本发明专利技术涉及电通信技术领域,尤其涉及一种基于分光技术的纯单向数据可靠传输的装置及方法,该装置,包括源主机、目标主机,在源主机和目标主机之间设有一个分光器,源主机上设有两个光通道网卡:源网卡和目标网卡,目标主机上设有若干个光通道网卡;分光器的输入端和源网卡的输出端用光纤连接、目标网卡的输入端和分光器的一个分光输出端连接,目标网卡的输出端与源网卡的输入端相连接;分光器的其余的输出端和目标主机上的若干个光通道网卡的输入端相对应地连接。本发明专利技术的有益效果:真正实现纯单向的数据交换,同时保证数据的可靠传输。
【技术实现步骤摘要】
本专利技术涉及电通信
,尤其涉及。
技术介绍
随着信息化建设的推进,企事业单位和国家机关内部网络和互联网之间,涉密网与非涉密网之间,以及不同密级的涉密网之间的数据交换的业务要求越来越强烈,但缺乏有效的从低密级网络向高密级网络安全传输数据的方法。 根据国家(也包括国际上)网络等级保护标准的要求,只允许低保护等级网络向高保护等级网络进行写操作,和只允许高安全等级网络向低保护等级网络读操作,而不允许低保护等级网络向高保护等级网络读操作,和不允许高保护等级网络向低保护等级网络写操作。为实现上述标准,都要求数据只能从低保护等级网络流向高保护等级网络,而不能有反向的数据流。 根据这一要求,进年来,一些公司开始研究单向网闸。市面上出现的单向网闸主要有两种技术数据泵技术和数据二极管技术 数据泵技术允许有少量的反向数据通过来作为数据接收的应答。但这就不能真正实现纯单向的数据交换,因而,仍有可能出现这一反向的物理通道被攻击者利用造成泄密的可能性,所以无法从物理结构上满足要求较高的涉密网和互联网相关的单向数据传输的安全要求。 而数据二极管技术采用基于光信号的单向物理链路,通过冗余纠错编码等技术试图实现可靠的纯单向的数据传输。数据二极管技术不存在反向的物理通路,所以可以满足等级保护标准的要求,但由于没有任何的反向握手或应答信息,无法保证数据的可靠传输。
技术实现思路
本专利技术为克服现有技术中存在的不足之处,目的在于提供一种基于分光技术的纯单向数据可靠传输的装置,在源主机和目标主机之间加设分光器,通过分光器把源主机发出的光信号分成多束相同的光信号,一束发还给源主机,结合冗余检测编码,以便源主机确认光信号的正确发送;另一方面将分出的多路光信号发送给目标主机的多个网卡,只要有一个网卡能正确接收,就能成功实现可靠的单向传输,使得传输失败的概率大大降低,真正实现纯单向的数据交换,同时保证数据的可靠传输,成功地解决了现有技术中存在的问题。 本专利技术的另一目的在于提供一种基于分光技术的纯单向数据可靠传输的方法,该方法采用分光器实现物理隔离,通过源主机中的目标网卡实现对数据可靠性的保证,真正实现纯单向的数据交换,同时保证数据的可靠传输,成功地解决了现有技术中存在的问题。 本专利技术是通过以下技术方案达到上述目的一种基于分光技术的纯单向数据可靠传输的装置,包括源主机、目标主机,在源主机和目标主机之间设有一个分光器,源主机上设有两个光通道网卡源网卡和目标网卡0,目标主机上设有若干个光通道网卡;分光器的输入端和源网卡的输出端用光纤连接、目标网卡0的输入端和分光器的一个分光输出端连 接,目标网卡0的输出端与源网卡的输入端相连接;分光器的其余的输出端和目标主机上 的若干个光通道网卡的输入端相对应地连接。 作为优选,所述的若干个光通道网卡为三个光通道网卡,称为目标网卡1、目标网 卡2、目标网卡3。 作为优选,所述的源主机、目标主机均可为若干个。 作为优选,所述的源主机为两个,目标主机一个。—种基于分光技术的纯单向数据可靠传输的方法,包括如下步骤 1)在源主机上安装两块光通道网卡,为源网卡和目标网卡O,在目标主机上安装若干块光通道网卡为目标网卡1、目标网卡2,...,目标网卡N ; 2)在源主机和目标主机之间安装一个分光器; 3)在源主机上运行两个进程发送进程和接收进程; ①发送进程源主机上的数据包被源网卡转换成光信号,从源网卡的Tx端发出至 分光器Rx端;光信号被分光器分成N+l束与接收到的光信号相同的光信号;其中一束光信 号被源主机的目标网卡0接收;其余N束光信号被目标主机的N块光通道网卡接收; ②接收进程源主机上的目标网卡0接牧来自分光器分出的一路光信号,并进行 消息验证;如果接收到的数据验证失败,则接收进程要求发送进程重发,直至收到正确的数 据块; 4)在目标主机上运行接收进程; ①目标主机上的每一块光通道网卡的Rx端都与分光器的一个Tx端连接,接收来 自分光器分出的其余的若干束光信号; ②目标主机上的目标接收进程将每一个光通道网卡上接收到的光信号还原为数据块;并逐个用与源主机中的目标网卡0接收进程相同的方法计算冗余校验码,并比较冗余校验码是否正确;直到找到一个正确的数据块,或直到没有正确的数据块。 作为优选,发送进程将所有要发送的数据分块,每一块数据包括数据头和数据体;其中数据头包括块编号、块大小、冗余校验码;数据体由实际的数据组成;数据头和数据体连接在一起形成一个完整的数据块。 作为优选,所述的块编号从1开始,每块顺序加1 ;块大小这块数据的总大小, 包括数据头和数据体;冗余校验码包括数据头和数据体的全部数据的冗余校验码,可以 是SHA-1 Hash函数值。 作为优选,发送进程检查来自在源主机上接收进程的重发请求;如果没有重发请求,则按照上述方法继续发送下一个数据块;如果收到重发请求,则按照重发请求中的块编号重发这一块数据块,发送完重发的数据块后再继续发送待发送的其他数据块。 作为优选,在源主机上接收进程进行消息验证时先把接收到的数据块头部的冗余校验码复制到另一个地方,然后将冗余校验码的位置填上O,再计算冗余校验码;最后,将计算得到的冗余校验码和刚才复制的冗余校验码进行比较;如果一致,则认为数据正确;否则,则认为数据错误,接收进程要求发送进程重发。 作为优选,重发请求包含要求重发的那块数据块的编号;在收到重发的数据后,接 收进程重新处理接收到的重发数据;如果出错,则再一次要求重发,直至收到正确的数据块;同时,接收进程检查每一块数据的编号,如果发现编号不连续,则表明丢失了数据块; 接收进程也要求发送进程重发缺失的数据块,直到收到正确的数据块。 作为优选,对于任意指定的小正数e > O,通过1)增大目标主机上的目标网卡的 个数N,使之大于(l-log2 e )/(-log2q》;2)增大冗余校验码的长度M,使之大于4+21og2(qt/ O,从而使不可恢复错误的概率小于e ;其中,qt为源网卡发送错误或分光器接收错误的 概率,^为目标网卡接收到正确的光信号的条件下出现接收错误的概率。 下面我们对上述结论进行论证 光通道网卡在发送和接收信息时会出现错误。根据上面方法的介绍可以看到,由 于源主机中的目标网卡不断接收来自源网卡的信息,而且所发送的数据块被编号并加了冗 余校验信息,接收进程能发现所有发送错误和接收错误(包括丢包)。通过增加冗余校验编 码的长度,可以使出现错误而不被发现的概率任意縮小。在实际应用中,当采用SHA-1校验 算法,其校验码长度为160位,出现错误而不被检测出来的概率约为2—8°,这在实际的数据 传输中不会发生。出现不可恢复错误仅当源主机中的接收进程没有发现错误,而所有目标 主机中的网卡都发生错误才有可能。 光通道网卡在发送和接收中出现错误可能来自各个环节。以下是出现不可恢复错 误概率的详细分析。设 T为源网卡发送正确,工为源网卡发送错误。 R为目标网卡接收正确,E为目标网卡接收错误。 R°s为分光器接收正确,E2为分光器接收错误。 T°s为分光器发送正确,f为分光器发送错误。 记P (E)为事件E出现的概率,P (E I C)为事件E对条件C的条件概率。注意,这里 所称的条件概率指相应条件C取特本文档来自技高网...
【技术保护点】
一种基于分光技术的纯单向数据可靠传输的装置,包括源主机、目标主机,其特征在于在源主机和目标主机之间设有一个分光器,源主机上设有两个光通道网卡:源网卡和目标网卡(0),目标主机上设有若干个光通道网卡;分光器的输入端和源网卡的输出端用光纤连接、目标网卡(0)的输入端和分光器的一个分光输出端连接,目标网卡(0)的输出端与源网卡的输入端相连接;分光器的其余的输出端和目标主机上的若干个光通道网卡的输入端相对应地连接。
【技术特征摘要】
一种基于分光技术的纯单向数据可靠传输的装置,包括源主机、目标主机,其特征在于在源主机和目标主机之间设有一个分光器,源主机上设有两个光通道网卡源网卡和目标网卡(0),目标主机上设有若干个光通道网卡;分光器的输入端和源网卡的输出端用光纤连接、目标网卡(0)的输入端和分光器的一个分光输出端连接,目标网卡(0)的输出端与源网卡的输入端相连接;分光器的其余的输出端和目标主机上的若干个光通道网卡的输入端相对应地连接。2. 根据权利要求1所述的一种基于分光技术的纯单向数据可靠传输的装置,其特征在 于所述的若干个光通道网卡为三个光通道网卡,称为目标网卡(D、目标网卡(2)、目标网 卡(3)。3. 根据权利要求1或2所述的一种基于分光技术的纯单向数据可靠传输的装置,其特 征在于所述的源主机、目标主机均可为若干个。4. 根据权利要求3所述的一种基于分光技术的纯单向数据可靠传输的装置,其特征在 于所述的源主机为两个,目标主机一个。5. —种基于分光技术的纯单向数据可靠传输的方法,其特征在于包括如下步骤1) 在源主机上安装两块光通道网卡,为源网卡和目标网卡(O),在目标主机上安装若干块光通道网卡为目标网卡(1)、目标网卡(2),...,目标网卡(N);2) 在源主机和目标主机之间安装一个分光器;3) 在源主机上运行两个进程发送进程和接收进程;① 发送进程源主机上的数据包被源网卡转换成光信号,从源网卡的Tx端发出至分光 器Rx端;光信号被分光器分成N+l束与接收到的光信号相同的光信号;其中一束光信号被 源主机的目标网卡(0)接收;其余N束光信号被目标主机的N块光通道网卡接收;② 接收进程源主机上的目标网卡(0)接收来自分光器分出的一路光信号,并进行消 息验证;如果接收到的数据验证失败,则接收进程要求发送进程重发,直至收到正确的数据 块;4) 在目标主机上运行接收进程;① 目标主机上的每一块光通道网卡的Rx端都与分光器的一个Tx端连接,接收来自分 光器分出的其余的若干束光信号;② 目标主机上的目标接收进程将每一个光通道网卡上的接收到的光信号还原为数据 块;并逐个在各光通道网卡上用与源主机中的目标网卡(0)接收进程相同的方法计算冗余 校验码,并比较冗余校验码是否正确;直到找到一个正确的数据块,或直到没有正确的数据 块。6. 根据权利要求5所述的一种...
【专利技术属性】
技术研发人员:周宗和,
申请(专利权)人:杭州合众信息工程有限公司,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。