本发明专利技术提供一种基于单向传输设备的网络层隧道化方法,实现数据传输的流量控制与整形,以及对数据进行分级管理。本发明专利技术通过对单向传输设备进行第一层封装,实现了数据单向发送的流量控制与整形。第二层在第一层的基础上,对数据进行分级管理,保证了重要数据的优先发送。第三层基于组网层次进行封装,在数据安全有效传输的基础上,对上下行单向设备的进行逻辑整合,达到了组网联动和支持大部分应用层通信协议的目的。
【技术实现步骤摘要】
本专利技术设及,实现不同密级网络之间 数据安全交互的方法,属于通信
技术介绍
目前,随着科技的发展,国内技术手段越来越多,在用系统、设备、传感器等生成的 大量数据需要融合分析,资源整合已成为大趋势。资源整合设及多个安全域,不同安全域的 设密等级不同。在多个域的互联互通中,高密级重要数据的泄漏可能危及国家安全,或者影 响企事业单位的经济利益及个人隐私。所W,如何在不同密级域间安全有效传输数据则成 为重中之重。W政府为例,根据《电子政务保密管理指南》规定;按照信息保密的技术要求, 设密网络不能与互联网直接连通;设密网络与非设密网络连接时,若非设密网络与互联网 物理隔离,则采用单向传输隔离设密网络与非设密网络连接。 在此基础上,国内外多家单位研发出了对应的单向传输设备。但是,很多系统组网 并非简单的单向过程,仅使用单向传输设备,无法满足联动协同协作的需求。因为单向设备 不能提供双向流的支撑,现有的大部分通信中间件便无法连通,很多通用编程模型也无法 使用。该种现象导致的上下行隔离开发模式,给新系统建制、老系统整合改造都增加了很大 的难度,影响整体工程的可控度。 同时,当前安全等级防护措施还处在进化完善阶段,该对系统的安全性、可靠性提 出了较高的适应性要求。因此,在物理单向传输设备之上进行统一封装,在网络边界附加带 外安全策略,能更好满足复杂网络环境下的应用需求。既达到安全防护等级,又面向开发用 户提供相对透明的编程使用环境,支持通用的编程模型,有其现实性和必要性。
技术实现思路
本专利技术提供,实现数据传输的流量控 制与整形,W及对数据进行分级管理,提供数据发送的优先级保障功能,同时实现了上下行 单向设备的逻辑整合,达到了组网联动和支持大部分应用层通信协议的目的。 ,包括W下步骤: 步骤一、对单向传输设备进行第一层封装;在数据发送的入口点,采用Token bucket算法,选取单桶单速率模型,令每个令牌可承载IByte数据;根据网络环境的参数要 求,初始化令牌桶深度D、当前令牌数C、令牌入桶速率R,在数据发送的入口点进行流量的 控制,在流量突发允许范围内反馈当前数据的发送状态;[000引在数据发送的出口点,采用Leakybucket算法,选取高频时钟控制方式,W固定 的速率进行发送,在出口点进行流量整形,使数据流W平稳的速率到达接收方;在数据接收 点,采用动态平衡树链表管理,对接收到的数据包进行快速整合还原,超时的数据包则按既 定策略进行处理; 通过第一层封装后,实现了单向传输设备数据传输的流量控制与整形功能; 步骤二、对单向传输设备进行第二层封装:选取=色标记模型,建立分级队列,数 据在发送时根据不同的颜色标记进入到不同的待发送分级队列中,进入速率由步骤一中的 Tokenbucket算法控制;按照优先级设置从待发送分级队列中进行轮询,选取数据包进入 发送队列,发送速率由步骤一中的Leakybucket算法控制;待发送队列的长度上限需根据 实际情况进行调控,若待发送队列已满,需要发送的数据按既定策略进行处理; 通过第二层封装后,在保证数据单向传输稳定性的同时,又提供了对数据进行分 级管理、优先发送的功能。 步骤=、对单向传输设备进行第=层封装;此时需要上下行两台单向传输设备,底 层数据的发送接收模块按步骤一、二封装;通过第=层封装后,实现了上下行单向设备的逻 辑整合,形成了数据交互的有效通道。 进一步地,所述步骤S中服N(HI細SECURITY肥TWO服)代表高密级组网,LSN(LOW SECURITY肥TWO服)代表低密级组网,现服N中用户A,需通过单向传输设备访问LSN服务 器B中的数据,其交互模式如下: 1)服N代理程序实现对服N用户A数据请求的捕获; 2)判断数据请求是否是需要转发,按一定安全规则对数据进行分离删选; 3)通过单向传输设备发送符合条件的数据; 4)LSN代理程序接收单向传输设备发送过来的数据;[001引5)LSN代理程序检查数据是否符合转发条件; 6)对数据进行重组,根据数据信息建立映射表; 7)将符合条件的数据转发到LSN服务器B; 8)LSN代理程序实现对LSN服务器B返回数据的捕获; 9)根据映射表,将捕获的符合条件数据进行重组;[002引 10)通过单向传输设备将数据发送到服N;11)服N代理程序接收单向传输设备发送过来的数据;12)服N代理程序将返回数据发送给服N用户A。 进一步地,所述的S色标记模型绿黄红S色对应below11〇1'1]131\]1〇1'1]131\油〇¥6 normal类型数据。 本专利技术的有益效果:[002引 1、本专利技术基于tokenbucket-leakybucket算法进行综合改进,实现数据传输的 流量控制与整形; 2、采用色差标记模型,对数据进行分级管理,提供数据发送的优先级保障功能; 3、基于NAT的网络层隧道化封装,实现了上下行单向设备的逻辑整合,达到了组 网联动和支持大部分应用层通信协议(通信中间件)的目的。 4、本专利技术通过对单向传输设备进行第一层封装,实现了数据单向发送的流量控制 与整形。第二层在第一层的基础上,对数据进行分级管理,保证了重要数据的优先发送。第 =层基于组网层次进行封装,在数据安全有效传输的基础上,对上下行单向设备的进行逻 辑整合,达到了组网联动和支持大部分应用层通信协议的目的。【附图说明】图1为本专利技术流量控制与整形、优先级保障的原理图;[003引图2为本专利技术基于NAT的网络层隧道化的总体流程图; 图3为本专利技术基于NAT的网络层隧道化的服N代理流程图; 图4为本专利技术基于NAT的网络层隧道化的LSN代理流程图。【具体实施方式】 现结合附图和实施例详细说明本专利技术。 图1为本专利技术流量控制与整形、优先级保障的原理图,本专利技术的具体实现方式如 下:[003引 1、发送方入口采用Tokenbucket算法,选取单桶单速率模型,每个令牌可承载 IByte数据; 2、初始化的令牌桶深度D、当前令牌数C、令牌入桶速率R; 3、要发送的数据选取S色标记模型,绿黄红S色对应belownormal\no;rmal\ 油ovenormal类型数据; 4当前第1页1 2 本文档来自技高网...
【技术保护点】
一种基于单向传输设备的网络层隧道化方法,其特征在于,包括以下步骤:步骤一、对单向传输设备进行第一层封装:在数据发送的入口点,采用Token bucket算法,选取单桶单速率模型,令每个令牌可承载1Byte数据;根据网络环境的参数要求,初始化令牌桶深度D、当前令牌数C、令牌入桶速率R,在数据发送的入口点进行流量的控制,在流量突发允许范围内反馈当前数据的发送状态;在数据发送的出口点,采用Leaky bucket算法,选取高频时钟控制方式,以固定的速率进行发送,在出口点进行流量整形,使数据流以平稳的速率到达接收方;在数据接收点,采用动态平衡树链表管理,对接收到的数据包进行快速整合还原,超时的数据包则按既定策略进行处理;通过第一层封装后,实现了单向传输设备数据传输的流量控制与整形功能;步骤二、对单向传输设备进行第二层封装:选取三色标记模型,建立分级队列,数据在发送时根据不同的颜色标记进入到不同的待发送分级队列中,进入速率由步骤一中的Token bucket算法控制;按照优先级设置从待发送分级队列中进行轮询,选取数据包进入发送队列,发送速率由步骤一中的Leaky bucket算法控制;待发送队列的长度上限需根据实际情况进行调控,若待发送队列已满,需要发送的数据按既定策略进行处理;通过第二层封装后,在保证数据单向传输稳定性的同时,又提供了对数据进行分级管理、优先发送的功能。步骤三、对单向传输设备进行第三层封装:此时需要上下行两台单向传输设备,底层数据的发送接收模块按步骤一、二封装;通过第三层封装后,实现了上下行单向设备的逻辑整合,形成了数据交互的有效通道。...
【技术特征摘要】
【专利技术属性】
技术研发人员:张恪,俞波,邱庆,李宏伟,张巨,邱杰嵩,袁佳,李斗,程博,张磊,隗松,
申请(专利权)人:中国人民解放军六一六零零部队,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。