CN116668434A - 基于单向跨网数据传输的数字校园服务系统 - Google Patents

基于单向跨网数据传输的数字校园服务系统 Download PDF

Info

Publication number
CN116668434A
CN116668434A CN202310866420.7A CN202310866420A CN116668434A CN 116668434 A CN116668434 A CN 116668434A CN 202310866420 A CN202310866420 A CN 202310866420A CN 116668434 A CN116668434 A CN 116668434A
Authority
CN
China
Prior art keywords
data
capacity
file
layer
data transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310866420.7A
Other languages
English (en)
Inventor
程勇
曾令斌
钱悦
黄友
姚世新
方雪垠
沈高
周勇
张亮
吴添君
曹远
张蕾
易恒柱
杨扬
汪浩
方宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN202310866420.7A priority Critical patent/CN116668434A/zh
Publication of CN116668434A publication Critical patent/CN116668434A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1074Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
    • H04L67/1078Resource delivery mechanisms
    • H04L67/108Resource delivery mechanisms characterised by resources being split in blocks or fragments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请涉及一种基于单向跨网数据传输的数字校园服务系统,通过设计用户前端展示层、后端接口层、单向跨网数据传输层、数字校园服务系统服务器、数据脱敏层和信息推送服务层,保证了核心业务数据安全性,对于核心业务和安全性事务也能进行线上办理,同时,经过单向跨网数据传输层的光盘大容量单向传输模块和二维码小容量单向数据传输模块,实现了对大容量文件、中等容量文件和小容量文件的全覆盖传输,保障安全性的同时大大提高了传输效率,使文件传输更加便捷,避免了传输过程中数据缺失、无法找回等情况。

