包括内网服务器,内网交换机,外网交换机,外网终端。安全应用数据交换机系统的详细功能模块示意图如图4所示。参考图4,所述的安全应用数据交换机,包括数据结构检查功能、身份认证功能、数据加解密功能、协议转换功能、日志功能、多接口并发传输功能、系统硬件自检功能、系统自动复位功能、系统配置管理功能、通讯参数配置功能、身份认证密钥管理功能、加解密密钥管理功能。
[0064]所述的身份认证功能,与其他实体相互进行身份认证,包括内网交换机和外网交换机间的身份认证,防止非法交换机接入;外网交换机与外网终端间的身份认证,防止非法的访问;内网交换机与内网服务器间的认证,防止非法设备接入。
[0065]所述的基于数据结构的数据检查功能,对其他实体发送给交换机的数据在应用层或链路层进行数据结构的检查,检查通过的数据才能被转发。数据结构检查可以防止恶意代码输入、非法数据的输入,阻止对接入到内网交换机及内网服务器的攻击。
[0066]所述的身份认证功能,与其他实体相互进行身份认证,包括内网交换机和外网交换机间的身份认证,防止非法交换机接入;外网交换机与外网终端间的身份认证,防止非法的访问;内网交换机与内网服务器间的认证,防止非法设备接入。
[0067]所述的数据加解密功能,多层的数据加解密,包括应用层和数据链路层。外网交换机负责加密应用数据,解密管理数据。内网交换机解密应用数据,加密管理数据。数据加密可以防止攻击者直接窃取明文数据。
[0068]所述的协议转换功能,多层网络协议的阻断和转换,包括应用层、传输层、数据链路层。内网交换机通过TCP/IP协议接外网终端的应用数据,并使用通讯协议(包括Zigbee协议、WIFI协议等)转发给内网交换机。内网交换机通过TCP/IP协议将应用数据转发给内网服务器。协议转换可以防止区域间直接的逻辑通路,阻断非法访问。
[0069]所述的日志功能,系统日常运行的记录、重要事件的记录,日志占用资源的循环使用,日常记录和重要事件记录独立分配资源,对日志授权访问。日志可以掌握系统的运行信息,也可以掌握系统发生的重要事件;资源的循环使用可以防止日志占用资源过多,造成系统运行缓慢甚至因资源耗尽死锁;资源独立分配可以防止重要事件信息被日常信息覆盖;日志授权访问控制可以防止日志内容泄露。
[0070]所述的多接口并发传输功能,包括多个物理传输接口,包括多种类型和多种速率传输接口,这些物理传输接口可以并发传输数据。多接口并发传输一方面可以提高传输的带宽,另一方面也可以提高通信的可靠性。传输接口包括zigbee、WIF1、网口,不同传输接口传输速率不同。
[0071]所述的系统硬件自检功能,检测系统硬件是否存在故障。系统硬件自检可以及时发现交换机存在的硬件故障。
[0072]所述的系统自动复位功能,在一定条件下,可以重启/复位系统。系统自动复位可以防止和解决因长期运行造成的死机、运行缓慢等系统故障。
[0073]所述的系统配置管理功能,对设置、修改、删除系统参数。
[0074]所述的通讯参数配置功能,对通讯参数配置,控制通讯的可达性。
[0075]所述的身份认证密钥管理功能,设置、修改、删除身份认证密钥。
[0076]所述的加解密密钥管理功能,设置、修改、删除加解密密钥。
[0077]经过身份认证后,各实体间可以相互传输数据。本实用新型提供的安全应用数据交换机系统中的各实体间相互传输数据的流程示意图如图5所示,具体处理过程包括:
[0078]首先,应用数据由外网终端使用TCP/IP协议发送,外网交换机接收和解析TCP/IP协议数据,支持协议包括FTP协议、HTTP协议、Socket协议。
[0079]其次,调用数据结构检查功能,对该机器发送给外网交换机的数据在应用层或链路层进行数据结构的检查,检查通过的数据才能被转发。数据结构检查可以防止恶意代码输入、非法数据的输入,阻止对接入到铁路货运站内部网交换机及内网服务器的攻击。
[0080]第三,数据机构检查功能通过后,调用数据加解密功能中的加密功能,加密应用数据。数据加密可以防止攻击值直接窃取明文数据。
[0081]第四,外网交换机使用协议转换功能中的通讯协议(zigbee协议、wifi协议等)向内网交换机发送应用数据(密文)。
[0082]第五,内网交换机通过通讯协议(zigbee协议、wifi协议等)接收应用数据(密文),调用加解密功能中的解密功能。
[0083]第七,外网交换机使用协议转换功能中的TCP/IP协议向内网服务器发送应用数据。
[0084]图4中虚线箭头表示管理数据流向。
[0085]首先,管理数据由内网服务器使用TCP/IP协议发送,内网交换机接收和解析TCP/IP协议数据,支持协议包括FTP协议、HTTP协议、Socket协议。
[0086]其次,调用数据结构检查功能,对该机器发送给外网交换机的管理数据在应用层或链路层进行数据结构的检查,检查通过的数据才能被转发。数据结构检查可以防止恶意代码输入、非法数据的输入,阻止对交换机的攻击。
[0087]第三,数据结构检查功能通过后,如果为内网交换机管理数据,将数据发送给系统参数配置功能或者通讯参数配置功能或者身份认证密钥管理功能或者加解密密钥管理功能。如果为外网交换机管理数据,调用数据加解密功能中的加密功能,加密管理数据。
[0088]第四,内网交换机使用协议转换功能中的通讯协议(zigbee协议、wifi协议等)向外网交换机发送管理数据(密文)。
[0089]第五,外网交换机通过通讯协议(zigbee协议、wifi协议等)接收管理数据(密文),调用加解密功能中的解密功能。
[0090]第七,外网交换机将数据发送给系统参数配置功能或者通讯参数配置功能或者身份认证密钥管理功能或者加解密密钥管理功能。
[0091]综上所述,本实用新型实施例的安全应用数据交换机系统通过设置内网数据交换机和外网数据交换机的双数据交换机的机制,其具有以下有益效果:防止恶意代码输入、非法数据的输入,阻止对接入到内网交换机及内网服务器的攻击;防止非法访问,防止非法设备接入;防止攻击者直接窃取明文数据;防止区域间直接的逻辑通路,阻断非法访问;提高传输带宽和通信可靠性;最终达到应用数据的安全交换的目的。
[0092]本实用新型实施例的安全应用数据交换机系统能够解决两个距离较远网络域间的通信,能够解决两个不同安全等级的网络域间的通信。
[0093]本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本实用新型所必须的。
[0094]本领域普通技术人员可以理解:实施例中的装置中的部件可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的部件可以合并为一个部件,也可以进一步拆分成多个子部件。
[0095]以上所述,仅为本实用新型较佳的【具体实施方式】,但本实用新型的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本实用新型揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本实用新型的保护范围之内。因此,本实用新型的保护范围应该以权利要求的保护范围为准。
【主权项】
1.一种安全应用数据交换机系统,其特征在于,包括:通过无线通信网络连接的内网数据交换机和外网数据交换机,所述内网数据交换机通过有线或者无线通信网络与内网设备连接,所述外网数据交换机通过有线或者无线通信网络与外网设备连接; 所述内网数据交换机和外网数据交换机中都包括主板、处理器、存储设备、通信装置和电源装置,所述主板通过电路与所述处理器、存储设备、通信装置和电源装置连接。2.根据权利要求1所述的安全应用数据交换机系统,其特征在于,所述主板上包括:多个PCI插槽、多个网线插口、多个COM口和多个SATA硬盘接口。3.根据权利要求2所述的安全应用数据交换机系统,其特征在于,所述通信装置通过电路与所述主板上的COM 口连接,所述通信装置中包括功率放大装置。4.根据权利要求3所述的安全应用数据交换机系统,其特征在于,所述内网数据交换机中的通信装置和外网数据交换机中的通信装置通过Zigbee网络或者WIFI网络连续。5.根据权利要求3所述的安全应用数据交换机系统,其特征在于,所述PCI插槽连接PCI接口的无线网卡,所述无线网卡中包括外接天线。6.根据权利要求3所述的安全应用数据交换机系统,其特征在于,所述存储设备通过电路与所述主板上的SATA硬盘接口连接。7.根据权利要求1至6任一项所述的安全应用数据交换机系统,其特征在于,所述处理器中包括配置单元、加解密单元、数据转换单元和认证单元,所述配置单元和所述加解密单元、数据转换单元、认证单元电路连接。
【专利摘要】本实用新型实施例提供了一种安全应用数据交换机系统。该系统包括:通过无线通信网络连接的内网数据交换机和外网数据交换机,内网数据交换机通过有线或者无线通信网络与内网设备连接,外网数据交换机通过有线或者无线通信网络与外网设备连接;内网数据交换机和外网数据交换机中都包括主板、处理器、存储设备、通信装置和电源装置,主板通过电路与处理器、存储设备、通信装置和电源装置连接。本实用新型实施例的安全应用数据交换机系统通过设置内网数据交换机和外网数据交换机的双数据交换机的机制,可以防止恶意代码输入、非法数据的输入,阻止对接入到内网交换机及内网服务器的攻击,最终达到应用数据的安全交换的目的。
【IPC分类】H04L29/06, H04L12/939, H04L1/22
【公开号】CN205304860
【申请号】
【发明人】吕从东, 刘丰, 李常
【申请人】北京安信极联信息科技有限公司
【公开日】2016年6月8日
【申请日】2016年1月13日