一种实时安全访问内网的方法、系统及装置与流程

1.本发明专利涉及数据交换技术领域，尤其涉及一种实时安全访问内网的方法、系统及装置。


背景技术：

2.随着信息化发展，出于安全原因，很多重要领域的网络进行物理隔离建设，以保障核心领域网络安全。
3.所谓“物理隔离”是指不同安全等级的网络，在任何时间都不存在直接的物理连接，每一个网络都是独自的信息孤岛，这样才能保证每个网络的信息安全。但是，因此也造成了不同网络之间无法传递信息，给数据交换带来诸多不便。
4.现有技术中不同安全等级的网络间通常布设有网闸，网闸是使用带有多种控制功能的固态开关读写介质，能够使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。而不同安全等级的网络间传输数据则需要在两个不同的网络间各部署一个文件服务器，将来自低安全域的文件请求会将文件先暂存到低安全域侧的文件服务器，网闸会定时批量将低安全域文件服务器的内容同步到高安全域中的文件服务器。但是，这种方法依赖网闸定时同步文件，实时性较差，且未对访问者本身进行验证，仍存在安全隐患。
5.鉴于此，如何保证网闸两侧能够安全、实时的完成文件同步，成为一个亟待解决的技术问题。


技术实现要素：

6.本发明提供一种实时安全访问内网的方法、系统及装置，用于解决现有技术中无法保证网闸两侧能够安全、实时的完成文件同步的技术问题。
7.本发明第一方面提供了一种实时安全访问内网的方法，所述方法包括：
8.接收低安全域的外网客户端通过文件传输协议ftp和超文本传输协议http发送的待传输文件和访问请求；其中，所述访问请求中包括所述外网客户端的身份信息及与所述待传输文件相关的相关信息，所述待传输文件存储在所述网闸系统的外网单元；
9.验证所述身份信息和所述相关信息是否合法，获得验证结果；
10.根据所述验证结果，决定是否将所述待传输文件摆渡到所述网闸系统的内网单元，以便上传到高安全域的文件服务器。
11.可选的，接收低安全域的外网客户端通过文件传输协议ftp和超文本传输协议http发送的待传输文件和访问请求之前，还包括：
12.用户对所述高安全域的文件服务器能否接受外部访问进行审核，根据所述审核的结果，将所述高安全域中能够接收外部访问的文件服务器注册至所述网闸系统中。
13.可选的，验证所述身份信息和所述相关信息是否合法，获得验证结果，包括：
14.根据访问请求中包括的所述外网客户端的身份信息，验证所述外网客户端是否为
已在所述网闸系统中注册的合法用户；
15.当所述外网客户端为已注册的合法用户时，验证所述外网客户端能否根据所述相关信息获得所述文件服务器的服务；其中，所述相关信息包括所述外网客户端访问的文件服务器资源名、所述待传输文件的文件名和所述待传输文件的验证信息；
16.当所述外网客户端为已注册的合法用户，且所述外网客户端能够根据所述相关信息获得所述文件服务器的服务时，确定所述验证结果为合法访问；
17.当所述外网客户端为已注册的合法用户，且验证所述外网客户端不能根据所述相关信息获得所述文件服务器的服务时，确定所述验证结果为非法访问；
18.当所述外网客户端为未注册的非法用户时，确定所述验证结果为非法访问。
19.可选的，验证所述外网客户端能否根据所述相关信息获得所述文件服务器的服务，包括：
20.验证所述相关信息中，外网客户端需要访问的文件服务器资源名是否已经在所述网闸系统中注册及所述文件服务器能否向所述外网客户端提供服务；
21.当所述外网客户端需要访问的文件服务器资源名已在所述网闸系统中注册，且所述文件服务器可以向所述外网客户端提供服务时，根据所述相关信息中所述待传输文件的文件名和验证信息，验证所述待传输文件的完整性；
22.当所述外网客户端需要访问的文件服务器资源名已在所述网闸系统中注册，所述文件服务器可以向所述外网客户端提供服务，并且所述待传输文件完整时，确定所述访问请求中与所述待传输文件相关的相关信息通过验证；
23.当所述外网客户端需要访问的文件服务器资源名非法，和/或所述文件服务器不能向所述外网客户端提供服务，和/或所述待传输文件不完整时，确定所述访问请求中与所述待传输文件相关的相关信息未通过验证。
24.可选的，根据所述相关信息中所述待传输文件的文件名和验证信息，验证所述待传输文件的完整性，包括：
25.根据待传输文件的文件名，从所述外网单元中获取所述待传输文件的第一验证信息；
26.验证所述第一验证信息和所述相关信息中的第二验证信息是否一致；
27.若所述第一验证信息和所述第二验证信息一致，则确定所述待传输文件完整；
28.若所述第一验证信息和所述第二验证信息不一致，则确定所述待传输文件不完整。
29.可选的，根据所述验证结果，决定是否将所述待传输文件摆渡到所述网闸系统的内网单元，包括：
30.当所述验证结果为非法访问时，放弃将所述待传输文件摆渡到所述网闸系统的内网单元，并向所述外网客户端发送错误信息；
31.当所述验证结果为合法访问时，将所述待传输文件摆渡到所述网闸系统的内网单元。
32.可选的，向所述外网客户端发送错误信息，包括：
33.当所述外网客户端为未注册的非法用户时，所述错误信息为该用户未注册；
34.当所述外网客户端需要访问的文件服务器资源名非法，和/或所述外网客户端不
具有访问权限时，所述错误信息为该用户不具有访问权限；
35.当所述外网客户端的待传输文件的验证信息，和所述相关信息中的验证信息不一致时，所述错误信息为待传输文件错误。
36.第二方面，本技术实施例提供了一种网闸系统，包括：
37.外网单元，用于接收低安全网域的外网客户端发送的访问请求和待传输文件并验证所述待传输文件的安全，将通过安全验证的所述待传输文件发送给专有隔离交换器件；
38.所述专有隔离交换单元，用于执行如第一方面所述的方法，以保证隔离内网单元和所述外网单元的同时，接收所述外网单元发送的所述待传输文件，并将所述通过安全验证的待传输文件摆渡至内网单元中；
39.所述内网单元，用于接收所述专有隔离交换单元摆渡的所述待传输文件，并转发至高安全网域内的文件服务器；其中，所述外网单元、所述专用隔离交换单元、所述内网单元位于相互隔离的不同网络。
40.第三方面，本技术实施例提供了一种实时安全访问内网的系统，包括：
41.低安全域客户端，使用文件传输协议ftp将所述待传输文件发送给网闸系统，并使用超文本传输协议http的拓展头部字段将所述访问请求发送给所述网闸系统；
42.所述网闸系统，用于接收所述低安全域客户端发送的所述待传输文件和所述访问请求，并执行如第一方面所述的方法，以在保证隔离低安全网域和高安全网域的同时，根据所述访问请求将通过安全验证的所述待传输文件摆渡至高安全网域文件服务器；
43.所述高安全域文件服务器，用于从所述网闸系统接收所述待传输文件并向所述低安全网域客户端提供与所述访问请求相对应的服务；其中，所述低安全域客户端和所述高安全域文件服务器位于相互隔离的不同网络。
44.第四方面，本技术实施例提供了一种安全访问内网的装置，包括：
45.至少一个处理器，以及
46.与所述至少一个处理器连接的存储器；
47.其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令执行如第一方面所述的方法。
48.本发明实施例中的技术方案具有以下有益效果：当需要安全访问内网时，接收低安全域的外网客户端通过文件传输协议ftp和超文本传输协议http发送的待传输文件和访问请求；其中，访问请求中包括外网客户端的身份信息及与待传输文件相关的相关信息，待传输文件存储在网闸系统的外网单元；验证身份信息和相关信息是否合法，获得验证结果；根据验证结果，决定是否将待传输文件摆渡到网闸系统的内网单元，以便上传到高安全域的文件服务器。从而对访问者的身份进行安全验证，保证合法用户能够访问被授权的文件服务器，并且通过验证待传输文件的相关信息确保上传文件内容的唯一性，防止上传文件被篡改，完成了不同安全等级的网域间文件的安全、实时的同步。
附图说明
49.图1是本发明实施例提供的一种实时安全访问内网的方法的流程图；
50.图2是本发明实施例提供的一种实时安全访问内网的系统的结构示意图；
51.图3是本发明实施例提供的一种高安全域文件服务器注册至网闸系统的结构示意
图；
52.图4是本发明实施例提供的一种网闸系统验证外网客户端的身份信息和相关信息的对应关系示意图；
53.图5是本发明实施例提供的一种网闸系统的结构示意图；
54.图6是本发明实施例提供的另一种网闸系统的结构示意图；
55.图7是本发明实施例提供的另一种网闸系统的结构示意图；
56.图8是本发明实施例提供的一种实时安全访问内网的系统的结构示意图。
具体实施方式
57.为使本发明的目的、技术方案和优点更加清楚明白，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。
58.现有技术中，为了完成在两个不同安全等级的网域间数据交换，一般会在两个不同的网络间各部署一个文件服务器，来自低安全域的文件请求会将文件先暂存到低安全域侧的文件服务器，网闸会定时批量将低安全域文件服务器的内容同步到高安全域中的文件服务器。但这种交换方式的同步性较差，也无法对访问者的身份进行安全验证，也无法对访问者发送的文件进行验证，具有一定的安全隐患。
59.为此，本发明提供一种实时安全访问内网的方法、系统及装置，用于解决现有技术中无法保证网闸两侧能够安全、实时的完成文件同步的技术问题。
60.下面结合说明书附图介绍本技术实施例提供的技术方案。
61.请参见图1，本发明提供一种实时安全访问内网的方法，该方法的具体方案如下：
62.s101、接收低安全域的外网客户端通过文件传输协议ftp和超文本传输协议http发送的待传输文件和访问请求；其中，访问请求中包括外网客户端的身份信息及与待传输文件相关的相关信息，待传输文件存储在网闸系统的外网单元；
63.s102、验证身份信息和相关信息是否合法，获得验证结果；
64.s103、根据验证结果，决定是否将待传输文件摆渡到网闸系统的内网单元，以便上传到高安全域的文件服务器。
65.例如，请参见图2，图2为本发明实施例提供的一种实时安全访问内网的系统的结构示意图，图2中包括低安全域的外网客户端201和202，网闸系统203，高安全域的文件服务器204。假设，外网客户端201和外网客户端202需要请求文件服务器204的服务。
66.外网客户端201、外网客户端202通过文件传输协议(file transfer protocol，ftp)协议将文件实时上传至网闸系统203中，通过超文本传输协议(hyper text transfer protocol，http)将访问请求发送给网闸系统203。
67.网闸系统203验证外网客户端201发送的访问请求，访问请求中包含有外网客户端201的身份信息和上传的待传输文件的相关信息，通过和网闸系统203中注册过的外网客户端进行对比，确定外网客户端201为非法用户，将外网客户端201上传的待传输文件的验证信息和访问请求中的验证信息进行对比，确定上传的待传输文件完整性被破坏。因此获得的验证结果为外网客户端201为非法访问；
68.网闸系统203验证外网客户端202发送的访问请求，访问请求中包含有外网客户端202的身份信息和上传的待传输文件的相关信息，在验证中确定外网客户端202为合法用
户，上传的待传输文件完整，且具有相应权限访问目标文件服务器，因此获得的验证结果为外网客户端202为合法访问。
69.根据验证结果，网闸系统203放弃将外网客户端201上传的待传输文件摆渡到网闸系统的内网单元，并向外网客户端201发送错误信息；
70.网闸系统203将外网客户端202上传的待传输文件，摆渡到网闸系统203的内网单元中，以便上传至高安全域的文件服务器204。
71.在本发明提供的实施例中，当外部客户端需要访问内网时，接收低安全域的外网客户端通过文件传输协议ftp和超文本传输协议http发送的待传输文件和访问请求；其中，访问请求中包括外网客户端的身份信息及与待传输文件相关的相关信息，待传输文件存储在网闸系统的外网单元；验证身份信息和相关信息是否合法，获得验证结果；根据验证结果，决定是否将待传输文件摆渡到网闸系统的内网单元，以便上传到高安全域的文件服务器。从而对访问者的身份进行安全验证，保证合法用户能够访问被授权的文件服务器，并且通过验证待传输文件的相关信息确保上传文件内容的唯一性，防止上传文件被篡改，完成了不同安全等级的网域间文件的安全、实时的同步。
72.一种可能的实施方式，接收低安全域的外网客户端通过文件传输协议ftp和超文本传输协议http发送的待传输文件和访问请求之前，还包括：
73.用户对高安全域的文件服务器能否接受外部访问进行审核，根据审核的结果，将高安全域中能够接收外部访问的文件服务器注册至网闸系统中。
74.例如，请参见图3，图3为本发明实施例提供的一种高安全域文件服务器注册至网闸系统的结构示意图，图3中包括：文件服务器301～303，网闸系统304。假设文件服务器301的ip地址为192.168.0.1、ftp端口为01，文件服务器302的ip地址为192.168.0.2、ftp端口为02，文件服务器303的ip地址为192.168.0.3、ftp端口为03，文件服务器301、文件服务器303经用户审核确认，能够接收外部访问。
75.当高安全域的文件服务器301～303需要接收外部访问时，由用户预先进行审核确定是否能够接收外部访问。此时文件服务器301、文件服务器303经过确认，能够接收外部访问，将文件服务器301、文件服务器303的ip地址和ftp端口，用户名和密码注册至网闸系统304中，并且各自获得一个对应的文件服务器资源名，文件服务器301对应的资源名为res1，文件服务303对应的资源名为res2。而文件服务器302由于未通过用户审核，所以并未注册至网闸系统304中，对于低安全域的外网客户端来说，文件服务器302不可见。
76.在本发明提供的实施例中，能够接收对外访问的文件服务器需要先由用户进行审核确认，确认后的文件服务器在网闸系统中注册，之后才能接收外部访问。从而保证了高安全域的文件服务器能够根据用户需求，分别选择是否接收外部访问，不接收外部访问的文件服务器对外不可见，进而保证了文件服务器的安全。
77.一种可能的实施方式，验证身份信息和相关信息是否合法，获得验证结果，包括：
78.根据访问请求中包括的外网客户端的身份信息，验证外网客户端是否为已在网闸系统中注册的合法用户；当外网客户端为已注册的合法用户时，验证外网客户端能否根据相关信息获得文件服务器的服务；其中，相关信息包括外网客户端访问的文件服务器资源名、待传输文件的文件名和待传输文件的验证信息；当外网客户端为已注册的合法用户，且外网客户端能够根据相关信息获得文件服务器的服务时，确定验证结果为合法访问；当外
网客户端为已注册的合法用户，且验证外网客户端不能根据相关信息获得文件服务器的服务时时，确定验证结果为非法访问；当外网客户端为未注册的非法用户时，确定验证结果为非法访问。
79.其中，验证外网客户端能否根据相关信息获得文件服务器的服务，包括：
80.验证相关信息中，外网客户端需要访问的文件服务器资源名是否已经在网闸系统中注册及文件服务器能否向外网客户端提供服务；当外网客户端需要访问的文件服务器资源名已在网闸系统中注册，且文件服务器可以向外网客户端提供服务时，根据相关信息中待传输文件的文件名和验证信息，验证待传输文件的完整性；当外网客户端需要访问的文件服务器资源名已在网闸系统中注册，文件服务器可以向外网客户端提供服务，并且待传输文件完整时，确定访问请求中与待传输文件相关的相关信息通过验证；当外网客户端需要访问的文件服务器资源名非法，和/或文件服务器不能向外网客户端提供服务，和/或待传输文件不完整时，确定访问请求中与待传输文件相关的相关信息未通过验证。
81.其中，根据相关信息中待传输文件的文件名和验证信息，验证待传输文件的完整性，包括：
82.根据待传输文件的文件名，从外网单元中获取待传输文件的第一验证信息；验证第一验证信息和相关信息中的第二验证信息是否一致；若第一验证信息和第二验证信息一致，则确定待传输文件完整；若第一验证信息和第二验证信息不一致，则确定待传输文件不完整。
83.例如，如图4所示，图4为本发明实施例提供的一种网闸系统验证外网客户端的身份信息和相关信息的对应关系示意图。图中包括外网客户端401～405，网闸系统406。假设网闸系统中注册有文件服务器1和文件服务器3，两者均需要a级权限方能访问，文件服务器1的ip地址为192.168.0.1、ftp端口为端口1、文件服务器资源名为res1，文件服务器3的ip地址为192.168.0.3、ftp端口为端口3、文件服务器资源名为res2，外网客户端均使用单向散列函数sha256获取待传输文件的验证信息。
84.外网客户端401～405均分别向网闸系统406上传了待传输文件和对应的访问请求，其中外网客户端401发送的访问请求为{用户名＝932，待传输文件＝文件1，验证信息＝6114cef1bd066b1d63ebd2b0fc961677931947287852ff3adc1eb5516bc63520，文件服务器资源名＝res1，操作类型为上传}；外网客户端402发送的访问请求为{用户名＝421，待传输文件＝文件2，验证信息＝df9128ecc2de700ac9e16a58f22ff891e4e6d083b3b70e59f951d8e5f77b7b52，文件服务器资源名＝res1，操作类型为上传}；外网客户端403发送的访问请求为{用户名＝47，待传输文件＝文件3，验证信息＝29ab0c96874aaa499ebc86bb3d85268b1eab6852fd7df007a9523dc0ecfdfbf2，文件服务器资源名＝res3，操作类型为上传}；外网客户端404发送的访问请求为{用户名＝549，待传输文件＝文件4，验证信息＝c678f0d2475a0b65708e629c078a1a025652e5abec6004151776ce138948d3db，文件服务器资源名＝res2，操作类型为上传}；外网客户端405发送的访问请求为{用户名＝481，待传输文件＝文件5，验证信息＝7802a05037ebec5311ad2dc630cb0d84e1b900c6b705a1c704bd43d2b47b719a，文件服务器资源名＝res2，操作类型为上传}。
85.网闸系统406在接收到外网客户端401发送的访问请求后，验证其身份信息，而外网客户端401的用户名为932，并未在网闸系统406中注册过，因此，网闸系统406确定外网客
户端401为未注册用户，发送的访问请求为非法访问。
86.网闸系统406在接收到外网客户端402发送的访问请求后，验证其身份信息。外网客户端402的用户名为421，是网闸系统406中已经注册的合法用户，其权限为b级。验证外网客户端402能否根据相关信息获得文件服务器的服务时，由于外网客户端406的权限为b级，而其需要的文件服务器res1需要a级权限方能提供服务，因此确定外网客户端402不具有访问权限，发送的访问请求为非法访问。
87.网闸系统406在接收到外网客户端403发送的访问请求后,验证其身份信息。外网客户端403的用户名为47，是网闸系统406中已经注册的合法用户，其权限为a级。验证外网客户端403能否根据相关信息获得文件服务器的服务时，由于其要访问的文件服务器资源名为res3，并非在网闸系统406中注册的能够向外网客户端提供服务的文件服务器。因此，确定外网客户端403不具有访问权限，发送的访问请求为非法访问。
88.网闸系统406在接收到外网客户端404发送的访问请求后，验证其身份信息。外网客户端404的用户名为549，是网闸系统406中已经注册的合法用户，其权限为a级。验证外网客户端404能否根据相关信息获得文件服务器的服务时，其要访问的文件服务器资源名为res2，并且其权限为a级，可以接收res2对应的文件服务器3的服务。验证外网客户端404待传输的文件时，根据访问请求中的文件名(文件4)在网闸系统406的外网单元中查询对应的文件，并使用单向散列函数sha256计算其第一验证信息为69151d7b5df6dfe88a1859430bd8ebc31be23534f59a5e4bf4b7946d0cef2557，而网闸系统406从访问请求的相关信息中获取的第二验证信息为c678f0d2475a0b65708e629c078a1a025652e5abec6004151776ce138948d3db，两者不一致，待传输文件的文件4的完整性被破坏，文件4不完整。因此，确定外网客户端404上传的待传输文件错误，发送的访问请求为非法访问。
89.网闸系统406在接收到外网客户端405发送的访问请求后，验证其身份信息。外网客户端405的用户名为481，是网闸系统406中已经注册的合法用户，其权限为a级。验证外网客户端405能否根据相关信息获得文件服务器的服务时，其要访问的文件服务器资源名为res2，并且其权限为a级，可以接收res2对应的文件服务器3的服务。验证外网客户端405待传输的文件时，根据访问请求中的文件名(文件5)在网闸系统406的外网单元中查询对应的文件，并使用单向散列函数sha256计算其第一验证信息为7802a05037ebec5311ad2dc630cb0d84e1b900c6b705a1c704bd43d2b47b719a，而网闸系统406从访问请求的相关信息中获取的第二验证信息为7802a05037ebec5311ad2dc630cb0d84e1b900c6b705a1c704bd43d2b47b719a，两者一致，文件5完整。因此，确定外网客户端405发送的访问请求为合法访问。
90.在实际应用中，网闸系统和外网客户端可以使用各种单向散列函数对待传输文件进行验证，单向散列函数可以根据用户的安全需要，选择sha-256、sha-384和sha-512等算法。
91.在本发明提供的实施例中，网闸系统在接收到外网客户端发送的待传输文件和访问请求后，验证外网客户端的身份信息、权限信息、上传的待传输文件是否完整等内容，在确认外网客户端是合法用户合法访问文件服务器，且待传输文件完整后，才向外网客户端提供相应的服务。从而最大化的保护高安全域网络，不仅减少了高安全网域受到网络攻击的可能，增加了访问控制，同时还可以最大限度的减轻高级安全域服务器的压力，保证了不同安全域网络之间通过网闸系统实现文件实时高安全访问请求。
92.一种可能的实施方式，根据验证结果，决定是否将待传输文件摆渡到网闸系统的内网单元，包括：
93.当验证结果为非法访问时，放弃将待传输文件摆渡到网闸系统的内网单元，并向外网客户端发送错误信息；当验证结果为合法访问时，将待传输文件摆渡到网闸系统的内网单元。
94.其中，向外网客户端发送错误信息，包括：
95.当外网客户端为未注册的非法用户时，错误信息为该用户未注册；当外网客户端需要访问的文件服务器资源名非法，和/或外网客户端不具有访问权限时，错误信息为该用户不具有访问权限；当外网客户端的待传输文件的验证信息，和相关信息中的验证信息不一致时，错误信息为待传输文件错误。
96.例如，以图4中的例子为例，其中外网客户端401为未注册用户，发送的访问请求为非法访问；外网客户端402不具有访问权限，发送的访问请求为非法访问；外网客户端403不具有访问权限，发送的访问请求为非法访问；外网客户端404上传的待传输文件错误，发送的访问请求为非法访问；外网客户端405发送的访问请求为合法访问。
97.网闸系统406将外网客户端405上传的待传输文件(文件5)摆渡到网闸系统406的内网单元中。
98.网闸系统406将外网客户端401～404上传的待传输文件放弃摆渡到网闸系统406的内网单元中。并向外网客户端401发送错误信息“该用户未注册”；向外网客户端402和403发送错误信息“该用户不具有访问权限”；向外网客户端404发送错误信息“待传输文件错误”。
99.在本发明提供的实施例中，网闸系统仅将通过验证的外网客户端上传的待传输文件摆渡至内网单元中，保证了高安全域网络的网络安全；向未通过验证的外网客户端发送对应的错误信息，以方便用户修正访问请求和待传输文件，更好的获得服务。
100.基于同一发明构思，本发明提供一种网闸系统，参见图5，该系统包括：
101.文件接收模块501，用于接收低安全域的外网客户端通过文件传输协议ftp和超文本传输协议http发送的待传输文件和访问请求；其中，访问请求中包括外网客户端的身份信息及与待传输文件相关的相关信息，待传输文件存储在网闸系统的外网单元；
102.安全验证模块502，用于验证身份信息和相关信息是否合法，获得验证结果；
103.文件摆渡模块503，用于根据验证结果，决定是否将待传输文件摆渡到网闸系统的内网单元，以便上传到高安全域的文件服务器。
104.一种可能的实施方式，文件接收模块501还用于：
105.用户对高安全域的文件服务器能否接受外部访问进行审核，根据审核的结果，将高安全域中能够接收外部访问的文件服务器注册至网闸系统中。
106.一种可能的实施方式，安全验证模块502还用于：
107.根据访问请求中包括的外网客户端的身份信息，验证外网客户端是否为已在网闸系统中注册的合法用户；
108.当外网客户端为已注册的合法用户时，验证外网客户端能否根据相关信息获得文件服务器的服务；其中，相关信息包括外网客户端访问的文件服务器资源名、待传输文件的文件名和待传输文件的验证信息；
109.当外网客户端为已注册的合法用户，且外网客户端能够根据相关信息获得文件服务器的服务时，确定验证结果为合法访问；
110.当外网客户端为已注册的合法用户，且验证外网客户端不能根据相关信息获得文件服务器的服务时时，确定验证结果为非法访问；
111.当外网客户端为未注册的非法用户时，确定验证结果为非法访问。
112.一种可能的实施方式，安全验证模块502还用于：
113.验证相关信息中，外网客户端需要访问的文件服务器资源名是否已经在网闸系统中注册及文件服务器能否向外网客户端提供服务；
114.当外网客户端需要访问的文件服务器资源名已在网闸系统中注册，且文件服务器可以向外网客户端提供服务时，根据相关信息中待传输文件的文件名和验证信息，验证待传输文件的完整性；
115.当外网客户端需要访问的文件服务器资源名已在网闸系统中注册，文件服务器可以向外网客户端提供服务，并且待传输文件完整时，确定访问请求中与待传输文件相关的相关信息通过验证；
116.当外网客户端需要访问的文件服务器资源名非法，和/或文件服务器不能向外网客户端提供服务，和/或待传输文件不完整时，确定访问请求中与待传输文件相关的相关信息未通过验证。
117.一种可能的实施方式，安全验证模块502还用于：
118.根据待传输文件的文件名，从外网单元中获取待传输文件的第一验证信息；
119.验证第一验证信息和相关信息中的第二验证信息是否一致；
120.若第一验证信息和第二验证信息一致，则确定待传输文件完整；
121.若第一验证信息和第二验证信息不一致，则确定待传输文件不完整。
122.一种可能的实施方式，文件摆渡模块503还用于：
123.当验证结果为非法访问时，放弃将待传输文件摆渡到网闸系统的内网单元，并向外网客户端发送错误信息；
124.当验证结果为合法访问时，将待传输文件摆渡到网闸系统的内网单元。
125.一种可能的实施方式，文件摆渡模块503还用于：
126.当外网客户端为未注册的非法用户时，错误信息为该用户未注册；
127.当外网客户端需要访问的文件服务器资源名非法，和/或外网客户端不具有访问权限时，错误信息为该用户不具有访问权限；
128.当外网客户端的待传输文件的验证信息，和相关信息中的验证信息不一致时，错误信息为待传输文件错误。
129.基于同一发明构思，本技术提供一种网闸系统，参见图6，该网闸系统包括：
130.外网单元601，用于接收低安全网域的外网客户端发送的访问请求和待传输文件并验证待传输文件的安全，将通过安全验证的待传输文件发送给专有隔离交换单元602；
131.专有隔离交换单元602，用于执行如上的实时安全访问内网的方法，以保证隔离内网单元603和外网单元601的同时，接收外网单元601发送的待传输文件，并将通过安全验证的待传输文件摆渡至内网单元602中；
132.内网单元603，用于接收专有隔离交换单元602摆渡的待传输文件，并转发至高安
全网域内的文件服务器；其中，外网单元601、专用隔离交换单元602、内网单元603位于相互隔离的不同网络。
133.例如，如图7所示，图7为本发明实施例提供的一种网闸系统的结构示意图，外网单元601中包括：ftp模块6011、web服务模块6012、安全验证模块6013和文件同步模块6014；内网单元603中包括：监测模块6031、信息解析模块6032和上传模块6033。
134.当低安全网域内的外网客户端向网闸系统的外网单元601发送了访问请求和待传输文件之后，ftp模块6011接收外网客户端通过ftp协议发送的待传输文件，web服务模块6012接收外网客户端通过http协议发送的访问请求，访问请求通过安全验证模块6013的验证后，将通过验证的访问请求和待传输文件通过文件同步单元6014同步至专有隔离交换单元602。专有隔离交换单元602将同步后的文件摆渡至内网单元603中。当内网单元603中的监测模块6031监测到有新的待传输文件后，调用信息解析模块6032解析待传输文件。上传模块6033根据信息解析模块6032解析到的文件服务器，将待传输文件上传至高安全网域内对应的文件服务器中。
135.在本发明提供的实施例中，外网单元接收低安全网域内的外网客户端发送的访问请求和待传输文件后，进行安全验证，并将通过验证的待传输文件同步至专有隔离交换器件。专有隔离交换器件将待传输文件摆渡至内网单元中。内网单元对待传输文件进行解析，并上传至高安全网域内的文件服务器中。从而在保证不同安全等级的网域保持隔离的同时，将安全的待传输文件摆渡至高安全网域中。
136.基于同一发明构思，本技术提供一种安全访问内网的系统，参见图8，该实时安全访问内网的系统包括：
137.低安全域客户端801，用于通过文件传输协议ftp和超文本传输协议http向网闸系统802发送待传输文件和访问请求；
138.网闸系统802，用于接收低安全域客户端801发送的待传输文件和访问请求，并执行如上的安全访问内网的方法，以在保证隔离低安全网域和高安全网域的同时，根据访问请求将通过安全验证的待传输文件摆渡至高安全网域文件服务器；
139.高安全域文件服务器803，用于从网闸系统802接收待传输文件并向低安全网域客户端801提供与访问请求相对应的服务；其中，低安全域客户端801和高安全域文件服务器803位于相互隔离的不同网络。
140.其中，低安全域客户端801，具体用于：
141.使用文件传输协议ftp将待传输文件发送给网闸系统；
142.使用超文本传输协议http将访问请求发送给网闸系统。
143.基于同一发明构思，本发明一实施例提供一种实时安全访问内网的装置，该安全访问内网的装置可以是个人电脑等电子设备，该装置可以包括：
144.至少一个处理器，处理器用于执行存储器中存储的计算机程序时实现本技术实施例提供的如上的安全访问内网的方法的步骤。
145.可选的，处理器具体可以是中央处理器、特定应用集成电路(英文：application specific integrated circuit，简称：asic)，可以是一个或多个用于控制程序执行的集成电路。
146.可选的，该数据完整性保护的设备还包括与至少一个处理器连接的存储器，存储
器可以包括只读存储器(英文：read only memory，简称：rom)、随机存取存储器(英文：random access memory，简称：ram)和磁盘存储器。存储器用于存储处理器运行时所需的数据，即存储有可被至少一个处理器执行的指令，至少一个处理器通过执行存储器存储的指令，执行如图一所示的方法。其中，存储器的数量为一个或多个。
147.本技术实施例还提供一种计算机存储介质，其中，计算机存储介质存储有计算机指令，当计算机指令在计算机上运行时，使得计算机执行如上的实时安全访问内网的方法的步骤。
148.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
149.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
150.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
151.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
152.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。