CN117614729A - 一种跨网域网络访问方法、系统、装置及可读存储介质 - Google Patents

Abstract

本发明提出的一种跨网域网络访问方法、系统、装置及可读存储介质，属于网络传输技术领域。所述方法包括：通过外网域代理服务接收外网业务系统发送的socket请求数据，并将利用数据封装机制其转换成文件请求数据发送到单向导入设备上；通过内网域代理服务器从单向导入设备接收文件请求数据，利用数据解封机制将其还原成socket请求数据发送给内网服务系统；通过内网域代理服务器接收内网服务系统的socket应答数据，利用数据封装机制将其转换成文件应答数据发送到单向导出设备上；通过外网域代理服务从单向导出设备上接收文件应答数据，利用数据解封机制将其还原成socket应答数据发送到外网业务系统。

Description

一种跨网域网络访问方法、系统、装置及可读存储介质

技术领域

本发明涉及网络传输技术领域，更具体的说是涉及一种跨网域网络访问方法、系统、装置及可读存储介质。

背景技术

随着互联网的普及和数字化进程的加速，网络攻击和威胁的种类和频率都大幅增加，黑客、病毒、蠕虫等恶意行为对网络和数据的安全构成了严重威胁，组织或企业需要采取安全措施进行防范。其中一种常用的防御措施是根据信息资产的作用和价值，将信息资产所在的网络划分为多个网域，如内网、外网、涉密网和非涉密网等，这些网域之间彼此隔离，无法通过网络相互访问。这种网络划分与隔离的方式兼顾了组织或企业的经营需求和安全需求，确保了一部分安全性较低的网络是方便易用的，可以用于日常工作；一部分网络安全性较高的网络是安全可靠的，用于保护组织或企业核心资产和服务。由于网域之间的隔离，即使安全性较低的网络上发生了网络攻击，攻击也不会蔓延到其它网络。

但随着组织或企业业务的不断发展，原本彼此隔离的网络也需要与其它网络进行数据交换，以此来满足组织或企业的经营需求。因此，基于物理隔离卡的跨网域文件数据交换方案被提出，如图1所示，此方案公开的基于物理隔离卡的跨网域文件数据交换系统具体如下：

1、网络传输设备是双主机设备，部署在两个网络边界，两个主机分别连接各自一侧的网络。

2、同一个网络传输设备的两个主机之间通过单向隔离卡进行数据交换。

3、网络传输系统提供的接口是文件接口，只能传输文件。

由于网络传输设备文件传输和单向传输的特性，网络两侧虽然可以进行数据的交换，但是由于彼此之间无法通过网络访问，因此能够杜绝绝大部分的网络攻击，即使网络传输设备的一侧主机沦陷，攻击者无法透过传输设备横向移动到网络的另一侧。

虽然上述方案所实现的跨网域文件数据交换在一定程度上解决了组织或企业在经营过程中网域间数据访问的需求，但当前绝大部分信息系统是以网络服务的方式提供，包括数据库服务、web服务、接口服务等等。如果两个网域之间只能进行文件数据的交换，很难满足组织或企业在不同网域间业务系统相互访问的业务需求。

发明内容

针对以上问题，本发明的目的在于提供一种跨网域网络访问方法、系统、装置及可读存储介质，基于物理隔离卡通过网络协议代理的方法，实现了不同网域间的业务系统彼此的网络访问。

本发明为实现上述目的，通过以下技术方案实现：一种跨网域网络访问方法，包括：

在外网域设置外网域代理服务器，将外网域代理服务器分别与外网业务系统、单向导入设备和单向导出设备建立网络连接；

通过外网域代理服务接收外网业务系统发送的socket请求数据，并利用数据封装机制将其转换成文件请求数据发送到单向导入设备的外网主机上；

在内网域设置内网域代理服务器，将内网域服务器分别与内网服务系统、单向导入设备和单向导出设备建立网络连接；

通过内网域代理服务器从单向导入设备的内网主机上接收文件请求数据，利用数据解封机制将其还原成socket请求数据发送给内网服务系统；

通过内网域代理服务器接收内网服务系统的socket应答数据，利用数据封装机制将其转换成文件应答数据发送到单向导出设备的内网主机上；

通过外网域代理服务从单向导出设备的外网主机上接收文件应答数据，利用数据解封机制将其还原成socket应答数据发送到外网业务系统。

进一步，所述在外网域设置外网域代理服务器包括：

将外网域代理服务器作为代理服务端提供代理服务；

为每个代理服务配置一个代理监听端口，以对应内网域中的一个目标服务。

进一步，所述在内网域设置内网域代理服务器，包括：

将内网域代理服务器配置为代理客户端与内网服务系统建立连接。

进一步，所述数据封装机制包括：

接收原始的socket应用层数据；

在接收的数据中剥离出TCP协议；

使用私有协议对数据进行重新封装，以生成文件数据。

进一步，所述数据解封机制包括：

接收文件数据；

在文件数据中剥离出私有协议；

使用TCP协议对数据进行重新封装，以生成socket应用层数据。

进一步，所述将外网域代理服务器分别与外网业务系统、单向导入设备和单向导出设备建立网络连接，包括：

通过外网域代理服务器接收外网业务系统的连接请求，生成通信socket和会话id，并采用proxy header封装成一个类型为新建会话的数据；

将封装后的数据通过单向导入设备传递到内网域。

进一步，所述将内网域服务器分别与内网服务系统、单向导入设备和单向导出设备建立网络连接，包括：

通过内网域服务器接收单向导入设备的发送的封装数据；

根据封装数据中的代理地址查询目标服务地址，生成与目标服务通信的socket,将socket与会话id绑定并发送至内网服务系统。

相应的，本发明还公开了一种跨网域网络访问系统，包括：

代理服务端设置模块，用于在外网域设置外网域代理服务器，将外网域代理服务器分别与外网业务系统、单向导入设备和单向导出设备建立网络连接；

数据导入模块，用于通过外网域代理服务接收外网业务系统发送的socket请求数据，并利用数据封装机制将其转换成文件请求数据发送到单向导入设备的外网主机上；

代理客户端设置模块，用于在内网域设置内网域代理服务器，将内网域服务器分别与内网服务系统、单向导入设备和单向导出设备建立网络连接；

数据传输模块，用于通过内网域代理服务器从单向导入设备的内网主机上接收文件请求数据，利用数据解封机制将其还原成socket请求数据发送给内网服务系统；

数据应答模块，用于通过内网域代理服务器接收内网服务系统的socket应答数据，利用数据封装机制将其转换成文件应答数据发送到单向导出设备的内网主机上；

数据导出模块，用于通过外网域代理服务从单向导出设备的外网主机上接收文件应答数据，利用数据解封机制将其还原成socket应答数据发送到外网业务系统。

相应的，本发明公开了一种跨网域网络访问装置，包括：

存储器，用于存储跨网域网络访问程序；

处理器，用于执行所述跨网域网络访问程序时实现如上文任一项所述跨网域网络访问方法的步骤。

相应的，本发明公开了一种可读存储介质，所述可读存储介质上存储有跨网域网络访问程序，所述跨网域网络访问程序被处理器执行时实现如上文任一项所述跨网域网络访问方法的步骤。

对比现有技术，本发明有益效果在于：本发明公开了一种跨网域网络访问方法、系统、装置及可读存储介质，在原有的基于物理隔离卡的数据交换方案之上，利用其文件传输能力，将网络访问流量转换成文件数据进行跨网传输，实现了跨网域网络访问的能力。本发明需要改变原有的基于物理隔离卡的跨网域文件数据交换系统的网络架构，在需要跨域访问的网络两侧各添加一台代理服务器即可，方案部署实施方便。同时，本发明基于原有的文件传输和单向传输能力，安全性没有降低，即使网络一侧沦陷，攻击者也无法横移到网络另一侧。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1是本发明背景技术的基于物理隔离卡的跨网域文件数据交换系统的系统原理图。

图2是本发明具体实施方式的方法流程图。

图3是本发明具体实施方式的系统结构图。

图中，1、代理服务端设置模块；2、数据导入模块；3、代理客户端设置模块；4、数据传输模块；5、数据应答模块；6、数据导出模块。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图2所示，本实施例提供了一种跨网域网络访问方法，包括如下步骤：

S1：在外网域设置外网域代理服务器，将外网域代理服务器分别与外网业务系统、单向导入设备和单向导出设备建立网络连接。

在具体实施方式中，将外网域代理服务器作为服务端提供代理服务，每个代理服务都提供一个代理监听端口，每个监听端口都对应内网域中一个目标服务。外网业务系统通过外网域代理服务器访问代理服务，以期望达到访问内网服务系统的目的。

外网域代理服务器设置完成后，需要进行外网域代理服务器与外网域的socket连接创建，具体过程如下：

由于外网域代理服务器与真实应用服务是一对一的关系，由外网域代理服务器受理真实客户端的访问请求。外网域代理服务器根据accept到的连接请求，生成通信socket和sessionid，然后采用proxy header封装一个类型为新建会话的数据（proxyheader:flag=1, dstip=代理ip，dstport=代理端口，sessionid=xxx），并将数据通过单向导出设备传递到内网域。

S2：通过外网域代理服务接收外网业务系统发送的socket请求数据，并利用数据封装机制将其转换成文件请求数据发送到单向导入设备的外网主机上。

在具体实施方式中，外网域代理服务器接收外网业务系统（客户端）发送的socket请求数据，并将其转换成文件请求数据发送到单向导入设备的外网主机上。

S3：在内网域设置内网域代理服务器，将内网域服务器分别与内网服务系统、单向导入设备和单向导出设备建立网络连接。

在具体实施方式中，内网域代理服务器作为代理客户端连接内网服务系统（真实服务端）。

内网域代理服务器与内网域的socket连接创建过程具体如下：

内网域代理服务器根据封装数据（proxyheader: flag=1, dstip=代理ip，dstport=代理端口,sessionid=xxx）中的代理地址查询目标服务地址，生成与目标服务址通信的socket, 并将socket与sessonid绑定。

可见，通过上述步骤S1和S3，完成了代理服务端和代理客户端与网络两侧的socket连接创建。

另外，需要特别说明的是：

当两侧socket关闭或异常时，生成一个类型为销毁会话的数据（flag=2,sessiond=xxx）并传至网络另一侧，网络另一侧的代理服务根据flag类型和sessionid ，将指定的socket连接关闭销毁。

正常通信过程中，代理服务将socket接收到数据采用proxyheader封装（flag=3,sessionid=xxx，data=xxxx)传递至网络另一侧，另一侧的代理服务根据ssionid找到指定的socket，将data数据发送到socket对应的目标端。

S4：通过内网域代理服务器从单向导入设备的内网主机上接收文件请求数据，利用数据解封机制将其还原成socket请求数据发送给内网服务系统。

S5：通过内网域代理服务器接收内网服务系统的socket应答数据，利用数据封装机制将其转换成文件应答数据发送到单向导出设备的内网主机上。

S6：通过外网域代理服务从单向导出设备的外网主机上接收文件应答数据，利用数据解封机制将其还原成socket应答数据发送到外网业务系统。

在具体实施方式中，本方法所采用的数据封装机制包括：

首先接收原始的socket应用层数据；然后在接收的数据中剥离出TCP协议；最后，使用私有协议对数据进行重新封装，以生成文件数据。

相应的，本方法所采用的数据解封机制包括：

首先，接收文件数据；然后在文件数据中剥离出私有协议；使用TCP协议对数据进行重新封装，以生成socket应用层数据。

作为示例的，本方法中私有协议具体如下表所示：

表1：私有协议报文格式示意表

Version： 协议版本号。

Flag：会话管理标志位，1-新建连接2-销毁连接3-通信数据。

Reserved：保留字段。

Session id： 会话id。两侧网络tcp代理连接通过session id 关联。

Src ip/port：客户端ip/端口。

Dst ip/port：服务端ip/端口。

Data len： 原始数据长度。

Data：原始数据。

由此可见，本发明提供了一种跨网域网络访问方法，通过先将客户端发起的socket流量转化成为文件，然后利用单向物理隔离卡的传输能力将文件发送到网络的另一侧，另一侧的代理服务最后再将文件转化成socket流量发送到目标服务端，从而实现了跨网域访问，可以帮助不同网域间的业务系统实现彼此的网络访问。

参见图3所示，本发明还公开了一种跨网域网络访问系统，包括：代理服务端设置模块1、数据导入模块2、代理客户端设置模块3、数据传输模块4、数据应答模块5和数据导出模块6。

代理服务端设置模块1，用于在外网域设置外网域代理服务器，将外网域代理服务器分别与外网业务系统、单向导入设备和单向导出设备建立网络连接。

数据导入模块2，用于通过外网域代理服务接收外网业务系统发送的socket请求数据，并利用数据封装机制将其转换成文件请求数据发送到单向导入设备的外网主机上。

代理客户端设置模块3，用于在内网域设置内网域代理服务器，将内网域服务器分别与内网服务系统、单向导入设备和单向导出设备建立网络连接。

数据传输模块4，用于通过内网域代理服务器从单向导入设备的内网主机上接收文件请求数据，利用数据解封机制将其还原成socket请求数据发送给内网服务系统。

数据应答模块5，用于通过内网域代理服务器接收内网服务系统的socket应答数据，利用数据封装机制将其转换成文件应答数据发送到单向导出设备的内网主机上。

数据导出模块6，用于通过外网域代理服务从单向导出设备的外网主机上接收文件应答数据，利用数据解封机制将其还原成socket应答数据发送到外网业务系统。

本实施例的跨网域网络访问系统的具体实施方式与上述跨网域网络访问法的具体实施方式基本一致，在此不再赘述。

本发明还公开了一种跨网域网络访问装置，包括处理器和存储器；其中，所述处理器执行所述存储器中保存的跨网域网络访问程序时实现如上文任一项所述跨网域网络访问方法的步骤。

进一步的，本实施例中的跨网域网络访问装置，还可以包括：

输入接口，用于获取外界导入的跨网域网络访问程序，并将获取到的跨网域网络访问程序保存至所述存储器中，还可以用于获取外界终端设备传输的各种指令和参数，并传输至处理器中，以便处理器利用上述各种指令和参数展开相应的处理。本实施例中，所述输入接口具体可以包括但不限于USB接口、串行接口、语音输入接口、指纹输入接口、硬盘读取接口等。

输出接口，用于将处理器产生的各种数据输出至与其相连的终端设备，以便于与输出接口相连的其他终端设备能够获取到处理器产生的各种数据。本实施例中，所述输出接口具体可以包括但不限于USB接口、串行接口等。

通讯单元，用于在跨网域网络访问装置和外部服务器之间建立远程通讯连接，以便于跨网域网络访问装置能够将镜像文件挂载到外部服务器中。本实施例中，通讯单元具体可以包括但不限于基于无线通讯技术或有线通讯技术的远程通讯单元。

键盘，用于获取用户通过实时敲击键帽而输入的各种参数数据或指令。

显示器，用于运行跨网域网络访问过程的相关信息进行实时显示。

鼠标，可以用于协助用户输入数据并简化用户的操作。

本发明还公开了一种可读存储介质，这里所说的可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动硬盘、CD-ROM或技术领域内所公知的任意其他形式的存储介质。可读存储介质中存储有跨网域网络访问程序，所述跨网域网络访问程序被处理器执行时实现如上文任一项所述跨网域网络访问方法的步骤。

综上所述，本发明基于物理隔离卡通过网络协议代理的方法，实现了不同网域间的业务系统彼此的网络访问。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的方法而言，由于其与实施例公开的系统相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统、系统和方法，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，系统或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。

同理，在本发明各个实施例中的各处理单元可以集成在一个功能模块中，也可以是各个处理单元物理存在，也可以两个或两个以上处理单元集成在一个功能模块中。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的跨网域网络访问方法、系统、装置及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (10)

1.一种跨网域网络访问方法，其特征在于，包括：

在外网域设置外网域代理服务器，将外网域代理服务器分别与外网业务系统、单向导入设备和单向导出设备建立网络连接；

通过外网域代理服务接收外网业务系统发送的socket请求数据，并利用数据封装机制将其转换成文件请求数据发送到单向导入设备的外网主机上；

在内网域设置内网域代理服务器，将内网域服务器分别与内网服务系统、单向导入设备和单向导出设备建立网络连接；

通过内网域代理服务器从单向导入设备的内网主机上接收文件请求数据，利用数据解封机制将其还原成socket请求数据发送给内网服务系统；

通过内网域代理服务器接收内网服务系统的socket应答数据，利用数据封装机制将其转换成文件应答数据发送到单向导出设备的内网主机上；

通过外网域代理服务从单向导出设备的外网主机上接收文件应答数据，利用数据解封机制将其还原成socket应答数据发送到外网业务系统。

2.根据权利要求1所述的跨网域网络访问方法，其特征在于，所述在外网域设置外网域代理服务器包括：

将外网域代理服务器作为代理服务端提供代理服务；

为每个代理服务配置一个代理监听端口，以对应内网域中的一个目标服务。

3.根据权利要求2所述的跨网域网络访问方法，其特征在于，所述在内网域设置内网域代理服务器，包括：

将内网域代理服务器配置为代理客户端与内网服务系统建立连接。

4.根据权利要求3所述的跨网域网络访问方法，其特征在于，所述数据封装机制包括：

接收原始的socket应用层数据；

在接收的数据中剥离出TCP协议；

使用私有协议对数据进行重新封装，以生成文件数据。

5.根据权利要求4所述的跨网域网络访问方法，其特征在于，所述数据解封机制包括：

接收文件数据；

在文件数据中剥离出私有协议；

使用TCP协议对数据进行重新封装，以生成socket应用层数据。

6.根据权利要求5所述的跨网域网络访问方法，其特征在于，所述将外网域代理服务器分别与外网业务系统、单向导入设备和单向导出设备建立网络连接，包括：

通过外网域代理服务器接收外网业务系统的连接请求，生成通信socket和会话id，并采用proxy header封装成一个类型为新建会话的数据；

将封装后的数据通过单向导入设备传递到内网域。

7.根据权利要求6所述的跨网域网络访问方法，其特征在于，所述将内网域服务器分别与内网服务系统、单向导入设备和单向导出设备建立网络连接，包括：

通过内网域服务器接收单向导入设备的发送的封装数据；

根据封装数据中的代理地址查询目标服务地址，生成与目标服务通信的socket,将socket与会话id绑定并发送至内网服务系统。

8.一种跨网域网络访问系统，其特征在于，包括：

代理服务端设置模块，用于在外网域设置外网域代理服务器，将外网域代理服务器分别与外网业务系统、单向导入设备和单向导出设备建立网络连接；

数据导入模块，用于通过外网域代理服务接收外网业务系统发送的socket请求数据，并利用数据封装机制将其转换成文件请求数据发送到单向导入设备的外网主机上；

代理客户端设置模块，用于在内网域设置内网域代理服务器，将内网域服务器分别与内网服务系统、单向导入设备和单向导出设备建立网络连接；

数据传输模块，用于通过内网域代理服务器从单向导入设备的内网主机上接收文件请求数据，利用数据解封机制将其还原成socket请求数据发送给内网服务系统；

数据应答模块，用于通过内网域代理服务器接收内网服务系统的socket应答数据，利用数据封装机制将其转换成文件应答数据发送到单向导出设备的内网主机上；

数据导出模块，用于通过外网域代理服务从单向导出设备的外网主机上接收文件应答数据，利用数据解封机制将其还原成socket应答数据发送到外网业务系统。

9.一种跨网域网络访问装置，其特征在于，包括：

存储器，用于存储跨网域网络访问程序；

处理器，用于执行所述跨网域网络访问程序时实现如权利要求1至7任一项权利要求所述的跨网域网络访问方法的步骤。

10.一种可读存储介质，其特征在于：所述可读存储介质上存储有跨网域网络访问程序，所述跨网域网络访问程序被处理器执行时实现如权利要求1至7任一项权利要求所述的跨网域网络访问方法的步骤。