[发明专利]一种数据通信双向摆渡隔离装置和方法

说明书

本发明的实施例提供了一种数据通信双向摆渡隔离装置，包括：第一处理单元、第二处理单元、摆渡单元；其中，摆渡单元包括单刀双掷开关、CPU、内存模块；摆渡单元设置一个或多个，用于数据包的双向传输；单刀双掷开关用于接通所述第一处理单元与摆渡单元的传输路径或接通第二处理单元与摆渡单元的传输路径；第一处理单元与摆渡单元接通时，第一处理单元用于第一网络机与摆渡单元的数据交互；第二处理单元与摆渡单元接通时，第二处理单元用于第二网络机与摆渡单元的数据交互。本发明设计并实现一种多通道双向摆渡技术，在保证不同安全域物理通路相对独立的前提下，可以实现不同安全域网络系统数据的双向隔离和交换。

技术领域

本发明涉及信息安全交互领域，具体涉及一种数据通信双向摆渡隔离装置和方法。

背景技术

双向隔离产品主要目的是阻断跨网的网络连接，终止TCP/IP协议，实现应用数据在不同安全域的落地。

当使用双向隔离技术进行两网数据交换时，如A网(外网)和B网(内网)之间的文件同步时，在双向隔离的外端机可以开启一个类似FTP的应用服务，运行域A网某文件服务器或某终端用户的FTP客户端可将文件上传给双向隔离外端机的FTP服务器。FTP服务器收到文件后进行安全检查后，使用私有封装协议，将数据文件切分、标识、封装后通过隔离部件交互到内端机文件系统。在内端机启动了类似FTP应用客户端的程序，将文件系统的文件上传给B网指定的FTP服务器。当然，文件同步可以有FTP、SAMBA、SFTP等各种模式。除了支持文件同步之外，也支持数据库、音视频流、邮件等数据的同步模式。同步模式也有主动模式(双向隔离内外端机主动获取)或被动模式(内外端用户主动推送)。

双向隔离技术当前采用的结构是2+1结构，包括外网机、内网机、双向摆渡隔离装置三部分组成，结构图如图2所示。双向隔离这种技术因为在实际应用过程中往往存在带宽、通信延迟、并发访问量等的竞争，很多厂商在实现双向隔离部件的时候，为追求更高的指标，往往采用内外网机直接用以FPGA卡连接双向摆渡隔离装置。其中双向摆渡隔离装置往往采用FPGA卡加光纤/同轴电缆/网线的方式实现。此方式与摆渡的原理相悖，虽从通信协议层面对tcp/ip协议进行了剥离，但外网机和内网机始终处于在线连接状态。一旦FPGA板卡存在bug或自身程序被攻破，则直接造成两个不同安全域的网络形成直接通路，其安全性大打折扣。

发明内容

为了解决上述问题，本发明提供了一种数据通信双向摆渡隔离装置和方法，本发明设计并实现一种多通道双向摆渡技术，在保证不同安全域物理通路相对独立的前提下，可以实现不同安全域网络系统数据的双向隔离和交换。

在本发明的第一方面，提供了一种数据通信双向摆渡隔离装置，包括：第一处理单元、第二处理单元、摆渡单元；其中，

摆渡单元包括单刀双掷开关、CPU、内存模块；摆渡单元设置一个或多个，用于数据包的双向传输；单刀双掷开关用于接通第一处理单元与摆渡单元的传输路径或接通第二处理单元与摆渡单元的传输路径；

第一处理单元与摆渡单元接通时，第一处理单元用于接收第一网络机发送的数据，解析拆分成数据包并发送到摆渡单元；同时，接收摆渡单元发送的数据包，解析重组成数据并发送至第一网络机；

第二处理单元与摆渡单元接通时，第二处理单元用于接收第二网络机发送的数据，解析拆分成数据包并发送到摆渡单元；同时，接收摆渡单元发送的数据包，解析重组成数据并发送至第二网络机。

进一步的，摆渡单元CPU用于控制单刀双掷开关的运动、建立通信链路、监测数据的传输状态。

进一步的，摆渡单元内的内存模块用于数据的缓存。

进一步的，多个摆渡单元同时并列进行数据的传输。

进一步的，第一处理单元或第二处理单元均包括：CPU、内存模块、存储模块；第一处理单元或第二处理单元的CPU用于通过通信协议建立双向数据通信链路。