一种单向传输方法、装置、计算机设备以及可读存储介质与流程

1.本发明涉及网络空间安全技术领域，具体为一种单向传输方法、装置、计算机设备以及可读存储介质。


背景技术：

2.近年来国内国外很多行业都开始重视内网的安全问题，譬如银行系统、税务系统等与外部网络之间的安全问题。因此单向传输的方式开始在很多场合使用，通过各种方法保证数据只能从低密级别网络流向高密级别网络，而高密级别网络中的数据不能流向低密级别网络。
3.网络单向传输方法是网络安全领域里十分常见的内网保护方法，通过单向数据传输可以实现数据的单向流动，即数据的发送端只能发送数据，而不能接收数据。通过采用网络单向传输方法，可以确保内网不会由于受到黑客的攻击而将敏感数据传输到外网，从而保证了内网的网络安全。
4.目前已经有了很多种不同的单向网络传输技术，如一些单向传输技术通过设置防火墙来实现，由于这种方法不是通过物理隔离的方式，而是通过软件屏蔽外网的攻击，所以若是恶意攻击者攻陷了防火墙，就可能导致内网的瘫痪。还有一些单向传输技术采用网闸从逻辑上对数据进行隔离，但是此时内网仍然可以通过网闸与外网进行交互，仍会有数据泄露的风险。并且现有的单向网络传输技术只关注数据的单向流动，只注意了高密级别网络数据的隐私性，却忽视了高密级别网络所接收到的数据的安全问题。除此以外，现有的单向传输技术往往将网卡与内网的路由器相连，如果恶意攻击者通过恶意程序控制了路由器，就可能导致内网瘫痪，另外，一些恶意攻击者可能会影响数据隔离传输系统的逻辑，给之后恶意数据的传入留下后门，因此，传统单向网络传输技术的安全性还待提高。


技术实现要素：

5.基于此，有必要针对目前的单向隔离传输方法由于传入危险数据，导致内网安全受到威胁的问题，本发明提供了一种单向传输方法、装置、计算机设备以及可读存储介质。
6.在本发明的第一方面，本发明提供了一种单向传输方法，所述单向传输方法包括：
7.接收和存储外部网络传输的数据；
8.将满足第一预设条件的数据通过光纤网络单向传输至隔离存储区；
9.将隔离存储区的数据通过usb接口传输至隔离主机；
10.其中，所述第一预设条件包括所接收的数据满足第二预设条件或/和所接收的数据满足第三预设条件。
11.优选的，本发明还对所述外部网络设置优先级，按照优先级顺序接收并读取对应外部网络的数据，按照所述优先级顺序存储所述对应外部网络的数据。
12.优选的，本发明中所接收的数据满足第二预设条件即为所接收的数据的目的地址为隔离存储区；所接收的数据满足第三预设条件为所接收的数据的源地址为白名单地址。
13.优选的，所述将满足第一预设条件的数据通过光纤网络单向传输至隔离存储区之前还包括：
14.根据外部网络传输数据量与光纤传输剩余带宽的关系对所述数据的传输过程进行处理：
15.在所述外部网络传输数据量高于所述光纤传输剩余带宽的情况下，暂时存储外部网络传入的数据，等待光纤空闲；和/或在所述外部网络传输数据量低于所述光纤传输剩余带宽的情况下，等待数据，当数据包的数量达到第一阈值后再通过光纤传输。
16.在本发明的第二方面，本发明还提供了一种单向传输装置，所述单向传输装置包括：
17.外部网络接收模块：用于接收外部网络传输的数据；
18.隔离数据单向传输模块，用于将满足第一预设条件的数据通过光纤网络单向传输至隔离存储区；
19.隔离数据输出模块，用于通过usb接口将所述隔离数据单向传输模块处理后的数据发往隔离主机。
20.优选的，本发明所述单向传输装置还包括：
21.非隔离数据单向传输模块，用于将不满足第一预设条件的数据通过光纤网络单向传输至非隔离存储区；
22.非隔离数据输出模块，用于将所述非隔离数据单向传输模块处理后的数据发往下一网络节点。
23.优选的，所述单向传输装置还包括：
24.数据传输处理模块，用于处理不同外部网络传入的数据，以及对数据的传入和输出时机进行调整。
25.进一步的，所述数据传输处理模块还可以包括：
26.根据外部网络传输数据量与光纤传输剩余带宽的关系对所述数据的传输过程进行处理：
27.在所述外部网络传输数据量高于所述光纤传输剩余带宽的情况下，暂时存储外部网络传入的数据，等待光纤空闲；和/或在所述外部网络传输数据量低于所述光纤传输剩余带宽的情况下，等待数据，当数据包的数量达到第一阈值后再通过光纤传输。
28.在本发明的第三方面，本发明还提供了一种计算机设备，该计算机设备包括处理器，存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如本发明第一方面所述的一种单向传输方法的步骤。
29.在本发明的第四方面，本发明还提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如本发明第一方面所述的一种单向传输方法的步骤。
30.本发明的有益效果：
31.上述单向传输方法、装置、计算机设备以及可读存储介质，利用光纤网络单向传播，避免了出现当网络密级不同时简单互联而导致泄密的情况，同时使用usb接口传输数据，保证内网网络安全不会受到危险数据的影响，使得内网的通信安全得到更有效的保障。
附图说明
32.图1是本发明实施例中一种单向传输方法的实施流程图；
33.图2是本发明优选实施例的一种单向传输方法的实施流程图；
34.图3是本发明实施例中一种单向传输装置的结构示意图；
35.图4是本发明实施例中一种单向传输装置的结构示意图；
36.图5为一个实施例中一种单向传输终端的结构示意图；
37.图6是本发明实施例中的一种计算机设备的结构图。
具体实施方式
38.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
39.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步地详细描述。
40.本技术所使用的术语“第一”、“第二”、“第三”等可在本文中用于描述各种概念，但除非特别说明，这些概念不受这些术语限制。这些术语仅用于将一个概念与另一个概念区分。举例来说，在不脱离本技术的范围的情况下，可以将第二预设条件称为第三预设条件，且类似地，可将第三预设条件称为第二预设条件。
41.本技术所使用的术语“多个”、“每个”、“任一”，多个包括两个或两个以上，而每个是指对应的多个中的每一个，任一是指多个中的任意一个。举例来说，多个元素包括3个元素，而每个是指这3个元素中的每一个元素，任一是指这3个元素中的任意一个，可以是第一个，可以是第二个、也可以是第三个。
42.图1是本发明实施例中一种单向传输方法的实施流程图，该方法可以应用于终端，如图1所示：
43.102、接收和存储外部网络传输的数据；
44.在一些实施例中，其中，所述外部网络是隔离存储区和非隔离存储区以外的网络，所述外部网络包括有线网络或/和无线网络；其中有线网络可以指采用同轴电缆、双绞线和光纤等有线方式来连接的网络，无线网络是指无需布线即无线方式就能实现各种通信设备互联的网络。每种外部网络都可以采用专用的接口接入，例如，有线网络中可以采用有线网络接口接入，其中有线网络接口可以包括用于连接rg58同轴电缆的bnc连接头、用于连接utp电缆的rj
‑
45连接头以及用于连接aui电缆的aui连接头等；无线网络中接入方式根据具体的网络来确定，其中wifi信号由无线网卡接入，蜂窝通信信号由基带芯片接入、蓝牙信号由蓝牙芯片接入。
45.在本发明实施例中，所述外部网络可以指的是单个有线网络或者多种有线网络融合，也可以指的是单个无线网络或者多种无线网络融合，还可以指的是单个或多种有线网络与单个或多种无线网络融合的复合网络；例如，外部网络可以是同轴电缆接入网络、wifi网络、蜂窝通信网络、zigbee网络、以及蓝牙网络等有线网络与无线网络的组合，也可以是仅包含一种介质网络。
46.应理解，本技术实施例可以应用于各种通信系统，例如：全球移动通讯(globalsystem of mobile communication，gsm)系统、码分多址(code division multipleaccess，cdma)系统、宽带码分多址(wideband code division multiple access，wcdma)系统、通用分组无线业务(general packet radio service，gprs)、长期演进(long termevolution，lte)系统、先进的长期演进(advanced long term evolution，lte
‑
a)系统、通用移动通信系统(universal mobile telecommunication system，umts)、无线局域网(wireless local area networks，wlan)、无线保真(wireless fidelity，wifi)或下一代通信系统等，这里，下一代通信系统可以包括例如，第五代(fifth
‑
generation，5g)，第六代(sixth
‑
generation，6g)通信系统。
47.可以理解的是，本发明实施例中所应用的通信系统，其网卡、路由器等通信硬件可以是已完成配置的设备，也可以是通过相应的软件来进行通信控制。
48.在一些实施例中，所述外部网络传输的数据可以是有上述外部网络发送的信息、文件、报文以及数据包等相关内容，其中当所述外部网络使用了多种介质网络时，可以同时接收不同介质网络传输的数据，即在同一时间，可同时接收来自不同网络接口传输的数据。
49.在一些实施例中，对于这些来自不同网络接口传输的数据，本实施例可以按照预定的顺序对这些传输的数据进行读取，读取数据后按照该预定的顺序存入到对应的数据库或者其他存储设备中，举个例子，可以将外部网络传输的数据加入接收队列，然后从接收队列中依次读取数据并存储，接收队列为“先入先出”式的数据结构。
50.可以理解的是，对于先接收到的数据会排在队列前面从而被优先读取，当数据被读取后即出队列，而之后加入的数据会依次排在先接收的数据的后面，在先接收到的数据出队列后才会读取。
51.在另一些实施例中，对于这些来自不同网络接口传输的数据，本实施例可以对不同的网络接入设置不同的优先级，优先级高的网络传输的数据可以被优先读取和存储，举个例子在接收数据时，先读取并存储优先级更高的网络传输的数据。比如，在接收优先级较低的网络传输的数据时，如果有优先级更高的网络传入数据，则可以将正在接收的数据暂时中断并存储，然后记录中断位置，在将优先级高的网络传输的数据接收并存储完成后再继续读取并存储之前被中断的数据。
52.其中所述优先级可以按照数据密级分配，在一种实施例中，对高密级的数据分配更高的传输优先级。举个例子，可以将数据的密级分为a、b、c、d四个等级，它们的数据密级和数据传输优先级依次降低，即a级的数据密级最高，数据传输的优先度最高；d级的数据密级最低，数据传输的优先度最低。对于源地址为更高数据密级网络传入的数据，如来自更高级部门网络的数据，分配a级数据密级；对于源地址为相同数据密级网络传入的数据，如来自同级部门网络的数据，分配b级数据密级；对于源地址为更低数据密级网络传入的数据，如来自更低级部门网络的数据，分配c级数据密级；对于源地址为未识别网络传入的数据，分配d级数据密级。其中数据密级的来源为用户标记，用于比较数据密级的大小。
53.在一些实施例中，由于无线网络的开放性更高，对无线网络传入的数据分配更低的优先级，对有线网络传入的数据分配更高的优先级。本实施例可以按无线网络的最佳通信距离进行优先级的细分，通信距离越近，数据优先级越高，举个例子，在通信距离上wifi比蓝牙更长，因此对蓝牙网络传入的数据分配高于wi
‑
fi的处理优先级。另外，本实施例也
可以按无线网络的传输速度分配优先级，如zigbee的速率较低，对来自zigbee网络传入的数据分配低于wi
‑
fi、蓝牙网络传入数据的优先级。
54.在一些优选实施例中，本实施例还可以在固定的第一周期为所有网络分配相同的第一优先级，以第二周期获取有线网络和无线网络的负载信息和拓扑稳定情况，根据所述负载信息确定出中心网络，所述中心网络根据其负载信息生成第一正向优先级，根据其拓扑稳定情况生成第二正向优先级，将所述第一正向优先级以及所述第二正向优先级与第一优先级求和，更新中心网络的优先级，按照更新后的优先级读取和存储中心网络传输的数据，在对中心网络的读取过程中，继续获取剩余网络的负载信息和拓扑稳定情况，直至更新所有网络的优先级，并按照对应优先级读取和存储传输的数据。
55.一般而言，可以按照固定周期恢复每种网络的优先级，或者按照实际负载情况来恢复原网络的优先级，本实施例中考虑到负载通常是随机的，如果依靠前述的第二周期的负载情况来恢复网络优先级很容易导致部分网络一直处于与其并不匹配的优先级，因此本发明将所述第二正向优先级取反，并每隔第三周期逐步恢复网络的优先级，其中第一周期＞第二周期＞第三周期。
56.104、将满足第一预设条件的数据通过光纤网络单向传输至隔离存储区；
57.其中所述第一预设条件是为了对数据进行区分，从而能够划分出不同来源的数据，避免恶意数据被划分到隔离存储区中。
58.所述第一预设条件包括所接收的数据满足第二预设条件或/和所接收的数据满足第三预设条件。
59.在一些实施例中，所接收的数据满足第二预设条件为所接收的数据的目的地址为隔离存储区；其中目的地址为该数据所要发往的目的地址或服务。
60.在另一些实施例中，所接收的数据满足第三预设条件为所接收的数据的源地址为白名单地址；其中源地址为该数据的来源地址或服务。
61.其中，所述白名单地址为预先设置的数据来源，可以是用户、服务也可以是网络地址。
62.其中，所述单向传输指的是，光纤网络将需要传输的数据由电信号转换为光信号进行通讯，因此通过光纤网络能够将数据单向传输至隔离存储区。
63.在一些实施例中，还需要在通过光纤网络进行单向传输前，对外部网络传输数据量与光纤传输剩余带宽进行判断，根据数据量与剩余带宽的差距对数据传输过程进行调整。
64.具体地，当外部网络传输数据量高于光纤传输剩余带宽时，暂时存储外部网络传入的数据，等待光纤空闲；在外部网络传输数据量低于所述光纤传输带宽时，等待数据，当数据包的数量达到预设的第一阈值后再通过光纤发送，提高光纤利用率。其中，预设的第一阈值可以为预先设置的任意数值。
65.可以理解的是，所述光纤空闲指的是光纤传输剩余带宽能传输的数据量超过所述外部网络传输数据量，且超过量为第二阈值，所述第二阈值也可以是预先设置的任意数值。
66.在一个实施例中，还需要在通过光纤网络单向传输前，对所接收的信息、文件、报文以及数据包等相关内容的完整性进行判断，在未接受到完整的信息、文件、报文以及数据包等相关内容时，将其存储，直到接收到完整的信息、文件、报文以及数据包等相关内容才
将该信息、文件、报文以及数据包等相关内容通过光纤网络单向传输至隔离存储区，所述隔离存储区为数据单向传输过程中临时存储的区域。
67.另外，在将满足预定条件的数据通过光纤网络传输之前，先要对数据进行安全扫描，若判断所述数据携带病毒，则对该数据进行隔离、记录，并发起病毒处理通知到隔离存储区。
68.106、将隔离存储区的数据通过usb接口传输至隔离主机；
69.在本实施例中，其中usb为通用串行总线，根据usb的接口种类分为b
‑
5pin、b
‑
4pin、b
‑
8pin、b
‑
8pin
‑2×
4、micro usb和type
‑
c，由于usb传输不具有网络传输功能，因此通过usb接口将隔离存储区的数据传输至隔离主机能够避免危险数据对内网网络安全的影响，所述隔离主机连接在内网中。
70.图2是本发明优选实施例的一种单向传输方法的实施流程图，该方法可以应用于终端，如图2所示，相对于前述单向传输方法的实施过程，本实施还包括：
71.202、接收和存储外部网络传输的数据；
72.在一些实施例中，其中，所述外部网络是隔离存储区和非隔离存储区以外的网络，所述外部网络包括有线网络或/和无线网络；其中有线网络可以指采用同轴电缆、双绞线和光纤等有线方式来连接的网络，无线网络是指无需布线即无线方式就能实现各种通信设备互联的网络。每种外部网络都可以采用专用的接口接入，例如，有线网络中可以采用有线网络接口接入，其中有线网络接口可以包括用于连接rg58同轴电缆的bnc连接头、用于连接utp电缆的rj
‑
45连接头以及用于连接aui电缆的aui连接头等；无线网络中接入方式根据具体的网络来确定，其中wifi信号由无线网卡接入，蜂窝通信信号由基带芯片接入、蓝牙信号由蓝牙芯片接入。
73.在本发明实施例中，所述外部网络可以指的是单个有线网络或者多种有线网络融合，也可以指的是单个无线网络或者多种无线网络融合，还可以指的是单个或多种有线网络与单个或多种无线网络融合的复合网络；例如，外部网络可以是同轴电缆接入网络、wifi网络、蜂窝通信网络、zigbee网络、以及蓝牙网络等有线网络与无线网络的组合，也可以是仅包含一种介质网络。
74.204、将满足第一预设条件的数据通过光纤网络单向传输至隔离存储区；
75.其中所述第一预设条件是为了对数据进行区分，从而能够划分出不同来源的数据，避免恶意数据被划分到隔离存储区中。
76.所述第一预设条件包括所接收的数据满足第二预设条件或/和所接收的数据满足第三预设条件。
77.在一些实施例中，所接收的数据满足第二预设条件为所接收的数据的目的地址为隔离存储区；其中目的地址为该数据所要发往的目的地址或服务。
78.在另一些实施例中，所接收的数据满足第三预设条件为所接收的数据的源地址为白名单地址；其中源地址为该数据的来源地址或服务。
79.其中，所述白名单地址为预先设置的数据来源，可以是用户、服务也可以是网络地址。
80.其中，所述单向传输指的是，光纤网络将需要传输的数据由电信号转换为光信号进行通讯，因此通过光纤网络能够将数据单向传输至隔离存储区。
81.在一些实施例中，还需要在通过光纤网络进行单向传输前，对外部网络传输数据量与光纤传输剩余带宽进行判断，根据数据量与剩余带宽的差距对数据传输过程进行调整。
82.具体地，当外部网络传输数据量高于光纤传输剩余带宽时，暂时存储外部网络传入的数据，等待光纤空闲；在外部网络传输数据量低于所述光纤传输带宽时，等待数据，当数据包的数量达到预设的第一阈值后再通过光纤发送，提高光纤利用率。其中，预设的第一阈值可以为预先设置的任意数值。
83.可以理解的是，所述光纤空闲指的是光纤传输剩余带宽能传输的数据量超过所述外部网络传输数据量，且超过量为第二阈值，所述第二阈值也可以是预先设置的任意数值。
84.在一个实施例中，还需要在通过光纤网络单向传输前，对所接收的信息、文件、报文以及数据包等相关内容的完整性进行判断，在未接受到完整的信息、文件、报文以及数据包等相关内容时，将其存储，直到接收到完整的信息、文件、报文以及数据包等相关内容才将该信息、文件、报文以及数据包等相关内容通过光纤网络单向传输至隔离存储区。
85.另外，在将满足预定条件的数据通过光纤网络传输之前，先要对数据进行安全扫描，若判断所述数据携带病毒，则对该数据进行隔离、记录，并发起病毒处理通知到隔离存储区。
86.206、将隔离存储区的数据通过usb接口传输至隔离主机；
87.在本实施例中，其中usb为通用串行总线，根据usb的接口种类分为b
‑
5pin、b
‑
4pin、b
‑
8pin、b
‑
8pin
‑2×
4、micro usb和type
‑
c，由于usb传输不具有网络传输功能，因此通过usb接口将隔离存储区的数据传输至隔离主机能够避免危险数据对内网网络安全的影响。
88.208、将不满足第一预设条件的数据传输至非隔离存储区；
89.在判断所述数据不满足第一预定条件时，将数据传输至非隔离存储区的出口，并保持原有的路由功能。
90.210、将非隔离存储区的数据发往下一网络节点。在本实施例中，其中usb为通用串行总线，根据usb的接口种类分为b
‑
5pin、b
‑
4pin、b
‑
8pin、b
‑
8pin
‑2×
4、micro usb和type
‑
c，由于usb传输不具有网络传输功能，因此通过usb接口将隔离存储区的数据传输至隔离主机能够避免危险数据对内网网络安全的影响。
91.在本发明实施例中，当数据不满足第一预设条件时，仍对数据进行传输，将数据传输至非隔离存储区，并保持原有的路由功能，所述隔离主机为被隔离的目的主机，其可以服务器，也可是个人终端。
92.可以理解的是，当所述数据不满足第一预设条件时，本发明可以不对数据进行额外的处理，因此将所述非隔离存储区仅作为通路进行数据传输。
93.具体的，所述非隔离存储区是指除了隔离存储区以外的任何通路和存储区域，除此以外，非隔离存储区的数据还可以输出至其他通路或者设备中，例如可以输出至下一级的路由器中，还可以按照路由器的工作方式查询路由表后将数据传输到下一个目的地。
94.图3是本发明实施例中一种单向传输装置的结构示意图，该装置可以通过软件、硬件或者两者的结合实现成为装置中的部分或者全部，该装置应用于传输网络，所述传输网络包括信号接收端、信号处理端以及信号发射端。本技术实施例提供的装置可以实现本申
请实施例图1所述的流程，该单向传输装置300包括外部网络接收模块302、隔离数据单向传输模块304以及隔离数据输出模块306；其中：
95.外部网络接收模块302：用于接收外部网络传输的数据；具体可以用于实现步骤102的接收功能以及步骤102包含的隐含步骤或者实现步骤202的接收功能以及步骤202包含的隐含步骤。
96.在一些实施例中，外部网络接收模块302是一种包括多种接口的数据接收设备，这些接口可以对应连接不同的网络接口；所述外部网络接收模块302的接口包括有线网络接口和无线网络接口，其中有线网络接口可以包括用于连接rg58同轴电缆的bnc连接头、用于连接utp电缆的rj
‑
45连接头以及用于连接aui电缆的aui连接头等；其中所述无线网络接口包括用于连接wifi信号的无线网卡接口、用于连接蜂窝通信信号的基带芯片接口以及用于连接蓝牙芯片信号的蓝牙芯片接口等。
97.其中，外部网络接收模块302接入的网络可以是有线网络或无线网络，可以是多个同种有线网络或无线网络，也可以是多个不同种有线网络与无线网络的组合。例如，外部网络可以是同轴电缆接入网络、wifi网络、蜂窝通信网络、蓝牙通信网络等有线网络与无线网络的组合，也可以是仅包含wifi网络。
98.可以理解的是，除了上述有线网络接口和无线网络接口以外，本领域技术人员还可以根据实际情况对所述外部网络接收模块302设置出现有的其他任意网络接口。
99.在一个实施例中，外部网络接收模块302可以同时接收外部网络传输的数据，可以理解的是，在同一时间，可同时接收通过不同的网络接口传输的数据。
100.在另一个实施例中，外部网络接收模块302一次仅接收一种外部网络传输的数据，此时就无需考虑不同网络接入的处理顺序问题。
101.隔离数据单向传输模块304，用于将满足第一预设条件的数据通过光纤网络单向传输至隔离存储区；具体可以用于实现步骤104的单向传输功能以及步骤104包含的隐含步骤或者实现步骤204的单向传输功能以及步骤204包含的隐含步骤。
102.其中，所述第一预设条件包括所接收的数据满足第二预设条件或/和所接收的数据满足第三预设条件。
103.隔离数据单向传输模块304，根据隔离规则即满足第一预设条件的数据进行处理，对符合隔离规则的数据进行处理后通过光纤网络传入隔离存储区，并在后续过程中从隔离存储区的usb接口中输出数据；所述隔离规则为预先设置的规则，用来分离出要进入隔离区的数据。
104.在一个实施例中，隔离数据单向传输模块304判断外部网络传输的数据目的地址是否为隔离主机，如果是，则符合隔离规则。目的地址可以是隔离主机的用户、服务也可以是网络地址。
105.在另一个实施例中，隔离数据单向传输模块304判断外部网络传输的数据是否来自白名单地址，如果是，则符合隔离规则。白名单地址为预先设置的数据来源，可以是用户、服务也可以是网络地址。
106.隔离数据输出模块306，所述隔离数据输出模块306通过usb接口将隔离数据单向传输模块304处理后的数据发往隔离主机，隔离主机为被隔离的目的主机，其可以是计算机、服务器、平板电脑、个人数字助理(英文：personal digital assistant，缩写：pda)、移
动互联网设备(英文：mobile internet device，缩写：mid)等可以安装应用软件且能够联网的设备，本发明对此不作任何限制。
107.图4是本发明优选实施例中一种单向传输装置的结构示意图，该装置可以通过软件、硬件或者两者的结合实现成为装置中的部分或者全部，该装置应用于传输网络，所述传输网络包括信号接收端、信号处理端以及信号发射端。本技术实施例提供的装置可以实现本技术实施例图2所述的流程，该单向传输装置400包括外部网络接收模块402、数据传输处理模块403、隔离数据单向传输模块404、隔离数据输出模块406、非隔离数据单向传输模块405、非隔离数据输出模块407；其中：
108.外部网络接收模块402：用于接收外部网络传输的数据；具体可以用于实现步骤102的接收功能以及步骤102包含的隐含步骤或者实现步骤202的接收功能以及步骤202包含的隐含步骤。
109.在一些实施例中，外部网络接收模块402是一种包括多种接口的数据接收设备，这些接口可以对应连接不同的网络接口；所述外部网络接收模块402的接口包括有线网络接口和无线网络接口，其中有线网络接口可以包括用于连接rg58同轴电缆的bnc连接头、用于连接utp电缆的rj
‑
45连接头以及用于连接aui电缆的aui连接头等；其中所述无线网络接口包括用于连接wifi信号的无线网卡接口、用于连接蜂窝通信信号的基带芯片接口以及用于连接蓝牙芯片信号的蓝牙芯片接口等。
110.其中，外部网络接收模块402接入的网络可以是有线网络或无线网络，可以是多个同种有线网络或无线网络，也可以是多个不同种有线网络与无线网络的组合。例如，外部网络可以是同轴电缆接入网络、wifi网络、蜂窝通信网络、蓝牙通信网络等有线网络与无线网络的组合，也可以是仅包含wifi网络。
111.可以理解的是，除了上述有线网络接口和无线网络接口以外，本领域技术人员还可以根据实际情况对所述外部网络接收模块402设置出现有的其他任意网络接口。
112.在一个实施例中，外部网络接收模块402可以同时接收外部网络传输的数据，可以理解的是，在同一时间，可同时接收通过不同的网络接口传输的数据。
113.在另一个实施例中，外部网络接收模块402一次仅接收一种外部网络传输的数据，此时就无需考虑不同网络接入的处理顺序问题。
114.其中，所述数据传输处理模块403：用于处理不同外部网络传入的数据，以及对数据的传入和输出时机进行调整；具体可以用于实现步骤104包含的隐含的数据处理步骤。
115.在一个实施例中，所述数据传输处理模块403按照预定规则对来自不同网络的数据分别处理和存储。
116.在一个实施例中，所述数据传输处理模块403可以将外部网络接收模块402传输的数据加入接收队列，然后从接收队列中依次读取数据并存储，接收队列为“先入先出”式的数据结构。
117.可以理解，对于先接收到的数据会排在队列前面被优先读取，当数据被读取后即出队列，而之后加入的数据会依次排在先接收的数据的后面，在先接收到的数据出队列后才会读取。
118.在另一个实施例中，可以对不同的网络接入设置不同的优先级，优先级高的网络传输的数据可以被优先读取和存储。
119.具体地，在接收数据时，先读取并存储优先级更高的网络传输的数据。比如，在接收优先级较低的网络传输的数据时，如果有优先级更高的网络传入数据，则可以将正在接收的数据暂时中断并存储，然后记录中断位置，在将优先级高的网络传入的数据接收并存储完成后再继续读取并存储之前被中断的数据。
120.在一个实施例中，所述数据传输处理模块403根据光纤传输剩余带宽和外部网络传输数据量的关系调整传输的进度。
121.具体地，当外部网络传输数据量高于光纤传输剩余带宽时，暂时存储外部网络传入的数据，等待光纤空闲；在外部网络传输数据量低于所述光纤传输带宽时，等待数据，当数据包的数量达到预设的第一阈值后再通过光纤发送，提高光纤利用率。其中，预设的第一阈值可以为预先设置的任意数值。
122.可以理解的是，所述光纤空闲指的是光纤传输剩余带宽能传输的数据量超过所述外部网络传输数据量，且超过量为第二阈值，所述第二阈值也可以是预先设置的任意数值。
123.在一个实施例中，在通过光纤网络传输前，对所接收的数据或文件的完整性进行判断，在未接受到完整的数据或文件时，将其存储，直到接收到完整的数据或文件才将该数据或文件传输。
124.隔离数据单向传输模块404，用于将满足第一预设条件的数据通过光纤网络单向传输至隔离存储区；具体可以用于实现步骤104的单向传输功能以及步骤104包含的隐含步骤或者实现步骤204的单向传输功能以及步骤204包含的隐含步骤。
125.其中，所述第一预设条件包括所接收的数据满足第二预设条件或/和所接收的数据满足第三预设条件。
126.隔离数据单向传输模块404，根据隔离规则即满足第一预设条件的数据进行处理，对符合隔离规则的数据进行处理后通过光纤网络传入隔离存储区，并在后续过程中从隔离存储区的usb接口中输出数据；所述隔离规则为预先设置的规则，用来分离出要进入隔离区的数据。
127.在一个实施例中，隔离数据单向传输模块404判断外部网络传输的数据目的地址是否为隔离主机，如果是，则符合隔离规则。目的地址可以是隔离主机的用户、服务也可以是网络地址。
128.在另一个实施例中，隔离数据单向传输模块404判断外部网络传输的数据是否来自白名单地址，如果是，则符合隔离规则。白名单地址为预先设置的数据来源，可以是用户、服务也可以是网络地址。
129.其中，所述非隔离数据单向传输模块405，根据隔离规则即对不满足第一预设条件的数据进行处理，对不符合隔离规则的数据进行处理后通过光纤网络传入非隔离存储区；所述隔离规则为预先设置的规则，用来分离出要进入隔离区和非隔离区的数据。
130.在一个实施例中，非隔离数据单向传输模块405判断外部网络传输的数据目的地址是否为隔离主机，如果不是，则不符合隔离规则。目的地址可以是隔离主机的用户、服务也可以是网络地址。
131.在另一个实施例中，非隔离数据单向传输模块405判断外部网络传输的数据是否来自白名单地址，如果不是，则不符合隔离规则。白名单地址为预先设置的数据来源，可以是用户、服务也可以是网络地址。
132.隔离数据输出模块406，所述隔离数据输出模块406通过usb接口将隔离数据单向传输模块404处理后的数据发往隔离主机，隔离主机为被隔离的目的主机，其可以是计算机、服务器、平板电脑、个人数字助理(英文：personal digital assistant，缩写：pda)、移动互联网设备(英文：mobile internet device，缩写：mid)等可以安装应用软件且能够联网的设备，本发明对此不作任何限制。
133.其中，所述非隔离数据输出模块407，所述非隔离数据输出模块407通过可以直接将非隔离数据单向传输模块405处理后的数据发往下一网络节点或者直接输出，比如说可以直接发往非隔离主机，非隔离主机是未被隔离的目的主机，其可以是计算机、服务器、平板电脑、个人数字助理(英文：personal digital assistant，缩写：pda)、移动互联网设备(英文：mobile internet device，缩写：mid)等可以安装应用软件且能够联网的设备，除此以外，本发明实施例中还可以将非隔离数据通过非隔离数据输出模块输出至其他通路或者设备中；本发明对此不作任何限制。
134.图5为一个实施例中一种单向传输终端的结构示意图，可以实现上述实施例中一种单向传输方法执行的操作。
135.通常，传输终端500包括有：网络路由模块501和隔离存储模块507，网络路由模块501和隔离存储模块507通过光纤进行通信，确保数据的单向流动；隔离存储模块507通过usb接口与隔离主机510连接，确保危险数据不会对内部网络产生影响。网络路由模块包括有：第一处理器501，第一存储器502，外部网络接口503；可选地，隔离存储模块507包括第二处理器508和第二存储器509。
136.第一处理器502和第二处理器508可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。第一存储器503和第二存储器509可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的，用于存储至少一个指令，该至少一个指令用于被第一处理器502和第二处理器508所具有以实现本技术中方法实施例提供的网络隔离存储交换方法。
137.在一些实施例中，第一处理器502、第一存储器503和外部网络接口504可以通过总线或信号线相连。第二处理器508、第二存储器509可以通过总线或信号线相连。
138.在一些实施例中，外部网络接口504还可选包括有：无线网络接口505和有线网络接口506中的至少一个。无线网络接口505可以是wifi、蜂窝通信、蓝牙等网络。
139.本领域技术人员可以理解，图3中示出的结构并不构成对终端500的限定，可以包括比图示更多或更少的组件，或者组合某些组件，或者采用不同的组件布置。
140.图6是本发明实施例中的一种计算机设备的结构图，如图6所示，所述计算机设备包括存储器630和处理器610，存储器630与处理器610之间通过总线620连接；该存储器630中存储有计算机程序，该处理器610被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
141.可选地，在本实施例中，上述计算机设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
142.可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：
143.接收和存储外部网络传输的数据；
144.将满足第一预设条件的数据通过光纤网络单向传输至隔离存储区；
145.将隔离存储区的数据通过usb接口传输至隔离主机；
146.可选地，在本实施例中，上述处理器还可以被设置为通过计算机程序执行以下步骤：
147.接收和存储外部网络传输的数据；
148.将满足第一预设条件的数据通过光纤网络单向传输至隔离存储区；
149.将隔离存储区的数据通过usb接口传输至隔离主机；
150.将不满足第一预设条件的数据传输至非隔离存储区；
151.将非隔离存储区的数据通过usb接口传输至非隔离主机。
152.可选地，本领域普通技术人员可以理解，图6所示的结构仅为示意，计算机设备也可以是智能手机(如android手机、ios手机等)、平板电脑、掌上电脑以及移动互联网设备(mobile internet devices，mid)、pad等终端设备。图6其并不对上述电子装置计算机设备的结构造成限定。例如，计算机设备还可包括比图6中所示更多或者更少的组件(如网络接口等)，或者具有与图6所示不同的配置。
153.其中，存储器630可用于存储软件程序以及模块，如本发明实施例中的一种单向传输方法和装置对应的程序指令/模块，处理器610通过运行存储在存储器630内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的一种单向传输方法。存储器630可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器630可进一步包括相对于处理器610远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中，存储器630具体可以但不限于用于存储外部网络传输的数据，隔离存储区的数据或/非隔离存储区的数据。
154.发明实施例还提供了一种计算机可读存储介质，该计算机可读存储介质应用于单向传输装置，该计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，该指令、该程序、该代码集或该指令集由处理器加载并执行以实现上述实施例的单向传输装置的方法所执行的操作。
155.本发明实施例还提供了一种计算机可读存储介质，该计算机可读存储介质应用于单向传输装置，该计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，该指令、该程序、该代码集或该指令集由处理器加载并执行以实现上述实施例的单向传输装置的方法中单向传输装置所执行的操作。
156.本发明实施例还提供了一种计算机可读存储介质，该计算机可读存储介质应用于网络设备，该计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，该指令、该程序、该代码集或该指令集由处理器加载并执行以实现上述实施例的单向传输装置的方法中各个模块所执行的操作。
157.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
158.在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如，部件可以是但不限于，在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示，在计
算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中，部件可位于一个计算机上和/或分布在2个或更多个计算机之间。此外，这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据，例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。
159.在本发明的描述中，需要理解的是，术语“同轴”、“底部”、“一端”、“顶部”、“中部”、“另一端”、“上”、“一侧”、“顶部”、“内”、“外”、“前部”、“中央”、“两端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
160.在本发明中，除非另有明确的规定和限定，术语“安装”、“设置”、“连接”、“固定”、“旋转”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
161.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。