一种单向数据传输方法、装置及存储介质与流程

本发明涉及数据安全领域，尤其涉及一种单向数据传输方法、装置及存储介质。

背景技术：

1、随着云桌面技术的发展，越来越多的企业和组织开始采用云桌面系统以便于集中管理虚拟机和终端设备。然而，在传统的云桌面系统中，用户通过统一的网络访问和控制虚拟机，这种集中式架构存在着安全隐患，尤其是在传输和处理敏感文件时。由于终端接入网络和业务数据网络通常共享同一网络，用户通过管理界面对虚拟机进行操控时，可以直接访问、拷贝云桌面计算机中的敏感数据，造成数据泄露的风险。

2、针对科技类、研发型企业，办公多划分了外网（互联网）和内网（办公网），尤其是有保密性或安全性要求的企业，外网和内网之间实现了隔离，从外网导入资料到内网需要通过人工或其他人为手段进行，大大降低了研发人员的工作效率，对于研发人员需要即时查资料、复制资料等，尤其是代码开发需要从互联网参考代码时会很不方便，市面上针对这种场景还未有现成的产品和技术满足需求。

技术实现思路

1、本发明提供一种单向数据传输方法、装置及存储介质，旨在至少解决现有技术中存在的技术问题之一。

2、本发明的技术方案为一种单向数据传输方法，所述的单向数据传输方法应用在单向数据传输装置上，所述的单向数据传输装置包括依次连接的外网客户端、单向隔离网闸和内网客户端，所述外网服务端设置在与外网连接的外网上位机上，所述内网服务端设置在与内网连接的内网上位机上；所述单向隔离网闸包括：外网处理模块，所述外网处理模块包括依次连接的外网接入单元和外网隔离单元，所述外网隔离单元设置有外网数据安全岛；隔离模块，用于ipsec处理和算法加解密；内网处理模块，所述内网处理模块包括依次连接的内网隔离单元和内网接入单元；主控模块，用于执行密钥协商和运维管理；安全防护模块，用于采集和传递销毁信号，所述的单向数据传输方法包括：

3、s100、使用同一个账号登录外网服务端和内网服务端，建立外网上位机、单向隔离网闸和内网上位机之间的通信链路；

4、s200、外网服务端持续监听外网上位机的剪切板内容和文件变更情况，若外网服务端捕捉变更，读取变更数据，并通过网络协议将变更数据发送到单向隔离网闸；

5、s300、单向隔离网闸的外网处理模块接收变更数据，并将变更数据缓存至外网数据安全岛；

6、s400、单向隔离网闸的隔离模块将缓存在外网数据安全岛的变更数据缓存至内网数据安全岛；

7、s500、单向隔离网闸的内网处理模块接收并重构变更数据，并转发至内网客户端；

8、s600、内网客户端定时从单向隔离网闸获取变更数据，并将变更数据写入内网上位机的剪切板或保存为内网上位机的文件。

9、进一步，所述步骤s300包括：

10、s310、外网接入单元剥离tcp/ip协议，得到净荷数据，所述净荷数据为所述变更数据中数据内容；

11、s320、外网接入单元将所述净荷数据发送至外网隔离单元；

12、s330、外网隔离单元接收净荷数据，并同时存入外网数据安全岛。

13、进一步，所述步骤s400包括：

14、s410、外网隔离单元断开与外网接入单元的连接；

15、s420、外网隔离单元连接内网隔离单元；

16、s430、外网隔离单元将净荷数据发送至内网隔离单元；

17、s440、内网隔离单元接收净荷数据，并同时存入内网数据安全岛。

18、进一步，所述步骤s500包括：

19、s510、内网隔离单元断开与外网隔离单元的连接；

20、s520、内网隔离单元连接内网接入单元；

21、s530、内网隔离单元将净荷数据发送至内网接入单元；

22、s540、内网接入单元重新封装网络协议，并转发至内网客户端。

23、进一步，所述步骤s300前还包括：外网处理模块接收到外网上位机发送的剪切板数据，首先对数据格式进行校验，确认数据格式是否正确，然后对数据进行私有化协议转换，若数据格式校验不通过，对数据进行丢弃；

24、所述步骤s400前还包括：隔离模块接收外网处理模块发送的数据，首先对数据格式进行校验，校验不通过的数据进行丢弃；

25、所述步骤s500前还包括：内网处理模块接收隔离模块发送的数据，首先对数据格式进行校验，确认数据格式是否正确，如数据格式校验不通过，对数据进行丢弃，数据格式校验通过数据转换模块对数据进行私有化协议转换，最后将转换后的数据写入内网客户端软件的内网单元数据队列中。

26、进一步，本发明还提出一种单向数据传输装置，用于执行所述的单向数据传输方法，所述的单向数据传输装置包括依次连接的外网客户端、单向隔离网闸和内网客户端，其中，

27、所述外网服务端设置在与外网连接的外网上位机上，所述内网服务端设置在与内网连接的内网上位机上，其中，内网安全等级高于外网；

28、所述单向隔离网闸包括：

29、外网处理模块，所述外网处理模块包括依次连接的外网接入单元和外网隔离单元，所述外网隔离单元设置有外网数据安全岛；

30、隔离模块，用于ipsec处理和算法加解密，所述隔离模块与所述外网处理模块通过低压差分信号技术接口lvds连接；

31、内网处理模块，用于五元组过滤和数据转发，所述内网处理模块包括依次连接的内网隔离单元和内网接入单元，所述内网处理模块与所述隔离模块通过低压差分信号技术接口lvds连接，仅允许数据从外网隔离单元单向流动到内网隔离单元；

32、主控模块，用于执行密钥协商和运维管理，所述主控模块与所述隔离模块通过用于业务数据通道的吉比特介质独立接口rgmii（reduced gigabit media independentinterface，rgmii）和用于管理数据通道的安全数字输入输出接口sdio（secure digitalinput and output，sdio）连接；

33、安全防护模块，用于采集和传递销毁信号，所述安全防护模块与所述主控模块通过通用异步收发接口uart连接。

34、进一步，所述外网处理模块包括用于mac学习和运维管理代理的外网cpu、用于五元组过滤和数据转发的外网fpga和第一以太网接口，所述外网cpu和所述外网fpga通过安全数字输入输出接口（secure digital input and output,sdio）连接，所述第一以太网接口自适应10m/100m/1000m网络；

35、所述隔离模块包括隔离fpga；

36、所述内网处理模块包括内网fpga、第二以太网接口和第三以太网接口，所述第二以太网接口和所述第三以太网接口自适应10m/100m/1000m网络；

37、所述主控模块包括主控cpu和通过i2c总线连接的认证接口，所述认证接口与所述主控cpu连接；

38、所述安全防护模块包括安防mcu、与所述安防mcu连接的销毁输入端。

39、进一步，所述主控cpu上设置有用于实现密钥协商和运维管理的主控cpu软件，所述主控cpu软件包括：

40、主控cpu通信模块，所述主控cpu通信模块用于与外网cpu、隔离fpga和内网fpga的通信；

41、配置管理模块，所述配置管理模块接收配置查询命令，执行对设备各配置查询的动作；

42、安全策略管理模块，所述安全策略管理模块用于对安全策略规则的配置、查询和修改；

43、密钥协商模块，所述密钥协商模块用于ipsec协议的协商过程，并生成spd表和sad表；

44、密码管理模块，所述密码管理模块用于导入和管理算法参数、密钥等资源；

45、自检模块，所述自检模块用于随机数自检和算法自检，随机数自检完成对随机数芯片产生的随机数质量的检测，判断是否符合随机数规范要求，算法自检时使用预置数据检验算法是否处于正常工作状态。

46、进一步，所述外网cpu上设置有用于mac学习、管理代理和策略管理的外网cpu软件，所述外网cpu软件包括：

47、mac学习模块，所述mac学习模块用于配合外网fpga完成mac学习；

48、管理代理模块，所述管理代理模块用于配合设备的运维管理完成对外网cpu的管理；

49、外网cpu通信模块，所述外网cpu通信模块用于提供与设备内部其他单元之间的内部通信。

50、进一步，本发明还提出一种计算机可读存储介质，其上储存有程序指令，所述程序指令被处理器执行时实施所述的单向数据传输方法。

51、本发明的有益效果是：

52、所述的单向数据传输方法、装置及存储介质，通过采用实体计算刀片，并通过物理隔离的双网络设计，将管理网络与业务数据传输网络彻底分离。该技术方案确保用户在云桌面系统中仅能操控云pc的界面和操作，无法直接访问云pc中的文件或数据，保障了数据传输的安全性。