CN115514758B - 一种单向文件传输的文件审计方法 - Google Patents
一种单向文件传输的文件审计方法 Download PDFInfo
- Publication number
- CN115514758B CN115514758B CN202211436941.0A CN202211436941A CN115514758B CN 115514758 B CN115514758 B CN 115514758B CN 202211436941 A CN202211436941 A CN 202211436941A CN 115514758 B CN115514758 B CN 115514758B
- Authority
- CN
- China
- Prior art keywords
- file
- audit
- sending
- receiving
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/252—Integrating or interfacing systems involving database management systems between a Database Management System and a front-end application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开一种单向文件传输的文件审计方法,涉及通信技术领域,方法包括:接收终端通过单向传输设备接收目标文件,确定目标文件的文件接收记录,将文件接收记录保存至审计数据库中;目标文件由发送终端发送;响应于接收到发送终端发送的加密审计数据,通过预设解密算法进行解密,获得审计周期时间内所有的文件发送记录;基于文件发送记录和审计数据库中保存的文件接收记录生成审计任务,根据审计结果确定文件传输状态。本方法通过匹配文件发送记录和文件接收记录来确定文件的实际接收情况,过程不依赖设备的反馈信号,完全单向传输方式进行审计,保证传输和审计过程的安全性,提高审计效率。
Description
技术领域
本申请实施例涉及网络通信领域,特别涉及一种单向文件传输的审计方法。
背景技术
单向文件传输是用于对信息保密程度较高的场所,如法院办公专网、移动专网、国安装网和外部专网等,此类网络进行数据交换须使用单向光导技术产品进行隔离,加强专网整体安全建设。单向传输通常采用单向传输设备实现,此种设备利用无反馈单向传输数据原理,能够将涉密部门的内部网络和外部网络进行物理隔离。在众多隔离措施的情况下,如何确保单向无反馈传输数据文件的可控传输和可追溯成为技术改进的焦点。
相关技术中,为了确保数据文件的准确发送,采用应答机制或文件校验来提高文件传输的准确性和安全性。例如专利CN101951370A中描述,发送终端采用数据分隔发送,接收终端收到分隔数据回传应答,发送终端根据接收终端的应答来决定是否重新传输,该种方案并不属于真正意义上的单向传输,因为应答反馈需要另一条反向数据通路。还有采用文件校验机制,例如专利CN112055088A,发送终端将指定文件摘要信息和指定文件一并发送至接收终端,接收终端通过文件的摘要信息是否匹配判断文件传输状态。该方案在单向光闸出现故障时,接收终端未正确收到文件和摘要信息时,无法确定接收的文件出现丢包或文件丢失,即溯源比较困难。
发明内容
本申请提供了一种单向文件传输的审计方法,解决相关技术中单向传输的安全性以及审计过程的安全性和审计效率低下问题。所述技术方案如下:
一方面,提供一种单向文件传输的审计方法,所述方法用于接收终端,所述方法包括:
通过单向传输设备接收目标文件,确定所述目标文件的文件接收记录,以及将所述文件接收记录保存至审计数据库中;所述目标文件由发送终端发送,所述审计数据库中保存有所述接收终端获取到的目标文件的文件接收记录;所述单向传输设备位于所述发送终端和所述接收终端之间,且建立有单向通讯连接;
响应于接收到所述发送终端发送的加密审计数据,通过预设解密算法进行解密,获得审计周期时间内所有的所述文件发送记录;
基于所述文件发送记录和所述审计数据库中保存的所述文件接收记录生成审计任务,并根据审计结果确定文件传输状态。
另一方面,提供一种单向文件传输的审计方法,所述方法用于发送终端,所述方法包括:
响应于对指定文件的发送请求,将所述指定文件通过单向传输设备向接收终端发送,以及将所述指定文件的文件发送记录保存到存储数据库中;所述单向传输设备位于所述发送终端和所述接收终端之间,且建立有单向通讯连接;
响应于到达周期审计时长,获取审计时间周期内所述存储数据库中保存的所述文件发送记录;所述存储数据库中保存有所述发送终端发送的所有指定文件的文件发送记录;
将所述文件发送记录进行组合加密生成加密审计数据,通过所述单向传输设备发送至所述接收终端。
上述技术方案带来的有益效果至少包括:通过在传统发送终端和接收终端之间接入单向传输设备的基础上,将传输判断和审计功能下放到双方终端设备,同时在双方终端分配存储数据库和审计数据库,分别用以保存文件发送记录和文件接收记录;在达到指定的审计时间时,发送终端获取相应时间段内的文件发送记录,并进行加密后发送至接收终端;而对于接收终端来说,由于是完全的单向传输,不存在ACK应答,所以在接收文件过程中保存对应文件接收记录,而在审计过程中可以根据获取到的加密审计数据解密,同时提取审计数据库中的文件接收记录来建立审计任务,进而根据审计结果来判断文件的传输状态。该过程不依赖任何中间设备或双方设备的反馈信号,而是完全单向传输方式进行文件审计。保证传输和审计过程的安全性,提高审计效率。
附图说明
图1是本申请实施例提供的单向文件传输的审计方法的场景示意图;
图2是本申请实施例提供的应用于发送终端的单向文件传输的审计方法的流程图;
图3是本申请实施例提供的应用于接收终端的单向文件传输的审计方法的流程图;
图4是本申请实施例提供的发送终端和接收终端之间进行文件发送和审计过程的流程示意图;
图5是本申请另一实施例提供的单向文件传输的审计方法的流程图;
图6是本申请实施例提供的自动审计流程的流程示意图;
图7是本申请实施例提供的手动审计流程的流程示意图;
图8是本申请实施例提供的另一单向文件传输的审计方法的场景示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
考虑到传统的光导或光闸设备都集成有文件接收、发送和存储模块,用以对发送终端和接收终端之间数据传递,其相当于中间的文件中转和传递作用,对于接收终端来说,此单向传输设备并不清楚接收终端是否准确无误接收到文件,例如文件在传输过程被截获通信链路终中断等,所以该单向传输设备仅凭文件接收和发送进行审计会存在误判的情况。而对于存在ACK应答机制的设备则并不属于严格的单向传输,不适用于银行、国安和一些专网及需要保密的场合。
图1是本申请实施例提供的单向文件传输的审计方法的场景示意图,具体包括发送终端100、单向传输设备200以及接收终端300。单向传输设备200可以是如同光闸或光导等一类具备单向传输功能的网关服务设备。其中的发送终端100安装有采用本单向传输方法的应用程序或API模块,主要用于成功发送文件后,调用APP或API模块接口保存文件发送记录,到达审计周期时发送审计数据等。同理,接收终端300也安装有采用本单向传输方法的APP或API模块接口,主要用于接收到文件后,调用APP或API接口保存文件接收记录,收到审计数据后,匹配文件记录得出审计报表等。发送终端100和接收终端300可以是移动终端,如手机、平板和iPad等网络设备,也可以是台式电脑、交换机和工作站等网络设备。此外,发送终端100和存储数据服务器110建立有双向通讯连接,接收终端300和审计数据服务器310之间建立有双向通讯连接。存储数据服务器110内设置有存储数据库,并保存发送终端100的文件发送记录,审计数据服务器310设置有审计数据库,保存有接收终端300的文件接收记录,该文件接收记录用于文件审计,确定文件发送和接收状态。本方案中的文件是文本、音视频文件等非流式数据外的存储性文件。
图2是本申请实施例提供的单向文件传输的审计方法的流程图,应用于图1中的发送终端100,包括如下步骤:
步骤201,响应于对指定文件的发送请求,将指定文件通过单向传输设备向接收终端发送,以及将指定文件的文件发送记录保存到存储数据库中。
当用户需要发送文件,并通过操作发送终端执行时,发送终端响应对指定文件的发送请求。而针对发送终端对指定文件的发送操作需要进行相应的记录,便于后续的文件审计工作,所以发送终端还需要生成针对该指定文件的文件发送记录,并调用应用程序的API接口,将文件发送记录保存到存储数据库中。存储数据库独立于发送终端设置,如此可以避免发送终端的数据泄露和非法操作行为。
步骤202,响应于到达周期审计时长,获取审计时间周期内存储数据库中保存的文件发送记录。
审计时间周期是为方便对发送文件的行为进行审计而设置的时间间隔,例如国安系统需要对部门网络下的设备进行专项发送和接收,设定每半小时进行一次文件审计。对于发送终端来说,在每到达半小时时间间隔后,就会从存储数据库中获取最近审计时间周期内保存的所有文件发送记录。存储数据库中保存有发送终端在所有时间段内的所有文件发送记录。
步骤203,将文件发送记录进行组合加密生成加密审计数据,通过单向传输设备发送至接收终端。
文件审计最重要的是确保审计的准确性和审计过程的安全性,发送终端需要将在审计周期内的所有文件发送记录都发送到接收终端,以便于接收终端能够进行审计,而海量的记录不宜逐条发送,否则占用网络带宽,所以需要组合打包发送来周期性审计。同时为降低在传输过程中被劫持或被篡改的风险,需要在发送时进行加密,获得加密审计数据,然后将加密审计数据发送至接收终端,以确保审计的安全性。
图3是本申请实施例提供的单向文件传输的审计方法的流程图,应用于图1中的接收终端300,包括如下步骤:
步骤301,通过单向传输设备接收目标文件,确定目标文件的文件接收记录,以及将文件接收记录保存至审计数据库中。
对于发送终端发送的所有文件,在网络安全通畅及单向传输设备正常运行的情况下,可以接收到发送的文件。对于接收终端来说,其接收到的所有来自发送终端的目标文件,都需要确定和生成唯一的文件接收记录,并调用应用程序的API接口将文件接收记录存储到审计数据库中。接收终端的审计数据库中保存有接收终端接获取到的所有目标文件的文件接收记录,用于后续的审计任务。
步骤302,响应于接收到发送终端发送的加密审计数据,通过预设解密算法进行解密,获得审计周期时间内所有的文件发送记录。
当接收终端收到发送终端发送的加密审计数据时,表明到达审计时间,此时的接收终端会按照约定的解密算法对加密审计数据进行解密,获取到审计时间间隔内所有的文件发送记录。
步骤303,基于文件发送记录和审计数据库中保存的文件接收记录生成审计任务,并根据审计结果确定文件传输状态。
获取到文件发送记录后,接收终端进一步从审计数据库中读取文件接收记录,或者为了提高审计效率和精度,同样选取相邻两次审计时间之间的所有文件接收记录,然后基于文件发送记录和文件接收记录生成审计任务,并根据审计结果确定文件传输状态。文件传输状态包括接收成功和文件接收异常,审计结果根据要求存储在接收终端或云端审计数据库中,事后通过授权访问数据库或导出审计结果进行数据分析,确定出丢失或异常的文件信息及相关内容。
综上所述,本方案通过在传统发送终端和接收终端之间接入单向传输设备的基础上,将传输判断和审计功能下放到双方终端设备,同时在双方终端分配存储数据库和审计数据库,分别用以保存文件发送记录和文件接收记录;在达到指定的审计时间时,发送终端获取相应时间段内的文件发送记录,并进行加密后发送至接收终端;而对于接收终端来说,由于是完全的单向传输,不存在ACK应答,所以在接收文件过程中保存对应文件接收记录,而在审计过程中可以根据获取到的加密审计数据解密,同时提取审计数据库中的文件接收记录来建立审计任务,进而根据审计结果来判断文件的传输状态。该过程不依赖任何中间设备或双方设备的反馈信号,而是完全单向传输方式进行文件审计。保证传输和审计过程的安全性,提高审计效率。
图4是发送终端和接收终端之间进行文件发送和审计过程的流程示意图。
发送终端和接收终端分别安装对应APP(或其他可执行模块和程序),本实施例以APP程序为例。发送方的APP将文件通过单向传输设备往接收终端发送,在文件发送成功后调用文件审计发送子模块中存储文件发送记录API接口,将文件发送记录上传到存储数据库。同理,对于接收终端来说,接收方APP通过单向传输设备接收文件,并调用文件审计接收子模块中存储文件接收记录API接口,将文件接收记录上传到审计数据库中。
图5是本申请另一实施例提供的单向文件传输的审计方法的流程图,包括如下步骤:
步骤501,发送终端响应于对指定文件的发送请求,将指定文件通过单向传输设备向接收终端发送。
步骤502,发送终端获取指定文件的第一文件属性信息以及计算第一摘要信息。
单向传输的初衷是为了提高传输过程的安全性,所以对接收终端来说,需要确定发送和接收的文件保持一致,杜绝文件被截获或被篡改的风险。本方案目的是为了审计目的,对指定文件加密方案过程不予考虑,侧重于对审计数据的保护,所以省略对指定文件加密处理的内容。
由于审计的内容是收发记录而非原发送文件,所以需要通过一定手段根据收发记录来判断文件收发前后是否出现异常。第一文件属性信息则用于对发送方文件的固有属性进行描述,第一文件属性信息至少包括文件名称、文件传输时间和字节大小以及在发送终端的文件位置等。而第一摘要信息则用于对文件的校验,判断接收的文件是否发生改变,确保文件接收安全。摘要信息可以根据文件编码格式截取一定长度数据内容,或根据预设要求截取特定位置的数据内容,基于该部分内容生成文件摘要信息。此方法可以方便接收方快速匹配和验证文件内容。
步骤503,发送终端基于第一文件属性信息、第一摘要信息生成文件发送记录,并上传至存储数据库中保存。
步骤504,接收终端响应于接收到单向传输设备传输的目标文件,确定目标文件的第二文件属性信息,并基于文件内容计算第二摘要信息。
该步骤和发送终端类似,只要接收终端获取到发送终端的文件后,就要确定目标文件的获取时间、文件格式类型及字节大小等,以此作为目标文件的第二文件属性信息,同时接收终端还会重新根据接收到的目标文件,按照和发送终端相同的手段计算目标文件的第二摘要信息。当文件在传输过程中被恶意篡改或出现其他原因导致文件内容改变时,第二摘要信息和第一摘要信息则不相同,有利于接收终端可以及时发现问题。
步骤505,接收终端基于第二文件属性信息和第二摘要信息生成目标文件的文件发送记录,并将文件发送记录上传至审计数据库中。
需要说明的是,步骤504和步骤505并不严格发生在步骤502和步骤503之后,还可以是在步骤501之后接收终端直接接收到目标文件以及记录第二文件属性信息,其具体顺序根据收发端的网络状态和执行步骤的快慢决定,本实施例对此不作特殊限定。
步骤506,发送终端响应于到达周期审计时长,获取审计时间周期内存储数据库中保存的文件发送记录。
步骤507,发送终端在第i周期内,采用AES对称加密算法生成对第i+1周期内第i+1加密审计数据加密和解密的第i+1密钥,并基于第i密钥对文件发送记录和第i+1密钥进行AES对称加密生成加密审计数据。
本实施例采用AES对称加密及解密算法对文件收发记录进行加密和解密。在一种可能的实施方式中,收发终端之间可以规定固定的密钥k进行对称加密和解密。也即双方的密钥一致,且固定不变。
此外,还可以采用动态密钥进行加密和解密,这样可以提高审计数据的安全性。具体的,本申请采用密钥提前下发的方式进行,也就是提前将下一周期的解密密钥(对称加密的加密密钥和解密密钥相同)随本次的加密审计数据一同发送至接收端。
示意性的,在第i周期,发送终端将对应的所有文件发送记录进行打包,同时采用规定的密钥生成方法生成第i+1周期的第i+1密钥,将该第i+1密钥和文件发送记录一起进行加密,而加密采用本次第i密钥和AES加密算法进行加密,最终生成加密审计数据。需要说明的是,采用这种动态更新密钥的前提是,当i为1时,即接收终端第1次解密时,用的是和发送终端约定好的初始密钥。
步骤508,发送终端通过单向传输设备发送加密审计数据至接收终端。
步骤509,接收终端基于第i-1周期接收的第i密钥,对第i周期的第i加密审计数据进行解密,获得第i+1密钥和文件发送记录,以及将第i+1密钥替换第i密钥储存。
对于接收方来说,接收终端在接收到第i周期的加密审计数据后,由于自身已经获取到第i-1密钥,所以直接根据第i-1密钥来进行解密,获取第i周期内的文件发送记录和第i+1密钥。获取到第i+1密钥后,就需要将第i密钥替换并存储,用于下一周期解密。
步骤510,接收终端获取解密后文件发送记录的条目数量和审计数据库中保存的文件接收记录,并根据接收终端设定的审计速度确定并行审计任务的数量。
接收终端获取文件发送记录后,进一步访问审计数据库,因为审计数据库中存储有文件接收记录,所以后续要根据接收记录进行文件审计。在不同场景中和环境下文件发送记录数量和文件接收记录数量会存在差异,当文件发送记录的条目数量较少时,如少于预设数量时,直接创建一条审计任务进行审计流程,但在一些特殊场景下,收发端设备的性能有限,且时间要求较高时,就需要根据接收终端设定的审计速度确定数量阈值,根据数量阈值确定并行审计任务的数量。
在一种可能的实施方式中,当文件发送记录的条目数小于10000条时,创建一条审计任务,超过10000条时,按照一条审计任务最多10000条创建任务。
步骤511,接收终端逐次获取文件发送记录的第一文件属性信息,并基于文件、接收时间和字节大小与文件接收记录的第二文件属性信息进行匹配。
步骤512,当接收终端匹配到与第一文件属性信息相同的第二文件属性信息时,将对应第一摘要信息和第二摘要信息进行匹配。
当接收终端匹配到与第一文件属性信息相同的第二文件属性信息时,说明在该时间段里接收到了与此相关的文件,但前述还说了,文件属性信息相同并不能用于直接确定文件相一致,还需要进一步对摘要信息进行匹配。
步骤513,当第一摘要信息和第二摘要信息相同时,确定接收到文件发送记录对应的目标文件。
当未匹配到与第一文件属性信息相同的第二文件属性信息,或第一摘要信息和第二摘要信息不相同时,确定未接收到该文件发送记录对应的目标文件,也就是文件传输过程发生丢失或被拦截等。
为了提供一种可视化以及可追溯的审计结果,对于接收终端确定的审计内容,需要进行相应的记录。本申请将审计数据库中设置了文件传输成功审计报表和文件传输失败审计报表。当审计的第一摘要信息和第二摘要信息相同时,也即确定接收到对应目标文件,将此条文件发送记录保存到文件传输成功审计报表中。类似的,审计结果表明未接收到对应的目标文件时,则将文件发送记录保存到文件传输失败审计报表中记录。
在另一种可能的实施方式中,文件发送记录还可以额外的保存在本地存储数据库sendfile.db中,在需要发送时,发送终端从sendfile.db中读取相应条目的记录进行加密和发送。同理,对于接收终端来说,将文件接收记录额外的保存在本地的审计数据库recvfile.db中,在适时读取recvfile.db进行审计。自动审计流程参考图6内容。
此外,在一些实施例中,当中间传输设备出现长时间故障导致发送端和接收端之间通信受阻时,发送端仍会不断发送文件和进行记录保存,而此时的接收终端始终接收不到文件,同时也接收不到加密的审计数据。或者是发送终端发送文件时正常,但在发送加密审计数据时出现通信故障而中断时,接收终端虽然接收到了目标文件,但是无法做正常的审计工作,此时就需要通过人工手动审计。人工审计需要调用APP的文件手动审计接口,通过该接口来从sendfile.db中获取需要审核的时间段内的数据,然后加密和发送(前提是和中间传输设备恢复正常通信)。接收终端按照接收到的数据解密和审计。具体手动审计流程图参考图7内容。
综上,本申请实施例中,对于发送终端来说,发送终端将文件的文件属性信息及文件摘要信息进行记录生成文件发送记录,并调用API接口保存到存储数据库中,而单向文件传输按照传统的方式执行发送过程。在到达设定时间后获取相应时间段的文件发送记录进行加密,进而将加密审计数据发送到接收终端;此过程中的单向传输设备不作任何数据记录;在加密过程中,为了确保审计数据的准确性和安全性,采用周期性生成动态密钥的方式进行加密和发送,替代传统静态密钥加密和解密的手段,可以提高审计数据加密的安全性。
对于接收终端来说,接收终端获取单向传输设备传输的目标文件,同时确定相应的文件属性信息和文件摘要信息生成文件接收记录,并调用API接口存储到审计数据库中。待接收到加密审计数据后,能够根据已存储的加密密钥对加密审计数据解密,获取本周期内的文件发送记录和保存下一周期的解密密钥;审计过程采用两级审计模式,将发送记录和接收记录的文件属性进行初步审计,在通过的情况下进一步进行摘要信息审计,能够及时发现文件在传输过程被篡改的问题,同时也提高了审计的准确性和高效性。
在另一些应用场景中,当接收终端审计完成,发送终端需要根据已发送文件的接收情况时,对传输失败的文件进行补发时,就需要在发送终端和接收终端之间建立连接。但是建立连接后就不符合单向传输的本质,所以本方案选择在审计数据库和存储数据库之间建立单向传输连接,具体如图8所示,在存储数据库110和审计数据库310之间设置了第二单向传输设备400。在接收终端设置数据同步间隔,每当达到时间间隔后,将审计数据库保存的审计失败报表发送至存储数据库进行同步。发送终端通过分析审计失败报表,将其和存储数据库中文件发送记录进行比对,挑选出发送失败或异常的文件,选择重发或记录等。
以上对本发明的较佳实施例进行了描述;需要理解的是,本发明并不局限于上述特定实施方式,其中未尽详细描述的设备和结构应该理解为用本领域中的普通方式予以实施;任何熟悉本领域的技术人员,在不脱离本发明技术方案作出许多可能的变动和修饰,或修改为等同变化的等效实施例,这并不影响本发明的实质内容;因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。
Claims (8)
1.一种单向文件传输的文件审计方法,其特征在于,所述方法用于接收终端,所述方法包括:
响应于接收到单向传输设备传输的目标文件,确定所述目标文件的第二文件属性信息,并基于文件内容计算第二摘要信息;所述第二文件属性信息至少包括文件名称、接收时间和字节大小;
基于所述第二文件属性信息和所述第二摘要信息生成所述目标文件的文件接收记录,并将所述文件接收记录上传至审计数据库中;
其中,所述目标文件由发送终端发送,所述审计数据库中保存有所述接收终端获取到的目标文件的文件接收记录;所述单向传输设备位于所述发送终端和所述接收终端之间,且建立有单向通讯连接,所述审计数据库和所述接收终端之间建立有双向通讯连接;
响应于接收到所述发送终端发送的加密审计数据,通过预设解密算法进行解密,获得审计周期时间内所有的文件发送记录;所述文件发送记录是所述发送终端基于文件属性信息和摘要信息生成;
基于所述文件发送记录和所述审计数据库中保存的所述文件接收记录生成审计任务,并根据所述第二文件属性信息和所述第二摘要信息的审计结果确定文件传输状态。
2.根据权利要求1所述的单向文件传输的文件审计方法,其特征在于,所述加密审计数据通过所述单向传输设备发送至所述接收终端;所述加密审计数据采用AES加密算法和密钥进行加密,所述接收终端采用AES对称解密算法和存储的密钥进行解密。
3.根据权利要求2所述的单向文件传输的文件审计方法,其特征在于,所述基于所述文件发送记录和所述审计数据库中保存的所述文件接收记录生成审计任务,并根据所述第二文件属性信息和所述第二摘要信息的审计结果确定文件传输状态,包括:
获取解密后所述文件发送记录的条目数量和所述审计数据库中保存的所述文件接收记录,并根据所述接收终端设定的审计速度确定并行审计任务的数量;
逐次获取所述文件发送记录的第一文件属性信息,并基于文件名称、发送时间和字节大小与所述文件接收记录的所述第二文件属性信息进行匹配;
当匹配到与所述第一文件属性信息相同的所述第二文件属性信息时,将对应第一摘要信息和所述第二摘要信息进行匹配;
当所述第一摘要信息和所述第二摘要信息相同时,确定接收到所述文件发送记录对应的目标文件。
4.根据权利要求3所述的单向文件传输的文件审计方法,其特征在于,所述审计数据库中包含有文件传输成功审计报表和文件传输失败审计报表,确定接收成功的所述文件发送记录保存在所述文件传输成功审计报表中;
当未匹配到与所述第一文件属性信息相同的所述第二文件属性信息,或所述第一摘要信息和所述第二摘要信息不相同时,确定未接收到所述文件发送记录对应的目标文件,将所述文件发送记录保存在所述文件传输失败审计报表中。
5.根据权利要求4所述的单向文件传输的文件审计方法,其特征在于,第i周期的第i加密审计数据中包含有第i+1周期的第i+1加密审计数据的第i+1密钥;
所述接收终端基于第i-1周期接收的第i密钥,对第i周期的所述第i加密审计数据进行解密,获得所述第i+1密钥,以及将所述第i+1密钥替换所述第i密钥储存;其中i是大于1的正整数。
6.一种单向文件传输的文件审计方法,其特征在于,所述方法用于发送终端,所述方法包括:
响应于接收到对指定文件的发送请求,将所述指定文件通过单向传输设备向接收终端发送,以及获取所述指定文件的第一文件属性信息以及计算第一摘要信息;
基于所述第一文件属性信息、所述第一摘要信息生成文件发送记录,并上传至存储数据库中保存;
其中,所述单向传输设备位于所述发送终端和所述接收终端之间,且建立有单向通讯连接,所述第一文件属性信息至少包括文件名称、文件传输时间和字节大小;所述第一摘要信息基于所述指定文件的内容生成;所述发送终端和所述存储数据库之间建立有双向通讯连接;
响应于到达周期审计时长,获取审计时间周期内所述存储数据库中保存的所述文件发送记录;所述存储数据库中保存有所述发送终端发送的所有指定文件的文件发送记录;
将所述文件发送记录进行组合加密生成加密审计数据,通过所述单向传输设备发送至所述接收终端,便于所述接收终端在接收到目标文件时生成和保存文件接收记录到审计数据库中,通过解密所述加密审计数据获得文件发送记录并生成审计任务,以及通过所述文件接收记录中第二文件属性信息和第二摘要信息的审计结果确定文件传输状态;所述第二文件属性信息至少包括接收目标文件的文件名称、接收时间和字节大小。
7.根据权利要求6所述的单向文件传输的文件审计方法,其特征在于,所述将所述文件发送记录进行组合加密生成加密审计数据,通过所述单向传输设备发送至所述接收终端,包括:
在第i周期内,采用AES对称加密算法生成对第i+1周期内第i+1加密审计数据加密和解密的第i+1密钥,并基于第i密钥对所述文件发送记录和所述第i+1密钥进行AES对称加密,生成所述加密审计数据;
通过所述单向传输设备发送所述加密审计数据至所述接收终端。
8.根据权利要求6 -7任一所述的单向文件传输的文件审计方法,其特征在于,所述方法还包括:
所述发送终端的所述存储数据库和所述接收终端的审计数据库之间设置有所述单向传输设备;所述存储数据库通过所述单向传输设备周期性同步所述审计数据库保存的审计失败报表;所述审计失败报表中存储有所述接收终端基于所述加密审计数据确定的接收失败的文件发送记录;
所述发送终端基于所述审计失败报表确定传输失败的文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211436941.0A CN115514758B (zh) | 2022-11-16 | 2022-11-16 | 一种单向文件传输的文件审计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211436941.0A CN115514758B (zh) | 2022-11-16 | 2022-11-16 | 一种单向文件传输的文件审计方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115514758A CN115514758A (zh) | 2022-12-23 |
| CN115514758B true CN115514758B (zh) | 2023-03-10 |
Family
ID=84513970
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211436941.0A Active CN115514758B (zh) | 2022-11-16 | 2022-11-16 | 一种单向文件传输的文件审计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115514758B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112383612A (zh) * | 2020-11-11 | 2021-02-19 | 成都卫士通信息产业股份有限公司 | 一种文件传输方法、装置、设备及可读存储介质 |
| CN113905037A (zh) * | 2021-06-18 | 2022-01-07 | 武汉理工数字传播工程有限公司 | 一种文件传输管理方法、装置、设备及存储介质 |
| CN114172900A (zh) * | 2022-02-11 | 2022-03-11 | 北京安帝科技有限公司 | 基于单向网闸的文件传输方法及系统 |
-
2022
- 2022-11-16 CN CN202211436941.0A patent/CN115514758B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112383612A (zh) * | 2020-11-11 | 2021-02-19 | 成都卫士通信息产业股份有限公司 | 一种文件传输方法、装置、设备及可读存储介质 |
| CN113905037A (zh) * | 2021-06-18 | 2022-01-07 | 武汉理工数字传播工程有限公司 | 一种文件传输管理方法、装置、设备及存储介质 |
| CN114172900A (zh) * | 2022-02-11 | 2022-03-11 | 北京安帝科技有限公司 | 基于单向网闸的文件传输方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115514758A (zh) | 2022-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11936942B2 (en) | Systems and methods for data processing, storage, and retrieval from a server | |
| CN110401677B (zh) | 数字版权密钥的获取方法、装置、存储介质及电子设备 | |
| US11394696B2 (en) | Resource request method, device and storage medium | |
| CN101216843B (zh) | 一种多点多跳的数据实时备份方法 | |
| CN109995530B (zh) | 一种适用于移动定位系统的安全分布式数据库交互系统 | |
| CN111107085A (zh) | 一种基于发布订阅模式的安全通讯方法 | |
| CN111339201A (zh) | 基于区块链的测评方法及系统 | |
| CN113626456A (zh) | 一种基于区块链技术的档案数据一致性保持系统及方法 | |
| CN109067700A (zh) | 一种跨平台信息输入输出保护系统 | |
| CN118054903A (zh) | 基于量子加密的对讲指挥调度系统及方法 | |
| CN109660568B (zh) | 基于srtp实现网络对讲安全机制的方法、设备及系统 | |
| CN110572639A (zh) | 一种基于gb35114标准的视频加密解密测评工具及方法 | |
| CN115514758B (zh) | 一种单向文件传输的文件审计方法 | |
| CN112511892A (zh) | 屏幕共享方法、装置、服务器及存储介质 | |
| CN111382451A (zh) | 一种密级标识方法、装置、电子设备及存储介质 | |
| CN107343001B (zh) | 数据处理方法及装置 | |
| CN114449216A (zh) | 一种视频传输方法及系统 | |
| CN115118426A (zh) | 区块链系统的数据处理方法、装置、设备及存储介质 | |
| CN108390917B (zh) | 智能发送消息方法和装置 | |
| CN104994078A (zh) | 局域网内的信息发送、获取方法及装置、信息处理系统 | |
| US20210329005A1 (en) | Authenticated transmission of data content over a communication link | |
| CN115952025B (zh) | 一种数据管控方法、系统、终端设备及存储介质 | |
| CN221531503U (zh) | 一种跨网络业务数据交换系统 | |
| US20240250803A1 (en) | Cryptographic communication system, cryptographic communication device, cryptographic communication method, and cryptographic communication program | |
| KR102636716B1 (ko) | 5g 스마트공장 재전송 공격 탐지 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |