基于非网络方式的数据隔离装置及其方法与系统的制作方法

基于非网络方式的数据隔离装置及其方法与系统的制作方法
【专利摘要】本发明提供一种基于非网络方式的数据隔离装置及其隔离方法与系统，包括内网主机、外网主机和隔离通信模块，内外网主机均网络协议栈，并分别维护TCP代理客户端模块和TCP代理服务端模块。TCP代理服务端模块与业务数据包客户端建TCP连接socket1及数据转发，TCP代理客户端模块负责与业务数据包服务端建立TCP连接socket2及数据转发，隔离通信模块使用私有协议，剥除了业务数据包TCP头及以下的报文头，仅进行纯业务数据载荷转发。整体上实现内、外端主机之间的四层隔离子系统通信，有效阻止除“基于私有协议内部的攻击”之外的所有网络攻击，确保内部网络与外部网络物理隔绝的前提下，网络数据交互的高效率。
【专利说明】基于非网络方式的数据隔离装置及其方法与系统

【技术领域】
[0001]本发明涉及网络安全【技术领域】，特别是涉及基于非网络方式的数据隔离装置及其方法与系统。

【背景技术】
[0002]随着计算机网络技术的普及与不断发展，基于TCP/IP网络的攻击泛滥，网络安全问题显得愈加重要。在一类安全性要求比较高的网络应用场景中，通常要求内部网络与外部网络物理隔绝以确保内部网络信息的安全。
[0003]但与此同时，在确保内部网络与外部网络物理隔绝的前提下，为了使内部网络正常运行工作还需要与外部网络进行少量的数据交互，通常这种数据交互采用离线方式，离线方式数据交互效率低下，需要耗费大量的时间，严重增加操作人员的任务。


【发明内容】

[0004]基于此，有必要针对现有在确保内部网络与外部网络物理隔绝的前提下，进行内外部网络离线数据交互效率低下的问题，提供一种确保内部网络与外部网络物理隔绝的前提下，内外部网络数据交互效率高的基于非网络方式的数据隔离装置及其方法与系统。
[0005]一种非网络方式的数据隔离装置的数据隔离方法，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；
[0006]非网络方式的数据隔离装置的数据隔离方法包括步骤:
[0007]建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socketl ；
[0008]获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；
[0009]采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP 连接 socket2 ；
[0010]将socketl和S0Cket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socketl、隔离通道和S0Cket2三段区间内传输；
[0011]当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。
[0012]一种非网络方式的数据隔离装置的数据隔离系统，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；
[0013]非网络方式的数据隔离装置的数据隔离系统包括:
[0014]TCP代理端建立模块，用于建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；
[0015]第一通信链路建立模块，用于采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socketl ；
[0016]隔离通道建立模块，用于获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；
[0017]第二通信链路建立模块，用于采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2 ；
[0018]逻辑通道形成模块，用于将socketl和S0Cket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socketl、隔离通道和S0Cket2三段区间内传输；
[0019]报文剥除模块，用于当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。
[0020]一种基于非网络方式的数据隔离装置，包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈，外网主机维护TCP代理服务端模块，内网主机维护TCP代理客户端模块；
[0021 ] 所述隔离通信模块用于根据内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据，并隔离所述内网主机和所述外网主机之间的非纯应用数据，所述纯应用数据为不包含TCP网络信息、链路信息和传输层信息的数据。
[0022]本发明基于非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，内外网主机均网络协议栈，并分别维护TCP代理客户端模块和TCP代理服务端模块。TCP代理服务端模块与业务数据包客户端建TCP连接socketl及数据转发，TCP代理客户端模块负责与业务数据包服务端建立TCP连接S0Cket2及数据转发，隔离通信模块使用私有协议，剥除了业务数据包TCP头及以下的报文头，仅进行纯业务数据载荷转发。整体上实现内、夕卜端主机之间的四层隔离子系统通信，有效阻止除“基于私有协议内部的攻击”之外的所有网络攻击，确保内部网络与外部网络物理隔绝的前提下，网络数据交互的高效率。

【专利附图】

【附图说明】
[0023]图1为本发明基于非网络方式的数据隔离装置的隔离方法第一个实施例的流程示意图；
[0024]图2为本发明基于非网络方式的数据隔离装置的隔离方法第二个实施例的流程示意图；
[0025]图3为本发明基于非网络方式的数据隔离装置的隔离系统其中一个实施例的结构示意图；
[0026]图4为本发明基于非网络方式的数据隔离装置第一个实施例的结构示意图；
[0027]图5为本发明基于非网络方式的数据隔离装置第二个实施例的结构示意图；
[0028]图6为本发明基于非网络方式的数据隔离装置的隔离方法其中一个实施例中socketl通道、隔离通道以及socket2建立的过程示意图；
[0029]图7为本发明基于非网络方式的数据隔离装置的隔离方法其中一个实施例中数据包从客户端到服务端的处理过程示意图；
[0030]图8为本发明基于非网络方式的数据隔离装置的隔离方法其中一个实施例中数据包经过服务端处理后从服务端返回客户端的过程示意图。

【具体实施方式】
[0031]为了使本发明的目的、技术方案及优点更加清楚明白，以下根据附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施仅仅用以解释本发明，并不限定本发明。
[0032]如图1所示，一种非网络方式的数据隔离装置的数据隔离方法，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；
[0033]非网络方式的数据隔离装置的数据隔离方法包括步骤:
[0034]SlOO:建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端;
[0035]S200:采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的 TCP 连接 socketl ；
[0036]S300:获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；
[0037]S400:采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2 ；
[0038]S500:将socketl和S0Cket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socketl、隔离通道和S0Cket2三段区间内传输；
[0039]S600:当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。
[0040]本发明基于非网络方式的数据隔离装置的数据隔离方法，能够在确保内部主机和外部主机物理隔离的前提下，根据隔离通信模块的私有通信协议，交互内网主机与外网主机之间的纯应用数据，使得外网数据包能够高效通过基于非网络方式的数据隔离装置传输。
[0041 ] 在其中一个实施例中，所述采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socketl具体包括步骤:
[0042]外网数据包客户端向外网主机发送TCP连接请求数据包；
[0043]当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP代理服务端，TCP代理服务端acc印t创建新套接字socketl ；
[0044]所述TCP代理服务端向内核查询，获取所述socketl重定向前的目的地址为外网数据包服务端；
[0045]所述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接。
[0046]在其中一个实施例中，所述采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接S0Cket2具体包括步骤:
[0047]所述TCP代理客户端建立套接字socket2，并绑定port3接口 ；
[0048]所述TCP代理客户端向内核添加源网络地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址；
[0049]所述TCP代理客户端使用S0Cket2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。
[0050]如图2所示，在其中一个实施例中，所述S600之前还有步骤:
[0051]S520:当socketl或socket2主被动断开时,删除内网主机中的所有源网络地址转换策略。
[0052]在上述实施例中，当socketl或socket2主被动断开时或者主机、内外主机需要重启时，删除内网主机中的所有源网络地址转换策略。这样能够确保内网主机的安全，避免异常情况的出现导致内网主机被黑客劫持或者内网主机中的数据被篡改。
[0053]如图3所示，一种非网络方式的数据隔离装置的数据隔离系统，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；
[0054]非网络方式的数据隔离装置的数据隔离系统包括:
[0055]TCP代理端建立模块310，用于建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；
[0056]第一通信链路建立模块320，用于采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socketl ；
[0057]隔离通道建立模块330，用于获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；
[0058]第二通信链路建立模块340，用于采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2 ；
[0059]逻辑通道形成模块350，用于将socketl和S0Cket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socketl、隔离通道和S0Cket2三段区间内传输；
[0060]报文剥除模块360，用于当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。
[0061]本发明基于非网络方式的数据隔离装置的数据隔离系统，能够在确保内部主机和外部主机物理隔离的前提下，根据隔离通信模块的私有通信协议，交互内网主机与外网主机之间的纯应用数据，使得外网数据包能够高效通过基于非网络方式的数据隔离装置传输。
[0062]在其中一个实施例中，所述第一通信链路建立模块具体包括:
[0063]发送单元，用于将外网数据包客户端向外网主机发送TCP连接请求数据包；
[0064]第一通信链路建立单元，用于当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP代理服务端，TCP代理服务端accept创建新套接字socketl ；
[0065]重定向单元，用于将所述TCP代理服务端向内核查询，获取所述socketl重定向前的目的地址为外网数据包服务端；
[0066]请求单元，用于在利用述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接；
[0067]在其中一个实施例中，所述第二通信链路建立模块具体包括:
[0068]第二通信链路建立单元，用于通过所述TCP代理客户端建立套接字S0Cket2，并绑定 port3 接口 ；
[0069]地址映射单元，用于通过所述TCP代理客户端向内核添加源网络地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址；
[0070]连接单元，用于通过所述TCP代理客户端使用S0Cket2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。
[0071]如图4所示，一种基于非网络方式的数据隔离装置，包括内网主机100、外网主机200和隔离通信模块300，所述内网主机100和所述外网主机200通过所述隔离通信模块300物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈，外网主机维护TCP代理服务端模块，内网主机维护TCP代理客户端模块；
[0072]所述隔离通信模块300用于根据内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据，并隔离所述内网主机和所述外网主机之间的非纯应用数据，所述纯应用数据为不包含TCP/IP网络信息、链路信息和传输层信息的数据。
[0073]本发明基于非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，内外网主机均网络协议栈，并分别维护TCP代理客户端模块和TCP代理服务端模块。TCP代理服务端模块与业务数据包客户端建TCP连接socketl及数据转发，TCP代理客户端模块负责与业务数据包服务端建立TCP连接S0Cket2及数据转发，隔离通信模块使用私有协议，剥除了业务数据包TCP头及以下的报文头，仅进行纯业务数据载荷转发。整体上实现内、外端主机之间的四层隔离子系统通信，有效阻止除“基于私有协议内部的攻击”之外的所有网络攻击，确保内部网络与外部网络物理隔绝的前提下，网络数据交互的高效率。
[0074]如图5所示，在其中一个实施例中，所述隔离通信模块300包括非电路性隔离隔板320和数据隔离卡340，所述非电路性隔离隔板320用于隔离所述内网主机和所述外网主机之间的非纯应用数据，所述数据隔离卡340用于根据所述内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据。
[0075]从某种意义上来说在可以将隔离通信模块分为两个区，一个是隔离区，一个是交互区，隔离区用于隔离所述内网主机和所述外网主机之间的非纯应用数据，交互区用于根据所述内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据。在本实施例中显然，隔离区为非电路性隔离隔板，交互区为数据隔离卡，两者协调工作能够在能够确保内部网络与外部网络物理隔绝的前提下，内外部网络数据交互高效率。
[0076]如图5所示，在其中一个实施例中，所述基于非网络方式的数据隔离装置还包括内网网卡400和外网网卡500，所述内网网卡400与所述内网主机100连接，所述外网网卡500与所述外网主机200连接。
[0077]为了进一步详细解释本发明基于非网络方式的数据隔离装置的数据隔离方法，下面将详细解释数据包在socketl、隔离通道和socket〗三段区间内传输的过程。为了便于解释说明，在下面描述中，基于非网络方式的数据隔离装置的外网主机一侧称为客户端、内网主机一侧称为服务端，其中客户端、外网主机、内网主机以及服务端的目的地址分别定义为ipl、ip2、ip3、ip4。
[0078]图6为socketl通道、隔离通道以及socket2建立的过程。
[0079]1、客户端向服务器发起TCP连接请求,该连接从ipl到ip4 ；
[0080]2、当连接请求包到达外端主机，通过端口重定向到ip2，外端代理服务端模块accept创建新套接字socketl ；
[0081]3、外端代理服务端模块向内核查询得到socketl重定向前的目的地址ip4 ；
[0082]4、外端代理服务端模块通过隔离通信模块向内端代理客户端模块发送请求，请求建立ipl到ip4的TCP连接；
[0083]6、内端代理客户端模块首先建立套接字socket2,并绑定port3 ；
[0084]7、内端代理客户端模块向内核添加源网络地址转换策略，即从ip3到ip4的数据包源地址映射为ipl ；
[0085]8、最后内端代理客户端模块使用S0Cket2向服务器发起TCP连接请求，服务器读取到该连接源地址为客户端地址(ipl)，连接建立成功。
[0086]图7为数据包从客户端到服务端的处理过程。
[0087]1、当代理通道建立成功后，客户端向服务器发送TCP业务数据，该数据包从ipl到ip4 ；
[0088]2、当业务数据包到达外端主机时，通过端口重定向到ip2，由外端代理服务端模块套接字socketl收到该数据包；
[0089]3、外端代理服务端模块通过隔离通信模块，将业务数据包纯载荷部份使用自定义私有协议封装，送到内端代理客户端模块；
[0090]4、内端代理客户端模块使用socket〗将该数据载荷发往服务器ip4 ；
[0091]5、内端主机发送前，内核查到ip3到ip4存在源网络地址转换策略，将数据包源地址改为客户端；
[0092]6、服务器收到源地址为客户端的业务数据包，并进行相应业务处理。
[0093]图8为数据包经过服务端处理后从服务端返回客户端的过程。
[0094]1、当代理通道建立成功后，服务器向客户端发送业务数据，该数据包从ip4: port4到 ipl ;
[0095]2、当业务数据包到达内端主机时，内核通过查询网络地址转换表，将该数据包发送给内端代理客户端程序；
[0096]3、内端代理客户端程序通过隔离通信模块，将业务数据包纯载荷部份使用自定4、义私有协议封装，送到外端代理服务端模块；
[0097]5、外端代理服务端模块使用socketl将该数据载荷发往客户端ipl ；
[0098]6、外端主机发送前，内核通过查找网络地址转换表，将该数据包源地址改为服务器地址ip4 ；
[0099]7、客户端收到源地址为服务器的业务数据包，并进行相应业务处理。
[0100]以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种非网络方式的数据隔离装置的数据隔离方法，其特征在于，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈； 非网络方式的数据隔离装置的数据隔离方法包括步骤: 建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接SOCketl ； 获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道； 采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接 socket2 ； 将socketl和S0Cket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socketl、隔离通道和socket2三段区间内传输； 当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。
2.根据权利要求1所述的基于非网络方式的数据隔离装置的数据隔离方法，其特征在于，所述采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socketl具体包括步骤: 外网数据包客户端向外网主机发送TCP连接请求数据包； 当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP代理服务端，TCP代理服务端acc印t创建新套接字socketl ； 所述TCP代理服务端向内核查询，获取所述socketl重定向前的目的地址为外网数据包服务端； 所述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接。
3.根据权利要求1或2所述的基于非网络方式的数据隔离装置的数据隔离方法，其特征在于，所述采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2具体包括步骤: 所述TCP代理客户端建立套接字socket2，并绑定port3接口 ； 所述TCP代理客户端向内核添加源网络地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址； 所述TCP代理客户端使用socket〗向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。
4.根据权利要求1或2所述的基于非网络方式的数据隔离装置的数据隔离方法，其特征在于，所述当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输之前还有步骤: 当socketl或socket2主被动断开时,删除内网主机中的所有源网络地址转换策略。
5.一种非网络方式的数据隔离装置的数据隔离系统，其特征在于，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈； 非网络方式的数据隔离装置的数据隔离系统包括: TCP代理端建立模块，用于建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；第一通信链路建立模块，用于采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socketl ； 隔离通道建立模块，用于获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道； 第二通信链路建立模块，用于采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2 ； 逻辑通道形成模块，用于将socketl和S0Cket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socketl、隔离通道和S0Cket2三段区间内传输； 报文剥除模块，用于当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。
6.根据权利要求5所述的基于非网络方式的数据隔离装置的数据隔离系统，其特征在于，所述第一通信链路建立模块具体包括: 发送单元，用于将外网数据包客户端向外网主机发送TCP连接请求数据包； 第一通信链路建立单元，用于当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP代理服务端，TCP代理服务端accept创建新套接字socketl ； 重定向单元，用于将所述TCP代理服务端向内核查询，获取所述socketl重定向前的目的地址为外网数据包服务端； 请求单元，用于在利用述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接。
7.根据权利要求5或6所述的基于非网络方式的数据隔离装置的数据隔离系统，其特征在于，所述第二通信链路建立模块具体包括: 第二通信链路建立单元，用于通过所述TCP代理客户端建立套接字S0Cket2，并绑定port3 接口 ； 地址映射单元，用于通过所述TCP代理客户端向内核添加源网络地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址； 连接单元，用于通过所述TCP代理客户端使用S0Cket2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。
8.一种基于非网络方式的数据隔离装置，其特征在于，包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈，外网主机维护TCP代理服务端模块，内网主机维护TCP代理客户端模块； 所述隔离通信模块用于根据内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据，并隔离所述内网主机和所述外网主机之间的非纯应用数据，所述纯应用数据为不包含TCP网络信息、链路信息和传输层信息的数据。
9.根据权利要求8所述的基于非网络方式的数据隔离装置，其特征在于，所述隔离通信模块包括非电路性隔离隔板和数据隔离卡； 所述非电路性隔离隔板用于隔离所述内网主机和所述外网主机之间的非纯应用数据，所述数据隔离卡用于根据所述内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据。
10.根据权利要求8或9所述的基于非网络方式的数据隔离装置，其特征在于，还包括内网网卡和外网网卡，所述内网网卡与所述内网主机连接，所述外网网卡与所述外网主机连接。
【文档编号】H04L29/06GK104168257SQ201410042475
【公开日】2014年11月26日 申请日期:2014年1月28日 优先权日:2014年1月28日
【发明者】梁智强, 胡朝辉, 江泽鑫, 梁志宏, 陈炯聪, 黄曙, 余南华, 林丹生, 李闯, 石炜君, 梁毅成, 黄岳峰 申请人:广东电网公司电力科学研究院