一种基于单向传输通道的网络隔离摆渡机的制作方法

1.本发明属于信息传输技术领域，特别是涉及一种基于单向传输通道的网络隔离摆渡机。


背景技术：

2.随着网络技术的不断发展，不少公司现有的网络部署环境面临严重的安全问题，如何从低密级网络向高密级网络传输数据的同时保证高密级网络环境中数据的安全不泄露，成为网络安全领域的一个研究热点。单向数据传输系统很好地满足了这一需求，目前比较流行的单向传输设备主要有二极管技术和光纤技术两种。
3.基于光纤的单向传输系统可以很好的满足许多公司对速度的要求，作为单向传输系统最核心的功能，目前大部分单向传输系统中的数据包捕获技术都是基于libpcap库实现的，libpcap在百兆网络，数据包大于100k的网络环境中表现较好，但在千兆网络环境中传输大批量网络小包时，易产生丢包现象。
4.针对此问题，本文提出了一种基于单向传输通道的网络隔离摆渡机，可以进一步确保数据只能单向的、安全的、可靠的传输。


技术实现要素：

5.本发明的目的在于提供一种基于单向传输通道的网络隔离摆渡机，通过单向光闸的网络通信平台，利用光的单向传播性特点，实现相互隔离网络数据的“单向无反馈传输”，以确保数据只能单向的、安全的、可靠的传输，解决了现有的数据传输安全性不足、传输效率不高的问题。
6.为解决上述技术问题，本发明是通过以下技术方案实现的：
7.本发明为一种基于单向传输通道的网络隔离摆渡机，包括外网端主机、内网端主机和单向传输通道；所述外网端主机和内网端主机均由cpu、内存、主板和光通信模块组成；所述外网端主机的光通信模块的一个发光器与内网端主机的光通信模块的一个收光器连接；所述外网端主机包括数据同步模块、代理模块a和配置管理模块；所述内网端主机包括数据包捕获模块、数据包处理模块、代理模块b和配置管理模块；所述数据同步模块使用内部私有协议，在传输过程中内网端主机接收到数据包后进行协议解析，将不符合该协议的数据包丢弃；所述代理模块a与外部网络通信并反馈，通过单向传输通道发送至内网端主机，实现代理模块a和代理模块b的业务互通；所述数据捕获模块将网卡中的数据拷贝到用户空间；所述数据包处理模块用于根据相关规则对数据包进行处理；所述配置管理模块用于通过界面添加配置策略。
8.作为一种优选的技术方案，所述摆渡机的外网端口连接到外网以太网交换机上；所述外网以太网交换机通过光纤连接有外网终端；所述外网终端通过客户端软件将文件上传至摆渡机后并发出文件单向传输请求；所述文件通过单向光纤传输到内端机相应用户的本地目录。
9.作为一种优选的技术方案，所述摆渡机的内网端口连接到内网以太网交换机上；所述内网以太网交换机通过光纤连接内外网终端；所述内网终端通过客户端软件浏览和下载内端机上存储的文件。
10.作为一种优选的技术方案，所述单向传输通道由外端交换卡、光纤和内端交换卡组成；所述外端交换卡和内端交换卡均使用fpga芯片实现对数据摆渡的逻辑控制；所述外端交换卡一端通过pcie接口连接外交换机，另一端安装有sfp光模块用于收发数据；所述内端交换卡一端通过pcie接口连内交换机，另一端安装有sfp光模块用于收发数据；所述外端交换卡用于发送数据；所述内端交换卡用于接收数据。
11.作为一种优选的技术方案，所述外端交换卡的fpga芯片周期性轮询检查外网端主机的可读缓存；当发现外网端主机缓存中有数据时，读入至外端交换卡的ram中，并关闭外端的pcie通信链路，将ram里的数据使用光纤单向传输至内端交换卡的ram中，然后将内端的通信链路打开，并将内端交换卡ram中的数据写入到内网端主机的缓存中；所述内网端主机的处理程序会定时在数据区读取数据，并保存到本地或转发至目标服务器。
12.作为一种优选的技术方案，所述网络隔离摆渡机使用时，需要对用户进行管理，具体管理功能包括：用户注册：用户需要在系统的外端机和内端机上使用相同的用户名注册账号；用户删除：由管理员手工删除某个注册用户；用户密码保护：用户的密码以加密的方式存储；个人信息修改：包含用户密码修改和个人注册信息的修改。
13.作为一种优选的技术方案，所述用户使用网络隔离摆渡机从外网导入文件至内网的具体步骤如下：
14.步骤s1：用户在系统的外端机和内端机上使用相同的用户名注册账号；
15.步骤s2：用户在外网上的本地主机登录单向光闸网络隔离系统外端机，上传文件，文件将被单向传输至单向光闸网络隔离系统内端机中该用户的相同目录中；
16.步骤s3：用户在内网上的本地主机登陆单向光闸网络隔离系统内端机，下载从外网单向传输而来的文件。
17.作为一种优选的技术方案，所述单向传输通道具体工作流程如下：
18.步骤d1：开机启动时，系统初始化进程启动，读取配置文件中的参数制定传输协议，数据包的大小以及配置的参数；
19.步骤d2：数据传输时，实时扫描指定文件夹，当有文件夹到来时，根据预定义的规则进行封包，然后交由内核发包；
20.步骤d3：数据捕获时，网卡接收到数据包后，将数据流量缓冲到cpu内核线程数相同的rx队列中，经过pf_ring过滤器交由pf_ring内核模块，pf_ring把接收到的数据放到自己的ring缓冲区中；
21.步骤d4：数据包处理时，用户进程或线程映射到用户空间的数据包进行crc校验和协议剥离，最后重组数据包，形成文件。
22.本发明具有以下有益效果：
23.本发明利用光的单向传播性特点，实现了数据的绝对单向传输；将单向光闸部署于两个不同安全域之间，通过物理方式构造信息单向传输的唯一通道，实现数据单向导入，同时反方向无任何信息传输或反馈，以确保数据只能单向的、安全的、可靠的传输。
24.当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
25.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
26.图1为本发明的一种基于单向传输通道的网络隔离摆渡机结构示意图；
27.图2为摆渡机内部网络拓扑图。
具体实施方式
28.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
29.请参阅图1所示，本发明为一种基于单向传输通道的网络隔离摆渡机，包括外网端主机、内网端主机和单向传输通道；外网端主机和内网端主机均由cpu、内存、主板和光通信模块组成；外网端主机的光通信模块的一个发光器与内网端主机的光通信模块的一个收光器连接；外网端主机包括数据同步模块、代理模块a和配置管理模块；内网端主机包括数据包捕获模块、数据包处理模块、代理模块b和配置管理模块；数据同步模块使用内部私有协议，保证传输过程的可控性和安全性，在传输过程中内网端主机接收到数据包后进行协议解析，将不符合该协议的数据包丢弃；代理模块a与外部网络通信并反馈，通过单向传输通道发送至内网端主机，实现代理模块a和代理模块b的业务互通；数据捕获模块将网卡中的数据拷贝到用户空间；数据包处理模块用于根据相关规则对数据包进行处理；配置管理模块用于通过界面添加配置策略。
30.摆渡机的外网端口连接到外网以太网交换机上；外网以太网交换机通过光纤连接有外网终端；外网终端通过客户端软件将文件上传至摆渡机后并发出文件单向传输请求；文件通过单向光纤传输到内端机相应用户的本地目录。摆渡机的内网端口连接到内网以太网交换机上；内网以太网交换机通过光纤连接内外网终端；内网终端通过客户端软件浏览和下载内端机上存储的文件。
31.请参阅图2所示，单向传输通道由外端交换卡、光纤和内端交换卡组成；外端交换卡和内端交换卡均使用fpga芯片实现对数据摆渡的逻辑控制；外端交换卡一端通过pcie接口连接外交换机，另一端安装有sfp光模块用于收发数据；内端交换卡一端通过pcie接口连内交换机，另一端安装有sfp光模块用于收发数据；外端交换卡用于发送数据；内端交换卡用于接收数据。
32.外端交换卡的fpga芯片周期性轮询检查外网端主机的可读缓存；当发现外网端主机缓存中有数据时，读入至外端交换卡的ram中，并关闭外端的pcie通信链路，将ram里的数据使用光纤单向传输至内端交换卡的ram中，然后将内端的通信链路打开，并将内端交换卡ram中的数据写入到内网端主机的缓存中；内网端主机的处理程序会定时在数据区读取数据，并保存到本地或转发至目标服务器。
33.其中，由于光模块的tx端与rx端需同时接通时，才能处于link状态以发送数据，因
此一般有以下两种方式插接光纤：
34.一种是外端交换卡光模块的tx端插入光纤，该光纤的另一端接入分光器分为两路：一路接入内端交换卡光模块的rx端实现数据传输；另一路返回至外端交换卡光模块的rx端；
35.另一种是不使用分光器，修改光模块的内核驱动，使光模块仅插接tx端时也可完成信号发送。上述两种方式在目前的主流单向光闸产品中均有使用。
36.网络隔离摆渡机使用时，需要对用户进行管理，具体管理功能包括：用户注册：用户需要在系统的外端机和内端机上使用相同的用户名注册账号；用户删除：由管理员手工删除某个注册用户；用户密码保护：用户的密码以加密的方式存储；个人信息修改：包含用户密码修改和个人注册信息的修改。
37.用户使用网络隔离摆渡机从外网导入文件至内网的具体步骤如下：
38.步骤s1：用户在系统的外端机和内端机上使用相同的用户名注册账号；
39.步骤s2：用户在外网上的本地主机登录单向光闸网络隔离系统外端机，上传文件，文件将被单向传输至单向光闸网络隔离系统内端机中该用户的相同目录中；
40.步骤s3：用户在内网上的本地主机登陆单向光闸网络隔离系统内端机，下载从外网单向传输而来的文件。
41.单向传输通道具体工作流程如下：
42.步骤d1：开机启动时，系统初始化进程启动，读取配置文件中的参数制定传输协议，数据包的大小以及配置的参数；
43.步骤d2：数据传输时，实时扫描指定文件夹，当有文件夹到来时，根据预定义的规则进行封包，然后交由内核发包；
44.步骤d3：数据捕获时，网卡接收到数据包后，将数据流量缓冲到cpu内核线程数相同的rx队列中，经过pf_ring过滤器交由pf_ring内核模块，pf_ring把接收到的数据放到自己的ring缓冲区中；
45.步骤d4：数据包处理时，用户进程或线程映射到用户空间的数据包进行crc校验和协议剥离，最后重组数据包，形成文件。
46.在此对目前使用较为广泛的pf_ring技术进行了分析,在充分考虑到多核平台下数据包捕获模块利用率的基础上,设计出一种适用于单向传输通道的高速数据包捕获模块。
47.(1)网卡驱动在内核空间加载时，得到网卡队列的数量，结合cpu核的数量，通过num＝min(nicqueer,cpucore)得出要激活的网卡队列数量，并申请num个中断号分配给激活的各个网卡队列。
48.(2)利用轮询技术将网卡队列中的数据包拷贝到pf_ring缓冲区，同时pf_ring轮询将缓冲区映射到用户空间。
49.(3)用户空间根据pf_ring提供的api函数编写相应应用程序对数据包进行处理。
50.值得注意的是，上述系统实施例中，所包括的各个单元只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。
51.另外，本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤
是可以通过程序来指令相关的硬件来完成，相应的程序可以存储于一计算机可读取存储介质中。
52.以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

技术特征：
1.一种基于单向传输通道的网络隔离摆渡机，包括外网端主机、内网端主机和单向传输通道；所述外网端主机和内网端主机均由cpu、内存、主板和光通信模块组成；所述外网端主机的光通信模块的一个发光器与内网端主机的光通信模块的一个收光器连接；其特征在于：所述外网端主机包括数据同步模块、代理模块a和配置管理模块；所述内网端主机包括数据包捕获模块、数据包处理模块、代理模块b和配置管理模块；所述数据同步模块使用内部私有协议，在传输过程中内网端主机接收到数据包后进行协议解析，将不符合该协议的数据包丢弃；所述代理模块a与外部网络通信并反馈，通过单向传输通道发送至内网端主机，实现代理模块a和代理模块b的业务互通；所述数据捕获模块将网卡中的数据拷贝到用户空间；所述数据包处理模块用于根据相关规则对数据包进行处理；所述配置管理模块用于通过界面添加配置策略。2.根据权利要求1所述的一种基于单向传输通道的网络隔离摆渡机，其特征在于，所述摆渡机的外网端口连接到外网以太网交换机上；所述外网以太网交换机通过光纤连接有外网终端；所述外网终端通过客户端软件将文件上传至摆渡机后并发出文件单向传输请求；所述文件通过单向光纤传输到内端机相应用户的本地目录。3.根据权利要求1所述的一种基于单向传输通道的网络隔离摆渡机，其特征在于，所述摆渡机的内网端口连接到内网以太网交换机上；所述内网以太网交换机通过光纤连接内外网终端；所述内网终端通过客户端软件浏览和下载内端机上存储的文件。4.根据权利要求1所述的一种基于单向传输通道的网络隔离摆渡机，其特征在于，所述单向传输通道由外端交换卡、光纤和内端交换卡组成；所述外端交换卡和内端交换卡均使用fpga芯片实现对数据摆渡的逻辑控制；所述外端交换卡一端通过pcie接口连接外交换机，另一端安装有sfp光模块用于收发数据；所述内端交换卡一端通过pcie接口连内交换机，另一端安装有sfp光模块用于收发数据；所述外端交换卡用于发送数据；所述内端交换卡用于接收数据。5.根据权利要求4所述的一种基于单向传输通道的网络隔离摆渡机，其特征在于，所述外端交换卡的fpga芯片周期性轮询检查外网端主机的可读缓存；当发现外网端主机缓存中有数据时，读入至外端交换卡的ram中，并关闭外端的pcie通信链路，将ram里的数据使用光纤单向传输至内端交换卡的ram中，然后将内端的通信链路打开，并将内端交换卡ram中的数据写入到内网端主机的缓存中；所述内网端主机的处理程序会定时在数据区读取数据，并保存到本地或转发至目标服务器。6.根据权利要求1所述的一种基于单向传输通道的网络隔离摆渡机，其特征在于，所述网络隔离摆渡机使用时，需要对用户进行管理，具体管理功能包括：用户注册：用户需要在系统的外端机和内端机上使用相同的用户名注册账号；用户删除：由管理员手工删除某个注册用户；用户密码保护：用户的密码以加密的方式存储；个人信息修改：包含用户密码修改和个人注册信息的修改。7.根据权利要求6所述的一种基于单向传输通道的网络隔离摆渡机，其特征在于，所述用户使用网络隔离摆渡机从外网导入文件至内网的具体步骤如下：步骤s1：用户在系统的外端机和内端机上使用相同的用户名注册账号；步骤s2：用户在外网上的本地主机登录单向光闸网络隔离系统外端机，上传文件，文件
将被单向传输至单向光闸网络隔离系统内端机中该用户的相同目录中；步骤s3：用户在内网上的本地主机登陆单向光闸网络隔离系统内端机，下载从外网单向传输而来的文件。8.根据权利要求1所述的一种基于单向传输通道的网络隔离摆渡机，其特征在于，所述单向传输通道具体工作流程如下：步骤d1：开机启动时，系统初始化进程启动，读取配置文件中的参数制定传输协议，数据包的大小以及配置的参数；步骤d2：数据传输时，实时扫描指定文件夹，当有文件夹到来时，根据预定义的规则进行封包，然后交由内核发包；步骤d3：数据捕获时，网卡接收到数据包后，将数据流量缓冲到cpu内核线程数相同的rx队列中，经过pf_ring过滤器交由pf_ring内核模块，pf_ring把接收到的数据放到自己的ring缓冲区中；步骤d4：数据包处理时，用户进程或线程映射到用户空间的数据包进行crc校验和协议剥离，最后重组数据包，形成文件。

技术总结
本发明公开了一种基于单向传输通道的网络隔离摆渡机，涉及信息传输技术领域。本发明包括外网端主机、内网端主机和单向传输通道；外网端主机包括数据同步模块、代理模块A和配置管理模块；内网端主机包括数据包捕获模块、数据包处理模块、代理模块B和配置管理模块；数据同步模块在传输过程中内网端主机接收到数据包后进行协议解析，将不符合该协议的数据包丢弃；数据捕获模块将网卡中的数据拷贝到用户空间；数据包处理模块用于根据相关规则对数据包进行处理。本发明通过利用光的单向传播性特点，将单向光闸部署于两个不同安全域之间，通过物理方式构造信息单向传输的唯一通道，实现数据单向导入，以确保数据只能单向的、安全的、可靠的传输。可靠的传输。可靠的传输。


技术研发人员：廖小鹏 徐辉 胡开源 何晓伟
受保护的技术使用者：合肥市极点科技有限公司
技术研发日：2023.05.25
技术公布日：2023/10/11