支持多协议代理的跨网传输集成化系统的制作方法

电子通信装置的制造及其应用技术1.本发明属于跨网信息交换领域，涉及一种支持多协议代理的跨网传输集成化系统。背景技术：2.随着不同等级业务网络间应用需求的不断增长，业务信息交换系统对跨网数据的安全性、交换代理模式、设备部署能力等提出了更高的要求，传统的交换代理、单向传输串行连接模式造成设备冗余、部署复杂、运维压力大，具有一定的局限性。此外，常见的网闸或其他单向传输类设备可以解决数据、文件的单向传输，却无法实现常见应用层协议的传输与交互，同时也很难保障数据和文件传输的安全性，比如传输的文件中是否包含敏感信息、是否被植入木马病毒、文件格式是否合规等。技术实现要素：3.针对上述现有技术，本发明提供一种支持多协议代理的跨网传输集成化系统，本发明支持http、ftp、smtp、pop3等常见应用层协议代理，实现文件病毒查杀、基于安全策略的数据格式和内容检查，提供基于物理光纤的网络隔离和数据单向传输功能，广泛应用于跨网信息交换领域。4.为了解决上述技术问题，本发明提出的一种支持多协议代理的跨网传输集成化系统，包括发送端设备和接收端设备，在所述发送端设备和接收端设备之间连接有正向代理设备和反向代理设备，所述的正向代理设备和反向代理设备的内部分别包括有通过平台背板连接的交换代理板卡、安全处理板卡、单向传输板卡、数据交换板卡和配置管理板卡；5.所述发送端设备中部署有由发送软件api接口库组成的数据发送软件，用以与反向代理设备之间进行身份认证和数据传输接收；6.所述的正向代理设备和反向代理设备中：所述交换代理板卡对跨网数据发送软件、通用应用层协议发送的协议包进行病毒扫描，扫描通过后进行私有协议解析、转换，建立协议策略表；对应用层协议进行净荷数据剥离、两级目的地址映射后封装成私有格式的数据报文发送到安全处理板卡；同时，对反向传输进来的应用协议报文进行反向代理，将私有应用协议包进行重组，根据对应的目的地址信息和连接状态发送到接收网络；接收配置管理区的各类配置管理指令；所述安全处理板卡通过商用非对称算法与发送端设备进行基于数字证书的双向连接认证；对传输的业务报文进行完整性验证、来源合法性鉴别；基于安全策略对报文进行文件类型与格式检查、文件内容过滤、流量监控、日志管理，将检查通过的报文发送至单向传输板卡；所述单向传输板卡串联在安全处理板卡和数据交换板卡之间，连接安全处理板卡的仅有光发送，连接数据交换板卡的仅有光接收，光发送和光接收之间通过物理光纤连接，并在光纤上加装光反向抑制器，实现数据可靠的单向无反馈传输；所述数据交换板卡接收光单向传输板卡传送的数据报文，通过报文解析实现业务数据转发、配置管理；实现与反向代理设备之间身份鉴别、数据安全交换；所述配置管理板卡采用b/s架构，部署web server服务，管理员通过管理终端设备浏览器输入用户名及口令进行身份认证，进入配置管理界面，实现系统管理、应用管理、安全策略管理、日志审计、状态查询；7.所述的正向代理设备的数据交换板卡与所述反向代理设备的交换代理板卡之间、所述的反向代理设备的数据交换板卡与所述正向代理设备的交换代理板卡之间分别相连，以实现所述正向代理设备与反向代理设备之间身份鉴别、数据安全交换。8.所述反向代理设备与所述接收端设备相连，所述接收端设备部署数据接收软件，数据接收软件由接收软件api接口库组成，与反向代理设备之间进行身份认证和数据传输接收。9.进一步讲，本发明中，所述交换代理板卡、安全处理板卡和数据交换板卡均分别包括基本组件，所述基本组件包括cpu处理器、桥接芯片、ddr4内存、ssd硬盘和phy芯片；所述的cpu处理器分别与桥接芯片、ddr4内存和phy芯片相连，所述的cpu处理器通过所述的桥接芯片分别与所述的ssd硬盘以及平台背板的pcie接口相连用于数据传输；所述桥接套片用于实现cpu处理器外部usb、vga、pcie、sata接口扩展功能；所述ddr4内存用于数据报文缓存以及操作系统缓存；所述ssd硬盘用于数据存储和系统存储。10.所述的安全处理板卡中，除了基本组件之外，其中的cpu处理器还通过桥接芯片相连有网络隔离fpga，所述的网络隔离fpga连接有ddr3内存，所述ddr3内存用于网络隔离fpga的业务数据缓存；所述的网络隔离fpga分别与平台背板的pcie接口及平台背板的sdio接口相连用于数据传输；所述网络隔离fpga与cpu处理器之间通过桥接套片的pcie接口进行通信。11.所述单向传输板卡包括光单向发送板和光单向接收板，所述光单向发送板和光单向接收板之间通过带有光反向抑制器的光纤连接，从而进行数据单向传输；所述光单向发送板包括光单向发送fpga和光发送模块，所述光单向接收板包括光接收模块和光单向接收fpga，所述光单向接收fpga连接有ddr3内存，所述的ddr3内存用于光单向接收fpga业务数据缓存；所述的光单向发送fpga通过平台背板的pcie接口与安全处理板卡的cpu处理器相连；光单向接收fpga通过平台背板的pcie接口与数据交换板卡的cpu处理器相连。12.所述配置管理板卡包括cpu处理器、flash芯片和phy芯片，所述配置管理板卡中，其中的cpu处理器连接flash芯片和phy芯片用于数据传输；所述的flash芯片用于数据存储和系统存储；所述的cpu处理器通过平台背板的sdio接口通道与所述安全处理板卡的网络隔离fpga相连；所述配置管理板卡通过千兆网络网口与管理终端设备千兆网络接口相连。13.所述安全处理板卡的网络隔离fpga通过平台背板的pcie接口与交换代理板卡的cpu处理器相连；所述安全处理板卡的cpu处理器通过平台背板的pcie接口与所述单向传输板卡的光单向发送fpga)连；所述安全处理板卡通过平台背板的sdio接口与所述配置管理板卡的cpu处理器相连；所述数据交换板卡的cpu处理器通过平台背板的pcie接口与所述单向传输板卡的光单向接收fpga相连。14.所述发送端设备、正向代理设备、反向代理设备和接收端设备之间的连接关系是：所述正向代理设备的交换代理板卡的cpu处理器通过千兆网络接口与发送端设备相连；所述正向代理设备的数据交换板卡的cpu处理器通过千兆网络接口与所述反向代理设备的交换代理板卡的cpu处理器相连；所述反向代理设备的交换代理板卡的cpu处理器通过千兆网络接口与接收端设备相连。15.进一步讲，所述单向传输板卡中，光单向发送fpga与光发送模块之间、光单向接收fpga与光接收模块之间均分别采用两组差分线进行连接；光发送模块与光接收模块之间由所述的带有光反向抑制器的光纤相连，利用磁光晶体的法拉第效应来隔离光反射，抑制光反向信号。16.进一步讲，所述交换代理板卡、安全处理板卡、单向传输板卡的光单向发送板由一路电源独立供电，所述单向传输板卡的光单向接收板和数据交换板卡由另一路电源独立供电，且两路电源均采用冗余电源设计，且以光纤为界限。17.与现有技术相比，本发明的有益效果是：18.(1)本发明系统中的单向传输板卡中，所述的光发送模块和光接收模块之间的光纤链路上串接了光反向抑制器，利用法拉第光偏转效应，从物理特性上有效屏蔽反射光源回路，实现低插损、高可靠性、高稳定性的光单向传输。19.(2)本发明系统中设计了多层纵深安全防护架构，通过正向、反向代理设备构建了一条对应用层协议进行代理的双向安全回路，同时，设计了基于安全策略的多级检查和过滤机制，具有较高的安全防御能力。20.(3)本发明系统将病毒查杀、应用层协议代理、数据安全检查、单向隔离传输等多功能集成一体，便于信息交换系统的快速部署与维护，提升了系统的智能化运维能力，实现信息收集、传递和处理的自动化，有效保障不同网络之间数据、文件、应用层协议的安全传输，满足特定场景下不同网络间的信息交换，可广泛应用于跨网信息交换领域。附图说明21.图1是本发明支持多协议代理的跨网传输集成化系统连接示意图；22.图2是本发明中电源供电连接示意图；23.图3本发明中各板卡之间的硬件连接示意图；24.图4本发明中交换代理板卡硬件连接示意图；25.图5本发明中安全处理板卡硬件连接示意图；26.图6本发明中单向传输板卡硬件连接示意图；27.图7本发明中数据交换板卡硬件连接示意图；28.图8本发明中配置管理板卡硬件连接示意图；29.图9本发明支持多协议代理的跨网传输集成化系统协议代理传输流程图；30.图10是本发明系统的主机软件框架示意图；31.图11是本发明系统中数据传输流程。具体实施方式32.下面结合附图及具体实施例对本发明做进一步的说明，但下述实施例绝非对本发明有任何限制。33.本发明提出的一种支持多协议代理的跨网传输集成化系统，包括发送端设备和接收端设备，如图1、图2和图3所示，在所述发送端设备和接收端设备之间连接有正向代理设备和反向代理设备，所述的正向代理设备和反向代理设备的内部器件相同，均分别包括有通过平台背板连接的交换代理板卡、安全处理板卡、单向传输板卡、数据交换板卡和配置管理板卡。所述发送端设备中部署有由发送软件api接口库组成的数据发送软件，用以与反向代理设备之间进行身份认证和数据传输接收；所述的正向代理设备的数据交换板卡与所述反向代理设备的交换代理板卡之间、所述的反向代理设备的数据交换板卡与所述正向代理设备的交换代理板卡之间分别相连，以实现所述正向代理设备与反向代理设备之间身份鉴别、数据安全交换；所述的正向代理设备的数据交换板卡与所述反向代理设备的交换代理板卡之间、所述的反向代理设备的数据交换板卡与所述正向代理设备的交换代理板卡之间分别相连，以实现所述正向代理设备与反向代理设备之间身份鉴别、数据安全交换；所述反向代理设备与所述接收端设备相连，所述接收端设备部署数据接收软件，数据接收软件由接收软件api接口库组成，与反向代理设备之间进行身份认证和数据传输接收。34.如图1所示，为了便于安装和更换，在本发明中交换代理板卡和数据交换板卡设计为相同的硬件架构。发送端设备与交换代理板卡之间采用rgmii千兆网络接口通信；设备内部的交换代理板卡、安全处理板卡、单向传输板卡与数据交换板卡之间均采用pcie接口通信，安全处理板卡与配置管理板卡之间采用sdio接口通信，内部板卡均通过平台背板进行连接；数据交换板卡与反向代理设备之间采用rgmii千兆网络接口通信；单向传输板卡的光单向发送板与光单向接收板之间通过带有反向抑制器的光纤隔离器件连接，实现系统内部的物理隔离。35.如图3所示，本发明支持多协议代理的跨网传输集成化系统在硬件设计上采用平台加板卡的架构，各个板卡之间按照串行方式进行连接，其中各级板卡主要包括交换代理板卡、安全处理板卡、单向传输板卡、数据交换板卡与配置管理板卡。板卡之间通过平台背板进行连接，单向传输板卡的光单向发送板和光单向接收板之间仅通过光纤隔离器件连接进行数据单向传输，实现系统内部的物理隔离。支持多协议代理的跨网传输集成化系统硬件连接示意图如图2所示。在硬件和结构设计上，交换代理板卡和数据交换板卡符合同一物理电气及结构设计规范，二者使用完全一致的硬件设计，便于设备维护及部署。36.如图1、图2、图3和图4所示，本发明中的交换代理板卡实现病毒查杀、应用协议策略检查、正向及反向代理等功能。如图4所示，交换代理板卡硬件上包括交换代理板卡cpu处理器、交换代理板卡phy芯片、交换代理板卡桥接套片、交换代理板卡ddr4内存、交换代理板卡ssd硬盘。交换代理板卡cpu处理器连接交换代理板卡ddr4内存、交换代理板卡ssd硬盘、phy芯片以及与平台背板的pcie接口用于数据传输。选择使用cpu处理器配套的桥接套片，用于实现cpu处理器外部usb、vga、pcie、sata等接口扩展功能；ddr4内存用于数据报文缓存以及操作系统缓存；ssd硬盘用于数据存储和系统存储。交换代理板卡cpu处理器通过千兆网络接口与数据报文发送端设备相连。交换代理板卡cpu处理器通过平台背板的pcie接口与安全处理板卡的网络隔离fpga相连。所述交换代理板卡对跨网数据发送软件、通用应用层协议发送的协议包进行病毒扫描，扫描通过后进行私有协议解析、转换，建立协议策略表；对应用层协议进行净荷数据剥离、两级目的地址映射后封装成私有格式的数据报文发送到安全处理板卡；同时，对反向传输进来的应用协议报文进行反向代理，将私有应用协议包进行重组，根据对应的目的地址信息和连接状态发送到接收网络；接收配置管理区的各类配置管理指令；37.如图1、图2、图3和图5所示，本发明中，所述安全处理板卡实现跨网发送数据的网络阻断、报文完整性保护、数据来源合法性鉴别、基于安全检查策略的报文格式检查、内容过滤、文件类型检查、流量监控、日志审计等功能。如图5所示，安全处理板卡硬件上包括安全处理板卡cpu处理器、安全处理板卡网络隔离fpga、安全处理板卡桥接套片、安全处理板卡ddr3内存、安全处理板卡ddr4内存、安全处理板卡ssd硬盘。安全处理板卡网络隔离fpga连接安全处理板卡ddr3内存、与平台背板的pcie接口及与平台背板的sdio接口用于数据传输；安全处理板卡cpu处理器连接安全处理板卡ddr4内存、安全处理板卡ssd硬盘及与平台背板的pcie接口用于数据传输；网络隔离fpga与cpu处理器之间通过桥接套片的pcie接口进行通信。选择使用cpu处理器配套的桥接套片，用于实现cpu处理器外部usb、vga、pcie、sata等接口扩展功能；ddr3内存用于网络隔离fpga的业务数据缓存；ddr4内存用于cpu处理器的数据报文缓存以及操作系统缓存；ssd硬盘用于数据存储和系统存储。安全处理板卡网络隔离fpga通过平台背板的pcie接口与交换代理板卡相连，通过平台背板的sdio接口与配置管理板卡相连；安全处理板卡cpu处理器通过平台背板的pcie接口与单向传输板卡相连。所述安全处理板卡通过商用非对称算法与发送端设备进行基于数字证书的双向连接认证；对传输的业务报文进行完整性验证、来源合法性鉴别；基于安全策略对报文进行文件类型与格式检查、文件内容过滤、流量监控、日志管理，将检查通过的报文发送至单向传输板卡。38.如图1、图2、图3和图6所示，本发明系统中，所述单向传输板卡串联在安全处理板卡和数据交换板卡之间，连接安全处理板卡的仅有光发送，连接数据交换板卡的仅有光接收，光发送和光接收之间通过物理光纤连接，并在光纤上加装光反向抑制器，实现数据可靠的单向无反馈传输。所述的单向传输板卡串接到整个传输链路上，实现数据的单向无反馈传输，确保数据传输流向可控。单向传输板卡由光单向发送板和光单向接收板组成，属于两块完全独立的电路板，并分别由电源板1和电源板2供电，使得光单向发送和光单向接收完全独立，两块电路板之间通过带有反向抑制器的物理光纤连接。如图6所示，单向传输板卡硬件上包括单向传输板卡光单向发送fpga、单向传输板卡光发送模块、单向传输板卡光接收fpga、单向传输板卡光接收模块、单向传输板卡光反向抑制器和单向传输板卡ddr3内存。单向传输板卡光单向发送fpga与光发送模块之间采用两组差分线进行连接；单向传输板卡光单向接收fpga与光接收模块之间采用两组差分线进行连接；光发送模块与光接收模块之间采用带有光反向抑制器的光纤相连，利用磁光晶体的法拉第效应来隔离光反射，抑制光反向信号。单向传输板卡ddr3内存用于光单向接收fpga业务数据缓存，解决pcie接口实时性导致的接口瞬时速率不匹配引起的丢包问题。单向传输板卡光单向发送fpga通过平台背板的pcie接口与安全处理板卡相连；光单向接收fpga通过平台背板的pcie接口与数据交换板卡相连。39.如图1、图2、图3和图7所示，本发明系统中，所述数据交换板卡接收光单向传输板卡传送的数据报文，通过报文解析实现业务数据转发、配置管理；实现与反向代理设备之间身份鉴别、数据安全交换。如图7所示，所述的数据交换板卡通过报文解析处理实现业务数据转发、本区域配置管理等功能。数据交换板卡硬件设计与交换代理板卡硬件设计基本相同，主要包括数据交换板卡cpu处理器、数据交换板卡phy芯片、数据交换板卡桥接套片、数据交换板卡ddr4内存、数据交换板卡ssd硬盘。数据交换板卡cpu处理器连接数据交换板卡ddr4内存、数据交换板卡ssd硬盘、phy芯片以及与平台背板的pcie接口用于数据传输。选择使用cpu处理器配套的桥接套片，用于实现cpu处理器外部usb、vga、pcie、sata等接口扩展功能；ddr4内存用于数据报文缓存以及操作系统缓存；ssd硬盘用于数据存储和系统存储。数据交换板卡cpu处理器通过平台背板的pcie接口与单向传输板卡的光单向接收fpga相连。数据交换板卡cpu处理器通过千兆网络接口与反向代理设备交换代理板卡相连。40.如图1、图2、图3和图8所示，本发明系统中，所述配置管理板卡采用b/s架构，部署web server服务，管理员通过管理终端设备浏览器输入用户名及口令进行身份认证，进入配置管理界面，实现系统管理、应用管理、安全策略管理、日志审计、状态查询等功能。如图8所示，配置管理板卡硬件上包括配置管理板卡cpu处理器、配置管理板卡flash芯片、配置管理板卡phy芯片。配置管理板卡cpu处理器连接配置管理板卡flash芯片和配置管理板卡phy芯片用于数据传输。flash芯片用于数据存储和系统存储。配置管理板卡cpu处理器通过平台背板的sdio接口通道与安全处理板卡网络隔离fpga相连；通过配置管理网络接口与管理终端设备相连。41.为提高传输过程的安全性，实现设备内部的物理隔离，以光纤为界限，交换代理板卡、安全处理板卡、单向传输板卡的光单向发送板由电源板1供电，单向传输板卡的光单向接收板和数据交换板卡由电源板2供电，电源板1和电源板2均采用独立冗余电源模式设计，如图2所示。42.通过样机测试，本发明实现了格式化数据、文件、常见应用层协议在不同网络之间高速不丢包、单向无反馈传输，可以及时检测出发送文件中携带的恶意病毒，满足各项功能要求。43.实施例144.本实施例中，数据报文发送端设备为发送主机，数据报文接收端设备为接收主机，如图9所示，协议代理传输流程如下：45.(1)管理员使用管理终端登陆配置管理界面设置应用协议过滤策略和安全检查策略，应用协议过滤策略为允许通过设备的应用协议类型，本发明支持http、ftp、pop3、smtp等常见应用层协议代理；安全检查策略包括病毒查杀、格式检查、关键字过滤、流量监控等。应用协议过滤策略和安全检查策略通过配置管理板卡的sdio接口通道传输并保存到安全处理板卡。46.(2)发送应用通过网络接口与交换代理板卡建立连接并进行身份认证，身份认证通过后，发送应用调用数据发送软件的协议发送接口将应用层协议数据发送到交换代理板卡。47.(3)交换代理板卡对接收的协议数据进行解析，识别出应用层协议类型，并基于应用协议过滤策略对接收到的协议数据进行过滤，丢弃不符合应用协议策略的报文，拦截非法请求。48.(4)对通过应用协议策略检查的报文进行病毒查杀及木马深度查杀。若检测到病毒或木马，则向发送主机响应错误报文，关闭会话连接并使用查杀引擎彻底清除病毒或木马，同时进行声光报警，交换代理板卡支持病毒库离线更新。49.(5)交换代理板卡收集常见应用层协议特征、命令种类和交互规则，建立对应协议的规则集，对于符合协议规则集的报文进行相同的处理，将符合协议规则集的报文进行解析，剥离出协议头和净荷数据。根据安全策略查找目的地址映射表，填充八元组信息，进行二次私有协议封装，实现应用层协议向格式化数据“摆渡”，将封装完成的报文发送到安全处理板卡。50.(6)安全处理板卡对接收到的每一包报文进行数据完整性验证，验证通过后对发送主机应用标识进行比对，验证数据来源合法性；基于授权的安全策略和格式白名单对传输的业务数据进行数据格式检查、文件类型检查、文件内容关键字过滤、传输窗口时间检查、流量监控等安全检查，只允许通过来源合规、检查无异常的报文。检查通过，则将报文传输至单向传输板卡；否则，通过审计日志将错误信息进行告警并丢弃当前报文。安全处理板卡对设备内所有单元提供日志服务，存储包括连接认证、协议标识、数据发送、异常状态等在内的相关日志信息，对系统各类检验异常和状态异常的行为进行记录，对转发成功的数据、拒绝发送的数据记录信息来源、目的、流量、时间等信息供管理员审计查询。51.(7)单向传输板卡光单向发送fpga通过光纤传输检查通过的数据报文，光单向接收fpga接收数据报文并转发至数据交换板卡。52.(8)数据交换板卡接收来自单向传输板卡的业务数据报文，解析并提取出报文的会话id，使用会话id检索出反向代理目的地址信息。数据交换板卡根据反向代理目的地址信息与反向代理设备的交换代理板卡建立连接并进行身份认证，身份认证通过后将业务数据报文发送至匹配的反向代理设备。53.(9)反向代理设备的交换代理板卡接收业务数据报文并进行反向代理，解析并根据八元组信息提取出应用协议头和净荷数据，重组成标准格式的应用层协议报文，同时提取出报文中的会话id，使用会话id检索出接收应用的目的地址信息。反向代理设备的交换代理板卡根据接收应用的目的地址信息与接收主机建立连接并进行身份认证，身份认证通过后将重组的应用层协议报文发送至接收主机服务器。54.(10)接收主机服务器处理应用协议请求，生成应用协议响应包。此时接收主机服务器作为发送主机执行上述步骤，将响应报文反向发送至对端。55.至此，一条应用层协议请求和响应报文传输完成。56.综上，本发明实现了安全可靠的单向传输、双向代理功能。本发明设计了多层纵深安全防护架构，对常见应用层协议进行安全交换代理，对传输的数据进行病毒查杀，有效保障格式化数据、文件、应用层协议的跨网安全传输。同时，将病毒查杀、应用层协议代理、完整性保护、数据安全检查、单向隔离传输等多功能集成一体，提升了信息交换系统的部署运维能力，在简单快速部署的同时实现信息收集、传递和处理的自动化，更好地保障不同网络之间的数据交换，大大提高了数据交换的效率。57.针对本发明提出的支持多协议代理的跨网传输集成化系统，在软件上的设计属于本技术领域的常规技术手段，基于本发明系统的硬件框架结构，以实现支持多协议代理的跨网传输主要包括跨网数据发送软件、系统主机软件和跨网数据接收软件三部分。58.实施例259.系统主机软件包括交换代理单元软件、安全处理单元软件、数据交换单元软件和配置管理单元软件，软件框架如图10所示。60.(a)跨网数据发送软件。跨网数据发送软件由跨网数据发送api接口库和发送配置管理软件组成。发送软件接口api包括应用注册、打开会话、数据发送、文件发送、关闭会话、应用注销、双向认证等功能，以api接口方式为用户提供跨网数据发送服务。应用层协议需要进行定制化改造，应用层协议中的净荷数据由发送插件使用发送软件api接口进行封装。61.(b)跨网数据接收软件。跨网数据接收软件由跨网数据接收api接口库和接收配置管理软件组成，以api接口方式为用户提供跨网数据接收服务。应用层协议中的净荷数据由接收插件使用接收软件api接口进行重新解封，还原成初始净荷数据。62.(c)交换代理单元软件。交换代理单元收集通用应用层协议特征、命令种类和交互规则，建立协议规则集，根据规则集和白名单对应用报文进行协议识别、过滤，拦截非法请求，建立连接策略表，将应用层协议向格式化数据摆渡，实现对应用层协议的正向代理；通过应用层协议重构和真实目的地址转换实现反向代理；基于商用密码服务实现与发送主机或反向代理设备的双向认证；基于安全管控策略实现跨网数据的交换管控；接受配置管理系统调配，完成ip地址、本地时间和应用协议过滤策略等配置操作。63.交换代理单元还安装有病毒查杀引擎，支持病毒库离线更新，所有进入交换代理单元的文件或数据必须通过病毒查杀后才可进入系统的安全处理单元。64.(d)安全处理单元软件。安全处理单元主要处理来自跨网应用软件的跨网数据传输报文、应用层协议报文及来自配置管理单元的配置管理信息，完成对跨网应用的注册、来源合法性鉴别、数据完整性验证，对跨网业务数据、文件、应用层协议净荷数据进行基于安全策略的流量监控与统计、格式检查及类型检查、内容过滤等，只有通过检查的报文才可进入单向传输单元。65.安全处理单元接受配置管理系统调配，完成主机的应用标识白名单、应用协议白名单、数据交换管控策略、数据安全检查策略等相关配置管理工作。同时，安全处理单元向主机内所有单元提供日志服务，存储包括连接认证、协议标识、数据发送、异常状态在内的相关日志信息，对系统各类检验异常和状态异常的行为进行记录，对转发成功的数据、拒绝发送的数据记录信息来源、目的、流量、时间等信息供管理员审计查询。66.(e)数据交换单元软件。数据交换单元接收来自光单向传输单元的数据报文，解析并处理其中的管理报文，完成与反向代理设备连接认证、会话链接的建立与关闭以及本单元ip地址、本地时间等信息的设置。对于业务数据，经过目的地址转换和协议封装后将业务数据通过套接字发送至反向代理设备。67.(f)配置管理单元软件。配置管理单元采用b/s架构，在操作系统上提供web服务，以浏览器的形式为管理员提供包括系统管理、应用管理、安全策略配置和信息查看等配置管理功能。在信息查看功能的日志管理中，用户可根据查询内容对日志进行筛选，获取满足筛选要求的日志信息。配置管理单元基于sdio接口驱动，实现与安全处理单元的通信功能。68.本发明提出的支持多协议代理的跨网传输集成化系统可以实现数据、文件、应用层协议从发送主机向接收主机的安全传输，数据传输流程如图11所示。69.本发明可广泛应用于跨网信息交换领域，与传统信息交换设备相比，本发明设计了多层纵深安全防护架构，实现了常见应用层协议的交换代理，有效保障数据、文件、应用层协议的跨网安全传输，满足特定场景下不同网络间的信息交换。同时，将病毒查杀、应用层协议代理、数据安全检查、单向隔离传输等多功能集成一体，提升了系统的智能化运维能力，实现了信息收集、传递和处理的自动化，更好地保障不同网络之间的信息交换。70.尽管上面结合附图对本发明进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨的情况下，还可以做出很多变形，这些均属于本发明的保护之内。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!