CN113542274A - 一种跨网域数据传输方法、装置、服务器及存储介质 - Google Patents

Abstract

本申请提供一种跨网域数据传输方法、装置、服务器及存储介质，涉及互联网技术领域。该方法应用于跨网域数据传输系统中的源代理服务器，该方法包括：接收源服务器发送的访问请求，该访问请求中包括目标服务器的标识；对该访问请求进行解析，生成访问请求文本；对该访问请求文本进行安全校验，得到安全校验结果；若该安全校验结果指示该访问请求文本安全，则将该访问请求文本通过第一单向传输设备以及目标代理服务器发送至目标服务器；通过目标代理服务器以及第二单向传输设备接收目标服务器发送的响应信息，并将该响应信息发送至源服务器。应用本申请实施例，可以保证跨网域数据传输的安全性。

Description

一种跨网域数据传输方法、装置、服务器及存储介质

技术领域

本申请涉及互联网技术领域，具体而言，涉及一种数跨网域数据传输方法、装置、服务器及存储介质。

背景技术

随着互联网技术的快速发展，各个行业对自身的数据安全有了更高的要求，在有些业务场景下，内部业务数据需要访问外部资源，外部数据也需要导入内部业务系统，为了满足其跨网域访问和数据跨网域同步的需求，各个行业建立了信息通信网络。

目前，信息通信网络中的代理服务器主要用于将不同网域中的数据进行转发，然而，在对跨网域数据进行转发的过程中，往往不能保证网跨域数据传输的安全性。

发明内容

本申请的目的在于，针对上述现有技术中的不足，提供一种跨网域数据传输方法、装置、服务器备及存储介质，可以保证网跨域数据传输的安全性。

为实现上述目的，本申请实施例采用的技术方案如下：

第一方面，本申请实施例提供了一种跨网域数据传输方法，应用于跨网域数据传输系统中的源代理服务器，所述跨网域数据传输系统包括源服务器、所述源代理服务器、目标代理服务器、第一单向传输设备、第二单向传输设备、目标服务器；其中，所述源服务器与所述源代理服务器通信连接；所述第一单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接，所述第二单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接；所述目标代理服务器与所述目标服务器通信连接；所述方法包括：

接收所述源服务器发送的访问请求，所述访问请求中包括所述目标服务器的标识；

对所述访问请求进行解析，生成访问请求文本；

对所述访问请求文本进行安全校验，得到安全校验结果；

若所述安全校验结果指示所述访问请求文本安全，则将所述访问请求文本通过所述第一单向传输设备以及所述目标代理服务器发送至所述目标服务器；

通过所述目标代理服务器以及所述第二单向传输设备接收所述目标服务器发送的响应信息，并将所述响应信息发送至所述源服务器。

可选地，所述对所述访问请求进行解析，生成访问请求文本，包括：

根据所述访问请求对应的用户信息以及预先设置的白名单，判断所述用户信息是否为所述白名单中的用户信息，其中，所述白名单中包括至少一个属于安全的用户信息；

若所述用户信息为所述白名单中的用户信息，则对所述访问请求进行解析，生成访问请求文本。

可选地，所述方法还包括：

若所述用户信息不为所述白名单中的用户信息，则将所述访问请求进行备份并且不解析所述访问请求。

可选地，所述将所述访问请求文本通过所述第一单向传输设备以及所述目标代理服务器发送至所述目标服务器，包括：

根据目标协议的格式，将所述访问请求文本转化为符合所述目标协议的目标文本；

根据预先生成的秘钥对所述目标文本进行加密，得到加密后的目标文本；

将所述加密后的目标文本通过所述第一单向传输设备发送至所述目标代理服务器，经所述目标代理服务器对所述加密后的目标文本进行解密后的结果发送至所述目标服务器。

第二方面，本申请实施例提供了一种跨网域数据传输方法，应用于跨网域数据传输系统中的目标代理服务器，所述跨网域数据传输系统包括源服务器、源代理服务器、所述目标代理服务器、第一单向传输设备、第二单向传输设备、目标服务器；其中，所述源服务器与所述源代理服务器通信连接；所述第一单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接，所述第二单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接；所述目标代理服务器与所述目标服务器通信连接；所述方法包括：

接收所述源代理服务器通过所述第一单向传输设备发送的访问请求文本，并将所述访问请求文本发送至所述目标服务器；

接收所述目标服务器的响应信息，并对所述响应信息进行安全校验，得到安全校验结果；

若所述安全校验结果指示所述响应信息安全，则将所述响应信息通过所述第二单向传输设备以及所述源代理服务器发送至所述源服务器。

可选地，所述将所述响应信息通过所述第二单向传输设备以及所述源代理服务器发送至所述源服务器，包括：

根据指定协议的格式，将所述响应信息转化为符合所述指定协议的响应文本；

根据预先生成的秘钥对所述响应文本进行加密，得到加密后的响应文本；

将所述加密后的响应文本通过所述第二单向传输设备发送至所述源代理服务器，经所述源代理服务器对所述加密后的响应文本进行解密后的结果发送至所述源服务器。

可选地，所述方法还包括：

若所述安全校验结果指示所述响应信息不安全，则将所述响应信息的不安全指示通过所述第二单向传输设备以及所述源代理服务器发送至所述源服务器。

第三方面，本申请实施例提供了一种跨网域数据传输装置，应用于跨网域数据传输系统中的源代理服务器，所述跨网域数据传输系统包括源服务器、所述源代理服务器、目标代理服务器、第一单向传输设备、第二单向传输设备、目标服务器；其中，所述源服务器与所述源代理服务器通信连接；所述第一单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接，所述第二单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接；所述目标代理服务器与所述目标服务器通信连接；所述装置包括：

第一接收模块，用于接收所述源服务器发送的访问请求，所述访问请求中包括所述目标服务器的标识；

第一解析模块，用于对所述访问请求进行解析，生成访问请求文本；

第一校验模块，用于对所述访问请求文本进行安全校验，得到安全校验结果；

第一发送模块，用于若所述安全校验结果指示所述访问请求文本安全，则将所述访问请求文本通过所述第一单向传输设备以及所述目标代理服务器发送至所述目标服务器；

第二接收模块，用于通过所述目标代理服务器以及所述第二单向传输设备接收所述目标服务器发送的响应信息，并将所述响应信息发送至所述源服务器。

可选地，所述第一解析模块，具体用于根据所述访问请求对应的用户信息以及预先设置的白名单，判断所述用户信息是否为所述白名单中的用户信息，其中，所述白名单中包括至少一个属于安全的用户信息；若所述用户信息为所述白名单中的用户信息，则对所述访问请求进行解析，生成访问请求文本。

所述装置还包括：第一备份模块；所述第一备份模块，用于若所述用户信息不为所述白名单中的用户信息，则将所述访问请求进行备份并且不解析所述访问请求。

可选地，所述第一发送模块，具体用于根据目标协议的格式，将所述访问请求文本转化为符合所述目标协议的目标文本；根据预先生成的秘钥对所述目标文本进行加密，得到加密后的目标文本；将所述加密后的目标文本通过所述第一单向传输设备发送至所述目标代理服务器，经所述目标代理服务器对所述加密后的目标文本进行解密后的结果发送至所述目标服务器。

第四方面，本申请实施例还提供了一种跨网域数据传输装置，应用于跨网域数据传输系统中的目标代理服务器，所述跨网域数据传输系统包括源服务器、源代理服务器、所述目标代理服务器、第一单向传输设备、第二单向传输设备、目标服务器；其中，所述源服务器与所述源代理服务器通信连接；所述第一单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接，所述第二单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接；所述目标代理服务器与所述目标服务器通信连接；所述装置包括：

第三接收模块，用于接收所述源代理服务器通过所述第一单向传输设备发送的访问请求文本，并将所述访问请求文本发送至所述目标服务器；

第二检验模块，用于接收所述目标服务器的响应信息，并对所述响应信息进行安全校验，得到安全校验结果；

第二发送模块，用于若所述安全校验结果指示所述响应信息安全，则将所述响应信息通过所述第二单向传输设备以及所述源代理服务器发送至所述源服务器。

可选地，所述第二发送模块，具体用于根据指定协议的格式，将所述响应信息转化为符合所述指定协议的响应文本；根据预先生成的秘钥对所述响应文本进行加密，得到加密后的响应文本；将所述加密后的响应文本通过所述第二单向传输设备发送至所述源代理服务器，经所述源代理服务器对所述加密后的响应文本进行解密后的结果发送至所述源服务器。

可选地，所述第二发送模块，还具体用于若所述安全校验结果指示所述响应信息不安全，则将所述响应信息的不安全指示通过所述第二单向传输设备以及所述源代理服务器发送至所述源服务器。

第五方面，本申请实施例提供了一种服务器，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当所述服务器运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行上述第一方面或第二方面的所述跨网域数据传输方法的步骤。

第六方面，本申请实施例提供了一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述第一方面或第二方面的所述跨网域数据传输方法的步骤。

本申请的有益效果是：

本申请实施例提供一种跨网域数据传输方法、装置、服务器及存储介质，该方法应用于跨网域数据传输系统中的源代理服务器，该方法包括：接收源服务器发送的访问请求，该访问请求中包括目标服务器的标识；对该访问请求进行解析，生成访问请求文本；对该访问请求文本进行安全校验，得到安全校验结果；若该安全校验结果指示该访问请求文本安全，则将该访问请求文本通过第一单向传输设备以及目标代理服务器发送至目标服务器；通过目标代理服务器以及第二单向传输设备接收目标服务器发送的响应信息，并将该响应信息发送至源服务器。

采用本申请实施例提供的跨网域数据传输方法，源代理服务器在解析生成访问请求文本后，需要对该访问请求文本进行安全检查，在该访问请求文本安全的前提下，才将该访问请求文本发送至第一单向传输设备，进而再通过目标代理服务器传输至目标服务器，目标服务器对该访问请求做出响应后，可通过目标代理服务器、第二单向传输设备将响应信息发送至源服务器。这样可以避免源服务器端的敏感信息泄露的风险，即可以保证跨网域数据传输的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种跨网域数据传输系统的场景示意图；

图2为本申请实施例提供的一种跨网域数据传输方法的流程示意图；

图3为本申请实施例提供的另一种跨网域数据传输方法的流程示意图；

图4为本申请实施例提供的又一种跨网域数据传输方法的流程示意图；

图5为本申请实施例的另一种跨网域数据传输方法的流程示意图；

图6为本申请实施例提供的又一种跨网域数据传输方法的流程示意图；

图7为本申请实施例提供的一种跨网域数据传输方法的流程示意图；

图8为本申请实施例提供的一种跨网域数据传输装置的结构示意图；

图9为本申请实施例提供的另一种跨网域数据传输装置的结构示意图；

图10为本申请实施例提供的一种服务器的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在对本申请实施例进行详细解释之前，首先对本申请的应用场景予以介绍。该应用场景具体可以为对跨网域的数据进行传输的场景，其中，跨网域可以理解成两个不同的网络，如数据从局域网传输到公网，或者数据从一种局域网传输到另一种局域网，本申请不对其进行限定。图1为本申请实施例提供的一种跨网域数据传输系统的场景示意图，如图1所示，该系统包括源服务器101、源代理服务器102、第一单向传输设备103、第二单向传输设备104、目标代理服务器105、目标服务器106。

源服务器101与源代理服务器102通信连接；第一单向传输设备103分别与源代理服务器102、目标代理服务器105通信连接，第二单向传输设备104分别与源代理服务器102、目标代理服务器105通信连接；目标代理服务器105与目标服务器106通信连接。

首先需要说明的是，图1中的服务器为源服务器101还是目标服务器106，以及代理服务器为源代理服务器102还是目标代理服务器105，主要是根据访问请求的传输方向决定的，源服务器是发送访问请求的服务器，目标服务器是接收访问请求、并对访问请求做出响应的一方，与源服务器属于同一个网域的代理服务器为源代理服务器，与目标服务器属于同一个网域的代理服务器为目标代理服务器。也就是说，图1中的源服务器101也可以为目标服务器，源代理服务器102也可以为目标代理服务器，目标服务器106也可以为源服务器，目标代理服务器105也可以为源代理服务器，本申请不对其进行限定。

下述以图1中展示的场景进行说明，即源服务器101向目标服务器106发起访问请求，其中，源服务器101与源代理服务器102位于网域A中，目标代理服务器105与目标服务器106位于网域B中，网域A和网络B是两个不同的网络，如局域网和公网。第一单向传输设备103只会接收源代理服务器102发送的数据，并将该数据传输至目标代理服务器105；第二单向传输设备104只会接收目标代理服务器105发送的数据，并将该数据发送至源代理服务器102，也就是说，第一单向传输设备103、第二单向传输设备104具有单向传输特性，可结合第一单向传输设备103、第二单向传输设备104实现双向通信。

源服务器101的具体形态可以为物理服务器、云服务器或者客户端等，本申请不对其进行限定，比如用户可通过终端上的客户端进行触发操作，生成访问目标服务器106资源的访问请求，该访问请求可为HTTP(Hyper Text Transfer Protocol，超文本传输协议)请求或者HTTPS(Hyper Text Transfer Protocol over Secure Socket Laye，超文本传输安全协议)请求，也可以为其他协议格式的访问请求，本申请不对其进行限定。

源代理服务器102接收该访问请求，并可通过下述实施例的方式对该访问请求进行安全操作，将进行安全操作后的访问请求信息通过第一单向传输设备103发送至目标代理服务器105，目标代理服务器105解析出访问请问后，可将该访问请求发送至目标服务器106；目标服务器106对该访问请求做出响应，生成响应信息，并同时将该响应信息发送至目标代理服务器105，其中，目标服务器106具体形态可包括物理服务器、云服务器等。目标代理服务器105可通过下述实施例的方式对该响应信息进行安全操作，将进行安全操作后的响应信息通过第二单向传输设备104发送至源代理服务器102，源代理服务器102可解析进行安全操作后的响应信息，并将解析结果，即响应信息发送至源服务器101。

如下结合附图对本申请所提到的跨网域数据传输方法进行示例说明。图2为本申请实施例提供的一种跨网域数据传输方法的流程示意图，该方法可应用于上述提到的跨网域数据传输系统中的源代理服务器。如图2所示，该方法可以包括：

S201、接收源服务器发送的访问请求，该访问请求中包括目标服务器的标识。

其中，可根据预先设置的路由转发策略将A网域源服务器生成的访问请求发送至源代理服务器，也就是说，源服务器与源代理服务器之间设置有源路由器，该源路由器可连接有多个源代理服务器，该源路由器根据源服务器发送的访问请求中的目标服务器的IP地址，可将该访问请求发送至源代理服务器。该访问请求可为HTTP/HTTPS请求，也可为其他协议格式的访问请求，本申请不对其进行限定。

通过预先设置的路由转发策略可以在用户利用非浏览器(如客户端)去访问目标服务器时，可避免将访问请求中的目标服务器的IP地址修改为源代理服务器的IP地址的情况，这样可以提高用户的体验度，可以使源代理服务器的使用灵活性提高。

S202、对该访问请求进行解析，生成访问请求文本。

S203、对该访问请求文本进行安全校验，得到安全校验结果。

其中，属于A网域的源代理服务器中的访问请求处理线程池可调用访问线程解析协议对该访问请求进行解析，将该访问请求中的数据转化为文本，即生成访问请求文本。可选地，可根据源服务器对应的业务所属敏感关键字列表对该访问请求文本进行扫描，其中，业务所属敏感关键字列表中的内容可根据业务需求进行灵活配置，和/或，对该访问请求进行病毒检查等，该安全校验结果中可包括该访问请求文本安全或该访问请求文本不安全内容。

需要说明的是，可预先根据源代理服务器的所需的功能对源代理服务器进行信息配置，具体可如下：

server:

port:18228//服务端口

trans:1//单向传输设备类型1

avscan:true//是否杀毒

keyscan:true//是否关键字扫描

可以看出，源代理服务器接收访问请求的端口为18228，将访问请求的相关信息会发送给第一单向传输设备(单向传输设备类型1)，可对访问请求文本进行杀毒检查以及关键字扫描检查，需要说明的是，本申请不对源代理服务器的具体功能进行限定。

S204、若该安全校验结果指示该访问请求文本安全，则将该访问请求文本通过第一单向传输设备以及目标代理服务器发送至目标服务器。

具体的，假设安全校验具体为根据源服务器对应的业务所属敏感关键字列表对该访问请求文本进行扫描，若该访问请求文本中不包括该敏感关键字列表中的敏感关键字，或者与该敏感关键字列表中相匹配的敏感关键字的数量没有超过阈值，那么该安全校验结果指示该访问请求文本安全，在该访问请求文本安全的前提下，属于A网域的源代理服务器才会将该访问文本发送至第一单向传输设备，第一单向传输设备再将该访问文本转发至属于B网域的目标代理服务器，将该访问请求文本还原成预设协议规格的访问请求，进而将该访问请求发送至目标服务器。

若该访问请求文本中包括该敏感关键字列表中的敏感关键字，或者与该敏感关键字列表中相匹配的敏感关键字的数量超过阈值，那么该安全校验结果指示该访问请求文本不安全，则源代理服务器可将该访问请求文本进行备份，并不将该访问文本发送至第一单向传输设备。

可以看出，源代理服务器对访问请求进行安全检测，这样可以避免源服务器端的私有信息发生外泄的可能，及时阻断涉密数据的泄漏，保证了不同网域之间传输数据的安全性。

S205、通过目标代理服务器以及第二单向传输设备接收目标服务器发送的响应信息，并将响应信息发送至源服务器。

其中，目标服务器在接收到访问请求后，可对该访问请求做出响应，得到响应信息，该响应信息可通过目标代理服务器、第二单向传输设备传输至源代理服务器，进而源代理服务器将该响应信息转发至源服务器，可将该响应信息通过客户端展示给用户。

需要说明的是，源代理服务器中用于接收访问请求的线程在超过预设时段还没接收到访问请求时，该用于接收访问请求的线程可处于休眠状态，若在预设时段内接收到访问请求时，该用于接收访问请求的线程被唤醒；源代理服务器中用于接收响应信息的线程在超过预设时段还没接收到响应信息时可处于休眠状态，若在预设时段内接收到响应信息，该用于接收响应信息的线程被唤醒，这样可以减轻源代理服务器的工作负载。

综上所述，本申请提供的跨网域数据传输方法中，源代理服务器在解析生成访问请求文本后，需要对该访问请求文本进行安全检查，在该访问请求文本安全的前提下，才将该访问请求文本发送至第一单向传输设备，进而再通过目标代理服务器传输至目标服务器，目标服务器对该访问请求做出响应后，可通过目标代理服务器、第二单向传输设备将响应信息发送至源服务器。这样可以避免源服务器端的敏感信息泄露的风险，即可以保证跨网域数据传输的安全性。

图3为本申请实施例提供的另一种跨网域数据传输方法的流程示意图。可选地，如图3所示，上述对该访问请求进行解析，生成访问请求文本，包括：

S301、根据该访问请求对应的用户信息以及预先设置的白名单，判断该用户信息是否为该白名单中的用户信息。

S302、若该用户信息为该白名单中的用户信息，则对该访问请求进行解析，生成访问请求文本。

其中，该白名单中包括至少一个属于安全的用户信息，该用户信息可指用户的账户信息，如用户名。源代理服务器可该访问请求确定对应的用户信息，将该用户信息与该白名单中的用户信息进行匹配，根据匹配度确定该白名单中是否包括该用户信息，若匹配度满足预设要求，即该白名单中包括该用户信息，那么证明该访问请求对应的用户信息安全，也就是说，该访问请求中的内容是安全的，在此前提下，源代理服务器才对该访问请求进行解析，将该访问请求转换为访问请求文本。

可以看出，在确保是安全用户触发生成该访问请求的前提下，源代理服务器才对该访问请求进行解析，这样可以减少源代理服务器的工作量，提高数据传输的安全性。

可选地，该源代理服务器中也可预先存储与该白名单对立的黑名单，该黑名单中包括至少一个不安全的用户信息，根据黑名单判断该访问请求对应的用户信息是否安全。

可选地，该方法还可以包括：若用户信息不为白名单中的用户信息，则将该访问请求进行备份并且不解析所述访问请求。

其中，将该用户信息与该白名单中的用户信息进行匹配，根据匹配度确定该白名单中是否包括该用户信息，若匹配度不满足预设要求，即该白名单中不包括该用户信息，那么证明该访问请求对应的用户信息不安全，进而源代理服务器不会对该访问请求进行解析，并且还可以将该访问请求进行备份，方便日后查找问题溯源。

图4为本申请实施例提供的又一种跨网域数据传输方法的流程示意图。可选地，如图4所示，上述将该访问请求文本通过第一单向传输设备以及目标代理服务器发送至目标服务器，包括：

S401、根据目标协议的格式，将该访问请求文本转化为符合该目标协议的目标文本。

其中，源代理服务器上的访问请求处理线程池可调用访问线程解析协议对该访问请求进行解析，将该访问请求中的数据转化为文本，即生成访问请求文本，在该访问请求文本通过安全检查后，可根据目标协议格式，提取该访问请求文本中的完整数据以及一些必要信息，得到目标文本：

需要说明的是，本申请不对该目标文本中的具体内容进行限定。

S402、根据预先生成的秘钥对该目标文本进行加密，得到加密后的目标文本。

其中，源代理服务器与目标代理服务器在TCP(Transmission Control Protocol，传输控制协议)三次握手后，进行证书交换，可生成会话秘钥，将秘钥预先存储在源代理服务器、目标代理服务器上。在源代理服务器根据目标协议将该访问请求文本转换为目标文本后，可根据秘钥对该目标文本进行加密。

S403、将该加密后的目标文本通过第一单向传输设备发送至目标代理服务器，经目标代理服务器对加密后的目标文本进行解密后的结果发送至目标服务器。

其中，源代理服务器可将加密后的目标文本传输至第一单向传输设备，也就是说，源代理服务器与第一单向传输设备之间传输的数据(目标文本)进行了加密，第一单项传输设备再将加密后的目标文本发送至属于B网域的目标代理服务器，目标代理服务器可根据预先存储的密钥对加密后的目标文本进行解密，将解密后的结果，即解密后得到的访问请求发送至目标服务器。可以看出，源代理服务器与第一单向传输设备之间传输的数据(目标文本)进行了加密，这样可以避免目标文本中的内容发生丢失的可能，保证了数据传输的保密性，即使被窃取也无法还原。

图5为本申请实施例的另一种跨网域数据传输方法的流程示意图，该方法可应用于上述提到的跨网域数据传输系统中的目标代理服务器。如图5所示，该方法可以包括：

S501、接收源代理服务器通过第一单向传输设备发送的访问请求文本，并将所述访问请求文本发送至目标服务器。

其中，属于B网域的目标代理服务器接收到属于A网域的源代理服务器通过第一单向传输设备发送的访问请求文本后，可预先对该访问请求文本进行解析，从该访问请求文本中解析出访问请求，如HTTP/HTTPS请求，目标代理服务器可将该访问请求提交给请求线程，通过该请求线程访问目标服务器的目标地址，即该访问请求发送至目标服务器。

进一步的，若访问请求个数较多时，可通过请求线程对多个访问请求进行排队处理，减轻了目标服务器的负载，并且还可以在B网域中部署多个目标代理服务器，使用集群部署和负载均衡的方式实现目标代理服务器交换能力的扩展。

S502、接收目标服务器的响应信息，并对响应信息进行安全校验，得到安全校验结果。

S503、若该安全校验结果指示该响应信息安全，则将该响应信息通过第二单向传输设备以及源代理服务器发送至源服务器。

其中，目标服务器基于访问请求做出响应，生成响应信息，并将该响应信息发送至目标代理服务器。可选的，可根据目标服务器对应的业务所属敏感关键字列表对该响应信息进行扫描，其中，业务所属敏感关键字列表中的内容可根据业务需求进行灵活配置，和/或，对该响应信息进行病毒检查等，该安全校验结果中可包括该响应信息安全或该响应信息不安全内容。

假设安全校验具体为根据目标服务器对应的业务所属敏感关键字列表对该响应信息进行扫描，若该响应信息中不包括该敏感关键字列表中的敏感关键字，或者与该敏感关键字列表中匹配的敏感关键字的数量没有超过阈值，那么该安全校验结果指示该响应信息安全，在该响应信息安全的前提下，属于B网域的目标代理服务器才会将该响应信息发送至第二单向传输设备，第二单向传输设备再将该响应信息转发至属于A网域的源代理服务器，进而该源代理服务器将该响应信息发送至源服务器。

可以看出，目标代理服务器对目标服务器生成的响应信息进行安全检测，这样可以避免目标服务器端的私有信息发生外泄的可能，保证了传输数据的安全性。

图6为本申请实施例提供的又一种跨网域数据传输方法的流程示意图。可选地，如图6所示，上述将响应信息通过第二单向传输设备以及源代理服务器发送至源服务器，包括：

S601、根据指定协议的格式，将该响应信息转化为符合该指定协议的响应文本。

S602、根据预先生成的秘钥对该响应文本进行加密，得到加密后的响应文本。

其中，在安全检验结果为响应信息安全后，目标代理服务器可根据指定协议的格式，提取该响应信息中的完整数据以及一些必要内容，进而得到响应文本。属于A网域的源代理服务器与属于B网域的目标代理服务器在TCP三次握手后，可生成会话秘钥，密钥会预先存储在目标代理服务器、源代理服务器上，在目标代理服务器得到响应文本后，可根据预先存储的密钥对响应文本进行加密，进而得到加密后的响应文本。

S603、将加密后的响应文本通过第二单向传输设备发送至源代理服务器，经源代理服务器对加密后的响应文本进行解密后的结果发送至源服务器。

其中，目标代理服务器可将加密后的响应文本传输至第二单向传输设备中，也就是说，目标代理服务器与第二单向传输设备之间传输的数据(目标文本)进行了加密，第二单项传输设备再将加密后的响应文本发送至属于A网域的源代理服务器，源代理服务器可根据预先存储的密钥对加密后的响应文本进行解密，将解密后的结果，即解密后得到的响应信息发送至源服务器。可以看出，目标代理服务器与第二单向传输设备之间传输的数据(响应文本)进行了加密这样可以避免响应文本中的内容发生丢失的可能，保证了数据传输的保密性，即使被窃取也无法还原。

可选地，该方法还可以包括：若安全校验结果指示该响应信息不安全，则将该响应信息的不安全指示通过第二单向传输设备以及源代理服务器发送至源服务器。

其中，若该响应信息中包括该敏感关键字列表中的敏感关键字，或者与该敏感关键字列表中相匹配的敏感关键字的数量没有超过阈值，那么该安全校验结果指示该响应信息不安全，则目标代理服务器可将该响应信息进行备份，并且目标代理服务器生成该响应信息对应的不安全指示，将该不安全指示通过第二单向传输设备以及源代理服务器发送至源服务器。这样可以保证在不同网域中数据传输的安全性。

图7为本申请实施例提供的一种跨网域数据传输方法的流程示意图，如图7所示，该方法包括：

S701、源代理服务器接收源服务器发送的访问请求。

S702、源代理服务器对该访问请求进行解析，生成访问请求文本。

S703、源代理服务器对该访问请求文本进行安全校验，得到安全校验结果。

S704、若安全校验结果指示该访问请求文本安全，则源代理服务器将访问请求文本通过第一单向传输设备以及目标代理服务器发送至目标服务器。

S705、目标代理服务器接收该源代理服务器通过第一单向传输设备发送的访问请求文本，并将该访问请求文本发送至目标服务器。

S706、目标代理服务器接收目标服务器的响应信息，并对该响应信息进行安全校验，得到安全校验结果。

S707、若安全校验结果指示该响应信息安全，则目标代理服务器将该响应信息通过第二单向传输设备以及源代理服务器发送至源服务器。

S708、源代理服务器通过目标代理服务器以及第二单向传输设备接收目标服务器发送的响应信息，并将该响应信息发送至源服务器。

对于该方法的具体有关内容可参见前述方法实施例的相关部分，本申请在此不再赘述。

图8为本申请实施例提供的一种跨网域数据传输装置的结构示意图，该装置应用于上述提到的跨网域数据传输系统中的源代理服务器，该装置基本原理及产生的技术效果与前述对应的方法实施例相同，为简要描述，本实施例中未提及部分，可参考方法实施例中的相应内容。如图8所示，该装置可以包括：

第一接收模块801，用于接收源服务器发送的访问请求，该访问请求中包括目标服务器的标识；

第一解析模块802，用于对该访问请求进行解析，生成访问请求文本；

第一校验模块803，用于对该访问请求文本进行安全校验，得到安全校验结果；

第一发送模块804，用于若该安全校验结果指示该访问请求文本安全，则将该访问请求文本通过第一单向传输设备以及目标代理服务器发送至目标服务器；

第二接收模块805，用于通过目标代理服务器以及第二单向传输设备接收目标服务器发送的响应信息，并将响应信息发送至源服务器。

可选地，第一解析模块802，具体用于根据访问请求对应的用户信息以及预先设置的白名单，判断用户信息是否为白名单中的用户信息，其中，白名单中包括至少一个属于安全的用户信息；若用户信息为白名单中的用户信息，则对访问请求进行解析，生成访问请求文本。

该装置还包括：第一备份模块；第一备份模块，用于若用户信息不为白名单中的用户信息，则将访问请求进行备份并且不解析访问请求。

可选地，第一发送模块804，具体用于根据目标协议的格式，将访问请求文本转化为符合目标协议的目标文本；根据预先生成的秘钥对目标文本进行加密，得到加密后的目标文本；将加密后的目标文本通过第一单向传输设备发送至目标代理服务器，经目标代理服务器对加密后的目标文本进行解密后的结果发送至目标服务器。

图9为本申请实施例提供的另一种跨网域数据传输装置的结构示意图，该装置应用于上述提到的跨网域数据传输系统中的目标代理服务器，该装置基本原理及产生的技术效果与前述对应的方法实施例相同，为简要描述，本实施例中未提及部分，可参考方法实施例中的相应内容。如图9所示，该装置可以包括：

第三接收模块901，用于接收源代理服务器通过第一单向传输设备发送的访问请求文本，并将该访问请求文本发送至目标服务器；

第二检验模块902，用于接收目标服务器的响应信息，并对该响应信息进行安全校验，得到安全校验结果；

第二发送模块903，用于若该安全校验结果指示该响应信息安全，则将该响应信息通过第二单向传输设备以及源代理服务器发送至源服务器。

可选地，第二发送模块903，具体用于根据指定协议的格式，将响应信息转化为符合指定协议的响应文本；根据预先生成的秘钥对响应文本进行加密，得到加密后的响应文本；将加密后的响应文本通过第二单向传输设备发送至源代理服务器，经源代理服务器对加密后的响应文本进行解密后的结果发送至源服务器。

可选地，第二发送模块903还具体用于若安全校验结果指示响应信息不安全，则将响应信息的不安全指示通过第二单向传输设备以及源代理服务器发送至源服务器。

上述装置用于执行前述实施例提供的方法，其实现原理和技术效果类似，在此不再赘述。

以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(Central Processing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

图10为本申请实施例提供的一种服务器的结构示意图，如图10所示，该服务器在执行上述附图2至附图4对应的方法时为源代理服务器，该服务器在执行上述附图5至附图6对应的方法时为目标代理服务器，该服务器可以包括：处理器1001、存储介质1002和总线1003，存储介质1002存储有处理器1001可执行的机器可读指令，当该服务器运行时，处理器1001与存储介质1002之间通过总线1003通信，处理器1001执行机器可读指令，以执行上述方法实施例的步骤。具体实现方式和技术效果类似，这里不再赘述。

可选地，本申请还提供一种存储介质，存储介质上存储有计算机程序，计算机程序被处理器运行时执行上述方法实施例的步骤。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(英文：processor)执行本申请各个实施例方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文：Read-Only Memory，简称：ROM)、随机存取存储器(英文：Random Access Memory，简称：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。以上仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (10)

1.一种跨网域数据传输方法，其特征在于，应用于跨网域数据传输系统中的源代理服务器，所述跨网域数据传输系统包括源服务器、所述源代理服务器、目标代理服务器、第一单向传输设备、第二单向传输设备、目标服务器；其中，所述源服务器与所述源代理服务器通信连接；所述第一单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接，所述第二单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接；所述目标代理服务器与所述目标服务器通信连接；所述方法包括：

接收所述源服务器发送的访问请求，所述访问请求中包括所述目标服务器的标识；

对所述访问请求进行解析，生成访问请求文本；

对所述访问请求文本进行安全校验，得到安全校验结果；

若所述安全校验结果指示所述访问请求文本安全，则将所述访问请求文本通过所述第一单向传输设备以及所述目标代理服务器发送至所述目标服务器；

通过所述目标代理服务器以及所述第二单向传输设备接收所述目标服务器发送的响应信息，并将所述响应信息发送至所述源服务器。

2.根据权利要求1所述的方法，其特征在于，所述对所述访问请求进行解析，生成访问请求文本，包括：

根据所述访问请求对应的用户信息以及预先设置的白名单，判断所述用户信息是否为所述白名单中的用户信息，其中，所述白名单中包括至少一个属于安全的用户信息；

若所述用户信息为所述白名单中的用户信息，则对所述访问请求进行解析，生成访问请求文本。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

若所述用户信息不为所述白名单中的用户信息，则将所述访问请求进行备份并且不解析所述访问请求。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述将所述访问请求文本通过所述第一单向传输设备以及所述目标代理服务器发送至所述目标服务器，包括：

根据目标协议的格式，将所述访问请求文本转化为符合所述目标协议的目标文本；

根据预先生成的秘钥对所述目标文本进行加密，得到加密后的目标文本；

将所述加密后的目标文本通过所述第一单向传输设备发送至所述目标代理服务器，经所述目标代理服务器对所述加密后的目标文本进行解密后的结果发送至所述目标服务器。

5.一种跨网域数据传输方法，其特征在于，应用于跨网域数据传输系统中的目标代理服务器，所述跨网域数据传输系统包括源服务器、源代理服务器、所述目标代理服务器、第一单向传输设备、第二单向传输设备、目标服务器；其中，所述源服务器与所述源代理服务器通信连接；所述第一单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接，所述第二单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接；所述目标代理服务器与所述目标服务器通信连接；所述方法包括：

接收所述源代理服务器通过所述第一单向传输设备发送的访问请求文本，并将所述访问请求文本发送至所述目标服务器；

接收所述目标服务器的响应信息，并对所述响应信息进行安全校验，得到安全校验结果；

若所述安全校验结果指示所述响应信息安全，则将所述响应信息通过所述第二单向传输设备以及所述源代理服务器发送至所述源服务器。

6.根据权利要求5所述方法，其特征在于，所述将所述响应信息通过所述第二单向传输设备以及所述源代理服务器发送至所述源服务器，包括：

根据指定协议的格式，将所述响应信息转化为符合所述指定协议的响应文本；

根据预先生成的秘钥对所述响应文本进行加密，得到加密后的响应文本；

将所述加密后的响应文本通过所述第二单向传输设备发送至所述源代理服务器，经所述源代理服务器对所述加密后的响应文本进行解密后的结果发送至所述源服务器。

7.根据权利要求5所述的方法，其特征在于，所述方法还包括：

若所述安全校验结果指示所述响应信息不安全，则将所述响应信息的不安全指示通过所述第二单向传输设备以及所述源代理服务器发送至所述源服务器。

8.一种跨网域数据传输装置，其特征在于，应用于跨网域数据传输系统中的源代理服务器，所述跨网域数据传输系统包括源服务器、所述源代理服务器、目标代理服务器、第一单向传输设备、第二单向传输设备、目标服务器；其中，所述源服务器与所述源代理服务器通信连接；所述第一单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接，所述第二单向传输设备分别与所述源代理服务器、所述目标代理服务器通信连接；所述目标代理服务器与所述目标服务器通信连接；所述装置包括：

第一接收模块，用于接收所述源服务器发送的访问请求，所述访问请求中包括所述目标服务器的标识；

第一解析模块，用于对所述访问请求进行解析，生成访问请求文本；

第一校验模块，用于对所述访问请求文本进行安全校验，得到安全校验结果；

第一发送模块，用于若所述安全校验结果指示所述访问请求文本安全，则将所述访问请求文本通过所述第一单向传输设备以及所述目标代理服务器发送至所述目标服务器；

第一接收模块，用于通过所述目标代理服务器以及所述第二单向传输设备接收所述目标服务器发送的响应信息，并将所述响应信息发送至所述源服务器。

9.一种服务器，其特征在于，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当所述服务器运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行如权利要求1-4任一项或权利要求5-7任一项所述跨网域数据传输方法的步骤。

10.一种存储介质，其特征在于，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如权利要求1-7任一项所述跨网域数据传输方法的步骤。

Images