一种基于光耦合的数据分发安全传输设备的制作方法

一种基于光耦合的数据分发安全传输设备
【技术领域】
1.本发明涉及安全传输设备领域，具体涉及一种基于光耦合的数据分发安全传输设备。


背景技术：

2.很多政府机关、企事业单位都有文件向外分发的需求，对于网络安全要求不高的单位来说，这是一个非常简单的需求。但是，对于部分网络安全要求很高的单位，内网和外网是严格隔离的。上述情况下，如何将内网的文件推送到外网，则是一个值得研究的技术问题。传统的做法如下：
3.方式一：完全物理隔离：内网、外网完全物理隔离，没有任何物理连接。这种情况内网是一个信息孤岛。无法与外网进行任何数据交互。这种情况，如果需要将内网数据分发到外网，唯一的方法是人工拷贝。而数据安全的要点是对拷贝数据的监管。这种方式的优点是，绝对安全，外网无论如何无法攻击内网。但是缺点是，内网成为信息孤岛，无法通过系统自动向外网推送信息。
4.方式二：基于tcp网络、防火墙技术进行端口的管理、访问权限控制和监控内网、外网在物理层、数据链路层、网络层和传输层都是可以联通的，基于公共的网络协议，通过ip访问控制、端口开关控制、访问授权、防火墙控制和过滤规则对不同的主机、访问链接和用户进行区别性的访问约束和监控。这种方式的优点是，内网、外网本质上具备互联互通的能力，可以非常灵活地进行内外网的数据交互。在允许互通的情况下，内外网可以基于tcp之上实现网络交互，支持http、ftp等应用层协议，支持tcp长连接(如物联终端与服务器的交互)，邮件收发、微信/qq交互、视频会议、浏览网页等应用均可支持，因此通用性强，适用范围广。但是，这些优点同时伴随着安全性的缺点，因为内网、外网在物理上是联通的，访问控制的逻辑运行在操作系统、公共网络协议之上，容易受到黑客的网络攻击，因此对安全性要求极高的单位不适合。
5.现有技术基于公共协议，通用性较好，扩展能力强，适用于各种网络应用场景，同时在安全性方面存在遭到来自外部网络攻击的安全隐患。然后，有些单位对网络的安全性要求极高，内网与外网之间的数据交互需求比较单一。例如气象局，要求内网与外网隔离，但是部分气象数据文件需要分发到外网；卫星中心接收的部分数据文件需要分发到外网。上述单位的应用场景存在如下特点：
6.(1)内部网络高度敏感，安全性要求极高，与外网隔离越彻底越好。
7.(2)内部网络存在部分数据文件向外网分发的需求；
8.(3)基本上是单向，只能从内网向外网推送数据文件，不允许外网向内外发送数据。
9.(4)网络应用场景非常单一，除了数据文件的从内向外的单向推送外，没有其他的网络交互需求。
10.针对上述的特点要求，本发明提出一种基于光耦合的数据分发安全传输设备来解
决上述问题。


技术实现要素：

11.本发明的目的在于针对现有技术的缺陷和不足，提供一种基于光耦合的数据分发安全传输设备。
12.本发明所述的一种基于光耦合的数据分发安全传输设备，它包括内网模块、光耦合模块及外网模块；所述内网模块一端通过有线网络与内网相连，内网模块另一端通过光耦合模块与外网模块相连；所述外网模块通过有线网络与外网相连。
13.进一步地，所述内网模块由文件发布容器和文件发布服务组成。
14.进一步地，所述光耦合模块由1到多个光耦合通道组成。
15.进一步地，所述外网模块由文件接收服务和文件接收容器组成。
16.进一步地，所述内网模块的文件发布服务与外网模块的文件接收服务是通过光耦合模块进行文件数据的传输，其传输过程由分层传输模块实现。
17.进一步地，所述分层传输模块由应用层、传输层、链路层、物理层组成，其中：应用层实现文件的传输，传输层实现块的传输，链路层传输字节流，而物理层通过光耦合通道逐位传输。
18.本发明有益效果为：本发明所述的一种基于光耦合的数据分发安全传输设备，它采用单向的光耦合模块隔离内网模块和外网模块，光耦合模块有一到多个光耦合通道构成，实现数据的并发传输；它具有能够实现内网与外网之间的电隔离，同时能够实现性能的轻松扩展，以及提升了安全性和文件传输速度等优点。
【附图说明】
19.此处所说明的附图是用来提供对本发明的进一步理解，构成本技术的一部分，但并不构成对本发明的不当限定，在附图中：
20.图1是本发明与其他设备之间的拓扑示意图；
21.图2是本发明的处理流程拓示意图；
22.图3是本发明中的内部拓扑示意图；
23.图4是本发明中的分层传输模块的拓扑示意图。
【具体实施方式】
24.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
25.如图1所示，本具体实施方式所述的一种基于光耦合的数据分发安全传输设备，它包括内网模块、光耦合模块及外网模块；所述内网模块一端通过有线网络与内网相连，内网模块另一端通过光耦合模块与外网模块相连；所述外网模块通过有线网络与外网相连。
26.进一步地，如图3所示，所述内网模块由文件发布容器和文件发布服务组成。
27.本发明中的文件发布容器是内网模块中的一块存储空间，在内部网络的其他主机
只要将需要对外发布的文件写入该存储空间即可。当文件发布容器中存在待发布的文件时，文件发布服务提取这些文件，通过光耦合模块向外网模块推送；
28.本发明中的内网模块：与内网局域网连接，负责接收需要对外分发的数据文件，并通过光耦合模块推送到外网模块。
29.进一步地，如图3所示，所述光耦合模块由1到多个光耦合通道组成。
30.每个光耦合通道提供从内网向外网的单向数据传输能力。多个光耦合通道的目的是实现数据的并发传输，提升传输速度。
31.本发明中的光耦合模块为光耦合单向数据传输模块：提供数据文件从内网模块向外网模块推送的通道。
32.进一步地，如图3所示，所述外网模块由文件接收服务和文件接收容器组成。
33.文件接收服务通过光耦合通道接收来自文件发布服务推送过来的文件数据，并将接收完成的文件写入文件接收容器中；外部网络的主机在授权情况下，可以访问文件接收容器，从中提取文件；
34.本发明中的外网模块：与外网连接，负责接收并暂存从内网模块推送过来的数据文件，连接外网的数据分发服务器可从外网模块提取数据文件，并对外分发。
35.进一步地，如图4所示，所述内网模块的文件发布服务与外网模块的文件接收服务是通过光耦合模块进行文件数据的传输，其传输过程由分层传输模块实现。
36.进一步地，所述分层传输模块由应用层、传输层、链路层、物理层组成，其中：应用层实现文件的传输，传输层实现块的传输，链路层传输字节流，而物理层通过光耦合通道逐位传输。
37.针对内网侧，应用层从文件发布容器读取待发布的文件，登记文件基本信息，如文件名、文件大小、创建时间、密钥等，生成文件序号，将登记信息和文件一起交给传输层；传输层将文件划分为1到多个块，并为每个块生成块id、长度、校验码，根据密钥对每个块的数据加密、封装，然后交给链路层处理；链路层为每个块分配物理通道(光耦合通道)，并将块转换为字节流，逐个字节通过物理层的光耦合通道传输。
38.针对外网侧，物理层接收的位信号组成字节、交给链路层，形成字节流；链路层处理各通道的字节流，组合成块，交给传输层；传输层根据块的封装信息对接收到的块进行校验，并按顺序组装，形成文件，交给应用层；应用层根据文件的登记信息进行文件级校验，并将文件写入文件接收容器中。
39.如图2所示，本发明的总体处理流如下：
40.内网侧数据文件分发服务器将需要向外网分发的文件写入内网模块的文件分发容器中，然后内网模块轮询文件分发容器，并通过光耦合模块将这些文件推送到外网模块的文件接收容器中，最后外网侧数据文件分发服务器从外网模块的文件接收容器提取文件，在外网环境中处理或者分发共享。
41.本发明的具有如下特性：
42.(1)只适用于数据文件从内网向外网推送的单一应用场景，其他网络应用场景都不适用。(2)内网与外网通过光耦合隔离，实现内网向外网的单向数据传输，除此之外，内网与外网之间没有任何其他联系。(3)定制数据传输协议，不采用通用的网络协议，对现有各类网络攻击手段免疫。(4)不主动访问本设备之外的任意设备，不对其他设备做读写操作，
确保安全可控。
43.本发明的优点如下：
44.(1)实现内网与外网之间的电隔离：内网模块与外网模块的唯一联系是单向的光耦合通道，没有任何电信号的联系。利用光的单向特性，彻底杜绝了外网访问内网的可能性，外网的黑客没有任何手段攻进内网；
45.(2)针对单一而明确的使用场景，即内网向外网分发文件的使用场景，功能简单，用户只需要进行文件的复制操作，不涉及复杂的开发和繁琐的集成；
46.(3)定制的传输协议和传输过程加密，进一步提升了安全性；
47.(4)性能容易扩展，只需要增加存储空间，即可扩展文件分发容器和文件接收容器的容量；只需要增加光耦合通道，即可提升文件传输速度。
48.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。