CN109547456B - 基于信息单向传输技术具有可控交互能力的网络隔离系统 - Google Patents
基于信息单向传输技术具有可控交互能力的网络隔离系统 Download PDFInfo
- Publication number
- CN109547456B CN109547456B CN201811492174.9A CN201811492174A CN109547456B CN 109547456 B CN109547456 B CN 109547456B CN 201811492174 A CN201811492174 A CN 201811492174A CN 109547456 B CN109547456 B CN 109547456B
- Authority
- CN
- China
- Prior art keywords
- information
- module
- transmission
- network
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络技术领域,具体涉及基于信息单向传输技术具有可控交互能力的网络隔离系统,由分别处于隔离两个不同网络端且相互独立的综合监控管理系统和至少两套正反向使用的信息单向传输子系统组成;综合监控管理系统为指挥、调度、管理信息单向传输子系统的前置模块和后置模块进行数据的发送和接收;以及与被隔离的本端网络进行实时交互,代理本端网络通过信息单向传输子系统与另一端的综合监控管理系统进行交互,再由此端的综合监控管理系统与其所在的被隔离的网络进行交互通讯;它能够实现单向信息数据传输,在两端独立的综合管理系统的调度下,使网络间的数据流有去有回,且相互独立互不影响,提高了数据传输的安全性,实现网络隔离。
Description
技术领域
本发明涉及网络技术领域,具体涉及一种基于信息单向传输技术通过正反单向通讯实现可控交互功能的网络隔离系统。
背景技术
随着科学技术的发展,互联网时代的到来,人们在生活、工作、娱乐、游戏、支付等等方面都不开网络。互联网是网络与网络之间所串连成的庞大网络,这些网络以一组通用的协议相连,形成逻辑上的单一巨大国际网络。这种将计算机网络互相联接在一起的方法可称作“网络互联”,在这基础上发展出覆盖全世界的全球性互联网络称互联网,即是互相连接一起的网络结构。但是随着网络越来越存在于人们的生活工作中,网络安全则被人们越来越重视,人们在使用网络时,易出现自身信息泄露而导致财产损失,在工业互联网中由于病毒、攻击和入侵等,会给工业生产和信息安全带来巨大的不确定性。
因此网络与网络间互联在一起,因相互之间的功能和安全需要不同,网络隔离成为必需要解决的问题。
发明内容
本发明的目的在于针对现有技术的缺陷和不足,提供一种基于信息单向传输技术具有可控交互能力的网络隔离系统,它具有能够实现单向信息数据传输,在两端独立的综合管理系统的调度下,使物理上互不可见的网络间的数据流有去有回,且相互独立互不影响,极大地提高了数据传输的安全性,实现网络隔离。
本发明所述的基于信息单向传输技术具有可控交互能力的网络隔离系统,由分别处于隔离两个不同网络端且相互独立的综合监控管理系统和至少两套正反向使用的信息单向传输子系统组成;
其中:综合监控管理系统为指挥、调度、管理信息单向传输子系统的前置模块和后置模块进行数据的发送和接收;以及与被隔离的本端网络进行实时交互,代理本端网络通过信息单向传输子系统与另一端的综合监控管理系统进行交互,再由此端的综合监控管理系统与其所在的被隔离的网络进行交互通讯;
其中:信息单向传输子系统由前置模块、后置模块以及单向传输部件组成;所述前置模块与后置模块各自拥有独立的操作系统,为Windows系列或Linux系列操作系统,或其他可用的操作系统,前置模块和后置模块的操作系统可以相同也可以不同;
正向前置模块、单向传输部件、正向后置模块组成正向传输组件,反向后置模块、单向传输部件、反向前置模块组成反向传输组件,形成二个独立的通讯信道;其中单向传输模块使用一对单工组件组成,一个单工组件只能发送数据,另一个单工组件只能接收数据,两者构成单向通道,反向无任何反馈信息。
进一步地,所述综合监控管理系统可以集成在本端信息单向传输系统的前置模块或后置模块当中,也可以单独部署在被隔离网络的一个终端上。
进一步地,所述的被隔离的两个网络间的通讯是单向通讯还是具有交互能力的双向通讯是主动设定的。
进一步地,所述的被隔离的两个网络间的选择具有交互能力的双向通讯时,两个网络在物理上也是不可见的,只有通过位于两端的综合监控管理系统才能够实现互联互通。
进一步地,所述信息单向传输系统的前置模块可以对数据流进行审核,记录数据传输内容及状态,同时根据传输策略鉴定传输内容,只将策略允许的内容单向传输到后置模块。
进一步地,所述信息单向传输系统的前置模块可对数据进行加密,前置模块将数据加密后单向传输到后置模块,后置模块将数据正确解密后供本侧的综合监控管理系统使用。
进一步地, 所述综合监控管理系统可同时监控网络间每套隔离系统的运行情况,包括审核功能及自检功能的信息。
进一步地,两套或者多套信息单向传输系统的前置模块和后置模块或两端的综合监控管理系统与被隔离网络中至少一个网络终端相连,连接方式包括串行通讯接口、视频通讯接口、以太网络接口、USB接口,以及特定的定制和扩展接口。
采用上述结构后,本发明有益效果为:本发明所述的基于信息单向传输技术具有可控交互能力的网络隔离系统,它采用在两个不同的网端之间设置两套或者多套独立的单向通讯信道,在单向通讯信道两端设置综合监控管理系统,然后通过综合监控管理系统与两个不同网络端相连;它具有能够实现单向信息数据传输,在两端独立的综合管理系统的调度下,使网络间的数据流有去有回,且相互独立互不影响,极大地提高了数据传输的安全性,实现网络隔离。
【附图说明】
此处所说明的附图是用来提供对本发明的进一步理解,构成本申请的一部分,但并不构成对本发明的不当限定,在附图中:
图1是本发明拓扑示意图;
图2是本发明中具有多套信息单向传输子系统的拓扑图。
【具体实施方式】
下面将结合附图以及具体实施例来详细说明本发明,其中的示意性实施例以及说明仅用来解释本发明,但并不作为对本发明的限定。
如图1-图2所示,本具体实施方式所述的基于信息单向传输技术具有可控交互能力的网络隔离系统,由分别处于隔离两个不同网络端且相互独立的综合监控管理系统和至少两套正反向使用的信息单向传输子系统组成;
其中:综合监控管理系统为指挥、调度、管理信息单向传输子系统的前置模块和后置模块进行数据的发送和接收;以及与被隔离的本端网络进行实时交互,代理本端网络通过信息单向传输子系统与另一端的综合监控管理系统进行交互,再由此端的综合监控管理系统与其所在的被隔离的网络进行交互通讯;
其中:信息单向传输子系统由前置模块、后置模块以及单向传输部件组成;所述前置模块与后置模块各自拥有独立的操作系统,为Windows系列或Linux系列操作系统,或其他可用的操作系统,前置模块和后置模块的操作系统可以相同也可以不同;
正向前置模块、单向传输部件、正向后置模块组成正向传输组件,反向后置模块、单向传输部件、反向前置模块组成反向传输组件,形成二个独立的通讯信道;其中单向传输模块使用一对单工组件组成,一个单工组件只能发送数据,另一个单工组件只能接收数据,两者构成单向通道,反向无任何反馈信息。
进一步地,所述综合监控管理系统可以集成在本端信息单向传输系统的前置模块或后置模块当中,也可以单独安装在被隔离网络的一个终端上。
进一步地,所述的被隔离的两个网络间的通讯是单向通讯还是具有交互能力的双向通讯是主动设定的。
进一步地,所述的被隔离的两个网络间的选择具有交互能力的双向通讯时,两个网络在物理上也是不可见的,只有通过位于两端的综合监控管理系统才能够实现互联互通。
进一步地,所述信息单向传输系统的前置模块可以对数据流进行审核,记录数据传输内容及状态,同时根据传输策略鉴定传输内容,只将策略允许的内容单向传输到后置模块。
进一步地,所述信息单向传输系统的前置模块可对数据进行加密,前置模块将数据加密后单向传输到后置模块,后置模块将数据正确解密后供本侧的综合监控管理系统使用。
进一步地, 所述综合监控管理系统可同时监控网络间每套隔离系统的运行情况,包括审核功能及自检功能的信息。
进一步地,两套或者多套信息单向传输系统的前置模块和后置模块或两端的综合监控管理系统与被隔离网络中至少一个网络终端相连,连接方式包括串行通讯接口、视频通讯接口、以太网络接口、USB接口,以及特定的定制和扩展接口。
本设计的工作原理如下:
本设计中,信息单向传输技术是指以信息单向导入技术为代表的从物理层面实现了信息只能从一端传输到另一端且没有任何信息反馈的传输技术,可控交互是指被隔离的网络在物理上互不可见,不能直接或者自动互联互通,只有在本隔离系统的监控管理下才能实现互联互通。
本设计基于信息单向传输技术通过正反单向通讯实现交互功能的网络隔离系统与方法中,其中网络单向导入技术标准参照《GB/T 20279-2015 信息安全技术 网络和终端隔离产品安全技术要求》。以信息单向传输隔离产品为基础,使用两套或者多套相互独立的信息单向传输隔离子系统构成一整套网络间可以互联互通的的网络隔离系统。
本发明中,由于信息单向传输系统的特性,在被隔离的网络之间,通过物理的方式构建了接收和发送信息的单向通道,任何一个单向通道都能保证只有安全策略允许的信息可以通过,同时反向没有任何信息反馈。
本发明中,在互联互通并需要隔离信息通讯的两个网络,两个网络分别称为A网络、B网络。在A网络、B网络之间部署隔离系统,在隔离系统靠近A、B网络两侧分别具有独立的综合监控管理系统与A、B网络交互。
如图1所示,A网络一侧的综合管理系统将需要传输的数据通过正向前置模块信息单向传输到正向后置模块,正向后置模块将数据提供给B网络一侧的综合监控管理系统,使其与B网络进行数据交互。通过信息单向传输的物理方式构建了A、B网络间的单向传输通道,实现数据由A信息单向传输到B网络,并保证只有安全策略允许传输的信息可以通过,同时反向无任何信息传输或反馈。另有B网络到A网络传输数据过程与A网络到B网络相同。
如图2所示,A、B网络之间,当存在多套正向模块和反向模块时,隔离系统两侧的综合监控管理系统会根据整个系统的运行情况动态分配传输资源,均衡传输负荷。正向模块不指定匹配反向模块,而是根据传输数据情况使用反向模块中的一个或多个。隔离系统中正向模块和反向模块数量不少于一个,可以不相同。
主动控制被隔离的两个网络间的数据交互,既可以保证两个网络间能数据通讯,也可以保证两个网络没有任何数据通讯;既可以保留数据通讯的原有协议,可以采用私有协议;既可以实现数据从一个网络只能单向传输到另一个网络的纯单向数据传输,也可以实现数据通过正反的单向通道进行交互;还可以对所传输的数据进行审核、过滤、拦截以及加解密的处理;当有多套正反向的信息单向传输系统时,可以实现数据传输的按需要分配,实现负载均衡。
本发明使用两套或者多套相互独立、方向相反的信息单向传输子系统组成一个既可以正向通讯,也可以反向通讯,可以主动控制的且动态分配通讯资源的,具有交互能力的网络隔离系统。
本发明中,在互联互通并需要隔离的两个网络(A网络、B网络)之间,利用信息单向传输产品独有的物理隔离效果,采用两套或者多套正反方向独立的信息单向传输系统构建两条或者多条独立的通讯信道,在两端独立的综合管理系统的调度下,使网络间的数据流有去有回,且相互独立互不影响,从而构建了网络间主动可控、使用非TCP/IP协议且具有实时交互功能的网络隔离系统。这样,既保证了网络间的安全隔离,又保证了数据高效按需要传送。
信息安全产品中网络协议隔离采用“信息摆渡”技术等网络隔离卡,与A网络交互数据时,隔离卡与前置模块连接,与后置模块断开;隔离卡获取数据并“摆渡”到后置模块时,与前置模块断开,后置模块获取数据后与B网络交互,B网络数据传输到A网络同理。这种方式在任一时刻隔离卡只与前后两端一端相连,传输使用方向为双向的同一通路。
以上所述仅是本发明的较佳实施方式,故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰,均包括于本发明专利申请范围内。
Claims (5)
1.基于信息单向传输技术具有可控交互能力的网络隔离系统,网络隔离系统由分别处于隔离两个不同网络端且相互独立的综合监控管理系统和至少两套正反向使用的信息单向传输子系统组成;其中:综合监控管理系统为指挥、调度、管理信息单向传输子系统的前置模块和后置模块进行数据的发送和接收;以及与被隔离的本端网络进行实时交互,代理本端网络通过信息单向传输子系统与另一端的综合监控管理系统进行交互,再由此端的综合监控管理系统与其所在的被隔离的网络进行交互;中:信息单向传输子系统由前置模块、后置模块以及单向传输部件组成;所述前置模块与后置模块各自拥有独立的操作系统,为Windows系列或Linux系列操作系统,或其他可使用的操作系统;正向前置模块、单向传输部件、正向后置模块组成正向传输组件,反向后置模块、单向传输部件、反向前置模块组成反向传输组件,形成正反两个独立的通讯信道;其中单向传输模块使用一对单工组件组成,一个单工组件只能发送数据,另一个单工组件只能接收数据,两者构成单向通道,反向无任何反馈信息;
其特征在于:所述综合监控管理系统可以集成在本端信息单向传输系统的前置模块或后置模块当中,也可以单独安装在被隔离网络的一个终端上;所述综合监控管理系统可同时监控网络间每套隔离系统的运行情况,包括审核功能及自检功能的信息;两套或者多套信息单向传输系统的前置模块和后置模块或两端的综合监控管理系统与被隔离网络中至少一个网络终端相连,连接方式包括串行通讯接口、视频通讯接口、以太网络接口、USB接口,以及特定的定制和扩展接口。
2.根据权利要求1所述的基于信息单向传输技术具有可控交互能力的网络隔离系统,其特征在于:所述的被隔离的两个网络间的通讯是单向通讯还是具有交互能力的双向通讯是主动设定的。
3.根据权利要求1所述的基于信息单向传输技术具有可控交互能力的网络隔离系统,其特征在于:所述的被隔离的两个网络间的选择具有交互能力的双向通讯时,两个网络在物理上是不可见的,只有通过位于两端的综合监控管理系统才能够实现互联互通。
4.根据权利要求1所述的基于信息单向传输技术具有可控交互能力的网络隔离系统,其特征在于:所述信息单向传输系统的前置模块可以对数据流进行审核,记录数据传输内容及状态,同时根据传输策略鉴定传输内容,只将策略允许的内容单向传输到后置模块。
5.根据权利要求1所述的基于信息单向传输技术具有可控交互能力的网络隔离系统,其特征在于:所述信息传输系统的前置模块可对数据进行加密,前置模块将数据加密后单向传输到后置模块,后置模块将数据正确解密后供本侧的综合监控管理系统使用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811492174.9A CN109547456B (zh) | 2018-12-07 | 2018-12-07 | 基于信息单向传输技术具有可控交互能力的网络隔离系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811492174.9A CN109547456B (zh) | 2018-12-07 | 2018-12-07 | 基于信息单向传输技术具有可控交互能力的网络隔离系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109547456A CN109547456A (zh) | 2019-03-29 |
| CN109547456B true CN109547456B (zh) | 2021-10-08 |
Family
ID=65853131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811492174.9A Active CN109547456B (zh) | 2018-12-07 | 2018-12-07 | 基于信息单向传输技术具有可控交互能力的网络隔离系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109547456B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111224931A (zh) * | 2019-10-11 | 2020-06-02 | 工业互联网创新中心(上海)有限公司 | 一种工业隔离通信系统及方法 |
| CN110912940A (zh) * | 2019-12-25 | 2020-03-24 | 普世(南京)智能科技有限公司 | 一种基于双单向交换设备的隔离网络透明业务访问方法及系统 |
| CN113114626A (zh) * | 2021-03-17 | 2021-07-13 | 宁波万德高科智能科技有限公司 | 一种基于边缘计算的安全网关系统及其构建方法 |
| CN117240633B (zh) * | 2023-11-16 | 2024-03-08 | 深圳市加糖电子科技有限公司 | 信息交互方法、电子设备和存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902479A (zh) * | 2010-08-05 | 2010-12-01 | 华东电网有限公司 | 网络隔离系统及其数据传输方法 |
| CN103269332A (zh) * | 2013-04-22 | 2013-08-28 | 中国南方电网有限责任公司 | 面向电力二次系统的安全防护系统 |
| CN104158798A (zh) * | 2014-07-15 | 2014-11-19 | 广东电网公司东莞供电局 | 基于电力调度数据网、电力综合数据网的数据交互平台 |
| CN204089858U (zh) * | 2014-05-23 | 2015-01-07 | 中国人民解放军理工大学 | 一种安全隔离应用层网关 |
| CN105847290A (zh) * | 2016-05-17 | 2016-08-10 | 江苏飞搏软件股份有限公司 | 面向物理隔离网络的数据传输方法及数据传输系统 |
| CN106067902A (zh) * | 2016-07-26 | 2016-11-02 | 中国南方电网有限责任公司信息中心 | 一种基于消息机制的数据收发控制系统和方法 |
| CN107749840A (zh) * | 2017-09-27 | 2018-03-02 | 北京机电工程研究所 | 基于单向网闸的数据单向安全传输及协同处理系统及方法 |
| CN107948100A (zh) * | 2017-12-28 | 2018-04-20 | 广西大学 | 云备用调度自动化主站系统及实现方法 |
-
2018
- 2018-12-07 CN CN201811492174.9A patent/CN109547456B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902479A (zh) * | 2010-08-05 | 2010-12-01 | 华东电网有限公司 | 网络隔离系统及其数据传输方法 |
| CN103269332A (zh) * | 2013-04-22 | 2013-08-28 | 中国南方电网有限责任公司 | 面向电力二次系统的安全防护系统 |
| CN204089858U (zh) * | 2014-05-23 | 2015-01-07 | 中国人民解放军理工大学 | 一种安全隔离应用层网关 |
| CN104158798A (zh) * | 2014-07-15 | 2014-11-19 | 广东电网公司东莞供电局 | 基于电力调度数据网、电力综合数据网的数据交互平台 |
| CN105847290A (zh) * | 2016-05-17 | 2016-08-10 | 江苏飞搏软件股份有限公司 | 面向物理隔离网络的数据传输方法及数据传输系统 |
| CN106067902A (zh) * | 2016-07-26 | 2016-11-02 | 中国南方电网有限责任公司信息中心 | 一种基于消息机制的数据收发控制系统和方法 |
| CN107749840A (zh) * | 2017-09-27 | 2018-03-02 | 北京机电工程研究所 | 基于单向网闸的数据单向安全传输及协同处理系统及方法 |
| CN107948100A (zh) * | 2017-12-28 | 2018-04-20 | 广西大学 | 云备用调度自动化主站系统及实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109547456A (zh) | 2019-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109547456B (zh) | 基于信息单向传输技术具有可控交互能力的网络隔离系统 | |
| CN106850188B (zh) | 一种基于多路异构单向传输通道的数据传输系统 | |
| US10601663B2 (en) | Transparent auto-negotiation of ethernet | |
| EP1454440B1 (en) | Method and apparatus for providing optimized high speed link utilization | |
| CN107809415A (zh) | 基于双单向通道传输技术的网络隔离系统及其实现方法 | |
| CN103649939A (zh) | 具有通信量产生能力的网络交换机 | |
| CN101764768A (zh) | 一种数据安全传输系统 | |
| CN111083580B (zh) | 一种在光传输网络中对以太网链路的保护方法及装置 | |
| CN101986638A (zh) | 千兆单向型网络隔离装置 | |
| CN103095568A (zh) | 机架式交换设备实现堆叠的系统及方法 | |
| CN103209191A (zh) | 一种实现内外网物理隔断的方法 | |
| CN104270344A (zh) | 万兆网闸 | |
| US20130325684A1 (en) | System for latency reduction in high frequency trading networks | |
| CN103532863A (zh) | 一种实现软件堆叠的方法和装置 | |
| CN109660565A (zh) | 一种隔离网闸设备和实现方法 | |
| CN100444582C (zh) | 具有防火墙功能的交换设备 | |
| CN102170366B (zh) | 与单板进行通信的方法、装置和系统 | |
| CN102984082A (zh) | 一种网络服务质量控制方法及装置 | |
| CN109039892B (zh) | 一种业务的传输方法、网络设备及网络系统 | |
| CN105530205B (zh) | 一种微波设备汇聚的装置和方法 | |
| CN107181702B (zh) | 一种实现RapidIO和以太网融合交换的装置 | |
| CN103581774B (zh) | 一种以太网单向传输光口及其传输方法和单向传输设备 | |
| CN109547457B (zh) | 一种具有“微交互”功能的网络隔离系统 | |
| CN109150724A (zh) | 一种通信方法和网卡 | |
| CN112804265B (zh) | 一种单向网闸接口电路、方法及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |