[发明专利]一种基于光纤通信的双单向隔离交换方法

说明书

本发明公开了基于光纤通信的双单向隔离交换方法和系统，源主机和目的主机可经由隔离设备完成原链路的正向通信和反向链路的反向通信。正向通信的数据传输过程为：源主机→隔离设备的原链路发送代理模块→原链路单向发送单元→原链路单向接收单元→隔离设备的原链路接收代理模块→目的主机。反向通信的数据传输过程为：目的主机→隔离设备的原链路接收代理模块→反向链路的发送代理模块→反向链路的单向发送单元→反向链路的接收单元→反向链路的接收代理模块→隔离设备原链路的发送代理模块→源主机。系统采用“4+2”架构，两个链路均为单向性，互不干扰，安全性能好，收发单元使用单纤+信号模拟技术使得光纤卡之间即使一根光纤也可处于Linked模式。

技术领域

本发明属于数字信息的传输技术领域，涉及保密或安全通信装置，具体为一种基于光纤通信的双单向隔离交换方法。

背景技术

随着信息化技术的发展，各国军事、经济等要害部门之间的数据交换越来越频繁。为此需要按照不同的保密级别将网络划分为不同的网络安全域。鉴于不同的网络安全域之间有不同的安全防护和保密要求，由此诞生了隔离网闸和单向光闸等网络隔离交换产品。

按照涉密信息系统的保密要求，高密级网络信息不能流向低密级网络，但低密级网络信息可以流向高密级网络，通常使用单向光闸即能够满足此种场景的要求。但现实场景中，更多的应用需要进行双向数据交换并能够提供安全防护能力。目前能满足这种需求的技术主要是利用防火墙和隔离网闸。防火墙属于在TCP/IP协议栈基础上的基于安全策略的访问控制，这种基于软件的逻辑隔离是不可靠的，很容易被黑客突破或被内部用户操控。隔离网闸是一种中间采用私有协议的数据交换设备，能够中断TCP/IP等标准协议的通信，抵御基于标准协议的攻击。但隔离网闸的链路具有允许信息双向流动的特性，不具备单向传输设备的单向物理隔离特性，仍然属于双向逻辑隔离方案，存在创建隐蔽通道的可能性。

目前的一些商业的单向光闸类产品的重点在于维护信息的保密性，即高密级网络信息不能流向低密级网络，而对安全性考虑的不够。实践中，有大量的军事装备、工业厂房设备和基础设施等系统中有许多采集数据、报警信息、设备运行状态等数据需要传输到相应的管控中心进行监控决策，而且这些前端设备、网络和设施又绝对不允许遭受病毒、木马等的恶意攻击。针对这些特定的应用场景，客观上要求采取有针对性的产品设计。何况市场上的部分单向光闸商业产品，由于中间通道采用了通用UDP协议作为标准协议，导致无法满足安全的保密性要求。

针对上述问题，有厂商提出了双单向网闸的概念，其原理是把2台单向设备整合在一起，其中的两条单向链路并行，但方向相反。但此类双单向网闸无法满足类似TCP应用的部分双向应用的需求。

发明内容

本发明针对现有双单向数据交换存在的问题，提出了采用两条独立单向光纤通信方式的双单向隔离交换方法。

为实现上述目的，本发明采用的技术方案为基于光纤通信的双单向隔离交换方法和系统，其特点是源主机和目的主机可经由二者之间的隔离设备完成原链路的正向通信和反向链路的反向通信。隔离设备包括原链路发送代理模块、原链路单向发送单元、原链路单向接收单元、原链路接收代理模块、反向链路的发送代理模块、反向链路的单向发送单元、反向链路的接收单元、反向链路的接收代理模块。

上述正向通信的数据传输过程为：源主机→原链路发送代理模块→原链路单向发送单元→原链路单向接收单元→原链路接收代理模块→目的主机。

上述反向通信的数据传输过程为：目的主机→原链路接收代理模块→反向链路的发送代理模块→反向链路的单向发送单元→反向链路的接收单元→反向链路的接收代理模块→原链路的发送代理模块→源主机。

具体而言，上述正向通信又包含以下步骤：

S1：源主机经过认证并通过后，向隔离设备的原链路发送代理模块发起连接请求；

S2：原链路发送代理模块收到连接请求后向源主机发送响应报文，经过确认后建立连接；