【技术实现步骤摘要】
双布线网络物理隔离环境下的业务数据跨网络交换系统
[0001]本专利技术涉及计算机系统领域,具体而言,涉及一种双布线网络物理隔离环境下的业务数据跨网络交换系统
。
技术介绍
[0002]信息安全是一个巨大而复杂的系统工程,随着信息产业发展速度不断升级,各用户单位对计算机网络的等级保护或分级保护需求也更加明确,为降低网络的安全威胁,甚至系统内部的泄露风险,满足高度数据安全要求,完全的物理隔离措施是其中一个最有效
、
彻底
、
安全的解决方案,能够在物理传导和物理存储上隔断两个网络环境,但是这种隔离技术使得局域网络处于信息孤岛状态,尤其是阻断了信息系统之间的业务来往
。
若想处理或获取另一个网络中信息系统的业务数据,则需要另一台能够连接目标网络的电脑,如此两套网络和系统不仅造成信息交流的不便和成本的提高,同时也给维护和使用带来了极大的不便
。
因此,面向两个物理隔离网络环境下的信息系统间的信息交换,如何进行便利的安全交换问题越来越被重视
。
[0003]现有的跨网交换方法主要是从以下几个维度来实现的:
[0004]1)
改进跨网隔离导入设备;
[0005]2)
使用共享文件目录,实现跨网交换;
[0006]3)
在终端设备与跨网隔离设备上引入身份认证,确保传输通道安全;
[0007]分析上述维度,可以发现目前解决跨网数据交换的侧重点是实现电子文件交换,如不存在通信的物理连接 />、
逻辑连接
、
信息传输命令
、
信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”。
未提及两侧的信息系统之间业务数据
(
业务信息及对应电子文件
)
的逻辑关系的交换,且不能实现双网物理隔离下的信息资源的便利共享利用,及业务互操作的孤岛问题
。
[0008]本申请即是提出利用网络单向导入设备
、
密码设备
、
跨网业务交换服务
、
身份认证
、
资源目录
、
授权管理组成的装置,通过有机组合和逻辑编排成的系统,完成本专利技术的目标
。
技术实现思路
[0009]针对上述
技术介绍
中提出的需求,本申请提出一种基于网络的信息系统间业务数据跨网交换解决方案,采用交换模式,不改变现有网络布线,实现不同网络的信息系统间互联互通需求,尤其在不同局域网与移动网络之间,从而实现了物理隔离网络的信息系统之间的业务信息及其数据文件的流动共享
。
[0010]具体的,一种双布线网络物理隔离环境下的业务数据跨网络交换系统,该系统包括:
[0011]1、
单向导入设备,用于实现数据单向传输,至少支持
http、tcp、webservice
等协议;本专利技术是使用两台以上单向导入设备,模拟网络逻辑闭环,实现部署在物理隔离的两个
网络之间的信息系统进行业务数据交换;
[0012]2、
密码设备,该设备属于硬件设施,用于存储签名
/
加密证书,以及进行数字签名
、
对称加密
、
非对称加密等密码算法运算;
[0013]3、
跨网隔离交换服务模块,用于实现物理隔离的两个网络之间的业务系统能够基于网络进行业务数据交换,即含有逻辑链接
、
信息传输协议
、
信息传输命令
、
协议信息包转发的业务逻辑与业务数据的交换
、
不单单是文件摆渡
。
跨网隔离交换服务模块主要由业务交换服务模块
、
数据隔离交换模块
、
数据处理模块
、
业务交换目录模块
、
数据存储管理模块组成;
[0014]4、
信任设施服务模块,该模块主要包括资源目录单元
、
授权管理单元
、
身份认证单元,其中,
[0015]资源目录单元:用于注册和管理需要参与隔离交换的业务系统及操作人员
、
机构,包括增加
、
删除
、
等操作;包括两个网络中的资源同步,以及资源映射;
[0016]资源同步指同一个人用出现在两个网络中,存在两种情况:
[0017]1)
两个网里面代表这个人的身份证书是同一张;
[0018]2)
两个网里面代表这个人的身份证书是两个,此时需要做映射;
[0019]授权管理单元:用于管理接收权限以及发送权限;
[0020]身份认证单元:用于对业务系统
、
操作人员
、
机构进行身份真伪鉴别
。
[0021]进一步的:业务交换服务模块:以接口服务的形式为业务系统提供业务数据交换服务,主要包括接收服务
、
推送服务
、
查询服务;
[0022]数据隔离交换模块:主要是对接单向导入设备,实现隔离网络两侧的数据进行交换;
[0023]数据处理模块:主要是对数据进行协议格式检查
、
协议封装,若用于不同密码加密的网络,对数据进行密码加密转换;
[0024]业务交换目录模块:主要是存储待进行数据交换的业务数据列表或队列,避免因断电等原因导致跨网隔离交换系统异常停止服务时,丢失业务数据;
[0025]数据存储管理模块:主要用于大文件或特大文件的临时存储
。
[0026]进一步的:一种双布线网络物理隔离环境下的业务数据跨网络交换方法,具体步骤包括:
[0027]步骤
1、
业务系统
A
发起一个业务操作,并产生了待跨网交换的业务数据,调用业务交换服务的接口,发起交换任务;
[0028]步骤
2、
业务交换服务接收到业务数据,调用信息设施服务进行合规性验证,包括发起方身份合规
、
发起方发送权限
、
接收方是否注册
、
接收方接收权限,若合规性验证通过,进入步骤3;
[0029]步骤
3、
数据处理,对业务数据进行解密
、
数据解析及验证数字签名,若验证成功,则将该业务数据的交换任务插入业务交换目录,并由数据存储管理进行数据临时存储;
[0030]步骤
4、
业务交换服务,按照调度规则将业务交换目录的业务数据进行数据封装,形成“跨网交换数据包”,封装方式包括数据结构组装
、
签名
、
加密方式,然后,并依次或并行调用前置服务
A
,发送给单向导入设备
A
,该过程支持使用
http本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
双布线网络物理隔离环境下的业务数据跨网络交换系统,其特征在于,该系统包括:单向导入设备,用于实现数据单向传输;密码设备,用于存储签名
/
加密证书,以及进行数字签名
、
对称加密
、
非对称加密等密码算法运算;跨网隔离交换服务模块,用于实现物理隔离的两个网络之间的业务系统能够基于网络进行业务数据交换,跨网隔离交换服务模块主要由业务交换服务模块
、
数据隔离交换模块
、
数据处理模块
、
业务交换目录模块
、
数据存储管理模块组成;信任设施服务模块,该模块主要包括资源目录单元
、
授权管理单元
、
身份认证单元
。2.
根据权利要求1所述的系统,其特征在于,所述资源目录单元用于注册和管理需要参与隔离交换的业务系统及操作人员
、
机构,包括增加
、
删除操作,同时包括两个网络中的资源同步,以及资源映射;授权管理单元:用于管理接收权限以及发送权限;身份认证单元:用于对业务系统
、
操作人员
、
机构进行身份真伪鉴别
。3.
根据权利要求2所述的系统,其特征在于,所述资源同步指同一个人用出现在两个网络中,存在两种情况:
1)、
两个网里面代表这个人的身份证书是同一张;
2)、
两个网里面代表这个人的身份证书是两个
。4.
根据权利要求1所述的系统,其特征在于,所述业务交换服务模块是以接口服务的形式为业务系统提供业务数据交换服务,主要包括接收服务
、
推送服务
、
查询服务;所述数据隔离交换模块用于对接单向导入设备实现隔离网络两侧的数据进行交换;所述数据处理模块用于对数据进行协议格式检查
、
协议封装,若用于不同密码加密的网络,对数据进行密码加密转换;业务交换目录模块用于存储待进行数据交换的业务数据列表或队列;数据存储管理模块用于大文件或特大文件的临时存储
。5.
双布线网络物理隔离环境下的业务数据跨网络交换方法,其特征在于,具体步骤包括:步骤
1、
业务系统
A
发起一个业务操作,并产生了待跨网交换的业务数据,调用业务交换服务的接口,发起交换任务;步骤
2、
业务交换服务接收到业务数据,调用信息设施服务进行合规性验证,包括发起方身份合规
、
发起方发送权限
、
接收方是否注册
、
接收方接收权限,若合规性验证通过,进入步骤3;步骤
3、
数据处理,对业务数据进行解密
、
数据解析及验证数字签名;步骤
4、
业务交换服务,按照调...
【专利技术属性】
技术研发人员:郝松,马福超,
申请(专利权)人:航天网安技术深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。