基于非网络方式的数据隔离装置及其方法与系统.pdf

上传人：000****221

文档编号：672801

上传时间：2018-03-03

格式：PDF

页数：17

大小：2.33MB

《基于非网络方式的数据隔离装置及其方法与系统.pdf》由会员分享，可在线阅读，更多相关《基于非网络方式的数据隔离装置及其方法与系统.pdf（17页完整版）》请在专利查询网上搜索。

1、10申请公布号CN104168257A43申请公布日20141126CN104168257A21申请号201410042475722申请日20140128H04L29/0620060171申请人广东电网公司电力科学研究院地址510080广东省广州市越秀区东风东路水均岗8号72发明人梁智强胡朝辉江泽鑫梁志宏陈炯聪黄曙余南华林丹生李闯石炜君梁毅成黄岳峰74专利代理机构广州华进联合专利商标代理有限公司44224代理人王茹曾旻辉54发明名称基于非网络方式的数据隔离装置及其方法与系统57摘要本发明提供一种基于非网络方式的数据隔离装置及其隔离方法与系统，包括内网主机、外网主机和隔离通信模块，内外网主机均网。

2、络协议栈，并分别维护TCP代理客户端模块和TCP代理服务端模块。TCP代理服务端模块与业务数据包客户端建TCP连接SOCKET1及数据转发，TCP代理客户端模块负责与业务数据包服务端建立TCP连接SOCKET2及数据转发，隔离通信模块使用私有协议，剥除了业务数据包TCP头及以下的报文头，仅进行纯业务数据载荷转发。整体上实现内、外端主机之间的四层隔离子系统通信，有效阻止除“基于私有协议内部的攻击”之外的所有网络攻击，确保内部网络与外部网络物理隔绝的前提下，网络数据交互的高效率。51INTCL权利要求书3页说明书7页附图6页19中华人民共和国国家知识产权局12发明专利申请权利要求书3页说明书7页附。

3、图6页10申请公布号CN104168257ACN104168257A1/3页21一种非网络方式的数据隔离装置的数据隔离方法，其特征在于，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；非网络方式的数据隔离装置的数据隔离方法包括步骤建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接SOCKET1；获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有。

4、通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接SOCKET2；将SOCKET1和SOCKET2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在SOCKET1、隔离通道和SOCKET2三段区间内传输；当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。2根据权利要求1所述的基于非网络方式的数据隔离装置的数据隔离方法，其特征在于，所述采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之。

5、间的TCP连接SOCKET1具体包括步骤外网数据包客户端向外网主机发送TCP连接请求数据包；当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP代理服务端，TCP代理服务端ACCEPT创建新套接字SOCKET1；所述TCP代理服务端向内核查询，获取所述SOCKET1重定向前的目的地址为外网数据包服务端；所述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接。3根据权利要求1或2所述的基于非网络方式的数据隔离装置的数据隔离方法，其特征在于，所述采用源网络地址转换查询技术，建立所。

6、述TCP代理客户端与外网数据包服务端的TCP连接SOCKET2具体包括步骤所述TCP代理客户端建立套接字SOCKET2，并绑定PORT3接口；所述TCP代理客户端向内核添加源网络地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址；所述TCP代理客户端使用SOCKET2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。4根据权利要求1或2所述的基于非网络方式的数据隔离装置的数据隔离方法，其特征在于，所述当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，。

7、仅进行纯业务数据载荷传输之前还有步骤当SOCKET1或SOCKET2主被动断开时，删除内网主机中的所有源网络地址转换策略。5一种非网络方式的数据隔离装置的数据隔离系统，其特征在于，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所权利要求书CN104168257A2/3页3述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；非网络方式的数据隔离装置的数据隔离系统包括TCP代理端建立模块，用于建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；第一通信链路建立模块，用于采用端口重定向技。

8、术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接SOCKET1；隔离通道建立模块，用于获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；第二通信链路建立模块，用于采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接SOCKET2；逻辑通道形成模块，用于将SOCKET1和SOCKET2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在SOCKET1、隔离通道和SOCKET2三段区间内传输；报文剥除模块，用于当有业务数据包通过所述非网络隔离通道。

9、传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。6根据权利要求5所述的基于非网络方式的数据隔离装置的数据隔离系统，其特征在于，所述第一通信链路建立模块具体包括发送单元，用于将外网数据包客户端向外网主机发送TCP连接请求数据包；第一通信链路建立单元，用于当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP代理服务端，TCP代理服务端ACCEPT创建新套接字SOCKET1；重定向单元，用于将所述TCP代理服务端向内核查询，获取所述SOCKET1重定向前的目的地址为外网数据包服务端；请求单元，用于在利用述TCP代理服务。

