一种基于串行的跨网数据安全摆渡设备和方法

一种基于串行的跨网数据安全摆渡设备和方法

　　技术领域

　　本发明涉及网络安全领域，尤其是涉及一种基于串行的跨网数据安全摆渡设备和方法。

　　背景技术

　　摆渡设备一般是指不连接任何网络的单机，采用一定的安全措施，用于内、外网及不同等级的涉密网络、不同等级的涉密单机之间进行数据交换的专用设备，计算机网络给社会带来了前所未有的便利性，但是也同样对社会产生了严重的安全隐患，基于网络安全引发的事件已经引起全社会的重视。

　　在现有技术中，跨网数据摆渡设备一般是基于TCP协议或者只读媒介或者通过软件层面的数据安全验证，这些方案都有成本高，安装部署复杂的问题，需要进行复杂的设置及定期的更新才能保证数据交互的安全。

　　计算机网络有其灵活性，为了安全及专用的目的，人们组建了各种专用的网络、小型微型的网络，这些网络模式在很大程度上解决了网络安全的问题，至少让网络事故的影响范围局限在一个较小的范围内。但是，这些小微型的专用网络又有与其他网络交互数据的天然需求，这就要求在跨网数据交互安全方面提供对应的方法。

　　发明内容

　　本发明实施例提供一种基于串行的跨网数据安全摆渡设备和方法，用于解决背景技术中的问题。

　　根据本发明的一个方面，提供了一种基于串行的跨网数据安全摆渡设备和方法，包括：第一微控制单元、第二微控制单元、第一专网网络转换模块、第二专网网络转换模块、第一专网串行转换模块、第二专网串行转换模块、串行连接组件，其中所述第一专网网络转换模块、第一专网串行转换模块分别连接于第一微控制单元，所述第二专网网络转换模块、第二专网串行转换模块连接于第二微控制单元，所述第一专网串行转换模块通过串行连接组件与第二专网串行转换模块连接。

　　可选地，所述一种基于串行的跨网数据安全摆渡设备和方法，还包括外壳，所述外壳为矩形外壳，其中所述第一微控制单元、第二微控制单元、第一专网网络转换模块、第二专网网络转换模块、第一专网串行转换模块、第二专网串行转换模块、串行连接组件均封装于外壳内部。

　　可选地，所述第一专网网络转换模块和第二专网网络转换模块的型号均采用CH9212。

　　可选地，所述第一微控制单元和第二微控制单元均采用STM32F103CBT6。

　　可选地，所述第一专网串行转换模块和第二专网串行转换模块均采用MAX232。

　　可选地，所述串行连接组件包括串行总线。

　　发发明还提供了一种基于串行的跨网数据安全摆渡方法，所述方法包括以下步骤：

　　以一个专网为发起点，对应的第一专网网络转换模块作为网络服务器提供通讯服务，专网内的特定应用给对应的网络服务器发送消息报，消息报经过转换传递到第一微控制单元中；

　　在第一微控制单元中进行包的规则验证，验证通过的数据包说明是合法的应用，并传递到第一专网串行转换模块，其中不合法的数据包直接丢弃处理；

　　第一专网串行转换模块对数据进行加密及串行规则的转换然后再通过电压调制系统传递到串行连接组件上；

　　调制的串行信号通过串行连接组件到达另一专用网络的对应的第二专网串行转换模块进行解调，解调后信号进入第二微控制单元；

　　第二微控制单元先进行串行算法解密，检查数据合法性，不合法的数据直接丢弃，合法的数据转换成网络包格式，并对网络包进行包结构分析，检查是否符合预定规范，不符合规范的网络包先丢弃，符合规则的网络包进行解密后再通过第二专网网络转换模块交换到专用网络中，发送给指定的数据接收计算机。

　　可选地：所述第一专网串行转换模块对数据进行加密采用规定的密钥进行AES算法进行网络数据加密。

　　可选地：所述第一专网串行转换模块对数据进行串行规则的转换的具体步骤包括：

　　加密完毕之后的数据作为串行传递的数据源，串行数据在传送之前经过格式转换处理，并对串行数据源进行固定长度的分拆处理，每64个串行数据字节为一组，不足64字节的数据用0补齐，在每个数据段的开始增加数据帧标志，包含标志位、顺序、长度、校验位；

　　经过上述过程，形成连续的数据帧串，对每帧种的数据段特定位置进行抽样取补码运算，这个抽样规则是固定的，便于接收端进行逆向运算处理。

　　可选地：所述第二微控制单元进行串行算法解密的具体步骤包括：

　　对数据帧的标志位等进行校验，检验是完整的数据帧后再对指定位进行补码逆向运算，还原出串行数据段及完整的数据帧；

　　对数据帧进行校验码检查，校验错误的数据帧丢弃，合法的数据帧投入缓冲区并检查数据包的最后一帧是否到达；

　　最后一帧数据包到达后，对缓冲区中的数据进行数据段的重新组合，还原出加密的网络数据包，对数据包采用约定的对称密钥进行AES解码运算，还原出来原始的交换数据。

　　在本发明实施例中，与现有技术相比有益效果是：

　　现有跨网数据摆渡设备基于TCP协议栈或者只读媒介或者通过软件层面的数据安全验证。这些方案都有成本高，安装部署复杂的问题，需要进行复杂的设置及定期的更新才能保证数据交互的安全；

　　本方案以串行通讯为基础，采用私有通讯协议进行数据交互，私有协议的保密性让摆渡设备有较高的安全性，且本方案设计的摆渡设备结构小巧，安装部署简单，不需要长期进行更新维护，部署成本低，特别适用于小微型网络之间的交互或者小微型网络对外定向的数据交互场景，其中定向、加密、简洁、快速、低成本、私有安全是该终端的主要优点。

　　病毒或其他危害网络安全的隐患，基本是借由TCP协议进行传播，本发明采用私有串行数据交换模方法，摒弃TCP数据包方案，通过串行数据包私有加密及安全认证模式，保证数据包的安全性，病毒等都需要附加在一个传输数据报的载体上进行传输，并利用ISO模型中的漏洞伪装为正常的数据，本发明采用私有加密串行协议，避免了有害数据的伪装，避免非法代码的传播。

　　附图说明

　　此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

　　图1是根据本发明实施例可选的一种基于串行的跨网数据安全摆渡设备系统结构模块示意图。

　　图2是根据本发明实施例可选的一种基于串行的跨网数据安全摆渡方法单向数据交换流程图。

　　具体实施方式

　　为了使本技术领域的人员更好地理解本发明，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的的所有其他实施例，都应当属于本发明保护的范围。

　　下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

　　本实施例如图1-2所示，一种基于串行的跨网数据安全摆渡设备和方法，包括：第一微控制单元、第二微控制单元、第一专网网络转换模块、第二专网网络转换模块、第一专网串行转换模块、第二专网串行转换模块、串行连接组件，其中第一专网网络转换模块、第一专网串行转换模块分别连接于第一微控制单元，第二专网网络转换模块、第二专网串行转换模块连接于第二微控制单元，第一专网串行转换模块通过串行连接组件与第二专网串行转换模块连接。

　　进一步地，一种基于串行的跨网数据安全摆渡设备和方法，还包括外壳，外壳为矩形外壳，其中第一微控制单元、第二微控制单元、第一专网网络转换模块、第二专网网络转换模块、第一专网串行转换模块、第二专网串行转换模块、串行连接组件均封装于外壳内部。

　　进一步地，第一专网网络转换模块和第二专网网络转换模块的型号均采用CH9212。

　　进一步地，第一微控制单元和第二微控制单元均采用STM32F103CBT6。

　　进一步地，第一专网串行转换模块和第二专网串行转换模块均采用MAX232。

　　进一步地，串行连接组件包括串行总线。

　　本发明实施例的一种基于串行的跨网数据安全摆渡方法，所述方法包括以下步骤：

　　以一个专网为发起点，对应的第一专网网络转换模块作为网络服务器提供通讯服务，专网内的特定应用给对应的网络服务器发送消息报，消息报经过转换传递到第一微控制单元中；

　　在第一微控制单元中进行包的规则验证，验证通过的数据包说明是合法的应用，并传递到第一专网串行转换模块，其中不合法的数据包直接丢弃处理；

　　第一专网串行转换模块对数据进行加密及串行规则的转换然后再通过电压调制系统传递到串行连接组件上；

　　调制的串行信号通过串行连接组件到达另一专用网络的对应的第二专网串行转换模块进行解调，解调后信号进入第二微控制单元；

　　第二微控制单元先进行串行算法解密，检查数据合法性，不合法的数据直接丢弃，合法的数据转换成网络包格式，并对网络包进行包结构分析，检查是否符合预定规范，不符合规范的网络包先丢弃，符合规则的网络包进行解密后再通过第二专网网络转换模块交换到专用网络中，发送给指定的数据接收计算机。

　　进一步地：所述第一专网串行转换模块对数据进行加密采用规定的密钥进行AES算法进行网络数据加密。

　　进一步地：所述第一专网串行转换模块对数据进行串行规则的转换的具体步骤包括：

　　加密完毕之后的数据作为串行传递的数据源，串行数据在传送之前经过格式转换处理，并对串行数据源进行固定长度的分拆处理，每64个串行数据字节为一组，不足64字节的数据用0补齐，在每个数据段的开始增加数据帧标志，包含标志位、顺序、长度、校验位；

　　经过上述过程，形成连续的数据帧串，对每帧种的数据段特定位置进行抽样取补码运算，这个抽样规则是固定的，便于接收端进行逆向运算处理。

　　进一步地：所述第二微控制单元进行串行算法解密的具体步骤包括：

　　对数据帧的标志位等进行校验，检验是完整的数据帧后再对指定位进行补码逆向运算，还原出串行数据段及完整的数据帧；

　　对数据帧进行校验码检查，校验错误的数据帧丢弃，合法的数据帧投入缓冲区并检查数据包的最后一帧是否到达；

　　最后一帧数据包到达后，对缓冲区中的数据进行数据段的重新组合，还原出加密的网络数据包，对数据包采用约定的对称密钥进行AES解码运算，还原出来原始的交换数据

　　在本发明中，第一专网网络转换模块和第二专网网络转换模块用于进行网络信号的转换，第一微控制单元和第二微控制单元用于进行数据包的封装及加解密算法的实现及串行数据的编码，第一专网串行转换模块和第二专网串行转换模块用于对数据进行串行规则的加密、串行规则的附加和电压调制与解调，两组对应的模块经过对称逆向连接，形成完整的终端硬件结构体系；

　　本终端发明方案的核心系统是基于逆向对称结构的应用及内置的数据加密解密算法处理以及定向通讯功能的控制，数据从任何一个专用网络发起都经过上述过程转发到接收数据的专用网络中，通过上述循环，实现数据在链接的网络间交换。

　　本发明的实施有益效果：

　　逆向对称交互架构：本发明的一种基于串行的跨网数据安全摆渡方法采用网络对串行应用的逆向交互方案，通用的方案是对网络与串行通讯的直接应用，单纯的进行串行及网络数据格式的交互，本终端采用逆向对称的交互架构，网络信号通过转换变成串行信号再经过转换变成网络信号，实现跨网络的网络信号数据的交互。

　　定向通讯机制：本发明的一种基于串行的跨网数据安全摆渡设备，只支持终端允许的定向的数据通讯，通过一个网络出去的信号数据只允许定向的传输到特定的接收机端，在跨接的网络中实现单点的定向通讯，避免非法通讯。

　　串行通讯私有模型：本发明的网络数据加密及转换串行数据后的数据加密采用私有协议实现。

　　跨网数据定点交互：通过本发明的连接在两个专用网络间建立定点的数据交互渠道，只有单个节点可以进行数据交互，避免网络内的终端产生非法通讯的可能。

　　专用网络的安全：专用网络中的安全问题大都由网络内计算机产生了非法通讯或者接收到非法数据导致，通过本发明的链接，实现了对数据访问的控制，一端网络内只有定点的终端才能进行数据交互，其他计算机不能产生数据交互。从而保证网络内计算机的安全。

　　数据交互安全本发明通讯数据经过网络层加密和串行层加密，两种不同的加密方案的积，防止恶意破坏或者数据绑定；通过私有的加密协议保护，经过终端交互的数据可以安全的传送到定点终端，通过应用层再进行一次分析认证确保数据安全有效，防止非法数据潜藏。

　　以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。