CN112751866A - 一种网络数据传输方法及系统 - Google Patents

一种网络数据传输方法及系统 Download PDF

Info

Publication number
CN112751866A
CN112751866A CN202011620592.9A CN202011620592A CN112751866A CN 112751866 A CN112751866 A CN 112751866A CN 202011620592 A CN202011620592 A CN 202011620592A CN 112751866 A CN112751866 A CN 112751866A
Authority
CN
China
Prior art keywords
message
service
target
terminal
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011620592.9A
Other languages
English (en)
Other versions
CN112751866B (zh
Inventor
徐飞飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202011620592.9A priority Critical patent/CN112751866B/zh
Publication of CN112751866A publication Critical patent/CN112751866A/zh
Application granted granted Critical
Publication of CN112751866B publication Critical patent/CN112751866B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种网络数据传输方法及系统,涉及数据传输领域。该方法包括当发送端设备需要向业务系统或安全设备发送目标消息时,发送端设备向消息服务器发送包括目标消息和业务标签的第一消息;第一代理终端获取第一消息,并将第一消息中的业务标签与各安全设备的标签进行匹配,若与目标安全设备的标签匹配,则将目标消息发送至第二代理终端,第二代理终端调用目标安全设备的应用程序接口对目标安全设备进行版本升级或策略设置;若不匹配,则发送至安全防护系统,目标消息安全时,将目标消息和业务标签发送至第三代理终端;第三代理终端根据业务标签将目标消息发送至对应的业务系统。通过所述方法,能够实现利用一个端口完成多种业务数据传输。

Description

一种网络数据传输方法及系统
技术领域
本发明涉及数据传输技术领域,尤其涉及一种网络数据传输方法及系统。
背景技术
随着互联网技术、计算机科学的发展,互联网让信息的传播更为便利和迅速,但是在信息传播的同时也带来了极大的网络安全问题,尤其在金融、政府、国防军事等领域网络攻击时刻都在发生,而这些领域一旦发生安全性问题,产生的危害是极大的。
传统上人们使用防火墙保护局域网络,在信息的传输过程中通过数据加密的方式对信息的传输起到一个保护作用,但是在安全性保障比较苛刻的网络环境中,防火墙对外暴露的端口有限,但局域网内外信息的交互又是不可避免的,例如对网内各种安全防护系统的防护策略调整以及各种安全防护系统的补丁升级等。因此如何解决在有限的端口环境中安全的传输多种业务数据是当前本领域面临的一个重要问题。
现有的技术方案中的一种多业务等级系统中的数据传输方法为:多业务等级系统中的每一个业务等级处理本等级的业务;然后每一个业务等级从本等级的业务中选取需要其他业务等级处理的数据,并提交至一业务流转队列;根据业务流转队列,将待处理的数据转发给相应的业务等级。虽然能够实现各个业务等级之间的输出传输,增加多业务系统的工作效率,但是并没有实现局域网内外信息的交互,也无法解决在有限的端口环境中安全的传输多种业务数据。
综上,现有技术中缺少能够在有限的端口环境中安全的传输多种业务数据的方法,本领域亟需开发一种能够利用一个端口实现多种业务数据安全传输的方法。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本发明提供了一种网络数据传输方法及系统,解决了利用一个端口实现多种业务数据传输的问题。
为了实现上述目的,本发明实施例提供技术方案如下:
第一方面,本发明的实施例提供一种网络数据传输方法,应用于网络数据传输系统,所述网络数据传输系统包括:发送端设备、第一代理终端、消息服务器、第二代理终端、至少一个安全设备组成的安全防护系统、第三代理终端以及至少一个业务系统;
当所述发送端设备需要向业务系统或安全设备发送目标消息时,所述发送端设备向所述消息服务器发送第一消息,所述第一消息包括:所述目标消息和所述目标消息的业务标签;
所述第一代理终端从所述消息服务器获取所述第一消息,并将所述第一消息中的所述业务标签与各安全设备的标签进行匹配,若所述业务标签与目标安全设备的标签匹配,则将所述目标消息发送至所述第二代理终端,若所述业务标签与各安全设备的标签均不匹配,则将所述目标消息和所述业务标签发送至所述安全防护系统;
在所述第二代理终端接收到所述第一代理终端发送的所述目标消息的情况下,所述第二代理终端调用所述目标安全设备的应用程序接口API对所述目标安全设备进行版本升级或者策略设置;
在所述安全防护系统接收到所述第一代理终端发送的所述目标消息和所述业务标签的情况下,所述安全防护系统对所述目标消息进行安全检测,并在确认所述目标消息安全的情况下,将所述目标消息和所述业务标签发送至所述第三代理终端;
所述第三代理终端根据所述业务标签将所述目标消息发送至对应的业务系统。
作为本发明实施例一种可选的实施方式,所述第一代理终端从所述消息服务器获取所述第一消息,包括:
所述消息服务器将所述第一消息添加到消息队列中;
所述第一代理终端对所述消息队列中的消息进行监听,并在监听到所述第一消息时从所述消息队列中获取所述第一消息。
作为本发明实施例一种可选的实施方式,在所述发送端设备向所述消息服务器发送所述第一消息之前,所述方法还包括:
所述消息服务器从所述第一代理终端获取所述第一代理终端的公钥;
所述发送端设备从所述消息服务器获取所述第一代理终端的公钥,并根据所述第一代理终端的公钥对所述第一消息进行加密;
在所述第一代理终端从所述消息服务器获取所述第一消息之后,所述方法还包括:
所述第一代理终端根据所述第一代理终端的私钥对所述第一消息进行解密。
作为本发明实施例一种可选的实施方式,在所述第一代理终端将所述第一消息中的所述业务标签与各安全设备的标签进行匹配之前,所述方法还包括:
所述第二代理终端获取组成所述安全防护系统的各安全设备的标签。
作为本发明实施例一种可选的实施方式,所述第三代理终端根据所述业务标签将所述目标消息发送至对应的业务系统,包括:
所述第三代理终端将所述业务标签与各个业务系统的标签进行匹配,并将所述目标消息发送至与所述业务标签匹配的业务系统。
作为本发明实施例一种可选的实施方式,在所述第二代理终端调用所述目标安全设备的API对所述目标安全设备进行版本升级或者策略设置之前,所述方法还包括:
所述第二代理终端对所述目标消息进行完整性验证。
作为本发明实施例一种可选的实施方式,在所述发送端设备向所述消息服务器发送第一消息之前,所述方法还包括:
所述发送端设备根据所述目标消息的最终目的设备,获取所述目标消息的业务标签;
当所述目标消息的最终目的设备为任一安全设备时,所述目标消息的业务标签为该安全设备的标签,当所述目标消息的最终目的设备为任一业务系统时,所述目标消息的业务标签为该业务系统的标签。
作为本发明实施例一种可选的实施方式,在所述第一代理终端从所述消息服务器获取所述第一消息之前,所述方法还包括:
所述第一代理终端通过防火墙端口与所述消息服务器建立连接。
第二方面,本发明实施例提供一种网络数据传输系统,包括:发送端设备、第一代理终端、消息服务器、第二代理终端、至少一个安全设备组成的安全防护系统、第三代理终端以及至少一个业务系统,用于执行时实现上述第一方面或第一方面的任一实施方式所述的网络数据传输方法。
第三方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述第一方面或第一方面的任一实施方式所述的网络数据传输方法。
本发明实施例提供的网络数据传输方法,应用于网络数据传输系统,系统包括:发送端设备、第一代理终端、消息服务器、第二代理终端、至少一个安全设备组成的安全防护系统、第三代理终端以及至少一个业务系统。当发送端设备需要向业务系统或安全设备发送目标消息时,发送端设备向消息服务器发送第一消息;第一代理终端从消息服务器获取所述第一消息,并将第一消息中的所述业务标签与各安全设备的标签进行匹配,若所述业务标签与目标安全设备的标签匹配,则将目标消息发送至第二代理终端,若所述业务标签与各安全设备的标签均不匹配,则将目标消息和业务标签发送至安全防护系统;在第二代理终端接收到第一代理终端发送的目标消息的情况下,第二代理终端调用目标安全设备的应用程序接口API对目标安全设备进行版本升级或者策略设置;在安全防护系统接收到第一代理终端发送的目标消息和业务标签的情况下,安全防护系统对目标消息进行安全检测,并在确认目标消息安全的情况下,将目标消息和业务标签发送至第三代理终端;第三代理终端根据所述业务标签将所述目标消息发送至对应的业务系统。
在本发明实施例提供的网络数据传输方法中,由于第一代理终端可以通过端口与消息服务器建立连接,并通过与消息服务器建立的连接传输最终目的设备为安全设备的业务数据或者最终目的设备为业务系统的业务数据,因此本发明实施例可以通过第一代理终端、第二代理终端、第三代理终端这种三级代理的模式,在层级系统之间建立桥接,减少各层级系统的耦合性,进而实现通过一个端口实现多种业务数据的传输。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所述的网络数据传输系统的系统架构示意图;
图2为本发明实施例所述的网络数据传输系统的交互流程示意图;
图3为本发明实施例所述的电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面将对本发明的方案进行进一步描述。需要说明的是,在不冲突的情况下,本发明的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本发明还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本发明的一部分实施例,而不是全部的实施例。
本发明的说明书和权利要求书中的术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
在本发明实施例中,“示例性的”或者“例如”等词是用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。此外,在本发明实施例的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
本发明实施例提供的数据传输方法应用的网络数据传输系统的系统架构可以如图1所示。参照图1所示,该网络数据传输系统包括:
发送端设备11、第一代理终端12、消息服务器13、第二代理终端14、至少一个安全设备(图1中以3个为例示出)组成的安全防护系统15、第三代理终端16以及至少一个业务系统17。防火墙18位于局域网内,局域网内还包括:第一代理终端12、第二代理终端14、安全防护系统15、第三代理终端16、业务系统17等。。
其中,发送端设备11是指需要向局域网内发送消息的设备。具体可以为:台式电脑、笔记本电脑、手机等通讯设备。
第一代理终端12,集成在局域网内防火墙18和第二代理终端14之间;第一代理终端12用于对数据进行预处理和转发,具体的,第一代理终端12接收发送端设备11发过来的目标消息,并对目标消息进行预处理和转发。预处理包括对目标消息数据的加密、签名等,目标消息加上业务标签内容后,调用第一代理终端的公钥对目标消息加密,将加密后的数据发送到消息服务器;转发则是判断接收的消息的业务系统标签是否与各安全设备的标签匹配,如果匹配,则将目标消息发送至第二代理终端。
消息服务器13作为网络的节点,专门用来存储、转发网络上的数据与信息。消息队列是一种先进先出的数据结构,当存放消息时在队尾插入,使用消息时在队头取出。具体的,当发送端设备向局域网发送目标消息时,消息服务器首先接收发送端设备发送的目标消息,然后将消息写入消息队列。发送端设备发送给消息队列之后立即返回,再由消息队列的消费者进程从消息队列中获取数据,响应速度得到大幅改善。同时通过异步处理,将短时间高并发产生的事务消息存储在消息队列中,从而削平高峰期的并发事务。
安全防护系统15由至少一个安全设备组成,示例性的,图1中给出了三种安全设备,安全防护系统15包含入侵防御系统151(Intrusion Prevention System,IPS)、僵木蠕系统152、虚拟沙箱153等。其中,IPS是电脑网络安全设施,是对防病毒软件和防火墙的补充,IPS是一部能够监视网络或网络设备资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。僵木蠕即入侵检测系统,就是按照一定的安全策略,通过软、硬件,对网络的运行状况进行监视,尽可能发现各种攻击企图、攻击性行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。虚拟沙箱是一种按照安全策略限制程序行为的执行环境。
第三代理终端16,介于安全防护系统15和各业务系统17之间,用于在安全防护系统15检测目标消息后,根据业务标签把目标消息转发到各业务系统17。
业务系统17是局域网内的业务服务器,包括但不限于数据库服务器171、文件传输协议(File Transfer Protocol,Ftp)服务器172、邮件服务器173、远程字典服务器(RemoteDictionary Server,Redis)174。
基于图1所示的网络数据传输系统本发明实施例提供了一种应用于上述网络数据传输系统的网络数据传输方法。具体的,参照图2所示,本发明实施例提供的网络数据传输方法包括如下步骤:
S101、当所述发送端设备需要向业务系统或安全设备发送目标消息时,所述发送端设备向所述消息服务器发送第一消息。
对应的,所述消息服务器接收所述发送端设备发送的第一消息。
其中,所述第一消息包括:所述目标消息和所述目标消息的业务标签。
作为本发明实施例一种可选的实施方式,在所述发送端设备向所述消息服务器发送第一消息之前,所述方法还包括:
所述发送端设备根据所述目标消息的最终目的设备,获取所述目标消息的业务标签;
当所述目标消息的最终目的设备为任一安全设备时,所述目标消息的业务标签为该安全设备的标签,当所述目标消息的最终目的设备为任一业务系统时,所述目标消息的业务标签为该业务系统的标签。
S102、所述第一代理终端从所述消息服务器获取所述第一消息。
可选的,所述第一代理终端从所述消息服务器获取所述第一消息,包括:
所述消息服务器将所述第一消息添加到消息队列中。
所述第一代理终端对所述消息队列中的消息进行监听,并在监听到所述第一消息时从所述消息队列中获取所述第一消息。
可选的,在所述第一代理终端从所述消息服务器获取所述第一消息之前,所述方法还包括:
所述第一代理终端通过防火墙端口与所述消息服务器建立连接。
其中,防火墙位于局域网内,局域网还包括:第一代理终端、第二代理终端、安全防护系统、第三代理终端、业务系统等。
具体的,第一代理终端通过防火墙端口和消息服务器建立连接,连接成功后,当发送端设备向局域网内发送消息时,发送端设备向消息服务器发送第一消息,消息服务器把第一消息添加到消息队列中,然后第一代理终端从消息服务器上获取第一消息。
在上述实施例中,由于消息服务器将接收到的第一消息添加到消息队列中,且第一代理终端从所述消息队列中获取所述第一消息,因此上述实施例可以采用大吞吐量的消息中间件服务,提升消息的传输速度。
示例性的,中间件服务可以为kafka。kafka是一个分布式的,支持多分区、多副本,开源的基于发布订阅模式的消息引擎系统。第一代理终端把收到的版本、系统补丁等在网络传输中速率较慢的大文件采用分片的方式构成一批文件消息,然后按照业务标签内容组合后向下转发,提升了消息的传输速度,进一步能够较大的提高系统升级效率。
S103、第一代理终端将所述第一消息中的所述业务标签与各安全设备的标签进行匹配。
上述步骤S103(第一代理终端将所述第一消息中的所述业务标签与各安全设备的标签进行匹配)的实现方式可以包括如下步骤a至步骤d:
a、第一代理终端与所述第二代理终端建立连接。
b、所述第二代理终端获取组成所述安全防护系统的各安全设备的标签。
c、将所述安全防护系统的各安全设备的标签同步至所述第一代理终端。
即,所述各安全设备将自身标签发送至所述第一代理终端。
d、第一代理终端将所述第一消息中的所述业务标签与各安全设备的标签进行匹配。
示例性的,第一代理终端将所述第一消息中的所述业务标签依次与各安全设备的标签进行匹配,若某一安全设备的标签与所述第一消息中的所述业务标签匹配成功,则确定该安全设备为目标安全设备。
在上述步骤S103中,若所述业务标签与目标安全设备的标签匹配,则执行如下步骤S104。
S104、第一代理终端将所述目标消息发送至所述第二代理终端。
对应的,第二代理终端接收所述第一代理终端发送的所述目标消息。
S105、在所述第二代理终端接收到所述第一代理终端发送的所述目标消息的情况下,所述第二代理终端调用所述目标安全设备的应用程序接口API对所述目标安全设备进行版本升级或者策略设置。
示例性的,若要对某个安全设备进行升级,发送端设备发送一个版本升级的文件,调用这个安全设备的API就可以对此安全设备系统升级;如果想对某个安全设备中的某一功能进行策略调整,发送端设备就传输这个功能所需要的一些数据和命令,调用这个安全设备的API接口,就可以完成设置策略。
在上述步骤S103中,与各安全设备的标签均不匹配,则执行如下步骤S106。
S106、第一代理终端将所述目标消息和所述业务标签发送至所述安全防护系统。
对应的,安全防护系统接收所述第一代理终端发送的所述目标消息和所述业务标签。
S107、安全防护系统对所述目标消息进行安全检测,并在确认所述目标消息安全的情况下,将所述目标消息和所述业务标签发送至第三代理终端。
对应的,第三代理终端接收所述目标消息和所述业务标签。
即,在业务标签与各安全设备的标签均不匹配的情况下,目标消息会进入安全防护系统,例如,IPS系统、僵木蠕系统、虚拟沙箱等进行检测,在检测到目标消息安全的情况下,将目标消息发送至第三代理终端。
S108、所述第三代理终端根据所述业务标签将所述目标消息发送至对应的业务系统。
可选的,所述第三代理终端根据所述业务标签将所述目标消息发送至对应的业务系统,包括:
所述第三代理终端将所述业务标签与各个业务系统的标签进行匹配,并将所述目标消息发送至与所述业务标签匹配的业务系统。
上述步骤108的实现方式可以包括如下步骤a至c:
a、各业务系统与第三代理终端建立连接。
b、所述各业务系统标签同步至所述第三代理终端。
即,所述各业务系统将自身标签发送至所述第三代理终端。
c、第三代理终端根据所述业务标签将所述目标消息发送至对应的业务系统。
示例性的,一个是邮箱服务器,另一个是数据库服务器,首先给它们分配好相应的类型标识,如果是往邮箱服务器发送,那么就给消息头加上邮箱服务器的业务标签,在此处就可以根据业务标签判断,如果是邮箱服务器的业务标签,就将这段数据发送至邮箱服务器,如果是数据库服务器的业务标签,就将这段数据发送至数据库服务器。
更进一步的,当局域网内有新的业务需求时,新的业务需求对应的业务系统向第三代理终端发起注册请求,第三代理终端就会获取到这个新的业务系统的标签,然后对这个新的业务系统的标签进行公布,那么发送端设备会获取到这个新的业务系统的标签,当发送端设备需要向这个新的业务系统发消息的时候,就加上这个业务系统的标签,当第一代理终端和第三代理终端解析消息的最终目的设备为该新的业务系统时,根据业务标签就可以将消息转发到该新的业务系统。
本发明实施例提供的网络数据传输方法,应用于网络数据传输系统,系统包括:发送端设备、第一代理终端、消息服务器、第二代理终端、至少一个安全设备组成的安全防护系统、第三代理终端以及至少一个业务系统。当发送端设备需要向业务系统或安全设备发送目标消息时,发送端设备向消息服务器发送第一消息;第一代理终端从消息服务器获取所述第一消息,并将第一消息中的所述业务标签与各安全设备的标签进行匹配,若所述业务标签与目标安全设备的标签匹配,则将目标消息发送至第二代理终端,若所述业务标签与各安全设备的标签均不匹配,则将目标消息和业务标签发送至安全防护系统;在第二代理终端接收到第一代理终端发送的目标消息的情况下,第二代理终端调用目标安全设备的应用程序接口API对目标安全设备进行版本升级或者策略设置;在安全防护系统接收到第一代理终端发送的目标消息和业务标签的情况下,安全防护系统对目标消息进行安全检测,并在确认目标消息安全的情况下,将目标消息和业务标签发送至第三代理终端;第三代理终端根据所述业务标签将所述目标消息发送至对应的业务系统。
在本发明实施例提供的网络数据传输方法中,由于第一代理终端可以通过端口与消息服务器建立连接,并通过与消息服务器建立的连接传输最终目的设备为安全设备的业务数据或者最终目的设备为业务系统的业务数据,因此本发明实施例可以通过第一代理终端、第二代理终端、第三代理终端这种三级代理的模式,在层级系统之间建立桥接,减少各层级系统的耦合性,进而实现通过一个端口实现多种业务数据的传输。
可选的,在所述发送端设备向所述消息服务器发送所述第一消息之前,所述方法还包括:
所述消息服务器从所述第一代理终端获取所述第一代理终端的公钥;
所述发送端设备从所述消息服务器获取所述第一代理终端的公钥,并根据所述第一代理终端的公钥对所述第一消息进行加密;
在所述第一代理终端从所述消息服务器获取所述第一消息之后,所述方法还包括:
根据所述第一代理终端的私钥对所述第一消息进行解密。
其中,公钥和私钥是通过加密算法得到的一个密钥对,使用公钥和私钥的目的就是实现数据的安全发送。用公钥加密的内容只能用私钥解密。
由于发送端设备给第一代理终端发消息时,发送端设备会使用第一代理终端的密钥,因此只有第一代理终端的私钥能够解密加密后的消息,提升消息传输的安全性。
可选的,在所述第一代理终端将所述目标消息发送至所述目标第二代理终端之后,所述方法还包括:
所述第二代理终端对所述目标消息进行完整性验证。
数据的加解密可以保证数据被窃听者获取,也能防止窃听者知道数据的内容,但是为了更进一步提高数据传输的安全性,还需要对数据进行完整性验证,以确定收到的数据未经过窃听者的篡改。具体的,对目标消息进行完整性验证,也就是确定这个目标消息是否是发送端设备发送的数据。数据完整性校验一般使用哈希算法对数据进行校验。
本发明实施例还提供了一种电子设备,图3为本发明实施例提供的网络数据传输电子设备的结构示意图。如图3所示,本实施例提供的网络数据传输电子设备包括:存储器21和处理器22,存储器21用于存储计算机程序;处理器22用于调用计算机程序时执行上述方法实施例提供的网络数据传输方法中发送端设备或第一代理终端或消息服务器或第二代理终端或安全防护系统或第三代理终端或业务系统所执行的步骤。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例提供的网络数据传输方法。
本领域技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。
处理器可以是中央判断单元(CentralProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动存储介质。存储介质可以由任何方法或技术来实现信息存储,信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。根据本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种网络数据传输方法,其特征在于,应用于网络数据传输系统,所述网络数据传输系统包括:发送端设备、第一代理终端、消息服务器、第二代理终端、至少一个安全设备组成的安全防护系统、第三代理终端以及至少一个业务系统;所述方法包括:
当所述发送端设备需要向业务系统或安全设备发送目标消息时,所述发送端设备向所述消息服务器发送第一消息,所述第一消息包括:所述目标消息和所述目标消息的业务标签;
所述第一代理终端从所述消息服务器获取所述第一消息,并将所述第一消息中的所述业务标签与各安全设备的标签进行匹配,若所述业务标签与目标安全设备的标签匹配,则将所述目标消息发送至所述第二代理终端,若所述业务标签与各安全设备的标签均不匹配,则将所述目标消息和所述业务标签发送至所述安全防护系统;
在所述第二代理终端接收到所述第一代理终端发送的所述目标消息的情况下,所述第二代理终端调用所述目标安全设备的应用程序接口API对所述目标安全设备进行版本升级或者策略设置;
在所述安全防护系统接收到所述第一代理终端发送的所述目标消息和所述业务标签的情况下,所述安全防护系统对所述目标消息进行安全检测,并在确认所述目标消息安全的情况下,将所述目标消息和所述业务标签发送至所述第三代理终端;
所述第三代理终端根据所述业务标签将所述目标消息发送至对应的业务系统。
2.根据权利要求1所述的方法,所述第一代理终端从所述消息服务器获取所述第一消息,包括:
所述消息服务器将所述第一消息添加到消息队列中;
所述第一代理终端对所述消息队列中的消息进行监听,并在监听到所述第一消息时从所述消息队列中获取所述第一消息。
3.根据权利要求1所述的方法,在所述发送端设备向所述消息服务器发送所述第一消息之前,所述方法还包括:
所述消息服务器从所述第一代理终端获取所述第一代理终端的公钥;
所述发送端设备从所述消息服务器获取所述第一代理终端的公钥,并根据所述第一代理终端的公钥对所述第一消息进行加密;
在所述第一代理终端从所述消息服务器获取所述第一消息之后,所述方法还包括:
所述第一代理终端根据所述第一代理终端的私钥对所述第一消息进行解密。
4.根据权利要求1所述的方法,其特征在于,在所述第一代理终端将所述第一消息中的所述业务标签与各安全设备的标签进行匹配之前,所述方法还包括:
所述第二代理终端获取组成所述安全防护系统的各安全设备的标签。
5.根据权利要求1所述的方法,所述第三代理终端根据所述业务标签将所述目标消息发送至对应的业务系统,包括:
所述第三代理终端将所述业务标签与各个业务系统的标签进行匹配,并将所述目标消息发送至与所述业务标签匹配的业务系统。
6.根据权利要求1所述的方法,其特征在于,在所述第二代理终端调用所述目标安全设备的API对所述目标安全设备进行版本升级或者策略设置之前,所述方法还包括:
所述第二代理终端对所述目标消息进行完整性验证。
7.根据权利要求1所述的方法,其特征在于,在所述发送端设备向所述消息服务器发送第一消息之前,所述方法还包括:
所述发送端设备根据所述目标消息的最终目的设备,获取所述目标消息的业务标签;
当所述目标消息的最终目的设备为任一安全设备时,所述目标消息的业务标签为该安全设备的标签,当所述目标消息的最终目的设备为任一业务系统时,所述目标消息的业务标签为该业务系统的标签。
8.根据权利要求1所述的方法,其特征在于,在所述第一代理终端从所述消息服务器获取所述第一消息之前,所述方法还包括:
所述第一代理终端通过防火墙端口与所述消息服务器建立连接。
9.一种网络数据传输系统,其特征在于,包括:发送端设备、第一代理终端、消息服务器、第二代理终端、至少一个安全设备组成的安全防护系统、第三代理终端以及至少一个业务系统,用于执行权利要求1-8任一项所述的网络数据传输方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,计算机程序被处理器执行时实现权利要求1-8任一项所述的网络数据传输方法。
CN202011620592.9A 2020-12-31 2020-12-31 一种网络数据传输方法及系统 Active CN112751866B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011620592.9A CN112751866B (zh) 2020-12-31 2020-12-31 一种网络数据传输方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011620592.9A CN112751866B (zh) 2020-12-31 2020-12-31 一种网络数据传输方法及系统

Publications (2)

Publication Number Publication Date
CN112751866A true CN112751866A (zh) 2021-05-04
CN112751866B CN112751866B (zh) 2022-06-24

Family

ID=75650288

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011620592.9A Active CN112751866B (zh) 2020-12-31 2020-12-31 一种网络数据传输方法及系统

Country Status (1)

Country Link
CN (1) CN112751866B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113342380A (zh) * 2021-06-29 2021-09-03 炬星科技(深圳)有限公司 一种空中升级匹配控制系统、方法及服务器
CN114938312A (zh) * 2022-07-25 2022-08-23 北京中电普华信息技术有限公司 一种数据传输方法和装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103119976A (zh) * 2010-09-15 2013-05-22 瑞典爱立信有限公司 通信网络中经由中间单元发送受保护数据
CN103595559A (zh) * 2013-11-05 2014-02-19 深圳市远行科技有限公司 一种大数据的传输系统、传输方法及其业务系统
CN108234468A (zh) * 2017-12-28 2018-06-29 中国电子科技集团公司第三十研究所 一种基于标签的跨域数据传输保护方法
CN108270782A (zh) * 2018-01-15 2018-07-10 中国科学院信息工程研究所 一种基于安全标签的访问控制方法及系统
US20180227300A1 (en) * 2017-02-09 2018-08-09 Salesforce.Com, Inc. Secure asynchronous retrieval of data behind a firewall
CN111478968A (zh) * 2020-04-08 2020-07-31 腾讯科技(深圳)有限公司 一种数据处理方法和相关装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103119976A (zh) * 2010-09-15 2013-05-22 瑞典爱立信有限公司 通信网络中经由中间单元发送受保护数据
CN103595559A (zh) * 2013-11-05 2014-02-19 深圳市远行科技有限公司 一种大数据的传输系统、传输方法及其业务系统
US20180227300A1 (en) * 2017-02-09 2018-08-09 Salesforce.Com, Inc. Secure asynchronous retrieval of data behind a firewall
CN108234468A (zh) * 2017-12-28 2018-06-29 中国电子科技集团公司第三十研究所 一种基于标签的跨域数据传输保护方法
CN108270782A (zh) * 2018-01-15 2018-07-10 中国科学院信息工程研究所 一种基于安全标签的访问控制方法及系统
CN111478968A (zh) * 2020-04-08 2020-07-31 腾讯科技(深圳)有限公司 一种数据处理方法和相关装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113342380A (zh) * 2021-06-29 2021-09-03 炬星科技(深圳)有限公司 一种空中升级匹配控制系统、方法及服务器
CN114938312A (zh) * 2022-07-25 2022-08-23 北京中电普华信息技术有限公司 一种数据传输方法和装置
CN114938312B (zh) * 2022-07-25 2022-09-23 北京中电普华信息技术有限公司 一种数据传输方法和装置

Also Published As

Publication number Publication date
CN112751866B (zh) 2022-06-24

Similar Documents

Publication Publication Date Title
US8739272B1 (en) System and method for interlocking a host and a gateway
RU2756048C2 (ru) Адресация доверенной среды исполнения с использованием ключа шифрования
US8447970B2 (en) Securing out-of-band messages
US8800024B2 (en) System and method for host-initiated firewall discovery in a network environment
US8312261B2 (en) Method and system for verification of an endpoint security scan
US8661252B2 (en) Secure network address provisioning
EP2248057B1 (en) Safe file transmission and reputation lookup
CN106992851B (zh) 基于TrustZone的数据库文件口令加解密方法、装置及终端设备
US10700865B1 (en) System and method for granting secure access to computing services hidden in trusted computing environments to an unsecure requestor
CN112751866B (zh) 一种网络数据传输方法及系统
US10440038B2 (en) Configuration management for network activity detectors
US7607006B2 (en) Method for asymmetric security
US20180255068A1 (en) Protecting clients from open redirect security vulnerabilities in web applications
CN110235134B (zh) 使用洁净室供应来寻址可信执行环境
US20210112040A1 (en) Encrypted server name indication inspection
Che Fauzi et al. On cloud computing security issues
CN113542274A (zh) 一种跨网域数据传输方法、装置、服务器及存储介质
US7644266B2 (en) Apparatus, system, and method for message level security
US11227032B1 (en) Dynamic posture assessment to mitigate reverse engineering
US9621586B2 (en) Methods and apparatus for enhancing business services resiliency using continuous fragmentation cell technology
WO2021027504A1 (zh) 基于共识协议的信息处理方法及相关装置
CN114861144A (zh) 基于区块链的数据权限处理方法
Dimitrov et al. Challenges and new technologies for addressing security in high performance distributed environments
US20230239138A1 (en) Enhanced secure cryptographic communication system
Kumar et al. Different Security Threats and its Prevention in Computer Network.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant