CN103209191A - 一种实现内外网物理隔断的方法 - Google Patents
一种实现内外网物理隔断的方法 Download PDFInfo
- Publication number
- CN103209191A CN103209191A CN2013101660080A CN201310166008A CN103209191A CN 103209191 A CN103209191 A CN 103209191A CN 2013101660080 A CN2013101660080 A CN 2013101660080A CN 201310166008 A CN201310166008 A CN 201310166008A CN 103209191 A CN103209191 A CN 103209191A
- Authority
- CN
- China
- Prior art keywords
- data
- physics
- equipment
- intranet
- cuts
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种实现内外网物理隔断的方法,属于网络安全领域。本发明方法是在外网设置第一物理隔断设备,在内网设置第二物理隔断设备,通过所述第一物理隔断设备和第二物理隔断设备实现内网和外网之间的通信;所述方法在第一物理隔断设备与第二物理隔断设备之间设有至少一条通用串行总线,通过所述通用串行总线实现第一物理隔断设备与第二物理隔断设备之间的通信。本发明在保证安全性的基础上实现了内外网之间数据的实时传送,且大大提高了内外网数据的实时响应性。
Description
技术领域
本发明属于网络安全领域,具体涉及一种实现内外网物理隔断的方法。
背景技术
如今,内外网安全已经越来越受到重视,“物理隔断”作为一种网络安全设备已经广泛地应用到了当今的内外网隔离中。
目前,多数的内外网物理隔断使用硬件开关切换或者“数据摆渡”的方式加以实现。这一类物理隔断的优点是彻底实现了隔断内外网数据传输的逻辑链路,安全性很高。但是,该方式的缺点是不能实现内外网间的实时通讯。
发明内容
本发明的目的在于解决上述现有技术中存在的难题,提供一种实现内外网物理隔断的方法,在保证安全性的基础上实现内外网之间数据的实时传送,为信息的实时响应提供有效途径。
本发明是通过以下技术方案实现的:
一种实现内外网物理隔断的方法,所述方法是在外网设置第一物理隔断设备,在内网设置第二物理隔断设备,通过所述第一物理隔断设备和第二物理隔断设备实现内网和外网之间的通信;
所述方法在第一物理隔断设备与第二物理隔断设备之间设有至少一条通用串行总线,通过所述通用串行总线实现第一物理隔断设备与第二物理隔断设备之间的通信。
第一物理隔断设备与第二物理隔断设备之间的通信包括从外网向内网传输数据的步骤和从内网向外网传输数据的步骤;
其中,所述从外网向内网传输数据的步骤包括:
(A1)从外网的数据库服务器传输来的数据通过外网交换机后在第一物理隔断设备内进行缓存;
(A2)第一物理隔断设备对接收到的数据进行处理;
(A3)通过所述通用串行总线将处理后的数据传输到第二物理隔断设备上;
(A4)第二物理隔断设备对接收到的数据进行重新整理后,将整理后的数据通过内网交换机传输到内网的数据库服务器上。
所述从内网向外网传输数据的步骤包括:
(B1)从内网的数据库服务器传输来的数据通过内网交换机后在第二物理隔断设备内进行缓存;
(B2)第二物理隔断设备对接收到的数据进行处理;
(B3)通过所述通用串行总线将处理后的数据传输到第一物理隔断设备上;
(B4)第一物理隔断设备对接收到的数据进行重新整理后,将整理后的数据通过内网交换机传输到内网的数据库服务器上。
所述步骤(A2)和步骤(B2)中的所述对接收到的数据进行处理是这样实现的:将数据进行拆分,分成数据包,并对各个数据包进行编号,然后对各个数据包内的数据进行加密。
所述步骤(A4)和步骤(B4)中的所述对接收到的数据进行重新整理是这样实现的:对接收到的数据包内的数据进行解密,然后按照编号将各个数据包进行组装,重新生成数据。
所述方法在第一物理隔断设备上设有第一数据传送模块,在第二物理隔断上设有第二数据传送模块;
所述第一数据传送模块与第二数据传送模块之间传送数据采用的底层协议是串行总线协议,采用的应用层协议是模块自定义的传输协议。
所述自定义的传输协议被分别封装在第一数据传送模块与第二数据传送模块内部的。
在第一数据传送模块和第二数据传送模块上均采用AES对数据进行加密。
所述方法在所述第一数据传送模块上设有各种数据库服务的驱动和接口,能够根据外网使用的数据库服务器的类型进行配置以对数据库服务器进行连接;用户能够根据外网应用的数据字典配置需要传送的数据内容。
所述方法采用的通用串行总线是USB2.0。
所述方法采用计算机或工控机作为所述第一物理隔断设备和第二物理隔断设备,对于运行稳定要求高的环境,建议采用工控机。
与现有技术相比,本发明的有益效果是:
(1)本发明方法不存在机械式的或者开关电路方面的操作,实现了内外网之间的实时通讯;
(2)本发明方法的安全性完全通过专有链路即被封装了应用层协议的具有分时多路服用能力的物理链接来实现数据的安全传输,其内外网之间数据的实时响应性大大加强。;
(3)在物理隔断设备的数据处理能力强且通用串行总线数据链路带宽足够大的情况下,使用本发明方法用户几乎感觉不到内外网之间所存在的数据分离。这对于要求安全性和实时响应性很高的应用来讲是非常有用的。
附图说明
图1是本发明实现内外网物理隔断的方法所用装置的结构框图。
图2是本发明实现内外网物理隔断的方法的原理图。
具体实施方式
下面结合附图对本发明作进一步详细描述:
物理隔断的主要功能是保证内网安全的基础上,针对外网要传输进内网的数据和内网要传送到外网的数据进行严格的管理。其目的主要是为了杜绝来自外网的不安全因素(包括黑客、木马、病毒)对于内网重要信息数据的破坏。如图1所示:外网向广域网用于提供各种应用服务(HTTP、FTP等)。需要用户通过各种服务向外网数据服务器提供数据,这些数据中的全部或者大多数数据都需要传入内网进行再处理,处理之后还会将数据处理结果反馈到外网进行发布。外网是面向互联网用户的应用平台,内网是面向内部管理的应用平台。物理隔断的作用就是既要保证内外网的数据交互,又要保证内网设备和数据不会遭受来自外网不安全因素的破坏。
该物理隔断设备采用多串口传输的方式实现。即在内外网之间架设通用串行总线(USB2.0)传输设备。
具体来说,该装置包括第一物理隔断设备和第二物理隔断设备,所述第一物理隔断设备位于外网,所述第二物理隔断设备位于内网;所述外网与内网之间通过所述第一物理隔断设备和第二物理隔断设备进行通信;
所述第一物理隔断设备与第二物理隔断设备之间通过至少一条通用串行总线进行通信。
从外网的数据库服务器传输来的数据通过外网交换机后首先在第一物理隔断设备内进行缓存,第一物理隔断设备对其进行处理,然后通过所述通用串行总线传输到第二物理隔断设备上,第二物理隔断设备对接收到的数据进行重新整理后,将整理后的数据通过内网交换机传输到内网的数据库服务器上。
在所述第一物理隔断设备上安装有第一数据传送模块,当外网向内网发送数据时,所述第一数据传送模块从外网的数据库服务器中读取数据,对数据进行缓存,并对数据进行拆分及处理,处理后的数据能够通过不同的通用串行总线进行传输;
当内网向外网发送数据时,所述第一数据传送模块从第二物理隔断设备上接收数据,对数据进行缓存,并对数据进行重新组装。
在所述第二物理隔断设备上安装有第二数据传送模块,当内网向外网发送数据时,所述第二数据传送模块从内网的数据库服务器中读取数据,对数据进行缓存,并对数据进行拆分及处理,处理后的数据能够通过不同的通用串行总线进行传输;
当外网向内网发送数据时,所述第二数据传送模块从第一物理隔断设备上接收数据,对数据进行缓存,并对数据进行重新组装。
如图2所示,第一物理隔断设备(即图2中的物理隔断A)与外网交换机连接,将外网需要传入内网的数据进行缓存。然后通过链接到物理隔断A上的通用串行总线传送到第二物理隔断设备(即图2中的物理隔断B)。物理隔断B位于内网,与内网交换机连接,其将数据进行重新整理,然后传送到内网数据库服务器。内网需要传送到外网的数据也通过该通路实现。
物理隔断A和物理隔断B之间的物理链路是USB2.0进行传输。根据数据吞吐量的大小可以对通用串行总线链路进行灵活扩容。链路带宽可从百兆扩充到千兆。
具体实施时,在物理隔断A上,安装有第一数据传送模块(以下简称DTM-A),该模块的功能是将外网数据库服务器上相关数据进行读取和缓存。DTM-A中包含有目前常用的各种数据库服务的驱动和接口,可根据外网使用的数据库服务器类型进行配置以对数据库服务器进行连接。用户可根据外网应用的数据字典配置需要传送的数据内容。DTM-A将数据通过通用串行总线协议发送至连接在内网的第二数据传送模块(以下简称DTM-B)。DTM-B在接收到数据后进行归类整理,所谓归类整理是指区分不同的数据操作,DTM-A传送过来的数据包含的内容按照数据操作区分主要分为三类:分别是数据插入、数据更新、数据删除。DTM-B将按照不同的数据操作对内网数据库进行操作。从而达到实现从外网到内网的数据传送和同步的功能。
由内网到外网的数据传送与由外网到内网的数据传送的工作原理相同。
为了加强网络应用的安全性,一系列的网络设备被应用到外网上,包括入侵检测服务器、防火墙等等。但是这不能百分之百的保证外网的安全,外网的网络应用安全性是不被信任的。对于信息系统来说任何时候数据的安全都是最高级别的安全,当有来自互联网的攻击侵入到外网时,位于外网服务器上的数据将有可能被窃取。通常由于位于外网的数据安全级别和敏感性比较低,且外网数据通常用于发布,一般都有数据备份。以网络管理员一旦发现数据受损会采取相应措施加以恢复,也可以侦测一定的网络攻击,但这一切都发生在网络攻击之后。如果内外网相通且内外网间使用通用协议传输数据(如TCP/IP等)。那将极有可能使网络攻击延伸到内网,造成更严重的数据破坏或泄密。DTM-A和DTM-B之间的数据传送的底层协议虽然是通用串行总线协议,但是其应用层协议是由程序模块自定义的传输协议(例如可以用0x10代表开始,然后是数据段,CRC32校验,Ox13代表结束)。该协议被封装在DTM-A和DTM-B内部,即使网络入侵占据数据链路也不能发送有效的数据传送指令。
由于DTM-A位于外网上,所以其传送数据的应用层协议采用了两种如下策略来保证安全:
第一,内外网间传送的数据(包括应用层协议在内)全部为AES(高级加密标准)加密数据,防止由于链路数据被截获造成的数据泄密。
第二,物理隔断A,物理隔断B之间采用的是多通用串行总线,也就是说从物理链路上来说就有多条通路。因此DTM-A和DTM-B之间采用多路数据并传(类似无线传输中的分频多路复用)。将一组待传数据进行拆分,分别通过不同USB通道进行传输,然后数据在数据传送模块(DTM)的另一端进行重新组装。数据多路复用的策略可以由用户来进行定义。
上述技术方案只是本发明的一种实施方式,对于本领域内的技术人员而言,在本发明公开了应用方法和原理的基础上,很容易做出各种类型的改进或变形,而不仅限于本发明上述具体实施方式所描述的方法,因此前面描述的方式只是优选的,而并不具有限制性的意义。
Claims (10)
1.一种实现内外网物理隔断的方法,其特征在于:所述方法是在外网设置第一物理隔断设备,在内网设置第二物理隔断设备,通过所述第一物理隔断设备和第二物理隔断设备实现内网和外网之间的通信;
所述方法在第一物理隔断设备与第二物理隔断设备之间设有至少一条通用串行总线,通过所述通用串行总线实现第一物理隔断设备与第二物理隔断设备之间的通信。
2.根据权利要求1所述的实现内外网物理隔断的方法,其特征在于:所述第一物理隔断设备与第二物理隔断设备之间的通信包括从外网向内网传输数据的步骤和从内网向外网传输数据的步骤;
其中,所述从外网向内网传输数据的步骤包括:
(A1)从外网的数据库服务器传输来的数据通过外网交换机后在第一物理隔断设备内进行缓存;
(A2)第一物理隔断设备对接收到的数据进行处理;
(A3)通过所述通用串行总线将处理后的数据传输到第二物理隔断设备上;
(A4)第二物理隔断设备对接收到的数据进行重新整理后,将整理后的数据通过内网交换机传输到内网的数据库服务器上。
所述从内网向外网传输数据的步骤包括:
(B1)从内网的数据库服务器传输来的数据通过内网交换机后在第二物理隔断设备内进行缓存;
(B2)第二物理隔断设备对接收到的数据进行处理;
(B3)通过所述通用串行总线将处理后的数据传输到第一物理隔断设备上;
(B4)第一物理隔断设备对接收到的数据进行重新整理后,将整理后的数据通过内网交换机传输到内网的数据库服务器上。
3.根据权利要求2所述的实现内外网物理隔断的方法,其特征在于:所述步骤(A2)和步骤(B2)中的所述对接收到的数据进行处理是这样实现的:将数据进行拆分,分成数据包,并对各个数据包进行编号,然后对各个数据包内的数据进行加密。
4.根据权利要求2所述的实现内外网物理隔断的方法,其特征在于:所述步骤(A4)和步骤(B4)中的所述对接收到的数据进行重新整理是这样实现的:对接收到的数据包内的数据进行解密,然后按照编号将各个数据包进行组装,重新生成数据。
5.根据权利要求2所述的实现内外网物理隔断的方法,其特征在于:所述方法在第一物理隔断设备上设有第一数据传送模块,在第二物理隔断上设有第二数据传送模块;
所述第一数据传送模块与第二数据传送模块之间传送数据采用的底层协议是串行总线协议,采用的应用层协议是模块自定义的传输协议。
6.根据权利要求5所述的实现内外网物理隔断的方法,其特征在于:所述自定义的传输协议被分别封装在第一数据传送模块与第二数据传送模块内部的。
7.根据权利要求6所述的实现内外网物理隔断的方法,其特征在于:在第一数据传送模块和第二数据传送模块上均采用AES对数据进行加密。
8.根据权利要求7所述的实现内外网物理隔断的方法,其特征在于:所述方法在所述第一数据传送模块上设有各种数据库服务的驱动和接口,能够根据外网使用的数据库服务器的类型进行配置以对数据库服务器进行连接;用户能够根据外网应用的数据字典配置需要传送的数据内容。
9.根据权利要求1至8任一所述的实现内外网物理隔断的方法,其特征在于:所述方法采用的通用串行总线是USB2.0。
10.根据权利要求9所述的实现内外网物理隔断的方法,其特征在于:所述方法采用计算机或工控机作为所述第一物理隔断设备和第二物理隔断设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013101660080A CN103209191A (zh) | 2013-05-08 | 2013-05-08 | 一种实现内外网物理隔断的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013101660080A CN103209191A (zh) | 2013-05-08 | 2013-05-08 | 一种实现内外网物理隔断的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103209191A true CN103209191A (zh) | 2013-07-17 |
Family
ID=48756275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013101660080A Pending CN103209191A (zh) | 2013-05-08 | 2013-05-08 | 一种实现内外网物理隔断的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103209191A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065658A (zh) * | 2014-06-26 | 2014-09-24 | 北京思特奇信息技术股份有限公司 | 一种多级数据传输方法及系统 |
| CN104539745A (zh) * | 2014-11-27 | 2015-04-22 | 苏州市公安局交通巡逻警察支队 | 一种非机动车管理系统 |
| CN104967760A (zh) * | 2014-10-17 | 2015-10-07 | 北京宇航系统工程研究所 | 一种在物理隔离网络间自动摆渡运行的数字传真系统 |
| CN105208043A (zh) * | 2015-10-13 | 2015-12-30 | 网易(杭州)网络有限公司 | 外网代理模块、内网代理模块、数据传输方法及系统 |
| CN106027560A (zh) * | 2016-07-06 | 2016-10-12 | 连山管控(北京)信息技术有限公司 | 一种面向智能终端的安全传输方法及系统 |
| CN106992987A (zh) * | 2017-04-15 | 2017-07-28 | 北京科罗菲特科技有限公司 | 一种基于usb的信息传输设备及方法 |
| CN110086816A (zh) * | 2019-04-30 | 2019-08-02 | 广东电网有限责任公司 | 一种内外网交换平台环境下的数据处理方法 |
| CN112468571A (zh) * | 2020-11-24 | 2021-03-09 | 中国联合网络通信集团有限公司 | 内外网数据同步方法、装置、电子设备及存储介质 |
| CN114124416A (zh) * | 2020-08-24 | 2022-03-01 | 中国航天系统工程有限公司 | 一种网络之间数据快速交换系统及交换方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1350242A (zh) * | 2001-12-03 | 2002-05-22 | 复旦大学 | 信息桥网络安全隔离装置 |
| CN101986638A (zh) * | 2010-09-16 | 2011-03-16 | 珠海市鸿瑞软件技术有限公司 | 千兆单向型网络隔离装置 |
| CN202424770U (zh) * | 2011-12-08 | 2012-09-05 | 杭州翼鹏科技有限公司 | 一种网络数据安全隔离器 |
| CN203301525U (zh) * | 2013-05-27 | 2013-11-20 | 云南电力试验研究院(集团)有限公司电力研究院 | 一种信息桥网络安全隔离器 |
-
2013
- 2013-05-08 CN CN2013101660080A patent/CN103209191A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1350242A (zh) * | 2001-12-03 | 2002-05-22 | 复旦大学 | 信息桥网络安全隔离装置 |
| CN101986638A (zh) * | 2010-09-16 | 2011-03-16 | 珠海市鸿瑞软件技术有限公司 | 千兆单向型网络隔离装置 |
| CN202424770U (zh) * | 2011-12-08 | 2012-09-05 | 杭州翼鹏科技有限公司 | 一种网络数据安全隔离器 |
| CN203301525U (zh) * | 2013-05-27 | 2013-11-20 | 云南电力试验研究院(集团)有限公司电力研究院 | 一种信息桥网络安全隔离器 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065658B (zh) * | 2014-06-26 | 2017-09-12 | 北京思特奇信息技术股份有限公司 | 一种多级数据传输方法及系统 |
| CN104065658A (zh) * | 2014-06-26 | 2014-09-24 | 北京思特奇信息技术股份有限公司 | 一种多级数据传输方法及系统 |
| CN104967760A (zh) * | 2014-10-17 | 2015-10-07 | 北京宇航系统工程研究所 | 一种在物理隔离网络间自动摆渡运行的数字传真系统 |
| CN104967760B (zh) * | 2014-10-17 | 2018-07-06 | 北京宇航系统工程研究所 | 一种在物理隔离网络间自动摆渡运行的数字传真系统 |
| CN104539745A (zh) * | 2014-11-27 | 2015-04-22 | 苏州市公安局交通巡逻警察支队 | 一种非机动车管理系统 |
| CN105208043A (zh) * | 2015-10-13 | 2015-12-30 | 网易(杭州)网络有限公司 | 外网代理模块、内网代理模块、数据传输方法及系统 |
| CN105208043B (zh) * | 2015-10-13 | 2019-02-12 | 网易(杭州)网络有限公司 | 外网代理模块、内网代理模块、数据传输方法及系统 |
| CN106027560A (zh) * | 2016-07-06 | 2016-10-12 | 连山管控(北京)信息技术有限公司 | 一种面向智能终端的安全传输方法及系统 |
| CN106992987A (zh) * | 2017-04-15 | 2017-07-28 | 北京科罗菲特科技有限公司 | 一种基于usb的信息传输设备及方法 |
| CN110086816A (zh) * | 2019-04-30 | 2019-08-02 | 广东电网有限责任公司 | 一种内外网交换平台环境下的数据处理方法 |
| CN114124416A (zh) * | 2020-08-24 | 2022-03-01 | 中国航天系统工程有限公司 | 一种网络之间数据快速交换系统及交换方法 |
| CN114124416B (zh) * | 2020-08-24 | 2024-03-08 | 中国航天系统工程有限公司 | 一种网络之间数据快速交换系统及交换方法 |
| CN112468571A (zh) * | 2020-11-24 | 2021-03-09 | 中国联合网络通信集团有限公司 | 内外网数据同步方法、装置、电子设备及存储介质 |
| CN112468571B (zh) * | 2020-11-24 | 2022-02-01 | 中国联合网络通信集团有限公司 | 内外网数据同步方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103209191A (zh) | 一种实现内外网物理隔断的方法 | |
| CN103237036A (zh) | 一种实现内外网物理隔断的装置 | |
| EP3603001B1 (en) | Hardware-accelerated payload filtering in secure communication | |
| CN109842585B (zh) | 面向工业嵌入式系统的网络信息安全防护单元和防护方法 | |
| CN104683352B (zh) | 一种具有双通道摆渡的工业通讯隔离网闸 | |
| EP3206356B1 (en) | Controlling transmission security of industrial communications flow in a sdn architecture | |
| EP3525392A1 (en) | Security plugin for a system-on-a-chip platform | |
| US20210209280A1 (en) | Secure one-way network gateway | |
| CN104601550B (zh) | 基于集群阵列的反向隔离文件传输系统及其方法 | |
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| CN202424770U (zh) | 一种网络数据安全隔离器 | |
| WO2014173365A1 (zh) | Ftp的应用层报文过滤方法及装置、计算机存储介质 | |
| US20200128042A1 (en) | Communication method and apparatus for an industrial control system | |
| CN106330973B (zh) | 一种基于黑白名单的数据安全交换方法 | |
| CN109218308A (zh) | 一种基于智能网卡的数据高速安全交换方法 | |
| CN108322484A (zh) | 一种工控数据摆渡系统 | |
| CN106992987A (zh) | 一种基于usb的信息传输设备及方法 | |
| EP2940965B1 (en) | Time-locked network and nodes for exchanging secure data packets | |
| CN112804265B (zh) | 一种单向网闸接口电路、方法及可读存储介质 | |
| JP2003152806A (ja) | 通信路のスイッチ接続制御システム | |
| EP4170971A1 (en) | End point secured network | |
| CN114553577A (zh) | 一种基于多主机双隔离保密架构的网络交互系统及方法 | |
| CN109040790A (zh) | 数据加解密方法、装置及电子设备 | |
| JP7436072B1 (ja) | ネットワーク接続コンピュータのセキュリティシステム及びセキュリティ方法 | |
| Liu et al. | A Secure and Efficient USB-based In-band Communication Interface between Host and BMC |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130717 |