[发明专利]基于双单向通道传输技术的网络隔离系统及其实现方法

说明书

技术领域

本发明属于数据传输技术领域，具体涉及针对需要单向隔离又有大量数据交互需求的网络环境提出的一种基于双单向通道传输技术的网络隔离系统及其实现方法。

背景技术

有网络安全需求的单位为了保证内部网络数据的安全性，一般采用物理隔离内部网络与外部网络的方式，保护内部网络。同时也有内网和外网交互数据的需求，数据交换大多采取移动存储设备等人工方法，实时性低，工作效率低，耗费人力物力。

现有的单向隔离设备主要采用两种传输部件：单向光纤和总线。单向光纤是无反馈信息的传输方式，不能使用可靠的网络协议，这种单向传输技术无法建立可靠的传输通道，基于单向光纤的传输通道一般采用UDP协议传输数据，采用UDP协议会使用操作系统的协议栈，但是数据的单向传输结构简单，使用系统的协议栈会不可避免地消耗处理器资源。使用总线传输数据也可以隔断TCP连接，但是总线的速度远远小于光纤的速度，不能满足对速度的要求。

现有的无反馈单向传输技术解决传输稳定性问题的方案有两种。一种是降低传输速度以减少丢包率。这种方案的传输速度会很低而且不同的硬件的稳定速度上限也不同。另一种方案是做冗余数据。这种方式一定程度提升了传输的可靠性，但并不能完全保证传输的可靠性，浪费带宽和处理器资源，降低传输速度。

现有隔离设备只能实现单向隔离，设备的集成度低，为了实现双向隔离必须要购置两台或者更多的单向隔离设备，增大了开销和管理难度。

发明内容

发明目的：针对现有技术存在的不足，本发明主要解决单向传输方式可靠性差和双单向设备的集成问题，目的是提供一种传输速度快，集成度高的基于双单向通道传输技术的网络隔离系统及其实现方法。

技术方案：为了实现上述发明目的，本发明采用的技术方案如下：

一种双单向通道传输技术的网络隔离系统，包括发送端、接收端以及连接在发送端与接收端之间的发送通道和反馈通道，所述发送通道包括分别位于发送端和接收端的网卡，以及连接两块网卡的单向传输部件，所述反馈通道包括分别位于发送端和接收端的串口，以及连接两组串口的单向传输部件。

进一步地，连接两块网卡的单向传输部件为单向光纤，所述网卡为光网卡；连接两组串口的单向传输部件为单向串口通道，所述发送端通过单向光纤向接收端发送数据，所述接收端通过单向串口向发送端反馈数据接收情况。

进一步地，所述一组发送通道和一组反馈通道组成一套单向隔离设备，两套单向隔离设备集成在一起组成双向传输通道。

进一步地，所述网络隔离系统的两侧为两台独立的计算机，每台计算机同时作为发送端和接收端，所述两台计算机上均部署发送程序和接收程序。

进一步地，所述发送程序和接收程序在计算机中编译为库文件，库文件对外提供初始化函数和操作函数作为接口，初始化函数即为初始化接口，操作函数即包括发送接口和接收接口。

本发明还提供一种基于双单向通道传输技术的网络隔离系统的实现方法，其特征在于：包括建立在接收端和发送端之间的传输模块以及建立在发送端和接收端的数据通信模块。

在发送端，所述传输模块调用数据通信模块的发送接口，发送数据包和控制报文，并实时读取单向串口通道的反馈信息，根据反馈信息决定是否重发，以及重发哪些数据包；在接收端，所述传输模块调用数据通信模块的接收接口，收到数据后，判断数据类型，如果是应用数据报文则更新数据的接收状态，如果是询问报文就将数据接收状态通过单向串口通道发送出去。

所述数据通信模块收到传输模块的数据后将数据封装成数据包；所述数据通信模块收到以太网帧后，解析以太网帧中的数据报文并判断数据报文的标识，如果是一个分片就进行重组，得到完整的数据包，对数据包进行校验后提交给上层应用或者丢弃数据包。

进一步地，所述数据通信模块在封装数据包时，如果数据包的长度小于等于最大传送单元MTU，封装成数据包后加上以太网帧的头部；如果数据包长度大于MTU，将数据包拆成多个小于等于MTU的分片，每个分片都封装成数据包发送。

进一步地，对数据包进行校验并与数据包自带的校验和对比，如果校验和一致将数据包提交给上层应用，如果校验和不一致则丢弃数据包。

进一步地，所述发送程序和接收程序首先调用初始化函数，初始化函数创建工作线程；接着发送端的发送程序调用发送函数发送数据，接收端的接收程序等待接收数据。

有益效果：与现有技术相比，本发明具有以下优点：