本发明涉及一种基于异构协议通道的数据摆渡装置及方法,属于数据安全传输的技术领域。
背景技术:
数据摆渡技术是物理网络隔离技术中的重要组成部分。当前的数据摆渡技术主要包括三个基本部分:
内网处理单元、外网处理单元和摆渡控制单元。
其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
下面分别介绍三个基本部分的功能:
内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出"纯数据",作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。
外网处理单元:与内网处理单元功能相同,但处理的是外网连接。
隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。
数据摆渡的两类模型:
在内外网处理单元中,接口处理与数据缓冲之间的通道,称内部通道1,缓冲区与交换区之间的通道,称内部通道2。对内部通道的开关控制,就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据,称为三区模型;摆渡时,交换区的总线分别与内、外网缓冲区连接,也就是内部通道2的控制,完成数据交换。
还有一种方式是取消数据交换区,分别交互控制内部通道1与内部通道2,形成二区模型。
二区模型的数据摆渡分两次:先是连接内、外网数据缓冲区的内部通道2断开,内部通道1连接,内外网接口单元将要交换的数据接收过来,存在各自的缓冲区中,完成一次摆渡。然后内部通道1断开,内部通道2连接,内外网的数据缓冲区与各自的接口单元断开后,两个缓冲区连接,分别把要交换的数据交换到对方的缓冲区中,完成数据的二次摆渡。
内部通道一般也采用非通用网络的通讯连接,让来自两端的可能攻击终止于接口单元,从而增强数据摆渡的隔离效果。
但现有的数据摆渡技术在安全性上有一定缺陷,内外网摆渡通道不采用协议或采用同构协议,其数据的安全性较低。
技术实现要素:
针对现有技术的不足,本发明提供一种基于异构协议通道的数据摆渡装置。
本发明还提供一种上述数据摆渡装置的工作方法。
本发明的技术方案如下:
一种基于异构协议通道的数据摆渡装置,包括沿数据流方向依次相连的内网处理单元、摆渡控制单元和外网处理单元;所述内网处理单元和摆渡控制单元之间通过第一摆渡通道相连;所述摆渡控制单元和外网处理单元之间通过第二摆渡通道相连;所述第一摆渡通道的通信协议与所述第二摆渡通道的通信协议不同。
根据本发明优选的,所述内网处理单元包括相连的内网接口和内网数据缓冲模块。
根据本发明优选的,所述摆渡控制单元包括相连的摆渡控制处理器和数据交换模块。
根据本发明优选的,所述外网处理单元包括相连的外网接口和外网数据缓冲模块。
一种上述数据摆渡装置的工作方法,包括:
所述第一摆渡通道所使用的通信协议与所述第二摆渡通道所使用的通信协议不同。
根据本发明优选的,所述第一摆渡通道所使用的通信协议为PCI通信协议;所述第二摆渡通道所使用的通信协议为USB通信协议。
根据本发明优选的,所述第一摆渡通道所使用的通信协议为串口通信协议;所述第二摆渡通道所使用的通信协议为SCSI通信协议。
本发明的优势在于:
本发明针对现有数据摆渡存在数据安全的缺陷,特提出将第一摆渡通道与第二摆渡通道采用异构协议进行数据摆渡的方案,以增强数据传输的安全性。
附图说明
图1是本发明所述装置的模块连接示意图。
1、内网处理单元;1-1、内网接口;1-2、内网数据缓冲模块;
2、摆渡控制单元;2-1、摆渡控制处理器;2-2、数据交换模块;
3、外网处理单元;3-1、外网接口;3-2、外网数据缓冲模块。
4、第一摆渡通道;5、第二摆渡通道。
具体实施方案
下面结合后实施例和说明书附图对本发明做详细的说明,但不限于此。
如图1所示。
实施例1、
一种基于异构协议通道的数据摆渡装置,包括沿数据流方向依次相连的内网处理单元1、摆渡控制单元2和外网处理单元3;所述内网处理单元1和摆渡控制单元2之间通过第一摆渡通道4相连;所述摆渡控制单元2和外网处理单元3之间通过第二摆渡通道5相连;所述第一摆渡通道4的通信协议与所述第二摆渡通道5的通信协议不同。
所述内网处理单元1包括相连的内网接口1-1和内网数据缓冲模块1-2。
所述摆渡控制单元2包括相连的摆渡控制处理器2-1和数据交换模块2-2。
所述外网处理单元3包括相连的外网接口3-1和外网数据缓冲模块3-2。
所述内网接口负责与内网的网络连接,并终止内网用户的网络连接,对数据进行安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;所述内网数据缓冲模块是存放并调度剥离后的数据,负责与摆渡控制单元的数据交换。
所述外网处理单元:与内网处理单元功能相同,但负责外网连接。
所述摆渡控制单元:摆渡控制单元负责控制第一摆渡通道、第二摆渡通道的开启与关闭。所述数据交换模块利用不同的通信协议与内外网在任意时刻不同时连接,形成空间间隔,实现物理隔离。
实施例2、
如实施例1所述的一种基于异构协议通道的数据摆渡装置的工作方法,包括:
所述第一摆渡通道4所使用的通信协议与所述第二摆渡通道5所使用的通信协议不同。
所述第一摆渡通道4所使用的通信协议为PCI通信协议;所述第二摆渡通道5所使用的通信协议为USB通信协议。
实施例3、
如实施例2所述的一种基于异构协议通道的数据摆渡装置的工作方法,其区别在于,所述第一摆渡通道4所使用的通信协议为串口通信协议;所述第二摆渡通道5所使用的通信协议为SCSI通信协议。