基于单向安全隔离网闸的数据传输方法和系统的制作方法
【技术领域】
[0001]本发明涉及互联网领域,具体而言,涉及一种基于单向安全隔离网闸的数据传输方法和系统。
【背景技术】
[0002]采用无反馈的单向传输技术能够保证数据单向的从低密级网络流向高密级网络,解决了数据传输中高密级网络信息泄露的问题。单向安全隔离网闸具有类似于二极管单向导电的特性,其采用硬件架构设计使得数据仅能从外网低密级网络终端即非信任端,传输至高密级网络终端即信任端。单向安全隔离网闸能够从物理链路层、传输层保证数据的绝对单向流动。然而,正是由于信息的单向流动,使得数据传输中低密级网络终端不会接收到高密级网络终端发出的任何形式的反馈信号,因此,所有需要“握手”确认的通信协议在信息单向导入系统中都会失去意义。
[0003]TCP协议是一种面向连接的、可靠的、基于字节流的运输层通信协议。TCP在建立连接时需经过三次握手,即客户端与服务器经过syn与ack的交互后,方能建立连接。由于单向安全隔离网闸没有回溯机制,数据不能由高密级网络向低密级网络传输,因此,当低密级网络终端与高密级网络终端明确指定使用TCP协议进行数据发送或接收时,单向安全隔离网闸无法实现TCP协议的数据摆渡,且在高密级网络终端不做任何信息反馈时无法确保数据的可靠到达。
[0004]针对现有技术中低密级网络终端与高密级网络终端无法通过单向安全隔离网闸进行TCP协议的数据传输的问题,目前尚未提出有效的解决方案。
【发明内容】
[0005]本发明的主要目的在于提供一种基于单向安全隔离网闸的数据传输方法和系统,以解决现有技术中低密级网络终端与高密级网络终端无法通过单向安全隔离网闸进行TCP协议的数据传输的问题。
[0006]为了实现上述目的,根据本发明实施例的一个方面,提供了一种基于单向安全隔离网闸的数据传输方法。根据本发明的基于单向安全隔离网闸的数据传输方法包括:第一处理设备与低密级网络终端通过TCP连接请求建立通信关系;第一处理设备接收低密级网络终端发出的数据信息;第一处理设备将数据信息通过隔离板卡传输至第二处理设备;在第二处理设备与高密级网络终端通过TCP连接请求建立通信关系之后,第二处理设备将接收到的数据信息发送至高密级网络终端。
[0007]为了实现上述目的,根据本发明实施例的另一方面,提供了一种基于单向安全隔离网闸的数据传输系统。根据本发明的基于单向安全隔离网闸的数据传输系统包括:第一处理设备,其中,第一处理设备用于与低密级网络终端通过TCP连接建立通信关系,接收低密级网络终端发出的数据信息,并将数据信息发送至隔离板卡;隔离板卡,其中,隔离板卡用于将第一处理设备发来的数据信息单向传输至第二处理设备;第二处理设备,其中,第二处理设备用于与高密级网络终端通过TCP连接请求建立通信关系,并将接收到由隔离板卡传来的数据信息发送至高密级网络终端。
[0008]根据发明实施例,通过第一处理设备与低密级网络终端发送建立TCP连接并接收低密级网络终端发送的数据信息,将接收到的数据信息传输至第二处理设备,第二处理设备与高密级网络终端建立TCP连接并将数据信息传输至高密级网络终端;解决了现有技术中低密级网络终端与高密级网络终端无法通过单向安全隔离网闸进行TCP协议的数据传输的问题,达到了基于单向安全隔离网闸实现TCP协议的安全单向摆渡的效果。
【附图说明】
[0009]构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0010]图1是根据本发明实施例一的基于单向安全隔离网闸的数据传输方法的流程图;以及
[0011]图2是根据本发明实施例二的基于单向安全隔离网闸的数据传输系统的示意图。
【具体实施方式】
[0012]需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
[0013]为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0014]需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0015]在本申请提供的实施例中,将网络按照密级区分为高密级网络和低密级网络,高密级网络对应内网,也可称为信任端网络,低密级网络对应外网,也可称为非信任端网络。为了实现数据单向的从低密级网络摆渡至高密级网络,低密级网络和高密级网络之间设置有单向安全隔离网闸。本发明中涉及到的单向安全隔离网闸,亦可称为单向安全隔离系统,包括隔离板卡、外端机和内端机。其中,外端机连接低密级网络,内端机连接高密级网络。以下实施例中用第一处理设备代替外端机,用第二处理设备代替内端机。
[0016]实施例一
[0017]本发明实施例提供了一种基于单向安全隔离网闸的数据传输方法。
[0018]图1是根据本发明实施例的基于单向安全隔离网闸的数据传输方法的流程图。如图1所示,该基于单向安全隔离网闸的数据传输方法包括步骤如下:
[0019]步骤S102,第一处理设备与低密级网络终端通过TCP连接请求建立通信关系;
[0020]具体的,在上述步骤S102中,第一处理设备与低密级网络相连,第一处理设备首先接收低密级网络终端发出的TCP连接请求,然后通过响应该TCP连接请求来与低密级网络终端建立通信关系;
[0021]可选的,第一处理设备与低密级网络终端通过TCP连接请求建立通信关系的步骤包括:
[0022]步骤S201:接收低密级网络终端发来的消息;
[0023]步骤S202:判断消息的类别,其中,消息的类别至少包括:TCP连接请求、TCP协议封装的数据;
[0024]步骤S203:如果消息为TCP连接请求,则第一处理设备响应该TCP连接请求,与低密级网络终端建立连接;
[0025]综上,步骤S201?S202提供的方案中,第一处理设备判断接收到的消息的类别,并根据判断出的类别执行不同的操作,尤其是在第一处理设备在判断出该消息为TCP连接请求时,第一处理设备主动响应该TCP连接请求。通过上述技术手段,该方案解决了现有技术中单向安全隔离网闸的第一处理设备不判断接收到的消息的类别,均一视同仁的对接收到的消息转发至高密级网络终端,而导致的当低密级网络终端发出需要“握手”的通信协议时,由于不能接收到高密级网络终端反馈的应答信号而无法建立连接的问题。
[0026]步骤S104,第一处理设备接收低密级网络终端发出的数据信息;
[0027]具体的,在上述步骤S104中,在低密级网络终端与第一处理设备建立了 TCP连接之后,低密级网络终端与第一处理设备使用TCP协议交互数据,即低密级网络终端将待发送的原数据信息按照TCP协议要求的形式发送给第一处理设备,第一处理设备同样按照TCP协议还原得出原数据信息。此时,根据TCP协议的传输机制,可以确认第一处理设备能够完整、可靠的接收到低密级网络发送的原数据信息。
[0028]步骤S106,第一处理设备将数据信息通过隔离板卡传输至第二处理设备;
[0029]具体的,在上述步骤S106中,隔离板卡用于将数据由第一处理设备单向传输至第二处理设备。可选的,隔离板卡连接第一处理设备的一侧仅有数据发送端,连接第二处理设备的一侧仅有数据接收端,通过单向的物理链路,实现了数据由第一处理设备向第二处理设备的绝对单向传输。第一处理设备和第二处理设备中均有安全隔离模块,用于数据的单向摆渡。可选的,隔离板卡包括但不限于光单向安全隔离板卡。
[0030]步骤S108,在第二处理设备与高密级网络终端通过TCP连接请求建立通信关系之后,第二处理设备将接收到的数据信息发送至高密级网络终端。
[0031]具体的,在上述步骤S108中,首先,第二处理设备与高密级网络终端通过TCP连接请求建立通信关系,其中,该连接通信关系的建立,始于第二