发明内容
有鉴于此,本发明提供一种数据安全交换***,用以消除依赖安装有客户端软件的客户端实现网络间数据安全交换的现状,在保证数据交换安全性的前提下,实现稳定的网络间数据安全交换。
为实现上述目的,本发明提供如下技术方案:
一种数据安全交换***,包括:部署在内网和外网之间的内网数据交换模块和外网数据交换模块,所述内网数据交换模块与内网相连,所述外网数据交换模块与外网相连,所述内网数据交换模块与所述外网数据交换模块通过加密链路相连,所述内网数据交换模块包括:管理配置单元和内网数据交换单元,所述外网数据交换模块包括:外网数据交换单元;
所述管理配置单元,用于建立所述内网数据交换单元与内网数据服务器的关联配置,通过网络实现对所述内网数据服务器中指定数据的监控,及建立所述外网数据交换单元与外网数据服务器的关联配置,通过网络实现对所述外网数据服务器中指定数据的监控,建立数据交换任务,将所述内网数据服务器中被监控的数据,及所述外网数据服务器中被监控的数据绑定到所述数据交换任务中;
所述内网数据交换单元,用于主动获取内网交换数据,对所述内网交换数据进行安全检测处理,缓存通过安全检测处理后的数据,将缓存后的数据还原为所述内网交换数据,将还原后的内网交换数据摆渡给所述外网数据交换单元;及接收所述外网数据交换单元摆渡的外网交换数据,并将所述外网交换数据推送到所述内网数据服务器;
所述外网数据交换单元,用于主动获取外网交换数据,对所述外网交换数据进行安全检测处理,缓存通过安全检测处理的数据,将缓存后的数据还原为所述外网交换数据,将还原后的外网交换数据摆渡给所述内网数据交换单元;及接收所述内网数据交换单元摆渡的内网交换数据,并将所述内网交换数据推送到所述外网数据服务器。
本发明还提供一种数据安全交换方法,所述方法基于上述所述的数据安全交换***,所述方法包括步骤:
A、管理配置单元建立内网数据交换单元与内网数据服务器的关联配置,及外网数据交换单元与外网数据服务器的关联配置,建立数据交换任务;
B、所述内网数据交换单元主动获取内网交换数据,对所述内网交换数据进行安全检测处理,缓存通过安全检测处理的数据,将缓存后的数据还原为所述内网交换数据;
C、所述内网数据交换单元通过加密链路,使用私有协议传送所述还原后的内网交换数据;
D、所述外网数据交换单元接收所述还原后的内网交换数据,将所述内网交换数据推送到所述外网数据服务器。
本发明还提供一种数据安全交换方法,所述方法基于上述所述的数据安全交换***,所述方法包括步骤:
a、管理配置单元建立内网数据交换单元与内网数据服务器的关联配置,及外网数据交换单元与外网数据服务器的关联配置,建立数据交换任务;
b、所述外网数据交换单元主动获取外网交换数据,对所述外网交换数据进行安全检测处理,缓存通过安全检测处理的数据,将缓存后的数据还原为所述外网交换数据;
c、所述外网数据交换单元通过加密链路,使用私有协议传送所述还原后的外网交换数据;
d、所述内网数据交换单元接收所述还原后的外网交换数据,将所述外网交换数据推送到所述内网数据服务器。
通过以上技术方案,可以看出,本发明实施例所提供的部署在内外网络间的数据安全交换***,在客户端上传配置信息后,其本身就能够实现对交换数据的监控、发送与接收,其交换数据的监控,发送与接收独立于客户端,不再依赖于客户端软件,客户端的稳定性不再影响内外网络数据交换的稳定性;并且本发明实施例所提供的数据安全交换***采用双数据交换模块体系,对交换数据实行高强度的安全检测处理,保证了数据交换的安全性。本发明实施例所提供的数据安全交换***,在保证数据交换安全性的前提下,消除了依赖安装有客户端软件的客户端实现网络间数据安全交换的现状,实现了稳定的网络间数据安全交换。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种数据安全交换***,用以消除依赖客户端软件实现网络间数据交换的现状,在保证数据交换安全性的前提下,实现稳定有效率的网络间数据交换。
图2为本发明数据安全交换***的结构框图。如图2所示,外网与内网之间为数据安全交换***,数据安全交换***包括内网数据交换模块100与外网数据交换模块200。内网数据交换模块100与内网相连,外网数据交换模块200与外网相连,内网数据交换模块100与外网数据交换模块200之间通过加密链路,采用私有协议通信。内网数据交换模块100包括管理配置单元110和内网数据交换单元120;外网数据交换模块200包括外网数据交换单元210。
其中,管理配置单元110,用于管理配置所述数据安全交换***的数据交换任务,建立内网数据交换单元120与内网数据服务器的关联配置,通过网络实现对内网数据服务器中指定数据的监控,及建立外网数据交换单元210与外网数据服务器的关联配置,通过网络实现对外网数据服务器中指定数据的监控,所述内网或外网数据服务器包括内网或外网文件服务器及数据库服务器,通过建立数据交换任务,将所述内网数据服务器中被监控的数据,及所述外网数据服务器中被监控的数据绑定到所述数据交换任务中。所述内网或外网数据服务器中被监控的指定数据包括数据库服务器中的数据库表或文件服务器内的文件夹。
图3为本发明管理配置单元的结构框图。参照图3,管理配置单元110可以包括:
配置子单元111,用于配置所述内网数据服务器与所述外网数据服务器的配置信息,分别建立所述内网数据交换单元与所述内网数据服务器的连接,及所述外网数据交换单元与所述外网数据服务器的连接;
监控子单元112,用于通过网络对所述内网数据服务器中指定数据进行监控,及通过网络对所述外网数据服务器中指定数据进行监控;在所述内网数据服务器中的被监控数据发生变动时,通知所述内网数据交换单元,以便所述内网数据交换单元主动获取内网交换数据,及在所述外网数据服务器中的被监控数据发生变动时,通知所述外网数据交换单元,以便所述外网数据交换单元主动获取所述外网交换数据;
关联子单元113,用于建立数据交换任务,将所述内网数据服务器中被监控的数据,及所述外网数据服务器中被监控的数据绑定到所述数据交换任务中;
配置信息存储子单元114,用于存储所述数据安全交换***的配置信息,所述配置信息包括所述内网数据服务器与所述外网数据服务器的配置信息。
管理配置单元110在配置数据安全交换***的数据交换任务时,所述配置子单元111直接配置内网数据服务器与外网数据服务器的相关配置信息,该相关配置信息可以是用户上传的内外网的数据库或文件的IP地址、用户名、密码、可操作数据库表或文件夹等,从而分别建立内网数据交换单元120与内网数据服务器,外网数据交换单元210与外网数据服务器的连接;所述监控子单元112在所述配置子单元完成配置后,即可通过网络实现内网数据交换单元120和内网数据服务器的管理关系,及外网数据交换单元210与外网数据服务器的管理关系,其中管理关系包括所述监控子单元112通过内网数据交换单元120对所述内网数据服务器中指定数据的监控,及所述监控子单元112通过外网数据交换单元210对所述外网数据服务器中指定数据的监控;在建立管理关系后,所述关联子单元113通过建立数据交换任务,将外网和内网数据服务器上的资源信息统一到管理配置单元110中,将在该数据交换任务中内网数据服务器中需要监控的数据,与外网数据服务器中需要监控的数据进行绑定。
优选的,所述监控子单元112可进一步包括:触发器子单元和通知子单元;
触发器子单元,用于利用所述内网数据服务器和所述外网数据服务器中***的触发器,监测所述内网数据服务器和所述外网数据服务器中的指定数据,所述触发器在所述指定数据发生变化时,发送数据变动消息给所述通知子单元;
所述通知子单元,用于接收所述数据变动消息,在所述内网数据服务器中的被监控数据发生变动时,通知所述内网数据交换单元,以便所述内网数据交换单元主动获取内网交换数据,在所述外网数据服务器中的被监控数据发生变动时,通知所述外网数据交换单元,以便所述外网数据交换单元主动获取所述外网交换数据。
管理配置单元110在配置数据交换任务时,可通过所述触发器子单元利用数据库特性,在数据库中***触发器以监测指定的数据,一旦被监测的指定数据发生变化,触发器告知所述通知子单元相应的数据变动内容,所述数据变动内容包括内网交换数据和外网交换数据。
通过本发明的管理配置单元,可将外网数据库的某张表与内网数据库的某张表关联在一起,那么该外网数据库表中的数据变化将通过本发明的数据安全交换***自动传输到该内网数据库的表中,内网向外网传输数据原理与此一致。需要说明的是,管理配置单元110在完成相应关联配置后,内网数据交换单元120就可通过网络直接访问内网数据服务器,管理配置单元110就可通过内网数据交换单元120实现对被监控数据的实时监控;外网数据交换单元210就可通过网络直接访问外网数据服务器,管理配置单元110就可通过外网数据交换单元210实现对被监控的数据的实时监控。
数据安全交换***的所有配置信息都由内网数据交换模块100的管理配置单元110的配置信息存储子单元114进行管理,配置信息存储子单元114对配置信息进行定期验证和更新;由于外网数据交换模块200与外网相连,其安全性得不到保障,因此外网数据交换模块200不存储任何配置信息,其所需的配置信息,全由内网数据交换模块100的管理配置单元110通过加密链路实时传输;管理配置单元110存储本发明数据安全交换***的所有配置信息,保证内网数据交换模块100与外网数据交换模块200的配置信息实时交互。这样的设置确保了配置信息不被恶意篡改和泄露。
管理配置单元110管理数据安全交换***的数据交换任务包括:内网或外网交换数据传输的启动和中止、内网或外网交换数据传输的优先级调整等;管理内网数据交换单元120与外网数据交换单元210的数据交换任务。
优选的,管理配置单元110还可以包括统计分析子单元,所述统计分析子单元,用于对所述数据安全交换***的***日志进行统计分析;其中,***日志为本发明数据安全交换***,各功能单元工作过程中产生的统计性日志和信息,所述统计分析子单元采集各功能单元在数据交换中产生的日志信息,并针对性进行分析统计出成功的数据交换量、未成功的数据交换量、数据交换中止等信息。
内网数据交换单元120,用于主动获取内网交换数据,对所述内网交换数据进行安全检测处理,缓存通过安全检测处理后的数据,将缓存后的数据还原为所述内网交换数据,将还原后的内网交换数据摆渡给外网数据交换单元210;及接收外网数据交换单元210摆渡的外网交换数据,并将所述外网交换数据推送到所述内网数据服务器。
图4为本发明内网数据交换单元的结构框图。参照图4,内网数据交换单元120包括:内网接口子单元121,第一安全检测子单元122,第一缓存子单元123和第一摆渡子单元124。
内网接口子单元121,用于连接所述内网数据服务器,主动获取内网交换数据,将所述内网交换数据传送给第一安全检测子单元122;及将内网数据交换单元120接收的外网交换数据推送到所述内网数据服务器;
第一安全检测子单元122,用于对接收的内网交换数据进行安全检测处理,所述安全检测处理具体为:剥离获取的外网交换数据的TCP/IP协议,生成纯数据,对该纯数据进行细粒度格式检查、深度内容过滤和病毒查杀。其中,细粒度格式检查包括:字段长度检查、数值范围检查、布尔条件判断、身份证格式检查、大字段检查和文件格式检查,文件格式检查根据文件特征码来判断文件的真实格式。深度内容过滤包括:指定字段、全表、全文件过滤或替换、URL过滤。病毒查杀包括使用卡巴斯基杀毒引擎,对数据进行病毒查杀,可查杀Windows、Linux病毒。将通过安全检测处理的数据传送给第一缓存子单元123;
第一缓存子单元123,用于接收并缓存第一安全检测子单元122传送的数据,将缓存后的数据还原为所述内网交换数据,所述还原处理具体为:对所述缓存后数据进行TCP/IP协议封装,将还原后的内网交换数据传送给所述第一摆渡子单元124;
优选的,第一缓存子单元123还可缓存内网数据交换单元120接收的外网交换数据,并将缓存后的外网交换数据传送给内网接口子单元121;
第一摆渡子单元124,用于将所述还原后的内网交换数据,摆渡至外网数据交换单元210;及接收外网数据交换单元210摆渡的外网交换数据,并将所述外网交换数据传送给内网接口子单元121,优选的还可将所述外网交换数据先传送给第一缓存子单元123,第一缓存子单元123缓存所述外网交换数据后,再将其传送给内网接口子单元121;第一摆渡子单元124与加密链路相连,用于实现交换数据在内网数据交换模块100,和外网数据交换模块200间的传输,以及通过加密链路向外网数据交换模块200传送配置信息与指令。第一摆渡子单元124将管理配置单元110管理的配置信息,通过加密链路传送给外网数据交换模块200,实现配置信息在两者间的交互。
图5为本发明外网数据交换单元的结构框图。参照图5,外网数据交换单元210包括:外网接口子单元211,第二安全检测子单元212,第二缓存子单元213和第二摆渡子单元214。
外网接口子单元211,用于连接所述外网数据服务器,主动获取外网交换数据,将所述外网交换数据传送给第二安全检测子单元212;及将外网数据交换单元210接收的内网交换数据推送到所述外网数据服务器;
第二安全检测子单元212,用于对接收的外网交换数据进行安全检测处理,将通过安全检测处理的数据传送给第二缓存子单元213;
需要说明的是,第二安全检测子单元212对外网交换数据进行的安全检测出来与第一安全检测子单元122对内网交换数据所执行的安全检测处理相同。
第二缓存子单元213,用于接收并缓存第二安全检测子单元212传送的数据,将缓存后的数据还原为所述外网交换数据,将还原后的外网交换数据传送给第二摆渡子单元214;
优选的,第二缓存子单元213还可及缓存外网数据交换单元210接收的内网交换数据,并将缓存后的内网交换数据传送给外网接口子单元211;
需要说明的是,第二缓存子单元213所进行的还原处理与第一缓存子单元123对缓存后通过安全检测处理的内网交换数据所执行的还原处理相同。
第二摆渡子单元214,用于将所述还原后的外网交换数据,摆渡至内网数据交换单元120;及接收内网数据交换单元120摆渡的内网交换数据,并将所述内网交换数据传送给外网接口子单元211,优选的还可将所述内网交换数据先传送给第二缓存子单元213,第二缓存子单元213缓存所述内网交换数据后,再将其传送给外网接口子单元211。第二摆渡子单元214与加密链路相连,用于实现交换数据在内网数据交换模块100,和外网数据交换模块200间的传输,以及接收内网数据交换模块100的管理配置单元110通过加密链路传送的配置信息与指令。第二摆渡子单元214接收内网数据交换模块100传送的配置信息,实现配置信息在内网数据交换模块100与外网数据交换模块200间的交互,实现外网数据交换模块200的配置工作。
需要说明的是,外网数据交换模块200的外网接口子单元211,主动连接外网数据服务器、主动获取外网交换数据的配置工作是在管理配置单元110上完成的。管理配置单元110配置外网数据服务器,并将该配置信息通过加密链路传达给外网数据交换模块200,外网数据交换模块200接收配置信息后,完成配置内容,和外网数据服务器建立相关数据交换连接,实现主动获取外网交换数据、推送内网交换数据的功能;
内网接口子单元121获取内网交换数据的配置工作也是在管理配置单元110上完成的,管理配置单元110直接建立和内网数据服务器之间的连接,实现内网接口子单元121的内网交换数据获取和外网交换数据推送;
管理配置单元110通过配置外网接口子单元211与外网数据服务器的连接、内网接口子单元121与内网数据服务器的连接,完成外网数据服务资源和内网数据服务资源的关联和对接,组建一个或多个任务,最终完成内外网络间的数据交换应用;
以内网向外网传输数据库文件为例,对本发明数据安全交换***脱离客户端软件,实现内外网数据交换的原理进行说明:数据安全交换***通过管理配置单元110建立内网数据库服务器与内网数据交换模块100、外网数据库服务器与外网数据交换模块200间的关联,管理配置单元110配置完IP地址、用户名、密码等信息后,数据安全交换***就可以通过网络获得相应数据库或表的读写权限,在配置完成后,数据安全交换***利用数据库功能,在数据库中建立相应的触发器,该触发器对传输的数据库或表进行实时监控,一旦内网的数据库或表中有新的数据写入,会告知内网数据交换模块100,内网数据交换模块100前往该数据库或表进行指定内容的读取工作,随后传输给外网数据交换模块200,实现内网数据自动写入外网数据库。外网向内网传输数据库文件的原理与此相同。
本发明实施例所提供的部署在内外网络间的数据安全交换***,在客户端上传配置信息后,其本身就能够实现对交换数据的监控、发送与接收,其交换数据的监控,发送与接收独立于客户端,不再依赖于客户端软件,客户端的稳定性不再影响内外网络交换数据的稳定性;并且本发明实施例所提供的数据安全交换***采用双数据交换模块体系,对交换数据实行高强度的安全检测处理,保证了数据交换的安全性。本发明实施例所提供的数据安全交换***,在保证数据交换安全性的前提下,消除了依赖安装有客户端软件的客户端实现网络间数据安全交换的现状,实现了稳定的网络间数据交换。
图6为本发明实现内网向外网的数据交换的方法流程图。参照图6,该方法基于上述所述的数据安全交换***,该方法可以包括步骤:
S10、管理配置单元建立所述内网数据交换单元与内网数据服务器的关联配置,及所述外网数据交换单元与外网数据服务器的关联配置,建立数据交换任务;
步骤S10具体为:配置所述内网数据服务器与所述外网数据服务器的配置信息,建立所述内网数据交换单元与所述内网数据服务器的连接,通过网络实现对所述内网数据服务器中指定数据的监控,及建立所述外网数据交换单元与所述外网数据服务器的连接,通过网络实现对所述外网数据服务器中指定数据的监控,建立数据交换任务,将所述内网数据服务器中被监控的数据,及所述外网数据服务器中被监控的数据绑定到所述数据交换任务中。
S11、所述内网数据交换单元主动获取内网交换数据,对所述内网交换数据进行安全检测处理,缓存通过安全检测处理的数据,将缓存后的数据还原为所述内网交换数据;
S12、所述内网数据交换单元通过加密链路,使用私有协议传送所述还原处理后的内网交换数据;
S13、所述外网数据交换单元接收所述还原后的内网交换数据,将所述内网交换数据推送到所述外网数据服务器。
优选的,步骤S13还可以在接收所述还原后的内网交换数据后,缓存所述内网交换数据,再将缓存后的内网交换数据推送到所述外网数据服务器。
图7为本发明实现外网向内网的数据交换的方法流程图。参照图7,该方法基于上述所述的数据安全交换***,该方法可以包括步骤:
步骤S20、管理配置单元建立所述内网数据交换单元与内网数据服务器的关联配置,及所述外网数据交换单元与外网数据服务器的关联配置,建立数据交换任务;
步骤S21、所述外网数据交换单元主动获取外网交换数据,对所述外网交换数据进行安全检测处理,缓存通过安全检测处理的数据,将缓存后的数据还原为所述外网交换数据;
步骤S22、所述外网数据交换单元通过加密链路,使用私有协议传送所述还原处理后的外网交换数据;
步骤S23、所述内网数据交换单元接收所述还原后的外网交换数据,将所述外网交换数据推送到所述内网数据服务器。
优选的,步骤S23还可以在接收所述还原后的外网交换数据后,缓存所述外网交换数据,再将缓存后的外网交换数据推送到所述内网数据服务器。
图8为本发明数据安全交换方法的流程图。结合图2、图4、图5和图8所示,该方法基于管理配置单元110已建立内网数据交换单元120与内网数据服务器的关联配置,外网数据交换单元210与外网数据服务器的关联配置的基础上。
其中,进行内网数据交换时,即当内网向外网交换数据时,该流程具体包括:
步骤S100、内网接口子单元121主动获取内网交换数据,并将该内网交换数据传送给第一安全检测子单元122,第一安全检测子单元122对该内网交换数据进行安全检测处理,将通过安全检测处理的数据,传送给第一缓存子单元123;
步骤S101、第一缓存子单元123缓存通过安全检测处理的数据,对缓存后的数据还原为所述内网交换数据,并将还原后的内网交换数据通过第一摆渡子单元124和第二摆渡子单元214,传送第二缓存子单元213;
步骤S102、第二缓存子单元213缓存接收的内网交换数据,将缓存后的内网交换数据通过外网接口子单元211,推送给外网数据服务器。
进行外网数据交换时,即当外网向内网交换数据时,该流程具体包括:
步骤S200、外网接口子单元211主动获取外网交换数据,并将该外网交换数据送入第二安全检测子单元212,第二安全检测子单元212对该外网交换数据进行安全检测处理,将安全检测处理后的数据,传送给第二缓存子单元213;
步骤S201、第二缓存子单元213缓存通过安全检测处理的数据,将缓存后的数据还原为所述外网交换数据,将还原后外网交换数据通过第二摆渡子单元214、第一摆渡子单元124,传送给第一缓存子单元123;
步骤S202、第一缓存子单元123缓存接收的外网交换数据,将缓存后的外网交换数据通过内网接口子单元121,推送给内网数据服务器。
图9为本发明数据安全交换***的另一结构框图。与图2所示数据安全交换***的结构框图相比,图9所示数据安全交换***在图2所示数据安全交换***的基础上,内网数据交换模块100还包括:第一优先级单元130、第一故障隔离单元140、第一断点重传单元150和第一负载均衡单元160;外网数据交换模块200还包括:第二优先级单元220、第二故障隔离单元230、第二断点重传单元240和第二负载均衡单元250。
其中,第一优先级单元130和第二优先级单元220,用于支持对接入数据安全交换***的业务的多个优先级进行配置,保证实时性高的业务能优先传输,同时对接入的高级任务进行调度,该调度包括任务带宽调度,任务执行周期、频率调度;
第一故障隔离单元140和第二故障隔离单元230,用于对各个运行的数据交换业务进行独立启停操作,以便单个业务故障时,不影响其他业务的数据交换。当内网数据交换模块100处的业务出现故障时,第一故障隔离单元140对该业务进行独立启停操作,同时指令***自动释放该任务资源,保障其他任务正常运行;当外网数据交换模块200处的业务出现故障时,第二故障隔离单元230对该业务进行独立启停操作,同时指令***自动释放该任务资源,保障其他任务正常运行。
第一断点重传单元150和第二断点重传单元240,用于在交换数据传输意外中断的情况下,保证***恢复时交换数据进行重传或续传,不出现交换数据丢失的情况。当外网向内网交换数据时,管理配置单元110对交换数据进行统计分析处理时,如果交换数据的传输出现中断,第一断点重传单元150记录中断历史点及部分交换数据,发送指令给第二断点重传单元240,指令外网数据交换模块200重传该交换数据或续传断点数据。
第一负载均衡单元160和第二负载均衡单元250,用于在多套并行的本发明所提供的数据安全交换***之间,自动分配任务负载,在一套数据安全交换***出现故障时,通过第一负载均衡单元160和第二负载均衡单元250自动切换调度到其他的数据安全交换***。
进一步,内网数据交换模块100还可设置***日志存储单元,用于存储***日志。
进一步,内网数据交换模块100还可设置日志审计单元,用于用户操作审计、文件同步审计、***日志审计、异构日志审计和数据库同步审计。
进一步,内网数据交换模块100还可设置统计报表单元,用于为管理配置单元110统计分析处理的交换数据,提供图形化报表。
进一步,可在内网数据交换模块100与外网数据交换模块200之间部署网闸。
显然,上述所有的功能单元均由管理配置单元110进行管理,由管理配置单元110确定上述所有功能单元的启动或关闭,上述所有功能单元的信息均反馈到管理配置单元110。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。