CN104836745B - 一种基于单向传输设备的网络层隧道化方法 - Google Patents
一种基于单向传输设备的网络层隧道化方法 Download PDFInfo
- Publication number
- CN104836745B CN104836745B CN201510231058.1A CN201510231058A CN104836745B CN 104836745 B CN104836745 B CN 104836745B CN 201510231058 A CN201510231058 A CN 201510231058A CN 104836745 B CN104836745 B CN 104836745B
- Authority
- CN
- China
- Prior art keywords
- data
- unidirectional transmission
- transmission equipment
- sent
- hsn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于单向传输设备的网络层隧道化方法,实现数据传输的流量控制与整形,以及对数据进行分级管理。本发明通过对单向传输设备进行第一层封装,实现了数据单向发送的流量控制与整形。第二层在第一层的基础上,对数据进行分级管理,保证了重要数据的优先发送。第三层基于组网层次进行封装,在数据安全有效传输的基础上,对上下行单向设备的进行逻辑整合,达到了组网联动和支持大部分应用层通信协议的目的。
Description
技术领域
本发明涉及一种基于单向传输设备的网络层隧道化方法,实现不同密级网络之间数据安全交互的方法,属于通信技术领域。
背景技术
目前,随着科技的发展,国内技术手段越来越多,在用系统、设备、传感器等生成的大量数据需要融合分析,资源整合已成为大趋势。资源整合涉及多个安全域,不同安全域的涉密等级不同。在多个域的互联互通中,高密级重要数据的泄漏可能危及国家安全,或者影响企事业单位的经济利益及个人隐私。所以,如何在不同密级域间安全有效传输数据则成为重中之重。以政府为例,根据《电子政务保密管理指南》规定:按照信息保密的技术要求,涉密网络不能与互联网直接连通;涉密网络与非涉密网络连接时,若非涉密网络与互联网物理隔离,则采用单向传输隔离涉密网络与非涉密网络连接。
在此基础上,国内外多家单位研发出了对应的单向传输设备。但是,很多系统组网并非简单的单向过程,仅使用单向传输设备,无法满足联动协同协作的需求。因为单向设备不能提供双向流的支撑,现有的大部分通信中间件便无法连通,很多通用编程模型也无法使用。这种现象导致的上下行隔离开发模式,给新系统建制、老系统整合改造都增加了很大的难度,影响整体工程的可控度。
同时,当前安全等级防护措施还处在进化完善阶段,这对系统的安全性、可靠性提出了较高的适应性要求。因此,在物理单向传输设备之上进行统一封装,在网络边界附加带外安全策略,能更好满足复杂网络环境下的应用需求。既达到安全防护等级,又面向开发用户提供相对透明的编程使用环境,支持通用的编程模型,有其现实性和必要性。
发明内容
本发明提供一种基于单向传输设备的网络层隧道化方法,实现数据传输的流量控制与整形,以及对数据进行分级管理,提供数据发送的优先级保障功能,同时实现了上下行单向设备的逻辑整合,达到了组网联动和支持大部分应用层通信协议的目的。
一种基于单向传输设备的网络层隧道化方法,包括以下步骤:
步骤一、对单向传输设备进行第一层封装:在数据发送的入口点,采用Tokenbucket算法,选取单桶单速率模型,令每个令牌可承载1Byte数据;根据网络环境的参数要求,初始化令牌桶深度D、当前令牌数C、令牌入桶速率R,在数据发送的入口点进行流量的控制,在流量突发允许范围内反馈当前数据的发送状态;
在数据发送的出口点,采用Leaky bucket算法,选取高频时钟控制方式,以固定的速率进行发送,在出口点进行流量整形,使数据流以平稳的速率到达接收方;在数据接收点,采用动态平衡树链表管理,对接收到的数据包进行快速整合还原,超时的数据包则按既定策略进行处理;
通过第一层封装后,实现了单向传输设备数据传输的流量控制与整形功能;
步骤二、对单向传输设备进行第二层封装:选取三色标记模型,建立分级队列,数据在发送时根据不同的颜色标记进入到不同的待发送分级队列中,进入速率由步骤一中的Token bucket算法控制;按照优先级设置从待发送分级队列中进行轮询,选取数据包进入发送队列,发送速率由步骤一中的Leaky bucket算法控制;待发送队列的长度上限需根据实际情况进行调控,若待发送队列已满,需要发送的数据按既定策略进行处理;
通过第二层封装后,在保证数据单向传输稳定性的同时,又提供了对数据进行分级管理、优先发送的功能。
步骤三、对单向传输设备进行第三层封装:此时需要上下行两台单向传输设备,底层数据的发送接收模块按步骤一、二封装;通过第三层封装后,实现了上下行单向设备的逻辑整合,形成了数据交互的有效通道。
进一步地,所述步骤三中HSN(HIGH SECURITY NETWORK)代表高密级组网,LSN(LOWSECURITY NETWORK)代表低密级组网,现HSN中用户A,需通过单向传输设备访问LSN服务器B中的数据,其交互模式如下:
1)HSN代理程序实现对HSN用户A数据请求的捕获;
2)判断数据请求是否是需要转发,按一定安全规则对数据进行分离删选;
3)通过单向传输设备发送符合条件的数据;
4)LSN代理程序接收单向传输设备发送过来的数据;
5)LSN代理程序检查数据是否符合转发条件;
6)对数据进行重组,根据数据信息建立映射表;
7)将符合条件的数据转发到LSN服务器B;
8)LSN代理程序实现对LSN服务器B返回数据的捕获;
9)根据映射表,将捕获的符合条件数据进行重组;
10)通过单向传输设备将数据发送到HSN;
11)HSN代理程序接收单向传输设备发送过来的数据;
12)HSN代理程序将返回数据发送给HSN用户A。
进一步地,所述的三色标记模型绿黄红三色对应below normal\normal\abovenormal类型数据。
本发明的有益效果:
1、本发明基于token bucket-leaky bucket算法进行综合改进,实现数据传输的流量控制与整形;
2、采用色差标记模型,对数据进行分级管理,提供数据发送的优先级保障功能;
3、基于NAT的网络层隧道化封装,实现了上下行单向设备的逻辑整合,达到了组网联动和支持大部分应用层通信协议(通信中间件)的目的。
4、本发明通过对单向传输设备进行第一层封装,实现了数据单向发送的流量控制与整形。第二层在第一层的基础上,对数据进行分级管理,保证了重要数据的优先发送。第三层基于组网层次进行封装,在数据安全有效传输的基础上,对上下行单向设备的进行逻辑整合,达到了组网联动和支持大部分应用层通信协议的目的。
附图说明
图1为本发明流量控制与整形、优先级保障的原理图;
图2为本发明基于NAT的网络层隧道化的总体流程图;
图3为本发明基于NAT的网络层隧道化的HSN代理流程图;
图4为本发明基于NAT的网络层隧道化的LSN代理流程图。
具体实施方式
现结合附图和实施例详细说明本发明。
图1为本发明流量控制与整形、优先级保障的原理图,本发明的具体实现方式如下:
1、发送方入口采用Token bucket算法,选取单桶单速率模型,每个令牌可承载1Byte数据;
2、初始化的令牌桶深度D、当前令牌数C、令牌入桶速率R;
3、要发送的数据选取三色标记模型,绿黄红三色对应below normal\normal\above normal类型数据;
4、数据根据不同的颜色标记进入到不同的待发送分级队列中,每次进入消耗同数据大小的令牌数,进入速率由Token bucket算法控制;
5、按照优先级设置从待发送分级队列中选取数据包进入发送队列,发送速率由Leaky bucket算法控制。
图2为本发明基于NAT的网络层隧道化的总体流程图,具体实现方式如下:
1、HSN代表高密级组网,LSN代表低密级组网。
2、红色IP代表HSN网段,蓝色IP代表LSN网段;HSN和LSN通过HSN代理服务器、LSN代理服务器、单向传输设备相连接;黑色IP代表单向传输配置网段。
3、代理程序主要分为三部分:HSN代理程序、LSN代理程序、单向传输发送-接收API。
4、HSN代理程序部署在HSN代理服务器上,LSN代理程序部署在LSN代理服务器上。
5、在此组网模式下,HSN用户可在通用编程模型下访问LSN服务器上部署的应用层通信服务,如WinSocket、HTTP、WebService服务等。
图3为本发明基于NAT的网络层隧道化的HSN代理流程图,具体实现方式如下:
1、线程ThreadDownwardCapture捕获网卡A(192.168.101.114)上满足条件的数据(基于WinPcap的函数包,过滤条件设置在网卡层),投入一个队列QA。
2、线程ThreadDownwardUnidirectionS处理队列QA的捕获数据,对每一个数据检查目的IP是否为满足要求的外网IP,按设定规则进行过滤。调用单向传输发送API将捕获的数据包从网卡B(172.168.112.114)进行发送。
3、线程ThreadUpwardRecv调用单向传输接收API从网卡C(172.168.113.114)接收数据包,投入一个队列QB。
4、线程ThreadUpwardTrans处理队列QB的数据,对数据包进行判断后通过网卡A(172.168.101.114)进行转发。
图4为本发明基于NAT的网络层隧道化的LSN代理流程图,具体实现方式如下:
1、线程ThreadDownwardRecv调用单向传输接收API从网卡E(172.168.112.113)接收数据包,投入一个队列QC。
2、线程ThreadDownwardTrans处理队列QC的捕获数据,对每一个数据检查目的IP是否为满足要求LSNIP。对源IP-Port进行哈希,检查哈希值是否在table1中。若不在,建立PortInner_PortHash的对应项插入表table1中,建立Mac_IP_Port_Map的对应项插入表table2中;若在,查找对应项。将Mac帧数据中的源Mac地址、源Ip地址替换为网卡D(10.36.192.113)的Mac、IP地址,对数据进行重组后,再通过网卡D进行转发。
Table1表结构如下:
| 名称 | 类型 | 说明 | 备注 |
| srcIPPortHash | USHORT | IP端口哈希值 | |
| srcPortChange | USHORT | 替换后的端口 |
Table2表结构如下:
| 名称 | 类型 | 说明 | 备注 |
| srcMac[6] | Unsigned char | 源Mac地址 | |
| srcIp | In_addr | 源Ip | |
| srcPort | USHORT | 源端口 | |
| srcIPPortHash | ULONG | IP端口哈希值 | |
| srcPortChange | USHORT | 替换后端口 | |
| dstMac[6] | Unsigned char | 目的Mac地址 | |
| dstIp | In_addr | 目的Ip | |
| dstPort | USHORT | 目的端口 |
3、线程ThreadUpwardCapture捕获网卡D(10.36.192.113)上满足条件的数据(设置数据捕获的条件),投入一个队列QD。
4、线程ThreadUpwardUnidirectionS处理队列QD中的捕获数据。判断数据包的目的端口是否在表Table2中,若不在,丢弃。若在,比较源Ip地址和Table2中对应项的目的Ip是否一致。不符合,丢弃;符合的话替换目的Mac、目的Ip、目的端口(Table2中对应项的源Mac、源IP、源端口)。调用单向传输发送API对重组后的数据进行发送(网卡F)。
5、线程ThreadCheckNum专门检查Table2-Table1中行记录条数,清理过期的映射关系。
安全策略为:
1、控制约束高密级组网向低密级组网的访问,约束能够访问的IP、PORT范围,约束访问协议的类型;
2、控制约束高密级组网向低密级组网的数据发送量,限制高-低的消息报文长度,对同一连接内高-低出去的数据量做控制;
3、不允许低密级组网向高密级组网主动发起数据访问;
4、网络边界上可以进行旁路审计,触发约束条件后实行告警提醒,阻断数据的继续传送;
5、防护恶意连接。
Claims (2)
1.一种基于单向传输设备的网络层隧道化方法,其特征在于,包括以下步骤:
步骤一、对单向传输设备进行第一层封装:在数据发送的入口点,采用Token bucket算法,选取单桶单速率模型,令每个令牌可承载1Byte数据;根据网络环境的参数要求,初始化令牌桶深度D、当前令牌数C、令牌入桶速率R,在数据发送的入口点进行流量的控制,在流量突发允许范围内反馈当前数据的发送状态;
在数据发送的出口点,采用Leaky bucket算法,选取高频时钟控制方式,以固定的速率进行发送,在出口点进行流量整形,使数据流以平稳的速率到达接收方;在数据接收点,采用动态平衡树链表管理,对接收到的数据包进行快速整合还原,超时的数据包则按既定策略进行处理;
通过第一层封装后,实现了单向传输设备数据传输的流量控制与整形功能;
步骤二、对单向传输设备进行第二层封装:选取三色标记模型,建立分级队列,数据在发送时根据不同的颜色标记进入到不同的待发送分级队列中,进入速率由步骤一中的Token bucket算法控制;按照优先级设置从待发送分级队列中进行轮询,选取数据包进入发送队列,发送速率由步骤一中的Leaky bucket算法控制;待发送队列的长度上限需根据实际情况进行调控,若待发送队列已满,需要发送的数据按既定策略进行处理;
通过第二层封装后,在保证数据单向传输稳定性的同时,又提供了对数据进行分级管理、优先发送的功能;
步骤三、对单向传输设备进行第三层封装:此时需要上下行两台单向传输设备,底层数据的发送接收模块按步骤一、二封装;通过第三层封装后,实现了上下行单向设备的逻辑整合,形成了数据交互的有效通道;
进一步地,步骤三中,HSN中用户A,需通过单向传输设备访问LSN服务器B中的数据,其交互模式如下;其中,HSN(HIGH SECURITY NETWORK)代表高密级组网,LSN(LOW SECURITYNETWORK)代表低密级组网;
1)HSN代理程序实现对HSN用户A数据请求的捕获;
2)判断数据请求是否是需要转发,按一定安全规则对数据进行分离筛 选;
3)通过单向传输设备发送符合条件的数据;
4)LSN代理程序接收单向传输设备发送过来的数据;
5)LSN代理程序检查数据是否符合转发条件;
6)对数据进行重组,根据数据信息建立映射表;
7)将符合条件的数据转发到LSN服务器B;
8)LSN代理程序实现对LSN服务器B返回数据的捕获;
9)根据映射表,将捕获的符合条件数据进行重组;
10)通过单向传输设备将数据发送到HSN;
11)HSN代理程序接收单向传输设备发送过来的数据;
12)HSN代理程序将返回数据发送给HSN用户A。
2.如权利要求1所述的一种基于单向传输设备的网络层隧道化方法,其特征在于,进一步地,所述的三色标记模型绿黄红三色对应below normal\normal\above normal类型数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510231058.1A CN104836745B (zh) | 2015-05-08 | 2015-05-08 | 一种基于单向传输设备的网络层隧道化方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510231058.1A CN104836745B (zh) | 2015-05-08 | 2015-05-08 | 一种基于单向传输设备的网络层隧道化方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104836745A CN104836745A (zh) | 2015-08-12 |
| CN104836745B true CN104836745B (zh) | 2017-12-12 |
Family
ID=53814390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510231058.1A Expired - Fee Related CN104836745B (zh) | 2015-05-08 | 2015-05-08 | 一种基于单向传输设备的网络层隧道化方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104836745B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009037466A1 (en) * | 2007-09-19 | 2009-03-26 | British Telecommunications Public Limited Company | Methods and apparatus for providing congestion information |
| CN101741603A (zh) * | 2008-11-11 | 2010-06-16 | 中兴通讯股份有限公司 | 一种基于令牌桶的流量监管方法及设备 |
| CN104348750A (zh) * | 2013-07-31 | 2015-02-11 | 中兴通讯股份有限公司 | OpenFlow网络中QoS的实现方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050044407A1 (en) * | 2003-08-19 | 2005-02-24 | Massachusetts Institute Of Technology | Low-to-high information security protection mechanism |
-
2015
- 2015-05-08 CN CN201510231058.1A patent/CN104836745B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009037466A1 (en) * | 2007-09-19 | 2009-03-26 | British Telecommunications Public Limited Company | Methods and apparatus for providing congestion information |
| CN101741603A (zh) * | 2008-11-11 | 2010-06-16 | 中兴通讯股份有限公司 | 一种基于令牌桶的流量监管方法及设备 |
| CN104348750A (zh) * | 2013-07-31 | 2015-02-11 | 中兴通讯股份有限公司 | OpenFlow网络中QoS的实现方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104836745A (zh) | 2015-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106936709A (zh) | 远程服务访问路径控制方法和相关设备 | |
| CN102821009B (zh) | 基于链路层发现协议监控环形网络的方法和装置 | |
| CN106101015A (zh) | 一种移动互联网流量类别标记方法和系统 | |
| CN107295315A (zh) | 一种网络录像机系统及其实现方法 | |
| CN101741608B (zh) | 一种基于流量特征的p2p应用识别系统及方法 | |
| CN101022394A (zh) | 一种实现虚拟局域网聚合的方法及汇聚交换机 | |
| CN107078972A (zh) | 用于在支持多路径传输控制协议的通信网络中提供服务的装置和方法 | |
| CN103491076B (zh) | 一种网络攻击的防范方法和系统 | |
| CN109818956A (zh) | 一种内外网数据共享系统及方法 | |
| CN103986658B (zh) | 一种报文输出方法及装置 | |
| CN105934897A (zh) | 配置用于d2d通信系统的macpdu的方法及其装置 | |
| CN103338269B (zh) | 一种数据传输方法及装置 | |
| CN102469020A (zh) | 一种业务控制方法及系统、演进基站、分组数据网网关 | |
| CN104734953B (zh) | 基于vlan实现报文二层隔离的方法、装置及交换机 | |
| CN202285423U (zh) | 智能机顶盒 | |
| CN108833430B (zh) | 一种软件定义网络的拓扑保护方法 | |
| CN109672549A (zh) | 管理方法及装置、网关控制面网元、通信系统及存储介质 | |
| CN110120957A (zh) | 一种基于智能评分机制的安全处置数字孪生方法及系统 | |
| CN104660509B (zh) | 一种接入网关中数据报文的转发处理方法 | |
| CN107566218A (zh) | 一种适用于云环境的流量审计方法 | |
| CN101965064A (zh) | 分组数据聚合协议数据的传输方法与装置 | |
| CN104836745B (zh) | 一种基于单向传输设备的网络层隧道化方法 | |
| CN102271331A (zh) | 一种检测业务提供商sp站点可靠性的方法及系统 | |
| CN103475529B (zh) | 一种核心网侧业务面跟踪方法、装置以及业务面跟踪系统 | |
| CN106230723A (zh) | 一种报文转发缓存方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Zhang Ke Inventor after: Yu Bo Inventor after: Qiu Qing Inventor after: Li Hongwei Inventor after: He Guoxi Inventor after: Qiu Jiesong Inventor after: Yuan Jia Inventor after: Gui Song Inventor after: Li Dou Inventor before: Zhang Ke Inventor before: Zhang Lei Inventor before: Gui Song Inventor before: Yu Bo Inventor before: Qiu Qing Inventor before: Li Hongwei Inventor before: Zhang Ju Inventor before: Qiu Jiesong Inventor before: Yuan Jia Inventor before: Li Dou Inventor before: Cheng Bo |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171212 Termination date: 20180508 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |