一种网络安全隔离文件传输控制方法

一种网络安全隔离文件传输控制方法
【专利摘要】本发明提供了一种安全隔离文件传输控制方法，具体涉及一种税务网络安全隔离系统间文件传输控制方法。该系统组成包括外网隔离防火墙，外网控制端,外网发送端，外网接收端，内网发送端,内网接收端，内网控制端和内网隔离防火墙。利用计算机系统、虚拟机系统、隔离防火墙相结合实现了一种较为通用的安全数据传输方式，提供了一种通过专有安全协议的控制方法实现安全可靠的正反向数据传输，基于数据加密，数字签名,消息认证码等安全技术保证消息传输过程中的机密性，完整性和抗抵赖，从而在保证内外网络系统安全的同时又可以提升数据交换的性能，并使整个系统可靠稳定工作。
【专利说明】一种网络安全隔离文件传输控制方法

【技术领域】
[0001]本发明涉及一种网络安全隔离控制方法，具体涉及一种税务网络安全隔离系统间文件传输控制方法。适用于在不同保密级别的网络间传输数据，在保证网络安全的同时，实现文件在不同网络间的高效传输。

【背景技术】
[0002]隔离概念是在为了保护高安全等级网络环境的情况下产生的，期间经历了五代隔离技术的变化。第一代隔离技术——完全的隔离:此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。第二代隔离技术——硬件卡隔离:在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。第三代隔离技术——数据转播隔离:利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。第四代隔离技术——空气开关隔离:它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在着许多问题。第五代隔离技术——安全通道隔离:此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。
[0003]当前网络隔离存在以下几个突出的问题:
[0004](1)网络隔离在传输数据时采用无应答的机制，造成信息或数据完整性不能保证。高、低密级网在网络隔离条件下同时只有一个与隔离设备进行连接，这样，“握手”确认的通信协议无法使用，因此就必须在隔离传输中采用单向无应答的传输机制。这样虽然保证了数据的安全性，但带来的问题是接收端无反馈信号，致使用户无法发现错误的、不完整的信息。因此，如何保证信息传输时数据的完整性、正确性成为在不同密级网间数据无反馈单向传输的关键性问题。
[0005](2)在网络隔离情况下传输数据，高密级网与低密级网同时有且只能有一个与隔离设备建立专用协议的连接以达到传输数据的目的，这样并不能保证从低密级网传入高密级网的数据不会引起高密级系统瘫痪或者使其遭到破坏，因此高密级系统安全问题也是一个亟需解决的问题。
[0006]因此针对网络隔离提出以下要求:
[0007](1)数据能够稳定地由低密级网传输到高密级网；
[0008](2)数据传输速率应达到更高的要求；
[0009](3)保证核心涉密网不受黑客的正面攻击；
[0010](4)接收的数据在完整性方面达到一定要求。


【发明内容】

[0011]基于第五代网络隔离技术，本发明的目的在于通过专有安全协议的控制方法实现安全可靠的正反向数据传输，从而在保证内外网络系统安全的同时又可以提升数据交换的性能，并使整个系统可靠稳定工作。
[0012]本发明是通过以下技术方案来实现的:实现本发明目标的技术解决方案为一种网络安全隔离系统间信息传输控制系统，其特征在于:该系统组成包括外网隔离防火墙，外网控制端，外网发送端，外网接收端，内网发送端，内网接收端，内网控制端和内网隔离防火墙。消息传输分为:1、外网向内网发送文件时，外网主机为发送端，内网主机为接收端，消息首先提交到外网控制端，由外网控制端负责把数据提交给内网，进行安全数据传输。2、内网向外网发送文件时，外网主机为接收端，内网主机为发送端，消息首先提交到内网控制端，由内网控制端负责把数据提交给外网，进行安全数据传输。
[0013]利用上述的数据传输系统所实施的数据传输方法，其特征在于:
[0014](1)利用外网隔离防火墙和内网隔离防火墙实现内网和外网的网络隔离，隔离防火墙只对特定I？地址和协议开放，保证网络安全；
[0015](2)利用外网控制端和内网控制端实现外网通信终端和内网通信终端的接入认证，只有合法用户才能使用数据传输系统，控制端还实现对传输文件的内容检查，保证内容安全；
[0016](3)利用3/1112协议封装数据传输的消息，可以传输文本、图像、声音、视频及其它应用程序的特定数据，提供收条服务，提供如下加密安全服务:认证、完整性保护、鉴定及数据保密等，保证消息传输过程中的机密性，完整性和抗抵赖；
[0017](4)利用外网发送端和内网接收端实现外网到内网的单向传输，内网发送端和外网接收端实现内网到外网的单向传输，配合专有的基于文件的消息封装格式，实现内网和外网之间的安全的信息交换。
[0018](5)外网发送端和内网接收端为一台物理机器上的两个虚拟机，它们之间通过虚拟网卡通信，利用半虚拟化技术通过共享内存建立通信通道来实现虚拟机间的高速通信，外网接收端和内网发送端为一台物理机器上的两个虚拟机，通信方式类似。
[0019]优点及效果:
[0020]本发明提供一种网络隔离系统数据传输控制的技术及方法，本技术利用计算机系统、虚拟机系统、隔离防火墙相结合实现了一种较为通用的安全数据传输方式，在硬件方面，本发明由计算机、隔离防火墙、服务器、网络传输设备、数据服务器等电子设备组成，其重要设备的通讯路径冗余配置保障系统可靠性；利用数据加密，数字签名保证消息传输过程中的机密性，完整性和抗抵赖；内外网之间信息交换使用了专有协议保证消息交换的安全。
[0021]本技术的特点:
[0022]1、使用3/1頂2协议封装消息格式，并提供收条服务，提供如下加密安全服务:认证、完整性保护、鉴定及数据保密等，保证消息传输过程中的机密性，完整性和抗抵赖；
[0023]2、外网发送端和内网接收端为一台物理机器上的两个虚拟机，它们之间通过虚拟网卡通信，利用半虚拟化技术通过共享内存建立通信通道来实现虚拟机间的高速通信，配合专有通信协议，实现内网和外网之间的高速安全的信息交换。

【专利附图】

【附图说明】
[0024]图1为本发明的网络架构图。
[0025]图2为本发明外网发送端和内网接收端的网络架构。
[0026]图3为外网接收端和内网发送端。
[0027]图4为本发明基于文件传输的内网和外网隔离系统间消息传输模式。
[0028]图5为本发明的发送文件流程图。

【具体实施方式】
[0029]下面结合附图对本发明做进一步详细描述:
[0030]图1是本发明的网络架构图，包括外网控制端、外网发送端，外网接收端，内网接收端，内网发送端和内网控制端以及外网隔离防火墙和内网隔离防火墙。
[0031]外网控制端和内网控制端工作在一台多网口的工控机中，作为核心服务器，具体负责整个传输控制协议的解析执行，并承担共享文件的存储和转发工作，使文件的交互更加可控和闻效。
[0032]图2是外网发送端和内网接收端的网络架构，外网发送端和内网接收端为一台物理服务器上的两台虚拟机，物理机器上安装多个网卡，其中一个网卡连接外网，一个网卡连接内网，外网发送端虚拟机通过桥接方式绑定外网的网卡，内网接收端虚拟机通过桥接方式绑定内网网卡，两个虚拟机分别添加第二块网卡以此^-01117模式连接物理机的同一个虚拟网卡，两个虚拟机通过该虚拟网卡通信。图3是外网接收端和内网发送端为一台物理服务器上的两台虚拟机的网络结构示意，它们的网络连接方式和外网发送端和内网接收端类似。外网控制端两个网口，一个连接到外网防火墙配置I？地址为1？1，能够和外网终端通信，另外一个连接到外网发送端和外网接收端配置I？地址为1？2。内网控制端两个网口，一个连接到内网防火墙配置I？地址为1？3，能够和内网终端通信，另外一个连接到内网发送端和内网接收端配置I？地址为1？4。
[0033]外网防火墙隔离互联网和外网控制端，外网防火墙配置为只允许通往外网控制端I？地址1？1和指定端口的数据报通行，内网防火墙配置为只允许通往内网控制端I？地址1？3和指定端口的数据通行。
[0034]外网控制端1？2的网口，与外网发送端和外网接收端配置一个内部网络地址段，各个网口只配置I？地址，没有网关，设置规则使得外网接收端只能通过1？2发送数据到外网控制端，外网发送端只能发送数据到外网控制端，外网发送端和外网接收端之间不能通^。
[0035]内网控制端1？4的网口，与内网发送端和内网接收端配置另外一个内部网络地址段，各个网口只配置I？地址，没有网关，设置规则使得内网接收端只能通过1？4发送数据到内网控制端，内网发送端只能发送数据到内网控制端，内网发送端和内网接收端之间不能通信。
[0036]外网发送端和内网接收端的第二个网络接口通过000-0=17模式连接到虚拟网卡，设置另外一个网段，设置规则使得内网接收端只能通过这个I？接收来自外网发送端的数据，内网接收端不能发送数据到外网发送端。
[0037]外网接收端和内网发送端的第二个网络接口通过此“-如匕模式连接到虚拟网卡，设置另外一个网段，设置规则使得外网接收端只能通过这个I？接收来自内网发送端的数据，外网接收端不能发送数据到内网发送端。
[0038]图4说明了本方案设计的基于文件传输的内网和外网隔离系统间消息传输模式。发送方，文件处理单元用于文件传输之前相关处理，可以提高文件传输的安全性和效率性，其工作过程如下:首先将接收到消息按协议规定大小拆分生成多个顺序文件，最后添加当前时间标记和一个基于发送方和接收方共享密钥生成的服八文件，接收方通过共享密钥可以验证文件的来源，验证文件的有效性，按照命名规则重新给每个文件命名。拆分文件命名规则:会话10号+拆分文件总数目+该文件的顺序号。然后将拆分后的文件发送缓冲目录。接收方，文件处理单元用于接收完成后相关操作，根据配置信息文件将拆分文件恢复至原文件。
[0039]腿八生成的方法:设共享密钥为X，文件数目为II，当前时间为1111168^1卹，各文件设为匕几，…，？。:
[0040]歷=拟兕叫匕)
[0041]歷=(11)1)1),
[0042]腿八(:=| | 111068仏卹| 11()。最后的腿八0即为本次数据发送的认证信息。
[0043]接收方收到后，首先验证时间是否在允许的误差内，然后按照相同方法利用它保存的共享密钥X’进行同样的运算，比较最后的腿八是否一致，若一致表明发送方身份是正确的。
[0044]为了完成相关的操作和功能，内网和外网通过某种特定格式的报文来完成，报文格式采用3/1頂2的格式进行封装。报文携带命令和文件数据，完成内外网数据的交互。
[0045]控制端主要功能是分析处理内外网接收到的报文，根据报文的命令实现相关的操作，并将操作的结果封装成协议报文反馈给发送方。分析和处理的机制根据报文的格式而定。
[0046]内网和外网的人机交互模块分别工作于内外网的主机中，人机交互模块负责外网用户与内网系统的交互，位于系统架构的外围。人机交互模块主要是提供基于窗口的功能接口，为用户提供命令输入界面，方便用户的操作。
[0047]根据图5本发明的发送文件流程图，当外网主机向内网主机请求发送文件时，即由外网主机的人机交互模块向内网主机的人机交互模块发送文件，本发明的工作过程如下:
[0048]步骤1、启动系统各单元，外网控制端为外网部分的文件传输管理服务器，负责对外网用户端，外网发送端和外网接收端的认证，内网控制端为内网部分的文件传输管理服务器，负责对内网用户端，内网发送端和内网接收端的认证，认证通过后双方会协商一个会话密钥；
[0049]步骤2、发送端用户首先需要登录文件传输系统，由外网控制端对用户的身份进行认证，认证通过后可以看到联系人列表，认证时和控制端协商一个会话密钥。
[0050]步骤3、发送端用户从联系人列表中选择文件的接收者，发送文件或消息，用户端生成发送消息报文，报文内容包括接收者信息，发送者信息，当前时间信息，消息类型，消息体。消息报文使用用户的会话密钥进行保护，消息报文格式使用3/1頂2封装，消息发送给外网控制端。
[0051]步骤4、外网控制端接收到消息后，验证消息的合法性，对消息进行安全性检查(如使用杀毒软件)，验证通过后转发消息到外网发送端，消息使用会话密钥进行保护；
[0052]步骤5、外网发送端接收消息后，首先使用会话密钥验证消息的合法性，通过后进行文件封装，文件处理单元处理需要传输的文件，如果文件的大小超过拆分的阈值，则将文件拆分成多个固定大小的文件，通过文件名规则把各个文件进行编号，使用预先分配的密钥进行保护生成服/^文件；
[0053]步骤6、文件传输:外网发送端主机将拆分后的数据文件，经虚拟网卡通过传输给内网接收端主机；
[0054]步骤7、文件合并:内网接收端主机接收数据文件，并根据文件名规则把文件进行合并，重新打包成消息，使用会话密钥进行保护，并传送给内网控制端；
[0055]步骤8、消息接收:内网控制端接收到消息后，验证消息的合法性，对消息进行安全性检查(如使用杀毒软件)，通过后转发消息到接收端，消息使用会话密钥进行保护。
[0056]步骤9、用户查看:用户端接收到消息提醒用户查看，如果发送端要求提供收条，用户打开消息时自动发送收条到发送者，收条使用接收者的私钥签字证明有效性。
[0057]重复以上步骤，在请求端主机的人机交互模块中增加任务调度功能的子模块，可以实现多任务、多用户的并发发送文件和下载文件。
[0058]请求端主机的人机交互模块请求下载文件时，如果请求下载外网的文件，直接下载即可，不需要经过网络隔离系统。如果请求内网的文件，请求端首先向目的联系人或者系统共享文件夹(由内网控制端控制)发送文件请求消息，消息的传输过程如上所述过程，目的联系人或内网控制端接收消息后，根据规则判断是否允许发送文件，如果允许按照上所述过程把文件发送给请求端:
[0059]内网主机向外网主机请求发送文件和内网主机向外网主机请求下载文件的步骤与外网主机向内网主机请求发送文件和外网主机向内网主机请求下载文件的步骤相同。
[0060]本发明能够解决单向网络安全隔离装置不能交互，数据互通性能差的缺点，可以批量上传下载文件，上传下载速度达到网络隔离装置的带宽上限，支持并发，提高被隔离装置隔离的内外网数据交换效率，本发明支持加密，签名等安全技术，可以保证消息传输过程中的机密性，完整性和抗抵赖性。
【权利要求】
1.一种网络安全隔离系统间信息传输控制系统，其特征在于:该系统组成包括外网隔离防火墙，外网控制端，外网发送端，外网接收端，内网发送端，内网接收端，内网控制端和内网隔离防火墙；消息传输分为#外网向内网发送文件时，外网主机为发送端，内网主机为接收端，消息首先提交到外网控制端，由外网控制端负责把数据提交给内网，进行数据传输山.内网向外网发送文件时，外网主机为接收端，内网主机为发送端，消息首先提交到内网控制端，由内网控制端负责把数据提交给外网，进行数据传输。
2.根据权利要求1所述的数据传输系统所实施的数据传输方法，其特征在于: (1)在外网计算机和外网控制端之间连接有网络隔离设备；在内网计算机和内网控制端之间连接也设置有网络隔离设备； (2)在外网控制端和内网控制端实现外网通信终端和内网通信终端的接入认证，控制端实现对传输文件的内容检查，保证内容安全； (4)外网发送端和内网接收端实现外网到内网的单向传输，内网发送端和外网接收端实现内网到外网的单向传输； (5)外网发送端和内网接收端为一台物理服务器上的两台虚拟机，物理机器上安装多个网卡，其中一个网卡连接外网，一个网卡连接内网，外网发送端虚拟机通过桥接方式绑定外网的网卡，内网接收端虚拟机通过桥接方式绑定内网网卡，两个虚拟机分别添加第二块网卡以！100-0=17模式连接物理机的同一个虚拟网卡，两个虚拟机通过该虚拟网卡通信；外网接收端和内网发送端为一台物理机器上的两个虚拟机，通信方式类似。
3.根据权利要求1所述的数据传输系统所实施的数据传输方法，其特征在于系统利用3/1112协议封装数据传输的消息，传输文本、图像、声音、视频及其它应用程序的特定数据。
4.根据权利要求1所述的数据传输系统所实施的数据传输方法，其特征在于系统使用基于文件传输的内网和外网隔离系统间消息传输模式；其工作过程如下:首先将接收到消息按协议规定大小拆分生成多个顺序文件，最后添加当前时间标记和一个基于发送方和接收方共享密钥生成的腿文件，接收方通过共享密钥可以验证文件的来源，验证文件的有效性，按照命名规则重新给每个文件命名；拆分文件命名规则:会话10号+拆分文件总数目+该文件的顺序号；然后将拆分后的文件发送缓冲目录；接收方，文件处理单元用于接收完成后相关操作，根据配置信息文件将拆分文件恢复至原文件。
5.根据权利要求1所述的数据传输系统所实施的数据传输方法，其特征在于包括如下步骤: 外网主机向内网主机请求发送文件时，即由外网主机的人机交互模块向内网主机的人机交互模块发送文件，步骤如下: 步骤1、启动系统各单元，外网控制端对外网用户端，外网发送端和外网接收端的认证，内网控制端对内网用户端，内网发送端和内网接收端的认证，认证通过后双方会协商一个会话密钥； 步骤2、发送端用户首先需要登录文件传输系统，由外网控制端对用户的身份进行认证，认证通过后可以看到联系人列表； 步骤3、发送端用户从联系人列表中选择文件的接收者，发送文件或消息，用户端生成发送消息报文，报文内容包括接收者信息，发送者信息，当前时间信息，消息类型，消息体；消息报文使用用户的会话密钥进行保护，消息报文格式使用3/1頂2封装，消息发送给外网控制端； 步骤4、外网控制端接收到消息后，验证消息的合法性，对消息进行安全性检查，验证通过后转发消息到外网发送端，消息使用会话密钥进行保护； 步骤5、外网发送端接收消息后，首先使用会话密钥验证消息的合法性，通过后进行文件封装，文件处理单元处理需要传输的文件，如果文件的大小超过拆分的阈值，则将文件拆分成多个固定大小的文件，通过文件名规则把各个文件进行编号，使用预先分配的密钥进行保护生成HMAC文件； 步骤6、文件传输:外网发送端主机将拆分后的数据文件，经虚拟网卡通过传输给内网接收端主机； 步骤7、文件合并:内网接收端主机接收数据文件，并根据文件名规则把文件进行合并，重新打包成消息，使用会话密钥进行保护，并传送给内网控制端； 步骤8、消息接收:内网控制端接收到消息后，验证消息的合法性，对消息进行安全性检查，通过后转发消息到接收端，消息使用会话密钥进行保护； 步骤9、用户查看:用户端接收到消息提醒用户查看，如果发送端要求提供收条，用户打开消息时自动发送收条到发送者，收条使用接收者的私钥签字证明有效性； 内网主机向外网主机请求发送文件时，即由内网主机的人机交互模块向外网主机的人机交互模块发送文件，步骤如下: 步骤1、启动系统各单元，外网控制端对外网用户端，外网发送端和外网接收端的认证，内网控制端对内网用户端，内网发送端和内网接收端的认证，认证通过后双方会协商一个会话密钥； 步骤2、发送端用户首先需要登录文件传输系统，由内网控制端对用户的身份进行认证，认证通过后可以看到联系人列表； 步骤3、发送端用户从联系人列表中选择文件的接收者，发送文件或消息，用户端生成发送消息报文，报文内容包括接收者信息，发送者信息，当前时间信息，消息类型，消息体；消息报文使用用户的会话密钥进行保护，消息报文格式使用S/MIME封装，消息发送给内网控制端； 步骤4、内网控制端接收到消息后，验证消息的合法性，对消息进行安全性检查，验证通过后转发消息内网发送端，消息使用会话密钥进行保护； 步骤5、内网发送端接收消息后，首先使用会话密钥验证消息的合法性，通过后进行文件封装，文件处理单元处理需要传输的文件，如果文件的大小超过拆分的阈值，则将文件拆分成多个固定大小的文件，通过文件名规则把各个文件进行编号，使用预先分配的密钥进行保护生成HMAC文件； 步骤6、文件传输:内网发送端主机将拆分后的数据文件，经虚拟网卡通过传输给外网接收端主机； 步骤7、文件合并:外网接收端主机接收数据文件，并根据文件名规则把文件进行合并，重新打包成消息，使用会话密钥进行保护，并传送给外网控制端； 步骤8、消息接收:外网控制端接收到消息后，验证消息的合法性，对消息进行安全性检查，通过后转发消息到接收端，消息使用会话密钥进行保护； 步骤9、用户查看:用户端接收到消息提醒用户查看，如果发送端要求提供收条，用户打开消息时自动发送收条到发送者，收条使用接收者的私钥签字证明有效性。
【文档编号】H04L29/06GK104363221SQ201410629644
【公开日】2015年2月18日 申请日期:2014年11月10日 优先权日:2014年11月10日
【发明者】董晓春, 刘培顺, 赵长江, 任传祥, 高继鹏 申请人:青岛微智慧信息有限公司