一种单向隔离光闸的制作方法
【技术领域】
[0001]本实用新型涉及网络信息安全领域,尤其涉及一种单向隔离光闸。
【背景技术】
[0002]随着电子政务的迅速发展,包括政府、军队、金融机构、大型企业等业务发展变化,这些行业内部的高安全级别网络,甚至政府等一些涉密网络都有和外部网络,如互联网进行数据交换的需求。在高安全级别网络与低安全级别网络进行数据交换时,为保证高安全级别网络中的数据流向低安全级别网络安全可控,彻底解决高安全级别网络信息泄露的问题以及传输数据丢失的问题,一般采用单向隔离网闸隔离高安全级别网络与低安全级别网络,以实现数据的单向传输。
[0003]目前,单向隔离网闸一般采用电气技术实现数据的单向传输。基于电气技术的单向隔离网闸,是在安全隔离网闸内部专用隔离硬件双向传输的基础上通过修改电路,通过时钟开关控制,以实现数据的单向写入和单向读出。这种类型的单向隔离网闸传输数据时,数据接收方和数据传输方处在同一电压下,两者之间以微小的电压正负变化实现数据的单向传输。可以看出,在任何电气传输介质上是很难通过电压的变化来区别数据传输方向,因此基于电气技术的单向隔离网闸,其数据传输的单向性无法得到保障,难以证明其数据单向传输的有效性。其次,基于电气技术的单向隔离网闸,是利用程序代码控制数据的单向读出、单向写入,一旦程序代码被修改,将导致单向隔离的失效,从而产生严重的后果。
【实用新型内容】
[0004]鉴于此,本实用新型提供了一种单向隔离光闸,用以保证内网向外网数据传输的单向性、消除由于程序控制数据的单向传输而造成的安全隐患和数据丢失隐患。
[0005]根据本实用新型的一个方面,提供了一种单向隔离光闸,包括:具有第一光纤网卡的内网单元;具有第二光纤网卡的外网单元;以及分光器,分光器包括上行光接口、第一下行光接口、第二下行光接口、第三下行光接口,上行光接口与第一光纤网卡的光发射端口相连,第一下行光接口与第一光纤网卡的光接收端口相连,第二下行光接口与第二光纤网卡的光接收端口相连,第三下行光接口与备份服务器的光纤网卡的光接收端口相连。
[0006]可选地,在根据本发明的单向隔离光闸中,内网单元适于接收内网数据,对该内网数据进行安全策略处理;还适于封装处理后的数据,将封装后的数据通过分光器发送至外网单元。
[0007]可选地,在根据本发明的单向隔离光闸中,安全策略处理至少包括身份认证、格式检查、病毒查杀以及黑白名单过滤中的一种。
[0008]可选地,在根据本发明的单向隔离光闸中,分光器的分光设备为物理多棱镜。
[0009]可选地,在根据本发明的单向隔离光闸中,光纤网卡为多模光纤网卡。
[0010]可选地,在根据本发明的单向隔离光闸中,内网单元还包括进行CRC检验的第一CRC校验器;外网单元还包括进行CRC校验的第二 CRC检验器。
[0011]可选地,在根据本发明的单向隔离光闸中,上行光接口与第一光纤网卡的光发射端口、第一下行光接口与第一光纤网卡的光接收端口、以及第二下行光接口与第二光纤网卡的光接收端口,均通过光纤线缆相连。
[0012]可选地,在根据本发明的单向隔离光闸中,分光器的第三下行光接口与备份服务器的光纤网卡的光接收端口通过光纤线缆相连。
[0013]根据本实用新型的单向隔离光闸,内网单元和外网单元上分别安装有光纤网卡,内网单元的光纤网卡的光发射端口通过分光器与外网单元的光纤网卡的光接收端口相连。当内网单元向外网单元传输数据时,内网单元的光纤网卡将需要传输的数据,转换成光信号,通过光纤线缆将数据传送给外网单元。由于光传输单向技术中,连接光纤的两端分别为光发生器、光接收器,出现连接光纤的两端都具有光发生器以及光接收器的情况是不允许也不可能的。因此,与基于电气技术的单向隔离网闸相比,本实用新型公开的单向隔离光闸的数据传输单向性更加稳定可靠,并且本发明以物理方式实现数据的单向传输,光纤传输通道内无任何电气及软件程序的控制,消除了电气及软件被控制、篡改的风险。进一步地,引入分光器一分三向外网单元、备份单元、以及向内网单元回传数据进行校验的机制,提高数据单向传输可靠性的同时,也避免了数据传输丢失的问题。
【附图说明】
[0014]为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
[0015]图1示出了根据本实用新型一种单向隔离光闸的实施例的结构示意图。
【具体实施方式】
[0016]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0017]图1为本实用新型一种单向隔离光闸的实施例的结构示意图。如图1所示,单向隔离光闸包括连接内网的内网单元1,连接外网的外网单元2,安装在内网单元1上的光纤网卡3a,安装在外网单元2上的光纤网卡3b,部署在内网单元1与外网单元2间的分光器
4。光纤网卡3a包括光发射端口 3al和光接收端口 3a2,光纤网卡3b包括光发射端口 3bl与光接收端口 3b2。分光器4包括上行光接口 4al以及第一下行光接口 4bl、第二下行光接口 4b2和第三下行光接口 4b3,上行光接口 4a与光纤网卡3a的光发射端口 3al通过光纤线缆相连,第一下行光接口 4bl与光纤网卡3a的光接收端口 3a2通过光纤线缆相连,第二下行光接口 4b2与光纤网卡3b的光接收端口 3b2通过光纤线缆相连,第三下行光接口 4b3与备份服务器的光纤网卡的光接收端口通过光纤线缆相连。
[0018]内网单元1向外网单元2单向传输数据主要依赖由光纤网卡3a、光纤网卡3b,连接光纤网卡3a、光纤网卡3b的分光器4,以及连接光纤网卡3a、分光器4与光纤网卡3b的光纤线缆组成的光纤通道。内网单元1接收内网数据后,缓存该内网数据,对该内网数据进行预处理、安全策略处理,其中安全策略处理至少包括身份认证、格式检查、病毒查杀以及黑白名单过滤中的一种。而后内网单元1封装上述处理后的数据,将封装后的数据发送给光纤网卡3a,光纤网卡3a将接收的数据转换为光信号,将该光信号通过光发射端口 3al,经连接光发射端口 3al与分光器4的上行光接口 4al的光纤线缆,传入分光器4。分光器4复制接收的光信号,并通过与分光器4的第一下行光接口 4bl及光纤网卡3b的光接收端口 3b2相连的光纤线缆,将分光器4接收的光信号传送给光纤网卡3b ;分光器4通过与分光器4的第二下行光接口 4b2及光纤网卡3a的光接收端口 3a2相连的光纤线缆,将分光器4复制的光信号传送给光纤网卡3a。若光纤网卡3a接收到分光器4回传的光信号,说明内网单元1已将内网数据传输至外网单元2 ;光纤网卡3a将接收的分光器4回传的光信号,转换为封装数据,并通过内网单元1验证该数据的准确性,若发现数据错误,则通过内网单元1缓存的内网数据发起数据重传;光纤网卡3b接收分光器4传送的光信号后,将该光信号还原成光纤网卡3a所接收的封装数据,通过外网单元2将该封装数据进行还原处理后,传送给外网。
[0019]这样,利用光传输的单向技术,完成内网单元1向外网单元2的数据单向传输。由于光传输单向技术中,连接光纤的两端分别为光发生器、光接收器,出现连接光纤的两端都具有光发生