基于单向传输技术跨网安全交换及交互式应用系统及方法与流程

本发明涉及网络信息交换技术领域，具体涉及一种基于单向传输技术跨网安全交换及交互式应用系统及方法。

背景技术：

网络交换是指通过一定的设备，如交换机等，将不同的信号或者信号形式转换为对方可识别的信号类型从而达到通信目的的一种交换形式，常见的有数据交换等。现有数据交互设备（如路由器）还存在以下缺陷：

1.现有基于防火墙的网络间数据交换设备，一旦防火墙被攻击者攻破并控制后，存储于安全区域的数据将可被任意窃取；

2.采用安全隔离设备（如网闸）进行的数据交换，多采用了文件或数据库同步的手段，应用程序需要做较大改造，开发成本高，且交换效率较低。

为此，本发明人提出基于单向传输技术跨网安全交换及交互式应用系统及方法。

技术实现要素：

本发明的目的在于提供一种基于单向传输技术跨网安全交换及交互式应用系统及方法，系统其能够在物理隔离和安全受控的前提下，支持通信双方采用实时的网络协议，信息交换效率高，且无需进行内部应用改造，成本低。

为了实现上述目的，本发明的技术方案如下：

基于单向传输技术跨网安全交换及交互式应用系统，由外网单元、内网单元、1号纯单向传输设备和2号纯单向传输设备组成；其中外网单元包括外网转接机和外网接入机，内网单元包括内网转接机和内网接入机；所述1号纯单向传输设备的输入端与外网接入机连接而输出端与内网转接机连接，所述2号纯单向传输设备的输入端与内网接入机连接而输出端与外网转接机连接；所述外网转接机还与外网接入机连接，内网转接机还与内网接入机连接；所述外网接入机和内网接入机还分别与外网的客户端及内网的服务端通信。

所述外网的客户端为基于TCP的应用协议客户端，内网的服务端为基于TCP的应用协议服务端。

所述外网接入机包括一外网控制应用模块和若干客户端输入器，外网转接机包括一外网转发应用模块，内接入机包括内网控制应用模块和若干服务端输出器，内网转接机包括一内网转发应用模块；

所述客户端输入器、外网控制应用模块、1号纯单向传输设备、内网转发应用模块、内网控制应用模块及服务端输出器依次连接，所述内网控制应用模块还依次连接2号纯单向传输设备、外网转发应用模块和外网控制应用模块；其中客户端输入器与外网的客户端通信，客户端输入器用于将客户端数据进行包装并传送至外网控制应用模块，还用于将服务端返回的响应数据发送至客户端；外网控制应用模块用于接收客户端输入器的客户端数据并将该数据发送至1号纯单向传输设备，还用于将外网转接机返回的服务端数据转发给相应的客户端输入器；所述内网转发应用模块用于接收1号纯单向传输设备传送的客户端数据并将该数据转发至内网控制应用模块；所述服务端输出器与服务端通信，其用于接收内网控制应用模块转发的客户端数据并发送给服务端，还用于接收来自服务端的响应数据，服务端的响应数据即服务端数据；所述内网控制应用模块用于转发来自内网转发应用模块的客户端数据以及用于转发来自服务端输出器的服务端数据；所述外网转发应用模块用于接收2号纯单向传输设备传送的服务端数据并转发至外网控制应用模块。

通过上述基于单向传输技术跨网安全交换及交互式应用系统实现的数据交换方法，包括以下步骤：

步骤1：外网的客户端发出数据交互请求，将客户端数据发送给外网的接入机，外网接入机的客户端输入器接收该数据，并包装该数据成客户端数据包，然后将客户端数据包发送至外网控制应用模块；所述客户端数据包中除客户端数据之外还包含数据类型、目标服务端输出器ID及客户端连接ID；

步骤2：外网控制应用模块判断该客户端数据包的客户端地址是否合法，若不合法则拒绝请求，数据交互过程结束，若合法则由外网控制应用模块将客户端数据包发送至1号纯单向传输设备；

步骤3：1号纯单向传输设备将客户端数据包传输至内网转接机，内网转接机的内网转发应用模块接收该数据包并转发客户端数据包至内网接入机；

步骤4：内网接入机的内网控制应用模块根据数据类型判断该客户端数据包是否来是自客户的数据，若是则根据目标服务端输出器ID发送给相应的服务端输出器；

步骤5：服务端输出器将客户端数据包的数据类型、目标服务端输出器ID及客户端连接ID与客户端数据剥离，然后将客户端数据发送至服务端；

步骤6：服务端输出器从服务端得到响应数据，并包装该响应数据成服务端数据包，然后将服务端数据包发送至内网控制应用模块；所述服务端数据包除服务端响应数据之外还包含数据类型、目标客户端输入器ID及客户端连接ID；

步骤7：内网控制应用模块根据数据类型判断该服务端数据包是否要发回客户端，若是，则将该服务端数据包发送至2号纯单向传输设备；

步骤8：2号纯单向传输设备将服务端数据包传输至外网转接机，外网转接机的外网转发应用模块接收该数据包并转发服务端数据包至外网接入机；

步骤9：外网接入机的外网控制应用模块判断数据类型为服务端数据后，根据目标客户端输入器ID将该服务端数据包转发至相应的客户端输入器；

步骤10：客户端输入器接收服务端数据包后，根据客户端连接ID找到对应的客户端连接，然后将数据类型、目标客户端输入器ID及客户端连接ID与服务端响应数据相剥离，最后把剥离后的服务端响应数据发送至客户端。

采用上述方案后，本发明具有以下优点：

一、结构上，采用两条物理单向通道（1号纯单向传输设备和2号纯单向传输设备），而不是一条双向链路，配合需要多台辅助设备（外网转接机、外网接入机、内网转接机和内网接入机），实现两个单向通道分别传输；

二、两个纯单向传输设备相互独立，攻击者无法直接进行协议攻击；

三、所有数据均要受内网的授权和管控，外网无法进行，充分保证管理安全；

四、攻击者即使攻破程序部分，也无法再使用单向通道完成协议，避免了防火墙被攻破后内网无屏障的问题。

以下结合附图及具体实施例对本发明做进一步说明。

附图说明

图1是本发明的结构简图；

图2是本发明的详细结构图；

图3是本发明与多个客户端和服务端工作关系图；

图4是本发明客户端数据包结构图；

图5是本发明客户端数据结构图；

图6是本发明服务端数据包结构图；

图7是本发明服务端数据结构图。

具体实施方式

如图1所示，本发明揭示的基于单向传输技术跨网安全交换及交互式应用系统，由外网单元1、内网单元2、1号纯单向传输设备3和2号纯单向传输设备4组成，本实施例所用1号纯单向传输设备3和2号纯单向传输4均为光闸；其中外网单元1包括外网转接机11和外网接入机12，内网单元2包括内网转接机21和内网接入机22；所述1号纯单向传输设备3的输入端与外网接入机12连接而输出端与内网转接机21连接，2号纯单向传输设备4的输入端与内网接入机22连接而输出端与外网转接机11连接；外网转接机11还与外网接入机12连接，内网转接机21还与内网接入机22连接；外网接入机12和内网接入机还分别与外网的客户端5及内网的服务端6通信。

如图2所示，外网接入机12包括一外网控制应用模块121和若干客户端输入器122，如图3所示客户端输入器122可接一个或多个客户端5，外网转接机11包括一外网转发应用模块111，内接入机22包括内网控制应用模块221和若干服务端输出器222，内网转接机21包括一内网转发应用模块211；

客户端输入器122、外网控制应用模块121、1号纯单向传输设备3、内网转发应用模块211、内网控制应用模块221及服务端输出器222依次连接，内网控制应用模块221还依次连接2号纯单向传输设备4、外网转发应用模块111和外网控制应用模块121；其中客户端输入器122与外网的客户端5通信，客户端输入器122用于将客户端数据进行包装并传送至外网控制应用模块121，还用于将服务端6返回的响应数据发送至客户端5；外网控制应用模块121用于接收客户端输入器122的客户端数据并将该数据发送至1号纯单向传输设备3，还用于将外网转接机111返回的服务端数据转发给相应的客户端输入器122；所述内网转发应用模块211用于接收1号纯单向传输设备3传送的客户端数据并将该数据转发至内网控制应用模块221；服务端输出器222与服务端6通信，其用于接收内网控制应用模块221转发的客户端数据并发送给服务端6，还用于接收来自服务端6的响应数据，服务端6的响应数据即服务端数据；内网控制应用模块221用于转发来自内网转发应用模块211的客户端数据以及用于转发来自服务端输出器222的服务端数据；外网转发应用模块111用于接收2号纯单向传输设备4传送的服务端数据并转发至外网控制应用模块121。

如图2和3所示，通过上述基于单向传输技术跨网安全交换及交互式应用系统实现的数据交换方法，包括以下步骤：

步骤1：外网的客户端5发出数据交互请求，将客户端数据发送给外网的接入机12，外网接入机的客户端输入器122接收该数据，并包装该数据成客户端数据包，然后将客户端数据包发送至外网控制应用模块121；如图4所示，客户端数据包中除客户端数据之外还包含数据类型、目标服务端输出器ID及客户端连接ID；

步骤2：外网控制应用模块121判断该客户端数据包的客户端地址是否合法，若不合法则拒绝请求，数据交互过程结束，若合法则由外网控制应用模块将客户端数据包发送至1号纯单向传输设备；

步骤3：1号纯单向传输设备3将客户端数据包传输至内网转接机21，内网转接机的内网转发应用模块211接收该数据包并转发客户端数据包至内网接入机22；

步骤4：内网接入机的内网控制应用模块221根据数据类型判断该客户端数据包是否来是自客户的数据，若是则根据目标服务端输出器ID发送给相应的服务端输出器222；

步骤5：服务端输出器222将客户端数据包的数据类型、目标服务端输出器ID及客户端连接ID与客户端数据剥离，如图5所示，然后将客户端数据发送至服务端6；

步骤6：服务端输出器222从服务端6得到响应数据，并包装该响应数据成服务端数据包，然后将服务端数据包发送至内网控制应用模块221；如图6所示，所述服务端数据包除服务端响应数据之外还包含数据类型、目标客户端输入器ID及客户端连接ID；

步骤7：内网控制应用模块221根据数据类型判断该服务端数据包是否要发回客户端5，若是，则将该服务端数据包发送至2号纯单向传输设备4；

步骤8：2号纯单向传输设备4将服务端数据包传输至外网转接机11，外网转接机11的外网转发应用模块111接收该数据包并转发服务端数据包至外网接入机12；

步骤9：外网接入机12的外网控制应用模块121判断数据类型为服务端数据后，根据目标客户端输入器ID将该服务端数据包转发至相应的客户端输入器122；

步骤10：客户端输入器122接收服务端数据包后，根据客户端连接ID找到对应的客户端连接，然后将数据类型、目标客户端输入器ID及客户端连接ID与服务端响应数据相剥离，如图7所示，最后把剥离后的服务端响应数据发送至客户端5。

上述外网的客户端为TCP客户端，内网的服务端为TCP服务端，本发明应用时，具有以下优势：

①、内外网各使用一台接入机，与客户端或服务端基于原有协议（如TCP、HTTP 进行通信），本实施例采用TCP客户端和TCP服务端，因此通信协议为TCP；

②、内外传输使用两套纯单向传输设备，即纯单向传输设备，实现请求与响应数据在分离的安全物理链路上进行传输；

③、同一个网络区域的接入机和转接机，可分离，也可共用一台。

以上仅为本发明的具体实施例，并非对本发明的保护范围的限定。凡依本案的设计思路所做的等同变化，均落入本案的保护范围。