一种网络之间高安全可靠的数据交换系统及方法与流程

1.本发明涉及一种网络之间高安全可靠的数据交换系统及方法，适用于在不同密级/网络安全等级的网络之间通过网络安全隔离与信息单向导入系统建立单向无逆向回路互联的场景，能有效提高交换过程及其数据的一致性、完整性、不可抵赖性和传输透明化、有效收缩边界引发数据暴露的攻击面，同时也适用于采用网络防火墙等通用访问控制系统建立双向安全互联的场景。


背景技术：

2.信息化已经成为企业运营的基础，已经渗透到工作的方方面面。云计算、物联网、移动互联网、大数据、人工智能、5g等新一代信息技术逐步在企业开展应用，智能制造、工业互联网等新型信息化形态逐渐形成。当前大部分企业存在功能、性能、网络安全等级不同的多套网络，各自之间物理隔离/逻辑隔离。随着企业信息化的深入应用，信息数据的利用已经成为企业信息化应用广度和深度的一个显性的衡量指标。企业内部各网络间、企业间各网络间数据交互越来越频繁，在此背景下网络间互联需求指数性增长，越来越多的企业开展不同网络安全等级/密级的网络连接，实现数据的实时交换。在这个过程中，由于各网络的网络安全等级/密级及所处环境不同，网络互联后所面临的威胁和风险承受能力也不同，同时也会带来不同程度、不同层面交叉风险问题。
3.基于上述情况，当前大部分企业主要采用网络安全隔离与信息单向导入系统在两个/多个不同密级/网络安全等级的网络之间建立单向无逆向回路的数据安全传输通道，实现单向/双单向信息交换；或者采取网络防火墙等通用访问控制系统建立双向安全互联传统通道，实现双向信息交换。前者相比后者，一般应用在安全性更高的场景；本发明的系统和方法基于前者这种高安全性要求的场景而产生，也同样适用于后者。其中网络安全隔离与信息单向导入系统是在我国高安全保密环境应运而生的一项技术，其主要用于满足从低密级环境向高密级环境，特别是外网向内网的高安全性、高保密性的数据交换场景，其核心是利用基于光通讯单向传输物理特性。由于单向光具有良好的不可逆特性，达到物理单向传输无逆向回路，极大的保障高安全性/高保密性网络的隔离特性，满足低安全密级可向高安全密级流入、高安全密级禁止向低安全密级流出数据的单向物理特性设计要求。
4.万事有利就有弊，采用网络安全隔离与信息单向导入系统在两个/多个不同密级/网络安全等级的网络之间建立单向无逆向回路的数据安全传输通道，充分利用网络安全隔离与信息单向导入系统中光通讯单向传输物理特性的单向光具有良好的不可逆特性，通过单向光连接的两端无法感知其对方存在，因此发送的消息是否被另一端接收、数据在传输过程中是否被篡改、是否有片段丢失将无法获知，应用系统之间的连贯性、数据的完整性和可用性无法有效保证。另一方面，为了能实现单向无逆向回路的传输，就无法使用双向传输协议(例如tcp协议)传输，往往需要将所将传输的信息保存成文件再进行传输，需要交互的两端应用系统必须具备将要传输数据保存成文件和读取保存文件的能力。同时，网络两端应用系统/服务的交换需要建立多条通道，给it运维带来了巨大的挑战，例如有n套应用与
对端的m套应用通信，最少需要n条逻辑连接，最多可达n*m条逻辑连接。另一方面，两端应用系统/服务交换量增加，边界暴露面也不断增加，安全隐患明显。
5.综上所述，迫切需要一种系统和方法提高采用网络安全隔离与信息单向导入系统在两个/多个不同密级/网络安全等级的网络之间建立单向无逆向回路的数据安全传输通道的交换过程及其数据的一致性、完整性、不可抵赖性和传输透明化、有效收缩边界引发数据暴露的攻击面，实现消息能安全、可靠、无误的从源端传递到目的端。同时，为传输两端提供一个综合服务的环境，将需要交换的角色进行集中管控，有效收缩边界引发数据暴露的攻击面，这种方法需要一定普适性。


技术实现要素：

6.本发明技术解决问题：克服现有技术的不足，提供一种网络之间高安全可靠的数据交换系统及方法，能在原有采用网络安全隔离与信息单向导入系统在两个/多个不同密级/网络安全等级的网络之间建立单向无逆向回路的数据安全传输通道的场景下基础上，有效提高交换过程及其数据的一致性、完整性、不可抵赖性和传输透明化、有效收缩边界引发数据暴露的攻击面，提高网络的互联后整体安全性，提高故障响应时间。
7.本发明的技术解决方案：一种网络之间高安全可靠的数据交换系统，包括边界代理模块、任务调度模块、身份鉴别模块、用户模块、访问控制模块、性能监控模块、签名验签接口模块、病毒查杀模块、恶意行为检测模块、数据智能比对模块、数据合规检查模块、日志模块。如图1所示，具体：
8.1)所述边界代理模块：受理/发起应用系统数据传输的身份验证和请求消息，保存应用系统发送的数据为文件和还原文件为数据流；依据链路通道数量生成副本并传输数据传输。
9.a)边界代理模块由发送端a、接收端b组成，其中发送端a连接网络i中需要与网络ii中进行数据交换的应用系统a，获取需要发送的信息，将消息保存成为文件和封装成系统私有协议的消息；接收端b连接网络ii需要接收来自网络i的应用系统a发送的数据的网络ii应用系统b，接收发送端a发过来的消息，将接收消息还原为数据流，推送给应用系统b。发送端a、接收端b不能同时存在，即边界代理模块中仅存在发送端a或接收端b。上述发送端a和接收端b中间采取网络安全隔离与信息单向导入系统建立连接时，发送端a保存网络安全隔离与信息单向导入系统可读取的文件，由网络安全隔离与信息单向导入系统发送到接收端b，传输的为数据文件。上述发送端a和接收端b中间采用网络防火墙等通用访问控制系统建立连接时，发送端a和接收端b之间通过自身的私有协议建立连接，传输的为数据流；由接收端b接收后还原为数据流，推送给应用系统b。
10.b)边界代理模块发送端a、接收端b通过对称算法生成的秘钥对建立信任关系，初始预置边界代理模块中。提供result api、webservice接口和sftp服务供应用系统调用。
11.c)通过与任务调度模块建立双向通信，将所接收的数据发送给任务调度模块进行安全性、合法性和可靠性验证，接收来自任务调度模块的消息以确认是否发送应用系统数据，接收经过任务调度模块处理后的数据。若任务调度模块返回消息内容为不安全、不合法、不可靠的告警消息，边界代理模块为发送端a时将断开与应用系统a的连接，将告警消息发送至日志模块和网络i应用系统a；边界代理模块为接收端b时将关闭此次任务，等待人为
干预。若任务调度模块返回消息内容为安全、合法、可靠的消息，将同时携带经过处理后的数据发送给边界代理模块，边界代理模块为发送端a时则将反馈给网络i应用系统a成功接收消息和任务完成消息至日志模块，并将数据发送给边界代理模接收端b；边界代理模块为接收端b时则将数据还原成数据流，推送给网络ii应用系统b。
12.d)通过与身份鉴别模块建立双向通信，对建立连接的应用系统身份信息鉴别。此模块仅在边界代理模块为发送端a时被调用。若边界代理模块为接收端b时，由边界代理模块接收端b主动发起连接请求，不支持应用系统b发起连接请求。发送端发送网络i应用系统a身份信息给身份鉴别模块，接收身份鉴别模块的消息以确认所需建立连接的应用系统的真实性、合法性，若所接收到的消息内容为非法或所提供身份信息不正确，发送端a将断开与网络i应用系统a的连接，将告警消息发送至日志模块和网络i应用系统a。
13.e)通过与访问控制模块建立双向通信，对建立连接的应用系统访问行为判断是否合法。此模块仅在边界代理模块为发送端a时被调用。提交所需建立连接的网络i应用系统a身份信息。接收访问控制模块的消息已以确认所需建立连接的应用系统是否能进行业务数据传输，若所接收到的消息内容为非允许的访问行为，将关闭连接，并形成告警消息并发送到日志模块和网络i应用系统a。
14.f)通过与性能监控模块建立双向通信，发送建立任务请求消息，获取是否允许建立业务传输的消息。通过与日志模块建立单向通信，发送操作行为和告警信息到日志模块。
15.2)所述任务调度模块：是整个系统内部中枢神经，起到承上启下的作用，由触发器、作业存储器、执行器几部分组成。
16.a)触发器通过监听边界代理模块的消息，接收数据和发送数据、消息。触发器为每一次数据处理活动建立一个任务，数据处理完成后，任务自动关闭，其中边界代理模块发起传输请求为一次数据处理活动。接收来自边界代理模块传输过来的数据，将数据传输给作业存储器；接收来自执行器的消息，其中消息分为合规消息和不合规消息。若为合规消息，触发器将从作业存储器中抓取处理完成的数据，并将数据发送给边界代理模块，消息发送给日志模块。若为不合规消息，触发器发送任务关闭消息给边界代理模块并将消息发送给日志模块。
17.b)作业存储器接收来自触发器的待处理的数据、存储待发送触发器的数据和执行器执行过程中的数据。
18.c)执行器将数据发送给签名验签接口模块、病毒查杀模块、恶意行为检测模块、数据智能比对模块、数据合规检查模块处理并接收处理后的数据、消息。处理后的数据存储到作业存储器中，生成处理结果消息并通知触发器。执行器接收触发器发送的任务处理消息。其中执行器通过与病毒查杀模块建立双向连接，提交任务数据给此模块进行病毒查杀和获取查杀结果、数据；通过与恶意行为检测模块建立双向连接，提交任务数据给此模块进行恶意代码检查和获取检查结果、数据；通过与签名验签接口模块建立双向连接，提交任务数据给此模块进行数据的签名/验签，对数据完整性、抗抵赖性进行验证和计算，获取处理结果数据；通过与数据合规检查模块建立双向连接，提交任务数据给此模块进行数据类型、内容安全性、合规性检查和获取检查结果、数据；通过与数据智能对比模块建立双向连接，提交任务数据给此模块和获取检查结果、数据，以确认数据传输过程是否丢失和被篡改。
19.3)所述身份鉴别模块：进行身份可信鉴别。接收来自边界代理模块发送端a转发的
应用系统建立连接请求消息，确认应用系统的身份的合法性，反馈给边界代理模块的检查结果信息；判断用户模块提交的用户的身份合法性；通过与日志模块建立单向通信，发送操作行为和告警信息到日志模块。
20.4)所述用户模块：内置系统管理员、安全管理员、审计员三种角色，三种角色互相制约，适用于高安全性的网络环境中。通过与日志模块建立单向通信，发送操作行为和告警信息到日志模块。
21.5)所述访问控制模块：判断来自边界代理模块发送端a、接收端b转发应用系统连接请求。接收来自边界代理模块发送端a转发的网络i的应用系统a建立连接请求消息，判断网络i的应用系统a是否为允许进行数据传输的应用系统，反馈给边界代理模块发送端a的检查消息；接收来自边界代理模块接收端b接收到边界代理模块发送端a的网络i的应用系统a与网络ii应用系统b建立连接请求判断是否为允许进行数据传输，反馈给边界代理模块接收端b的检查消息。
22.6)所述性能监控模块：系统可用性、稳定性检测，避免过负载，避免无效连接，避免缓冲溢出。接收来自边界代理模块的建立任务请求消息，判断是否有可用资源供连接请求使用，反馈给边界代理模块的检查消息。
23.7)所述病毒查杀模块：集成第三方病毒查杀引擎，对数据进行病毒查杀。接收来自任务调度模块的任务数据，对数据进行病毒查杀并将查杀结果消息反馈给任务调度模块。通过与日志模块建立单向通信，发送操作行为和告警信息到日志模块。
24.8)所述恶意行为检测模块：集成第三恶意行为检测引擎，对数据进行恶意代码检查。其接收来自任务调度模块的任务数据，与病毒查杀模块并行工作，对数据进行恶意行为检测并将检测结果消息反馈给任务调度模块。通过与日志模块建立单向通信，发送操作行为和告警信息到日志模块。
25.9)所述数据合规检查模块：对所发送和接收数据进行文件类型和内容合规性分析，判断是否有违规、非法数据，能有效提高交换过程的合法性。提供白名单和和黑名单两种方式。接收来自任务调度模块的任务数据，对数据进行安全合规性检测。将检测结果消息反馈给任务调度模块。通过与日志模块建立单向通信，发送操作行为和告警信息到日志模块。
26.10)所述数据智能对比模块：提供对多份相同文件对比一致性分析功能，特别适用于采用网络安全隔离与信息单向导入系统建立单向无逆向回路的不同密级/网络安全等级的网络之间互联开展数据安全交换的场景，能极大的提高此场景下物理设备故障、数据片段丢失不可预知风险。接收来自任务调度模块的任务数据，进行多份相同文件的一致性判断(面向边界代理模块为接收端b时)，将检查结果消息反馈给任务调度模块。通过与日志模块建立单向通信，发送操作行为和告警信息到日志模块。
27.11)所述签名验签接口模块：集成第三方签名验签环境或平台接口，对数据进行签名和验签、数据散列哈希计算，保障数据的完整性和不抵赖性；接收来自任务调度模块的任务数据，对数据进行签名或验签、数据散列哈希计算，将经过签名或验签、数据散列哈希计算的数据反馈给任务调度模块。通过与日志模块建立单向通信，发送操作行为和告警信息到日志模块。
28.12)所述日志模块：提供行为记录、告警和趋势分析；所述行为记录是上述所有模
块的工作记录信息；所述告警是将异常情况及时报告给管理人员，进行人工干预；所述趋势分析是对历史信息进行行为分析，为系统可用性、可靠性以及应用系统数据发送情况进行统计分析。
29.本发明的效果在于：本发明使用一种网络之间高安全可靠的数据交换系统及方法，仅使用所述系统的边界代理模块与所有应用系统对接，能有效降低信息交换边界的暴露面，边界代理模块面向发送端伪装为接收端应用系统，面向接收端伪装为发送端应用系统，实现传输透明化；通过dh算法生成密钥对，预先在身份鉴别模块配置应用系统a的id信息、访问控制模块配置应用系统a的id与应用系统b的id的关联关系信息，实现对边界访问行为控制，降低在最小暴露面的情况下，应用可信；通过以上方法，提供统一的对外接口标准，降低运维难度。通过该系统的任务调度模块进行全局调度，有效提升了交换过程及其数据的一致性、完整性、不可抵赖性和传输透明化；其中任务调度模块通过与签名验签接口模块协同实现完整性、不可抵赖性；与数据智能比对模块协同实现交换过程及其数据的一致性、完整性，确保未被篡改和片段丢失；与病毒查杀模块、恶意行为检测模块协同实现对交换过程及其数据进行安全检查；与数据合规检查模块协同，对所传输数据合规性判断，降低扩大知悉范围等风险。
附图说明
30.图1为本发明系统的整体架构图；
31.图2为本发明的方法传输示意图。
具体实施方式
32.本发明还给出如下技术方案，以下将以采用网络安全隔离与信息单向导入系统进行从低密级环境向高密级环境、特别是外网向内网互联的高安全性、高保密性的数据交换场景对采用上述方法进行详细叙述。以下技术方案同样适用采用网络防火墙等逻辑隔离手段网络互联的交换场景。
33.以下为了方便表达，将文中所陈述和引用的几个相关术语进行下陈述。
34.网络安全隔离与信息单向导入系统是在我国安全保密环境应运而生的一项技术，其核心是利用基于光通讯单向传输物理特性。此类装置一般由外端机模块、内端机模块、交换模块组成。
35.数字签名及验证/验签是基于非对称密钥体系的数字签名机制，实现操作抗否认和完整性保护方面。下述方案中签名验签平台属于不同网络，通过手动定期导入证书信息、ldap信息方式建立信任关系。
36.如图1和图2所示，本发明一种网络之间高安全可靠的数据交换系统及方法，为了下文方便叙述，以下统一简称为交换系统。
37.整个实现过程如下：
38.本发明所形成的技术方案由四个部分组成，包括
①
网络i应用系统a、网络i签名验签平台a、网络i pki/ca系统，
②
交换系统(发送端a)、交换系统(接收端b)，
③
b1网络安全隔离与信息单向导入系统、b2网络安全隔离与信息单向导入系统，
④
网络ii应用系统b、网络ii签名验签平台b、网络ii pki/ca系统。
39.第一步，交换系统边界代理模块与应用系统之间通过dh算法生成密钥对，预先在交换系统身份鉴别模块配置应用系统a的id信息、访问控制模块配置应用系统a的id与应用系统b的id的关联关系信息。
40.第二步，网络i的应用系统a发起与边界代理模块发送端a建立连接请求，并携带包括经过协商使用dh算法生成密钥对应用系统a的id、应用系统b的id。
41.第三步，边界代理模块发送端a将网络i的应用系统a的加密id解密后发送给身份鉴别模块进行身份可信验证。边界代理模块发送端a获取身份鉴别模块验证消息。若消息为通过则进行下一步。若消息为未通过，边界代理模块发送端a将关闭与网络i的应用系统a的连接。
42.第四步，边界代理模块发送端a将应用系统a的id、应用系统b的id解密后发送给访问控制模块，对应用系统a访问应用系统b的行为进行访问控制检查，检查是否有关联关系。边界代理模块发送端a获取访问控制模块验证消息。若消息为通过则进行下一步。若消息为未通过，边界代理模块发送端a将关闭与网络i的应用系统a的连接。
43.第五步，边界代理模块发送端a将建立连接请求消息发送给性能监控模块。性能监控模块判断是否有可用资源，若有可用资源，将消息反馈给边界代理模块发送端a进行一下步。若无可用资源，边界代理模块发送端a将处于等待状态，并在规定时间内(一般为30s)进行对性能监控模块轮询，当轮询次数达到规定的上线(上线值为根据传输负载、并发量要求进行确定)将产生报警消息，边界代理模块发送端a将关闭与网络i的应用系统a的连接。
44.第六步，边界代理模块发送端a通知网络i的应用系统a可以建立连接并发送数据，并对网络i的应用系统a开放result api/webservice接口/sftp服务供调用(调用关系需在边界代理模块发送端a端、网络i的应用系统a预先配置)。
45.第七步，网络i的应用系统a发送数据给边界代理模块发送端a。
46.第八步，边界代理模块发送端a接收数据并保存成文件，通知任务调度模块进行处理。任务调度模块的触发器监听边界代理模块发送端a的通知消息，触发器建立一个任务，并将数据传输给任务调度模块的作业存储器。任务调度模块的触发器发送任务处理消息给任务调度模块的执行器。任务调度模块的执行器从任务调度模块的作业存储器获取数据，进行下一步操作。
47.第九步，任务调度模块的执行器与病毒查杀模块建立双向连接，提交任务数据给此模块进行病毒查杀，若查杀无病毒，任务调度模块的执行器进行下一步操作；若查杀有病毒，任务调度模块的执行器将消息发送给触发器，触发器将消息发送给边界代理模块发送端a，边界代理模块发送端a将关闭与网络i的应用系统a的连接。触发器将消息发送给日志模块，由日志模块通知人工干预。
48.第十步，任务调度模块的执行器与恶意行为检测模块建立双向连接，提交任务数据给此模块进行恶意代码检查，若检测通过，任务调度模块的执行器进行下一步操作；若检测有恶意代码，任务调度模块的执行器将消息发送给触发器，触发器将消息发送给边界代理模块发送端a，边界代理模块发送端a将关闭与网络i的应用系统a的连接。触发器将消息发送给日志模块，由日志模块通知人工干预。
49.第十一步，任务调度模块的执行器与数据合规检查模块建立双向连接，提交任务数据给数据合规检查模块，数据合规检查模块基于正则表达式和自然语言匹配识别技术检
查数据是否包含违规内容。若检查通过，任务调度模块的执行器进行下一步操作；若检查有不合规字段，任务调度模块的执行器将消息发送给触发器，触发器将消息发送给边界代理模块发送端a，边界代理模块发送端a将关闭与网络i的应用系统a的连接。触发器将消息发送给日志模块，由日志模块通知人工干预。
50.第十二步，任务调度模块的执行器与签名验签接口模块建立双向连接，提交任务数据给此模块进行数据散列摘要计算，对散列摘要计算结果进行数字签名，将签名散列摘要计算结果发送给任务调度模块的执行器进行下一步操作。
51.第十三步，任务调度模块的执行器将提交任务数据、签名的散列摘要计算结果打包成新的文件交由作业存储器。发送消息给触发器，触发器从作业存储器获取文件，触发器将文件交由边界代理模块发送端a，进行下一步操作。
52.第十四步，边界代理模块发送端a发送接收成功消息给网络i的应用系统a，关闭网络i的应用系统a的连接。使用边界代理模块发送端a、接收端b初始预置的对称密钥对经过解密的应用系统a的id、应用系统b的id进行加密。边界代理模块发送端a发送接收成功消息发送给日志模块。
53.第十五步，边界代理模块发送端a预先配置与网络ii连接的链路数量为2，将文件和使用上述经过对称密钥加密的应用系统a的id、应用系统b的id消息文件分别发送给通b1网络安全隔离与信息单向导入系统、b2网络安全隔离与信息单向导入系统，b1网络安全隔离与信息单向导入系统、b2网络安全隔离与信息单向导入系统将数据摆渡到边界代理模块接收端b，传输的为数据文件，进行下一步操作。边界代理模块发送端a发送接收成功消息发送给日志模块。其中边界代理模块发送端a、边界代理模块接收端b与b1网络安全隔离与信息单向导入系统、b2网络安全隔离与信息单向导入系统信任关系建立由b1网络安全隔离与信息单向导入系统、b2网络安全隔离与信息单向导入系统主动发起完成。
54.第十六步，边界代理模块接收端b预先配置与网络i的连接的链路数量为2。边界代理模块接收端b接收到边界代理模块发送端a的文件，通知任务调度模块进行处理。任务调度模块的触发器监听边界代理模块接收端b的通知消息，触发器建立一个任务，并将数据传输给任务调度模块的作业存储器。任务调度模块的触发器发送任务处理消息给任务调度模块的执行器。任务调度模块的执行器从任务调度模块的作业存储器获取数据，进行下一步操作。
55.第十七步，任务调度模块的执行器与数据智能对比模块建立双向连接。数据智能对比模块判断是否接收到边界代理模块接收端b预先配置与网络i的2份文件(含加密应用系统a的id、应用系统b的id消息)。若所收到文件数量1时，数据智能对比模块将发送链路故障消息，任务调度模块的执行器将消息发送给触发器，触发器将消息发送给边界代理模块接收端b，边界代理模块接收端b将关闭此次任务，等待人为干预；若所收到文件数量2时，对所接收到的每份数据进行数量、大小基本属性比对。若比对结果为不一致时，数据智能对比模块将发送逻辑故障消息，任务调度模块的执行器将消息发送给触发器，触发器将消息发送给边界代理模块接收端b，边界代理模块接收端b将关闭此次任务，等待人为干预；若对比结果为一致时，进行下一步操作。以上所有消息同步发送日志模块。
56.第十八步，任务调度模块的执行器与签名验签接口模块建立双向连接，发送2份文件(不含加密应用系统a的id、应用系统b的id消息)给此模块，此模块通过调用签名验签平
台b打开文件，对文件中的任务数据进行散列摘要计算，对签名的散列摘要计算结果进行解密，将计算的散列摘要与解密散列摘要进行对比是否一致，一致时，进行下一步操作。若不一致时，将反馈消息给任务调度模块的执行器，任务调度模块的执行器将消息发送给触发器，触发器将消息发送给边界代理模块接收端b，边界代理模块接收端b将关闭此次任务，等待人为干预；以上所有消息同步发送日志模块。
57.第十九步，任务调度模块的执行器与作业存储器通信，删除所有相同数据副本，仅保留一份文件，进行下一步操作。
58.第二十步，任务调度模块的执行器与数据合规检查模块建立双向连接，提交任务数据给此模块进行合规性检查(合规性规则根据具体场景进行自定义，为关键字检索和基于自然语言方法的匹配)。若检查通过，任务调度模块的执行器进行下一步操作；若检查有不合规字段，任务调度模块的执行器将消息发送给触发器，触发器将消息发送给边界代理模块接收端b，边界代理模块接收端b将关闭此次任务，等待人为干预；以上所有消息同步发送日志模块。
59.第二十一步，任务调度模块的执行器与病毒查杀模块建立双向连接，提交任务数据(含加密的应用系统a的id、应用系统b的id消息文件)给此模块进行病毒查杀，若查杀无病毒，任务调度模块的执行器进行下一步操作；若查杀有病毒，任务调度模块的执行器将消息发送给触发器，触发器将消息发送给边界代理模块接收端b，边界代理模块接收端b将关闭此次任务。以上消息同步发送日志模块。
60.第二十二步，任务调度模块的执行器与恶意行为检测模块建立双向连接，提交任务数据(含加密的应用系统a的id、应用系统b的id消息文件)给此模块进行恶意代码检查，若检测通过，任务调度模块的执行器进行下一步操作；若检测有恶意代码，任务调度模块的执行器将消息发送给触发器，触发器将消息发送给边界代理模块接收端b，边界代理模块接收端b将关闭此次任务；
61.第二十三步，任务调度模块的执行器发送消息给触发器，触发器从作业存储器获取文件，触发器将文件交由边界代理模块接收端b，进行下一步操作；
62.第二十四步，边界代理模块接收端b解密应用系统a的id、应用系统b的id消息后发送给访问控制模块，对应用系统a访问应用系统b的行为进行访问控制检查，检查是否有关联关系。边界代理模块接收端b获取访问控制模块验证消息。若消息为通过则进行下一步。若消息为未通过，边界代理模块接收端b将关闭此次任务。以上所有消息同步发送日志模块。
63.第二十五步，边界代理模块接收端b发起与网络ii的应用系统b的连接。边界代理模块接收端b通过与网络ii的应用系统b预先配置的result api/webservice接口/sftp服务接口建立数据连接通道。发送完数据，关闭连接通道。
64.为了加强对中间链路的故障检测的实时性，边界代理模块发送端a定时发送轮询消息到边界代理模块接收端b，在边界代理模块接收端b轮询时间到后，未收到边界代理模块发送端a消息，边界代理模块接收端b将形成报警通知管理员人为干预。
65.上述的签名验签平台a、签名验签平台b的信任关系建立通过将网络i的pki/ca系统信任链离线导入网络ii的pki/ca系统中实现。企业考虑成本因素，签名验签功能可使用开源ca软件搭建，信任体系建立方法一致。
66.为了保障网络i的应用系统a的源端数据的完整性，可通过调用签名验签平台a完成初始的签名，在网络ii的应用系统b进行验签。
67.为了保障网络i的应用系统a的源端数据的机密性和链路的强安全性，可通过调用网络i的pki/ca系统完成初始的加密，在网络ii的应用系统b进行解密。