外网客户端及内网文件服务器,用于完成于外网及内网文件服务器的信息交互,遵循内网文件服务器设置的缓存策略将文件缓存指定的时间,并生成指定时间段的防盗链,通过内网客户端的地址的HASH进行key设置,所述内网客户端的地址包括IP地址和MAC地址;
所述内网文件服务器及外网文件服务器可以采用Nginx服务器、apache服务器等。
本实施例一种内外网文件互访的控制系统通过在内外网同时部署一台文件服务器,并在内网部署一台文件审查服务器。通过内外网文件服务器实现文件的共享、缓存、访问控制;以及通过文件审查服务器实现文件的审查、扫描及获取相关人员的授权,从而获取授权的人员在指定的时间段内可以进行内外网文件互访操作,在增加访问灵活性的同时,降低了工作的复杂度和手动操作的繁琐流程,并通过设置缓存策略和防盗链策略,采用文件校验,大大提高了内外网互访的安全性。
至此,本公开第一实施例内外网文件互访的控制系统介绍完毕。
在本公开的第二个示例性实施例中,提供了一种内外网文件互访的控制方法。图2为本公开第二实施例内外网文件互访时内网客户端共享文件到外网的流程图。图3为本公开第二实施例内外网文件互访时内网客户端共享文件到外网的过程示意图。如图2-3所示,当内网客户端共享文件到外网时,包括以下步骤:
步骤A,当内网客户端需要向外网客户端共享文件时,首先由内网客户端向文件审查服务器发起申请,并将文件共享到文件审查服务器。文件审查服务器记录内网客户端的IP地址和MAC地址,并将上传的文件进行扫描校验,并发给相关人员审核,即内网文件审查服务器将IP地址、MAC地址、文件类型及大小等信息传递给团队核心负责人以及部门领导,部门领导审批通过后内网文件审查服务器准许共享文件到公网,请参见图3中过程顺序标号1-2-3-4-5。
步骤B,内网文件审查服务器收到审查通过的信息后将文件推送给内网文件服务器,并根据新共享的文件设置对应缓存策略,如缓存6小时或者1天或者1周,请参见图3中过程顺序标号6。
步骤C,内网文件服务器收到文件后,进行本地校验,然后增量同步到外网文件服务器,传递的过程中携带文件的缓存策略及安全策略,请参见图3中过程顺序标号7。
步骤D,外网服务器收到同步过来的文件后,遵循内网服务器的缓存策略,将文件缓存指定的时间,并生成指定时间段的防盗链,通过IP地址和MAC地址的HASH进行key设置,生效后只有指定的外网客户端可以访问共享的文件资源。请参见图3中过程顺序标号8。
至此,本公开第二实施例内外网文件互访的控制方法介绍完毕。
在本公开的第三个示例性实施例中,提供了一种内外网文件互访的控制方法。图4为本公开第三实施例内外网文件互访时外网客户端共享文件到内网客户端的流程图。图5为本公开第三实施例内外网文件互访时外网客户端共享文件到内网客户端的过程示意图。如图4-5所示,当外网客户端共享文件到内网客户端时,包括以下步骤:
步骤A,当内网客户端需要使用外网客户端的文件时,首先向内网文件审查服务器发起申请,经过核心负责人和部门领导审批通过;请参见图5中过程顺序标号1-2-3-4-5。
步骤B,审批通过后授权外网客户端拥有上传文件到外网文件服务器的权限,外网客户端将要共享的文件上传到外网文件服务器,外网文件服务器将文件同步到内网文件服务器;请参见图5中过程顺序标号6-7
步骤C,内网文件服务器将文件推送给内网文件审查服务器,文件审查服务器通过文件扫描等手段进行文件安全鉴定,确认安全后授予内网客户端的文件下载权限;请参见图5中过程顺序标号8。
步骤D,内网客户端下载文件。
为了达到简要说明的目的,上述实施例中任何可作相同应用的技术特征叙述皆并于此,无需再重复相同叙述。
至此,本公开第三实施例内外网文件互访的控制方法介绍完毕。
在本公开的第四个示例性实施例中,提供了一种内外网文件互访时外网客户端使用内网客户端、或者内网客户端使用外网客户端共享文件的方法。图6为本公开第四实施例内外网文件互访时外网客户端使用内网客户端共享文件的流程图。如图6所示,当外网客户端使用内网客户端共享文件,包括以下步骤:
步骤A,通过内网文件审查服务器记录内网的IP地址和MAC地址,以及需要访问此文件的外网IP地址,同时外网文件服务器根据外网IP地址生成动态防盗链策略,仅允许指定的外网IP地址访问下载共享的文件;
所述外网文件服务器根据时间和外网IP地址来生成动态防盗链,外网文件服务器根据外网请求判断是否为合法外网服务器访问此资源,是否在过期时间内访问此文件。
所述动态防盗链IP序列化算法为一种动态的、可根据客户私有密码和自定义属性的加密算法。在本公开一实施例中,用于认证及权限控制的令牌(Token)生成的过程如下:
假设外网用户需要访问的文件为:HTTP://192.168.6.6/doc/squid.doc
内网客户端共享此文件时,申请的访问时间为1小时,此时外网服务器同时设置缓存策略和防盗链策略,设置为1小时后文件失效。下述为外网服务的文件请求地址的生成过程:
算法中涉及到的参数包括:
1.由系统管理员约定秘钥(secret),秘钥:ykktop;
2.由文件共享人员约定共享时间周期,共享时间(etime):60分钟,计算共享周期的时间戳:当前时间戳1495609090(UNIX时间戳)+3600秒;
3.标记用户上传的共享文件的路径和文件名称,作为被访问文档的URI路径,例如/doc/squid.doc;
4.由文档共享人员设置外网可以访问此共享文档的IP地址:
192.168.6.84;
5.将点分十进制格式的IP转换为十进制数字,转换过程如下:
192*256*256*256+168*256*256*6*256+84=3232237140;
