一种信息传输方法和系统转让专利
申请号 : CN202211231657.X
文献号 : CN115314323B
文献日 : 2023-02-10
发明人 : 姚译朗 , 张桂飞 , 王振 , 任刚 , 刘伟强
申请人 : 深圳市华云中盛科技股份有限公司
摘要 :
本发明涉及信息传输处理,具体公开了一种信息传输方法,所述方法应用于机构或公司的办公信息的跨网传输中,其中,所述方法根据网络安全需要,将网络配置为内外网络,通过中间设置交互系统实现物理隔离,并在内外网络之间设置的单向导入传输,在交互系统中分别设置收发邮箱,通过对于文件的打包、认证、访问控制,进而实现对内外网络数据的安全访问控制。
权利要求 :
1.一种信息传输方法,所述方法应用于机构的跨网传输中,其特征在于:将网络设置为内网和外网,所述外网将需要传输到内网的数据打包成数据文件,通过SFTP方式传输到内网的收发件邮箱目录中;内网的收发件邮箱和外网的收发件邮箱负责内网系统的数据与外网系统的数据对接;
收发件邮箱对外开放SFTP服务,针对不同文件目录设置不同的访问权限;用户的访问权限信息与用户在机构中的角色相关联;
收发件邮箱目录中文件的等级信息与机构内的等级信息相对应,将不同优先级的文件放置在不同的传输队列中;
所述不同的传输队列中设置为高、中、低三个优先级;为每个传输队列设置传输最低保障带宽;在保障最低保障带宽的前提下,对剩余带宽依据优先级执行动态分配;
扫描传输队列中的文件,如果发现有新的文件,依据文件在所传输队列对应的传输网络响应参数,对文件进行解析并将文件拆分成数据包,将数据包按照顺序发送给单导设备;
其中,所述收发件邮箱包括发件邮箱和收件邮箱,在所述收发件邮箱目录对应的存储器中依据优先级的不同配置不同的文件存储区域,设置自动发送文件夹;
为收发件邮箱设置单向请求模式,所述单向请求模式具体是,内网中的授权设备通过基于边界安全设备请求外网中的收发件邮箱存储的文件时,此时将拒绝内网中未授权用户的通信请求,同时也拒绝外网对内网的直接访问;
所述依据传输网络响应参数,对文件进行解析并将文件拆分成数据包,将数据包按照顺序发送给单导设备,具体包括,从自动发送文件夹的待发送文件集合中确定待打包文件,基于传输网络响应参数和待发送文件的数量计算目标传输时间,得到待发送文件集合的传输预测时间;依据所述传输预测时间判断是否需要对待发送文件执行打包处理。
2.如权利要求1所述的方法,其特征在于:所述单导设备至少包括两台,其中之一为出栈单导,只允许数据从内网向外网单向传递;其中之一为入栈单导只允许数据从往外网向内网单向传递。
3.如权利要求2所述的方法,其特征在于:外网收发件邮箱与内网收发件邮箱协商加密算法和密钥,建立间接的安全连接,对发送的文件数据加密;外网收发件邮箱为外网的客户端和内网收发件邮箱提供间接连接的通道,接收客户端的连接请求,转发来自客户端或者内网收发件邮箱的数据,并对客户端初次连接的登录凭据进行用户认证,根据认证结果确定是否建立内网连接。
4.如权利要求3所述的方法,其特征在于:所述单导设备具体为单向网闸设备。
5.如权利要求4所述的方法,其特征在于:所述用户认证是由用户认证服务器执行,所述用户认证服务器接收由外网收发件邮箱转发客户端发送过来的登录凭据,对该登录凭据进行认证,并将认证结果返回给外网收发件邮箱。
6.一种信息传输系统,所述系统包括,客户端,内网收发件邮箱,外网收发件邮箱及单导设备,认证服务器,所述系统用于执行权利要求1‑5中任一所述 的方法。
7.一种计算机存储介质,所述计算机存储介质上,存储有计算机程序用于实现权利要求1‑5中任一所述的方法。
说明书 :
一种信息传输方法和系统
技术领域
[0001] 本发明涉及信息处理领域,特别是一种信息传输方法和系统。
背景技术
[0002] 随着信息技术的发展,电子信息技术已广泛应用到各种工作中,但在同时信息安全的重要性与日俱增。在各种机构及公司中,考虑到信息的安全性,为了数据的安全性,通常会采用物理隔离的方式,来保障内网网络的安全,诸如内网和外网都通过隔离卡或网闸等方式实现内外网的物理隔离。单纯的物理隔离虽然能够从物理上杜绝信息的外泄,但是给办公的便捷性造成不方便。因为在实际工作过程之中,内网网络之间的信息由于移动办公等需要,仅借助于使用目前的移动U盘等移动介质进行传递,明显不利于移动办公高效以及数据传输便捷的需要。因此,如何提供安全可靠的跨网信息交换机制,为外部系统与内部系统之间信息传输提供安全、可靠且高效的信息传输通道,成为关注的热点和亟待解决的问题。
发明内容
[0003] 为解决上述问题之一,本发明提出一种信息传输方法和系统。所述方法应用于机构的跨网传输中,其特征在于:将网络设置为内网和外网,所述外网将需要传输到内网的数据打包成数据文件,通过SFTP方式传输到内网的收发件邮箱目录中;内网的收发件邮箱和外网的收发件邮箱负责内网系统的数据与外网系统的数据对接;
[0004] 收发件邮箱对外开放SFTP服务,针对不同文件目录设置不同的访问权限;所述用户的访问权限信息与用户在机构中的角色相关联;
[0005] 收发件邮箱目录中文件的等级信息与机构内的等级信息相对应,将不同优先级的文件放置在不同的传输队列中;
[0006] 所述不同的传输队列中设置为高、中、低三个优先级;为每个传输队列设置传输最低保障带宽;在保障最低保障带宽的前提下,对剩余带宽依据优先级执行动态分配;
[0007] 扫描传输队列中的文件,如果发现有新的文件,依据文件在所传输队列对应的传输网络响应参数,对文件进行解析并将文件拆分成数据包,将数据包按照顺序发送给单导设备。
[0008] 优选的,所述单导设备至少包括两台,其中之一分别为出栈单导,只允许数据从内网向外网单向传递;其中之一为入栈单导只允许数据从往外网向内网单向传递。
[0009] 优选的,所述收发件邮箱包括发件邮箱和收件邮箱,在所述收发件邮箱目录对应的存储器中依据优先级的不同配置不同的文件存储区域,设置自动发送文件夹。
[0010] 优选的,为收发件邮箱设置单向请求模式,所述单向请求模式具体是,内网中的授权设备通过基于边界安全设备请求外网中的收发件邮箱存储的文件时,此时将拒绝内网中未授权用户的通信请求,同时也拒绝外网对内网的直接访问。
[0011] 优选的,所述依据传输网络响应参数,对文件进行解析并将文件拆分成数据包,将数据包按照顺序发送给单导设备,具体包括,从自动发送文件夹中待发送文件集合中确定待打包文件,基于传输网络响应参数和待发送文件的数量计算目标传输时间,得到待发送文件集合的传输预测时间;依据所述传输预测时间判断是否需要对待发送文件执行打包处理。
[0012] 优选的,外网收发件邮箱与内网收发件邮箱协商加密算法和密钥,建立间接的安全连接,对发送的文件数据加密;外网收发件邮箱为外网的客户端和内网收发件邮箱提供间接连接的通道,接收客户端的连接请求,转发来自客户端或者内网收发件邮箱的数据,并对客户端初次连接的登录凭据进行用户认证,根据认证结果确定是否建立内网连接。
[0013] 优选的,所述单导设备具体为单向网闸设备。
[0014] 优选的,所述用户认证是由用户认证服务器执行,所述用户认证服务器接收由外网收发件邮箱转发客户端发送过来的登录凭据,对该登录凭据进行认证,并将认证结果返回给外网收发件邮箱。
[0015] 本发明还提供一种跨网传输系统,所述系统包括,内外网络中的客户端,内外网络交互系统及单导设备,安全认证服务器,所述系统用户执行上述任一的方法。提供一种计算机存储介质,所述计算机存储介质上,存储有计算机程序用于实现如上任一所述的方法。
[0016] 本发明的系统和方法通过设置内外网络隔离,在交互系统中实现物理隔离的单向导入传输,并在内外交互系统中分别设置收发件邮箱,所述收发件邮箱可以分别设置在内网网络中,通过收发邮箱的带宽配置和打包处理以及访问控制,在满足数据能够在内外网络中传输的同时保障的内外网络用户对于数据的安全性,进而实现统一的接口管控,保障了数据的高效及安全的传输。
附图说明
[0017] 通过参考附图会更加清楚的理解本公开的特征和优点,附图是示意性的而不应理解为对本公开进行任何限制。
[0018] 图1是本发明方法的流程示意图。
[0019] 图2是本发明系统的流程示意图。
具体实施方式
[0020] 参看下面的说明以及附图,本公开的这些或其他特征和特点、操作方法、结构的相关元素的功能、部分的结合以及制造的经济性可以被更好地理解,其中说明和附图形成了说明书的一部分。然而,可以清楚地理解,附图仅用作说明和描述的目的,并不意在限定本公开的保护范围。可以理解的是,附图并非按比例绘制。本公开中使用了多种结构图用来说明根据本公开的实施例的各种变形。
[0021] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0022] 需要说明的是,本文中的“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
[0023] 需要说明的是,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能或作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定。例如,第一信息和第二信息是用于区别不同的信息,而不是用于描述信息的特定顺序。
[0024] 需要说明的是,本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
[0025] 实施例1
[0026] 如图1所示,本申请提供了一种信息传输方法,主要应用于跨网交互传输系统中,所述跨网交互传输系统,将网络设置为内外网络主体,并通过单向装置做物理隔开。具体可包括内外网结构主体,所述内外网的客户终端或客户终端应用将数据通过内外设置收发件邮箱体的方式做数据的中转传输,所述中转传输采用单向网闸的方式实现单向信息的传输。
[0027] 示例性的,所述外网应用将需要传输到内网的数据打包成数据文件,通过SFTP方式传输到信息交互系统的收发件邮箱目录中;所述信息交互系统分别设置于内外网络中;外网控制端对对外网中的设备执行认证,所述设备包括外网的发送设备和接收设备。在内网的系统中类似,存在内外控制端对内网是设备执行对发送设备或接收设备的控制。信息交互系统的可包括收发邮箱和控制器。收发件邮箱的功能运行于发送设备和接收设备上。
收发件邮箱可以分为收件邮箱和发件邮箱。
收发件邮箱可以分为收件邮箱和发件邮箱。
[0028] 示例性的,所述外网应用将需要传输到内网的数据打包成数据文件,通过SFTP方式传输到信息交互系统的发件邮箱目录。
[0029] 外网信息交互系统会扫描发件邮箱目录,如果发现有新的文件,会对文件进行解析,并将文件拆分成数据包,并将数据包按照顺序发送给单导设备。所述发送的方式是在收发件邮箱目录中设置至少3个队列执行文件的发送,所述根据不同的优先级设置发送文件的信息是否设置反馈信息。
[0030] 在发送文件发送之前对执行发送用户执行用户认证,获取文件的大小和优先级,可选的,待发送文件的优先等级信息可对应于机构内的等级信息或紧急程度,默认情况下对于文件优先等级信息与机构层次信息相对应或案件等级信息相对应;即高优先级的机构层级赋予所需要发送信息具备高的优先级标识。
[0031] 收发件邮箱目录中设置有自动发送文件夹,所述自动发送文件夹根据不同的发送策略,将不同的优先级的文件数据放置在不同的传输队列中。
[0032] 示例性的,提取内外网络中的带宽数据,设置3个队列,所述3队列分别对应为高中低优先级;每个传输队列设置传输最低保障带宽;在保障最低保障带宽的前提下,对剩余带宽进行动态加权分配。可选的所述动态加权分配是可以根据优先级和文件数量信息做加权处理;以保障各种等级的文件信息能发送且保障带宽资源不被抢占。
[0033] 在所述收发件邮箱目录对应的存储器中对应地依据文件优先级的不同,设置不同的文件区域,所述收发件邮箱目录中可在存储空间设置有一个或多个用于自动发送文件的自动发送文件夹。
[0034] 将待发送的文件存储到存储器中对应的自动发送文件夹内,基于所述待发送的数据的发送策略来将其存储到存储器中对应的自动发送文件夹内,其中,该自动发送文件夹的发送策略与所述待发送的数据的发送策略是对应的。所述自动发送文件夹预设有一条或多条自动发送策略,将其发送到不同的发送队列中。所述发送策略可以是时效优先规则。
[0035] 所述发送策略具体可以包括:发送端根据分配队列的带宽信息以及待发送文件大小和接收端的磁盘的读取时间,计算待发送文件的打包阈值,对不同优先级别的文件配置不同的打包文件大小。
[0036] 示例性的,从待发送文件集合中确定待发送文件的大小后,至少基于传输网络响应参数和与待发送文件集合关联的文件大小计算目标传输时间,以得到待传输文件集合的传输预测时间;依据所述传输预测时间对发送端的待发送文件信息选择合适的打包阈值进行打包处理发送。所述传输网络响应参数至少包括传输带宽,传输时延和丢包率。不通的传输序列对应有不同的传输网络响应参数值。很显然在收件邮箱基于不同的文件存储空间配置,其文件响应存储速度也不同。
[0037] 对实现收发件邮箱功能的收发设备设置单向请求模式,所述单向请求模式,示例性的,指内部网络中的授权设备通过基于边界安全设备请求外部网络中的指定资源,所述指定的资源可以是收发邮箱中的文件资源;此时将拒绝内部网络中未授权用户的通信请求,同时也拒绝外部网络对内部网络的直接访问。通过隔离设置,防止在与外部网络交互时,因内部请求交互的信息传输,导致内外网络信息的并行交互,收发设备仅执行设定模式下的单向信息资源的请求,从而实现保障收发设备数据的安全。
[0038] 可选的,内外网的收发设备之间使用会话密钥,验证消息的合法性,通过后进行文件封装,处理需要发送的文件。对待发送的文件根据优先级,设置不同的拆分打包阈值,如果文件的大小超过拆分的打包阈值,则将文件拆分成多个固定大小的文件,通过文件名规则把各个文件进行编号,使用预先分配的密钥对文件执行加密。
[0039] 示例性的,内网信息交互系统即运行收发邮箱功能的设备,监听单导设备的数据接口,接收单导设备传输的数据包,并将数据包合并为数据文件,合并完成后会将文件放置到收件邮箱目录;内网应用系统通过SFTP扫描收件邮箱目录,扫描到数据文件后,对数据文件进行处理。
[0040] 内网信息交互系统监听单导设备的数据接口,接收单导设备传输的数据包,并将数据包合并为数据文件,合并完成后会将文件放置到收件邮箱目录。
[0041] 内网应用系统通过SFTP扫描收件邮箱目录,扫描到数据文件后,对数据文件进行处理。内网到外网的流程与外网到内网的流程是一致的,在整个流程中内网和外网的应用系统,只需要进行相应的SFTP操作,实际文件的跨网传输由信息交互系统结合单导设备完成。
[0042] 其中单导硬件设备有两台,分别为出栈单导(只允许数据从内网向外网单向传递)和入栈单导(只允许数据从往外网向内网单向传递)。
[0043] 信息交互系统根据需要在内网与外网分别部署,分别负责内网系统的数据对接与外网系统的数据对接。信息交互系统对外开放SFTP服务,针对不同数据目录不同应用系统可以提供不同的访问权限,所述访问权限可以根据文件访问的角色定义,与不同的队列设置相似。所述权限设置与人员在机构中的角色相关联。通过不同的角色定义授权不同的访问权限,确保不同的文件目录之间的隔离,从而保证系统内部之间的数据隔离。
[0044] 可选的,信息交互系统的发件邮箱目和收件邮箱可以区分为外网发件邮箱和内网接收邮箱,对应的内外网采用相应的内网发件邮箱和外网收件邮箱。
[0045] 客户端通过外网收件邮箱目录与内网接收邮箱目录建立间接的连接,协商加密算法和密钥,建立加密安全连接;发起文件传输请求,文件数据加密传输。
[0046] 示例性的,外网收发件邮箱;为客户端和内网接收邮箱提供间接连接的桥梁,接受客户端的连接请求,转发来自客户端或者内网接收邮箱的数据,转发过程不经文件传输协议处理,但对用户初次连接的登录凭据进行处理,转发给用户认证服务器进行用户认证,根据认证结果确定是否建立内网连接。
[0047] 所述用户认证服务器;用于接收由外网络收件邮箱转发客户端发送过来的登录凭据,对该登录凭据进行认证,并将认证结果返回给外网络收件邮箱。所述登录凭证可以是包含时间信息的token信息。
[0048] 内网接收邮箱;接收外网络收发件邮箱转发过来的客户端请求,对数据解密,进行文件传输协议解析和处理。对客户请求的数据进行加密,发送给外网络收发件邮箱,由外网络收发件邮箱转发给客户端。
[0049] 进一步包括用户数据库。存储用户信息和对应权限的数据规范,为外网文件传输服务器提供用户认证和用户权限的信息。用户的权限信息与用户在机构中的角色定义相适应。基于转发模式的架构,所有客户端的连接请求都需要经过外网收发件邮箱,用户对于外部网络的文件数据的访问均其自身的网络收发件邮箱执行,内外网络收发件邮箱作为文件收发的唯一出口。
[0050] 进一步,可以在单向网闸设备之间增加网关过滤设备,对相应黑白名单的数据进行过滤处置。可选的对于文件的传输端口进行匹配设置,内外网络的收发件邮箱的认证,可以通过预设协商秘钥的方式执行,由外网络收发件邮箱认证通过后,转发请求到内网接收邮箱,客户端间接同内网收发件邮箱建立连接和发起请求。
[0051] 如图2所示,本发明公开了一种跨网传输系统,所述系统可以包括内外网络的客户端,内外网络交互信息系统及单导设备,安全认证服务器,所述系统用于执行上述任一的方法。系统在层次上分为三个层级,依次是硬件层、服务层、储存层,层次架构如图所示。
[0052] 本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read‑Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid‑State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
[0053] 如在本申请所使用的,术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体,该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如,组件可以是,但不限于是:在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例,在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中,并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外,这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如,来自一个组件的数据,该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号,以本地和/或远程过程的方式进行通信。
[0054] 应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。