专利名称:一种多网络系统数据传导装置及方法
技术领域:
本发明属于数据安全交换领域,尤其涉及一种多网络系统数据传导装置及方法。
背景技术:
多网络系统数据安全传导最早出现在军方,用以解决涉密网络系统与公共网络系统连接时的安全问题。随着计算机网络系统和电子信息化的发展,各种环境下的高安全网络系统和其它低安全网络系统之间进行数据交换的需求日益明显,如何实现在不同安全级别的网络系统之间进行数据的安全传导一直是信息安全领域的重要问题。在最为严格的环境中,需要交换数据的网络系统环境应是完全物理隔离的。为了达到上述目的,传统的方式是:通过人工在隔离的网络系统环境中使用移动数据存储器或存储介质转移数据。但是人工的方式效率低下,操作也很不方便。而且人为的方式不可控制,比如有意或者无意的操作失误和其它因素都会导致涉密数据的泄密。而基于各种公有或者私有协议的网闸设备普遍存在的安全问题是数据传输由程序的设计来决定的,安全性和可靠性验证得不到保障。
发明内容
本发明实施例的目的在于提供一种多网络系统数据传导装置,旨在解决现在技术通过人工的方式效率低下,操作不方便且安全性、可靠性低的问题。本发明实施例是这样实现的,一种多网络系统数据传导装置,包括多个物理隔离的主机、与多个主机均连接的串行设备热插拔控制单元,以及与所述串行设备热插拔控制单元连接的串行存储器;每个主机内置一个数据桥接处理单元,每个主机只与一个网络系统连接,不同的主机连接不同的网络系统;工作时,当一个网络系统需要向另外一个或多个网络系统传导数据,该网络系统则通过与其连接的主机的数据桥接处理单元将需要传导的数据进行处理且写入所述串行存储器后,通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与当前主机在物理电路上断开且连接至另外一个主机,另外一个主机的数据桥接处理单元从串行存储器中读取数据且写入到相连接的网络系统中,写入工作完成后则格式化所述串行存储器并切回连接至起初的主机;如果本次任务还需将本次写入到所述串行存储器的数据传导至其它网络系统则不需格式化所述串行存储器和切回连接至起初的主机,而再通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与当前主机在物理电路上断开且连接至再另外一个主机相连和传导数据,依此类推,直到完成当次需要传导的所有任务后,再格式化所述串行存储器并切回连接至起初的主机。更进一步地,所述串行设备热插拔控制单元与多个主机之间、所述串行设备热插拔控制单元与串行存储器之间均通过串行数据线连接。更进一步地,所述串行设备热插拔控制单元与多个主机之间通过GP10(GeneralPurpose Input/Output,通用输入输出)电平信号线连接。
更进一步地,所述串行设备热插拔控制单元可以为:SATA (Serial AdvancedTechnology Attachment,串行高级技术附件)设备热插拔控制单元、USB (UniversalSerial Bus,通用串行总线)设备热插拔控制单元或IEEE1394设备热插拔控制单元。更进一步地,所述串行设备热插拔控制单元包括支持串行设备的多路选择器芯片及其外围电路。更进一步地,所述串行存储器包括:串行接口的光盘刻录机、串行接口的硬盘、串行接口的闪存盘、串行接口的SD卡(Secure Digital Memory Card,安全数码卡)读写器或接口的串行CF卡(Compact Flash Card,紧凑式闪存卡)读写器。更进一步地,所述的多个主机、串行设备热插拔控制单元、串行存储器都置于一个机箱内。本发明还提供一种采用上述的装置实现的多网络系统数据传导方法,包括下述步骤:S1:第一主机中的数据桥接处理单元从其连接的第一网络系统中获取需要传导的数据,再将需要传导的数据进行去格式化(Clear All Formats)和压缩(Compress)处理后变为原始裸数据块(Raw Data Blocks);S2:将所述原始裸数据块写入到所述串行存储器中;S3:通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与第一主机在物理电路上断开且连接至第二主机;S4:第二主机中的数据桥接处理单元读取所述串行存储器中的原始裸数据块且进行还原处理,之后再写入至与第二主机相连接的第二网络系统中;S5:第二主机中的数据桥接处理单元格式化(Formatting)所述串行存储器,之后通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与第二主机在物理电路上断开并切回连接至第一主机;S6:如果本次任务还需将本次写入到所述串行存储器的原始裸数据块传导至其它网络系统则不需执行步骤S5,而再通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与第二主机在物理电路上断开并连接至第三主机,S7:第三主机中的数据桥接处理单元读取所述串行存储器中的原始裸数据块且进行还原处理,之后再写入至与第三主机相连接的第三网络系统中;S8:依此类推,直到完成将本次写入到所述串行存储器的原始裸数据块传导至事先预定的网络系统N后再格式化所述串行存储器,之后再通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与第η主机在物理电路上断开并切回连接至第一主机。在本发明实施例中,多网络系统数据传导装置在保持网络系统物理隔离的情况下能够实现数据传导;传导的原始裸数据和串行存储器不具危害性,传导的数据经去格式化和压缩处理后变为原始裸数据块、不具有自动执行指令的可能,串行存储器为物理静态设备不存在计算机程序与指令的运行。另外,串行存储器在每一次完成数据传导任务后会格式化并再切回连接至起初的主机;在授信环境与非授信环境之间传导数据过程中保证非授信网络系统中病毒和恶意代码永远没有可能进入授信环境,安全性高。串行设备热插拔控制单元是通过主机的GPIO输出的高低电平组合来控制串行存储器的物理热插拔和自动切换,切换速度快。
图1是本发明实施例提供的多网络系统数据传导装置的模块结构示意图;图2是本发明实施例提供的多网络系统数据传导装置中串行设备热插拔控制单元的多路选择器芯片及其外围电路的原理图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。本发明实施例提供的多网络系统数据传导装置主要应用于网络系统隔离环境下信息的安全传导。图1示出了该多网络系统数据传导装置的模块结构,为了便于说明,仅示出了与本发明实施例相关的部分,详述如下:多网络系统数据传导装置包括多个互相物理隔离的第一主机Z1、第二主机
Z2.......第η主机Zn,与多个主机均连接的串行设备热插拔控制单元4,以及与串行设备
热插拔控制单元4连接的串行存储器5 ;每个主机内置一个数据桥接处理单元,每个主机与一个网络系统连接,不同的主机连接不同的网络系统;工作时,当一个网络系统需要向另外一个或多个网络系统传导数据,该网络系统则通过与其连接的主机的数据桥接处理单元将需要传导的数据进行去格式化和压缩处理后变为原始裸数据块,再写入串行存储器5,之后通过主机的GPIO输出的高低电平来触发串行设备热插拔控制单元4来控制串行存储器5与当前主机在物理电路上断开且连接至另外一个主机,另外一个主机的数据桥接处理单元从串行存储器5中读取数据进行还原处理后且写入到相连接的网络系统中,写入工作完成后则格式化串行存储器5并切回连接至起初的主机;如果本次任务还需将本次写入到串行存储器5的数据传导至其它网络系统则不需格式化串行存储器5和切回连接至起初的主机,而再通过主机的GPIO输出的高低电平来触发串行设备热插拔控制单元4来控制串行存储器5与当前主机在物理电路上断开且连接至再另外一个主机相连和传导数据,依此类推,直到完成当次需要传导的所有任务后,再格式化串行存储器5并切回连接至起初的主机。在本发明实施例中,串行设备热插拔控制单元4与多个主机之间、串行设备热插拔控制单元4与串行存储器5之间均通过串行数据线连接,多个主机与串行设备热插拔控制单元4之间还通过GPIO电平信号线连接。多网络系统数据传导装置采用了串行设备物理热插拔的原理:通过串行设备热插拔控制单元来控制串行存储器的物理热插拔且切换到不同的、相互物理隔离的主机上;通过数据桥接处理单元往串行存储器安全输入输出数据;串行存储器装载着数据在不同的、相互物理隔离的主机之间进行自动切换,实现数据在多个互相物理隔离的主机之间安全传导。作为本发明的一个实施例,串行设备热插拔控制单元4可以为SATA设备热插拔控制单元、USB设备热插拔控制单元或ΙΕΕΕ1394设备热插拔控制单元。作为本发明的一个实施例,串行存储器5可以为串行接口的光盘刻录机、串行接口的硬盘、串行接口的闪存盘、串行接口的SD卡读写器或串行接口的CF卡读写器。在本发明实施例中,多个主机、串行设备热插拔控制单元4、串行存储器5可以都置于一个机箱内,即在一个机箱内有多个独立主机系统,例如第一主机Zl、第二主机
Z2.......第η主机Zn,且各个主机之间完全物理隔离。串行存储器5与主机之间的连接
是通过主机的GPIO输出的高低电平来触发串行设备热插拔控制单元4来控制串行存储器5与一个主机在物理电路上断开并连接至另外一个主机。当串行设备热插拔控制单元4切换到某一主机时将串行存储器5自动热加载到该主机,并与之前连接的主机在物理电路上彻底断开。同时,各个主机通过网线与不同的网络系统相连。例如:第一主机Zl与第一网络系统Wl相连、第二主机Ζ2第二网络系统W2相连、第η主机与第η网络系统Wn相连。每个主机分别内置数据桥接处理单元,第一主机Zl从第一网络系统Wl中获取需要传导的数据,内置数据桥接处理单元将需要传导的数据进行去格式化和压缩处理后变为原始裸数据块,然后将原始裸数据块写入串行存储器5中;完成数据写入工作后,串行设备热插拔控制单元4将串行存储器与当前第一主机Zl在物理电路上断开,并自动切换串行存储器加载到第二主机Ζ2 ;第二主机Ζ2系统内置数据桥接处理单元读取串行存储器5中的数据,并将数据进行还原处理,然后将数据写入第二网络系统W2 ;完成数据写入工作后再格式化串行存储器5。串行设备热插拔控制单元4再次断开串行存储器与第二主机Ζ2在物理电路上的连接,并将串行存储器切换回连接至第一主机Ζ1。如果还需继续将本次写入到串行存储器5的数据传导至第η网络系统Wn则不需格式化串行存储器5和切回连接至第一主机Ζ1,串行设备热插拔控制单元4再次断开串行存储器5与第二主机Ζ2在物理电路上的连接且连接至第η主机Zn ;第η主机Zn内置数据桥接处理单元读取串行存储器5中的数据,并将数据进行还原处理,然后将数据写入第η网络系统Wn ;完成数据写入工作后再格式化串行存储器5 ;串行设备热插拔控制单元4再次断开串行存储器5与第η主机Zn在物理电路上的连接并将串行存储器5切换回连接至第一主机Ζ1,完成本次需要传导的所有任务。在数据传导的过程中,第一主机Ζ1、第二主机Ζ2、第η主机Zn永远物理隔离且串行存储器5永远只跟某一主机相连。数据传导方向受硬件控制,串行存储器5在每完成一次数据传导任务后,会格式化并切回连接至起初的主机。在授信环境与非授信环境之间传导数据过程中保证非授信网络系统中病毒和恶意代码永远没有可能进入授信环境。本发明实施例提供的多网络系统数据传到装置在保持网络系统物理隔离的情况下能够实现数据传导;数据传导方式不具有可编程性,硬件上存在可编程器件;传导的原始裸数据和串行存储器不具危害性,传导的数据经去格式化和压缩处理后变为原始裸数据块、不具有自动执行指令的可能,串行存储器为物理静态设备不存在计算机程序与指令的运行。在本发明实施例中,串行设备热插拔控制单元4包括支持串行设备的多路选择器芯片及其外围电路;图2示出了多路选择器芯片的具体电路,3:1SATAEquipment DeMuxChip即3选I的SATA设备多路选择器芯片,HOST SATAP0RT即连接主机的SATA端口,STORAGE SATA PORT即连接存储器的SATA端口 ; HOST I SATA PORT连接第一主机Zl,H0ST2SATA PORT 连接第二主机 Z2,H0ST3SATA PORT 连接第三主机 Z3,STORAGE SATA PORT接串行存储器5。具体地详见图2,在此不再赘述。在本发明实施例中,串行设备热插拔控制单元4可以为SATA设备热插拔控制单元,它通过主机的GPIO输出的高低电平组合来控制串行存储器5的物理热插拔和自动切换,切换速度快;串行存储器5可以为SATA接口的光盘刻录机、SATA接口的硬盘、SATA接口的闪存盘、SATA接口的SD卡读写器或SATA接口的CF卡读写器。为了更进一步的说明本发明实施例提供的多网络系统数据传导方法,串行设备热插拔控制单元以SATA设备热插拔控制单元为例,串行存储器以SATA接口的光盘刻录机为例,多网络系统数据传导方法具体包括:S1:第一主机Zl中的数据桥接处理单元从其连接的第一网络系统Wl中获取需要传导的数据,再将需要传导的数据进行去格式化和压缩处理后变为原始裸数据块;S2:将原始裸数据块写入到SATA接口的光盘刻录机的光盘中;S3:第一主机Zl通过主机的GPIO输出的高低电平来触发SATA设备热插拔控制单元来控制SATA接口的光盘刻录机与第一主机Zl在物理电路上断开且连接至第二主机Z2 ;S4:第二主机Z2中的数据桥接处理单元读取SATA接口的光盘刻录机的光盘中的原始裸数据块且进行还原处理,之后再写入至与第二主机Z2相连接的第二网络系统W2中;S5:第二主机Z2中的数据桥接处理单元格式化SATA接口的光盘刻录机的光盘,之后第二主机Z2通过主机的GPIO输出的高低电平来触发SATA设备热插拔控制单元来控制SATA接口的光盘刻录机与第二主机Z2在物理电路上断开并切回连接至第一主机Zl ;S6:如果还需将本次写入到SATA接口的光盘刻录机的光盘中的原始裸数据块传导至其它网络系统则不需执行步骤S5,而再通过主机的GPIO输出的高低电平来触发SATA设备热插拔控制单元来控制SATA接口的光盘刻录机与第二主机Z2在物理电路上断开并连接第三主机Z3 ;S7:第三主机Z3中的数据桥接处理单元读取SATA接口的光盘刻录机的光盘中的原始裸数据块且进行还原处理,之后再写入至与第三主机Z3相连接的第三网络系统W3中;S8:依此类推,直到完成将本次写入到SATA接口的光盘刻录机的光盘中的原始裸数据块传导至事先预定的网络系统N后再格式化SATA接口的光盘刻录机的光盘,之后再通过主机的GPIO输出的高低电平来触发所述SATA设备热插拔控制单元来控制SATA接口的光盘刻录机与第N主机ZN在物理电路上断开并切回连接至第一主机Zl。在本发明实施例中,多网络系统数据传导装置在保持网络系统物理隔离的情况下能够实现数据传导;传导的原始裸数据、SATA接口的光盘刻录机和光盘都不具危害性,传导的数据经去格式化和压缩处理后变为原始裸数据块、不具有自动执行指令的可能,SATA接口的光盘刻录机和光盘为物理静态设备不存在计算机程序与指令的运行。另外,SATA接口的光盘刻录机在每传导一次数据后,会格式化其中光盘并再切换回连接至起初的主机;在授信环境与非授信环境之间传导数据过程中保证非授信网络系统中病毒和恶意代码永远没有可能进入授信环境,安全性高。SATA设备热插拔控制单元是通过主机的GPIO输出的高低电平组合来控制SATA接口的光盘刻录机的物理热插拔和自动切换,切换速度快。同时还支持多个网络系统环境之间相互数据安全传导。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种多网络系统数据传导装置,其特征在于,包括多个物理隔离的主机、与多个主机均连接的串行设备热插拔控制单元,以及与所述串行设备热插拔控制单元连接的串行存储器;每个主机内置一个数据桥接处理单元,每个主机只与一个网络系统连接,不同的主机连接不同的网络系统; 工作时,当一个网络系统需要向另外一个或多个网络系统传导数据,该网络系统则通过与其连接的主机的数据桥接处理单元将需要传导的数据进行去格式化和压缩处理且写入所述串行存储器后,通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与当前主机在物理电路上断开且连接至另外一个主机,另外一个主机的数据桥接处理单元从串行存储器中读取数据且写入到相连接的网络系统中,写入工作完成后则格式化所述串行存储器并切回连接至起初的主机;如果本次任务还需将本次写入到所述串行存储器的数据传导至其它网络系统则不需格式化所述串行存储器和切回连接至起初的主机,而再通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与当前主机在物理电路上断开且连接至再另外一个主机相连和传导数据,依此类推,直到完成当次需要传导的所有任务后,再格式化所述串行存储器并切回连接至起初的主机。
2.如权利要求1所述的装置,其特征在于,所述串行设备热插拔控制单元与多个主机之间、所述串行设备热插拔控制单元与串行存储器之间均通过串行数据线连接。
3.如权利要求1所述的装置,其特征在于,所述串行设备热插拔控制单元与多个主机之间通过GPIO电平信号线连接。
4.如权利要求1所述的装置,其特征在于,所述串行设备热插拔控制单元为=SATASI热插拔控制单元、USB设备热插拔控制单元或IEEE1394设备热插拔控制单元。
5.如权利要求1所述的装置,其特征在于,所述串行设备热插拔控制单元包括支持串行设备的多路选择器芯片及其外围电路。
6.如权利要求1所述 的装置,其特征在于,所述串行存储器包括:串行接口的光盘刻录机、串行接口的硬盘、串行接口的闪存盘、串行接口的SD卡读写器或串行接口的CF卡读写器。
7.如权利要求1所述的装置,其特征在于,所述的多个主机、串行设备热插拔控制单元、串行存储器均置于一个机箱内。
8.一种采用权利要求1-7任一项所述的装置实现的多网络系统数据传导方法,其特征在于,包括下述步骤: 51:第一主机中的数据桥接处理单元从其连接的第一网络系统中获取需要传导的数据,再将需要传导的数据进行去格式化和压缩处理后变为原始裸数据块; 52:将所述原始裸数据块写入到所述串行存储器中; 53:通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与第一主机在物理电路上断开且连接至第二主机; S4:第二主机中的数据桥接处理单元读取所述串行存储器中的原始裸数据块且进行还原处理,之后再写入至与第二主机相连接的第二网络系统中; S5:第二主机中的数据桥接处理单元格式化所述串行存储器,之后通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与第二主机在物理电路上断开并切回连接至第一主机; 56:如果还需将本次写入到所述串行存储器的原始裸数据块传导至其它网络系统则不需执行步骤S5,而再通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与第二主机在物理电路上断开并连接第三主机; 57:第三主机中的数据桥接处理单元读取所述串行存储器中的原始裸数据块且进行还原处理,之后再写入至与第三主机相连接的第三网络系统中; 58:依此类推,直到完成将本次写入到所述串行存储器的原始裸数据块传导至事先预定的网络系统N后再格式化所述串行存储器,之后再通过主机的GPIO输出的高低电平来触发所述串行设备热插拔控制单元来控制所述串行存储器与第N主机在物理电路上断开并切回连接至第 一主机。
全文摘要
本发明适用于数据安全交换领域,提供了一种多网络系统数据传导装置及方法;多网络系统数据传导装置包括多个物理隔离的主机、串行设备热插拔控制单元以及串行存储器;每个主机内置一个数据桥接处理单元,一个主机只与一个网络系统连接,不同的主机连接不同的网络系统。该装置在保持网络系统物理隔离的情况下实现了数据安全传导,支持一个网络系统向一个或多个网络系统传导数据;传导的原始裸数据和串行存储器不具危害性;串行存储器在每完成一次数据传导任务后会格式化并切回连接至起初的主机;安全性高。串行设备热插拔控制单元是通过高低电平组合来控制串行存储器的物理热插拔和自动切换,切换速度快。
文档编号H04L29/06GK103186743SQ20121034151
公开日2013年7月3日 申请日期2012年9月14日 优先权日2012年9月14日
发明者曾崛, 张威, 邓未玲 申请人:曾崛, 张威, 邓未玲