[发明专利]一种数据单向导入方法及系统

说明书

技术领域

本发明属于信息安全技术领域，具体涉及一种数据单向导入方法及系统，用于将低密级移动存储介质中的数据单导入到涉密计算机等高密级系统中，实现安全隔离与信息交换。

背景技术

随着信息技术的发展，计算机的使用越来越普遍。但同时也带来信息安全的威胁，就我国目前的信息安全保密技术水平而言，将涉密系统物理隔离不失为一个好的解决方案。但物理隔离在解决信息安全的同时，也带来信息交换的困难。

计算机安全保密的BLP模型规定：低密级的数据可以被写入到高密级系统中，但高密级的数据不能被写入到低密级的系统中（不上读、不下写）。因此在将U盘等低密级移动存储介质中的数据导入到涉密计算机等高密级系统中时，需防止涉密数据“回流”到移动存储介质中。

单向导入属于安全隔离与信息交换技术，在国外也称AirGap或Gap技术。该技术在物理隔离的系统间建立“逻辑连接”，在完成信息交换的同时保证“安全隔离”。安全隔离与信息交换首先需要把安全区域与非安全区域划开，当然最好的方式就是在“城市”周围挖“护城河”，然后再建几个可以控制的“吊桥”，保持与城外的互通。数据交换技术的发展就是研究“桥”上的防护技术。目前数据交换有如下几种技术：

1）修桥策略：业务协议直接通过，数据不重组，对速度影响小，安全性弱。

防火墙FW：网络层的过滤；

多重安全网关：从网络层到应用层的过滤，多重关卡策略。

2）渡船策略：业务协议不直接通过，数据要重组，安全性好。

网闸：协议落地，安全检测依赖于现有安全技术；

交换网络：建立交换缓冲区，立体化安全监控与防护。

3）人工策略：不做物理连接，人工用移动介质交换数据（光盘拷贝），安全性好。

不同的业务网络根据自己的安全需求，可以选择不同的数据交换技术，主要是看数据交换的量大小、实时性要求、业务服务方式的要求。表1对几种交换技术进行了比较。

表1.几种交换技术的比较

目前多数单向导入设备是系统级的应用，部署复杂，价格昂贵，使用繁琐。在信息化条件下，保密与信息共享的矛盾日益突出，涉密网与非涉密网之间的信息交换需求较大，迫切需要桌面级的单向导入产品实现安全的单向数据传输。

发明内容

本发明针对上述问题，提出并实现了一种数据单向导入方法及系统，通过一种高效可靠的传输机制，在物理层和应用层两个方面确保了信息流动的单向性。

本发明采用的技术方案如下：

一种数据单向导入方法，其包括：

发送端与接收端之间的传输层采用UDP通信协议；

发送端读取移动存储介质中的数据，依据其类型进行数据拆分并封装成数据包，并将封装成的数据包通过光纤传输通道发送给接收端；

接收端按照所述数据包中的数据类型进行文件的还原重组。

进一步地，所述发送端按照移动存储介质里的文件路径结构采用深度优先算法遍历文件与文件夹，遍历途经节点时依据其类型进行数据拆分并封包发送。

进一步地，所述数据包的内容包括：数据类型、序号码、当前传输文件的大小或者是包的序号、数据部分和校验码；所述数据包的类型包括：控制类型数据包、数据类型数据包、纠错类型数据包。

进一步地，所述数据包的长度不小于UDP数据报的可用最大长度，且小于64K。

进一步地，在传输过程中检测数据类型数据包和控制类型数据包的丢失。

进一步地，数据包在接收端的接收与处理在两个线程内执行，线程之间采用命名管道通信。

一种数据单向导入系统，包括发送端与接收端，所述发送端与所述接收端之间的传输层采用UDP通信协议；所述发送端读取移动存储介质中的数据，依据其类型进行数据拆分并封装成数据包，并将封装成的数据包通过光纤传输通道发送给接收端；所述接收端按照所述数据包中的数据类型进行文件的还原重组。

进一步地，所述发送端包括：

单向通信模块，采用光纤作为传输通道，用于实现数据的单向导入功能；

外端导入模块，其一端与移动存储介质相连，另一端与单向通信模块相连，负责读取移动存储介质中的文件，并传输至单向通信模块；

内端导出模块，其一端与单向通信模块相连，另一端与接收端（如涉密计算机）相连，负责接收单向通信模块输出的数据，并转发至接收端。

进一步地，所述外端导入模块通过USB接口与所述移动存储介质相连。