一种数据跨安全域反向传输的方法与流程

1.本发明涉及数据安全技术领域，具体涉及一种数据跨安全域反向传输的方法。


背景技术：

2.随着网络技术的发展，处于不同网络域的同一组织以及不同组织之间存在跨域通信以进行协同工作的需求。跨域通信是指在执行不同安全策略的两个或者多个网络/区域之间进行信息传输。在跨域通信中，数据主要通过隔离交换设备进行传输，如图1所示。
3.数据的跨域传输包括正向传输和反向传输。正向传输是指从低安全域产生或采集到原始数据，然后将这些数据向高安全域汇聚，反之，则为反向传输。在跨域传输的过程中，隔离交换设备主要负责数据的安全审查和数据交换，该设备由内网处理单元、外网处理单元、隔离与交换控制单元组成，如图2所示。
4.数据正向传输的步骤如下：
5.(1)外网处理单元首先对正向传输的数据进行过滤、内容扫描等安全审查，若通过安全审查，则用自定义协议封装该数据。
6.(2)隔离与交换控制单元通过开关控制与内、外网处理单元的连接，将上一步骤中的数据摆渡至内网处理单元。
7.(3)内网处理单元将数据包进行拆分，得到原始数据，然后用通用协议封装数据，发送至内网。
8.数据反向传输的步骤如下：
9.(1)内网处理单元首先对反向传输的数据进行过滤、内容扫描等安全审查，若通过安全审查，则用自定义协议封装该数据。
10.(2)隔离与交换控制单元通过开关控制与内、外网处理单元的连接，将上一步骤中的数据摆渡至外网处理单元。
11.(3)外网处理单元将数据包进行拆分，得到原始数据，然后用通用协议封装数据，发送至外网。
12.正向传输的数据中，有一部分数据是非敏感的，这些数据在进入高安全域之后，如果需要反向传输，仍要进行一系列的安全检查，影响数据交换的效率。如果这些数据是音视频等难以审查的数据，更会消耗更多的资源和成本。
13.如果能够快速确定需要反向传输的数据中非敏感的原始数据，即可在一定程度上简化内网处理单元对该数据的安全审查步骤，提高跨安全域通信效率。


技术实现要素：

14.针对现有技术的不足，本发明旨在提供一种数据跨安全域反向传输的方法。
15.为了实现上述目的，本发明采用如下技术方案：
16.一种数据跨安全域反向传输的方法，具体步骤为：
17.s1、获取需要正向传输的数据包中的原始数据单元，对原始数据单元进行身份标
识运算，得到唯一性标识，并将唯一性标识存储至标识列表中；
18.s2、当有数据包需要反向传输时，先获取需要反向传输的数据包中的待审数据单元；对待审数据单元进行身份标识运算，得到唯一性标识；读取标识列表，将得到的唯一性标识与标识列表中的唯一性标识比对，若比中，则放行该数据包；反之，则禁止放行该数据包。
19.进一步地，所述原始数据单元是已通过隔离交换设备安全审查的原始数据。
20.进一步地，所述身份标识运算是指能够确保数据完整性的运算，唯一性标识是指由该运算计算得到的唯一值。
21.更进一步地，所述能够确保数据完整性的运算为哈希运算、消息认证码或数字签名的密码运算。
22.进一步地，标识列表具备防篡改功能。
23.更进一步地，将标识列表部署在区块链上，或使用签名设备对标识列表中的唯一性标识进行签名，以防篡改。
24.进一步地，正向传输过程中，当判定原始数据单元为敏感数据时，从标识列表中删除与之对应的唯一性标识，确保标识列表中存储的都是非敏感原始数据的唯一性标识。
25.进一步地，待审数据单元是未进行安全审查的待审数据。
26.进一步地，步骤s2中，若未比中，禁止该数据包通行后，进一步地使用隔离交换设备对待审数据单元进行安全审查，判断是否可以反向传输。
27.本发明的有益效果在于：
28.(1)简化反向传输数据的安全审查流程，并且支持文字、图片、视频等多种数据类型，提高安全审查效率，减少资源消耗；
29.(2)每份非敏感原始数据都对应一个防篡改的唯一性标识，安全性较高。
30.(3)通过对原始数据单元进行身份标识运算得到唯一性标识，有效识别原始数据是否被修改，以防数据夹带敏感数据。
附图说明
31.图1为现有的跨域通信示意图；
32.图2为现有的隔离交换设备组成示意图；
33.图3为本发明实施例的实施示意图。
具体实施方式
34.以下将结合附图对本发明作进一步的描述，需要说明的是，本实施例以本技术方案为前提，给出了详细的实施方式和具体的操作过程，但本发明的保护范围并不限于本实施例。
35.实施例1
36.本实施例提供一种数据跨安全域反向传输的方法，如图3所示，具体过程为：
37.单向光闸a对正向传输的数据包进行身份标识运算，得到唯一性标识的流程如下：
38.1)单向光闸a获取正向传输数据包中的原始数据单元，即原始视频数据，并对其进行安全审查；
39.2)在完成对原始视频数据的安全审查后，单向光闸a使用sha3
‑
224函数对该数据进行哈希运算，得到散列值x；如表1所示。
40.表1跨域数据信息
[0041][0042]
3)单向光闸a将x存储至标识列表中(需要说明的是，单向光闸a对标识列表仅有追加权限)，并同步至标识列表所在区块链的各个节点，以防篡改。
[0043]
4)该视频数据在进入高安全域之后被判定为非敏感数据，因此应将其对应的散列值保存在标识列表中，无需删除。
[0044]
5)结束本流程。
[0045]
单向光闸b对反向传输的数据包进行检查的流程如下：
[0046]
1)单向光闸b获取反向传输数据包中的待审数据单元；
[0047]
2)单向光闸b使用与单向光闸a同样的sha3
‑
224函数，对该数据进行哈希运算，得到散列值y，如表2所示；
[0048]
表2
[0049][0050][0051]
3)单项光闸b读取标识列表(需要说明的是，单向光闸b对标识列表仅有只读权限)，将y与标识列表中的散列值比对，发现该表中已有散列值x＝y，说明待审数据单元为非敏感的原始数据，放行该数据，允许其反向传输；
[0052]
4)结束本流程。
[0053]
实施例2
[0054]
本实施例提供一种数据跨安全域反向传输的方法，如图3所示，具体过程为：
[0055]
单向光闸a对正向传输的数据包进行身份标识运算，得到唯一性标识的流程如下：
[0056]
1)单向光闸a获取正向传输数据包中的原始数据单元，即原始txt文本数据，并对其进行安全审查；
[0057]
2)在完成对原始txt文本数据的安全审查后，单向光闸a使用sha3
‑
224函数对该数据进行哈希运算，得到散列值x；如表3所示；
[0058]
表3
[0059][0060]
3)单向光闸a将x存储至标识列表中(需要说明的是，单向光闸a对标识列表仅有追加权限)，并同步至标识列表所在区块链的各个节点，以防篡改。
[0061]
4)该txt文本数据在进入高安全域之后被判定为非敏感数据，因此应将其对应的散列值保存在标识列表中，无需删除。
[0062]
5)结束本流程。
[0063]
单向光闸b对反向传输的数据包进行检查的流程如下
[0064]
1)单向光闸b获取反向传输数据包中的待审数据单元；
[0065]
2)单向光闸b使用与单向光闸a同样的sha3
‑
224函数，对该数据进行哈希运算，得到散列值y；如表4所示；
[0066]
表4
[0067][0068]
3)单项光闸b读取标识列表(需要说明的是，单向光闸b对标识列表仅有只读权限)，将y与标识列表中的散列值比对，未发现与y相等的散列值，说明待审数据单元并非原始数据，禁止该数据以此方式进行反向传输；
[0069]
4)单向光闸b对该数据执行进一步的安全审查，确认该数据符合安全要求，放行该数据，允许其反向传输；
[0070]
5)结束本流程。
[0071]
对于本领域的技术人员来说，可以根据以上的技术方案和构思，给出各种相应的改变和变形，而所有的这些改变和变形，都应该包括在本发明权利要求的保护范围之内。