專利名稱:文件安全傳輸系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種文件安全傳輸系統(tǒng)及方法。
背景技術(shù):
信息技術(shù)的發(fā)展是人類社會(huì)的一次偉大革命,它在很大程度上改變了人們的生活觀念和生活方式。在迅猛發(fā)展的信息時(shí)代,人們之間的信息交流變得更加容易、更加頻繁。文件傳輸作為ー種重要的信息交流和共享方式已經(jīng)在人們的生活中得到廣泛應(yīng)用和普及,其安全性和效率問(wèn)題引起了人們的廣泛關(guān)注。傳統(tǒng)的文件傳輸FTP支持遠(yuǎn)距離計(jì)算機(jī)間接或直接連接,作為ー種重要的數(shù)據(jù)共享方式已經(jīng)在局域網(wǎng)和內(nèi)部私有網(wǎng)絡(luò)中得到了廣泛應(yīng)用。在FTP的基礎(chǔ)之上,安全的FTP (Securing FTP with TLS),也稱為FTPS,在傳輸層上加入TLS/SSL,完成密鑰的協(xié)商和加密連接的建立,對(duì)TCP/IP數(shù)據(jù)流進(jìn)行加密,解決了 FTP的 明文傳輸問(wèn)題。SFTP(SSH File Transfer Protocol)利用 SSH(Secure Shell)提供的安全隧道技術(shù)對(duì)傳輸內(nèi)容進(jìn)行加密,達(dá)到數(shù)據(jù)密文傳輸?shù)哪康?,但在隧道兩端仍然是明文傳輸。傳統(tǒng)的文件傳輸FTP對(duì)密碼和文件內(nèi)容都使用明文傳輸,缺乏對(duì)數(shù)據(jù)的機(jī)密性和完整性保護(hù),對(duì)通信雙方也沒(méi)有可靠的認(rèn)證措施,存在許多安全漏洞,面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),傳統(tǒng)的FTP并不能滿足用戶對(duì)內(nèi)外網(wǎng)數(shù)據(jù)共享的安全性要求。盡管FTPS和SFTP都對(duì)數(shù)據(jù)傳輸進(jìn)行了加密,但是它們都將數(shù)據(jù)接收服務(wù)器暴露在復(fù)雜的公網(wǎng)中,即便是利用SSH隧道技木,數(shù)據(jù)經(jīng)過(guò)SSH隧道到達(dá)內(nèi)網(wǎng)以后仍然是明文傳輸,沒(méi)有完全解決數(shù)據(jù)明文傳輸帶來(lái)的竊聽攻擊問(wèn)題。
發(fā)明內(nèi)容
(一)要解決的技術(shù)問(wèn)題本發(fā)明要解決的技術(shù)問(wèn)題是如何將客戶端和服務(wù)端之間進(jìn)行隔離,防止將所述服務(wù)端中的接收服務(wù)器暴露在公網(wǎng)中,以提高文件傳輸?shù)陌踩浴?ニ)技術(shù)方案為解決上述技術(shù)問(wèn)題,本發(fā)明提供了一種文件安全傳輸系統(tǒng),所述系統(tǒng)包括依次連接的客戶端、轉(zhuǎn)發(fā)端及服務(wù)端;所述客戶端,用于發(fā)送連接請(qǐng)求和文件傳輸請(qǐng)求至所述轉(zhuǎn)發(fā)端;所述轉(zhuǎn)發(fā)端,用于將接收到的所述連接請(qǐng)求和文件傳輸請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)端;所述服務(wù)端,用于接收所述連接請(qǐng)求和文件傳輸請(qǐng)求,并建立與所述客戶端的連接,再通過(guò)建立的連接實(shí)現(xiàn)文件傳輸。其中,所述連接請(qǐng)求中包括登錄信息。其中,所述服務(wù)端進(jìn)ー步包括用戶認(rèn)證服務(wù)器、接收服務(wù)器及用戶數(shù)據(jù)庫(kù);所述用戶認(rèn)證服務(wù)器,用于接收所述連接請(qǐng)求,并對(duì)所述連接請(qǐng)求進(jìn)行解析,獲得所述連接請(qǐng)求中的登錄信息;查詢所述用戶數(shù)據(jù)庫(kù),若所述用戶數(shù)據(jù)庫(kù)中具有與所述連接請(qǐng)求中的登錄信息相應(yīng)的記錄,則判定所述連接請(qǐng)求認(rèn)證通過(guò),將所述用戶數(shù)據(jù)庫(kù)中的用戶名發(fā)送至所述轉(zhuǎn)發(fā)端;所述用戶數(shù)據(jù)庫(kù),用于存儲(chǔ)所述登錄信息、用戶名和權(quán)限之間的對(duì)應(yīng)關(guān)系;所述接收服務(wù)器,用于接收所述用戶名、連接請(qǐng)求和文件傳輸請(qǐng)求,通過(guò)所述用戶名查詢所述用戶數(shù)據(jù)庫(kù),以獲得與所述用戶名對(duì)應(yīng)的權(quán)限;通過(guò)所述連接請(qǐng)求建立與所述客戶端的連接;利用查詢獲得的權(quán)限對(duì)所述文件傳輸請(qǐng)求進(jìn)行控制;通過(guò)建立的連接實(shí)現(xiàn)文件傳輸;所述轉(zhuǎn)發(fā)端,還用于接收所述用戶名,并將所述用戶名發(fā)送至所述接收服務(wù)器。其中,所述用戶認(rèn)證服務(wù)器,還用于為所述用戶數(shù)據(jù)庫(kù)中的用戶名分配對(duì)應(yīng)的登錄ィ目息。其中,所述客戶端和服務(wù)端之間的連接為加密連接,以實(shí)現(xiàn)文件的加密傳輸;所述接收服務(wù)器進(jìn)一歩包括加密連接模塊,用于接收所述連接請(qǐng)求,并通過(guò)所述連接請(qǐng)求與所述客戶端進(jìn)行加密協(xié)商,建立與所述客戶端的加密連接;權(quán)限控制模塊,用于接收所述權(quán)限,并利用所述權(quán)限來(lái)判斷所述文件傳輸請(qǐng)求對(duì)應(yīng)的文件是否允許傳輸;文件傳輸模塊,用于接收所述文件傳輸請(qǐng)求,對(duì)所述文件傳輸請(qǐng)求進(jìn)行解密,將所述文件傳輸請(qǐng)求對(duì)應(yīng)的文件進(jìn)行加密,并將加密后的文件通過(guò)所述轉(zhuǎn)發(fā)端發(fā)送至所述客戶端。其中,所述文件傳輸模塊還用于對(duì)所述文件進(jìn)行分段處理和壓縮處理。本發(fā)明還公開了ー種文件安全傳輸方法,所述方法包括SI :客戶端發(fā)送連接請(qǐng)求至轉(zhuǎn)發(fā)端,所述轉(zhuǎn)發(fā)端將所述連接請(qǐng)求轉(zhuǎn)發(fā)至服務(wù)端;S2 :所述服務(wù)端建立與所述客戶端之間的連接;S3:所述客戶端發(fā)送文件傳輸請(qǐng)求至所述轉(zhuǎn)發(fā)端,所述轉(zhuǎn)發(fā)端將所述文件傳輸請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)端;S4 :所述服務(wù)端接收所述文件傳輸請(qǐng)求,并通過(guò)建立的連接實(shí)現(xiàn)文件傳輸。(三)有益效果本發(fā)明通過(guò)設(shè)置轉(zhuǎn)發(fā)端,實(shí)現(xiàn)了將客戶端和服務(wù)端之間進(jìn)行隔離,防止將所述服務(wù)端中的接收服務(wù)器暴露在公網(wǎng)中,提高了文件傳輸?shù)陌踩浴?br>
圖I是按照本發(fā)明ー種實(shí)施方式的文件安全傳輸系統(tǒng)的結(jié)構(gòu)示意圖;圖2是按照本發(fā)明另一種實(shí)施方式的文件安全傳輸系統(tǒng)的結(jié)構(gòu)示意圖;圖3是按照本發(fā)明ー種實(shí)施方式的文件安全傳輸方法的流程圖。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例,對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)ー步詳細(xì)描述。以下實(shí)施例用于說(shuō)明本發(fā)明,但不用來(lái)限制本發(fā)明的范圍。圖I是按照本發(fā)明ー種實(shí)施方式的文件安全傳輸系統(tǒng)的結(jié)構(gòu)示意圖;參照?qǐng)D1,所述系統(tǒng)包括依次連接的客戶端、轉(zhuǎn)發(fā)端及服務(wù)端;
所述客戶端,用于發(fā)送連接請(qǐng)求和文件傳輸請(qǐng)求至所述轉(zhuǎn)發(fā)端;所述轉(zhuǎn)發(fā)端,用于將接收到的所述連接請(qǐng)求和文件傳輸請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)端,為進(jìn)ー步提高安全性,所述轉(zhuǎn)發(fā)端在數(shù)據(jù)轉(zhuǎn)發(fā)的過(guò)程中不進(jìn)行數(shù)據(jù)解密;所述服務(wù)端,用于接收所述連接請(qǐng)求和文件傳輸請(qǐng)求,并建立與所述客戶端的連接,再通過(guò)建立的連接實(shí)現(xiàn)文件傳輸。優(yōu)選地,所述連接請(qǐng)求中包括登錄信息。為保證接收服務(wù)器的安全性,參照?qǐng)D2,優(yōu)選地,所述服務(wù)端進(jìn)ー步包括用戶認(rèn)證服務(wù)器、接收服務(wù)器及用戶數(shù)據(jù)庫(kù);所述用戶認(rèn)證服務(wù)器,用于接收所述連接請(qǐng)求,并對(duì)所述連接請(qǐng)求進(jìn)行解析,獲得所述連接請(qǐng)求中的登錄信息;查詢所述用戶數(shù)據(jù)庫(kù),若所述用戶數(shù)據(jù)庫(kù)中具有與所述連接請(qǐng)求中的登錄信息相應(yīng)的記錄,則判定所述連接請(qǐng)求認(rèn)證通過(guò),將所述用戶數(shù)據(jù)庫(kù)中的用 戶名發(fā)送至所述轉(zhuǎn)發(fā)端;所述用戶數(shù)據(jù)庫(kù),用于存儲(chǔ)所述登錄信息、用戶名和權(quán)限之間的對(duì)應(yīng)關(guān)系,為所述用戶認(rèn)證服務(wù)器的認(rèn)證提供支持,為便于區(qū)分不同用戶,并且還可存儲(chǔ)與用戶名對(duì)應(yīng)的用戶信息;所述接收服務(wù)器,用于接收所述用戶名、連接請(qǐng)求和文件傳輸請(qǐng)求,通過(guò)所述用戶名查詢所述用戶數(shù)據(jù)庫(kù),以獲得與所述用戶名對(duì)應(yīng)的權(quán)限;通過(guò)所述連接請(qǐng)求建立與所述客戶端的連接;利用查詢獲得的權(quán)限對(duì)所述文件傳輸請(qǐng)求進(jìn)行控制;通過(guò)建立的連接實(shí)現(xiàn)文件傳輸;所述轉(zhuǎn)發(fā)端,還用于接收所述用戶名,并將所述用戶名發(fā)送至所述接收服務(wù)器。為全面提高文件的傳輸速度和安全性,優(yōu)選地,所述轉(zhuǎn)發(fā)端在轉(zhuǎn)發(fā)文件的時(shí)候不進(jìn)行解密和內(nèi)容解析,并且不進(jìn)行存儲(chǔ),在傳輸過(guò)程中數(shù)據(jù)內(nèi)容全程加密??蛻舳税l(fā)起的連接請(qǐng)求為明文請(qǐng)求,為了保證明文請(qǐng)求的安全性,登錄請(qǐng)求中包含由用戶認(rèn)證服務(wù)器隨機(jī)生成唯一的登錄信息,并通過(guò)安全的渠道提供給客戶端,登錄信息在客戶端使用一次后失效,優(yōu)選地,所述用戶認(rèn)證服務(wù)器,還用于為所述用戶數(shù)據(jù)庫(kù)中的用戶名分配對(duì)應(yīng)的登錄信息。優(yōu)選地,所述客戶端和服務(wù)端之間的連接為加密連接,以實(shí)現(xiàn)文件的加密傳輸;所述接收服務(wù)器進(jìn)一歩包括加密連接模塊,用于接收所述連接請(qǐng)求,并通過(guò)所述連接請(qǐng)求與所述客戶端進(jìn)行加密協(xié)商(協(xié)商獲得加密算法和加密密鑰),建立與所述客戶端的加密連接,以實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密和校驗(yàn),確保數(shù)據(jù)在傳輸過(guò)程中的準(zhǔn)確性和機(jī)密性;權(quán)限控制模塊,用于接收所述權(quán)限,并利用所述權(quán)限來(lái)判斷所述文件傳輸請(qǐng)求對(duì)應(yīng)的文件是否允許傳輸;文件傳輸模塊,用于接收所述文件傳輸請(qǐng)求,對(duì)所述文件傳輸請(qǐng)求進(jìn)行解密,將所述文件傳輸請(qǐng)求對(duì)應(yīng)的文件進(jìn)行加密,并將加密后的文件通過(guò)所述轉(zhuǎn)發(fā)端發(fā)送至所述客戶端。本發(fā)明采用轉(zhuǎn)發(fā)隔離的思想,所有客戶端的連接請(qǐng)求都需要經(jīng)過(guò)轉(zhuǎn)發(fā)端,由轉(zhuǎn)發(fā)端認(rèn)證通過(guò)后,再將連接請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)接收服務(wù)器,客戶端間接與服務(wù)端之間建立連接及文件傳輸,達(dá)到隔離客戶端和服務(wù)端的目的,保障服務(wù)端的安全性?;诒景l(fā)明系統(tǒng)的架構(gòu),可以獨(dú)立的對(duì)轉(zhuǎn)發(fā)端進(jìn)行擴(kuò)展,建立分布式的轉(zhuǎn)發(fā)端中的服務(wù)器集群,對(duì)轉(zhuǎn)發(fā)端進(jìn)行負(fù)載均衡,提高轉(zhuǎn)發(fā)數(shù)據(jù)的效率,適用于分布式和云計(jì)算的發(fā)展趨勢(shì)。為保證文件傳輸效率,因此在對(duì)文件進(jìn)行加密前,還需要進(jìn)行分段處理和壓縮處理,優(yōu)選地,所述文件傳輸模塊還用于對(duì)所述文件進(jìn)行分段處理和壓縮處理。圖3是按照本發(fā)明ー種實(shí)施方式的文件安全傳輸方法的流程圖;參照?qǐng)D3,本發(fā)明還公開了一種文件安全傳輸方法,所述方法包括SI :客戶端發(fā)送連接請(qǐng)求至轉(zhuǎn)發(fā)端,所述轉(zhuǎn)發(fā)端將所述連接請(qǐng)求轉(zhuǎn)發(fā)至服務(wù)端;S2 :所述服務(wù)端建立與所述客戶端之間的連接;S3:所述客戶端發(fā)送文件傳輸請(qǐng)求至所述轉(zhuǎn)發(fā)端,所述轉(zhuǎn)發(fā)端將所述文件傳輸請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)端;
S4 :所述服務(wù)端接收所述文件傳輸請(qǐng)求,并通過(guò)建立的連接實(shí)現(xiàn)文件傳輸。以上實(shí)施方式僅用于說(shuō)明本發(fā)明,而并非對(duì)本發(fā)明的限制,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定。
權(quán)利要求
1.一種文件安全傳輸系統(tǒng),其特征在于,所述系統(tǒng)包括依次連接的客戶端、轉(zhuǎn)發(fā)端及服務(wù)端; 所述客戶端,用于發(fā)送連接請(qǐng)求和文件傳輸請(qǐng)求至所述轉(zhuǎn)發(fā)端; 所述轉(zhuǎn)發(fā)端,用于將接收到的所述連接請(qǐng)求和文件傳輸請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)端; 所述服務(wù)端,用于接收所述連接請(qǐng)求和文件傳輸請(qǐng)求,并建立與所述客戶端的連接,再通過(guò)建立的連接實(shí)現(xiàn)文件傳輸。
2.如權(quán)利要求I所述的系統(tǒng),其特征在于,所述連接請(qǐng)求中包括登錄信息。
3.如權(quán)利要求2所述的系統(tǒng),其特征在于,所述服務(wù)端進(jìn)ー步包括用戶認(rèn)證服務(wù)器、接收服務(wù)器及用戶數(shù)據(jù)庫(kù); 所述用戶認(rèn)證服務(wù)器,用于接收所述連接請(qǐng)求,并對(duì)所述連接請(qǐng)求進(jìn)行解析,獲得所述連接請(qǐng)求中的登錄信息;查詢所述用戶數(shù)據(jù)庫(kù),若所述用戶數(shù)據(jù)庫(kù)中具有與所述連接請(qǐng)求中的登錄信息相應(yīng)的記錄,則判定所述連接請(qǐng)求認(rèn)證通過(guò),將所述用戶數(shù)據(jù)庫(kù)中的用戶名發(fā)送至所述轉(zhuǎn)發(fā)端; 所述用戶數(shù)據(jù)庫(kù),用于存儲(chǔ)所述登錄信息、用戶名和權(quán)限之間的對(duì)應(yīng)關(guān)系; 所述接收服務(wù)器,用于接收所述用戶名、連接請(qǐng)求和文件傳輸請(qǐng)求,通過(guò)所述用戶名查詢所述用戶數(shù)據(jù)庫(kù),以獲得與所述用戶名對(duì)應(yīng)的權(quán)限;通過(guò)所述連接請(qǐng)求建立與所述客戶端的連接;利用查詢獲得的權(quán)限對(duì)所述文件傳輸請(qǐng)求進(jìn)行控制;通過(guò)建立的連接實(shí)現(xiàn)文件傳輸; 所述轉(zhuǎn)發(fā)端,還用于接收所述用戶名,并將所述用戶名發(fā)送至所述接收服務(wù)器。
4.如權(quán)利要求3所述的系統(tǒng),其特征在于,所述用戶認(rèn)證服務(wù)器,還用于為所述用戶數(shù)據(jù)庫(kù)中的用戶名分配對(duì)應(yīng)的登錄信息。
5.如權(quán)利要求3所述的系統(tǒng),其特征在于,所述客戶端和服務(wù)端之間的連接為加密連接,以實(shí)現(xiàn)文件的加密傳輸; 所述接收服務(wù)器進(jìn)一歩包括 加密連接模塊,用于接收所述連接請(qǐng)求,并通過(guò)所述連接請(qǐng)求與所述客戶端進(jìn)行加密協(xié)商,建立與所述客戶端的加密連接; 權(quán)限控制模塊,用于接收所述權(quán)限,并利用所述權(quán)限來(lái)判斷所述文件傳輸請(qǐng)求對(duì)應(yīng)的文件是否允許傳輸; 文件傳輸模塊,用于接收所述文件傳輸請(qǐng)求,對(duì)所述文件傳輸請(qǐng)求進(jìn)行解密,將所述文件傳輸請(qǐng)求對(duì)應(yīng)的文件進(jìn)行加密,并將加密后的文件通過(guò)所述轉(zhuǎn)發(fā)端發(fā)送至所述客戶端。
6.如權(quán)利要求5所述的系統(tǒng),其特征在于,所述文件傳輸模塊還用于對(duì)所述文件進(jìn)行分段處理和壓縮處理。
7.一種文件安全傳輸方法,其特征在于,所述方法包括 51:客戶端發(fā)送連接請(qǐng)求至轉(zhuǎn)發(fā)端,所述轉(zhuǎn)發(fā)端將所述連接請(qǐng)求轉(zhuǎn)發(fā)至服務(wù)端; 52:所述服務(wù)端建立與所述客戶端之間的連接; 53:所述客戶端發(fā)送文件傳輸請(qǐng)求至所述轉(zhuǎn)發(fā)端,所述轉(zhuǎn)發(fā)端將所述文件傳輸請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)端; 54:所述服務(wù)端接收所述文件傳輸請(qǐng)求,并通過(guò)建立的連接實(shí)現(xiàn)文件傳輸。
全文摘要
本發(fā)明公開了一種文件安全傳輸系統(tǒng)及方法,涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,所述系統(tǒng)包括依次連接的客戶端、轉(zhuǎn)發(fā)端及服務(wù)端;所述客戶端,用于發(fā)送連接請(qǐng)求和文件傳輸請(qǐng)求至所述轉(zhuǎn)發(fā)端;所述轉(zhuǎn)發(fā)端,用于將接收到的所述連接請(qǐng)求和文件傳輸請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)端;所述服務(wù)端,用于接收所述連接請(qǐng)求和文件傳輸請(qǐng)求,并建立與所述客戶端的連接,再通過(guò)建立的連接實(shí)現(xiàn)文件傳輸。本發(fā)明通過(guò)設(shè)置轉(zhuǎn)發(fā)端,實(shí)現(xiàn)了將客戶端和服務(wù)端之間進(jìn)行隔離,防止將所述服務(wù)端中的接收服務(wù)器暴露在公網(wǎng)中,提高了文件傳輸?shù)陌踩浴?br>
文檔編號(hào)H04L29/06GK102780702SQ20121026695
公開日2012年11月14日 申請(qǐng)日期2012年7月30日 優(yōu)先權(quán)日2012年7月30日
發(fā)明者張眙, 張靜, 杜金秀, 溫先輝, 鄒銘, 馬兆豐, 黃勤龍 申請(qǐng)人:北京國(guó)泰信安科技有限公司, 北京市計(jì)算中心