專利名稱:一種數(shù)據(jù)隔離裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于通信與信息安全技術(shù)領(lǐng)域,涉及一種用于數(shù)據(jù)安全傳輸?shù)臄?shù)據(jù) 隔離裝置��。
背景技術(shù):
現(xiàn)有的數(shù)據(jù)隔離的實現(xiàn)技術(shù)是建立在三方的基礎(chǔ)之上���,即兩個涉密計算機 之間加上一個完全的物理硬件來實現(xiàn)數(shù)據(jù)的隔離����,這樣的現(xiàn)實技術(shù)有成本昂 貴���、靈活性差����、對安全策略的修改麻煩���、不容易配置的缺點��。同時����,電子政務(wù)的發(fā)展十分迅速,為了實現(xiàn)電子政務(wù)的安全性要求���,現(xiàn)在 的技術(shù)都是通過內(nèi)外網(wǎng)邏輯隔離的基礎(chǔ)上來實現(xiàn)數(shù)據(jù)的傳輸�����,涉密網(wǎng)絡(luò)的數(shù)據(jù) 傳輸?shù)陌踩砸蠛芨?,涉密?nèi)網(wǎng)和政務(wù)外網(wǎng)的數(shù)據(jù)傳輸要求具有傳輸安全 性�����、穩(wěn)定性和電子檔案存儲的可靠性�、靈活性等特點。發(fā)明內(nèi)容本發(fā)明要解決的技術(shù)問題是針對現(xiàn)有技術(shù)存在的缺陷提出一種數(shù)據(jù)隔離 裝置��。本發(fā)明一種數(shù)據(jù)隔離裝置�,包括第一計算機�����、第二計算機、第一嵌入式設(shè) 備�����、第一虛擬機�����、第一無線傳輸設(shè)備�、第二嵌入式設(shè)備、第二虛擬機�����、第一紅 外端口�����、第二紅外端口�����、第二無線傳輸設(shè)備�����;其中第一計算機、第一嵌入式設(shè) 備分別與第一虛擬機電連接���,第一虛擬機與第一嵌入式設(shè)備電連接����,第一虛擬 機通過第一紅外端口與第一無線傳輸設(shè)備通信�����;第二計算機���、第二嵌入式設(shè)備 分別與第二虛擬機電連接�����,第二虛擬機與第二嵌入式設(shè)備電連接�,第二虛擬機通過第二紅外端口與第二無線傳輸設(shè)備通信���。本發(fā)明利用嵌入式虛擬機來實現(xiàn)數(shù)據(jù)隔離�,從而具有了系統(tǒng)相對獨立��,裝 置本身具有可以移動的靈活性���。在虛擬機之上實現(xiàn)數(shù)據(jù)安全的策略�����,并利用虛 擬機來初始化無線通信接口 ��,并且無線通信的數(shù)據(jù)傳輸設(shè)備是處于嵌入式系統(tǒng) 之上且由虛擬機來控制�,這樣提升了數(shù)據(jù)傳輸?shù)莫毩⑿院蛡鬏數(shù)陌踩?���。從?完全地實現(xiàn)了兩臺涉密的計算機的隔離或內(nèi)網(wǎng)和外網(wǎng)的隔離。
圖1:本發(fā)明整體結(jié)構(gòu)圖�;圖2:本發(fā)明的工作流程圖;圖3:本發(fā)明數(shù)據(jù)安全寫入方法流程圖��;圖4:本發(fā)明的嵌入式設(shè)備內(nèi)部架構(gòu)圖�����。
具體實施方式
如圖1所示��。 一種數(shù)據(jù)隔離裝置����,包括第一計算機l����、第二計算機2����、第一 嵌入式設(shè)備3、第一虛擬機4��、第一無線傳輸設(shè)備5�����、第二嵌入式設(shè)備6����、第二 虛擬機7、第一紅外端口9�、第二紅外端口 10、第二無線傳輸設(shè)備ll;其中第 一計算機1 ����、第一嵌入式設(shè)備3分別與第一虛擬機4電連接,第一虛擬機4與 第一嵌入式設(shè)備3電連接�����,第一虛擬機4通過第一紅外端口 9與第一無線傳輸 設(shè)備5通信;第二計算機2���、第二嵌入式設(shè)備6分別與第二虛擬機7電連接, 第二虛擬機7與第二嵌入式設(shè)備6電連接��,第二虛擬機7通過第二紅外端口 10 與第二無線傳輸設(shè)備ll通信�����。在要進行數(shù)據(jù)交換的第一計算機1���、第二計算機2處于對等的位置上的���, 他們都可以作為數(shù)據(jù)源的載體和接收體。第一���。第二虛擬機4�、 7分別作為一 個軟件虛擬的機器分別移植在第一�、第二嵌入式設(shè)備3、 6之上�。兩方的嵌入 式設(shè)備和虛擬機也處于一個對等的位置�����,角色可以互換�����。虛擬機之上運行著加 載數(shù)據(jù)和寫入數(shù)據(jù)8的程序�����,這個程序還負責判斷程序本身的安全性����。同時虛 擬機還負責通過第一�、第二紅外端口9、 IO傳送數(shù)據(jù)��,此外��,無線傳輸端口是 出于嵌入式系統(tǒng)內(nèi)部的�����,因此要對第一��、第二無線傳輸端口9、 IO進行管理和 初始化����。數(shù)據(jù)的傳輸?shù)耐ǖ朗堑谝弧⒌诙o線傳輸設(shè)備5�����、 ll建立的�����。首先�,在有數(shù)據(jù)傳輸?shù)囊笙?��,涉密的計算機只要求和嵌入式系統(tǒng)上虛擬 機來進行數(shù)據(jù)的傳遞�,這個過程是一個單向地從計算機到虛擬機的過程�,而且, 數(shù)據(jù)在計算機上的位置也是固定的����。當虛擬機接收到數(shù)據(jù)之后就會對數(shù)據(jù)進行 暫時的存放。之后����,在符合一系列的預(yù)定的安全策略之后���,虛擬機開始初始化 無線傳輸接口。在紅外接口的初始化完成之后�,虛擬機開始管理無線傳輸設(shè)備 來傳輸數(shù)據(jù)。在目標機這個部分�����,當無線傳輸設(shè)備接收到數(shù)據(jù)以后會馬上把數(shù) 據(jù)交給虛擬機��,虛擬機隨后會把的到的數(shù)據(jù)寫入目標計算機中����,這個寫入的過 程也是一個單向的過程。經(jīng)過這樣的一個過程�����,源計算機和目標計算機之間被 完全隔離開了����,他們之間沒有發(fā)生直接的聯(lián)系。而隔離的介質(zhì)就是嵌入式系統(tǒng)以及虛擬機��。圖2表明了本發(fā)明功能流程圖。涉密數(shù)據(jù)從文件系統(tǒng)中出來�,這些的數(shù)據(jù) 的加載的過程是在安全策略下進行的,保證了被加載的數(shù)據(jù)是安全的和加載數(shù) 據(jù)的應(yīng)用是沒有被改動的���。之后�����,虛擬機會開始初始化通信端口����,隨后就開始 初始化和管理負責傳輸數(shù)據(jù)的設(shè)備��。隨后就開始傳送數(shù)據(jù)���,在傳送的過程中虛 擬機回家按時數(shù)據(jù)的傳送過程,當數(shù)據(jù)還沒有傳送完時就繼續(xù)傳送數(shù)據(jù)�, 一旦 傳送完成,虛擬機就負責關(guān)閉無線傳送設(shè)備��。這個過程是一個獨立的����,不需要 和外界進行任何的信息交換��。在圖3表明了本發(fā)明的邏輯架構(gòu)示意圖����。邏輯結(jié)構(gòu)的最上層是文件系統(tǒng)��,涉密的信息處于這個被保護的文件系統(tǒng)中�,這個文件系統(tǒng)可能處于不同的環(huán)境之 中,比如本機文件系統(tǒng)中或移動存儲介質(zhì)中�。在虛擬機之上是一個可以配置的 安全實現(xiàn)策略,這個安全實現(xiàn)策略是在虛擬機上運行的應(yīng)用軟件實體��。在這個 安全策略之下就是實現(xiàn)隔離的嵌入式虛擬機�����。虛擬機是實現(xiàn)在一個嵌入式系統(tǒng) 之上的�,同時無線通信端口和無線通信設(shè)備處于嵌入式系統(tǒng)之上。無線傳輸設(shè) 備把數(shù)據(jù)傳送到最下層��,通過無線通信信道傳輸?shù)搅硗獾膶Φ冉Y(jié)構(gòu)上去�。如圖4所示。所述第一嵌入式設(shè)備3與第二嵌入式設(shè)備6結(jié)構(gòu)相同����,其中 第一嵌入式設(shè)備3包括嵌入式CPU 12����、電源13��、晶振電路14����、 JTAG接口 15、 閃存16���、靜態(tài)存儲器17�、 USB接口18���、以太口 19����、串口 (20)���、紅外口21; 晶振電路(14)的輸出端與嵌入式CPU (12)的輸入端連接,嵌入式CPU12 分別與電源13��、 JTAG接口 15、閃存16����、靜態(tài)存儲器17、第一虛擬機(4)電 連接����,第一虛擬機4分別與靜態(tài)存儲器17、 USB接口 18�、以太口 19、串口 20����、 第一紅外口8電連接。本發(fā)明中的數(shù)據(jù)隔離裝置可以支持多種數(shù)據(jù)來源����,可以支持多個數(shù)據(jù)源接 口,如USB接口�����,以太口�,紅外口和串口。在嵌入式系統(tǒng)之中用程序?qū)崿F(xiàn)了 一個虛擬機��,用虛擬機來管理這些接口。這樣也擴充了數(shù)據(jù)隔離裝置的功能�����, 不僅可以實現(xiàn)內(nèi)外網(wǎng)的數(shù)據(jù)隔離����,還可以實現(xiàn)多重數(shù)據(jù)來源,但是對于整個嵌 入式系統(tǒng)而言�����,它們都是透明的�����。虛擬機通過這些接口加載數(shù)據(jù)時運用了整個 安全策略�����。
權(quán)利要求
1.一種數(shù)據(jù)隔離裝置�,其特征在于包括第一計算機(1)、第二計算機(2)����、第一嵌入式設(shè)備(3)、第一虛擬機(4)�、第一無線傳輸設(shè)備(5)、第二嵌入式設(shè)備(6)���、第二虛擬機(7)�����、第一紅外端口(9)�、第二紅外端口(10)���、第二無線傳輸設(shè)備(11)��;其中第一計算機(1)��、第一嵌入式設(shè)備(3)分別與第一虛擬機(4)電連接����,第一虛擬機(4)與第一嵌入式設(shè)備(3)電連接���,第一虛擬機(4)通過第一紅外端口(9)與第一無線傳輸設(shè)備(5)通信�����;第二計算機(2)�����、第二嵌入式設(shè)備(6)分別與第二虛擬機(7)電連接��,第二虛擬機(7)與第二嵌入式設(shè)備(6)電連接��,第二虛擬機(7)通過第二紅外端口(10)與第二無線傳輸設(shè)備(11)通信��。
2. 根據(jù)權(quán)利要求1所述的一種數(shù)據(jù)隔離裝置�,其特征在于所述第一嵌入式 設(shè)備(3)與第二嵌入式設(shè)備(6)結(jié)構(gòu)相同,其中第一嵌入式設(shè)備(3)包括 嵌入式CPU(12)�、電源(13)、晶振電路(14)��、 JTAG接口 (15)��、閃存(16)�����、 靜態(tài)存儲器(17)����、 USB接口 (18)����、以太口 (19)�����、串口 (20)��、紅外口 (21); 晶振電路(14)的輸出端與嵌入式CPU(12)的輸入端連接�,嵌入式CPU(12) 分別與電源(13)��、 JTAG接口 (15)�、閃存(16)、靜態(tài)存儲器(17)��、第一虛 擬機(4)電連接�����,第一虛擬機(4)分別與靜態(tài)存儲器(17)����、 USB接口 (18)、 以太口 (19)�、串口 (20)�、紅外口 (21)電連接�。
全文摘要
本發(fā)明公布了一種數(shù)據(jù)隔離裝置,屬通信與信息安全技術(shù)領(lǐng)域���。本發(fā)明所述裝置包括第一計算機��、第二計算機�、第一嵌入式設(shè)備��、第一虛擬機����、第一無線傳輸設(shè)備、第二嵌入式設(shè)備�����、第二虛擬機���、第一紅外端口���、第二紅外端口、第二無線傳輸設(shè)備�����;其中第一計算機、第一嵌入式設(shè)備分別與第一虛擬機電連接����,第一虛擬機與第一嵌入式設(shè)備電連接�����,第一虛擬機通過第一紅外端口與第一無線傳輸設(shè)備通信���;第二計算機����、第二嵌入式設(shè)備分別與第二虛擬機電連接����,第二虛擬機與第二嵌入式設(shè)備電連接,第二虛擬機通過第二紅外端口與第二無線傳輸設(shè)備通信�。本發(fā)明提升了數(shù)據(jù)傳輸?shù)莫毩⑿院蛡鬏數(shù)陌踩浴?br>
文檔編號H04L29/06GK101404662SQ20081023505
公開日2009年4月8日 申請日期2008年11月7日 優(yōu)先權(quán)日2008年11月7日
發(fā)明者鎮(zhèn) 劉, 亮 周, 萍 錢, 陳小波 申請人:江蘇科技大學