专利名称:网络数据隔离系统和数据传输方法
技术领域:
本发明关于网络安全领域,更具体地是关于一种网络数据隔离系统和一种数据传输方法。
背景技术:
如何实现外部网络和内部网络的安全信息交换一直是网络安全领域的重要问题。当前采用的网络隔离和防护手段主要是在网络边界安装防火墙,通过防火墙对进出网络的流量监视和控制来保证交换信息的安全。但是防火墙只能对网络连接采用逻辑隔离的方式进行控制,其系统易被攻破。
安全隔离类产品从应用范围方面可分两类,一类是基于主机的隔离卡,典型的做法是通过对单机的网口和硬盘接口开关切换实现隔离,适合单机访问外部网络,不适合连续实时的网络应用。
另一类是网络安全隔离交换设备,这一类设备通过在网络边界对网络应用数据进行切换,能在不同安全域的网络间实现安全隔离和受控的信息交换。已有的网络安全隔离与信息交换实现方式大多采用隔离设备连接内外网控制单元的方式工作。
通常情况下,外网是安全性不高的互联网,内网是安全性很高的内部网络。隔离系统的外部主机和外网相连,隔离系统的内部主机和内网相连,现有技术中,内网主机和外网主机通过标准的网络传输协议(如TCP/IP协议)利用标准网络接口(如网卡、网线)进行数据传输。
这种隔离方式存在着一定的缺陷。对于网络安全产品来说,安全范围是相对的,没有那一种网络安全产品是绝对安全的,当网络安全产品的使用范围越广的时候,它的产品软硬件架构暴露的就越多,漏洞、后门被发现的机率就越大,黑客入侵的机率也就越大。因此,在使用标准的网络端口和标准的网络传输协议的时候,系统受到攻击的风险更大。
据调查,在网络中黑客入侵系统的方式80%以上是利用系统公开的漏洞或后门来进行的,这主要由于在网络应有中采用了一些公知的网络端口和协议和网络操作系统,因此不可避免的存在一些漏洞或缺陷,造成黑客利用这些已知的漏洞或缺陷来攻击网络系统。
发明内容
本发明是针对现有技术存在的易被获知的缺陷和漏洞的缺点,提供一种新的不易被入侵的网络数据隔离系统和数据传输方法。
本发明提供了一种网络数据隔离系统,该系统包括内网主机、外网主机、串行接口连接器,其中,串行接口连接器分别与内网主机的串行接口、外网主机的串行接口相连。
本发明还提供了一种网络数据传输方法,该方法包括,开启串行接口设备;检测串行接口设备;设置串行接口数据传输管道;设置A/D状态和数据采集端口;通过串行接口发送或接收数据。
对于黑客攻破网络数据隔离系统,需要控制外网主机、破解非标数据传输协议、控制内网主机。这是很困难的,即使有此可能也是需要很长时间来完成的,但系统也会在一段时间修改或更换非标控制协议。另外,在数据链路上,网络数据隔离系统利用USB2.0接口作为数据交换通道,由于USB2.0具有480Mbytes/s的传输速率,因此数据交换的速度非常快,完全能够满足内、外网大量数据交换的时间要求。
图1是根据本发明的实施方式的网络数据隔离系统示意图;
图2是根据本发明的实施方式的数据传输方法的流程图;图3是根据本发明的实施方式的加密、解密流程图。
具体实施例方式
一种网络数据隔离系统100,包括内网主机、外网主机、串行接口连接器,其中,串行接口连接器分别与内网主机的串行接口、外网主机的串行接口相连。
图1是根据本发明的一个实施方式的网络数据隔离系统100示意图。两台主机(即内网主机10和外网主机20)用来控制内、外网之间数据交换。所述内网主机10和外网主机20可以采用台式机或服务器。内、外网主机互不共享对方的任何数据,相互也没有对方的系统登陆权或控制权,只是通过特定的串行接口连接器(即USB连接线)来接收和发送数据。所述串行接口连接器用于作为内、外网之间数据交换的通道,在本发明的实施方式中,采用的串行接口连接器是USB连接线30,USB连接线30分别与内网主机10、外网主机20的主板的USB2.0(或USB1.1)端口相连。所述两台主机可以在不安装网卡的情况下实现通信,同时也避免了使用PCI接口或ISA接口等通用网卡接口。
在内、外网进行通讯时,数据发送方主机通过串行接口,例如USB接口,并且经过串行接口连接器,在本发明中即USB连接线30,将数据发送至接收方主机。
本发明所采用USB接口的通讯方式,是考虑到USB接口具有传输速率高(USB1.1可以达到12Mbps的传输速率,USB2.0可以达到480Mbps的传输速率),同时USB接口是计算机设备上的常用接口,而不需要在计算机系统中采用特殊的接口设备。
需要说明的是,本发明实施方式中描述的串口连接方式是优选的方式,而在实际中并不仅限于基于USB的连接方式,例如可以通过1394接口、甚至是RS232串口来实现内、外网主机之间的通讯。
图2是根据本发明的实施方式的数据传输方法的流程图。本发明的数据传输过程可以简单地概括为当USB控制器从USB总线检测到另一主机启动的某一传输请求后,通过中断方式将此请求通知主机,主机通过对USB控制器的控制寄存器和数据寄存器进行相应的操作,来完成主机的传输请求。下面将详细描述在本发明的实施方式中,数据通过USB接口的传输过程。
USB传输方式分为四种控制传输,块传输,同步传输和中断传输。在本发明的数据传输中使用了控制传输和块传输。
控制传输主要用来完成主机对设备的各种控制操作,也就是用来实现位于主机上的USB总线驱动程序(USBD.SYS)以及编写的功能驱动程序对设备的各种控制操作。
块传输主要用来完成主机和设备间的大批量数据传输以及对传输数据进行错误检测(若发生错误,它支持“重传”功能)。
关于本发明中所使用的控制传输和块传输方式,与USB传输方式是一致的,USB传输方式为本领域技术人员公知,因此在说明书中不过多涉及。
具体到本发明的网络数据隔离系统100,当一台主机(例如内网主机10)发出传输请求后,进入中断服务程序后,外网主机20首先启动USB设备,对端口进行初始化,然后外网主机20检测USB设备是否正常,所述检测过程可以通过一些常用的方法进行,例如,外网主机向USB端口连接的USB设备发送一个信号,所述USB设备接收到信号,再向外网主机返回一个应答信号,外网主机通过对应答信号进行检测(例如进行CRC完整性检验)来确定USB设备是否正常工作。如果设备工作不正常,显示错误信息。
如果USB设备工作正常,则可以设置USB数据传输管道,设置A/D状态。其中所述管道是指主机与端点之间的数据链接,数据传输发生在主机和USB设备上特定的端点之间。一个给定的USB设备可以有许多个端点,主机与设备之间数据管道的数量与该设备上端点的数量相同。一个管道可以是单向或者是双向的,一个管道中的数据流与所有其他管道中的数据流无关。
进行上述相关设置之后,就可以再内网主机10和外网主机20之间进行数据传输。当内网主机10发出传输请求后,由于该传输请求是一个中断请求信号,由此使外网主机20响应中断,程序跳转至中断服务程序通过USB端口接收内网主机10传送来的数据,通过校验(例如奇偶校验)来判断数据的正确性。如果数据正确,则执行显示、存储等处理步骤,然后准备下一组数据的传输;如果数据不正确,则报告数据错误,返回队数据重新传送。
对于上述的传输过程,从内网主机10发送到外网主机20的传输过程以及从外网主机20发送到内网主机10的传输过程是对称的,因此在以上实施方式的描述中,仅以内网主机10向外网主机20发送数据作为示例。
图3是根据本发明的实施方式的加密、解密流程图;对于所传输的数据,为了在网络数据隔离系统中实现更好的安全性和私密性,还可以在数据传输方法中加入加密和解密的步骤。
在本发明的实施方式中,所述加密步骤包括在数据交换前,先要内网主机10、外网主机20各自读取本机的硬件信息特征码,所述硬件信息特征码包括内网主机10或外网主机20的CPU的序列号、显示卡的序列号、内存的序列号等等,所获取的序列号可直接作为加密算法的密钥使用,也可以通过一定形式的编码来转换为密钥。所述编码方式可以采用任何适合的编码方法,如Unicode等等。将一方主机生成的密钥发送至另一方主机,另一方主机将密钥存放在注册表中。当数据交换开始后,发送一方用该密钥对待发送的数据进行加密,然后对加密后的数据进行发送。
当一方主机接收到数据之后,利用存储在注册表中预先存放的密钥对数据进行解密,再对解密后的数据进行存储、显示等处理。
权利要求
1.一种网络数据隔离系统,其特征在于,包括内网主机、外网主机、串行接口连接器,其中,串行接口连接器分别与内网主机的串行接口、外网主机的串行接口相连。
2.根据权利要求1所述的系统,其中,所述串行接口连接器是USB连接线。
3.根据权利要求1所述的系统,其中,所述内网主机的串行接口、外网主机的串行接口为USB接口。
4.根据权利要求3所述的系统,其中,所述USB接口为USB2.0接口。
5.一种数据传输方法,其特征在于,该方法包括,开启串行接口设备;检测串行接口设备;设置串行接口数据传输管道;设置A/D状态和数据采集端口;通过串行接口发送或接收数据。
6.根据权利要求5所述的方法,其中,所述串行接口是USB接口。
7.根据权利要求6所述的方法,其中,所述USB接口是USB2.0接口。
8.根据权利要求6所述的方法,还包括,对向串口发送的数据进行加密。
9.根据权利要求6所述的方法,还包括,对从串口接收的数据进行解密。
10.根据权利要求8所述的方法,其中加密步骤包括读取发送方主机的硬件信息特征码,将所述硬件信息特征码作为密钥,将密钥发送到接收方主机,发送方根据所述密钥对需要发送的数据进行加密。
11.根据权利要求9所述的方法,其中解密步骤包括接收方主机接收数据,根据发送方发送的密钥对数据进行解密。
12.根据10所述的方法,其中,所述硬件信息特征码包括CPU序列号、显示卡的序列号或内存的序列号。
13.根据10或11所述的方法,其中,所述密钥存放在内网、外网主机的注册表中。
14.根据10或11所述的方法,其中,发送方为内网主机或外网主机。
15.根据10或11所述的方法,其中,接收方为内网主机或外网主机。
全文摘要
一种网络数据隔离系统,包括内网主机、外网主机、串行接口连接器,其中,串行接口连接器分别与内网主机的串行接口、外网主机的串行接口相连。
文档编号H04L12/28GK1905477SQ20051008872
公开日2007年1月31日 申请日期2005年7月29日 优先权日2005年7月29日
发明者蒋宗清, 陈汉林 申请人:东方惠科防伪技术有限责任公司