专利名称:文件安全传输系统及方法
技术领域:
本发明涉及网络安全技术领域,特别涉及一种文件安全传输系统及方法。
背景技术:
信息技术的发展是人类社会的一次伟大革命,它在很大程度上改变了人们的生活观念和生活方式。在迅猛发展的信息时代,人们之间的信息交流变得更加容易、更加頻繁。文件传输作为ー种重要的信息交流和共享方式已经在人们的生活中得到广泛应用和普及,其安全性和效率问题引起了人们的广泛关注。传统的文件传输FTP支持远距离计算机间接或直接连接,作为ー种重要的数据共享方式已经在局域网和内部私有网络中得到了广泛应用。在FTP的基础之上,安全的FTP (Securing FTP with TLS),也称为FTPS,在传输层上加入TLS/SSL,完成密钥的协商和加密连接的建立,对TCP/IP数据流进行加密,解决了 FTP的 明文传输问题。SFTP(SSH File Transfer Protocol)利用 SSH(Secure Shell)提供的安全隧道技术对传输内容进行加密,达到数据密文传输的目的,但在隧道两端仍然是明文传输。传统的文件传输FTP对密码和文件内容都使用明文传输,缺乏对数据的机密性和完整性保护,对通信双方也没有可靠的认证措施,存在许多安全漏洞,面对日益严峻的网络安全形势,传统的FTP并不能满足用户对内外网数据共享的安全性要求。尽管FTPS和SFTP都对数据传输进行了加密,但是它们都将数据接收服务器暴露在复杂的公网中,即便是利用SSH隧道技木,数据经过SSH隧道到达内网以后仍然是明文传输,没有完全解决数据明文传输带来的窃听攻击问题。
发明内容
(一)要解决的技术问题本发明要解决的技术问题是如何将客户端和服务端之间进行隔离,防止将所述服务端中的接收服务器暴露在公网中,以提高文件传输的安全性。(ニ)技术方案为解决上述技术问题,本发明提供了一种文件安全传输系统,所述系统包括依次连接的客户端、转发端及服务端;所述客户端,用于发送连接请求和文件传输请求至所述转发端;所述转发端,用于将接收到的所述连接请求和文件传输请求转发至所述服务端;所述服务端,用于接收所述连接请求和文件传输请求,并建立与所述客户端的连接,再通过建立的连接实现文件传输。其中,所述连接请求中包括登录信息。其中,所述服务端进ー步包括用户认证服务器、接收服务器及用户数据库;所述用户认证服务器,用于接收所述连接请求,并对所述连接请求进行解析,获得所述连接请求中的登录信息;查询所述用户数据库,若所述用户数据库中具有与所述连接请求中的登录信息相应的记录,则判定所述连接请求认证通过,将所述用户数据库中的用户名发送至所述转发端;所述用户数据库,用于存储所述登录信息、用户名和权限之间的对应关系;所述接收服务器,用于接收所述用户名、连接请求和文件传输请求,通过所述用户名查询所述用户数据库,以获得与所述用户名对应的权限;通过所述连接请求建立与所述客户端的连接;利用查询获得的权限对所述文件传输请求进行控制;通过建立的连接实现文件传输;所述转发端,还用于接收所述用户名,并将所述用户名发送至所述接收服务器。其中,所述用户认证服务器,还用于为所述用户数据库中的用户名分配对应的登录ィ目息。其中,所述客户端和服务端之间的连接为加密连接,以实现文件的加密传输;所述接收服务器进一歩包括加密连接模块,用于接收所述连接请求,并通过所述连接请求与所述客户端进行加密协商,建立与所述客户端的加密连接;权限控制模块,用于接收所述权限,并利用所述权限来判断所述文件传输请求对应的文件是否允许传输;文件传输模块,用于接收所述文件传输请求,对所述文件传输请求进行解密,将所述文件传输请求对应的文件进行加密,并将加密后的文件通过所述转发端发送至所述客户端。其中,所述文件传输模块还用于对所述文件进行分段处理和压缩处理。本发明还公开了ー种文件安全传输方法,所述方法包括SI :客户端发送连接请求至转发端,所述转发端将所述连接请求转发至服务端;S2 :所述服务端建立与所述客户端之间的连接;S3:所述客户端发送文件传输请求至所述转发端,所述转发端将所述文件传输请求转发至所述服务端;S4 :所述服务端接收所述文件传输请求,并通过建立的连接实现文件传输。(三)有益效果本发明通过设置转发端,实现了将客户端和服务端之间进行隔离,防止将所述服务端中的接收服务器暴露在公网中,提高了文件传输的安全性。
图I是按照本发明ー种实施方式的文件安全传输系统的结构示意图;图2是按照本发明另一种实施方式的文件安全传输系统的结构示意图;图3是按照本发明ー种实施方式的文件安全传输方法的流程图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进ー步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。图I是按照本发明ー种实施方式的文件安全传输系统的结构示意图;參照图1,所述系统包括依次连接的客户端、转发端及服务端;
所述客户端,用于发送连接请求和文件传输请求至所述转发端;所述转发端,用于将接收到的所述连接请求和文件传输请求转发至所述服务端,为进ー步提高安全性,所述转发端在数据转发的过程中不进行数据解密;所述服务端,用于接收所述连接请求和文件传输请求,并建立与所述客户端的连接,再通过建立的连接实现文件传输。优选地,所述连接请求中包括登录信息。为保证接收服务器的安全性,參照图2,优选地,所述服务端进ー步包括用户认证服务器、接收服务器及用户数据库;所述用户认证服务器,用于接收所述连接请求,并对所述连接请求进行解析,获得所述连接请求中的登录信息;查询所述用户数据库,若所述用户数据库中具有与所述连接请求中的登录信息相应的记录,则判定所述连接请求认证通过,将所述用户数据库中的用 户名发送至所述转发端;所述用户数据库,用于存储所述登录信息、用户名和权限之间的对应关系,为所述用户认证服务器的认证提供支持,为便于区分不同用户,并且还可存储与用户名对应的用户信息;所述接收服务器,用于接收所述用户名、连接请求和文件传输请求,通过所述用户名查询所述用户数据库,以获得与所述用户名对应的权限;通过所述连接请求建立与所述客户端的连接;利用查询获得的权限对所述文件传输请求进行控制;通过建立的连接实现文件传输;所述转发端,还用于接收所述用户名,并将所述用户名发送至所述接收服务器。为全面提高文件的传输速度和安全性,优选地,所述转发端在转发文件的时候不进行解密和内容解析,并且不进行存储,在传输过程中数据内容全程加密。客户端发起的连接请求为明文请求,为了保证明文请求的安全性,登录请求中包含由用户认证服务器随机生成唯一的登录信息,并通过安全的渠道提供给客户端,登录信息在客户端使用一次后失效,优选地,所述用户认证服务器,还用于为所述用户数据库中的用户名分配对应的登录信息。优选地,所述客户端和服务端之间的连接为加密连接,以实现文件的加密传输;所述接收服务器进一歩包括加密连接模块,用于接收所述连接请求,并通过所述连接请求与所述客户端进行加密协商(协商获得加密算法和加密密钥),建立与所述客户端的加密连接,以实现对数据的加密和校验,确保数据在传输过程中的准确性和机密性;权限控制模块,用于接收所述权限,并利用所述权限来判断所述文件传输请求对应的文件是否允许传输;文件传输模块,用于接收所述文件传输请求,对所述文件传输请求进行解密,将所述文件传输请求对应的文件进行加密,并将加密后的文件通过所述转发端发送至所述客户端。本发明采用转发隔离的思想,所有客户端的连接请求都需要经过转发端,由转发端认证通过后,再将连接请求转发到内网接收服务器,客户端间接与服务端之间建立连接及文件传输,达到隔离客户端和服务端的目的,保障服务端的安全性。基于本发明系统的架构,可以独立的对转发端进行扩展,建立分布式的转发端中的服务器集群,对转发端进行负载均衡,提高转发数据的效率,适用于分布式和云计算的发展趋势。为保证文件传输效率,因此在对文件进行加密前,还需要进行分段处理和压缩处理,优选地,所述文件传输模块还用于对所述文件进行分段处理和压缩处理。图3是按照本发明ー种实施方式的文件安全传输方法的流程图;參照图3,本发明还公开了一种文件安全传输方法,所述方法包括SI :客户端发送连接请求至转发端,所述转发端将所述连接请求转发至服务端;S2 :所述服务端建立与所述客户端之间的连接;S3:所述客户端发送文件传输请求至所述转发端,所述转发端将所述文件传输请求转发至所述服务端;
S4 :所述服务端接收所述文件传输请求,并通过建立的连接实现文件传输。以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
权利要求
1.一种文件安全传输系统,其特征在于,所述系统包括依次连接的客户端、转发端及服务端; 所述客户端,用于发送连接请求和文件传输请求至所述转发端; 所述转发端,用于将接收到的所述连接请求和文件传输请求转发至所述服务端; 所述服务端,用于接收所述连接请求和文件传输请求,并建立与所述客户端的连接,再通过建立的连接实现文件传输。
2.如权利要求I所述的系统,其特征在于,所述连接请求中包括登录信息。
3.如权利要求2所述的系统,其特征在于,所述服务端进ー步包括用户认证服务器、接收服务器及用户数据库; 所述用户认证服务器,用于接收所述连接请求,并对所述连接请求进行解析,获得所述连接请求中的登录信息;查询所述用户数据库,若所述用户数据库中具有与所述连接请求中的登录信息相应的记录,则判定所述连接请求认证通过,将所述用户数据库中的用户名发送至所述转发端; 所述用户数据库,用于存储所述登录信息、用户名和权限之间的对应关系; 所述接收服务器,用于接收所述用户名、连接请求和文件传输请求,通过所述用户名查询所述用户数据库,以获得与所述用户名对应的权限;通过所述连接请求建立与所述客户端的连接;利用查询获得的权限对所述文件传输请求进行控制;通过建立的连接实现文件传输; 所述转发端,还用于接收所述用户名,并将所述用户名发送至所述接收服务器。
4.如权利要求3所述的系统,其特征在于,所述用户认证服务器,还用于为所述用户数据库中的用户名分配对应的登录信息。
5.如权利要求3所述的系统,其特征在于,所述客户端和服务端之间的连接为加密连接,以实现文件的加密传输; 所述接收服务器进一歩包括 加密连接模块,用于接收所述连接请求,并通过所述连接请求与所述客户端进行加密协商,建立与所述客户端的加密连接; 权限控制模块,用于接收所述权限,并利用所述权限来判断所述文件传输请求对应的文件是否允许传输; 文件传输模块,用于接收所述文件传输请求,对所述文件传输请求进行解密,将所述文件传输请求对应的文件进行加密,并将加密后的文件通过所述转发端发送至所述客户端。
6.如权利要求5所述的系统,其特征在于,所述文件传输模块还用于对所述文件进行分段处理和压缩处理。
7.一种文件安全传输方法,其特征在于,所述方法包括 51:客户端发送连接请求至转发端,所述转发端将所述连接请求转发至服务端; 52:所述服务端建立与所述客户端之间的连接; 53:所述客户端发送文件传输请求至所述转发端,所述转发端将所述文件传输请求转发至所述服务端; 54:所述服务端接收所述文件传输请求,并通过建立的连接实现文件传输。
全文摘要
本发明公开了一种文件安全传输系统及方法,涉及网络安全技术领域,所述系统包括依次连接的客户端、转发端及服务端;所述客户端,用于发送连接请求和文件传输请求至所述转发端;所述转发端,用于将接收到的所述连接请求和文件传输请求转发至所述服务端;所述服务端,用于接收所述连接请求和文件传输请求,并建立与所述客户端的连接,再通过建立的连接实现文件传输。本发明通过设置转发端,实现了将客户端和服务端之间进行隔离,防止将所述服务端中的接收服务器暴露在公网中,提高了文件传输的安全性。
文档编号H04L29/06GK102780702SQ20121026695
公开日2012年11月14日 申请日期2012年7月30日 优先权日2012年7月30日
发明者张眙, 张静, 杜金秀, 温先辉, 邹铭, 马兆丰, 黄勤龙 申请人:北京国泰信安科技有限公司, 北京市计算中心