CN102208982A - 一种隔离网闸 - Google Patents
一种隔离网闸 Download PDFInfo
- Publication number
- CN102208982A CN102208982A CN2011101114665A CN201110111466A CN102208982A CN 102208982 A CN102208982 A CN 102208982A CN 2011101114665 A CN2011101114665 A CN 2011101114665A CN 201110111466 A CN201110111466 A CN 201110111466A CN 102208982 A CN102208982 A CN 102208982A
- Authority
- CN
- China
- Prior art keywords
- network
- data acquisition
- acquisition module
- data
- authentication module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
隔离网闸,包括用于连接网络A的身份认证模块A和数据采集模块A,包括用于连接网络B的身份认证模块B和数据采集模块B,信息从网络A发往网络B的中途须从身份认证模块A发至数据采集模块B,且从身份认证模块A至数据采集模块B为单向不可逆的传输通路;信息从网络B发往网络A的中途须从身份认证模块B发至数据采集模块A,且从身份认证模块B至数据采集模块A为单向不可逆的传输通路。所给出的隔离网闸的有益效果是:(1)实现双向传输;(2)降低双向传输的数据均被截获的可能性;(3)以较低的成本提高隔离网闸的双向传输带宽;以及(4)防止内网和外网之间绕过网闸直接建立连接,让其传输带宽的提高不对安全性造成影响。
Description
技术领域
本发明涉及用于实现网络隔离的隔离网闸。
背景技术
用于实现网络隔离的现有隔离网闸如图1,外网是安全性不高的外部网络,内网是安全性很高的内部专用网络。正常情况下,外网和内网是完全断开的。隔离网闸设在两个网络之间,包括控制台和存储介质。当内网有数据需传输到外网时,首先如图2所示,控制台和内网主机之间建立连接,数据从内网主机发至控制台,控制台剥离协议从而分离出数据后将数据写入到存储介质中。控制台写入完成后,就断开与内网主机之间的连接,然后如图3所示和外网主机之间建立连接,随后控制台从存储介质读出数据发送至外网主机,至此完成一次数据传输。一个完整的数据包必须完整收全存储,再读出,其过程必然造成数据传输的时延,无法做到线速转发。因此,一般隔离网闸的的传输带宽不高,一般在百兆级。要增加带宽,一般采用多个控制台负荷分担方式实现,其实现成本较高,并且负荷分担的控制比较复杂。
经隔离网闸的数据传输通过上述摆渡切换实现内网和外网之间连接的开断,此开断切换越快,传输带宽就越高。但现有的隔离网闸不能设计成具有太快的切换速率,因为如果切换太快,网闸的作用就会被弱化,理论上存在让内网和外网之间直接建立连接的可能。攻击者可以利用这一程序漏洞绕过隔离网闸建立内网和外网之间的直接连接。现有隔离网闸的传输带宽和安全性之间存在着上述无法消除的矛盾,这是因为经过隔离网闸的数据双向传输是在同一物理介质中进行的,存在建立连接的可能。此外,数据双向传输在同一物理介质中进行使得攻击者只需入侵一个模块,例如入侵上述控制台或存储介质的其中之一者,双向传输的数据就都会被截获。
发明内容
本发明的目的是
(1)实现双向传输;
(2)降低双向传输的数据均被截获的可能性;
(3)以较低的成本提高隔离网闸的双向传输带宽;
(4)防止内网和外网之间绕过网闸直接建立连接,让其传输带宽的提高不对安全性造成影响。
为此给出一种隔离网闸,包括用于连接网络A的身份认证模块A和数据采集模块A,包括用于连接网络B的身份认证模块B和数据采集模块B,信息从网络A发往网络B的中途须从身份认证模块A发至数据采集模块B,且从身份认证模块A至数据采集模块B为单向不可逆的传输通路;信息从网络B发往网络A的中途须从身份认证模块B发至数据采集模块A,且从身份认证模块B至数据采集模块A为单向不可逆的传输通路。
所给出的隔离网闸的有益效果是
(1)隔离网闸在两个方向上的传输各用一条单向不可逆的传输通路实现了双向传输;
(2)攻击者如果只入侵其中一个传输方向的模块,只能截获该传输方向的数据,但无法截获反向传输的数据,降低了双向传输的数据均被截获的可能性;
(3)省略了数据传输中的先存储再读出的繁杂过程,无需增加高成本的设备就提高了传输带宽;
(4)两个方向的传输通路不可逆,身份认证模块A负责对来自网络A的用户进行身份认证,身份认证模块B负责对来自网络B的用户进行身份认证,防止了内网和外网之间绕过网闸直接建立连接,传输带宽的提高就不再对安全性造成影响。
优选地,所述的单向不可逆的传输通路为如下的光纤单向传输通路:包括两张光网卡,其一用作发射卡,其二用作接收卡;发射卡具有发射端和接收端,发射卡的数据发送需由其自身的接收端收到额定波长的光来启动;设有分光器,发射卡发射的光作为分光器的入射光;分光器的出射光有二,其一由接收卡接收,其二由发射卡的接收端接收。该光纤单向传输通路无需另行设计制造非标准的光网卡,而是采用现有的光网卡,也无需另提供额定波长的光源,而且由于发射卡的接收端收到的是发射卡自身发出的额定波长的光,故不需要经过调试,从而以低成本实现了光纤单向传输。
附图说明
图1是现有网络隔离***架构图。
图2是图1中控制台处理内网数据的示意图。
图3是图1中控制台处理外网数据的示意图。
图4是本发明实施例网络隔离***架构图。
具体实施方式
如图4,网络A是安全性很高的内部专用网络,网络B是安全性不高的外部网络,用于实现网络隔离的隔离网闸包括主控单元A、主控单元B和分光器1、2。主控单元A用于与网络A进行数据交互,主控单元B用于与网络B进行数据交互。主控单元A具有身份认证模块A和数据采集模块A,主控单元B具有身份认证模块B和数据采集模块B。图4中,身份认证模块均带有光网卡作为发射卡,数据采集模块均带有光网卡作为接收卡。光网卡是现有技术,其具有发射端和接收端,其数据发送需由其自身的接收端收到额定波长的光来启动。
图4左侧的光纤单向传输通路在***中所起的作用在本段详述。分光器1以身份认证模块A发射卡发射的光作为入射光;分光器1的出射光有二,其一由数据采集模块B接收卡的接收端接收,其二由身份认证模块A发射卡的接收端接收。初始化时,身份认证模块A发射卡的发射端发出的不带所需传输数据的额定波长的光被分光器1分到数据采集模块B接收卡的接收端和身份认证模块A发射卡的接收端,不仅让数据采集模块B接收卡完成了初始化,还让身份认证模块A发射卡完成了初始化。初始化完成后,当网络A有数据需传输到网络B时,首先向主控单元A提出请求,由身份认证模块A进行身份认证。身份认证通过后,身份认证模块A发射卡的发射端发送数据,该数据经由分光器1到达数据采集模块B接收卡的接收端,至于此时身份认证模块A发射卡的接收端也收到此数据并不会影响数据单向传输的实现。数据采集模块B把所收到的数据发到网络B。
图4右侧的光纤单向传输通路在***中所起的作用在本段详述。分光器2以身份认证模块B发射卡发射的光作为入射光;分光器2的出射光有二,其一由数据采集模块A接收卡的接收端接收,其二由身份认证模块B发射卡的接收端接收。初始化时,身份认证模块B发射卡的发射端发出的不带所需传输数据的额定波长的光被分光器2分到数据采集模块A接收卡的接收端和身份认证模块B发射卡的接收端,不仅让数据采集模块A接收卡完成了初始化,还让身份认证模块B发射卡完成了初始化。初始化完成后,当网络B有数据需传输到网络A时,首先向主控单元B提出请求,由身份认证模块B进行身份认证.身份认证通过后,身份认证模块B发射卡发射端发送数据,该数据经由分光器2到达数据采集模块A接收卡的接收端,至于此时身份认证模块B发射卡的接收端也收到此数据并不会影响数据单向传输的实现。数据采集模块A把所收到的数据发到网络A。
图4中,数据采集模块接收卡的发射端不起作用,无须进行光路连接。攻击者如果只入侵其中一个传输方向的模块,只能截获该传输方向的数据,但无法截获反向传输的数据,降低了双向传输的数据均被截获的可能性。
图4中,数据在身份认证模块和数据采集模块中线速转发而非存储后再读取,具有较高的传输带宽。
图4中,主控单元A和主控单元B之间在数据链路层上通过不同于网络A和网络B的数据封装格式进行数据交互,例如,网络A和网络B采用IP/Ethernet协议封装数据,而主控单元A和主控单元B之间的上述光路传输则采用非IP/Ethernet的数据封装格式,甚至是自定义的数据封装格式,使网络上的攻击者难以逾越主控单元A和主控单元B之间的这一隔离,提高了网络隔离的安全性。
图4中,数据由身份认证模块进行加密,由数据采集模块进行解密,确保数据在上述光路传输中的安全。
Claims (2)
1.一种隔离网闸,其特征是,包括用于连接网络A的身份认证模块A和数据采集模块A,包括用于连接网络B的身份认证模块B和数据采集模块B,信息从网络A发往网络B的中途须从身份认证模块A发至数据采集模块B,且从身份认证模块A至数据采集模块B为单向不可逆的传输通路;信息从网络B发往网络A的中途须从身份认证模块B发至数据采集模块A,且从身份认证模块B至数据采集模块A为单向不可逆的传输通路。
2.根据权利要求1所述的隔离网闸,其特征是,所述的单向不可逆的传输通路为如下的光纤单向传输通路:包括两张光网卡,其一用作发射卡,其二用作接收卡;发射卡具有发射端和接收端,发射卡的数据发送需由其自身的接收端收到额定波长的光来启动;设有分光器,发射卡发射的光作为分光器的入射光;分光器的出射光有二,其一由接收卡接收,其二由发射卡的接收端接收。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101114665A CN102208982A (zh) | 2011-04-28 | 2011-04-28 | 一种隔离网闸 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101114665A CN102208982A (zh) | 2011-04-28 | 2011-04-28 | 一种隔离网闸 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102208982A true CN102208982A (zh) | 2011-10-05 |
Family
ID=44697655
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011101114665A Pending CN102208982A (zh) | 2011-04-28 | 2011-04-28 | 一种隔离网闸 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102208982A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102752286A (zh) * | 2012-06-05 | 2012-10-24 | 东莞市博晟电子科技有限公司 | 一种网络隔离*** |
CN103491072A (zh) * | 2013-09-06 | 2014-01-01 | 北京信息控制研究所 | 一种基于双单向隔离网闸的边界访问控制方法 |
CN104270344A (zh) * | 2014-09-12 | 2015-01-07 | 北京天行网安信息技术有限责任公司 | 万兆网闸 |
CN104683352A (zh) * | 2015-03-18 | 2015-06-03 | 宁波科安网信通讯科技有限公司 | 一种具有双通道摆渡的工业通讯隔离网闸 |
CN105635161A (zh) * | 2016-01-12 | 2016-06-01 | 浪潮(北京)电子信息产业有限公司 | 一种数据传输方法与*** |
CN107749840A (zh) * | 2017-09-27 | 2018-03-02 | 北京机电工程研究所 | 基于单向网闸的数据单向安全传输及协同处理***及方法 |
US10218715B2 (en) | 2014-06-06 | 2019-02-26 | Bae Systems Plc | Secured network bridge |
CN113965395A (zh) * | 2021-10-28 | 2022-01-21 | 绿盟科技集团股份有限公司 | 一种实时安全访问内网的方法、***及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0927482B1 (en) * | 1997-07-03 | 2002-02-27 | 3Com Corporation | Network access methods, including direct wireless to internet access |
CN101277308A (zh) * | 2008-05-23 | 2008-10-01 | 杭州华三通信技术有限公司 | 一种隔离内外网络的方法、认证服务器及接入交换机 |
CN201307864Y (zh) * | 2008-12-04 | 2009-09-09 | 杭州恒生数字设备科技有限公司 | 一种基于1394接口的数据隔离转发*** |
CN102035843A (zh) * | 2010-12-17 | 2011-04-27 | 北京锐安科技有限公司 | 一种单向数据传输***和传输方法 |
-
2011
- 2011-04-28 CN CN2011101114665A patent/CN102208982A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0927482B1 (en) * | 1997-07-03 | 2002-02-27 | 3Com Corporation | Network access methods, including direct wireless to internet access |
CN101277308A (zh) * | 2008-05-23 | 2008-10-01 | 杭州华三通信技术有限公司 | 一种隔离内外网络的方法、认证服务器及接入交换机 |
CN201307864Y (zh) * | 2008-12-04 | 2009-09-09 | 杭州恒生数字设备科技有限公司 | 一种基于1394接口的数据隔离转发*** |
CN102035843A (zh) * | 2010-12-17 | 2011-04-27 | 北京锐安科技有限公司 | 一种单向数据传输***和传输方法 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102752286A (zh) * | 2012-06-05 | 2012-10-24 | 东莞市博晟电子科技有限公司 | 一种网络隔离*** |
CN103491072A (zh) * | 2013-09-06 | 2014-01-01 | 北京信息控制研究所 | 一种基于双单向隔离网闸的边界访问控制方法 |
CN103491072B (zh) * | 2013-09-06 | 2017-03-15 | 中国航天***科学与工程研究院 | 一种基于双单向隔离网闸的边界访问控制方法 |
US10218715B2 (en) | 2014-06-06 | 2019-02-26 | Bae Systems Plc | Secured network bridge |
CN104270344B (zh) * | 2014-09-12 | 2018-05-11 | 北京天行网安信息技术有限责任公司 | 万兆网闸 |
CN104270344A (zh) * | 2014-09-12 | 2015-01-07 | 北京天行网安信息技术有限责任公司 | 万兆网闸 |
CN104683352A (zh) * | 2015-03-18 | 2015-06-03 | 宁波科安网信通讯科技有限公司 | 一种具有双通道摆渡的工业通讯隔离网闸 |
CN104683352B (zh) * | 2015-03-18 | 2018-05-25 | 宁波科安网信通讯科技有限公司 | 一种具有双通道摆渡的工业通讯隔离网闸 |
CN105635161A (zh) * | 2016-01-12 | 2016-06-01 | 浪潮(北京)电子信息产业有限公司 | 一种数据传输方法与*** |
CN107749840A (zh) * | 2017-09-27 | 2018-03-02 | 北京机电工程研究所 | 基于单向网闸的数据单向安全传输及协同处理***及方法 |
CN107749840B (zh) * | 2017-09-27 | 2020-06-05 | 北京机电工程研究所 | 基于单向网闸的数据单向安全传输及协同处理***及方法 |
CN113965395A (zh) * | 2021-10-28 | 2022-01-21 | 绿盟科技集团股份有限公司 | 一种实时安全访问内网的方法、***及装置 |
CN113965395B (zh) * | 2021-10-28 | 2024-02-09 | 绿盟科技集团股份有限公司 | 一种实时安全访问内网的方法、***及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102208982A (zh) | 一种隔离网闸 | |
US11616696B2 (en) | Transparent auto-negotiation of Ethernet | |
US10313768B2 (en) | Data scheduling and switching method, apparatus, system | |
CN106685992B (zh) | 基于单向传输技术跨网安全交换及交互式应用***及方法 | |
CN101764768A (zh) | 一种数据安全传输*** | |
CN107749840A (zh) | 基于单向网闸的数据单向安全传输及协同处理***及方法 | |
CN103200201A (zh) | 一种公安内网与视频专网的隔离***及隔离方法 | |
US9112612B2 (en) | Relay device, station-side optical communication device, communication system, and bandwidth allocation method | |
TW201301811A (zh) | 中繼裝置、中繼方法及使用該中繼裝置之光通訊系統 | |
CN104025511A (zh) | 一种无源光网络中的业务保护方法、光线路终端及*** | |
CN102202055A (zh) | 隔离网闸 | |
CN102917212A (zh) | 一种基于rtp和rtsp的3g无线视频监控实现方法及*** | |
CN102255904A (zh) | 一种通信网络以及对终端的认证方法 | |
CN102523067B (zh) | 一种工业级光传输*** | |
CN102868444B (zh) | 无源光网络的通信数据提取装置和提取方法 | |
CN101282177B (zh) | 一种数据传输方法和终端 | |
CN203896047U (zh) | 一种电力保护*** | |
CN203219330U (zh) | 一种公安内网与视频专网的隔离*** | |
CN202043125U (zh) | 一种隔离网闸 | |
CN103581774B (zh) | 一种以太网单向传输光口及其传输方法和单向传输设备 | |
KR20210037178A (ko) | 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법 | |
WO2011153878A1 (zh) | 无源光网络通信的方法、装置和*** | |
CN104125227A (zh) | 物理隔离跨网单向光传输装置及传输方法 | |
CN109547457B (zh) | 一种具有“微交互”功能的网络隔离*** | |
CN204465570U (zh) | 一种本端远端可同时管理的千兆智能收发器设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20111005 |