基于集群陣列的反向隔離文件傳輸系統(tǒng)及其方法

基于集群陣列的反向隔離文件傳輸系統(tǒng)及其方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種文件傳輸系統(tǒng)，尤其涉及一種基于集群陣列的反向隔離文件傳輸 系統(tǒng)，同時還涉及一種基于集群陣列的反向隔離文件傳輸方法，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002] 如圖1所示，反向隔離設(shè)備一般部署在不同網(wǎng)絡(luò)的邊界，采用文件作為傳輸載體， 通過在隔離設(shè)備上配置相應(yīng)的傳輸規(guī)則，允許合法的數(shù)據(jù)，從網(wǎng)絡(luò)1經(jīng)過隔離設(shè)備單向傳 輸?shù)骄W(wǎng)絡(luò)2。
[0003] 反向隔離設(shè)備其內(nèi)部設(shè)置有開關(guān)裝置，通過開關(guān)切換及數(shù)據(jù)緩沖設(shè)施來進(jìn)行數(shù)據(jù) 交換。開關(guān)的切換使得在任何時刻兩個網(wǎng)絡(luò)沒有直接連通，在某個時刻網(wǎng)絡(luò)安全隔離設(shè)備 只能連接到一個網(wǎng)絡(luò)，而數(shù)據(jù)流經(jīng)網(wǎng)絡(luò)安全隔離設(shè)備時TCP/IP協(xié)議被終止，因此可以有效 地防護(hù)利用網(wǎng)絡(luò)進(jìn)行的外部攻擊。從而達(dá)到兩個不同網(wǎng)絡(luò)數(shù)據(jù)交換的目的。
[0004] 作為代理，反向隔離設(shè)備從外網(wǎng)的網(wǎng)絡(luò)訪問包中抽取出數(shù)據(jù)然后通過數(shù)據(jù)緩沖設(shè) 施轉(zhuǎn)入內(nèi)網(wǎng)，完成數(shù)據(jù)中轉(zhuǎn)。在中轉(zhuǎn)過程中，網(wǎng)絡(luò)安全隔離設(shè)備會對抽取的數(shù)據(jù)報文的IP 地址、MAC地址、端口號、連接方向?qū)嵤┻^濾控制；由于網(wǎng)絡(luò)安全隔離設(shè)備采用了獨(dú)特的開 關(guān)切換機(jī)制，因此，在進(jìn)行過濾檢查時實(shí)際上網(wǎng)絡(luò)處于斷開狀態(tài)；通過嚴(yán)格檢查只有符合安 全策略的數(shù)據(jù)才能進(jìn)入內(nèi)網(wǎng)，因此即使黑客強(qiáng)行攻擊了網(wǎng)絡(luò)安全隔離設(shè)備，由于攻擊發(fā)生 時內(nèi)外網(wǎng)處于物理斷開狀態(tài)，黑客也無法進(jìn)入內(nèi)網(wǎng)。
[0005] 在實(shí)現(xiàn)物理隔斷的同時，反向隔離設(shè)備允許可信的內(nèi)部網(wǎng)絡(luò)和不可信的外部網(wǎng)絡(luò) 之間的數(shù)據(jù)和信息進(jìn)行安全交換。由于網(wǎng)絡(luò)安全隔離設(shè)備僅抽取合法數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)，因此， 內(nèi)網(wǎng)不會受到網(wǎng)絡(luò)層的攻擊，這就在物理隔離的同時實(shí)現(xiàn)了數(shù)據(jù)的安全交換。
[0006] 隨著技術(shù)的發(fā)展，應(yīng)用面的廣泛，遇到的傳輸任務(wù)呈現(xiàn)多樣化，復(fù)雜化。單個反向 隔離設(shè)備的帶寬（大約為2M/S)已經(jīng)不滿足傳輸任務(wù)的過高的要求，常規(guī)部署方式會到達(dá) 性能瓶頸?；蛘叽l(fā)送文件數(shù)量較多時，會產(chǎn)生文件傳輸任務(wù)堆積的情況，影響文件傳輸?shù)?及時性，從而影響到等待使用該文件的其他相關(guān)應(yīng)用，影響工作效率。

【發(fā)明內(nèi)容】

[0007] 針對現(xiàn)有技術(shù)的不足，本發(fā)明所要解決的首要技術(shù)問題在于提供一種基于集群式 陣列的反向隔離文件傳輸系統(tǒng)。
[0008] 本發(fā)明所要解決的另一技術(shù)問題在于提供一種基于集群式陣列的反向隔離文件 傳輸方法。
[0009] 為實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明采用下述的技術(shù)方案：
[0010] 一種基于集群陣列的反向隔離文件傳輸系統(tǒng)，包括發(fā)送端、外網(wǎng)交換機(jī)、至少兩個 反向隔離設(shè)備、內(nèi)網(wǎng)交換機(jī)和接收端，所述反向隔離設(shè)備設(shè)置外網(wǎng)口和內(nèi)網(wǎng)口，其中，
[0011] 所述發(fā)送端設(shè)置于發(fā)送服務(wù)器上，所述接收端設(shè)置于接收服務(wù)器上，所述發(fā)送服 務(wù)器通過網(wǎng)線與所述外網(wǎng)交換機(jī)相連，所述外網(wǎng)交換機(jī)再通過網(wǎng)線與所述至少兩個反向隔 離設(shè)備相連，每一個所述反向隔離設(shè)備的內(nèi)網(wǎng)口與所述內(nèi)網(wǎng)交換機(jī)相連，所述內(nèi)網(wǎng)交換機(jī) 通過網(wǎng)線與所述接收服務(wù)器相連。
[0012] -種基于集群陣列的反向隔離文件傳輸方法，基于上述的反向隔離文件傳輸系統(tǒng) 實(shí)現(xiàn)，包括以下步驟：
[0013] (1)在所述反向隔離設(shè)備中配置通信規(guī)則，在所述發(fā)送端配置傳輸隧道，所述傳輸 隧道與所述反向隔離設(shè)備進(jìn)行協(xié)商，生成傳輸密鑰；
[0014] (2)當(dāng)所述發(fā)送端與接收端兩者建立文件傳輸通道后，所述反向隔離設(shè)備將文件 作為傳輸載體，獲取文件傳輸列表并根據(jù)選擇的傳輸鏈路進(jìn)行文件分發(fā)。
[0015] 其中較優(yōu)地，所述步驟（1)中，所述發(fā)送端內(nèi)由獨(dú)立的線程對所述隧道協(xié)商進(jìn)行 控制，且所述隧道協(xié)商過程與所述反向隔離設(shè)備交互至少2次。
[0016] 其中較優(yōu)地，所述隧道協(xié)商過程完成后，所述發(fā)送端與所述反向隔離設(shè)備之間建 立連接，形成鏈路，且一條鏈路只對應(yīng)一個反向隔離設(shè)備，所述鏈路由單獨(dú)的線程進(jìn)行維 護(hù)。
[0017] 其中較優(yōu)地，所述發(fā)送端內(nèi)設(shè)置集群陣列發(fā)送分配模塊，所述發(fā)送分配模塊根據(jù) 當(dāng)前線路是否繁忙分配傳輸任務(wù)，選擇最優(yōu)線路發(fā)送。
[0018] 其中較優(yōu)地，每個所述鏈路線程維護(hù)自己的待發(fā)送文件列表，當(dāng)發(fā)送任務(wù)線程有 新的文件需要發(fā)送時，通過比較鏈路中所述待發(fā)送列表中的文件數(shù)量，選擇鏈路待發(fā)送文 件最少的鏈路，將所述文件添加到所述鏈路的待發(fā)送文件列表中。
[0019] 其中較優(yōu)地，所述文件傳輸過程中采用動態(tài)密鑰的對稱加密，且傳輸完成后進(jìn)行 MD5值校驗(yàn)。
[0020] 其中較優(yōu)地，所述文件的分發(fā)過程如下：a.在線程啟動后，等待其他線程加載系 統(tǒng)使用的其他必須參數(shù)；b.判斷原發(fā)送路徑是否存在，若不存在線程退出，并給予界面錯 誤提示；c.獲得本地路徑下的全部文件；d.更新待發(fā)送列表；d.遍歷待發(fā)送列表，獲得待 發(fā)送文件；判斷該文件是否在正在發(fā)送列表中，若已經(jīng)在正在發(fā)送列表中，則遍歷下一個文 件，若不在正在發(fā)送列表中，將該文件添加到正在發(fā)送文件列表中；f.查找是否有可用的 空閑鏈路，若沒有空閑鏈路，則將該文件從正在發(fā)送列表中移除；若有空閑鏈路，判斷該空 閑鏈路是否真實(shí)存在于系統(tǒng)的鏈路列表中，若鏈路存在，將該文件添加到空閑鏈路的待發(fā) 送列表中，進(jìn)行排隊(duì)發(fā)送。
[0021] 其中較優(yōu)地，用戶登陸與隧道協(xié)商時，采用非對稱算法密鑰機(jī)制，在所述發(fā)送端內(nèi) 采用RSA算法生成公鑰對與私鑰對，并以標(biāo)準(zhǔn)數(shù)字證書的形式存儲在本地。
[0022] 其中較優(yōu)地，所述接收端內(nèi)設(shè)置集群陣列接收模塊，當(dāng)有報文發(fā)來時，對其進(jìn)行初 步的分析，判斷是否為某一個文件的第一幀信息；如果為第一幀信息則說明是有一個新文 件開始傳輸，啟動獨(dú)立的線程接收文件，如果不為第一幀，則將報文添加到接收該文件的線 程緩沖區(qū)中。
[0023] 本發(fā)明能夠通過軟件內(nèi)部多線程的控制，可以將一個文件傳輸任務(wù)的待發(fā)送文件 進(jìn)行分配，經(jīng)過多個隔離設(shè)備發(fā)送到接收端，從而大大提高傳輸效率；采用動態(tài)密鑰（每次 與設(shè)備協(xié)商，都會對密鑰進(jìn)行更換）的機(jī)制，保證文件安全傳輸，并且傳輸密鑰無法通過截 取傳輸報文進(jìn)行破解；采用MD5值校驗(yàn)，失敗重傳機(jī)制保證文件完整、順利的傳輸?shù)浇邮?端，并且傳輸過程中沒有被篡改。
【附圖說明】
[0024] 圖1是反向隔離設(shè)備的常規(guī)部署方式示意圖；
[0025]圖2是本發(fā)明所提供的反向隔離文件傳輸系統(tǒng)結(jié)構(gòu)圖；
[0026] 圖3是本發(fā)明的實(shí)施例中，隧道協(xié)商流程的示意圖；
[0027] 圖4是本發(fā)明的實(shí)施例中，獲取文件流程的示意圖；
[0028] 圖5是本發(fā)明的實(shí)施例中，文件分發(fā)流程的示意圖；
[0029] 圖6是本發(fā)明的實(shí)施例中，鏈路工作原理的示意圖；
[0030]圖7是本發(fā)明的實(shí)施例中，文件多線程接收原理的示意圖；
[0031] 圖8是本發(fā)明的實(shí)施例中，反向隔離文件傳輸系統(tǒng)結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0032] 下面結(jié)合附圖和具體實(shí)施例對本發(fā)明的技術(shù)內(nèi)容做進(jìn)一步的詳細(xì)說明。
[0033] 在對傳輸任務(wù)速率有過高的要求時，單個反向隔離設(shè)備的常規(guī)部署方式會到達(dá)性 能瓶頸，因此本發(fā)明采用集群陣列式反向隔離傳輸方案。本發(fā)明公開了一種基于集群陣列 的反向隔離文件傳輸系統(tǒng)，包括發(fā)送端、接收端和至少兩個反向隔離設(shè)備。根據(jù)反向隔離設(shè) 備的特性，一般部署在不同網(wǎng)絡(luò)的邊界，從而達(dá)到兩個不同網(wǎng)絡(luò)數(shù)據(jù)交換的目的。
[0034] 如圖2所示，本發(fā)明所提供的反向隔離文件傳輸系統(tǒng)結(jié)構(gòu)圖：發(fā)送端設(shè)置于服務(wù) 器上，通過該服務(wù)器與外網(wǎng)交換機(jī)相連，外網(wǎng)交換機(jī)再引出若干根網(wǎng)線與若干個隔離設(shè)備 的外網(wǎng)口相連。每個隔離設(shè)備的內(nèi)網(wǎng)口與內(nèi)網(wǎng)交換機(jī)相連，內(nèi)網(wǎng)交換機(jī)再引出一根網(wǎng)線與 接收服務(wù)器相連。從而使發(fā)送端、接收端能夠通過交換機(jī)與多臺隔離設(shè)備相連，提供實(shí)現(xiàn)多 臺隔離同時傳輸?shù)挠布W(wǎng)絡(luò)環(huán)境。
[0035]系統(tǒng)在發(fā)送端內(nèi)設(shè)置集群陣列發(fā)送分配模塊，在接收端內(nèi)設(shè)置集群陣列接收模 塊。首先，系統(tǒng)在反向隔離設(shè)備中配置通信規(guī)則，然后在發(fā)送端配置傳輸隧道，該傳輸隧道 與反向隔離設(shè)備進(jìn)行協(xié)商，生成傳輸密鑰。當(dāng)發(fā)送端與接收端兩者建立文件傳輸通道后， 反向隔離設(shè)備將文件作為傳輸載體，獲取文件傳輸列表并根據(jù)選擇的傳輸鏈路進(jìn)行文件分 發(fā)，即反向隔離設(shè)備一方面循環(huán)遍歷文件夾，查找是否存在符合規(guī)范的待發(fā)送文件，獲得待 發(fā)送列表，另一方面根據(jù)檢查所選擇配置的鏈路的狀態(tài)，選擇較優(yōu)線路發(fā)送文件，進(jìn)行文件 分配。
[0036] 發(fā)送端與反向隔離設(shè)備之間建立連接，形成鏈路，標(biāo)志發(fā)送端與接收端之間建立 關(guān)系，一條鏈路需要有一條隧道，并對應(yīng)一個反向隔離設(shè)備，其中，隧道協(xié)商成功后才可以 形成鏈路。集群陣列發(fā)送分配模塊中，鏈路由單獨(dú)的線程進(jìn)行維護(hù)，其功能類似文件傳輸通 道。發(fā)送端傳輸任務(wù)能夠根據(jù)當(dāng)前鏈路是否繁忙對傳輸任務(wù)進(jìn)行分配，選擇最優(yōu)線路進(jìn)行 發(fā)送，通過獨(dú)立的線程控制不同的鏈路，每個鏈路線程維護(hù)自己的待發(fā)送文件列表，當(dāng)發(fā)送 任務(wù)線程有新的文件需要發(fā)送時，可以通過比較鏈路待發(fā)送列表中的文件數(shù)量，擇優(yōu)選擇 鏈路待發(fā)送文件最少的鏈路，將文件添加到該鏈路的待發(fā)送文件列表中。當(dāng)所有鏈路待發(fā) 送文件列表中文件數(shù)量都達(dá)到5個（可配置）時，認(rèn)為全部鏈路均處于繁忙狀態(tài)，則暫時不