Description

基于单向跨网数据传输的数字校园服务系统
技术领域
本申请涉及数字服务系统开发领域,特别是涉及一种基于单向跨网数据传输的数字校园服务系统。
背景技术
近年来,随着信息技术的发展,网络通信使用的人群越来越多,相比较传统的线下办事服务,线上数字系统的网上办事大厅服务更具有便捷性。许多高校为了给师生员工带来方便,设立了数字校园服务系统,让有业务办理需求的师生员工可以通过线上预约办理事务。但是,网上办事大厅服务系统常常会面临安全性的问题,对于一些行政单位和企业事业单位而言,都是严禁将本单位办公所用内网同外网(互联网)接通,因此线上的网上办事大厅服务系统通常只能线上办理部分普通业务,对涉及核心业务和安全性事务只能线下办理。基于此,诞生了单向数据传输技术,也称单向网络技术或“数据二极管”技术,它是一种网络安全技术,可以确保数据从低密级网络向上流动,同时保证高密级信息不可能流到低密级网络中,从而在数据单向传输的过程中,可以抵挡网络攻击,防止敏感信息泄露等问题。
然而,现有的单向数据传输技术存在传输效率低下的问题,特别是在传输中等容量大小的文件时,会出现在传输过程中容易造成数据缺失、无法找回的情况。
发明内容
基于此,有必要针对上述技术问题,提供一种基于单向跨网数据传输的数字校园服务系统,提高单向数据传输的效率和质量。
为了实现上述目的,本发明实施例采用以下技术方案:
一方面,本发明实施例提供一种基于单向跨网数据传输的数字校园服务系统,包括用户前端展示层、后端接口层、单向跨网数据传输层、数字校园服务系统服务器、数据脱敏层和信息推送服务层;
用户前端展示层与后端接口层通信连接,用于向用户展示数字校园服务系统的功能;
后端接口层用于将用户前端展示层的数据传输至单向跨网数据传输层;
单向跨网数据传输层包括预处理模块、文件大小评估模块、光盘大容量单向传输模块和二维码小容量单向数据传输模块;预处理模块用于对待传输文件进行预处理;文件大小评估模块用于将预处理后的待传输文件分成大容量文件、中等容量文件和小容量文件;光盘大容量单向传输模块用于传输大容量文件;二维码单向数据传输模块用于传输中等容量文件和小容量文件,包括文件拆分组件、二维码转换组件、编码组件、解码组件和传输组件,文件拆分组件用于将中等容量文件拆分成若干个小容量子文件,二维码转换组件用于将小容量文件和小容量子文件转换成二维码,编码组件用于对小容量子文件转换成的二维码进行编码,解码组件用于对编码后的二维码进行解码并拼接还原成中等容量文件,传输组件用于传输二维码;
数字校园服务系统服务器用于接收单向跨网数据传输层的文件信息,对文件信息进行处理得到普通信息和核心信息,并将核心信息发送给数据脱敏层,将普通信息发送给信息推送服务层;文件信息包括大容量文件、中等容量文件和小容量文件;
数据脱敏层用于对核心信息进行数据脱敏得到脱敏信息;
信息推送服务层用于将普通信息和脱敏信息推送给用户。
在其中一个实施例中,用户前端展示层向用户展示的功能包括:普通用户功能、平台管理功能和姿势图;后端接口层包括:普通用户功能接口、平台管理功能接口和姿势图接口。
在其中一个实施例中,单向跨网数据传输层支持文件和数据库同步,支持API接口和可视化的物理隔离通道。
在其中一个实施例中,平台管理功能接口和姿势图接口为一套可配置的管理菜单,管理菜单用于为管理员实现用户管理、角色管理、身份管理、单位管理、授权管理和展示目录管理功能。
在其中一个实施例中,单向跨网数据传输层的预处理模块执行以下预处理步骤:
ip校验:验证用户身份;
签名校验:计算待传输文件的签名并验证数据完整性,认证数据来源;
文件类型校验:验证待传输文件类型,文件类型分为白名单和黑名单,文件类型为白名单则通过校验,文件类型为黑名单则终止数据传输;
限流处理:进行传输流量分配;
敏感词校验:匹配违规关键词,匹配成功则终止数据传输;
规则校验:匹配正则表达式,以黑名单模式匹配,匹配成功则终止数据传输;
数据加密:对待传输文件的数据进行加密;
数据审批:由审计管理员操作,对待传输文件的数据进行检查。
在其中一个实施例中,光盘大容量单向传输模块包括跨网数据发送软件、跨网光盘摆渡机、跨网数据接收软件和配置管理软件,配置管理软件用于模拟人工刻盘动作;
在其中一个实施例中,文件拆分组件用于将中等容量文件拆分成若干个小容量子文件,编码组件用于对小容量子文件转换成的二维码进行编码,解码组件用于对编码后的二维码进行解码并拼接还原成中等容量文件,包括:
文件拆分组件设置单个二维码的最大传输容量为Max,文件拆分组件将容量大小为M的数据文件拆分成个小容量子文件,将小容量子文件作为待传输数据包;
编码组件使用身份标识信息和加密公钥对待传输数据包进行加密,并在待传输数据包前加入数据标识符和数据包序号,在待传输数据包后加入下一数据包序号;数据标识符代表所传输数据的唯一标识;
解码组件根据数据标识符、数据包序号和下一数据包序号对编码后的二维码进行解码并拼接还原成中等容量文件,并根据数据标识符和下一数据包序号判断是否有未拼接的待传输数据包,找到未拼接的待传输数据包对应数据包序号进行重新传输。
在其中一个实施例中,二维码单向数据传输模块的传输组件包括跨网数据发送软件、显示设备、摄像头、跨网数据接收软件和配置管理软件;
跨网数据发送软件用于发送二维码;
显示设备用于显示二维码;
摄像头用于模拟扫描二维码;
跨网数据接收软件用于接收二维码;
配置管理软件用于识别二维码。
在其中一个实施例中,数字校园服务系统服务器包括消息中间件数据模块、平台定时任务模块和Token模块;
消息中间件数据模块用于用户消费信息的数据交换;
平台定时任务模块用于实现与用户、平台统计的定时任务;
Token模块用于token签发、校验和微服务鉴权。
在其中一个实施例中,数据脱敏层的功能包括规则脱敏、加密脱敏和数据屏蔽脱敏;
规则脱敏是根据结果信息的敏感程度以及积累的敏感关键词制定脱敏规则,将关键信息用“*”代替;
加密脱敏是对结果信息的敏感数据进行加密,授权人员通过解密查看原始数据;
数据屏蔽脱敏,是对结果信息的敏感数据进行屏蔽,避免被存储、传输和使用,授权人员才能访问。
在其中一个实施例中,信息推送服务层包括普通业务消息推送模块和核心业务消息推送模块;
普通业务消息推送模块用于将普通信息推送给用户,普通信息包括系统业务流程中每个步骤完成情况;
核心业务消息推送模块用于将脱敏信息通过短信的方式将业务处理进度推送给用户。
上述技术方案中的一个技术方案具有如下优点和有益效果:
上述一种基于单向跨网数据传输的数字校园服务系统,通过设计用户前端展示层、后端接口层、单向跨网数据传输层、数字校园服务系统服务器、数据脱敏层和信息推送服务层,保证了核心业务数据安全性,对于核心业务和安全性事务也能进行线上办理,同时,经过单向跨网数据传输层的光盘大容量单向传输模块和二维码小容量单向数据传输模块,实现了对大容量文件、中等容量文件和小容量文件的全覆盖传输,保障安全性的同时大大提高了传输效率,使文件传输更加便捷,避免了传输过程中数据缺失、无法找回等情况。
附图说明
图1为一个实施例中一种基于单向跨网数据传输的数字校园服务系统结构示意图;
图2为一个实施例中单向跨网数据传输层的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
另外,本发明各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时,应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
本申请提供了本发明实施例提供一种基于单向跨网数据传输的数字校园服务系统,如图1所示,包括用户前端展示层101、后端接口层102、单向跨网数据传输层103、数字校园服务系统服务器104、数据脱敏层105和信息推送服务层106;
用户前端展示层101与后端接口层102通信连接,用于向用户展示数字校园服务系统的功能;
后端接口层102用于将用户前端展示层101的数据传输至单向跨网数据传输层103;
如图2所示,单向跨网数据传输层103包括预处理模块、文件大小评估模块、光盘大容量单向传输模块和二维码小容量单向数据传输模块;预处理模块用于对待传输文件进行预处理;文件大小评估模块用于将预处理后的待传输文件分成大容量文件、中等容量文件和小容量文件;光盘大容量单向传输模块用于传输大容量文件;二维码单向数据传输模块用于传输中等容量文件和小容量文件,包括文件拆分组件、二维码转换组件、编码组件、解码组件和传输组件,文件拆分组件用于将中等容量文件拆分成若干个小容量子文件,二维码转换组件用于将小容量文件和小容量子文件转换成二维码,编码组件用于对小容量子文件转换成的二维码进行编码,解码组件用于对编码后的二维码进行解码并拼接还原成中等容量文件,传输组件用于传输二维码;
数字校园服务系统服务器104用于接收单向跨网数据传输层的文件信息,对文件信息进行处理得到普通信息和核心信息,并将核心信息发送给数据脱敏层,将普通信息发送给信息推送服务层;文件信息包括大容量文件、中等容量文件和小容量文件;
数据脱敏层105用于对核心信息进行数据脱敏得到脱敏信息;
信息推送服务层106用于将普通信息和脱敏信息推送给用户。
可以理解,基于单向跨网数据传输的数字校园服务系统采用B/S架构搭建,使用前端分离模式开发,使用Restful通信风格的接口进行交互,前后端采取统一的数据和模型,降低前端实现多渠道(Web UI、移动App)集成场景的难度,也便于前后端对各自领域进行优化。系统支持集群方式部署,集成CAS单点登录系统、Activiti流程引擎平台。平台前端采用VUE2和CSS3进行搭建,使用Nginx做负载均衡和反向代理,后端采用JAVA语言开发,基于Spring、SpringBoot等热门开源框架开发,使用nacos作为注册中心,数据存储采用MySQL关系型数据库和Redis、MongoDB等非关系型数据库。前后端分离后,前端只需要关注页面的样式与动态数据的解析及渲染,而后端专注于具体业务逻辑。
可以理解,用户前端展示层使用前端分离模式开发,采用VUE2和CSS3进行搭建,利用Nginx做负载均衡和反向代理。后端接口层采用JAVA语言开发,基于Spring、SpringBoot等热门开源框架开发,使用nacos作为注册中心,并利用Restful通信风格的接口进行交互,前后端采取统一的数据和模型。
可以理解,单向跨网数据传输层可以确保数据只能从一个网络传输到另一个网络,而不能反向传输,其实现一般是通过物理单向通道,这个通道的设计是使得在数据流的传输过程中只能一方向流动,它使用光电隔离技术,数据从发送端以光的形式发送到接收端,接收端以电的形式接收数据,确保数据只能单向流动。
可以理解,数据脱敏层中的脱敏过程是立足学校教学、科研、管理、后勤等实际情况,制定符合保密要求的规则条款,在不违反保密规则的前提下,进行信息脱敏后流转;
在一个实施例中,用户前端展示层向用户展示的功能包括:普通用户功能、平台管理功能和姿势图;后端接口层包括:普通用户功能接口、平台管理功能接口和姿势图接口。
可以理解,姿势图是一种常见的数据结构,在本发明中用于表示用户的位置和方向,以及这些位置之间的关系。
在一个实施例中,单向跨网数据传输层支持文件和数据库同步,支持API接口和可视化的物理隔离通道。
可以理解,API接口,即应用程序接口(Application Programming Interface),是一组预先定义的规则和规范,让不同的软件应用之间实现相互连接、交流的约定,是一种通信协议。常见的API接口类型包括Web API、操作系统API、远程API、库基于类的API等。其中,Web API是非常常见的一种形式,可以允许不同的软件系统之间通过HTTP协议进行数据交换,如REST API和GraphQL。
可以理解,物理隔离通道指将不同的网络或系统在物理层面分开,以防止数据泄漏或者未经授权的访问,这可能涉及使用不同的硬件设备,或者通过物理方式(例如用墙或其他阻隔物品把机器隔开)来防止信号的泄漏。
在一个实施例中,平台管理功能接口和姿势图接口为一套可配置的管理菜单,管理菜单用于为管理员实现用户管理、角色管理、身份管理、单位管理、授权管理和展示目录管理功能。
可以理解,管理菜单可以具备特定的功能管理单页。
在一个实施例中,单向跨网数据传输层的预处理模块执行以下预处理步骤:
ip校验:验证用户身份;
签名校验:计算待传输文件的签名并验证数据完整性,认证数据来源;
文件类型校验:验证待传输文件类型,文件类型分为白名单和黑名单,文件类型为白名单则通过校验,文件类型为黑名单则终止数据传输;
限流处理:进行传输流量分配;
敏感词校验:匹配违规关键词,匹配成功则终止数据传输;
规则校验:匹配正则表达式,以黑名单模式匹配,匹配成功则终止数据传输;
数据加密:对待传输文件的数据进行加密;
数据审批:由审计管理员操作,对待传输文件的数据进行检查。
可以理解,若在数据的预处理流程中发现数据违规行为,系统将终止当前数据传输流程,并推送给上层应用。若无违规行为,数据传输任务根据传输任务优先级通过任务调度模块进行排序,排序后的数据依次进行数据跨网传输。在数据达到接收系统后,首先进行数据解析和校验,还原成上层应用数据。
在一个实施例中,光盘大容量单向传输模块包括跨网数据发送软件、跨网光盘摆渡机、跨网数据接收软件和配置管理软件,配置管理软件用于模拟人工刻盘动作;
可以理解,光盘摆渡机是一种用于管理和自动化光盘(如CD、DVD)操作的设备,它可以自动的加载和卸载光盘到光驱中,也可以进行光盘复制、数据备份等操作。
可以理解,模拟人工刻盘动作的过程是,首先拷贝数据到源系统的缓存区域,然后这些数据被模拟地"刻录"到一个虚拟的光盘映像文件(例如ISO文件)中,这个过程可以被看作是在源环境中的"人工刻盘"过程。创建这个虚拟光盘映像文件之后,源系统然后将这个文件发送到接收系统。在接收端的系统上,这个光盘映像文件被模拟地"加载"到一个虚拟的光驱中,就好像在目标环境中的"人工装盘"过程。最后,目标系统使用标准的文件系统操作从这个虚拟光驱读取数据,这样就完成了数据的传输。这种方式可以实现数据的单向传输,同时模拟了人工刻盘和装盘的过程。
在一个实施例中,文件拆分组件用于将中等容量文件拆分成若干个小容量子文件,编码组件用于对小容量子文件转换成的二维码进行编码,解码组件用于对编码后的二维码进行解码并拼接还原成中等容量文件,包括:
文件拆分组件设置单个二维码的最大传输容量为Max,文件拆分组件将容量大小为M的数据文件拆分成个小容量子文件,将小容量子文件作为待传输数据包;
编码组件使用身份标识信息和加密公钥对待传输数据包进行加密,并在待传输数据包前加入数据标识符和数据包序号,在待传输数据包后加入下一数据包序号;数据标识符代表所传输数据的唯一标识;
解码组件根据数据标识符、数据包序号和下一数据包序号对编码后的二维码进行解码并拼接还原成中等容量文件,并根据数据标识符和下一数据包序号判断是否有未拼接的待传输数据包,找到未拼接的待传输数据包对应数据包序号进行重新传输。
可以理解,具体的待传输数据包结构如下:
数据标识符|数据包序号|数据包|下一数据包序号。
其中,第一个数据包开头和最后一个数据包结尾标有特殊的包起始符和包结束符外,其他进行传输的待传输数据包结构都如上所示,这样,在验证容量为M的文件是否全部传输成功时,只需要判断在解码时是否有数据包未拼接,并且包起始符和包结束符均传输结束即可。若有缺失,只需要找到对应序号编码的数据包重新传输即可。
在一个实施例中,二维码单向数据传输模块的传输组件包括跨网数据发送软件、显示设备、摄像头、跨网数据接收软件和配置管理软件;
跨网数据发送软件用于发送二维码;
显示设备用于显示二维码;
摄像头用于模拟扫描二维码;
跨网数据接收软件用于接收二维码;
配置管理软件用于识别二维码。
可以理解,利用二维码进行信息编码并进行单向传输的过程,是源设备将需要发送的信息编码成二维码,然后通过显示器展示出来;接收设备的摄像头或二维码扫描器扫描这个二维码,然后解码得到信息。在这个过程中,信息只从源设备传输到接收设备,完成单向传输。
在一个实施例中,数字校园服务系统服务器包括消息中间件数据模块、平台定时任务模块和Token模块;
消息中间件数据模块用于用户消费信息的数据交换;
平台定时任务模块用于实现与用户、平台统计的定时任务;
Token模块用于token签发、校验和微服务鉴权。
可以理解,消息中间件数据模块通过读取用户账号管理数据库的数据,提交业务流程后写进消息队列,调用平台核心服务写数据库。平台定时任务模块通过平台定时任务实现与新闻、用户兼任身份、学期配置、平台统计有关任务。
可以理解,Token模块具体是指第三方应用提供的token签发、校验和微服务鉴权,每个微服务客户端都会分配一个clientId和clientSecret,用于校验是否为合法的客户端;对于RPC调用,服务端每次被调用都会校验clientId和clientSecret,服务端的业务有可能还需要知道当前登录的用户信息;对于restful调用,微服务客户端首先通过clientId和clientSecret向TokenService申请accessToken,微服务被调用时会向TokenService校验accessToken的合法性。服务端的业务有可能还需要知道当前登录的用户信息;第三方应用对外提供的微服务如果要集成该鉴权机制,可以通过TokenService实现,对于restful服务可以在拦截器中调用TokenService的方法,对于RPC服务可以在aop切面类中调用TokenService的方法。
在一个实施例中,数据脱敏层的功能包括规则脱敏、加密脱敏和数据屏蔽脱敏;
规则脱敏是根据结果信息的敏感程度以及积累的敏感关键词制定脱敏规则,将关键信息用“*”代替;
加密脱敏是对结果信息的敏感数据进行加密,授权人员通过解密查看原始数据;
数据屏蔽脱敏,是对结果信息的敏感数据进行屏蔽,避免被存储、传输和使用,授权人员才能访问。
可以理解,在数据安全和隐私保护方面,脱敏可以将敏感的信息转变为非敏感的信息,从而在不泄露原始信息的情况下使用数据。规则脱敏、加密脱敏和数据屏蔽脱敏的区别主要在于实施方式的不同。规则脱敏是通过一定的规则对数据进行修改,以达到脱敏的目的;加密脱敏就是通过加密算法将原始数据转变为加密后的字符串,这种方法的优点是脱敏后的数据无法被还原(如果使用的是不可逆的加密算法),可以提供很高的安全性,但是,由于脱敏后的数据无法还原,所以只适合对不需要进行数据还原的情况;数据屏蔽脱敏又叫动态数据脱敏,主要是通过在应用层实施,让应用系统在提供数据时,对部分敏感字段进行替换或遮挡,比如数据显示时直接替换为特殊字符或者模糊的信息,这样即可保护敏感数据,又可让业务系统正常运行。
在一个实施例中,信息推送服务层包括普通业务消息推送模块和核心业务消息推送模块;
普通业务消息推送模块用于将普通信息推送给用户,普通信息包括系统业务流程中每个步骤完成情况;
核心业务消息推送模块用于将脱敏信息通过短信的方式将业务处理进度推送给用户。
可以理解,信息推送服务层是一个负责向客户端设备(如手机、电脑等)发送通知信息的服务层。通俗来说,信息推送服务层是使得用户无论何时何地,只要连接到互联网,都可以接收到最新信息的一个实现机制。信息推送服务层的主要优点是能改善用户体验,使用户能快速获取到他们关心的信息,无需频繁检查或刷新应用。此外,对于应用开发者和服务提供商来说,这是一种有效的用户活跃度和客户参与度的提升手段。
上述技术方案中的一个技术方案具有如下优点和有益效果:
上述一种基于单向跨网数据传输的数字校园服务系统,通过设计用户前端展示层、后端接口层、单向跨网数据传输层、数字校园服务系统服务器、数据脱敏层和信息推送服务层,保证了核心业务数据安全性,对于核心业务和安全性事务也能进行线上办理,同时,经过单向跨网数据传输层的光盘大容量单向传输模块和二维码小容量单向数据传输模块,实现了对大容量文件、中等容量文件和小容量文件的全覆盖传输,保障安全性的同时大大提高了传输效率,避免了了传输过程中数据缺失、无法找回等情况。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (11)

1.一种基于单向跨网数据传输的数字校园服务系统,其特征在于,包括用户前端展示层、后端接口层、单向跨网数据传输层、数字校园服务系统服务器、数据脱敏层和信息推送服务层;
所述用户前端展示层与所述后端接口层通信连接,用于向用户展示所述数字校园服务系统的功能;
所述后端接口层用于将所述用户前端展示层的数据传输至单向跨网数据传输层;
所述单向跨网数据传输层包括预处理模块、文件大小评估模块、光盘大容量单向传输模块和二维码小容量单向数据传输模块;所述预处理模块用于对待传输文件进行预处理;所述文件大小评估模块用于将预处理后的所述待传输文件分成大容量文件、中等容量文件和小容量文件;所述光盘大容量单向传输模块用于传输所述大容量文件;所述二维码单向数据传输模块用于传输中等容量文件和小容量文件,包括文件拆分组件、二维码转换组件、编码组件、解码组件和传输组件,所述文件拆分组件用于将所述中等容量文件拆分成若干个小容量子文件,所述二维码转换组件用于将所述小容量文件和小容量子文件转换成二维码,所述编码组件用于对所述小容量子文件转换成的二维码进行编码,所述解码组件用于对所述编码后的二维码进行解码并拼接还原成所述中等容量文件,所述传输组件用于传输所述二维码;
所述数字校园服务系统服务器用于接收所述单向跨网数据传输层的文件信息,对所述文件信息进行处理得到普通信息和核心信息,并将所述核心信息发送给数据脱敏层,将所述普通信息发送给信息推送服务层;所述文件信息包括所述大容量文件、中等容量文件和小容量文件;
所述数据脱敏层用于对所述核心信息进行数据脱敏得到脱敏信息;
所述信息推送服务层用于将所述普通信息和脱敏信息推送给用户。
2.根据权利要求1所述的一种基于单向跨网数据传输的数字校园服务系统,其特征在于,所述用户前端展示层向用户展示的功能包括:普通用户功能、平台管理功能和姿势图;所述后端接口层包括:普通用户功能接口、平台管理功能接口和姿势图接口。
3.根据权利要求2所述的一种基于单向跨网数据传输的数字校园服务系统,其特征在于,所述单向跨网数据传输层支持文件和数据库同步,支持API接口和可视化的物理隔离通道。
4.根据权利要求2所述的一种基于单向跨网数据传输的数字校园服务系统,其特征在于,所述平台管理功能接口和姿势图接口为一套可配置的管理菜单,所述管理菜单用于为管理员实现用户管理、角色管理、身份管理、单位管理、授权管理和展示目录管理功能。
5.根据权利要求1所述的一种基于单向跨网数据传输的数字校园服务系统,其特征在于,所述单向跨网数据传输层的预处理模块执行以下预处理步骤:
ip校验,验证用户身份;
签名校验,计算所述待传输文件的签名并验证数据完整性,认证数据来源;
文件类型校验,验证所述待传输文件类型,所述文件类型分为白名单和黑名单,文件类型为白名单则通过校验,文件类型为黑名单则终止数据传输;
限流处理,进行传输流量分配;
敏感词校验,匹配违规关键词,匹配成功则终止数据传输;
规则校验,匹配正则表达式,以黑名单模式匹配,匹配成功则终止数据传输;
数据加密,对待传输文件的数据进行加密;
数据审批,由审计管理员操作,对待传输文件的数据进行检查。
6.根据权利要求1所述的一种基于单向跨网数据传输的数字校园服务系统,其特征在于,所述光盘大容量单向传输模块包括跨网数据发送软件、跨网光盘摆渡机、跨网数据接收软件和配置管理软件,所述配置管理软件用于模拟人工刻盘动作。
7.根据权利要求6所述的一种基于单向跨网数据传输的数字校园服务系统,其特征在于,所述文件拆分组件用于将所述中等容量文件拆分成若干个小容量子文件,所述编码组件用于对所述小容量子文件转换成的二维码进行编码,所述解码组件用于对所述编码后的二维码进行解码并拼接还原成所述中等容量文件,包括:
所述文件拆分组件设置单个二维码的最大传输容量为Max,所述文件拆分组件将容量大小为M的数据文件拆分成个小容量子文件,将所述小容量子文件作为待传输数据包;
所述编码组件使用身份标识信息和加密公钥对所述待传输数据包进行加密,并在所述待传输数据包前加入数据标识符和数据包序号,在所述待传输数据包后加入下一数据包序号;所述数据标识符代表所传输数据的唯一标识;
所述解码组件根据所述数据标识符、数据包序号和下一数据包序号对所述编码后的二维码进行解码并拼接还原成所述中等容量文件,并根据数据标识符和下一数据包序号判断是否有未拼接的待传输数据包,找到未拼接的待传输数据包对应数据包序号进行重新传输。
8.根据权利要求6所述的一种基于单向跨网数据传输的数字校园服务系统,其特征在于,所述二维码单向数据传输模块的传输组件包括跨网数据发送软件、显示设备、摄像头、跨网数据接收软件和配置管理软件;
所述跨网数据发送软件用于发送所述二维码;
所述显示设备用于显示所述二维码;
所述摄像头用于模拟扫描所述二维码;
所述跨网数据接收软件用于接收所述二维码;
所述配置管理软件用于识别所述二维码。
9.根据权利要求1所述的一种基于单向跨网数据传输的数字校园服务系统,其特征在于,所述数字校园服务系统服务器包括消息中间件数据模块、平台定时任务模块和Token模块;
所述消息中间件数据模块用于用户消费信息的数据交换;
所述平台定时任务模块用于实现与用户、平台统计的定时任务;
所述Token模块用于token签发、校验和微服务鉴权。
10.根据权利要求1所述的一种基于单向跨网数据传输的数字校园服务系统,其特征在于,所述数据脱敏层的功能包括规则脱敏、加密脱敏和数据屏蔽脱敏;
所述规则脱敏是根据所述结果信息的敏感程度以及积累的敏感关键词制定脱敏规则,将关键信息用“*”代替;
所述加密脱敏是对所述结果信息的敏感数据进行加密,授权人员通过解密查看原始数据;
所述数据屏蔽脱敏,是对所述结果信息的敏感数据进行屏蔽,避免被存储、传输和使用,授权人员才能访问。
11.根据权利要求1所述的一种基于单向跨网数据传输的数字校园服务系统,其特征在于,所述信息推送服务层包括普通业务消息推送模块和核心业务消息推送模块;
所述普通业务消息推送模块用于将所述普通信息推送给用户,所述普通信息包括系统业务流程中每个步骤完成情况;
所述核心业务消息推送模块用于将所述脱敏信息通过短信的方式将业务处理进度推送给用户。
CN202310866420.7A 2023-07-14 2023-07-14 基于单向跨网数据传输的数字校园服务系统 Pending CN116668434A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310866420.7A CN116668434A (zh) 2023-07-14 2023-07-14 基于单向跨网数据传输的数字校园服务系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310866420.7A CN116668434A (zh) 2023-07-14 2023-07-14 基于单向跨网数据传输的数字校园服务系统

Publications (1)

Publication Number Publication Date
CN116668434A true CN116668434A (zh) 2023-08-29

Family

ID=87724322

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310866420.7A Pending CN116668434A (zh) 2023-07-14 2023-07-14 基于单向跨网数据传输的数字校园服务系统

Country Status (1)

Country Link
CN (1) CN116668434A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117596084A (zh) * 2024-01-19 2024-02-23 天津航天机电设备研究所 一种面向网信安全的软件持续集成系统及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117596084A (zh) * 2024-01-19 2024-02-23 天津航天机电设备研究所 一种面向网信安全的软件持续集成系统及方法
CN117596084B (zh) * 2024-01-19 2024-04-16 天津航天机电设备研究所 一种面向网信安全的软件持续集成系统及方法

Similar Documents

Publication Publication Date Title
US11620402B2 (en) Methods and systems for securing and retrieving sensitive data using indexable databases
CA3058013C (en) Managing sensitive data elements in a blockchain network
US8898452B2 (en) Protocol translation
JP6556840B2 (ja) 共有されるネットワーク化された環境においてデータを記憶するための方法、ストレージ・サブシステム、クラウド・ストレージ・システム、データ処理プログラム、およびコンピュータ・プログラム製品(クラウド環境における機密データの自動化された管理)
US8539231B1 (en) Encryption key management
CN110417750B (zh) 基于区块链技术的文件读取和存储的方法、终端设备和存储介质
US11216903B2 (en) Watermark security
CN102469080B (zh) 实现通行证用户安全登录应用客户端的方法和系统
US11658963B2 (en) Cooperative communication validation
US20180285172A1 (en) Data exchange between applications
US8848922B1 (en) Distributed encryption key management
CN106357699A (zh) 网络系统、服务平台、服务平台登录方法及系统
US20230229805A1 (en) Privacy-Preserving Image Distribution
CN116668434A (zh) 基于单向跨网数据传输的数字校园服务系统
KR20220143874A (ko) 블록체인과 연관된 복수의 서비스들을 위한 플랫폼
CN117313759A (zh) 数据安全传输的方法、装置、设备及存储介质
CN112100639A (zh) 一种基于元数据业务信息的数据加密传输的方法、系统
US11526633B2 (en) Media exfiltration prevention system
CN108900869B (zh) 一种通信组信息加解密方法及系统
CN114202840A (zh) 身份验证控制方法、装置及介质
CN112257084A (zh) 基于区块链的个人信息存储与监控方法、系统及存储介质
Ras Digital Forensic Readiness Architecture for Cloud Computing Systems
US11811921B2 (en) Photon-level light shifting for enhanced file system security and authenticity
US20230308697A1 (en) Providing controlled access to content on a client system
CN115277046B (zh) 5g能力开放安全控制方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination