CN114422173B - 一种基于可见光的数据传输的方法、系统和存储介质 - Google Patents

一种基于可见光的数据传输的方法、系统和存储介质 Download PDF

Info

Publication number
CN114422173B
CN114422173B CN202111498590.1A CN202111498590A CN114422173B CN 114422173 B CN114422173 B CN 114422173B CN 202111498590 A CN202111498590 A CN 202111498590A CN 114422173 B CN114422173 B CN 114422173B
Authority
CN
China
Prior art keywords
error correction
forward error
correction code
encrypted message
visible light
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111498590.1A
Other languages
English (en)
Other versions
CN114422173A (zh
Inventor
冀博
周建伟
穆帅
叶晓虎
樊志甲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN202111498590.1A priority Critical patent/CN114422173B/zh
Publication of CN114422173A publication Critical patent/CN114422173A/zh
Application granted granted Critical
Publication of CN114422173B publication Critical patent/CN114422173B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/11Arrangements specific to free-space transmission, i.e. transmission through air or vacuum
    • H04B10/114Indoor or close-range type systems
    • H04B10/1141One-way transmission
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/11Arrangements specific to free-space transmission, i.e. transmission through air or vacuum
    • H04B10/114Indoor or close-range type systems
    • H04B10/116Visible light communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0057Block codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及信息安全技术领域,提供了一种基于可见光的数据传输的方法、系统和存储介质,用于解决现有技术中不能在绝对物理单向隔离的网络环境下实现不同安全等级网络之间数据的高安全传输的技术问题。该方法包括:对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得访问请求对应的前向纠错码;通过单向可见光将前向纠错码传输到与第二安全等级网络连接的一端,并从前向纠错码中还原访问请求中的有效信息;根据有效信息向第二安全等级网络发起访问。

Description

一种基于可见光的数据传输的方法、系统和存储介质
技术领域
本发明专利涉及信息安全技术领域,尤其涉及一种基于可见光的数据传输的方法、系统和存储介质。
背景技术
随着信息化发展,出于安全原因,很多重要领域的网络进行物理隔离建设,以保障核心领域网络安全。
所谓“物理隔离”是指不同安全等级的网络,在任何时间都不存在直接的物理连接,每一个网络都是独自的信息孤岛,这样才能保证每个网络的信息安全。但是,在现实生活中,人们常常需要在不同安全等级的网络间进行数据交换,此时就需要保证在数据绝对单向传递的基础上,同时实现不同安全等级网络之间数据的安全传递。
现有技术中不同安全等级的网络间通常布设有网闸,网闸是使用带有多种控制功能的固态开关读写介质,能够使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。网闸内部使用专有隔离硬件通过时钟开关实现数据的单向写入和单向读出,从而实现数据的单向传递。但基于电气隔离的单向技术难以证明其单向的有效性,同时由程序控制的数据单向写入、单向读出理论上依然存在被人为篡改,从而导致单向隔离失效,出现泄密风险。
鉴于此,如何在绝对物理单向隔离的网络环境下实现不同安全等级网络之间数据的高安全传输,成为一个亟待解决的技术问题。
发明内容
本发明提供一种基于可见光的数据传输的方法、系统及存储介质,用以解决现有技术中不能在绝对物理单向隔离的网络环境下实现不同安全等级网络之间数据的高安全传输的技术问题。
本发明第一方面提供了一种基于可见光的数据传输的方法,所述数据传输的方法包括:
对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得所述访问请求对应的前向纠错码;
通过单向可见光将所述前向纠错码传输到与第二安全等级网络连接的一端,并从所述前向纠错码中还原所述访问请求中的有效信息;
根据所述有效信息向所述第二安全等级网络发起访问。
可选的,对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得所述访问请求对应的前向纠错码,包括:
验证所述访问请求的身份信息;
阻断通过验证的访问请求中的外部链接,并从所述通过验证的访问请求中提取有效信息;
将所述有效信息通过私有协议重新封装为加密报文,将所述加密报文通过前向纠错码加入冗余数据后,获得所述访问请求对应的前向纠错码。
可选的,将所述加密报文通过前向纠错码加入冗余数据后,获得所述访问请求对应的前向纠错码,包括:
用预设编码矩阵不断对所述加密报文中至少两个数据进行异或运算得到对应的编码包,直至所述加密报文中全部数据均编码为编码包,获得所述加密报文对应的编码包集合;
在每一个所述编码包的首部添加对应的第一标识和第二标识;其中第一标识用于标志所述编码包在所述编码包集合中的序号,第二标识用于标志所述编码包集合的序号;
当所述编码包集合中的全部编码包均添加了对应的第一标识和第二标识后,封装所述编码包集合,获得所述访问请求对应的前向纠错码。
可选的,从所述前向纠错码中还原所述访问请求中的有效信息,包括:
对所述前向纠错码进行解码,并验证所述解码后的报文和所述加密报文是否相同;
当所述解码后的报文和所述加密报文相同时,将所述解码后的报文作为所述加密报文,使用私有协议解密所述加密报文,获得所述访问请求中的有效信息;
当所述解码后的报文和所述加密报文不同时,使用所述前向纠错码的数据恢复方法,恢复所述解码后的报文并解密,获得所述访问请求中的有效信息。
可选的,使用所述前向纠错码的数据恢复方法,恢复所述解码后的报文并解密,获得所述访问请求中的有效信息,包括:
接收所述前向纠错码并解封,获得所述前向纠错码对应的编码包集合;
按照所述编码包集合中的编码包的第一标识和第二标识,确定所述编码包的数目是否大于预设数目;
当所述编码包集合中的编码包数量大于所述预设数目时,根据预设编码矩阵、所述编码包的第一标识和第二标识,对所述编码包集合进行解码,获得所述编码包集合对应的加密报文;
使用私有协议解密所述加密报文,获得所述访问请求中的有效信息。
可选的,根据所述有效信息向所述第二安全等级网络发起访问,包括:
按照所述第二安全等级网络预设的安全策略,将所述有效信息转化为对应的访问连接,根据所述访问连接向所述第二安全等级网络发起访问。
第二方面,本申请实施例提供一种网络隔离设备,包括:
外网单元,用于对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得所述访问请求对应的前向纠错码;
单向可见光单元,用于通过单向可见光将所述前向纠错码传输到与第二安全等级网络连接的一端,并从所述前向纠错码中还原所述访问请求中的有效信息;
内网单元,用于根据所述有效信息向所述第二安全等级网络发起访问。
第三方面,本申请实施例提供一种基于可见光的数据传输的系统,包括:
外网客户端,设置于第一安全等级网络中,用于向网络隔离设备发送访问请求;
内网客户端,设置于第二安全等级网络中,用于接收所述网络隔离设备发起的访问;
所述网络隔离设备,设置于所述第一安全等级网络和所述第二安全等级网络之间,用于执行如第一方面中任一项所述的方法,以保证在隔离所述第一安全等级网络和所述第二安全等级网络的同时,通过单向可见光单元在所述外网客户端和所述内网客户端之间单向传输所述访问请求。
第四方面,本申请实施例提供了一种基于可见光的数据传输的装置,包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令执行如第一方面中任一项所述的方法。
第五方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如第一方面中任一项所述的方法。
本申请实施例中的技术方案具有以下有益效果:网络隔离设备对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得访问请求对应的前向纠错码;通过单向可见光将前向纠错码传输到与第二安全等级网络连接的一端,并从前向纠错码中还原访问请求中的有效信息;根据有效信息向第二安全等级网络发起访问。从而利用光沿直线传播的物理性质保证了网络隔离设备中数据的绝对单向传输,同时利用前向纠错码保证了数据的可恢复性,解决了可见光系统受到外界干扰所造成数据丢包,保证了数据的可靠传输,完成了在绝对物理单向隔离的网络环境下实现跨不同安全等级网络数据高安全传输。
附图说明
图1是本发明实施例提供的一种基于可见光的数据传输的方法的流程图;
图2是本发明实施例提供的一种网络隔离设备的结构示意图;
图3是本发明实施例提供的一种外网单元的结构示意图;
图4是本发明实施例提供的一种单向可见光单元中可见光发送端的结构示意图;
图5是本发明实施例提供的一种单向可见光单元中可见光接收端的结构示意图;
图6是本发明实施例提供的一种内网单元的结构示意图;
图7是本发明实施例提供的另一种内网单元的结构示意图;
图8是本发明实施例提供的一种基于可见光的数据传输的系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
现有技术中,为了确保不同安全等级网络间数据单向传输,通常使用光闸设备。光闸设备中包括:内网单元、外网单元和光隔离卡。其中内、外网单元和光隔离卡间通过高速串行计算机扩展总线标准(Peripheral Component Interconnect Express,PCIE)接口通信,而光隔离卡中则通过光纤通信,其内外单元实质上仍然通过有线介质相连,无法达到绝对物理单向隔离。
为此,本发明提供一种基于可见光的数据传输的方法、系统及存储介质,用以解决现有技术中不能在绝对物理单向隔离的网络环境下实现跨不同安全等级网络数据高安全传输的技术问题。
下面结合说明书附图介绍本申请实施例提供的技术方案。
请参见图1,本发明提供一种基于可见光的数据传输的方法,该方法包括:
S101、对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得访问请求对应的前向纠错码;
S102、通过单向可见光,将前向纠错码传输到与第二安全等级网络连接的一端,并从前向纠错码中还原访问请求中的有效信息;
S103、根据有效信息向第二安全等级网络发起访问。
例如,请参见图2,图2为本发明实施例提供的一种网络隔离设备的结构示意图。其中包括和第一安全等级网络相连接的外网单元21、和第二安全等级网络相连接的内网单元22,连接外网单元21和内网单元22的单向可见光单元23,单向可见光单元23中包括可见光发送端231和可见光接收端232,通过单向可见光单元23可以将信息通过单向可见光发送给对端,实现信息的绝对单向传输,单向可见光单元23中使用的前向纠错码为喷泉编码。
当第一安全等级网络需要访问第二安全等级网络时,第一安全等级网络先向外网单元21发送访问请求A。外网单元21接收到访问请求后A,先根据用户预设的安全策略,阻断访问请求中的连接,提取其中的有效信息a,再通过预设私有协议组装为新的用户数据报协议/网际协议(User Datagram Protocol/Internet Protocol,UDP/IP)报文1。外网单元21将UDP/IP报文1发送至单向可见光单元23中可见光发送端231。
可见光发送端231在接收到UDP/IP报文1后,根据预设编码矩阵对UDP/IP报文1进行喷泉编码处理,并通过单向可见光将UDP/IP报文1对应的喷泉编码1发送至与可见光接收端232。可见光接收端232接收了喷泉编码1后,根据预设编码矩阵将喷泉编码1解码为UDP/IP报文1并发送给内网单元22.
内网单元22接收到UDP/IP报文1后,按照预设私有协议,将UDP/IP报文1解密为有效信息a。然后根据有效信息a和用户预先配置的第二安全等级网络的安全策略,向第二安全等级网络发起访问。
本申请中的实施例中的前向纠错码以喷泉码为例,而在实际应用中使用的编码还可以是汉明码、格雷码等前向纠错码。
在本发明提供的实施例中,网络隔离设备对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得访问请求对应的前向纠错码;通过单向可见光将前向纠错码传输到与第二安全等级网络连接的一端,并从前向纠错码中还原访问请求中的有效信息;根据有效信息向第二安全等级网络发起访问。从而利用光沿直线传播的物理性质保证了网络隔离设备中数据的绝对单向传输,从而防止从第二安全等级网络中非法获取信息,同时利用前向纠错码保证了数据的可恢复性,解决了可见光系统受到外界干扰所造成数据丢包,保证了数据的可靠传输,完成了在绝对物理单向隔离的网络环境下实现跨安全等级网络数据高安全传输。
一种可能的实施方式,对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得访问请求对应的前向纠错码,包括:
验证访问请求的身份信息;阻断通过验证的访问请求中的外部链接,并从通过验证的访问请求中提取有效信息;将有效信息通过私有协议重新封装为加密报文,将加密报文通过前向纠错码加入冗余数据后,获得访问请求对应的前向纠错码。
其中,将加密报文通过前向纠错码加入冗余数据后,获得访问请求对应的前向纠错码,包括:
用预设编码矩阵不断对加密报文中至少两个数据进行异或运算得到对应的编码包,直至加密报文中全部数据均编码为编码包,获得加密报文对应的编码包集合;在每一个编码包的首部添加对应的第一标识和第二标识;其中第一标识用于标志编码包在编码包集合中的序号,第二标识用于标志编码包集合的序号;当编码包集合中的全部编码包均添加了对应的第一标识和第二标识后,封装编码包集合,获得访问请求对应的前向纠错码。
例如,请参见图3和图4,图3为本发明实施例提供的一种外网单元的结构示意图,图4为本发明实施例提供的一种单向可见光单元中可见光发送端的结构示意图。其中外网单元21中包括安全模块211、代理模块212和私有协议模块213;可见光发送端231中包括备份模块2311、哈希模块2312、编码模块2313和LED发送模块2314。假设安全模块211中配置的合法用户为用户A。
外网单元21从第一安全等级网络中接收到用户A发送的访问请求A之后,先由安全模块211对访问请求A进行身份验证。安全模块211检测到发送访问请求A的用户A为合法用户,因此确定访问请求A通过验证,并发送至代理模块212中。在代理模块212中,将通过验证的访问请求A进行协议阻断,断开其中包含的外部链接,并将传输层之上的有效信息提取为有效信息a。将有效信息a发送至私有协议模块213中。私有协议模块213接收有效信息a之后,按照用户预设的私有协议,将有效信息a重新封装为UDP/IP报文1,并将UDP/IP报文1发送至单向可见光单元23中可见光发送端231。
可见光发送端231接收到UDP/IP报文1后,在备份模块2311中进行备份。备份后将UDP/IP报文1发送至哈希模块2312中,使用SM3算法计算UDP/IP报文1对应的哈希校验码为“248001d77c86607e7164fdccda9f6a55f9f2174e5cf46dbade81526a21c0af6e”,并将UDP/IP报文1发送至编码模块2313中。当编码模块2313的缓存区中的UDP/IP报文1的数据数量大于等于用户的预设数量时,按照预设的LT编码矩阵将UDP/IP报文1数据包中至少两个数据进行异或运算得到对应的编码包。当UDP/IP报文1数据包中所有的数据均完成编码,获得对应的编码包集合后,为编码包中的编码包添加标识。编码模块2313在编码包的首部,添加第一标志用于标志该编码包在编码包集合中的序号,添加第二标志用于标识该编码包所属的编码包集合。最后,编码模块2313将添加过标识的编码包进行封装,得到封装的编码包集合,在编码包集合的末尾添加UDP/IP报文1的哈希校验码“248001d77c86607e7164fdccda9f6a55f9f2174e5cf46dbade81526a21c0af6e”获得喷泉编码1,并将喷泉编码1传输至LED发送模块2314处等待发送。
随后,外网单元21从第一安全等级网络中接收到用户B发送的访问请求B之后,先由安全模块211对访问请求B进行身份验证。安全模块211检测到发送访问请求B的用户B并非合法用户,因此确定访问请求B不能通过验证,安全模块211丢弃访问请求B。
在本发明提供的实施例中,外网单元对接收到的访问请求进行验证,将通过验证的访问请求按照预设安全策略进行协议阻断,并提取其中的有效信息重新封装为UDP/IP报文,保证了访问数据的安全性。而单向可见光单元将UDP/IP报文进行前向纠错码,提高了数据的可恢复性,保证了即使单向可见光单元即使出现数据丢包,依然能恢复原始数据。
一种可能的实施方案,从前向纠错码中还原访问请求中的有效信息,包括:
对前向纠错码进行解码,并验证解码后的报文和加密报文是否相同;当解码后的报文和加密报文相同时,将解码后的报文作为加密报文,使用私有协议解密加密报文,获得访问请求中的有效信息;当解码后的报文和加密报文不同时,使用前向纠错码的数据恢复方法,恢复解码后的报文并解密,获得访问请求中的有效信息。
其中,使用前向纠错码的数据恢复方法,恢复解码后的报文并解密,获得访问请求中的有效信息,包括:
接收前向纠错码并解封,获得前向纠错码对应的编码包集合;
按照编码包集合中的编码包的第一标识和第二标识,确定编码包的数目是否大于预设数目;当编码包集合中的编码包数量大于预设数目时,根据预设编码矩阵、编码包的第一标识和第二标识,对编码包集合进行解码,获得编码包集合对应的加密报文;使用私有协议解密加密报文,获得访问请求中的有效信息。
例如,请参见图5和图6,图5为本发明实施例提供的一种单向可见光单元中可见光接收端的结构示意图,图6为本发明实施例提供的一种内网单元的结构示意图。其中,单向可见光单元23中的可见光接收端232包括:光敏接收模块2321,解码模块2322、哈希校验模块2323、数据恢复模块2324;内网单元22中包含私有协议模块221和代理模块222。单向可见光单元23中使用的前向纠错码为喷泉编码。
可见光接收端232中的光敏接收模块2321接收LED可见光,获得喷泉编码1。随后,解码模块2322对喷泉编码1进行解码,并由哈希校验模块2323使用SM3算法计算解码后得到的UDP/IP报文的哈希校验码为“248001d77c86607e7164fdccda9f6a55f9f2174e5cf46dbade81526a21c0af6e”。哈希校验模块2323将计算得到的哈希校验码和喷泉编码1末尾的哈希校验码“248001d77c86607e7164fdccda9f6a55f9f2174e5cf46dbade81526a21c0af6e”比对,得到的比对结果为相同,确定解码后的UDP/IP报文1和原始的UDP/IP报文1相同,无需数据恢复。因此,可见光接收端232中的数据恢复模块2324不对解码后的UDP/IP报文1进行数据恢复,直接将解码后的UDP/IP报文1传输至内网单元22中。内网单元22中的私有协议模块221接收到UDP/IP报文1后,按照预设的私有协议,将UDP/IP报文1解密为有效信息a,并传输至代理模块222中。
一段时间之后,可见光接收端232中的光敏接收模块2321接收LED可见光,获得喷泉编码2。解码模块2322对喷泉编码2进行解码,获得解码后的第一UDP/IP报文。哈希校验模块2323使用SM3算法计算解码后的第一UDP/IP报文的哈希校验码,得到其哈希校验码为“2cc7246b726c0db48 f16562fbc2192d1809d02863e0a5168f70c04440e8a152b”,哈希校验模块2323将计算得到的哈希校验码“2cc7246b726c0db48f16562fbc2192d1809d02863e0a5168f70c04440e8a152b”,和喷泉编码2末尾的哈希校验码“d560f557916fe1780bacbc8105e190237284983228656ca6712078f4df4bcbe9”进行对比,确定对比结果不一致。进而确定解码后的UDP/IP报文和喷泉编码2中原始的UDP/IP报文2不相同,数据恢复模块2324需要对喷泉编码2进行数据恢复。数据恢复模块2323首先读取喷泉编码2中,各编码包首部的第一标识和第二标识,通过第二标识区分编码包所属的编码包集合,通过第一标识确认编码包在所述的编码包集合中的位置。随后,按照预设的LT编码矩阵,对编码包集合进行解码处理,获得解码后的第二UDP/IP报文。哈希校验模块2323再次使用SM3算法计算第二UDP/IP报文的哈希校验码,得到的结果为“d560f557916fe1780bacbc8105e190237284983228656ca6712078f4df4bcbe9”,与喷泉编码2末尾的哈希校验码“d560f557916fe1780bacbc8105e190237284983228656ca6712078f4df4bcbe9”相同,确认数据恢复成功,第二UDP/IP报文就是喷泉编码2中原始的UDP/IP报文2。将解码后的UDP/IP报文2传输至内网单元22中,内网单元22中的私有协议模块221接收到UDP/IP报文2后,按照预设的私有协议,将UDP/IP报文2解密为有效信息b,并传输至代理模块222中。
在实际应用中,编码模块和解码模块按照实际需求,可以选择喷泉码中的LT编码矩阵、Rapid tornado Code编码矩阵等编码矩阵。哈希模块和哈希校验模块可以选择SHA256、SHA512等算法进行计算。
在本发明提供的实施例中,单向可见光单元的可见光接收端根据接收到的哈希校验码和解码后计算出的哈希校验码进行对比,确定解码出的加密报文是否和原始加密报文一致,从而保证数据的完整性。当解码出的加密报文有损失时,使用预设的前向纠错码的数据恢复方法,恢复加密报文,保证了数据的正常传输。
一种可能的实施方式,根据有效信息向第二安全等级网络发起访问,包括:
按照第二安全等级网络预设的安全策略,将有效信息转化为对应的访问连接,根据访问连接向第二安全等级网络发起访问。
例如,以图6中的例子为例。当内网单元22中的私有协议模块221接收到UDP/IP报文1后,将UDP/IP报文1进行解密,提取其中的有效信息a并发送至代理模块222中。代理模块222根据预设的安全策略,将有效信息a重新封装为新的访问链路,并向第二安全等级网络进行访问。
在本发明提供的实施例中,内网单元对接收到的加密报文进行解密,并提取其中的有效信息。然后根据预设的安全策略,将有效信息重新封装为新的访问链路向第二安全等级网络进行访问,从而在满足第二安全等级网络的安全需求的同时,将第一安全等级网络中的访问请求安全的传输至第二安全等级网络中,保证了跨安全等级网络间访问数据的安全性。
基于同一发明构思,本发明提供一种网络隔离设备,请参见图7,该网络隔离设备包括:
外网单元701,用于对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得访问请求对应的前向纠错码;
单向可见光单元702,用于通过单向可见光将前向纠错码传输到与第二安全等级网络连接的一端,并从前向纠错码中还原访问请求中的有效信息;
内网单元703,用于根据有效信息向第二安全等级网络发起访问。
一种可能的实施方式,外网单元701还用于:
验证访问请求的身份信息;
阻断通过验证的访问请求中的外部链接,并从通过验证的访问请求中提取有效信息;
将有效信息通过私有协议重新封装为加密报文,将加密报文通过前向纠错码加入冗余数据后,获得访问请求对应的前向纠错码。
一种可能的实施方式,外网单元701还用于:
用预设编码矩阵不断对加密报文中至少两个数据进行异或运算得到对应的编码包,直至加密报文中全部数据均编码为编码包,获得加密报文对应的编码包集合;
在每一个编码包的首部添加对应的第一标识和第二标识;其中第一标识用于标志编码包在编码包集合中的序号,第二标识用于标志编码包集合的序号;
当编码包集合中的全部编码包均添加了对应的第一标识和第二标识后,封装编码包集合,获得访问请求对应的前向纠错码。
一种可能的实施方式,单向可见光单元702还用于:
对前向纠错码进行解码,并验证解码后的报文和加密报文是否相同;
当解码后的报文和加密报文相同时,将解码后的报文作为加密报文,使用私有协议解密加密报文,获得访问请求中的有效信息;
当解码后的报文和加密报文不同时,使用前向纠错码的数据恢复方法,恢复解码后的报文并解密,获得访问请求中的有效信息。
一种可能的实施方式,单向可见光单元702还用于:
接收前向纠错码并解封,获得前向纠错码对应的编码包集合;
按照编码包集合中的编码包的第一标识和第二标识,确定编码包的数目是否大于预设数目;
当编码包集合中的编码包数量大于预设数目时,根据预设编码矩阵、编码包的第一标识和第二标识,对编码包集合进行解码,获得编码包集合对应的加密报文;
使用私有协议解密加密报文,获得访问请求中的有效信息。
一种可能的实施方式,内网单元703还用于:
按照第二安全等级网络预设的安全策略,将有效信息转化为对应的访问连接,根据访问连接向第二安全等级网络发起访问。
基于同一发明构思,本申请实施例还提供一种基于可见光的数据传输的系统,请参见图8,该基于可见光的数据传输的系统包括:
外网客户端801,设置于第一安全等级网络中,用于向网络隔离设备发送访问请求;
内网客户端802,设置于第二安全等级网络中,用于接收网络隔离设备发起的访问;
网络隔离设备803,设置于第一安全等级网络和第二安全等级网络之间,用于执行如上的基于可见光的数据传输的方法,以保证在隔离第一安全等级网络和第二安全等级网络的同时,通过单向可见光单元在外网客户端和内网客户端之间单向传输访问请求。
基于同一发明构思,本发明一实施例提供一种基于可见光的数据传输的装置,该基于可见光的数据传输的装置可以是个人电脑等电子设备,该装置可以包括:
至少一个处理器,处理器用于执行存储器中存储的计算机程序时实现本申请实施例提供的如上的基于可见光的数据传输的方法的步骤。
可选的,处理器具体可以是中央处理器、特定应用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC),可以是一个或多个用于控制程序执行的集成电路。
可选的,该数据完整性保护的设备还包括与至少一个处理器连接的存储器,存储器可以包括只读存储器(英文:Read Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)和磁盘存储器。存储器用于存储处理器运行时所需的数据,即存储有可被至少一个处理器执行的指令,至少一个处理器通过执行存储器存储的指令,执行如图一所示的方法。其中,存储器的数量为一个或多个。
本申请实施例还提供一种计算机存储介质,其中,计算机存储介质存储有计算机指令,当计算机指令在计算机上运行时,使得计算机执行如上的基于可见光的数据传输的方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (12)

1.一种基于可见光的数据传输的方法,应用于不同安全等级的网络间的网络隔离设备,其特征在于,包括:
对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得所述访问请求对应的前向纠错码;其中,所述前向纠错码包括加密所述访问请求中有效信息得到的加密报文及所述加密报文对应的哈希校验码;
通过可见光发送端向可见光接收端发送的单向可见光,将所述前向纠错码传输到与第二安全等级网络连接的一端,通过所述哈希校验码验证接收到的前向纠错码中加密报文的数据完整性,在确定所述接收到的前向纠错码中加密报文的数据完整时,解密所述接收到的前向纠错码中加密报文得到所述有效信息,在确定所述接收到的前向纠错码中加密报文的数据不完整时,从所述接收到的前向纠错码中恢复得到的加密报文中获取所述有效信息;其中,所述可见光发送端与所述可见光接收端间未用有线介质连接;
根据所述有效信息向所述第二安全等级网络发起访问。
2.如权利要求1所述的方法,其特征在于,对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得所述访问请求对应的前向纠错码,包括:
验证所述访问请求的身份信息;
阻断通过验证的访问请求中的外部链接,并从所述通过验证的访问请求中提取有效信息;
将所述有效信息通过私有协议重新封装为加密报文,并计算所述有效信息的哈希校验码;
编码所述加密报文,并将哈希校验码组装在编码后的加密报文尾部,获得所述访问请求对应的前向纠错码。
3.如权利要求2所述的方法,其特征在于,编码所述加密报文,并将哈希校验码组装在编码后的加密报文尾部,获得所述访问请求对应的前向纠错码,包括:
用预设编码矩阵不断对所述加密报文中至少两个数据进行异或运算得到对应的编码包,直至所述加密报文中全部数据均编码为编码包,获得所述加密报文对应的编码包集合;
在每一个所述编码包的首部添加对应的第一标识和第二标识;其中第一标识用于标志所述编码包在所述编码包集合中的序号,第二标识用于标志所述编码包集合的序号;
当所述编码包集合中的全部编码包均添加了对应的第一标识和第二标识后,封装所述编码包集合;
在封装后的编码包集合的尾部添加所述哈希校验码,获得所述访问请求对应的前向纠错码。
4.如权利要求1所述的方法,其特征在于,通过所述哈希校验码验证接收到的前向纠错码中加密报文的数据完整性,包括:
对所述接收到的前向纠错码进行解码,得到解码后的加密报文和解码后的哈希校验码;
验证所述解码后的哈希校验码和对所述解码后的加密报文进行哈希计算得到的哈希校验码是否相同;
当所述解码后的哈希校验码和计算得到的哈希校验码相同时,确定所述解码后的加密报文的数据完整;
当所述解码后的哈希校验码和所述计算得到的哈希校验码不同时,确定所述解码后的加密报文的数据不完整。
5.如权利要求4所述的方法,其特征在于,解密所述接收到的前向纠错码加密报文得到所述有效信息,包括:
使用私有协议解密所述解码后的加密报文,获得所述有效信息。
6.如权利要求4所述的方法,其特征在于,从所述接收到的前向纠错码中恢复得到的加密报文中获取所述有效信息,包括:
使用所述前向纠错码的数据恢复方法,从所述接收到的前向纠错码中恢复所述加密报文,得到恢复后的加密报文;
使用私有协议解密所述恢复后的加密报文,获得所述访问请求中的有效信息。
7.如权利要求6所述的方法,其特征在于,使用所述前向纠错码的数据恢复方法,从所述接收到的前向纠错码中恢复所述加密报文,得到恢复后的加密报文,包括:
解封所述接收到的前向纠错码,获得所述接收到的前向纠错码对应的编码包集合;
按照所述编码包集合中的编码包的第一标识和第二标识,确定所述编码包的数目是否大于预设数目;
当所述编码包集合中的编码包数量大于所述预设数目时,根据预设编码矩阵、所述编码包的第一标识和第二标识,对所述编码包集合进行解码,获得所述恢复后的加密报文。
8.如权利要求1所述的方法,其特征在于,根据所述有效信息向所述第二安全等级网络发起访问,包括:
按照所述第二安全等级网络预设的安全策略,将所述有效信息转化为对应的访问连接,根据所述访问连接向所述第二安全等级网络发起访问。
9.一种网络隔离设备,其特征在于,包括:
外网单元,用于对在第一安全等级网络中接收到的访问请求进行加密和前向纠错码处理,获得所述访问请求对应的前向纠错码;其中,所述前向纠错码包括加密所述访问请求中有效信息得到的加密报文及所述加密报文对应的哈希校验码;
单向可见光单元,用于通过可见光发送端向可见光接收端发送的单向可见光,将所述前向纠错码传输到与第二安全等级网络连接的一端,通过所述哈希校验码验证接收到的前向纠错码中加密报文的数据完整性,在确定所述接收到的纠错码中加密报文的数据完整时,解密所述接收到的纠错码中加密报文得到所述有效信息,在确定所述接收到的纠错码中加密报文的数据不完整时,从所述接收到的前向纠错码中恢复得到的加密报文中获取所述有效信息;其中,所述可见光发送端与所述可见光接收端间未用有线介质连接,所述可见光单元包括所述可见光发送端和所述可见光接收端;
内网单元,用于根据所述有效信息向所述第二安全等级网络发起访问。
10.一种基于可见光的数据传输的系统,其特征在于,包括:
外网客户端,设置于第一安全等级网络中,用于向网络隔离设备发送访问请求;
内网客户端,设置于第二安全等级网络中,用于接收所述网络隔离设备发起的访问;
所述网络隔离设备,设置于所述第一安全等级网络和所述第二安全等级网络之间,用于执行如权利要求1-8任一项所述的方法,以保证在隔离所述第一安全等级网络和所述第二安全等级网络的同时,通过单向可见光单元在所述外网客户端和所述内网客户端之间单向传输所述访问请求。
11.一种基于可见光的数据传输的装置,其特征在于,包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令执行如权利要求1-8中任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如权利要求1-8中任一项所述的方法。
CN202111498590.1A 2021-12-09 2021-12-09 一种基于可见光的数据传输的方法、系统和存储介质 Active CN114422173B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111498590.1A CN114422173B (zh) 2021-12-09 2021-12-09 一种基于可见光的数据传输的方法、系统和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111498590.1A CN114422173B (zh) 2021-12-09 2021-12-09 一种基于可见光的数据传输的方法、系统和存储介质

Publications (2)

Publication Number Publication Date
CN114422173A CN114422173A (zh) 2022-04-29
CN114422173B true CN114422173B (zh) 2024-02-13

Family

ID=81265838

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111498590.1A Active CN114422173B (zh) 2021-12-09 2021-12-09 一种基于可见光的数据传输的方法、系统和存储介质

Country Status (1)

Country Link
CN (1) CN114422173B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115189969B (zh) * 2022-09-09 2023-01-03 北京安盟信息技术股份有限公司 一种网络加密通信方法、装置、介质及设备
CN117675410A (zh) * 2024-01-30 2024-03-08 中电数据产业有限公司 基于单向光闸的udp数据传输方法和系统

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6901075B1 (en) * 1998-03-12 2005-05-31 Whale Communications Ltd. Techniques for protection of data-communication networks
KR20110032590A (ko) * 2009-09-23 2011-03-30 한국전자통신연구원 오류 정정 부호화 및 복호화가 수행되는 광 전송장치 및 그 방법
CN102957513A (zh) * 2012-11-16 2013-03-06 深圳光启创新技术有限公司 基于可见光通信的纠错方法和装置
CN105320899A (zh) * 2014-07-22 2016-02-10 北京大学 一种面向用户的云存储数据完整性保护方法
CN106657010A (zh) * 2016-11-16 2017-05-10 东软集团股份有限公司 访问数据的方法、装置及系统
CN108833337A (zh) * 2018-04-20 2018-11-16 江苏磐基信息科技有限公司 一种基于光通信的数据传输系统及方法
CN109714325A (zh) * 2018-12-19 2019-05-03 北京奇安信科技有限公司 一种单向光闸数据传输方法、系统、电子设备和介质
CN110474681A (zh) * 2019-07-15 2019-11-19 安徽继远软件有限公司 一种跨网络安全隔离传输管理系统及其传输方法
CN110557251A (zh) * 2019-09-27 2019-12-10 武汉控安融科技有限公司 工业数据安全隔离采集系统及内外网数据单向传输方法
CN111885209A (zh) * 2020-08-07 2020-11-03 北京明略软件系统有限公司 一种基于单向光闸的消息队列同步方法、装置及系统
CN112291279A (zh) * 2020-12-31 2021-01-29 南京敏宇数行信息技术有限公司 路由器内网访问方法、系统、设备以及可读存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100561845B1 (ko) * 2003-10-08 2006-03-16 삼성전자주식회사 애드 혹 망에서 멀티 레벨 접근 제어를 위한 데이터암호화 및 복호화 방법
US9473300B2 (en) * 2011-11-03 2016-10-18 Savannah River Nuclear Solutions, Llc Authenticated sensor interface device
EP3654576B1 (en) * 2018-11-16 2021-07-28 Siemens Aktiengesellschaft Computer-implemented method for error-correction-encoding and encrypting of a file
US11082411B2 (en) * 2019-08-06 2021-08-03 Advanced New Technologies Co., Ltd. RDMA-based data transmission method, network interface card, server and medium

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6901075B1 (en) * 1998-03-12 2005-05-31 Whale Communications Ltd. Techniques for protection of data-communication networks
KR20110032590A (ko) * 2009-09-23 2011-03-30 한국전자통신연구원 오류 정정 부호화 및 복호화가 수행되는 광 전송장치 및 그 방법
CN102957513A (zh) * 2012-11-16 2013-03-06 深圳光启创新技术有限公司 基于可见光通信的纠错方法和装置
CN105320899A (zh) * 2014-07-22 2016-02-10 北京大学 一种面向用户的云存储数据完整性保护方法
CN106657010A (zh) * 2016-11-16 2017-05-10 东软集团股份有限公司 访问数据的方法、装置及系统
CN108833337A (zh) * 2018-04-20 2018-11-16 江苏磐基信息科技有限公司 一种基于光通信的数据传输系统及方法
CN109714325A (zh) * 2018-12-19 2019-05-03 北京奇安信科技有限公司 一种单向光闸数据传输方法、系统、电子设备和介质
CN110474681A (zh) * 2019-07-15 2019-11-19 安徽继远软件有限公司 一种跨网络安全隔离传输管理系统及其传输方法
CN110557251A (zh) * 2019-09-27 2019-12-10 武汉控安融科技有限公司 工业数据安全隔离采集系统及内外网数据单向传输方法
CN111885209A (zh) * 2020-08-07 2020-11-03 北京明略软件系统有限公司 一种基于单向光闸的消息队列同步方法、装置及系统
CN112291279A (zh) * 2020-12-31 2021-01-29 南京敏宇数行信息技术有限公司 路由器内网访问方法、系统、设备以及可读存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
云存储数据完整性检测技术研究;张亮;《中国优秀硕士学位论文全文数据库 信息科技辑》;全文 *
基于FPGA的多通道高可靠高速单向传输系统设计;杜兴林 等;计算机应用(S2);全文 *
智能配电通信网的隔离性研究;薛金;《中国优秀硕士学位论文全文数据库 工程科技II辑》;全文 *

Also Published As

Publication number Publication date
CN114422173A (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
CN114422173B (zh) 一种基于可见光的数据传输的方法、系统和存储介质
RU2459369C2 (ru) Способ и устройство для передачи сообщений в реальном времени
US20170063853A1 (en) Data cipher and decipher based on device and data authentication
CN101388053A (zh) 对数据进行加密、完整性和防重发保护的方法、系统和装置
JP7018864B2 (ja) 半導体装置及びその制御方法
US8788847B2 (en) Secure data processing method and associated device
US10728045B2 (en) Authentication device, authentication system, authentication method, and program
CN111639325A (zh) 基于开放平台的商户认证方法、装置、设备和存储介质
CN114124549A (zh) 一种基于可见光系统的安全访问邮件的方法、系统和装置
KR101063152B1 (ko) 일방향 데이터 전송 시스템 및 방법
CN112689014A (zh) 一种双全工通信方法、装置、计算机设备和存储介质
WO2018101488A1 (ja) セキュアネットワーク通信方法
CN113591109B (zh) 可信执行环境与云端通信的方法及系统
US20190132119A1 (en) Method for exchanging messages between security-relevant devices
KR20180042607A (ko) 단방향 데이터 송신 장치, 단방향 데이터 수신 장치 및 단방향 데이터 전송 방법
CN102498493B (zh) 使用对内容的权限的方法
CN111291398B (zh) 基于区块链的认证方法、装置、计算机设备及存储介质
Pingale et al. Design aspects for upgrading firmware of a resource constrained device in the field
CN108270767B (zh) 数据验证方法
KR20190058302A (ko) 반도체 장치, 인증 시스템 및 인증 방법
WO2022110688A1 (zh) 基于现场总线的数据传输方法、身份识别方法及系统
KR101224383B1 (ko) 디바이스들 사이에서의 보안 통신 방법
CN117811788A (zh) 一种数据传输的方法、系统和装置
CN113591140B (zh) 资源数据防篡改方法、系统、计算机设备及存储介质
CN114520738B (zh) 数据处理方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant