技術(shù)領(lǐng)域

本發(fā)明涉及跨網(wǎng)安全數(shù)據(jù)傳輸領(lǐng)域，尤其涉及一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備及其實(shí)現(xiàn)方法。

背景技術(shù)

在跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備的研制初期經(jīng)常使用單向傳輸設(shè)備，但僅僅在物理上保證了傳輸?shù)膯蜗蛐裕⒉粚?duì)傳輸數(shù)據(jù)進(jìn)行驗(yàn)證，不能保護(hù)不該導(dǎo)出的數(shù)據(jù)被非法導(dǎo)出。同時(shí)，目前的單向傳輸設(shè)備僅能應(yīng)用在低保護(hù)區(qū)域的數(shù)據(jù)向高保護(hù)區(qū)域內(nèi)傳輸，而實(shí)際中，有很多應(yīng)用場(chǎng)景需要提供從高保護(hù)區(qū)域傳輸數(shù)據(jù)到低保護(hù)區(qū)域，故現(xiàn)有技術(shù)中的跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備無(wú)法滿足實(shí)際應(yīng)用中的需要。

發(fā)明內(nèi)容

本發(fā)明提供了一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備及其實(shí)現(xiàn)方法，本發(fā)明實(shí)現(xiàn)了從高保護(hù)區(qū)域向低保護(hù)區(qū)域的數(shù)據(jù)傳輸方式，防止了惡意程序?qū)⒉辉搶?dǎo)出的數(shù)據(jù)隱藏導(dǎo)出，詳見(jiàn)下文描述：

一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備，所述跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備包括：內(nèi)網(wǎng)CPU單元、堡壘CPU單元、以及外網(wǎng)CPU單元，

所述內(nèi)網(wǎng)CPU單元與所述堡壘CPU單元之間設(shè)置有專用硬件隔離單元，通過(guò)所述專用硬件隔離單元實(shí)現(xiàn)專用數(shù)據(jù)傳輸協(xié)議；所述專用硬件隔離單元隔離來(lái)自內(nèi)網(wǎng)的攻擊；

所述堡壘CPU單元與所述外網(wǎng)CPU單元之間設(shè)置有物理單向數(shù)據(jù)傳輸單元，保證了數(shù)據(jù)傳輸?shù)奈锢韱蜗蛐裕?/p>

內(nèi)網(wǎng)計(jì)算機(jī)將待發(fā)送數(shù)據(jù)及數(shù)據(jù)摘要的簽名值，依次通過(guò)所述內(nèi)網(wǎng)CPU單元、所述專用硬件隔離單元傳輸至所述堡壘CPU單元；

所述堡壘CPU單元接收?qǐng)?bào)文并進(jìn)行驗(yàn)簽，將驗(yàn)簽通過(guò)的報(bào)文通過(guò)所述物理單向數(shù)據(jù)傳輸單元傳輸?shù)剿鐾饩W(wǎng)CPU單元，數(shù)據(jù)通過(guò)所述外網(wǎng)CPU單元發(fā)送到外網(wǎng)計(jì)算機(jī)。

其中，所述跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備采用基于公鑰密碼算法的數(shù)字簽名技術(shù)。

一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備的傳輸方法，所述傳輸方法包括以下步驟：

內(nèi)網(wǎng)計(jì)算機(jī)對(duì)數(shù)據(jù)進(jìn)行簽名，待發(fā)送數(shù)據(jù)及該數(shù)據(jù)摘要的簽名值，發(fā)送到內(nèi)網(wǎng)CPU單元，內(nèi)網(wǎng)CPU單元通過(guò)專用硬件隔離單元發(fā)送到堡壘CPU單元；

堡壘CPU單元對(duì)數(shù)據(jù)及該數(shù)據(jù)摘要的簽名值進(jìn)行驗(yàn)簽，堡壘CPU單元根據(jù)驗(yàn)簽結(jié)果，將通過(guò)驗(yàn)簽的數(shù)據(jù)經(jīng)物理單向數(shù)據(jù)傳輸單元發(fā)送到外網(wǎng)CPU單元，再到外網(wǎng)計(jì)算機(jī)；

堡壘CPU單元對(duì)轉(zhuǎn)發(fā)成功的數(shù)據(jù)、及拒絕發(fā)送的數(shù)據(jù)進(jìn)行記錄日志處理，供系統(tǒng)管理員審計(jì)查詢和預(yù)警。

其中，所述傳輸方法還包括：

發(fā)送數(shù)據(jù)的內(nèi)網(wǎng)計(jì)算機(jī)安裝國(guó)產(chǎn)操作系統(tǒng)和可信計(jì)算系統(tǒng)，防止惡意軟件侵入和運(yùn)行，防止應(yīng)用軟件和發(fā)送數(shù)據(jù)軟件被非法篡改；

發(fā)送數(shù)據(jù)的內(nèi)網(wǎng)計(jì)算機(jī)插入U(xiǎn)SB KEY或密碼卡，用戶通過(guò)專用的APP軟件與內(nèi)網(wǎng)CPU單元建立連接，進(jìn)行數(shù)據(jù)的導(dǎo)出操作。

其中，所述傳輸方法還包括：

對(duì)跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備采取拉數(shù)據(jù)的方式，在跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備的內(nèi)網(wǎng)CPU單元上直接內(nèi)嵌拉數(shù)據(jù)應(yīng)用軟件，主動(dòng)的從指定的數(shù)據(jù)源拉數(shù)據(jù)。

本發(fā)明提供的技術(shù)方案的有益效果是：本發(fā)明不僅能夠運(yùn)用在低保護(hù)區(qū)域的數(shù)據(jù)向高保護(hù)區(qū)域內(nèi)傳輸，同時(shí)也能應(yīng)用在從高保護(hù)區(qū)域內(nèi)向低保護(hù)區(qū)域的數(shù)據(jù)傳輸方式，避免了惡意程序?qū)⒉辉搶?dǎo)出的數(shù)據(jù)隱藏導(dǎo)出，傳輸過(guò)程中數(shù)據(jù)被篡改；本發(fā)明設(shè)計(jì)的跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備的安全級(jí)別不低于光盤(pán)刻錄模式，滿足了實(shí)際應(yīng)用中的多種需要。

附圖說(shuō)明

圖1為一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備的結(jié)構(gòu)示意圖；

圖2為一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備的工作狀態(tài)示意圖；

圖3為一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸方法的流程圖；

圖4為一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸方法的另一流程圖；

圖5為一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸方法的另一流程圖；

圖6為一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸方法的另一流程圖。

附圖中，各標(biāo)號(hào)所代表的部件列表如下：

1：內(nèi)網(wǎng)CPU單元；2：專用硬件隔離單元；

3：堡壘CPU單元；4：物理單向數(shù)據(jù)傳輸單元；

5：外網(wǎng)CPU單元；6：內(nèi)網(wǎng)計(jì)算機(jī)；

7：外網(wǎng)計(jì)算機(jī)。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。

實(shí)施例1

一種基于三CPU架構(gòu)的跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備，參見(jiàn)圖1和圖2，該跨網(wǎng)安全數(shù)據(jù)傳輸設(shè)備包括：內(nèi)網(wǎng)CPU單元1、專用硬件隔離單元2、堡壘CPU單元3、物理單向數(shù)據(jù)傳輸單元4、外網(wǎng)CPU單元5。