专利名称:一种网络通信系统的制作方法
技术领域:
本发明涉及网络通信领域,特别涉及一种可确保通信安全的网络通信系统。
背景技术:
近年来,我国信息技术高速发展,电子政务的应用越来越广泛,电子政务的使用单 位(如工商、税务、银行、军队等)需要依靠网络通信系统处理日常事务,在应用过程中,这 些使用单位的网络通信系统一方面要接入到互联网,通过互联网与外界交互信息;一方面 内部要连成局域网,进行内部数据传递。但是,由于上述使用单位的内部局域网中保存许多 涉及国家、个人的机密信息,因此,要求网络通信系统必须确保内部局域网保存的信息不会 通过互联网外泄。目前,部分网络通信系统的局域网通过网关直接连接互联网。参见图1,示出现有 的通信网络系统。多个计算机11组成内部局域网,通过网关12连接互联网。网关12上设 置多重的、复杂的防火墙,以防止网联网的不良用户非法进入内部局域网。通过网关连接内部局域网和互联网,内部局域网和互联网都是基于TCP/IP协议 进行信息交互,数据信息在网络上以明文形式传送,互联网的不良用户通过多次试探和分 析,有可能突破防火墙的阻隔,在网关上截获内部局域网的数据信息,造成机密信息的外 泄。
发明内容
本发明的目的提供一种网络通信系统,该系统安全性高,从而有效防止内部局域 网的信息数据被互联网不良用户非法窃取。本发明一种网络通信系统,包括办公网段的至少一个前置隔离机,交易网段的后 置隔离机,前置隔离机与互联网连接,前置隔离机与后置隔离机通过USB连接线连接;USB 连接线两端采用API接口,前置隔离机与后置隔离机采用私有协议进行数据传递。优选的,前置隔离机包括客户端模块,客户端模块内置API接口和私有协议,API 接口与USB数据线的一端连接;传送数据时,客户端模块211将数据按私有协议分块、定向, 通过API接口、USB数据线传送到后置隔离机。优选的,后置隔离机包括服务器模块,服务器模块内置API接口和私有协议,API 接口与USB数据线的另一端连接;传送数据时,服务器模块将数据按私有协议分块、定向, 通过API接口、USB数据线传送到前置隔离机。优选的,前置隔离机和后置隔离机为计算机。与现有技术相比,本发明具有以下优点本发明将连接互联网的计算机与连接内部局域网的计算机区分开,两者通过专用 的USB连接线连接,采用私有协议进行数据交互,且USB连接线采用非标准API接口,安全 性高,从而有效防止内部局域网的信息数据被互联网不良用户非法窃取。
图1为现有的通信网络系统示意图;图2为本发明通信网络系统示意图。
具体实施例方式为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实 施方式对本发明作进一步详细的说明。本发明将连接互联网的计算机与连接内部局域网的计算机区分开,两者通过专用 的USB连接线连接,采用私有协议进行数据交互,且USB连接线采用非标准API接口,安全 性高,从而有效防止内部局域网的信息数据被互联网不良用户非法窃取。参见图2,示出本发明网络通信系统,包括办公网段的多个前置隔离机21,交易网 段的后置隔离机22,前置隔离机21通过网关23与互联网连接,前置隔离机21与后置隔离 机22通过USB连接线M连接。USB连接线两端采用API接口,通信协议采用私有协议进行 数据传递。前置隔离机21包括客户端模块211,客户端模块211内置API接口和私有协议, API接口与USB数据线M的一端连接。传送数据时,客户端模块211将数据按私有协议分 块、定向,通过API接口、USB数据线传M送到后置隔离机22 ;接收数据时,按私有协议查 验、解析API接口接收的数据包。后置隔离机22包括服务器模块221,服务器模块221内置API接口和私有协议, API接口与USB数据线M的另一端连接。服务器模块221的通信端口与客户端模块211的 通信端口相对应。传送数据时,服务器模块221将数据按私有协议分块、定向,通过API接 口、USB数据线M传送到前置隔离机21 ;接收数据时,按私有协议查验、解析API接口接收 的数据包。前置隔离机21与后置隔离机22进行数据交互时,客户端模块211发送握手信号, 服务器模块221监听到该握手信号,获取客户端模块211的端口和Ip地址,与客户端模块 211建立链接,采用私有协议,通过非路由寻址方式的进行信息交互。当服务器模块221有数据请求,会转到USB队列中,客户端模块211会通过USB连 接线的处理服务器模块221的数据请求,把服务器模块221需要的数据打成包,通过USB连 接线M发送到服务器模块221,从而使服务器模块221获得数据。前置隔离机21和后置隔离机22为计算机。本发明通过USB连接线M连接两台网络隔离的计算机,在隔离的两台计算机上通 过客户端代理程序与服务端代理程序,实现跨网通讯。解决了两台计算机的数据安全交换, 阻止来自不同网络的互相访问以及病毒的袭击。专用USB的理论传输速度可以达到480Mbps,这样的速度可以满足大部分用户的 需求。并且USB支持双通道进出同步传输,很好解决传输过程中的双向问题。专用USB连接 线和开发相应程序的成本较低廉,可以在很大程度上降低了安全隔离和信息交换的成本。 因此,这种新型的安全隔离和信息交换系统在当前的市场上具有较大的潜力。本发明完全抛弃传统的TCP/IP协议,实现安全隔离的作用。对于现有的网络通信 系统,连接外部物联网和内部局域网在逻辑上是同一台主机,虽然在隔离设备上采用防火墙协议,但是仍然是基于TCP/IP协议。如果隔离策略设置不当,或者没有及时更新策略时, 完全可能产生内部互联网被入侵者逐步蚕食的情况。USB的私有通信协议是完全基于数据 分块和方向制定的,可以确保外来数据能够在完全不到达内网主机的情况下,通过数据的 定向同步映射到内网。这样,即使入侵者能够成功控制的前置隔离机,在理论上,依靠目前 的TCP/IP是无法构造能够同时兼容两层完全不同的传输介质和传输协议的数据通信,因 此无法将恶意软件通过USB传送到内网的后置隔离机中。后置隔离机获取网络信息时,利用Http协议“落地”的方式,转换为对单个网页内 容的请求,然后通过USB私有协议对前置隔离机发出请求,下载完成后,“落地”为内网文件, 保存到后置隔离机。由于USB协议为私有协议而不是公开的协议,而且传输介质为USB的API接口,入 侵者在没有专用的硬件设备的前提下无法对传输协议进行分析,因此即使能够控制前置隔 离机,也无法建立正常的传输获取后置隔离机的数据。以上所述仅为本发明的优选实施方式,并不构成对本发明保护范围的限定。任何 在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权 利要求保护范围之内。
权利要求
1.一种网络通信系统,其特征在于,包括办公网段的至少一个前置隔离机,交易网段 的后置隔离机,前置隔离机与互联网连接,前置隔离机与后置隔离机通过USB连接线连接; USB连接线两端采用API接口,前置隔离机与后置隔离机采用私有协议进行数据传递。
2.如权利要求1所述的系统,其特征在于,前置隔离机包括客户端模块,客户端模块内 置API接口和私有协议,API接口与USB数据线的一端连接;传送数据时,客户端模块211将数据按私有协议分块、定向,通过API接口、USB数据线 传送到后置隔离机。
3.如权利要求2所述的系统,其特征在于,后置隔离机包括服务器模块,服务器模块内 置API接口和私有协议,API接口与USB数据线的另一端连接;传送数据时,服务器模块将数据按私有协议分块、定向,通过API接口、USB数据线传送 到前置隔离机。
4.如权利要求2所述的系统,其特征在于,前置隔离机和后置隔离机为计算机。
全文摘要
本发明涉及一种网络通信系统,包括办公网段的至少一个前置隔离机,交易网段的后置隔离机,前置隔离机与互联网连接,前置隔离机与后置隔离机通过USB连接线连接;USB连接线两端采用API接口,前置隔离机与后置隔离机采用私有协议进行数据传递。本发明将连接互联网的计算机与连接内部局域网的计算机区分开,两者通过专用的USB连接线连接,采用私有协议进行数据交互,且USB连接线采用非标准API接口,安全性高,从而有效防止内部局域网的信息数据被互联网不良用户非法窃取。
文档编号H04L29/06GK102055765SQ20101061605
公开日2011年5月11日 申请日期2010年12月30日 优先权日2010年12月30日
发明者朱琨, 李星 申请人:恒生电子股份有限公司