本发明属于信息安全领域,具体涉及一种基于图像识别的数据传输系统,更具体涉及一种基于图像识别的在内外网物理隔离情况下的数据安全传输系统。
背景技术:
随着网络基础设施和技术的不断成熟和发展,各种应用或数据系统总会以某种形式接入网络而最终与公网互联,但信息安全形式日益严峻,对于有保密要求的系统一旦接入网络,即使使用了防火墙及入侵检测一类技术,也将面临系统入侵和信息数据泄露的风险,因此出现了系统网络物理隔离的需求,以避免特定系统出现非人为的安全问题。现有技术主要现状如下:1、目前在网络安全技术上主要有防火墙、入侵检测、VPN、网闸等技术,真正符合物理隔离要求的主要是物理隔离网闸技术;2、物理网闸技术目前正逐步推广,但存在采购和使用成本高、技术配置复杂,配置一旦不够严格将暴露并损害内部系统等问题。现有技术大部分由于只是降低了风险,高安全性的隔离技术选择有限,并且可能隐含黑盒操作,对于不可见的内部实现总会让使用者心存顾虑。
技术实现要素:
发明目的:针对上述现有技术存在的问题和不足,本发明的目的是提供一种基于图像识别的数据传输系统,使得在保证内外网隔离的情况下,能够进行安全的数据传输,使内网系统能安全实时地向外网传递数据。技术方案:为实现上述发明目的,本发明采用的技术方案为一种基于图像识别的数据传输系统,包括位于内部网络(可简称“内网”)的内网图像传输服务器(或称“图传内网服务器”,“图像传输”可简称“图传”)和显示终端,以及:位于外部网络(可简称“外网”)的图像采集终端和外网图像传输服务器(或称“图传外网服务器”);内网系统(也称“内部系统”)通过所述内网图像传输服务器提交需要发送到外网系统(也称“外部系统”)的数据,该内网图像传输服务器将获得的数据进行图像编码,生成图像,并将所述图像发送到显示终端并显示出来;所述图像采集终端用于采集所述显示终端显示的图像并将采集到的图像发送给所述外网图像传输服务器;所述外网图像传输服务器用于获取图像并进行解码,获得数据,并将获得的数据传递给外网系统。本发明中,内网指内部局域网,外网泛指内网之外的网络,可以是外部局域网,也可以是公网(即互联网)。进一步的,所述内网图像传输服务器保存一定时间内获得的数据和生成的图像。进一步的,所述内网图像传输服务器使用二维码图像生成算法将获得的数据制成若干张二维码图像。更进一步的,所述二维码图像包含的信息数据结构为消息头和消息体,其中消息头包括消息序号、当前分包序号和分包总数,所述消息序号循环使用,用于判断重复消息;当前分包序号表示当前数据包的序号,分包总数表示当前消息包含的数据包总数;当当前分包序号等于分包总数时,表示当前消息已经发送完整;消息体包括需要传输的数据。进一步的,所述显示终端上依次间隔显示一张图像或多张图像拼图。进一步的,所述显示终端的数量有2个,所述图像采集终端的数量有2个,该2个图像采集终端分别对准1个显示终端;若任意一个显示终端出现故障,则将另一个图像采集终端采集的后续图像迁移过来进行继续处理。更进一步的,如果所述故障为上下文异常,则所述外网图像传输服务器进行数据追溯,检索缺失的数据,若检索成功则继续进行数据处理,若检索失败则本条数据接收失败。进一步的,所述外网图像传输服务器保存一定时间内图像采集终端采集的图像。进一步的,所述外网图像传输服务器根据所述消息头判断解码获得的数据是否为分片数据,如果是分片数据则先进行数据整合,再将整合后的完整数据传递给外网系统。进一步的,所述显示终端和图像采集终端密封在透明罩中。利用上述基于图像识别的数据传输系统可进行数据安全传输,包括如下步骤:(1)内网系统用户通过图传内网服务器提交需要发送到外网系统的数据;(2)图传内网服务器将获得的数据进行编码生成图像,图传内网服务器将生成的图像显示在内网的显示终端上。其中:1)为保证数据安全及有效留痕,图传内网服务器将以日志形式保存一定时间内获得的信息数据,随时提供核查验证。2)图传内网服务器将获取的数据进行编码,使用目前通用开放的二维码图像生成算法,将获取的数据制成若干张二维码图像。其中,每个图像包含的信息数据结构为消息头和消息体,其中消息头包含信息项:消息类型(INFTYPE),消息序号(INFSEQ),消息头长度(INFLENGTH)、消息来源(FROM)、消息去往(TO)、内容类型(CNTTYPE)、消息分包数占用字节数(INFLFLAG)、当前分包序号(CURRENT)、分包总数(TOTAL)和附加信息(EXTINF);消息体包含需要传输的具体数据。具体的:消息类型(INFTYPE):4位(半字节)1:空消息;2:普通消息,可扩展消息序号(INFSEQ):4位(半字节),由1至15,在短时间内的递增序号,每次发送时加一,循环使用,用于对比与之前的消息的序号,判断重复消息消息头长度(INFLENGTH):8位(1字节)表示消息头,最多255字节消息来源(FROM):4位(半字节)1至15,最多标识15个来源消息去往(TO):4位(半字节)1至15,最多标识15个去往内容类型(CNTTYPE):4位(半字节),标识数据的类型,可扩展消息分包数占用字节数(INFLFLAG):4位(半字节),0表示当前信息没有分包,1表示当前分包序号(CURRENT)和分包总数(TOTAL)字段各占用4位(半字节),2表示当前分包序号(CURRENT)和分包总数(TOTAL)字段各占用8位(1字节),3表示...,14表示当前分包序号(CURRENT)和分包总数(TOTAL)字段各占用56位(7字节)。例如3表示12位,即当前分包序号占用12位,分包总数占用12位。当前分包序号(CURRENT):表示当前数据包的序号,例如发送一个数据内容比较多,分成了20个图像发送,当前发送到第8个图像,则当前分包序号即为8。该字段占用的长度根据“消息分包数占用字节数”字段确定,没有分包时该字段不存在。分包总数(TOTAL):表示当前消息包含的数据包总数,例如发送一个数据内容比较多,分成了20个图像发送,当前发送到第8个图像,则分包总数为20。该字段占用的长度根据“消息分包数占用字节数”字段确定,没有分包时该字段不存在。当当前分包序号(CURRENT)等于分包总数(TOTAL)时,表示当前信息已经发送完整。附加信息(EXTINF):扩展使用,实际使用不超过20字节。3)图传内网服务器将生成的图像显示在连接图传内网服务器的显示终端上,其中显示终端上图像的显示规则为:显示一张图像或多张图像拼图,停止一段时间,显示下一张图像或多张图像拼图。停止一段时间的时间间隔通过人工事先在图传内网服务器的配置中进行设定,般取决于数据传输量及服务器的硬件性能。(3)图传外网服务器连接着的图像采集终端(例如,摄像头),对准所述内网的显示终端,进行连续的图像(视频)采集。其中:1)为保证数据获取的有效和连续性,在内网设置了两个显示终端,在外网设置了两个图像采集终端分别对准这两个显示终端。2)一旦任意一个内网的显示终端出现故障,图传外网服务器将进行识别确认(例如:获取图像失败、解析图像失败、解析的图像数据与上下文不一致),并且根据最近一次成功时间点将另外一个图像采集终端的后续数据迁移过来进行继续处理。3)一旦任意一个外部的图像采集终端出现故障,对应连接的图传外网服务器进行识别确认(例如:打开硬件失败、获取视频数据失败、获取图像失败、解析图像失败、解析的图像数据与上下文不一致等),并且根据最近一次成功时间点将另外一个图像采集终端的后续数据迁移过来进行继续处理。4)为了能够减少图像采集处理过程出现的数据丢失,采用数据异常修复机制,例如:如果获得的数据属于上下文异常,例如之前获得序号为3的数据,本次获得序号为5的数据,则可以认为序号为4的数据丢失,则所述外网图像传输服务器进行数据追溯,即在3和5之间的时间点进行序号为4的数据检索,若检索成功则继续进行数据处理;若检索失败则本条数据接收失败,并记录到异常数据日志。(4)图传外网服务器将图像采集终端获得的图像进行处理,获取图像并进行解码,获得数据原文。其中:1)为保证数据安全,图像采集终端采集的图像(视频)将作为日志保留一段时间,以便核查验证。2)将获取的静止二维码图像进行解码,获取具体的数据内容,若属于分片数据(即前述的数据存在分包),则进行数据整合;整合完整的数据后,进行数据投递处理。(5)图传外网服务器将图像处理输出的数据进行识别,确定投递的路径方向。其中:将解码后的完整数据内容进行分析,确定投递的外网系统。进一步的,为保证内网显示终端的显示与外网的图像采集终端能够进行同步,避免因不同步而导致数据丢失的情况,做了以下工作:(a)图传内网服务器设置两套显示终端,图传外网服务器设置两套图像采集终端,通过多点冗余避免单点故障,保证数据完整传输。(b)内网显示终端与外网图像采集终端密封在透明遮罩中,防止灰尘聚集而影响显示和采集效果。(c)内网显示终端与外网图像采集终端等易耗配件可以进行热插拔,以便替换出现故障的显示终端或图像采集终端,并且不中断数据传输。有益效果:●安全能从内部系统安全和准确地向外部系统传达信息。基于二维码的图像识别错误几率小于千万分之一。内部系统完全与外部系统隔离,保证了内部系统的安全。●多接入一套平台可以支持内部多个系统与外部多个系统的信息传达,采用集中转发的模式,提供了重用性和可用效率。●开放接口为内外需要传达信息的系统提供了丰富的API接口,大大降低开发的成本与开发的难度。人性化、简单易用的界面操作。●综合成本低迅速便捷的集成(包括:系统快速搭建,配置简单,API快速对接)方式,有效避免了因定制开发带来的周期冗长,成本投入过大等弊端,省时省钱。附图说明图1为本发明的结构示意图。具体实施方式下面结合附图和具体实施例,进一步阐明本发明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。本发明的图传平台集成了开放成熟的二维码图像生成和识别技术,但根据实际的需要可以扩展采用其他的图像生成和识别技术。本发明整体上主要包括图传内网服务器和显示终端(进行内网数据接入、数据图像编码和图像显示),以及图传外网服务器和图像采集终端(进行图像采集、解码及数据投递),内外两个部分;对于处于内网和外网的业务系统或用户,只能感受到数据的投递和接收,中间的过程是透明的。具体实施步骤主要包括:1、搭建图传硬件环境,如图1所示,包括连接到内部网络的图传内网服务器、连接到图传内网服务器的显示终端、连接到外部网络的图传外网服务器、连接图传外网服务器的图像采集终端,将图像采集终端正对准显示终端,进行校准。2、用户分别在图传内网服务器和图传外网服务器上安装操作系统及应用程序,调试分别连接的显示终端和图像采集终端。在图传内外网服务器上分别配置应用参数。3、内网系统通过图传内网服务器提交需要发送的数据,图传内网服务器进行图像编码并按规则显示在内网显示终端上。同时将生成的图像和数据原文进行日志记录留存。4、图传外网服务器连接的图像采集终端采集显示终端的图像,图传外网服务器按顺序进行图像解码,生成解码后的完整数据。5、图传外网服务器将获得的完整数据进行分析,与投递路由设置进行比对,选择正确匹配的路径投递到对应的外网系统中;最后,外网系统将收到内网系统发送的数据。