内外网的数据交换隔离方法、系统、设备及存储介质与流程

1.本发明涉及数据安全技术领域，尤其涉及一种内外网的数据交换隔离方法、系统、设备及存储介质。


背景技术：

2.随着个人信息技术的快速发展，内外网数据交换已成为企业和组织的重要活动；内网用于存储和处理敏感数据、核心业务系统和内部资源，而外网则为企业与合作伙伴、客户和其他外部实体之间的通信和交互提供了平台。然而，内外网数据交换面临着严重的安全风险和挑战，外网处于公共网络中，容易受到各种外部威胁的攻击；如，恶意软件、病毒、木马程序和网络钓鱼等。黑客和恶意行为者利用这些威胁来获取敏感信息、破坏系统或进行其他非法活动，未经适当保护的内外网数据交换可能导致敏感数据的泄露和窃取。攻击者可以在数据传输过程中截获数据，或通过对网络进行侦听和嗅探来获取敏感信息，这可能导致企业声誉受损、商业机密泄露和个人隐私侵犯等问题。在内外网数据交换中，存在身份伪造和冒充的风险；攻击者可以冒充合法用户、设备或系统来获取未经授权的访问权限，这可能导致未经授权的数据访问、系统入侵或其他恶意活动。保证数据在内外网传输过程中的完整性和可信性是一项重要挑战，攻击者可能篡改数据内容，对数据进行操纵或伪造，从而破坏数据的准确性和可靠性。
3.尽管已经存在一些解决方案来应对这些安全挑战，如防火墙、入侵检测系统、加密技术和访问控制机制等，但仍然存在一些缺陷和限制：传统的防护措施通常只提供了一个单一层次的防护，无法全面应对复杂和多样化的攻击手段；攻击者可以通过绕过防护机制来实施攻击；传统的安全措施需要复杂的配置和管理，容易出现配置错误或维护不及时的情况，从而增加了安全风险；传统的加密技术主要关注数据的机密性，但对数据的完整性保护存在局限性；在内外网数据交换过程中，仅仅使用加密技术无法有效防止数据篡改和冒充的风险；传统的访问控制机制往往缺乏灵活性和细粒度的控制，无法满足不同内外网交互场景的需求，这可能导致访问控制策略的过度限制或不足，从而影响数据交换的安全性。
4.因此，当前的内外网数据交换存在着安全风险和挑战，而传统的解决方案在解决这些问题方面存在一些局限性；有必要开发一种更为综合和高效的方法，实现内外网数据交换的隔离和安全保护，以解决现有技术存在的问题。


技术实现要素：

5.为了解决在现有技术中内外网数据交换存在着安全风险和挑战，而传统的解决方案在解决这些问题方面存在一些局限性的问题。
6.第一方面的，本发明实施例提出了一种内外网的数据交换隔离方法，应用于内外网的数据交换隔离系统，系统包括内网数据端、隔离端和外网数据端，内网数据端通过隔离端与内网数据端连接，方法包括：
7.内网数据端获取数据传输的业务请求，其中，业务请求包括身份数据，将身份数据
发送到隔离端；
8.隔离端接收身份数据，并根据身份数据调取身份验证数据，将身份验证数据与身份数据进行比对并生成比对结果；根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数；根据认证验证码和随机数按照预设的算法生成数据交换秘钥，并向外网数据端发送身份认证请求；
9.外网数据端接收身份认证请求，并根据身份认证请求向隔离端发送数据交换确认秘钥；
10.隔离端接收到数据交换确认秘钥后，验证数据交换秘钥与数据交换确认秘钥是否一致，在验证数据交换秘钥与数据交换确认秘钥一致时，向外网数据端发送数据交换秘钥请求；
11.外网数据端接收数据交换秘钥请求，并向隔离端发送数据交换秘钥；
12.隔离端接收数据交换秘钥，向内网数据端获取业务请求，并验证业务请求与数据交换权限对应的数据请求类型之间的对应关系，在确定业务请求与数据请求类型对应之后，通过数据交换秘钥建立内外网传输通道。
13.优选地，根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数，包括：
14.在获取到比对结果后，根据预设的注册表匹配对应的业务类型分区的数据交换权限，每一业务类型分区分别对应一个数据管理秘钥；根据每一数据管理秘钥生成验证码和产生随机数。
15.优选地，在步骤内网数据端获取数据传输的业务请求之前，还包括：
16.隔离端设定业务类型配置策略；
17.内网数据端根据业务类型配置策略，结合待交换的多源异构数据设定相应的业务类型分配规则；
18.隔离端根据业务类型分配规则配置业务请求类型。
19.第二方面的，本发明实施例提出了一种内外网的数据交换隔离方法，应用于内外网的数据交换隔离系统，系统包括内网数据端和隔离端，隔离端与外网数据端连接，方法包括：
20.内网数据端获取数据传输的业务请求，其中，业务请求包括身份数据，将身份数据发送到隔离端；
21.隔离端接收身份数据，并根据身份数据调取身份验证数据，将身份验证数据与身份数据进行比对并生成比对结果；根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数；根据认证验证码和随机数按照预设的算法生成数据交换秘钥，并向外网数据端发送身份认证请求；
22.外网数据端接收身份认证请求，并根据身份认证请求向隔离端发送数据交换确认秘钥；
23.隔离端接收外网数据端根据向隔离端发送数据交换确认秘钥，并验证数据交换秘钥与数据交换确认秘钥是否一致，在验证数据交换秘钥与数据交换确认秘钥一致时，向外网数据端发送数据交换秘钥请求；
24.隔离端接收外网数据端根据数据交换秘钥请求发送的数据交换秘钥，向内网数据
端获取业务请求，并验证业务请求与数据交换权限对应的数据请求类型之间的对应关系，在确定业务请求与数据请求类型对应之后，通过数据交换秘钥建立内外网传输通道。
25.优选地，根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数，包括：
26.在获取到比对结果后，根据预设的注册表匹配对应的业务类型分区的数据交换权限，每一业务类型分区分别对应一个数据管理秘钥；
27.根据每一数据管理秘钥生成验证码和产生随机数。
28.优选地，在步骤内网数据端获取数据传输的业务请求之前，还包括：
29.隔离端设定业务类型配置策略；
30.内网数据端根据业务类型配置策略，结合待交换的多源异构数据设定相应的业务类型分配规则；
31.隔离端根据业务类型分配规则配置业务请求类型。
32.第三方面的，本发明实施例提出了一种内外网的数据交换隔离系统，系统包括内网数据端、隔离端和外网数据端，内网数据端通过隔离端与内网数据端连接，其中，
33.内网数据端，用于获取数据传输的业务请求，其中，业务请求包括身份数据，将身份数据发送到隔离端；
34.隔离端，用于接收身份数据，并根据身份数据调取身份验证数据，将身份验证数据与身份数据进行比对并生成比对结果；根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数；根据认证验证码和随机数按照预设的算法生成数据交换秘钥，并向外网数据端发送身份认证请求；
35.外网数据端，用于接收身份认证请求，并根据身份认证请求向隔离端发送数据交换确认秘钥；
36.隔离端，用于接收到数据交换确认秘钥后，验证数据交换秘钥与数据交换确认秘钥是否一致，在验证数据交换秘钥与数据交换确认秘钥一致时，向外网数据端发送数据交换秘钥请求；
37.外网数据端，用于接收数据交换秘钥请求，并向隔离端发送数据交换秘钥；
38.隔离端，用于接收数据交换秘钥，向内网数据端获取业务请求，并验证业务请求与数据交换权限对应的数据请求类型之间的对应关系，在确定业务请求与数据请求类型对应之后，通过数据交换秘钥建立内外网传输通道。
39.优选地，隔离端包括随机数模块，用于在获取到比对结果后，根据预设的注册表匹配对应的业务类型分区的数据交换权限，每一业务类型分区分别对应一个数据管理秘钥；根据每一数据管理秘钥生成验证码和产生随机数。
40.第四方面的，本发明实施例提出了一种计算机设备，包括有通信相连的存储器和处理器，其中，存储器用于存储计算机程序，处理器用于读取计算机程序，执行如上述实施例所提出的内外网的数据交换隔离方法。
41.第五方面的，本发明实施例提出了一种计算机可读存储介质，计算机可读存储介质上存储有指令，当指令在计算机上运行时，执行如上述实施例所提出的内外网的数据交换隔离方法。
42.有益效果：通过内网数据端首先获取数据传输的业务请求，并将身份数据发送到
隔离端。隔离端接收身份数据后，根据身份数据调取身份验证数据，并将其与身份数据进行比对，生成比对结果。隔离端根据比对结果匹配与业务请求类型关联的数据交换权限，并生成认证验证码和随机数。隔离端向外网数据端发送身份认证请求，并通过数据交换确认秘钥验证数据交换秘钥的一致性；在通过身份认证后，外网数据端与隔离端建立数据交换秘钥，并通过数据交换秘钥建立内外网传输通道。以此解决了在现有技术中内外网数据交换存在着安全风险和挑战，而传统的解决方案在解决这些问题方面存在一些局限性的问题。
附图说明
43.通过阅读下文优选实施方式的详细描述，各种其它的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
44.图1为本发明实施例提出的一种内外网的数据交换隔离方法的流程图；
45.图2为本发明实施例提出的一种内外网的数据交换隔离系统的功能模块示意图；
46.图3为本发明实施例提出的另一种内外网的数据交换隔离系统的功能模块示意图。
具体实施方式
47.为了更清楚地说明发明实施例或现有技术中的技术方案，下面将结合附图和实施例或现有技术的描述对发明作简单地介绍，显而易见地，下面关于附图结构的描述仅仅是发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。在此需要说明的是，对于这些实施例方式的说明用于帮助理解发明，但并不构成对发明的限定。
48.第一方面的，请参阅图1，为本发明实施例提出的一种内外网的数据交换隔离方法，应用于内外网的数据交换隔离系统，系统包括内网数据端、隔离端和外网数据端，内网数据端通过隔离端与内网数据端连接；其中，内外网的数据交换隔离系统可以但不限于由具有一定计算资源的计算机设备执行，例如由个人计算机(personal computer，pc，指一种大小、价格和性能适用于个人使用的多用途计算机；台式机、笔记本电脑到小型笔记本电脑和平板电脑以及超级本等都属于个人计算机)、智能手机、个人数字助理(personal digital assistant，pad)或平台服务端等电子设备。存储端包括主板、存储器及外置数据交换模块，外置数据交换模块和存储器分别与主板连接，存储器内设置有加解密单元和身份数据只读存储单元，方法包括：内网数据端获取数据传输的业务请求，其中，业务请求包括身份数据，将身份数据发送到隔离端；隔离端接收身份数据，并根据身份数据调取身份验证数据，将身份验证数据与身份数据进行比对并生成比对结果；根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数；根据认证验证码和随机数按照预设的算法生成数据交换秘钥，并向外网数据端发送身份认证请求；外网数据端接收身份认证请求，并根据身份认证请求向隔离端发送数据交换确认秘钥；隔离端接收到数据交换确认秘钥后，验证数据交换秘钥与数据交换确认秘钥是否一致，在验证数据交换秘钥与数据交换确认秘钥一致时，向外网数据端发送数据交换秘钥请求；外网数据端接收数据交换秘钥请求，并向隔离端发送数据交换秘钥；隔离端接收数据交换秘钥，
向内网数据端获取业务请求，并验证业务请求与数据交换权限对应的数据请求类型之间的对应关系，在确定业务请求与数据请求类型对应之后，通过数据交换秘钥建立内外网传输通道。以此解决了在现有技术中内外网数据交换存在着安全风险和挑战，而传统的解决方案在解决这些问题方面存在一些局限性的问题。
49.可以理解的，前述执行主体并不构成对本技术实施例的限定，相应的，本方法的运行步骤可以但不限于如下述步骤s11～s16所示。
50.第一方面的，本发明实施例提出了一种内外网的数据交换隔离方法，应用于内外网的数据交换隔离系统，系统包括内网数据端、隔离端和外网数据端，内网数据端通过隔离端与内网数据端连接，方法包括：
51.步骤s11，内网数据端获取数据传输的业务请求，其中，业务请求包括身份数据，将身份数据发送到隔离端；
52.内网数据端可以通过网络接口或其它适当的方式获取业务请求；其中，身份数据可以包括用户的身份信息，例如用户名、密码或其它身份验证凭据，内网数据端将身份数据通过网络连接发送到隔离端。本实施例中，内网数据端可以通过网络接口或其他适当的方式接收到业务请求，如涉及到在内网应用程序中实现业务逻辑来生成业务请求；内网数据端从业务请求中提取身份数据，例如用户名、密码或其它身份验证凭据；同时，使用适当的协议和网络连接，将身份数据传输到隔离端。
53.步骤s12，隔离端接收身份数据，并根据身份数据调取身份验证数据，将身份验证数据与身份数据进行比对并生成比对结果；根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数；根据认证验证码和随机数按照预设的算法生成数据交换秘钥，并向外网数据端发送身份认证请求；
54.隔离端接收到从内网数据端发送的身份数据后，可以根据身份数据调取存储在内部数据库或其它身份验证系统中的身份验证数据。隔离端将接收到的身份验证数据与身份数据进行比对，生成比对结果，用于验证身份数据的准确性。根据比对结果，隔离端可以查找与业务请求类型关联的数据交换权限；其中，数据交换权限可以是预先配置在系统中的访问规则或许可控制列表，用于确定哪些数据可以在内外网之间进行交换。隔离端根据数据交换权限生成认证验证码和随机数，这些值可以用于确保数据交换的安全性和完整性；然后，根据预设的算法，隔离端使用认证验证码和随机数生成数据交换秘钥；同时，隔离端向外网数据端发送身份认证请求，以便进一步验证隔离端与内网数据端之间是否满足数据交换规则。
55.步骤s13，外网数据端接收身份认证请求，并根据身份认证请求向隔离端发送数据交换确认秘钥；
56.外网数据端接收到来自隔离端的身份认证请求后，可以根据请求中的身份数据进行身份验证；验证成功后，外网数据端向隔离端发送数据交换确认秘钥。数据交换确认秘钥是一个数据秘钥的关联值，用于进一步验证数据交换的合法性和完整性。
57.步骤s14，隔离端接收到数据交换确认秘钥后，验证数据交换秘钥与数据交换确认秘钥是否一致，在验证数据交换秘钥与数据交换确认秘钥一致时，向外网数据端发送数据交换秘钥请求；
58.隔离端接收到数据交换确认秘钥后，验证数据交换秘钥与数据交换确认秘钥是否
一致，在验证数据交换秘钥与数据交换确认秘钥一致时，隔离端可以确认数据交换的合法性。隔离端对接收到的数据交换秘钥与数据交换确认秘钥进行比对，确保它们匹配；在确认匹配后，向外网数据端发送数据交换秘钥请求。
59.步骤s15，外网数据端接收数据交换秘钥请求，并向隔离端发送数据交换秘钥；
60.外网数据端接收到来自隔离端的数据交换秘钥请求后，确认身份验证和数据交换确认秘钥验证通过后，可以生成并向隔离端发送数据交换秘钥。数据交换秘钥是使用预设的算法生成的，它将用于加密和解密在内外网之间传输的数据。
61.步骤s16，隔离端接收数据交换秘钥，向内网数据端获取业务请求，并验证业务请求与数据交换权限对应的数据请求类型之间的对应关系，在确定业务请求与数据请求类型对应之后，通过数据交换秘钥建立内外网传输通道。
62.隔离端接收到外网数据端发送的数据交换秘钥后，可以将其用于建立内外网之间的传输通道。隔离端向内网数据端发送请求，获取与业务请求相关的数据。在获取到业务请求后，隔离端验证业务请求与数据交换权限对应的数据请求类型之间的对应关系，确保该业务请求符合预设的数据交换规则。一旦确认业务请求与数据请求类型对应，隔离端将使用之前生成的数据交换秘钥建立内外网的传输通道。该传输通道将用于安全地传输数据，确保内外网之间的数据交换隔离。
63.本实施例中，获取数据传输的业务请求，并将身份数据发送到隔离端；隔离端接收身份数据后，根据身份数据调取身份验证数据，并将其与身份数据进行比对，生成比对结果，根据比对结果匹配与业务请求类型关联的数据交换权限，并生成认证验证码和随机数，向外网数据端发送身份认证请求，并通过数据交换确认秘钥验证数据交换秘钥的一致性；在通过身份认证后，外网数据端与隔离端建立数据交换秘钥，并通过数据交换秘钥建立内外网传输通道。内外网的数据交换隔离系统可以实现安全、可靠的数据交换；身份验证、数据交换权限验证和加密通信的使用，确保了数据传输的合法性和机密性，同时建立的传输通道能够满足内外网之间的数据交换需求。以此解决了现有技术中内外网数据交换存在着安全风险，传统的解决方案存在一些局限性的问题。
64.优选地，根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数，包括：
65.在获取到比对结果后，根据预设的注册表匹配对应的业务类型分区的数据交换权限，每一业务类型分区分别对应一个数据管理秘钥；根据每一数据管理秘钥生成验证码和产生随机数。
66.在获取到比对结果后，隔离端根据预设的注册表来匹配对应的业务类型分区的数据交换权限。其中，注册表可以是一个数据结构，包含了不同业务类型分区和相应的数据管理秘钥。隔离端根据比对结果，选择相应的业务类型分区，获取与该分区相关联的数据管理秘钥；每个业务类型分区都有一个对应的数据管理秘钥，用于加密和解密该分区的数据。
67.隔离端使用选定的数据管理秘钥生成认证验证码和产生随机数，这可以通过密码学安全的伪随机数生成算法来实现；生成的认证验证码和随机数将用于后续的身份认证和数据交换秘钥生成过程。
68.优选地，在步骤内网数据端获取数据传输的业务请求之前，还包括：
69.隔离端设定业务类型配置策略；
70.隔离端根据系统需求和安全策略，制定业务类型配置策略，该策略应考虑到不同业务类型的敏感性、访问权限、数据分类等因素；业务类型配置策略可以包括定义允许的业务类型列表、限制条件以及与每个业务类型相关联的安全规则。
71.内网数据端根据业务类型配置策略，结合待交换的多源异构数据设定相应的业务类型分配规则；
72.内网数据端根据业务类型配置策略和待交换的多源异构数据，制定相应的业务类型分配规则；业务类型分配规则可以基于数据源的特征、敏感性级别、安全要求等因素进行设定。例如，可以根据数据源的ip地址、数据格式、数据标记等属性进行分类，将不同数据源分配到相应的业务类型分区。
73.隔离端根据业务类型分配规则配置业务请求类型。
74.隔离端根据内网数据端设定的业务类型分配规则，为每个业务类型分配一个请求类型标识符或其他方式来标识不同的业务请求类型。其中，请求类型标识符可以是预定义的数字、字符串或代码，用于标识特定的业务请求类型；隔离端根据分配规则将业务请求与相应的业务请求类型关联起来，并确保请求类型的唯一性和安全性。
75.第二方面的，本发明实施例提出了一种内外网的数据交换隔离方法，应用于内外网的数据交换隔离系统，系统包括内网数据端和隔离端，隔离端与外网数据端连接，方法包括：
76.内网数据端获取数据传输的业务请求，其中，业务请求包括身份数据，将身份数据发送到隔离端；
77.内网数据端可以通过网络接口或其它适当的方式获取业务请求；其中，身份数据可以包括用户的身份信息，例如用户名、密码或其它身份验证凭据，内网数据端将身份数据通过网络连接发送到隔离端。本实施例中，内网数据端可以通过网络接口或其他适当的方式接收到业务请求，如涉及到在内网应用程序中实现业务逻辑来生成业务请求；内网数据端从业务请求中提取身份数据，例如用户名、密码或其它身份验证凭据；同时，使用适当的协议和网络连接，将身份数据传输到隔离端。
78.隔离端接收身份数据，并根据身份数据调取身份验证数据，将身份验证数据与身份数据进行比对并生成比对结果；根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数；根据认证验证码和随机数按照预设的算法生成数据交换秘钥，并向外网数据端发送身份认证请求；
79.隔离端接收到从内网数据端发送的身份数据后，可以根据身份数据调取存储在内部数据库或其它身份验证系统中的身份验证数据。隔离端将接收到的身份验证数据与身份数据进行比对，生成比对结果，用于验证身份数据的准确性。根据比对结果，隔离端可以查找与业务请求类型关联的数据交换权限；其中，数据交换权限可以是预先配置在系统中的访问规则或许可控制列表，用于确定哪些数据可以在内外网之间进行交换。隔离端根据数据交换权限生成认证验证码和随机数，这些值可以用于确保数据交换的安全性和完整性；然后，根据预设的算法，隔离端使用认证验证码和随机数生成数据交换秘钥；同时，隔离端向外网数据端发送身份认证请求，以便进一步验证隔离端与内网数据端之间是否满足数据交换规则。
80.外网数据端接收身份认证请求，并根据身份认证请求向隔离端发送数据交换确认
秘钥；
81.外网数据端接收到来自隔离端的身份认证请求后，可以根据请求中的身份数据进行身份验证；验证成功后，外网数据端向隔离端发送数据交换确认秘钥。数据交换确认秘钥是一个数据秘钥的关联值，用于进一步验证数据交换的合法性和完整性。
82.隔离端接收外网数据端根据向隔离端发送数据交换确认秘钥，并验证数据交换秘钥与数据交换确认秘钥是否一致，在验证数据交换秘钥与数据交换确认秘钥一致时，向外网数据端发送数据交换秘钥请求；
83.隔离端接收到数据交换确认秘钥后，验证数据交换秘钥与数据交换确认秘钥是否一致，在验证数据交换秘钥与数据交换确认秘钥一致时，隔离端可以确认数据交换的合法性。隔离端对接收到的数据交换秘钥与数据交换确认秘钥进行比对，确保它们匹配；在确认匹配后，向外网数据端发送数据交换秘钥请求。
84.隔离端接收外网数据端根据数据交换秘钥请求发送的数据交换秘钥，向内网数据端获取业务请求，并验证业务请求与数据交换权限对应的数据请求类型之间的对应关系，在确定业务请求与数据请求类型对应之后，通过数据交换秘钥建立内外网传输通道。
85.外网数据端接收到来自隔离端的数据交换秘钥请求后，确认身份验证和数据交换确认秘钥验证通过后，可以生成并向隔离端发送数据交换秘钥。数据交换秘钥是使用预设的算法生成的，它将用于加密和解密在内外网之间传输的数据。
86.隔离端接收到外网数据端发送的数据交换秘钥后，可以将其用于建立内外网之间的传输通道。隔离端向内网数据端发送请求，获取与业务请求相关的数据。在获取到业务请求后，隔离端验证业务请求与数据交换权限对应的数据请求类型之间的对应关系，确保该业务请求符合预设的数据交换规则。一旦确认业务请求与数据请求类型对应，隔离端将使用之前生成的数据交换秘钥建立内外网的传输通道。该传输通道将用于安全地传输数据，确保内外网之间的数据交换隔离。
87.本实施例中，内外网的数据交换隔离系统可以实现安全、可靠的数据交换。身份验证、数据交换权限验证和加密通信的使用，确保了数据传输的合法性和机密性，同时建立的传输通道能够满足内外网之间的数据交换需求。
88.优选地，根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数，包括：
89.在获取到比对结果后，根据预设的注册表匹配对应的业务类型分区的数据交换权限，每一业务类型分区分别对应一个数据管理秘钥；根据每一数据管理秘钥生成验证码和产生随机数。
90.在获取到比对结果后，隔离端根据预设的注册表来匹配对应的业务类型分区的数据交换权限。其中，注册表可以是一个数据结构，包含了不同业务类型分区和相应的数据管理秘钥。隔离端根据比对结果，选择相应的业务类型分区，获取与该分区相关联的数据管理秘钥；每个业务类型分区都有一个对应的数据管理秘钥，用于加密和解密该分区的数据。
91.隔离端使用选定的数据管理秘钥生成认证验证码和产生随机数，这可以通过密码学安全的伪随机数生成算法来实现；生成的认证验证码和随机数将用于后续的身份认证和数据交换秘钥生成过程。
92.优选地，在步骤内网数据端获取数据传输的业务请求之前，还包括：
93.隔离端设定业务类型配置策略；
94.内网数据端根据业务类型配置策略，结合待交换的多源异构数据设定相应的业务类型分配规则；
95.隔离端根据业务类型分配规则配置业务请求类型。
96.隔离端设定业务类型配置策略；
97.隔离端根据系统需求和安全策略，制定业务类型配置策略，该策略应考虑到不同业务类型的敏感性、访问权限、数据分类等因素；业务类型配置策略可以包括定义允许的业务类型列表、限制条件以及与每个业务类型相关联的安全规则。
98.内网数据端根据业务类型配置策略，结合待交换的多源异构数据设定相应的业务类型分配规则；
99.内网数据端根据业务类型配置策略和待交换的多源异构数据，制定相应的业务类型分配规则；业务类型分配规则可以基于数据源的特征、敏感性级别、安全要求等因素进行设定。例如，可以根据数据源的ip地址、数据格式、数据标记等属性进行分类，将不同数据源分配到相应的业务类型分区。
100.隔离端根据业务类型分配规则配置业务请求类型。
101.隔离端根据内网数据端设定的业务类型分配规则，为每个业务类型分配一个请求类型标识符或其他方式来标识不同的业务请求类型。其中，请求类型标识符可以是预定义的数字、字符串或代码，用于标识特定的业务请求类型；隔离端根据分配规则将业务请求与相应的业务请求类型关联起来，并确保请求类型的唯一性和安全性。
102.第三方面的，请参阅图2和图3，本发明实施例提出了一种内外网的数据交换隔离系统100，内外网的数据交换隔离系统100包括内网数据端110、隔离端120和外网数据端130，内网数据端110通过隔离端120与内网数据端110连接，其中，
103.内网数据端110，用于获取数据传输的业务请求，其中，业务请求包括身份数据，将身份数据发送到隔离端120；
104.隔离端120，用于接收身份数据，并根据身份数据调取身份验证数据，将身份验证数据与身份数据进行比对并生成比对结果；根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数；根据认证验证码和随机数按照预设的算法生成数据交换秘钥，并向外网数据端130发送身份认证请求；
105.外网数据端130，用于接收身份认证请求，并根据身份认证请求向隔离端120发送数据交换确认秘钥；
106.隔离端120，用于接收到数据交换确认秘钥后，验证数据交换秘钥与数据交换确认秘钥是否一致，在验证数据交换秘钥与数据交换确认秘钥一致时，向外网数据端130发送数据交换秘钥请求；
107.外网数据端130，用于接收数据交换秘钥请求，并向隔离端120发送数据交换秘钥；
108.隔离端120，用于接收数据交换秘钥，向内网数据端110获取业务请求，并验证业务请求与数据交换权限对应的数据请求类型之间的对应关系，在确定业务请求与数据请求类型对应之后，通过数据交换秘钥建立内外网传输通道。
109.优选地，隔离端120包括随机数模块121，用于在获取到比对结果后，根据预设的注册表匹配对应的业务类型分区的数据交换权限，每一业务类型分区分别对应一个数据管理
秘钥；根据每一数据管理秘钥生成验证码和产生随机数。
110.具体的，该内外网的数据交换隔离系统100已在第一实施例和第二实施例进行的详细说明，在此不做赘述。
111.第四方面的，还提出了一种内外网的数据交换隔离计算机设备，在硬件层面，包括：数据接口；存储器，用于存储指令；处理器，用于读取存储器中存储的指令，并根据指令执行实施例1中的内外网的数据交换隔离方法：步骤s11，内网数据端获取数据传输的业务请求，其中，业务请求包括身份数据，将身份数据发送到隔离端；步骤s12，隔离端接收身份数据，并根据身份数据调取身份验证数据，将身份验证数据与身份数据进行比对并生成比对结果；根据比对结果匹配与业务请求类型关联的数据交换权限，并根据数据交换权限生成认证验证码和随机数；根据认证验证码和随机数按照预设的算法生成数据交换秘钥，并向外网数据端发送身份认证请求；步骤s13，外网数据端接收身份认证请求，并根据身份认证请求向隔离端发送数据交换确认秘钥；步骤s14，隔离端接收到数据交换确认秘钥后，验证数据交换秘钥与数据交换确认秘钥是否一致，在验证数据交换秘钥与数据交换确认秘钥一致时，向外网数据端发送数据交换秘钥请求；步骤s15，外网数据端接收数据交换秘钥请求，并向隔离端发送数据交换秘钥；步骤s16，隔离端接收数据交换秘钥，向内网数据端获取业务请求，并验证业务请求与数据交换权限对应的数据请求类型之间的对应关系，在确定业务请求与数据请求类型对应之后，通过数据交换秘钥建立内外网传输通道。
112.可选地，该设备还包括内部总线。处理器与存储器和数据接口可以通过内部总线相互连接，该内部总线可以是isa(industry standard architecture，工业标准体系结构)总线、pci(peripheral component interconnect，外设部件互连标准)总线或eisa(extended industry standard architecture，扩展工业标准结构)总线等。总线可以分为地址总线、数据总线、控制总线等。
113.存储器可以但不限于包括随机存取存储器(random access memory，ram)、只读存储器(read only memory，rom)、闪存(flash memory)、先进先出存储器(first input first output，fifo)和/或先进后出存储器(first in last out，filo)等。处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
114.本发明的第四实施例提出的设备的工作过程、工作细节和技术效果，可以参见第一实施例，于此不再赘述。
115.本发明的第五实施例提供了一种存储包含有第一实施例的内外网的数据交换隔离方法的指令的计算机可读存储介质，即计算机可读存储介质上存储有指令，当指令在计算机上运行时，执行如第一方面的内外网的数据交换隔离方法。其中，计算机可读存储介质是指存储数据的载体，可以但不限于包括软盘、光盘、硬盘、闪存、优盘和/或记忆棒(memory stick)等，计算机可以是通用计算机、专用计算机、计算机网络、或者其它可编程装置。
116.本发明的第五实施例提出的计算机可读存储介质的工作过程、工作细节和技术效果，可以参见第一实施例，于此不再赘述。
117.本实施例第六方面提供了一种包含指令的计算机程序产品，当指令在计算机上运行时，使计算机执行如第一实施例的内外网的数据交换隔离方法，其中，计算机可以是通用计算机、专用计算机、计算机网络、或者其它可编程装置。
118.以上所描述的多个实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实时。
119.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台仓库代码的合并装置执行各个实施例或者实施例的某些部分的方法。
120.最后应说明的是：以上仅为发明的优选实施例而已，并不用于限制发明的保护范围。凡在发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在发明的保护范围之内。

技术特征：
1.一种内外网的数据交换隔离方法，其特征在于，应用于内外网的数据交换隔离系统，所述系统包括内网数据端、隔离端和外网数据端，所述内网数据端通过所述隔离端与所述内网数据端连接，方法包括：所述内网数据端获取数据传输的业务请求，其中，所述业务请求包括身份数据，将所述身份数据发送到隔离端；所述隔离端接收所述身份数据，并根据所述身份数据调取身份验证数据，将所述身份验证数据与所述身份数据进行比对并生成比对结果；根据所述比对结果匹配与业务请求类型关联的数据交换权限，并根据所述数据交换权限生成认证验证码和随机数；根据所述认证验证码和随机数按照预设的算法生成数据交换秘钥，并向所述外网数据端发送身份认证请求；所述外网数据端接收所述身份认证请求，并根据所述身份认证请求向所述隔离端发送数据交换确认秘钥；所述隔离端接收到所述数据交换确认秘钥后，验证所述数据交换秘钥与所述数据交换确认秘钥是否一致，在验证所述数据交换秘钥与所述数据交换确认秘钥一致时，向所述外网数据端发送数据交换秘钥请求；所述外网数据端接收所述数据交换秘钥请求，并向所述隔离端发送数据交换秘钥；所述隔离端接收所述数据交换秘钥，向所述内网数据端获取业务请求，并验证所述业务请求与所述数据交换权限对应的数据请求类型之间的对应关系，在确定所述业务请求与所述数据请求类型对应之后，通过所述数据交换秘钥建立内外网传输通道。2.根据权利要求1所述的内外网的数据交换隔离方法，其特征在于，根据所述比对结果匹配与业务请求类型关联的数据交换权限，并根据所述数据交换权限生成认证验证码和随机数，包括：在获取到所述比对结果后，根据预设的注册表匹配对应的业务类型分区的数据交换权限，每一业务类型分区分别对应一个数据管理秘钥；根据每一所述数据管理秘钥生成验证码和产生随机数。3.根据权利要求2所述的内外网的数据交换隔离方法，其特征在于，在步骤所述内网数据端获取数据传输的业务请求之前，还包括：所述隔离端设定业务类型配置策略；所述内网数据端根据所述业务类型配置策略，结合待交换的多源异构数据设定相应的业务类型分配规则；所述隔离端根据所述业务类型分配规则配置业务请求类型。4.一种内外网的数据交换隔离方法，其特征在于，应用于内外网的数据交换隔离系统，所述系统包括内网数据端和隔离端，所述隔离端与外网数据端连接，方法包括：所述内网数据端获取数据传输的业务请求，其中，所述业务请求包括身份数据，将所述身份数据发送到隔离端；所述隔离端接收所述身份数据，并根据所述身份数据调取身份验证数据，将所述身份验证数据与所述身份数据进行比对并生成比对结果；根据所述比对结果匹配与业务请求类型关联的数据交换权限，并根据所述数据交换权限生成认证验证码和随机数；根据所述认证验证码和随机数按照预设的算法生成数据交换秘钥，并向所述外网数据端发送所述身份
认证请求；所述外网数据端接收所述身份认证请求，并根据所述身份认证请求向所述隔离端发送数据交换确认秘钥；所述隔离端接收所述数据交换确认秘钥，并验证所述数据交换秘钥与所述数据交换确认秘钥是否一致，在验证所述数据交换秘钥与所述数据交换确认秘钥一致时，向所述外网数据端发送数据交换秘钥请求；所述隔离端接收所述外网数据端根据所述数据交换秘钥请求发送的数据交换秘钥，所述数据交换秘钥，向所述内网数据端获取业务请求，并验证所述业务请求与所述数据交换权限对应的数据请求类型之间的对应关系，在确定所述业务请求与所述数据请求类型对应之后，通过所述数据交换秘钥建立内外网传输通道。5.根据权利要求4所述的内外网的数据交换隔离方法，其特征在于，根据所述比对结果匹配与业务请求类型关联的数据交换权限，并根据所述数据交换权限生成认证验证码和随机数，包括：在获取到所述比对结果后，根据预设的注册表匹配对应的业务类型分区的数据交换权限，每一业务类型分区分别对应一个数据管理秘钥；根据每一所述数据管理秘钥生成验证码和产生随机数。6.根据权利要求5所述的内外网的数据交换隔离方法，其特征在于，在步骤所述内网数据端获取数据传输的业务请求之前，还包括：所述隔离端设定业务类型配置策略；所述内网数据端根据所述业务类型配置策略，结合待交换的多源异构数据设定相应的业务类型分配规则；所述隔离端根据所述业务类型分配规则配置业务请求类型。7.一种内外网的数据交换隔离系统，其特征在于，所述系统包括内网数据端、隔离端和外网数据端，所述内网数据端通过所述隔离端与所述内网数据端连接，其中，所述内网数据端，用于获取数据传输的业务请求，其中，所述业务请求包括身份数据，将所述身份数据发送到隔离端；所述隔离端，用于接收所述身份数据，并根据所述身份数据调取身份验证数据，将所述身份验证数据与所述身份数据进行比对并生成比对结果；根据所述比对结果匹配与业务请求类型关联的数据交换权限，并根据所述数据交换权限生成认证验证码和随机数；根据所述认证验证码和随机数按照预设的算法生成数据交换秘钥，并向所述外网数据端发送所述身份认证请求；所述外网数据端，用于接收所述身份认证请求，并根据所述身份认证请求向所述隔离端发送数据交换确认秘钥；所述隔离端，用于接收到所述数据交换确认秘钥后，验证所述数据交换秘钥与所述数据交换确认秘钥是否一致，在验证所述数据交换秘钥与所述数据交换确认秘钥一致时，向所述外网数据端发送数据交换秘钥请求；所述外网数据端，用于接收所述数据交换秘钥请求，并向所述隔离端发送数据交换秘钥；所述隔离端，用于接收所述数据交换秘钥，向所述内网数据端获取业务请求，并验证所
述业务请求与所述数据交换权限对应的数据请求类型之间的对应关系，在确定所述业务请求与所述数据请求类型对应之后，通过所述数据交换秘钥建立内外网传输通道。8.根据权利要求7所述的内外网的数据交换隔离系统，其特征在于，所述隔离端包括随机数模块，用于在获取到所述比对结果后，根据预设的注册表匹配对应的业务类型分区的数据交换权限，每一业务类型分区分别对应一个数据管理秘钥；根据每一所述数据管理秘钥生成验证码和产生随机数。9.一种计算机设备，其特征在于，包括有通信相连的存储器和处理器，其中，所述存储器用于存储计算机程序，所述处理器用于读取所述计算机程序，执行如权利要求1～3任一项中所述的内外网的数据交换隔离方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，执行如权利要求1～3任一项中所述的内外网的数据交换隔离方法。

技术总结
本发明公开了一种内外网的数据交换隔离方法、系统、设备及存储介质，涉及数据安全技术领域。方法包括：获取数据传输的业务请求，并将身份数据发送到隔离端；隔离端接收身份数据后，根据身份数据调取身份验证数据，并将其与身份数据进行比对，生成比对结果，根据比对结果匹配与业务请求类型关联的数据交换权限，并生成认证验证码和随机数，向外网数据端发送身份认证请求，并通过数据交换确认秘钥验证数据交换秘钥的一致性；在通过身份认证后，外网数据端与隔离端建立数据交换秘钥，并通过数据交换秘钥建立内外网传输通道。以此解决了现有技术中内外网数据交换存在着安全风险，传统的解决方案存在一些局限性的问题。决方案存在一些局限性的问题。决方案存在一些局限性的问题。


技术研发人员：关彩云 马洪来
受保护的技术使用者：武汉凌云信通科技有限公司
技术研发日：2023.06.14
技术公布日：2023/9/12