10、端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接。7根据权利要求5或6所述的基于非网络方式的数据隔离装置的数据隔离系统，其特征在于，所述第二通信链路建立模块具体包括第二通信链路建立单元，用于通过所述TCP代理客户端建立套接字SOCKET2，并绑定PORT3接口；地址映射单元，用于通过所述TCP代理客户端向内核添加源网络地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址；连接单元，用于通过所述TCP代理客户端使用SOCKET2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地。

11、址为外网数据包客户端的地址，连接建立成功。8一种基于非网络方式的数据隔离装置，其特征在于，包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈，外网主机维护TCP代理服务端模块，内网主机维护TCP代理客户端模块；权利要求书CN104168257A3/3页4所述隔离通信模块用于根据内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据，并隔离所述内网主机和所述外网主机之间的非纯应用数据，所述纯应用数据为不包含TCP网络信息、链路信息和传输层信息的数据。9根据权利要求8所述的基。

12、于非网络方式的数据隔离装置，其特征在于，所述隔离通信模块包括非电路性隔离隔板和数据隔离卡；所述非电路性隔离隔板用于隔离所述内网主机和所述外网主机之间的非纯应用数据，所述数据隔离卡用于根据所述内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据。10根据权利要求8或9所述的基于非网络方式的数据隔离装置，其特征在于，还包括内网网卡和外网网卡，所述内网网卡与所述内网主机连接，所述外网网卡与所述外网主机连接。权利要求书CN104168257A1/7页5基于非网络方式的数据隔离装置及其方法与系统技术领域0001本发明涉及网络安全技术领域，特别是涉及基于非网络方式的数据隔离装置及其方法与系统。背景。

13、技术0002随着计算机网络技术的普及与不断发展，基于TCP/IP网络的攻击泛滥，网络安全问题显得愈加重要。在一类安全性要求比较高的网络应用场景中，通常要求内部网络与外部网络物理隔绝以确保内部网络信息的安全。0003但与此同时，在确保内部网络与外部网络物理隔绝的前提下，为了使内部网络正常运行工作还需要与外部网络进行少量的数据交互，通常这种数据交互采用离线方式，离线方式数据交互效率低下，需要耗费大量的时间，严重增加操作人员的任务。发明内容0004基于此，有必要针对现有在确保内部网络与外部网络物理隔绝的前提下，进行内外部网络离线数据交互效率低下的问题，提供一种确保内部网络与外部网络物理隔绝的前提下，。

14、内外部网络数据交互效率高的基于非网络方式的数据隔离装置及其方法与系统。0005一种非网络方式的数据隔离装置的数据隔离方法，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；0006非网络方式的数据隔离装置的数据隔离方法包括步骤0007建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接SOCKET1；0008获取隔离通信模块的私有通信协议，根据所述隔离通信。

15、模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；0009采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接SOCKET2；0010将SOCKET1和SOCKET2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在SOCKET1、隔离通道和SOCKET2三段区间内传输；0011当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。0012一种非网络方式的数据隔离装置的数据隔离系统，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块。

16、，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；说明书CN104168257A2/7页60013非网络方式的数据隔离装置的数据隔离系统包括0014TCP代理端建立模块，用于建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；0015第一通信链路建立模块，用于采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接SOCKET1；0016隔离通道建立模块，用于获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户。

17、端之间的非网络隔离通道；0017第二通信链路建立模块，用于采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接SOCKET2；0018逻辑通道形成模块，用于将SOCKET1和SOCKET2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在SOCKET1、隔离通道和SOCKET2三段区间内传输；0019报文剥除模块，用于当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。0020一种基于非网络方式的数据隔离装置，包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过。

18、所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈，外网主机维护TCP代理服务端模块，内网主机维护TCP代理客户端模块；0021所述隔离通信模块用于根据内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据，并隔离所述内网主机和所述外网主机之间的非纯应用数据，所述纯应用数据为不包含TCP网络信息、链路信息和传输层信息的数据。0022本发明基于非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，内外网主机均网络协议栈，并分别维护TCP代理客户端模块和TCP代理服务端模块。TCP代理服务端模块与业务数据包客户端建TCP连接SOCKE。

19、T1及数据转发，TCP代理客户端模块负责与业务数据包服务端建立TCP连接SOCKET2及数据转发，隔离通信模块使用私有协议，剥除了业务数据包TCP头及以下的报文头，仅进行纯业务数据载荷转发。整体上实现内、外端主机之间的四层隔离子系统通信，有效阻止除“基于私有协议内部的攻击”之外的所有网络攻击，确保内部网络与外部网络物理隔绝的前提下，网络数据交互的高效率。附图说明0023图1为本发明基于非网络方式的数据隔离装置的隔离方法第一个实施例的流程示意图；0024图2为本发明基于非网络方式的数据隔离装置的隔离方法第二个实施例的流程示意图；0025图3为本发明基于非网络方式的数据隔离装置的隔离系统其中一个实。

20、施例的结构示意图；0026图4为本发明基于非网络方式的数据隔离装置第一个实施例的结构示意图；0027图5为本发明基于非网络方式的数据隔离装置第二个实施例的结构示意图；说明书CN104168257A3/7页70028图6为本发明基于非网络方式的数据隔离装置的隔离方法其中一个实施例中SOCKET1通道、隔离通道以及SOCKET2建立的过程示意图；0029图7为本发明基于非网络方式的数据隔离装置的隔离方法其中一个实施例中数据包从客户端到服务端的处理过程示意图；0030图8为本发明基于非网络方式的数据隔离装置的隔离方法其中一个实施例中数据包经过服务端处理后从服务端返回客户端的过程示意图。具体实施方式0。

21、031为了使本发明的目的、技术方案及优点更加清楚明白，以下根据附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施仅仅用以解释本发明，并不限定本发明。0032如图1所示，一种非网络方式的数据隔离装置的数据隔离方法，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；0033非网络方式的数据隔离装置的数据隔离方法包括步骤0034S100建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；0035S200采用端口重定向。

22、技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接SOCKET1；0036S300获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；0037S400采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接SOCKET2；0038S500将SOCKET1和SOCKET2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在SOCKET1、隔离通道和SOCKET2三段区间内传输；0039S600当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数。

23、据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。0040本发明基于非网络方式的数据隔离装置的数据隔离方法，能够在确保内部主机和外部主机物理隔离的前提下，根据隔离通信模块的私有通信协议，交互内网主机与外网主机之间的纯应用数据，使得外网数据包能够高效通过基于非网络方式的数据隔离装置传输。0041在其中一个实施例中，所述采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接SOCKET1具体包括步骤0042外网数据包客户端向外网主机发送TCP连接请求数据包；0043当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP。

24、代理服务端，TCP代理服务端ACCEPT创建新套接字SOCKET1；0044所述TCP代理服务端向内核查询，获取所述SOCKET1重定向前的目的地址为外网说明书CN104168257A4/7页8数据包服务端；0045所述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接。0046在其中一个实施例中，所述采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接SOCKET2具体包括步骤0047所述TCP代理客户端建立套接字SOCKET2，并绑定PORT3接口；0048所述TCP代理客户端向内核添加源网络。

25、地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址；0049所述TCP代理客户端使用SOCKET2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。0050如图2所示，在其中一个实施例中，所述S600之前还有步骤0051S520当SOCKET1或SOCKET2主被动断开时，删除内网主机中的所有源网络地址转换策略。0052在上述实施例中，当SOCKET1或SOCKET2主被动断开时或者主机、内外主机需要重启时，删除内网主机中的所有源网络地址转换策略。这样能够确保内网主机的安全，避免异常情况。

26、的出现导致内网主机被黑客劫持或者内网主机中的数据被篡改。0053如图3所示，一种非网络方式的数据隔离装置的数据隔离系统，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；0054非网络方式的数据隔离装置的数据隔离系统包括0055TCP代理端建立模块310，用于建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；0056第一通信链路建立模块320，用于采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接SOC。

27、KET1；0057隔离通道建立模块330，用于获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；0058第二通信链路建立模块340，用于采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接SOCKET2；0059逻辑通道形成模块350，用于将SOCKET1和SOCKET2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在SOCKET1、隔离通道和SOCKET2三段区间内传输；0060报文剥除模块360，用于当有业务数据包通过所述非网络隔离通道传输时，剥除。

28、所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。0061本发明基于非网络方式的数据隔离装置的数据隔离系统，能够在确保内部主机和外部主机物理隔离的前提下，根据隔离通信模块的私有通信协议，交互内网主机与外网主机之间的纯应用数据，使得外网数据包能够高效通过基于非网络方式的数据隔离装置传输。说明书CN104168257A5/7页90062在其中一个实施例中，所述第一通信链路建立模块具体包括0063发送单元，用于将外网数据包客户端向外网主机发送TCP连接请求数据包；0064第一通信链路建立单元，用于当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重。

29、定向到所述TCP代理服务端，TCP代理服务端ACCEPT创建新套接字SOCKET1；0065重定向单元，用于将所述TCP代理服务端向内核查询，获取所述SOCKET1重定向前的目的地址为外网数据包服务端；0066请求单元，用于在利用述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接；0067在其中一个实施例中，所述第二通信链路建立模块具体包括0068第二通信链路建立单元，用于通过所述TCP代理客户端建立套接字SOCKET2，并绑定PORT3接口；0069地址映射单元，用于通过所述TCP代理客户端向内核添加源网络地址转换策略，将。

30、TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址；0070连接单元，用于通过所述TCP代理客户端使用SOCKET2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。0071如图4所示，一种基于非网络方式的数据隔离装置，包括内网主机100、外网主机200和隔离通信模块300，所述内网主机100和所述外网主机200通过所述隔离通信模块300物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈，外网主机维护TCP代理服务端模块，内网主机维护TCP代理客户端模块；0072所述隔。

31、离通信模块300用于根据内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据，并隔离所述内网主机和所述外网主机之间的非纯应用数据，所述纯应用数据为不包含TCP/IP网络信息、链路信息和传输层信息的数据。0073本发明基于非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，内外网主机均网络协议栈，并分别维护TCP代理客户端模块和TCP代理服务端模块。TCP代理服务端模块与业务数据包客户端建TCP连接SOCKET1及数据转发，TCP代理客户端模块负责与业务数据包服务端建立TCP连接SOCKET2及数据转发，隔离通信模块使用私有协议，剥除了业务数据包TCP头及以下的报文头，仅进行纯。

32、业务数据载荷转发。整体上实现内、外端主机之间的四层隔离子系统通信，有效阻止除“基于私有协议内部的攻击”之外的所有网络攻击，确保内部网络与外部网络物理隔绝的前提下，网络数据交互的高效率。0074如图5所示，在其中一个实施例中，所述隔离通信模块300包括非电路性隔离隔板320和数据隔离卡340，所述非电路性隔离隔板320用于隔离所述内网主机和所述外网主机之间的非纯应用数据，所述数据隔离卡340用于根据所述内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据。0075从某种意义上来说在可以将隔离通信模块分为两个区，一个是隔离区，一个是交互区，隔离区用于隔离所述内网主机和所述外网主机之间的非纯。

33、应用数据，交互区用于根据所述内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据。在本实施例说明书CN104168257A6/7页10中显然，隔离区为非电路性隔离隔板，交互区为数据隔离卡，两者协调工作能够在能够确保内部网络与外部网络物理隔绝的前提下，内外部网络数据交互高效率。0076如图5所示，在其中一个实施例中，所述基于非网络方式的数据隔离装置还包括内网网卡400和外网网卡500，所述内网网卡400与所述内网主机100连接，所述外网网卡500与所述外网主机200连接。0077为了进一步详细解释本发明基于非网络方式的数据隔离装置的数据隔离方法，下面将详细解释数据包在SOCKET1、隔离。

34、通道和SOCKET2三段区间内传输的过程。为了便于解释说明，在下面描述中，基于非网络方式的数据隔离装置的外网主机一侧称为客户端、内网主机一侧称为服务端，其中客户端、外网主机、内网主机以及服务端的目的地址分别定义为IP1、IP2、IP3、IP4。0078图6为SOCKET1通道、隔离通道以及SOCKET2建立的过程。00791、客户端向服务器发起TCP连接请求，该连接从IP1到IP4；00802、当连接请求包到达外端主机，通过端口重定向到IP2，外端代理服务端模块ACCEPT创建新套接字SOCKET1；00813、外端代理服务端模块向内核查询得到SOCKET1重定向前的目的地址IP4；00824。

35、、外端代理服务端模块通过隔离通信模块向内端代理客户端模块发送请求，请求建立IP1到IP4的TCP连接；00836、内端代理客户端模块首先建立套接字SOCKET2，并绑定PORT3；00847、内端代理客户端模块向内核添加源网络地址转换策略，即从IP3到IP4的数据包源地址映射为IP1；00858、最后内端代理客户端模块使用SOCKET2向服务器发起TCP连接请求，服务器读取到该连接源地址为客户端地址IP1，连接建立成功。0086图7为数据包从客户端到服务端的处理过程。00871、当代理通道建立成功后，客户端向服务器发送TCP业务数据，该数据包从IP1到IP4；00882、当业务数据包到达外端主。

36、机时，通过端口重定向到IP2，由外端代理服务端模块套接字SOCKET1收到该数据包；00893、外端代理服务端模块通过隔离通信模块，将业务数据包纯载荷部份使用自定义私有协议封装，送到内端代理客户端模块；00904、内端代理客户端模块使用SOCKET2将该数据载荷发往服务器IP4；00915、内端主机发送前，内核查到IP3到IP4存在源网络地址转换策略，将数据包源地址改为客户端；00926、服务器收到源地址为客户端的业务数据包，并进行相应业务处理。0093图8为数据包经过服务端处理后从服务端返回客户端的过程。00941、当代理通道建立成功后，服务器向客户端发送业务数据，该数据包从IP4PORT4。

37、到IP1；00952、当业务数据包到达内端主机时，内核通过查询网络地址转换表，将该数据包发送给内端代理客户端程序；00963、内端代理客户端程序通过隔离通信模块，将业务数据包纯载荷部份使用自定4、说明书CN104168257A107/7页11义私有协议封装，送到外端代理服务端模块；00975、外端代理服务端模块使用SOCKET1将该数据载荷发往客户端IP1；00986、外端主机发送前，内核通过查找网络地址转换表，将该数据包源地址改为服务器地址IP4；00997、客户端收到源地址为服务器的业务数据包，并进行相应业务处理。0100以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。说明书CN104168257A111/6页12图1说明书附图CN104168257A122/6页13图2说明书附图CN104168257A133/6页14图3说明书附图CN104168257A144/6页15图4图5说明书附图CN104168257A155/6页16图6图7说明书附图CN104168257A166/6页17图8说明书附图CN104168257A17。

摘要
申请专利号：	CN201410042475.7	申请日：	2014.01.28
公开号：	CN104168257A	公开日：	2014.11.26
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/06申请日:20140128\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	广东电网公司电力科学研究院
发明人：	梁智强; 胡朝辉; 江泽鑫; 梁志宏; 陈炯聪; 黄曙; 余南华; 林丹生; 李闯; 石炜君; 梁毅成; 黄岳峰
地址：	510080 广东省广州市越秀区东风东路水均岗8号
优先权：
专利代理机构：	广州华进联合专利商标代理有限公司 44224	代理人：	王茹;曾旻辉
PDF完整版下载：	PDF下载

内容摘要

本发明提供一种基于非网络方式的数据隔离装置及其隔离方法与系统，包括内网主机、外网主机和隔离通信模块，内外网主机均网络协议栈，并分别维护TCP代理客户端模块和TCP代理服务端模块。TCP代理服务端模块与业务数据包客户端建TCP连接socket1及数据转发，TCP代理客户端模块负责与业务数据包服务端建立TCP连接socket2及数据转发，隔离通信模块使用私有协议，剥除了业务数据包TCP头及以下的报文头，仅进行纯业务数据载荷转发。整体上实现内、外端主机之间的四层隔离子系统通信，有效阻止除“基于私有协议内部的攻击”之外的所有网络攻击，确保内部网络与外部网络物理隔绝的前提下，网络数据交互的高效率。

权利要求书

1.  一种非网络方式的数据隔离装置的数据隔离方法，其特征在于，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；
非网络方式的数据隔离装置的数据隔离方法包括步骤：
建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socket1；
获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；
采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2；
将socket1和socket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socket1、隔离通道和socket2三段区间内传输；
当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。

2.  根据权利要求1所述的基于非网络方式的数据隔离装置的数据隔离方法，其特征在于，所述采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socket1具体包括步骤：
外网数据包客户端向外网主机发送TCP连接请求数据包；
当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP代理服务端，TCP代理服务端accept创建新套接字socket1；
所述TCP代理服务端向内核查询，获取所述socket1重定向前的目的地址为外网数据包服务端；
所述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接。

3.  根据权利要求1或2所述的基于非网络方式的数据隔离装置的数据隔离方法，其特征在于，所述采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2具体包括步骤：
所述TCP代理客户端建立套接字socket2，并绑定port3接口；
所述TCP代理客户端向内核添加源网络地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址；
所述TCP代理客户端使用socket2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。

4.  根据权利要求1或2所述的基于非网络方式的数据隔离装置的数据隔离方法，其特征在于，所述当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输之前还有步骤：
当socket1或socket2主被动断开时，删除内网主机中的所有源网络地址转换策略。

5.  一种非网络方式的数据隔离装置的数据隔离系统，其特征在于，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；
非网络方式的数据隔离装置的数据隔离系统包括：
TCP代理端建立模块，用于建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；第一通信链路建立模块，用于采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socket1；
隔离通道建立模块，用于获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；
第二通信链路建立模块，用于采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2；
逻辑通道形成模块，用于将socket1和socket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socket1、隔离通道和socket2三段区间内传输；
报文剥除模块，用于当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。

6.  根据权利要求5所述的基于非网络方式的数据隔离装置的数据隔离系统，其特征在于，所述第一通信链路建立模块具体包括：
发送单元，用于将外网数据包客户端向外网主机发送TCP连接请求数据包；
第一通信链路建立单元，用于当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP代理服务端，TCP代理服务端accept创建新套接字socket1；
重定向单元，用于将所述TCP代理服务端向内核查询，获取所述socket1重定向前的目的地址为外网数据包服务端；
请求单元，用于在利用述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接。

7.  根据权利要求5或6所述的基于非网络方式的数据隔离装置的数据隔离系统，其特征在于，所述第二通信链路建立模块具体包括：
第二通信链路建立单元，用于通过所述TCP代理客户端建立套接字socket2，并绑定port3接口；
地址映射单元，用于通过所述TCP代理客户端向内核添加源网络地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址；
连接单元，用于通过所述TCP代理客户端使用socket2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。

8.  一种基于非网络方式的数据隔离装置，其特征在于，包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈，外网主机维护TCP代理服务端模块，内网主机维护TCP代理客户端模块；
所述隔离通信模块用于根据内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据，并隔离所述内网主机和所述外网主机之间的非纯应用数据，所述纯应用数据为不包含TCP网络信息、链路信息和传输层信息的数据。

9.  根据权利要求8所述的基于非网络方式的数据隔离装置，其特征在于，所述隔离通信模块包括非电路性隔离隔板和数据隔离卡；
所述非电路性隔离隔板用于隔离所述内网主机和所述外网主机之间的非纯应用数据，所述数据隔离卡用于根据所述内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据。

10.  根据权利要求8或9所述的基于非网络方式的数据隔离装置，其特征在于，还包括内网网卡和外网网卡，所述内网网卡与所述内网主机连接，所述外网网卡与所述外网主机连接。

说明书

基于非网络方式的数据隔离装置及其方法与系统
技术领域
本发明涉及网络安全技术领域，特别是涉及基于非网络方式的数据隔离装置及其方法与系统。
背景技术
随着计算机网络技术的普及与不断发展，基于TCP/IP网络的攻击泛滥，网络安全问题显得愈加重要。在一类安全性要求比较高的网络应用场景中，通常要求内部网络与外部网络物理隔绝以确保内部网络信息的安全。
但与此同时，在确保内部网络与外部网络物理隔绝的前提下，为了使内部网络正常运行工作还需要与外部网络进行少量的数据交互，通常这种数据交互采用离线方式，离线方式数据交互效率低下，需要耗费大量的时间，严重增加操作人员的任务。
发明内容
基于此，有必要针对现有在确保内部网络与外部网络物理隔绝的前提下，进行内外部网络离线数据交互效率低下的问题，提供一种确保内部网络与外部网络物理隔绝的前提下，内外部网络数据交互效率高的基于非网络方式的数据隔离装置及其方法与系统。
一种非网络方式的数据隔离装置的数据隔离方法，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；
非网络方式的数据隔离装置的数据隔离方法包括步骤：
建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socket1；
获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；
采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2；
将socket1和socket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socket1、隔离通道和socket2三段区间内传输；
当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。
一种非网络方式的数据隔离装置的数据隔离系统，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；
非网络方式的数据隔离装置的数据隔离系统包括：
TCP代理端建立模块，用于建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；
第一通信链路建立模块，用于采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socket1；
隔离通道建立模块，用于获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；
第二通信链路建立模块，用于采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2；
逻辑通道形成模块，用于将socket1和socket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socket1、隔离通道和socket2三段区间内传输；
报文剥除模块，用于当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。
一种基于非网络方式的数据隔离装置，包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈，外网主机维护TCP代理服务端模块，内网主机维护TCP代理客户端模块；
所述隔离通信模块用于根据内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据，并隔离所述内网主机和所述外网主机之间的非纯应用数据，所述纯应用数据为不包含TCP网络信息、链路信息和传输层信息的数据。
本发明基于非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，内外网主机均网络协议栈，并分别维护TCP代理客户端模块和TCP代理服务端模块。TCP代理服务端模块与业务数据包客户端建TCP连接socket1及数据转发，TCP代理客户端模块负责与业务数据包服务端建立TCP连接socket2及数据转发，隔离通信模块使用私有协议，剥除了业务数据包TCP头及以下的报文头，仅进行纯业务数据载荷转发。整体上实现内、外端主机之间的四层隔离子系统通信，有效阻止除“基于私有协议内部的攻击”之外的所有网络攻击，确保内部网络与外部网络物理隔绝的前提下，网络数据交互的高效率。
附图说明
图1为本发明基于非网络方式的数据隔离装置的隔离方法第一个实施例的流程示意图；
图2为本发明基于非网络方式的数据隔离装置的隔离方法第二个实施例的流程示意图；
图3为本发明基于非网络方式的数据隔离装置的隔离系统其中一个实施例的结构示意图；
图4为本发明基于非网络方式的数据隔离装置第一个实施例的结构示意图；
图5为本发明基于非网络方式的数据隔离装置第二个实施例的结构示意图；
图6为本发明基于非网络方式的数据隔离装置的隔离方法其中一个实施例中socket1通道、隔离通道以及socket2建立的过程示意图；
图7为本发明基于非网络方式的数据隔离装置的隔离方法其中一个实施例中数据包从客户端到服务端的处理过程示意图；
图8为本发明基于非网络方式的数据隔离装置的隔离方法其中一个实施例中数据包经过服务端处理后从服务端返回客户端的过程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白，以下根据附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施仅仅用以解释本发明，并不限定本发明。
如图1所示，一种非网络方式的数据隔离装置的数据隔离方法，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；
非网络方式的数据隔离装置的数据隔离方法包括步骤：
S100：建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；
S200：采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socket1；
S300：获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；
S400：采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2；
S500：将socket1和socket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socket1、隔离通道和socket2三段区间内传输；
S600：当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。
本发明基于非网络方式的数据隔离装置的数据隔离方法，能够在确保内部主机和外部主机物理隔离的前提下，根据隔离通信模块的私有通信协议，交互内网主机与外网主机之间的纯应用数据，使得外网数据包能够高效通过基于非网络方式的数据隔离装置传输。
在其中一个实施例中，所述采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socket1具体包括步骤：
外网数据包客户端向外网主机发送TCP连接请求数据包；
当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP代理服务端，TCP代理服务端accept创建新套接字socket1；
所述TCP代理服务端向内核查询，获取所述socket1重定向前的目的地址为外网数据包服务端；
所述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接。
在其中一个实施例中，所述采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2具体包括步骤：
所述TCP代理客户端建立套接字socket2，并绑定port3接口；
所述TCP代理客户端向内核添加源网络地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址；
所述TCP代理客户端使用socket2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。
如图2所示，在其中一个实施例中，所述S600之前还有步骤：
S520：当socket1或socket2主被动断开时，删除内网主机中的所有源网络地址转换策略。
在上述实施例中，当socket1或socket2主被动断开时或者主机、内外主机需要重启时，删除内网主机中的所有源网络地址转换策略。这样能够确保内网主机的安全，避免异常情况的出现导致内网主机被黑客劫持或者内网主机中的数据被篡改。
如图3所示，一种非网络方式的数据隔离装置的数据隔离系统，非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，所述内网主机和所述外网主机通过所述隔离通信模块物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈；
非网络方式的数据隔离装置的数据隔离系统包括：
TCP代理端建立模块310，用于建立所述外网主机中的TCP代理服务端和所述内网主机中的TCP代理客户端；
第一通信链路建立模块320，用于采用端口重定向技术，建立所述TCP代理服务端与外网数据包客户端之间的TCP连接socket1；
隔离通道建立模块330，用于获取隔离通信模块的私有通信协议，根据所述隔离通信模块的私有通信协议，建立所述TCP代理服务端与所述TCP代理客户端之间的非网络隔离通道；
第二通信链路建立模块340，用于采用源网络地址转换查询技术，建立所述TCP代理客户端与外网数据包服务端的TCP连接socket2；
逻辑通道形成模块350，用于将socket1和socket2维护成逻辑通道，以使外网数据包客户端与外网数据包服务端之间传输的业务数据包在socket1、隔离通道和socket2三段区间内传输；
报文剥除模块360，用于当有业务数据包通过所述非网络隔离通道传输时，剥除所述业务数据包的TCP头及以下的报文头，仅进行纯业务数据载荷传输。
本发明基于非网络方式的数据隔离装置的数据隔离系统，能够在确保内部主机和外部主机物理隔离的前提下，根据隔离通信模块的私有通信协议，交互内网主机与外网主机之间的纯应用数据，使得外网数据包能够高效通过基于非网络方式的数据隔离装置传输。
在其中一个实施例中，所述第一通信链路建立模块具体包括：
发送单元，用于将外网数据包客户端向外网主机发送TCP连接请求数据包；
第一通信链路建立单元，用于当所述TCP连接请求数据包到达外网主机时，采用端口重定向技术将所述TCP连接请求数据包重定向到所述TCP代理服务端，TCP代理服务端accept创建新套接字socket1；
重定向单元，用于将所述TCP代理服务端向内核查询，获取所述socket1重定向前的目的地址为外网数据包服务端；
请求单元，用于在利用述TCP代理服务端通过隔离通信模块向所述TCP代理客户端发送请求，请求建立外网数据包客户端到外网数据包服务端的TCP连接；
在其中一个实施例中，所述第二通信链路建立模块具体包括：
第二通信链路建立单元，用于通过所述TCP代理客户端建立套接字socket2，并绑定port3接口；
地址映射单元，用于通过所述TCP代理客户端向内核添加源网络地址转换策略，将TCP代理服务端到所述TCP代理客户端的数据包源地址映射为外网数据包客户端的地址；
连接单元，用于通过所述TCP代理客户端使用socket2向外网数据包服务端发起TCP连接请求，外网数据包服务端读取到该连接源地址为外网数据包客户端的地址，连接建立成功。
如图4所示，一种基于非网络方式的数据隔离装置，包括内网主机100、外网主机200和隔离通信模块300，所述内网主机100和所述外网主机200通过所述隔离通信模块300物理连接，所述内网主机和所述外网主机分别加载有隔离通道私有协议、操作系统和网络协议栈，外网主机维护TCP代理服务端模块，内网主机维护TCP代理客户端模块；
所述隔离通信模块300用于根据内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据，并隔离所述内网主机和所述外网主机之间的非纯应用数据，所述纯应用数据为不包含TCP/IP网络信息、链路信息和传输层信息的数据。
本发明基于非网络方式的数据隔离装置包括内网主机、外网主机和隔离通信模块，内外网主机均网络协议栈，并分别维护TCP代理客户端模块和TCP代理服务端模块。TCP代理服务端模块与业务数据包客户端建TCP连接socket1及数据转发，TCP代理客户端模块负责与业务数据包服务端建立TCP连接socket2及数据转发，隔离通信模块使用私有协议，剥除了业务数据包TCP头及以下的报文头，仅进行纯业务数据载荷转发。整体上实现内、外端主机之间的四层隔离子系统通信，有效阻止除“基于私有协议内部的攻击”之外的所有网络攻击，确保内部网络与外部网络物理隔绝的前提下，网络数据交互的高效率。
如图5所示，在其中一个实施例中，所述隔离通信模块300包括非电路性隔离隔板320和数据隔离卡340，所述非电路性隔离隔板320用于隔离所述内网主机和所述外网主机之间的非纯应用数据，所述数据隔离卡340用于根据所述内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据。
从某种意义上来说在可以将隔离通信模块分为两个区，一个是隔离区，一个是交互区，隔离区用于隔离所述内网主机和所述外网主机之间的非纯应用数据，交互区用于根据所述内置私有协议，交互所述内网主机和所述外网主机之间的纯应用数据。在本实施例中显然，隔离区为非电路性隔离隔板，交互区为数据隔离卡，两者协调工作能够在能够确保内部网络与外部网络物理隔绝的前提下，内外部网络数据交互高效率。
如图5所示，在其中一个实施例中，所述基于非网络方式的数据隔离装置还包括内网网卡400和外网网卡500，所述内网网卡400与所述内网主机100连接，所述外网网卡500与所述外网主机200连接。
为了进一步详细解释本发明基于非网络方式的数据隔离装置的数据隔离方法，下面将详细解释数据包在socket1、隔离通道和socket2三段区间内传输的过程。为了便于解释说明，在下面描述中，基于非网络方式的数据隔离装置的外网主机一侧称为客户端、内网主机一侧称为服务端，其中客户端、外网主机、内网主机以及服务端的目的地址分别定义为ip1、ip2、ip3、ip4。
图6为socket1通道、隔离通道以及socket2建立的过程。
1、客户端向服务器发起TCP连接请求，该连接从ip1到ip4；
2、当连接请求包到达外端主机，通过端口重定向到ip2，外端代理服务端模块accept创建新套接字socket1；
3、外端代理服务端模块向内核查询得到socket1重定向前的目的地址ip4；
4、外端代理服务端模块通过隔离通信模块向内端代理客户端模块发送请求，请求建立ip1到ip4的TCP连接；
6、内端代理客户端模块首先建立套接字socket2，并绑定port3；
7、内端代理客户端模块向内核添加源网络地址转换策略，即从ip3到ip4的数据包源地址映射为ip1；
8、最后内端代理客户端模块使用socket2向服务器发起TCP连接请求，服务器读取到该连接源地址为客户端地址(ip1)，连接建立成功。
图7为数据包从客户端到服务端的处理过程。
1、当代理通道建立成功后，客户端向服务器发送TCP业务数据，该数据包从ip1到ip4；
2、当业务数据包到达外端主机时，通过端口重定向到ip2，由外端代理服务端模块套接字socket1收到该数据包；
3、外端代理服务端模块通过隔离通信模块，将业务数据包纯载荷部份使用自定义私有协议封装，送到内端代理客户端模块；
4、内端代理客户端模块使用socket2将该数据载荷发往服务器ip4；
5、内端主机发送前，内核查到ip3到ip4存在源网络地址转换策略，将数据包源地址改为客户端；
6、服务器收到源地址为客户端的业务数据包，并进行相应业务处理。
图8为数据包经过服务端处理后从服务端返回客户端的过程。
1、当代理通道建立成功后，服务器向客户端发送业务数据，该数据包从ip4:port4到ip1；
2、当业务数据包到达内端主机时，内核通过查询网络地址转换表，将该数据包发送给内端代理客户端程序；
3、内端代理客户端程序通过隔离通信模块，将业务数据包纯载荷部份使用自定4、义私有协议封装，送到外端代理服务端模块；
5、外端代理服务端模块使用socket1将该数据载荷发往客户端ip1；
6、外端主机发送前，内核通过查找网络地址转换表，将该数据包源地址改为服务器地址ip4；
7、客户端收到源地址为服务器的业务数据包，并进行相应业务处理。
以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。