CN109862039B - 基于射频技术的跨网隔离单向导入系统及数据导入方法 - Google Patents
基于射频技术的跨网隔离单向导入系统及数据导入方法 Download PDFInfo
- Publication number
- CN109862039B CN109862039B CN201910226290.4A CN201910226290A CN109862039B CN 109862039 B CN109862039 B CN 109862039B CN 201910226290 A CN201910226290 A CN 201910226290A CN 109862039 B CN109862039 B CN 109862039B
- Authority
- CN
- China
- Prior art keywords
- data
- light
- radio frequency
- emitting element
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Optical Communication System (AREA)
Abstract
本发明公开了一种基于射频技术的跨网隔离单向导入系统及数据导入方法,系统包括外网主机、内网主机、射频卡、射频标签读取设备、第一发光元件、第一光感设备、第二发光元件、第二光感设备,所述的射频卡、第一发光元件、第一光感设备与外网主机连接,所述的射频标签读取设备、第二发光元件、第二光感设备与内网主机连接,数据导入方法基于所述系统实现数据单向导入。本发明实现了在物理隔离条件下的跨网数据单向导入,在实现了外部网络数据向内部网络自动化、安全可靠导入的同时,保证了内部网络中的数据不能流向外部网络,彻底解决外部网络与内部网络的跨网隔离数据安全导入问题。
Description
技术领域
本发明涉及一种跨网隔离单向导入系统及数据导入方法,特别是涉及一种基于射频技术的跨网隔离单向导入系统及数据导入方法。
背景技术
目前,政府、军队、军工等涉密单位,根据国家安全保密管理要求,为了杜绝基于网络连接的信息和数据泄密事件的发生,各单位都组建了内部专用网络,业务系统和办公环境都在专用网络中运行,并且根据实际业务工作的需要,有的单位还建立多个不同密级的专用网络。然而,网络环境的物理隔离,为不同网络间必要的信息和数据传输增加了诸多不便。
随着网络信息开放化程度不断的提高,各部门业务协同、数据交互共享需求不断的增加,在不同密级的涉密网络之间、涉密网络与互联网之间,进行数据交换的需求日益突出。一方面,因为外部网络(如互联网)通常拥有更加丰富的资源,经常需要从外部网络中获得各种信息,如:国内外新闻、学术期刊、软件更新、病毒库升级、系统补丁下载等;另一方面,涉密网络的业务数据常常需要外部网络的业务数据支撑。
国家保密局发布的《计算机信息系统国际联网保密管理规定》中,第二章第六条指出:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。”
目前,跨网信息交换典型的手段有两类:一是逻辑隔离手段,如安全隔离网闸和网络安全单向隔离系统,安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备;网络安全单向隔离系统利用光纤网卡的光发射、光接收为完全独立两条光纤的条件,将其中一条光纤截断,从而实现物理光单向导入。但该类手段属于逻辑隔离方式,不符合物理隔离条件。二是物理隔离手段,如光盘摆渡系统,利用机械手模拟人手工操作光盘进行数据自动迁移,实现物理隔离信息交互。但该类手段资源损耗大,系统可靠性较低,且效率不高。
发明内容
发明目的:本发明要解决的技术问题是提供一种基于射频技术的跨网隔离单向导入系统及数据导入方法,解决了目前导入系统不够安全、可靠、效率低的缺陷,实现了在物理隔离条件下的跨网数据单向导入,在实现了外部网络数据向内部网络自动化、安全可靠导入的同时,保证了内部网络中的数据不能流向外部网络,彻底解决外部网络与内部网络的跨网隔离数据安全导入问题。
技术方案:本发明所述的基于射频技术的跨网隔离单向导入系统,输入端连接外网终端,输出端连接内网终端,所述系统包括外网主机、内网主机、射频卡、射频标签读取设备、第一发光元件、第一光感设备、第二发光元件、第二光感设备,所述的射频卡、第一发光元件、第一光感设备与外网主机连接,所述的射频标签读取设备、第二发光元件、第二光感设备与内网主机连接,所述射频卡与射频标签读取设备相对设置,射频标签读取设备能够读取射频卡发送的信息,所述第一发光元件与第二光感设备、第二发光元件与第一光感设备相对设置,第二光感设备能够接收到第一发光元件发送的光信息,第一光感设备能够接收到第二发光元件发送的光信息。
进一步的,所述系统设置于电磁信号屏蔽箱中。
进一步的,所述系统还包括第一光隔离板和第二光隔离板,第一光隔离板将第一发光元件、第二光感设备和其他设备光隔离,第二光隔离板将第二发光元件、第一光感设备和其他设备光隔离。
进一步的,所述的外网主机包括第一网络接口和编码处理器。
进一步的,所述的内网主机包括第二网络接口和与编码处理器相对应的解码处理器。
进一步的,所述的射频卡与射频标签读取设备使用的频段为13.56MHz、800MHz、900MHz、2.45GHz中的其中一种。
本发明所述的数据导入方法,基于上述的系统,包括:
外网主机从外网终端获取到需导入的数据包,提取出应用数据,将应用数据写入射频卡,同时触发第一发光元件工作;
第二光感设备接收到光信息后,向内网主机发送触发信号;
内网主机接收到触发信号后,打开射频标签读取设备,读取所收到的数据,发送到内网终端,完成数据接收后,触发第二发光元件工作;
第一光感设备接收到光信息后,向外网主机发送触发信号;
外网主机接收到触发信号后,擦除射频卡的数据,并写入下一组待导入的数据包。
进一步的,外网主机提取出应用数据后,根据通信协议封装成专用数据帧结构并进行编码,并将编码后的应用数据写入射频卡;内网主机接收到数据后进行解码,并根据通信协议对数据进行解析,解析后发送到内网终端。
进一步的,外网主机提取应用数据具体为:逐层分析数据包,同时对访问的源地址和请求的目标地址进行白名单检查,若源地址和目标地址不在白名单中,则清除该数据包,若源地址和目标地址在白名单中,则提取其应用数据。
有益效果:本发明能够实现在物理隔离的网络环境下进行数据的高速、稳定、可靠交换,相比现有技术的优点在于:
1、采用射频隔离通道实现数据的单向传输,射频卡与射频读取设备之间无任何连接,射频读取设备仅能够做数据读取,不能进行数据写入,即达到了单向要求,又满足数据的安全传输要求;
2、通过网络协议逐层剥离和白名单过滤检查技术,确保了数据健康,避免了恶意攻击者通过修改协议达到攻击的目的;
3、采用双光感环路设计,一方面通过正向触发机制在需要时启动系统工作,降低功耗,提升使用寿命;另一方面通过反向反馈机制实现数据的高效传输和可靠传输。
附图说明
图1是本发明的系统整体示意图;
图2是外网主机和内网主机示意图。
具体实施方式
本系统的实施例如图1所示,其组成与结构关系如下:该系统被设置在电磁信号屏蔽箱2中,具备电磁隔离功能,包括第一发光元件21、第二光感设备22、第一光隔离板231、第二光隔离板232、外网主机24、射频卡25、射频标签读取设备26、内网主机27、第一光感设备28、第二发光元件29。外网主机24连接外网终端11、第一发光元件21、射频卡25和第一光感设备28,外网终端11位于外部低密级网络中,外网主机24能够获取外网终端11待导入的数据包文件,能够向第一发光元件21发送开启信号,能够向射频卡25写入待导入数据包文件,能够获取第一光感设备28的触发信号。内网主机27连接第二光感设备22、射频标签读取设备26、第二发光元件29、内网终端31,内网终端31位于高密级的内部网络中。内网主机27能够获取第二光感设备22的触发信号,能够通过设备标签读取设备26读取射频卡25里的数据包,能够向第二发光元件29发送开启信号,能够将接收到的数据导入至内网终端31。所述射频卡25和射频标签读取设备26均基于射频技术,可选用13.56MHz、800/900MHz、2.45GHz等多种频段,射频标签读取设备26仅具备读取射频卡25信息的功能,不具备向所述射频卡25写入信息的功能。所述第一发光元件21和第二发光元件29可根据不同频率的发光形式形成信号编码,所述第二光感设备22和第一光感设备28具备解析发光原件所发送信号编码的功能。系统还设置具有隔离可见光的能力的第一光隔离板231和第二光隔离板232,第一光隔离板231将第一发光元件21和第二光感设备22与其他部件光隔离,第二光隔离板232将第一光感设备28和第二发光元件29与其他部件光隔离。
如图2所示,外网主机24包括第一网络接口24a、编码处理器24b和其他设备,内网主机27包括第二网络接口27a、解码处理器27b和其他设备,其他设备包括主板、CPU、内存、操作系统、存储器和总线等。
本系统采用双光感环路设计,一方面通过正向触发机制在需要时启动系统工作,降低功耗,提升使用寿命;另一方面通过反向反馈机制实现数据的高效传输和可靠传输。
本发明的实施例还提供一种数据导入方法:外网主机24从外网终端11获取到需进行导入的数据包后,首先按照网络协议分别从数据链路层、网络层、传输层、会话层、表示层等逐层分析数据包,进行协议数据单元的报头和报尾剥离,例如网络层的IP、ICMP、ARP等协议,传输层的TCP、UDP等协议,在此过程中同时进行白名单过滤检查,例如对访问的源地址和请求的目标地址进行白名单检查,最终解析提取出应用数据,避免了恶意攻击者通过修改协议达到攻击的目的;然后,将数据封装成本系统专用数据帧结构,利用编码处理器24b进行编码处理;最后将数据写入射频卡25,同步触发连接外网主机的第一发光元件21工作。
连接内网主机27的第二光感设备22接收到光信息后,向内网主机27发送触发信号。内网主机27接收到触发信号后,打开射频标签读取设备26,读取射频卡信息,利用解码处理器27b进行解码处理,然后对数据进行协议解析,发送至相应的内网终端31或系统。完成数据接收后,内网主机27触发连接本机的第二发光元件29工作。
连接外网主机24的第一光感设备28接收到光信息后,向外网主机24发送触发信号。外网主机24接收到触发信号后,对射频卡25信息进行擦除,并写入下一组待导入的数据包。
具体的实施过程也可以为:
步骤1:外网主机24可利用主动或被动的方式,通过网络接口24a从外网终端11获取数据包,按照网络协议逐层分析数据包,分析完一层协议,剥离该层协议,在此过程中同时进行白名单过滤检查,完成后进行下一层协议的分析和剥离,最终完全剥离了各层协议,解析提取出应用数据,确保了数据的无污染,避免了恶意攻击者通过修改协议达到攻击的目的。外网主机24将应用数据封装成本系统专用数据帧结构,专用数据帧结构主要由报文头和数据两部分组成,其中报文头主要包括源端口地址(16bit)、目的端口地址(16bit)、总长度(16bit)等内容组成。然后利用编码处理器24b进行编码处理,不符合专用通讯传输协议的数据包是禁止摆渡的。
步骤2:外网主机24将编码后的数据写入射频卡25,可根据实际需要选用13.56MHz、800/900MHz、2.45GHz等多种频段,完成数据写入后,外网主机24触发第一发光元件21工作。第一发光元件21可通过不同规律的发光形式,形成信号编码,代表不同意义,便于内网主机进行处理。
步骤3:第二光感设备22接收到第一发光元件21的光信息后,解析信号编码,向内网主机27发送触发信号。内网主机27接收到触发信号后,打开射频标签读取设备26,读取射频卡25里的数据,利用解码处理器27b进行解码处理,然后对数据进行协议解析,分析数据包属于哪一种应用层协议,根据不同应用层协议设置的关键字进行检查,例如对源地址、信宿地址、封装协议等进行关键字检查,过滤掉含有关键字的数据包,例如不允许直接访问的信宿地址,保证了通过网络安全单向隔离系统的数据是安全数据。
步骤4:内网主机27将解析后的数据包通过网络接口27a发送至内网相应终端31。完成数据接收后,内网主机27触发第二发光元件29工作。第二发光元件29可通过不同规律的发光形式,形成信号编码,包括重发、发送下一组数据等,便于外网主机24进行处理。
步骤5:第一光感设备28接收到光信息后,解析信号编码,向外网主机24发送触发信号。对于重发信号,转入步骤6,对于发送下一组数据,转入步骤7。
步骤6:外网主机24将前一组数据重新写入射频卡25,并触发第一发光元件21工作,之后转入步骤3。
步骤7:外网主机24判断有无待导入数据包,如果有,则对射频卡25信息进行擦除,并写入下一组待导入的数据包,之后触发第一发光元件21工作,再转入步骤3;如果没有,则转入步骤8。
步骤8:外网主机24触发第一发光元件21工作,发出数据已导入完毕信号,第二光感设备22接收到第一发光元件21信号后,向内网主机27发送触发信号,内网主机27驱动射频标签读取设备26进入休眠状态。
Claims (9)
1.一种基于射频技术的跨网隔离单向导入系统,输入端连接外网终端(11),输出端连接内网终端(31),其特征在于:所述系统包括外网主机(24)、内网主机(27)、射频卡(25)、射频标签读取设备(26)、第一发光元件(21)、第一光感设备(28)、第二发光元件(29)、第二光感设备(22),所述的射频卡(25)、第一发光元件(21)、第一光感设备(28)与外网主机(24)连接,所述的射频标签读取设备(26)、第二发光元件(29)、第二光感设备(22)与内网主机(27)连接,所述射频卡(25)与射频标签读取设备(26)相对设置,射频标签读取设备(26)能够读取射频卡(25)发送的信息,所述第一发光元件(21)与第二光感设备(22)、第二发光元件(29)与第一光感设备(28)相对设置,第二光感设备(22)能够接收到第一发光元件(21)发送的光信息,第一光感设备(28)能够接收到第二发光元件(29)发送的光信息;
外网主机(24)从外网终端(11)获取到需导入的数据包,提取出应用数据,将应用数据写入射频卡(25),同时触发第一发光元件(21)工作;
第二光感设备(22)接收到光信息后,向内网主机(27)发送触发信号;
内网主机(27)接收到触发信号后,打开射频标签读取设备(26),读取所收到的数据,发送到内网终端(31),完成数据接收后,触发第二发光元件(29)工作;
第一光感设备(28)接收到光信息后,向外网主机(24)发送触发信号;
外网主机(24)接收到触发信号后,擦除射频卡(25)的数据,并写入下一组待导入的数据包。
2.根据权利要求1所述的基于射频技术的跨网隔离单向导入系统,其特征在于:所述系统设置于电磁信号屏蔽箱(2)中。
3.根据权利要求1所述的基于射频技术的跨网隔离单向导入系统,其特征在于:还包括第一光隔离板(231)和第二光隔离板(232),第一光隔离板(231)将第一发光元件(21)、第二光感设备(22)和所述系统除第一发光元件(21)、第二光感设备(22)以外的部件光隔离,第二光隔离板(232)将第二发光元件(29)、第一光感设备(28)和所述系统除第二发光元件(29)、第一光感设备(28)以外的部件光隔离。
4.根据权利要求1所述的基于射频技术的跨网隔离单向导入系统,其特征在于:所述的外网主机包括第一网络接口(24a)和编码处理器(24b)。
5.根据权利要求4所述的基于射频技术的跨网隔离单向导入系统,其特征在于:所述的内网主机包括第二网络接口(27a)和与编码处理器(24b)相对应的解码处理器(27b)。
6.根据权利要求1所述的基于射频技术的跨网隔离单向导入系统,其特征在于:所述的射频卡(25)与射频标签读取设备(26)使用的频段为13.56MHz、800 MHz、900MHz、2.45GHz中的其中一种。
7.一种数据导入方法,应用于权利要求1至6任一项所述的系统。
8.根据权利要求7所述的数据导入方法,其特征在于:外网主机(24)提取出应用数据后,根据通信协议封装成专用数据帧结构并进行编码,并将编码后的应用数据写入射频卡(25);内网主机(27)接收到数据后进行解码,并根据通信协议对数据进行解析,解析后发送到内网终端(31)。
9.根据权利要求7所述的数据导入方法,其特征在于外网主机(24)提取应用数据具体为:逐层分析数据包,同时对访问的源地址和请求的目标地址进行白名单检查,若源地址和目标地址不在白名单中,则清除该数据包,若源地址和目标地址在白名单中,则提取其应用数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910226290.4A CN109862039B (zh) | 2019-03-25 | 2019-03-25 | 基于射频技术的跨网隔离单向导入系统及数据导入方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910226290.4A CN109862039B (zh) | 2019-03-25 | 2019-03-25 | 基于射频技术的跨网隔离单向导入系统及数据导入方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109862039A CN109862039A (zh) | 2019-06-07 |
CN109862039B true CN109862039B (zh) | 2023-09-26 |
Family
ID=66901945
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910226290.4A Active CN109862039B (zh) | 2019-03-25 | 2019-03-25 | 基于射频技术的跨网隔离单向导入系统及数据导入方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109862039B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110474681A (zh) * | 2019-07-15 | 2019-11-19 | 安徽继远软件有限公司 | 一种跨网络安全隔离传输管理系统及其传输方法 |
CN110363263A (zh) * | 2019-07-19 | 2019-10-22 | 北京计算机技术及应用研究所 | 一种涉密载体实时监控装置 |
CN111740955A (zh) * | 2020-05-18 | 2020-10-02 | 上海市公安局出入境管理局 | 制证控制方法、系统、服务器和计算机可读存储介质 |
CN114124549A (zh) * | 2021-11-26 | 2022-03-01 | 绿盟科技集团股份有限公司 | 一种基于可见光系统的安全访问邮件的方法、系统和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN204836233U (zh) * | 2015-08-13 | 2015-12-02 | 山东中孚信息产业股份有限公司 | 一种网络安全隔离与信息单向导入装置 |
CN105516179A (zh) * | 2015-12-30 | 2016-04-20 | 绿网天下(福建)网络科技股份有限公司 | 一种防网络入侵的数据安全传输系统及方法 |
CN106326756A (zh) * | 2016-08-25 | 2017-01-11 | 赵艳 | 一种基于光盘的跨网数据交换传输系统和方法 |
CN107277813A (zh) * | 2017-07-19 | 2017-10-20 | 南京邮电大学 | 一种单向无线网络安全隔离传输系统和方法 |
CN107517142A (zh) * | 2017-10-10 | 2017-12-26 | 朱汉源 | 一种通过二维码实现远程维护的系统及方法 |
CN209627406U (zh) * | 2019-03-25 | 2019-11-12 | 中国电子科技集团公司第二十八研究所 | 基于射频技术的跨网隔离单向导入系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010099028A2 (en) * | 2009-02-24 | 2010-09-02 | Ryan David J | Determining time varying radio frequency isolation characteristics between network cells |
-
2019
- 2019-03-25 CN CN201910226290.4A patent/CN109862039B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN204836233U (zh) * | 2015-08-13 | 2015-12-02 | 山东中孚信息产业股份有限公司 | 一种网络安全隔离与信息单向导入装置 |
CN105516179A (zh) * | 2015-12-30 | 2016-04-20 | 绿网天下(福建)网络科技股份有限公司 | 一种防网络入侵的数据安全传输系统及方法 |
CN106326756A (zh) * | 2016-08-25 | 2017-01-11 | 赵艳 | 一种基于光盘的跨网数据交换传输系统和方法 |
CN107277813A (zh) * | 2017-07-19 | 2017-10-20 | 南京邮电大学 | 一种单向无线网络安全隔离传输系统和方法 |
CN107517142A (zh) * | 2017-10-10 | 2017-12-26 | 朱汉源 | 一种通过二维码实现远程维护的系统及方法 |
CN209627406U (zh) * | 2019-03-25 | 2019-11-12 | 中国电子科技集团公司第二十八研究所 | 基于射频技术的跨网隔离单向导入系统 |
Non-Patent Citations (1)
Title |
---|
安全隔离网闸在油气生产物联网信息网络安全中的应用探索;桑圣洁;;硅谷(第22期);第1-3页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109862039A (zh) | 2019-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109862039B (zh) | 基于射频技术的跨网隔离单向导入系统及数据导入方法 | |
CN103368978B (zh) | 实现智能移动终端应用漏洞和通信安全检测的方法 | |
CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
CN109479013B (zh) | 计算机网络中的业务的日志记录 | |
CN114124929B (zh) | 跨网络的数据处理方法和装置 | |
CN112738022B (zh) | 一种针对机器人操作系统ros消息的攻击方法 | |
CN209627406U (zh) | 基于射频技术的跨网隔离单向导入系统 | |
CN104113553A (zh) | 端口状态识别方法、装置和系统 | |
CN112866206A (zh) | 一种单向数据传输方法及装置 | |
CN114615082A (zh) | 一种使用正反向网闸模拟tcp双工安全通讯系统和方法 | |
CN114143119A (zh) | 一种基于fpga的行情低延时接口装置 | |
CN216819851U (zh) | 一种变电站内安全接入装置 | |
Kim et al. | Multi-channel transmission method for improving TCP reliability and transmission efficiency in UNIWAY | |
CN203206281U (zh) | 源代码保护机和源代码保护系统 | |
Gibson et al. | Hi-SIDE: Monitoring, Control and Test Software in a SpaceFibre Network | |
CN112532603B (zh) | 一种基于交换授权文件的跨域文件交换引接设备及方法 | |
CN113014610A (zh) | 一种远程访问方法、装置及系统 | |
CN100375464C (zh) | 网络互连时各终端的数据通信方法 | |
CN112565188B (zh) | 数据访问方法、装置、计算机设备及存储介质 | |
CN114416668B (zh) | 一种pkg诱饵文件生成方法和系统 | |
CN115225484B (zh) | 一种dpu组网的管理系统 | |
CN1452343A (zh) | 无线局域网的信号传输方法及其相关装置 | |
CN103544050B (zh) | 一种阅读器驱动装置、方法及阅读器控制系统 | |
KR101875093B1 (ko) | HTTPs 패킷분석 처리성능 향상 시스템 | |
KR20060057008A (ko) | 통신을 모니터링하는 방법 및 시스템 및 모니터링 프로토콜 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |