工业数据单向导入系统和方法技术方案

本发明专利技术公开了一种工业数据单向导入系统和方法，导入系统中，外网主机与内网主机之间通过单向交换卡相连通，外网文件发送客户端用于通过TCP连接通道将文件发送至外网主机，外网主机通过单向交换卡将文件单方向发送至内网主机，单向状态同步模块将文件的文件状态信息由外网主机同步单方向发送至内网主机；内网主机将接收到的文件与文件的文件状态信息进行对比判断，若文件与对应的文件状态信息一致，则将文件发送至内网文件接收客户端，若不一致，则通过短信模块向外网主机发送文件接收失败信息，外网主机在接收到文件接收失败信息时重新向内网主机发送文件。通过本发明专利技术的技术方案，在保证文件传输安全性的同时，保证了文件传输的可靠性。

【技术实现步骤摘要】
工业数据单向导入系统和方法
本专利技术涉及信息安全
，尤其涉及一种工业数据单向导入系统和一种工业数据单向导入方法。
技术介绍
目前，随着工业互联网的发展，工业控制系统之间互联互通需求逐步增加，同时网络中各种潜在的漏洞给我们带来了新的安全威胁，如黑客侵袭、病毒骚扰和系统内部泄密等，频繁出现的攻击事件严重威胁着网络中的数据安全。而工业控制系统一但出现数据泄露或网络攻击，必将造成重大的损失。实现工业互联网互联互通的同时，对工业生成的核心区域更需要加强保护，所以通过对工业系统划分可信区和非可信区，并且在他们之间通过隔离设备实现物理隔离。网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，双向网闸的内外网主机对固态存储介质只有“读”和“写”两个命令，单向网闸内外网主机对固态存储介质只有“读”或“写”两个命令，所以单向网闸更适合保密要求较高的场景使用，从物理上隔离、阻断了具有潜在攻击可能的一切连接，是“黑客”无法入侵、无法攻击、无法破坏、实现真正的安全。单向网闸虽然是目前安全性最高的一种单向导入装置，但由于它的单向传输特性也会带来一些问题，在工业环境中，一旦出现问题会造成很严重后果，比如一个文件从外网摆渡到内网，由于数据流是单向的，外网只管发送，内网只接收，外网发送完毕就算任务完成，对于内网接收到的文件是否正确外网无法获取。一旦在传输过程中有丢包或文件校验错误发生，外网无法实现自动重传。
技术实现思路
针对上述问题中的至少之一，本专利技术提供了一种工业数据单向导入系统和方法，通过将数字签名技术与网闸文件摆渡相关技术相结合，在传统单向导入设备的基础上，单独增加一路单向状态同步模块，该单向状态同步模块采用单向物理链路，在外网主机向内网主机发送文件的同时发送该文件的文件状态信息，使得内网主机在接收到文件时与相应的文件状态信息进行对比判断，若文件与相应的文件状态信息一致，则文件传输成功，若不一致，则文件传输失败，通过短信模块通知外网主机重新发送文件。从而，通过单独的单向状态同步模块来保证文件传输的正确性，并且通过一个短信模块能够很好的实现文件传输状态的同步，在保证安全性的同时也保证了文件传输的可靠性。为实现上述目的，本专利技术提供了一种工业数据单向导入系统，包括外网文件发送客户端、外网主机、单向交换卡、内网主机和内网文件接收客户端，还包括单向状态同步模块和短信模块；所述外网文件发送客户端与所述外网主机之间建立TCP连接通道，所述外网主机与所述内网主机之间通过所述单向交换卡相连通，所述内网主机与所述内网文件接收客户端之间建立TCP连接通道；所述外网文件发送客户端用于通过TCP连接通道将文件发送至所述外网主机，所述外网主机通过所述单向交换卡将所述文件单方向发送至所述内网主机，所述单向状态同步模块将所述文件的文件状态信息由所述外网主机同步单方向发送至所述内网主机；所述内网主机将接收到的所述文件与所述文件的文件状态信息进行对比判断，若所述文件与对应的所述文件状态信息一致，则将所述文件发送至所述内网文件接收客户端，若不一致，则通过所述短信模块向所述外网主机发送文件接收失败信息，所述外网主机在接收到所述文件接收失败信息时重新向所述内网主机发送所述文件。在上述技术方案中，优选地，所述外网文件发送客户端还用于对所述文件通过国密算法进行数字签名。在上述技术方案中，优选地，所述内网主机还用于对接收到的所述文件进行验签，若所述文件的数字签名信息验证失败，则通过所述短信模块向所述外网主机发送文件接收失败信息。在上述技术方案中，优选地，所述外网文件发送客户端还用于对预设文件目录进行监控，在所述预设文件目录中增加新文件时启动文件发送流程以将所述新文件发送至所述外网主机；所述内网文件接收客户端还用于将接收到的所述文件存储至预设的接收文件目录中。在上述技术方案中，优选地，所述文件状态信息包括文件大小、文件名称和文件MD5值。本专利技术还提出一种工业数据单向导入方法，应用于如上述技术方案中任一项所述的工业数据单向导入系统中，包括：外网文件发送客户端将文件通过TCP连接通道发送至外网主机中；所述外网主机通过单向交换卡将所述文件单方向发送至内网主机中；所述外网主机通过单向状态同步模块将所述文件的文件状态信息同步单方向发送至所述内网主机中；所述内网主机将接收到的所述文件与所述文件的文件状态信息进行对比判断；若所述文件与对应的所述文件状态信息一致，则将所述文件发送至所述内网文件接收客户端，若不一致，则通过短信模块向所述外网主机发送文件接收失败信息；所述外网主机在接收到所述文件接收失败信息时重新向所述内网主机发送所述文件。在上述技术方案中，优选地，所述外网文件发送客户端首先对所述文件通过国密算法进行数字签名，再将数字签名后的所述文件发送至所述外网主机。在上述技术方案中，优选地，所述内网主机还对接收到的所述文件进行验签，若所述文件的数字签名信息验证失败，则通过所述短信模块向所述外网主机发送文件接收失败信息，若数字签名信息验证成功，则将所述文件存储至预设的接收文件目录中。在上述技术方案中，优选地，所述外网文件发送客户端对预设文件目录进行监控，在所述预设文件目录中增加新文件时启动文件发送流程以将所述新文件发送至所述外网主机。在上述技术方案中，优选地，所述文件状态信息包括文件大小、文件名称和文件MD5值。与现有技术相比，本专利技术的有益效果为：通过将数字签名技术与网闸文件摆渡相关技术相结合，在传统单向导入设备的基础上，单独增加一路单向状态同步模块，该单向状态同步模块采用单向物理链路，在外网主机向内网主机发送文件的同时发送该文件的文件状态信息，使得内网主机在接收到文件时与相应的文件状态信息进行对比判断，若文件与相应的文件状态信息一致，则文件传输成功，若不一致，则文件传输失败，通过短信模块通知外网主机重新发送文件。从而，通过单独的单向状态同步模块来保证文件传输的正确性，并且通过一个短信模块能够很好的实现文件传输状态的同步，在保证安全性的同时也保证了文件传输的可靠性。附图说明图1为本专利技术一种实施例公开的工业数据单向导入系统的原理示意图；图2为本专利技术一种实施例公开的工业数据单向导入方法的流程示意图。图中，各组件与附图标记之间的对应关系为：1.外网文件发送客户端，2.外网主机，3.内网主机，4.内网文件接收客户端，5.单向交换卡，6.单向状态同步模块。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。...

【技术保护点】
1.一种工业数据单向导入系统，包括外网文件发送客户端、外网主机、单向交换卡、内网主机和内网文件接收客户端，其特征在于，还包括单向状态同步模块和短信模块；/n所述外网文件发送客户端与所述外网主机之间建立TCP连接通道，所述外网主机与所述内网主机之间通过所述单向交换卡相连通，所述内网主机与所述内网文件接收客户端之间建立TCP连接通道；/n所述外网文件发送客户端用于通过TCP连接通道将文件发送至所述外网主机，所述外网主机通过所述单向交换卡将所述文件单方向发送至所述内网主机，所述单向状态同步模块将所述文件的文件状态信息由所述外网主机同步单方向发送至所述内网主机；/n所述内网主机将接收到的所述文件与所述文件的文件状态信息进行对比判断，若所述文件与对应的所述文件状态信息一致，则将所述文件发送至所述内网文件接收客户端，若不一致，则通过所述短信模块向所述外网主机发送文件接收失败信息，所述外网主机在接收到所述文件接收失败信息时重新向所述内网主机发送所述文件。/n

【技术特征摘要】
1.一种工业数据单向导入系统，包括外网文件发送客户端、外网主机、单向交换卡、内网主机和内网文件接收客户端，其特征在于，还包括单向状态同步模块和短信模块；
所述外网文件发送客户端与所述外网主机之间建立TCP连接通道，所述外网主机与所述内网主机之间通过所述单向交换卡相连通，所述内网主机与所述内网文件接收客户端之间建立TCP连接通道；
所述外网文件发送客户端用于通过TCP连接通道将文件发送至所述外网主机，所述外网主机通过所述单向交换卡将所述文件单方向发送至所述内网主机，所述单向状态同步模块将所述文件的文件状态信息由所述外网主机同步单方向发送至所述内网主机；
所述内网主机将接收到的所述文件与所述文件的文件状态信息进行对比判断，若所述文件与对应的所述文件状态信息一致，则将所述文件发送至所述内网文件接收客户端，若不一致，则通过所述短信模块向所述外网主机发送文件接收失败信息，所述外网主机在接收到所述文件接收失败信息时重新向所述内网主机发送所述文件。


2.根据权利要求1所述的工业数据单向导入系统，其特征在于，所述外网文件发送客户端还用于对所述文件通过国密算法进行数字签名。


3.根据权利要求2所述的工业数据单向导入系统，其特征在于，所述内网主机还用于对接收到的所述文件进行验签，若所述文件的数字签名信息验证失败，则通过所述短信模块向所述外网主机发送文件接收失败信息。


4.根据权利要求1所述的工业数据单向导入系统，其特征在于，所述外网文件发送客户端还用于对预设文件目录进行监控，在所述预设文件目录中增加新文件时启动文件发送流程以将所述新文件发送至所述外网主机；
所述内网文件接收客户端还用于将接收到的所述文件存储至预设的接收文件目录中。


5.根据权利要求1所述的...

【专利技术属性】
技术研发人员：晏培，胡鹏飞，
申请(专利权)人：中京天裕科技北京有限公司，
类型：发明
国别省市：北京;11