[发明专利]网络中单向协议隔离方法及其装置

权利要求书

1.一种网络中单向协议隔离方法，包括有以下步骤：

a、网络数据为TCP/IP数据，通过不可信端网络接口层传递TCP/IP协议栈；

b、TCP/IP协议栈根据对网络数据依据全局安全策略库中的规则进行访问控制；

c、TCP/IP数据在由TCP/IP协议栈传递给协议分析模块，协议分析模块根据应用协议不同采用不同应用协议状态机处理，其中，协议分析模块中输入的是TCP/IP的应用协议数据，输出的是GAP协议数据包；

d、GAP协议数据包由协议分析模块传递给会话模块，会话模块启动具体的隔离程序，把合理的数据摆渡给对方的会话模块中；

e、当数据传输到对端时，对端会话模块依据数据的会话ID，把GAP数据连同控制信息交到特定的协议重构模块，协议重构模块依据全局安全策略库的设置，完成应用数据协议重组，并交给TCP/IP协议栈处理；其中，协议重构模块中输入的是GAP协议数据包，输出的TCP/IP的应用协议数据；

f、通过网络，TCP/IP协议栈构造合法数据包，通过可信端网络进行传输处理。

2.根据权利要求1所述的隔离方法，其特征在于：所述GAP协议数据包是基于Linux系统下的格式。

3.根据权利要求1所述的隔离方法，其特征在于：所述步骤b中的全局安全策略库中的访问控制规则为：时间、数据源IP、源端口、目的IP和目的端口。

4.根据权利要求1所述的隔离方法，其特征在于：所述步骤c中的协议状态机包括：HTTP协议状态机、FTP协议状态机、SMTP协议状态机和POP3协议状态机，每个协议状态机提供自己对应的协议分析单元；每个经TCP/IP协议栈传过来的数据会传递到相应的协议分析单元去作协议分析。

5.根据权利要求1所述的隔离方法，其特征在于：所述步骤e中的全局安全策略库的设置为：对数据进行关键词搜索、病毒查杀、关键的数据比特位。

6.一种使用如权利要求1、2、3或4所述隔离方法的单向协议隔离装置，其特征在于：该隔离装置包括有PCI总线接口、不可信端隔离卡、可信端隔离卡和LVDS总线，所述PCI总线接口设有两个，分别与不可信端隔离卡、可信端隔离卡连接，而不可信端隔离卡通过LVDS总线与可信端隔离卡连接。

7.根据权利要求6所述的单向协议隔离装置，其特征在于：所述不可信端隔离卡上设置有依次相连的TCP/IP协议栈、协议分析模块和会话模块，不可信端网络PCI总线接口与TCP/IP协议栈相连；所述可信端隔离卡上设置有依次相连的会话模块、协议重构模块和TCP/IP协议栈，可信端网络PCI总线接口与TCP/IP协议栈相连；LVDS总线的两端分别与不可信端隔离卡和可信端隔离卡上的会话模块相连。