一种基于单向传输设备的网络层隧道化方法
【技术领域】
[0001] 本发明设及一种基于单向传输设备的网络层隧道化方法,实现不同密级网络之间 数据安全交互的方法,属于通信技术领域。
【背景技术】
[0002] 目前,随着科技的发展,国内技术手段越来越多,在用系统、设备、传感器等生成的 大量数据需要融合分析,资源整合已成为大趋势。资源整合设及多个安全域,不同安全域的 设密等级不同。在多个域的互联互通中,高密级重要数据的泄漏可能危及国家安全,或者影 响企事业单位的经济利益及个人隐私。所W,如何在不同密级域间安全有效传输数据则成 为重中之重。W政府为例,根据《电子政务保密管理指南》规定;按照信息保密的技术要求, 设密网络不能与互联网直接连通;设密网络与非设密网络连接时,若非设密网络与互联网 物理隔离,则采用单向传输隔离设密网络与非设密网络连接。
[0003] 在此基础上,国内外多家单位研发出了对应的单向传输设备。但是,很多系统组网 并非简单的单向过程,仅使用单向传输设备,无法满足联动协同协作的需求。因为单向设备 不能提供双向流的支撑,现有的大部分通信中间件便无法连通,很多通用编程模型也无法 使用。该种现象导致的上下行隔离开发模式,给新系统建制、老系统整合改造都增加了很大 的难度,影响整体工程的可控度。
[0004] 同时,当前安全等级防护措施还处在进化完善阶段,该对系统的安全性、可靠性提 出了较高的适应性要求。因此,在物理单向传输设备之上进行统一封装,在网络边界附加带 外安全策略,能更好满足复杂网络环境下的应用需求。既达到安全防护等级,又面向开发用 户提供相对透明的编程使用环境,支持通用的编程模型,有其现实性和必要性。
【发明内容】
[0005] 本发明提供一种基于单向传输设备的网络层隧道化方法,实现数据传输的流量控 制与整形,W及对数据进行分级管理,提供数据发送的优先级保障功能,同时实现了上下行 单向设备的逻辑整合,达到了组网联动和支持大部分应用层通信协议的目的。
[0006] 一种基于单向传输设备的网络层隧道化方法,包括W下步骤:
[0007] 步骤一、对单向传输设备进行第一层封装;在数据发送的入口点,采用Token bucket算法,选取单桶单速率模型,令每个令牌可承载IByte数据;根据网络环境的参数要 求,初始化令牌桶深度D、当前令牌数C、令牌入桶速率R,在数据发送的入口点进行流量的 控制,在流量突发允许范围内反馈当前数据的发送状态;
[000引在数据发送的出口点,采用Leakybucket算法,选取高频时钟控制方式,W固定 的速率进行发送,在出口点进行流量整形,使数据流W平稳的速率到达接收方;在数据接收 点,采用动态平衡树链表管理,对接收到的数据包进行快速整合还原,超时的数据包则按既 定策略进行处理;
[0009] 通过第一层封装后,实现了单向传输设备数据传输的流量控制与整形功能;
[0010] 步骤二、对单向传输设备进行第二层封装:选取=色标记模型,建立分级队列,数 据在发送时根据不同的颜色标记进入到不同的待发送分级队列中,进入速率由步骤一中的 Tokenbucket算法控制;按照优先级设置从待发送分级队列中进行轮询,选取数据包进入 发送队列,发送速率由步骤一中的Leakybucket算法控制;待发送队列的长度上限需根据 实际情况进行调控,若待发送队列已满,需要发送的数据按既定策略进行处理;
[0011] 通过第二层封装后,在保证数据单向传输稳定性的同时,又提供了对数据进行分 级管理、优先发送的功能。
[0012] 步骤=、对单向传输设备进行第=层封装;此时需要上下行两台单向传输设备,底 层数据的发送接收模块按步骤一、二封装;通过第=层封装后,实现了上下行单向设备的逻 辑整合,形成了数据交互的有效通道。
[0013] 进一步地,所述步骤S中服N(HI細SECURITY肥TWO服)代表高密级组网,LSN(LOW SECURITY肥TWO服)代表低密级组网,现服N中用户A,需通过单向传输设备访问LSN服务 器B中的数据,其交互模式如下:
[0014] 1)服N代理程序实现对服N用户A数据请求的捕获;
[0015] 2)判断数据请求是否是需要转发,按一定安全规则对数据进行分离删选;
[0016] 3)通过单向传输设备发送符合条件的数据;
[0017] 4)LSN代理程序接收单向传输设备发送过来的数据;
[001引5)LSN代理程序检查数据是否符合转发条件;
[0019] 6)对数据进行重组,根据数据信息建立映射表;
[0020] 7)将符合条件的数据转发到LSN服务器B;
[0021] 8)LSN代理程序实现对LSN服务器B返回数据的捕获;
[0022] 9)根据映射表,将捕获的符合条件数据进行重组;
[002引 10)通过单向传输设备将数据发送到服N;
[0024]11)服N代理程序接收单向传输设备发送过来的数据;
[0025]12)服N代理程序将返回数据发送给服N用户A。
[0026] 进一步地,所述的S色标记模型绿黄红S色对应below11〇1'1]131\]1〇1'1]131\油〇¥6 normal类型数据。
[0027] 本发明的有益效果:
[002引 1、本发明基于tokenbucket-leakybucket算法进行综合改进,实现数据传输的 流量控制与整形;
[0029] 2、采用色差标记模型,对数据进行分级管理,提供数据发送的优先级保障功能;
[0030] 3、基于NAT的网络层隧道化封装,实现了上下行单向设备的逻辑整合,达到了组 网联动和支持大部分应用层通信协议(通信中间件)的目的。
[0031] 4、本发明通过对单向传输设备进行第一层封装,实现了数据单向发送的流量控制 与整形。第二层在第一层的基础上,对数据进行分级管理,保证了重要数据的优先发送。第 =层基于组网层次进行封装,在数据安全有效传输的基础上,对上下行单向设备的进行逻 辑整合,达到了组网联动和支持大部分应用层通信协议的目的。
【附图说明】
[0032]图1为本发明流量控制与整形、优先级保障的原理图;
[003引图2为本发明基于NAT的网络层隧道化的总体流程图;
[0034] 图3为本发明基于NAT的网络层隧道化的服N代理流程图;
[0035] 图4为本发明基于NAT的网络层隧道化的LSN代理流程图。
【具体实施方式】
[0036] 现结合附图和实施例详细说明本发明。
[0037] 图1为本发明流量控制与整形、优先级保障的原理图,本发明的具体实现方式如 下:
[003引 1、发送方入口采用Tokenbucket算法,选取单桶单速率模型,每个令牌可承载 IByte数据;
[0039] 2、初始化的令牌桶深度D、当前令牌数C、令牌入桶速率R;
[0040] 3、要发送的数据选取S色标记模型,绿黄红S色对应belownormal\no;rmal\ 油ovenormal类型数据;
[0041] 4