CN110868397A - 一种企业异地多点数据交换方法及系统 - Google Patents

一种企业异地多点数据交换方法及系统 Download PDF

Info

Publication number
CN110868397A
CN110868397A CN201910980757.4A CN201910980757A CN110868397A CN 110868397 A CN110868397 A CN 110868397A CN 201910980757 A CN201910980757 A CN 201910980757A CN 110868397 A CN110868397 A CN 110868397A
Authority
CN
China
Prior art keywords
data
uploading
request
client
downloading
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910980757.4A
Other languages
English (en)
Other versions
CN110868397B (zh
Inventor
王臻
董岩
何鹏
余建勤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Helicopter Research and Development Institute
Original Assignee
China Helicopter Research and Development Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Helicopter Research and Development Institute filed Critical China Helicopter Research and Development Institute
Priority to CN201910980757.4A priority Critical patent/CN110868397B/zh
Publication of CN110868397A publication Critical patent/CN110868397A/zh
Application granted granted Critical
Publication of CN110868397B publication Critical patent/CN110868397B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明属于网络数据交换领域,特别涉及一种数据交换方法及系统,其中数据交换方法是在数据传输过程中引入数据流向控制规则以及操作标识和数据签名认证机制,保证操作过程的合法合规,提高数据交换过程的稳定性,同时还实时记录整个过程的操作日志实现全面监管,使系统具有可追溯性。还提出了实现前述交换方法的数据交换系统,本发明为企业间或企业内的数据可靠流转提供了一种安全稳定的手段,使得整个企业数据交换过程变得更加安全和高效,并且适用范围宽广,既能应用于一般领域企业,也非常适用军工涉密企业。本发明提出的交换系统结构清晰,部署方便,既可以作为独立的完整系统,也能提供交互接口,并集成至其他系统内为其提供数据交换服务。

Description

一种企业异地多点数据交换方法及系统
技术领域
本发明属于网络数据交换领域,特别涉及一种数据交换方法及系统。
背景技术
随着信息化和网络的迅速发展,日常工作中数据交换在企业内或企业间不断进行。考虑到企业之间甚至企业自身都可能存在异地多点的网络环境,这种环境下易出现网络不稳定甚至中断的情况,因此保证数据信息安全可靠的交换十分重要,特别是在军工厂所等涉密企业单位,涉密数据流转过程中的安全、保密和稳定性更是不可或缺。
目前企业主要应用基于WEB应用、FTP软件、共享目录等传统数据交换方法来实现数据的流转,但这些传统方法面对情境不断复杂和要求日益提高的数据交换过程时却往往存在很多问题,尤其是在数据的安全性和稳定性方面:(1)数据请求缺乏安全认证机制。每次发起或接收上传数据和下载数据请求时,并没有加入数据来源合法性的认证机制,无法防止恶意伪造及篡改、非法获取数据等问题。(2)数据流向缺乏控制。数据信息在整个交换过程中按需传输至各请求端,却没有严格的控制体系保证数据合理合规的流向,尤其对于涉密数据,交换过程中缺乏密级流向控制更是无法保证数据的保密性。(3)交换过程缺少审计监督。数据交换过程中没有记录下任何和数据相关的操作及行为,同时也缺少相关日志信息来追溯整个交换过程,导致无法对该过程进行监督审计。(4)数据实际传输过程中缺少稳定可靠的方式保障数据被准确高效的接收。当面对不稳定的网络状况时,特别是异地多点的环境条件下,某些意外状况常常引起网络故障或中断,数据很可能仅传输一部分进而导致数据错误的接收。并且后续再次传输该数据时,也只能重新上传或下载此数据,极大影响数据交换效率。
发明内容
本发明的目的:一种企业异地多点数据交换方法及系统,用以解决企业所应用数据交换方法在安全性和稳定性上存在的问题。
本发明的技术方案:一种企业异地多点数据交换方法,该方法是在数据传输过程中引入数据流向控制规则以及操作标识和数据签名认证机制,保证操作过程的合法合规,提高数据交换过程的稳定性,同时还实时记录整个过程的操作日志实现全面监管,使系统具有可追溯性,并快速诊断问题。
上述方法中,为了防止因网络故障或中断造成数据传输不完整甚至不准确的情况,在数据传输过程中还引入断点续传机制,以进一步提高数据交换过程的稳定性。
上述方法中,数据传输过程包括数据上传发送和数据下载接收;其中数据上传发送具体实现步骤包括:
1)数据发送客户端向服务器端发送数据上传请求,
2)服务器端根据上传请求验证此次数据操作是否满足数据流向控制规则,对于合规的数据操作将生成对应的上传操作标识和上传签名认证配对密钥,并发送至请求客户端。
3)如果此数据文件之前已上传发送过,则将该数据偏移量和步骤2中所生成的上传请求响应共同发送至请求客户端。
4)客户端对数据文件进行加密传输,同时对传输信息进行数字签名,并发送至服务器端,同时还异步发送上传进度查询请求。
5)服务器端对数据文件合法性进行认证,对合法合规的传输数据进行解密存储,同时将上传进度信息发送给请求客户端。
6)客户端根据进度查询结果实时显示当前数据上传进度。
7)服务器端接收完全部传输数据后,判断数据上传是否完成,若已完成上传则将该数据文件加入至数据接收用户对应下载接收列表中,同时记录操作日志,最后发送上传完成响应至客户端。
8)客户端待接收到完成响应后,结束上传过程。
9)若未完成数据文件的上传,则继续进行数据文件上传过程,客户端继续按步骤4操作。
而数据下载接收具体实现步骤则包括:
1)数据接收客户端向服务器端发送数据下载请求。
2)如果待下载数据之前已下载接收过,客户端将该偏移量加入步骤1所述数据下载请求中发送至服务器端。
3)服务器端验证此次数据操作是否满足数据流向控制规则,对于合规的数据操作,将下载请求响应发送至请求客户端。
4)客户端将下载标识和可接收数据状态信息发送至服务器端,表示可正式开始下载接收数据过程。
5)服务器端对数据文件进行加密传输,并进行数字签名,共同发往传输至客户端。
6)客户端对数据文件合法性进行认证,对合法合规的传输数据进行解密存储,同时也显示下载保存进度。
7)客户端接收完全部传输数据后,若下载完成则删除此次下载操作标识和认证密钥,发送下载完成响应至服务器端。
8)服务器端待接收到完成响应后,记录操作日志,结束下载过程。
9)若未下载完成,则继续进行执行步骤5)。
一种实现上述企业异地多点数据交换方法的数据交换系统,该系统分别部署在客户端和服务器端,两端通过建立连接机制实现数据的上传或下载;其中,客户端由上传请求单元、连接信息接收单元、数据上传单元、下载请求单元、下载存储单元、数字签名生成及认证单元、数据加解密单元;服务器端由上传请求接收单元、连接反馈单元、接收存储单元、下载请求接收单元、数据发送单元、确认控制单元、操作标识及签名认证配对密钥生成单元、数字签名生成及认证单元、数据加解密单元、日志记录单元。
有益技术效果:本发明提出的数据交换方法为企业间或企业内的数据可靠流转提供了一种安全稳定的手段,使得整个企业数据交换过程变得更加安全和高效,并且适用范围宽广,既能应用于一般领域企业,也非常适用军工涉密企业。同时本发明提出的数据交换系统结构清晰,部署方便,既可以作为独立的完整系统进行使用,同时也能提供交互接口,并集成至其他业务系统内为其提供数据交换服务。具体体现在以下几个方面;1)本发明实现严格的数据流向控制,保证所进行的任何数据操作都是合理合规的,能够有效防止非法或越权数据操作的产生。
2)本发明具有完善的安全认证机制,在每次接收上传数据和下载数据时,通过数字签名认证方式能够准确进行数据来源合法性和数据内容有效性判断,同时传输数据内容时都会进行加密传输,以防止恶意伪造及篡改、非法获取数据等操作,提高整个数据交换过程的安全可靠性。
3)本发明实现断点续传功能,面对数据操作中断时,能够根据中断前数据上传或下载进度继续传输该数据,而不用重新上传或下载此数据,特别是当企业之间甚至企业内部处于一种异地多点的网络环境时,容易发生各种网络故障,这种功能能够极大提高数据交换效率和稳定性。
4)本发明具有详尽全面的操作日志,能够实现对整个交换过程下所发生的行为操作进行全面的监管,并且当出现问题或信息泄露时,能够快速诊断定位问题。
附图说明
图1是本发明实施数据文件上传流程图;
图2是本发明实施数据文件下载流程图;
图3是本发明交换系统模块框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种企业异地多点数据交换方法,该方法通过在数据传输过程中引入数据流向控制以及操作标识和数据签名认证机制,保证操作过程的合法合规,进一步通过实现断点续传功能使面对企业异地多点的网络环境下,提高数据交换过程的稳定性,同时通过实时记录整个过程的操作日志实现全面监管,使系统具有可追溯性,并快速诊断问题。该方法具体可分为两阶段:数据上传发送和数据下载接收。图1是该方法数据上传发送流程图,参见图1,本实施例中,客户端上传发送数据时,具体实现步骤包括:
步骤101,客户端确定好本地待上传数据以及数据发送用户后,向服务器端发送数据上传请求,上传请求中包括数据发送用户信息,数据接收用户信息,数据文件详细信息。
步骤102,服务器端接收到客户端发来的请求数据信息,并从中获取数据上传用户、接收用户、数据文件信息。
步骤103,服务器端根据上传请求中的数据发送用户、接收用户、数据文件等信息进行验证,判断此次数据操作是否满足数据流向控制规则,如果满足数据流向规则,那么将转向步骤104,否则则返回步骤101,客户端重新开始上传数据操作。
具体地,服务器端接收到操作请求时,将根据数据流向规则、请求用户和请求数据信息进行数据流向控制验证,只有符合规则的数据流向才能进行操作,比如在涉密数据交换过程中,任何数据流转都必须符合密级流向规则,低密级人员无法操作任何高密级数据。
步骤104,服务器端根据数据文件信息查询此数据文件之前是否已上传,如果从未上传过,转向步骤105,否则转向步骤106。
其中数据查询操作可通过在服务端端查询数据库或者检查日志文件来完成。
步骤105,对于合规且未上传过的数据文件,服务器端将生成对应的上传操作标识和上传签名认证配对密钥,并将上传标识、签名认证配对密钥、上传文件及上传用户进行绑定,同时也将上传标识和客户端签名密钥组成上传请求响应发送至请求客户端。
步骤106,服务器端通过检测该数据文件在本地存储的大小来判断此数据文件是否已完全,若不完全转向步骤107,否则转向步骤101重新开始上传操作。
步骤107,对于合规且未上传完成的数据文件,服务器端将生成对应的上传操作标识和上传签名认证配对密钥,并将上传标识、签名认证配对密钥、上传文件及上传用户进行绑定,同时检测出该数据文件在服务器本地已存在大小,记录下数据文件已存在偏移,并将上传标识、客户端签名密钥和数据文件偏移量组成上传请求响应发送至请求客户端。
具体地,服务器端将生成对应数据上传操作标识和操作签名认证配对密钥,其中操作标识对应一个唯一的字符串用于识别此上传操作,而配对密钥则具体对应一个签名密钥和一个认证密钥,签名密钥用于生成数字签名,认证密钥则用于认证该数字签名的合法性。并且对该上传操作标识、签名认证配对密钥、操作请求用户、操作请求数据文件进行绑定,即在此标识对应的此次上传操作过程中,只有使用该配对密钥才能验证操作请求用户和请求数据文件的合法性。
步骤108,客户端根据请求响应将相应范围的数据文件内容进行分块依次加密传输,并对此次传输信息进行数字签名,将上传标识、传输数据内容以及数字签名共同发送传输至服务器端。
具体地,客户端对数据分块加密传输时将采用3DES算法进行加密,由于该算法是对称加密算法,所使用加解密密钥都是同一个,因此会提前预置在客户端和服务器端系统中,并且还会定期更新,以保证安全性。同时在传输数据的过程中,会对此次传输信息生成数字签名,具体过程为:首先对此次传输请求用户名和传输数据文件名进行散列化得到对应散列值,随后将该散列值、传输数据范围以及当前时间戳利用RSA算法和签名密钥进行加密处理进而得到此次传输对应的数字签名。
步骤109,服务器端将对上传标识和数字签名的合法性进行认证,进而判断数据来源和传输数据内容是否准确合规,如果合规则转向步骤110,否则转向步骤101重新开始上传操作。
具体地,服务器端在接收传输数据的过程中,会认证此次传输数字签名的合法性,具体过程为:首先利用RSA算法和认证密钥对该数字签名内容进行解密处理,分别得到散列值、数据范围和时间戳,随后在本地将此次传输请求用户名和传输数据文件名进行散列化得到对应散列值,将此散列值和之前解密得到的散列值进行比较,如果相同则说明所接收的数据来源合法,同时根据解密得到的数据范围及时间戳和此次传输数据总长度及当前时间分别比较,如果在区间内则说明数据有效。
步骤110,服务器端对合法合规的传输数据进行解密存储,在存储数据文件的同时也将上传进度信息发送给对应客户端。
其中服务器端对数据解密也采用3DES算法进行解密,解密后再进行存储。
步骤111,客户端在传输数据的同时也不断异步发送上传进度查询请求,并根据进度查询结果实时显示当前数据上传进度。
其中服务端在解密存储的过程中,同时计算存储进度返回该客户端。
步骤112,服务器端接收完全部传输数据后,根据上传数据文件总长度判断数据上传是否完成,若已完成上传则转向步骤115,若未完成转向步骤113。
步骤113,服务器端首先判断上传操作标识是否仍有效,若有效转向步骤114,否则返回步骤107。
具体地,服务器端在整个数据传输过程中会检测此次数据操作标识的有效性,主要通过判断该数据操作标识的生成时间和当前时间的间隔大小来实现,若该间隔大小超过了设定的阈值,则认为此数据操作标识已无效;若未超过该阈值,则认为此数据操作标识有效,在传输过程中仍使用该标识,一般阈值大小设定为一天。
步骤114,服务器端检测该数据文件当前大小,记录下数据文件已存在偏移,并将该偏移量大小作为未完成响应发送至客户端,同时转向步骤108。
步骤115,服务器端将该数据文件加入至数据接收用户对应下载接收列表中,并删除此次上传操作标识和签名认证配对密钥,同时记录操作日志,最后发送上传完成响应至客户端。
步骤116,客户端待接收到完成响应后,删除此次上传操作标识和签名密钥,结束上传过程。
图2是该方法数据下载接收流程图,参见图2,本实施例中,客户端下载接收数据时,具体实现步骤包括:
步骤201,客户端根据各自用户对应可下载接收数据列表确定好待下载数据。
步骤202,客户端对选定的待下载数据进行检查,发现是否之前已下载该数据至本地,若未下载则转向步骤203,否则转向步骤204。
步骤203,客户端向服务器端发送数据下载请求,下载请求中包括数据接收用户信息和待下载数据标识。
步骤204,如果待下载数据之前已下载接收过,客户端将根据该数据在本地存储大小判断此数据是否已完成下载,若未完成下载转向步骤205,否则转向步骤201重新开始数据下载操作。
步骤205,客户端将检测出该数据文件在客户端本地已存在大小,记录下数据文件已存在偏移,并将该偏移量大小、用户信息及文件标识共同组成数据下载请求并发送至服务器端。
步骤206,服务器端接收到客户端发来的下载请求后,从中获取数据下载用户信息和文件标识。
步骤207,服务器端将根据此文件标识查询对应文件具体信息。
步骤208,服务器端根据查询信息判断该文件是否在本地存在,如存在则转向步骤209,否则转向步骤201,重新开始数据下载操作。
步骤209,服务器端根据数据接收用户、数据文件等信息验证此次数据操作是否满足数据流向控制规则,如符合流向规则转向步骤210,否则转向步骤201,重新开始数据下载操作。
步骤210,对于合规的数据操作将生成对应的下载操作标识和下载签名认证配对密钥,同时将下载标识、签名认证配对密钥、下载文件及下载用户进行绑定,并将下载标识和客户端认证密钥组成下载请求响应发送至请求客户端。
具体地,服务器端将生成对应下载操作标识和操作签名认证配对密钥,其中操作标识对应一个唯一的字符串用于识别此下载操作,配对密钥具体对应一个签名密钥和一个认证密钥,签名密钥用于生成数字签名,认证密钥则用于认证该数字签名的合法性。并且对该操作标识、签名认证配对密钥、下载用户、下载数据文件进行绑定,即在此标识对应的下载操作过程中,只有使用该配对密钥才能验证此下载请求用户和下载数据文件的合法性。
步骤211,客户端将下载标识和可接收数据状态信息发送至服务器端,表示可正式开始下载接收数据过程。
步骤212,服务器端根据请求将相应范围的数据文件内容进行加密传输,并对此次传输信息进行数字签名,最后将下载标识、传输数据内容以及数字签名共同发往传输至客户端。
具体地,服务器对数据将采用3DES算法进行加密传输,同时在传输数据的过程中,会对此次传输信息生成数字签名,首先对此次传输请求用户名和传输数据文件名进行散列化得到对应散列值,随后将该散列值、传输数据范围以及当前时间戳利用RSA算法和签名密钥进行加密处理进而得到此次传输对应的数字签名。
步骤213,客户端对下载标识和数字签名的合法性进行认证,进而判断数据来源和传输数据内容是否准确合规,如合规转向步骤214,否则转向步骤201.
具体地,客户端会认证此次传输数字签名的合法性,首先利用RSA算法和认证密钥对该数字签名内容进行解密处理,分别得到散列值、数据范围和时间戳,随后在本地将此次传输请求用户名和传输数据文件名进行散列化得到对应散列值,将此散列值和之前解密得到的散列值进行比较,如果相同则说明所接收的数据来源合法,同时根据解密得到的数据范围及时间戳和此次传输数据总长度及当前时间分别比较,如果在区间内则说明数据有效。
步骤214,对合法合规的传输数据客户端进行解密存储,在存储数据文件的同时也显示下载保存进度。
步骤215,客户端接收完全部传输数据后,根据下载数据文件总长度判断数据是否下载完成,若下载完成则转向步骤216,否则转向步骤218.
步骤216,客户端删除此次下载操作标识和认证密钥,发送下载完成响应至服务器端。
步骤217,服务器端接收到完成响应后,删除此次下载操作标识和签名认证配对密钥,同时记录操作日志,结束下载过程。
步骤218,客户端若未下载完成则继续进行数据文件下载过程,检测该数据文件当前大小,记录下数据文件已存在偏移,并将该偏移量大小和下载标识作为未完成响应发送至服务器端。
步骤219,服务器端判断下载操作标识是否仍有效,若有效转向步骤212,若无效转向步骤210;
本发明实施例同时也提供了一种企业异地多点数据交换系统,该系统应用于客户端和服务器端。图3是该系统的模块框图,参见图3,本实施例中,客户端包含上传请求单元、连接信息接收单元、数据上传单元、下载请求单元、下载存储单元、数字签名生成及认证单元、数据加解密单元。
上传请求单元301:用于向服务器端发送上传请求,上传请求中包括数据发送用户,数据接收用户,上传数据文件详细信息。
连接信息接收单元302:用于接收服务端发送来的上传(下载)操作标识和对应操作签名(认证)密钥,如果待上传数据在服务器端已存在,那么还将接收到数据文件已存在偏移大小。
数据上传单元303:将上传操作标识、加密数据内容和传输信息对应的数字签名上传至服务器端。
下载请求单元306:用于向服务器端发送下载请求,下载请求中包括数据接收用户信息和待下载数据标识,如果待下载数据在客户端本地已存在,那么下载请求中还包括数据文件已存在偏移大小。
下载存储单元308:能够将解密后的下载数据内容依序进行存储。
数字签名生成及认证单元304:既能够生成待上传数据内容对应的数字签名,也能对接收到的下载数据数字签名信息进行合法性认证。
数据加解密单元305:用于对上传数据内容进行加密处理,同时也用于对接收到的下载数据内容进行解密。
服务器端则包括上传请求接收单元、连接反馈单元、接收存储单元、下载请求接收单元、数据发送单元、确认控制单元、操作标识及签名认证配对密钥生成单元、数字签名生成及认证单元、数据加解密单元、日志记录单元。
上传请求接收单元310:用于接收客户端的上传请求,包括数据发送用户,数据接收用户,上传数据文件详细信息。
连接反馈单元311:将请求操作对应的操作标识和操作签名(认证)密钥反馈给请求客户端,如果待上传数据在服务器本地已存在,那么反馈内容中将包括数据文件已存在偏移大小。
接收存储单元312:能够将解密后的上传数据内容依序进行存储。
下载请求接收单元318:用于接收客户端的下载请求,包括数据接收用户信息和待下载数据标识,如果待下载数据在客户端本地已存在,那么下载请求中还包括数据文件已存在偏移大小。
数据发送单元320:将下载操作标识、加密数据内容和传输信息对应数字签名发送至请求客户端。
确认控制单元313:用于判断请求用户和请求数据信息是否符合数据流向控制规则以及对应操作标识是否有效。
操作标识及签名认证配对密钥生成单元314:能够对请求操作生成对应操作标识,同时生成该操作对应签名认证配对密钥,用于验证数据源的准确性和合法性。
数字签名生成及认证单元315:既能够生成待下载数据内容对应的数字签名,也能对接收到的上传数据数字签名信息进行合法性认证。
数据加解密单元316:用于对下载数据内容进行加密处理,同时也用于对接收到的上传数据内容进行解密。
日志记录单元317:待所发生的各项数据操作完成后,将数据操作结果内容记录日志。
本发明实施例数据传输过程具备断点续传功能,无论在数据上传还是数据下载阶段中,都会判断待上传(下载)数据文件是否在服务器端(客户端)本地存在,如果存在则会检测数据文件已存在大小,并将该数据文件已存在偏移量发送至数据传输发送端,发送端将从此偏移量开始发送传输数据内容,而不是重新开始,这样能提高传输效率。
以上所述,仅为本发明的具体实施例,对本发明进行详细描述,未详尽部分为常规技术。但本发明的保护范围不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。本发明的保护范围应以所述权利要求的保护范围为准。

Claims (11)

1.一种企业异地多点数据交换方法,其特征在于:该方法是在数据传输过程中引入数据流向控制规则以及操作标识和数据签名认证机制,保证操作过程的合法合规,提高数据交换过程的稳定性,同时还实时记录整个过程的操作日志实现全面监管,使系统具有可追溯性,并快速诊断问题。
2.根据权利要求1所述的企业异地多点数据交换方法,其特征在于:在数据传输过程中还引入断点续传机制。
3.根据权利要求1或2所述的企业异地多点数据交换方法,其特征在于:所述数据传输过程包括数据上传发送和数据下载接收。
4.根据权利要求3所述的企业异地多点数据交换方法,其特征在于:所述数据上传发送的实现步骤为:1)数据发送客户端向服务器端发送数据上传请求,
2)服务器端根据上传请求验证此次数据操作是否满足数据流向控制规则,对于合规的数据操作将生成对应的上传操作标识和上传签名认证配对密钥,并发送至请求客户端;
3)如果此数据文件之前已上传发送过,则将该数据偏移量和步骤2中所生成的上传请求响应共同发送至请求客户端;
4)客户端对数据文件进行加密传输,同时对传输信息进行数字签名,并发送至服务器端,同时还异步发送上传进度查询请求;
5)服务器端对数据文件合法性进行认证,对合法合规的传输数据进行解密存储,同时将上传进度信息发送给请求客户端;
6)客户端根据进度查询结果实时显示当前数据上传进度;
7)服务器端接收完全部传输数据后,判断数据上传是否完成,若已完成上传则将该数据文件加入至数据接收用户对应下载接收列表中,同时记录操作日志,最后发送上传完成响应至客户端;
8)客户端待接收到完成响应后,结束上传过程;
9)若未完成数据文件的上传,则继续进行数据文件上传过程,客户端继续按步骤4)操作。
5.根据权利要求3所述的企业异地多点数据交换方法,其特征在于:所述数据下载接收的实现步骤为:
1)数据接收客户端向服务器端发送数据下载请求;
2)如果待下载数据之前已下载接收过,客户端将该偏移量加入步骤1所述数据下载请求中发送至服务器端;
3)服务器端验证此次数据操作是否满足数据流向控制规则,对于合规的数据操作,将下载请求响应发送至请求客户端;
4)客户端将下载标识和可接收数据状态信息发送至服务器端,表示可正式开始下载接收数据过程;
5)服务器端对数据文件进行加密传输,并进行数字签名,共同发往传输至客户端;
6)客户端对数据文件合法性进行认证,对合法合规的传输数据进行解密存储,同时也显示下载保存进度;
7)客户端接收完全部传输数据后,若下载完成则删除此次下载操作标识和认证密钥,发送下载完成响应至服务器端;
8)服务器端待接收到完成响应后,记录操作日志,结束下载过程;
9)若未下载完成,则继续进行执行步骤5)。
6.根据权利要求1、4或5任意一项所述的企业异地多点数据交换方法,其特征在于:所述数据流向控制规则为:服务器端接收到操作请求时,将根据数据流向规则、请求用户和请求数据信息进行数据流向控制验证,只有符合规则的数据流向才能进行操作,比如在涉密数据交换过程中,任何数据流转都必须符合密级流向规则,低密级人员无法操作任何高密级数据。
7.根据权利要求1、4或5任意一项所述的企业异地多点数据交换方法,其特征在于:所述操作标识对应一个唯一的字符串,用于识别当前操作。
8.根据权利要求1、4或5任意一项所述的企业异地多点数据交换方法,其特征在于:所述数据签名认证机制至少包含一个签名密钥和一个认证密钥,签名密钥用于生成数字签名,认证密钥则用于认证该数字签名的合法性;在认证机制中对操作标识、签名认证配对密钥、操作请求用户、操作请求数据文件进行绑定,且在此标识对应的当前操作过程中,只有使用该配对密钥才能验证操作请求用户和请求数据文件的合法性。
9.根据权利要求1、4或5任意一项所述的企业异地多点数据交换方法,其特征在于:
所述数字签名具体过程为:首先对当前传输请求用户名和传输数据文件名进行散列化得到对应散列值,随后将该散列值、传输数据范围以及当前时间戳,利用RSA算法和签名密钥进行加密处理进而得到此次传输对应的数字签名。
10.根据权利要求1、4或5任意一项所述的企业异地多点数据交换方法,其特征在于:所述认证具体过程为:首先利用RSA算法和认证密钥对该数字签名内容进行解密处理,分别得到散列值、数据范围和时间戳,随后在本地将当前传输请求用户名和传输数据文件名进行散列化得到对应散列值,将此散列值和之前解密得到的散列值进行比较,如果相同则说明所接收的数据来源合法,同时根据解密得到的数据范围及时间戳和此次传输数据总长度及当前时间分别比较,如果在区间内则说明数据有效。
11.一种实现如权利要求1-10任意一项所述企业异地多点数据交换方法的数据交换系统,该系统分别部署在客户端和服务器端,两端通过建立连接机制实现数据的上传或下载;其特征在于:客户端由上传请求单元、连接信息接收单元、数据上传单元、下载请求单元、下载存储单元、数字签名生成及认证单元、数据加解密单元;服务器端由上传请求接收单元、连接反馈单元、接收存储单元、下载请求接收单元、数据发送单元、确认控制单元、操作标识及签名认证配对密钥生成单元、数字签名生成及认证单元、数据加解密单元、日志记录单元。
CN201910980757.4A 2019-10-15 2019-10-15 一种企业异地多点数据交换方法及系统 Active CN110868397B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910980757.4A CN110868397B (zh) 2019-10-15 2019-10-15 一种企业异地多点数据交换方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910980757.4A CN110868397B (zh) 2019-10-15 2019-10-15 一种企业异地多点数据交换方法及系统

Publications (2)

Publication Number Publication Date
CN110868397A true CN110868397A (zh) 2020-03-06
CN110868397B CN110868397B (zh) 2022-04-12

Family

ID=69652603

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910980757.4A Active CN110868397B (zh) 2019-10-15 2019-10-15 一种企业异地多点数据交换方法及系统

Country Status (1)

Country Link
CN (1) CN110868397B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111431896A (zh) * 2020-03-20 2020-07-17 上海中通吉网络技术有限公司 数据共享方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1905436A (zh) * 2005-07-28 2007-01-31 北京航空航天大学 保证数据交换安全的方法
US8694788B1 (en) * 2005-04-29 2014-04-08 Progressive Casualty Insurance Company Security system
CN104754012A (zh) * 2013-12-31 2015-07-01 北京新媒传信科技有限公司 一种数据传输方法和数据传输系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8694788B1 (en) * 2005-04-29 2014-04-08 Progressive Casualty Insurance Company Security system
CN1905436A (zh) * 2005-07-28 2007-01-31 北京航空航天大学 保证数据交换安全的方法
CN104754012A (zh) * 2013-12-31 2015-07-01 北京新媒传信科技有限公司 一种数据传输方法和数据传输系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
刘喆: "高敏感网络向低敏感网络导出文件方案探索", 《计算机工程与设计》 *
欧阳晋: "安全数据交换平台设计", 《信息安全与通信保密》 *
郭锐: "一种特定场景可搜索加密技术及其应用研究", 《中国优秀硕士学位论文全文数据库信息科技辑2016年第03期》 *
韩慧莲等: "基于企业的计算机网络安全方案的设计与实现", 《中北大学学报》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111431896A (zh) * 2020-03-20 2020-07-17 上海中通吉网络技术有限公司 数据共享方法和系统

Also Published As

Publication number Publication date
CN110868397B (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
US11647007B2 (en) Systems and methods for smartkey information management
US11128477B2 (en) Electronic certification system
CN109474606B (zh) 文件传输方法、装置、计算机设备及存储介质
US11258792B2 (en) Method, device, system for authenticating an accessing terminal by server, server and computer readable storage medium
US20050120203A1 (en) Methods, systems and computer program products for automatic rekeying in an authentication environment
US20110119494A1 (en) Method and apparatus for sharing licenses between secure removable media
CN112019566B (zh) 数据的传输方法、服务器、客户端及计算机存储介质
CN111884811B (zh) 一种基于区块链的数据存证方法和数据存证平台
CN110362984B (zh) 多设备运行业务系统的方法及装置
CN114257376B (zh) 数字证书更新方法、装置、计算机设备和存储介质
CN112749232A (zh) 一种生产数据监控方法、装置、区块链节点及存储介质
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN104468074A (zh) 应用程序之间认证的方法及设备
CN110868397B (zh) 一种企业异地多点数据交换方法及系统
CN112202773B (zh) 一种基于互联网的计算机网络信息安全监控与防护系统
US20220020010A1 (en) Decentralized electronic contract attestation platform
KR102288444B1 (ko) 인증모듈의 펌웨어 업데이트 방법, 장치 및 프로그램
CN112217797B (zh) 一种应用区块链技术的智能网关物联网控制系统及方法
CN114745115A (zh) 一种信息传输方法、装置、计算机设备及存储介质
CN106534275B (zh) 一种通用的安全可靠的数据交换方法
Wu et al. Security design of OTA upgrade for intelligent connected vehicle
KR101458929B1 (ko) 3자 인증을 이용한 로그 정보 인증 시스템의 osp 서버에 포함된 로그 블랙박스 장치 및 그 운영방법
CN109981678B (zh) 一种信息同步方法及装置
CN111212050B (zh) 一种基于数字证书对数据进行加密传输的方法及系统
CN118018575A (zh) 基于区块链的边缘设备可靠采集系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant