一種服務器與客戶端數據隔離系統及數據傳輸方法，所述服務器與客戶端數據隔離系統包括客戶端和物理服務器，所述物理服務器外設硬件接入卡；所述硬件接入卡通過內部或者外部設備總線與物理服務器連接；物理服務器上運行虛擬服務器；所述硬件接入卡向所述物理服務器或者虛擬服務器呈現用戶界面設備；所述物理服務器或虛擬服務器安裝并運行驅動程序來訪問所述硬件接入卡；所述客戶端與硬件接入卡的網絡接口連接，客戶端與所述硬件接入卡通過網絡進行數據通信。本發明使服務器與客戶端數據傳輸方法能夠以硬件接入卡作為安全邊界，即使硬件接入卡被攻擊而導致癱瘓，內部數據也不存在泄露風險，具有非常有效的安全保障。

技術領域

本發明涉及服務器與客戶端數據隔離技術，尤其是一種基于硬件接入卡的服務器與客戶端數據隔離系統及數據傳輸方法，屬于數據通信技術領域。

背景技術

用戶使用客戶端從網絡訪問服務器是一種常見應用。由于客戶端存在于復雜的互聯網環境中，很可能受到外部攻擊，從而導致服務器被入侵，數據泄露等嚴重后果。

客戶端從網絡訪問服務器的方法有一種是采用虛擬桌面基礎架構(VDI，virtualdesktop interface)的系統，例如：Microsoft的RDP協議，Citrix的ICA協議，Vmware的PCoIP協議，Redhat的SPICE協議。附圖1方法是基于VMware虛擬化技術，利用防火墻、VPN、行為審計等設備建立安全的數據中心及兩地數據中心之間的通信，保護企業重要數據的安全。虛擬桌面是用軟件虛擬出鍵盤，鼠標，顯卡，USB等硬件接口。客戶端通過以太網與虛擬桌面所在的服務器通信。一般過程是，服務器上的CPU運行以太網協議棧和虛擬機管理平臺軟件。由于在網絡上使用了防火墻和VPN等技術，其安全性還是很高的，但是一方面，應用程序、防火墻、VPN和以太網協議棧等軟件的設計和配置都有可能出現漏洞；另一方面，CPU本身也可能有漏洞，那么還是有可能被蠕蟲感染或者直接攻擊，這就存在服務器內部數據泄露的風險。

針對上述問題，一種解決方法是采用帶有網絡功能的KVM模塊。但是KVM模塊與服務器的鍵盤，鼠標和顯卡等輸入輸出端口直接相接，所以只適合于單個客戶控制物理服務器。在多個用戶需要訪問同一臺服務器，比如多個用戶在服務器同時登錄多個賬戶，又或者多個用戶連接服務器上運行的多個虛擬器，這種KVM模塊就不能適用了。

綜上所述，由于現有的客戶端從網絡訪問服務器的方法存在服務器內部數據泄露的風險，那么就需要創新一種更安全可靠的數據隔離系統及數據傳輸方法。

發明內容

本發明的目的是為了解決服務器內部數據泄露的問題，提供一種基于硬件接入卡的服務器與客戶端數據隔離系統及數據傳輸方法。

本發明所述目的是通過以下技術系統實現的：

一種服務器與客戶端數據隔離系統，包括客戶端和物理服務器，所述物理服務器外設硬件接入卡；所述硬件接入卡通過內部或者外部設備總線與物理服務器連接；物理服務器上可以運行虛擬服務器；所述硬件接入卡向所述物理服務器或者虛擬服務器呈現用戶界面設備；所述物理服務器或虛擬服務器安裝并運行驅動程序來訪問所述硬件接入卡；所述客戶端與硬件接入卡的網絡接口連接，客戶端與所述硬件接入卡通過網絡進行數據通信。

上述服務器與客戶端數據隔離系統，所述硬件接入卡包括網絡協議棧模塊、客戶端協議棧模塊和總線接口模塊；所述網絡協議棧模塊，在硬件接入卡上運行網絡協議棧，負責處理網絡協議；所述客戶端協議棧模塊，負責處理硬件接入卡和客戶端之間約定好的輸入輸出設備協議；所述總線接口模塊，負責模擬標準輸入輸出設備。

上述服務器與客戶端數據隔離系統，所述硬件接入卡呈現至少一組物理設備或者虛擬設備，所述物理設備為物理服務器的外設，所述虛擬設備為虛擬服務器的外設。