本实用新型专利技术提供了一种数据通信双向摆渡隔离装置,包括:数据处理单元、摆渡单元;其中,数据处理单元包括内网处理单元和外网处理单元,分别与内网机和外网机进行数据交互;摆渡单元设置单刀双掷开关,用于数据的双向传输;单刀双掷开关用于接通内网处理单元与摆渡单元的传输路径或接通外网处理单元与摆渡单元的传输路径;内网处理单元与摆渡单元接通时,用于内网机与摆渡单元的数据交互传输;外网处理单元与摆渡单元接通时,用于外网机与摆渡单元的数据交互传输。本实用新型专利技术设计并实现一种多通道双向摆渡技术,在保证不同安全域物理通路相对独立的前提下,可以实现不同安全域网络系统数据的双向隔离和交换。系统数据的双向隔离和交换。系统数据的双向隔离和交换。
【技术实现步骤摘要】
一种数据通信双向摆渡隔离装置
[0001]本技术涉及信息安全交互领域,具体涉及一种数据通信双向摆渡隔离装置。
技术介绍
[0002]双向隔离产品主要目的是阻断跨网的网络连接,终止TCP/IP协议,实现应用数据在不同安全域的落地。
[0003]当使用双向隔离技术进行两网数据交换时,如A网(外网)和B网(内网)之间的文件同步时,在双向隔离的外端机可以开启一个类似FTP的应用服务,运行域A网某文件服务器或某终端用户的FTP客户端可将文件上传给双向隔离外端机的FTP服务器。FTP服务器收到文件后进行安全检查后,使用私有封装协议,将数据文件切分、标识、封装后通过隔离部件交互到内端机文件系统。在内端机启动了类似FTP应用客户端的程序,将文件系统的文件上传给B网指定的FTP服务器。当然,文件同步可以有FTP、SAMBA、SFTP等各种模式。除了支持文件同步之外,也支持数据库、音视频流、邮件等数据的同步模式。同步模式也有主动模式(双向隔离内外端机主动获取)或被动模式(内外端用户主动推送)。
[0004]双向隔离技术当前采用的结构是2+1结构,包括外网机、内网机、双向摆渡隔离装置三部分组成,结构图如图2所示。双向隔离这种技术因为在实际应用过程中往往存在带宽、通信延迟、并发访问量等的竞争,很多厂商在实现双向隔离部件的时候,为追求更高的指标,往往采用内外网机直接用以FPGA卡连接双向摆渡隔离装置。其中双向摆渡隔离装置往往采用FPGA卡加光纤/同轴电缆/网线的方式实现。此方式与摆渡的原理相悖,虽从通信协议层面对tcp/ip协议进行了剥离,但外网机和内网机始终处于在线连接状态。一旦FPGA板卡存在bug或自身程序被攻破,则直接造成两个不同安全域的网络形成直接通路,其安全性大打折扣。
技术实现思路
[0005]为了解决上述问题,本技术提供了一种数据通信双向摆渡隔离装置,本技术设计并实现一种多通道双向摆渡技术,在保证不同安全域物理通路相对独立的前提下,可以实现不同安全域网络系统数据的双向隔离和交换。
[0006]在本技术中,提供了一种数据通信双向摆渡隔离装置,包括:数据处理单元、摆渡单元;其中,
[0007]数据处理单元包括内网处理单元和外网处理单元,分别与内网机和外网机进行数据交互;
[0008]摆渡单元设置单刀双掷开关,用于数据的双向传输;单刀双掷开关用于接通内网处理单元与摆渡单元的传输路径或接通外网处理单元与摆渡单元的传输路径;
[0009]内网处理单元与摆渡单元接通时,用于内网机与摆渡单元的数据交互传输;
[0010]外网处理单元与摆渡单元接通时,用于外网机与摆渡单元的数据交互传输。进一步的,摆渡单元还包括CPU、内存模块;摆渡单元CPU用于控制单刀双掷开关的运动、建立通
信链路、监测数据的传输状态;摆渡单元内的内存模块用于数据的缓存。
[0011]进一步的,在无数据传输时,摆渡单元CPU会按时间规则轮询的方式控制单刀双掷开关在内网处理单元与外网处理单元之间进行切换。
[0012]进一步的,摆渡单元设置一至多个。
[0013]进一步的,数据处理单元包括:CPU、内存模块、存储模块;数据处理单元的CPU用于通过通信协议与摆渡单元建立双向数据通信链路。
[0014]进一步的,数据处理单元的CPU还用于将内网机或外网机发送的数据进行解析拆分成数据包发送至摆渡单元,或将摆渡单元发送的数据包解析重组成数据发送到内网机或外网机。
[0015]进一步的,在数据传输前,数据处理单元的CPU需根据摆渡单元的内存大小设定数据处理单元拆分数据包的大小。
[0016]进一步的,数据处理单元按数据传输方向区分为内网处理单元和外网处理单元。
[0017]进一步的,内网处理单元通过PCIe卡的形式插接在内网机上;外网处理单元通过PCIe卡的形式插接在外网机上。
[0018]本技术提供了一种可按需物理连接和断开的摆渡组件,使之保证不同安全域数据形成任意时刻的通信链路均可物理断开,确保不同安全域之间从物理层面无法建立实时的、有效的、基于标准协议的通信链路。
[0019]应当理解,
技术实现思路
部分中所描述的内容并非旨在限定本技术的实施例的关键或重要特征,亦非用于限制本技术的范围。本技术的其它特征将通过以下的描述变得容易理解。
附图说明
[0020]结合附图并参考以下详细说明,本技术各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
[0021]图1示出了本技术实施例的双向摆渡隔离装置的连接示意图;
[0022]图2示出了传统的双向摆渡隔离装置的连接示意图。
具体实施方式
[0023]为使本技术实施例的目的、技术方案和优点更加清楚,下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本技术一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本技术保护的范围。
[0024]另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0025]下面参照图1描述本实施例的一种数据通信双向摆渡隔离装置,包括:数据处理单元、摆渡单元;其中,
[0026]数据处理单元包括内网处理单元和外网处理单元,分别与内网机和外网机进行数
据交互;
[0027]摆渡单元设置单刀双掷开关,用于数据的双向传输;单刀双掷开关用于接通内网处理单元与摆渡单元的传输路径或接通外网处理单元与摆渡单元的传输路径;
[0028]内网处理单元与摆渡单元接通时,用于内网机与摆渡单元的数据交互传输;
[0029]外网处理单元与摆渡单元接通时,用于外网机与摆渡单元的数据交互传输。
[0030]在上述实施例中,摆渡单元还包括CPU、内存模块;摆渡单元CPU用于控制单刀双掷开关的运动、建立通信链路、监测数据的传输状态;摆渡单元内的内存模块用于数据的缓存。
[0031]在上述实施例中,在无数据传输时,摆渡单元CPU会按时间规则轮询的方式控制单刀双掷开关在内网处理单元与外网处理单元之间进行切换。此设计避免造成某一端处理单元有数据传输时,摆渡单元永无响应的问题。
[0032]在上述实施例中,摆渡单元设置一至多个。一个双向摆渡的隔离装置内可以安装多个摆渡单元,实现多通道传输。摆渡单元的数量、数据吞吐速度、开关切换速度对整个系统的数据带宽起决定性作用。
[0033]在上述实施例中,数据处理单元包括:CPU、内存模块、存储模块;数据处理单元的CPU用于通过通信协议与摆渡单元本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据通信双向摆渡隔离装置,其特征在于,包括:数据处理单元、摆渡单元;其中,所述数据处理单元包括内网处理单元和外网处理单元,分别与内网机和外网机进行数据交互;所述摆渡单元设置单刀双掷开关,用于数据的双向传输;所述单刀双掷开关用于接通所述内网处理单元与所述摆渡单元的传输路径或接通所述外网处理单元与所述摆渡单元的传输路径;所述内网处理单元与所述摆渡单元接通时,用于所述内网机与所述摆渡单元的数据交互传输;所述外网处理单元与所述摆渡单元接通时,用于所述外网机与所述摆渡单元的数据交互传输。2.根据权利要求1所述的双向摆渡隔离装置,其特征在于,所述摆渡单元还包括CPU、内存模块;所述摆渡单元CPU用于控制所述单刀双掷开关的运动、建立通信链路、监测数据的传输状态;所述摆渡单元内的内存模块用于所述数据的缓存。3.根据权利要求2所述的双向摆渡隔离装置,其特征在于,在无数据传输时,所述摆渡单元CPU会按时间规则轮询的方式控制所述单刀双掷开关在所述内网处理单元与所述外网处理单元之间进行切换。4.根据权利要求1所述的双向摆渡...
【专利技术属性】
技术研发人员:李春来,李继勇,
申请(专利权)人:中铁信安北京信息安全技术有限公司,
类型:新型
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。