CN104601576A - 一种基于单向安全隔离网闸的文件传输方法和装置 - Google Patents
一种基于单向安全隔离网闸的文件传输方法和装置 Download PDFInfo
- Publication number
- CN104601576A CN104601576A CN201510024484.8A CN201510024484A CN104601576A CN 104601576 A CN104601576 A CN 104601576A CN 201510024484 A CN201510024484 A CN 201510024484A CN 104601576 A CN104601576 A CN 104601576A
- Authority
- CN
- China
- Prior art keywords
- file
- data
- security level
- processing module
- netware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于单向安全隔离网闸的文件传输方法和装置。其中,该方法包括:第一处理模块接收低密级网络文件服务器发送的数据;第一处理模块判断接收到的数据的类型,如果数据为文件数据,则将文件数据传输至隔离板卡;第二处理模块从隔离板卡读取文件数据;第二处理模块将文件数据上传至高密级网络文件服务器。本发明解决了现有技术中必须使用客户端实现文件由低密级网络文件服务器摆渡至高密级网络文件服务器时的不便捷的问题。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种基于单向安全隔离网闸的文件传输方法和装置。
背景技术
采用无反馈的单向传输技术能够保证数据单向的从低密级网络流向高密级网络,解决了数据传输中高密级网络信息泄露的问题。单向安全隔离网闸具有类似于二极管单向导电的特性,其采用硬件架构设计使得数据仅能从外网低密级网络终端即非信任端,传输至高密级网络终端即信任端。单向安全隔离网闸能够从物理链路层、传输层保证数据的绝对单向流动。然而,正是由于信息的单向流动,使得数据传输中低密级网络终端不会接收到高密级网络终端发出的任何形式的反馈信号,因此,所有需要“握手”确认的通信协议在信息单向导入系统中都会失去意义。
文件由低密级网络终端摆渡至高密级网络终端是单向安全隔离网闸特别重要的一个应用。通常的,低密级网络终端和高密级网络终端上都必须安装有客户端来配合单向安全隔离网闸实现文件完整传输。
针对现有技术中必须使用客户端实现文件由低密级网络文件服务器摆渡至高密级网络文件服务器时的不便捷的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种基于单向安全隔离网闸的文件传输方法和装置,以解决现有技术中必须使用客户端实现文件由低密级网络文件服务器摆渡至高密级网络文件服务器时的不便捷的问题。
为了实现上述目的,根据本发明实施例的一个方面,提供了一种基于单向安全隔离网闸的文件传输方法。根据本发明的基于单向安全隔离网闸的文件传输方法包括:第一处理模块接收低密级网络文件服务器发送的数据;第一处理模块判断接收到的数据的类型,如果数据为文件数据,则将文件数据传输至隔离板卡;第二处理模块从隔离板卡读取文件数据;第二处理模块将文件数据上传至高密级网络文件服务器。
为了实现上述目的,根据本发明实施例的另一方面,提供了一种基于单向安全隔离网闸的文件传输装置。根据本发明的基于单向安全隔离网闸的文件传输装置包括:第一处理模块和第二处理模块,其中,第一处理模块包括:接收单元,用于接收低密级网络文件服务器发送的数据,判断单元,用于判断第一处理模块接收到的数据的类型,第一发送单元,用于当数据类型为文件数据时,将文件数据传输至隔离板卡;第二处理模块包括:读取单元,用于从隔离板卡读取文件数据;第二发送单元,用于将文件数据上传至高密级网络文件服务器。
根据发明实施例,通过第一处理模块和第二处理模块加载SMB协议,分别与低密级网络终端和高密级网络终端交互数据,解决了现有技术中必须使用客户端实现文件由低密级网络文件服务器摆渡至高密级网络文件服务器时的不便捷的问题,达到了通过SMB协议将低密级网络文件服务器中共享文件夹里的文件摆渡至高密级网络文件服务器的共享文件夹中的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例一的基于单向安全隔离网闸的文件传输方法的流程图;以及
图2是根据本发明实施例二的基于单向安全隔离网闸的文件传输装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先对本申请中涉及到的名词进行解释:SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。
在本申请提供的实施例中,将网络按照密级区分为高密级网络和低密级网络,高密级网络对应内网,也可称为信任端网络,低密级网络对应外网,也可称为非信任端网络。为了实现数据单向的从低密级网络摆渡至高密级网络,低密级网络和高密级网络之间设置有单向安全隔离网闸。本发明中涉及到的单向安全隔离网闸,亦可称为单向安全隔离系统,包括隔离板卡、外端机和内端机。其中,外端机连接低密级网络,内端机连接高密级网络。
