一种采用无线激光对信息进行安全传输的方法

1.本发明属于无线光通信
技术领域：
：，涉及一种采用无线激光对信息进行安全传输的方法。
背景技术：
：：2.随着信息技术的发展，网络在生活工作中扮演的角色日益重要，随之而来的网络信息安全问题也日益增多，信息泄露的风险也不断增加。如今，电子商务、互联网金融、各企业单位和事业单位的信息化建设等都促进了社会进步，提高了人们的生活质量。随着网络应用越来越广泛，网络对社会的影响也越来远大，有更多的黑客在政治、经济等因素的驱动下，从事以达到政治目的或获取经济利益为目标的非法网络攻击，对于银行金融，军政企事业机关等特殊行业而言，信息系统中的数据涉及到国家军事、经济等方面的发展，维护信息安全就变得异常重要。[0003][0004]为保证信息安全和健康的网络环境，人们采取了各种方法，当前，许多事业单位，军工单位的业务信息和办公环境大多数都处于公司网络的军事区，存在防火墙、入侵检测、入侵防护等保护措施，但是这些传统的信息安全技术从软件层面对需要传输的数据进行检测和监控，不能满足不同安全等级的网络从物理上隔离以保证较高密级的网络数据安全不泄密的条件；另一种方法是将涉密网络与非涉密网络进行隔离，但是涉密网络环境的业务需要从非涉密网络中获取信息，传统的物理隔离卡方法是通过使用物理隔离卡保证两个网络之间在不安全的时候断开连接，但是这种人工切换的方式效率低，制约了互联网应用的发展。利用网闸连接涉密网络和非涉密网络，保护内部网络，但是这种方法的数据传输是双向的，虽然可控制数据传输方向，但是也存在信息泄露的可能性。物理上的隔离使得传输脱节，且在数据传输时，如果利用u盘进行传输更加不可靠，u盘很容易感染病毒，感染病毒的u盘就非常有可能成为泄密的载体，在进行数据传输的时候导致信息泄露。技术实现要素：[0005]本发明的目的是提供一种采用无线激光进行信息安全性传输的方法，该方法利用光的单向传输和保密性强的特性，将物理层与软件层结合共同控制数据流向，保证数据的安全传输，防止信息泄露。[0006]本发明所采用的技术方案是，一种采用无线激光对信息进行安全传输的方法，具体包括如下步骤：[0007]步骤1，采用外网处理单元发送文件；[0008]步骤2，将步骤1发送的文件通过单向无线光传输单元传输至内网处理单元；[0009]步骤3，内网处理单元接收文件并对文件进行处理。[0010]本发明的特点还在于：[0011]步骤1的具体过程为：[0012]步骤1.1，以管理员身份登录外网处理单元并对文件进行处理；[0013]步骤1.2，以用户身份登录外网处理单元并对文件进行处理。[0014]步骤1.1的具体过程为：[0015]步骤1.1.1，设定固定的ip地址，将ip地址与固定的mac地址绑定，ip地址与mac地址都通过验证后，根据默认用户名密码登录系统；[0016]步骤1.1.2，管理员导入excel表格中的用户信息，判断excel表格中的数据与数据库表中的字段是否吻合，若不吻合，提示操作者下载专用模板进行导入；[0017]步骤1.1.3，在web页面上添加允许传输的文件类型、敏感词汇，将所填写的内容添加到数据库相对应的表中；[0018]步骤1.1.4，导入新的病毒库刷新现有的病毒数据库，导入时使用npoi，将excel文件读取为数据流，将该数据流保存至datatable中添加到数据库中；[0019]步骤1.1.5，在web页面中填写符合要求的起始ip地址，将ip地址添加到数据库策略表中；同时，在web页面中填写符合要求的端口号，将端口号添加至数据库策略表中；[0020]步骤1.1.6，管理员查询访问用户的账号id以及ip地址，若发现可疑账号立即禁用；[0021]步骤1.1.7，记录传输文件的文件名、路径、区域信息，记录数据审查检查到的关键字、文件类型、病毒信息，保存系统告警、连接限制、系统设定、通信控制这些日志告警信息；管理员根据条件查询日志信息，同时支持日志备份，导入和导出。[0022]步骤1.2的具体过程为：[0023]步骤1.2.1，用户登录前先获取当前登录的ip地址，检查是否符合设定的ip段，若符合，则验证用户名密码登录，若不符合，则禁止登录；[0024]步骤1.2.2，用户通过系统连接邮件服务器，从而获取邮箱中收到的邮件信息，包括发送时间、发件人、收件人、邮件的主题、邮件的正文内容、邮件的附件内容、主题读取并写入.eml文件；[0025]步骤1.2.3，在外网处理单元的软件系统中选择数据库类型以及源数据库服务器名称、登录名、密码，使用odbc连接池实现数据库连接；[0026]步骤1.2.4，选择要同步的数据库名、目标数据库服务器名称、目标数据库类型、目标数据库登录名、密码；[0027]步骤1.2.5，监控源数据库的日志文件，出现增量数据后对日志进行解析，重构，生成结构的xml文件；[0028]步骤1.2.6，输入ftps服务器地址、用户名、密码、验证用户名和密码，连接ftps服务器，设置监视器，监测ftps服务器上的增量文件，获取文件信息，保存文件；[0029]步骤1.2.7，输入ftps服务器地址、用户名、密码、验证用户名和密码，连接ftps服务器，获取ftps服务器上符合权限的文件，并将文件列表循环输出，以供用户查看；[0030]步骤1.2.8，发现未发送成功的文件，选择重新传输，调取数据库中发送文件记录表，获取当前文件的文件名称，文件路径，再次重新读取文件；[0031]步骤1.2.9，发送文件前对文件进行检查。[0032]步骤3的具体过程为：[0033]步骤3.1，内网处理单元接收由单向无线光传输单元传输来的数据流并对数据流进行解析，并进行协议转换，生成文件并判断该文件应用层协议；[0034]步骤3.2，根据应用层协议上传文件至对应的服务器；[0035]步骤3.3，对上传至服务器的文件进行解析，解析出的协议为smtp或pop3协议，则将解析出的.eml文件再次进行解析，将内容上传至内网邮件服务器，实现邮件中继；[0036]步骤3.4，对解析出的xml文件再次进行解析，重构出完整的sql语句，上传至数据库，实现同步功能；[0037]步骤3.5，若解析出的应用层协议为ftps协议，则连接ftps服务器，将文件上传至内网的ftps服务器。[0038]本发明的有益效果如下：[0039]1.可登录系统的用户由管理员导入，不允许随意注册，控制用户登录的网段，管理员通过固定链路登录，使用ip地址与mac地址相结合的方式，控制管理员登录地址，降低了信息外泄的可能性。[0040]2.软件层面控制端口号，发送或接收数据都受到了控制，以防止程序入侵导致信息泄露。[0041]3.发送文件前进行数据审查最大程度保证文件的安全性，防止危险文件被发送导致的信息泄露。[0042]4.设置网络设备与光设备之间的数据流向，数据流传输前先判断发送方与接收方，若发送方为网络设备，才允许数据流传输以控制数据单向流动。物理层面则利用激光的保密性与单向性实现数据的单向传输。[0043]5.在文件传输过程中出现掉电情况或断网情况有相应的处理。固定时间间隔自动记录传输文件的信息以及传输进度到日志文件中，检测到下次开机后自动扫描日志文件，查询最新的操作记录并对传输进度进行判断，若发送状态不是完成，则提示用户该文件传输中断，并重新获取该文件信息进行重传。出现突然断网的情况，系统将自动尝试恢复网络，网络恢复正常后，自动恢复数据传输。附图说明[0044]图1是本发明一种采用无线激光对信息进行安全传输的方法采用的传输系统框图；[0045]图2是本发明一种采用无线激光对信息进行安全传输的方法中采用的系统硬件中的外网处理单元与pc端接口结构图；[0046]图3是本发明一种采用无线激光对信息进行安全传输的方法中单向无线光传输单元的结构示意图。[0047]图中，1.外网处理单元；[0048]2.单向无线光传输单元，2‑1.信源，2‑2.调制模块，2‑3.信号发送模块，2‑4.信号接收模块，2‑5.解调模块，2‑6.信宿；[0049]3.内网处理单元。具体实施方式[0050]下面结合附图和具体实施方式对本发明进行详细说明。[0051]本发明一种采用无线激光对信息进行安全传输的方法，该方法采用的传输系统结构如图1所示，包括，外网处理单元1，外网处理单元1通过单向无线光传输单元2向内网处理单元3发送信息。[0052]如图2所示，外网处理单元1包括外网接口、管理员接口、用户接口及内网接口。[0053]具体包括如下步骤：[0054]步骤1，外网处理单元1发送文件；[0055]1.1，管理员登录系统；[0056]1.1.1，管理员登录。为防止管理信息旁入，管理员只允许从固定链路登录，用网线连接固定的计算机，设置固定ip地址，选择mac地址与ip地址相结合控制访问链路，mac地址与ip地址都正确情况下，才允许登录。[0057]1.1.2，导入用户信息表。导入时判断excel表格中的数据与数据库表中的字段是否吻合，若不吻合，提示操作者下载专用模板进行导入，导入时使用npoi，将excel文件读取为数据流，将其保存至datatable中添加到数据库中。[0058]1.1.3，策略定制。在web页面上添加允许传输的文件类型，敏感词汇，将所填写的内容添加到数据库相对应的表中，及时更新病毒库，导入新的病毒库刷新现有的病毒数据库，导入时使用npoi，将excel文件读取为数据流，将其保存至datatable中添加到数据库中；将新的ip地址，端口号用sql语句添加到数据库对应的表中以供查询。[0059]1.1.4，网络访问控制。管理员可以查询访问用户的账号id以及ip地址，发现可疑账号可禁用，修改登录者登录状态，建立长连接监视，当发现被禁用，强制被禁用者退出系统。[0060]1.1.5，日志审计功能。记录使用系统的记录，包括传输文件的文件名、路径、区域等信息，数据审查检查到的关键字、文件类型、病毒等信息，保存系统告警、连接限制、系统设定、通信控制等各类日志告警信息，编写日志模块的程序，在需要保存日志的操作程序位置调用函数，追加日志信息到日志文件中，按照日期自动生成日志文件，按照年月日格式命名。为了方便查询，将日志文件存入数据库的表中，详细记录传输文件的文件名、路径、区域等信息，记录数据审查检查到的关键字、文件类型、病毒等信息，保存系统告警、连接限制、系统设定、通信控制等各类日志告警信息。管理员可根据需要选择要查询的模块信息，根据条件查询日志信息。同时支持日志备份，导入和导出。[0061]1.2，用户登录系统。[0062]1.2.1，用户登录[0063]用户登录前先获取当前登录的ip地址，检查是否符合设定的ip段，若符合，则验证用户名密码登录，若不符合，则禁止登录。[0064]1.2.2，生成文件[0065]1.2.2.1，邮件中继功能。外网处理单元的软件系统使用pop3/smtp协议，验证填写的用户名和密码，连接邮件服务器，客户端向邮件服务器发送请求，收到邮件服务器的确认后连接成功后，发送“data”关键字，收到邮件服务器的确认后在系统中获取邮件数据，包括邮件头和邮件体，其中邮件头包括邮件的发送时间、发件人、收件人、邮件的主题；邮件体包括邮件的正文内容和邮件的附件内容，将读取到的邮件列表返回至页面中，用户选择需要的邮件，将邮件内容以数据流的形式输出为.eml文件。[0066]1.2.2.2，数据库同步。通过系统的数据库同步模块实现外网向内网的单向数据库同步，支持oracle/sqlserver/mysql/db2/sybase/postgresql主流数据库，也支持武汉梦达、人大金仓登数据库的同步。使用数据日志法，在外网处理单元的软件系统中选择数据库类型以及源数据库服务器名称、登录名、密码，使用odbc连接池实现数据库连接，选择要同步的数据库名，目标数据库服务器名称，目标数据库类型，目标数据库登录名，密码。系统对源数据库的日志文件进行监控，出现增量数据后对日志进行解析，生成固定结构的xml文件并保存。[0067]1.2.2.3，普通文件准备。包括主动交换文件和被动交换文件两种。系统可实现主动从外网ftps服务器上抓取文件发送至内网的ftps服务器上，也可由用户自行选择要传输的文件。外网处理单元使用系统内置ftps服务器，主动交换文件，设置监视器，监测ftps服务器上的增量文件，获取文件信息进行发送。被动方式传输是用户可通过软件系统与ftps服务器连接，验证用户名和密码，连接成功后可读取ftps服务器上符合权限的文件，并将文件列表循环输出，用户可选择需要的文件。[0068]1.2.4，文件校验二次传输。无反馈的传输导致外网处理单元无法判断内网处理单元是否接收到完整且正确的文件，向用户提供传输记录查询功能，用户可查询发送文件记录，当发现丢失或错误的未发送成功的文件，选择重新传输。[0069]1.2.3，发送文件；[0070]1.2.3.1，数据审查；[0071]发送文件前进行文件类型检查、关键字检查以及病毒检查，满足条件的文件才能被允许发送，否则删除文件并记录警告信息。[0072]文件类型检查；[0073]判断文件类型。判断文件类型时，不能简单的根据文件的后缀名进行判断，安全性太低，而是读取文件的数据流，根据文件格式编码获取文件类型。[0074]检查文件类型。判断获取到的文件类型是否符合管理员设定的可允许传输的文件类型，符合则进行下一步检查，不符合则删除文件并提示用户文件不符合传输条件，已删除。[0075]关键字检查；根据管理员设定的敏感词汇，建立字典树，遍历树形结构，利用文本分词技术将读取的文件分成若干个词语，用词语与敏感词汇字典树进行匹配，若发现敏感词汇，将文件中的涉密或不健康信息进行过滤或直接删除信息并记录警告日志，若未发现，则进行下一步检查。[0076]病毒检查；打开文件，获取文件的所有节的大小与哈希值，再进行一次哈希，得到一个字符串，逐一匹配特征码，与病毒库进行对比，检测病毒，如果是病毒文件，则删除文件并提示，如果不是病毒文件，则发送该文件。[0077]1.2.3.2，私有协议开发。考虑数据传输的单向性，采用无连接的传输协议，外网处理单元只负责发送数据，不需要获取反馈信息，内网处理单元只负责接收数据并解析文件。设计私有协议报文结构，包括源端口、目的端口、文件数目、长度、文件信息、校验值、数据实体部分，其中数据实体部分的长度可变，使用md5校验值检测文件的完整性。使用私有协议发送文件。[0078]1.2.3.3，掉电保护。固定时间间隔自动记录传输文件的信息以及传输进度到日志文件中，检测到下次开机后自动扫描日志文件，查询最新的操作记录并对传输进度进行判断，若发送状态不是完成，则提示用户该文件传输中断，并重新获取该文件信息进行重传。[0079]1.2.3.4，断网恢复。断网后自动尝试重连网络，连接成功后扫描日志文件，查询最新的操作记录并对传输进度进行判断，若发送状态不是完成，则提示用户该文件传输中断，并重新获取该文件信息进行重传。[0080]步骤2，单向无线光传输单元2传输文件；[0081]将步骤1发送的文件通过单向无线光传输单元传输至内网处理单元，由内网处理单元接收。[0082]单向无线光传输单元2的结构如图3所示：包括由发射终端和接收终端，发送终端包括信号信源、信号调制、信号发送；接收终端包括信号接收探测、信号解调和信宿。[0083]发送终端包括信源2‑1、调制模块2‑2、信号发送模块2‑3；接收终端包括信号接收模块2‑4、解调模块2‑5、信宿2‑6；信源2‑1(信源2‑1即为外网处理单元1发送的文件信号)与调制模块2‑2连接；[0084]调制模块2‑2与信号发送模块2‑3连接，调制模块2‑2将输入信号加载到激光器发射的激光上，输出为已调制的光信号，并发送至大气信道中。[0085]信号接收模块2‑4与解调模块2‑5连接，经过解调后，得到被传输的信号。[0086]信源2‑1是电信号，即外网用户在pc机上要传输的数据。[0087]信源2‑1与调制模块2‑2之间用电信号连接。[0088]调制模块2‑2包括激光器和调制器，激光器和调制器之间用光纤连接，激光器的作用就是发送激光，属于光信号。让要传输的信号加载到激光上进行传输，这个过程就是调制，调制器其实就是一个光电转换器。[0089]信号发送模块2‑3和调制模块2‑2之间用光纤连接。[0090]信号发送模块2‑3包括光纤放大器和发射天线：经调制器调制后的光信号通过光纤放大器进行放大，以达到光源功率与高调制速率的统一；发射天线就是将搭载在激光上，放大后的光信号发送出去。[0091]信号发送模块2‑3和信号接收模块2‑4之间是短距离的大气信道。[0092]信号接收模块2‑4包括接收天线和光电探测器：接收天线在接收端进行光信号的接收，经过光纤送入光电探测器中；信号接收模块2‑4和解调模块2‑5之间由光纤连接。[0093]解调模块2‑5包括解调器，解调器的作用就是将搭载在激光上的信号从激光中分离出来，获取传输的电信号。解调模块2‑5和信宿2‑6之间由射频连接；信宿2‑6是电信号，即内网用户在内网pc机上接收外网传输的数据。信宿2‑6即为内网处理单元要接收的文件信号。[0094]单向无线光传输单元2传输过程为：将信源2‑1发送到调制器，同时激光器向调制器发射激光，使信源加载到激光上进行传输，信源在调制器内进行光电转换，经过调制器调制后的光信号通过光纤放大器进行放大，通过发射天线将放大后的光信号发送给接收天线，接收天线将接收的信号经过光纤送入光电探测器中，光电探测器将探测到的信号发送给解调器，在解调器中将搭载在激光上的信号从激光中分离出来，获取传输的电信号，该电信号即为信宿2‑6。[0095]步骤3，内网处理单元3接收文件[0096]3.1，接收文件；[0097]监听设置的端口，接收传来的数据流，对数据流进行解析并进行协议转换，得到安全数据文件并获取应用层协议。[0098]3.2，上传文件；[0099]3.2.1邮件中继；解析出的协议为smtp或pop3协议，则将解析出的.eml文件再次进行解析，将内容上传至内网邮件服务器，实现邮件中继。[0100]3.2.2数据库同步；内网接收到xml文件后对文件进行解析，重构出完整的sql语句，实现同步功能。[0101]3.2.3，普通文件上传；解析出的应用层协议为ftps协议，则连接ftps服务器，将文件上传至内网的ftps服务器，实现文件共享。[0102]步骤4定时清理缓存空间；设置特定的时间清理缓存中的文件碎片，修复系统错误以保证文件访问效率。当前第1页12当前第1页12