6.生成签名(Sign),签名取秘钥、共享周期时间、文件URI路径以及外网可访问共享文件的IP地址的MD5值作为签名。例如:
Sign=MD5(secret&etime&URI&IP)
=b3c197276d73664f71289bb9b044db29;
7.取上述5步骤的数字、6步骤签名的开始4位和末尾4位以及2步骤的共享周期作为文件请求的动态参数,参数以_bw标示,例如:
_bw=IP+Sgin{开始4位+末尾4位}+etime
结果为3232237140b3c1db291495609090;
8.生成最终外网访问的URL,如下:
HTTP://192.168.6.6/doc/squid.doc?_bw=3232237140b3c1db291495609090。
步骤B,外网文件服务器收到外网客户端(192.168.6.84)文件请求时,首先按照约定解析IP地址是否合法,将URL请求中的IP地址解析出来,然后与HTTP请求的原IP进行比较,若一致则验证通过;
步骤C,外网文件服务器将外网请求URL中的时间戳解析,与当前系统时间进行比较,查看请求的文件是否在有效期内,若在,则验证通过。
需要注意的是,如果上述步骤B、C两个步骤均验证通过,请求才是合法的,否则外网文件服务器认为此请求不合法,返回权限拒绝的HTTP403状态,认为权限不足。
至此,本公开第四实施例内外网文件互访的控制方法介绍完毕。
至此,已经结合附图对本公开实施例进行了详细描述。需要说明的是,在附图或说明书正文中,未绘示或描述的实现方式,均为所属技术领域中普通技术人员所知的形式,并未进行详细说明。此外,上述对各元件和方法的定义并不仅限于实施例中提到的各种具体结构、形状或方式,本领域普通技术人员可对其进行简单地更改或替换。
再者,单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。
此外,除非特别描述或必须依序发生的步骤,上述步骤的顺序并无限制于以上所列,且可根据所需设计而变化或重新安排。并且上述实施例可基于设计及可靠度的考虑,彼此混合搭配使用或与其他实施例混合搭配使用,即不同实施例中的技术特征可以自由组合形成更多的实施例。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本公开也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本公开的内容,并且上面对特定语言所做的描述是为了披露本公开的最佳实施方式。
本公开可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。本公开的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本公开实施例的相关设备中的一些或者全部部件的一些或者全部功能。本公开还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本公开的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。并且,在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。
类似地,应当理解,为了精简本公开并帮助理解各个公开方面中的一个或多个,在上面对本公开的示例性实施例的描述中,本公开的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本公开要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,公开方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本公开的单独实施例。
以上所述的具体实施例,对本公开的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本公开的具体实施例而已,并不用于限制本公开,凡在本公开的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种内外网文件互访的控制系统,包括:
内网文件审查服务器,连接到内网客户端,用于实现文件的审查、扫描及获取相关人员的授权;
内网文件服务器,连接内网文件审查服务器,用于进行本地校验,以及根据共享的文件设置对应的缓存策略;
外网文件服务器,连接到外网客户端及内网文件服务器,用于完成于外网及内网文件服务器的信息交互。
2.根据权利要求1所述的控制系统,其中,
所述内网文件审查服务器对需要共享的文件进行扫描,记录内网客户端的地址,并将内网客户端的地址及需要共享文件的相关信息发送给相关人员审查,在审查通过后将文件推送给需要获取共享文件的服务器。
3.根据权利要求2所述的控制系统,所述内网客户端的地址包括IP地址和MAC地址,所述文件的相关信息包括文件类型及大小信息。
4.根据权利要求3所述的控制系统,其中,
所述内网文件服务器及外网文件服务器均采用Nginx服务器;
所述内网文件服务器向外网文件服务器传递信息的过程中携带文件的缓存策略及安全策略,所述外网文件服务器遵循内网文件服务器设置的缓存策略将文件缓存指定的时间,并生成指定时间段的防盗链,通过内网客户端的IP地址和MAC地址的HASH进行key设置。
5.一种内外网文件互访的实现方法,采用如权利要求1-4中任一项所述的内外网文件互访的控制系统,当内网客户端共享文件到外网时,包括步骤:
由内网客户端向文件审查服务器发起申请,并将文件共享到文件审查服务器,内网文件审查服务器记录内网客户端的地址,并将上传的文件进行扫描校验,并将内网客户端的地址及文件的相关信息发给相关人员审核;
内网文件审查服务器收到审查通过的信息后将文件推送给内网文件服务器,并根据需共享的文件设置对应缓存策略;
内网文件服务器收到文件后,进行本地校验,然后增量同步到外网文件服务器,传递的过程中携带文件的缓存策略及安全策略;
外网服务器收到同步过来的文件后,遵循内网服务器的缓存策略,将文件缓存指定的时间,并生成指定时间段的防盗链,通过内网客户端的地址的HASH进行key设置,生效后只有指定的外网客户端可以访问共享的文件资源。
6.根据权利要求5所述的实现方法,所述内网客户端的地址包括IP地址和MAC地址,所述文件的相关信息包括文件类型及大小信息。
7.一种内外网文件互访的实现方法,采用如权利要求1-4中任一项所述的内外网文件互访的控制系统,当外网客户端共享文件到内网客户端时,包括步骤:
内网客户端向内网文件审查服务器发起申请,经过相关人员审批通过;
审批通过后授权外网客户端拥有上传文件到外网文件服务器的权限,外网客户端将要共享的文件上传到外网文件服务器,外网文件服务器将文件同步到内网文件服务器;
内网文件服务器将文件推送给内网文件审查服务器,内网文件审查服务器通过文件扫描手段进行文件安全鉴定,确认安全后授予内网客户端的文件下载权限;
内网客户端下载文件。
8.一种内外网文件互访的实现方法,采用如权利要求1-4中任一项所述的内外网文件互访的控制系统,内外网文件互访时外网客户端使用内网客户端时,包括步骤:
通过内网文件审查服务器记录内网的IP地址和MAC地址,以及需要访问此文件的外网IP地址,同时外网文件服务器根据外网IP地址生成动态防盗链策略,仅允许指定的外网IP地址访问下载共享的文件;
外网文件服务器收到外网客户端文件请求时,首先按照约定解析IP地址是否合法,将URL请求中的IP地址解析出来,然后与HTTP请求的原IP进行比较,若一致则验证通过;
外网文件服务器将外网请求URL中的时间戳解析,与当前系统时间进行比较,查看请求的文件是否在有效期内,若在,则验证通过。
9.根据权利要求8所述的实现方法,当IP地址比较及查看请求的文件是否在有效期内的验证均通过,请求才是合法的,否则外网文件服务器认为此请求不合法,返回权限拒绝的状态。
10.根据权利要求9所述的实现方法,外网文件服务器根据时间和外网IP地址来生成动态防盗链,外网文件服务器根据外网请求判断是否为合法外网服务器访问此资源,是否在过期时间内访问此文件;优选地,所述动态防盗链采用IP序列化算法,为动态的、可根据客户私有密码和自定义属性的加密算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711043044.2A CN107846405B (zh) | 2017-10-31 | 2017-10-31 | 内外网文件互访的控制系统及实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711043044.2A CN107846405B (zh) | 2017-10-31 | 2017-10-31 | 内外网文件互访的控制系统及实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107846405A true CN107846405A (zh) | 2018-03-27 |
| CN107846405B CN107846405B (zh) | 2020-11-10 |
Family
ID=61682023
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711043044.2A Active CN107846405B (zh) | 2017-10-31 | 2017-10-31 | 内外网文件互访的控制系统及实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107846405B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109299617A (zh) * | 2018-09-19 | 2019-02-01 | 中国农业银行股份有限公司贵州省分行 | 一种文件加密及解密系统 |
| CN109743405A (zh) * | 2019-02-20 | 2019-05-10 | 高新兴科技集团股份有限公司 | 负载均衡文件上传方法、系统、计算机存储介质及设备 |
| CN109922041A (zh) * | 2019-01-18 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 一种文件数据接入系统、方法及电子设备 |
| CN110572358A (zh) * | 2019-07-30 | 2019-12-13 | 重庆小雨点小额贷款有限公司 | 数据泄露处理方法、装置、电子设备及存储介质 |
| CN110825895A (zh) * | 2019-11-07 | 2020-02-21 | 威创集团股份有限公司 | 一种隔离信息可视化融合方法及桌面图像处理器 |
| CN111049907A (zh) * | 2019-12-12 | 2020-04-21 | 杭州安恒信息技术股份有限公司 | 一种文件传输方法、装置、系统、设备及可读存储介质 |
