专利名称:不同安全级别网络间物理隔离的单向数据交换装置及方法
技术领域:
本发明涉及一种不同安全级别网络间物理隔离的单向数据交换装置及方法。
背景技术:
在数据通信中,不同安全级别网络间可以是内部网路和外部网络之间,或公共网络和专网之间,以及保密网和非保密网之间。为了实现并保证网络数据交换过程的安全,最安全的方式就是物理的分开,实现不同级别网络间的“物理隔离”。如今,现有技术中,通常有光纤单向传输和网闸光纤单向传输是指要发送的数据信号由电信号转换为光信号,然后通过光纤传输给接收方,如图1,此技术可以参考专利文献ZL200610145834. 7 ;网闸或物理网闸,其主要的实现方法是内网和外网分别通过一台主机和一个电子开光相连接,从而实现内外网的“隔断”,这种技术的一个典型方案如图2,并·可参见文献02221130. 6。此类技术已被证明不能有效地抵御木马等多种现代网络攻击手段,此类产品已被禁止使用。现有技术中光纤单向传输传输光信号,容易受到电磁波的影响,导致信息不准确或丢失,同时信号是通过光纤传导的有直接的信息通道,难免会存在隐含通道,因此不能保证信息传输过程的绝对安全;网闸中两个主机不能同时相连,是相对安全的,仍然不是绝对的安全,这两个网络是不可以互相访问的,但内网主机与外网主机同用一个存储介质,两个网络的数据仍然可视作是在同一条线路上传输,无法防止特定病毒和数据窃取技术的攻击。所以目前所有的隔离数据交换的装置都是属于逻辑隔离的范畴,不是真正的物理隔离。在网络问题日趋严重的今天,我军和我国保密机关数据的安全受到了前所未有的严重的挑战,敌方对我方网络信息的窃取和破坏,都会极大地影响我军和我国。因此加强对我方数据绝对安全的研究是十分重要的,这就要求数据安全必须是完全的物理隔离,事实上目前唯一可行的方式是人工交换。人工交换的过程主要包括人工拷贝数据到存储介质、人工交换存储介质、人工读取数据内容。虽然人工交换安全可靠,但是人工数据交换效率低,人为因素较多,交换过程没有系统的自动记录(日志跟踪),光盘介质在使用过程的前、中、后无法安全地回溯。随着数据量的扩大,人工的方式显然成为很多业务的瓶颈。
发明内容
本发明目的是提供一种不同安全级别网络间物理隔离的单向数据交换装置及方法,它无需人工干预,只是通过机械手组件、特定光驱、控制系统、光盘粉碎机(可选配)便可在不同线路上传输数据,起到真正的物理隔离。其原理简单,安全可靠,使得各种入侵漏洞从根本上失去了隐藏的可能,节省人工手动刻盘交换的时间,便于实现数据的自动化安全交换。本发明的技术方案是一种不同安全级别网络间物理隔离的单向数据交换装置,它包括内网处理单元和外网处理单元,在内网处理单元和外网处理单元之间设有进行数据交换的摆渡单元,所述摆渡单元包括内网光驱组、外网光驱组和传递装置,摆渡单元对内网光驱组和外网光驱组形成空气的物理隔离。优选的,所述内网光驱组通过内网数据通道与内网处理单元连接,内网光驱组为刻录光驱,所述外网光驱组通过外网数据通道与外网处理单元连接,外网光驱组为只读光驱,在内网光驱组和外网光驱做之间没有任何电气和光通道的连接,所述传递装置为机械手组件,所述机械手组件在内网光驱组和外网光驱组之间进行光盘的交换。优选的,所述机械手组件包括机械手、抽盘器和抓盘器,机械手可以沿轨道上下垂直移动,机械手还可以沿与光盘开闭方向水平伸缩运动。优选的,所述内网处理单元通过控制通道控制摆渡单元的机械手,将空白光盘放入内网光驱并刻录,所述机械手也可在内网处理单元的控制下取出刻录好的光盘放入外网光驱,读取数据。优选的,所述光盘放在片匣中,每个片匣中又设置有若干抽片,每个抽片上可以放 置一张光盘。一种不同安全级别网络间物理隔离的单向数据交换方法包括以下步骤
(1)内网处理单元控制摆渡单元的机械手,从片匣中取出一张空白光盘并放入内网光
驱;
(2)内网处理单元准备、处理需要发布的数据文件,将所要传递的数据通过内网光驱刻录到上述光盘;
(3)内网处理单元控制摆渡单元的机械手,将刻录好的光盘从内网光驱取出,放入连接外网处理单元的外网光驱;
(4)外网处理单元通过外网数据通道检测到外网光驱组中有数据光盘,开始读取、下载、发布接收到的相关数据文件
如果摆渡数据文件成功,则外网处理单元控制外网光驱,通过一直打开只读光驱仓门的方式,通知摆渡单元摆渡任务成功;
如果摆渡数据文件失败,则外网处理单元控制外网光驱,通过反复打开和关闭只读光驱仓门的方式,通知摆渡单元摆渡任务失败,并且根据只读光驱仓门弹出的次数来确定失败原因;
(5)内网处理单元通过摆渡单元读取摆渡任务是否成功,并控制摆渡单元的机械手,从外网处理单元的外网光驱取出光盘,如果是十分机密的信息机械手组件将光盘放入粉碎机(可选配),进行粉碎;还可以通过摆渡单元的管理软件进行归档,放入片匣;
(6)至此数据安全交换成功,整个摆渡过程将记录在摆渡单元的管理系统。本发明的优点是
1.本发明优先采用机械手实现数据介质摆渡,无直接连接和隐含通道,从而做到了内外网之间没有任何连线的物理(空气)隔离;
2.与原来的技术相比,本发明由于光驱选择的特殊性(内网光驱为刻录光驱,外网光驱为只读光驱)数据只能单向流动,使得各种入侵漏洞从根本上失去了隐藏的可能,数据交换绝对安全可靠的。3.与原来的技术相比,本发明采用一次可写的光盘介质,数据内容以加密的方式传递,并且可选配安装粉碎机,自动将摆渡后的光盘粉碎销毁,对于国家机密数据更加安全。
4.与原来手工刻盘相比,本发明可以使大量的光驱(光驱组)并行工作,所以内网光驱组和外网光驱组中的光驱数量可以按需求增加,使得多个数据交换任务可以同时进行,极大地提高数据交换速率。5.摆渡完成后可以自动通知操作者,无需人工值守和查看,同时整个摆渡过程自动记录在日志当中,便于查询。
下面结合附图及实施例对本发明作进一步描述
图I为现有技术光纤单向传输
图2为现有技术的网闸不意图;
图3为本发明具体实施例框 图4为本发明具体实施例摆渡单元原理 图5为本发明具体实施例摆渡文件成功后机械手抓盘的示意图。其中1内网处理单元;2内网数据通道;3控制通道;4摆渡单元;5外网数据通道;6外网处理单元;7机械手;8片匣;9抽片;10光盘;11抽盘器;12抓盘器;13内网光驱(刻录光驱);14外网光驱(只读光驱);15粉碎机。
具体实施例方式实施例如图3、图4所示,不同安全级别网路间物理隔离的单向数据交换装置设置有内网处理单元I、外网处理单元6和进行数据交换的摆渡单元4,所述摆渡单元4包括内网光驱组(刻录光驱)13、外网光驱组(只读光驱)14、机械手组件7、粉碎机(可选配)15、片匣(光盘缓冲区)8,每个片匣8中又设置有若干抽片9,每个抽片9上可以放置一张光盘
10。所述机械手组件包括机械手7、抽盘器11和抓盘器12。机械手7可以沿轨道上下垂直移动,机械手7还可以沿与光盘10开闭方向水平伸缩运动。不同安全级别网路间物理隔离的单向数据交换装置,是由内网处理单元I通过控制线3控制摆渡单元4的机械手7,将空白光盘10放入内网光驱(刻录光驱)13并刻录,所述机械手7再次在内网处理单元I的控制下取出刻录好的光盘10放入外网光驱(只读光驱)14,读取数据。做到了内外网之间没有任何连线的物理(空气)隔离。内网光驱组13和外网光驱组14中的光驱数量可以按需求增加,使得多个数据交换任务可以同时进行,可以大幅度提高数据交换速率。本实施例的工作原理如下
(1)内网处理单元I通过控制通道3控制摆渡单元4从片匣8中找到一张空白光盘10,摆渡单元的机械手7升降到合适的位置抽盘器11抽盘,抓盘器12抓盘,所述抓盘器12通过机械手7的升降将抓到的空白光盘10放入内网光驱(刻录光驱)13 ;
(2)内网处理单元I准备、处理需要发布的数据文件,将所要传递的数据通过内网数据通道2写入上述光盘10 ;
(3)内网处理单元I通过控制摆渡单元4的机械手7,将刻录好的光盘10从内网光驱(刻录光驱)13取出,放入连接外网处理单元6的外网光驱(只读光驱)14 ;
(4)外网处理单元6通过外网数据通道5检测到外网光驱组(只读光驱)14中有数据光盘10,开始读取、下载、发布接收到的相关数据文件
如果摆渡数据文件成功,则外网处理单元6控制外网光驱(只读光驱)14,通过一直打开只读光驱仓门的方式,通知摆渡单元4摆渡任务成功;
如果摆渡数据文件失败,则外网处理单元6控制外网光驱(只读光驱)14,通过反复打开和关闭只读光驱仓门的方式,通知摆渡单元4摆渡任务失败,并且根据只读光驱仓门弹出的次数来确定失败原因;
(5)内网处理单元I通过摆渡单元4读取摆渡任务是否成功,并控制摆渡单元的机械手7,从外网处理单元6的外网光驱(只读光驱)14取出光盘10,如果是十分机密的信息机械手组件将光盘10放入粉碎机(可选配)15,进行粉碎;当然还可以通过摆渡单元4的管理软件进行归档,放入片匣8;
(6)至此数据安全交换成功,整个摆渡过程将记录在摆渡单元4的管理系统。 对于经充分说明的本发明来说,还可具有多种变换及改型的实施方案,并不局限于上述实施方式的具体实施例。上述实施例仅仅作为本发明的说明,而不是对本发明的限制。总之,本发明的保护范围应包括那些对于本领域普通技术人员来说显而易见的变换或替代以及改型。本具体实施例中的传递装置采用的是机械手,也可以采用其他无直接连接的方法,如气动传输等。
权利要求
1.一种不同安全级别网络间物理隔离的单向数据交换装置,它包括内网处理单元(I)和外网处理单元(6 ),其特征在于在内网处理单元(I)和外网处理单元(6 )之间设有进行数据交换的摆渡单元(4),所述摆渡单元(4)包括内网光驱组(13)、外网光驱组(14)和传递装置,摆渡单元(4)对内网光驱组(13)和外网光驱组(14)形成空气的物理隔离。
2.根据权利要求I所述的不同安全级别网络间物理隔离的单向数据交换装置,其特征在于所述内网光驱组(13)通过内网数据通道(2)与内网处理单元(I)连接,内网光驱组(13)为刻录光驱,所述外网光驱组(14)通过外网数据通道(5)与外网处理单元(6)连接,外网光驱组(14)为只读光驱,在内网光驱组(13)和外网光驱组(14)之间没有任何电气或光通道的连接。
3.所述传递装置为机械手组件,所述机械手组件在内网光驱组(13)和外网光驱组(14)之间进行光盘(10)的交换。
4.根据权利要求I所述的不同安全级别网络间物理隔离的单向数据交换装置,其特征在于所述机械手组件包括机械手(7)、抽盘器(11)和抓盘器(12),机械手(7)可以沿轨道上下垂直移动,机械手(7)还可以沿与光盘(10)开闭方向水平伸缩运动。
5.根据权利要求2所述的不同安全级别网络间物理隔离的单向数据交换装置,其特征在于所述内网处理单元(I)通过控制通道(3)控制摆渡单元(4)的机械手(7),将空白光盘(10)放入内网光驱(13)并刻录,所述机械手(7)也可在内网处理单元(I)的控制下取出刻录好的光盘(10)放入外网光驱(14),读取数据。
6.根据权利要求2所述的不同安全级别网络间物理隔离的单向数据交换装置,其特征在于所述光盘(10)放在片匣(8)中,每个片匣(8)中又设置有若干抽片(9),每个抽片(9)上可以放置一张光盘(10)。
7.根据权利要求I所述的不同安全级别网络间物理隔离的单向数据交换方法,其特征在于包括以下步骤 (1)内网处理单元(I)控制摆渡单元(4)的机械手(7),从片匣(8)中取出一张空白光盘(10)并放入内网光驱(13); (2)内网处理单元(I)准备、处理需要发布的数据文件,将所要传递的数据通过内网光驱(13)刻录到上述光盘(10); (3)内网处理单元(I)控制摆渡单元(4)的机械手(7),将刻录好的光盘(10)从内网光驱(13)取出,放入连接外网处理单元(6)的外网光驱(14); (4)外网处理单元(6)通过外网数据通道(5)检测到外网光驱组(14)中有数据光盘(10),开始读取、下载、发布接收到的相关数据文件 如果摆渡数据文件成功,则外网处理单元(6)控制外网光驱(14),通过一直打开只读光驱仓门的方式,通知摆渡单元(4)摆渡任务成功; 如果摆渡数据文件失败,则外网处理单元(6)控制外网光驱(14),通过反复打开和关闭只读光驱仓门的方式,通知摆渡单元(4)摆渡任务失败,并且根据只读光驱仓门弹出的次数来确定失败原因; (5 )内网处理单元(I)通过摆渡单元(4 )读取摆渡任务是否成功,并控制摆渡单元的机械手(7),从外网处理单元(6)的外网光驱(14)取出光盘(10),如果是十分机密的信息机械手组件将光盘(10)放入粉碎机(15)(可选配),进行粉碎;还可以通过摆渡单元(4)的管理软件进行归档,放入片匣(8); (6)至此数据安全交换成功,整个摆渡过程将记录在摆渡单元(4)的管理系统。
全文摘要
本发明公开了不同级别网路间物理隔离的单向数据交换装置及方法,它包括内网处理单元和外网处理单元,在内网处理单元和外网处理单元之间设有进行数据交换的摆渡单元,所述摆渡单元包括内网光驱组(刻录光驱)、外网光驱组(只读光驱)和机械手组件。它无需人工干预,只是通过机械手组件、特定光驱、控制系统和光盘粉碎机(选配)无直接连接便可使数据传输,起到真正的物理隔离;其原理简单,安全可靠,使得各种入侵漏洞从根本上失去了隐藏的可能,节省人工手动刻盘交换的时间,便于实现数据的安全交换,为我军和我国保密机关数据安全存储和交换提供了方便。
文档编号B25J5/02GK102938761SQ201210405698
公开日2013年2月20日 申请日期2012年10月22日 优先权日2012年10月22日
发明者刘建梅, 许长江, 张满新, 宋林峰, 邵征宇 申请人:苏州互盟信息存储技术有限公司