一種基于單向傳輸設(shè)備的網(wǎng)絡(luò)層隧道化方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及一種基于單向傳輸設(shè)備的網(wǎng)絡(luò)層隧道化方法,實(shí)現(xiàn)不同密級(jí)網(wǎng)絡(luò)之間 數(shù)據(jù)安全交互的方法,屬于通信技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002] 目前,隨著科技的發(fā)展,國(guó)內(nèi)技術(shù)手段越來(lái)越多,在用系統(tǒng)、設(shè)備、傳感器等生成的 大量數(shù)據(jù)需要融合分析,資源整合已成為大趨勢(shì)。資源整合設(shè)及多個(gè)安全域,不同安全域的 設(shè)密等級(jí)不同。在多個(gè)域的互聯(lián)互通中,高密級(jí)重要數(shù)據(jù)的泄漏可能危及國(guó)家安全,或者影 響企事業(yè)單位的經(jīng)濟(jì)利益及個(gè)人隱私。所W,如何在不同密級(jí)域間安全有效傳輸數(shù)據(jù)則成 為重中之重。W政府為例,根據(jù)《電子政務(wù)保密管理指南》規(guī)定;按照信息保密的技術(shù)要求, 設(shè)密網(wǎng)絡(luò)不能與互聯(lián)網(wǎng)直接連通;設(shè)密網(wǎng)絡(luò)與非設(shè)密網(wǎng)絡(luò)連接時(shí),若非設(shè)密網(wǎng)絡(luò)與互聯(lián)網(wǎng) 物理隔離,則采用單向傳輸隔離設(shè)密網(wǎng)絡(luò)與非設(shè)密網(wǎng)絡(luò)連接。
[0003] 在此基礎(chǔ)上,國(guó)內(nèi)外多家單位研發(fā)出了對(duì)應(yīng)的單向傳輸設(shè)備。但是,很多系統(tǒng)組網(wǎng) 并非簡(jiǎn)單的單向過(guò)程,僅使用單向傳輸設(shè)備,無(wú)法滿足聯(lián)動(dòng)協(xié)同協(xié)作的需求。因?yàn)閱蜗蛟O(shè)備 不能提供雙向流的支撐,現(xiàn)有的大部分通信中間件便無(wú)法連通,很多通用編程模型也無(wú)法 使用。該種現(xiàn)象導(dǎo)致的上下行隔離開(kāi)發(fā)模式,給新系統(tǒng)建制、老系統(tǒng)整合改造都增加了很大 的難度,影響整體工程的可控度。
[0004] 同時(shí),當(dāng)前安全等級(jí)防護(hù)措施還處在進(jìn)化完善階段,該對(duì)系統(tǒng)的安全性、可靠性提 出了較高的適應(yīng)性要求。因此,在物理單向傳輸設(shè)備之上進(jìn)行統(tǒng)一封裝,在網(wǎng)絡(luò)邊界附加帶 外安全策略,能更好滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下的應(yīng)用需求。既達(dá)到安全防護(hù)等級(jí),又面向開(kāi)發(fā)用 戶提供相對(duì)透明的編程使用環(huán)境,支持通用的編程模型,有其現(xiàn)實(shí)性和必要性。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明提供一種基于單向傳輸設(shè)備的網(wǎng)絡(luò)層隧道化方法,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)牧髁靠?制與整形,W及對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理,提供數(shù)據(jù)發(fā)送的優(yōu)先級(jí)保障功能,同時(shí)實(shí)現(xiàn)了上下行 單向設(shè)備的邏輯整合,達(dá)到了組網(wǎng)聯(lián)動(dòng)和支持大部分應(yīng)用層通信協(xié)議的目的。
[0006] 一種基于單向傳輸設(shè)備的網(wǎng)絡(luò)層隧道化方法,包括W下步驟:
[0007] 步驟一、對(duì)單向傳輸設(shè)備進(jìn)行第一層封裝;在數(shù)據(jù)發(fā)送的入口點(diǎn),采用Token bucket算法,選取單桶單速率模型,令每個(gè)令牌可承載IByte數(shù)據(jù);根據(jù)網(wǎng)絡(luò)環(huán)境的參數(shù)要 求,初始化令牌桶深度D、當(dāng)前令牌數(shù)C、令牌入桶速率R,在數(shù)據(jù)發(fā)送的入口點(diǎn)進(jìn)行流量的 控制,在流量突發(fā)允許范圍內(nèi)反饋當(dāng)前數(shù)據(jù)的發(fā)送狀態(tài);
[000引在數(shù)據(jù)發(fā)送的出口點(diǎn),采用Leakybucket算法,選取高頻時(shí)鐘控制方式,W固定 的速率進(jìn)行發(fā)送,在出口點(diǎn)進(jìn)行流量整形,使數(shù)據(jù)流W平穩(wěn)的速率到達(dá)接收方;在數(shù)據(jù)接收 點(diǎn),采用動(dòng)態(tài)平衡樹(shù)鏈表管理,對(duì)接收到的數(shù)據(jù)包進(jìn)行快速整合還原,超時(shí)的數(shù)據(jù)包則按既 定策略進(jìn)行處理;
[0009] 通過(guò)第一層封裝后,實(shí)現(xiàn)了單向傳輸設(shè)備數(shù)據(jù)傳輸?shù)牧髁靠刂婆c整形功能;
[0010] 步驟二、對(duì)單向傳輸設(shè)備進(jìn)行第二層封裝:選取=色標(biāo)記模型,建立分級(jí)隊(duì)列,數(shù) 據(jù)在發(fā)送時(shí)根據(jù)不同的顏色標(biāo)記進(jìn)入到不同的待發(fā)送分級(jí)隊(duì)列中,進(jìn)入速率由步驟一中的 Tokenbucket算法控制;按照優(yōu)先級(jí)設(shè)置從待發(fā)送分級(jí)隊(duì)列中進(jìn)行輪詢,選取數(shù)據(jù)包進(jìn)入 發(fā)送隊(duì)列,發(fā)送速率由步驟一中的Leakybucket算法控制;待發(fā)送隊(duì)列的長(zhǎng)度上限需根據(jù) 實(shí)際情況進(jìn)行調(diào)控,若待發(fā)送隊(duì)列已滿,需要發(fā)送的數(shù)據(jù)按既定策略進(jìn)行處理;
[0011] 通過(guò)第二層封裝后,在保證數(shù)據(jù)單向傳輸穩(wěn)定性的同時(shí),又提供了對(duì)數(shù)據(jù)進(jìn)行分 級(jí)管理、優(yōu)先發(fā)送的功能。
[0012] 步驟=、對(duì)單向傳輸設(shè)備進(jìn)行第=層封裝;此時(shí)需要上下行兩臺(tái)單向傳輸設(shè)備,底 層數(shù)據(jù)的發(fā)送接收模塊按步驟一、二封裝;通過(guò)第=層封裝后,實(shí)現(xiàn)了上下行單向設(shè)備的邏 輯整合,形成了數(shù)據(jù)交互的有效通道。
[0013] 進(jìn)一步地,所述步驟S中服N(HI細(xì)SECURITY肥TWO服)代表高密級(jí)組網(wǎng),LSN(LOW SECURITY肥TWO服)代表低密級(jí)組網(wǎng),現(xiàn)服N中用戶A,需通過(guò)單向傳輸設(shè)備訪問(wèn)LSN服務(wù) 器B中的數(shù)據(jù),其交互模式如下:
[0014] 1)服N代理程序?qū)崿F(xiàn)對(duì)服N用戶A數(shù)據(jù)請(qǐng)求的捕獲;
[0015] 2)判斷數(shù)據(jù)請(qǐng)求是否是需要轉(zhuǎn)發(fā),按一定安全規(guī)則對(duì)數(shù)據(jù)進(jìn)行分離刪選;
[0016] 3)通過(guò)單向傳輸設(shè)備發(fā)送符合條件的數(shù)據(jù);
[0017] 4)LSN代理程序接收單向傳輸設(shè)備發(fā)送過(guò)來(lái)的數(shù)據(jù);
[001引5)LSN代理程序檢查數(shù)據(jù)是否符合轉(zhuǎn)發(fā)條件;
[0019] 6)對(duì)數(shù)據(jù)進(jìn)行重組,根據(jù)數(shù)據(jù)信息建立映射表;
[0020] 7)將符合條件的數(shù)據(jù)轉(zhuǎn)發(fā)到LSN服務(wù)器B;
[0021] 8)LSN代理程序?qū)崿F(xiàn)對(duì)LSN服務(wù)器B返回?cái)?shù)據(jù)的捕獲;
[0022] 9)根據(jù)映射表,將捕獲的符合條件數(shù)據(jù)進(jìn)行重組;
[002引 10)通過(guò)單向傳輸設(shè)備將數(shù)據(jù)發(fā)送到服N;
[0024]11)服N代理程序接收單向傳輸設(shè)備發(fā)送過(guò)來(lái)的數(shù)據(jù);
[0025]12)服N代理程序?qū)⒎祷財(cái)?shù)據(jù)發(fā)送給服N用戶A。
[0026] 進(jìn)一步地,所述的S色標(biāo)記模型綠黃紅S色對(duì)應(yīng)below11〇1'1]131\]1〇1'1]131\油〇¥6 normal類型數(shù)據(jù)。
[0027] 本發(fā)明的有益效果:
[002引 1、本發(fā)明基于tokenbucket-leakybucket算法進(jìn)行綜合改進(jìn),實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)?流量控制與整形;
[0029] 2、采用色差標(biāo)記模型,對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理,提供數(shù)據(jù)發(fā)送的優(yōu)先級(jí)保障功能;
[0030] 3、基于NAT的網(wǎng)絡(luò)層隧道化封裝,實(shí)現(xiàn)了上下行單向設(shè)備的邏輯整合,達(dá)到了組 網(wǎng)聯(lián)動(dòng)和支持大部分應(yīng)用層通信協(xié)議(通信中間件)的目的。
[0031] 4、本發(fā)明通過(guò)對(duì)單向傳輸設(shè)備進(jìn)行第一層封裝,實(shí)現(xiàn)了數(shù)據(jù)單向發(fā)送的流量控制 與整形。第二層在第一層的基礎(chǔ)上,對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理,保證了重要數(shù)據(jù)的優(yōu)先發(fā)送。第 =層基于組網(wǎng)層次進(jìn)行封裝,在數(shù)據(jù)安全有效傳輸?shù)幕A(chǔ)上,對(duì)上下行單向設(shè)備的進(jìn)行邏 輯整合,達(dá)到了組網(wǎng)聯(lián)動(dòng)和支持大部分應(yīng)用層通信協(xié)議的目的。
【附圖說(shuō)明】
[0032]圖1為本發(fā)明流量控制與整形、優(yōu)先級(jí)保障的原理圖;
[003引圖2為本發(fā)明基于NAT的網(wǎng)絡(luò)層隧道化的總體流程圖;
[0034] 圖3為本發(fā)明基于NAT的網(wǎng)絡(luò)層隧道化的服N代理流程圖;
[0035] 圖4為本發(fā)明基于NAT的網(wǎng)絡(luò)層隧道化的LSN代理流程圖。
【具體實(shí)施方式】
[0036] 現(xiàn)結(jié)合附圖和實(shí)施例詳細(xì)說(shuō)明本發(fā)明。
[0037] 圖1為本發(fā)明流量控制與整形、優(yōu)先級(jí)保障的原理圖,本發(fā)明的具體實(shí)現(xiàn)方式如 下:
[003引 1、發(fā)送方入口采用Tokenbucket算法,選取單桶單速率模型,每個(gè)令牌可承載 IByte數(shù)據(jù);
[0039] 2、初始化的令牌桶深度D、當(dāng)前令牌數(shù)C、令牌入桶速率R;
[0040] 3、要發(fā)送的數(shù)據(jù)選取S色標(biāo)記模型,綠黃紅S色對(duì)應(yīng)belownormal\no;rmal\ 油ovenormal類型數(shù)據(jù);
[0041] 4