本实用新型涉及数据安全传输技术,特别涉及一种两个安全域网络之间的数据单向传输技术。
背景技术:
随着工业自动化控制的迅速发展,愈来愈多的工业企业使用其内部(或专用)网络将其生产过程专用设备或工业智能设备(IntelligentElectricDevice-IED)互联在一起,形成生产控制系统网络。由于采用内网或专用网络进行连通,从物理上隔绝外界干扰,因此这种工业企业用内部系统网络安全性较好,可视之为安全域网络。
出于工业应用需求,经常需要将一个安全域网络的工业数据传输到另一个安全域网络,将两个或更多个工业安全域网络进行通讯连接,从而使得一个中心控制系统能对所有子生产控制系统进行监督和控制,或者,也可使得多个子生产控制系统之间能相互通讯,形成一个更大的生产控制系统,对其资源进行更优化控制和使用。两个安全域网络间数据传输的安全性问题则成为关注热点。
技术实现要素:
本实用新型的目的在于提供一种两个安全域网络之间的数据单向传输装置,使得两个安全域网络之间的数据传输的安全性得到保障,从物理上杜绝外部闯入或受外部病毒侵袭的可能性。
为解决上述技术问题,本实用新型的实施方式提供了一种两个安全域网络之间的数据单向传输装置,在第一安全域网络上至少有一个与其通讯相连的第一网络终端,在第二安全域网络上至少有一个与其通讯相连的第二网络终端,所述第一安全域网络包括一个数据入口装置,与所述第一安全域网络内的第一网络终端通讯相连,所述第二安全域网络包括一个数据出口装置,与所述第二安全域网络内的第二网络终端通讯相连,所述数据入口装置与所述数据出口装置之间通过光单向传输通道通讯连接,以私有数据传输协议在所述光单向传输通道上进行数据入口装置至数据出口装置的单向数据传输。
本实用新型实施方式相对于现有技术而言,在第一安全域网络设置数据入口装置,与第一安全域网络内的第一网络终端通讯相连,在第二安全域网络设置数据出口装置,与第二安全域网络内的第二网络终端通讯相连,该数据入口装置与数据出口装置之间通过光单向传输通道通讯连接,以私有数据传输协议在光单向传输通道上进行数据入口装置至数据出口装置的单向数据传输。由于在数据单向传输装置内部,数据只能从第一安全域网络的数据入口装置流向第二安全域网络的数据出口装置,不能通过数据单向传输装置上的任何物理开关或软件设定进行改变,而且,没有任何旁路可以使得数据从数据入口装置流向数据出口装置时能不经由光单向传输通道。从而从物理上杜绝外部闯入(非法跨安全域闯入)或受外部病毒侵袭的可能性,有效保障两个安全域网络之间的数据传输的安全性。
作为进一步改进,所述数据入口装置上设置有数据入端口,所述数据入口装置通过所述数据入端口在所述第一安全域网络内采集第一网络终端的数据;所述数据入端口包括以下之一或其任意组合:串行通讯接口、以太网络接口、USB接口、现场总线接口。从而可以兼容不同类型的工业网络中各类数据的传输。
作为进一步改进,所述数据入端口包括一个或一个以上物理接口。
作为进一步改进,所述数据入端口通过相同的一种或者不同的多种通讯协议进行数据采集;所述通讯协议至少包括:工业通讯协议或信息系统通讯协议。从而更好地兼容不同类型的工业网络中各类数据的传输。
作为进一步改进,所述数据出口装置上包括数据出端口,所述数据出口装置通过数据出端口将数据转发到第二网络终端;所述数据出端口包括以下之一或其任意组合:串行通讯接口、以太网络接口、USB接口、现场总线接口。
作为进一步改进,所述数据出端口包括一个或一个以上物理接口。
作为进一步改进,所述数据出端口通过相同的一种或者不同的多种通讯协议进行数据转发;所述通讯协议至少包括:工业通讯协议或信息系统通讯协议。
作为进一步改进,所述数据入口装置可以包括:
在第一安全域网络内采集第一网络终端数据的数据采集模块,对所采集到的数据进行原协议至私有通讯协议转换的第一协议转换模块,将转换后的数据通过所述光单向传输通道进行传输的第一光网通信模块;
所述数据出口装置可以包括:
从所述光单向传输通道接收数据的第二光网通信模块,对所收到的数据进行私有通讯协议至原协议转换的第二协议转换模块,将转换后的数据转发到目标第二网络终端的数据转发模块。
作为进一步改进,所述光单向传输通道由数据发送端口、数据接收端口和连接于所述数据发送端口和所述数据接收端口之间的单根光纤构成;所述数据发送端口设置于所述数据出口装置上,所述数据接收端口设置于所述数据入口装置上。从而从物理上确保没有任何旁路可以使得数据从数据入口装置流向数据出口装置时能不经由光单向传输通道。
作为进一步改进,所述第一光网通信模块中设置有所述数据发送端口不包含数据接收端口;所述第二光网通信模块中设置有所述数据接收端口而不包括数据发送端口,从物理上确保所述通道只能进行单向传输。
附图说明
图1是根据本实用新型一较佳实施方式的两个安全域网络之间的数据单向传输装置结构示意图。
具体实施方式
为使本实用新型的目的、技术方案和优点更加清楚,下面将结合附图对本实用新型的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本实用新型各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请各权利要求所要求保护的技术方案。
本实用新型的一较佳实施方式涉及一种两个安全域网络之间的数据单向传输装置。
本实施方式中,以在第一安全域网络10与第二安全域网络20之间进行单向数据传输为例进行说明。其中,第一安全域网络10内包括多个与其通讯相连的第一网络终端(如工业智能设备IED),在第二安全域网络20内包括多个与其通讯相连的第二网络终端(如工业智能设备IED)。
如图1所示,所述数据单向传输装置包括设置于第一安全域网络10的数据入口装置101,设置于第二安全域网络20的数据出口装置102,以及连接于数据入口装置101余数据出口装置102之间的光单向传输通道103。
具体地说,数据入口装置101与第一安全域网络10内的各第一网络终端通讯相连,数据出口装置102与第二安全域网络20内的第二网络终端通讯相连,数据入口装置101与数据出口装置102之间通过光单向传输通道103通讯连接,以私有数据传输协议在光单向传输通道103上进行数据入口装置101至数据出口装置102的单向数据传输。由于在数据单向传输装置内部,数据只能从第一安全域网络的数据入口装置流向第二安全域网络的数据出口装置,不能通过数据单向传输装置上的任何物理开关或软件设定进行改变,而且,没有任何旁路可以使得数据从数据入口装置流向数据出口装置时能不经由光单向传输通道。从而从物理上杜绝外部闯入或受外部病毒侵袭的可能性,有效保障两个安全域网络之间的数据传输的安全性。
其中,光单向传输通道103由数据发送端口、数据接收端口和连接于所述数据发送端口和所述数据接收端口之间的单根光纤构成;数据发送端口设置于数据出口装置102上,数据接收端口设置于数据入口装置101上。具体可以采用光网通信模块来实现,在数据入口装置101和数据出口装置102中分别设置一光网通信模块,常规双向通信的光通信模块同时包含数据发送端口TX和数据接送端口RX。本实施方式中,数据入口装置101中的第一光网通信模块中只包含数据发送端口TX,而不包含数据接收端口RX;数据出口装置102中的第二光网通信模块中只包含数据接收端口RX而不包括数据发送端口TX。光单向传输通道由数据入口装置101的第一光网通信模块的TX端口、数据出口装置102的第二光网通信模块的RX端口,以及二者之间的单根光纤组成。从而从物理上确保光单向传输通道103只能进行单向传输,且从物理上没有任何旁路可以使得数据从数据入口装置流向数据出口装置时能不经由光单向传输通道。
作为进一步改进,数据入口装置101上设置有数据入端口A,数据入口装置10通过数据入端口A在第一安全域网络10内采集第一网络终端的数据;数据入端口A可以是工业信息网络中常见的各种端口,如串行通讯接口(RS-232-C串口、RS-422串口、RS485串口等)、以太网络接口、USB接口、以及其他现场总线接口。一个数据入端口(数据入端口A)可以包括一个或一个以上物理接口。数据入端口A可以通过相同的一种或者不同的多种通讯协议(或通讯规约)进行数据采集;其中通讯协议(或通讯规约)可以包括:工业通讯协议或信息系统通讯协议等。
数据出口装置102上包括数据出端口B,数据出口装置102通过数据出端口B将数据转发到第二网络终端;数据出端口B可以是工业信息网络中常见的各种端口,如串行通讯接口(RS-232-C串口、RS-422串口、RS485串口等)、以太网络接口、USB接口、以及其他现场总线接口。数据出端口B同样可以包括一个或一个以上物理接口。相应地,数据出端口B可以通过相同的一种或者不同的多种通讯协议(或通讯规约)进行数据转发;其中通讯协议(或通讯规约)可以包括:工业通讯协议或信息系统通讯协议等。
从而使得该数据单向传输装置能够很好地兼容不同类型的工业信息网络中各类工业数据的传输。
作为进一步改进,所述数据入口装置101内可以进一步包括:
数据采集模块,用于在第一安全域网络内采集第一网络终端数据;
第一协议转换模块,用于对所采集到的数据进行原协议至私有通讯协议转换的;
第一光网通信模块,用于将转换后的数据通过光单向传输通道进行传输。
数据出口装置102内可以进一步包括:
第二光网通信模块,用于从光单向传输通道接收数据;
第二协议转换模块,用于对所收到的数据进行私有通讯协议至原协议转换的;
数据转发模块,用于将转换后的数据转发到目标第二网络终端。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本实用新型的创新部分,本实施方式中并没有将与解决本实用新型所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本领域的普通技术人员可以理解,上述各实施方式是实现本实用新型的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本实用新型的精神和范围。