CN108234506B - 一种单向隔离网闸和数据传输方法 - Google Patents
一种单向隔离网闸和数据传输方法 Download PDFInfo
- Publication number
- CN108234506B CN108234506B CN201810036212.3A CN201810036212A CN108234506B CN 108234506 B CN108234506 B CN 108234506B CN 201810036212 A CN201810036212 A CN 201810036212A CN 108234506 B CN108234506 B CN 108234506B
- Authority
- CN
- China
- Prior art keywords
- data
- network
- isolation
- unidirectional
- examination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 113
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000005540 biological transmission Effects 0.000 title claims abstract description 18
- 238000004891 communication Methods 0.000 claims abstract description 38
- 238000005538 encapsulation Methods 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 25
- 238000012552 review Methods 0.000 claims description 19
- 239000013307 optical fiber Substances 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 10
- 238000007689 inspection Methods 0.000 description 9
- 241000700605 Viruses Species 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000009795 derivation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种单向隔离网闸,包括第一隔离装置、第二隔离装置和数据审查装置,第一隔离装置适于选择与第一网络连通,接收来自第一网络的第一数据,并对第一数据进行协议剥离以得到原始数据;还适于将原始数据转换为第二数据;还适于选择与数据审查装置单向连通,将第二数据单向发送至数据审查装置;数据审查装置适于对第二数据进行审查,若审查通过,则将第二数据发送至第二隔离装置;第二隔离装置适于选择与数据审查装置连通,接收来自数据审查装置的第二数据;还适于将第二数据还原为原始数据;还适于选择与第二网络单向连通,将原始数据进行协议封装以重新得到第一数据,将第一数据单向发送至第二网络。本发明还公开了一种数据传输方法。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种单向隔离网闸和数据传输方法。
背景技术
随着网络通信技术的迅速发展、所承载信息的日益丰富,互联网已成为人类社会重要的基础设施。与此同时,网络病毒入侵和黑客攻击也开始在互联网上泛滥,造成了严重的社会影响和不可估量的经济损失。
即使采用诸如防火墙之类的产品和技术手段也无法阻止病毒入侵和黑客攻击事件的频繁发生。为此,大量的关键网络和核心业务应用网络选择采取完全与互联网(或其他非信任网络)隔离的封闭网络来保障信息和系统安全,并利用网闸或者单向网闸技术来完成互联网与隔离的关键网络和核心业务应用网络(以下统称为封闭网络)之间的信息安全交换。
然而网闸或者单向网闸技术仍存在以下缺陷:网闸和单向网闸本身存在被互联网黑客占领的安全风险。此外,病毒和黑客程序可以被夹带在交换的信息中进入封闭网络,封闭网络中的敏感信息也可能被夹带在交换的信息中进入互联网。
因此,迫切需要一种更先进、安全性更高的单向隔离网闸。
发明内容
为此,本发明提供一种单向隔离网闸和数据传输方法,以力图解决或者至少缓解上面存在的至少一个问题。
根据本发明的一个方面,提供了一种单向隔离网闸,适于从第一网络将数据传输至第二网络,单向隔离网闸包括第一隔离装置、第二隔离装置和数据审查装置,其中第一隔离装置适于选择与第一网络连通,接收来自第一网络的第一数据,并对第一数据进行协议剥离以得到原始数据;还适于将原始数据转换为第二数据;还适于选择与数据审查装置单向连通,将第二数据单向发送至数据审查装置;数据审查装置适于对第二数据进行审查,若审查通过,则将第二数据发送至第二隔离装置;第二隔离装置适于选择与数据审查装置连通,接收来自数据审查装置的第二数据;还适于将第二数据还原为原始数据;还适于选择与第二网络单向连通,将原始数据进行协议封装以重新得到第一数据,将第一数据单向发送至第二网络。
根据本发明的另一方面,提供了一种数据传输方法,适于在单向隔离网闸中执行,单向隔离网闸包括第一隔离装置、第二隔离装置和数据审查装置,方法包括步骤:在第一隔离装置处,选择将第一隔离装置与第一网络连通;接收来自第一网络的第一数据,并对第一数据进行协议剥离以得到原始数据;将原始数据转换为第二数据;选择将第一隔离装置与数据审查装置单向连通;将第二数据单向发送至数据审查装置;在数据审查装置处,对第二数据进行审查,若审查通过,则将第二数据发送至第二隔离装置;在第二隔离装置处,选择将第二隔离装置与数据审查装置连通;接收来自数据审查装置的第二数据;将第二数据还原为原始数据;选择将第二隔离装置与第二网络单向连通;将原始数据进行协议封装以重新得到第一数据,并将第一数据单向发送至第二网络。
根据本发明的单向隔离网闸,包括第一隔离装置、第二隔离装置和数据审查装置,第一隔离装置通过单向光纤与数据审查装置单向连通,第二隔离装置通过单向光纤与第二网络单向连通,保证了信息传输的单向性和数据审查装置的安全性。进一步地,通过数据审查装置对数据的审查、第一隔离装置和第一隔离装置对数据的校验,避免了数据篡改,大大提高了数据传输的规范性和安全性。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明的一个示例性实施方式的单向隔离网闸100的结构框图;
图2示出了根据本发明一个示例性实施方式的第一隔离装置120的结构框图;
图3示出了根据本发明一个示例性实施方式的数据审查装置160的结构框图;
图4示出了根据本发明一个示例性实施方式的第二隔离装置140的结构框图;以及
图5示出了根据本发明一个示例性实施方式的数据传输方法500的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明的一个示例性实施方式的单向隔离网闸100的结构框图。如图1所示,单向隔离网闸100包括第一隔离装置120、第二隔离装置140以及数据审查装置160,并适于从第一网络将数据传输至第二网络。
第一隔离装置120布置在第一网络和数据审查装置160之间,是单向隔离装置,可以分时地与第一网络和数据审查装置160连通,但一个时刻只与一侧网络连接,保持物理隔离。
第一隔离装置120可以选择与第一网络连通(此时与数据审查装置160之间的连接断开),接收来自第一网络的第一数据,并对第一数据进行协议剥离以得到原始数据,再将原始数据转换为第二数据,最后选择与数据审查装置160单向连通(此时与第一网络断开),将第二数据单向发送至数据审查装置160。
图2示出了根据本发明的一个示例性实施方式的第一隔离装置120的结构框图。如图2所示,第一隔离装置120可以包括第一网络处理模块121、第二网络处理模块122和控制模块123。
控制模块123可以利用电子开关选择将第一隔离装置120经由第一网络处理模块121与第一网络连通、还是经由第二网络处理模块122与数据审查装置160单向连通。
首先,控制模块123可以选择将第一隔离装置120与第一网络连通,第一网络处理模块121接收来自第一网络的第一数据,对所接收的第一数据进行协议剥离(通常是TCP/IP协议的剥离),得到原始数据,而后将其发送至控制模块123。控制模块123可以对该原始数据添加校验数据,以得到第二数据。具体地,根据本发明的一个实施方式,在添加校验数据之前,还可以检测原始数据的格式是否为预定格式,若否,则将原始数据的格式转化为预定格式,预定格式通常为xml。根据本发明的另一个实施方式,校验数据至少包括哈希值、序列号和验证码中的一个。其中,哈希值是根据原始数据的内容而生成,序列号是为与原始数据唯一关联而成,验证码是根据预先存储的密钥、以及哈希值和序列号通过预定算法(例如HOTP算法)生成。
而后,控制模块123可以再选择将第一隔离装置120与数据审查装置160单向连通,第二网络处理模块122从控制模块123读取第二数据,将第二数据单向发送至数据审查装置160。其中,第一隔离装置120通过单向光纤与数据审查装置160单向连通。
数据审查装置160可以接收第二数据,并对第二数据进行审查,若审查通过,则将第二数据发送至第二隔离装置140。
图3示出了根据本发明的一个示例性实施方式的数据审查装置160的结构框图。如图3所示,数据审查装置160包括存储模块161和比对模块162。
存储模块161可以存储数据内容标准,数据内容标准定义了第二数据的内容及内容的格式。数据内容标准通常为xsd格式的文件,可用于验证数据的有效性和合法性,包括域值合法性(含数据类型与编码值)。同时,包括序列号、验证码、哈希值的校验数据同样在数据内容标准中描述。
比对模块162可以将接收的第二数据的内容与数据内容标准进行比对,若第二数据的内容不符合该数据内容标准,则审查不通过,拒绝该第二数据通过,同时进行告警。具体地,比对模块162可以判断第二数据中各数据的数据类型与编码值是否符合数据内容标准,以及第二数据中是否包含数据内容标准中描述的校验数据。
以下是一个xsd格式的数据内容标准示例:
以下是一个符合上述数据内容标准的、xml格式的第二数据示例:
根据本发明的一个实施方式,存储模块161还可以存储安全策略,比对模块162还可以将网络数据与安全策略进行比对,若第二数据不满足该安全策略,则审查不通过。其中,安全策略至少可以包括以下中一条:文件格式是否为预定格式;文件大小是否超出大小限制;传输时间是否位于允许时间段;传输频率是否超出单位时间内的数据传输频率限制;数据条数是否超出单位时间内的数据导出条数限制;以及是否包含非法关键字。以上均为是,则确定满足该安全策略,否则为不满足。
而后,数据审查装置160将审查通过(满足安全策略和符合数据内容标准)的第二数据发送至第二隔离装置140。
第二隔离装置140布置在数据审查装置160和第二网络之间,是单向隔离装置,可以分时地与数据审查装置160和第二网络连通,但一个时刻只与一侧网络连接,保持物理隔离。
第二隔离装置140可以选择与数据审查装置160连通(此时与第二网络断开),接收来自数据审查装置160的第二数据。再将第二数据还原为原始数据,最后选择与第二网络单向连通(此时与数据审查装置160的连接断开),将原始数据进行协议封装(通常是TCP/IP协议的封装)以重新得到第一数据,将第一数据单向发送至第二网络。
图4示出了根据本发明的一个示例性实施方式的第二隔离装置140的结构框图。如图4所示,第二隔离装置140可以包括第一网络处理模块141、第二网络处理模块142和控制模块143。
控制模块143可以利用电子开关选择将第二隔离装置140经由第一网络处理模块141与数据审查装置160连通、还是经由第二网络处理模块142与第二网络单向连通。
首先,控制模块143选择将第二隔离装置140与数据审查装置160连通,第一网络处理模块141接收第二数据并对其中的校验数据进行校验,若校验通过则将其发送至控制模块143。具体地,可以根据第二数据中原始数据的内容生成参考哈希值,将该参考哈希值与校验数据中的哈希值进行比对。若比对一致,则哈希值校验通过。还可以根据预先存储的与第一隔离装置120相同的密钥、参考哈希值和校验数据中的序列号通过与第一隔离装置120相同的预定算法生成参考验证码,将该参考验证值与校验数据中的验证值进行比对。若比对一致,则验证码校验通过。哈希值校验通过和验证码校验通过,则确定校验通过。
控制模块143可以接收校验通过的第二数据,删除第二数据中的校验数据,以得到原始数据。而后选择将第二隔离装置140与第二网络单向连通,第二网络处理模块142可以从控制模块140读取原始数据,将原始数据进行协议封装,重新得到第一数据后将其单向发送至第二网络。其中,第二隔离装置140通过单向光纤与第二网络单向连通。
这样就实现了信息从第一网络到第二网络的安全传输,防止了数据篡改,大大提高了数据传输的安全性。其中,第一网络和第二网络分别可以是高密级网络(例如各政府部门的封闭网络)和低密级网络(例如互联网)中的一个,本发明即可以实现低密级网络向高密级网络的信息传输,也可以实现高密级网络向低密级网络的信息传输。
图5示出了根据本发明一个示例性实施方式的数据传输方法500的流程图。数据传输方法500适于在单向隔离网闸100中执行,并始于步骤S510。
在步骤S510中,在第一隔离装置处,选择将第一隔离装置120与第一网络连通。接收来自第一网络的第一数据,并对第一数据进行协议剥离以得到原始数据。而后将原始数据转换为第二数据。最后选择将第一隔离装置120与数据审查装置160单向连通,将第二数据单向发送至数据审查装置160。其中,第一隔离装置120通过单向光纤与数据审查装置160单向连通,将原始数据转换为第二数据的步骤可以包括:对原始数据添加校验数据,以得到第二数据。校验数据可以包括哈希值、序列号和验证码中的至少一个。
而后在步骤S520中,在数据审查装置160处,对第二数据进行审查,若审查通过,则将第二数据发送至第二隔离装置140。具体地,可以将第二数据的内容与预先存储的数据内容标准进行比对,若不符合数据内容标准,则审查不通过。其中,数据内容标准定义第二数据的内容及内容的格式,通常为xsd格式的文件。还可以将第二数据与预先存储的安全策略进行比对,若不满足安全策略,则审查不通过。
最后在步骤S530中,在第二隔离装置140处,选择将第二隔离装置140与数据审查装置160连通,接收来自数据审查装160置的第二数据。而后将第二数据还原为原始数据。选择将第二隔离装置140与第二网络单向连通,将原始数据进行协议封装以重新得到第一数据,并将第一数据单向发送至第二网络。其中,第二隔离装置140通过单向光纤与第二网络单向连通。
以上在结合图1-图4说明单向隔离光闸100的具体描述中已经对各步骤中的相应处理进行了详细解释,这里不再对重复内容进行赘述。
应当理解,这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如软盘、CD-ROM、硬盘驱动器或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被该机器执行时,该机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的该程序代码中的指令,执行本发明的各种方法。
以示例而非限制的方式,计算机可读介质包括计算机存储介质和通信介质。计算机可读介质包括计算机存储介质和通信介质。计算机存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在计算机可读介质的范围之内。
应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
本发明还可以包括:A6、如A4或5所述的单向隔离光闸,其中,所述数据审查装置的存储模块还适于存储安全策略,所述比对模块还适于将所述网络数据与所述安全策略进行比对,若所述第二数据不满足所述安全策略,则审查不通过。A7、如A1-6中任一个所述的单向隔离光闸,其中,所述第一隔离装置通过单向光纤与所述数据审查装置单向连通,所述第二隔离装置通过单向光纤与第二网络单向连通。A8、如A1-7中任一个所述的单向隔离光闸,其中,所述校验数据包括哈希值、序列号和验证码中的至少一个。
B14、如B9-13中任一个所述的方法,其中,所述第一隔离装置通过单向光纤与所述数据审查装置单向连通,所述第二隔离装置通过单向光纤与第二网络单向连通。B15、如B9-14中任一个所述的方法,其中,所述校验数据包括哈希值、序列号和验证码中的至少一个。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (15)
1.一种单向隔离网闸,适于从第一网络将数据传输至第二网络,所述单向隔离网闸包括第一隔离装置、第二隔离装置和数据审查装置,其中
所述第一隔离装置适于利用电子开关选择与第一网络连通,与所述数据审查装置之间的连接断开,接收来自第一网络的第一数据,并对第一数据进行协议剥离以得到原始数据;还适于将原始数据转换为第二数据;还适于利用电子开关选择与所述数据审查装置单向连通,与第一网络的连接断开,将所述第二数据单向发送至所述数据审查装置,所述第一隔离装置与第一网络的连通和与所述数据审查装置的连通是分时的;
所述数据审查装置布置在所述第一隔离装置与所述第二隔离装置之间,并适于对所述第二数据进行审查,若审查通过,则将所述第二数据发送至所述第二隔离装置;
所述第二隔离装置适于利用电子开关选择与所述数据审查装置连通,与第二网络的连接断开,接收来自所述数据审查装置的所述第二数据;还适于将所述第二数据还原为原始数据;还适于利用电子开关选择与第二网络单向连通,与所述数据审查装置的连接断开,将所述原始数据进行协议封装以重新得到所述第一数据,将所述第一数据单向发送至第二网络,所述第二隔离装置与第二网络的连通和与所述数据审查装置的连通是分时的。
2.如权利要求1所述的单向隔离网闸,其中,所述第一隔离装置包括第一网络处理模块、第二网络处理模块和控制模块,
所述控制模块适于利用电子开关选择将所述第一隔离装置经由所述第一网络处理模块与第一网络连通、还是经由所述第二网络处理模块与所述数据审查装置单向连通;
所述第一网络处理模块适于当所述第一隔离装置与第一网络连通时,对所接收的第一数据进行协议剥离,得到所述原始数据后将其发送至所述控制模块;
所述控制模块还适于对原始数据添加校验数据,以得到第二数据;
所述第二网络处理模块适于当所述第一隔离装置与所述数据审查装置单向连通时,从所述控制模块读取所述第二数据,将所述第二数据单向发送至所述数据审查装置。
3.如权利要求1所述的单向隔离网闸,其中,所述第二隔离装置包括第一网络处理模块、第二网络处理模块和控制模块,
所述控制模块适于利用电子开关选择将所述第二隔离装置经由所述第一网络处理模块与所述数据审查装置连通、还是经由所述第二网络处理模块与第二网络单向连通;
所述第一网络处理模块适于当所述第二隔离装置与所述数据审查装置连通时,接收所述第二数据并对其中的校验数据进行校验,若校验通过则将其发送至所述控制模块;
所述控制模块还适于删除第二数据中的所述校验数据,以得到所述原始数据;
所述第二网络处理模块适于当所述第二隔离装置与第二网络单向连通时,从所述控制模块读取所述原始数据,将所述原始数据进行协议封装,重新得到所述第一数据后将其单向发送至第二网络。
4.如权利要求3所述的单向隔离网闸,其中,所述数据审查装置包括:
存储模块,适于存储数据内容标准,所述数据内容标准定义网络数据的内容及内容的格式;
比对模块,适于将所述网络数据的内容与所述数据内容标准进行比对,若所述网络数据的内容不符合所述数据内容标准,则审查不通过。
5.如权利要求4所述的单向隔离网闸,其中,数据格式标准为xsd格式的文件。
6.如权利要求4所述的单向隔离网闸,其中,所述数据审查装置的存储模块还适于存储安全策略,所述比对模块还适于将所述网络数据与所述安全策略进行比对,若所述第二数据不满足所述安全策略,则审查不通过。
7.如权利要求1-6中任一个所述的单向隔离网闸,其中,所述第一隔离装置通过单向光纤与所述数据审查装置单向连通,所述第二隔离装置通过单向光纤与第二网络单向连通。
8.如权利要求2-6中任一个所述的单向隔离网闸,其中,所述校验数据包括哈希值、序列号和验证码中的至少一个。
9.一种数据传输方法,适于在单向隔离网闸中执行,所述单向隔离网闸包括第一隔离装置、第二隔离装置和布置在所述第一隔离装置与所述第二隔离装置之间的数据审查装置,所述方法包括步骤:在第一隔离装置处,
利用电子开关选择将所述第一隔离装置与第一网络连通,与所述数据审查装置之间的连接断开;
接收来自第一网络的第一数据,并对第一数据进行协议剥离以得到原始数据;
将原始数据转换为第二数据;
利用电子开关选择将所述第一隔离装置与所述数据审查装置单向连通,与第一网络之间的连接断开;
将所述第二数据单向发送至所述数据审查装置,所述第一隔离装置与第一网络的连通和与所述数据审查装置的连通是分时的;
在所述数据审查装置处,对所述第二数据进行审查,若审查通过,则将所述第二数据发送至所述第二隔离装置;
在所述第二隔离装置处,
利用电子开关选择将所述第二隔离装置与所述数据审查装置连通,与第二网络之间的连接断开;
接收来自所述数据审查装置的第二数据;
将所述第二数据还原为原始数据;
利用电子开关选择将所述第二隔离装置与第二网络单向连通,与所述数据审查装置之间的连接断开;
将所述原始数据进行协议封装以重新得到所述第一数据,并将所述第一数据单向发送至第二网络,所述第二隔离装置与第二网络的连通和与所述数据审查装置的连通是分时的。
10.如权利要求9所述的方法,其中,所述将原始数据转换为第二数据的步骤包括:对原始数据添加校验数据,以得到第二数据;以及
所述将第二数据还原为原始数据的步骤包括:对第二数据中的校验数据进行校验,若校验通过,则删除该校验数据,以得到原始数据。
11.如权利要求10所述的方法,其中,所述在数据审查装置处对第二数据进行审查的步骤包括:
将所述第二数据的内容与预先存储的数据内容标准进行比对,若不符合所述数据内容标准,则审查不通过;其中,所述数据内容标准定义网络数据的内容及内容的格式。
12.如权利要求11所述的方法,其中,数据格式标准为xsd格式的文件。
13.如权利要求9所述的方法,其中,所述在数据审查装置处对第二数据进行审查的步骤包括:
将所述第二数据与预先存储的安全策略进行比对,若不满足所述安全策略,则审查不通过。
14.如权利要求9所述的方法,其中,所述第一隔离装置通过单向光纤与所述数据审查装置单向连通,所述第二隔离装置通过单向光纤与第二网络单向连通。
15.如权利要求10-12中任一个所述的方法,其中,所述校验数据包括哈希值、序列号和验证码中的至少一个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810036212.3A CN108234506B (zh) | 2018-01-15 | 2018-01-15 | 一种单向隔离网闸和数据传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810036212.3A CN108234506B (zh) | 2018-01-15 | 2018-01-15 | 一种单向隔离网闸和数据传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108234506A CN108234506A (zh) | 2018-06-29 |
| CN108234506B true CN108234506B (zh) | 2021-06-08 |
Family
ID=62641197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810036212.3A Expired - Fee Related CN108234506B (zh) | 2018-01-15 | 2018-01-15 | 一种单向隔离网闸和数据传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108234506B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109450948B (zh) * | 2018-12-27 | 2020-01-03 | 北京明朝万达科技股份有限公司 | 数据传输方法和装置 |
| CN113992366A (zh) * | 2021-10-15 | 2022-01-28 | 厦门市美亚柏科信息股份有限公司 | 一种网络数据传输方法、装置、设备及存储介质 |
| CN115314544B (zh) * | 2022-08-05 | 2023-12-15 | 成都卫士通信息产业股份有限公司 | 一种tcp数据单向传输方法、装置、设备及介质 |
| CN115296940B (zh) * | 2022-10-09 | 2023-01-17 | 网御安全技术(深圳)有限公司 | 用于隔离网络的安全远程数据交互方法及相关设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127761A (zh) * | 2006-08-16 | 2008-02-20 | 北京城市学院 | 网络中单向协议隔离方法及其装置 |
| CN102035843A (zh) * | 2010-12-17 | 2011-04-27 | 北京锐安科技有限公司 | 一种单向数据传输系统和传输方法 |
| CN104270344A (zh) * | 2014-09-12 | 2015-01-07 | 北京天行网安信息技术有限责任公司 | 万兆网闸 |
| CN104601575A (zh) * | 2015-01-16 | 2015-05-06 | 网神信息技术(北京)股份有限公司 | 基于单向安全隔离网闸的数据传输方法和系统 |
| CN105491011A (zh) * | 2015-11-20 | 2016-04-13 | 北京天行网安信息技术有限责任公司 | 一种数据安全单向导出系统及方法 |
| CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140298008A1 (en) * | 2013-03-27 | 2014-10-02 | National Oilwell Varco, L.P. | Control System Security Appliance |
-
2018
- 2018-01-15 CN CN201810036212.3A patent/CN108234506B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127761A (zh) * | 2006-08-16 | 2008-02-20 | 北京城市学院 | 网络中单向协议隔离方法及其装置 |
| CN102035843A (zh) * | 2010-12-17 | 2011-04-27 | 北京锐安科技有限公司 | 一种单向数据传输系统和传输方法 |
| CN104270344A (zh) * | 2014-09-12 | 2015-01-07 | 北京天行网安信息技术有限责任公司 | 万兆网闸 |
| CN104601575A (zh) * | 2015-01-16 | 2015-05-06 | 网神信息技术(北京)股份有限公司 | 基于单向安全隔离网闸的数据传输方法和系统 |
| CN105491011A (zh) * | 2015-11-20 | 2016-04-13 | 北京天行网安信息技术有限责任公司 | 一种数据安全单向导出系统及方法 |
| CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108234506A (zh) | 2018-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108234506B (zh) | 一种单向隔离网闸和数据传输方法 | |
| CN106230851B (zh) | 基于区块链的数据保全方法及系统 | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US8266676B2 (en) | Method to verify the integrity of components on a trusted platform using integrity database services | |
| CN105763521B (zh) | 一种设备验证方法及装置 | |
| US10754826B2 (en) | Techniques for securely sharing files from a cloud storage | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
| CN112292682A (zh) | 分散式文档和实体验证引擎 | |
| US20150121532A1 (en) | Systems and methods for defending against cyber attacks at the software level | |
| US20070136809A1 (en) | Apparatus and method for blocking attack against Web application | |
| US9015481B2 (en) | Methods and systems for access security for dataloading | |
| US8943599B2 (en) | Certifying server side web applications against security vulnerabilities | |
| US20020144140A1 (en) | File checking using remote signing authority via a network | |
| WO2008024135A2 (en) | Method to verify the integrity of components on a trusted platform using integrity database services | |
| CN114629719B (zh) | 资源访问控制方法和资源访问控制系统 | |
| US7930538B1 (en) | Method of secure file transfer | |
| CN103500202A (zh) | 一种轻量级数据库的安全保护方法及系统 | |
| CN111666591A (zh) | 线上核保数据安全处理方法、系统、设备及存储介质 | |
| CN108390857B (zh) | 一种高敏感网络向低敏感网络导出文件的方法和装置 | |
| CN104951714A (zh) | 基于系列的设备绑定 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| KR101897987B1 (ko) | 전자파일의 전자지문 관리방법, 관리장치 및 관리시스템 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN114726606B (zh) | 一种用户认证方法、客户端、网关及认证服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210608 |