一种数据跨网交换方法及系统技术方案

本发明专利技术公开了一种数据跨网交换方法及系统

【技术实现步骤摘要】
一种数据跨网交换方法及系统


[0001]本专利技术涉及数据跨网交换
，具体涉及一种通用的数据跨网交换服务
。

技术介绍

[0002]在高密网络与低密网络数据交互的场景下，安全保密上要求通过异构双单向网闸进行物理隔离
。
而高密与低密网络间会存在实时数据
、
非实时数据
、
告警信息
、
视频信息等数据交换和业务访问，比如接口调用
、B/S
访问
、
实时视频等应用模式
。
但又因为网闸将两网物理隔离，只暴露出接口
、
代理通道
、
文件传输或数据库同步等方式在两网间进行数据同步，会导致原有的一些应用模式无法被满足
。
[0003]在以往的实践中，对于需要在高密网络访问低密网络内应用系统的场景，会将低密网络内的应用系统复制一份，部署在高密网络中，两网内同样的应用系统通过数据库同步的方式来同步数据，即高密网络的应用系统数据变化时，向低密网络推送变化的数据，低密网络内的系统改库；低密网络内的系统数据变化时，则反之
。
但是这么做存在诸多问题，且未能解决：
[0004]一是容易造成数据的循环修改，就是在上述数据变化的过程中，两个网内的系统都认为自己的数据发生了变化，则都向对向系统推送数据，最后发生死锁
。
[0005]二是在避免上述死锁情况发生时，只能妥协实现数据单向传输，关闭网闸一侧的数据修改推送功能，但是这样又达不到开始提到的应用模式
。
[0006]三是上述做法即便不发生死锁，像实时视频流这种数据也不可能通过数据库同步的方式传输，其实是阉割了一些应用模式的
。
[0007]四是缺少一些审批的操作，本身高密到低密网络的数据应该是受到控制的，不是随便往外出的，上述操作本质上违背了这一点
。
[0008]综上，在这种高低密跨网数据交换的场景中，需要有一种通用的服务，使数据跨网闸传输的同时，维持原有应用模式，并且能控制整个数据流程符合相关安全保密要求
。

技术实现思路

[0009]有鉴于此，本专利技术提供了一种数据跨网交换方法及系统，使高低密网络间的数据跨网闸传输的同时，维持原有应用模式，能控制整个数据交互流程安全可靠，且支持双单向异构网闸，对更多类型更多厂家的网闸有很好的适配方式
。
[0010]本专利技术的数据跨网交换方法，包括：
[0011]步骤1，在高密网与网闸之间
、
低密网与网闸之间分别设置网闸代理服务；网闸上配置高
、
低密网的数据传输地址映射关系；网闸代理服务监听同侧网应用服务的通信连接请求；
[0012]步骤2，应用服务向同侧的网闸代理服务发起通信请求，该网闸代理服务对该应用服务的安全性进行检测，检测通过后建立通信通道，接收可信应用服务发送的数据；
[0013]步骤3，网闸代理服务对应用服务发送的数据进行协议头和数据的剥离拆分，并对
拆分后的协议头和数据进行加密，然后按自定协议打包后发送至网闸；
[0014]步骤4，网闸对侧的网闸代理服务接收到经网闸传送的数据包后进行校验，校验通过后进行数据包解析与重组，然后基于所述映射关系，建立与目标应用服务的通信链接，将解析重组后的数据包发送至目标应用服务执行；
[0015]步骤5，目标应用服务执行完毕后，返回响应信息；对侧网闸代理服务对所述响应信息按自定协议打包后，经网闸返回本侧网闸代理服务；本侧网闸代理服务对接收到的数据包进行解析后，原路返还至本侧发起请求的应用服务
。
[0016]较优的，所述网闸代理服务基于
netty
框架，采用多线程处理同侧网应用服务的
Socket
连接；使用零拷贝技术进行
Socket
读写
。
[0017]较优的，所述步骤2中，安全性检测包括：可信应用识别，具体为：应用服务对网闸代理服务进行请求时带着应用唯一标识及口令，网闸代理服务对所述标识和口令进行验证，若与在网闸代理服务中提前注册的一致，则判断该请求为可信应用发起，可以开始处理该请求信息，建立可信传输通道，返回
SessionId
；该应用服务在后续的每次传输中都将
SessionId
拼装在数据包前
。
[0018]较优的，所述步骤3中，判断应用服务发送的数据长度是否大于设定值
A
，若大于设定值
A
或者为实时视频流，则对数据进行拆包，并赋予各包一个唯一标示以及序号
。
[0019]较优的，如果是高密网向低密网传输数据，则设置阈值
B
，若数据包的长度大于设定阈值
B
，则拦截该数据包
。
[0020]较优的，采用
RSA+AES
对数据包进行加密，具体如下：首先，一侧的网闸代理服务发起秘钥交换请求；对侧的网闸代理服务生成
RSA
的公钥
、
私钥，并返回
RSA
公钥；然后本侧网闸代理服务随机生成
AES
秘钥，并通过
RSA
公钥加密，待数据传输时将通过
RSA
加密后的
AES
秘钥放入数据体内
。
[0021]较优的，自定协议体如表1所示：
[0022]表1自定义协议格式
[0023]BEGINVERIDINDEXCMDADDRPORTTYPELENPLENKEYPRTCBODY 1142142144XMN
[0024]自定协议内容包含：开始标记
BEGIN、
协议版本
VER、
数据包唯一标识
ID、
包序号
INDEX、
命令类型
CMD、
地址
ADDR、
端口
PORT、
类型
TYPE、
数据长度
LEN、
协议头长度
PLEN、
公钥加密后的秘钥
KEY、
协议头
PRTC
和数据体
BODY。
[0025]较优的，步骤4中，所述校验包括数据包重复校验和数据包长度校验
。
[0026]本专利技术还提供了一种数据跨网交换系统，包括网闸，以及在高密网与网闸之间
、
低密网与网闸之间分别设置的网闸代理服务；
[0027]其中，网闸上配置有高
、
低密网的数据传输地址映射关系；
[0028]本侧网闸代理服务监听同侧网应用服务的通信连接请求，并对请求连接的应用服务进行安全性检测，建立通信信道接收可信应用服务发送的数据，将接收到的数据进行协议头和数据的拆分
、
加密；将加密后的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种数据跨网交换方法，其特征在于，包括：步骤1，在高密网与网闸之间
、
低密网与网闸之间分别设置网闸代理服务；网闸上配置高
、
低密网的数据传输地址映射关系；网闸代理服务监听同侧网应用服务的通信连接请求；步骤2，应用服务向同侧的网闸代理服务发起通信请求，该网闸代理服务对该应用服务的安全性进行检测，检测通过后建立通信通道，接收可信应用服务发送的数据；步骤3，网闸代理服务对应用服务发送的数据进行协议头和数据的剥离拆分，并对拆分后的协议头和数据进行加密，然后按自定协议打包后发送至网闸；步骤4，网闸对侧的网闸代理服务接收到经网闸传送的数据包后进行校验，校验通过后进行数据包解析与重组，然后基于所述映射关系，建立与目标应用服务的通信链接，将解析重组后的数据包发送至目标应用服务执行；步骤5，目标应用服务执行完毕后，返回响应信息；对侧网闸代理服务对所述响应信息按自定协议打包后，经网闸返回本侧网闸代理服务；本侧网闸代理服务对接收到的数据包进行解析后，原路返还至本侧发起请求的应用服务
。2.
如权利要求1所述的方法，其特征在于，所述网闸代理服务基于
netty
框架，采用多线程处理同侧网应用服务的
Socket
连接；使用零拷贝技术进行
Socket
读写
。3.
如权利要求1所述的方法，其特征在于，所述步骤2中，安全性检测包括：可信应用识别，具体为：应用服务对网闸代理服务进行请求时带着应用唯一标识及口令，网闸代理服务对所述标识和口令进行验证，若与在网闸代理服务中提前注册的一致，则判断该请求为可信应用发起，可以开始处理该请求信息，建立可信传输通道，返回
SessionId
；该应用服务在后续的每次传输中都将
SessionId
拼装在数据包前
。4.
如权利要求1所述的方法，其特征在于，所述步骤3中，判断应用服务发送的数据长度是否大于设定值
A
，若大于设定值
A
或者为实时视频流，则对数据进行拆包，并赋予各包一个唯一标示以及序号
。5.
如权利要求4所述的方法，其特征在于，如果是高密网向低密网传输数据，则设置阈值
B
，若数据包的长度大于设定阈值
B
，则拦截该数据包
。6.
如权利要求1或4或5所述的方法，其特征在于，采用
RSA+AES
对数据包进行加密，具体如下：首先，一侧的网闸代理服务发起秘...

【专利技术属性】
技术研发人员：李成杰，田丙华，朱森林，樊廷武，谢真强，
申请(专利权)人：中电科大数据研究院有限公司，
类型：发明
国别省市：