| CN112153115A (zh) * | 2020-08-28 | 2020-12-29 | 苏州浪潮智能科技有限公司 | 一种内外网文件传输审核方法和装置 |
| CN112347050A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 文件跨网传输方法、装置、计算机设备和存储介质 |
| CN113032354A (zh) * | 2021-03-31 | 2021-06-25 | 广东电网有限责任公司 | 内外网应用间数据共享与实时高频交互方法 |
| CN113704781A (zh) * | 2021-07-23 | 2021-11-26 | 平安银行股份有限公司 | 文件安全传输方法、装置、电子设备及计算机存储介质 |
| CN114205124A (zh) * | 2021-11-22 | 2022-03-18 | 广西电网有限责任公司 | 一种企业级文件交互应用管理系统 |
| CN114866537A (zh) * | 2022-05-31 | 2022-08-05 | 山东省计算中心(国家超级计算济南中心) | 一种跨主机跨网络的文件传输方法及系统 |
| CN115277672A (zh) * | 2022-07-04 | 2022-11-01 | 中山大学肿瘤防治中心(中山大学附属肿瘤医院、中山大学肿瘤研究所) | 一种医院文件的跨网传输方法、装置及系统 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801824A (zh) * | 2006-01-16 | 2006-07-12 | 北京北方烽火科技有限公司 | 一种web服务防盗链方法 |
| CN102571597A (zh) * | 2012-02-06 | 2012-07-11 | 北京蓝汛通信技术有限责任公司 | 一种点对点协议系统中控制网络流量的方法 |
| CN102685086A (zh) * | 2011-04-14 | 2012-09-19 | 天脉聚源(北京)传媒科技有限公司 | 一种文件访问方法和系统 |
| CN103024082A (zh) * | 2013-01-04 | 2013-04-03 | 福建星网视易信息系统有限公司 | 一种用于数字媒体分发的点对点通信方法 |
| CN103561091A (zh) * | 2013-10-31 | 2014-02-05 | 上海上讯信息技术有限公司 | 文档外发控制系统及方法 |
| CN103701796A (zh) * | 2013-12-23 | 2014-04-02 | 山东中创软件商用中间件股份有限公司 | 一种基于hash技术的防盗链系统和方法 |
| CN104009989A (zh) * | 2014-05-22 | 2014-08-27 | Tcl集团股份有限公司 | 一种媒体文件的防盗链方法、系统及服务器 |
| CN105208043A (zh) * | 2015-10-13 | 2015-12-30 | 网易(杭州)网络有限公司 | 外网代理模块、内网代理模块、数据传输方法及系统 |
| US20160285991A1 (en) * | 2015-03-26 | 2016-09-29 | International Business Machines Corporation | Collaborative based caching |
| CN105991520A (zh) * | 2015-01-29 | 2016-10-05 | 朗新科技股份有限公司 | 内外网交互方法及系统 |
| CN106230870A (zh) * | 2016-10-13 | 2016-12-14 | 成都东方盛行电子有限责任公司 | 私有协议文件传输系统与方法 |
| CN107026828A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团辽宁有限公司 | 一种基于互联网缓存的防盗链方法及互联网缓存 |
| CN107026850A (zh) * | 2017-03-17 | 2017-08-08 | 江苏曙光信息技术有限公司 | 一种内外网文档交互方法 |
| CN107277026A (zh) * | 2017-06-29 | 2017-10-20 | 福建天泉教育科技有限公司 | 一种内网访问方法及终端 |
-
2017
- 2017-10-31 CN CN201711043044.2A patent/CN107846405B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801824A (zh) * | 2006-01-16 | 2006-07-12 | 北京北方烽火科技有限公司 | 一种web服务防盗链方法 |
| CN102685086A (zh) * | 2011-04-14 | 2012-09-19 | 天脉聚源(北京)传媒科技有限公司 | 一种文件访问方法和系统 |
| CN102571597A (zh) * | 2012-02-06 | 2012-07-11 | 北京蓝汛通信技术有限责任公司 | 一种点对点协议系统中控制网络流量的方法 |
| CN103024082A (zh) * | 2013-01-04 | 2013-04-03 | 福建星网视易信息系统有限公司 | 一种用于数字媒体分发的点对点通信方法 |
| CN103561091A (zh) * | 2013-10-31 | 2014-02-05 | 上海上讯信息技术有限公司 | 文档外发控制系统及方法 |
| CN103701796A (zh) * | 2013-12-23 | 2014-04-02 | 山东中创软件商用中间件股份有限公司 | 一种基于hash技术的防盗链系统和方法 |
| CN104009989A (zh) * | 2014-05-22 | 2014-08-27 | Tcl集团股份有限公司 | 一种媒体文件的防盗链方法、系统及服务器 |
| CN105991520A (zh) * | 2015-01-29 | 2016-10-05 | 朗新科技股份有限公司 | 内外网交互方法及系统 |
| US20160285991A1 (en) * | 2015-03-26 | 2016-09-29 | International Business Machines Corporation | Collaborative based caching |
| CN105208043A (zh) * | 2015-10-13 | 2015-12-30 | 网易(杭州)网络有限公司 | 外网代理模块、内网代理模块、数据传输方法及系统 |
| CN107026828A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团辽宁有限公司 | 一种基于互联网缓存的防盗链方法及互联网缓存 |
| CN106230870A (zh) * | 2016-10-13 | 2016-12-14 | 成都东方盛行电子有限责任公司 | 私有协议文件传输系统与方法 |
| CN107026850A (zh) * | 2017-03-17 | 2017-08-08 | 江苏曙光信息技术有限公司 | 一种内外网文档交互方法 |
| CN107277026A (zh) * | 2017-06-29 | 2017-10-20 | 福建天泉教育科技有限公司 | 一种内网访问方法及终端 |
Non-Patent Citations (1)
| Title |
|---|
| 黄影等: "基于HIS的安全数据交换系统的研究与实现", 《中国医疗设备》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109299617A (zh) * | 2018-09-19 | 2019-02-01 | 中国农业银行股份有限公司贵州省分行 | 一种文件加密及解密系统 |
| CN109922041A (zh) * | 2019-01-18 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 一种文件数据接入系统、方法及电子设备 |
| CN109743405B (zh) * | 2019-02-20 | 2022-01-25 | 高新兴科技集团股份有限公司 | 负载均衡文件上传方法、系统、计算机存储介质及设备 |
| CN109743405A (zh) * | 2019-02-20 | 2019-05-10 | 高新兴科技集团股份有限公司 | 负载均衡文件上传方法、系统、计算机存储介质及设备 |
| CN110572358A (zh) * | 2019-07-30 | 2019-12-13 | 重庆小雨点小额贷款有限公司 | 数据泄露处理方法、装置、电子设备及存储介质 |
| CN110825895B (zh) * | 2019-11-07 | 2022-06-21 | 威创集团股份有限公司 | 一种隔离信息可视化融合方法及桌面图像处理器 |
| CN110825895A (zh) * | 2019-11-07 | 2020-02-21 | 威创集团股份有限公司 | 一种隔离信息可视化融合方法及桌面图像处理器 |
| CN111049907A (zh) * | 2019-12-12 | 2020-04-21 | 杭州安恒信息技术股份有限公司 | 一种文件传输方法、装置、系统、设备及可读存储介质 |
| CN112153115A (zh) * | 2020-08-28 | 2020-12-29 | 苏州浪潮智能科技有限公司 | 一种内外网文件传输审核方法和装置 |
| CN112347050A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 文件跨网传输方法、装置、计算机设备和存储介质 |
| CN113032354A (zh) * | 2021-03-31 | 2021-06-25 | 广东电网有限责任公司 | 内外网应用间数据共享与实时高频交互方法 |
| CN113704781A (zh) * | 2021-07-23 | 2021-11-26 | 平安银行股份有限公司 | 文件安全传输方法、装置、电子设备及计算机存储介质 |
| CN113704781B (zh) * | 2021-07-23 | 2023-05-26 | 平安银行股份有限公司 | 文件安全传输方法、装置、电子设备及计算机存储介质 |
| CN114205124A (zh) * | 2021-11-22 | 2022-03-18 | 广西电网有限责任公司 | 一种企业级文件交互应用管理系统 |
| CN114866537A (zh) * | 2022-05-31 | 2022-08-05 | 山东省计算中心(国家超级计算济南中心) | 一种跨主机跨网络的文件传输方法及系统 |
| CN114866537B (zh) * | 2022-05-31 | 2023-08-04 | 山东省计算中心(国家超级计算济南中心) | 一种跨主机跨网络的文件传输方法及系统 |
| CN115277672A (zh) * | 2022-07-04 | 2022-11-01 | 中山大学肿瘤防治中心(中山大学附属肿瘤医院、中山大学肿瘤研究所) | 一种医院文件的跨网传输方法、装置及系统 |
| CN115277672B (zh) * | 2022-07-04 | 2024-03-01 | 中山大学肿瘤防治中心(中山大学附属肿瘤医院、中山大学肿瘤研究所) | 一种医院文件的跨网传输方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107846405B (zh) | 2020-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107846405A (zh) | 内外网文件互访的控制系统及实现方法 | |
| US20190207813A1 (en) | Device provisioning system | |
| US8171108B2 (en) | System and method for providing remote forensics capability | |
| US20210314250A1 (en) | Auto re-segmentation to assign new applications in a microsegmented network | |
| US8078692B2 (en) | Method of loading files from a client to a target server and device for implementing the method | |
| US8713688B2 (en) | Automated security analysis for federated relationship | |
| CN104850775B (zh) | 一种应用程序安全性的鉴定方法和装置 | |
| DE112010004135T5 (de) | Sicherung Asynchroner Client-Server-Transaktionen | |
| CN109165500A (zh) | 一种基于跨域技术的单点登录认证系统及方法 | |
| CN108028840A (zh) | 实现建立安全的对等连接 | |
| CN107105033A (zh) | 云应用访问方法、云代理服务器及云应用访问系统 | |
| Broad et al. | Hacking with Kali: practical penetration testing techniques | |
| DE112011100196B4 (de) | Verfahren, Vorrichtung und Computerprogrammprodukt zum Überprüfen von sicheren Daten | |
| CN111786795B (zh) | 域名注册方法、域名监管方法、客户端及域名监管终端 | |
| Johansen et al. | Kali Linux 2–Assuring Security by Penetration Testing | |
| CN116305287A (zh) | 一种防止泄密的文件管理方法 | |
| Hood et al. | IT Security Plan for Flight Simulation Program | |
| Hampton et al. | A survey and method for analysing soho router firmware currency | |
| CN104580433B (zh) | 收藏夹数据的调取方法和装置 | |
| Lohmöller et al. | Poster: bridging trust gaps: data usage transparency in federated data ecosystems | |
| Kaksonen et al. | Transparent security method for automating IoT security assessments | |
| Romli et al. | Storage Area Network Architecture to support the Flexibility of Digital Evidence Storage | |
| Wang et al. | Re-check your certificates! experiences and lessons learnt from real-world HTTPS certificate deployments | |
| Mohammad et al. | A multi-layer security enabled quality of service (QoS) management architecture | |
| Bellman | On Security Best Practices, Systematic Analysis of Security Advice, and Internet of Things Devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |