CN108234523B - 一种应用于电视台的多层次内外网数据交互系统 - Google Patents

一种应用于电视台的多层次内外网数据交互系统 Download PDF

Info

Publication number
CN108234523B
CN108234523B CN201810189130.2A CN201810189130A CN108234523B CN 108234523 B CN108234523 B CN 108234523B CN 201810189130 A CN201810189130 A CN 201810189130A CN 108234523 B CN108234523 B CN 108234523B
Authority
CN
China
Prior art keywords
dmz
interaction
cloud
transmission
external network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810189130.2A
Other languages
English (en)
Other versions
CN108234523A (zh
Inventor
顾建国
苏琦
吴昊
马晨阳
王亮
陆正军
张婧瑶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Broadcasting Corp
Original Assignee
Jiangsu Broadcasting Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Broadcasting Corp filed Critical Jiangsu Broadcasting Corp
Priority to CN201810189130.2A priority Critical patent/CN108234523B/zh
Publication of CN108234523A publication Critical patent/CN108234523A/zh
Application granted granted Critical
Publication of CN108234523B publication Critical patent/CN108234523B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]

Abstract

应用于电视台的多层次内外网数据交互系统,在私有云与公有云之间设有如下构造;私有云连接的出口交换机通过电视台的主干平台、数据摆渡系统至中心交换机,中心交换机再连接公有云;私有云与公有云消息交互数据库同步构造是:私有云由出口交换机通过DMZ区的数据摆渡系统连接到中心交换机;DMZ区包括互联交换机、及网闸,数据摆渡系统是符合Infiniband协议的文件杀毒、文件头解析、用户鉴权模块。内外网媒体数据交互通过安全摆渡系统实现,内外网消息交互通过DMZ区实现。

