一种跨网数据安全交换设备制造技术

本实用新型专利技术公开了一种跨网数据安全交换设备，包括信任端单元和非信任端单元；所述非信任端单元包括有非信任端传输装置、非信任端运算装置、非信任端存储装置和非信任端隔离传输装置，所述信任端单元包括信任端传输装置、信任端运算装置、信任端存储装置和信任端隔离传输装置，所述非信任端隔离传输装置中还包括有非信任端接收装置，所述信任端隔离传输装置中包括有信任端发送装置，所述非信任端接收装置和信任端发送装置通讯连接。本实用新型专利技术中，在非信任端单元增加接收装置，在信任端单元增加发送装置构建两条独立的数据传输通道，两条通道协同工作，解决数据传输中的机密性和完整性问题，提升数据交换性能。

【技术实现步骤摘要】
一种跨网数据安全交换设备
本技术涉及数据交换设备
，具体涉及一种跨网数据安全交换设备。
技术介绍
随着电子信息化建设的不断发展，用户建设了大量专用网络，跨网信息交换共享需求越来越强烈，为了满足信息交互的同时保证安全性，目前大量采用了隔离技术，网络安全隔离设备部署在不同安全域网络之间，利用隔离技术实现数据安全交换，隔离低安全级别网络和高安全级别网络，既能够实现抵御各种基于网络协议的攻击行为，又能够实现不同安全级别的网络之间的安全可控数据交换。在不同安全域之间部署网络安全隔离硬件设备以防范跨网攻击，已成为一种必要的安全防御手段。为跨网信息共享提供安全保障的同时，安全隔离设备自身的安全性也必须加强，2019年网络安全等级保护制度2.0标准推出，其中利用硬件可信计算技术保证运算安全、存储安全的规定已成为重要的安全技术。随着网络环境愈加复杂，对隔离设备的安全能力要求也逐步提高，目前较多采用单向隔离光闸保证重要业务系统的安全性，单向隔离设备典型采用双主机+光隔离部件架构，通过单向隔离部件构建一条单向物理传输通道，实现信任网络和非信任网络之间的单向隔离和数据传输。数据传输交换过程中采用网络安全、系统安全、数据安全相关的技术防护措施，保护数据存储、传输安全，防止数据泄露，保护数据安全。如图1所示，现有技术中，单向隔离设备利用光的单向传输性，在非信任端单元与信任端单元之间构造一条单向传输通道，隔离TCP传输协议，利用两侧的隔离传输装置的发送装置及接收装置实现数据单向传输；非信任端单元的传输装置与数据存储装置连接，建立源数据获取通道；信任端单元的传输装置与数据存储装置连接，建立数据推送通道；运算装置利用CPU、时钟、总线数据传输及操作系统实现数据预处理、协议转换、安全规则匹配等功能；存储装置利用易失性存储及非易失性存储资源实现数据暂时存储。现有单向隔离设备采用单向隔离部件构建单向传输通道，实现信任端单元和非信任端单元之间业务数据交换，能够抵御网络嗅探、渗透攻击等黑客攻击手段，具备较高的安全性。但现有技术方案在具体实践中也体现出一些缺点和不足，严重时不能满足业务系统的正常运行。具体如：(1)传输性能低。避免数据传输过程丢失，只能降低单向传输装置的传输性能。(2)数据完整性差。由于单向传输装置没有反馈机制，数据一旦发生丢失或损坏，需要人工介入，数据恢复成本较高；(3)安全性不足。非信任端装置运算单元及存储单元没有安全保护措施，系统发生未知威胁(例如零日漏洞)攻击的情况下可能会造成系统被破坏、植入恶意代码，导致业务系统无法正常运行，数据存在泄漏风险。
技术实现思路
针对现有技术的不足，本技术旨在提供一种跨网数据安全交换设备。为了实现上述目的，本技术采用如下技术方案：一种跨网数据安全交换设备，包括信任端单元和非信任端单元；所述非信任端单元包括有非信任端传输装置、非信任端运算装置、非信任端存储装置和非信任端隔离传输装置，所述非信任端传输装置、非信任端运算装置和非信任端隔离传输装置依次连接，所述非信任端存储装置连接所述非信任端运算装置；所述信任端单元包括信任端传输装置、信任端运算装置、信任端存储装置和信任端隔离传输装置，所述信任端隔离传输装置、信任端运算装置和信任端传输装置依次连接，所述信任端存储装置连接所述信任端运算装置；所述非信任端传输装置用于连接部署在非信任端单元的数据存储装置，所述信任端传输装置用于连接部署在信任端单元的数据存储装置；所述非信任端隔离传输装置中包括有非信任端发送装置，所述信任端隔离传输装置中包括有信任端接收装置，所述非信任端发送装置和所述信任端接收装置通讯连接；所述非信任端隔离传输装置中还包括有非信任端接收装置，所述信任端隔离传输装置中包括有信任端发送装置，所述非信任端接收装置和信任端发送装置通讯连接。作为一种优选方案，所述非信任端单元中包括有可信加固装置，所述非信任端传输装置通过所述可信加固装置与所述非信任端运算装置连接，所述可信加固装置还连接于所述非信任端存储装置。作为另一种优选方案，所述信任端单元中包括有可信加固装置，信任端隔离传输装置通过可信加固装置连接信任端运算装置，可信加固装置还连接于信任端存储装置。作为再一种优选方案，所述非信任端单元和信任端单元中均包括有可信加固装置；所述非信任端传输装置通过非信任端单元的可信加固装置与所述非信任端运算装置连接，非信任端单元的可信加固装置还连接于所述非信任端存储装置；信任端隔离传输装置通过信任端单元的可信加固装置连接信任端运算装置，信任端单元的可信加固装置还连接于信任端存储装置。进一步地，所述可信加固装置为TPM安全芯片。进一步地，所述非信任端传输装置以以太或光纤形式连接部署在非信任端单元的数据存储装置；信任端传输装置以以太或光纤形式连接部署在信任端单元的数据存储装置。进一步地，非信任端发送装置以光纤形式连接信任端接收装置，信任端接收装置以光纤形式连接非信任端发送装置。进一步地，信任端发送装置以光纤形式连接非信任端接收装置，非信任端接收装置以光纤形式连接信任端发送装置。本技术的有益效果在于：1、在非信任端单元增加接收装置，在信任端单元增加发送装置构建两条独立的数据传输通道，两条通道协同工作，解决数据传输中的机密性和完整性问题，提升数据交换性能。2、在非信任端装置中通过PCI-E总线技术部署可信加固装置硬件，可以保护非信任端装置的运算单元不被破坏及存储单元的数据完整性，使跨网数据安全交换设备具备抵御未知威胁的能力。附图说明图1为现有的跨网数据安全交换设备组成示意图；图2为本技术实施例1的跨网数据安全交换设备组成示意图。具体实施方式以下将结合附图对本技术作进一步的描述，需要说明的是，本实施例以本技术方案为前提，给出了详细的实施方式和具体的操作过程，但本技术的保护范围并不限于本实施例。实施例1本实施例提供一种跨网数据安全交换设备。首先对相关术语作简单介绍。跨网数据交换：在两个相互隔离的处于不同安全域之间进行数据交换。数据防篡改：防止数据在存储或传输过程中被篡改的技术防护措施。访问控制：根据访问策略限制已授权的用户、程序、进程或计算机网络中其它系统访问本系统资源的过程。白名单控制机制：与黑名单机制对应，只允许在白名单中的用户、程序或进程访问资源。可信计算：可信就是要做到一个实体在实现给定目标时其行为总是如同预期一样的结果，强调行为结果的可预测和可控。可信计算是指系统提供的计算行为能够满足需求者对计算的期望，并且系统具有能够证明其计算可信性的能力。本实施例的跨网数据安全交换设备，如图2所示，包括信任端单元和非信任端单元；所述非信任端单元包括有非信任端传输装置、非信任端运算装置、非信任端存储装置和非信任端隔离传输装置，所述非信任端传输装置、非信任端运算装置和非信任端隔离传输装置依次连接，所述非信任端存储装置连接所述非信任本文档来自技高网...

【技术保护点】
1.一种跨网数据安全交换设备，包括信任端单元和非信任端单元；所述非信任端单元包括有非信任端传输装置、非信任端运算装置、非信任端存储装置和非信任端隔离传输装置，所述非信任端传输装置、非信任端运算装置和非信任端隔离传输装置依次连接，所述非信任端存储装置连接所述非信任端运算装置；所述信任端单元包括信任端传输装置、信任端运算装置、信任端存储装置和信任端隔离传输装置，所述信任端隔离传输装置、信任端运算装置和信任端传输装置依次连接，所述信任端存储装置连接所述信任端运算装置；所述非信任端传输装置用于连接部署在非信任端单元的数据存储装置，所述信任端传输装置用于连接部署在信任端单元的数据存储装置；所述非信任端隔离传输装置中包括有非信任端发送装置，所述信任端隔离传输装置中包括有信任端接收装置，所述非信任端发送装置和所述信任端接收装置通讯连接；其特征在于，所述非信任端隔离传输装置中还包括有非信任端接收装置，所述信任端隔离传输装置中包括有信任端发送装置，所述非信任端接收装置和信任端发送装置通讯连接。/n

【技术特征摘要】
1.一种跨网数据安全交换设备，包括信任端单元和非信任端单元；所述非信任端单元包括有非信任端传输装置、非信任端运算装置、非信任端存储装置和非信任端隔离传输装置，所述非信任端传输装置、非信任端运算装置和非信任端隔离传输装置依次连接，所述非信任端存储装置连接所述非信任端运算装置；所述信任端单元包括信任端传输装置、信任端运算装置、信任端存储装置和信任端隔离传输装置，所述信任端隔离传输装置、信任端运算装置和信任端传输装置依次连接，所述信任端存储装置连接所述信任端运算装置；所述非信任端传输装置用于连接部署在非信任端单元的数据存储装置，所述信任端传输装置用于连接部署在信任端单元的数据存储装置；所述非信任端隔离传输装置中包括有非信任端发送装置，所述信任端隔离传输装置中包括有信任端接收装置，所述非信任端发送装置和所述信任端接收装置通讯连接；其特征在于，所述非信任端隔离传输装置中还包括有非信任端接收装置，所述信任端隔离传输装置中包括有信任端发送装置，所述非信任端接收装置和信任端发送装置通讯连接。


2.根据权利要求1所述的跨网数据安全交换设备，其特征在于，所述非信任端单元中包括有可信加固装置，所述非信任端传输装置通过所述可信加固装置与所述非信任端运算装置连接，所述可信加固装置还连接于所述非信任端存储装置。


3.根据权利要求1所述的跨网数据安全交换设备，其特征在于，...

【专利技术属性】
技术研发人员：李超，赵利，杨卫军，温万造，尹丹，李隐虬，柴智，
申请(专利权)人：公安部第一研究所，
类型：新型
国别省市：北京;11