基于上述的网络架构,在本申请提供的实施例中,高密级网络中和低密级网络中均部署一台或多台文件服务器,且高密级网络文件服务器中和低密级网络文件服务器中都开有共享文件夹。当使用SMB协议将低密级网络文件服务器共享文件夹中的文件摆渡至高密级网络文件服务器共享文件夹中时,低密级网络为整体意义上的SMB服务器,高密级网络为整体意义上的SMB客户端。此时,外端机使用SMB协议访问低密级网络文件服务器中的共享文件夹,相对于低密级网络文件服务器,外端机为虚拟的SMB客户端;此时,内端机使用SMB协议将文件传输至高密级网络文件服务器中的共享文件夹,相对于高密级网络文件服务器,内端机为虚拟的SMB客户端。
需要说明的是,以下实施例中用第一处理模块代替外端机,用第二处理模块代替内端机。
实施例一:
本发明实施例提供了一种基于单向安全隔离网闸的文件传输方法。
图1是根据本发明实施例的基于单向安全隔离网闸的文件传输方法的流程图。如图1所示,该基于单向安全隔离网闸的文件传输方法包括步骤如下:
步骤S102,第一处理模块接收低密级网络文件服务器发送的数据;
具体的,在上述步骤S102中,由于使用SMB协议建立连接时,需要SMB客户端与SMB服务器进行磋商和握手,因此,低密级网络文件服务器不能直接通过单向安全隔离网闸和高密级网络文件服务器建立连接;但是第一处理模块和低密级网络直接相连,使用SMB协议与低密级网络文件服务器交互数据。
步骤S104,第一处理模块判断接收到的数据的类型,如果数据为文件数据,则将文件数据传输至隔离板卡;
具体的,在上述步骤S104中,从低密级网络文件服务器的角度来看,在第一处理模块在与低密级网络文件服务器建立连接的过程中,低密级网络文件服务器向第一处理模块发送连接数据,当低密级网路文件服务器和第一处理模块的连接建立完成后,低密级网络文件服务器向第一处理模块发送文件数据。从第一处理模块的角度来看,第一处理模块会收到低密级网络服务器发来的连接数据和文件数据,因此第一处理模块首先判断收到的数据是连接数据还是文件数据,如果是连接数据,则直接根据SMB协议进行相应的回应或操作;如果是文件数据,则将完整接收的数据传输至隔离板卡。此处所说的隔离板卡,包括但不限于光单向安全隔离板卡。
步骤S106,第二处理模块从隔离板卡读取文件数据;
具体的,在上述步骤S106中,第二处理模块从隔离板卡处读取数据,由于第一处理模块仅将接收到的文件数据传输至隔离板卡,因此,第二处理模块不再判断接收到的数据的类型。由于第一处理模块向第二处理模块的数据传输没有反馈机制,因此优选的,需要尽可能的保证数据的安全、完整传输。
步骤S108,第二处理模块将文件数据上传至高密级网络文件服务器。
具体的,在上述步骤S108中,第二处理模块与高密级网络文件服务器建立连接,通过SMB协议与高密级网络文件服务器交互数据。
综上,步骤S102至步骤S108提供的方案,通过第一处理模块与低密级网络文件服务器使用SMB协议交互数据、第一处理模块将数据经由隔离板卡摆渡至第二处理模块、和第二处理模块与高密级网络文件服务器使用SMB协议交互数据,实现了基于单向安全隔离网闸的SMB方式的文件摆渡。将单向安全隔离网闸作为整体来看,本发明实现了低密级网络文件服务器和高密级网络文件服务器采用SMB协议进行通信,在这种情况下,不需要安装客户端,只要低密级网络文件服务器和高密级网络文件服务器上都能够运行SMB协议,即可实现共享文件夹之间的文件传输。
其中,在执行步骤S102之前,该基于单向安全隔离网闸的文件传输方法还包括:
步骤S100,第一处理模块根据SMB协议主动向低密级网络文件服务器发出建立连接请求,与低密级网络文件服务器建立连接;
步骤S101,第一处理模块主动向低密级网络文件服务器发出访问低密级网络文件服务器中共享文件夹的请求。
其中,在上述步骤S100和S101中,第一处理模块作为虚拟的SMB客户端,向SMB服务器发出连接建立请求和文件访问请求,实现了主动获取低密级网络端SMB服务器中共享文件夹中的文件。
其中,步骤S104中,第一处理模块将文件数据传输至隔离板卡的步骤包括:
步骤S402,将接收到的文件数据存于预先创建的第一文件夹下;其中,第一处理模块判断出接收到的数据的类型后,将被判定为文件数据的数据存入第一文件夹中。第一文件夹为在第一处理模块中事先创建好的本地文件夹,该文件夹下存储的文件为第一处理模块使用SMB协议接收到的完整的文件数据。
步骤S404,监控第一文件夹,将第一文件夹中的文件数据放入待传输队列;
步骤S406,将待传输队列中的文件数据传输至隔离板卡。
其中,在执行步骤S404之前,第一处理模块将文件数据传输至隔离板卡的步骤还包括如下任意一个或多个步骤:
步骤S403a,对第一文件夹下的文件进行病毒扫描,丢弃不合法的文件;其中,对于第一文件夹中存入的文件,进行文件落地病毒检测,对于病毒扫描处理后判定不合法的文件做丢弃处理。第一处理模块通过病毒检测技术确保了文件的安全性。
步骤S403b,获取预先存储的黑白名单,对第一文件夹下的文件进行关键字过滤,丢弃不合法的文件;其中,第一处理模块中预先存储有黑白名单,获取黑白名单并对文件数据进行关键字过滤或者格式过滤,对于不合法的文件做丢弃处理。第一处理模块通过文件过滤技术进一步确保了文件的安全性。
步骤S403c,给文件数据添加数据头;其中,数据头包括如下任意一种或多种状态标志:(1)加密位,(2)对文件数据加水印后得到的水印校验位,(3)计算文件数据md5值后得到的md5校验位,(4)对第一文件夹中的文件进行冗余备份后得到的加冗位,(5)文件头尾命令位,以及(6)数据长度位。
其中,在上述步骤S403c中,状态标志前面的标号不代表顺序。第一处理模块对第一文件夹中存储的文件数据进行加密处理,并生成例如4字节的加密位;第一处理模块对文件数据加水印,生成例如4字节的水印校验位;第一处理模块计算文件数据的md5值,并生成例如4字节的md5校验位;第一处理模块将同一份文件数据摆渡多次至第二处理模块,并生成例如4字节的加冗位;另外,第一处理模块生成例如2字节的文件头尾命令位,用来标识文件头尾;第一处理模块生成例如4字节的数据长度位,用以标识当前传输的文件数据长度。
其中,在上述步骤S403c中,在第一处理模块向第二处理模块传输数据时,采用自定义的私有数据格式来进行。第一处理模块发送的数据由“私有协议数据头”和“文件数据”组成,此处文件数据即为通过SMB协议接收到的文件数据,此处私有协议数据头为包含上述的一种或多种状态标志的文件头;当第一处理模块对文件数据进行某一处理操作后,则在私有协议数据头中添加该处理操作相对应的状态标志。相应的,第二处理模块与第一处理模块使用相同的协议,第二处理模块知晓第一处理模块对文件数据进行的操作处理种类,并在接收到文件数据后进行剥离数据头和根据数据头进行进一步验证的工作。
综上,通过上述步骤S403a至步骤S403c中第一处理模块对文件数据进行的例如“关键字过滤”、“格式过滤”、“病毒扫描”、“数字水印”、“加冗”、“md5校验”的操作处理,确保了传输的文件数据的安全性和完整性。
其中,步骤S106中,第二处理模块从隔离板卡读取文件数据的步骤又包括:
步骤S602,从隔离板卡读取文件数据;
步骤S604,将读取的文件数据存于预先创建的第二文件夹下。其中,第二文件夹为在第二处理模块中事先创建好的本地文件夹,该文件夹下存储的文件为第二处理模块从隔离板卡处接收到的完整的文件数据。
其中,步骤S108中,第二处理模块将文件数据上传至高密级网络文件服务器的步骤包括:
步骤S802,根据SMB协议向高密级网络文件服务器发出连接建立请求,与高密级网络文件服务器建立连接;
步骤S804,主动向高密级网络文件服务器发出访问高密级网络文件服务器中共享文件夹的请求;
具体的,在上述步骤S802和步骤S804中,第二处理模块作为虚拟的SMB客户端,向高密级网络文件服务器发出连接建立请求和访问请求。
步骤S806,将第二文件夹下的文件数据上传至高密级网络文件服务器的共享文件夹中。
综上,步骤S802至步骤S806中,第二处理模块实现了使用SMB协议将文件数据传输给高密级网络文件服务器的操作;当第一处理模块向第二处理模块仅传输文件数据本身时,第二处理模块执行上述步骤的操作;当第一处理模块与第二处理模块之间采用自定义的私有数据格式来传输数据,也就是说,第一处理模块向第二处理模块传输的数据中包含了私有协议数据头时,第二处理模块首先执行如下剥离数据头并进行校验的操作,然后再将剥离了数据头并验证无误的数据传输至高密级网络文件服务器。
其中,在执行步骤S806之前,步骤S108中第二处理模块将文件数据上传至高密级网络文件服务器的步骤包括:
步骤S805a,剥离数据头;其中,前述数据头为上述步骤S403c中由第一处理模块给文件数据添加的数据头。
步骤S805b,解析数据头,获取数据头中包含的状态标志;其中,前述状态标志为步骤S403c中给文件数据添加的数据头中包括的一种或多种状态标志。
步骤S805c,根据状态标志判断剥离数据头后的文件数据的状态;其中,根据状态标志判断剥离数据头后的文件数据的状态的步骤包括:
当状态标志中包括水印校验位和/或md5校验位时,根据水印校验位和/或md5校验位判断文件内容是否发生改变,在判断文件数据内容被改变的情况下丢弃文件数据;
当状态标志中包括加冗位时,根据加冗位判断文件数据是否接收完整,在判断文件数据接收完整后丢弃冗余文件。
综上,通过上述实施例提供的技术方案,不仅实现了低密级网络文件服务器和高密级网络文件服务器采用SMB协议进行通信,而且,通过在第一处理模块与第二处理模块之间采用私有的数据格式进行传输,增加了文件的可控性,且采用诸如关键字过滤、格式过滤、数字水印等技术,加固了文件传输的安全性,最终实现共享文件夹之间的文件的安全、可靠传输。
实施例二:
本发明实施例还提供了一种基于单向安全隔离网闸的文件传输装置。该装置可以通过基于单向安全隔离网闸的文件传输实现其功能。需要说明的是,本发明实施例的基于单向安全隔离网闸的文件传输装置可以用于执行本发明实施例所提供的基于单向安全隔离网闸的文件传输方法,本发明实施例的基于单向安全隔离网闸的文件传输方法也可以通过本发明实施例所提供的基于单向安全隔离网闸的文件传输装置来执行。
图2是根据本发明实施例的基于单向安全隔离网闸的文件传输装置的示意图。如图2所示的基于单向安全隔离网闸的文件传输装置,包括
接收单元10,用于接收低密级网络文件服务器发送的数据;
判断单元20,用于判断第一处理模块接收到的数据的类型,
第一发送单元30,用于当数据类型为文件数据时,将文件数据传输至隔离板卡;
读取单元40,用于从隔离板卡读取文件数据;
第二发送单元50,用于将文件数据上传至高密级网络文件服务器。
其中,接收单元10、判断单元20、第一发送单元30位于第一处理模块中;读取单元40和第二发送单元50位于第二处理模块中。
具体的,在上述接收单元10中,由于使用SMB协议建立连接时,需要SMB客户端与SMB服务器进行磋商和握手,因此,低密级网络文件服务器不能直接通过单向安全隔离网闸和高密级网络文件服务器建立连接;但是第一处理模块和低密级网络直接相连,使用SMB协议与低密级网络文件服务器交互数据。
具体的,在上述判断单元20中,第一处理模块会收到低密级网络服务器发来的连接数据和文件数据,因此第一处理模块首先判断收到的数据是连接数据还是文件数据,如果是连接数据,则直接根据SMB协议进行相应的回应或操作;如果判断单元20判断接收到的数据是文件数据,则由第一发送单元30将完整接收的数据传输至隔离板卡。此处所说的隔离板卡,包括但不限于光单向安全隔离板卡。此处所说的隔离板卡,包括但不限于光单向安全隔离板卡。
具体的,在上述读取单元40中,第二处理模块从隔离板卡处读取数据,由于第一处理模块仅将接收到的文件数据传输至隔离板卡,因此,第二处理模块不再判断接收到的数据的类型。由于第一处理模块向第二处理模块的数据传输没有反馈机制,因此优选的,需要尽可能的保证数据的安全、完整传输。
具体的,在上述第二发送单元50中,第二处理模块与高密级网络文件服务器建立连接,通过SMB协议与高密级网络文件服务器交互数据。
综上,本实施例提供的基于单向安全隔离网闸的文件传输装置实现了低密级网络文件服务器和高密级网络文件服务器采用SMB协议进行通信,在这种情况下,不需要安装客户端,只要低密级网络文件服务器和高密级网络文件服务器上都能够运行SMB协议,即可实现共享文件夹之间的文件传输。
其中,在接收单元10之前,第一处理模块还包括:
第一请求子单元01,用于根据SMB协议主动向低密级网络文件服务器发出建立连接请求,与低密级网络文件服务器建立连接;
第二请求子单元02,用于向低密级网络文件服务器发出访问低密级网络文件服务器中共享文件夹的请求;
其中,第一请求子单元01和第二请求子单元02分别向SMB服务器发出连接建立请求和文件访问请求,使得第一处理模块作为虚拟的SMB客户端,实现了主动获取低密级网络端SMB服务器中共享文件夹中的文件。
其中,第一发送单元30还包括:
第一存储子单元31,用于将接收到的文件数据存于预先创建的第一文件夹下,其中,第一处理模块判断出接收到的数据的类型后,将被判定为文件数据的数据存入第一文件夹中。第一文件夹为在第一处理模块中事先创建好的本地文件夹,该文件夹下存储的文件为第一处理模块使用SMB协议接收到的完整的文件数据。
监控子单元35,用于监控第一文件夹,将第一文件夹中的文件数据加入待传输队列,
传输子单元39,用于将待传输队列中的文件数据传输至隔离板卡。
其中,在监控子单元35之前,第一发送单元30还包括:
扫描检测子单元32,用于对第一文件夹下的文件进行病毒扫描,丢弃不合法的文件;其中,对于第一文件夹中存入的文件,进行文件落地病毒检测,对于病毒扫描处理后判定不合法的文件做丢弃处理。扫描检测单元32通过病毒检测技术确保了文件的安全性。
过滤子单元33,用于获取预先存储的黑白名单,对第一文件夹下的文件进行关键字过滤,丢弃不合法的文件;其中,第一处理模块中预先存储有黑白名单,获取黑白名单并对文件数据进行关键字过滤或者格式过滤,对于不合法的文件做丢弃处理。过滤子单元33通过文件过滤技术进一步确保了文件的安全性。
添加子单元34,用于给文件数据添加数据头;其中,数据头包括如下任意一种或多种状态标志:(1)加密位,(2)对文件数据加水印后得到的水印校验位,(3)计算文件数据md5值后得到的md5校验位,(4)对第一文件夹中的文件进行冗余备份后得到的加冗位,(5)文件头尾命令位,以及(6)数据长度位。
其中,在添加子单元34中,状态标志前面的标号不代表顺序。添加子单元34对第一文件夹中存储的文件数据进行加密处理,并生成例如4字节的加密位;添加子单元34对文件数据加水印,生成例如4字节的水印校验位;添加子单元34计算文件数据的md5值,并生成例如4字节的md5校验位;添加子单元34将同一份文件数据摆渡多次至第二处理模块,并生成例如4字节的加冗位;另外,添加子单元34生成例如2字节的文件头尾命令位,用来标识文件头尾;添加子单元34生成例如4字节的数据长度位,用以标识当前传输的文件数据长度。
其中,在添加子单元34中,在第一处理模块向第二处理模块传输数据时,采用自定义的私有数据格式来进行。第一处理模块发送的数据由“私有协议数据头”和“文件数据”组成,此处文件数据即为通过SMB协议接收到的文件数据,此处私有协议数据头为包含上述的一种或多种状态标志的文件头;当第一处理模块对文件数据进行某一处理操作后,则在私有协议数据头中添加该处理操作相对应的状态标志。相应的,第二处理模块与第一处理模块使用相同的协议,第二处理模块知晓第一处理模块对文件数据进行的操作处理种类,并在接收到文件数据后进行剥离数据头和根据数据头进行进一步验证的工作。
综上,通过扫描检测子单元32、过滤子单元33和添加子单元34,第一处理模块实现了对文件数据进行的例如“关键字过滤”、“格式过滤”、“病毒扫描”、“数字水印”、“加冗”、“md5校验”的操作处理,确保了传输的文件数据的安全性和完整性。
其中,读取单元40还包括:
读取子单元41,用于从隔离板卡读取文件数据,
第二存储子单元42,用于将读取的文件数据存于预先创建的第二文件夹下;其中,第二文件夹为在第二处理模块中事先创建好的本地文件夹,该文件夹下存储的文件为第二处理模块从隔离板卡处接收到的完整的文件数据。
其中,第二发送单元50还包括:
第三请求子单元51,用于根据SMB协议向高密级网络文件服务器发出连接建立请求,与高密级网络文件服务器建立连接,
第四请求子单元55,用于向高密级网络文件服务器发出访问高密级网络文件服务器中共享文件夹的请求,
上传子单元59,用于将第二文件夹下的文件数据上传至高密级网络文件服务器的共享文件夹中。
具体的,通过第三请求子单元51和第四请求子单元55,实现了第二处理模块作为虚拟的SMB客户端,向高密级网络文件服务器发出连接建立请求和访问请求。
综上,通过第三请求子单元51、第四请求子单元55、和上传子单元59,第二处理模块实现了使用SMB协议将文件数据传输给高密级网络文件服务器的操作;当第一处理模块向第二处理模块仅传输文件数据本身时,第二处理模块包括上述单元;当第一处理模块与第二处理模块之间采用自定义的私有数据格式来传输数据,也就是说,第一处理模块向第二处理模块传输的数据中包含了私有协议数据头时,第二处理模块还包含剥离数据头并进行校验的单元,然后再将剥离了数据头并验证无误的数据传输至高密级网络文件服务器。
其中,在上传子单元59之前,第二发送单元50还包括:
剥离子单元56,用于剥离数据头;其中,前述数据头为经上述添加子单元34给文件数据添加的数据头;
解析子单元57,用于解析数据头,获取数据头中包含的状态标志;其中,前述状态标志为经上述添加子单元34给文件数据添加的数据头中包括的一种或多种状态标志:
判断子单元58,用于根据状态标志判断剥离数据头后的文件数据的状态;其中,根据状态标志判断剥离数据头后的文件数据的状态包括:
当状态标志中包括水印校验位和/或md5校验位时,根据水印校验位和/或md5校验位判断文件内容是否发生改变,在判断文件数据内容被改变的情况下丢弃文件数据;
当状态标志中包括加冗位时,根据加冗位判断文件数据是否接收完整,在判断文件数据接收完整后丢弃冗余文件。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、移动终端、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种基于单向安全隔离网闸的文件传输方法,其特征在于,包括:
第一处理模块接收低密级网络文件服务器发送的数据;
所述第一处理模块判断接收到的数据的类型,如果所述数据为文件数据,则将所述文件数据传输至隔离板卡;
第二处理模块从所述隔离板卡读取所述文件数据;
所述第二处理模块将所述文件数据上传至高密级网络文件服务器。
2.根据权利要求1所述的方法,其特征在于,在第一处理模块接收低密级网络文件服务器发送的数据之前,所述方法还包括:
所述第一处理模块根据SMB协议主动向所述低密级网络文件服务器发出建立连接请求,与所述低密级网络文件服务器建立连接;
所述第一处理模块主动向所述低密级网络文件服务器发出访问所述低密级网络文件服务器中共享文件夹的请求。
3.根据权利要求2所述的方法,其特征在于,所述第一处理模块将所述文件数据传输至隔离板卡的步骤包括:
将接收到的所述文件数据存于预先创建的第一文件夹下;
监控所述第一文件夹,将所述第一文件夹中的所述文件数据放入待传输队列;
将待传输队列中的文件数据传输至所述隔离板卡。
4.根据权利要求3所述的方法,其特征在于,第二处理模块从所述隔离板卡读取所述文件数据的步骤包括:
从所述隔离板卡读取所述文件数据;
将读取的所述文件数据存于预先创建的第二文件夹下。
5.根据权利要求4所述的方法,其特征在于,在所述第二处理模块将所述文件数据上传至高密级网络文件服务器的步骤包括:
根据SMB协议向所述高密级网络文件服务器发出连接建立请求,与所述高密级网络文件服务器建立连接;
主动向所述高密级网络文件服务器发出访问所述高密级网络文件服务器中共享文件夹的请求;
将所述第二文件夹下的所述文件数据上传至所述高密级网络文件服务器的共享文件夹中。
6.根据权利要求5所述的方法,其特征在于,在将所述第一文件夹中的所述文件数据放入待传输队列之前,所述第一处理模块将所述文件数据传输至隔离板卡,其中,所述第一处理模块将所述文件数据传输至隔离板卡的步骤包括:
对所述第一文件夹下的文件进行病毒扫描,丢弃不合法的文件;和/或,
获取预先存储的黑白名单,对所述第一文件夹下的文件进行关键字过滤,丢弃不合法的文件。
7.根据权利要求5所述的方法,其特征在于,在将所述第一文件夹中的所述文件数据放入待传输队列之前,所述第一处理模块将所述文件数据传输至隔离板卡,其中,所述第一处理模块将所述文件数据传输至隔离板卡的步骤包括:给所述文件数据添加数据头;
其中,所述数据头包括如下任意一种或多种状态标志:加密位、对所述文件数据加水印后得到的水印校验位、计算所述文件数据md5值后得到的md5校验位、对所述第一文件夹中的文件进行冗余备份后得到的加冗位、文件头尾命令位,以及数据长度位。
8.根据权利要求7所述的方法,其特征在于,在将所述第二文件夹下的所述文件数据上传至所述高密级网络文件服务器的共享文件夹中之前,所述第二处理模块将所述文件数据上传至高密级网络文件服务器,其中,所述第二处理模块将所述文件数据上传至高密级网络文件服务器的步骤包括:
剥离所述数据头;
解析所述数据头,获取所述数据头中包含的所述状态标志;
根据所述状态标志判断剥离所述数据头后的文件数据的状态;
其中,根据所述状态标志判断剥离所述数据头后的文件数据的状态的步骤包括:
当所述状态标志中包括所述水印校验位和/或所述md5校验位时,根据所述水印校验位和/或所述md5校验位判断所述文件数据的内容是否发生改变,在判断所述文件数据的内容被改变的情况下丢弃所述文件数据;
当所述状态标志中包括所述加冗位时,根据所述加冗位判断所述文件数据是否接收完整,在判断所述文件数据接收完整后丢弃冗余文件。
9.一种基于单向安全隔离网闸的文件传输装置,其特征在于,包括:第一处理模块和第二处理模块,其中,
所述第一处理模块包括:
接收单元,用于接收低密级网络文件服务器发送的数据,
判断单元,用于判断所述第一处理模块接收到的数据的类型,
第一发送单元,用于当所述数据的类型为文件数据时,将所述文件数据传输至隔离板卡;
所述第二处理模块包括:
读取单元,用于从所述隔离板卡读取所述文件数据;
第二发送单元,用于将所述文件数据上传至高密级网络文件服务器。
10.根据权利要求9所述的装置,其特征在于,所述第一处理模块还包括:
第一请求子单元,用于根据SMB协议主动向所述低密级网络文件服务器发出建立连接请求,与所述低密级网络文件服务器建立连接;
第二请求子单元,用于向所述低密级网络文件服务器发出访问所述低密级网络文件服务器中共享文件夹的请求;
所述第一发送单元还包括:
第一存储子单元,用于将接收到的所述文件数据存于预先创建的第一文件夹下,
监控子单元,用于监控所述第一文件夹,将所述第一文件夹中的所述文件数据加入待传输队列,
传输子单元,用于将待传输队列中的文件数据传输至所述隔离板卡。
11.根据权利要求9所述的装置,其特征在于,所述读取单元还包括:
读取子单元,用于从所述隔离板卡读取所述文件数据,
第二存储子单元,用于将读取的所述文件数据存于预先创建的第二文件夹下;
所述第二发送单元还包括:
第三请求子单元,用于根据SMB协议向所述高密级网络文件服务器发出连接建立请求,与所述高密级网络文件服务器建立连接,
第四请求子单元,用于向所述高密级网络文件服务器发出访问所述高密级网络文件服务器中共享文件夹的请求,
上传子单元,用于将所述第二文件夹下的所述文件数据上传至所述高密级网络文件服务器的共享文件夹中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510024484.8A CN104601576A (zh) | 2015-01-16 | 2015-01-16 | 一种基于单向安全隔离网闸的文件传输方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510024484.8A CN104601576A (zh) | 2015-01-16 | 2015-01-16 | 一种基于单向安全隔离网闸的文件传输方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104601576A true CN104601576A (zh) | 2015-05-06 |
Family
ID=53127082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510024484.8A Pending CN104601576A (zh) | 2015-01-16 | 2015-01-16 | 一种基于单向安全隔离网闸的文件传输方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104601576A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105007275A (zh) * | 2015-07-29 | 2015-10-28 | 浪潮(北京)电子信息产业有限公司 | 一种单向安全隔离数据传输方法和系统 |
| CN105100077A (zh) * | 2015-07-01 | 2015-11-25 | 广州文冲船厂有限责任公司 | 一种内部网与互联网数据传输方法及系统 |
| CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
| CN107172075A (zh) * | 2017-06-26 | 2017-09-15 | 努比亚技术有限公司 | 基于网络隔离的通信方法、系统及可读存储介质 |
| CN107634984A (zh) * | 2017-08-07 | 2018-01-26 | 国网河南省电力公司 | 一种基于单向传输通道的文件同步方法 |
| CN108777681A (zh) * | 2018-05-29 | 2018-11-09 | 中国人民解放军91977部队 | 基于ndis过滤驱动的网络数据单向传输控制方法 |
| CN109510794A (zh) * | 2017-09-14 | 2019-03-22 | 蓝盾信息安全技术股份有限公司 | 一种基于数据单向导入设备的智能文件扫描技术 |
| CN110677409A (zh) * | 2019-09-26 | 2020-01-10 | 北京明略软件系统有限公司 | 异构网络数据接入的单向安全传输方法及数据传输系统 |
| CN111355752A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 基于网闸的文件传输方法、装置及设备 |
| CN111756748A (zh) * | 2020-06-24 | 2020-10-09 | 中国建设银行股份有限公司 | 一种数据交互方法、装置、电子设备和存储介质 |
| CN113242262A (zh) * | 2021-06-18 | 2021-08-10 | 滁州学院 | 一种基于物联网的网络信息安全系统 |
| CN113497790A (zh) * | 2020-04-01 | 2021-10-12 | 海能达通信股份有限公司 | 一种基于网闸的数据传输方法、系统及计算机存储介质 |
| CN114124549A (zh) * | 2021-11-26 | 2022-03-01 | 绿盟科技集团股份有限公司 | 一种基于可见光系统的安全访问邮件的方法、系统和装置 |
| CN115314544A (zh) * | 2022-08-05 | 2022-11-08 | 成都卫士通信息产业股份有限公司 | 一种tcp数据单向传输方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101764768A (zh) * | 2010-01-19 | 2010-06-30 | 北京锐安科技有限公司 | 一种数据安全传输系统 |
| CN103491072A (zh) * | 2013-09-06 | 2014-01-01 | 北京信息控制研究所 | 一种基于双单向隔离网闸的边界访问控制方法 |
| CN103607324A (zh) * | 2013-11-25 | 2014-02-26 | 网神信息技术(北京)股份有限公司 | 用于Java消息服务的数据处理方法及Java消息客户端和服务器 |
| CN103714151A (zh) * | 2013-12-26 | 2014-04-09 | 北京锐安科技有限公司 | 一种单向光闸以及异构数据库间进行数据同步的方法 |
-
2015
- 2015-01-16 CN CN201510024484.8A patent/CN104601576A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101764768A (zh) * | 2010-01-19 | 2010-06-30 | 北京锐安科技有限公司 | 一种数据安全传输系统 |
| CN103491072A (zh) * | 2013-09-06 | 2014-01-01 | 北京信息控制研究所 | 一种基于双单向隔离网闸的边界访问控制方法 |
| CN103607324A (zh) * | 2013-11-25 | 2014-02-26 | 网神信息技术(北京)股份有限公司 | 用于Java消息服务的数据处理方法及Java消息客户端和服务器 |
| CN103714151A (zh) * | 2013-12-26 | 2014-04-09 | 北京锐安科技有限公司 | 一种单向光闸以及异构数据库间进行数据同步的方法 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105100077A (zh) * | 2015-07-01 | 2015-11-25 | 广州文冲船厂有限责任公司 | 一种内部网与互联网数据传输方法及系统 |
| CN105007275A (zh) * | 2015-07-29 | 2015-10-28 | 浪潮(北京)电子信息产业有限公司 | 一种单向安全隔离数据传输方法和系统 |
| CN105007275B (zh) * | 2015-07-29 | 2018-06-01 | 浪潮(北京)电子信息产业有限公司 | 一种单向安全隔离数据传输方法和系统 |
| CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
| CN107172075A (zh) * | 2017-06-26 | 2017-09-15 | 努比亚技术有限公司 | 基于网络隔离的通信方法、系统及可读存储介质 |
| CN107172075B (zh) * | 2017-06-26 | 2021-09-21 | 努比亚技术有限公司 | 基于网络隔离的通信方法、系统及可读存储介质 |
| CN107634984A (zh) * | 2017-08-07 | 2018-01-26 | 国网河南省电力公司 | 一种基于单向传输通道的文件同步方法 |
| CN107634984B (zh) * | 2017-08-07 | 2020-11-24 | 国网河南省电力公司 | 一种基于单向传输通道的文件同步方法 |
| CN109510794A (zh) * | 2017-09-14 | 2019-03-22 | 蓝盾信息安全技术股份有限公司 | 一种基于数据单向导入设备的智能文件扫描技术 |
| CN108777681A (zh) * | 2018-05-29 | 2018-11-09 | 中国人民解放军91977部队 | 基于ndis过滤驱动的网络数据单向传输控制方法 |
| CN111355752A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 基于网闸的文件传输方法、装置及设备 |
| CN110677409A (zh) * | 2019-09-26 | 2020-01-10 | 北京明略软件系统有限公司 | 异构网络数据接入的单向安全传输方法及数据传输系统 |
| CN110677409B (zh) * | 2019-09-26 | 2021-09-10 | 北京明略软件系统有限公司 | 异构网络数据接入的单向安全传输方法及数据传输系统 |
| CN113497790A (zh) * | 2020-04-01 | 2021-10-12 | 海能达通信股份有限公司 | 一种基于网闸的数据传输方法、系统及计算机存储介质 |
| CN113497790B (zh) * | 2020-04-01 | 2023-01-17 | 海能达通信股份有限公司 | 一种基于网闸的数据传输方法、系统及计算机存储介质 |
| CN111756748A (zh) * | 2020-06-24 | 2020-10-09 | 中国建设银行股份有限公司 | 一种数据交互方法、装置、电子设备和存储介质 |
| CN113242262A (zh) * | 2021-06-18 | 2021-08-10 | 滁州学院 | 一种基于物联网的网络信息安全系统 |
| CN114124549A (zh) * | 2021-11-26 | 2022-03-01 | 绿盟科技集团股份有限公司 | 一种基于可见光系统的安全访问邮件的方法、系统和装置 |
| CN115314544A (zh) * | 2022-08-05 | 2022-11-08 | 成都卫士通信息产业股份有限公司 | 一种tcp数据单向传输方法、装置、设备及介质 |
| CN115314544B (zh) * | 2022-08-05 | 2023-12-15 | 成都卫士通信息产业股份有限公司 | 一种tcp数据单向传输方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104601576A (zh) | 一种基于单向安全隔离网闸的文件传输方法和装置 | |
| CN104601703A (zh) | 一种基于单向安全隔离网闸的文件传输方法和装置 | |
| JP7042875B2 (ja) | セキュア動的通信ネットワーク及びプロトコル | |
| US8938074B2 (en) | Systems and methods for secure communication using a communication encryption bios based upon a message specific identifier | |
| CN110011866B (zh) | 提供设备即服务 | |
| CN111193698B (zh) | 数据处理方法、装置、终端及存储介质 | |
| WO2007147149A2 (en) | Usb wireless network drive | |
| CN116708416B (zh) | 数据传输控制方法、系统、控制设备及可读存储介质 | |
| US10193848B2 (en) | System and related method for management of devices of a network system via social media interfaces | |
| CN104349208A (zh) | 消息处理方法、装置、网关、机顶盒及网络电视系统 | |
| WO2016008379A1 (zh) | 存储阵列自动化配置方法、装置及存储系统 | |
| CN102404326B (zh) | 一种验证报文安全性的方法、系统以及装置 | |
| CN113422768B (zh) | 零信任中的应用接入方法、装置及计算设备 | |
| CN114615082A (zh) | 一种使用正反向网闸模拟tcp双工安全通讯系统和方法 | |
| CN1993689A (zh) | 用于选择snmp通信版本的系统和方法 | |
| TWI837994B (zh) | 一種高安全私人群組網路建立之方法 | |
| KR101357036B1 (ko) | Cctv 감시장치 망분리 컴퓨터 단방향 보안 데이터 전송장치 전송방법 | |
| CN104714760A (zh) | 一种读写存储设备的方法及装置 | |
| Frahim et al. | Cisco ASA: All-in-One Firewall, IPS, Anti-X, and VPN Adaptive Security Appliance | |
| Bertels | Design of a pairing protocol for the AR. Drone 2.0 | |
| CN104718736B (zh) | 通信系统 | |
| EP3662640B1 (en) | Data communication with devices having no direct access or only restricted access to communication networks | |
| CN111447240B (zh) | 数据通信控制方法、装置、系统、存储介质及计算机设备 | |
| Sahita et al. | PB-TNC: A Posture Broker (PB) Protocol Compatible with Trusted Network Connect (TNC) | |
| CN111523107A (zh) | 用于usb数据交换身份认证的方法、系统及相应计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150506 |