【技术实现步骤摘要】
一种使用正反向网闸模拟TCP双工安全通讯系统和方法
[0001]本专利技术属于不同安全密级计算机网络通信领域,具体涉及一种使用正反向网闸模拟TCP双工安全通讯系统和方法。
技术介绍
[0002]电力行业中,在跨不同安全密级网络进行数据通讯时,尤其是电数字信号处理时,按照网络安全规范需要使用物理隔离装置。物理隔离装置按不同密级之间数据传输方向的不同,可分为正向网闸装置和反向网闸装置两种,正向网闸装置用于高密级向低密级网络传输数据,而反向网闸装置则是用于低密级向高密级网络传输数据。内网为高密级网络,比如企业内部专网;外网为低密级网络,比如公网。正向网闸只允许内网TCP客户端向外网服务器端发送数据,TCP外网服务端只能向内网回复0x00或0xFF,且外网不能主动向内网发送数据;反向网闸只允许外网通过E文件摆渡的方式向内网传输数据。
[0003]一般的应用软件系统需要进行双向数据通讯,不符合跨不同安全密级网络通讯安全规范,无法在此类网络中进行部署。许多该类应用软件系统为了能在这种网络环境中部署使用,只能降低网络安全规范要求,...
【技术保护点】
【技术特征摘要】
1.一种使用正反向网闸模拟TCP双工安全通讯系统,其特征在于,包括:外网TCP代理服务(101)、正向网闸传输通道(105)、内网TCP代理服务(107)及反向网闸传输通道(106);所述外网TCP代理服务(101)包括:相互连接的外网TCP服务模块(102)、外网数据处理模块(103)及外网连接管理模块(104);所述内网TCP代理服务(107)包括:相互连接的内网数据处理模块(108)、内网TCP服务模块(109)及内网连接管理模块(110);所述正向网闸传输通道(105)连接内网数据处理模块(108)和外网数据处理模块(103),用于从内网到外网的网络通讯;所述反向网闸传输通道(106)连接外网数据处理模块(103)和内网数据处理模块(108),用于利用反向网闸的E文件摆渡的方法模拟实现从外网到内网单向TCP通讯。2.根据权利要求1所述的一种使用正反向网闸模拟TCP双工安全通讯系统,其特征在于,所述内网TCP服务模块(109)用于接收内网的TCP客户端连接和数据,外网TCP服务模块(102)用于接收外网的TCP客户端连接和数据;所述内网连接管理模块(110)、外网连接管理模块(104)用于管理上层应用的TCP连接,包括TCP服务模块接收到的连接和主动建立的连接上层应用的客户端连接;内网数据处理模块(108)、外网数据处理模块(103)用于对TCP代理服务的数据和原始TCP数据进行互相转换,校验上层应用的数据格式。3.一种使用正反向网闸模拟TCP双工安全通讯方法,其特征在于,包括以下步骤:内网TCP服务模块(109)接收内网的TCP客户端连接和数据,外网TCP服务模块(102)接收外网的TCP客户端连接和数据;通过内网TCP服务模块(109)、外网TCP服务模块(102)与对应的上层应用建立TCP连接;内网数据处理模块(108)和外网数据处理模块(103)按照配置的上层业务数据的基本格式进行校验;正向网闸传输通道(105)和反向网闸传输通道(106)共同处理内网或外网主动发送并接收数据。4.根据权利要求3所述的使用正反向网闸模拟TCP双工安全通讯方法,其特征在于,内网TCP服务模块(109)分别接收内网的TCP客户端连接和数据,外网TCP服务模块(102)分别接收外网的TCP客户端连接和数据,具体包括:内网TCP服务模块(109)接收到内网上层应用的TCP连接时,会同步通知至外网TCP连接管理模块建立一个与之对应的连接上层应用的客户端连接;外网TCP服务模块(102)接收到外网上层应用的TCP连接时,也会同步通知至内网TCP连接管理模块建立一个与之对应的连接上层应用的客户端连接;管理TCP服务模块接收到的上层应用的连接和发起建立的客户端连接满足一一对应关系;不同的数据端口都有对应的连接信息,各端口之间的连接相互独立。5.根据权利要求3所述的使用正反向网闸模拟TCP双工安全通讯方法,其特征在于,内网TCP服务模块(109)接收内网的TCP客户端连接和数据,外网TCP服务模块(102)接收外网的TCP客户端连接和数据之后还包括TCP代理服务数据与原始TCP数据互相转换的方法:上层业务数据从内网代理TCP服务(107)进入正向网闸传输通道(105)前,上层业务数
据从外网代理TCP服务(101)进入反向网闸传输通道(106)前,增加自定义协议包头;正向网闸传输通道(105)的数据进入外网代理TCP服务(101),反向网闸传输通道(106)的数据进入内网代理TCP服务(107),外网代理TCP服务(101)/内网代理TCP服务(107)解析自定义协议包头,并去除包头,还原数据包为原始的TCP数据包。6.根据权利要求3所述的使用正反向网闸模拟TCP双工安全通讯方法,其特征在于,内网数据处理模块(108)/外网数据处理模块(103)会按照配置的上层业务数据的基本格式进行校验,具体包括:在软件定义数据格式的文件中配置上层业务数据的基本格式;上层业务数据发送至内网数据处理模块(108)或外网数据处理模块(103)后,内网数据处理模块(108)或外网数据处理模块(103)会按照配置的上层业务数据的基本格式进行校验,如果校验失败,在日志文件中记录并丢弃校验失败的不合法的数据请求。7.根据权利要求3所述的使用正反向网闸模拟TCP双工安全通讯方法,其特征在于,内网TCP服务模块(109)接收内网的TCP客户端连接和数据之前,外网TCP服务模块(102)接收外网的TCP客户端连接和数据之前,还包括:外网代理TCP服务(101)初始化时,调用正向网闸传输通道(105)或反向网闸传输通道(106)提供的_init()接口初始化;调用正向网闸的_init()接口时,传入_recv_callback()回调函数用于接收正向网闸传输通道(105)发给外网代理TCP服务(101)的数据;内网代理TCP服务(107)初始化时,调用正向网闸传输通道(105)或反向网闸传输通道(106)提供的_init()接口初始化;调用反向网闸的_init()接口时,传入_recv_callback()回调函数用于接收反向网闸传输通道(106)发给内网代理TCP服务(107)的数据;外网代理TCP服务(101)发送数据至反向网闸传输通道(106),内网代理TCP服务(107)发送数据至正向网闸传输通道(105),调用正向网闸传输通道(105)或反向网闸传输通道(106)提供的_send_da...
【专利技术属性】
技术研发人员:杨国栋,何清,王毅,王奕飞,马瑞瑞,何新,
申请(专利权)人:西安西热电站信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。