基于十六进制码实现物理隔离网络间数据传输的装置及方法
【技术领域】
[0001]本发明涉及网络信息安全交换技术领域,尤其涉及一种基于十六进制码实现物理隔离网络间数据传输的装置及方法。
【背景技术】
[0002]随着信息技术的深入发展,病毒、黑客等严重威胁计算机信息系统的安全。为防止涉及国家秘密的计算机及信息系统受到来自互联网等公共信息网络的攻击,2000年I月I日国家保密局实施了《计算机信息系统国际联网保密管理规定》,其第六条规定:涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离。
[0003]实行内网和外网的物理隔离,可确保内网不会受到外网的非法攻击,同时,实行物理隔离也为涉密计算机及信息系统划定了明确的安全边界,使得网络的可控性增强,便于内部管理和防范。现在,物理隔离技术已成为网络安全保密体系中不可缺少的重要手段。
[0004]目前,物理隔离的手段主要有通过中间机手工刻录光盘、隔离网闸和隔离卡等方式。
[0005]中间机手工刻录光盘是最安全的,但因其数据不能实时同步,无法实现自动数据交换,效率较低。
[0006]而隔离网闸在功能设计时兼顾了访问WEB、收发E-MAIL等功能,采用了协议转换、双向交换等机制,带来了一定的安全隐患,被国家保密局认定为逻辑隔离产品,并明确规定不得用于涉密网络与互联网之间进行隔离和数据交换。
[0007]隔离卡主要是在计算机上使用一套CPU主板等主要部件,再配备两块硬盘,通过硬件卡连接不同网络接口,从而分配给内网和外网使用。一旦隔离卡本身物理失效,就可能导致内外网信息隔离失败。因此,隔离卡不是真正意义的物理隔离。
[0008]事实上,双网隔离需求是现实应用中的切实需求,因此真正的双网隔离技术需要从物理层面来设计,在完全物理隔离的基础上还要实现数据的有效传输。
【发明内容】
[0009]为解决现有物理隔离状态下的两个网络间传输数据时无法实时、同步、安全、可靠的进行数据传输的问题,本发明提供了一种基于十六进制码采集实现物理隔离状态下的两个网络间数据传输的装置及方法。
[0010]本发明采用的技术方案如下:
一种基于十六进制码实现物理隔离网络间数据传输的装置,包括数据源计算机及其显示屏幕、图像采集设备和目标计算机,数据源计算机和目标计算机分别位于物理隔离状态下的两个网络中,图像采集设备与目标计算机的数据输入端连接,数据源计算机内置数据源生成模块,用于将源数据压缩加密后分组拆分为多组数据,每组数据中嵌入该组数据的编号、密钥、数据有效标示及屏幕显示规则,按约定的屏幕发送顺序规则分屏发送给显示屏幕;显示屏幕用于按约定的屏幕显示规则以十六进制码字符形式显示数据,每屏显示一组数据;图像采集设备用于采集显示屏幕上的图像并传输给目标计算机;目标计算机内置解析模块,用于识别接收到的图像并对图像进行解析,将解析出的各组密文、密钥、组编号、数据有效标示及屏幕显示规则按与数据源生成模块加密时一致的方式进行解密,生成各组数据,再进行组包解压缩后得到与源数据一致的数据。数据源计算机和目标计算机可以是分别处于物理隔离状态的两个网络中的节点计算机(比如,内网和外网),也可以是两台相互独立的计算机(比如,一台为涉密机,另一台为非密机)。该装置也可代替传统中间机。
[0011]该装置所用的图像采集设备需具备实时调整扫描范围和采集频率功能,具备采集图像实时传输到目标计算机的功能,采集频率高于5帧/秒,分辨率在500万像素以上。优选的,所述的图像采集设备为黑白工业相机,其图像采集速率与数据源生成模块将各组数据在显示屏幕上逐屏显示的速率相匹配。这种相机性能稳定,可连续长时间工作。
[0012]利用上述装置基于十六进制码实现物理隔离网络间数据传输的方法,包括以下步骤:
步骤一,在数据源计算机内建立存储空间,将需要传输的源数据经压缩加密后发送到该存储空间;
步骤二,数据源生成模块从指定的存储空间中读取经压缩加密处理后的源数据,按一定算法将其转换为多组数据,并将各组数据的编号、密钥、数据有效标示及屏幕显示规则嵌入对应数据组中;
步骤三,数据源生成模块将各组数据按约定的屏幕发送顺序规则发送至显示屏幕,显示屏幕以十六进制码字符形式显示数据,一屏显示一组,显示屏幕翻屏显示各组数据;步骤四,图像采集设备实时拍摄整个显示屏幕,生成图像,并传输给目标计算机;
步骤五,目标计算机内的解析模块识别接收到的各个图像,解析出各图像所对应数据组的密文、密钥、编号、数据有效标示及屏幕显示规则,并进一步解密得到多组有效数据;步骤六,解析模块将多组有效数据按约定的屏幕发送顺序规则进行组合后得到有效的压缩源数据,再对该数据进行解压缩生成与源数据一致的目标数据,并存储至目标计算机指定位置。
[0013]所述的屏幕显示规则是指每组数据以十六进制码在屏幕上显示时字符的显示顺序规则。为防止信息泄露,数据源生成模块生成的数据在屏幕上显示时并不按原有的顺序对应显示,而是按一定的规则重新编排顺序,即先对源数据分组,每组赋予一个编号,然后对于每组数据,需约定各字符的显示顺序,并作为屏幕显示规则将该信息嵌入十六进制码中,解析模块再根据屏幕显示规则还原每组字符的原顺序,并根据组编号还原源数据。
[0014]每组数据在发送时按照约定的顺序发送,发送顺序以每组的编号为基础进行编排,所述的约定的屏幕发送顺序规则是指根据每组数据的编号按自定义的顺序发送。
[0015]步骤二中数据源生成模块将源数据转换为至少5组数据,当源数据量不足5组时,其它组由按一定算法生成的数据组成,当某组数据不足整组时,其他数据用按一定算法生成的数据填充。这里所说的一定算法是计算机领域技术人员根据需求所定义的数学模型,可以是有不同的类型。显示屏幕显示时,将以上数据均以十六进制码字符形式显示。
[0016]一屏对应一组数据,满屏显示,每组数据的大小由显示屏幕的分辨率以及每个十六进制码字符所占据像素点阵决定。
[0017]优选的,步骤五中从图像信息中识别十六进制码字符时采用基于神经网络的十六进制码字符识别技术。
[0018]进一步,步骤五中解析模块将每组解密后的数据按数据有效标示表示的有效数据数量截取对应数量的解密数据,打上该组的编号,得到该组数据。之后根据各组的编号将数据进行组合,得到与源数据一致的目标数据。数据有效标示是一个整数,表示该组数据的有效数据数量,如果是O则表示该组数据中没有有效数据。
[0019]本发明所述的十六进制编码字符采用自定义符号,每个符号使用3*5的像素点阵显示,并有一个像素的边界,每个字符占据4*6像素点阵的区域。如显示屏幕分辨率为1024*768,则每组为(1024/4) *(768/6) =256*128十六进制码字符的数组。
[0020]本发明有以下有益效果:
(1)使物理隔离状态下的两网间数据传输能够实时、同步自动进行,同时数据的传输更加安全与可靠;
(2)由于对源数据进行十六进制码的生成和解析均采用自定义的一定算法,不具有通用性,安全性更高;
(3)采用十六进制编码,屏幕显示每个字符只需3*5像素点阵即可识别,加上边界只需4*6像素点阵的显示区域,若以分辨率为1024*768的计算机屏幕显示,每屏可显示(1024/4) * (768/6) /2=16384=16KByte,以(5~20)帧/秒的速率采集,每秒的采集速率大约为(80~320)KByte,因此具有较高的传输速率;
(4)此装置及方法可用于物理隔离网络间数据传输、两台单独的计算机间数据传输,也可替代传统中间机所使用的移动存储介质来进行数据交换,适用范围极广。
【附图说明】
[0021]图1是本发明装置的系统构成图;
图2是本发明方法的流程图;
图3是传统十六进制码的16个字符符号;
图4是本发明自定义的十六进制码的16个字符符号;
图中,1、数据源计算机,2、微机视频干扰仪,3、显示屏幕,4、图像采集设备,5、目标计算机