本技術涉及數(shù)據(jù)通信����,具體而言�,涉及一種基于隔離協(xié)議的數(shù)據(jù)傳輸方法�����、電子設備��、存儲介質(zhì)及程序產(chǎn)品�。
背景技術:
1�����、在網(wǎng)絡安全領域�,安全數(shù)據(jù)交換系統(tǒng)(也稱為隔離交換系統(tǒng))已成為保護敏感數(shù)據(jù)和關鍵基礎設施的重要技術手段。這類系統(tǒng)通常部署在不同安全等級的網(wǎng)絡邊界���,如等保二級與三級安全域之間,通過物理隔離和邏輯控制相結合的方式實現(xiàn)數(shù)據(jù)的安全交換���。傳統(tǒng)的安全數(shù)據(jù)交換系統(tǒng)采用代理功能作為核心組件����,負責在不同網(wǎng)絡域間轉(zhuǎn)發(fā)和過濾數(shù)據(jù)����。
2�、然而現(xiàn)有技術中�,代理服務器在安全數(shù)據(jù)交換系統(tǒng)中的實現(xiàn)方式通常涉及建立多條連接來維持數(shù)據(jù)傳輸通道。這種設計雖然能夠滿足基本的安全隔離需求����,但在實際應用中或多或少會暴露出一些問題:一是tcp連接需要經(jīng)歷三次握手過程,在頻繁的數(shù)據(jù)交換場景下��,這種重復的連接建立過程會引入顯著的延遲�;二是每條活躍的連接都會占用文件描述符、內(nèi)存和cpu資源�;三是在多連接的情況,特別是含有子連接的協(xié)議下�����,由于tcp三次握手有先后順序�,前后置機的連接狀態(tài)未同步,可能出現(xiàn)功能上的適配問題���,這使得安全數(shù)據(jù)交換系統(tǒng)在保證數(shù)據(jù)安全的前提下�����,仍面臨如何在物理隔離前提下優(yōu)化性能以及多種協(xié)議適配的挑戰(zhàn)��。
3����、基于前后置機在進行三次握手的過程中,需要在前置機先進行三次握手����,然后在后置機再進行三次握手操作,但是�,由于前后置機,以及前后置連接的客戶端設備和服務器設備之間的網(wǎng)絡環(huán)境是未知的���,因此�����,可能一端子連接剛發(fā)出第一次握手并同步到另一端時�,另一端因為網(wǎng)絡環(huán)境較此端好些�,會很快完成三次握手�����,但是此端同一時刻還處于三次握手建立時的狀態(tài)���。若此時另一端父連接繼續(xù)發(fā)出命令��,而該指令依賴子連接完成建立����,那么此端收到時可能因子連接還未完全建立而將其丟棄,最終導致業(yè)務無法繼續(xù)執(zhí)行下去�����。因此��,如何能夠?qū)崟r建立前后置機的連接����,實時傳輸數(shù)據(jù),避免影響其他業(yè)務執(zhí)行�,是目前急需解決的問題。
技術實現(xiàn)思路
1����、本技術的一些實施例的目的在于提供一種基于隔離協(xié)議的數(shù)據(jù)傳輸方法、電子設備��、存儲介質(zhì)及程序產(chǎn)品�,通過本技術的實施例的技術方案��,通過第一隔離服務器接收客戶端設備發(fā)送第一連接請求��,其中�,所述第一連接請求至少包括:策略標識��、tcp標志位標識和會話標識��;第一隔離服務器對所述第一連接請求進行轉(zhuǎn)換��,得到第二連接請求�����,并向所述第二隔離服務器發(fā)送所述第二連接請求�����,以使所述第二隔離服務器向服務器設備發(fā)送所述第二連接請求��;第一隔離服務器接收所述服務器設備返回的第一響應指令��,并向所述客戶端設備發(fā)送所述第一響應指令�,其中��,所述第一響應指令是所述服務器設備通過所述第二隔離服務器發(fā)送的;第一隔離服務器接收所述客戶端設備發(fā)送的第三連接請求�����,向所述第二隔離服務器發(fā)送第三連接請求���,以使所述第二隔離服務器向服務器設備發(fā)送所述第三連接請求�。本技術實施例在進行三次握手的過程中����,在每一個回路中,都經(jīng)過客戶端設備��、第一隔離服務器����、第二隔離服務器和服務器設備,這樣�����,就避免由于網(wǎng)絡問題出現(xiàn)無法連接的問題�,解決前后置機之間傳輸數(shù)據(jù)依賴過多的tcp連接占用大量資源,且受ip地址和端口限制的問題。
2����、第一方面,本技術的一些實施例提供了一種基于隔離協(xié)議的數(shù)據(jù)傳輸方法����,應用于隔離設備,其中��,所述隔離設備至少包括第一隔離服務器和第二隔離服務器����,所述第一隔離服務器和所述第二隔離服務器通過隔離協(xié)議相連,包括:第一隔離服務器接收客戶端設備發(fā)送第一連接請求����,其中,所述第一連接請求至少包括:策略標識��、tcp標志位標識和會話標識�;
3、第一隔離服務器對所述第一連接請求進行轉(zhuǎn)換�����,得到第二連接請求,并向所述第二隔離服務器發(fā)送所述第二連接請求�,以使所述第二隔離服務器向服務器設備發(fā)送所述第二連接請求;
4����、第一隔離服務器接收所述服務器設備返回的第一響應指令����,并向所述客戶端設備發(fā)送所述第一響應指令,其中���,所述第一響應指令是所述服務器設備通過所述第二隔離服務器發(fā)送的�;
5��、第一隔離服務器接收所述客戶端設備發(fā)送的第三連接請求����,向所述第二隔離服務器發(fā)送第三連接請求,以使所述第二隔離服務器向服務器設備發(fā)送所述第三連接請求�����。
6�、本技術的一些實施例通過在進行三次握手的過程中,在每一個回路中,都經(jīng)過客戶端設備����、第一隔離服務器、第二隔離服務器和服務器設備�,這樣,就避免由于網(wǎng)絡問題出現(xiàn)無法連接的問題�,解決前后置機之間傳輸數(shù)據(jù)依賴過多的tcp連接占用大量資源,且受ip地址和端口限制的問題���。
7����、可選地����,所述方法還包括:
8、所述第一隔離服務器對所述第一連接請求進行解析��,獲取所述第一連接請求中的tcp標志位標識���;
9���、根據(jù)所述tcp標志位標識�,判斷對所述第一連接請求是否進行放行�。
10、本技術的一些實施例通過對連接請求中tcp標志位標識進行判斷����,對于tcp的握手、揮手以及不帶載荷的操作���,前置機直接做放行動作。其余請求(帶載荷的tcp和udp請求)會根據(jù)代理策略所引用的安全防護策略對請求報文做放行或阻斷的操作��。
11�、可選地,所述第一隔離服務器對所述第一連接請求進行轉(zhuǎn)換�����,得到第二連接請求��,包括:
12�����、所述第一隔離服務器對所述第一連接請求中的數(shù)據(jù)鏈路層頭部���、網(wǎng)絡層頭部和傳輸層頭部的數(shù)據(jù)進行剝離�,得到應用層數(shù)據(jù);
13�、對所述應用層數(shù)據(jù)進行加密處理,得到加密數(shù)據(jù)��;
14�����、對所述加密數(shù)據(jù)��、tcp標志位標識���、所述策略標識��、所述會話標識和極計數(shù)值進行封裝�,得到所述第二連接請求�����。
15���、本技術的一些實施例向?qū)Φ谝贿B接請求中的不同網(wǎng)絡層的數(shù)據(jù)進行b剝離����,得到應用層數(shù)據(jù),并對應用層數(shù)據(jù)進行加密���,得到加密數(shù)據(jù)���,對所述加密數(shù)據(jù)、tcp標志位標識���、所述策略標識�、所述會話標識和極計數(shù)值進行封裝�,得到所述第二連接請求�����,使得在大多數(shù)cpu架構上內(nèi)存地址能夠?qū)R�����,從而提升賦值和加解密操作的性能��。
16��、可選地,所述會話標識是通過對五元組進行字符拼接���,得到拼接后字符�,采用雪花算法對所述拼接后字符進行哈希運算����,得到哈希結果,并對所述哈希結果進行取模運算得到的��。
17�、本技術的一些實施例,會話uuid標識了該請求的唯一性���,在服務端回復從后置機過來時���,前置機可根據(jù)該值找到對應客戶端的地址和端口進行回復。將五元組作為字符拼接后進行crc32哈希����,然后再對結果取模1024可得到10位數(shù),將其作為雪花算法的機器id�����,可計算得到唯一值,保證會話傳輸?shù)陌踩浴?/p>
18����、可選地,所述計數(shù)值是在發(fā)送首個第一連接請求的時候生成隨機數(shù)���,且隨著每個第一連接請求的發(fā)送進行單調(diào)遞增����。
19����、可選地,所述策略標識用于標識第一隔離服務器接收所述第一連接請求對應的策略信息�,所述第一隔離服務器向第二隔離服務器發(fā)送所述策略標識��,以使所述第二隔離服務器根據(jù)所述策略標識�,確定與所述策略標識對應的策略信息。
20���、可選地�����,所述第二隔離服務器采用預設大小的滑動窗口和位掩碼�,對所述第二連接請求進行處理,在接收所述第二連接請求后���,判斷所述第二連接請求中的計算值是否在所述滑動窗口的范圍內(nèi)����,根據(jù)判斷結果來確定是否接收所述第二連接請求�����。
21����、本技術的一些實施例中計數(shù)器在發(fā)送第一條報文的時候生成隨機數(shù),且隨著每條報文的發(fā)送進行單調(diào)遞增��。第二隔離服務器會有一個固定大?�。ǜ鶕?jù)業(yè)務需求確定具體大?�。┑幕瑒哟翱诤臀谎诖a來處理接收報文�����。
22、可選地��,所述第二隔離服務器向服務器設備發(fā)送所述第二連接請求�,包括:
23、所述第二隔離服務器對所述第二連接請求進行解析��,得到所述第二連接請求中的策略標識和所述會話標識�����;
24���、根據(jù)預設通信協(xié)議���,對所述策略標識和會話標識進行封裝,得到重組的連接請求����。
25、可選地�����,所述方法還包括:
26���、在所述第一隔離服務器和所述第二隔離服務器通過三次握手連接乘車后�����,所述第一隔離服務器接收所述客戶端設備發(fā)送的載荷數(shù)據(jù)��;
27����、向所述第二隔離服務器發(fā)送所述載荷數(shù)據(jù)�,以使所述第二隔離服務器向所述服務器設備發(fā)送所述載荷數(shù)據(jù);
28���、接收所述服務器設備返回的第二響應指令��,并向所述客戶端設備發(fā)送所述第二響應指令�����,其中�����,所述第二響應指令是所述服務器設備通過所述第二隔離服務器發(fā)送的�����。
29���、本技術的一些實施例同步客戶端到前置機�,后置機到服務端的三次握手順序�����,以適配部分帶子連接的協(xié)議����,解決由于前后握手時機可能不一致導致的子連接異常問題。
30�����、第二方面�,本技術的一些實施例提供了一種基于隔離協(xié)議的數(shù)據(jù)傳輸裝置,應用于隔離設備���,其中���,所述隔離設備至少包括第一隔離服務器和第二隔離服務器,所述第一隔離服務器和所述第二隔離服務器通過隔離協(xié)議相連�,包括:
31、第一接收模塊���,用于接收客戶端設備發(fā)送第一連接請求�,其中��,所述第一連接請求至少包括:策略標識�����、tcp標志位標識和會話標識����;
32、轉(zhuǎn)換模塊�,用于對所述第一連接請求進行轉(zhuǎn)換,得到第二連接請求�,并向所述第二隔離服務器發(fā)送所述第二連接請求,以使所述第二隔離服務器向服務器設備發(fā)送所述第二連接請求�;
33、響應模塊����,用于接收所述服務器設備返回的第一響應指令����,并向所述客戶端設備發(fā)送所述第一響應指令����,其中,所述第一響應指令是所述服務器設備通過所述第二隔離服務器發(fā)送的��;
34����、第二接收模塊,用于接收所述客戶端設備發(fā)送的第三連接請求�����,向所述第二隔離服務器發(fā)送第三連接請求����,以使所述第二隔離服務器向服務器設備發(fā)送所述第三連接請求。
35����、本技術的一些實施例通過在進行三次握手的過程中����,在每一個回路中��,都經(jīng)過客戶端設備��、第一隔離服務器�����、第二隔離服務器和服務器設備�����,這樣���,就避免由于網(wǎng)絡問題出現(xiàn)無法連接的問題,解決前后置機之間傳輸數(shù)據(jù)依賴過多的tcp連接占用大量資源��,且受ip地址和端口限制的問題��。
36���、可選地�,所述第一接收模塊,用于:
37�、所述第一隔離服務器對所述第一連接請求進行解析,獲取所述第一連接請求中的tcp標志位標識�;
38、根據(jù)所述tcp標志位標識���,判斷對所述第一連接請求是否進行放行���。
39、本技術的一些實施例通過對連接請求中tcp標志位標識進行判斷��,對于tcp的握手��、揮手以及不帶載荷的操作��,前置機直接做放行動作�。其余請求(帶載荷的tcp和udp請求)會根據(jù)代理策略所引用的安全防護策略對請求報文做放行或阻斷的操作。
40�����、可選地�����,所述轉(zhuǎn)換模塊,用于:
41��、所述第一隔離服務器對所述第一連接請求中的數(shù)據(jù)鏈路層頭部����、網(wǎng)絡層頭部和傳輸層頭部的數(shù)據(jù)進行剝離,得到應用層數(shù)據(jù)�����;
42�、對所述應用層數(shù)據(jù)進行加密處理��,得到加密數(shù)據(jù)�;
43、對所述加密數(shù)據(jù)����、tcp標志位標識、所述策略標識�����、所述會話標識和極計數(shù)值進行封裝���,得到所述第二連接請求�����。
44�����、本技術的一些實施例向?qū)Φ谝贿B接請求中的不同網(wǎng)絡層的數(shù)據(jù)進行b剝離����,得到應用層數(shù)據(jù),并對應用層數(shù)據(jù)進行加密��,得到加密數(shù)據(jù)�����,對所述加密數(shù)據(jù)�、tcp標志位標識、所述策略標識���、所述會話標識和極計數(shù)值進行封裝��,得到所述第二連接請求�,使得在大多數(shù)cpu架構上內(nèi)存地址能夠?qū)R,從而提升賦值和加解密操作的性能�。
45、可選地���,所述會話標識是通過對五元組進行字符拼接�����,得到拼接后字符�,采用雪花算法對所述拼接后字符進行哈希運算�����,得到哈希結果��,并對所述哈希結果進行取模運算得到的��。
46����、本技術的一些實施例�,會話uuid標識了該請求的唯一性,在服務端回復從后置機過來時,前置機可根據(jù)該值找到對應客戶端的地址和端口進行回復�����。將五元組作為字符拼接后進行crc32哈希����,然后再對結果取模1024可得到10位數(shù),將其作為雪花算法的機器id�,可計算得到唯一值,保證會話傳輸?shù)陌踩浴?/p>
47�、可選地,所述計數(shù)值是在發(fā)送首個第一連接請求的時候生成隨機數(shù)�����,且隨著每個第一連接請求的發(fā)送進行單調(diào)遞增�����。
48�、可選地,所述第二隔離服務器采用預設大小的滑動窗口和位掩碼�����,對所述第二連接請求進行處理,在接收所述第二連接請求后���,判斷所述第二連接請求中的計算值是否在所述滑動窗口的范圍內(nèi)����,根據(jù)判斷結果來確定是否接收所述第二連接請求����。
49、本技術的一些實施例中計數(shù)器在發(fā)送第一條報文的時候生成隨機數(shù)�,且隨著每條報文的發(fā)送進行單調(diào)遞增。第二隔離服務器會有一個固定大?����。ǜ鶕?jù)業(yè)務需求確定具體大?��。┑幕瑒哟翱诤臀谎诖a來處理接收報文。
50����、可選地,所述第二接收模塊�,用于:
51����、在所述第一隔離服務器和所述第二隔離服務器通過三次握手連接乘車后����,所述第一隔離服務器接收所述客戶端設備發(fā)送的載荷數(shù)據(jù);
52���、向所述第二隔離服務器發(fā)送所述載荷數(shù)據(jù)���,以使所述第二隔離服務器向所述服務器設備發(fā)送所述載荷數(shù)據(jù);
53��、接收所述服務器設備返回的第二響應指令�,并向所述客戶端設備發(fā)送所述第二響應指令,其中�����,所述第二響應指令是所述服務器設備通過所述第二隔離服務器發(fā)送的�����。
54���、本技術的一些實施例同步客戶端到前置機��,后置機到服務端的三次握手順序��,以適配部分帶子連接的協(xié)議��,解決由于前后握手時機可能不一致導致的子連接異常問題�。
55、第三方面����,本技術的一些實施例提供一種電子設備,包括存儲器����、處理器以及存儲在所述存儲器上并可在所述處理器上運行的計算機程序,其中��,所述處理器執(zhí)行所述程序時可實現(xiàn)如第一方面任一實施例所述的基于隔離協(xié)議的數(shù)據(jù)傳輸方法��。
56����、第四方面����,本技術的一些實施例提供一種計算機可讀存儲介質(zhì)���,其上存儲有計算機程序,所述程序被處理器執(zhí)行時可實現(xiàn)如第一方面任一實施例所述的基于隔離協(xié)議的數(shù)據(jù)傳輸方法����。
57、第五方面�����,本技術的一些實施例提供一種計算機程序產(chǎn)品���,所述的計算機程序產(chǎn)品包括計算機程序����,其中�,所述的計算機程序被處理器執(zhí)行時可實現(xiàn)如第一方面任一實施例所述的基于隔離協(xié)議的數(shù)據(jù)傳輸方法。