Description

一种应用于电视台的多层次内外网数据交互系统
一、技术领域
本发明涉及一种在电视台内部建立的多层次内外网数据交互系统,兼顾了交互带宽及安全实时性要求。
二、背景技术
在当前媒体融合进程中,技术系统架构逐步向云平台转变,云平台按需分配、弹性扩展等特性给融合媒体业务的开展提供了极大便利,但同时也带来了一些新的挑战。
很多融合媒体业务的开展需要通过互联网对外提供服务,而电视台内部的私有云或传统制播网跟互联网又完全隔离,但在融合媒体业务开展过程中,内外网需要进行文件和消息交互。
本发明建立内外网多层次安全交互通道,兼顾了交互带宽及实时性要求。内外网视频类大文件交互通过安全摆渡系统实现,安全摆渡系统底层基于infiniband实现,infiniBand架构是一种支持多并发链接的"转换线缆"技术,在这种技术中,每种链接都可以达到2.5Gbps的运行速度。Infiniband开放标准技术简化并加速了服务器之间的连接,同时支持服务器与远程存储和网络设备的连接。Infiniband大量用于FC/IP SAN、NAS和服务器之间的连接,作为iSCSI RDMA的存储协议iSER已被IETF标准化。目前EMC全系产品已经切换到Infiniband组网;InfiniBand采用虚通道(VL即Virtual Lanes)方式来实现QoS,虚通道是一些共享一条物理链接的相互分立的逻辑通信链路,每条物理链接可支持多达15条的标准虚通道和一条管理通道(VL15)。InfiniBand也是一种分层协议(类似TCP/IP协议),每层负责不同的功能,下层为上层服务,不同层次相互独立。IB采用IPv6的报头格式。其数据包报头包括本地路由标识符LRH,全局路由标示符GRH,基本传输标识符BTH等。
infiniband灵活支持直连及交换机多种组网方式,主要用于HPC高性能计算场景,大型数据中心高性能存储等场景,HPC应用的共同诉求是低时延(<10微秒)、低CPU占有率(<10%)和高带宽(主流56或100Gbps);一方面Infiniband在主机侧采用RDMA技术释放CPU负载,可以把主机内数据处理的时延从几十微秒降低到1微秒;另一方面InfiniBand网络的高带宽(40G、56G和100G)、低时延(几百纳秒)和无丢包特性吸取了FC网络的可靠性和以太网的灵活扩展能力。
三、发明内容
本发明目的是,提出一种应用于电视台的多层次内外网数据交互系统,建立内外网多层次安全交互通道,兼顾了交互带宽及实时性要求。内外网视频类大文件交互通过安全摆渡系统实现,安全摆渡系统底层基于infiniband实现,流程里包括文件杀毒、文件头解析、用户鉴权等功能模块;内外网消息交互通过DMZ区实现(包含防火墙、入侵检测设备、Web应用防火墙、网闸等安全设备),交互实时性强,此外DMZ区还可实现内外网数据库的实时同步。
本发明的技术方案是:应用于电视台的多层次内外网数据交互系统,在私有云与公有云之间有如下构造;私有云连接的出口交换机通过电视台的主干平台、数据摆渡系统至中心交换机,中心交换机再连接公有云;私有云与公有云消息交互数据库同步构造是:私有云由出口交换机通过DMZ区的数据摆渡系统连接到中心交换机;DMZ区包括互联交换机、及网闸,数据摆渡系统是符合Infiniband协议的文件杀毒、文件头解析、用户鉴权模块。
基于上述构造建立多层次安全交互通道,内外网媒体数据交互通过安全摆渡系统实现,内外网消息交互通过DMZ区实现;所述安全摆渡系统底层基于Infiniband实现;
内外网消息交互通过DMZ区实现过程:DMZ区还设有防火墙、入侵检测设备、Web应用防火墙、网闸等安全设备。
外网向内网传输大文件,先后经过“传输申请”、“转发申请”、“文件下载”、“解析、杀毒、传输”、“目标通知”、“转发通知”、“传输反馈”、“转发反馈”、“修改传输任务状态”、“传输反馈”、“转发反馈”等流程环节;
内网向外网传输大文件,先后经过“传输申请”、“转发申请”、“文件下载”、“解析、杀毒、传输”、“目标通知”、“转发通知”、“传输反馈”、“转发反馈”、“修改传输任务状态”、“传输反馈”、“转发反馈”等流程环节。
进一步的,外网发起与内网进行消息交互,先后经过“内网提供目的IP和端口给DMZ区”、“DMZ区通过网闸进行IP地址及端口映射”、“DMZ区将映射后的IP地址及端口提供给外网”、“外网访问DMZ区提供的IP地址及端口”、“DMZ区通过防火墙、IPS、WAF对消息内容进行访问控制、入侵检测、恶意代码防范等”、“外网消息经DMZ区发送至内网”等流程环节;
进一步的,内网发起与外网进行消息交互,先后经过“外网提供目的IP和端口给DMZ区”、“DMZ区通过网闸进行IP地址及端口映射”、“DMZ区将映射后的IP地址及端口提供给内网”、“内网访问DMZ区提供的IP地址及端口”、“DMZ区通过防火墙、IPS、WAF对消息内容进行访问控制、入侵检测、恶意代码防范等”、“内网消息经DMZ区发送至内网”等流程环节。
本发明兼顾了交互带宽及安全实时性要求。可建立多层次安全交互通道,内外网消息交互通过DMZ区实现,内外网媒体数据交互通过安全摆渡系统实现,视频类大文件的安全摆渡系统底层基于Infiniband技术实现,流程里包含了文件杀毒、文件头解析、用户鉴权等模块。
有益效果:本发明是通过DMZ区实现,DMZ区(DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带)部署有防火墙、入侵防御设备、Web应用防火墙、网闸等安全设备,实现了访问控制、恶意代码防范、入侵检测、网络层隔离等功能,交互实时性强。
四、附图说明:
图1为公有云与私有云互相转移即内外网消息交互系统图;
图2为公有云/办公网到私有云的大文件交互流程;
图3为私有云到公有云/办公网的大文件交互流程;
图4为私有云到公有云/办公网的消息交互流程;
图5为公有云/办公网到私有云的消息交互流程。
五、具体实施方式:
1、公有云/办公网到私有云的大文件交互流程
公有云到私有云文件传输流程如图1、2所示,举例为公有云的业务板块A向私有云业务板块B传输文件。其每步流程如下:
1)公有云业务板块A从云公共服务支撑平台获取到业务板块B的配置信息,组织需要传输的文件信息及元数据信息。调用云公共服务支撑平台传输服务接口,发起传输任务申请。
2)云公共服务支撑平台接到业务板块A传输任务申请,按照安全传输平台提供的接口规范,调用接口转发该任务申请至安全传输平台。安全传输平台得到任务申请,判断该任务是否合法,不合法直接返回任务信息有误。
3)安全传输平台根据传输任务信息,下载源文件到外网临时存储指定文件夹。
4)下载到外网临时存储的文件,调用后台服务,进行文件解析、文件杀毒初步处理。再通过私有协议安全传输文件到内网临时存储指定目录。
5)安全交换平台通知云公共服务支撑平台任务到达,且文件已经准备完毕。
6)云公共服务支撑平台转发信息到业务板块B。业务板块B收到任务后,主动获取文件,入库到自身板块,完成云公共服务支撑平台资源注入。
7)业务板块B完成任务后续,调用任务信息中的回调函数通知云公共服务支撑平台。
8)云公共服务支撑平台转发任务反馈信息到安全交换平台。
9)安全交换平台根据任务执行状况,修改任务执行状态。
10)安全交换平台发送任务反馈信息到云公共服务支撑平台。
11)云公共服务支撑平台转发任务反馈信息到原业务板块A。完成传输任务。
2、私有云到公有云/办公网的大文件交互流程
私有云到公有云文件传输流程如图3所示,举例为私有云的业务板块A向公有云业务板块B传输文件。其每步流程如下:
1)私有云业务板块A从云公共服务支撑平台获取到业务板块B的配置信息,组织需要传输的文件信息及元数据信息。调用云公共服务支撑平台传输服务接口,发起传输任务申请。
2)云公共服务支撑平台接到业务板块A传输任务申请,按照安全传输平台提供的接口规范,调用接口转发该任务申请至安全传输平台。安全传输平台得到任务申请,判断该任务是否合法,不合法直接返回任务信息有误。
3)安全传输平台根据传输任务信息,下载源文件到内网临时存储指定文件夹。
4)下载到内网临时存储的文件,调用后台服务,进行文件解析初步处理。再通过私有协议安全传输文件到外网临时存储指定目录。
5)安全交换平台通知云公共服务支撑平台任务到达,且文件已经准备完毕。
6)云公共服务支撑平台转发信息到业务板块B。业务板块B收到任务后,主动获取文件,入库到自身板块,完成云公共服务支撑平台资源注入。
7)业务板块B完成任务后续,调用任务信息中的回调函数通知云公共服务支撑平台。
8)云公共服务支撑平台转发任务反馈信息到安全交换平台。
9)安全交换平台根据任务执行状况,修改任务执行状态。
10)安全交换平台发送任务反馈信息到云公共服务支撑平台。
11)云公共服务支撑平台转发任务反馈信息到原业务板块A。完成传输任务。
3、私有云到公有云/办公网的消息交互流程
私有云到公有云/办公网的消息交互通过DMZ区实现(图4),DMZ区通过网闸进行物理隔离,流程中还包含了访问控制(防火墙)、入侵检测(IPS)、恶意代码防范(IPS带防病毒模块)、Web应用检测(Web应用防火墙)。
1)公有云提供目的IP和端口给DMZ区;
2)DMZ区通过网闸把公有云提供的IP和端口进行映射;
3)把映射后的目的IP和端口给私有云;
4)私有云访问DMZ映射后的IP和端口发送消息;
5)DMZ区通过防火墙、IPS、WAF对消息内容进行访问控制、入侵检测、恶意代码防范等;
6)私有云的消息经DMZ区发送到公有云。
4、公有云/办公网到私有云的消息交互流程
公有云/办公网到私有云的消息交互也是通过DMZ区实现,DMZ区通过网闸进行物理隔离,流程中还包含了访问控制(防火墙)、入侵检测(IPS)、恶意代码防范(IPS带防病毒模块)、Web应用检测(Web应用防火墙),图5。
1)私有云提供目的IP和端口给DMZ区;
2)DMZ区通过网闸把私有云提供的IP和端口进行映射;
3)把映射后的目的IP和端口给公有云;
4)公有云访问DMZ映射后的IP和端口发送消息;
5)DMZ区通过防火墙、IPS、WAF对消息内容进行访问控制、入侵检测、恶意代码防范等;
6)公有云有云的消息经DMZ区发送到私有云。
以上实施例不以任何方式限定本发明,凡是对以上实施例以等效变换方式做出的其它改进与应用,都属于本发明的保护范围。

Claims (1)

1.应用于电视台的多层次内外网数据交互系统,其特征是,在私有云与公有云之间设有如下构造;私有云连接的出口交换机通过电视台的主干平台、安全摆渡系统至中心交换机,中心交换机再连接公有云;私有云与公有云消息交互数据库同步构造是:私有云由出口交换机通过隔离区(DMZ)的安全摆渡系统连接到中心交换机;DMZ区包括互联交换机、及网闸,安全摆渡系统是符合Infiniband协议的文件杀毒、文件头解析、用户鉴权模块;
基于上述构造建立多层次安全交互通道,内外网媒体数据交互通过安全摆渡系统实现,内外网消息交互通过DMZ区实现;所述安全摆渡系统底层基于Infiniband实现;
内外网消息交互通过DMZ区实现过程:DMZ区还设有防火墙、入侵检测设备、Web应用防火墙、网闸安全设备;多层次安全交互通道,内外网媒体数据交互通过安全摆渡系统和DMZ区实现;
外网向内网传输视频类大文件,先后经过“传输申请”、“转发申请”、“文件下载”、“解析、杀毒、传输”、“目标通知”、“转发通知”、“传输反馈”、“转发反馈”、“修改传输任务状态”、“传输反馈”、“转发反馈”流程环节;
内网向外网传输视频类大文件,先后经过“传输申请”、“转发申请”、“文件下载”、“解析、杀毒、传输”、“目标通知”、“转发通知”、“传输反馈”、“转发反馈”、“修改传输任务状态”、“传输反馈”、“转发反馈”流程环节;
外网发起与内网进行消息交互,先后经过“内网提供目的IP和端口给DMZ区”、“DMZ区通过网闸进行IP地址及端口映射”、“DMZ区将映射后的IP地址及端口提供给外网”、“外网访问DMZ区提供的IP地址及端口”、“DMZ区通过防火墙、IPS、WAF对消息内容进行访问控制、入侵检测、恶意代码防范”、“外网消息经DMZ区发送至内网”流程环节;
内网发起与外网进行消息交互,先后经过“外网提供目的IP和端口给DMZ区”、“DMZ区通过网闸进行IP地址及端口映射”、“DMZ区将映射后的IP地址及端口提供给内网”、“内网访问DMZ区提供的IP地址及端口”、“DMZ区通过防火墙、入侵防御系统(IPS)、网站应用防火墙(WAF)对消息内容进行访问控制、入侵检测、恶意代码防范”、“内网消息经DMZ区发送至内网”流程环节。
CN201810189130.2A 2018-03-08 2018-03-08 一种应用于电视台的多层次内外网数据交互系统 Active CN108234523B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810189130.2A CN108234523B (zh) 2018-03-08 2018-03-08 一种应用于电视台的多层次内外网数据交互系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810189130.2A CN108234523B (zh) 2018-03-08 2018-03-08 一种应用于电视台的多层次内外网数据交互系统

Publications (2)

Publication Number Publication Date
CN108234523A CN108234523A (zh) 2018-06-29
CN108234523B true CN108234523B (zh) 2020-05-08

Family

ID=62667135

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810189130.2A Active CN108234523B (zh) 2018-03-08 2018-03-08 一种应用于电视台的多层次内外网数据交互系统

Country Status (1)

Country Link
CN (1) CN108234523B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120702B (zh) * 2018-08-24 2021-07-27 高振宇 隔离云的方法及系统
CN109698837B (zh) * 2019-02-01 2021-06-18 重庆邮电大学 一种基于单向传输物理介质的内外网隔离与数据交换装置及方法
CN110650149A (zh) * 2019-10-09 2020-01-03 广东蓄能发电有限公司 一种基于云计算的可扩充多源数据并发信息通知的网络架构
CN111104458B (zh) * 2019-11-12 2024-04-05 杭州创谐信息技术股份有限公司 基于RK3399Pro的分布式数据交换系统及交换方法
CN113079124B (zh) * 2020-01-03 2023-04-07 中国移动通信集团广东有限公司 入侵行为检测方法、系统及电子设备
CN112511562A (zh) * 2020-12-22 2021-03-16 航天科工网络信息发展有限公司 一种基于单向隔离一体机及云桌面技术的跨网数据传送系统
CN115118506B (zh) * 2022-06-28 2023-10-13 平安银行股份有限公司 云网络之间的数据交互系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8799997B2 (en) * 2011-04-18 2014-08-05 Bank Of America Corporation Secure network cloud architecture
CN103532838B (zh) * 2013-10-09 2017-09-08 中国联合网络通信集团有限公司 一种隔离网间实现数据交换的方法及系统
CN104378657A (zh) * 2014-09-01 2015-02-25 国家电网公司 一种基于代理与隔离的视频安全接入系统及其方法
CN106227728A (zh) * 2016-07-01 2016-12-14 江苏省广播电视集团有限公司 一种基于混合云服务平台的边传边编PaaS服务能力应用系统及方法
CN106713283B (zh) * 2016-12-03 2019-12-17 浙江广播电视集团 一种基于PaaS媒体技术的网间安全交互的系统及其方法

Also Published As

Publication number Publication date
CN108234523A (zh) 2018-06-29

Similar Documents

Publication Publication Date Title
CN108234523B (zh) 一种应用于电视台的多层次内外网数据交互系统
US8396954B2 (en) Routing and service performance management in an application acceleration environment
EP3021534B1 (en) A network controller and a computer implemented method for automatically define forwarding rules to configure a computer networking device
US9414136B2 (en) Methods and apparatus to route fibre channel frames using reduced forwarding state on an FCoE-to-FC gateway
US8682968B2 (en) Method, system, and node for node interconnection on content delivery network
EP3225014B1 (en) Source ip address transparency systems and methods
US9118687B2 (en) Methods and apparatus for a scalable network with efficient link utilization
US9614759B2 (en) Systems and methods for providing anycast MAC addressing in an information handling system
US20230133809A1 (en) Traffic forwarding and disambiguation by using local proxies and addresses
US20130329743A1 (en) End-to-end fibre channel over ethernet
US8767751B2 (en) Unsolicited FIP packet injection by proxy and spoofing and autoconfiguring intermediate bridges using FIP snooping
KR20090010951A (ko) 네트워크 디바이스를 위한 가상 인라인 구성
KR101472685B1 (ko) 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템
US9667753B2 (en) Fibre channel gateway system
CN207853935U (zh) 一种应用于电视台的多层次内外网数据交互系统
EP2810408A1 (en) Hierarchical network with active redundant links
US10848414B1 (en) Methods and apparatus for a scalable network with efficient link utilization
CN112769670B (zh) 一种vpn数据安全访问控制方法及系统
CN213342247U (zh) 一种IPv4/IPv6融合平台
KR20170111305A (ko) 망 분리된 네트워크 간 udp 프로토콜을 지원하는 망 연계 방법과 컴퓨터 네트워크 시스템
CN115883256B (zh) 基于加密隧道的数据传输方法、装置及存储介质
CN117439815B (zh) 一种基于反向透明桥接的内网穿透系统及方法
Teraoka et al. ZNA: A Six-Layer Network Architecture for New Generation Networks——Focusing on the Session Layer, the Network Layer, and Cross-Layer Cooperation——
CN104618214A (zh) 构建局域网进行信息传输的方法及系统
JP2016123086A (ja) 管理プレーンネットワーク統合

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant