CN106302360A - 信息在不同网络间单向传输的方法 - Google Patents

Abstract

本发明公开一种基于硬件实现信息在不同网络间单向传输的方法，包括收集服务和单向传输装置，其中所述单向传输装置包括发送装置、接收装置和连接发送装置和接收装置的装置，其特征在于，所述发送装置接入了信息源所在的网络，所述接收装置接入了信息需要流入的网络；在用户进行单向信息传输时，将欲传输的信息发送给所述收集服务；所述收集服务将收到的欲传输信息交给所述发送装置发送；所述发送装置经过所述连接装置，将来自所述收集服务的欲传输信息发送给所述接收装置。为防止无确认的单向传输机制造成信息丢失，本发明还公开了一种防止信息丢失的流量整形算法和一种使用专用硬件传递确认信息的方法。

Description

信息在不同网络间单向传输的方法

技术领域

本发明涉及网络安全领域，特别涉及一种从硬件上保证信息只能在不同网络间单向传输的方法。

背景技术

一些对安全有要求的组织经常需要在不同安全等级的网络间进行单向信息传输，比如组织内人员从互联网上下载资料，并存放到内部网使用，或组织外人员将交流文档上传到组织的内部局域网。

当前一般采取一次性刻录光盘的方式实现此种单向信息传输，但这给用户带来了很大的不便，且长期而言，光盘的消耗成本很高。

还有一些方法通过可信的软件系统来实现信息的单向传输。比如设置一个同时连接内部网和互联网的主机，用户将待单向传输信息发送给此主机，由此主机再将此待传输信息发送到内部网上。这种方式的缺点是：当该主机不可信(如遭受到攻击，或者软件系统本身就不可信)时，内部网的信息就可能通过此主机传输到互联网上。

发明内容

针对以上问题，本发明提出一种利用单向传输硬件实现信息在不同网络间单向传输的方法，从而无需假设相关软件的可信性，也能保证信息传输的单向性。

本发明提出一种实现信息在不同网络间单向传输的方法，包括收集服务和单向传输装置，其中所述单向传输装置包括发送装置、接收装置和连接装置，其特征在于，

(1)所述连接装置将所述发送装置和所述接收装置连接起来；

(2)所述发送装置在物理上不具备从所述连接装置接收数据的能力，或所述接收装置在物理上不具备通过所述连接装置发送数据的能力，或所述连接装置从硬件上不支持将所述接收装置上的信息发送给所述发送装置；

(3)所述发送装置接入了信息源所在的网络，所述接收装置接入了信息需要流入的网络；

(4)在用户进行单向信息传输时，将欲传输的信息发送给所述收集服务；

(5)所述收集服务将收到的欲传输信息交给所述发送装置发送；

(6)所述发送装置经过所述连接装置，将来自所述收集服务的欲传输信息发送给所述接收装置。

由于所述单向传输装置的数据处理带宽有限，当其输入带宽高于其能处理的带宽时，所述收集服务可能无法立刻满足用户的某些数据单向传输请求。此时所述收集服务可以选择拒绝或推迟响应部分数据单向传输请求(此时会造成用户必须反复尝试提交待传输信息，或者等待所述收集服务认可了数据单向传输请求)，也可以选择先将待单向传输的信息缓冲在存储设备中，并报告用户传输请求已经被认可，然后在所述单向传输装置空闲时，再传输缓冲在存储设备中的待单向传输信息。

在本发明中，可以有多种方法实现对待单向传输信息的缓冲，比如：

方法1：以用户不可见的方式缓冲待单向传输信息

所述收集服务包含存储模块、接收子服务、发送子服务；所述接收子服务接收来自于网络的、发送给所述收集服务的信息，并将这些信息写入所述存储模块；所述发送子服务从所述存储模块获取待传输信息，并将这些信息交给所述发送模块发送。

此时，所述发送子服务可以采取轮询的方式获知所述存储模块中新放入了待传输的信息，也可以采取“所述接收子服务唤醒”的方式获知所述存储模块中新放入了待传输的信息。

方法2：要求用户主动缓冲待单向传输信息

所述收集服务包括存储子服务和发送子服务；用户直接将待单向传输的信息发送给此存储子服务，由此存储子服务进行待单向传输信息的缓冲；所述发送子服务从所述存储子服务获得待传输信息，并将这些信息交给所述发送模块发送。

此时，所述发送子服务可以采用如下任意一种方式获知有新的待传输信息：

a)轮询所述存储子服务；

b)所述存储子服务在缓冲了信息后，通知所述发送子服务；

c)用户在确认所述存储子服务完成数据缓冲后，通知所述发送子服务。

当所述发送装置的数据输出带宽高于所述接收装置所能处理的最大数据输入带宽时，可能会发生“所述发送装置发送了信息、但所述接收装置并未能成功处理该信息、并造成数据丢失”的情况。本发明提出两种方法解决此问题。

方法1：采用“流量整形算法”(或流量限制算法)限制数据输出带宽

此时，先测试所述单向传输装置在目标应用场景下、数据传输带宽的最大稳态值，以此值为基础，决定所述收集服务所实际使用的最大单向数据传输带宽。所述收集服务采取流量整形算法(如漏桶算法)来防止所述接收装置因输入数据带宽过大而丢失数据。

方法2：采用“停止等待协议”限制数据输出带宽

此时，本方法包含一个反馈装置。有两种方式运行此“停止等待协议”：

方式a：“停止等待协议”涉及的两个对等实体是所述发送装置和所述接收装置

此方式中，所述发送装置可访问所述反馈装置的输出端，所述接收装置可访问所述反馈装置的输入端；当所述接收装置完成一次数据接收后，向所述反馈装置的输入端发送“接收完成”信号；所述发送装置在获知所述反馈装置指示“已收到所述接收装置发出的接收完成信号”后，认为上一次启动的信息传输操作已完成。

方式b：“停止等待协议”涉及的两个对等实体是所述接收装置和所述收集服务

此方式中，所述收集服务可访问所述反馈装置的输出端，所述接收模块可访问所述反馈装置的输入端；当所述接收装置完成一次数据接收后，向所述反馈装置的输入端发送“接收完成”信号；所述收集服务在获知所述反馈装置指示“已收到所述接收装置发出的接收完成信号”后，认为上一次启动的信息传输操作已完成。

无论是方式a还是方式b，在实现上，都可以基于串口通信协议来实现所述反馈装置。此时，所述反馈装置包含串口发送模块、串口接收模块和连接所述串口发送模块与所述串口接收模块的串口连接线；所述串口发送模块的输入为所述反馈装置的输入端；所述串口接收模块的输出为所述反馈装置的输出端。

更简单地，无论是方式a还是方式b，所述反馈装置也可以用一根(或两根——当采用差分方式传递信息时)电平线实现。当所述收集服务(当所述收集服务监测所述反馈装置的状态时)或所述发送装置(当所述发送装置监测所述反馈装置的状态时)监测到电平线的电位由高电位改为低电位、或由低电位改为高电位，就认为所述反馈装置指示“已收到所述接收装置发出的接收完成信号”。

最后，有三种方法来构建本发明所述的单向传输装置：

方法1：去除不必要的数据传输通路

此方法可用于基于RS-422协议、SPI协议、以太网、光纤网等传统上通信双方之间存在发送和接收两条信息传送通路的场合。方法1通过去除一个信息传送通路，来实现信息只能单向流动。以基于RS-422协议构建的单向传输装置为例来说明，此时所述发送装置和所述接收装置可以均实现了RS-422的相关协议，但连接所述发送装置和所述接收装置之间的信号线只包含发送通道和接收通道之一。

方法2：去除或禁用相关数据传送功能模块

可以采取定制硬件(如FPGA)来构建所述发送装置，使得所述发送装置不具备信息接收功能，或者采取定制硬件(如FPGA)来构建所述接收装置，使得所述接收装置不具备信息发送功能。还可以采取通过对所述发送装置或所述接收装置在硬件上配置的方式，禁止这些装置上的软件启用不必要的功能。

方法3：在数据传输通路上增添数据流过滤器

还有一种方式是在传统的双工通信链路中添加上过滤硬件，并通过此过滤硬件保证此双工通信链路上只能单向传输信息，比如在USB连接线上加入具有识别USB请求的过滤器，由这个过滤器来保证不符合信息流动方向要求的USB请求不会被对方收到。

本发明所述方法的最大优点是：无需假设发送装置上的软件和接收装置上的软件是可信的，从而具有最大限度的安全性保证。

附图说明

图1为采用本发明实施方式1与变种4的结合时，单向传输装置的组成结构图。当处理器中具有持久存储和临时存储能力时，可以没有图中虚线指示的ROM和RAM。其中单片机A上运行一个网络存储服务(如SAMBA服务)和文件转发服务。用户借助SAMBA服务，将待单向传输的文件存放到单片机A的磁盘上；单片机A的文件转发服务监视SAMBA服务的运行情况，当发现有新文件被放入后，将新放入的文件通过内部网络接口AI发送给单片机B；单片机A和单片机B通过100Base-T网络线直连，且该直连网线内部只有两根信号线，一根信号线将网卡AI的TX+引脚与网卡BI的RX+引脚连接起来，另外一根信号线将网卡AI的TX-引脚与网卡BI的RX-引脚连接起来；单片机B在接收到来自接口BI的文件后，将文件存放在单片机B的磁盘上；单片机B上还可以运行网络存储服务(如SAMBA服务)，供可信网络用户访问存放于其上的文件。

图2为本发明实施方式1结合变种1使用时，单片机A的报文转发服务的处理流程。

具体实施方式

本发明有多种实施方式。

实施方式1：适用于在偶尔在两个网络之间传输少量数据。

此时，可以在单向信息传输设备中集成收集服务的功能，从而节省部署成本。此单向信息传输设备外部具有两个网络接口，一个网络接口用来连接不可信网络，一个网络接口用来连接可信网络，单向信息传输设备的功能是将来自不可信网络上的报文传输到可信网络，但从硬件上禁止可信网络上的信息被传输到不可信网络上。

这个单向信息传输设备的内部包含了两个单片机，下文将这两个单片机分别称为单片机A和单片机B，其中，

单片机A的配置为：

AO网卡：绑定一个不可信网络的IP地址，用来连接不可信网络，对应单向信息传输设备连接不可信网络的网络接口；

AI网卡；绑定一个本单向信息传输设备的内部IP地址，用来连接单片机B；

存储器：用来缓存数据。

单片机B的配置为：

BI网卡：绑定一个本单向信息传输设备的内部IP地址，用来与单片机A的AI网卡相连；

BO网卡：绑定一个可信网络的IP地址，用来连接可信网络，对应单向信息传输设备连接可信网络的网络接口；

存储器：用来缓存数据；

磁盘：用来持久存储被单向传输的数据。

网卡AI和网卡BI之间的100Base-T网络连线只有一组数据发送线，即：仅支持从网卡AI发送数据到网卡BI，而没有反方向传输所需要的信号线。

单片机A上运行一个报文转发服务，该服务等待来自网络的TCP连接请求，其处理流程包括如下步骤：

RELAY1等待其它进程与自己建立TCP连接；

RELAY2阻塞式接收TCP数据；

RELAY3若发现TCP连接已被关闭，则转到步骤RELAY1,否则继续执行；

RELAY4接收报文TCP报文first_msg，将其解析为<header,msg>的拼接，其中header为本次TCP请求的请求头header，msg为first_msg中请求头header之后的部分；

RELAY5通过网络接口AI，将header以UDP方式，发送给单片机B；

RELAY6通过网络接口AI，把msg以UDP方式，发送给单片机B；

RELAY7阻塞式接收TCP数据；

RELAY8若发现TCP连接已被关闭，则转到步骤RELAY1,否则继续执行；

RELAY9接收报文TCP报文msg；

RELAY10转到步骤RELAY6。

单片机B上运行一个网络存储服务和文件访问服务，其网络存储服务执行包含如下步骤的流程：

STORE1接收来自网络接口BI的UDP报文header；

STORE2将header解析为被传递信息的元信息(如传输人、传输时间、存储目录、信息长度等)；

STORE3根据步骤STORE2获得的元信息，在本地磁盘创建相应文件rfile；

STORE4令临时变量left的值为步骤STORE2获得的元信息中的信息长度；

STORE5若left变量不大于0时，则转到步骤STORE10，否则继续执行；

STORE6接收来自网络接口BI的UDP报文content；

STORE7将content追加到文件rfile中；

STORE8left←left-size,其中size为content所包含的字节数；

STORE9转到步骤STORE5；

STORE10关闭文件rfile；

STORE11转到步骤STORE1；

单片机B上的文件访问服务允许可信网络上的用户访问已存储在单片机B内部磁盘上的文件。

直接与单片机A通信的不可信网络上的软件(可以是用户的客户端软件，也可以是某个网络服务器)使用包含如下步骤的流程，向单片机A提交待传输的文件：

PUT1与单片机A建立TCP连接；

PUT2发送待传递文件的元信息(如传输人、存储目录、信息长度等)；

PUT3发送待传输的文件内容；

PUT4关闭TCP连接。

变种1：基于流量整形算法的突发式传输大量数据

在用户一次性输入大量数据时，实施方式1可能会因接收装置工作速度较慢，而丢失部分用户数据。可采用本变种来解决此问题。此时，预先测量单向传输装置在稳定工作时所能提供的最大传输带宽，并测量其内部所支持的最大突发数据量，由此确定所述单向传输装置每单位时间(下述流程中假设此单位时间为1毫秒)正常处理的数据量QUOTA，以及该单向数据传输装置可以处理的最大突发数据量BURST。以实施方式1中单片机A的报文转发服务为例来说明流量整形或者说速率限制的使用方法，此时报文转发服务在启动后，将变量burst设置为BURST,将变量last_time设置为当前时间，然后执行包括如下步骤的流程：

RELAY1等待其它进程与自己建立TCP连接；

RELAY2阻塞式接收TCP数据；

RELAY3若发现TCP连接已被关闭，则转到步骤RELAY1,否则继续执行；

RELAY4接收报文TCP报文first_msg，将其解析为<header,msg>的拼接，其中header为本次TCP请求的请求头header，msg为first_msg中请求头header之后的部分；

RELAY5执行refill子流程；

RELAY6若burst大于length1(length1为header的长度)，则转到步骤RELAY7，否则转到步骤RELAY5；

RELAY7burst←burst-length1；

RELAY8通过网络接口AI，将header以UDP方式，发送给单片机B；

RELAY9执行refill子流程；

RELAY10nsent←min{burst,mlen}，其中mlen为msg中剩余的待传输字节数；

RELAY11通过网络接口AI，以UDP方式将msg中的nsent个字节发送给单片机B,获得实际发送成功的字节数rsent；

RELAY12burst←burst-rsent,mlen←mlen-rsent；

RELAY13若mlen大于0，则转到步骤RELAY9，否则继续执行；

RELAY14阻塞式接收TCP数据；

RELAY15若发现TCP连接已被关闭，则转到步骤RELAY1,否则继续执行；

RELAY16接收报文TCP报文msg；

RELAY17转到步骤RELAY9；

其中，refill子流程包括如下步骤：

REFILL1current_time←当前时间；

REFILL2若current_time不早于last_time之后的1毫秒，则执行步骤REFILL3，否则执行步骤REFILL4；

REFILL3last_time←current_time,burst←min{burst+QUOTA,BURST}；

REFILL4返回主流程

需要指出的是，以上流量整形算法即可以由所述收集服务在向所述发送装置发送数据时执行，也可以由所述发送装置在向所述接收装置发送数据时执行。

变种2：基于停止等待协议的突发式传输大量数据

防止数据丢失的另外一种方式是引入确认信号，从而实现停止等待协议。从某种程度说，这破坏了信息传输的单向性，因攻击者可以利用的信息传输带宽十分受限，部分用户也可以接收此变种。

最简单的应用停止等待协议的方法是：在共享电源的发送装置和接收装置之间使用一根信号线来传递高低电位，通过此信号线高低电平变化来传递停止信号。比如对于实施方式1而言，可以使用一根信号线将单片机A和单片机B的GPIO引脚相连，单片机B使用此GPIO引脚作为输出，而单片机A使用此引脚作为输入。

变种3：用户自行缓存的方式

实施方式1的缺点是一次只能有一个用户使用单向传输装置，不方便多个用户共享使用，为此可以采取要求用户将文件存放在不可信网络的一个文件服务器上，由所述收集服务自行从此文件服务器上获取文件，并将其传输到所述接收装置。

结合实施方式1来说，一种比较简单的实施方式是：单片机A上有一个文件转发服务和文件状态监听服务(而没有报文转发服务)；文件状态监听服务与前述不可信网络上的文件服务器建立TCP连接；前述文件服务器将新放入的文件信息通过前述TCP连接，传送至单片机A上的文件状态监听服务；单片机A上的文件状态监听服务在获知有新的待传输文件时，通知单片机A上的文件转发服务从文件服务器读取待传输的文件，并通过AI网络接口，将此文件内容发送至单片机B。

单片机A也可以采用诸如定时轮询等方式来获知有新的待传输文件。

单片机A也可以由一个服务来实现对文件状态的监听和转发。

变种4：对用户透明缓存的方式

变种3的一个缺点是需要在不可信网络上部署一个专门的网络服务器来存放待传输文件，用户使用起来不是很方便。为此，还可以令单向数据传输装置具有文件缓冲功能。结合实施方式1来说，一种实施方式是：令单片机A内部接有磁盘，且在单片机A上运行文件存储服务(如samba服务或NFS服务等)，此服务接收用户的欲传输文件，并将其保存在磁盘中。单片机A中的其它相关服务则负责从磁盘或内存中获得待传输文件，并通过AI网络接口，将文件内容发送至单片机B。

变种5：纯网络转发

本发明方法并未限制所述接收装置内部一定要有磁盘，在实际使用时，可以基于单向数据传输装置，实现纯的网络转发，而不将数据存储到单向数据传输装置中。比如所述接收装置可以在内部实现了通过SMB协议访问samba服务器，它在收到所述发送装置发送的文件后，直接通过SMB协议，将文件存储到samba服务器。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

本发明所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，既可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种实现信息在不同网络间单向传输的方法，包括收集服务和单向传输装置，其中所述单向传输装置包括发送装置、接收装置和连接装置，其特征在于，

(1)所述连接装置将所述发送装置和所述接收装置连接起来；

(2)所述发送装置在物理上不具备从所述连接装置接收数据的能力，或所述接收装置在物理上不具备通过所述连接装置发送数据的能力，或所述连接装置从硬件上不支持将所述接收装置上的信息发送给所述发送装置；

(3)所述发送装置接入了信息源所在的网络，所述接收装置接入了信息需要流入的网络；

(4)在用户进行单向信息传输时，将欲传输的信息发送给所述收集服务；

(5)所述收集服务将收到的欲传输信息交给所述发送装置发送；

(6)所述发送装置经过所述连接装置，将来自所述收集服务的欲传输信息发送给所述接收装置。

2.如权利要求1所述的方法，其特征在于，

(1)所述收集服务包含存储模块、接收子服务、发送子服务；

(2)所述接收子服务接收来自于网络的、发送给所述收集服务的信息，并将这些信息写入所述存储模块；

(3)所述发送子服务从所述存储模块获取待传输信息，并将这些信息交给所述发送模块发送。

3.如权利要求1所述的方法，其特征在于，

(1)所述收集服务包括存储子服务和发送子服务；

(2)所述存储子服务接收并存储来自于网络的、发送给所述收集服务的信息；

(3)所述发送子服务从所述存储子服务获得待传输信息，并将这些信息交给所述发送模块发送。

4.如权利要求1至3所述的任一方法，其特征在于，

(1)预先测定所述单向传输装置在持续传输信息时，数据传输带宽峰值的稳定值；

(2)所述收集服务根据所述稳定值，决定实际使用的单向数据传输最大带宽。

5.如权利要求1至4所述的任一方法，其特征在于，

(1)所述方法包含反馈装置；

(2)所述发送装置可访问所述反馈装置的输出端，所述接收装置可访问所述反馈装置的输入端；

(3)当所述接收装置完成一次数据接收后，向所述反馈装置的输入端发送“接收完成”信号；

(4)所述发送装置在获知所述反馈装置的输出端出现“收到接收完成信号”后，认为上一次启动的信息传输操作已完成。

6.如权利要求1至4所述得任一方法，其特征在于，

(1)所述方法包含反馈装置；

(2)所述收集服务可访问所述反馈装置的输出端，所述接收装置可访问所述反馈装置的输入端；

(3)当所述接收装置完成一次数据接收后，向所述反馈装置的输入端发送“接收完成”信号；

(4)所述收集服务在获知所述反馈装置的输出端指示“已接收到所述接收装置发出的接收完成信号”后，认为上一次启动的信息传输操作已完成。

7.如权利要求1至6所述的任一方法，其特征在于，

(1)所述反馈装置采用串口通信协议实现将输入端数据传送到输出端；

(2)所述反馈装置包含串口发送模块、串口接收模块和连接所述串口发送模块与所述串口接收模块的串口连接线；

(3)所述串口发送模块的输入为所述反馈装置的输入端；

(4)所述串口接收模块的输出为所述反馈装置的输出端。

8.如权利要求1至6所述的任一方法，其特征在于，

(1)所述反馈装置的输出端稳定地直接或查分输出高低电平；

(2)所述反馈装置通过切换输出端所输出的电平状态指示“已接收到所述接收装置发出的接收完成信号”。

9.如权利要求1至4所述的任一方法，其特征在于，

(1)预先测定所述单向传输装置在持续传输信息时，数据传输带宽峰值的稳定值和最大突发传输数据量；

(2)所述收集服务使用流量整形算法，控制单向数据传输的平均带宽和最大突发传输数据量。

10.如权利要求1至4所述的任一方法，其特征在于，

(1)预先测定所述单向传输装置在持续传输信息时，数据传输带宽峰值的稳定值和最大突发传输数据量；

(2)所述发送装置使用流量整形算法，控制单向数据传输的平均带宽和最大突发传输数据量。