一种基于文件包的文件安全交换方法及系统技术方案

本发明专利技术涉及一种基于文件包的文件安全交换方法及系统，在本方案中，基于文件包的文件安全交换系统和方法，可对用户权限进行精细控制，且全流程无人值守、解放人力；文件包在安全检查中进行数据防泄漏检查和病毒检查，可有效防止敏感文件泄漏、防止病毒侵害；基于安全检查的结果，系统自动发起审批，又为敏感文件的外发筑起一道防火墙；文件包在投递过程中全程加密，内容不可篡改，更可防止文件被窃取；用户行为全程记录，方便管理员统计和审计。方便管理员统计和审计。方便管理员统计和审计。

【技术实现步骤摘要】
一种基于文件包的文件安全交换方法及系统


[0001]本专利技术涉及通信
，尤其涉及一种基于文件包的文件安全交换方法及系统。

技术介绍

[0002]在企业信息化建设中，数据安全越来越受到重视，众多企业将内部网络与外部网络隔离，甚至内部网络也会进行多网隔离，以保护关键数据的安全。实施网络隔离后，文件数据的跨网交换就成了企业日常工作中不可绕过的一环。
[0003]面对跨网场景，尤其是完全隔离的跨网场景下的从人到人的文件交换需求，有的企业使用U盘、移动硬盘等存储介质，将文件拷贝至目标网络中的约定存储位置，再由接收人从该存储位置取走文件。这种方案流程复杂、效率低，拷贝文件容易出错，存储权限难以控制，而且难以监管和审计。
[0004]还有企业在网络间使用网闸摆渡的方式进行文件交换，网闸摆渡固然可以保证网络隔离的安全性，然而，网闸只能解决文件物理位置移动的问题，企业很难具体控制哪些文件可以被摆渡，文件被摆渡到目标网络后如何精确送达接收人，这种方式并不能完成一个具体业务的完整链条。

技术实现思路

[0005]本专利技术的目的在于提供一种基于文件包的文件安全交换方法及系统，以解决上述
技术介绍
中遇到的问题。
[0006]为实现上述目的，本专利技术的技术方案如下：
[0007]一种基于文件包的文件安全交换方法，包括以下步骤：
[0008]S1：在隔离的两个网络A和B的内部，分别部署若干传输服务端；其中，网络A中部署一个传输服务端A1，网络B中部署一个传输服务端B1；
[0009]S2：用户通过Web浏览器访问网络A中的传输服务端A1，登录验证成功后进入操作页面；
[0010]S3：用户新建文件包，上传文件作为文件包的附件，将传输服务端B1中的某指定用户指定为所述文件包收件人，并发送文件包；
[0011]S4：传输服务端A1将所述文件包所有附件存放在其所在服务器的存储上，基于安全检查条件对文件包进行安全检查；
[0012]S5：通过安全检查的文件包将被打包存放在投递发送缓冲区；
[0013]S6：根据已配置的网间传输方式，由传输服务端A1通过防火墙开放端口或网闸将文件包发送到网络B中的传输服务端B1所在服务器上的投递接收缓冲区；
[0014]S7：传输服务端B1实时监控着投递接收缓冲区，发现新的文件包后，读取文件包中的元数据文件内容，确定投递来源，而后检测该文件包的所有附件的完整性；
[0015]S8：传输服务端B1基于安全检查条件对文件包进行安全检查，通过安全检查的文
件包将被存放到目标人的收件箱中。
[0016]上述方案中，在步骤S1中，在传输服务端B1添加一个投递源，并生成投递授权文件；在传输服务端A1添加有一个投递目标，导入上一步生成的投递授权文件。
[0017]上述方案中，在步骤S3中，所述文件包由不限数量的文件和它们的描述信息组成的一个集合，文件包的定义允许其内的文件数为零。
[0018]上述方案中，在步骤S5中，其打包过程是：对所有附件进行加密处理，在文件包中生成文件包的元数据文件。
[0019]一种基于文件包的文件安全交换系统，采用上述所述的一种基于文件包的文件安全交换方法进行文件交换，所述系统包括若干传输服务端，任一所述传输服务端为终端用户提供文件操作、文件投递服务，传输服务端之间基于配置的投递关系进行文件交换。
[0020]上述方案中，所述传输服务端包括用户管理模块、用户同步模块、文件管理模块、投递管理模块、安全检查模块和审批管理模块，用户管理模块用于管理所述传输服务端中所有用户、角色、权限；用户管理模块的输出端与用户同步模块连接，用户同步模块用于从添加进传输服务端中的用户源同步用户、用户组和部门信息；用户同步模块的输出端与文件管理模块连接，文件管理模块用于管理用户的文件操作行为，执行用户的文件操作申请；文件管理模块的输出端与投递管理模块连接，投递管理模块用于管理传输服务端间的投递关系，执行用户的文件投递申请；投递管理模块的输出端与安全检查模块连接，安全检查模块用于针对用户上传、投递的文件进行安全检查，基于安全检查策略对发起人、接收人、文件属性、文件内容进行检查；安全检查模块的输出端与审批管理模块连接，审批管理模块用于对用户的操作行为进行审批，以及审批过程的管理。
[0021]与现有技术相比，本专利技术的有益效果是：基于文件包的文件安全交换系统和方法，可对用户权限进行精细控制，且全流程无人值守、解放人力；文件包在安全检查中进行数据防泄漏检查和病毒检查，可有效防止敏感文件泄漏、防止病毒侵害；基于安全检查的结果，系统自动发起审批，又为敏感文件的外发筑起一道防火墙；文件包在投递过程中全程加密，内容不可篡改，更可防止文件被窃取；用户行为全程记录，方便管理员统计和审计。
附图说明
[0022]参照附图来说明本专利技术的公开内容。应当了解，附图仅仅用于说明目的，而并非意在对本专利技术的保护范围构成限制。在附图中，相同的附图标记用于指代相同的部件。其中：
[0023]图1为本专利技术一种基于文件包的文件安全交换方法示意图；
[0024]图2为本专利技术一种基于文件包的文件安全交换方法流程图；
[0025]图3为本专利技术一种基于文件包的文件安全交换系统部署图；
[0026]图4为本专利技术一种基于文件包的文件安全交换系统架构图。
具体实施方式
[0027]为了使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解，现在结合附图对本专利技术作进一步详细的说明。这些附图均为简化的示意图，仅以示意方式说明本专利技术的基本结构，因此其仅显示本专利技术有关的构成。
[0028]根据本专利技术的技术方案，在不变更本专利技术实质精神下，本领域的一般技术人员可
以提出可相互替换的多种结构方式以及实现方式。因此，以下具体实施方式以及附图仅是对本专利技术的技术方案的示例性说明，而不应当视为本专利技术的全部或者视为对本专利技术技术方案的限定或限制。
[0029]下面结合附图和实施例对本专利技术的技术方案做进一步的详细说明。
[0030]如图1和图2所示，一种基于文件包的文件安全交换方法，包括以下步骤：
[0031]S1：在隔离的两个网络A和B的内部，分别部署若干传输服务端。其中，在网络A中部署一个传输服务端A1，在网络B中部署一个传输服务端B1，以便于作为参考，在两者之间进行文件安全交换。
[0032]作为一种优选的方案，在传输服务端B1添加一个投递源，并生成投递授权文件；在传输服务端A1添加有一个投递目标，导入上一步生成的投递授权文件。递授权文件导入成功就形成了一对一的投递配对关系，在描述的投递配对中，传输服务端A1即为投递源，传输服务端B1即为投递目标。只有在完成了投递配对的传输服务端之间才能够进行基于文件包的文件安全交换，这样在传输服务端上形成一个隔离效果，可有效防止恶意数据注入。
[0033]S2：用户通过Web浏览器访问网络A中的传输服务端A1，登录验证成功本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于文件包的文件安全交换方法，其特征在于，包括以下步骤：S1：在隔离的两个网络A和B的内部，分别部署若干传输服务端；其中，网络A中部署一个传输服务端A1，网络B中部署一个传输服务端B1；S2：用户通过Web浏览器访问网络A中的传输服务端A1，登录验证成功后进入操作页面；S3：用户新建文件包，上传文件作为文件包的附件，将传输服务端B1中的某指定用户指定为所述文件包收件人，并发送文件包；S4：传输服务端A1将所述文件包所有附件存放在其所在服务器的存储上，基于安全检查条件对文件包进行安全检查；S5：通过安全检查的文件包将被打包存放在投递发送缓冲区；S6：根据已配置的网间传输方式，由传输服务端A1通过防火墙开放端口或网闸将文件包发送到网络B中的传输服务端B1所在服务器上的投递接收缓冲区；S7：传输服务端B1实时监控着投递接收缓冲区，发现新的文件包后，读取文件包中的元数据文件内容，确定投递来源，而后检测该文件包的所有附件的完整性；S8：传输服务端B1基于安全检查条件对文件包进行安全检查，通过安全检查的文件包将被存放到目标人的收件箱中。2.根据权利要求1所述的一种基于文件包的文件安全交换方法，其特征在于：在步骤S1中，在传输服务端B1添加一个投递源，并生成投递授权文件；在传输服务端A1添加有一个投递目标，导入上一步生成的投递授权文件。3.根据权利要求1所述的一种基于文件包的文件安全交换方法，其特征在于：在步骤S3中，所述文件包由不限数量的文件和它们的描述信息组成的一个集合，文件包的定义允许其内的文件数为零。4.根据权利要求3所述的一种基于文件包的文件安全交换方法，其特征在于：所述文件包中包含文件和元数据文件；文件包中的文件全部基于AES
‑
256做对称加密，用于文件加密的密钥又使用作为接收端的传输服务端提供的公钥做了非对称加密；元数据文件中的元数据信息以Json格式存放。5.根据权利要求1所述的一种基于文件包的文件安全交换方法，其特征在于：在步骤S5中，其打包过程是：对所有附件进行加密处理，在文件包中生成文件包的元数据文件。6.根据权利要求5所述的一种基于文件包的文件安全交换方法，其特征在于：所述元数据文件中包含发起人信息、发起人所在传输服务端信息、目标...

【专利技术属性】
技术研发人员：王泽瑞，朱旭光，杨威，
申请(专利权)人：飞驰云联南京科技有限公司，
类型：发明
国别省市：