[发明专利]一种单向信息传输装置和计算机间单向传输信息的方法

说明书

技术领域

本发明涉及网络信息安全交换技术领域，尤其涉及一种自动实现物理隔离内外网主机间单向传输信息的装置和方法。

相关技术

国家保密局规定涉及国家秘密的计算机不得直接或间接与公共信息网络连接，因此很多涉密单位都建立了涉密网、非涉密网和专网共存的复杂网络系统，相互之间物理隔离。这种物理隔离为信息交换带来了很多不便，随着电子政务、电子商务等应用的不断推进和深入，各网络间数据交换越来越多，在内网工作的用户，经常需要到外网查询和接收信息。

应用的需求是数据传输，涉密信息保密的要求是物理隔离，如何解决两者之间的矛盾成为网络信息安全交换领域研究的主要课题。国内当前解决该问题主要通过隔离网闸和手工拷贝，而隔离网闸被国家保密局认定为逻辑隔离产品，而人工拷贝是最安全的，如通过中间机刻录光盘。但刻录光盘方式操作上很麻烦，且数据传输效率低下，因此迫切需要一个高效、安全、能够自动在物理隔离网络的主机间进行数据传输的装置。

当前也有人提出使用单向网络在不同主机间进行单向数据传输，但由于单向网络缺乏流量控制机制，可能会出现信宿计算机偶尔错过部分信息的情况，因此使用时需要实现对传输软件进行速度匹配测试并保证信宿计算机负载的稳定性，这对于用户来说相当麻烦。

发明内容

针对在信源计算机和信宿计算机之间进行单向信息传输所遇到的以上技术问题，本发明提出一种单向信息传输装置，该装置能自动、或手动、或在信源计算机和/或信宿计算机的程序控制下，原子方式实现“与信源计算机建立双向信息通路、且与信宿计算机断开物理连接”和“与信源计算机断开物理连接、且与信宿计算机建立双向信息通路、且从硬件上禁止信宿计算机将敏感信息存入单向信息传输装置”这样的操作。此时，“双向信息通路”解决了数据传输时的流量控制问题；“当单向信息传输装置与信宿计算机间存在双向信息通路时，硬件上禁止信宿计算机将敏感信息写入单向信息传输装置”防止了“摆渡”攻击；“程序控制切换”解决了自动多次在信源计算机和信宿计算机间进行信息同步的问题。

针对个人用户，本发明还提出一种允许用户手工控制线路切换的单向信息传输装置，用户可以一键完成此种单向信息传输装置与信源、信宿计算机通信关系的改变，同时仍然保证信宿计算机不能将敏感数据经由单向信息传输装置流出。

具体的说，本发明提出一种单向信息传输装置，包括：用于连接信源设备的USB接口1、用于连接信宿设备的USB接口2、线路复用开关、切换控制模块、具有写保护引脚的存储模块、和用于供外部设备通过USB访问所述存储模块的USB存储访问模块，其特征在于，

(1)所述USB接口1与所述线路复用开关之间存在可接通的信息传输通路A、所述USB接口2与所述线路复用开关之间存在可接通的信息传输通路B、且所述信息传输通路A和所述信号信息通路B电气隔离；

(2)所述线路复用开关与所述存储模块之间存在信息传输通路C，且所述线路复用开关能在所述切换控制模块的控制下，二选一地决定(1)所述的两条信息传输通路中，哪条信息传输通路与信息传输通路C相连通；

(3)存在所述切换控制模块用来控制所述线路复用开关导通状态的控制电路；存在所述切换控制模块用来向所述存储模块发送“禁止写保护”和“使能写保护”信号的电路；当(1)所述信息传输通路A不是被永久设置为畅通时，所述切换控制模块具有导通(1)所述 信息传输通路A的相关电路；当(1)所述信息传输通路B不是被永久设置为畅通时，所述切换控制模块具有导通(1)所述信息传输通路B的相关电路；

(4)所述切换控制模块在收到外界发出的“与信源建立连接”请求后，使(1)所述信息传输通路A畅通、且通知所述线路复用开关将(1)所述信息传输通路A与(2)所述信息传输通路C接通、且使所述USB接口2与所述存储模块之间的信息传输物理通路断开、且向所述存储模块的“写保护”引脚发送“禁止写保护”信号；

(5)所述切换控制模块在收到外界发出的“与信源断开连接”请求后，使(1)所述信息传输通路B畅通、且通知所述线路复用开关将(1)所述信息传输通路B与(2)所述信息传输通路C接通、且使所述USB接口1与所述存储模块之间的信息传输物理通路断开、且向所述存储模块的“写保护”引脚发送“使能写保护”信号；

(6)当所述USB接口1与所述存储模块之间的信息传输通路被接通时，所述USB存储访问模块位于此信息传输通路上，且能与所述信源设备通过USB进行交互请求，帮助所述信源设备实现对所述存储模块的访问；