一种网络安全隔离文件传输控制方法技术

本发明专利技术提供了一种安全隔离文件传输控制方法，具体涉及一种税务网络安全隔离系统间文件传输控制方法。该系统组成包括外网隔离防火墙，外网控制端,外网发送端，外网接收端，内网发送端,内网接收端，内网控制端和内网隔离防火墙。利用计算机系统、虚拟机系统、隔离防火墙相结合实现了一种较为通用的安全数据传输方式，提供了一种通过专有安全协议的控制方法实现安全可靠的正反向数据传输，基于数据加密，数字签名,消息认证码等安全技术保证消息传输过程中的机密性，完整性和抗抵赖，从而在保证内外网络系统安全的同时又可以提升数据交换的性能，并使整个系统可靠稳定工作。

【技术实现步骤摘要】

本专利技术涉及一种网络安全隔离控制方法，具体涉及一种税务网络安全隔离系统间文件传输控制方法。适用于在不同保密级别的网络间传输数据，在保证网络安全的同时，实现文件在不同网络间的高效传输。
技术介绍
隔离概念是在为了保护高安全等级网络环境的情况下产生的，期间经历了五代隔离技术的变化。第一代隔离技术——完全的隔离:此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。第二代隔离技术——硬件卡隔离:在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。第三代隔离技术——数据转播隔离:利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。第四代隔离技术——空气开关隔离:它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在着许多问题。第五代隔离技术——安全通道隔离:此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。 当前网络隔离存在以下几个突出的问题: (1)网络隔离在传输数据时采用无应答的机制，造成信息或数据完整性不能保证。高、低密级网在网络隔离条件下同时只有一个与隔离设备进行连接，这样，“握手”确认的通信协议无法使用，因此就必须在隔离传输中采用单向无应答的传输机制。这样虽然保证了数据的安全性，但带来的问题是接收端无反馈信号，致使用户无法发现错误的、不完整的信息。因此，如何保证信息传输时数据的完整性、正确性成为在不同密级网间数据无反馈单向传输的关键性问题。 (2)在网络隔离情况下传输数据，高密级网与低密级网同时有且只能有一个与隔离设备建立专用协议的连接以达到传输数据的目的，这样并不能保证从低密级网传入高密级网的数据不会引起高密级系统瘫痪或者使其遭到破坏，因此高密级系统安全问题也是一个亟需解决的问题。 因此针对网络隔离提出以下要求: (1)数据能够稳定地由低密级网传输到高密级网； (2)数据传输速率应达到更高的要求； (3)保证核心涉密网不受黑客的正面攻击； (4)接收的数据在完整性方面达到一定要求。
技术实现思路
基于第五代网络隔离技术，本专利技术的目的在于通过专有安全协议的控制方法实现安全可靠的正反向数据传输，从而在保证内外网络系统安全的同时又可以提升数据交换的性能，并使整个系统可靠稳定工作。 本专利技术是通过以下技术方案来实现的:实现本专利技术目标的技术解决方案为一种网络安全隔离系统间信息传输控制系统，其特征在于:该系统组成包括外网隔离防火墙，外网控制端，外网发送端，外网接收端，内网发送端，内网接收端，内网控制端和内网隔离防火墙。消息传输分为:1、外网向内网发送文件时，外网主机为发送端，内网主机为接收端，消息首先提交到外网控制端，由外网控制端负责把数据提交给内网，进行安全数据传输。2、内网向外网发送文件时，外网主机为接收端，内网主机为发送端，消息首先提交到内网控制端，由内网控制端负责把数据提交给外网，进行安全数据传输。 利用上述的数据传输系统所实施的数据传输方法，其特征在于: (1)利用外网隔离防火墙和内网隔离防火墙实现内网和外网的网络隔离，隔离防火墙只对特定I？地址和协议开放，保证网络安全； (2)利用外网控制端和内网控制端实现外网通信终端和内网通信终端的接入认证，只有合法用户才能使用数据传输系统，控制端还实现对传输文件的内容检查，保证内容安全； (3)利用3/1112协议封装数据传输的消息，可以传输文本、图像、声音、视频及其它应用程序的特定数据，提供收条服务，提供如下加密安全服务:认证、完整性保护、鉴定及数据保密等，保证消息传输过程中的机密性，完整性和抗抵赖； (4)利用外网发送端和内网接收端实现外网到内网的单向传输，内网发送端和外网接收端实现内网到外网的单向传输，配合专有的基于文件的消息封装格式，实现内网和外网之间的安全的信息交换。 (5)外网发送端和内网接收端为一台物理机器上的两个虚拟机，它们之间通过虚拟网卡通信，利用半虚拟化技术通过共享内存建立通信通道来实现虚拟机间的高速通信，外网接收端和内网发送端为一台物理机器上的两个虚拟机，通信方式类似。 优点及效果: 本专利技术提供一种网络隔离系统数据传输控制的技术及方法，本技术利用计算机系统、虚拟机系统、隔离防火墙相结合实现了一种较为通用的安全数据传输方式，在硬件方面，本专利技术由计算机、隔离防火墙、服务器、网络传输设备、数据服务器等电子设备组成，其重要设备的通讯路径冗余配置保障系统可靠性；利用数据加密，数字签名保证消息传输过程中的机密性，完整性和抗抵赖；内外网之间信息交换使用了专有协议保证消息交换的安全。 本技术的特点: 1、使用3/1頂2协议封装消息格式，并提供收条服务，提供如下加密安全服务:认证、完整性保护、鉴定及数据保密等，保证消息传输过程中的机密性，完整性和抗抵赖； 2、外网发送端和内网接收端为一台物理机器上的两个虚拟机，它们之间通过虚拟网卡通信，利用半虚拟化技术通过共享内存建立通信通道来实现虚拟机间的高速通信，配合专有通信协议，实现内网和外网之间的高速安全的信息交换。 【附图说明】 图1为本专利技术的网络架构图。 图2为本专利技术外网发送端和内网接收端的网络架构。 图3为外网接收端和内网发送端。 图4为本专利技术基于文件传输的内网和外网隔离系统间消息传输模式。 图5为本专利技术的发送文件流程图。 【具体实施方式】 下面结合附图对本专利技术做进一步详细描述: 图1是本专利技术的网络架构图，包括外网控制端、外网发送端，外网接收端，内网接收端，内网发送端和内网控制端以及外网隔离防火墙和内网隔离防火墙。 外网控制端和内网控制端工作在一台多网口的工控机中，作为核心服务器，具体负责整个传输控制协议的解析执行，并承担共享文件的存储和转发工作，使文件的交互更加可控和闻效。 图2是外网发送端和内网接收端的网络架构，外网发送端和内网接收端为一台物理服务器上的两台虚拟机，物理机器上安装多个网卡，其中一个网卡连接外网，一个网卡连接内网，外网发送端虚拟机通过桥接方式绑定外网的网卡，内网接收端虚拟机通过桥接方式绑定内网网卡，两个虚拟机分别添加第二块网卡以此^-01117模式连接物理机的同一个虚拟网卡，两个虚拟机通过该虚拟网卡通信。图3是外网接收端和内网发送端为一台物理服务器上的两台虚拟机的网络结构示意，它们的网络连接方式和外网发送端和内网接收端类似。外网控制端两个网口，一个连接到外网防火墙配置I？地址为1？1，能够和外网终端通信，另外一个连接到外网发送端和外网接收端配置I？地址为1？本文档来自技高网...

【技术保护点】
一种网络安全隔离系统间信息传输控制系统，其特征在于：该系统组成包括外网隔离防火墙，外网控制端,外网发送端，外网接收端，内网发送端,内网接收端，内网控制端和内网隔离防火墙；消息传输分为：a.外网向内网发送文件时，外网主机为发送端，内网主机为接收端，消息首先提交到外网控制端，由外网控制端负责把数据提交给内网，进行数据传输；b.内网向外网发送文件时，外网主机为接收端，内网主机为发送端，消息首先提交到内网控制端，由内网控制端负责把数据提交给外网，进行数据传输。

【技术特征摘要】
1.一种网络安全隔离系统间信息传输控制系统，其特征在于:该系统组成包括外网隔离防火墙，外网控制端，外网发送端，外网接收端，内网发送端，内网接收端，内网控制端和内网隔离防火墙；消息传输分为#外网向内网发送文件时，外网主机为发送端，内网主机为接收端，消息首先提交到外网控制端，由外网控制端负责把数据提交给内网，进行数据传输山.内网向外网发送文件时，外网主机为接收端，内网主机为发送端，消息首先提交到内网控制端，由内网控制端负责把数据提交给外网，进行数据传输。2.根据权利要求1所述的数据传输系统所实施的数据传输方法，其特征在于: (1)在外网计算机和外网控制端之间连接有网络隔离设备；在内网计算机和内网控制端之间连接也设置有网络隔离设备； (2)在外网控制端和内网控制端实现外网通信终端和内网通信终端的接入认证，控制端实现对传输文件的内容检查，保证内容安全； (4)外网发送端和内网接收端实现外网到内网的单向传输，内网发送端和外网接收端实现内网到外网的单向传输； (5)外网发送端和内网接收端为一台物理服务器上的两台虚拟机，物理机器上安装多个网卡，其中一个网卡连接外网，一个网卡连接内网，外网发送端虚拟机通过桥接方式绑定外网的网卡，内网接收端虚拟机通过桥接方式绑定内网网卡，两个虚拟机分别添加第二块网卡以！100-0=17模式连接物理机的同一个虚拟网卡，两个虚拟机通过该虚拟网卡通信；外网接收端和内网发送端为一台物理机器上的两个虚拟机，通信方式类似。3.根据权利要求1所述的数据传输系统所实施的数据传输方法，其特征在于系统利用3/1112协议封装数据传输的消息，传输文本、图像、声音、视频及其它应用程序的特定数据。4.根据权利要求1所述的数据传输系统所实施的数据传输方法，其特征在于系统使用基于文件传输的内网和外网隔离系统间消息传输模式；其工作过程如下:首先将接收到消息按协议规定大小拆分生成多个顺序文件，最后添加当前时间标记和一个基于发送方和接收方共享密钥生成的腿文件，接收方通过共享密钥可以验证文件的来源，验证文件的有效性，按照命名规则重新给每个文件命名；拆分文件命名规则:会话10号+拆分文件总数目+该文件的顺序号；然后将拆分后的文件发送缓冲目录；接收方，文件处理单元用于接收完成后相关操作，根据配置信息文件将拆分文件恢复至原文件。5.根据权利要求1所述的数据传输系统所实施的数据传输方法，其特征在于包括如下步骤: 外网主机向内网主机请求发送文件时，即由外网主机的人机交互模块向内网主机的人机交互模块发送文件，步骤如下: 步骤1、启动系统各单元，外网控制端对外网用户端，外网发送端和外网接收端的认证，内网控制端对内网用户端，内网发送端和内网接收端的认证，认证通过后双方会协商一个会话密钥； 步骤2、发送端用户首先需要登录文件传输系统，由外网控制端对用户的身份进行认证，认证通过后可以看到联系人列表； 步骤3、发送端用户从联系人列表中选择文件的接收者，发送文件或消息，用户端生成发送消息报文，报文内容包括接收者信息，发送者信息，当前时间信息，消息类型...

【专利技术属性】
技术研发人员：董晓春，刘培顺，赵长江，任传祥，高继鹏，
申请(专利权)人：青岛微智慧信息有限公司，
类型：发明
国别省市：山东;37