一种单向安全隔离数据传输方法和系统技术方案

本发明专利技术公开了一种单向安全隔离数据传输方法和系统，包括：将数据由内网端传输到外网端之前，根据预先设置的内部可靠协议在数据中添加内部可靠协议头。在添加内部可靠协议头的数据安全传输到外网端以后，外网端依据对内部可靠协议头的解析确保数据传输的顺序性，并给予内网端相应的确认回复。通过本发明专利技术的方案，能够解决传统的单向安全隔离数据传输采用默认成功的模式所带来的由于接收端序列号混乱导致的链路断开问题。

【技术实现步骤摘要】

本专利技术涉及网络安全领域，尤其涉及一种单向安全隔离数据传输方法和系统。
技术介绍
传统单向安全隔离设备物理层面上分为内网端与外网端，两端控制器之间物理连接依靠双端口 RAM或者FC等接口实现；软件层面上采用协议截断方式设计理念，内网端及外网端各自负责己方协议完整性，二者之间未实现安全确认机制，针对类似TCP这种需要确认回复的通信协议来说，这种设计理念使可靠协议变的不可靠，使得产品本身设计变得不合理，传统单向安全隔离设备数据传输及确认机制如图1所示。针对可靠传输协议类似于TCP协议数据包，在只能单向传输的安全隔离设备上保证确认回复的正常传输尤为重要，否则会出现传输错误，针对TCP来说，一端一直发送成功，对端序列号缺失等待超时链路断开。针对不可靠传输协议类似于UDP协议数据包，不需要确认回复。但是可靠性传输协议会一定限度上降低丢包率，并且为后续跟踪调试提供debug信息以便问题定位。
技术实现思路
为了解决上述问题，本专利技术提出了一种单向安全隔离数据传输方法和系统，能够解决传统的单向安全隔离数据传输采用默认成功的模式所带来的由于接收端序列号混乱导致的链路断开问题。为了达到上述目的，本专利技术提出了一种单向安全隔离数据传输方法，该方法包括:将数据由内网端传输到外网端之前，根据预先设置的内部可靠协议在数据中添加内部可靠协议头。在添加内部可靠协议头的数据安全传输到外网端以后，外网端依据对内部可靠协议头的解析确保数据传输的顺序性，并给予内网端相应的确认回复。优选地，该方法还包括:内网端以帧为单位对所述数据进行传输。根据预先设置的内部可靠协议在数据中添加内部可靠协议头包括:根据预先设置的内部可靠协议在每帧数据中添加内部可靠协议头。优选地，内部可靠协议包括:物理层、链路层和协议层；每层的协议报文格式采用自定义域。物理层包括:双端口随机存取存储器RAM、可编程逻辑控制器以及光纤三种接口类型。链路层包括:可靠性传输以及非可靠性传输。协议层包括:版本、类型、源身份标识号ID、目的ID和数据长度。优选地，内部可靠协议头包括:序列号、确认序列号、控制域、窗口大小和保留项。优选地，外网端依据对内部可靠协议头的解析确保数据传输的顺序性包括:外网端依据对内部可靠协议头的解析，获得内部可靠协议头包含的序列号，其中，序列号用来标识内网端向外网端发送的数据的数据字节。外网端从标识有第一序列号的第一个数据字节开始，按照序列号的顺序依次接收数据，并对接收到的序列号进行计数，直到接收完内网端发送的标识有最后序列号的最后一个数据字节，当计数获得的序列号之和等于数据的数据长度时，确定数据接收完毕。其中，外网端每接收到一个序列号向内网端返回一个反馈信息，反馈信息包括:确认接收到的序列号之前的数据字节已经被接收的确认信息，以及期望下一个被接收的数据字节的序列号。优选地，该方法还包括:当外网端未接收到期望接收的数据字节的序列号时，做出接收错误标记，并根据接收错误标记在接收完整帧数据后对接收到的该帧数据的全部序列号进行重新排序，并根据重新排序后的序列号判断与未接收到的序列号相对应的数据字节是否丢失，当判定未接收到的序列号相对应的数据字节丢失时，向内网端发送重新发送该帧数据的请求信息。为了达到上述目的，本专利技术还提出了一种单向安全隔离数据传输系统，该系统包括:添加模块和处理模块。添加模块，用于将数据由内网端传输到外网端之前，根据预先设置的内部可靠协议在数据中添加内部可靠协议头。处理模块，用于在添加内部可靠协议头的数据安全传输到外网端以后，依据对内部可靠协议头的解析确保全部所述数据传输的顺序性，并给予内网端相应的确认回复。优选地，该系统还包括:传输模块。传输模块，用于以帧为单位对数据进行传输。添加模块根据预先设置的内部可靠协议在数据中添加所述内部可靠协议头是指:根据预先设置的内部可靠协议在每帧数据中添加内部可靠协议头。优选地，内部可靠协议包括:物理层、链路层和协议层；每层的协议报文格式采用自定义域。物理层包括:双端口随机存取存储器RAM、可编程逻辑控制器以及光纤三种接口类型。链路层包括:可靠性传输以及非可靠性传输。协议层包括:版本、类型、源身份标识号ID、目的ID和数据长度。优选地，内部可靠协议头包括:序列号、确认序列号、控制域、窗口大小和保留项。优选地，处理模块依据对内部可靠协议头的解析确保数据传输的顺序性是指:处理模块依据对内部可靠协议头的解析，获得内部可靠协议头包含的序列号，其中，序列号用来标识内网端向外网端发送的数据的数据字节。处理模块从标识有第一序列号的第一个数据字节开始，按照序列号的顺序依次接收数据，并对接收到的序列号进行计数，直到接收完内网端发送的标识有最后序列号的最后一个数据字节，当计数获得的序列号之和等于数据的数据长度时，确定数据接收完毕。其中，处理模块每接收到一个序列号向内网端返回一个反馈信息，反馈信息包括:确认接收到的序列号之前的数据字节已经被接收的确认信息，以及期望下一个被接收的数据字节的序列号。优选地，该系统还包括:错误处理模块。错误处理模块，用于当外网端未接收到期望接收的数据字节的序列号时，做出接收错误标记，并根据接收错误标记在接收完整帧数据后对接收到的该帧数据的全部序列号进行重新排序，并根据重新排序后的序列号判断与未接收到的序列号相对应的数据字节是否丢失，当判定未接收到的序列号相对应的数据字节丢失时，向内网端发送重新发送该帧数据的请求信息。与现有技术相比，本专利技术包括:将数据由内网端传输到外网端之前，根据预先设置的内部可靠协议在数据中添加内部可靠协议头。在添加内部可靠协议头的数据安全传输到外网端以后，外网端依据对内部可靠协议头的解析确保数据传输的顺序性，并给予内网端相应的确认回复。通过本专利技术的方案，能够解决传统的单向安全隔离数据传输采用默认成功的模式所带来的由于接收端序列号混乱导致的链路断开问题。【附图说明】下面对本专利技术实施例中的附图进行说明，实施例中的附图是用于对本专利技术的进一步理解，与说明书一起用于解释本专利技术，并不构成对本专利技术保护范围的限制。图1为本专利技术的单向安全隔离数据传输方法示意图；图2为本专利技术的单向安全隔离数据传输系统组成框图。【具体实施方式】为了便于本领域技术人员的理解，下面结合附图对当前第1页1 2 3 本文档来自技高网...

【技术保护点】
一种单向安全隔离数据传输方法，其特征在于，所述方法包括：将数据由内网端传输到外网端之前，根据预先设置的内部可靠协议在所述数据中添加内部可靠协议头；在所述添加内部可靠协议头的数据安全传输到所述外网端以后，所述外网端依据对所述内部可靠协议头的解析确保所述数据传输的顺序性，并给予所述内网端相应的确认回复。

【技术特征摘要】

【专利技术属性】
技术研发人员：王洋，
申请(专利权)人：浪潮北京电子信息产业有限公司，
类型：发明
国别省市：北京;11