基于链路阻断的在线异构通信方法及系统与流程

本发明涉及计算机领域，且特别涉及一种基于链路阻断的在线异构通信方法及系统。

背景技术：

当前网络安全和数据安全在网络互连层面上基本都是采用基于防火墙和网络隔离网闸等设备实现网络信息保护性隔离，这些设备实际部署在政务内网和政务外网；企业内网和互联网公网等具有不同安全等级的内外网平台之间，以达到信息系统内网与外网之间的信息安全保护，从而实现网络隔离和数据隔离。该类设备的目的是遏制不同网络间的信息乱窜，不同部门之间的任意窜访等造成的安全隐患，特别是希望通过部署在内外网间的防火墙和网络隔离网闸能阻断来自外网的攻击侵入。该类技术和设备虽已经在业界得到大量的应用。

然而，在实践应用中发现以上技术和设备尚存诸多弊端。对于防火墙而言，其一般在进行ip包在线转发的同时通过对ip包的处理以实现对ip会话的控制，但是其对ip包内的应用数据的内容不进行检查。这种工作方式网络链路层上的ip链接没有被阻断，个人信息及敏感信息容易泄露，也难以防止病毒和黑客程序的攻击。

对于网络隔离网闸而言，其在网路间进行安全可管的信息交换是通过阻断网络链路层ip链接的技术实现的。网络隔离网闸在阻断网络链路层ip链接同时处理(监管)网络间的应用层数据，利用离线存储信息摆渡的方法进行应用数据的交换，在数据交换的同时对应用数据进行的各种安全检查。离线存储的摆渡以及安全性检查在网络安全和数据安全的大数据压力和流畅性等问题上仍然存在相当程度的不足。

技术实现要素：

本发明为了克服现有技术的不足，提供一种基于链路阻断的在线异构通信方法及系统。

为了实现上述目的，本发明提供一种基于链路阻断的在线异构通信方法，其包括：接收第一用户基于第一类通信链路发送的数据；解析接收到的数据；基于第二类通信链路将解析后的数据从第一用户所在的一侧传输至第二用户所在一侧；将位于第二用户所在一侧的解析后的数据通过第一类通信链路发送至第二用户。

根据本发明的一实施例，第一类通信链路为ip链路，第二类通信链路为基于物理层的通信链路。

根据本发明的一实施例，第二类通信链路为usb数据传输链路或基于光传输的数据传输链路。

根据本发明的一实施例，当第一用户为外网的客户端，第二用户为内网平台时，在解析接收到的数据后对数据内包含的表征第一用户身份的信息进行认证并基于认证的结果对其服务进行授权。

根据本发明的一实施例，对第一用户的身份进行认证时基于第二类通信链路将获取的表征第一用户身份的信息转发至第二用户所在的一侧；之后，通过第一类通信链路传输至第二用户以进行身份认证和服务授权。

相对应的，本发明还提供一种基于链路阻断的在线异构通信系统，其包括接收模块、解析模块以及在线信息摆渡模块。接收模块接收第一用户基于第一类通信链路发送的数据。解析模块解析接收到的数据。在线信息摆渡模块包括第一数据接口和第二数据接口，第一数据接口位于第一用户所在一侧，第一数据接口基于第二类通信链路将解析后的数据从第一用户所在的一侧传输至第二用户所在一侧；第二数据接口位于第二用户所在一侧，其接收第一数据接口发送的解析后的数据并通过第一类通信链路发送至第二用户。

根据本发明的一实施例，第一类通信链路为ip链路，在线信息摆渡模块所采用的第二通信链路为基于物理层的通信链路。

根据本发明的一实施例，在线信息摆渡模块为usb通信模块、sdh光同步数字传输模块或者wdm波分复用光网传输模块。

根据本发明的一实施例，当第一用户为外网的客户端而第二用户为内网平台时，在线信息摆渡模块对接第二用户内的安全监管系统，在线信息摆渡模块将接收模块获取的第一用户信息转发至安全监管系统以实现第一用户的身份认证和服务授权。

综上所述，本发明提供的基于链路阻断的在线异构通信方法及系统中，第二类通信链路的设置阻断了第一用户和第二用户之间的第一类通信链路的连通，实现了不同安全等级的网络之间的安全信息隔离的隔离和阻断以确保数据传输的安全性。进一步的，第二类通信链路采用在线数据摆渡的方式进行应用数据的交互，这种数据传输方式不再对接收的数据进行存储转发而是基于第二类通信网络直接进行在线转发以实现在线异构通信。这种通信方式在当前云计算大数据普遍服务时代可提供大流量实时和可靠的信息交互，以满大数据传输应用要求。

为让本发明的上述和其它目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合附图，作详细说明如下。

附图说明

图1所示为本发明一实施例提供的基于链路阻断的在线异构通信方法的流程图。

图2所示为图1所示的基于链路阻断的在线异构通信方法的部署原理图。

图3所示为本发明一实施例提供的基于链路阻断的在线异构通信系统的原理框图。

图4所示为图3所示的基于链路阻断的在线异构通信系统的应用示例图。

具体实施方式

现有的网络信息保护性隔离主要是基于防火墙和网络隔离网闸这两类设备。防火墙虽然具有一定的防护能力，但是由于不同安全等级的网络之间ip链路的连通，敏感的信息仍然容易泄露。网络隔离网闸实现了不同安全等级的网络之间链路的阻断，大大提高了安全性；但是其采用离线存储的方式来实现数据的转发，这种传输方式数据传输的流畅性能差，尤其是在大数据的传输压力下表现得尤为明显。

有鉴于此，本实施例提供一种基于链路阻断的在线异构通信方法，该方法不仅实现了不同安全等级的网络之间链路的阻断，同时采用在线异构的数据传输方式来是实现大数据的流畅性传输。如图1所示，本实施例提供的基于链路阻断的在线异构通信方法包括：接收第一用户基于第一类通信链路发送的数据(步骤s10)；解析接收到的数据(步骤s20)；基于第二类通信链路将解析后的数据从第一用户所在的一侧传输至第二用户所在一侧(步骤s30)；将位于第二用户所在一侧的解析后的数据通过第一类通信链路发送至第二用户(步骤s40)。

为更好地理解本实施例提供的通信方法，以下将结合图1和图2以第一用户为外网客户端，第二用户为电子政务网，而第一类通信链路为ip链路来详细介绍本实施例提供的基于链路阻断的在线异构通信方法。然而，基于数据的双向传输，如图2所示，当电子政务网响应外网客户端发送的数据服务请求时，此时第一用户为电子政务网，而第二用户则为外网客户端。本实施例以外网客户端和电子政务网之间的通讯为例进行说明。然而，本发明对此不作任何限定。于其它实施例中，本发明提供的基于链路阻断的在线异构通信方法可适用于具有不同安全等级的两个网络之间的数据隔离。譬如外网客户端与企业安全生产网或内部管理网之间的数据隔离。

本实施例提供的基于链路阻断的在线异构通信方法其目的在于采用第二类通信链路来阻断同一类型的第一类通信链路之间的网络传输。因此，第一类通信链路也不仅仅限定于ip链路，也可为其它类型的数据传输链路。

本实施例提供的基于链路阻断的在线异构通信方法始于步骤s10。如图2所示，在接收第一用户发送的数据服务请求前，基于ip链路与外网客户端建立握手，握手成功后接收外网客户端以web的方式所发送的数据服务请求。在接收到数据服务请求后，执行步骤s20，对接收到的数据服务请求进行解析，从中获取表征第一用户身份的信息和数据服务的具体内容等。之后，执行步骤s30，将解析后的数据基于第二类通信链路从外网客户端所在的一侧传输至电子政务网所在的一侧。之后，同样的，通过ip链路与电子政务网之间建立握手，握手成功后执行步骤s40中，通过ip链路将解析后的数据服务请求发送的电子政务网内。

本实施例提供的基于链路阻断的在线异构通信方法中，第二类通信链路阻断了外网客户端和电子政务网之间的ip链路，故可完全阻断ip网络上毒性数据，从而确保了电子政务网内海量的敏感信息的安全。进一步的，第二类通信链路设置于外网客户端和电子政务网之前，其不会对外网客户端所在的网络和电子政务网内的网络造成任何的影响，两个网络内网路由器、交换机ip链路层仍然畅通。如图2所示，在电子政务网内多个服务器和数据共享服务器之间仍然可以采用ip链路进行快速的数据传输。

于本实施例中，第二类通信链路为基于物理层的通信链路；优选的，其为usb数据传输链路。然而，本发明对此不作任何限定。于其它实施例中，第二类通信链路也可为sdh光同步数字传输链路、wdm波分复用光网传输链路等基于光传输的数据传输链路。usb数据传输链路为非ip网络，不存在ip链路，因此能很好地实现了外网客户端和电子政务网之间ip链路的隔离。进一步的，usb数据传输链路和基于光传输的数据传输链路为在线的数据转发传输，相比传统的采用光盘等方式进行的离线存储摆渡，其数据传输速度快且具有很好的流畅性，能更好地满足云计算大数据平台的海量数据交换。具体而言，基于链路阻断的在线异构通信方法可以视交互数据量的大小承载在sdh光同步数字传输(<10g)、wdm波分复用光网传输(<40g)、乃至usb通用串行总线(<5g)上，以适应各种信息传输应用服务的场景。

以下以usb数据传输链路为例来介绍基于第二类通信链路的在线数据摆渡，首先在线信息摆渡模块通过接口软件usb设备打开软件booldeviceopen(handle&handle,wordwvid,wordwpid)；写入数据软件booldevicewrite(handlehandle,lpcvoidlpbuffer,dworddwsize)；读取数据软件booldeviceread(handlehandle,lpvoidlpbuffer,dworddwsize)；关闭usb设备软件voiddeviceclose(handle&handle)来建立非ip的信息传输链路。然而，本发明对此不作任何限定。对于不同的物理传输方式，其传输链路的建立过程也不相同。

于本实施例中，第二类通信链路采用在线异构信息转发的方法进行应用数据的交互时还对应用数据进行身份认证并基于身份认证结果对其服务进行授权。然而，本发明对此不作任何限定。于其它实施例中，第二类通信链路在转发应用数据进行交互时还可对第一用户的访问留痕、黑客防范、数据过滤、路由检查等安全监管。

于本实施例中，第一用户身份的认证和授权是在电子政务网上实现的。第二类通信链路将解析后获取的表征外网客户端的身份信息转发至电子政务网所在的一侧；之后，通过ip信链路传输至电子政务网内以进行身份认证和服务授权。然而，本发明对此不作任何限定。于其它实施例中，电子政务网也可授权第二类通信链路对第一用户的身份进行认证并基于认证的结果给其服务进行授权。

同样的，当电子政务网响应外网客户端的数据服务请求时，电子政务网作为第一用户，将信息基于ip链路发送至在线信息摆渡模块，在线信息摆渡模块基于usb数据传输链路将信息发送至外网客户端所在的一侧。之后启动与外网客户端之间的ip链路并将数据发送至外网客户端以实现数据的交互。

相对应的，本实施例还提供的一种基于链路阻断的在线异构通信系统，其包括接收模块1、解析模块2以及至少一个在线信息摆渡模块3。接收模块1接收第一用户10基于第一类通信链路发送的数据。解析模块2解析接收到的数据。在线信息摆渡模块3包括第一数据接口31和第二数据接口32，第一数据接口31位于第一用户10所在一侧，第一数据接口31基于第二类通信链路将解析后的数据从第一用户10所在的一侧传输至第二用户20所在一侧；第二数据接口32位于第二用户20所在一侧，其接收第一数据接口31发送的解析后的数据并通过第一类通信链路发送至第二用户20。

于本实施例中，以外网客户端和电子政务网为例，当外网客户端发送数据服务请求以访问电子政务网时，第一用户为外网客户端，第二用户为电子政务网。而当电子政务网响应数据服务请求将数据发送至外网客户端时则第一用户为电子政务网，第二用户为外网客户端。然而，本发明对此不作任何限定。本发明提供的基于链路阻断的在线异构通信系统同样适用于单向数据传输的网络隔离。譬如，外网客户端的可通过ip链路直接发送请求至电子政务网。电子政务网响应该请求所发送的信息则采用本实施例所提供的基于链路阻断的在线异构通信方法，此时第一用户为电子政务网，第二用户为外网客户端。

于本实施例中，第一类通信链路为ip链路，在线信息摆渡模块3所采用的第二通信链路为基于物理层的通信链路。于本实施例中，基于链路阻断的在线异构通信系统包括两个在线信息摆渡模块3，其中一个为usb通信模块，另一个则为sdh光同步数字传输模块。两个在线信息摆渡模块3具有不同的数据承载能力，sdh光同步数字传输模块可承载10g内的数据量传输；而usb通信模块则可承载5g内的数据量传输，不同的数据量承载能力使得本实施例提供的基于链路阻断的在线异构通信系统可适应各种信息传输应用服务的场景。然而，本发明对此不作任何限定。于其它实施例中，对于更高的数据承载要求，还可采用wdm波分复用光网传输模块来进行数据传输。或者，于其它实施例中，在线信息摆渡模块内可同时设置两个相同的传输模块，其中一个专用的，另一个则为备用的。

于本实施例中，当第一用户10为外网的客户端而第二用户20为内网平台时，在线信息摆渡模块对接第二用户20内的安全监管系统，在线信息摆渡模块3将接收模块获取的第一用户信息转发至安全监管系统以实现第一用户的身份认证和服务授权。然而，本发明对此不作任何限定。于其它实施例中，基于在线信息摆渡模块与第二用户内的安全监管系统的对接，在线信息摆渡模块还可根据大数据平台云服务器的数据安全要求进行访问留痕和严格的黑客等取证，同样根据信息安全规则进行数据清洗和过滤。

本实施例提供的基于链路阻断的在线异构通信方法及系统中，基于第二类通信链路的在线信息摆渡模块3阻断了ip链路以确保受保护信息在物理上是隔离的，只有被系统监管认可传输的信息才可以通过。进一步的，还实现了不同安全等级的网络之间的数据的在线迁移；相比传统的采用光盘等方式的离线摆渡，在线迁移大大提高了传输速度和传输的流畅度。

综上所述，本发明提供的基于链路阻断的在线异构通信方法及系统中，第二类通信链路的设置阻断了第一用户和第二用户之间的第一类通信链路的连通，实现了不同安全等级的网络之间的安全信息隔离的隔离和阻断以确保数据传输的安全性。进一步的，第二类通信链路采用在线数据摆渡的方式进行应用数据的交互，这种数据传输方式不再对接收的数据进行存储转发而是基于第二类通信网络直接进行在线转发以实现在线异构通信。这种通信方式在当前云计算大数据普遍服务时代可提供大流量实时和可靠的信息交互，以满大数据传输应用要求。

虽然本发明已由较佳实施例揭露如上，然而并非用以限定本发明，任何熟知此技艺者，在不脱离本发明的精神和范围内，可作些许的更动与润饰，因此本发明的保护范围当视权利要求书所要求保护的范围为准。