一种安全隔离文件传输控制方法
【专利摘要】本发明公开了一种安全隔离文件传输控制方法,基于通过协议控制模块、安全保障模块的单向传输网络架构,实现内外网安全传输文件,其主要步骤有:配置安全保障模块、启动系统各单元、请求端主机发起建立与目的主机的数据连接、目的主机响应请求端主机的数据连接请求、请求端主机的文件传输命令的封装、传输文件拆分、文件传输、文件合并、撤销连接。实现请求端主机向目的主机发送文件和请求端主机从目的主机下载文件,可以实现多任务、多用户的并发发送文件和下载文件。本发明使基于单向网络隔离设备的内外网数据能够透明传输,通过软交换协议能提高内外网的数据传输效率。
【专利说明】一种安全隔离文件传输控制方法
【技术领域】
[0001]本发明涉及一种安全隔离控制方法,具体涉及一种安全隔离文件传输控制方法。它特别适用于在不同保密级别的网络间传输数据,在保证内网安全的同时,实现文件在内外网的高效传输。
【背景技术】
[0002]在网络安全方面,目前采用的是第五代隔离技术来保证网络的安全,其主要产品即网络安全隔离装置。大多数主流产商对于网络安全隔离装置的核心原理采用的是协议剥离和身份验证的方法,国内以山东思瑞,北京数码星辰等为代表的主要公司,目前大量采用的都是这一技术的产品。这一技术能够保证内网安全的关键点是通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,而数据流经网络安全隔离装置时TCP/IP协议被终止,防止了利用协议进行攻击,在某一时刻网络安全隔离装置只能连接到一个网络。网络安全隔离装置作为代理从内网的网络数据包中抽取出数据然后通过数据缓冲设施转到外网,完成数据中转。在中转过程中,网络安全隔离装置会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施综合过滤控制,只有满足要求的报文才可以通过网络安全隔离装置。由于网络安全隔离装置采用了独特的开关切换机制,因此,在进行检查时网络实际上处于断开状态,即使遭到攻击,由于攻击发生时内外网始终处于物理断开状态,内网仍是安全的。
网络安全隔离装置在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。在安全岛硬件上将外网到内网传递的应用数据大小限定为用于TCP握手的几个字节外,保证从外网到内网的TCP应答禁止携带应用数据,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换,并提高了防止病毒和黑客非法访问的能力。
[0003]正是由于以上的安全机制,安全隔离装置不能部署应用层协议(如FTP,HTTP,SNMP等),同时目前广泛使用的单向隔离装置,不具备数据双向通信的功能,不能满足需要实现高效可靠双向通信的业务。因此,亟需解决利用单向安全隔离装置实现数据的高效可靠双向通信。
【发明内容】
[0004]基于单向网络隔离设备,本发明的目的在于通过各模块、分时序和定义专有协议的控制方法控制正反向数据传输,从而在保证内网安全的同时又大幅度提升数据交换的性能,并使整个系统可靠稳定工作。
[0005]实现本发明目标的技术解决方案为一种安全隔离文件传输控制方法,基于通过前协议控制模块、安全保障模块和后协议控制模块内外网传输文件的网络架构,分为:
1、外网主机向内网主机请求连接,发送文件或者下载文件,即发送文件时,外网主机为发送端,内网主机为接收端;下载文件时,外网主机为接收端,内网主机为发送端。[0006]2、内网主机向外网主机请求连接,发送文件或者下载文件,即发送文件时,内网主机为发送端,外网主机为接收端;下载文件时,内网主机为接收端,外网主机为发送端。
【权利要求】
1.一种安全隔离文件传输控制方法,通过前协议控制模块、安全保障模块和后协议控制模块,实现内外网的文件传输,其特征在于包括以下步骤: 请求端主机的人机交互模块请求发送文件时: 步骤1、配置安全保障模块:配置IP地址与端口映射表,使合法IP地址的数据可以通过正向隔离设备或反向隔离设备的端口进行转发; 步骤2、启动系统各单元:启动单元包括信息处理单元、数据交互控制单元、人机交互模块; 步骤3、请求端主机发起建立与目的主机的数据连接:在请求端主机的人机交互模块中输入连接命令VCON,由连接请求端主机的协议控制模块的数据交互控制单元封装成VCON报文,并发送至目的主机; 步骤4、目的主机响应请求端主机的数据连接请求:连接目的主机的协议控制模块的数据交互控制单元解析请求的连接命令VC0N,生成用户标识及反馈报文,通知请求端主机连接已建立,并可以进行下一步操作; 步骤5、请求端主机的文件传输命令的封装:在请求端主机的人机交互模块中输入发送文件命令VPUT,连接请求端主机的协议控制模块的数据交互控制单元进行封装命令报文并发送; 步骤6、传输文件的拆分:连接请求端主机的协议控制模块的文件处理单元处理需要传输的文件,如果文 件的大小超过拆分的阈值,则将文件拆分成多个固定大小的文件,同时生成拆分配置文件; 步骤7、文件传输:连接请求端主机的协议控制模块的信息处理单元将发送文件命令报文、拆分配置文件、拆分后的数据文件,经隔离设备配置的端口传输给连接目的主机的协议控制模块的文件处理单元; 步骤8、文件合并:连接目的主机的协议控制模块的文件处理单元解析拆分配置文件信息,并按照配置文件中的内容恢复文件,并传送给目的主机; 步骤9、撤销连接:请求端主机的人机交互模块发出退出命令VQUIT,关闭已建立文件传输连接,释放系统资源以及占用的端口 ; 请求端主机的人机交互模块请求下载文件时: 步骤1、配置安全保障模块:配置IP地址与端口映射表,使来自合法IP地址的数据可以通过正向隔离设备或反向隔离设备的端口进行转发; 步骤2、启动系统各单元:启动单元包括信息处理单元、数据交互控制单元、人机交互模块; 步骤3、请求端主机发起建立与目的主机的数据连接:在请求端主机的人机交互模块中输入连接命令VC0N,由连接请求端主机的协议控制模块的数据交互控制单元封装成VCON报文并发送至目的主机; 步骤4、目的主机响应请求端主机的数据连接请求:连接目的主机的协议控制模块的数据交互控制单元解析请求的连接命令VC0N,生成用户标识及反馈报文,通知请求端主机连接已建立,并可以进行下一步操作; 步骤5、请求端主机的获取文件命令的封装:在请求端主机的人机交互模块中输入获取文件命令VGET,连接请求端主机的协议控制模块的数据交互控制单元进行封装命令报文并发送; 步骤6、解析文件获取命令并拆分需传输的文件:连接目的主机的协议控制模块的数据交互控制单元解析命令报文,连接目的主机的协议控制模块的文件处理单元处理需要传输的文件,如果文件的大小超过拆分的阈值,则将文件拆分成多个固定大小的文件,同时生成拆分配置文件; 步骤7、文件传输:连接目的主机的协议控制模块的信息处理单元将命令报文、拆分配置文件、拆分后的数据文件,经隔离设备配置的端口传输给连接请求端主机的协议控制模块的文件处理单元; 步骤8、文件合并:连接请求端主机协议控制模块的文件处理单元解析拆分配置文件,并按照配置文件中的内容恢复文件,并传送给请求端主机; 步骤9、撤销连接:请求端主机的人机交互模块发出退出命令VQUIT,关闭已建立文件传输连接,释放系统资源以及占用的端口。
2.根据权利要求1所述的一种安全隔离文件传输控制方法,其特征在于配置安全保障模块,配置的规则包括IP地址、网络端口、特征码验证、MAC地址绑定。
3.根据权 利要求2所述的一种安全隔离文件传输控制方法,其特征在于在请求端主机的人机交互模块中增加任务调度功能的子模块,可以实现多任务、多用户的并发发送文件和下载文件。
【文档编号】H04L29/06GK103997495SQ201410220748
【公开日】2014年8月20日 申请日期:2014年5月23日 优先权日:2014年5月23日
【发明者】冯径, 马玮骏, 沈晔, 张珅, 吴阳 申请人:中国人民解放军理工大学