一种基于多级跨网隔离的涉密数据交换方法和系统技术方案

本发明专利技术属于网络服务安全技术领域，提供一种基于多级跨网隔离的涉密数据交换方法和系统，解决跨网涉密数据交换的技术问题。该方法包括：调用指挥网端的跨网交换软件的数据交换服务，将包含涉密数据的运输任务跨网传输到业务网端的跨网交换软件，业务网端的综合信息服务平台调用跨网交换软件的多种SDK接口接收运输任务；业务网端的综合信息服务平台将接收到的运输任务分发给业务网端的发货方、收货方和内部运输方，通过伪码转换和跨网交换软件将部分运输任务发送给外部运输方，使得所述发货方、收货方提前做好物资发货、收货准备，内部运输方、外部运输方联系发货方、收货方并执行运输任务。本发明专利技术能建立安全隔离网墙，有效提升数据交互的安全性。数据交互的安全性。数据交互的安全性。

【技术实现步骤摘要】
一种基于多级跨网隔离的涉密数据交换方法和系统


[0001]本专利技术属于网络服务安全
，具体涉及一种基于多级跨网隔离的涉密数据交换方法和系统。

技术介绍

[0002]目前，根据国家安全保密管理要求，为了杜绝基于网络连接的信息和数据泄密事件的发生，相关单位都组建了内部专用网络，业务系统和办公环境都在专用网络中运行，并且根据实际业务工作的需要，有的单位还建立多个不同密级的专用网络。然而，网络环境的物理隔离，为不同网络间必要的信息和数据传输增加了诸多不便。
[0003]随着网络信息开放化程度不断的提高，各部门业务协同、数据交互共享需求不断地增加，在不同密级的涉密网络之间、涉密网络与互联网之间，进行数据交换的需求日益突出。特别是涉密网络的业务数据常常需要外部网络的业务数据支撑。
[0004]目前，大多方案只是内网和外网之间数据包、文件传递为主，没有隔离网闸、数据包与文件转换等的多级的一体化解决方案。此外，现有的跨网信息交换方法中，因隔离技术有限导致系统的整体可靠性低，且效率不高。
[0005]因此，有必要提供一种改进了的涉密数据交换方法，以解决上述技术问题或者至少部分技术问题。

技术实现思路

[0006](一)要解决的技术问题
[0007]本专利技术旨在解决现有不同涉密网络之间以及涉密网络和外部网络之间的物理隔离信息交互方法资源损耗大、系统整体可靠性低，且效率不高，不同网络间必要的信息和数据传输因网络环境的物理隔离降低了交互便利性，甚至还存在网络连接的信息和数据泄密的严重事件等的技术问题。
[0008](二)技术方案
[0009]为解决上述技术问题，本专利技术的一方面提出一种基于多级跨网隔离的涉密数据交换方法，用于在不同密级的指挥网、业务网和互联网之间实现数据交换服务，包括以下步骤：通过调用指挥网端的跨网交换软件所提供的数据交换服务，将包含涉密数据的运输任务跨网传输到业务网端的跨网交换软件，其中，所述数据交换服务包括调用跨网交换软件所提供的多种SDK接口，并利用隔离网闸设备单向通道进行跨网数据交换服务；通过业务网端的综合信息服务平台调用跨网交换软件所提供的多种SDK接口接收运输任务；所述业务网端的综合信息服务平台将接收到的运输任务分发给业务网端的发货方、收货方和内部运输方，以使得所述发货方、收货方提前做好物资发货、收货准备，内部运输方联系发货方、收货方并执行所述运输任务；或者在所述业务网端向所述互联网端跨网传输所述运输任务时，利用非对称加密方法对所接收的运输任务进行伪码加密处理，通过业务网端的跨网交换软件所提供的数据交换服务将经伪码加密处理后的运输任务跨网传输到互联网端的跨
网交换软件，并经所述互联网端的跨网交换软件发送给互联网端的综合信息服务平台以向各外部运输方进行分发，以使得各外部运输方联系发货方、收货方并执行所述运输任务。
[0010]根据本专利技术的可选实施方式，所述通过调用指挥网端的跨网交换软件所提供的数据交换服务，将包含涉密数据的运输任务跨网传输到业务网端的跨网交换软件，包括：指挥网端的用户通过调用跨网交换软件所提供的多种SDK接口中任一SDK接口，将运输任务转换成文件，并利用网闸单向通道将所转换的文件跨网传输到业务网端的跨网交换软件，以实现数据交换服务；其中，所述多种SDK接口包括可提供web服务的第一SDK接口和可提供数据库服务的第二SDK接口；所述指挥网端的密级高于所述业务网端的密级，所述互联网端为非保密或可公开的一端。
[0011]根据本专利技术的可选实施方式，利用所述指挥网端的跨网交换软件将所述运输任务的涉密数据分割转换成多个文件后通过一个或多个网闸隔离设备单向通道进行跨网传输，并利用所述业务网端的跨网交换软件将接收到的文件按顺序合并校验后再转为数据包以提供或实现所述数据交换服务；利用所述业务网端的跨网交换软件将经脱敏处理、伪码加密处理后的运输任务分割转换成多个文件后通过一个或多个网闸隔离设备单向通道进行跨网传输，并利用所述互联网端的跨网交换软件将接收到的文件按顺序合并校验后再转为数据包以提供或实现所述数据交换服务。
[0012]根据本专利技术的可选实施方式，在接收到所转换的文件时，自动调用业务网端的跨网交换软件所提供的SDK接口，将所转换的文件转换成数据包后发送到所述业务网端的综合信息服务平台；所述业务网端的综合信息服务平台将所接收到的数据包分发给业务网端的发货方、收货方和内部运输方；或者，所述业务网端的综合信息服务平台通过调用互联网端的跨网交换软件所提供的SDK接口，将所接收到的数据包转换成文件后跨网传输到所述互联网端的综合信息服务平台，再由所述互联网端的综合信息服务平台向各外部运输方进行分发。
[0013]根据本专利技术的可选实施方式，利用公私密钥非对称加密方法对所接收的运输任务进行伪码加密处理，生成密文信息，并生成签名信息，以使用所述密文信息和所生成的签名信息形成伪码信息；在进行伪码加密处理之前，对所接收的运输任务进行脱敏处理。
[0014]根据本专利技术的可选实施方式，将经伪码加密处理后的运输任务向互联网端的各外部运输方进行分发之前，对各外部运输方进行身份合法性验证，进一步对通过身份合法性验证的各外部运输方进行第一合法性验证，以允许通过第一合法性验证的各外部运输方执行所述运输任务来为所述指挥网端的用户提供服务，所述运输任务包括待脱敏数据、单向数据、公开数据。
[0015]根据本专利技术的可选实施方式，在内部运输方或各外部运输方接收到所述运输任务时，同时接收与物资发货方和物资收货方对接的对接标识以用于第一合法性验证和第二合法性验证；在所述内部运输方或各外部运输方与所述发货方进行对接时，进行第一合法性验证以用于判断所述内部运输方或各外部运输方向所述指挥网端的用户提供运输服务的合法性。
[0016]根据本专利技术的可选实施方式，根据所形成的伪码信息，先验证所述伪码信息中的签名信息以验证所述外部运输方的身份是否合法；在验证结果为身份合法的情况下，利用各外部运输方自身私钥对所述伪码信息进行解密，得到解密后的物流信息，并得到与物资
发货方和物资收货方对接的对接标识；进一步对通过身份合法性验证的各外部运输方进行第一合法性验证。
[0017]根据本专利技术的可选实施方式，在接收到所述运输任务之后，所述发货方、所述收货方、内部运输方以及各外部运输方均向所述指挥网端的综合信息服务平台逐级跨网发送与所述运输任务相关的物流状态信息；在从所述指挥网端向所述业务网端进行跨网传输时，对要跨网传输的数据内容进行安全检测，以识别病毒或恶性代码，并判断是否进行脱敏处理；在从所述业务网端向所述互联网端进行跨网传输时，对要跨网传输的数据内容进行安全检测，以识别病毒或恶性代码，并判断是否进行脱敏处理。
[0018]本专利技术第二方面提出一种基于跨网隔离的涉密数据交换系统，其执行本专利技术第一方面所述的涉密数据交换方法，包括：指挥网端处理模块，通过调用指挥网端的跨网交换软件所提供的数据交换服务，将包含涉密数据的运输任务跨网传输到业务网端的跨网交换软件，其中，所述数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于多级跨网隔离的涉密数据交换方法，其特征在于，用于在不同密级的指挥网、业务网和互联网之间实现数据交换服务，包括以下步骤：通过调用指挥网端的跨网交换软件所提供的数据交换服务，将包含涉密数据的运输任务跨网传输到业务网端的跨网交换软件，其中，所述数据交换服务包括调用跨网交换软件所提供的多种SDK接口，并利用隔离网闸设备单向通道进行跨网数据交换服务；通过业务网端的综合信息服务平台调用跨网交换软件所提供的多种SDK接口接收运输任务；所述业务网端的综合信息服务平台将接收到的运输任务分发给业务网端的发货方、收货方和内部运输方，以使得所述发货方、收货方提前做好物资发货、收货准备，内部运输方联系发货方、收货方并执行所述运输任务；或者在所述业务网端向互联网端跨网传输所述运输任务时，利用非对称加密方法对所接收的运输任务进行伪码加密处理，通过业务网端的跨网交换软件所提供的数据交换服务将经伪码加密处理后的运输任务跨网传输到互联网端的跨网交换软件，并经所述互联网端的跨网交换软件发送给互联网端的综合信息服务平台以向各外部运输方进行分发，以使得各外部运输方联系发货方、收货方并执行所述运输任务。2.根据权利要求1所述的涉密数据交换方法，其特征在于，所述通过调用指挥网端的跨网交换软件所提供的数据交换服务，将包含涉密数据的运输任务跨网传输到业务网端的跨网交换软件，包括：指挥网端的用户通过调用跨网交换软件所提供的多种SDK接口中任一SDK接口，将运输任务转换成文件，并利用网闸单向通道将所转换的文件跨网传输到业务网端的跨网交换软件，以实现数据交换服务；其中，所述多种SDK接口包括可提供web服务的第一SDK接口和可提供数据库服务的第二SDK接口；所述指挥网端的密级高于所述业务网端的密级，所述互联网端为非保密或可公开的一端。3.根据权利要求2所述的涉密数据交换方法，其特征在于，利用所述指挥网端的跨网交换软件将所述运输任务的涉密数据分割转换成多个文件后通过一个或多个网闸隔离设备单向通道进行跨网传输，并利用所述业务网端的跨网交换软件将接收到的文件按顺序合并校验后再转为数据包以提供或实现所述数据交换服务；利用所述业务网端的跨网交换软件将经脱敏处理、伪码加密处理后的运输任务分割转换成多个文件后通过一个或多个网闸隔离设备单向通道进行跨网传输，并利用所述互联网端的跨网交换软件将接收到的文件按顺序合并校验后再转为数据包以提供或实现所述数据交换服务。4.根据权利要求2所述的涉密数据交换方法，其特征在于，在接收到所转换的文件时，自动调用业务网端的跨网交换软件所提供的SDK接口，将所转换的文件转换成数据包后发送到所述业务网端的综合信息服务平台；所述业务网端的综合信息服务平台将所接收到的数据包分发给业务网端的发货方、收货方和内部运输方；或者，所述业务网端的综合信息服务平台通过调用互联网端的跨网交换软件所提供的SDK接口，将所接收到的数据包转换成文件后跨网传输到所述互联网端的
综合信息服务平台，再由所述互联网端的综合信息服务平台向各外部运输方进行分发。5.根据权利要求1或2所述的涉密数据交换方法，其特征在于，利用公私密钥非对称加密...

【专利技术属性】
技术研发人员：初宁，郑重，卢振军，杨军，王宏林，
申请(专利权)人：中央军委后勤保障部信息中心，
类型：发明
国别省市：