CN116094828A - 一种基于物理隔离的动态协议网关系统 - Google Patents

Abstract

本发明提出的基于物理隔离的动态协议网关系统，包括协议网关服务单元、数据摆渡服务单元和物理隔离传输装置；协议网关服务单元用于对第一数据包解析处理并传输至数据摆渡服务单元，及用于接收数据摆渡服务单元发送的第二数据包，以响应于请求；数据摆渡服务单元用于将第一数据包发送至物理隔离传输装置，及接收物理隔离传输装置传输的第二数据包，并发送至协议网关服务单元；物理隔离传输装置用于将第一数据包发送至对端的物理隔离传输装置，及接收对端的物理隔离传输装置发送的第二数据包，并发至数据摆渡服务单元，提高了服务器和数据传输的安全性，可支持动态协议或复杂协议通信，满足了基于物理隔离对数据交换需求。

Description

一种基于物理隔离的动态协议网关系统

技术领域

本发明涉及到网洛安全设备技术领域，特别是涉及到一种基于物理隔离的动态协议网关系统。

背景技术

伴随着网络技术及互联网的飞速发展，网络攻击、信息泄露及人们对敏感及涉密信息交互安全性要求越来越高；例如针对低安全域与高安全域之间的网络传输，为了阻断网络攻击，避免外部攻击者入侵，通常通过逻辑隔离或者物理隔离来实现内网端和外网端隔离，逻辑隔离主要通过逻辑隔离器实现，被隔离的两端仍然存在物理上数据通道连线；物理隔离是采用物理方法将内网端与外网端隔离从而避免入侵或信息泄露的风险。但是以上解决方案还存在结构复杂、效率低的缺陷，且原理上逻辑隔离还存在一定的安全隐患，故而业界逐渐开始采用基于物理隔离交换技术，切断网络被攻击的途径，真正实现网络防护。

目前行业物理隔离交换采用网络协议剥离、封装加密及验签解密等技术，通过物理的传输介质、非网络媒介可以完全做到网络的隔离。由于物理隔离技术需先经过协议剥离、封装加密，通过物理的传输介质传输至对端，然后再对数据验签、拆封解密，协议还原等复杂过程，对于静态数据传输、静态固定网站的浏览和实时性要求不高的数据交换，可以采用这种物理隔离方式；但是针对于视频监控系统产品的特殊性，要实现控制信令完全解析、控制信令双向通信、视频媒体流方向可控可管理及媒体流编码格式识别，基于物理隔离交换技术目前市场还没有一套完整的解决方案，例如对于专网的视频监控系统需要与外部的视频监控系统进行网络化互联的情况，如果还采取网络逻辑隔离方式，无疑将视频专网暴至于危险境地，故只能采用物理隔离交换技术，但对于这种情况目前物理隔离却难以实现。受限于内、外物理隔离因素的影响，但又必须解决物理隔离存在的动态协议通信、动态业务流交互、复杂通信协议及协议传输可靠性的问题，为此，我们发明了一种基于物理隔离的动态协议网关系统来解决相关问题。

发明内容

本发明的主要目的为提供一种满足基于物理隔离对数据交换需求且提高服务器和数据传输的安全性的，可进行动态协议或复杂协议通信的基于物理隔离的动态协议网关系统。

本发明提出一种基于物理隔离的动态协议网关系统，应用于多端网络，每一端网络均包括：协议网关服务单元、数据摆渡服务单元和物理隔离传输装置；

所述协议网关服务单元用于接收请求不同协议的第一数据包，对所述第一数据包进行解析并处理，并依据解析结果将处理后的第一数据包传输至所述数据摆渡服务单元，以及，用于接收所述数据摆渡服务单元发送的第二数据包，并将所述第二数据包响应于所述请求；

所述数据摆渡服务单元用于将处理后的所述第一数据包发送至所述物理隔离传输装置，以及，用于接收所述物理隔离传输装置传输的所述第二数据包，将所述第二数据包发送至所述协议网关服务单元；

所述物理隔离传输装置用于将处理后的所述第一数据包发送至对端的物理隔离传输装置，以及，接收对端的物理隔离传输装置发送的所述第二数据包，并将所述第二数据包发送至所述数据摆渡服务单元。

进一步地，所述协议网关服务单元还用于对所述第一数据包进行解析，若解析得到第一控制信令，则依据所述第一控制信令更改信息，并依据更改后的信息进行相应业务逻辑操作，若解析得到第二控制信令，则依据所述第二控制信令动态打开代理端口，以让所述数据摆渡服务单元依据所述代理端口开启与所述代理端口具有映射关系的所述映射端口，进而让所述协议网关单元通过所述代理端口、映射端口与所述数据摆渡服务单元实现数据传输。

进一步地，所述协议网关服务单元还用于对所述第一数据包进行过滤拦截或/和病毒查杀或/和恶意代码拦截处理。

进一步地，还包括数据交换服务单元，所述数据交换服务单元用于抓取第三数据包，并将所述第三数据包发送至所述数据摆渡服务单元，以及接收所述数据摆渡单元发送的反馈数据。

进一步地，所述数据摆渡服务单元还用于对所述协议网关服务单元或数据交换服务单元发送的数据包进行协议剥离、数据封装及数据的分发处理，以及，用于对所述物理隔离传输装置发送的数据包进行验签解密、协议还原处理，所述数据包包括所述第一数据包或第二数据包或第三数据包。

进一步地，所述数据摆渡服务单元采用内存池、摆渡端口池、数据分发线程及可靠传输协议技术。

进一步地，所述摆渡端口池用于存放多个等待的空闲端口，当所述摆渡端口池存有空闲端口时，所述协议网关服务单元在开启一个代理端口后，向所述摆渡端口池申请一个所述空闲端口作为所述映射端口，当所述摆渡端口池没有空闲端口且在所述协议网关服务单元申请时，所述摆渡端口动态开启一个新的端口作为所述映射端口。

进一步地，多端网络包括高信任域的内网端和低信任域的外网端，内网端的协议网关服务单元与高信任域的服务器进行TCP/IP公有协议网络连接，外网端的协议网关服务单元与低信任域的服务器进行TCP/IP公有协议网络连接，所述低信任域的服务器包括HTTP服务器和/或数据库服务器和/或FTP客户端和/或视频客户端。

进一步地，多端网络包括高信任域的内网端和低信任域的外网端，内网端的数据交换服务单元与高信任域的服务器进行TCP/IP公有协议网络连接，外网端的数据交换服务单元与低信任域的服务器进行TCP/IP公有协议网络连接，所述外网端的数据交换服务单元从低信任域的服务器抓取要同步的文件、邮件信息、数据库数据。

进一步地，所述协议网关服务单元支持HTTP协议、FTP协议、RTSP协议、工业OPC协议、Modbus/TCP协议。

本发明的有益效果为：一方面数据包的传输是通过基于私有通讯协议的双向的物理隔离传输装置实现的，有效避免了病毒、恶意代码利用数据传输从低安全域攻击高安全域服务器的可能，从而提高了服务器和数据传输的安全性；另外一方面设置了协议网关服务单元可支持动态协议或复杂协议通信，满足了基于双向物理隔离对数据交换需求，是一种真正意义上的物理隔离的动态协议网关系统，同时防护基于TCP/IP协议漏洞的攻击。

附图说明

图1为本发明一实施例的基于物理隔离的动态协议网关系统的结构示意图；

图2为本发明另一实施例的基于物理隔离的动态协议网关系统的结构示意图；

图3为本发明一实施例的基于物理隔离的动态协议网关系统中数据交互的流程示意图；

图4为本发明一实施例中的基于物理隔离的动态协议网关系统中数据包转换传输的流程示意图；

图5为本发明另一实施例中的基于物理隔离的动态协议网关系统的结构示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例的附图，对本发明实施例中的技术方案进行清楚、完整地描述，以下是对实施方式对本发明的解释，且本发明不局限于以下实施方式。

参照图1-2，本实施例中的基于物理隔离的动态协议网关系统，应用于多端网络，如内网端和外网端，内网端为高可信任域，外网端为低可信任域，每一端网络均包括：协议网关服务单元、数据摆渡服务单元和物理隔离传输装置；本实施例中，以内网端和外网端为例，也即内网端中包括协议网关服务单元、数据摆渡服务单元和物理隔离传输装置，对应的外网端也包括协议网关服务单元、数据摆渡服务单元和物理隔离传输装置，其中，协议网关服务单元与TCP/IP公有协议网络连接，数据摆渡服务单元主要进行协议剥离、数据封装及数据的分发处理；物理隔离传输装置创建了两个网络之间的物理隔断。

本实施例中，为了便于区别，将接收到的数据包名为第一数据包，将反馈回的数据包命为第二数据包，协议网关服务单元用于接收请求不同协议的第一数据包，对第一数据包进行解析并处理，并依据解析结果将处理后的第一数据包传输至数据摆渡服务单元，以及，用于接收数据摆渡服务单元发送的第二数据包，并将第二数据包响应于上述请求；第一数据包可为FTP协议、视频协议等复杂协议的数据包，或者动态协议数据包，第一数据包解析后可为不同的控制信令，也可为各种不同的媒体流数据，上述处理可以为过滤拦截或/和病毒查杀或/和恶意代码拦截处理，由于HTTP服务器、数据库服务器的访问都是有固定的地址(IP或域名)和端口，协议网关服务单元需要开启一个代理端口，同时数据摆渡服务单元也开启一个与代理端口相映射的端口，协议网关服务单元通过其开启的代理端口及数据摆渡服务单元开启的端口进行数据交互、传输。这样文件数据流或视频媒体流的数据可转发到协议网关服务单元开启的代理端口，使协议网关服务单元与客户端、服务器建立好传输关系。

具体地，内网端的协议网关服务单元一端连接高信任域网络，接收第一数据包，然后解析识别协议并根据协议内容分离出控制信令或业务数据流，并根据协议分析结果重构控制信令，再将重构的控制信令转发至数据摆渡服务单元，外网端的协议网关服务单元一端连接低信任域网络的服务器，在收到外网端的数据摆渡服务单元转发的数据包后，将重构的控制信令转发至外网端的目的服务器，待目的服务器响应回来数据包，再次解析并重构数据，得到上述第二数据包，也即响应数据，再转至外网端的数据摆渡服务单元，在高信任域内网端的数据摆渡服务单元收到响应数据后转发至协议网关服务单元，最终通过响应数据响应高信任域网络发起的请求。

数据摆渡服务单元用于将处理后的第一数据包发送至物理隔离传输装置，以及，用于接收物理隔离传输装置传输的第二数据包，将第二数据包通过映射端口发送至协议网关服务单元。数据摆渡服务单元用于承接协议网关服务单元数据包的接收和转发，在接收一端，对协议进行剥离、对剥离的纯数据进行封装加密加签处理，如在接收协议网关服务单元发送的数据包后，进行协议剥离、数据封装，如加密加签以封装，在转发一端，对数据包进行验签解密协议还原处理，如在接收到物理隔离传输装置发送的数据包时，将数据包转发至协议网关服务单元，在上述过程中，数据摆渡服务单元处理的数据包为第一数据包或第二数据包。参照图4，本申请的网关系统基于TCP、UDP等网络协议进行连接，接收数据包，然后剥离数据包的应用层协议，例如HTTP、FTP、RTSP等应用层协议，进行加密封装，然后经过两端的物理隔离传输装置转发，再对数据包进行解密，还原HTTP、FTP、RTSP等应用层协议，然后封装再发送数据包。

物理隔离传输装置用于将处理后的第一数据包发送至对端的物理隔离传输装置，以及，接收对端的物理隔离传输装置发送的第二数据包，并将第二数据包发送至数据摆渡服务单元。本实施例中，物理隔离传输装置部署于在内网端、外网端两个隔离主机两端，接收和转发数据摆渡服务单元的数据包，内网端的物理隔离传输装置用于接收内网端数据摆渡服务单元封装好的数据包并转发至外网端的物理隔离传输装置，和接收外网端物理隔离传输装置发送过来的数据包并转发给内网端数据摆渡服务单元，外网端的物理隔离传输装置用于接收外网端数据摆渡服务单元封装好的数据包并转发至内网端的物理隔离传输装置，和接收内网端物理隔离传输装置发送过来的数据包，并转发给外网端数据摆渡服务单元，因其内网端、外网端是物理断开，即两个网络之间创建了一个物理隔断，避免出现服务器被黑客入侵控制，病毒数据渗透传播，涉密信息有被盗取等问题。

针对现有技术中基于物理隔离交换技术还普遍存在结构复杂、带宽不足、传输延时高及动态协议、复杂协议支持差等缺陷，本发明提供的基于物理隔离的动态协议网关系统，一方面数据包的传输是通过基于私有通讯协议的双向的物理隔离传输装置实现的，有效避免了病毒、恶意代码利用数据传输从低安全域攻击高安全域服务器的可能，从而提高了服务器和数据传输的安全性；另外一方面设置了协议网关服务单元，可支持动态协议或复杂协议通信，满足了基于双向物理隔离对数据交换需求，是一种真正意义上的物理隔离的动态协议网关系统，同时防护基于TCP/IP协议漏洞的攻击。

在一个实施例中，协议网关服务单元还用于对第一数据包进行解析并识别，若解析得到第一控制信令，则依据第一控制信令更改信息，并依据更改后的信息进行相应业务逻辑操作，若解析得到第二控制信令，则依据第二控制信令动态打开代理端口，以让数据摆渡服务单元依据代理端口开启与代理端口具有映射关系的映射端口，进而让协议网关单元通过代理端口、映射端口与数据摆渡服务单元实现数据传输。本实施例中，协议网关服务单元接收的的内网端请求可能是用于各种不同业务逻辑操作的控制信令，也可能是媒体流数据等，当解析得到第一控制信令，识别出相应协议后，根据第一控制信令进行更改信息，例如更改信令名称或更改地址或更改端口，在更改后按照改后的信息进行一下步对应的操作。值得注意的是，若解析出为媒体流数据，则说明代理端口已打开，可直接对媒体流数据进行处理并发送至数据摆渡服务单元。

本实施例中，参照图1，若是解析识别得到第二控制信令，也即需要动态打开业务数据流端口，这时协议网关服务单元动态开启一个代理端口，并把该代理端口告诉数据摆渡服务单元，并与数据摆渡服务单元建立好端口映射关系，这样文件数据流或视频媒体流的数据转发到协议网关服务单元开启的代理端口。具体而言，可通过消息中间件来实现，消息中间件是系统内置服务，主要用于数据摆渡服务单元与协议网关服务单元的消息通信，在配置好目的地址、端口及内容过滤、信令拦截等高级配置项后，两端协议网关服务单元会开启配置代理端口来进行监听，同时通过消息中间件向数据摆渡服务单元申请一个可用的映射端口，这样两端数据摆渡服务单元在初始阶段建立通信映射关系，使其处于等待交互的状态。

在一个实施例中，内网端的协议网关服务单元与高信任域的服务器进行TCP/IP公有协议网络连接，外网端的协议网关服务单元与低信任域的服务器进行TCP/IP公有协议网络连接，其中，低信任域的服务器包括HTTP服务器和/或数据库服务器和/或FTP客户端和/或视频客户端，也即协议网关服务单元满足可信任域用户访问外部的HTTP服务器、数据库服务器、FTP服务及视频交换等需求。优选地，协议网关服务单元可支持常见的HTTP协议、FTP协议、RTSP协议，因其还存在兼具动态协议的适配性，故而还可拓展诸如具有代表性工业OPC、Modbus/TCP等协议。

优选地，协议网关服务单元还用于对第一数据包进行过滤拦截或/和病毒查杀或/和恶意代码拦截处理，具体可通过对应插件来实现，其中，过滤拦截可根据实际情况自定义设置过滤拦截的内容，当发现设定的内容时，将其过滤拦截下来。代理端口接收到请求的数据包先依次进行内容过滤、病毒查杀、恶意代码拦截操作，再把数据包转发至本端数据摆渡服务单元处理，然后转发至本端物理隔离传输装置，本端物理隔离传输装置再转发至对端的物理隔离传输装置，对端的物理隔离传输装置将其转发至对端数据摆渡服务单元，对端数据摆渡服务单元接收处理完成数据包后，再将数据转发给对端的协议网关服务单元，然后把数据包转发给实际服务器。对于实际服务器响应的数据，由对端的协议网关服务单元做完进行过滤拦截或/和病毒查杀或/和恶意代码拦截一系列业务操作后把数据包转给对端的数据摆渡服务单元，再依次通过对端物理隔离传输装置、本端物理隔离传输装置转发，在本端数据摆渡服务单元收到数据包后做解密还原协议等操作转给本端网关协议服务单元，最终由本端的协议网关服务单元响应给客户端，如此反复就可以达到内网端用户访问外部的HTTP服务器、数据库服务器等。

协议网关服务单元负责适配各种协议操作信令，完成动态业务数据流端口的申请与释放，并对各种信令及业务流的过滤拦截、病毒查杀及恶意代码拦截等操作。

在一个实施例中，数据摆渡服务单元采用内存池、摆渡端口池、数据分发线程及可靠传输协议技术，这样可保证数据摆渡服务单元的数据传输高效性、程序的高安全高稳定性。其中采用内存池设计可避免忘记释放内存造成内存泄露，以及内存不能循环使用造成大量内存碎片，而采用内存池设计让内存分配变得更加简单，提升内存分配效率使得程序更加稳定；参照图2，摆渡端口池是程序在初始化时默认开启一定量的空闲端口，也即存放有多个正在等待工作的空闲端口，摆渡端口池的空闲端口可以被申请使用，当摆渡端口池存有空闲端口时，协议网关服务单元在开启一个代理端口后，可向摆渡端口池申请一个空闲端口作为映射端口，当摆渡端口池没有空闲端口且在协议网关服务单元申请时，摆渡端口动态开启一个新的端口作为映射端口，须知当申请完成则默认该映射端口与对应的代理端口具有映射关系，由于直接通过具有映射关系的两个端口来进行传输，减少现有技术中动态交互过程中开放、释放端口带来资源的损耗，有一定提升动态协议交互的延时问题；数据分发线程则为了不同业务数据处理，提升业务并发吞吐能力；可靠性传输协议则是在私有协议的基础上封装一层可靠传输机制，兼顾超时重转、流量控制和拥塞控制，使得数据摆渡服务单元能安全稳健运行。

在一个实施例中，参照图2，在上述基础上，本发明提供的基于物理隔离的动态协议网关系统还包括数据交换服务单元，数据交换服务单元用于抓取第三数据包，并将第三数据包发送至数据摆渡服务单元，以及接收数据摆渡单元发送的反馈数据，上述第三数据包可为用于请求同步的文件、邮件信息、数据库数据等数据包，主要满足高信任域网络用户与外部的文件交换、收发邮件、数据库交换等的要求。本实施例中，内网端的数据交换服务单元与高信任域的服务器进行TCP/IP公有协议网络连接，外网端的数据交换服务单元与低信任域的服务器进行TCP/IP公有协议网络连接，外网端的数据交换服务单元从低信任域的服务器抓取要同步的文件、邮件信息、数据库数据。

具体而言，内网端中，本端数据交换服务单元抓取到数据包后，先进行内容过滤、病毒查杀及恶意代码拦截，再将数据包发送给本端数据摆渡服务单元，本端数据摆渡服务单元对其进行协议剥离、数据封装加密加签处理，并将数据包发送至本端物理隔离传输装置，本端物理隔离装置再将数据包发送至对端物理隔离传输装置，外网端中，对端物理隔离传输装置把数据包转给对端数据摆渡服务单元，对端的数据摆渡单元再对数据包进行验签解密，然后将解密后的数据封装还原成原理协议转发给对端的数据交换服务单元，最后由数据交换服务单元传输到目的端，然后获取目的端反馈回来的反馈数据，再按上述过程反向传输，回到本端数据交换服务单元，即依次再经过对端数据摆渡服务单元、对端物理隔离传输装置、本端物理隔离装置、本端数据摆渡服务单元处理与传输，到达本端数据交换服务单元，再响应至请求端。上述过程中，数据摆渡服务单元处理的数据包为第三数据包或反馈回来的反馈数据。

值得注意的是，协议网关服务单元与数据交换服务单元的区别在于，协议网关服务单元不是主动抓取源端数据，而是接收用户数据包并对不同协议数据包进行分析解读，然后做相对应的业务逻辑操作并最终满足用户的要求，而数据交换服务单元则主动去源端抓取数据。这样通过协议网关服务单元与数据交换服务单元处理不同的数据包，进而实现静态数据传输、动态协议通信交互及复杂协议通信。

参照图3，源端服务器与目的端服务器数据交换的过程：

数据交换服务单元和协议网关服务单元从不可信网络的源服务器端抓取源端数据包，上述不可信网络是指可信网络之外的网络，可以局域网或广域网，例如，政府办公网、电子政务专网或公司内部网络，可称为可信任网络，相对于互联网不可直接接入到公司内部的网络称之为不可信任网络。

获取源端数据包后，经过病毒检测、恶意代码查杀及内容过滤(可选)三个步骤，若存在病毒、恶意代码以及需要过滤内容，则在对应步骤终止传输并丢弃数据，若均无问题，则把源端数据包转给数据摆渡服务单元进行协议剥离、加密封装处理，通过物理隔离传输装置将源端数据包传输至高可信任端服务器，再对其的传输合法性进行判断，若不符合则终止传输并丢弃数据，若符合，则校验是否丢包，若存在丢包，则发重转数据包的请求，若不存在丢包则再进行数据解密、还原协议并由数据交换服务单元和协议网关服务单元传输至目的端服务器，在传输过程中检测到病毒、恶意代码、命中内容过滤及传输不合法，在终止传输丢弃该数据包的基础上，还会记录告警日志。

在一个具体实施例中，参照图5，此为本发明的协议网关服务单元FTP代理主动模式交互过程，其中，图中实线箭头指向为动态文件数据流交互过程，虚线箭头指向为信令交互过程，FTP客户端处于高信任域(内网端)网络，FTP服务器处于低信任域(外网端)网络，FTP代理模块即协议网关服务单元。初始化时，可先在内网端、外网端两端配置好FTP代理目的地址、端口及内容过滤、信令拦截等高级配置项，然后分别开启内、外网端两端FTP代理服务，两端服务会开启配置好的监听信令的端口X，即代理端口，同时通过消息中间件向数据摆渡服务单元申请一个可用的端口X+1，即映射端口，此时两端数据摆渡服务单元在初始阶段建立通信映射关系，完成初始化，使其处于等待交互的状态。

首先FTP客户端向FTP代理模块发起请求，FTP代理模块监听的端口X收到请求的数据包，把该数据包转发至数据摆渡服务单元初始化时建立好的端口X+1，在数据摆渡服务单元收到该数据包后经过协议剥离、加密封装等处理后，在通过物理隔离传输装置将数据包转发对端物理隔离传输装置(图中省略了该部分的流程)，再将数据包转发至外网端数据摆渡服务单元初始化时建立好的端口X+1，外网端数据摆渡服务单元在收到数据包后验签解密、协议还原等处理后把数据转发至外网端的FTP代理模块，外网端FTP代理模块将对应的数据包发送至FTP服务器，如此完成FTP客户端从内网端至外网端的数据包传输并向FTP服务器请求的过程；

FTP服务器收到外网端FTP代理模块的请求数据包后，FTP服务器根据请求内容返回响应的数据包，外网端FTP代理模块把响应的数据包转发给外网端数据摆渡服务单元，外网端数据摆渡服务单元经过协议剥离、加密封装等操作后，通过物理隔离传输装置将数据包转发至对端物理隔离传输装置(图中省略了该部分的流程)，内网端物理隔离传输装置再转发至内网端数据摆渡服务单元，收到响应数据包后内网端数据摆渡服务单元将收到数据包后验签解密、协议还原等处理并把响应数据包转发至内网端的FTP代理模块，由内网端FTP代理模块将响应的数据包发送至FTP客户端，如此完成FTP服务端从外网端至内网端的响应数据包传输，并向FTP客户端响应的过程。

参照图5，如下将详细描述FTP代理在主动模式下文件上传交互的整个流程，此时FTP代理模块监听的是文件数据，其中客户端的请求和服务器的响应的传输过程不再详细描述重覆：

第一步，FTP客户端发起请求，FTP服务端返回220状态码告诉FTP客户端服务器已经准备好了；

第二步，FTP客户端发起用户帐号确认的请求“USER ftp”，FTP服务用户帐号确认通过，并告诉FTP客户端需要密码的响应“331User name okay,need password”；

第三步，FTP客户端发起密码认证的请求“PASS 123456”,FTP服务器密码认证通过返回“230User logged in,proceed”；

第四步，在用户登录认证完成后，这时候FTP客户端向服务端发起开启好数据流端口的信令即“PORT 172,168,10,1,187,235”，在内网端FTP代理模块收到“PORT 172,168,10,1,187,235”格式的信令，这个时候内网端FTP代理模块动态向系统申请一个空闲的代理端口(N)，并通过消息中间件向内网端摆渡服务申请一个与之对应的映射端口(N+1)，内网端数据摆渡服务单元于摆渡端口池中获取一个空闲的端口作为映射端口，若没有空闲端口，内网端摆渡服务则再动态开启一个与之映射的映射端口(N+1)，其中内网端FTP代理模块申请的空闲的代理端口(N)是用于接收来自内网端数据摆渡服务单元映射端口(N+1)的文件流数据，同时内部发送一条内部消息告诉外网端数据摆渡服务单元开启一个与内网端数据摆渡服务单元映射的映射端口(N+1)，同样的外网端数据摆渡服务单元收到数据包经过协议还原处理后发给外网端FTP代理模块，此时外网端FTP代理模块收到“PORT 172,168,10,1,187,235”格式的信令，修改数据信令为业务口IP地址和本端空闲端口(N)，经过处理的信令改为如“PORT 192,168,10,1,187,235”，并告诉FTP服务器，在FTP服务器收到该信令后返回“200PORT command successful.”告诉客户端，FTP服务器已准备好了；

第五步，FTP客户端在发起上传readme.txt文件请求“STOR readme.txt”，FTP服务器收到请求后，开始向FTP客户端开放的代理端口(N)读文件内容数据；而FTP服务器是无法直接连接到FTP客户端的，这个时候读取的文件数据流是从外网端FTP代理模块开放的代理端口(N)获取，并由外网端数据摆渡服务单元的映射端口(N+1)、内网端数据摆渡服务单元的映射端口(N+1)依次转发过来的，内网端FTP代理模块的代理端口(N)是由真实FTP客户端去读取文件数据流，即FTP代理模块接收到文件数据流包直接回给FTP客户端，由此反复发送转发文件数据流即可达到文件上传的目的；综上实施步骤即可通过FTP客户端将文件上传至FTP服务器，对于下载等操作基本流程上相差不大本发明不再进一步的阐述。

在另一具体实施例中，针对视频监控系统产品的特殊性，也是通过协议网关服务单元实现的，其实现流程类似F协议网关的FTP代理模块。首先，高信任域的用户访问低信任域的视频监控信息，将请求的信令数据发给协议网关服务单元，协议网关服务单元收到信令数据后解析内容，并更改信令的内容后再转发给数据摆渡服务单元，然后对端数据摆渡服务单元收到信令数据后解密、还原协议再转给对端的协议网关服务单元，对端协议网关服务单元解析信令内容转发至真实的视频服务器，再由视频服务器响应返回给请求视频的客户端。其中在交互的过程中协议网关服务单元会根据解析的信令，按前文述描述动态打开、关闭视频流端口并通过消息中间件申请打开、释放映射的端口，并根据实际交互的过程重构信令内容向下一个地址传递，如此便可以达到视频通信的要求。

本发明提供的基于物理隔离的动态协议网关系统，有效避免了病毒、恶意代码利用数据传输从低安全域攻击高安全域服务器的可能，解决了物理隔离存在的动态协议通信、动态业务流交互、复杂通信协议及协议传输可靠性的问题。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种基于物理隔离的动态协议网关系统，其特征在于，应用于多端网络，每一端网络均包括：协议网关服务单元、数据摆渡服务单元和物理隔离传输装置；

所述协议网关服务单元用于接收请求不同协议的第一数据包，对所述第一数据包进行解析并处理，并依据解析结果将处理后的第一数据包传输至所述数据摆渡服务单元，以及，用于接收所述数据摆渡服务单元通发送的第二数据包，并将所述第二数据包响应于所述请求；

所述数据摆渡服务单元用于将处理后的所述第一数据包发送至所述物理隔离传输装置，以及，用于接收所述物理隔离传输装置传输的所述第二数据包，将所述第二数据包发送至所述协议网关服务单元；

所述物理隔离传输装置用于将处理后的所述第一数据包发送至对端的物理隔离传输装置，以及，接收对端的物理隔离传输装置发送的所述第二数据包，并将所述第二数据包发送至所述数据摆渡服务单元。

2.根据权利要求1所述的基于物理隔离的动态协议网关系统，其特征在于，所述协议网关服务单元还用于对所述第一数据包进行解析，若解析得到第一控制信令，则依据所述第一控制信令更改信息，并依据更改后的信息进行相应业务逻辑操作，若解析得到第二控制信令，则依据所述第二控制信令动态打开代理端口，以让所述数据摆渡服务单元依据所述代理端口开启与所述代理端口具有映射关系的映射端口，进而让所述协议网关单元通过所述代理端口、映射端口与所述数据摆渡服务单元实现数据传输。

3.根据权利要求1所述的基于物理隔离的动态协议网关系统，其特征在于，所述协议网关服务单元还用于对所述第一数据包进行过滤拦截或/和病毒查杀或/和恶意代码拦截处理。

4.根据权利要求1所述的基于物理隔离的动态协议网关系统，其特征在于，还包括数据交换服务单元，所述数据交换服务单元用于抓取第三数据包，并将所述第三数据包发送至所述数据摆渡服务单元，以及接收所述数据摆渡单元发送的反馈数据。

5.根据权利要求4所述的基于物理隔离的动态协议网关系统，其特征在于，所述数据摆渡服务单元还用于对所述协议网关服务单元或数据交换服务单元发送的数据包进行协议剥离、数据封装及数据的分发处理，以及，用于对所述物理隔离传输装置发送的数据包进行验签解密、协议还原处理，所述数据包包括所述第一数据包或第二数据包或第三数据包。

6.根据权利要求2所述的基于物理隔离的动态协议网关系统，其特征在于，所述数据摆渡服务单元采用内存池、摆渡端口池、数据分发线程及可靠传输协议技术。

7.根据权利要求6所述的基于物理隔离的动态协议网关系统，其特征在于，所述摆渡端口池用于存放多个等待的空闲端口，当所述摆渡端口池存有空闲端口时，所述协议网关服务单元在开启一个代理端口后，向所述摆渡端口池申请一个所述空闲端口作为所述映射端口，当所述摆渡端口池没有空闲端口且在所述协议网关服务单元申请时，所述摆渡端口动态开启一个新的端口作为所述映射端口。

8.根据权利要求1所述的基于物理隔离的动态协议网关系统，其特征在于，多端网络包括高信任域的内网端和低信任域的外网端，内网端的协议网关服务单元与高信任域的服务器进行TCP/IP公有协议网络连接，外网端的协议网关服务单元与低信任域的服务器进行TCP/IP公有协议网络连接，所述低信任域的服务器包括HTTP服务器和/或数据库服务器和/或FTP客户端和/或视频客户端。

9.根据权利要求1所述的基于物理隔离的动态协议网关系统，其特征在于，多端网络包括高信任域的内网端和低信任域的外网端，内网端的数据交换服务单元与高信任域的服务器进行TCP/IP公有协议网络连接，外网端的数据交换服务单元与低信任域的服务器进行TCP/IP公有协议网络连接，所述外网端的数据交换服务单元从低信任域的服务器抓取要同步的文件、邮件信息、数据库数据。

10.根根据权利要求1所述的基于物理隔离的动态协议网关系统，其特征在于，所述协议网关服务单元支持HTTP协议、FTP协议、RTSP协议、工业OPC协议、Modbus/TCP协议。

Images