CN111585653A - 一种基于光纤通信的双单向隔离交换方法 - Google Patents
一种基于光纤通信的双单向隔离交换方法 Download PDFInfo
- Publication number
- CN111585653A CN111585653A CN202010304246.3A CN202010304246A CN111585653A CN 111585653 A CN111585653 A CN 111585653A CN 202010304246 A CN202010304246 A CN 202010304246A CN 111585653 A CN111585653 A CN 111585653A
- Authority
- CN
- China
- Prior art keywords
- link
- agent module
- unidirectional
- data
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于光纤通信的双单向隔离交换方法和系统,源主机和目的主机可经由隔离设备完成原链路的正向通信和反向链路的反向通信。正向通信的数据传输过程为:源主机→隔离设备的原链路发送代理模块→原链路单向发送单元→原链路单向接收单元→隔离设备的原链路接收代理模块→目的主机。反向通信的数据传输过程为:目的主机→隔离设备的原链路接收代理模块→反向链路的发送代理模块→反向链路的单向发送单元→反向链路的接收单元→反向链路的接收代理模块→隔离设备原链路的发送代理模块→源主机。系统采用“4+2”架构,两个链路均为单向性,互不干扰,安全性能好,收发单元使用单纤+信号模拟技术使得光纤卡之间即使一根光纤也可处于Linked模式。
Description
技术领域
本发明属于数字信息的传输技术领域,涉及保密或安全通信装置,具体为一种基于光纤通信的双单向隔离交换方法。
背景技术
随着信息化技术的发展,各国军事、经济等要害部门之间的数据交换越来越频繁。为此需要按照不同的保密级别将网络划分为不同的网络安全域。鉴于不同的网络安全域之间有不同的安全防护和保密要求,由此诞生了隔离网闸和单向光闸等网络隔离交换产品。
按照涉密信息系统的保密要求,高密级网络信息不能流向低密级网络,但低密级网络信息可以流向高密级网络,通常使用单向光闸即能够满足此种场景的要求。但现实场景中,更多的应用需要进行双向数据交换并能够提供安全防护能力。目前能满足这种需求的技术主要是利用防火墙和隔离网闸。防火墙属于在TCP/IP协议栈基础上的基于安全策略的访问控制,这种基于软件的逻辑隔离是不可靠的,很容易被黑客突破或被内部用户操控。隔离网闸是一种中间采用私有协议的数据交换设备,能够中断TCP/IP等标准协议的通信,抵御基于标准协议的攻击。但隔离网闸的链路具有允许信息双向流动的特性,不具备单向传输设备的单向物理隔离特性,仍然属于双向逻辑隔离方案,存在创建隐蔽通道的可能性。
目前的一些商业的单向光闸类产品的重点在于维护信息的保密性,即高密级网络信息不能流向低密级网络,而对安全性考虑的不够。实践中,有大量的军事装备、工业厂房设备和基础设施等系统中有许多采集数据、报警信息、设备运行状态等数据需要传输到相应的管控中心进行监控决策,而且这些前端设备、网络和设施又绝对不允许遭受病毒、木马等的恶意攻击。针对这些特定的应用场景,客观上要求采取有针对性的产品设计。何况市场上的部分单向光闸商业产品,由于中间通道采用了通用UDP协议作为标准协议,导致无法满足安全的保密性要求。
针对上述问题,有厂商提出了双单向网闸的概念,其原理是把2台单向设备整合在一起,其中的两条单向链路并行,但方向相反。但此类双单向网闸无法满足类似TCP应用的部分双向应用的需求。
发明内容
本发明针对现有双单向数据交换存在的问题,提出了采用两条独立单向光纤通信方式的双单向隔离交换方法。
为实现上述目的,本发明采用的技术方案为基于光纤通信的双单向隔离交换方法和系统,其特点是源主机和目的主机可经由二者之间的隔离设备完成原链路的正向通信和反向链路的反向通信。隔离设备包括原链路发送代理模块、原链路单向发送单元、原链路单向接收单元、原链路接收代理模块、反向链路的发送代理模块、反向链路的单向发送单元、反向链路的接收单元、反向链路的接收代理模块。
上述正向通信的数据传输过程为:源主机→原链路发送代理模块→原链路单向发送单元→原链路单向接收单元→原链路接收代理模块→目的主机。
