本發(fā)明涉及網(wǎng)絡(luò)信息交換技術(shù)領(lǐng)域，具體涉及一種基于單向傳輸技術(shù)跨網(wǎng)安全交換及交互式應(yīng)用系統(tǒng)及方法。

背景技術(shù)：

網(wǎng)絡(luò)交換是指通過一定的設(shè)備，如交換機等，將不同的信號或者信號形式轉(zhuǎn)換為對方可識別的信號類型從而達到通信目的的一種交換形式，常見的有數(shù)據(jù)交換等?，F(xiàn)有數(shù)據(jù)交互設(shè)備（如路由器）還存在以下缺陷：

1.現(xiàn)有基于防火墻的網(wǎng)絡(luò)間數(shù)據(jù)交換設(shè)備，一旦防火墻被攻擊者攻破并控制后，存儲于安全區(qū)域的數(shù)據(jù)將可被任意竊取；

2.采用安全隔離設(shè)備（如網(wǎng)閘）進行的數(shù)據(jù)交換，多采用了文件或數(shù)據(jù)庫同步的手段，應(yīng)用程序需要做較大改造，開發(fā)成本高，且交換效率較低。

為此，本發(fā)明人提出基于單向傳輸技術(shù)跨網(wǎng)安全交換及交互式應(yīng)用系統(tǒng)及方法。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于提供一種基于單向傳輸技術(shù)跨網(wǎng)安全交換及交互式應(yīng)用系統(tǒng)及方法，系統(tǒng)其能夠在物理隔離和安全受控的前提下，支持通信雙方采用實時的網(wǎng)絡(luò)協(xié)議，信息交換效率高，且無需進行內(nèi)部應(yīng)用改造，成本低。

為了實現(xiàn)上述目的，本發(fā)明的技術(shù)方案如下：

基于單向傳輸技術(shù)跨網(wǎng)安全交換及交互式應(yīng)用系統(tǒng)，由外網(wǎng)單元、內(nèi)網(wǎng)單元、1號純單向傳輸設(shè)備和2號純單向傳輸設(shè)備組成；其中外網(wǎng)單元包括外網(wǎng)轉(zhuǎn)接機和外網(wǎng)接入機，內(nèi)網(wǎng)單元包括內(nèi)網(wǎng)轉(zhuǎn)接機和內(nèi)網(wǎng)接入機；所述1號純單向傳輸設(shè)備的輸入端與外網(wǎng)接入機連接而輸出端與內(nèi)網(wǎng)轉(zhuǎn)接機連接，所述2號純單向傳輸設(shè)備的輸入端與內(nèi)網(wǎng)接入機連接而輸出端與外網(wǎng)轉(zhuǎn)接機連接；所述外網(wǎng)轉(zhuǎn)接機還與外網(wǎng)接入機連接，內(nèi)網(wǎng)轉(zhuǎn)接機還與內(nèi)網(wǎng)接入機連接；所述外網(wǎng)接入機和內(nèi)網(wǎng)接入機還分別與外網(wǎng)的客戶端及內(nèi)網(wǎng)的服務(wù)端通信。

所述外網(wǎng)的客戶端為基于TCP的應(yīng)用協(xié)議客戶端，內(nèi)網(wǎng)的服務(wù)端為基于TCP的應(yīng)用協(xié)議服務(wù)端。

所述外網(wǎng)接入機包括一外網(wǎng)控制應(yīng)用模塊和若干客戶端輸入器，外網(wǎng)轉(zhuǎn)接機包括一外網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊，內(nèi)接入機包括內(nèi)網(wǎng)控制應(yīng)用模塊和若干服務(wù)端輸出器，內(nèi)網(wǎng)轉(zhuǎn)接機包括一內(nèi)網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊；

所述客戶端輸入器、外網(wǎng)控制應(yīng)用模塊、1號純單向傳輸設(shè)備、內(nèi)網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊、內(nèi)網(wǎng)控制應(yīng)用模塊及服務(wù)端輸出器依次連接，所述內(nèi)網(wǎng)控制應(yīng)用模塊還依次連接2號純單向傳輸設(shè)備、外網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊和外網(wǎng)控制應(yīng)用模塊；其中客戶端輸入器與外網(wǎng)的客戶端通信，客戶端輸入器用于將客戶端數(shù)據(jù)進行包裝并傳送至外網(wǎng)控制應(yīng)用模塊，還用于將服務(wù)端返回的響應(yīng)數(shù)據(jù)發(fā)送至客戶端；外網(wǎng)控制應(yīng)用模塊用于接收客戶端輸入器的客戶端數(shù)據(jù)并將該數(shù)據(jù)發(fā)送至1號純單向傳輸設(shè)備，還用于將外網(wǎng)轉(zhuǎn)接機返回的服務(wù)端數(shù)據(jù)轉(zhuǎn)發(fā)給相應(yīng)的客戶端輸入器；所述內(nèi)網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊用于接收1號純單向傳輸設(shè)備傳送的客戶端數(shù)據(jù)并將該數(shù)據(jù)轉(zhuǎn)發(fā)至內(nèi)網(wǎng)控制應(yīng)用模塊；所述服務(wù)端輸出器與服務(wù)端通信，其用于接收內(nèi)網(wǎng)控制應(yīng)用模塊轉(zhuǎn)發(fā)的客戶端數(shù)據(jù)并發(fā)送給服務(wù)端，還用于接收來自服務(wù)端的響應(yīng)數(shù)據(jù)，服務(wù)端的響應(yīng)數(shù)據(jù)即服務(wù)端數(shù)據(jù)；所述內(nèi)網(wǎng)控制應(yīng)用模塊用于轉(zhuǎn)發(fā)來自內(nèi)網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊的客戶端數(shù)據(jù)以及用于轉(zhuǎn)發(fā)來自服務(wù)端輸出器的服務(wù)端數(shù)據(jù)；所述外網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊用于接收2號純單向傳輸設(shè)備傳送的服務(wù)端數(shù)據(jù)并轉(zhuǎn)發(fā)至外網(wǎng)控制應(yīng)用模塊。

通過上述基于單向傳輸技術(shù)跨網(wǎng)安全交換及交互式應(yīng)用系統(tǒng)實現(xiàn)的數(shù)據(jù)交換方法，包括以下步驟：

步驟1：外網(wǎng)的客戶端發(fā)出數(shù)據(jù)交互請求，將客戶端數(shù)據(jù)發(fā)送給外網(wǎng)的接入機，外網(wǎng)接入機的客戶端輸入器接收該數(shù)據(jù)，并包裝該數(shù)據(jù)成客戶端數(shù)據(jù)包，然后將客戶端數(shù)據(jù)包發(fā)送至外網(wǎng)控制應(yīng)用模塊；所述客戶端數(shù)據(jù)包中除客戶端數(shù)據(jù)之外還包含數(shù)據(jù)類型、目標(biāo)服務(wù)端輸出器ID及客戶端連接ID；

步驟2：外網(wǎng)控制應(yīng)用模塊判斷該客戶端數(shù)據(jù)包的客戶端地址是否合法，若不合法則拒絕請求，數(shù)據(jù)交互過程結(jié)束，若合法則由外網(wǎng)控制應(yīng)用模塊將客戶端數(shù)據(jù)包發(fā)送至1號純單向傳輸設(shè)備；

步驟3：1號純單向傳輸設(shè)備將客戶端數(shù)據(jù)包傳輸至內(nèi)網(wǎng)轉(zhuǎn)接機，內(nèi)網(wǎng)轉(zhuǎn)接機的內(nèi)網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊接收該數(shù)據(jù)包并轉(zhuǎn)發(fā)客戶端數(shù)據(jù)包至內(nèi)網(wǎng)接入機；

步驟4：內(nèi)網(wǎng)接入機的內(nèi)網(wǎng)控制應(yīng)用模塊根據(jù)數(shù)據(jù)類型判斷該客戶端數(shù)據(jù)包是否來是自客戶的數(shù)據(jù)，若是則根據(jù)目標(biāo)服務(wù)端輸出器ID發(fā)送給相應(yīng)的服務(wù)端輸出器；

步驟5：服務(wù)端輸出器將客戶端數(shù)據(jù)包的數(shù)據(jù)類型、目標(biāo)服務(wù)端輸出器ID及客戶端連接ID與客戶端數(shù)據(jù)剝離，然后將客戶端數(shù)據(jù)發(fā)送至服務(wù)端；

步驟6：服務(wù)端輸出器從服務(wù)端得到響應(yīng)數(shù)據(jù)，并包裝該響應(yīng)數(shù)據(jù)成服務(wù)端數(shù)據(jù)包，然后將服務(wù)端數(shù)據(jù)包發(fā)送至內(nèi)網(wǎng)控制應(yīng)用模塊；所述服務(wù)端數(shù)據(jù)包除服務(wù)端響應(yīng)數(shù)據(jù)之外還包含數(shù)據(jù)類型、目標(biāo)客戶端輸入器ID及客戶端連接ID；

步驟7：內(nèi)網(wǎng)控制應(yīng)用模塊根據(jù)數(shù)據(jù)類型判斷該服務(wù)端數(shù)據(jù)包是否要發(fā)回客戶端，若是，則將該服務(wù)端數(shù)據(jù)包發(fā)送至2號純單向傳輸設(shè)備；

步驟8：2號純單向傳輸設(shè)備將服務(wù)端數(shù)據(jù)包傳輸至外網(wǎng)轉(zhuǎn)接機，外網(wǎng)轉(zhuǎn)接機的外網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊接收該數(shù)據(jù)包并轉(zhuǎn)發(fā)服務(wù)端數(shù)據(jù)包至外網(wǎng)接入機；

步驟9：外網(wǎng)接入機的外網(wǎng)控制應(yīng)用模塊判斷數(shù)據(jù)類型為服務(wù)端數(shù)據(jù)后，根據(jù)目標(biāo)客戶端輸入器ID將該服務(wù)端數(shù)據(jù)包轉(zhuǎn)發(fā)至相應(yīng)的客戶端輸入器；

步驟10：客戶端輸入器接收服務(wù)端數(shù)據(jù)包后，根據(jù)客戶端連接ID找到對應(yīng)的客戶端連接，然后將數(shù)據(jù)類型、目標(biāo)客戶端輸入器ID及客戶端連接ID與服務(wù)端響應(yīng)數(shù)據(jù)相剝離，最后把剝離后的服務(wù)端響應(yīng)數(shù)據(jù)發(fā)送至客戶端。

采用上述方案后，本發(fā)明具有以下優(yōu)點：

一、結(jié)構(gòu)上，采用兩條物理單向通道（1號純單向傳輸設(shè)備和2號純單向傳輸設(shè)備），而不是一條雙向鏈路，配合需要多臺輔助設(shè)備（外網(wǎng)轉(zhuǎn)接機、外網(wǎng)接入機、內(nèi)網(wǎng)轉(zhuǎn)接機和內(nèi)網(wǎng)接入機），實現(xiàn)兩個單向通道分別傳輸；

二、兩個純單向傳輸設(shè)備相互獨立，攻擊者無法直接進行協(xié)議攻擊；

三、所有數(shù)據(jù)均要受內(nèi)網(wǎng)的授權(quán)和管控，外網(wǎng)無法進行，充分保證管理安全；

四、攻擊者即使攻破程序部分，也無法再使用單向通道完成協(xié)議，避免了防火墻被攻破后內(nèi)網(wǎng)無屏障的問題。

以下結(jié)合附圖及具體實施例對本發(fā)明做進一步說明。

附圖說明

圖1是本發(fā)明的結(jié)構(gòu)簡圖；

圖2是本發(fā)明的詳細結(jié)構(gòu)圖；

圖3是本發(fā)明與多個客戶端和服務(wù)端工作關(guān)系圖；

圖4是本發(fā)明客戶端數(shù)據(jù)包結(jié)構(gòu)圖；

圖5是本發(fā)明客戶端數(shù)據(jù)結(jié)構(gòu)圖；

圖6是本發(fā)明服務(wù)端數(shù)據(jù)包結(jié)構(gòu)圖；

圖7是本發(fā)明服務(wù)端數(shù)據(jù)結(jié)構(gòu)圖。

具體實施方式

如圖1所示，本發(fā)明揭示的基于單向傳輸技術(shù)跨網(wǎng)安全交換及交互式應(yīng)用系統(tǒng)，由外網(wǎng)單元1、內(nèi)網(wǎng)單元2、1號純單向傳輸設(shè)備3和2號純單向傳輸設(shè)備4組成，本實施例所用1號純單向傳輸設(shè)備3和2號純單向傳輸4均為光閘；其中外網(wǎng)單元1包括外網(wǎng)轉(zhuǎn)接機11和外網(wǎng)接入機12，內(nèi)網(wǎng)單元2包括內(nèi)網(wǎng)轉(zhuǎn)接機21和內(nèi)網(wǎng)接入機22；所述1號純單向傳輸設(shè)備3的輸入端與外網(wǎng)接入機12連接而輸出端與內(nèi)網(wǎng)轉(zhuǎn)接機21連接，2號純單向傳輸設(shè)備4的輸入端與內(nèi)網(wǎng)接入機22連接而輸出端與外網(wǎng)轉(zhuǎn)接機11連接；外網(wǎng)轉(zhuǎn)接機11還與外網(wǎng)接入機12連接，內(nèi)網(wǎng)轉(zhuǎn)接機21還與內(nèi)網(wǎng)接入機22連接；外網(wǎng)接入機12和內(nèi)網(wǎng)接入機還分別與外網(wǎng)的客戶端5及內(nèi)網(wǎng)的服務(wù)端6通信。

如圖2所示，外網(wǎng)接入機12包括一外網(wǎng)控制應(yīng)用模塊121和若干客戶端輸入器122，如圖3所示客戶端輸入器122可接一個或多個客戶端5，外網(wǎng)轉(zhuǎn)接機11包括一外網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊111，內(nèi)接入機22包括內(nèi)網(wǎng)控制應(yīng)用模塊221和若干服務(wù)端輸出器222，內(nèi)網(wǎng)轉(zhuǎn)接機21包括一內(nèi)網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊211；

客戶端輸入器122、外網(wǎng)控制應(yīng)用模塊121、1號純單向傳輸設(shè)備3、內(nèi)網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊211、內(nèi)網(wǎng)控制應(yīng)用模塊221及服務(wù)端輸出器222依次連接，內(nèi)網(wǎng)控制應(yīng)用模塊221還依次連接2號純單向傳輸設(shè)備4、外網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊111和外網(wǎng)控制應(yīng)用模塊121；其中客戶端輸入器122與外網(wǎng)的客戶端5通信，客戶端輸入器122用于將客戶端數(shù)據(jù)進行包裝并傳送至外網(wǎng)控制應(yīng)用模塊121，還用于將服務(wù)端6返回的響應(yīng)數(shù)據(jù)發(fā)送至客戶端5；外網(wǎng)控制應(yīng)用模塊121用于接收客戶端輸入器122的客戶端數(shù)據(jù)并將該數(shù)據(jù)發(fā)送至1號純單向傳輸設(shè)備3，還用于將外網(wǎng)轉(zhuǎn)接機111返回的服務(wù)端數(shù)據(jù)轉(zhuǎn)發(fā)給相應(yīng)的客戶端輸入器122；所述內(nèi)網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊211用于接收1號純單向傳輸設(shè)備3傳送的客戶端數(shù)據(jù)并將該數(shù)據(jù)轉(zhuǎn)發(fā)至內(nèi)網(wǎng)控制應(yīng)用模塊221；服務(wù)端輸出器222與服務(wù)端6通信，其用于接收內(nèi)網(wǎng)控制應(yīng)用模塊221轉(zhuǎn)發(fā)的客戶端數(shù)據(jù)并發(fā)送給服務(wù)端6，還用于接收來自服務(wù)端6的響應(yīng)數(shù)據(jù)，服務(wù)端6的響應(yīng)數(shù)據(jù)即服務(wù)端數(shù)據(jù)；內(nèi)網(wǎng)控制應(yīng)用模塊221用于轉(zhuǎn)發(fā)來自內(nèi)網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊211的客戶端數(shù)據(jù)以及用于轉(zhuǎn)發(fā)來自服務(wù)端輸出器222的服務(wù)端數(shù)據(jù)；外網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊111用于接收2號純單向傳輸設(shè)備4傳送的服務(wù)端數(shù)據(jù)并轉(zhuǎn)發(fā)至外網(wǎng)控制應(yīng)用模塊121。

如圖2和3所示，通過上述基于單向傳輸技術(shù)跨網(wǎng)安全交換及交互式應(yīng)用系統(tǒng)實現(xiàn)的數(shù)據(jù)交換方法，包括以下步驟：

步驟1：外網(wǎng)的客戶端5發(fā)出數(shù)據(jù)交互請求，將客戶端數(shù)據(jù)發(fā)送給外網(wǎng)的接入機12，外網(wǎng)接入機的客戶端輸入器122接收該數(shù)據(jù)，并包裝該數(shù)據(jù)成客戶端數(shù)據(jù)包，然后將客戶端數(shù)據(jù)包發(fā)送至外網(wǎng)控制應(yīng)用模塊121；如圖4所示，客戶端數(shù)據(jù)包中除客戶端數(shù)據(jù)之外還包含數(shù)據(jù)類型、目標(biāo)服務(wù)端輸出器ID及客戶端連接ID；

步驟2：外網(wǎng)控制應(yīng)用模塊121判斷該客戶端數(shù)據(jù)包的客戶端地址是否合法，若不合法則拒絕請求，數(shù)據(jù)交互過程結(jié)束，若合法則由外網(wǎng)控制應(yīng)用模塊將客戶端數(shù)據(jù)包發(fā)送至1號純單向傳輸設(shè)備；

步驟3：1號純單向傳輸設(shè)備3將客戶端數(shù)據(jù)包傳輸至內(nèi)網(wǎng)轉(zhuǎn)接機21，內(nèi)網(wǎng)轉(zhuǎn)接機的內(nèi)網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊211接收該數(shù)據(jù)包并轉(zhuǎn)發(fā)客戶端數(shù)據(jù)包至內(nèi)網(wǎng)接入機22；

步驟4：內(nèi)網(wǎng)接入機的內(nèi)網(wǎng)控制應(yīng)用模塊221根據(jù)數(shù)據(jù)類型判斷該客戶端數(shù)據(jù)包是否來是自客戶的數(shù)據(jù)，若是則根據(jù)目標(biāo)服務(wù)端輸出器ID發(fā)送給相應(yīng)的服務(wù)端輸出器222；

步驟5：服務(wù)端輸出器222將客戶端數(shù)據(jù)包的數(shù)據(jù)類型、目標(biāo)服務(wù)端輸出器ID及客戶端連接ID與客戶端數(shù)據(jù)剝離，如圖5所示，然后將客戶端數(shù)據(jù)發(fā)送至服務(wù)端6；

步驟6：服務(wù)端輸出器222從服務(wù)端6得到響應(yīng)數(shù)據(jù)，并包裝該響應(yīng)數(shù)據(jù)成服務(wù)端數(shù)據(jù)包，然后將服務(wù)端數(shù)據(jù)包發(fā)送至內(nèi)網(wǎng)控制應(yīng)用模塊221；如圖6所示，所述服務(wù)端數(shù)據(jù)包除服務(wù)端響應(yīng)數(shù)據(jù)之外還包含數(shù)據(jù)類型、目標(biāo)客戶端輸入器ID及客戶端連接ID；

步驟7：內(nèi)網(wǎng)控制應(yīng)用模塊221根據(jù)數(shù)據(jù)類型判斷該服務(wù)端數(shù)據(jù)包是否要發(fā)回客戶端5，若是，則將該服務(wù)端數(shù)據(jù)包發(fā)送至2號純單向傳輸設(shè)備4；

步驟8：2號純單向傳輸設(shè)備4將服務(wù)端數(shù)據(jù)包傳輸至外網(wǎng)轉(zhuǎn)接機11，外網(wǎng)轉(zhuǎn)接機11的外網(wǎng)轉(zhuǎn)發(fā)應(yīng)用模塊111接收該數(shù)據(jù)包并轉(zhuǎn)發(fā)服務(wù)端數(shù)據(jù)包至外網(wǎng)接入機12；

步驟9：外網(wǎng)接入機12的外網(wǎng)控制應(yīng)用模塊121判斷數(shù)據(jù)類型為服務(wù)端數(shù)據(jù)后，根據(jù)目標(biāo)客戶端輸入器ID將該服務(wù)端數(shù)據(jù)包轉(zhuǎn)發(fā)至相應(yīng)的客戶端輸入器122；

步驟10：客戶端輸入器122接收服務(wù)端數(shù)據(jù)包后，根據(jù)客戶端連接ID找到對應(yīng)的客戶端連接，然后將數(shù)據(jù)類型、目標(biāo)客戶端輸入器ID及客戶端連接ID與服務(wù)端響應(yīng)數(shù)據(jù)相剝離，如圖7所示，最后把剝離后的服務(wù)端響應(yīng)數(shù)據(jù)發(fā)送至客戶端5。

上述外網(wǎng)的客戶端為TCP客戶端，內(nèi)網(wǎng)的服務(wù)端為TCP服務(wù)端，本發(fā)明應(yīng)用時，具有以下優(yōu)勢：

①、內(nèi)外網(wǎng)各使用一臺接入機，與客戶端或服務(wù)端基于原有協(xié)議（如TCP、HTTP 進行通信），本實施例采用TCP客戶端和TCP服務(wù)端，因此通信協(xié)議為TCP；

②、內(nèi)外傳輸使用兩套純單向傳輸設(shè)備，即純單向傳輸設(shè)備，實現(xiàn)請求與響應(yīng)數(shù)據(jù)在分離的安全物理鏈路上進行傳輸；

③、同一個網(wǎng)絡(luò)區(qū)域的接入機和轉(zhuǎn)接機，可分離，也可共用一臺。

以上僅為本發(fā)明的具體實施例，并非對本發(fā)明的保護范圍的限定。凡依本案的設(shè)計思路所做的等同變化，均落入本案的保護范圍。