基于集群阵列的反向隔离文件传输系统及其方法
【技术领域】
[0001] 本发明涉及一种文件传输系统,尤其涉及一种基于集群阵列的反向隔离文件传输 系统,同时还涉及一种基于集群阵列的反向隔离文件传输方法,属于网络安全技术领域。
【背景技术】
[0002] 如图1所示,反向隔离设备一般部署在不同网络的边界,采用文件作为传输载体, 通过在隔离设备上配置相应的传输规则,允许合法的数据,从网络1经过隔离设备单向传 输到网络2。
[0003] 反向隔离设备其内部设置有开关装置,通过开关切换及数据缓冲设施来进行数据 交换。开关的切换使得在任何时刻两个网络没有直接连通,在某个时刻网络安全隔离设备 只能连接到一个网络,而数据流经网络安全隔离设备时TCP/IP协议被终止,因此可以有效 地防护利用网络进行的外部攻击。从而达到两个不同网络数据交换的目的。
[0004] 作为代理,反向隔离设备从外网的网络访问包中抽取出数据然后通过数据缓冲设 施转入内网,完成数据中转。在中转过程中,网络安全隔离设备会对抽取的数据报文的IP 地址、MAC地址、端口号、连接方向实施过滤控制;由于网络安全隔离设备采用了独特的开 关切换机制,因此,在进行过滤检查时实际上网络处于断开状态;通过严格检查只有符合安 全策略的数据才能进入内网,因此即使黑客强行攻击了网络安全隔离设备,由于攻击发生 时内外网处于物理断开状态,黑客也无法进入内网。
[0005] 在实现物理隔断的同时,反向隔离设备允许可信的内部网络和不可信的外部网络 之间的数据和信息进行安全交换。由于网络安全隔离设备仅抽取合法数据进入内网,因此, 内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换。
[0006] 随着技术的发展,应用面的广泛,遇到的传输任务呈现多样化,复杂化。单个反向 隔离设备的带宽(大约为2M/S)已经不满足传输任务的过高的要求,常规部署方式会到达 性能瓶颈。或者待发送文件数量较多时,会产生文件传输任务堆积的情况,影响文件传输的 及时性,从而影响到等待使用该文件的其他相关应用,影响工作效率。
【发明内容】
[0007] 针对现有技术的不足,本发明所要解决的首要技术问题在于提供一种基于集群式 阵列的反向隔离文件传输系统。
[0008] 本发明所要解决的另一技术问题在于提供一种基于集群式阵列的反向隔离文件 传输方法。
[0009] 为实现上述发明目的,本发明采用下述的技术方案:
[0010] 一种基于集群阵列的反向隔离文件传输系统,包括发送端、外网交换机、至少两个 反向隔离设备、内网交换机和接收端,所述反向隔离设备设置外网口和内网口,其中,
[0011] 所述发送端设置于发送服务器上,所述接收端设置于接收服务器上,所述发送服 务器通过网线与所述外网交换机相连,所述外网交换机再通过网线与所述至少两个反向隔 离设备相连,每一个所述反向隔离设备的内网口与所述内网交换机相连,所述内网交换机 通过网线与所述接收服务器相连。
[0012] -种基于集群阵列的反向隔离文件传输方法,基于上述的反向隔离文件传输系统 实现,包括以下步骤:
[0013] (1)在所述反向隔离设备中配置通信规则,在所述发送端配置传输隧道,所述传输 隧道与所述反向隔离设备进行协商,生成传输密钥;
[0014] (2)当所述发送端与接收端两者建立文件传输通道后,所述反向隔离设备将文件 作为传输载体,获取文件传输列表并根据选择的传输链路进行文件分发。
[0015] 其中较优地,所述步骤(1)中,所述发送端内由独立的线程对所述隧道协商进行 控制,且所述隧道协商过程与所述反向隔离设备交互至少2次。
[0016] 其中较优地,所述隧道协商过程完成后,所述发送端与所述反向隔离设备之间建 立连接,形成链路,且一条链路只对应一个反向隔离设备,所述链路由单独的线程进行维 护。
[0017] 其中较优地,所述发送端内设置集群阵列发送分配模块,所述发送分配模块根据 当前线路是否繁忙分配传输任务,选择最优线路发送。
[0018] 其中较优地,每个所述链路线程维护自己的待发送文件列表,当发送任务线程有 新的文件需要发送时,通过比较链路中所述待发送列表中的文件数量,选择链路待发送文 件最少的链路,将所述文件添加到所述链路的待发送文件列表中。
[0019] 其中较优地,所述文件传输过程中采用动态密钥的对称加密,且传输完成后进行 MD5值校验。
[0020] 其中较优地,所述文件的分发过程如下:a.在线程启动后,等待其他线程加载系 统使用的其他必须参数;b.判断原发送路径是否存在,若不存在线程退出,并给予界面错 误提示;c.获得本地路径下的全部文件;d.更新待发送列表;d.遍历待发送列表,获得待 发送文件;判断该文件是否在正在发送列表中,若已经在正在发送列表中,则遍历下一个文 件,若不在正在发送列表中,将该文件添加到正在发送文件列表中;f.查找是否有可用的 空闲链路,若没有空闲链路,则将该文件从正在发送列表中移除;若有空闲链路,判断该空 闲链路是否真实存在于系统的链路列表中,若链路存在,将该文件添加到空闲链路的待发 送列表中,进行排队发送。
[0021] 其中较优地,用户登陆与隧道协商时,采用非对称算法密钥机制,在所述发送端内 采用RSA算法生成公钥对与私钥对,并以标准数字证书的形式存储在本地。
[0022] 其中较优地,所述接收端内设置集群阵列接收模块,当有报文发来时,对其进行初 步的分析,判断是否为某一个文件的第一帧信息;如果为第一帧信息则说明是有一个新文 件开始传输,启动独立的线程接收文件,如果不为第一帧,则将报文添加到接收该文件的线 程缓冲区中。
[0023] 本发明能够通过软件内部多线程的控制,可以将一个文件传输任务的待发送文件 进行分配,经过多个隔离设备发送到接收端,从而大大提高传输效率;采用动态密钥(每次 与设备协商,都会对密钥进行更换)的机制,保证文件安全传输,并且传输密钥无法通过截 取传输报文进行破解;采用MD5值校验,失败重传机制保证文件完整、顺利的传输到接收 端,并且传输过程中没有被篡改。
【附图说明】
[0024] 图1是反向隔离设备的常规部署方式示意图;
[0025]图2是本发明所提供的反向隔离文件传输系统结构图;
[0026] 图3是本发明的实施例中,隧道协商流程的示意图;
[0027] 图4是本发明的实施例中,获取文件流程的示意图;
[0028] 图5是本发明的实施例中,文件分发流程的示意图;
[0029] 图6是本发明的实施例中,链路工作原理的示意图;
[0030]图7是本发明的实施例中,文件多线程接收原理的示意图;
[0031] 图8是本发明的实施例中,反向隔离文件传输系统结构图。
【具体实施方式】
[0032] 下面结合附图和具体实施例对本发明的技术内容做进一步的详细说明。
[0033] 在对传输任务速率有过高的要求时,单个反向隔离设备的常规部署方式会到达性 能瓶颈,因此本发明采用集群阵列式反向隔离传输方案。本发明公开了一种基于集群阵列 的反向隔离文件传输系统,包括发送端、接收端和至少两个反向隔离设备。根据反向隔离设 备的特性,一般部署在不同网络的边界,从而达到两个不同网络数据交换的目的。
[0034] 如图2所示,本发明所提供的反向隔离文件传输系统结构图:发送端设置于服务 器上,通过该服务器与外网交换机相连,外网交换机再引出若干根网线与若干个隔离设备 的外网口相连。每个隔离设备的内网口与内网交换机相连,内网交换机再引出一根网线与 接收服务器相连。从而使发送端、接收端能够通过交换机与多台隔离设备相连,提供实现多 台隔离同时传输的硬件网络环境。
[0035]系统在发送端内设置集群阵列发送分配模块,在接收端内设置集群阵列接收模 块。首先,系统在反向隔离设备中配置通信规则,然后在发送端配置传输隧道,该传输隧道 与反向隔离设备进行协商,生成传输密钥。当发送端与接收端两者建立文件传输通道后, 反向隔离设备将文件作为传输载体,获取文件传输列表并根据选择的传输链路进行文件分 发,即反向隔离设备一方面循环遍历文件夹,查找是否存在符合规范的待发送文件,获得待 发送列表,另一方面根据检查所选择配置的链路的状态,选择较优线路发送文件,进行文件 分配。
[0036] 发送端与反向隔离设备之间建立连接,形成链路,标志发送端与接收端之间建立 关系,一条链路需要有一条隧道,并对应一个反向隔离设备,其中,隧道协商成功后才可以 形成链路。集群阵列发送分配模块中,链路由单独的线程进行维护,其功能类似文件传输通 道。发送端传输任务能够根据当前链路是否繁忙对传输任务进行分配,选择最优线路进行 发送,通过独立的线程控制不同的链路,每个链路线程维护自己的待发送文件列表,当发送 任务线程有新的文件需要发送时,可以通过比较链路待发送列表中的文件数量,择优选择 链路待发送文件最少的链路,将文件添加到该链路的待发送文件列表中。当所有链路待发 送文件列表中文件数量都达到5个(可配置)时,认为全部链路均处于繁忙状态,则暂时不