CN102347946A - 一种终端型交互链接平台体系架构及其实现方法 - Google Patents

一种终端型交互链接平台体系架构及其实现方法 Download PDF

Info

Publication number
CN102347946A
CN102347946A CN2011102883301A CN201110288330A CN102347946A CN 102347946 A CN102347946 A CN 102347946A CN 2011102883301 A CN2011102883301 A CN 2011102883301A CN 201110288330 A CN201110288330 A CN 201110288330A CN 102347946 A CN102347946 A CN 102347946A
Authority
CN
China
Prior art keywords
information
internet
keyboard
mouse
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011102883301A
Other languages
English (en)
Other versions
CN102347946B (zh
Inventor
吴永茂
傅华锋
唐三平
李继勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Railway Xinan Beijing Information Security Technology Co Ltd
Original Assignee
China Railway Xinan Beijing Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Railway Xinan Beijing Information Security Technology Co Ltd filed Critical China Railway Xinan Beijing Information Security Technology Co Ltd
Priority to CN201410035459.5A priority Critical patent/CN103780623B/zh
Priority to CN201110288330.1A priority patent/CN102347946B/zh
Publication of CN102347946A publication Critical patent/CN102347946A/zh
Application granted granted Critical
Publication of CN102347946B publication Critical patent/CN102347946B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种终端型交互式链接平台体系架构及其实现方法,其中,一种终端型交互式链接平台体系架构,包括:终端型交互式链接平台体系的硬件架构,用于提供构建终端型交互式链接平台的硬件设备配置;终端型交互式链接平台体系的软件架构,用于提供构建终端型交互式链接平台的软件服务;该架构可以安全、主动地搜索、采集、展示及下载互联网浏览信息。

Description

一种终端型交互链接平台体系架构及其实现方法
技术领域
本发明涉及信息安全领域,特别是涉及一种终端型交互链接平台体系架构及其实现方法。
背景技术
在新技术应用(下一代互联网、物联网、云计算等)给人们带来便利的同时,安全保密风险亦随之而来,与之相应的防范对策研究亦十分紧迫。在全国电子政务建设发展如火如荼的大背景下,如何在信息交换越来越便捷的同时保证国家秘密、政务敏感信息和业务工作秘密的安全成为越来越重要的问题,安全保密建设成为政府信息化的大前提,敏感信息被泄漏,对于国家安全、社会稳定、社会公众的利益将会造成非常严重的影响。
为了维护国家安全、社会稳定,我国目前采用了将敏感内网与不安全外网物理断开的保护手段。如果严格遵守断网规定,内网很多应用根本无法运行,没有外网的数据支持,内网应用没有任何意义。由此产生第一矛盾:要么要安全保密,要么要应用。第二矛盾在于:目前,在政府信息化建设中,往往重视网络传输以及服务器的安全防护,而个人终端计算机缺乏必要的技术防护措施,成为了全网安全的短板和漏洞,内部涉密信息极易经由个人终端计算机外泄。而造成这种外泄的根本原因又在于断开网络之后工作的不方便。由此造成了第二矛盾:严格的断网规定和严重的泄密现实。
在国外,一种新型的单向传输方法:基于光单向的传输方法被深入研究并被广泛应用,用于保护各西方发达国家的军事、情报、政府等网络在对外获取信息的同时,不向外泄露其敏感信息。国外对这种方法的认可与广泛使用推动了这种方法在我国保密领域的使用。
我国2007年3月颁布了《国家电子政务保密指南》(国保字[2007]5号),允许涉密网络基于单向传输和非涉密网络连接。国内单向传输产品的研发正蓬勃开展。国家通过科技部的支撑性计划正扶持单向传输方法的研究。国家保密局主持的《涉密计算机及移动存储介质保密管理系统》则力图将基于光单向的传输方法推向大规模实际应用。
但传统的单向传输方法都是一种被动的安全接收方法:数据接收者不能主动表达数据接收诉求,数据发送者发送什么,接受者即被动的接收什么。这尽管在很多场景下解决了涉密网络信息来源的基本问题,但与人们普遍追求信息主动采集、搜索的习惯是有距离的。
2006年左右,国外诞生了一种交互式链接方法,这种方法基于网间单向传输,并在桌面部署可以物理切换的开关,用于实现桌面键盘、鼠标的内外网切换。当切换到外网时,键盘、鼠标指令被封装为网络包,中继到互联网的一台解析服务器,服务器执行这些指令,并将执行的屏幕通过网间单向中继到用户桌面主机。这种方法存在如下缺陷:
(1)要求一个部门必须部署网间单向,但事实上这一要求往往难以满足。
(2)鼠标与键盘在内外网是通过切换开关重用的。众所周知,键盘至少具有多个字节的缓存,而有的鼠标还带有USB存储;这样来回切换隐蔽潜在的泄密风险。
(3)系统的可用性存在一个瓶颈,即外网的解析服务器。当访问用户多时,其成为响应性能的瓶颈。当其出现问题时,将影响所有用户。
(4)用户不可移动办公,必须依赖内网。
因而,目前需要本领域技术人员迫切解决的一个技术问题就是:如何找到一种新型的交互式链接架构,该架构可以安全、主动地采集、搜索互联网浏览器页面上所显示的信息。
发明内容
本发明所要解决的一个技术问题是提供一种终端型交互式链接平台体系架构及其实现方法,该架构可以安全、主动地采集、搜索互联网浏览器页面上所显示的信息。
为了解决上述问题,本发明公开了一种终端型交互式链接架构,包括:
终端型交互式链接平台体系的硬件架构,用于提供构建终端型交互式链接平台的硬件设备配置;
终端型交互式链接平台体系的软件架构,用于提供构建终端型交互式链接平台的软件服务。
优选的,所述终端型交互式链接平台体系的硬件架构,包括:
服务器端网络接口,用于连接互联网服务器的网络接口,其中,所述服务器端网络接口的连接方式为以太网连接及无线连接;
核心处理器,用于连接互联网,其中,所述核心处理器采用ARM架构来运行控制软件的执行操作;
键盘及鼠标,用于提供访问互联网时的鼠标及键盘输入设备,其中,所述键盘及鼠标通过切换可供涉密主机使用;
电信号及光信号转换器,用于将电信号转换为光信号或将光信号转换为电信号并在电信号转换为光信号的过程中或光信号转换为电信号的过程中实现光信号的单向传输;其中,所述电信号及光信号转换器为电/光转换器、光/电转换器;所述电/光转换器用于将电信号转换为单发光信号,所述光/电转换器用于将光信号转换为电信号;
涉密主机USB接口,用于将从核心处理器接发送的数据包输出给涉密主机。
优选的,所述终端型交互式链接平台体系的软件架构,包括:
核心处理器操作模块,用于接收服务器端的互联网信息,并将互联网信息转换成图片格式进行单向传输,或对超链接的文件进行下载及单向传输;
鼠标、键盘中继模块,用于通过快捷键进行切换来实现核心处理器与涉密主机共用鼠标及键盘;
单向传输模块,用于进行单向光电信号的信息传输;
信息接收模块,用于接收互联网图像信息并展示所接收到的互联网图像信息,同时还用于接收数据信息及键盘、鼠标消息;其中,所述信息接收模块接收互联网图像信息并展示所接收到的互联网图像信息,接收数据信息及键盘、鼠标消息的过程均是在涉密主机上完成的。
优选的,所述单向传输模块,包括:
外网传输模块,用于负责从核心处理器的操作系统捕获数字信号,并将数字信号转换为单向光信号,并通过光发送模块将单向光信号发送给内网传输模块;
内网传输模块,用于负责接收光信号并将光信号转换成数字信号,数字信号经网络总线传输给涉密主机的操作系统。
本发明还公开了一种实现终端型交互式平台体系架构的方法,包括:
核心处理器接收服务器端的互联网信息,并进行相应的信息处理,获得图片格式的互联网信息或下载的文件信息;
所述图片格式的互联网信息及下载的文件信息通过单向传输模块进行信号传输,获得单向传输信息;
将所述单向传输信号通过单向信号传输通道传输给涉密主机,获得图片格式的互联网信息及下载的文件信息。
优选的,所述核心处理器接收服务器端的互联网信息,并进行相应的信息处理,获得图片格式的互联网信息及下载的文件信息的步骤,包括:
将IE插件嵌入到核心处理器的IE中,获得内嵌有IE插件的IE浏览器;
核心处理器的IE浏览器接收鼠标、键盘的信息下载指令,开始从互联网服务器端接收并下载互联网信息;
当点击IE浏览器中网页内的文件超链接地址时,超链接信息转发给IE插件;
IE插件通过IE文件下载器连接指定的网络文件并进行文件信息的下载及捕获互联网页面图像信息,获得下载的文件信息及捕获的互联网页面图像信息;
IE插件将下载的文件信息及捕获的互联网页面图像信息通过单向传输通道发送给涉密主机;
涉密主机通过杀毒软件对下载的文件信息及捕获的互联网页面图像信息进行病毒扫描清理,获得没有感染网络病毒的下载的文件信息及捕获的互联网页面图像信息;
将没有感染网络病毒的下载的文件信息及捕获的互联网页面图像信息进行存储,获得下载的网络文件及捕获的互联网页面图像信息的图形存储文件;
将捕获的互联网页面图像信息的图形存储文件通过涉密主机的屏幕进行展示;
其中,所述核心处理器接收服务器端的互联网信息,并进行相应的信息处理,获得图片格式的互联网信息及下载的文件信息的过程是通过操作键盘及鼠标来实现的;所述键盘及鼠标通过键盘、鼠标切换模块的快捷键来实现核心处理器与涉密主机共用键盘及鼠标。
优选的,所述键盘及鼠标通过键盘、鼠标切换模块的快捷键来实现核心处理器与涉密主机共用链盘及鼠标的步骤,包括:
核心处理器通过Hook操作模块捕获并获取键盘、鼠标的操作信息;其中,所述键盘、鼠标的操作信息用于控制连接在核心处理器上的键盘及鼠标相应的操作;
键盘、鼠标的操作信息通过键盘、鼠标信息编码模块进行编码并通过单向传输通道传输给涉密主机的信息接收模块;
信息接收模块将所接收到的键盘、鼠标的操作信息发送给信息译码模块,进行键盘、鼠标的操作信息的解析,获得解析后的键盘、鼠标的操作信息;
所述解析后的键盘、鼠标的操作信息发送给键盘、鼠标事件生成模块,释放给涉密主机能够读取的键盘、鼠标的操作信息。
优选的,所述图片格式的互联网信息及下载的文件信息通过单向传输模块进行信号传输,获得单向传输信息的步骤,包括:
通过外网传输模块从核心处理器的操作系统捕获数字信号,并将数字信号转换为单向光信号,并通过光发送模块将单向光信号发送给内网传输模块;
通过内网传输模块接收单向光信号并将单向光信号转换成数字信号,数字信号经网络总线传输给涉密主机的操作系统。
优选的,所述通过外网传输模块从核心处理器的操作系统捕获数字信号,并将数字信号转换为光信号,并通过光发送模块发送给内网传输模块的步骤,包括:
从服务器端下载的互联网信息经过核心处理器的分析及处理,获得图片格式的互联网信息及下载的文件信息的数据包;
将图片格式的互联网信息及下载的文件信息的数据包通过网络总线接口及DMA数据搬运,转移并传输到外网传输模块的存储区;
图片格式的互联网信息及下载的文件信息的数据包通过外网传输模块中的编码模块进行硬件编码、前向纠错编码、扰码的操作,获得编码后的数据包;
所述编码后的数据包进入电光信号转换器,将电信号转换成光信号,获得光信号;
光信号通过外网传输模块的光发射器经由单向光纤信号通道的信号传输,发送给光接收器。
优选的,所述通过内网传输模块接收光信号并将光信号转换成数字信号,数字信号经网络总线传输给涉密主机的操作系统的步骤,包括:
内网传输模块的光接收器接收到外网传输模块发送的光信息;
接收到的光信号通过光电转换器的信号转换,获得原光信号转换后的数字信号;
数字信号经过扰码、前向纠错解码、硬件解码的操作,获得原始数字信号;
数字信号经过DMA数据搬运及网络总线接口的传输,将数字信号传输给涉密主机。
与现有技术相比,本发明具有以下优点:
1、实现桌面级的外网信息实时搜索查询及下载功能;
2、实现移动办公环境下的外网信息实时搜索查询及下载功能;
3、实现非物理切换方式的鼠标、键盘共用机制。
总之,本发明提供了一种终端型交互式链接平台体系架构及其实现方法,该架构可以安全、主动地搜索、采集、展示及下载互联网浏览信息。
附图说明
图1是本发明一种终端型交互式链接平台体系架构实施例的结构示意图;
图2是本发明一种实现终端型交互式链接平台体系架构方法实施例的步骤流程图;
图3是本发明中的外网传输模块的功能结构示意图;
图4是本发明中的外网传输模块的功能结构示意图;
图5是本发明中的核心处理器通过IE浏览器单向下载网页内容到涉密主机的步骤流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明的核心思想之一是提供了一种终端型交互式链接平台体系架构,包括:终端型交互式链接平台体系的硬件架构,用于提供构建终端型交互式链接平台的硬件设备配置;终端型交互式链接平台体系的软件架构,用于提供构建终端型交互式链接平台的软件服务;该架构可以安全、主动地搜索、采集、展示及下载互联网浏览信息。
参照图1,示出了本发明一种终端型交互式链接平台体系架构实施例的结构示意图,具体可以包括:
终端型交互式链接平台体系的硬件架构101,用于提供构建终端型交互式链接平台的硬件设备配置。
为了使本领域的技术人员更好地理解本发明,在本发明的一个优选实施例中,所述终端型交互式链接平台体系的硬件架构101,具体可以包括:
服务器端网络接口1011,用于连接互联网服务器的网络接口,其中,所述服务器端网络接口的连接方式为以太网连接及无线连接。
核心处理器1012,用于连接互联网,其中,所述核心处理器采用ARM架构来运行控制软件的执行操作。
键盘及鼠标1013,用于提供访问互联网时的鼠标及键盘输入设备,其中,所述键盘及鼠标通过切换可供涉密主机使用。
电信号及光信号转换器1014,用于将电信号转换为光信号或将光信号转换为电信号并在电信号转换为光信号的过程中或光信号转换为电信号的过程中实现光信号的单向传输;其中,所述电信号及光信号转换器为电/光转换器10141、光/电转换器10142;所述电/光转换器用于将电信号转换为单发光信号,所述光/电转换器用于将光信号转换为电信号。
涉密主机USB接口1015,用于将从核心处理器接发送的数据包输出给涉密主机。
其中,
所述核心处理器采用ARM系列核心芯片,其控制一个以太网芯片,用于以以太的方式连接互联网等公网。核心芯片还通过一个USB HUB控制一个WIFI芯片,以便在移动办公时,通过无线网络连接外部公网。
当访问外部网络时,核心处理器的显示内容及文件下载信息被封装成为UDP包,以广播的方式形成IP包,通过电信号及光信号转换器形成单向光。
在单向电路的另一端,光转电芯片将光信号转化为MII信号发送给以太网卡,以太网卡将其恢复为IP包,发送给以太转USB芯片,该芯片将IP封装给USB帧,通过USB连线发送给涉密主机。
终端型交互式链接平台体系的软件架构102,用于提供构建终端型交互式链接平台的软件服务。
为了使本领域的技术人员更好地理解本发明,在本发明的另一个优选实施例中,所述终端型交互式链接平台体系的软件架构102,具体可以包括:
核心处理器操作模块1021,用于接收服务器端的互联网信息,并将互联网信息转换成图片格式进行单向传输,或对超链接的文件进行下载及单向传输;
鼠标、键盘中继模块1022,用于通过快捷键进行切换来实现核心处理器与涉密主机共用鼠标及键盘;
单向传输模块1023,用于进行单向光电信号的信息传输;
信息接收模块1024,用于接收互联网图像信息并展示所接收到的互联网图像信息,同时还用于接收数据信息及键盘、鼠标消息;其中,所述信息接收模块接收互联网图像信息并展示所接收到的互联网图像信息,接收数据信息及键盘、鼠标消息的过程均是在涉密主机上完成的。
为了使本领域的技术人员更好地理解本发明,在本发明的另一个优选实施例中,所述单向传输模块1023,具体可以包括:
外网传输模块A1,用于负责从核心处理器的操作系统捕获数字信号,并将数字信号转换为单向光信号,并通过光发送模块将单向光信号发送给内网传输模块;
内网传输模块A2,用于负责接收光信号并将光信号转换成数字信号,数字信号经网络总线传输给涉密主机的操作系统。
参照图2,示出了本发明一种实现终端型交互式链接平台体系架构方法实施例的步骤流程图,具体可以包括:
步骤201、核心处理器接收服务器端的互联网信息,并进行相应的信息处理,获得图片格式的互联网信息或下载的文件信息。
为了使本领域的技术人员更好地理解本发明,在本发明的另一个优选实施例中,所述步骤201,具体可以包括:
子步骤B1、将IE插件嵌入到核心处理器的IE中,获得内嵌有IE插件的IE浏览器。
子步骤B2、核心处理器的IE浏览器接收鼠标、键盘的信息下载指令,开始从互联网服务器端接收并下载互联网信息。
子步骤B3、当点击IE浏览器中网页内的文件超链接地址时,超链接信息转发给IE插件。
子步骤B4、IE插件通过IE文件下载器连接指定的网络文件并进行文件信息的下载及捕获互联网页面图像信息,获得下载的文件信息及捕获的互联网页面图像信息。
子步骤B5、IE插件将下载的文件信息及捕获的互联网页面图像信息通过单向传输通道发送给涉密主机。
子步骤B6、涉密主机通过杀毒软件对下载的文件信息及捕获的互联网页面图像信息进行病毒扫描清理,获得没有感染网络病毒的下载的文件信息及捕获的互联网页面图像信息。
子步骤B7、将没有感染网络病毒的下载的文件信息及捕获的互联网页面图像信息进行存储,获得下载的网络文件及捕获的互联网页面图像信息的图形存储文件。
子步骤B8、将捕获的互联网页面图像信息的图形存储文件通过涉密主机的屏幕进行展示。
其中,所述核心处理器接收服务器端的互联网信息,并进行相应的信息处理,获得图片格式的互联网信息及下载的文件信息的过程是通过操作键盘及鼠标来实现的;所述键盘及鼠标通过键盘、鼠标切换模块的快捷键来实现核心处理器与涉密主机共用键盘及鼠标。
其中,本发明中的实现终端型交互式链接平台体系架构的方法中,为了减少用户频繁操作键盘、鼠标的切换,外端机将采用键盘、鼠标中继模式来达到与内端涉密机共享同一套键盘、鼠标设备,而无需分别挂接不同的键盘、鼠标,同时也节省了相应的硬件成本。
为了使本领域的技术人员更好地理解键盘及鼠标通过键盘、鼠标切换模块的快捷键来实现核心处理器与涉密主机共用键盘及鼠标的过程,下面详细介绍其步骤:
所述键盘及鼠标通过键盘、鼠标切换模块的快捷键来实现核心处理器与涉密主机共用键盘及鼠标的步骤,包括:
子步骤C1、核心处理器通过Hook操作模块捕获并获取键盘、鼠标的操作信息;其中,所述键盘、鼠标的操作信息用于控制连接在核心处理器上的键盘及鼠标相应的操作。
子步骤C2、键盘、鼠标的操作信息通过键盘、鼠标信息编码模块进行编码并通过单向传输通道传输给涉密主机的信息接收模块。
子步骤C3、信息接收模块将所接收到的键盘、鼠标的操作信息发送给信息译码模块,进行键盘、鼠标的操作信息的解析,获得解析后的键盘、鼠标的操作信息。
子步骤C4、所述解析后的键盘、鼠标的操作信息发送给键盘、鼠标事件生成模块,释放给涉密主机能够读取的键盘、鼠标的操作信息。
从上述步骤可以看出:核心处理器连接有键盘及鼠标,通过Hook方法对键盘及鼠标的操作进行捕获,捕获到键盘及鼠标的操作信息;将键盘及鼠标的操作信息转换成相应的网络信息,传输到内端涉密主机;内端涉密主机接收到网络信息数据后,再将接收到的网络信息数据转换成相应的键盘及鼠标事件,并告知涉密主机的操作模块,从而实现了键盘及鼠标的中继功能。在键盘及鼠标事件生成过程中,由于核心处理器所采用的屏幕的分辨率与内端涉密主机所采用的屏幕的分辨率是并不都是相同的,因此在内端涉密主机生成鼠标事件时,还需要对其作一定比例的坐标映射,以达到平滑的鼠标移动效果。
步骤202、所述图片格式的互联网信息及下载的文件信息通过单向传输模块进行信号传输,获得单向传输信息。
为了使本领域的技术人员更好地理解本发明,在本发明的另一个优选实施例中,所述步骤202,具体可以包括:
子步骤D1、通过外网传输模块从核心处理器的操作系统捕获数字信号,并将数字信号转换为单向光信号,并通过光发送模块将单向光信号发送给内网传输模块。
所述子步骤D1,具体可以包括:
子步骤E1、从服务器端下载的互联网信息经过核心处理器的分析及处理,获得图片格式的互联网信息及下载的文件信息的数据包。
子步骤E2、将图片格式的互联网信息及下载的文件信息的数据包通过网络总线接口及DMA数据搬运,转移并传输到外网传输模块的存储区。
子步骤E3、图片格式的互联网信息及下载的文件信息的数据包通过外网传输模块中的编码模块进行硬件编码、前向纠错编码、扰码的操作,获得编码后的数据包。
子步骤E4、所述编码后的数据包进入电光信号转换器,将电信号转换成光信号,获得光信号。
子步骤E5、光信号通过外网传输模块的光发射器经由单向光纤信号通道的信号传输,发送给光接收器。
子步骤D2、通过内网传输模块接收单向光信号并将单向光信号转换成数字信号,数字信号经网络总线传输给涉密主机的操作系统。
所述子步骤D2,具体可以包括:
子步骤F1、内网传输模块的光接收器接收到外网传输模块发送的光信息。
子步骤F2、接收到的光信号通过光电转换器的信号转换,获得原光信号转换后的数字信号。
子步骤F3、数字信号经过扰码、前向纠错解码、硬件解码的操作,获得原始数字信号。
子步骤F4、数字信号经过DMA数据搬运及网络总线接口的传输,将数字信号传输给涉密主机。
本发明为了保证实现数据单向传输过程中数据的可靠传输,采用了基于扰码冗余的传输方法,具体情况如下所述:
基于扰码冗余的传输方法
1)扰码
为了避免单向数据传输中外部干扰造成的相邻数据被连续丢弃,可采用扰码方案。假使有t个被顺序标号的分组需要传输,为方便描述,我们用i表示第i个需要传输的分组。定义一个随机置换S:
S:{1,...t}→{1,...t}
实现将t个分组的顺序随机打乱重排。然后用无反馈传输系统顺序传输重排后的t个分组。此时,尽管传输过程中数据包仍然会连续丢失,但是,反映到重排前的序列中,被丢失的包将随机分布于原分组序列之中。
2)冗余传输
在扰码之后,若直接传输,任何被丢弃的包都无法被找回,因此,必须对每个数据包进行冗余传输。
Def1:冗余度r
对于待传输包序列1,...t,构造r个算子集F={F1,F2,...Fr},其中,Fi是1,...t的一个随机置换。记:
F1(1),...,F1(t);F2(1),...F2(t);...,Fr(1),...Fr(t)……(1)
为序列1,...t的冗余度为r的扩展序列。
若F选择的足够好,我们可以认为,按照序列(1)顺序发送该扩展序列,则:
F1(1),F2(1)...,Fr(1);F1(2),...Fr(2);...,F1(t),...Fr(t)……(2)
中,若传输m+n个包,n个被接收,m个被丢弃,则
Figure BSA00000581519000101
被丢失的概率为
Figure BSA00000581519000102
其中1≤i≤r,1≤j≤t。
Def2:丢弃深度dF
记d(i)={F1(i),...,Fr(i)中,被丢失包的个数},则定义
Figure BSA00000581519000111
显然,在无回馈传输系统中,丢弃深度与算子F的选择质量是相关的。
3)完备传输概率计算
若dF=r,则序列1,...t中,至少存在一个分组无法找回。若dF<r,则可以保证在接收端,每个包至少有一个样本被接收,因此能保证序列1,...t能被完整合成。
然而,基于
Figure BSA00000581519000112
被丢失的概率为
Figure BSA00000581519000113
的假设:
P ( d F < r ) = &Pi; i = 1 t P ( d ( i ) < r )
= ( 1 - ( m m + n ) r ) m + n
由于m、n都是统计值,在特定的环境中是相对固定的,因此,序列是否能被完备传输完全依赖于冗余度r的选择。显然,r越大,被完备传输的概率就越大。
4)实验模拟
在实验环境中,将内端机和外端机都采用ARM11嵌入式主板,利用UDP协议模拟无反馈数据传输,此时,若将传输的包的大小定义为1Kb,则平均传递1020个包,约有1000个包被准确接收,20个包被丢失。按照上述概率公式,我们可以求出如下数据。
取m=20,n=1000,则:
当r=2时,
P ( d F < 2 ) = ( 1 - ( 20 1020 ) 2 ) 1020 = 0.675
当r=3时,
P ( d F < 3 ) = ( 1 - ( 20 1020 ) 3 ) 1020 = 0 . 99234
当r=4时,
P ( d F < 4 ) = ( 1 - ( 20 1020 ) 4 ) 1020 = 0 . 9998
即当冗余度达到4时,在模拟环境中,序列平均传输10000次,产生两次错误。因此在实际使用中采用的冗余度为4,满足误码率要求。
在单向传输过程中一旦数据丢失,接收方将无法对丢失的数据进行数据恢复,本发明除了采用进行冗余传输来保证数据不丢失,同时还采用FEC前向纠错方法来对传输过程中所产生的错误数据进行纠错,以获得正确的传输数据。
冗余传输的主要方法包括单包重传、分组重传及前向纠错冗余等方式。单包重传是每发送一个数据包就冗余M次传输,分组重传是将K个数据包依次传输后再重传M次,前向纠错冗余是在需要传输的K个数据包后增加(N-K)个冗余数据包进行传输。
记单向数据传输的冗余度为Re,则有:
Re=N/K    (1)
其中,K表示需要发送的数据包个数,N表示冗余后发送的数据包个数。
无论采用哪种冗余方式,随着冗余度的增加,单向传输的可靠性将增加。但是无限度的增加冗余度将带来性能的极大降低及传输信息的浪费。事实上,冗余度增加后,发送端将增加重复数据的发送,整体性能下降,另外,在接收端接收的冗余数据中除恢复原始数据外的数据均属于浪费。因此,需要在可靠性的情况下保证冗余度最小。
在安全隔离与数据安全导入装置内外端机之间传输数据的丢失来源于外部干扰,记内外端之间数据传输的丢包率为Rd,为了保证接收端可恢复发送数据,我们有:
N×(1-Rd)≥K    (2)
本发明分别从三种不同的冗余传输方式证明(2)式成立。事实上,如果有N×(1-Rd)<K,则表示接收方接收到的数据包个数小于K个,但由于发送端的原始数据是由K个数据包构成的,这也就意味着接收方在接收的数据包小于K个的情况下不可能恢复原始数据。因此,(2)式成立。
由(2),我们有N/K≥1/(1-Rd),即:
Re≥1/(1-Rd)    (3)
在安全隔离与数据安全导入系统内外端机单向光纤数据传输中,由于使用短距离多模光纤,内外端采用专有系统,不做其他用途,只进行数据的发送和接收。在外端机进行UDP数据流发送测试,在接收端获得的数据包丢包率均在1%以下,因此有:
MAX(1/(1-Rd))=1/(1-1%)=1.01
只要Re大于1.01,在冗余度较小的情况下就能获得较大的可靠性。在单包重传及分组重传中有Re=N/K=(M+1)×K/K=M+1≥2,在FEC前向纠错编码中,我们采用RS编码(Reed-Solomon编码),选取K=32,FEC编码后冗余数据包个数为4,则有Re=N/K=36/32=1.125。因此,在实际运用中,选用FEC前向纠错方式在保证丢包恢复上就有更大的可靠性。
参照图3,示出了本发明中的外网传输模块的功能结构示意图。
从图3中可以看出:
外网传输模块负责从核心处理器的操作系统中捕获数字信息,并转换为光信息,并通过光发送模块发送给内网传输模块。
从图3还可以看出,数据传输的流程如下:
数据包通过操作系统,流经网络总线,通过DMA数据转移到传输卡存储区,在外网传输模块内数据包首先进行CRC纠错及硬件编码,然后数据经过FEC前向纠错编码和扰码,再进入光电转换器,转换为光信号后通过光发射器由光纤信道进行发送。
参照图4,示出了本发明中的内网传输模块的功能结构示意图。
从图4中可以看出:
内网传输模块负责接收光信号并转换后通过USB总线上传给涉密主机的操作系统。
从图4中还可以看出,数据传输的流程如下:
外网传输卡发送的光信号通过内网传输模块的光接收模块接收后,通过光电转换器转换为数字信号,数字信号经过扰码、FEC纠错检查后,通过硬件解码获得最终信号,该信号再经过CRC纠错检查,然后通过USB总线接口,传输到涉密主机操作系统的内存中。
本发明中的单向光纤传输设备采用两块光纤模块,一块光纤模块上只有光信号的发射器,另一块光纤模块上只有光信号的接收器。由于光发射器的特征只能进行光信号的发送,光接收器只能进行光信号的接收,因此在两块光纤设备之间只有单向的光信号流存在。
步骤203、将所述单向传输信号通过单向信号传输通道传输给涉密主机,获得图片格式的互联网信息及下载的文件信息。
参照图5,示出了本发明中的核心处理器通过IE浏览器下载网页内容并单向传输到涉密主机的步骤流程图。
从图5中,可以看出:
采用单向数据传输方法,涉密主机接收到核心处理器发送的从IE浏览器单向下载的网页内容,并通过一系列预设的配置实现对数据的解析、处理及存储。
对于网页文件下载,首先通过将BHO嵌入到核心处理器的IE中,通过鼠标右键点击IE游览器中网页内的文件超链接地址后,可将超链接信息转发给BHO插件,插件再通过WinINet接口下载超链接所指向的网络文件。在文件下载数据传输过程中可对其分片传输到内端涉密主机进行储存。
当文件下载传输完成后,通过第三方杀毒软件可对其下载的文件进行病毒扫描清理,结束后再将文件安全的转储到其它目录位置进行永久保存。
其中,为了保证整个终端型交互链接平台体系架构的安全性,采用把从服务器端下载的网页内容通过图片的格式单向实时传输到内网,并在涉密主机上进行展示,从而实现内网浏览互联网网站的页面内容。在上述过程中,因为图片信息是不断变化的,如果每次传输整个屏幕图片,那么整个信息传输过程中需要传输的信息量将会是非常大的,会影响到整个终端型交互链接平台体系架构的传输速度,因此,本发明采用图片增量变化捕获方法,保证单向传输的数据仅仅是变化的图片信息,从而提高了信息传输过程中的传输的性能以及传输的稳定性。
总之,本发明提供了一种实现终端型交互式链接平台体系架构的方法,该方法可以安全、主动地搜索、采集、展示及下载互联网浏览信息;用户不仅可以主动访问外部任何网络资源,且不会因此泄露内部敏感主机的任何信息。
以上对本发明所提供的一种终端型交互式链接平台体系架构及其实现方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种终端型交互式链接平台体系架构,其特征在于,包括:
终端型交互式链接平台体系的硬件架构,用于提供构建终端型交互式链接平台的硬件设备配置;
终端型交互式链接平台体系的软件架构,用于提供构建终端型交互式链接平台的软件服务。
2.如权利要求1所述的终端型交互式链接平台体系,其特征在于,所述终端型交互式链接平台体系的硬件架构,包括:
服务器端网络接口,用于连接互联网服务器的网络接口,其中,所述服务器端网络接口的连接方式为以太网连接及无线连接;
核心处理器,用于连接互联网,其中,所述核心处理器采用ARM架构来运行控制软件的执行操作;
键盘及鼠标,用于提供访问互联网时的鼠标及键盘输入设备,其中,所述键盘及鼠标通过切换可供涉密主机使用;
电信号及光信号转换器,用于将电信号转换为光信号或将光信号转换为电信号并在电信号转换为光信号的过程中或光信号转换为电信号的过程中实现光信号的单向传输;其中,所述电信号及光信号转换器为电/光转换器、光/电转换器;所述电/光转换器用于将电信号转换为单发光信号,所述光/电转换器用于将光信号转换为电信号;
涉密主机USB接口,用于将从核心处理器接发送的数据包输出给涉密主机。
3.如权利要求1所述的终端型交互式链接平台体系,其特征在于,所述终端型交互式链接平台体系的软件架构,包括:
核心处理器操作模块,用于接收服务器端的互联网信息,并将互联网信息转换成图片格式进行单向传输,或对超链接的文件进行下载及单向传输;
鼠标、键盘中继模块,用于通过快捷键进行切换来实现核心处理器与涉密主机共用鼠标及键盘;
单向传输模块,用于进行单向光电信号的信息传输;
信息接收模块,用于接收互联网图像信息并展示所接收到的互联网图像信息,同时还用于接收数据信息及键盘、鼠标消息;其中,所述信息接收模块接收互联网图像信息并展示所接收到的互联网图像信息,接收数据信息及键盘、鼠标消息的过程均是在涉密主机上完成的。
4.如权利要求3所述的终端型交互式链接平台体系,其特征在于,所述单向传输模块,包括:
外网传输模块,用于负责从核心处理器的操作系统捕获数字信号,并将数字信号转换为单向光信号,并通过光发送模块将单向光信号发送给内网传输模块;
内网传输模块,用于负责接收光信号并将光信号转换成数字信号,数字信号经网络总线传输给涉密主机的操作系统。
5.一种实现终端型交互式平台体系架构的方法,其特征在于,包括:
核心处理器接收服务器端的互联网信息,并进行相应的信息处理,获得图片格式的互联网信息或下载的文件信息;
所述图片格式的互联网信息及下载的文件信息通过单向传输模块进行信号传输,获得单向传输信息;
将所述单向传输信号通过单向信号传输通道传输给涉密主机,获得图片格式的互联网信息及下载的文件信息。
6.如权利要求5所述的方法,其特征在于,所述核心处理器接收服务器端的互联网信息,并进行相应的信息处理,获得图片格式的互联网信息及下载的文件信息的步骤,包括:
将IE插件嵌入到核心处理器的IE中,获得内嵌有IE插件的IE浏览器;
核心处理器的IE浏览器接收鼠标、键盘的信息下载指令,开始从互联网服务器端接收并下载互联网信息;
当点击IE浏览器中网页内的文件超链接地址时,超链接信息转发给IE插件;
IE插件通过IE文件下载器连接指定的网络文件并进行文件信息的下载及捕获互联网页面图像信息,获得下载的文件信息及捕获的互联网页面图像信息;
IE插件将下载的文件信息及捕获的互联网页面图像信息通过单向传输通道发送给涉密主机;
涉密主机通过杀毒软件对下载的文件信息及捕获的互联网页面图像信息进行病毒扫描清理,获得没有感染网络病毒的下载的文件信息及捕获的互联网页面图像信息;
将没有感染网络病毒的下载的文件信息及捕获的互联网页面图像信息进行存储,获得下载的网络文件及捕获的互联网页面图像信息的图形存储文件;
将捕获的互联网页面图像信息的图形存储文件通过涉密主机的屏幕进行展示;
其中,所述核心处理器接收服务器端的互联网信息,并进行相应的信息处理,获得图片格式的互联网信息及下载的文件信息的过程是通过操作键盘及鼠标来实现的;所述键盘及鼠标通过键盘、鼠标切换模块的快捷键来实现核心处理器与涉密主机共用键盘及鼠标。
7.如权利要求6所述的方法,其特征在于,所述键盘及鼠标通过键盘、鼠标切换模块的快捷键来实现核心处理器与涉密主机共用键盘及鼠标的步骤,包括:
核心处理器通过Hook操作模块捕获并获取键盘、鼠标的操作信息;其中,所述键盘、鼠标的操作信息用于控制连接在核心处理器上的键盘及鼠标相应的操作;
键盘、鼠标的操作信息通过键盘、鼠标信息编码模块进行编码并通过单向传输通道传输给涉密主机的信息接收模块;
信息接收模块将所接收到的键盘、鼠标的操作信息发送给信息译码模块,进行键盘、鼠标的操作信息的解析,获得解析后的键盘、鼠标的操作信息;
所述解析后的键盘、鼠标的操作信息发送给键盘、鼠标事件生成模块,释放给涉密主机能够读取的键盘、鼠标的操作信息。
8.如权利要求5所述的方法,其特征在于,所述图片格式的互联网信息及下载的文件信息通过单向传输模块进行信号传输,获得单向传输信息的步骤,包括:
通过外网传输模块从核心处理器的操作系统捕获数字信号,并将数字信号转换为单向光信号,并通过光发送模块将单向光信号发送给内网传输模块;
通过内网传输模块接收单向光信号并将单向光信号转换成数字信号,数字信号经网络总线传输给涉密主机的操作系统。
9.如权利要求8所述的方法,其特征在于,所述通过外网传输模块从核心处理器的操作系统捕获数字信号,并将数字信号转换为光信号,并通过光发送模块发送给内网传输模块的步骤,包括:
从服务器端下载的互联网信息经过核心处理器的分析及处理,获得图片格式的互联网信息及下载的文件信息的数据包;
将图片格式的互联网信息及下载的文件信息的数据包通过网络总线接口及DMA数据搬运,转移并传输到外网传输模块的存储区;
图片格式的互联网信息及下载的文件信息的数据包通过外网传输模块中的编码模块进行硬件编码、前向纠错编码、扰码的操作,获得编码后的数据包;
所述编码后的数据包进入电光信号转换器,将电信号转换成光信号,获得光信号;
光信号通过外网传输模块的光发射器经由单向光纤信号通道的信号传输,发送给光接收器。
10.如权利要求8所述的方法,其特征在于,所述通过内网传输模块接收光信号并将光信号转换成数字信号,数字信号经网络总线传输给涉密主机的操作系统的步骤,包括:
内网传输模块的光接收器接收到外网传输模块发送的光信息;
接收到的光信号通过光电转换器的信号转换,获得原光信号转换后的数字信号;
数字信号经过扰码、前向纠错解码、硬件解码的操作,获得原始数字信号;
数字信号经过DMA数据搬运及网络总线接口的传输,将数字信号传输给涉密主机。
CN201110288330.1A 2011-09-22 2011-09-22 一种终端型交互链接平台体系架构及其实现方法 Active CN102347946B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201410035459.5A CN103780623B (zh) 2011-09-22 2011-09-22 一种终端型交互链接平台体系架构的实现方法
CN201110288330.1A CN102347946B (zh) 2011-09-22 2011-09-22 一种终端型交互链接平台体系架构及其实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110288330.1A CN102347946B (zh) 2011-09-22 2011-09-22 一种终端型交互链接平台体系架构及其实现方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201410035459.5A Division CN103780623B (zh) 2011-09-22 2011-09-22 一种终端型交互链接平台体系架构的实现方法

Publications (2)

Publication Number Publication Date
CN102347946A true CN102347946A (zh) 2012-02-08
CN102347946B CN102347946B (zh) 2014-04-16

Family

ID=45546236

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110288330.1A Active CN102347946B (zh) 2011-09-22 2011-09-22 一种终端型交互链接平台体系架构及其实现方法

Country Status (1)

Country Link
CN (1) CN102347946B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103200251A (zh) * 2013-03-27 2013-07-10 百度在线网络技术(北京)有限公司 图片传输方法、系统和装置
WO2018188625A1 (en) * 2017-04-13 2018-10-18 Huawei Technologies Co., Ltd. System and method for beam indexing reference signal design for initial access
CN110247951A (zh) * 2019-05-08 2019-09-17 建信融通有限责任公司 一种文件传输控制方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101127680A (zh) * 2007-07-20 2008-02-20 胡德勇 Usb光纤单向物理隔离网闸
CN201398200Y (zh) * 2009-04-30 2010-02-03 成都美年科威信息技术有限公司 一种分布式网络信息安全单向传输系统
CN201878161U (zh) * 2010-12-17 2011-06-22 成都信息工程学院 主机到主机信息安全单向传输系统
CN102122990A (zh) * 2011-01-17 2011-07-13 李大东 光纤单向导入设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101127680A (zh) * 2007-07-20 2008-02-20 胡德勇 Usb光纤单向物理隔离网闸
CN201398200Y (zh) * 2009-04-30 2010-02-03 成都美年科威信息技术有限公司 一种分布式网络信息安全单向传输系统
CN201878161U (zh) * 2010-12-17 2011-06-22 成都信息工程学院 主机到主机信息安全单向传输系统
CN102122990A (zh) * 2011-01-17 2011-07-13 李大东 光纤单向导入设备

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103200251A (zh) * 2013-03-27 2013-07-10 百度在线网络技术(北京)有限公司 图片传输方法、系统和装置
CN103200251B (zh) * 2013-03-27 2016-12-28 百度在线网络技术(北京)有限公司 图片传输方法、系统和装置
WO2018188625A1 (en) * 2017-04-13 2018-10-18 Huawei Technologies Co., Ltd. System and method for beam indexing reference signal design for initial access
US10897295B2 (en) 2017-04-13 2021-01-19 Futurewei Technologies, Inc. System and method for beam indexing reference signal design for initial access
CN110247951A (zh) * 2019-05-08 2019-09-17 建信融通有限责任公司 一种文件传输控制方法、装置、设备及存储介质
CN110247951B (zh) * 2019-05-08 2022-04-01 建信融通有限责任公司 一种文件传输控制方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN102347946B (zh) 2014-04-16

Similar Documents

Publication Publication Date Title
CN202906969U (zh) 一种基于单向光技术的边界安全传输设备及通信系统
CN106453474A (zh) 在不稳定网络环境中的大文件的网络传输
CN107612661A (zh) 数据通讯方法和装置
Neumayer et al. Assessing the impact of geographically correlated network failures
CN102347946B (zh) 一种终端型交互链接平台体系架构及其实现方法
JP2008271545A (ja) 光ファイバーネットワークシステム及びその管理方法
CN103701630A (zh) 用于数据监测的数据处理方法和装置
CN109379386A (zh) 一种消息传输方法、装置、设备及介质
CN107104782A (zh) 数据传输方法及装置
CN109347540B (zh) 一种安全路由的实现方法及装置
CN104243442A (zh) 网络访问系统、网络防护设备和终端服务器
CN107508828B (zh) 一种超远程数据交互系统及方法
CN203675180U (zh) 一种多径警情信息传输的网络报警系统
CN107908560A (zh) 一种基于软件开发平台中多目标交叉调试系统
CN107835222A (zh) 基于复合物联网的燃气数据传输方法及物联网系统
CN203870785U (zh) 一种基于物联网的灾害检测数据通信系统
CN106936545A (zh) 数据传输方法及装置
CN104052774B (zh) 一种数据传输方法及系统
CN201623716U (zh) 带反馈的单向传输系统
CN103780623B (zh) 一种终端型交互链接平台体系架构的实现方法
CN113572750A (zh) 视频数据传输方法及装置
CN103227733B (zh) 一种拓扑发现方法及系统
CN107809457A (zh) 基于复合物联网的水量数据传输方法及物联网系统
CN102104846A (zh) 一种在通信网上获取短消息并插入发送方身份信息的方法
CN104935381A (zh) 一种多路以太网电口转光口单向传输装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address

Address after: Room 514, 5th Floor, Building 1, No. 138 Malianwa North Road, Haidian District, Beijing, 100193

Patentee after: ZHONGTIE XINAN (BEIJING) INFORMATION SECURITY TECHNOLOGY Co.,Ltd.

Country or region after: China

Address before: Room 708-710, Floor 7, Building 22, Shouti South Road, Haidian District, Beijing, 100044

Patentee before: ZHONGTIE XINAN (BEIJING) INFORMATION SECURITY TECHNOLOGY Co.,Ltd.

Country or region before: China

CP03 Change of name, title or address