CN114301691B - 分布式信号单向传输隔离方法、装置、设备及存储介质 - Google Patents
分布式信号单向传输隔离方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114301691B CN114301691B CN202111641622.9A CN202111641622A CN114301691B CN 114301691 B CN114301691 B CN 114301691B CN 202111641622 A CN202111641622 A CN 202111641622A CN 114301691 B CN114301691 B CN 114301691B
- Authority
- CN
- China
- Prior art keywords
- service system
- control signal
- target service
- signal
- sending end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 69
- 238000002955 isolation Methods 0.000 title claims abstract description 53
- 238000004891 communication Methods 0.000 claims abstract description 64
- 238000000034 method Methods 0.000 claims abstract description 27
- 238000004590 computer program Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000008054 signal transmission Effects 0.000 description 3
- 238000006073 displacement reaction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000012466 permeate Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种分布式信号单向传输隔离方法、装置、设备及存储介质,其中用于管控端的方法包括:接收信号源发送的控制信号;确定激光信号在显示器上的光点位置信息所在显示区域对应的目标业务系统;通过预设的目标业务系统对应的客户端模块,与预设的目标业务系统对应的发送端建立单向通信连接,释放与目标业务系统非对应的发送端的单向通信连接;每个客户端模块仅对应一个发送端,且仅能与对应的发送端建立单向通信连接,每个发送端仅对应一个业务系统;通过已建立单向通信连接的客户端模块,向目标业务系统对应的发送端发送控制信号,以使目标业务系统对应的发送端向目标业务系统发送控制信号。本发明可保证不同业务系统的控制信号相互隔离。
Description
技术领域
本发明涉及通信传输技术领域,更具体地,涉及一种分布式信号单向传输隔离方法、装置、设备及存储介质。
背景技术
随着网络传输、编解码算法技术的不断发展,基于IP地址网络化音视频传输端到端延时越来越低,分布式音视频处理系统延伸出一种分布式坐席管理系统。分布式坐席管理系统是一种以硬件物理隔离的方式实现远程电脑控制,相对于传统的远程桌面方式,无需在电脑安装任何软件,保证了用户电脑信息安全;相对于传统的矩阵式KVM(KeyboardVideo Mouse,键盘、视频、鼠标)系统,分布式坐席管理系统具有灵活性、易扩容、易维护、易安装,已得到用户市场的认可。
分布式坐席管理系统实现了用户所有的业务系统汇聚到坐席端,操作员通过一套键盘、鼠标漫游控制多个业务系统。分布式坐席管理系统具有USB透传的功能,操作员可通过USB透传功能实现坐席端插入U-KEY,登录业务系统,也可通过插入U盘,CD-ROM,打印机等设备,满足其办公需求。
在某些指挥调度场景中,例如应急、电力等行业,由于内网(应急专网、电力专网)业务系统信息的保密性要求,根据国标相关规范性要求,内网业务系统确保要与外网(互联网)业务系统实现信号隔离,防止外网非法设备入侵、控制内网业务系统,盗取机密信息。同时,所有业务系统的键鼠控制信号均由管控端单向传输到发送端,发送端与业务系统有USB物理传输通道,发送端通过该通道单向传输键鼠信号到业务系统,要防止业务系统信息通过USB物理传输通道反向泄露分布式系统网络。
分布式坐席管理系统如何解决内网、外网业务系统的键鼠控制信号隔离,单向传输,防止外网入侵、渗透控制内网业务系统,是现实要解决的问题。
发明内容
本发明旨在克服上述现有技术的至少一种缺陷(不足),提供一种分布式信号单向传输隔离方法、装置、设备及存储介质,用于解决分布式坐席管理系统中如何防止外网入侵、渗透内网业务系统的问题。
本发明采取的技术方案是:
第一方面,本发明提供一种分布式信号单向传输隔离方法,用于管控端,包括:
接收信号源发送的控制信号;
获取激光信号在显示器上的光点位置信息,所述显示器用于在预设的对应显示区域显示各业务系统的视频信号;
根据各业务系统的视频信号在所述显示器的显示区域,确定所述光点位置信息所在显示区域对应的目标业务系统;
通过预设的所述目标业务系统对应的客户端模块,与预设的目标业务系统对应的发送端建立单向通信连接,释放与所述目标业务系统非对应的发送端的单向通信连接;每个所述客户端模块仅对应一个所述发送端,且仅能与对应的所述发送端建立单向通信连接,每个所述发送端仅对应一个业务系统;
通过已建立单向通信连接的所述客户端模块,向所述目标业务系统对应的发送端发送所述控制信号,以使所述目标业务系统对应的发送端向所述目标业务系统发送所述控制信号。
第二方面,本发明提供一种分布式信号单向传输隔离方法,用于发送端,包括:
每个所述发送端仅对应一个业务系统,作为目标业务系统对应的发送端时:
通过预设的所述目标业务系统对应的客户端模块与管控端建立单向通信连接,每个所述客户端模块仅对应一个所述发送端,且仅能与对应的所述发送端建立单向通信连接;
通过已建立单向通信连接的所述客户端模块,接收所述管控端发送的控制信号;
向所述目标业务系统发送所述控制信号;
所述目标业务系统为激光信号在显示器上的光点位置信息所在显示区域对应的业务系统,所述显示器用于在预设的对应显示区域显示各业务系统的视频信号,所述控制信号为信号源发送至所述管控端的;
作为目标业务系统非对应的发送端时:
断开与目标业务系统非对应的客户端模块的单向通信连接。
第三方面,本发明提供一种分布式信号单向传输隔离装置,包括:
信号接收模块,用于接收信号源发送的控制信号;
信号切换模块,用于获取激光信号在显示器上的光点位置信息,所述显示器用于在预设的对应显示区域显示各业务系统的视频信号;根据各业务系统的视频信号在所述显示器的显示区域,确定所述光点位置信息所在显示区域对应的目标业务系统;
客户端模块,仅对应一个发送端,且仅能与对应的所述发送端建立单向通信连接,每个所述发送端仅对应一个业务系统;
所述客户端模块,用于作为所述目标业务系统对应的客户端模块时,与预设的目标业务系统对应的发送端建立单向通信连接,向所述目标业务系统对应的发送端发送所述控制信号,以使所述目标业务系统对应的发送端向所述目标业务系统发送所述控制信号;作为所述目标业务系统非对应的客户端模块时,释放与所述目标业务系统非对应的发送端的单向通信连接。
第四方面,本发明提供一种分布式信号单向传输隔离装置,包括:
服务端模块,仅对应一个客户端模块,仅对应一个业务系统,且仅能与对应的所述客户端模块建立单向通信连接;
所述服务端模块,用于作为目标业务系统对应的服务端模块时,通过预设的所述目标业务系统对应的客户端模块与管控端建立单向通信连接,接收管控端发送的控制信号;作为目标业务系统非对应的服务端模块时,断开目标业务系统非对应的客户端模块的单向通信连接;
所述目标业务系统为激光信号在显示器上的光点位置信息所在显示区域对应的业务系统,所述显示器用于在预设的对应显示区域显示各业务系统的视频信号,所述控制信号为信号源发送至所述管控端的;
信号发送模块,用于在所述服务端模块接收到所述管控端发送的控制信号后,向所述目标业务系统发送所述控制信号。
第五方面,本发明提供一种电子设备,包括存储器和处理器,存储器存储有计算机程序,所述处理器执行计算机程序时实现如第一方面、第二方面所述的分布式信号单向传输隔离方法。
第六方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面、第二方面所述的分布式信号单向传输隔离方法。
与现有技术相比,本发明的有益效果为:在管控端建立客户端模块池,管控端管控多个客户端模块,每个客户端模块对应一个发送端,每个客户端模块只负责与一个发送端进行传输,且每个客户端模块对应一个业务系统,仅有目标业务系统对应的客户端模块才能与发送端进行传输,由此可以保证不同业务系统的控制信号的相互隔离,防止外网业务系统的控制信号入侵、渗入内网业务系统。
附图说明
图1为本发明的一种坐席管理系统组成图。
图2为本发明实施例1的分布式信号单向传输隔离方法第一流程图。
图3为本发明实施例1的显示器示意图。
图4为本发明实施例1的分布式信号单向传输隔离方法第二流程图。
图5为本发明实施例2的分布式信号单向传输隔离方法第一流程图。
图6为本发明实施例2的分布式信号单向传输隔离方法第二流程图。
图7为本发明实施例3的分布式信号单向传输隔离装置组成图。
图8为本发明实施例4的分布式信号单向传输隔离装置组成图。
具体实施方式
图1为一种坐席管理系统组成图。如图1所示,在坐席管理系统中多个业务系统的视频信号汇聚到管控端,通过管控端发送至一个显示器。具体地,业务系统的视频信号(可通过HDMI接口)发送至发送端,由发送端将视频信号发送至管控端,再由管控端将视频信号发送至一个显示器。显示器用于接收并显示各业务系统的视频信号,显示器可以对不同的业务系统所发来的视频信号,预先分配不同的显示区域,一个显示区域对应显示一个业务系统所发来的视频信号。
在坐席管理系统中信号源发出的用于控制各业务系统的控制信号,也会汇聚到管控端,由管控端发送至业务系统。具体地,信号源将控制信号发送至管控端,由管控端将控制信号发送至发送端,再由发送端将控制信号(可通过USB接口)发送至业务系统,从而实现信号源对业务系统的控制。
业务系统可以包括内网业务系统和外网业务系统。内网业务系统指的是客户行业专网(应急专网、电力专网等)内的电脑及运行在电脑上的软件,可统称内网业务系统;外网业务系统指的是互联网内的电脑及运行在电脑上的软件,统称外网业务系统。
在一种优选的坐席管理系统中,发送端和管控端均设有两个网口,其中一个网口专门用作传输视频信号,另一个网口专门用作传输控制信号,两个网口互相独立、隔离,以保证控制信号的安全性传输。视频信号和控制信号的传输可以采用防火墙进行隔离。
在上述坐席管理系统下,只需要一个信号源,就可以漫游在多个业务系统,实现对多个业务系统的控制。当业务系统既有内网业务系统,又有外网业务系统时,需要解决外网业务系统的控制信号入侵、渗透控制内网业务系统的问题。
为了解决上述问题,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。本发明实施例中的附图仅用于示例性说明,不能理解为对本发明的限制。对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
实施例1
本实施例提供一种分布式信号单向传输隔离方法,可以应用于如上述坐席管理系统中的管控端。图2为本实施例所提供的分布式信号单向传输隔离方法第一流程图。如图2所示,该分布式信号单向传输隔离方法包括:
S101.接收信号源发送的控制信号。
信号源是指可以发送出控制信号的硬件设备或软件。在一种可行的实施方式下,信号源可以是键盘和/或鼠标,相应的,控制信号则是键盘控制信号和/或鼠标控制信号。
S102.获取激光信号在显示器上的光点位置信息,显示器用于在预设的对应显示区域显示各业务系统的视频信号。
激光信号是可在显示器上投映一个光点或者出射一条指向显示器光线而形成一个光点的光信号。获取激光信号在显示器上的光点位置信息,可以采用任何一种可检测到激光信号并计算得到光点位置信息的设备,或者直接采集激光信号的设备。在一种可行的实施方式下,可以通过图像采集设备将包含激光信号的显示器当前所显示的图像进行采集,根据采集后的图像计算激光信号在显示器上的光点位置信息。
在一种可行的实施方式下,激光信号是显示器显示的鼠标信号和/或键盘信号。
显示器对不同的业务系统预先分配不同的显示区域,一个显示区域对应显示一个业务系统所发来的视频信号。
S103.根据各业务系统的视频信号在显示器的显示区域,确定光点位置信息所在显示区域对应的目标业务系统。
当获取到激光信号在显示器上的光点位置信息后,即可确定光点所在的显示区域,基于上述显示器的显示区域预设了对应显示的业务系统,可以进一步确定光点所在的显示区域对应的业务系统,所确定的业务系统为目标业务系统。
如图3所示,如显示器总分辨率是3840x2160,每个业务系统信号分辨率是1920x1080,以四宫格排列方式,激光信号显示的光点为鼠标的标志。鼠标在3840x2160分辨率下的显示器自由漫游,当鼠标位置在{(0,0),(1920,1080)}内,目标业务系统为业务系统1(内网),当鼠标位置在{(1921,0),(3840,1080)},目标业务系统为业务系统2(内网),如此类推。
S104.通过预设的目标业务系统对应的客户端模块,与预设的目标业务系统对应的发送端建立单向通信连接,释放与目标业务系统非对应的发送端的单向通信连接,每个客户端模块仅对应一个所述发送端,且仅能与对应的所述发送端建立单向通信连接,每个发送端仅对应一个业务系统。
客户端模块是运行在管控端的一个模块。为保证数据隔离,管控端建立一个客户端模块池,也即管控端包括多个客户端模块,每个客户端模块只对应一个发送端,只负责与一个对应的发送端进行数据传输,每个发送端仅对应一个业务系统。具体实施过程中,发送端也具备一个与客户端模块对应的服务端模块,每个客户端模块具体只负责与一个该业务系统的发送端的服务端模块进行数据传输。
每个客户端模块都是相互隔离、相互隐藏数据的。在确定目标业务系统后,通过目标业务系统对应的客户端模块,管控端只与目标业务系统对应的发送端建立单向通信连接,自动断开与除了目标业务系统以外其它业务系统的单向通信连接,保证了不同业务系统所对应的发送端之间不会有任何的连接,也不会有任何的数据传输。
再如图3所示,如鼠标移到业务系统1(内网)时,也即此时目标业务系统为业务系统1,则管控端仅通过业务系统1对应的客户端模块,与业务系统1对应的发送端建立单向通信连接,自动断开与其它业务系统对应的发送端之间的单向通信连接,保证其它业务系统对应的发送端不会与管控端有任何控制信号的传输。
S105.通过已建立单向通信连接的客户端模块,向目标业务系统对应的发送端发送控制信号,以使目标业务系统对应的发送端向目标业务系统发送控制信号。
在管控端的客户端模块与目标业务系统对应的发送端建立单向通信连接后,管控端就可以通过该客户端模块向目标业务系统对应的发送端发送控制信号。
向目标业务系统对应的发送端发送控制信号,具体可以包括:通过防火墙向目标业务系统对应的发送端单向发送控制信号;防火墙仅允许控制信号从管控端传输至发送端。
防火墙可以隔离不同业务系统对应的发送端,发送端之间不能进行网络单向通信,只允许管控端与发送端进行网络单向通信,且能起到管控端与发送端正向隔离作用,保证控制信号只从管控端到发送端,不允许发送端反向传输到管控端,从而实现单向地发送控制信号。
防火墙可开启终端资产自动发现,开启上下线日志和阻断日志功能,配置日志服务器为统一安全管理平台,收集并下发终端信息特征,扫描网段所有设备,只有白名单内的终端安全。开启终端安全接入IP认证,终端需在防火墙上进行身份认证后才能接入网络,阻断白名单外所有终端。防火墙还可开启安全接入、前端安全,配置前端安全协议白名单。
图4为本实施例所提供的分布式信号单向传输隔离方法第二流程图。如图4所示,基于上述分布式信号单向传输隔离方法第一流程图,增加了加密解密的步骤。
本实施例所提供的分布式信号单向传输隔离方法中,在步骤S101接收信号源发送的控制信号之后、步骤S105向目标业务系统对应的发送端发送控制信号之前,还可以包括:
对控制信号进行加密,控制信号在发送端将控制信号发送至目标业务系统之前由发送端进行解密。
管控端将加密的控制信号发送至发送端,发送端接收到加密的控制信号后解密发送至目标业务系统,可以加强控制信号传输的保密性。
对控制信号加密可以采用AES56算法。AES56算法属于对称加密算法,是一个分组密码。密钥长度256bit,分组长度128bit,加密轮数14。加密流程:字节代替、行位移、列混淆、轮密钥加。经过AES256算法加密后,控制信号所有字段均无法被非法设备破解识别。
优选地,在对控制信号进行加密前,还可以包括:在控制信号加设ID和/或时间戳。
在控制信号加设ID后再将控制信号与ID一起加密,可以使得发送端解密之后除了得到控制信号,还能得到ID。根据ID可以判断控制信号是否来自管控端,若判定控制信号非来自管控端,则丢弃控制信号,发送端不会向目标业务系统发送该控制信号,若判定控制信号来自管控端,则该控制信号才会保留下来等待发送端向目标业务系统发送。
在控制信号加设时间戳后再将控制信号与时间戳,可以使得发送端解密之后除了得到控制信号以外,还能得到时间戳。判断时间戳与当前时间的差值是否大于预设阈值,若是则丢弃控制信号,发送端不会向目标业务系统发送该控制信号,若否则该控制信号才会保留下来等待发送端向目标业务系统发送。
控制信号通过AES256算法加密后,非法设备入侵、渗透到网络,对于其所非法截取的控制信号,虽然说几乎不可能破解,但存在一个问题:非法设备利用交换机端口镜像的功能,录制一段控制信号的数据,在某个时间后播放,以达到非法控制业务系统的目的。因此,引入了控制信号抗重放加密机制。该机制具体是:发送端与管控端定期对时,保证两边的时间一致,可采用NTP对时机制,时间误差控制通常小于1毫秒。管控端在每个控制信号均加设当前的时间戳,发送端接收到控制信号后,首先采用AES256解密,得到该控制信号所加设的时间戳,将该时间戳与当前系统时间对时,若大于预设阈值,即认为该控制信号是不新鲜的,需要丢弃。这样,通过交换机端口镜像保存的控制信号的数据再次传输到发送端时,发送端均会全部丢弃,保证了控制信号只能从管控端发出来的单向传输。
可以理解的是,在控制信号同时加设ID和时间戳的情况下,控制信号会与ID、时间戳一起加密,发送端解密之后可以同时得到控制信号、ID和时间戳,只要根据ID判定控制信号非来自管控端,或者判定时间戳与当前时间的差值大于预设阈值,就会丢弃该控制信号,该控制信号均不会被发送至目标业务系统。
在一种可行的实施方式下,加设ID和时间戳的控制信号,其信息字段可以包括起始标志、终止标志、ID、时间戳、载体、校验码。载体是真正的控制信号信息。在控制信号以流式传输时,起始标志和终止标志可以用于发送端在一串字节流中提取控制信号信息的过程中指示起始位置和终止位置。具体地,起始标志可以是同步头识别,用于识别一条控制信号信息的起始,终止标志可以是长度字段,用于指示该条控制信号信息的长度,同步头识别配合长度字段,就可以得到该条控制信号信息的终止。校验码可以让发送端正确识别一条完整的控制信号信息,保证信息字段的完整性。具体地,发送端会通过CRC校验结果,与校验码进行对比,根据对比结果判断该条控制信号信息是否正确、完整。
如图4所示,增加了上述的加密解密步骤后,本实施例所提供的分布式信号单向传输隔离方法包括:
S111.接收信号源发送的控制信号。
S112.在控制信号加设ID和/或时间戳。
S113.对控制信号加密。
若步骤S112中控制信号加设了ID,则发送端解密控制信号之后会得到ID,在根据ID判定控制信号非来自管控端时,丢弃控制信号;若步骤S112中控制信号加设了时间戳,则发送端解密控制信号之后会得到时间戳,在判定时间戳与当前时间的差值大于预设阈值时,丢弃控制信号。
S114.获取激光信号在显示器上的光点位置信息,显示器用于在预设的对应显示区域显示各业务系统的视频信号。
S115.根据各业务系统的视频信号在显示器的显示区域,确定光点位置信息所在显示区域对应的目标业务系统。
S116.通过预设的目标业务系统对应的客户端模块,与预设的目标业务系统对应的发送端建立单向通信连接,释放除目标业务系统以外其它业务系统的发送端的单向通信连接,每个客户端模块仅对应一个所述发送端,仅能与对应的所述发送端建立单向通信连接。
S117.通过已建立单向通信连接的客户端模块,并通过防火墙向目标业务系统对应的发送端单向地发送控制信号,以使目标业务系统对应的发送端对控制信号解密后向目标业务系统发送解密后的控制信号。
通过步骤S111至S117可以实现控制信号从信号源依次通过管控端、发送端单向地传输至业务系统,并且传输至不同业务系统的不同控制信号可以相互隔离,有效地防止外网业务系统的控制信号入侵、渗透控制内网业务系统。
实施例2
基于与上述实施例相同的发明构思,本实施例提供一种分布式信号单向传输隔离方法,可以应用于如上述坐席管理系统中的发送端。图5为本实施例所提供的分布式信号单向传输隔离方法第一流程图。如图5所示,每个发送端仅对应一个业务系统,该分布式信号单向传输隔离方法包括:
作为目标业务系统对应的发送端时,包括如下步骤:
S201.通过预设的目标业务系统对应的客户端模块与管控端建立单向通信连接,每个客户端模块仅对应一个发送端,且仅能与对应的发送端建立单向通信连接。
目标业务系统为激光信号在显示器上的光点位置信息所在显示区域对应的业务系统,显示器用于在预设的对应显示区域显示各业务系统的视频信号,控制信号为信号源发送至管控端的。
S202.通过已建立单向通信连接的客户端模块,接收管控端发送的控制信号。
接收管控端发送的控制信号,可以具体包括:通过防火墙单向接收管控端发送的控制信号,防火墙仅允许控制信号从管控端传输至发送端。
S203.向目标业务系统发送控制信号。
优选地,向目标业务系统发送控制信号,可以具体包括:采用HID协议单向地向目标业务系统发送控制信号。
HID是一种人机交互设备,也是一种标准协议,一般的业务系统标准自带驱动程序支持该标准协议。发送端采用HID协议向目标业务系统发送控制信号,意味着发送端正向地向业务系统发送标准的控制信号,反向只从业务系统接收反馈的控制状态,保证了控制信号的单向、安全传输。
作为目标业务系统非对应的发送端时,包括如下步骤:
S204.断开与目标业务系统非对应的客户端模块的单向通信连接。
图6为本实施例所提供的分布式信号单向传输隔离方法第二流程图。如图6所示,基于上述分布式信号单向传输隔离方法第三流程图,增加了加密解密的步骤。
本实施例所提供的分布式信号单向传输隔离方法中,在步骤S202接收管控端发送的控制信号之后,步骤S203向目标业务系统发送控制信号之前,还可以包括:
对控制信号进行解密,控制信号在管控端发送至发送端之前由管控端进行加密。
管控端将加密的控制信号发送至发送端,发送端接收到加密的控制信号后解密发送至目标业务系统,可以加强控制信号传输的保密性。
加密算法可以采用AES56算法。AES56算法属于对称加密算法,是一个分组密码。密钥长度256bit,分组长度128bit,加密轮数14。加密流程:字节代替、行位移、列混淆、轮密钥加。经过AES256算法加密后,控制信号所有字段均无法被非法设备破解识别。
优选地,对控制信号进行解密后,还可以包括:
通过对控制信号进行解密,得到ID和/或时间戳,ID、时间戳分别是管控端在对控制信号进行加密之前在控制信号上所加设的。
在控制信号加设ID后,发送端解密之后除了得到控制信号,还能得到ID。根据ID可以判断控制信号是否来自管控端,若判定控制信号非来自管控端,则丢弃控制信号,发送端不会向目标业务系统发送该控制信号,若判定控制信号来自管控端,则该控制信号才会保留下来等待发送端向目标业务系统发送。
在控制信号加设时间戳后,发送端解密之后除了得到控制信号以外,还能得到时间戳。判断时间戳与当前时间的差值是否大于预设阈值,若是则丢弃控制信号,发送端不会向目标业务系统发送该控制信号,若否则该控制信号才会保留下来等待发送端向目标业务系统发送。
如图6所示,增加了上述的加密解密步骤后,本实施例所提供的分布式信号单向传输隔离方法,可以包括:
作为目标业务系统对应的发送端时,包括如下步骤:
S211.通过预设的目标业务系统对应的客户端模块与管控端建立单向通信连接,每个客户端模块仅对应一个发送端,且仅能与对应的发送端建立单向通信连接。
S212.通过已建立单向通信连接的客户端模块,接收管控端发送的控制信号。
S213.对控制信号进行解密,得到控制信号、ID和时间戳,控制信号在管控端发送至发送端之前由管控端进行加密,ID和时间戳是管控端在对控制信号进行加密之前在控制信号上所加设的。
S214.根据ID判断控制信号是否来自管控端,若否则执行S217,若是则继续执行S215。
S215.判断时间戳与当前时间的差值是否大于预设阈值,若否则执行S217,若是则继续执行S216。
S216.采用HID协议单向地向目标业务系统发送控制信号。
S217.丢弃控制信号。
作为目标业务系统非对应的发送端时,包括如下步骤:
S218.断开与目标业务系统非对应的客户端模块的单向通信连接
本实施例所提供的分布式信号单向传输隔离方法,其实现原理和技术效果与实施例1类似,在此不再赘述。
实施例3
基于与上述实施例相同的发明构思,本实施例提供一种分布式信号单向传输隔离装置,可作为管控端或设于管控端。图7为本实施例所提供的分布式信号单向传输隔离装置组成图,如图7所示,该分布式信号单向传输隔离装置包括:
信号接收模块311,用于接收信号源320发送的控制信号;
信号切换模块313,用于获取激光信号在显示器上的光点位置信息,显示器用于在预设的对应显示区域显示各业务系统340的视频信号;根据各业务系统340的视频信号在显示器的显示区域,确定光点位置信息所在显示区域对应的目标业务系统;
客户端模块314,仅对应一个发送端330,且仅能与对应的发送端330建立单向通信连接,每个发送端330仅对应一个业务系统340,用于作为目标业务系统对应的客户端模块314时,与预设的目标业务系统对应的发送端330建立单向通信连接,向目标业务系统对应的发送端330发送控制信号,以使目标业务系统对应的发送端330向目标业务系统发送控制信号;用于作为目标业务系统非对应的客户端模块314时,释放与目标业务系统非对应的发送端330的单向通信连接。图7仅示意了两个客户端模块421、以及相应的两个发送端410、两个业务系统440,可以理解的是,在实际实施过程中,并不局限于两个。
优选地,客户端模块314用于向目标业务系统对应的发送端330发送控制信号,具体可以包括:客户端模块314用于通过防火墙350向目标业务系统对应的发送端330发送控制信号,防火墙350仅允许控制信号从管控端310传输至发送端330。
优选地,本实施例所提供的分布式信号单向传输隔离装置,还可以包括:
信号加密模块312,用于在信号接收模块311接收信号源320发送的控制信号之后、客户端模块314向发送端330发送控制信号之前,对控制信号进行加密,控制信号在发送端330将控制信号发送至目标业务系统之前由发送端330进行解密。
优选地,信号加密模块312还用于在对控制信号进行加密之前,在控制信号加设ID,以使发送端330解密控制信号之后得到ID,并在根据ID判定控制信号非来自管控端310时,丢弃控制信号;和/或,在控制信号加设时间戳,以使发送端330解密控制信号之后得到时间戳,并在判定时间戳与当前时间的差值大于预设阈值时,丢弃控制信号。
本实施例所提供的分布式信号单向传输隔离方法,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
实施例4
基于与上述实施例相同的发明构思,本实施例提供一种分布式信号单向传输隔离装置,可作为发送端或设于发送端。图8为本实施例所提供的分布式信号单向传输隔离装置组成图,如图8所示,该分布式信号单向传输隔离装置包括:
服务端模块411,仅对应一个客户端模块421,仅对应一个业务系统440,且仅能与对应的客户端模块421建立单向通信连接,用于作为目标业务系统对应的服务端模块411时,通过预设的目标业务系统对应的客户端模块421与管控端420建立单向通信连接,接收管控端420发送的控制信号;用于作为目标业务系统非对应的服务端模块411时,断开目标业务系统非对应的客户端模块421的单向通信连接;
目标业务系统为激光信号在显示器上的光点位置信息所在显示区域对应的业务系统440,显示器用于在预设的对应显示区域显示各业务系统440的视频信号,控制信号为信号源430发送至管控端420的;
信号发送模块413,用于在服务端模块411接收到管控端420发送的控制信号后,向目标业务系统发送控制信号。
服务端模块411是运行在发送端410的一个模块。为保证数据隔离,管控端420建立一个客户端模块池,也即管控端420包括多个客户端模块421,每个服务端模块411只对应,只负责与一个对应的发送端410进行数据传输。具体实施过程中,发送端410也具备一个与客户端模块421对应的服务端模块411,每个客户端模块421具体只负责与一个该业务系统440的发送端410的服务端模块411进行数据传输。图8仅示意了两个客户端模块421、以及相应的两个发送端410、两个业务系统440,可以理解的是,在实际实施过程中,并不局限于两个。
客户端模块421是运行在管控端420的一个模块。每个客户端模块421都是相互隔离、相互隐藏数据的。在确定目标业务系统后,通过目标业务系统对应的客户端模块421,管控端420只与目标业务系统对应的发送端410建立单向通信连接,自动断开与除了目标业务系统以外其它业务系统440的单向通信连接,保证了不同业务系统440所对应的发送端410之间不会有任何的连接,也不会有任何的数据传输。
优选地,服务端模块411用于接收管控端420发送的控制信号,具体可以包括:服务端模块411用于通过防火墙450接收管控端420发送的控制信号。
优选地,信号发送模块413用于向目标业务系统发送控制信号,具体可以包括:信号发发送模块用于采用HID协议单向地向目标业务系统发送控制信号。
优选地,本实施例所提供的分布式信号单向传输隔离装置,还可以包括:
信号解密模块412,用于在服务端模块411接收管控端420发送的控制信号之后、信号发送模块413向目标业务系统发送控制信号之前,对控制信号进行解密,得到ID和/或时间戳,ID、时间戳分别是管控端420在对控制信号进行加密之前在控制信号上所加设的。
信号解密模块412,还用于根据ID判断控制信号是否来自管控端420,若是则丢弃控制信号,和/或用于判断时间戳与当前时间的差值是否大于预设阈值,若是则丢弃控制信号。
本实施例所提供的分布式信号单向传输隔离方法,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
实施例5
本实施例提供一种电子设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现如实施例1和实施例2所述的分布式信号单向传输隔离方法。
本实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现如实施例1和实施例2所述的分布式信号单向传输隔离方法。
本实施例所提供的电子设备、计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
显然,本发明的上述实施例仅仅是为清楚地说明本发明技术方案所作的举例,而并非是对本发明的具体实施方式的限定。凡在本发明权利要求书的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (10)
1.一种分布式信号单向传输隔离方法,用于管控端,其特征在于,包括:
接收信号源发送的控制信号;
获取激光信号在显示器上的光点位置信息,所述显示器用于在预设的对应显示区域显示各业务系统的视频信号;
根据各业务系统的视频信号在所述显示器的显示区域,确定所述光点位置信息所在显示区域对应的目标业务系统;
通过预设的所述目标业务系统对应的客户端模块,与预设的目标业务系统对应的发送端建立单向通信连接,释放与所述目标业务系统非对应的发送端的单向通信连接;每个所述客户端模块仅对应一个所述发送端,且仅能与对应的所述发送端建立单向通信连接,每个所述发送端仅对应一个业务系统,所述客户端模块是运行在所述管控端的一个模块,管控端包括多个客户端模块,每个所述客户端模块都是相互隔离、相互隐藏数据的;
通过已建立单向通信连接的所述客户端模块,向所述目标业务系统对应的发送端发送所述控制信号,以使所述目标业务系统对应的发送端向所述目标业务系统发送所述控制信号。
2.根据权利要求1所述的一种分布式信号单向传输隔离方法,其特征在于,向所述目标业务系统对应的发送端发送所述控制信号,包括:
通过防火墙向所述目标业务系统对应的发送端发送所述控制信号;
所述防火墙仅允许所述控制信号从所述管控端传输至所述发送端。
3.根据权利要求1或2所述的一种分布式信号单向传输隔离方法,其特征在于,在接收信号源发送的控制信号之后、向所述目标业务系统对应的发送端发送所述控制信号之前,还包括:对所述控制信号进行加密,所述控制信号在所述发送端将所述控制信号发送至所述目标业务系统之前由所述发送端进行解密。
4.根据权利要求3所述的一种分布式信号单向传输隔离方法,其特征在于,在对所述控制信号进行加密前,还包括:
在所述控制信号加设ID,以使所述发送端解密所述控制信号之后得到所述ID,并在根据所述ID判定所述控制信号非来自所述管控端时,丢弃所述控制信号;
和/或,在所述控制信号加设时间戳,以使所述发送端解密所述控制信号之后得到所述时间戳,并在判定所述时间戳与当前时间的差值大于预设阈值时,丢弃所述控制信号。
5.一种分布式信号单向传输隔离方法,用于发送端,其特征在于,包括:
每个所述发送端仅对应一个业务系统,作为目标业务系统对应的发送端时:通过预设的所述目标业务系统对应的客户端模块与管控端建立单向通信连接,每个所述客户端模块仅对应一个所述发送端,且仅能与对应的所述发送端建立单向通信连接,所述客户端模块是运行在所述管控端的一个模块,管控端包括多个客户端模块,每个所述客户端模块都是相互隔离、相互隐藏数据的;通过已建立单向通信连接的所述客户端模块,接收所述管控端发送的控制信号;向所述目标业务系统发送所述控制信号;所述目标业务系统为激光信号在显示器上的光点位置信息所在显示区域对应的业务系统,所述显示器用于在预设的对应显示区域显示各业务系统的视频信号,所述控制信号为信号源发送至所述管控端的;作为目标业务系统非对应的发送端时:断开与目标业务系统非对应的客户端模块的单向通信连接。
6.根据权利要求5所述的分布式信号单向传输隔离方法,其特征在于,向所述目标业务系统发送所述控制信号,包括:采用HID协议单向地向所述目标业务系统发送所述控制信号。
7.一种分布式信号单向传输隔离装置,其特征在于,包括:
信号接收模块,用于接收信号源发送的控制信号;
信号切换模块,用于获取激光信号在显示器上的光点位置信息,所述显示器用于在预设的对应显示区域显示各业务系统的视频信号;根据各业务系统的视频信号在所述显示器的显示区域,确定所述光点位置信息所在显示区域对应的目标业务系统;
客户端模块,仅对应一个发送端,且仅能与对应的所述发送端建立单向通信连接,每个所述发送端仅对应一个业务系统;所述客户端模块,用于作为所述目标业务系统对应的客户端模块时,与预设的目标业务系统对应的发送端建立单向通信连接,向所述目标业务系统对应的发送端发送所述控制信号,以使所述目标业务系统对应的发送端向所述目标业务系统发送所述控制信号;作为所述目标业务系统非对应的客户端模块时,释放与所述目标业务系统非对应的发送端的单向通信连接,所述客户端模块是运行在管控端的一个模块,管控端包括多个客户端模块,每个所述客户端模块都是相互隔离、相互隐藏数据的。
8.一种分布式信号单向传输隔离装置,其特征在于,包括:服务端模块,仅对应一个客户端模块,仅对应一个业务系统,且仅能与对应的所述客户端模块建立单向通信连接;所述服务端模块,用于作为目标业务系统对应的服务端模块时,通过预设的所述目标业务系统对应的客户端模块与管控端建立单向通信连接,接收管控端发送的控制信号;作为目标业务系统非对应的服务端模块时,断开目标业务系统非对应的客户端模块的单向通信连接;所述目标业务系统为激光信号在显示器上的光点位置信息所在显示区域对应的业务系统,所述显示器用于在预设的对应显示区域显示各业务系统的视频信号,所述控制信号为信号源发送至所述管控端的;信号发送模块,用于在所述服务端模块接收到所述管控端发送的控制信号后,向所述目标业务系统发送所述控制信号。
9.一种电子设备,包括存储器和处理器,存储器存储有计算机程序,其特征在于,所述处理器执行计算机程序时实现如权利要求1至6任一项所述的分布式信号单向传输隔离方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的分布式信号单向传输隔离方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111641622.9A CN114301691B (zh) | 2021-12-29 | 2021-12-29 | 分布式信号单向传输隔离方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111641622.9A CN114301691B (zh) | 2021-12-29 | 2021-12-29 | 分布式信号单向传输隔离方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301691A CN114301691A (zh) | 2022-04-08 |
| CN114301691B true CN114301691B (zh) | 2022-10-25 |
Family
ID=80972377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111641622.9A Active CN114301691B (zh) | 2021-12-29 | 2021-12-29 | 分布式信号单向传输隔离方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301691B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002505043A (ja) * | 1996-11-18 | 2002-02-12 | エムシーアイ ワールドコム インコーポレーテッド | 通信システム構造 |
| CN107634984A (zh) * | 2017-08-07 | 2018-01-26 | 国网河南省电力公司 | 一种基于单向传输通道的文件同步方法 |
| CN108234653A (zh) * | 2018-01-03 | 2018-06-29 | 马上消费金融股份有限公司 | 一种处理业务请求的方法及装置 |
| CN109002269A (zh) * | 2018-06-28 | 2018-12-14 | 威创集团股份有限公司 | 一种单键鼠控制多终端的方法、客户端及系统 |
| WO2019174406A1 (zh) * | 2018-03-12 | 2019-09-19 | 中兴通讯股份有限公司 | 数据传输方法及装置、网络设备及存储介质 |
| CN110365854A (zh) * | 2019-07-01 | 2019-10-22 | 辽宁载德科技有限公司 | 一种坐席管理系统 |
| CN110881014A (zh) * | 2018-09-05 | 2020-03-13 | 普天信息技术有限公司 | 一种对无线专网的业务进行物理隔离的方法及装置 |
| CN110912940A (zh) * | 2019-12-25 | 2020-03-24 | 普世(南京)智能科技有限公司 | 一种基于双单向交换设备的隔离网络透明业务访问方法及系统 |
| CN111787102A (zh) * | 2020-06-30 | 2020-10-16 | 北京金山安全软件有限公司 | 多应用平台的业务处理方法、装置、电子设备和存储介质 |
| CN112560016A (zh) * | 2020-12-23 | 2021-03-26 | 平安银行股份有限公司 | 业务请求管理方法、装置、计算机设备及可读存储介质 |
| CN113076009A (zh) * | 2021-04-02 | 2021-07-06 | 东莞市九鼎实业有限公司 | 一种基于网络分布式kvm坐席管理控制系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070095374A (ko) * | 2004-12-31 | 2007-09-28 | 브리티쉬 텔리커뮤니케이션즈 파블릭 리미티드 캄퍼니 | 비연결형 통신 트래픽을 위한 연결형 통신 방법 |
| US9313274B2 (en) * | 2013-09-05 | 2016-04-12 | Google Inc. | Isolating clients of distributed storage systems |
-
2021
- 2021-12-29 CN CN202111641622.9A patent/CN114301691B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002505043A (ja) * | 1996-11-18 | 2002-02-12 | エムシーアイ ワールドコム インコーポレーテッド | 通信システム構造 |
| CN107634984A (zh) * | 2017-08-07 | 2018-01-26 | 国网河南省电力公司 | 一种基于单向传输通道的文件同步方法 |
| CN108234653A (zh) * | 2018-01-03 | 2018-06-29 | 马上消费金融股份有限公司 | 一种处理业务请求的方法及装置 |
| WO2019174406A1 (zh) * | 2018-03-12 | 2019-09-19 | 中兴通讯股份有限公司 | 数据传输方法及装置、网络设备及存储介质 |
| CN109002269A (zh) * | 2018-06-28 | 2018-12-14 | 威创集团股份有限公司 | 一种单键鼠控制多终端的方法、客户端及系统 |
| CN110881014A (zh) * | 2018-09-05 | 2020-03-13 | 普天信息技术有限公司 | 一种对无线专网的业务进行物理隔离的方法及装置 |
| CN110365854A (zh) * | 2019-07-01 | 2019-10-22 | 辽宁载德科技有限公司 | 一种坐席管理系统 |
| CN110912940A (zh) * | 2019-12-25 | 2020-03-24 | 普世(南京)智能科技有限公司 | 一种基于双单向交换设备的隔离网络透明业务访问方法及系统 |
| CN111787102A (zh) * | 2020-06-30 | 2020-10-16 | 北京金山安全软件有限公司 | 多应用平台的业务处理方法、装置、电子设备和存储介质 |
| CN112560016A (zh) * | 2020-12-23 | 2021-03-26 | 平安银行股份有限公司 | 业务请求管理方法、装置、计算机设备及可读存储介质 |
| CN113076009A (zh) * | 2021-04-02 | 2021-07-06 | 东莞市九鼎实业有限公司 | 一种基于网络分布式kvm坐席管理控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301691A (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8364772B1 (en) | System, device and method for dynamically securing instant messages | |
| CN100454909C (zh) | 一种即时通信中信息过滤和保密的方法和装置 | |
| CA2626065C (en) | System and method for providing secure data transmission | |
| CN101094394A (zh) | 一种保证视频数据安全传输的方法及视频监控系统 | |
| KR20000023124A (ko) | 광대역 데이터 메시지들의 안전 송신 | |
| WO2014028757A1 (en) | Secure data exchange using messaging service | |
| KR101837188B1 (ko) | 비디오 보호 시스템 | |
| EP3300328B1 (en) | Network monitoring device and method, apparatus and system for resetting password thereof, and server | |
| US11698987B2 (en) | Storage drive protection using file system level encryption | |
| KR101568871B1 (ko) | 멀티캐스트 통신방식을 적용한 바이탈 제어 시스템의 암호화 방법 | |
| CN112804215A (zh) | 一种基于零信任机制的视频采集安全处理系统及方法 | |
| CN113727058A (zh) | 一种多媒体会议数据处理方法、系统、设备及存储介质 | |
| KR101810904B1 (ko) | 비디오 보호 시스템 | |
| CN113572788A (zh) | BACnet/IP协议设备认证安全方法 | |
| CN112187757A (zh) | 多链路隐私数据流转系统及方法 | |
| CN115801442A (zh) | 一种加密流量的检测方法、安全系统及代理模块 | |
| KR101040543B1 (ko) | 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법 | |
| KR101213301B1 (ko) | 다운로더블 제한 수신 시스템에서의 재인증 처리 장치 및 방법 | |
| CN114301691B (zh) | 分布式信号单向传输隔离方法、装置、设备及存储介质 | |
| CN113794563A (zh) | 一种通信网络安全控制方法及系统 | |
| CN115225934B (zh) | 视频播放方法、系统、电子设备以及存储介质 | |
| CN113037611A (zh) | 基于多公共im通道的移动安全即时通讯方法 | |
| CN115801252B (zh) | 一种结合量子加密技术的安全云桌面系统 | |
| CN107809646B (zh) | 素材回传方法及装置 | |
| US20140185808A1 (en) | Apparatus, systems, and methods for encryption key distribution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240403 Address after: Room 1201-9, No. 2403 Kaichuang Avenue, Huangpu District, Guangzhou City, Guangdong Province, 510760 Patentee after: Guangzhou Development Zone Qingyou Intellectual Property Consulting Co.,Ltd. Country or region after: China Address before: 233 Kezhu Road, Guangzhou hi tech Industrial Development Zone, Guangdong 510670 Patentee before: VTRON GROUP Co.,Ltd. Country or region before: China |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240416 Address after: 100091 Xianghongqi 67 Middle School, Haidian District, Beijing Patentee after: Li Wei Country or region after: China Address before: Room 1201-9, No. 2403 Kaichuang Avenue, Huangpu District, Guangzhou City, Guangdong Province, 510760 Patentee before: Guangzhou Development Zone Qingyou Intellectual Property Consulting Co.,Ltd. Country or region before: China |