一种基于虚拟化技术的单向传输系统及方法[发明专利]

(12)发明专利申请

(10)申请公布号 CN 111404963 A(43)申请公布日 2020.07.10

(21)申请号 202010228695.4(22)申请日 2020.03.27

(71)申请人 济南诚方网络科技有限公司

地址 250101 山东省济南市高新区汉峪金

谷A3地块5号楼7层(72)发明人 王在学　

(74)专利代理机构 济南千慧专利事务所(普通

合伙企业) 37232

代理人 左建华(51)Int.Cl.

H04L 29/06(2006.01)

权利要求书1页 说明书4页 附图1页

()发明名称

一种基于虚拟化技术的单向传输系统及方法

(57)摘要

本申请公开了一种基于虚拟化技术的单向传输系统及方法，用以解决光网闸等硬件设备的成本较高，容易出现生产制造垄断，不便于大量普及应用，且采用数据包进行传输时数据传输效率较低的问题。该系统包括双网卡服务器；第一虚拟化终端，与所述服务器中的第一网卡绑定，用于接收输入的数据；第二虚拟化终端，与所述服务器中的第二网卡绑定，用于向内网输出数据；数据摆渡模块，用于在所述第一虚拟化终端与第二虚拟化终端之间进行数据移动。本系统采用通用服务器，借助虚拟化技术实现了内络的单向导入，实现了网站的安全隔离，还提升了数据传输的性能。

CN 111404963 ACN 111404963 A

权　利　要　求　书

1/1页

1.一种基于虚拟化技术的单向传输系统，其特征在于，包括：双网卡服务器；第一虚拟化终端，与所述服务器中的第一网卡绑定，用于接收输入的数据；第二虚拟化终端，与所述服务器中的第二网卡绑定，用于向内网输出数据；数据摆渡模块，用于在所述第一虚拟化终端与第二虚拟化终端之间进行数据移动。2.根据权利要求1所述的系统，其特征在于，所述数据摆渡模块，用于将所述第一虚拟化终端的数据单向移动到所述第二虚拟化终端。

3.根据权利要求1所述的系统，其特征在于，所述第一虚拟化终端，用于通过至少以下任一种协议，接收输入的数据：FTP、HTTP、SSH、邮件协议。

4.根据权利要求1所述的系统，其特征在于，所述数据摆渡模块，还用于根据预设的数据校验规则，对所述第一虚拟化终端接收到的数据的内容进行校验。

5.根据权利要求1所述的系统，其特征在于，所述数据摆渡模块，还用于根据预设的文件大小要求，对所述第一虚拟化终端接收到的数据进行筛选。

6.根据权利要求1所述的系统，其特征在于，所述数据摆渡模块，还用于根据预设的数据格式要求，对所述第一虚拟化终端接收到的数据进行筛选。

7.根据权利要求4、5或6任一项所述的系统，其特征在于，所述数据摆渡模块，还用于对未通过筛选或校验的数据进行删除。

8.一种基于虚拟化技术的单向传输方法，应用于权利要求1～7任一项所述的系统，其特征在于，预先构建有第一虚拟化终端与第二虚拟化终端的双网卡服务器，所述方法包括：

所述数据摆渡模块确定所述第一虚拟化终端接收到的输入的数据；将所述数据移动至所述第一虚拟化终端；

确定通过所述第二虚拟化终端向内网输出数据。9.根据权利要求8所述的方法，其特征在于，所述方法还包括：根据所述第一虚拟化终端接收数据所采用的数据传输协议，在所述服务器中确定相应的服务端。

10.根据权利要求1所述的系统，其特征在于，将所述数据移动至所述第一虚拟化终端之前，所述方法还包括：

根据预设的数据校验规则，对所述第一虚拟化终端接收到的输入的数据的内容进行校验。

2

CN 111404963 A

说　明　书

一种基于虚拟化技术的单向传输系统及方法

1/4页

技术领域

[0001]本申请涉及内网安全防护技术领域，尤其涉及一种基于虚拟化技术的单向传输系统及方法。

背景技术

[0002]在跨网传输的过程中，内网系统为了保证数据传输的安全性，会通过单向导入系统将数据输入到内网系统中。[0003]目前，行业内通常采用光网闸或边界系统等硬件设备作为单向导入系统，用来连接两个的主机系统，对两个的主机系统进行隔离，使两个主机系统之间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只存在以数据文件形式进行的无协议摆渡，从而保障内网系统的内部主机的安全。[0004]但是，光网闸等硬件设备的成本较高，在实际应用过程中，容易出现生产制造垄断的问题，不便于大量普及应用，并且，通过数据包进行数据传输时，会出现因流量瓶颈而导致的设备宕机等情况，影响数据传输的效率。发明内容

[0005]本申请实施例提供一种基于虚拟化技术的单向传输系统及方法，用以解决光网闸等硬件设备的成本较高，容易出现生产制造垄断的问题，不便于大量普及应用，且采用数据包进行传输时数据传输效率较低的问题。

