CN101902479A - 网络隔离系统及其数据传输方法 - Google Patents
网络隔离系统及其数据传输方法 Download PDFInfo
- Publication number
- CN101902479A CN101902479A CN2010102463090A CN201010246309A CN101902479A CN 101902479 A CN101902479 A CN 101902479A CN 2010102463090 A CN2010102463090 A CN 2010102463090A CN 201010246309 A CN201010246309 A CN 201010246309A CN 101902479 A CN101902479 A CN 101902479A
- Authority
- CN
- China
- Prior art keywords
- data
- xegregating unit
- transmission
- isolation system
- network isolation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络隔离系统及其数据传输方法。所述网络隔离系统包括发送控制器,用于将待传输数据进行处理,形成并行传输的多路数据;多个第一隔离设备,用于传输所述需并行传输的数据;接收控制器,用于接收并处理所述并行传输的数据,以获得所述发送控制器处理前的所述待传输数据。本发明的网络隔离系统及其数据传输方法能够提高数据传输速率和数据传输的稳定性。
Description
技术领域
本发明涉及一种网络隔离系统及其数据传输方法。
背景技术
网络互联在带来便利的同时,也引出了网络安全方面的问题。对于网络安全问题,国家保密局发布的《计算机信息系统国际联网保密管理规定》中第二章第六条内容“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离。
为了保证内部数据安全的同时又能较方便获取外网信息,正是基于这个的需求,诸如电力、政府、军队、军工、金融等重要行业、重要领域在内外网间引入了专用的网络隔离设备。
以电力行业为例,横向隔离是电力二次系统安全防护的总体原则之一,具体是说采用安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离设备,隔离强度应当接近或达到物理隔离。按照数据通信方向电力专用横向单向安全隔离设备分为正向型和反向型。正向安全隔离设备置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离设备用于从管理信息大区到生产控制大区单向数据传输,是管理信息大区到生产控制大区的唯一数据传输途径。
请参考图1和图2,图1和图2是目前常见的两种网络隔离系统的结构示意图。从图1中可以看出,隔离设备一端与发送代理器连接,另一端与接收代理器连接。从图2中可以看出,隔离设备一端经由交换机与发送代理器连接,另一端经由交换机与接收代理器连接。
目前使用的隔离设备由于要进行内容过滤、有效性检查等处理以保证网络安全,因而存在传输带宽不够高的问题。另一方面,通过长期运行经验,发现有时会出现突发性传输错误的问题。
发明内容
本发明的目的在于提供一种能够提高数据传输速率的网络隔离系统。
本发明的目的还在于提供一种能够提高数据传输速率且避免突发性传输错误的网络隔离系统的数据传输方法。
一种网络隔离系统包括:发送控制器,用于将待传输数据进行处理,形成并行传输的多路数据;多个第一隔离设备,用于传输所述需并行传输的数据;接收控制器,用于接收并处理所述并行传输的数据,以获得所述发送控制器处理前的所述待传输数据。本发明的网络隔离系统通过让多个隔离设备同时并行进行数据传输,在保证安全性的同时,以提高隔离设备在网络间的整体传输速度。
上述网络隔离系统优选的一种技术方案,所述网络隔离系统还包括多个第二隔离设备,所述第二隔离设备设置于所述发送控制器和所述接收控制器之间,用于替换出现数据传输错误的第一隔离设备,即所述第二隔离设备是所述第一隔离设备的备用设备。当某些第一隔离设备发生传输错误时,用备用隔离设备对出错的隔离设备进行替代,以提高网络隔离系统的传输可靠性。
上述网络隔离系统优选的一种技术方案,所述网络隔离系统还包括第三隔离设备,所述第三隔离设备设置于所述发送控制器和所述接收控制器之间,用于传输所述第一、第二、第三隔离设备的运行状态的配置文件。所述发送控制器根据所述配置文件用所述第二隔离设备替换出现数据传输错误的第一隔离设备。所述配置文件由多个数字组成,所述数字分别对应所述第一、第二、第三隔离设备的运行状态。通过变更所述配置文件,选择进行数据传输的隔离设备。
上述网络隔离系统优选的一种技术方案,所述发送控制器将待传输数据进行信息-摘要算法的文件签名处理,所述接收控制器利用所述文件签名验证数据传输的正确性。采用对传输数据进行信息-摘要算法的文件签名处理,并同时传输文件签名和原数据文件,这使得隔离设备传输错误可以被得知。
上述网络隔离系统优选的一种技术方案,所述第一、第二隔离设备为正向隔离设备,所述第三隔离设备为反向隔离设备,或者所述第一、第二隔离设备为反向隔离设备,所述第三隔离设备为正向隔离设备。
上述网络隔离系统优选的一种技术方案,所述发送控制器将待传输数据分割处理成数据块进行并行传输,所述接收控制器接收所述并行传输的数据块,并合并处理成所述待传输数据。
上述网络隔离系统优选的一种技术方案,所述发送控制器将待传输数据镜像复制处理,所述接收控制器接收所述镜像数据,并根据多数原则获得所述待传输数据。
上述网络隔离系统优选的一种技术方案,所述发送控制器将待传输数据分割成多个数据块并计算得出校验数据块,所述接收控制器接收所述数据块和所述校验数据块,并根据所述校验数据块获得所述待传输数据。采用所述校验数据块,对传输数据进行纠错处理,提高了数据传输的准确性。
上述网络隔离系统优选的一种技术方案,所述发送控制器将所述校验数据块进行Base64编码处理,形成所述隔离设备能够传输的形式。
一种网络隔离系统的数据传输方法,所述网络隔离系统包括多个并行的隔离设备,所述网络隔离系统的数据传输方法包括如下步骤:将待传输数据进行处理,形成并行传输的多路数据;将所述并行传输的多路数据分别进行文件签名处理;根据所述隔离设备的状态配置文件,将经文件签名处理后的多路数据由所述多个隔离设备进行并行传输;接收所述经文件签名处理后的并行传输的多路数据,根据所述文件签名分别判断各路数据是否传输正确,若各路数据均传输正确,则将所述并行传输的多路数据处理成所述待传输数据;若各路数据中有传输错误,则更新隔离设备的状态配置文件,用备用隔离设备替换数据传输出错的隔离设备。
上述网络隔离系统的数据传输方法优选的一种技术方案,采用信息-摘要算法对多路数据分别进行文件签名处理。
上述网络隔离系统的数据传输方法优选的一种技术方案,所述多个隔离设备包括多个常用隔离设备、多个备用隔离设备以及一个逆向隔离设备,所述配置文件由多个数字组成,所述数字分别对应所述隔离设备的正常传输状态、正常备用状态、异常状态和逆向传输状态。
上述网络隔离系统的数据传输方法优选的一种技术方案,所述多路数据由所述常用隔离设备传输,所述隔离设备的状态配置文件由所述逆向隔离设备传输,若所述常用隔离设备中有数据传输错误,则利用所述备用隔离设备替换出错的常用隔离设备传输。
上述网络隔离系统的数据传输方法优选的一种技术方案,将所述待传输数据分割处理成数据块进行并行传输,若各路数据均传输正确,则将所述并行传输的多路数据块合并处理成所述待传输数据。
上述网络隔离系统的数据传输方法优选的一种技术方案,将所述待传输数据进行镜像复制处理,若各路数据均传输正确,则根据多数原则选择获得所述待传输数据。
上述网络隔离系统的数据传输方法优选的一种技术方案,将所述待传输数据分割成多个数据块并计算得出校验数据块,若各路数据均传输正确,则将所述并行传输的数据块合并处理形成所述待传输数据;若各路数据中有传输错误,则利用所述校验数据块进行纠错处理,形成所述待传输数据,然后更新所述隔离设备的状态配置文件。
上述网络隔离系统的数据传输方法优选的一种技术方案,对所述校验数据块进行Base64编码处理,形成所述隔离设备能够传输的形式。
与现有技术相比,本发明的网络隔离系统通过让多个隔离设备同时并行进行数据传输,在保证安全性的同时,以提高数据在网络间的整体传输速度。本发明的网络隔离系统数据传输方法将数据进行并行传输且引入数据纠错功能,提高了数据传输速率且避免突发性传输错误的发生。
附图说明
图1是现有技术的一种网络隔离系统的结构示意图。
图2是现有技术的另一种网络隔离系统的结构示意图。
图3是本发明第一实施方式的网络隔离系统的结构示意图。
图4是图3所示的网络隔离系统的数据传输示意图。
图5是本发明第二实施方式的网络隔离系统的结构示意图。
图6是图5所示的网络隔离系统的数据传输示意图。
图7是图5所示的网络隔离系统的隔离设备状态的配置文件示意图。
图8是图5所示的网络隔离系统的发送控制器的数据处理流程图。
图9是图5所示的网络隔离系统的接收控制器的数据处理流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
请参阅图3,图3是本发明第一实施方式的网络隔离系统的结构示意图。所述网络隔离系统10包括发送控制器11、多个发送代理器13、多个并行设置的隔离设备15、多个接收代理器17以及接收控制器19。所述每个所述隔离设备15的一端经由一个发送代理器13连接所述发送控制器11,每个所述隔离设备15的另一端经由一接收代理器17连接所述接收控制器19。优选的,每一个所述隔离设备15仅与一个发送代理器13和一个接收代理器17连接。
所述发送控制器11用于将待传输数据进行处理,形成并行传输的多路数据。所述隔离设备15用于传输所述需并行传输的数据。所述接收控制器19用于接收并处理所述并行传输的数据,以获得所述发送控制器11处理前的所述待传输数据。优选的,所述隔离设备15为正向隔离设备或者反向隔离设备。
请一并参阅图4,图4是图3所示的网络隔离系统10的数据传输示意图。由图可见,当所述发送控制器11接收到数据(文件)A后,按照发送控制器11设定的规则将数据A进行处理,得出数据A1、数据A2、…、数据An,这n个数据经所述发送代理器13、隔离设备15和接收代理器17进行并行传输,然后由所述接收控制器19按照设定的规则对这n个数据进行处理,还原出数据(文件)A。
下面,分三种情况详细介绍所述网络隔离系统10的运作原理:
1.没有容错设计的网络隔离系统10的运作原理
要发送数据A时,所述发送控制器11将数据A分割成多个数据块,分别为数据块A1、数据块A2、…、数据块An,这里数据A=数据块A1+数据块A2+…+数据块An。所述数据块A1、数据块A2、…、数据块An分别发送到所述隔离设备15的发送代理器13中,然后经由各隔离设备15进行并行传输。所述并行传输的数据块A1、A2、…、An由所述隔离设备15的接收代理器17接收,然后由所述接收控制器19将这些数据块拼起来,还原出数据A。这样,数据A通过所述隔离设备15进行并行传输,有助于提高经所述网络隔离系统10的网络传输性能。不过,由于本方法没有传输冗余数据(如校验数据),因此没有数据容错能力。所述任何一个隔离设备15传输数据出错就可能导致所述网络隔离系统10传输数据的出错。
2.相互镜像传输的网络隔离系统10的运作原理
要发送数据A时,所述发送控制器11将数据A拷贝成多份,为了方便起见,我们称为数据A1、数据A2、…、数据An,这里数据A=数据A1=数据A2=…=数据An。所述数据A1、数据A2、…、数据An分别发送到所述隔离设备15的发送代理器13中,然后经由各隔离设备15进行并行传输。所述并行传输的数据A1、A2、…、An由所述隔离设备15的接收代理器17接收,然后由所述接收控制器19将这些数据进行比较。如果各数据均相同,则输出数据A;如果数据存在不同,则根据少数服从多数原则输出数据A。本方法提供了强有力的数据传输上的容错能力,但不能提高所述网络隔离系统10的传输带宽和吞吐量。
3.并行传输及校验的网络隔离系统10的运作原理
要发送数据A时,所述发送控制器11将数据A分割成m-1个数据块,分别为数据块A1、数据块A2、…、数据块Am-1,并根据数据A1、数据块A2、…、数据块Am-1,计算得出校验数据块Am、数据块Am+1、…、数据块An。这里数据A=数据块A1+数据块A2+…+数据块Am-1。优选的,所述校验数据块Am、Am+1、…、An的生成可采用汉明码校验,或简单的异或逻辑运算。若采用异或逻辑运算,则校验数据块只需要一个即可。所述数据块A1、数据块A2、…、数据块Am-1和所述校验数据块Am、Am+1、…、An发送到所述隔离设备15的发送代理器13中,然后经由各隔离设备15进行并行传输。所述并行传输的数据块A1、A2、…、Am-1和所述校验数据块Am、Am+1、…、An由所述隔离设备15的接收代理器17接收,然后由所述接收控制器19根据所述校验数据块Am、Am+1、…、An对所述数据块A1、A2、…、Am-1进行校验,并根据预定规则对所述数据块A1、A2、…、Am-1进行纠错,最后根据规则将纠错后的数据块拼起来,还原出数据A。本方法通过使用多个隔离设备15并行来传输数据,提高了传输速率,提高了数据的吞吐量。同时借用独立冗余磁盘阵列(Redundant Array of Independent Disk,RAID)的技术思想,提出基于冗余隔离设备阵列(Redundant Array of Network Isolation Device,RANID)的网络隔离系统,通过在隔离设备15上传输冗余数据(如校验数据),将待传输数据和校验数据一起并行传输,以确保传输过程的可容错性,从而大大提高了所述网络隔离系统10的容错度,提高了所述网络隔离系统10的数据传输的稳定性。
更进一步,经过长期的运行经验来看,对于出现过一次突发性传输错误的隔离设备,短期内再次出现突发性传输错误的概率会大大提高。也就是说,出现过突发性传输错误的隔离设备在短期内就变得运行不够稳定。利用这一特点,将出现传输错误的隔离设备的运行可靠性的级别进行降级,由备用的隔离设备代替出错的隔离设备对数据进行传输。基于隔离设备的运行状态在线调整传输通道,使得用于数据传输的隔离装置的状态始终处于比较好的状态,从而形成本发明基于隔离设备状态在线调整的冗余隔离设备阵列(Status-monitoring-based Redundant Array of Network Isolation Device,SRANID)的网络隔离系统。
请参阅图5,图5是本发明第二实施方式的网络隔离系统的结构示意图。所述网络隔离系统20包括发送控制器21、发送代理器23、第一隔离设备24、第二隔离设备25、第三隔离设备26、接收代理器27以及接收控制器29。优选的,所述第一隔离设备24是常用隔离设备,所述第二隔离设备25是备用隔离设备,所述第三隔离设备26是逆向隔离设备。所述第一、第二、第三隔离设备24、25、26并行连接。所述第一、第二隔离设备24、25的一端均经由一发送代理器23连接所述发送控制器21,所述第一、第二隔离设备24、25的另一端均经由一接收代理器27连接所述接收控制器29,所述第三隔离设备26的一端经由一发送代理器23连接所述接收控制器29,所述第三隔离设备26的另一端经由一接收代理器27连接所述发送控制器21。优选的,每一个所述第一、第二、第三隔离设备24、25、26仅与一个发送代理器23和一个接收代理器27连接。
所述发送控制器21用于将待传输数据进行处理,形成并行传输的多路数据。所述第一隔离设备23用于在正常状态下传输所述需并行传输的数据,所述第二隔离设备25用于替换出现数据传输错误的所述第一隔离设备24,所述第三隔离设备设置26用于传输所述第一、第二、第三隔离设备24、25、26的运行状态的配置文件。所述接收控制器29用于接收并处理所述并行传输的数据,以获得所述发送控制器21处理前的所述待传输数据。优选的,所述第一、第二隔离设备24、25为正向隔离设备,所述第三隔离设备26为反向隔离设备,或者所述第一、第二隔离设备24、25为反向隔离设备,所述第三隔离设备26为正向隔离设备。
请参阅图6,图6是图5所示的网络隔离系统20的数据传输示意图。当所述发送控制器21接收到数据(文件)A后,按照所述发送控制器21预先设定的规则将数据A进行处理,得出数据A1、数据A2、…、数据Am,并对数据A1、数据A2、…、数据Am分别使用信息-摘要算法(message-digest algorithm 5,md5)进行文件签名处理,得出数据A1的md5、数据A2的md5、…、数据Am的md5文件签名。然后将这m个md5文件签名连同m个数据分别通过所述第一隔离设备24进行并行传输。所述接收控制器29收到数据A1、数据A1的md5、数据A2、数据A2的md5、…、数据Am、数据Am的md5文件签名后,首先利用各数据的md5签名验证该数据的正确性(是否与传输的原数据相同),如果m个数据均校验正确,说明传输该数据的第一隔离设备24传输状态正常。然后由所述接收控制器29按照设定的规则对这m个数据进行处理,还原出数据(文件)A。如果m个数据中有传输出错,说明传输该数据的第一隔离设备24传输状态异常,发生了突发性错误。所述接收控制器29会将m个所述第一隔离设备24的运行状态信息发送到所述第三隔离设备26的发送代理器23,并由所述第三隔离设备26传输给所述第三隔离设备26的接收代理器27。所述发送控制器21会根据所述第三隔离设备26的接收代理器27接收到的m个第一隔离设备23的运行状态信息,决定是否需要调整正在使用的m个第一隔离设备24。若需要调整,则用第二隔离设备25代替出错的第一隔离设备24。
请参阅图7,图7是图5所示的网络隔离系统20的第一、第二、第三隔离设备24、25、26状态的配置文件示意图。所述配置文件由m+x+1个数字组成,m、x、1分别对应所述第一、第二、第三隔离设备24、25、26的数量。由m+x+1个数字组成的配置文件分别对应m+x+1个隔离设备的运行状态。优选的,每个数的取值范围为1,0,9和-1,分别代表所述第一、第二、第三隔离设备24、25、26处于正常传输状态、正常备用状态、异常状态和逆向传输状态。逆向传输状态对应所述第三隔离设备26的位置。如:配置文件的第i位数为1表示第i个隔离装置处于正常传输状态,配置文件的第j位数为9表示第j个隔离装置处于异常状态。当所述发送控制器21和接收控制器29在启动时,读取配置文件,记录m+x+1个隔离设备的状态到存储器中。当然,第三隔离设备26的个数也可以由多个构成,传输方式同样可以类比第一隔离设备24的传输方式。
下面,分三种情况详细介绍所述网络隔离系统20的运作原理:
1.没有容错设计的网络隔离系统20的运作原理
要发送数据A时,所述发送控制器21将数据A分割成多个数据块,分别为数据块A1、数据块A2、…、数据块Am,同时计算出数据块A1的md5文件签名、数据块A2的md5文件签名、…、数据块Am的md5文件签名,这里数据A=数据块A1+数据块A2+…+数据块Am。所述数据块A1、数据块A2、…、数据块Am及其md5文件签名分别发送到所述第一隔离设备24的发送代理器23中,然后经由第一隔离设备24进行并行传输。所述并行传输的数据块A1、A2、…、Am及其md5文件签名由所述第一隔离设备24的接收代理器27接收,然后根据md5文件签名验证各第一隔离设备24的数据传输是否有误,然后由所述接收控制器29将这些数据块拼起来,还原出数据A。若利用md5文件签名确定某个第一隔离设备24的数据传输有误,则采用第二隔离设备25替换出错的第一隔离设备24,以避免数据传输的错误。由于数据A通过所述第一隔离设备24进行并行传输,有助于提高经所述网络隔离系统20的网络传输性能。
2.相互镜像传输的网络隔离系统20的运作原理
要发送数据A时,所述发送控制器21将数据A拷贝成多份,为了方便起见,我们称为数据A1、数据A2、…、数据Am,同时计算出数据A1的md5文件签名、数据A2的md5文件签名、…、数据Am的md5文件签名,这里数据A=数据A1=数据A2=…=数据Am。所述数据A1、数据A2、…、数据Am及其md5文件签名分组发送到所述第一隔离设备24的发送代理器23中,然后经由所述第一隔离设备23进行并行传输。所述并行传输的数据A1、A2、…、Am及其md5文件签名由所述第一隔离设备24的接收代理器27接收,然后根据md5文件签名验证各第一隔离设备24的数据传输是否有误,然后由所述接收控制器29将这些数据进行比较。如果各数据均相同,则输出数据A;如果数据存在不同,则根据少数服从多数原则输出数据A。若利用md5文件签名确定某个第一隔离设备24的数据传输有误,则采用第二隔离设备25替换出错的第一隔离设备24,以避免数据传输的错误。本方法没有传输冗余数据(如校验数据),因此没有数据容错能力。
3.并行传输及校验的网络隔离系统10的运作原理
要发送数据A时,所述发送控制器21将数据A分割成p个数据块,分别为数据块A1、数据块A2、…、数据块Ap,同时计算出数据块A1的md5文件签名、数据块A2的md5文件签名、…、数据块Ap的md5文件签名,这里数据A=数据块A1+数据块A2+…+数据块Ap。根据数据块A1、数据块A2、…块数据Ap,计算得出校验数据块Ap+1、…、数据块Am。优选的,所述校验数据块Ap+1、…、Am的生成可采用汉明码校验,或简单的异或逻辑运算。若采用异或逻辑运算,则校验数据块只需要一个即可。所述数据块A1、数据块A2、…、数据块Ap及其md5文件签名和所述校验数据块Ap+1、…、Am发送到所述第一隔离设备24的发送代理器23中,然后经由第一隔离设备24进行并行传输。所述并行传输的数据块A1、A2、…、Ap及其md5文件签名和所述校验数据块Ap+1、…、Am由所述第一隔离设备24的接收代理器27接收,然后根据md5文件签名验证各第一隔离设备24的数据传输是否有误。所述接收控制器29根据所述校验数据块Ap+1、…、Am对所述数据块A1、A2、…、Ap进行校验,并根据预定规则对所述数据块A1、A2、…、Ap进行纠错,最后根据规则将纠错后的数据块拼起来,还原出数据A。若利用md5文件签名确定某个第一隔离设备24的数据传输有误,则采用第二隔离设备25替换出错的第一隔离设备24。这样,数据A通过所述第一隔离设备24进行并行传输,有助于提高经所述网络隔离系统20的网络传输性能。通过在第一隔离设备24上传输冗余数据(如校验数据),将待传输数据和校验数据一起并行传输,以确保传输过程的可容错性,从而大大提高了所述网络隔离系统20的容错度,提高了所述网络隔离系统20的数据传输的稳定性。
本发明第二实施方式的网络隔离系统20采用md5文件签名验证各并行传输的数据的正确性。由于md5算法被广泛用于加密和解密技术上,它是文件的“数字指纹”。任何一个文件,无论是可执行程序、图像文件、临时文件或者其他任何类型的文件,都可生成一个独一无二的md5信息值,并且如果这个文件被修改过,它的md5值也将随之改变。因此,通过对比同一文件的md5值,来校验这个文件是否被“篡改”过。若某一第一隔离设备24的数据传输有误,则更新隔离设备的状态配置文件,采用第二隔离设备25替换出错的第一隔离设备24,以避免数据传输的错误。
本发明第二实施方式的网络隔离系统20的数据传输方法,主要包括如下步骤:将待传输数据进行处理,形成并行传输的多路数据;将所述并行传输的多路数据分别进行文件签名处理;根据所述隔离设备的状态配置文件,将经文件签名处理后的多路数据由所述多个隔离设备进行并行传输;接收所述经文件签名处理后的并行传输的多路数据,根据所述文件签名分别判断各路数据是否传输正确,若各路数据均传输正确,则将所述并行传输的多路数据处理成所述待传输数据;若各路数据中有传输错误,则更新隔离设备的状态配置文件,用备用隔离设备替换数据传输出错的隔离设备。
下面结合图8和图9详细说明本发明第二实施方式的网络隔离系统20的数据传输方法。图8是图5所示的网络隔离系统20的发送控制器21的数据处理流程图。所述发送控制器21发送数据的过程主要包括如下步骤:
步骤B 1:启动所述发送控制器21,读取所述第一、第二、第三隔离设备24、25、26的配置文件到所述发送控制器21的存储器中。
步骤B2:所述发送控制器21监听(判断)是否存在需要传输的数据,若不存在需要传输的数据,则执行步骤B2;若存在需要传输的数据,则执行步骤B3。
步骤B3:将所述需要传输的数据放入缓冲队列中。
步骤B4:所述发送控制器21判断所述缓冲队列是否为空,若所述缓冲队列为空,则执行步骤B4;若所述缓冲队列不为空,则执行步骤B5。
步骤B5:从所述缓冲队列中取出一个待传输的数据(文件),采用分割、复制或者其他方法将所述待传输数据A进行处理,形成并行传输的数据A1、数据A2、…、数据Am。同时,利用md5算法计算出数据A1的md5文件签名、数据A2的md5文件签名、…、数据Am的md5文件签名。
步骤B6:将所述数据A1、数据A2、…、数据Am及数据A1的md5文件签名、数据A2的md5文件签名、…、数据Am的md5文件签名发送到在线传输的第一、第二隔离设备24、25进行并行传输。
步骤B7:所述发送控制器21监测由所述接收控制器29经所述第三隔离设备26发送的隔离设备的状态配置文件,判断所述状态配置文件中的信息与当前发送控制器21的存储器中的状态配置文件中的信息是否一致。若信息一致,则执行步骤B4;若信息不一致,则执行步骤B8。
步骤B8:按照接收到的隔离设备的状态配置文件更新所述发送控制器21的存储器中的状态配置文件信息。并且用所述第二隔离设备25替换发生数据传输错误的隔离设备进行数据传输。
请参阅图9,图9是图5所示的网络隔离系统20的接收控制器29的数据处理流程图。所述接收控制器29接收并处理数据的过程主要包括如下步骤:
步骤C1:启动所述接收控制器29,读取所述第一、第二、第三隔离设备24、25、26的配置文件到所述接收控制器29的存储器中。
步骤C2:所述接收控制器29监听(判断)在线传输的所述第一、第二隔离设备24、25中是否有数据传输,若没有数据传输,则执行步骤C2;若有数据传输,则执行步骤C3。
步骤C3:从在线传输的所述第一、第二隔离设备24、25中分别接收上述步骤B5中传输的数据A1、数据A2、…、数据Am及数据A1的md5文件签名、数据A2的md5文件签名、…、数据块Am的md5文件签名。
步骤C4:通过A1的md5文件签名、数据块A2的md5文件签名、…、数据Am的md5文件签名,验证所述数据A1、数据A2、…、数据Am的传输是否正确,即判断所述在线运行的第一、第二隔离设备24、25是否运行正常。若所述数据A1、数据A2、…、数据Am没有传输错误,则按照预先设定的拼接规则,将这m个数据拼接形成数据A,然后执行步骤C2;若所述数据A1、数据A2、…、数据Am中有传输错误,则执行步骤C5。
步骤C5:找到md5文件签名校验不正确的数据对应的隔离设备,按照对应位置修改隔离设备状态,并同时更新隔离设备状态的配置文件。
步骤C6:在第二隔离设备25中,选出与出错的在线隔离设备相同个数的隔离设备作为在线传输的隔离设备,按照对应位置修改隔离设备状态,并同时更新隔离设备状态的配置文件。
步骤C7:将更新过得隔离设备状态的配置文件发送到所述第三隔离设备26。
更进一步的,在上述步骤B5中:形成并行传输的多路数据A1、数据A2、…、数据Am和数据A1的md5文件签名、数据A2的md5文件签名、…、数据Am的md5文件签名后,根据数据A1、数据A2、…数据Am,计算得出校验数据。在步骤C4中,根据所述校验数据对所述数据A1、A2、…、Ap进行校验,并根据预定规则对所述数据块A1、A2、…、Am进行纠错,从而使网络隔离系统20的数据传输方法具有纠错的功能,从而确保传输过程的可容错性,提高了所述网络隔离系统20数据传输的稳定性。
在一些情况下,对于经过运算得出的校验数据如果不能直接通过隔离设备,所述发送控制器21发送这些校验数据时,可通过对原数据的二进制代码进行Base64编码改造,形成隔离设备可以通过的文本形式。Base64编码要求把3个8位字节(3*8=24)转化为4个6位的字节(4*6=24),之后在6位的前面补两个0,形成8位一个字节的形式,当然在接收控制器29上也需做相应的逆操作。
在不偏离本发明的精神和范围的情况下还可以构成许多有很大差别的实施例。应当理解,除了如所附的权利要求所限定的,本发明不限于在说明书中所述的具体实施例。
Claims (18)
1.一种网络隔离系统,其特征在于,包括:
发送控制器,用于将待传输数据进行处理,形成并行传输的多路数据;
多个第一隔离设备,用于传输所述需并行传输的数据;
接收控制器,用于接收并处理所述并行传输的数据,以获得所述发送控制器处理前的所述待传输数据。
2.如权利要求1所述的网络隔离系统,其特征在于,所述网络隔离系统还包括多个第二隔离设备,所述第二隔离设备设置于所述发送控制器和所述接收控制器之间,用于替换出现数据传输错误的第一隔离设备。
3.如权利要求2所述的网络隔离系统,其特征在于,所述网络隔离系统还包括第三隔离设备,所述第三隔离设备设置于所述发送控制器和所述接收控制器之间,用于传输所述第一、第二、第三隔离设备的运行状态的配置文件,所述发送控制器根据所述配置文件用所述第二隔离设备替换出现数据传输错误的第一隔离设备。
4.如权利要求3所述的网络隔离系统,其特征在于,所述发送控制器将待传输数据进行信息-摘要算法的文件签名处理,所述接收控制器利用所述文件签名验证数据传输的正确性。
5.如权利要求3所述的网络隔离系统,其特征在于,所述配置文件由多个数字组成,所述数字分别对应所述第一、第二、第三隔离设备的运行状态。
6.如权利要求3所述的网络隔离系统,其特征在于,所述第一、第二隔离设备为正向隔离设备,所述第三隔离设备为反向隔离设备,或者所述第一、第二隔离设备为反向隔离设备,所述第三隔离设备为正向隔离设备。
7.如权利要求1到6中任意一项所述的网络隔离系统,其特征在于,所述发送控制器将待传输数据分割处理成数据块进行并行传输,所述接收控制器接收所述并行传输的数据块,并合并处理成所述待传输数据。
8.如权利要求1到6中任意一项所述的网络隔离系统,其特征在于,所述发送控制器将待传输数据镜像复制处理,所述接收控制器接收所述镜像数据,并根据多数原则获得所述待传输数据。
9.如权利要求1到6中任意一项所述的网络隔离系统,其特征在于,所述发送控制器将待传输数据分割成多个数据块并计算得出校验数据块,所述接收控制器接收所述数据块和所述校验数据块,并根据所述校验数据块校验以获得所述待传输数据。
10.如权利要求9所述的网络隔离系统,其特征在于,所述发送控制器将所述校验数据块进行Base64编码处理,形成所述隔离设备能够传输的形式。
11.一种网络隔离系统的数据传输方法,其特征在于,所述网络隔离系统包括多个并行的隔离设备,所述网络隔离系统的数据传输方法包括如下步骤:
将待传输数据进行处理,形成并行传输的多路数据;
将所述并行传输的多路数据分别进行文件签名处理;
根据所述隔离设备的状态配置文件,将经文件签名处理后的多路数据由所述多个隔离设备进行并行传输;
接收所述经文件签名处理后的并行传输的多路数据,根据所述文件签名分别判断各路数据是否传输正确,若各路数据均传输正确,则将所述并行传输的多路数据处理成所述待传输数据;若各路数据中有传输错误,则更新隔离设备的状态配置文件,用备用隔离设备替换数据传输出错的隔离设备。
12.如权利要求11所述的网络隔离系统的数据传输方法,其特征在于,采用信息-摘要算法对多路数据分别进行文件签名处理。
13.如权利要求11所述的网络隔离系统的数据传输方法,其特征在于,所述多个隔离设备包括多个常用隔离设备、多个备用隔离设备以及一个逆向隔离设备,所述配置文件由多个数字组成,所述数字分别对应所述隔离设备的正常传输状态、正常备用状态、异常状态和逆向传输状态。
14.如权利要求13所述的网络隔离系统的数据传输方法,其特征在于,所述多路数据由所述常用隔离设备传输,所述隔离设备的状态配置文件由所述逆向隔离设备传输,若所述常用隔离设备中有数据传输错误,则利用所述备用隔离设备替换出错的常用隔离设备传输。
15.如权利要求11到14中任意一项所述的网络隔离系统的数据传输方法,其特征在于,将所述待传输数据分割处理成数据块进行并行传输,若各路数据均传输正确,则将所述并行传输的多路数据块合并处理成所述待传输数据。
16.如权利要求11到14中任意一项所述的网络隔离系统的数据传输方法,其特征在于,将所述待传输数据进行镜像复制处理,若各路数据均传输正确,则根据多数原则选择获得所述待传输数据。
17.如权利要求11到14中任意一项所述的网络隔离系统的数据传输方法,其特征在于,将所述待传输数据分割成多个数据块并计算得出校验数据块,若各路数据均传输正确,则将所述并行传输的数据块合并处理形成所述待传输数据;若各路数据中有传输错误,则利用所述校验数据块进行纠错处理,形成所述待传输数据,然后更新所述隔离设备的状态配置文件。
18.如权利要求17所述的网络隔离系统的数据传输方法,其特征在于,对所述校验数据块进行Base64编码处理,形成所述隔离设备能够传输的形式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010246309.0A CN101902479B (zh) | 2010-08-05 | 2010-08-05 | 网络隔离系统及其数据传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010246309.0A CN101902479B (zh) | 2010-08-05 | 2010-08-05 | 网络隔离系统及其数据传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101902479A true CN101902479A (zh) | 2010-12-01 |
| CN101902479B CN101902479B (zh) | 2016-01-27 |
Family
ID=43227680
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010246309.0A Active CN101902479B (zh) | 2010-08-05 | 2010-08-05 | 网络隔离系统及其数据传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101902479B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102170433A (zh) * | 2011-03-29 | 2011-08-31 | 中广核工程有限公司 | 用于核电事故应急指挥的方法和系统 |
| CN103023722A (zh) * | 2012-12-11 | 2013-04-03 | 广东电网公司电力调度控制中心 | 跨安全区的正向通信方法、装置及系统 |
| CN103067216A (zh) * | 2012-12-11 | 2013-04-24 | 广东电网公司电力调度控制中心 | 跨安全区的反向通信方法、装置及系统 |
| CN103595511A (zh) * | 2013-10-17 | 2014-02-19 | 广东电网公司茂名供电局 | 一种电力系统内部网络i区至iii区数据传输的方法 |
| CN103716652A (zh) * | 2014-01-10 | 2014-04-09 | 厦门市美亚柏科信息股份有限公司 | 数据传输方法、装置以及数据传输系统 |
| CN104601550A (zh) * | 2014-12-24 | 2015-05-06 | 国家电网公司 | 基于集群阵列的反向隔离文件传输系统及其方法 |
| CN106341244A (zh) * | 2015-07-06 | 2017-01-18 | 北京国双科技有限公司 | 配置文件的更新方法、客户端、服务器及系统 |
| CN106850609A (zh) * | 2017-01-24 | 2017-06-13 | 北京奇虎科技有限公司 | 一种文件的校验方法和装置 |
| CN107147658A (zh) * | 2017-05-31 | 2017-09-08 | 广东辰宜信息科技有限公司 | 一种物理隔离信息交换方法 |
| CN109361672A (zh) * | 2018-10-25 | 2019-02-19 | 许继电气股份有限公司 | 一种安全隔离装置的数据反向传输方法及系统 |
| CN109547457A (zh) * | 2018-12-07 | 2019-03-29 | 北京万维兴业科技有限责任公司 | 一种具有“微交互”功能的网络隔离系统 |
| CN109547456A (zh) * | 2018-12-07 | 2019-03-29 | 北京万维兴业科技有限责任公司 | 基于信息单向传输技术具有可控交互能力的网络隔离系统 |
| CN110191107A (zh) * | 2019-05-16 | 2019-08-30 | 南瑞集团有限公司 | 一种核电专用安全网闸系统及数据处理方法 |
| CN110912669A (zh) * | 2019-11-15 | 2020-03-24 | 珠海市新德汇信息技术有限公司 | 一种基于文件流和数据流的双通道数据传输方法 |
| CN111669310A (zh) * | 2019-03-08 | 2020-09-15 | 厦门网宿有限公司 | 一种pptp vpn中网络隔离空间的批量处理方法及pptp vpn服务器 |
| CN112187703A (zh) * | 2019-07-02 | 2021-01-05 | 北京百度网讯科技有限公司 | 数据处理的方法及装置 |
| WO2021138843A1 (zh) * | 2020-01-08 | 2021-07-15 | 黄策 | 文件碎片化公网安全传输方法 |
| CN113612762A (zh) * | 2021-07-30 | 2021-11-05 | 上海帝焚思信息科技有限公司 | 一种面向工业互联网的安全单向数据传输装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805363A (zh) * | 2005-01-14 | 2006-07-19 | 北邮英科(北京)信息技术研究所有限公司 | 网络隔离与信息交换模块的大规模并行处理装置及方法 |
| CN1852284A (zh) * | 2006-04-11 | 2006-10-25 | 潘国纲 | 网路并行数据传输方法 |
| CN200973106Y (zh) * | 2006-10-12 | 2007-11-07 | 邸继男 | 网络数据安全传输过滤器 |
-
2010
- 2010-08-05 CN CN201010246309.0A patent/CN101902479B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805363A (zh) * | 2005-01-14 | 2006-07-19 | 北邮英科(北京)信息技术研究所有限公司 | 网络隔离与信息交换模块的大规模并行处理装置及方法 |
| CN1852284A (zh) * | 2006-04-11 | 2006-10-25 | 潘国纲 | 网路并行数据传输方法 |
| CN200973106Y (zh) * | 2006-10-12 | 2007-11-07 | 邸继男 | 网络数据安全传输过滤器 |
Non-Patent Citations (1)
| Title |
|---|
| 王勇军 等: "多网安全隔离交换系统的设计与实现", 《厦门大学学报(自然科学版)》, 30 November 2007 (2007-11-30) * |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102170433B (zh) * | 2011-03-29 | 2014-11-26 | 中广核工程有限公司 | 用于核电事故应急指挥的方法和系统 |
| CN102170433A (zh) * | 2011-03-29 | 2011-08-31 | 中广核工程有限公司 | 用于核电事故应急指挥的方法和系统 |
| CN103067216B (zh) * | 2012-12-11 | 2016-08-17 | 广东电网公司电力调度控制中心 | 跨安全区的反向通信方法、装置及系统 |
| CN103023722A (zh) * | 2012-12-11 | 2013-04-03 | 广东电网公司电力调度控制中心 | 跨安全区的正向通信方法、装置及系统 |
| CN103067216A (zh) * | 2012-12-11 | 2013-04-24 | 广东电网公司电力调度控制中心 | 跨安全区的反向通信方法、装置及系统 |
| CN103595511A (zh) * | 2013-10-17 | 2014-02-19 | 广东电网公司茂名供电局 | 一种电力系统内部网络i区至iii区数据传输的方法 |
| CN103716652A (zh) * | 2014-01-10 | 2014-04-09 | 厦门市美亚柏科信息股份有限公司 | 数据传输方法、装置以及数据传输系统 |
| CN104601550A (zh) * | 2014-12-24 | 2015-05-06 | 国家电网公司 | 基于集群阵列的反向隔离文件传输系统及其方法 |
| CN104601550B (zh) * | 2014-12-24 | 2020-08-11 | 国家电网公司 | 基于集群阵列的反向隔离文件传输系统及其方法 |
| CN106341244A (zh) * | 2015-07-06 | 2017-01-18 | 北京国双科技有限公司 | 配置文件的更新方法、客户端、服务器及系统 |
| CN106341244B (zh) * | 2015-07-06 | 2019-12-10 | 北京国双科技有限公司 | 配置文件的更新方法、客户端、服务器及系统 |
| CN106850609A (zh) * | 2017-01-24 | 2017-06-13 | 北京奇虎科技有限公司 | 一种文件的校验方法和装置 |
| CN107147658A (zh) * | 2017-05-31 | 2017-09-08 | 广东辰宜信息科技有限公司 | 一种物理隔离信息交换方法 |
| CN109361672A (zh) * | 2018-10-25 | 2019-02-19 | 许继电气股份有限公司 | 一种安全隔离装置的数据反向传输方法及系统 |
| CN109547457A (zh) * | 2018-12-07 | 2019-03-29 | 北京万维兴业科技有限责任公司 | 一种具有“微交互”功能的网络隔离系统 |
| CN109547456A (zh) * | 2018-12-07 | 2019-03-29 | 北京万维兴业科技有限责任公司 | 基于信息单向传输技术具有可控交互能力的网络隔离系统 |
| CN109547457B (zh) * | 2018-12-07 | 2021-08-17 | 北京万维兴业科技有限责任公司 | 一种具有“微交互”功能的网络隔离系统 |
| CN109547456B (zh) * | 2018-12-07 | 2021-10-08 | 北京万维兴业科技有限责任公司 | 基于信息单向传输技术具有可控交互能力的网络隔离系统 |
| CN111669310A (zh) * | 2019-03-08 | 2020-09-15 | 厦门网宿有限公司 | 一种pptp vpn中网络隔离空间的批量处理方法及pptp vpn服务器 |
| CN110191107A (zh) * | 2019-05-16 | 2019-08-30 | 南瑞集团有限公司 | 一种核电专用安全网闸系统及数据处理方法 |
| CN112187703A (zh) * | 2019-07-02 | 2021-01-05 | 北京百度网讯科技有限公司 | 数据处理的方法及装置 |
| CN110912669A (zh) * | 2019-11-15 | 2020-03-24 | 珠海市新德汇信息技术有限公司 | 一种基于文件流和数据流的双通道数据传输方法 |
| WO2021138843A1 (zh) * | 2020-01-08 | 2021-07-15 | 黄策 | 文件碎片化公网安全传输方法 |
| CN113612762A (zh) * | 2021-07-30 | 2021-11-05 | 上海帝焚思信息科技有限公司 | 一种面向工业互联网的安全单向数据传输装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101902479B (zh) | 2016-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101902479A (zh) | 网络隔离系统及其数据传输方法 | |
| US11327840B1 (en) | Multi-stage data recovery in a distributed storage network | |
| US9935774B2 (en) | Configurable cryptographic controller area network (CAN) device | |
| CN105827419B (zh) | 一种转发设备故障处理的方法、设备和控制器 | |
| JP5316411B2 (ja) | 送信装置と受信装置 | |
| US20230319006A1 (en) | System and methods for message redundancy | |
| CN113242109B (zh) | 用于校验报文数据的方法、装置和设备 | |
| US20120047406A1 (en) | Redundancy control system and method of transmitting computational data thereof | |
| WO2006080227A1 (ja) | 情報処理装置および情報処理方法 | |
| CN110889143B (zh) | 文件校验方法及装置 | |
| KR20140132063A (ko) | 캔 통신 장치 및 방법 | |
| CN112035886B (zh) | 区块链的共识方法、装置、共识节点、系统以及存储介质 | |
| CN201726423U (zh) | 网络隔离设备阵列系统 | |
| CN108279995A (zh) | 一种基于安全再生码的分布式存储系统的存储方法 | |
| CN201805446U (zh) | 在线调整传输通道的网络隔离设备阵列系统 | |
| EP2680148B1 (en) | Information processing system, output control device, and data generating device | |
| RU2719094C1 (ru) | Устройство с системой безопасности и способ защищенной эксплуатации указанного устройства посредством удаленного запроса | |
| AU2011267957B2 (en) | Systems and methods for data packet transmission | |
| CN111510397A (zh) | 网络交换设备、操作网络交换机的方法和计算机可读介质 | |
| CN104868973A (zh) | 数据完整性校验方法和系统 | |
| KR102031484B1 (ko) | 블록 체인을 이용하여 서비스 서버의 재해 복구를 수행하는 서버 및 복구 서버와, 상기 서버의 제어 방법 | |
| AU2011267957A1 (en) | Systems and methods for data packet transmission | |
| US8429484B2 (en) | Digitized radar information redundancy method and system | |
| CN114172894A (zh) | 数据传输方法、装置、服务器和计算机设备 | |
| KR20230087340A (ko) | 데이터베이스 복제 방법 및 그 방법을 사용하는 데이터베이스 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |