CN202841192U - 一种支持广域网的高速、可靠的单向传输系统 - Google Patents
一种支持广域网的高速、可靠的单向传输系统 Download PDFInfo
- Publication number
- CN202841192U CN202841192U CN201220441039.3U CN201220441039U CN202841192U CN 202841192 U CN202841192 U CN 202841192U CN 201220441039 U CN201220441039 U CN 201220441039U CN 202841192 U CN202841192 U CN 202841192U
- Authority
- CN
- China
- Prior art keywords
- main frame
- transmission
- data
- way
- terminal main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型涉及一种支持广域网的高速、可靠的单向传输系统,以满足信息安全领域中物理隔离的保密性、完整性和可用性的需要。该方法在发送端主机和接收端主机、监控端主机间采用基于多播的专用单向传输协议传输数据信息;并在发送端主机和监控端主机建立传输控制机制,通过判断多个周期的丢包率情况来断定系统是否处于拥塞,调节包间延迟时间来改变单向数据传输的传输速率,将数据按照一定的时间间隔均匀发送,能有效缓解网络拥塞的情况,提高单向传输数据的可靠性;当非拥塞的连续周期数超过一定门限后,认为系统处于稳定状态,能合理动态地调整间隔时间以提高单向数据传输的传输速率,提高传输性能。
Description
技术领域
本发明属于计算机信息安全及通信技术领域,具体涉及一种支持广域网的高速、可靠的单向传输系统,适用于广域网中不同地理位置的低密级计算机向高密级计算机可靠、高速单向传输数据,以满足信息安全领域中物理隔离的保密性、完整性和可用性的需要。
背景技术
在信息安全领域中有时要求数据只能实现定向无反馈单向传输,例如数据只能由低密级网络发送到高密级网络中,不允许任何信息由高密级网络发往低密级网络,从而避免泄密情况的发生。对于完全的单向传输,很多问题会产生,其中数据传输的可靠性和性能是最主要的问题。数据传输的两端相互之间没有反向的响应控制帧,相互之间不知道对方的工作状态,甚至不知道对方是否存在,通信链路是否可用,无法协商双方的通信速率,只能使用固定的速率,不能充分利用网络带宽。发送端无法知道接收端是否接收数据,数据是否接收正确,不知道接收端是否准备好接收数据, 是否及时处理收到的数据,双方进行流量控制是个难点。数据传输的物理媒介有光纤、电缆和无线信道等,由于信号在媒介的传输中总会有衰减、失真及各种干扰,接收端接收到的数据都会不可避免的出现差错。
为了解决这种问题,有一些专利也致力于该方面的研究。如中国专利ZL 200610145834.7“有指导无反馈光纤单向传输的物理隔离方法”引入三个光电转换器,三个光电转换器分别执行发送功能,有指导的接收功能和无反馈的接收功能,采用一种镜像的传输控制机制来实现发送主机的有指导传输控制。中国专利ZL 200910155357.6“一种基于分光技术的纯单向数据可靠传输的装置及方法” 在源主机和目标主机之间加设分光器,通过分光器把源主机发出的光信号分成多束相同的光信号,一束发还给源主机,结合冗余检测编码,以便源主机确认光信号的正确发送;另一方面将分出的多路光信号发送给目标主机的多个网卡,只要有一个网卡能正确接收,就能成功实现可靠的单向传输。这两种方法能提高通讯的可靠性,但是存在源主机和目标主机必须通过线缆直接连接,没有考虑单向传输的性能,需要额外的硬件设备,不适用于在广域网环境下分布在不同地理位置的源主机和目标主机等局限性。
发明内容
本发明的目的在于克服现有技术的不足,提出一种支持广域网的高速、可靠的单向传输系统,适用于在广域网环境下分布在不同地理位置的低密级计算机向高密级计算机可靠、高速单向传输数据,以满足信息安全领域中物理隔离的保密性、完整性和高可用性的需要。
为达到上述目的,本发明无需增加新的硬件,只需要发送端主机、接收端主机和监控端主机,发送端主机直接接入网络,监控端主机接入到一台交换机中,接收端主机通过单向传输通道连接到同一台交换机中,构建发送端主机到涉密主机、监控端主机到涉密主机间无反馈单向通道。发送端主机、监控端主机和涉密主机加入到同一个多播组;发送端主机和接收端主机、监控端主机间采用基于多播的专用单向传输协议传输数据信息;发送端主机和监控端主机基于TCP协议建立传输控制机制,采用包间延迟来管理传输速率进行拥塞控制。
本发明所述的支持广域网的高速、可靠的单向传输系统,包括如下步骤:
发送端传输数据工作流程:
(1)在发送端处进行参数配置,配置包间隔时间T、间隔系数N、每次发送最大负载长度L、发送缓存长度S,发送端系统根据系统对实时性的要求和发送端硬件的资源情况初始化T, N, L和S值;
(2)根据最大负载长度L数据包生成模块将所述原始数据分组为固定长度的待发送数据块,并在待发送数据块前添加单向传输协议包头生成数据包,所述单向传输协议包头包括待发送数据块的长度、数据类型、数据来源、该数据块的偏移信息和校验信息等,并将数据包置入数据包缓冲队列中,如单向传输协议包头长度为P;数据包缓冲队列中最大数据包数为M=S/(P+L);
(3)单向发送引擎获取数据包缓冲队列中的数据包发送;如果数据包缓冲队列中数据包数量多于或者等于M个时,则获取M个数据包;当数据包缓冲队列中数据包数量少于M个时,则获取全部数据包;
(4)单向发送引擎将数据包发送出去;连续发送的数据包的个数由间隔系数N决定,等待T时间后,再次发送数据包;
(5)循环执行步骤(2)到(4)。
发送端传输控制工作流程:
(1)传输控制模块接收监控端丢包检测模块发送的丢包信息并计算出丢包率。对于一个检测周期,发送端发送的数据包数目sendnum是可以知道的,相应的接收端接收到数据包rcvnum也可以知道,则丢包率lossrate可以通过公式计算得到:lossrate=(sendnum-rcvnum)/sendnum。为了解决检测周期时间段的不同步导致错误的计算结果的问题,当一个检测周期开始时,传输控制模块首先向监控端发送开始检测的命令,然后统计此时的发包总数,休眠一段时间后再一次统计发包总数,则差值就为这个检测周期的发送数据包数目。对于监控端,当收到检测命令后读取此时收到的数据包总数,然后休眠相同的时间后再次读取收包总数,并将差值即接收包数发送给发送端传输控制模块;
(2)传输控制模块根据基于丢包率的拥塞控制算法计算出新的包间隔时间来实现发送速率的控制。拥塞控制算法主要思想是通过判断多个周期的丢包率情况来断定系统是否处于拥塞;为了减少终端系统不稳定因素的影响,算法通过设定门限值判断拥塞的周期数确定是否发生拥塞,当拥塞周期数超过门限值后认定系统真正拥塞,然后取几个周期的平均值来计算新的包间隔时间;当非拥塞的连续周期数超过一定门限后,认为系统处于稳定状态,可以提高发送速率,因此通过乘以一个小于1的系数减小包间隔时间;为了减少发送速率的抖动,可以对拥塞和非拥塞周期数可以分别定义,通常情况下设定非拥塞周期数大于拥塞周期数;该方法在单向数据传输异常频率不断提高的情况下,发送端主机自动降低单向数据传输的传输速率提高单向传输的可靠性;该传输速率在一段时间内处于稳定正常状态之后,发送端主机自动提高单向数据传输的传输速率,合理动态地调整传输速率,提高传输性能;
(3)传输控制模块周期性更新的包间隔时间参数T来调整传输速率进行拥塞控制。单向发送引擎发送一个数据包后等待一段时间后发送下一个包,发送速率就由包的大小及两个数据包之间的间隔时间来决定。假设数据包的大小记做packetsize,间隔系数N,包间隔时间参数为T,则发送速率sendrate可以通过公式计算得到:sendrate=packetsize*N/T;
(4)发送端传输控制模块接收监控端丢包检测模块发送的丢包信息,整理丢失包的数据放入缓存后发送,实现差错重传机制。
接收端接收数据工作流程:
(1)接收端接收数据包,解析数据包包头信息,如果出现无法识别的格式,丢弃该数据包,并记录日志;
(2)校验该数据包的正确性,即若计算该数据获得的校验信息与从该数据解析出的校验信息不一致,认为该数据在传输中受损,则丢弃该数据;
(3)去掉单向传输协议包头并将接收到的数据处理后放入接收缓冲区;
(4)对数据进行排序等操作,在整个文件或数据接收完毕后进行数据整理以保证数据的正确性。
监控端丢包检测控制工作流程:
(1)丢包检测模块接收开始检测的命令,启动检测周期定时器,获取到达包列表,读取此时收到的数据包总数;
(2)休眠规定时间后再次读取收包总数;
(3)检测周期结束,丢包检测模块统计出丢失的包,将丢包信息发送给接收端传输控制模块。为减小流量,对到达的数据包不进行确认信息回传,而仅仅回传丢失包的信息。在测试中发现单向传输中数据包的丢失往往具有连续性,即丢失的数据包编号是成块的连续值。因此不同于其他协议,为了提高丢包回传信息效率,我们并不回传每个丢失包的具体编号,而是根据丢失数据包成块连续的特点发送每个丢失数据包块的起始编号及丢失包的个数。接收端向发送端的数据包信息格式如下定义:
类型|sum|[M1|L1]……
其中类型为LOSS表示这是一个丢包信息,sum为丢包块的个数,[M1|L1]表示一个丢包块,其中M1表示第一个丢包块的起始序列号,L1表示这个丢包块的长度。
使用本发明的提出的单向传输数据的方法,具有以下有益效果:
(1)本方法不要求源主机和目标主机必须通过线缆直接连接,特别适用于在广域网环境下分布在不同地理位置的源主机和目标主机单向传输数据;
(2)具有拥塞控制等特性,单向数据传输的传输速率可根据单向数据传输异常频率进行自适应调节,可以在很大程度上提高单向传输数据的可靠性,尤其是在大数据量的情况下,将数据按照一定的时间间隔均匀发送,能很好的调整网络流量,缓解网络拥塞的情况,对减少丢包率效果非常明显;
(3)可以在发送端主机与接收端主机之间通过无反馈的单向传输系统进行单向数据传输出现异常特别是连续丢包造成纠错码不能恢复出数据时,控制发送端主机重传,从而保证单向数据传输的可靠性;
(4)发送端主机以较低的传输速率开始单向数据传输,该传输速率在一段时间内处于稳定正常状态之后,发送端主机能合理动态地调整间隔时间提高单向数据传输的传输速率,以使传输速率到达一个自适应的状态,提高传输性能。
附图说明
图1是应用本技术方案的单向传输框架示意图。
图2是无反馈的单向数据传输示意图。
图3是监控端传输控制模块工作流程示意图。
图4基于丢包率的拥塞控制算法流程。
具体实施方式
为了更好地理解本发明,下面结合附图和具体实施例对本发明作进一步地描述。
应用本技术方案的单向传输框架示意图如图1所示,发送端主机A为非涉密主机直接接入网络,接收端涉密主机B通过信息安全单向传输设备连接到一台交换机中,监控端主机C接入到同一台交换机中,发送端主机A、监控端主机C和接收端主机B加入到同一个多播组。由于交换机和主机B间安装有无反馈单向传输通道。发送端主机A和接收端主机B、监控端主机C间采用基于多播的专用单向传输协议传输数据信息;发送端主机A和监控端主机C基于TCP协议建立传输控制机制。
无反馈的单向数据传输示意图如图2所示,发送端单向发送引擎首先根据系统对实时性的要求和发送端硬件的资源情况进行参数配置,配置包间隔时间T、间隔系数N、每次发送最大负载长度L、发送缓存长度S;根据最大负载长度L数据包生成模块将所述原始数据分组为固定长度的待发送数据块,并在待发送数据块前添加单向传输协议包头生成数据包,并将数据包置入数据包缓冲队列中;数据包发送模块获取数据包缓冲队列中的数据包,包间隔时间T后将数据包发送出去。传输控制模块通过调整包间隔时间控制单向发送引擎发送速率,将数据按照一定的时间间隔均匀发送,能很好的调整网络流量,缓解网络拥塞的情况。在发送端主机与接收端主机之间进行单向数据传输出现异常特别是连续丢包造成纠错码不能恢复出数据时,传输控制模块会通知文件线程读取丢失数据包相应的文件内容并写入重传缓冲区的内存池中。当所有的重传包写入完毕或重传缓冲区己满时,传输控制模块告知单向发送引擎发送重传数据,从而保证单向数据传输的可靠性。接收端接收数据包,解析数据包包头信息,如果出现无法识别的格式,丢弃该数据包,并记录日志;校验接收的数据包的正确性,即若计算该数据获得的校验信息与从该数据解析出的校验信息不一致,认为该数据在传输中受损,则丢弃该数据;去掉单向传输协议包头并将接收到的数据处理后放入接收缓冲区;对数据进行排序等操作,在整个文件或数据接收完毕后进行数据整理以保证数据的正确性。发送端及接收端的应用代理模块负责完成对外部数据的获取、分析及传输。发送端应用代理模块可以获取发送端网络数据源中的待传输文件,通过发送给接收端的代理模块,然后再由接收端代理模块传输给接收端网络的目的数据源。因此,数据在传输过程中的数据流一定是从发送端到接收端,没有任何反向信息的传输。为了支持多应用模式及应用数据,单向传输系统有一个专门的应用支持模块,通过该模块,网络型单向传输系统可以与各种使用环境整合,实现对文件、数据库、邮件、网络应用等的单向信息传输。
合理的发送速率是减少拥塞,提高带宽利用率的重要方面,为了提高单向传输的可靠性和性能,发送端主机A和监控端主机C基于TCP协议建立传输控制机制,传输控制工作流程如图3所示。传输控制模块首先接收到开始检测的命令,在每个检测周期中通过获取单向数据接收模块更新的到达包列表,统计出丢失的包,在检测时间到达后,将丢包信息发送给接收端传输控制模块。发送端传输控制模块接收监控端发送的丢包信息并计算出丢包率。传输控制模块根据基于丢包率的拥塞控制算法计算出新的包间隔时间来实现发送速率的控制。基于丢包率的拥塞控制算法流程如图4所示,主要思想是通过判断多个周期的丢包率情况来断定系统是否处于拥塞。为了减少终端系统不稳定因素的影响,算法通过设定门限值判断拥塞的周期数确定是否发生拥塞。当拥塞周期数超过门限值后认定系统真正拥塞,然后取几个周期的平均值来计算新的包间隔时间。当非拥塞的连续周期数超过一定门限后,认为系统处于稳定状态,可以提高发送速率,因此通过乘以一个小于1的系数减小包间隔时间。为了减少发送速率的抖动,可以对拥塞和非拥塞周期数可以分别定义,通常情况下设定非拥塞周期数大于拥塞周期数。该方法在单向数据传输异常频率不断提高的情况下,发送端主机自动降低单向数据传输的传输速率提高单向传输的可靠性;该传输速率在一段时间内处于稳定正常状态之后,发送端主机自动提高单向数据传输的传输速率,合理动态地调整传输速率,以使传输速率到达一个自适应的状态,提高传输性能。在发送端主机与接收端主机之间通过无反馈的单向传输系统进行单向数据传输出现异常特别是连续丢包造成纠错码不能恢复出数据时,发送端传输控制模块还可以基于接收的丢包信息,控制发送端主机重传,从而进一步保证单向数据传输的可靠性。
Claims (1)
1.一种支持广域网的高速、可靠的单向传输系统,适用于在广域网环境下分布在不同地理位置的低密级主机向高密级主机可靠、高速单向传输数据;装置包括发送端主机、接收端主机和监控端主机,其特征在于发送端主机直接接入网络,监控端主机接入到一台交换机中,接收端主机通过单向传输通道连接到同一台交换机中,发送端主机到接收端主机间构建无反馈单向通道,发送端主机、监控端主机和接收端主机加入到同一个多播组;发送端主机和接收端主机、监控端主机间采用基于多播的专用单向传输协议传输数据信息;发送端主机和监控端主机基于TCP协议建立传输控制机制,采用包间延迟来管理传输速率进行拥塞控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201220441039.3U CN202841192U (zh) | 2012-09-01 | 2012-09-01 | 一种支持广域网的高速、可靠的单向传输系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201220441039.3U CN202841192U (zh) | 2012-09-01 | 2012-09-01 | 一种支持广域网的高速、可靠的单向传输系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN202841192U true CN202841192U (zh) | 2013-03-27 |
Family
ID=47952785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201220441039.3U Expired - Fee Related CN202841192U (zh) | 2012-09-01 | 2012-09-01 | 一种支持广域网的高速、可靠的单向传输系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN202841192U (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103391253A (zh) * | 2013-08-05 | 2013-11-13 | 四川启程科技发展有限公司 | 网络拥塞的控制方法、装置及系统 |
| CN104349219A (zh) * | 2013-07-29 | 2015-02-11 | 中国科学院大学 | 一种基于移动通信网络的严增松减等步长拥塞控制算法 |
| CN106850188A (zh) * | 2017-01-24 | 2017-06-13 | 中国航天系统科学与工程研究院 | 一种基于多路异构单向传输通道的数据传输系统 |
| CN109413812A (zh) * | 2018-08-31 | 2019-03-01 | 杭州古北电子科技有限公司 | 一种多设备同步执行指令的方法 |
| CN111064587A (zh) * | 2019-11-15 | 2020-04-24 | 宁波积幂信息科技有限公司 | 一种分布式数据系统的节点及广播传输数据管理方法 |
| CN113497671A (zh) * | 2020-04-02 | 2021-10-12 | 成都鼎桥通信技术有限公司 | 数据处理方法、装置、设备、存储介质及终端设备 |
| CN113676417A (zh) * | 2021-10-25 | 2021-11-19 | 北京安华金和科技有限公司 | 一种流量控制方法和系统 |
| CN117544827A (zh) * | 2023-10-31 | 2024-02-09 | 慧之安信息技术股份有限公司 | 基于添加抖动时间来增强单播可靠性的方法和系统 |
-
2012
- 2012-09-01 CN CN201220441039.3U patent/CN202841192U/zh not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104349219A (zh) * | 2013-07-29 | 2015-02-11 | 中国科学院大学 | 一种基于移动通信网络的严增松减等步长拥塞控制算法 |
| CN103391253A (zh) * | 2013-08-05 | 2013-11-13 | 四川启程科技发展有限公司 | 网络拥塞的控制方法、装置及系统 |
| CN103391253B (zh) * | 2013-08-05 | 2017-03-15 | 四川启程科技发展有限公司 | 网络拥塞的控制方法、装置及系统 |
| CN106850188A (zh) * | 2017-01-24 | 2017-06-13 | 中国航天系统科学与工程研究院 | 一种基于多路异构单向传输通道的数据传输系统 |
| CN109413812A (zh) * | 2018-08-31 | 2019-03-01 | 杭州古北电子科技有限公司 | 一种多设备同步执行指令的方法 |
| CN111064587A (zh) * | 2019-11-15 | 2020-04-24 | 宁波积幂信息科技有限公司 | 一种分布式数据系统的节点及广播传输数据管理方法 |
| CN113497671A (zh) * | 2020-04-02 | 2021-10-12 | 成都鼎桥通信技术有限公司 | 数据处理方法、装置、设备、存储介质及终端设备 |
| CN113676417A (zh) * | 2021-10-25 | 2021-11-19 | 北京安华金和科技有限公司 | 一种流量控制方法和系统 |
| CN113676417B (zh) * | 2021-10-25 | 2022-02-15 | 北京安华金和科技有限公司 | 一种流量控制方法和系统 |
| CN117544827A (zh) * | 2023-10-31 | 2024-02-09 | 慧之安信息技术股份有限公司 | 基于添加抖动时间来增强单播可靠性的方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN202841192U (zh) | 一种支持广域网的高速、可靠的单向传输系统 | |
| US5905871A (en) | Method of multicasting | |
| US5084877A (en) | High speed transport protocol | |
| EP0454364B1 (en) | High speed transport protocol with two windows | |
| CN106533970B (zh) | 面向云计算数据中心网络的差分流传输控制方法及装置 | |
| KR100599920B1 (ko) | 동기식 디지털 계층 전송 네트워크 상에서의 이더넷데이터 흐름을 제어하는 방법 | |
| US20080049617A1 (en) | System for fine grained flow-control concurrency to prevent excessive packet loss | |
| US20030128664A1 (en) | Metered packet flow for packet switched networks | |
| EP3961981A1 (en) | Method and device for congestion control, communication network, and computer storage medium | |
| JP2001186210A (ja) | メッセージを送信する方法、通信方法、据え置き肯定応答通信システム、メッセージを送信するシステム、プロセス制御システム、アプリケーション情報を通信する方法 | |
| CN103346963A (zh) | 一种基于预测到达时间的mptcp数据调度方法 | |
| CA2539080C (en) | Encapsulating packets into a frame for a network | |
| CN112738229B (zh) | 一种实现数据自动续传的通信方法 | |
| JP2004520725A (ja) | サテライトを介するインターネット | |
| CN111682994B (zh) | 基于epa协议的环形或线形网络系统和非实时数据的传输方法 | |
| CN112261142B (zh) | 一种rdma网络的数据重传方法、装置及fpga | |
| CN102801692B (zh) | 一种基于分裂连接的传输控制协议优化方法及系统 | |
| Doshi et al. | Error and flow control performance of a high speed protocol | |
| CN102487330B (zh) | 运行、管理和维护报文的发送方法及装置 | |
| CN103974295A (zh) | 链路状态检测装置及其工作方法 | |
| CN109067663B (zh) | 一种针对应用程序内控制请求响应速率的系统和方法 | |
| JP4930275B2 (ja) | 通信システム、通信方法、送信機、受信機、レート計算方法およびプログラム | |
| Bux et al. | Data link-control performance: Results comparing HDLC operational modes | |
| CN104580171A (zh) | Tcp协议的传输方法、装置和系统 | |
| CN113612737A (zh) | 一种基于分组与重传机制的长报文可靠传输方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130327 Termination date: 20150901 |
|
| EXPY | Termination of patent right or utility model |