[0006]本申请实施例提供的一种基于虚拟化技术的单向传输系统，包括：[0007]双网卡服务器；[0008]第一虚拟化终端，与所述服务器中的第一网卡绑定，用于接收输入的数据；[0009]第二虚拟化终端，与所述服务器中的第二网卡绑定，用于向内网输出数据；[0010]数据摆渡模块，用于在所述第一虚拟化终端与第二虚拟化终端之间进行数据移动。

[0011]在一个示例中，所述数据摆渡模块，用于将所述第一虚拟化终端的数据单向移动到所述第二虚拟化终端。[0012]在一个示例中，所述第一虚拟化终端，用于通过至少以下任一种协议，接收输入的数据：FTP、HTTP、SSH、邮件协议。[0013]在一个示例中，所述数据摆渡模块，还用于根据预设的数据校验规则，对所述第一虚拟化终端接收到的数据的内容进行校验。[0014]在一个示例中，所述数据摆渡模块，还用于根据预设的文件大小要求，对所述第一虚拟化终端接收到的数据进行筛选。[0015]在一个示例中，所述数据摆渡模块，还用于根据预设的数据格式要求，对所述第一虚拟化终端接收到的数据进行筛选。[0016]在一个示例中，所述数据摆渡模块，还用于对未通过筛选或校验的数据进行删除。

3

CN 111404963 A[0017]

说　明　书

2/4页

本申请实施例提供的一种基于虚拟化技术的单向传输方法，预先构建有第一虚拟

化终端与第二虚拟化终端的双网卡服务器，所述方法包括：

[0018]所述数据摆渡模块确定所述第一虚拟化终端接收到的输入的数据；[0019]将所述数据移动至所述第一虚拟化终端；[0020]确定通过所述第二虚拟化终端向内网输出数据。[0021]在一个示例中，所述方法还包括：根据所述第一虚拟化终端接收数据所采用的数据传输协议，在所述服务器中确定相应的服务端。[0022]在一个示例中，将所述数据移动至所述第一虚拟化终端之前，所述方法还包括：根据预设的数据校验规则，对所述第一虚拟化终端接收到的输入的数据的内容进行校验。

[0023]本申请实施例提供一种基于虚拟化技术的单向传输系统及方法，至少包括以下有益效果；

[0024]通过在双网卡服务器中构建两个虚拟化终端，分别通过两个网卡与、内网进行通信，可确保在两个虚拟化终端之间，不存在任何物理连接、逻辑连接等，从而从逻辑上阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击无法直接侵入、破坏内网，保障了内网的安全性。

[0025]本系统通过数据摆渡模块实现两个虚拟化终端之间的单向数据传输，避免了两个虚拟化终端之间的物理连接，即使攻击者侵入了连接的虚拟化终端，也无法进一步修改数据摆渡模块的逻辑，从而对内网的系统产生损害。[0026]并且，与光网闸等硬件设备相比，通过本系统实现的单向传输方案的成本较低，研发周期较短，便于快速上线，也便于推广使用。附图说明

[0027]此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：[0028]图1为本申请实施例提供的基于虚拟化技术的单向传输系统结构示意图；[0029]图2为本申请实施例提供的基于虚拟化技术的单向传输方法流程图。

具体实施方式

[0030]为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

[0031]图1为本申请实施例提供的基于虚拟化技术的单向传输系统结构示意图，本系统主要包括服务器100，服务器100为双网卡服务器，包括第一网卡111与第二网卡112，服务器100还包括数据摆渡模块130、第一虚拟化终端121与第二虚拟化终端122。[0032]具体的，服务器100可预先基于虚拟化技术构建第一虚拟化终端121与第二虚拟化终端122，并分别将第一虚拟化终端121与第一网卡111绑定，将第二虚拟化终端122与第二网卡112绑定。

4

CN 111404963 A[0033]

说　明　书

3/4页

第一虚拟化终端121可通过第一网卡111与交互，第二虚拟化终端122可通过

第二网卡112与内网交互。于是，服务器100可通过双网卡与两个虚拟化终端，实现与内网之间的数据传输。[0034]具体的，服务器100可通过第一虚拟化终端121，接收输入的数据包，获得相应的数据，并通过第二虚拟化终端122，将数据输出至内网。

[0035]数据摆渡模块130可对第一虚拟化终端121与第二虚拟化终端122进行控制。数据摆渡模块130具体可通过剪切、粘贴的操作，在第一虚拟化终端121与第二虚拟化终端122之间进行数据移动，以实现服务器100在与内网之间的数据传输。[0036]在一个实施例中，数据摆渡模块130仅能够将与连接的第一虚拟化终端121的数据，单向移动至与内网连接的第二虚拟化终端122中，而不能从第二虚拟化终端122中移动数据至第一虚拟化终端121中。[0037]在本申请实施例中，通过在双网卡服务器中构建两个虚拟化终端，分别通过两个网卡与、内网进行通信，可确保在两个的系统(即两个虚拟化终端)之间，不存在任何物理连接、逻辑连接等，从而从逻辑上阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击无法直接侵入、破坏内网，保障了内网的安全性。

[0038]本系统通过数据摆渡模块实现两个虚拟化终端之间的单向数据传输，避免了两个虚拟化终端之间的物理连接，即使攻击者侵入了连接的虚拟化终端，也无法进一步修改数据摆渡模块的逻辑，从而对内网的系统产生损害。[0039]并且，与光网闸等硬件设备相比，通过本系统实现的单向传输方案的成本较低，研发周期较短，便于快速上线，也便于推广使用。[0040]在一个实施例中，与连接的第一虚拟化终端121，可通过文件传输协议(File Transfer Protocol，FTP)、超文本传输协议(HyperText Transfer Protocol，HTTP)、安全外壳协议(Secure Shell，SSH)、邮件协议等，接收输入的数据。同理，内网也可使用FTP、HTTP、SSH、邮件协议等，通过第二网卡112读取数据。[0041]与传统的光网闸只能通过FTP传输数据相比，本申请通过在双网卡服务器中构建虚拟化终端，可支持多种数据传输协议，便于数据的接收，增强了数据跨网传输的灵活性，有利于系统的推广使用。[0042]在一个实施例中，服务器100可根据第一虚拟化终端121接收数据所采用的数据传输协议，确定预先安装好的服务端。例如，通过FTP传输数据时，可确定服务器中提供FTP服务的相应服务端；通过SSH协议传输数据时，服务器中无需安装相应的服务端；等等。[0043]在一个实施例中，数据摆渡模块130可根据预设的数据校验规则，对第一虚拟化终端121中的数据的内容进行校验。若校验通过，则数据摆渡模块130可将数据移动至第二虚拟化终端122，若校验不通过，则数据摆渡模块130可确定不将数据移动至第二虚拟化终端122。

[0044]具体的，预设的数据校验规则可包括：根据数据库中预存的敏感词库，确定数据中是否存在违法违禁的敏感词汇；根据预设的主题，确定数据内容是否符合相应的主题；等等。其中，数据校验规则具体可根据需要灵活设置，本申请对此不做限定。[0045]通过数据摆渡模块对输入的数据进行校验，可确定输入的数据内容的合法性、合规性，确保输出到内网的数据中不存在违法违禁内容，确保内网的良好网络环境。

5

CN 111404963 A[0046]

说　明　书

4/4页

在一个实施例中，数据摆渡模块130可根据预设的文件大小要求，对第一虚拟化终

端121接收到的的数据进行筛选。若数据大小符合预设的文件大小要求的，则数据摆渡模块130可将数据移动至第二虚拟化终端122，若数据大小不符合预设的文件大小要求，则数据摆渡模块130可确定不将数据移动至第二虚拟化终端122。通过对数据大小进行筛选，可规范输出到内网的数据的大小，提高数据传输的性能，同时减少数据摆渡模块的工作量。[0047]在一个实施例中，数据摆渡模块130可根据预设的数据格式要求，对第一虚拟化终端121接收到的的数据进行筛选。若数据格式符合预设的数据格式要求的，则数据摆渡模块130可将数据移动至第二虚拟化终端122，若数据格式不符合预设的数据格式要求，则数据摆渡模块130可确定不将数据移动至第二虚拟化终端122。其中，数据格式可包括doc格式、txt文本格式等等。通过对数据格式进行筛选，可规范输出到内网的数据格式，便于内网对接收到的数据进行查看、处理。[0048]在一个实施例中，数据摆渡模块130可对未通过筛选或校验的数据进行删除。未通过筛选或校验的数据为不合格的数据，通过对这些数据进行删除，可释放这些数据占用的内存空间，提高第一虚拟化终端121的运行性能。

[0049]以上为本申请实施例提供的基于虚拟化技术的单向传输系统，基于同样的发明思路，本申请实施例还提供了相应的基于虚拟化技术的单向传输方法，如图2所示。[0050]图2为本申请实施例提供的基于虚拟化技术的单向传输方法流程示意图，具体步骤包括：

[0051]S201：数据摆渡模块确定第一虚拟化终端接收到的输入的数据。[0052]S202：将数据移动至第一虚拟化终端。[0053]S203：确定通过第二虚拟化终端向内网输出数据。[00]在一个实施例中，服务器还可根据第一虚拟化终端接收数据所采用的数据传输协议，确定相应的服务端。[0055]在一个实施例中，服务器还可通过数据摆渡模块，根据预设的数据校验规则，对第一虚拟化终端接收到的输入的数据的内容进行校验。[0056]本申请实施例提供的系统和方法是相对应的，因此，方法也具有与其对应的系统类似的有益技术效果，由于上面已经对系统的具体方案及有益技术效果进行了详细说明，因此，这里不再赘述。

[0057]以上所述仅为本申请的实施例而已，并不用于本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

6

CN 111404963 A

说　明　书　附　图

1/1页

图1

图2

7