網絡隔離系統及其數據傳輸方法

2023-06-10 14:13:21

專利名稱：網絡隔離系統及其數據傳輸方法
技術領域：
本發明涉及一種網絡隔離系統及其數據傳輸方法。
背景技術：
網絡互聯在帶來便利的同時，也引出了網絡安全方面的問題。對於網絡安全問題， 國家保密局發布的《計算機信息系統國際聯網保密管理規定》中第二章第六條內容「涉及國 家秘密的計算機信息系統，不得直接或間接地與國際網際網路或其它公共信息網絡相連接， 必須實行物理隔離。為了保證內部數據安全的同時又能較方便獲取外網信息，正是基於這個的需求， 諸如電力、政府、軍隊、軍工、金融等重要行業、重要領域在內外網間引入了專用的網絡隔離 設備。以電力行業為例，橫向隔離是電力二次系統安全防護的總體原則之一，具體是說 採用安全設備隔離各安全區，在生產控制大區與管理信息大區之間必須設置經國家指定部 門檢測認證的電力專用橫向單向安全隔離設備，隔離強度應當接近或達到物理隔離。按照 數據通信方向電力專用橫向單向安全隔離設備分為正向型和反向型。正向安全隔離設備置 用於生產控制大區到管理信息大區的非網絡方式的單向數據傳輸。反向安全隔離設備用於 從管理信息大區到生產控制大區單向數據傳輸，是管理信息大區到生產控制大區的唯一數 據傳輸途徑。請參考圖1和圖2，圖1和圖2是目前常見的兩種網絡隔離系統的結構示意圖。從 圖1中可以看出，隔離設備一端與發送代理器連接，另一端與接收代理器連接。從圖2中可 以看出，隔離設備一端經由交換機與發送代理器連接，另一端經由交換機與接收代理器連 接。目前使用的隔離設備由於要進行內容過濾、有效性檢查等處理以保證網絡安全， 因而存在傳輸帶寬不夠高的問題。另一方面，通過長期運行經驗，發現有時會出現突發性傳 輸錯誤的問題。

發明內容
本發明的目的在於提供一種能夠提高數據傳輸速率的網絡隔離系統。本發明的目的還在於提供一種能夠提高數據傳輸速率且避免突發性傳輸錯誤的 網絡隔離系統的數據傳輸方法。一種網絡隔離系統包括發送控制器，用於將待傳輸數據進行處理，形成並行傳輸 的多路數據；多個第一隔離設備，用於傳輸所述需並行傳輸的數據；接收控制器，用於接收 並處理所述並行傳輸的數據，以獲得所述發送控制器處理前的所述待傳輸數據。本發明的 網絡隔離系統通過讓多個隔離設備同時並行進行數據傳輸，在保證安全性的同時，以提高 隔離設備在網絡間的整體傳輸速度。上述網絡隔離系統優選的一種技術方案，所述網絡隔離系統還包括多個第二隔離
4設備，所述第二隔離設備設置於所述發送控制器和所述接收控制器之間，用於替換出現數 據傳輸錯誤的第一隔離設備，即所述第二隔離設備是所述第一隔離設備的備用設備。當某 些第一隔離設備發生傳輸錯誤時，用備用隔離設備對出錯的隔離設備進行替代，以提高網 絡隔離系統的傳輸可靠性。上述網絡隔離系統優選的一種技術方案，所述網絡隔離系統還包括第三隔離設 備，所述第三隔離設備設置於所述發送控制器和所述接收控制器之間，用於傳輸所述第一、 第二、第三隔離設備的運行狀態的配置文件。所述發送控制器根據所述配置文件用所述第 二隔離設備替換出現數據傳輸錯誤的第一隔離設備。所述配置文件由多個數字組成，所述 數字分別對應所述第一、第二、第三隔離設備的運行狀態。通過變更所述配置文件，選擇進 行數據傳輸的隔離設備。上述網絡隔離系統優選的一種技術方案，所述發送控制器將待傳輸數據進行信 息-摘要算法的文件籤名處理，所述接收控制器利用所述文件籤名驗證數據傳輸的正確 性。採用對傳輸數據進行信息_摘要算法的文件籤名處理，並同時傳輸文件籤名和原數據 文件，這使得隔離設備傳輸錯誤可以被得知。上述網絡隔離系統優選的一種技術方案，所述第一、第二隔離設備為正向隔離設 備，所述第三隔離設備為反向隔離設備，或者所述第一、第二隔離設備為反向隔離設備，所 述第三隔離設備為正向隔離設備。上述網絡隔離系統優選的一種技術方案，所述發送控制器將待傳輸數據分割處理 成數據塊進行並行傳輸，所述接收控制器接收所述並行傳輸的數據塊，並合併處理成所述 待傳輸數據。上述網絡隔離系統優選的一種技術方案，所述發送控制器將待傳輸數據鏡像複製 處理，所述接收控制器接收所述鏡像數據，並根據多數原則獲得所述待傳輸數據。上述網絡隔離系統優選的一種技術方案，所述發送控制器將待傳輸數據分割成多 個數據塊並計算得出校驗數據塊，所述接收控制器接收所述數據塊和所述校驗數據塊，並 根據所述校驗數據塊獲得所述待傳輸數據。採用所述校驗數據塊，對傳輸數據進行糾錯處 理，提高了數據傳輸的準確性。上述網絡隔離系統優選的一種技術方案，所述發送控制器將所述校驗數據塊進行 Base64編碼處理，形成所述隔離設備能夠傳輸的形式。一種網絡隔離系統的數據傳輸方法，所述網絡隔離系統包括多個並行的隔離設 備，所述網絡隔離系統的數據傳輸方法包括如下步驟將待傳輸數據進行處理，形成並行傳 輸的多路數據；將所述並行傳輸的多路數據分別進行文件籤名處理；根據所述隔離設備的 狀態配置文件，將經文件籤名處理後的多路數據由所述多個隔離設備進行並行傳輸；接收 所述經文件籤名處理後的並行傳輸的多路數據，根據所述文件籤名分別判斷各路數據是否 傳輸正確，若各路數據均傳輸正確，則將所述並行傳輸的多路數據處理成所述待傳輸數據； 若各路數據中有傳輸錯誤，則更新隔離設備的狀態配置文件，用備用隔離設備替換數據傳 輸出錯的隔離設備。上述網絡隔離系統的數據傳輸方法優選的一種技術方案，採用信息-摘要算法對 多路數據分別進行文件籤名處理。上述網絡隔離系統的數據傳輸方法優選的一種技術方案，所述多個隔離設備包括多個常用隔離設備、多個備用隔離設備以及一個逆向隔離設備，所述配置文件由多個數字 組成，所述數字分別對應所述隔離設備的正常傳輸狀態、正常備用狀態、異常狀態和逆向傳 輸狀態。上述網絡隔離系統的數據傳輸方法優選的一種技術方案，所述多路數據由所述常 用隔離設備傳輸，所述隔離設備的狀態配置文件由所述逆向隔離設備傳輸，若所述常用隔 離設備中有數據傳輸錯誤，則利用所述備用隔離設備替換出錯的常用隔離設備傳輸。上述網絡隔離系統的數據傳輸方法優選的一種技術方案，將所述待傳輸數據分割 處理成數據塊進行並行傳輸，若各路數據均傳輸正確，則將所述並行傳輸的多路數據塊合 並處理成所述待傳輸數據。上述網絡隔離系統的數據傳輸方法優選的一種技術方案，將所述待傳輸數據進行 鏡像複製處理，若各路數據均傳輸正確，則根據多數原則選擇獲得所述待傳輸數據。上述網絡隔離系統的數據傳輸方法優選的一種技術方案，將所述待傳輸數據分割 成多個數據塊並計算得出校驗數據塊，若各路數據均傳輸正確，則將所述並行傳輸的數據 塊合併處理形成所述待傳輸數據；若各路數據中有傳輸錯誤，則利用所述校驗數據塊進行 糾錯處理，形成所述待傳輸數據，然後更新所述隔離設備的狀態配置文件。上述網絡隔離系統的數據傳輸方法優選的一種技術方案，對所述校驗數據塊進行 Base64編碼處理，形成所述隔離設備能夠傳輸的形式。與現有技術相比，本發明的網絡隔離系統通過讓多個隔離設備同時並行進行數據 傳輸，在保證安全性的同時，以提高數據在網絡間的整體傳輸速度。本發明的網絡隔離系統 數據傳輸方法將數據進行並行傳輸且引入數據糾錯功能，提高了數據傳輸速率且避免突發 性傳輸錯誤的發生。


圖1是現有技術的一種網絡隔離系統的結構示意圖。圖2是現有技術的另一種網絡隔離系統的結構示意圖。圖3是本發明第一實施方式的網絡隔離系統的結構示意圖。圖4是圖3所示的網絡隔離系統的數據傳輸示意圖。圖5是本發明第二實施方式的網絡隔離系統的結構示意圖。圖6是圖5所示的網絡隔離系統的數據傳輸示意圖。圖7是圖5所示的網絡隔離系統的隔離設備狀態的配置文件示意圖。圖8是圖5所示的網絡隔離系統的發送控制器的數據處理流程圖。圖9是圖5所示的網絡隔離系統的接收控制器的數據處理流程圖。
具體實施例方式為使本發明的目的、技術方案和優點更加清楚，下面結合附圖對本發明作進一步 的詳細描述。請參閱圖3，圖3是本發明第一實施方式的網絡隔離系統的結構示意圖。所述網絡 隔離系統10包括發送控制器11、多個發送代理器13、多個並行設置的隔離設備15、多個接 收代理器17以及接收控制器19。所述每個所述隔離設備15的一端經由一個發送代理器
613連接所述發送控制器11，每個所述隔離設備15的另一端經由一接收代理器17連接所述 接收控制器19。優選的，每一個所述隔離設備15僅與一個發送代理器13和一個接收代理 器17連接。所述發送控制器11用於將待傳輸數據進行處理，形成並行傳輸的多路數據。所述 隔離設備15用於傳輸所述需並行傳輸的數據。所述接收控制器19用於接收並處理所述並 行傳輸的數據，以獲得所述發送控制器11處理前的所述待傳輸數據。優選的，所述隔離設 備15為正向隔離設備或者反向隔離設備。請一併參閱圖4，圖4是圖3所示的網絡隔離系統10的數據傳輸示意圖。由圖可 見，當所述發送控制器11接收到數據(文件)A後，按照發送控制器11設定的規則將數據A 進行處理，得出數據Al、數據A2、…、數據An，這η個數據經所述發送代理器13、隔離設備 15和接收代理器17進行並行傳輸，然後由所述接收控制器19按照設定的規則對這η個數 據進行處理，還原出數據(文件)Α。下面，分三種情況詳細介紹所述網絡隔離系統10的運作原理1.沒有容錯設計的網絡隔離系統10的運作原理要發送數據A時，所述發送控制器11將數據A分割成多個數據塊，分別為數據塊 Al、數據塊Α2、…、數據塊An，這裡數據A=數據塊Al+數據塊Α2+··· +數據塊An。所述數 據塊Al、數據塊A2、…、數據塊An分別發送到所述隔離設備15的發送代理器13中，然後 經由各隔離設備15進行並行傳輸。所述並行傳輸的數據塊Al、A2、…、An由所述隔離設 備15的接收代理器17接收，然後由所述接收控制器19將這些數據塊拼起來，還原出數據 A。這樣，數據A通過所述隔離設備15進行並行傳輸，有助於提高經所述網絡隔離系統10 的網絡傳輸性能。不過，由於本方法沒有傳輸冗餘數據(如校驗數據)，因此沒有數據容錯 能力。所述任何一個隔離設備15傳輸數據出錯就可能導致所述網絡隔離系統10傳輸數據 的出錯。2.相互鏡像傳輸的網絡隔離系統10的運作原理要發送數據A時，所述發送控制器11將數據A拷貝成多份，為了方便起見，我們稱 為數據Al、數據A2、…、數據An，這裡數據A=數據Al =數據A2=…=數據An。所述數 據Al、數據A2、…、數據An分別發送到所述隔離設備15的發送代理器13中，然後經由各 隔離設備15進行並行傳輸。所述並行傳輸的數據Al、A2、…、An由所述隔離設備15的接 收代理器17接收，然後由所述接收控制器19將這些數據進行比較。如果各數據均相同，則 輸出數據A ；如果數據存在不同，則根據少數服從多數原則輸出數據A。本方法提供了強有 力的數據傳輸上的容錯能力，但不能提高所述網絡隔離系統10的傳輸帶寬和吞吐量。3.並行傳輸及校驗的網絡隔離系統10的運作原理要發送數據A時，所述發送控制器11將數據A分割成m-1個數據塊，分別為數據 塊Al、數據塊A2、…、數據塊Am-1，並根據數據Al、數據塊A2、…、數據塊Am-I，計算得出 校驗數據塊Am、數據塊Am+1、…、數據塊An。這裡數據A =數據塊Al+數據塊A2+··· +數據 塊Am-1。優選的，所述校驗數據塊Am、Am+l、…、An的生成可採用漢明碼校驗，或簡單的異 或邏輯運算。若採用異或邏輯運算，則校驗數據塊只需要一個即可。所述數據塊Al、數據塊 A2、…、數據塊Am-I和所述校驗數據塊Am、Am+1、…、An發送到所述隔離設備15的發送 代理器13中，然後經由各隔離設備15進行並行傳輸。所述並行傳輸的數據塊A1、A2、…、Am-I和所述校驗數據塊Απι、Απι+1、···、Αη由所述隔離設備15的接收代理器17接收，然後由 所述接收控制器19根據所述校驗數據塊Am、Am+1、…、An對所述數據塊Al、A2、…、Am-I 進行校驗，並根據預定規則對所述數據塊A1、A2、…、Am-I進行糾錯，最後根據規則將糾錯 後的數據塊拼起來，還原出數據A。本方法通過使用多個隔離設備15並行來傳輸數據，提 高了傳輸速率，提高了數據的吞吐量。同時借用獨立冗餘磁碟陣列(Redundant Array of Independent Disk, RAID)的技術思想，提出基於冗餘隔離設備陣列(Redundant Array of Network Isolation Device,RANID)的網絡隔離系統，通過在隔離設備15上傳輸冗餘數據 (如校驗數據)，將待傳輸數據和校驗數據一起並行傳輸，以確保傳輸過程的可容錯性，從 而大大提高了所述網絡隔離系統10的容錯度，提高了所述網絡隔離系統10的數據傳輸的 穩定性。更進一步，經過長期的運行經驗來看，對於出現過一次突發性傳輸錯誤的隔離設 備，短期內再次出現突發性傳輸錯誤的概率會大大提高。也就是說，出現過突發性傳輸錯 誤的隔離設備在短期內就變得運行不夠穩定。利用這一特點，將出現傳輸錯誤的隔離設 備的運行可靠性的級別進行降級，由備用的隔離設備代替出錯的隔離設備對數據進行傳 輸。基於隔離設備的運行狀態在線調整傳輸通道，使得用於數據傳輸的隔離裝置的狀態始 終處於比較好的狀態，從而形成本發明基於隔離設備狀態在線調整的冗餘隔離設備陣列 (Status-monitoring-based Redundant Array of Network Isolation Device,SRANID)的 網絡隔離系統。請參閱圖5，圖5是本發明第二實施方式的網絡隔離系統的結構示意圖。所述網絡 隔離系統20包括發送控制器21、發送代理器23、第一隔離設備24、第二隔離設備25、第三 隔離設備26、接收代理器27以及接收控制器29。優選的，所述第一隔離設備24是常用隔 離設備，所述第二隔離設備25是備用隔離設備，所述第三隔離設備26是逆向隔離設備。所 述第一、第二、第三隔離設備24、25、26並行連接。所述第一、第二隔離設備24、25的一端均 經由一發送代理器23連接所述發送控制器21，所述第一、第二隔離設備24、25的另一端均 經由一接收代理器27連接所述接收控制器29，所述第三隔離設備26的一端經由一發送代 理器23連接所述接收控制器29，所述第三隔離設備26的另一端經由一接收代理器27連接 所述發送控制器21。優選的，每一個所述第一、第二、第三隔離設備24、25、26僅與一個發送 代理器23和一個接收代理器27連接。所述發送控制器21用於將待傳輸數據進行處理，形成並行傳輸的多路數據。所述 第一隔離設備23用於在正常狀態下傳輸所述需並行傳輸的數據，所述第二隔離設備25用 於替換出現數據傳輸錯誤的所述第一隔離設備24，所述第三隔離設備設置26用於傳輸所 述第一、第二、第三隔離設備24、25、26的運行狀態的配置文件。所述接收控制器29用於接 收並處理所述並行傳輸的數據，以獲得所述發送控制器21處理前的所述待傳輸數據。優選 的，所述第一、第二隔離設備24、25為正向隔離設備，所述第三隔離設備26為反向隔離設 備，或者所述第一、第二隔離設備24、25為反向隔離設備，所述第三隔離設備26為正向隔離 設備。請參閱圖6，圖6是圖5所示的網絡隔離系統20的數據傳輸示意圖。當所述發送控 制器21接收到數據(文件)A後，按照所述發送控制器21預先設定的規則將數據A進行處 理，得出數據Al、數據A2、···、數據Am，並對數據Al、數據A2、···、數據Am分別使用信息-摘
8要算法(message-digest algorithm 5，md5)進行文件籤名處理，得出數據Al的md5、數據 A2的md5、…、數據Am的md5文件籤名。然後將這m個md5文件籤名連同m個數據分別通 過所述第一隔離設備24進行並行傳輸。所述接收控制器29收到數據Al、數據Al的md5、 數據A2、數據A2的md5、···、數據Am、數據Am的md5文件籤名後，首先利用各數據的md5籤 名驗證該數據的正確性(是否與傳輸的原數據相同)，如果m個數據均校驗正確，說明傳輸 該數據的第一隔離設備24傳輸狀態正常。然後由所述接收控制器29按照設定的規則對這 m個數據進行處理，還原出數據(文件)A。如果m個數據中有傳輸出錯，說明傳輸該數據的 第一隔離設備24傳輸狀態異常，發生了突發性錯誤。所述接收控制器29會將m個所述第 一隔離設備24的運行狀態信息發送到所述第三隔離設備26的發送代理器23，並由所述第 三隔離設備26傳輸給所述第三隔離設備26的接收代理器27。所述發送控制器21會根據 所述第三隔離設備26的接收代理器27接收到的m個第一隔離設備23的運行狀態信息，決 定是否需要調整正在使用的m個第一隔離設備24。若需要調整，則用第二隔離設備25代替 出錯的第一隔離設備24。請參閱圖7，圖7是圖5所示的網絡隔離系統20的第一、第二、第三隔離設備24、 25,26狀態的配置文件示意圖。所述配置文件由m+x+1個數字組成，m、x、1分別對應所述第
一、第二、第三隔離設備24、25、26的數量。由m+x+1個數字組成的配置文件分別對應m+x+1 個隔離設備的運行狀態。優選的，每個數的取值範圍為1，0，9和-1，分別代表所述第一、第
二、第三隔離設備24、25、26處於正常傳輸狀態、正常備用狀態、異常狀態和逆向傳輸狀態。 逆向傳輸狀態對應所述第三隔離設備26的位置。如配置文件的第i位數為1表示第i個 隔離裝置處於正常傳輸狀態，配置文件的第j位數為9表示第j個隔離裝置處於異常狀態。 當所述發送控制器21和接收控制器29在啟動時，讀取配置文件，記錄m+x+1個隔離設備的 狀態到存儲器中。當然，第三隔離設備26的個數也可以由多個構成，傳輸方式同樣可以類 比第一隔離設備24的傳輸方式。下面，分三種情況詳細介紹所述網絡隔離系統20的運作原理1.沒有容錯設計的網絡隔離系統20的運作原理要發送數據A時，所述發送控制器21將數據A分割成多個數據塊，分別為數據塊 Al、數據塊A2、···、數據塊Am，同時計算出數據塊Al的md5文件籤名、數據塊A2的md5文件 籤名、…、數據塊Am的md5文件籤名，這裡數據A =數據塊Al+數據塊A2+…+數據塊Am。 所述數據塊Al、數據塊A2、…、數據塊Am及其md5文件籤名分別發送到所述第一隔離設備 24的發送代理器23中，然後經由第一隔離設備24進行並行傳輸。所述並行傳輸的數據塊 A1、A2、…、Am及其md5文件籤名由所述第一隔離設備24的接收代理器27接收，然後根據 md5文件籤名驗證各第一隔離設備24的數據傳輸是否有誤，然後由所述接收控制器29將這 些數據塊拼起來，還原出數據A。若利用md5文件籤名確定某個第一隔離設備24的數據傳 輸有誤，則採用第二隔離設備25替換出錯的第一隔離設備24，以避免數據傳輸的錯誤。由 於數據A通過所述第一隔離設備24進行並行傳輸，有助於提高經所述網絡隔離系統20的 網絡傳輸性能。2.相互鏡像傳輸的網絡隔離系統20的運作原理要發送數據A時，所述發送控制器21將數據A拷貝成多份，為了方便起見，我們 稱為數據Al、數據A2、…、數據Am，同時計算出數據Al的md5文件籤名、數據A2的md5文
9件籤名、…、數據Am的md5文件籤名，這裡數據A=數據Al=數據A2=…=數據Am。所 述數據Al、數據A2、…、數據Am及其md5文件籤名分組發送到所述第一隔離設備24的發 送代理器23中，然後經由所述第一隔離設備23進行並行傳輸。所述並行傳輸的數據Al、 A2、…、Am及其md5文件籤名由所述第一隔離設備24的接收代理器27接收，然後根據md5 文件籤名驗證各第一隔離設備24的數據傳輸是否有誤，然後由所述接收控制器29將這些 數據進行比較。如果各數據均相同，則輸出數據A ；如果數據存在不同，則根據少數服從多 數原則輸出數據A。若利用md5文件籤名確定某個第一隔離設備24的數據傳輸有誤，則採 用第二隔離設備25替換出錯的第一隔離設備24，以避免數據傳輸的錯誤。本方法沒有傳輸 冗餘數據(如校驗數據)，因此沒有數據容錯能力。3.並行傳輸及校驗的網絡隔離系統10的運作原理要發送數據A時，所述發送控制器21將數據A分割成ρ個數據塊，分別為數據塊 Al、數據塊A2、···、數據塊Ap，同時計算出數據塊Al的md5文件籤名、數據塊A2的md5文件 籤名、…、數據塊Ap的md5文件籤名，這裡數據A =數據塊Al+數據塊A2+…+數據塊Ap。 根據數據塊Al、數據塊A2、…塊數據Ap，計算得出校驗數據塊Ap+1、…、數據塊Am。優選 的，所述校驗數據塊Ap+1、…、Am的生成可採用漢明碼校驗，或簡單的異或邏輯運算。若採 用異或邏輯運算，則校驗數據塊只需要一個即可。所述數據塊Al、數據塊A2、···、數據塊Ap 及其md5文件籤名和所述校驗數據塊Ap+1、…、Am發送到所述第一隔離設備24的發送代 理器23中，然後經由第一隔離設備24進行並行傳輸。所述並行傳輸的數據塊A1、A2、…、 Ap及其md5文件籤名和所述校驗數據塊Ap+1、…、Am由所述第一隔離設備24的接收代理 器27接收，然後根據md5文件籤名驗證各第一隔離設備24的數據傳輸是否有誤。所述接 收控制器29根據所述校驗數據塊Ap+1、…、Am對所述數據塊Al、A2、…、Ap進行校驗，並 根據預定規則對所述數據塊A1、A2、…、Ap進行糾錯，最後根據規則將糾錯後的數據塊拼起 來，還原出數據A。若利用md5文件籤名確定某個第一隔離設備24的數據傳輸有誤，則採用 第二隔離設備25替換出錯的第一隔離設備24。這樣，數據A通過所述第一隔離設備24進 行並行傳輸，有助於提高經所述網絡隔離系統20的網絡傳輸性能。通過在第一隔離設備24 上傳輸冗餘數據(如校驗數據)，將待傳輸數據和校驗數據一起並行傳輸，以確保傳輸過程 的可容錯性，從而大大提高了所述網絡隔離系統20的容錯度，提高了所述網絡隔離系統20 的數據傳輸的穩定性。本發明第二實施方式的網絡隔離系統20採用md5文件籤名驗證各並行傳輸的數 據的正確性。由於md5算法被廣泛用於加密和解密技術上，它是文件的「數字指紋」。任何 一個文件，無論是可執行程序、圖像文件、臨時文件或者其他任何類型的文件，都可生成一 個獨一無二的md5信息值，並且如果這個文件被修改過，它的md5值也將隨之改變。因此， 通過對比同一文件的md5值，來校驗這個文件是否被「篡改」過。若某一第一隔離設備24的 數據傳輸有誤，則更新隔離設備的狀態配置文件，採用第二隔離設備25替換出錯的第一隔 離設備24，以避免數據傳輸的錯誤。本發明第二實施方式的網絡隔離系統20的數據傳輸方法，主要包括如下步驟將 待傳輸數據進行處理，形成並行傳輸的多路數據；將所述並行傳輸的多路數據分別進行文 件籤名處理；根據所述隔離設備的狀態配置文件，將經文件籤名處理後的多路數據由所述 多個隔離設備進行並行傳輸；接收所述經文件籤名處理後的並行傳輸的多路數據，根據所述文件籤名分別判斷各路數據是否傳輸正確，若各路數據均傳輸正確，則將所述並行傳輸 的多路數據處理成所述待傳輸數據；若各路數據中有傳輸錯誤，則更新隔離設備的狀態配 置文件，用備用隔離設備替換數據傳輸出錯的隔離設備。下面結合圖8和圖9詳細說明本發明第二實施方式的網絡隔離系統20的數據傳 輸方法。圖8是圖5所示的網絡隔離系統20的發送控制器21的數據處理流程圖。所述發 送控制器21發送數據的過程主要包括如下步驟步驟B 1 啟動所述發送控制器21，讀取所述第一、第二、第三隔離設備24、25、26 的配置文件到所述發送控制器21的存儲器中。步驟B2 所述發送控制器21監聽(判斷)是否存在需要傳輸的數據，若不存在需 要傳輸的數據，則執行步驟B2 ；若存在需要傳輸的數據，則執行步驟B3。步驟B3 將所述需要傳輸的數據放入緩衝隊列中。步驟B4 所述發送控制器21判斷所述緩衝隊列是否為空，若所述緩衝隊列為空， 則執行步驟B4 ；若所述緩衝隊列不為空，則執行步驟B5。步驟B5 從所述緩衝隊列中取出一個待傳輸的數據(文件)，採用分割、複製或者 其他方法將所述待傳輸數據A進行處理，形成並行傳輸的數據Al、數據A2、···、數據Am。同 時，利用md5算法計算出數據Al的md5文件籤名、數據A2的md5文件籤名、…、數據Am的 md5文件籤名。步驟B6 將所述數據Al、數據A2、…、數據Am及數據Al的md5文件籤名、數據A2 的md5文件籤名、…、數據Am的md5文件籤名發送到在線傳輸的第一、第二隔離設備24、25 進行並行傳輸。步驟B7 所述發送控制器21監測由所述接收控制器29經所述第三隔離設備26發 送的隔離設備的狀態配置文件，判斷所述狀態配置文件中的信息與當前發送控制器21的 存儲器中的狀態配置文件中的信息是否一致。若信息一致，則執行步驟B4 ；若信息不一致， 則執行步驟B8。步驟B8 按照接收到的隔離設備的狀態配置文件更新所述發送控制器21的存儲 器中的狀態配置文件信息。並且用所述第二隔離設備25替換發生數據傳輸錯誤的隔離設 備進行數據傳輸。請參閱圖9，圖9是圖5所示的網絡隔離系統20的接收控制器29的數據處理流程 圖。所述接收控制器29接收並處理數據的過程主要包括如下步驟步驟Cl 啟動所述接收控制器29，讀取所述第一、第二、第三隔離設備24、25、26的 配置文件到所述接收控制器29的存儲器中。步驟C2 所述接收控制器29監聽(判斷)在線傳輸的所述第一、第二隔離設備24、 25中是否有數據傳輸，若沒有數據傳輸，則執行步驟C2 ；若有數據傳輸，則執行步驟C3。步驟C3 從在線傳輸的所述第一、第二隔離設備24、25中分別接收上述步驟B5 中傳輸的數據Al、數據A2、…、數據Am及數據Al的md5文件籤名、數據A2的md5文件籤 名、…、數據塊Am的md5文件籤名。步驟C4 通過Al的md5文件籤名、數據塊A2的md5文件籤名、…、數據Am的md5 文件籤名，驗證所述數據Al、數據A2、…、數據Am的傳輸是否正確，即判斷所述在線運行的 第一、第二隔離設備24、25是否運行正常。若所述數據Al、數據A2、…、數據Am沒有傳輸
11錯誤，則按照預先設定的拼接規則，將這m個數據拼接形成數據A，然後執行步驟C2 ；若所述 數據Al、數據A2、…、數據Am中有傳輸錯誤，則執行步驟C5。步驟C5 找到md5文件籤名校驗不正確的數據對應的隔離設備，按照對應位置修 改隔離設備狀態，並同時更新隔離設備狀態的配置文件。步驟C6 在第二隔離設備25中，選出與出錯的在線隔離設備相同個數的隔離設備 作為在線傳輸的隔離設備，按照對應位置修改隔離設備狀態，並同時更新隔離設備狀態的 配置文件。步驟C7 將更新過得隔離設備狀態的配置文件發送到所述第三隔離設備26。更進一步的，在上述步驟B5中形成並行傳輸的多路數據Al、數據A2、···、數據Am 和數據Al的md5文件籤名、數據A2的md5文件籤名、…、數據Am的md5文件籤名後，根據 數據Al、數據A2、…數據Am，計算得出校驗數據。在步驟C4中，根據所述校驗數據對所述 數據A1、A2、…、Ap進行校驗，並根據預定規則對所述數據塊Al、A2、…、Am進行糾錯，從 而使網絡隔離系統20的數據傳輸方法具有糾錯的功能，從而確保傳輸過程的可容錯性，提 高了所述網絡隔離系統20數據傳輸的穩定性。在一些情況下，對於經過運算得出的校驗數據如果不能直接通過隔離設備，所述 發送控制器21發送這些校驗數據時，可通過對原數據的二進位代碼進行Base64編碼改造， 形成隔離設備可以通過的文本形式。Base64編碼要求把3個8位字節(3*8 = 24)轉化為 4個6位的字節(4*6 = 24)，之後在6位的前面補兩個0，形成8位一個字節的形式，當然在 接收控制器29上也需做相應的逆操作。在不偏離本發明的精神和範圍的情況下還可以構成許多有很大差別的實施例。應 當理解，除了如所附的權利要求所限定的，本發明不限於在說明書中所述的具體實施例。
權利要求
一種網絡隔離系統，其特徵在於，包括發送控制器，用於將待傳輸數據進行處理，形成並行傳輸的多路數據；多個第一隔離設備，用於傳輸所述需並行傳輸的數據；接收控制器，用於接收並處理所述並行傳輸的數據，以獲得所述發送控制器處理前的所述待傳輸數據。
2.如權利要求1所述的網絡隔離系統，其特徵在於，所述網絡隔離系統還包括多個第 二隔離設備，所述第二隔離設備設置於所述發送控制器和所述接收控制器之間，用於替換 出現數據傳輸錯誤的第一隔離設備。
3.如權利要求2所述的網絡隔離系統，其特徵在於，所述網絡隔離系統還包括第三隔 離設備，所述第三隔離設備設置於所述發送控制器和所述接收控制器之間，用於傳輸所述 第一、第二、第三隔離設備的運行狀態的配置文件，所述發送控制器根據所述配置文件用所 述第二隔離設備替換出現數據傳輸錯誤的第一隔離設備。
4.如權利要求3所述的網絡隔離系統，其特徵在於，所述發送控制器將待傳輸數據進 行信息-摘要算法的文件籤名處理，所述接收控制器利用所述文件籤名驗證數據傳輸的正 確性。
5.如權利要求3所述的網絡隔離系統，其特徵在於，所述配置文件由多個數字組成，所 述數字分別對應所述第一、第二、第三隔離設備的運行狀態。
6.如權利要求3所述的網絡隔離系統，其特徵在於，所述第一、第二隔離設備為正向 隔離設備，所述第三隔離設備為反向隔離設備，或者所述第一、第二隔離設備為反向隔離設 備，所述第三隔離設備為正向隔離設備。
7.如權利要求1到6中任意一項所述的網絡隔離系統，其特徵在於，所述發送控制器 將待傳輸數據分割處理成數據塊進行並行傳輸，所述接收控制器接收所述並行傳輸的數據 塊，並合併處理成所述待傳輸數據。
8.如權利要求1到6中任意一項所述的網絡隔離系統，其特徵在於，所述發送控制器將 待傳輸數據鏡像複製處理，所述接收控制器接收所述鏡像數據，並根據多數原則獲得所述 待傳輸數據。
9.如權利要求1到6中任意一項所述的網絡隔離系統，其特徵在於，所述發送控制器將 待傳輸數據分割成多個數據塊並計算得出校驗數據塊，所述接收控制器接收所述數據塊和 所述校驗數據塊，並根據所述校驗數據塊校驗以獲得所述待傳輸數據。
10.如權利要求9所述的網絡隔離系統，其特徵在於，所述發送控制器將所述校驗數據 塊進行Base64編碼處理，形成所述隔離設備能夠傳輸的形式。
11.一種網絡隔離系統的數據傳輸方法，其特徵在於，所述網絡隔離系統包括多個並行 的隔離設備，所述網絡隔離系統的數據傳輸方法包括如下步驟將待傳輸數據進行處理，形成並行傳輸的多路數據；將所述並行傳輸的多路數據分別進行文件籤名處理；根據所述隔離設備的狀態配置文件，將經文件籤名處理後的多路數據由所述多個隔離 設備進行並行傳輸；接收所述經文件籤名處理後的並行傳輸的多路數據，根據所述文件籤名分別判斷各路 數據是否傳輸正確，若各路數據均傳輸正確，則將所述並行傳輸的多路數據處理成所述待傳輸數據；若各路數據中有傳輸錯誤，則更新隔離設備的狀態配置文件，用備用隔離設備替 換數據傳輸出錯的隔離設備。
12.如權利要求11所述的網絡隔離系統的數據傳輸方法，其特徵在於，採用信息-摘要 算法對多路數據分別進行文件籤名處理。
13.如權利要求11所述的網絡隔離系統的數據傳輸方法，其特徵在於，所述多個隔離 設備包括多個常用隔離設備、多個備用隔離設備以及一個逆向隔離設備，所述配置文件由 多個數字組成，所述數字分別對應所述隔離設備的正常傳輸狀態、正常備用狀態、異常狀態 和逆向傳輸狀態。
14.如權利要求13所述的網絡隔離系統的數據傳輸方法，其特徵在於，所述多路數據 由所述常用隔離設備傳輸，所述隔離設備的狀態配置文件由所述逆向隔離設備傳輸，若所 述常用隔離設備中有數據傳輸錯誤，則利用所述備用隔離設備替換出錯的常用隔離設備傳 輸。
15.如權利要求11到14中任意一項所述的網絡隔離系統的數據傳輸方法，其特徵在 於，將所述待傳輸數據分割處理成數據塊進行並行傳輸，若各路數據均傳輸正確，則將所述 並行傳輸的多路數據塊合併處理成所述待傳輸數據。
16.如權利要求11到14中任意一項所述的網絡隔離系統的數據傳輸方法，其特徵在 於，將所述待傳輸數據進行鏡像複製處理，若各路數據均傳輸正確，則根據多數原則選擇獲 得所述待傳輸數據。
17.如權利要求11到14中任意一項所述的網絡隔離系統的數據傳輸方法，其特徵在 於，將所述待傳輸數據分割成多個數據塊並計算得出校驗數據塊，若各路數據均傳輸正確， 則將所述並行傳輸的數據塊合併處理形成所述待傳輸數據；若各路數據中有傳輸錯誤，則 利用所述校驗數據塊進行糾錯處理，形成所述待傳輸數據，然後更新所述隔離設備的狀態 配置文件。
18.如權利要求17所述的網絡隔離系統的數據傳輸方法，其特徵在於，對所述校驗數 據塊進行Base64編碼處理，形成所述隔離設備能夠傳輸的形式。
全文摘要
本發明涉及一種網絡隔離系統及其數據傳輸方法。所述網絡隔離系統包括發送控制器，用於將待傳輸數據進行處理，形成並行傳輸的多路數據；多個第一隔離設備，用於傳輸所述需並行傳輸的數據；接收控制器，用於接收並處理所述並行傳輸的數據，以獲得所述發送控制器處理前的所述待傳輸數據。本發明的網絡隔離系統及其數據傳輸方法能夠提高數據傳輸速率和數據傳輸的穩定性。
文檔編號H04L29/06GK101902479SQ201010246309
公開日2010年12月1日 申請日期2010年8月5日 優先權日2010年8月5日
發明者勵剛, 張亮, 張磊, 王亮, 葛敏輝 申請人:華東電網有限公司