专利名称:网络隔离设备阵列系统的制作方法
技术领域:
本实用新型涉及一种网络隔离设备阵列系统。
背景技术:
网络互联在带来便利的同时,也引出了网络安全方面的问题。对于网络安全问题, 国家保密局发布的《计算机信息系统国际联网保密管理规定》中第二章第六条内容“涉及国 家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接, 必须实行物理隔离。为了保证内部数据安全的同时又能较方便获取外网信息,正是基于这个的需求, 诸如电力、政府、军队、军工、金融等重要行业、重要领域在内外网间引入了专用的网络隔离 设备。以电力行业为例,横向隔离是电力二次系统安全防护的总体原则之一,具体是说 采用安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部 门检测认证的电力专用横向单向安全隔离设备,隔离强度应当接近或达到物理隔离。按照 数据通信方向电力专用横向单向安全隔离设备分为正向型和反向型。正向安全隔离设备置 用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离设备用于 从管理信息大区到生产控制大区单向数据传输,是管理信息大区到生产控制大区的唯一数 据传输途径。请参考图1和图2,图1和图2是目前常见的两种网络隔离系统的结构示意图。从 图1中可以看出,隔离设备一端与发送代理器连接,另一端与接收代理器连接。从图2中可 以看出,隔离设备一端经由交换机与发送代理器连接,另一端经由交换机与接收代理器连 接。目前使用的隔离设备由于要进行内容过滤、有效性检查等处理以保证网络安全, 因而存在传输带宽不够高和突发性传输出错的问题。
实用新型内容本实用新型的目的在于提供一种能够提高数据传输速率的网络隔离设备阵列系 统。一种网络隔离设备阵列系统包括发送控制器、接收控制器和多个并行连接的隔离 设备,每个所述隔离设备的一端经由发送代理器连接所述发送控制器,每个所述隔离设备 的另一端经由接收代理器连接所述接收控制器。上述网络隔离设备阵列系统优选的一种技术方案,所述隔离设备为正向隔离设备。上述网络隔离设备阵列系统优选的一种技术方案,所述隔离设备为反向隔离设备。上述网络隔离设备阵列系统优选的一种技术方案,所述发送控制器将待传输数据分割处理成数据块进行并行传输,所述接收控制器接收所述并行传输的数据块,并合并处 理成所述待传输数据。上述网络隔离设备阵列系统优选的一种技术方案,所述发送控制器将待传输数据 镜像复制处理,所述接收控制器接收所述镜像数据,并根据多数原则获得所述待传输数据。上述网络隔离设备阵列系统优选的一种技术方案,所述发送控制器将待传输数据 分割成多个数据块并计算得出校验数据块,所述接收控制器接收所述数据块和所述校验数 据块,并根据所述校验数据块校验以获得所述待传输数据。上述网络隔离设备阵列系统优选的一种技术方案,所述发送控制器将所述校验数 据块进行Base64编码处理,形成所述隔离设备能够传输的形式。与现有技术相比,本实用新型的网络隔离设备阵列系统通过让多个隔离设备同时 并行进行数据传输,在保证安全性的同时,以提高隔离设备在网络间的整体传输速度。
图1是现有技术的一种网络隔离系统的结构示意图。图2是现有技术的另一种网络隔离系统的结构示意图。图3是本实用新型的网络隔离设备阵列系统的结构示意图。图4是图3所示的网络隔离设备阵列系统的数据传输示意图。
具体实施方式
为使本实用新型的目的、技术方案和优点更加清楚,
以下结合附图对本实用新型 作进一步的详细描述。请参阅图3,图3是本实用新型的网络隔离设备阵列系统的结构示意图。所述网 络隔离设备阵列系统10包括发送控制器11、多个发送代理器13、多个并行设置的隔离设备 15、多个接收代理器17以及接收控制器19。所述每个所述隔离设备15的一端经由一个发 送代理器13连接所述发送控制器11,每个所述隔离设备15的另一端经由一接收代理器17 连接所述接收控制器19。优选的,每一个所述隔离设备15仅与一个发送代理器13和一个 接收代理器17连接。所述发送控制器11用于将待传输数据进行处理,形成并行传输的多路数据。所述 隔离设备15用于传输所述需并行传输的数据。所述接收控制器19用于接收并处理所述并 行传输的数据,以获得所述发送控制器11处理前的所述待传输数据。优选的,所述隔离设 备15为正向隔离设备或者反向隔离设备。请一并参阅图4,图4是图3所示的网络隔离设备阵列系统10的数据传输示意图。 由图可见,当所述发送控制器11接收到数据(文件)A后,按照发送控制器11预选设定的
规则将数据A进行处理,得出数据Al、数据A2.....数据An,这η个数据经所述发送代理器
13、隔离设备15和接收代理器17进行并行传输,然后由所述接收控制器19按照预先设定 的规则对这η个数据进行处理,还原出数据(文件)Α。下面,分三种情况详细介绍所述网络隔离设备阵列系统10的运作原理1.没有容错设计的网络隔离设备阵列系统10的运作原理要发送数据A时,所述发送控制器11将数据A分割成多个数据块,分别为数据块Al、数据块A2.....数据块An,这里数据A =数据块Al+数据块A2+. . . +数据块An,。优选
的,所述隔离设备15的数量为η。所述数据块Al、数据块Α2.....数据块An分别发送到所
述隔离设备15的发送代理器13中,然后经由各隔离设备15进行并行传输。所述并行传输
的数据块Al、Α2.....An由所述隔离设备15的接收代理器17接收,然后由所述接收控制
器19将这些数据块拼起来,还原出数据Α。数据A通过所述隔离设备15进行并行传输,有 助于提高经所述网络隔离设备阵列系统10的网络传输性能。不过,由于本方法没有传输冗 余数据(如校验数据),因此没有数据容错能力。所述任何一个隔离设备15传输数据出错 就可能导致所述网络隔离设备阵列系统10传输数据的出错。2.相互镜像传输的网络隔离设备阵列系统10的运作原理要发送数据A时,所述发送控制器11将数据A拷贝成多份,为了方便起见,定义为
数据Al、数据Α2.....数据An,这里数据A=数据Al=数据Α2 = ...=数据An。优选的,
所述隔离设备15的数量为η。所述数据Al、数据Α2.....数据An分别发送到所述隔离设备
15的发送代理器13中,然后经由各隔离设备15进行并行传输。所述并行传输的数据Al、
Α2.....An由所述隔离设备15的接收代理器17接收,然后由所述接收控制器19将这些数
据进行比较。如果各数据均相同,则输出数据A ;如果数据存在不同,则根据少数服从多数 原则输出数据Α。本方法提供了数据传输上的容错能力,但不能提高所述网络隔离设备阵列 系统10的传输带宽和吞吐量。3.并行传输及校验的网络隔离设备阵列系统10的运作原理要发送数据A时,所述发送控制器11将数据A分割成m-1个数据块,分别为数据块
Al、数据块A2.....数据块Am-1,并根据数据块Al、数据块A2.....数据块Am_l,计算得出校
验数据块Am、数据块Am+1.....数据块An。这里数据A =数据块Al+数据块A2+. . . +数据
块Am-1。优选的,所述校验数据块Am、Am+l.....An的生成可采用汉明码校验,或简单的异
或逻辑运算。若采用异或逻辑运算,则校验数据块只需要一个即可。所述数据块Al、数据块
A2.....数据块Am-I和所述校验数据块Am、Am+1.....An发送到所述隔离设备15的发送
代理器13中,然后经由各隔离设备15进行并行传输。所述并行传输的数据块A1、A2.....
Am-I和所述校验数据块Am、Am+1.....An由所述隔离设备15的接收代理器17接收,然后
由所述接收控制器19根据所述校验数据块Am、Am+1.....An对所述数据块Al、A2.....
Am-I进行校验。如所述数据块A1、A2.....Am-I有错,则需根据预定规则对所述数据块Al、
A2.....Am-I进行纠错,最后根据规则将纠错后的数据块拼起来,还原出数据A。本方法通
过使用多个隔离设备15并行来传输数据,提高了传输速率,提高了数据的吞吐量。同时借 用独立冗余磁盘阵列(Redundant Array of Independent Disk,RAID)技术的思想,提出基 于冗余隔离设备阵列(RedundantArray of Network Isolation Device, RANID)的网络隔 离设备阵列系统,通过在隔离设备15上传输冗余数据(如校验数据),将待传输数据和校验 数据一起并行传输,以确保传输过程的可容错性,从而大大提高了所述网络隔离设备阵列 系统10的容错度,提高了所述网络隔离设备阵列系统10的数据传输的稳定性。在一些情况下,如果经过运算得出的校验数据如果不能直接通过所述隔离设 备15,则所述发送控制器11在发送这些校验数据时,可通过对原数据的二进制代码进行 Base64编码改造,形成隔离设备可以通过的文本形式。Base64编码要求把3个8位字节 (3*8 = 24)转化为4个6位的字节(4*6 = 24),之后在6位的前面补两个0,形成8位一个字节的形式。当然在接收控制器19上也需做相应的逆操作。与现有技术相比,本实用新型的网络隔离设备阵列系统10采用多个隔离设备15 并行进行数据传输,在保证安全性的同时,网络间的整体传输速度可以成倍地提高。同时在 隔离设备15上传输冗余数据(如校验数据),从而具有纠错功能。如果网络隔离设备阵列 系统10中有单个隔离设备15传输出错,不会影响到网络隔离设备阵列系统10整体的数据 传输。在不偏离本实用新型的精神和范围的情况下还可以构成许多有很大差别的实施 例。应当理解,除了如所附的权利要求所限定的,本实用新型不限于在说明书中所述的具体 实施例。
权利要求一种网络隔离设备阵列系统,其特征在于,所述网络隔离设备阵列系统包括发送控制器、接收控制器和多个并行连接的隔离设备,每个所述隔离设备的一端经由发送代理器连接所述发送控制器,每个所述隔离设备的另一端经由接收代理器连接所述接收控制器。
2.如权利要求1所述的网络隔离设备阵列系统,其特征在于,所述隔离设备为正向隔 离设备。
3.如权利要求1所述的网络隔离设备阵列系统,其特征在于,所述隔离设备为反向隔 离设备。
4.如权利要求1到3中任意一项所述的网络隔离设备阵列系统,其特征在于,所述发送 控制器将待传输数据分割处理成数据块进行并行传输,所述接收控制器接收所述并行传输 的数据块,并合并处理成所述待传输数据。
5.如权利要求1到3中任意一项所述的网络隔离设备阵列系统,其特征在于,所述发送 控制器将待传输数据镜像复制处理,所述接收控制器接收所述镜像数据,并根据多数原则 获得所述待传输数据。
6.如权利要求1到3中任意一项所述的网络隔离设备阵列系统,其特征在于,所述发送 控制器将待传输数据分割成多个数据块并计算得出校验数据块,所述接收控制器接收所述 数据块和所述校验数据块,并通过所述校验数据块校验以获得所述待传输数据。
7.如权利要求6所述的网络隔离设备阵列系统,其特征在于,所述发送控制器将所述 校验数据块进行Base64编码处理,形成所述隔离设备能够传输的形式。
专利摘要本实用新型涉及一种网络隔离设备阵列系统。所述网络隔离设备阵列系统包括发送控制器、接收控制器和多个并行连接的隔离设备,每个所述隔离设备的一端经由发送代理器连接所述发送控制器,每个所述隔离设备的另一端经由接收代理器连接所述接收控制器。本实用新型的网络隔离设备阵列系统通过让多个隔离设备同时并行、冗余地进行数据传输,在保证安全性的同时,以提高隔离设备在网络间的整体传输速度。
文档编号H04L29/06GK201726423SQ20102028337
公开日2011年1月26日 申请日期2010年8月5日 优先权日2010年8月5日
发明者励刚, 张亮, 张磊, 毕晓亮, 汪德星, 王亮, 葛敏辉 申请人:华东电网有限公司