发明内容
鉴于上述问题,本发明提出了一种单向网闸接口电路、方法及可读存储介质,通过收发独立,并结合了数据协议、数据加密、数据解密和数据分发,实现了网闸设备的安全收发。
根据本发明实施例第一方面,提供一种单向网闸接口电路。
所述的一种单向网闸接口电路包括:网闸核心、分发处理器、第一微处理器、第二微处理器、第一光口、第二光口;所述网闸核心与所述分发处理器电连接,所述分发处理器与所述第一微处理器电连接,所述分发处理器与所述第二微处理器电连接,所述第一微处理器与所述第一光口通过光纤连接,所述第二微处理器与所述第二光口通过光纤连接。
在一个或多个实施例中,优选地,所述网闸核心包括第一网络接口和第二网络接口;
所述第一网络接口和所述第二网络接口均采用RGMII协议。
在一个或多个实施例中,优选地,所述分发处理器包括第三网络接口、第四网络接口、第五网络接口和第六网络接口;所述第三网络接口和所述第四网络接口均采用RGMII协议;所述第五网络接口和所述第六网络接口均采用HSPI协议。
在一个或多个实施例中,优选地,所述第一微处理器包括第七网络接口和第八网络接口;所述第七网络接口采用HSPI协议;所述第八网络接口单向接收所述第一光口的传输数据。
在一个或多个实施例中,优选地,所述第二微处理器包括第九网络接口和第十网络接口;所述第九网络接口采用HSPI协议;所述第十网络接口单向发送传输数据到所述第二光口。
根据本发明实施例第二方面,提供一种单向网闸接口方法。
所述的一种单向网闸接口方法包括:
通过分发处理器判断是否获得光信号传输数据,当获得所述光信号传输数据时向网闸核心发出第一控制指令,当未获得所述光信号传输数据时向所述网闸核心发送加密数据;
当所述网闸核心收到所述第一控制指令后,获取光信号传输数据,所述网闸核心进行数据加密和数据解密,生成原始数据,对所述网闸核心生成的所述原始数据,获取数据头,并根据预设的分类表获得加密系数,根据所述加密系数将所述原始数据转化为目标数据,并判断所述目标数据是否满足数据传输加密指数;
当所述网闸核心获得所述加密数据时,将所述加密数据解密为数据分发包,对所述数据分发包根据预设的发送数据接口生成为协议分发数据,根据所有的所述协议分发数据,所述网闸核心控制将所述数据分发包发送到所述预设的发送数据接口。
在一个或多个实施例中,优选地,获取光信号传输数据,所述网闸核心进行数据加密和数据解密,生成原始数据,具体包括:
获得光信号传输数据,将输入数据转化为连续的第一数据序列;
对所述第一数据序列乘以预设的第一加密密码,生成加密数据序列;
通过第一加密密码对所述加密数据序列进行解密,获得原始数据。
在一个或多个实施例中,优选地,对所述网闸核心生成的所述原始数据,获取数据头,并根据预设的分类表获得加密系数,根据所述加密系数将所述原始数据转化为目标数据,并判断所述目标数据是否满足数据传输加密指数,具体包括:
对所述原始数据进行数据提取,获得所述数据头;
对所述数据头进行分类处理,根据预设的分类表获得所述加密系数;
根据所述加密系数利用第一计算公式将所述原始数据生成所述目标数据;
根据第二计算公式判断,所述目标数据是否满足预设数据传输加密指数;
所述第一计算公式为:
其中,a 11、a 10、 a 22、a 21、a 20、……、a LL、a L2、a L1、 a L0均为所述加密系数,x 1、x 2、……、x L分别为所述原始数据中的第一个数据、第二个数据、……、第L个数据,y1、y2、……、yL分别为所述目标数据中的第一个数据、第二个数据、……、第L个数据,L为加密等级;
所述第二计算公式为:
其中,B11、B12、B21、B22、……、BL1、BL2均为所述预设数据传输加密指数,y1、y2、……、yL分别为所述目标数据中的第一个数据、第二个数据、……、第L个数据,L为加密等级。
在一个或多个实施例中,优选地,当所述网闸核心获得所述加密数据时,将所述加密数据解密为数据分发包,具体包括:
当获得加密数据后,保存为第二数据序列;
获得解密系数序列;
对所述第二数据序列通过第三计算公式进行解密,生成目标解密数据;
将所述目标解密数据生成为数据分发包;
所述第三计算公式为:
其中,x i 为第i个所述目标解密数据,x k 为第k个所述目标解密数据,a ik 为第i级加密的第k个所述解密系数序列,y i 为第i级加密的所述第二数据序列,a ii 为第i级加密的第i个所述解密系数序列,a i0为第i级加密的第0个所述加密系数,i为大于0小于等于L的整数,L为加密等级,k为大于0小于等于i-1的整数。
根据本发明实施例第三方面,提供一种计算机可读存储介质,其上存储计算机程序指令,所述计算机程序指令在被处理器执行时实现如本发明实施例第一方面中任一项所述的方法。
本发明的实施例提供的技术方案可以包括以下有益效果:
1)本发明实施例通过FPGA分发实现独立的收发信息隔离,保证收发数据的安全和可靠。
2)本发明实施例通过一套完整的加密、解密和分发数据流程,保证网闸数据的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
具体实施方式
在本发明的说明书和权利要求书及上述附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如101、102等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
网闸是使用带有多种控制功能的固态开关读写介质,主要用于连接两个独立主机系统的信息安全设备。因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。在网闸传送数据过程中要实现病毒、木马过滤和安全性检查等一系列功能,这都需要网络管理员根据网络应用的具体情况加以判断和设置。如果设置不当,比如对内部人员向外部提交的数据不进行过滤而导致信息外泄等,都可能造成安全网闸的安全功能大打折扣。
现有技术多数为网闸处理器连接网络芯片,并通过网络芯片转换成物理差分信号。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。该电路通信协议为以太网协议,对加密性及安全性不高,很容易被破解,而且价格昂贵,实现方法难度较大。本发明实施例中,提供了一种单向网闸接口电路、方法及可读存储介质。该方案通过收发独立,并结合了数据协议、数据加密、数据解密和数据分发,实现了网闸设备的安全收发。
根据本发明实施例第一方面,提供一种单向网闸接口电路。
图1是本发明一个实施例的一种单向网闸接口电路的结构图。
如图1所示,在一个或多个实施例中,优选地,所述的一种单向网闸接口电路包括:网闸核心101、分发处理器102、第一微处理器103、第二微处理器104、第一光口105、第二光口106;所述网闸核心101与所述分发处理器102电连接,所述分发处理器102与所述第一微处理器103电连接,所述分发处理器102与所述第二微处理器104电连接,所述第一微处理器103与所述第一光口105通过光纤连接,所述第二微处理器104与所述第二光口105通过光纤连接。
在本发明实施例中,分别采用了第一微处理器和第二微处理器单独进行数据的收发。所述分发处理器102为FPGA芯片。由于不同的处理器单独进行收数据和发数据的数据处理,保证了在执行过程中互不干扰。在这种情况下,可阻碍数据发送与数据接收之间的关联。此外,由于数据在经过所述分发处理器时,进行数据的分散,将网闸核心数据进行新的格式的组合。
图2是本发明一个实施例的一种单向网闸接口电路的示意图。
如图2所示,在一个或多个实施例中,优选地,所述网闸核心101包括第一网络接口和第二网络接口;
所述第一网络接口和所述第二网络接口均采用RGMII协议。
在本发明实施例中,RGMII(Reduced Gigabit Media Independent Interface)是吉比特介质独立接口,RGMII均采用4位数据接口,工作时钟125MHz,并且在上升沿和下降沿同时传输数据,因此,传输速率可达1000Mbps,通过该数据协议可以直接将数据高速的发送的。
在一个或多个实施例中,优选地,所述分发处理器102包括第三网络接口、第四网络接口、第五网络接口和第六网络接口;
所述第三网络接口和所述第四网络接口均采用RGMII协议;
所述第五网络接口和所述第六网络接口均采用HSPI协议。
在本发明实施例中,(High-Speed Parallel Interface, HSPI) 高速并接口,并行接口中各位数据都是并行传送的,具体的以字节8位或字节16位为单位进行数据传输。
在一个或多个实施例中,优选地,所述第一微处理器103包括第七网络接口和第八网络接口;
所述第七网络接口采用HSPI协议;
所述第八网络接口单向接收所述第一光口的传输数据。
在本发明实施例中,通过第七网络接口和第八网络接口分别进行数据的协议转换,并通过第八网络接口进行单向的光信号传递,第七网络接口可以直接通过电信号传输。
在一个或多个实施例中,优选地,所述第二微处理器104包括第九网络接口和第十网络接口;所述第九网络接口采用HSPI协议;所述第十网络接口单向发送传输数据到所述第二光口。
在本发明实施例中,通过九网络接口和第十网络接口分别进行数据的协议转换,并通过第十网络接口进行单向的光信号传递,第九网络接口可以直接通过电信号传输。
根据本发明实施例第二方面,提供一种单向网闸接口方法。
图3是本发明一个实施例的一种单向网闸接口方法的流程图。
如图3所示,在一个或多个实施例中,优选地,所述的一种单向网闸接口方法包括:
S301、通过分发处理器判断是否获得光信号传输数据,当获得所述光信号传输数据时向网闸核心发出第一控制指令,当未获得所述光信号传输数据时向所述网闸核心发送加密数据;
S302、当所述网闸核心收到所述第一控制指令后,获取光信号传输数据,所述网闸核心进行数据加密和数据解密,生成原始数据;对所述网闸核心生成的所述原始数据,获取数据头,并根据预设的分类表获得加密系数,根据所述加密系数将所述原始数据转化为目标数据,并判断所述目标数据是否满足数据传输加密指数;
S302、当所述网闸核心获得所述加密数据时,将所述加密数据解密为数据分发包;对所述数据分发包根据预设的发送数据接口生成为协议分发数据;根据所有的所述协议分发数据,所述网闸核心控制将所述数据分发包发送到所述预设的发送数据接口。
本发明实施例中,提供了一种与系统对应的数据加密、数据解密和数据分发,通过以上流程,能够保证了全部数据在交互过程的安全性。
图4是本发明一个实施例的一种单向网闸接口方法中的获取光信号传输数据,所述网闸核心进行数据加密和数据解密,生成原始数据的流程图。
如图4所示,在一个或多个实施例中,优选地,获取光信号传输数据,所述网闸核心进行数据加密和数据解密,生成原始数据,具体包括:
S401、获得光信号传输数据,将输入数据转化为连续的第一数据序列;
S402、对所述第一数据序列乘以预设的第一加密密码,生成加密数据序列;
S403、通过第一加密密码对所述加密数据序列进行解密,获得原始数据。
本发明实施例中,对于光信号获得的传输数据,进行加密和解密,在数据刚刚收到后直接进行数据加密,进行保存;当需要使用时,再进行解密处理。因此,保证数据了数据可靠性,当外部通过其他接口访问到数据存储位置时,不会出现数据泄露。
图5是本发明一个实施例的一种单向网闸接口方法中的对所述网闸核心生成的所述原始数据,获取数据头,并根据预设的分类表获得加密系数,根据所述加密系数将所述原始数据转化为目标数据,并判断所述目标数据是否满足数据传输加密指数的流程图。
如图5所示,在一个或多个实施例中,优选地,对所述网闸核心生成的所述原始数据,获取数据头,并根据预设的分类表获得加密系数,根据所述加密系数将所述原始数据转化为目标数据,并判断所述目标数据是否满足数据传输加密指数,具体包括:
S501、对所述原始数据进行数据提取,获得所述数据头;
S502、对所述数据头进行分类处理,根据预设的分类表获得所述加密系数;
S503、根据所述加密系数利用第一计算公式将所述原始数据生成所述目标数据;
S504、根据第二计算公式判断,所述目标数据是否满足预设数据传输加密指数;
所述第一计算公式为:
其中,a 11、a 10、 a 22、a 21、a 20、……、a LL、a L2、a L1、 a L0均为所述加密系数,x 1、x 2、……、x L分别为所述原始数据中的第一个数据、第二个数据、……、第L个数据,y1、y2、……、yL分别为所述目标数据中的第一个数据、第二个数据、……、第L个数据,L为加密等级;
所述第二计算公式为:
其中,B11、B12、B21、B22、……、BL1、BL2均为所述预设数据传输加密指数,y1、y2、……、yL分别为所述目标数据中的第一个数据、第二个数据、……、第L个数据,L为加密等级。
本发明实施例中,对于已有的解密数据,在进行发送前,需要对数据进行二次加密。在二次加密时,通过查询预设的加密系数进行,可以保证传输的线路能够直接解析这个数据。若在传输过程中,数据被截获,也无法被解密。
图6是本发明一个实施例的一种单向网闸接口方法中的当所述网闸核心获得所述加密数据时,将所述加密数据解密为数据分发包的流程图。
如图6所示,在一个或多个实施例中,优选地,当所述网闸核心获得所述加密数据时,将所述加密数据解密为数据分发包,具体包括:
S601、当获得加密数据后,保存为第二数据序列;
S602、获得解密系数序列;
S603、对所述第二数据序列通过第三计算公式进行解密,生成目标解密数据;
S604、将所述目标解密数据生成为数据分发包;
所述第三计算公式为:
其中,x i 为第i个所述目标解密数据,x k 为第k个所述目标解密数据,a ik 为第i级加密的第k个所述解密系数序列,y i 为第i级加密的所述第二数据序列,a ii 为第i级加密的第i个所述解密系数序列,a i0为第i级加密的第0个所述加密系数,i为大于0小于等于L的整数,L为加密等级,k为大于0小于等于i-1的整数。
本发明实施例中,对于获得的加密数据,直接通过预设的解密系数进行解密,并根据数据分发的方向,生成数据分发包。因此,对于不同的数据分发方向,产生的对应位置的协议数据。
根据本发明实施例第三方面,提供一种计算机可读存储介质,其上存储计算机程序指令,所述计算机程序指令在被处理器执行时实现如本发明实施例第一方面中任一项所述的方法。
本发明的实施例提供的技术方案可以包括以下有益效果:
1)本发明实施例通过FPGA分发实现独立的收发信息隔离,保证收发数据的安全和可靠。
2)本发明实施例通过一套完整的加密、解密和分发数据流程,保证网闸数据的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。