上述反向通信的数据传输过程为:目的主机→原链路接收代理模块→反向链路的发送代理模块→反向链路的单向发送单元→反向链路的接收单元→反向链路的接收代理模块→原链路的发送代理模块→源主机。
具体而言,上述正向通信又包含以下步骤:
S1:源主机经过认证并通过后,向隔离设备的原链路发送代理模块发起连接请求;
S2:原链路发送代理模块收到连接请求后向源主机发送响应报文,经过确认后建立连接;
S3:源主机的应用程序开始发送数据给原链路发送代理模块;
S4:原链路发送代理模块对接收到的数据进行合法性验证后提交给原链路单向发送单元;
S5:该原链路单向发送单元通过单向链路将数据发送出去;
S6:原链路单向接收单元收到步骤5中的数据后将该数据提交给原链路接收代理模块;
S7:原链路接收代理模块根据预先设置的通道策略信息找到目的主机的地址,并向该目的主机发送连接请求;
S8:目的主机收到连接请求后回送响应报文,原链路接收代理模块收到响应报文后建立连接;
S9:原链路接收代理模块将步骤6中收到的数据转发给目的主机。
为提高安全性,防止网络渗透,上述步骤S5中所述数据的发送是通过采用私有协议栈的私有通道,以阻断标准的TCP/IP协议通信。
上述反向通信具体包含以下步骤:
S10:目的主机通过反向链路发送数据给上述原链路接收代理模块;
S11:原链路接收代理模块根据预先配置的安全策略对数据进行安全性验证,验证通过后将数据发送到反向链路的发送代理模块;
S12:反向链路发送代理模块将该数据单向提交给反向链路的单向发送单元;
S13:反向链路的单向发送单元通过反向链路将该数据发送出去;
S14:反向链路的接收单元接收到该数据后将该数据发送给反向链路的接收代理模块;
S15:反向链路的接收代理模块收到该数据后转发给隔离设备原链路的发送代理模块;
S16:隔离设备原链路的发送代理模块将该数据发送给源主机。
与上述步骤5相同,步骤S13中所述数据的发送是通过采用私有协议栈的私有通道,以阻断标准的TCP/IP协议通信。
本发明还进一步提出一种实现上述基于光纤通信的双单向隔离交换方法的系统,系统总体采用“4+2”架构,即隔离设备包括4台主机与2条物理单向发送通道。4台主机上分别运行原链路发送代理模块、隔离设备的原链路接收代理模块、反向链路的发送代理模块和反向链路的接收代理模块,2条物理单向发送通道分别对应原链路和反向链路,原链路和反向链路均为单向性。
作为优选,上述物理单向发送通道的发送单元和接收单元之间的通信使用单纤+信号模拟技术,使得光纤卡之间即使只插一根光纤也可处于Linked模式,网络接口正常UP。
为提升系统的安全性,上述发送单元和接收单元之间的通信使用私有协议栈,以阻断标准的TCP/IP协议通信。
与现有技术相比,本发明具有以下有益技术效果:
1,实现本发明方法的系统采用包括包括4台主机与2条物理单向发送通道的隔离设备,源主机和目的主机可经由隔离设备完成原链路的正向通信和反向链路的反向通信,原链路和反向链路均为单向性,互不干扰,安全性能好。
2,本发明采用了由光模块设计、驱动设计和应用设计决定的单向性链路,收发单元使用单纤+信号模拟技术,使得光纤卡之间即使只插一根光纤也可处于Linked模式。
3,通过使用信号模拟技术,支撑协议可完成如速率协商、TCP握手等操作,同时单纤通道内还使用了私有协议栈,进一步提升了安全性。
4,中间私有通道由独特设计的私有协议封装实现,终结了标准的TCP/IP协议通信。本发明具有单向光闸的安全特性,能够满足在许多工业控制、基础设施安全等领域的应用。
附图说明
图1为普通光纤通信和单向光纤通信的原理图;
图2 为基于两条独立单向光纤通信的双单向光闸的通信过程示意图。
具体实施方式
现结合附图对本发明作进一步详细的说明。
首先介绍一下基于光纤的单向光闸。如图1所示,普通光纤卡单纤无法工作,通常状况下光纤网卡必须同时插上2根光纤,其接口状态才能UP,网卡收发都有信号时才能够正常使用,TCP协议建立连接必须经过三次握手,需要双向通信,以确认连接,即:1.SYN=j;2、ACK=j+1;3、SYN+ACK=k;4、ACK=k+1。
单向光闸的单向通道使用单纤+信号模拟技术,使得光纤卡之间即使只插一根光纤即可处于Linked模式,即光卡单纤连接时也可工作在Linked状态,网络接口可正常UP。同时,使用信号模拟技术,支撑协议完成如速率协商、TCP握手等操作,顺利完成通信,实现单纤单向通道。
作为本发明基于光纤通信的双单向隔离交换方法的一个实施例,基于两条独立单向光纤通信的双单向光闸的通信过程如图2所示。源主机(发送端)和目的主机可经由二者之间的隔离设备完成原链路的正向通信和反向链路的反向通信。
正向通信的数据传输过程为:源主机→隔离设备的原链路发送代理模块→原链路单向发送单元→原链路单向接收单元→隔离设备的原链路接收代理模块→目的主机。
反向通信的数据传输过程为:目的主机→隔离设备的原链路接收代理模块→反向链路的发送代理模块→反向链路的单向发送单元→反向链路的接收单元→反向链路的接收代理模块→隔离设备原链路的发送代理模块→源主机。
正向通信和反向通信具体过程如下:
(1)发送端(即源主机)经过认证并通过后,向隔离设备发送代理模块发起连接请求;
(2)隔离设备发送代理模块收到请求后向源主机发送响应报文,经过确认后连接建立;
(3)发送端应用程序开始发送数据给隔离设备发送代理模块;
(4)隔离设备发送代理模块对数据进行合法性验证后提交给单向发送单元;
(5)单向发送单元通过单向链路将数据发送出去;
(6)单向接收单元收到数据后将数据提交给隔离设备接收代理模块;
(7)接收代理模块根据预先设置的通道策略信息找到目的主机地址,并想目的主机发送连接请求;
(8)目前主机收到连接请求后回送响应报文,接收代理模块收到响应报文后连接建立;
(9)接收代理模块将数据转发给目的主机;
(10)目的主机可以通过反向链路发送数据给隔离设备接收代理模块;
(11)隔离设备接收代理模块根据预先配置的安全策略对数据进行安全性验证,验证通过后将数据发送到反向链路发送代理模块;
(12)发送代理模块将数据单向提交给反向链路单向发送单元;
(13)反向链路单向发送单元通过反向链路将数据发送出去;
(14)反向链路接收单元接收到数据后将数据发送给反向链路接收代理模块;
(15)反向链路接收代理模块收到数据后转发给隔离设备原链路发送代理模块;
(16)隔离设备发送代理模块将数据发送给源主机。
另外,光闸中间单纤通道采用了自主设计的私有协议栈,私有协议栈是一个系统内核模块,通常加载在内核中。内部单向通道服务程序通过调用私有协议栈模块提供给用户的API接口来实现私有协议通信。这样可以实现对标准协议的剥离和封装,中断标准协议通信,阻止网络渗透。通道服务程序调用基于私有协议栈的API接口进行通信,阻断了标准的TCP/IP协议通信,进一步提升了安全性,也符合保密性要求。
实现本发明提出的双单向隔离交换方法的系统采用“4+2”架构,即由4台主机加上2条物理单向发送通道组成。每条条链路的单向性由光模块设计、驱动设计和应用设计的单向性决定。其中的收发单元使用单纤+信号模拟技术,使得光纤卡之间即使只插一根光纤,也可处于Linked模式,网络接口可正常UP。本系统同时使用信号模拟技术,支撑协议完成如速率协商、TCP握手等操作,顺利完成通信。同时,单纤通道内还使用了私有协议栈,进一步提升了安全性。中间私有通道通过独特设计的私有协议封装实现,代替了标准的TCP/IP协议通信。本发明通过专门设计即拥有了单向光闸的安全特性,也能够满足许多工业控制、基础设施安全等领域应用。
需要说明的是,以上具体实施方式的描述并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于光纤通信的双单向隔离交换方法,其特征在于,源主机和目的主机可经由二者之间的隔离设备完成原链路的正向通信和反向链路的反向通信,隔离设备包括原链路发送代理模块、原链路单向发送单元、原链路单向接收单元、原链路接收代理模块、反向链路的发送代理模块、反向链路的单向发送单元、反向链路的接收单元、反向链路的接收代理模块;
所述正向通信的数据传输过程为:源主机→原链路发送代理模块→原链路单向发送单元→原链路单向接收单元→原链路接收代理模块→目的主机;
所述反向通信的数据传输过程为:目的主机→原链路接收代理模块→反向链路的发送代理模块→反向链路的单向发送单元→反向链路的接收单元→反向链路的接收代理模块→原链路的发送代理模块→源主机。
2.根据权利要求1所述的基于光纤通信的双单向隔离交换方法,其特征在于所述正向通信包含以下步骤:
S1:源主机经过认证并通过后,向隔离设备的原链路发送代理模块发起连接请求;
S2:原链路发送代理模块收到连接请求后向源主机发送响应报文,经过确认后建立连接;
S3:源主机的应用程序开始发送数据给隔离设备的原链路发送代理模块;
S4:原链路发送代理模块对接收到的数据进行合法性验证后提交给原链路单向发送单元;
S5:该原链路单向发送单元通过单向链路将数据发送出去;
S6:原链路单向接收单元收到步骤5中的数据后将该数据提交给隔离设备的原链路接收代理模块;
S7:原链路接收代理模块根据预先设置的通道策略信息找到目的主机的地址,并向该目的主机发送连接请求;
S8:目的主机收到连接请求后回送响应报文,原链路接收代理模块收到响应报文后建立连接;
S9:原链路接收代理模块将步骤6中收到的数据转发给目的主机。
3.根据权利要求2所述的基于光纤通信的双单向隔离交换方法,其特征在于步骤S5中所述数据的发送是通过采用私有协议栈的私有通道,以阻断标准的TCP/IP协议通信。
4.根据权利要求1所述的基于光纤通信的双单向隔离交换方法,其特征在于所述反向通信包含以下步骤:
S10:目的主机通过反向链路发送数据给隔离设备的原链路接收代理模块;
S11:原链路接收代理模块根据预先配置的安全策略对数据进行安全性验证,验证通过后将数据发送到反向链路的发送代理模块;
S12:反向链路的发送代理模块将该数据单向提交给反向链路的单向发送单元;
S13:反向链路的单向发送单元通过反向链路将该数据发送出去;
S14:反向链路的接收单元接收到该数据后将该数据发送给反向链路的接收代理模块;
S15:反向链路的接收代理模块收到该数据后转发给隔离设备原链路的发送代理模块;
S16:隔离设备原链路的发送代理模块将该数据发送给源主机。
5.根据权利要求4所述的基于光纤通信的双单向隔离交换方法,其特征在于步骤S13中所述数据的发送是通过采用私有协议栈的私有通道,以阻断标准的TCP/IP协议通信。
6.一种实现如权利要求1所述的基于光纤通信的双单向隔离交换方法的系统,其特征在于,系统采用“4+2”架构,即隔离设备内包含4台主机与2条物理单向发送通道,4台主机上分别运行原链路发送代理模块、隔离设备的原链路接收代理模块、反向链路的发送代理模块和反向链路的接收代理模块,2条物理单向发送通道分别对应原链路和反向链路,原链路和反向链路均为单向性。
7.根据权利要求6所述的系统,其特征在于所述物理单向发送通道的发送单元和接收单元之间的通信使用单纤+信号模拟技术,使得光纤卡之间即使只插一根光纤也可处于Linked模式,网络正常UP。
8.根据权利要求7所述的系统,其特征在于为提升安全性所述发送单元和接收单元之间的通信使用私有协议栈,以阻断标准的TCP/IP协议通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010304246.3A CN111585653A (zh) | 2020-04-17 | 2020-04-17 | 一种基于光纤通信的双单向隔离交换方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010304246.3A CN111585653A (zh) | 2020-04-17 | 2020-04-17 | 一种基于光纤通信的双单向隔离交换方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111585653A true CN111585653A (zh) | 2020-08-25 |
Family
ID=72124406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010304246.3A Pending CN111585653A (zh) | 2020-04-17 | 2020-04-17 | 一种基于光纤通信的双单向隔离交换方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111585653A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112019542A (zh) * | 2020-08-28 | 2020-12-01 | 航天科工网络信息发展有限公司 | 一种跨网安全电子邮件系统 |
CN112929089A (zh) * | 2021-01-29 | 2021-06-08 | 无锡精全电气技术有限公司 | 通讯信号传输方法、电路及系统 |
-
2020
- 2020-04-17 CN CN202010304246.3A patent/CN111585653A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112019542A (zh) * | 2020-08-28 | 2020-12-01 | 航天科工网络信息发展有限公司 | 一种跨网安全电子邮件系统 |
CN112019542B (zh) * | 2020-08-28 | 2022-09-30 | 航天科工网络信息发展有限公司 | 一种跨网安全电子邮件系统 |
CN112929089A (zh) * | 2021-01-29 | 2021-06-08 | 无锡精全电气技术有限公司 | 通讯信号传输方法、电路及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Satran et al. | Internet small computer systems interface (iSCSI) | |
EP1551149B9 (en) | Universal secure messaging for remote security tokens | |
TWI362859B (zh) | ||
US7448081B2 (en) | Method and system for securely scanning network traffic | |
KR101363981B1 (ko) | 개별 전자 장치를 통한 모바일 사용자를 위한 서비스의 사용, 제공, 맞춤화 및 과금 | |
JP3262689B2 (ja) | 遠隔操作システム | |
US8065402B2 (en) | Network management using short message service | |
KR100261379B1 (ko) | 인터넷을 통한 경보안 통신 터널링 방법 및 그 장치 | |
US6704866B1 (en) | Compression and encryption protocol for controlling data flow in a network | |
KR101558491B1 (ko) | 단방향 통신을 이용한 네트워크 간 보안 게이트웨이 시스템 | |
WO2002082767A3 (en) | System and method for distributing security processing functions for network applications | |
KR20090056915A (ko) | 근접 통신 네트워크에서 안전한 통신을 위한 시스템 및 방법 | |
WO2005122525A2 (en) | An access controller | |
CN101636968A (zh) | 使用传输控制协议状态转换防止拒绝服务攻击的方法 | |
CN212850561U (zh) | 实现内网信息安全的网络安全隔离装置 | |
CN110266725B (zh) | 密码安全隔离模块及移动办公安全系统 | |
Chadalapaka et al. | Internet small computer system interface (iSCSI) protocol (consolidated) | |
CN107277058B (zh) | 一种基于bfd协议的接口认证方法及系统 | |
CN105306483B (zh) | 一种安全快速的匿名网络通信方法及系统 | |
CN111585653A (zh) | 一种基于光纤通信的双单向隔离交换方法 | |
JP2001022665A (ja) | ソフトウェアコンポーネント間の通信のセキュリティを確保できる情報処理システム | |
KR20180028742A (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
KR100539760B1 (ko) | 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법 | |
CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
KR101286978B1 (ko) | 가상화를 이용한 다중망 연계장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |