一种数据保护设备及系统转让专利
申请号 : CN202210920877.7
文献号 : CN114978784B
文献日 : 2022-11-29
发明人 : 傅波海 , 赵呈洋 , 戴大海 , 杨鸽 , 付晓满
申请人 : 矩阵时光数字科技有限公司
摘要 :
本申请公开了一种数据保护设备及系统。对于该数据保护设备的隔离区模块向外网发送的数据,需要隔离区模块重新装载,再通过定制传输模块传递,才能从该数据保护设备的隔离区模块传输到联网模块;对于从外网传入到隔离区模块的数据,也需要联网模块重新装卸,再通过定制传输模块传递,才能从联网模块传输到隔离区模块,即剔除了接收到的外网数据中所包含的杂质数据,实现了该数据保护设备所包含的隔离区模块不参与任何网络通信。此外,隔离区模块进行数据收发时,无需人工参与,减少了人力资源的浪费,极大地简化了数据传输过程,提高了数据传输效率。
权利要求 :
1.一种数据保护设备,其特征在于,所述数据保护设备包括:隔离区模块、联网模块以及定制传输模块;其中,所述定制传输模块为专用硬件;
所述隔离区模块与所述定制传输模块连接,用于获取待发送至外网设备的第一保护数据,并基于所述第一保护数据以及预先配置的专用传输规范,生成第一内部定制数据并发送至所述定制传输模块;以及,接收所述定制传输模块发送的第二内部定制数据,并根据所述专用传输规范,获取所述第二内部定制数据对应的第二保护数据;若确定所述第二保护数据为加密后的数据,则对所述第二保护数据进行解密;其中,所述专用传输规范包括数据链路层、网络层、传输层以及应用层;所述数据链路层中携带有以下一种或多种数据:通信标识、协议版本号、报文的链路类型以及消息发起的源头的标识;其中,所述通信标识用于对对端设备的身份进行鉴权,所述消息发起的源头包括所述隔离区模块、所述定制传输模块以及所述联网模块;所述报文的链路类型包括以下一种或多种:握手消息、切换消息、事件消息;所述握手消息用于表示所述隔离区模块、所述联网模块以及所述定制传输模块中的任意两个模块之间进行握手,以使所述任意两个模块之间互相确认,所述握手消息在所述专用传输规范的网络层中携带有以下一种或多种信息:通信标识以及时间戳、握手消息类型、整个传输层长度;所述时间戳用于标识所述通信标识的时效性;所述切换消息用于表示外设与所述隔离区模块连接,还是与所述联网模块连接;所述事件消息用于所述隔离区模块中的业务与所述联网模块中的业务代理之间的事件;
所述定制传输模块与所述联网模块连接,用于将内部定制数据在所述隔离区模块和所述联网模块之间传输;其中,所述内部定制数据包括所述第一内部定制数据以及所述第二内部定制数据;
所述联网模块,用于接收所述定制传输模块发送的所述第一内部定制数据,并根据所述专用传输规范,获取所述第一内部定制数据对应的第一保护数据;将所述第一保护数据发送至所述外网设备;接收所述外网设备发送的所述第二保护数据,并基于所述专用传输规范,生成所述第二保护数据对应的第二内部定制数据;将所述第二内部定制数据发送至所述定制传输模块。
2.根据权利要求1所述的数据保护设备,其特征在于,保护数据包括以下一种或多种:
业务数据、用户数据、密钥数据、业务信令数据;其中,所述保护数据包括第一保护数据以及第二保护数据。
3.根据权利要求1所述的数据保护设备,其特征在于,所述隔离区模块,还用于获取版本更新数据,并根据所述版本更新数据,对所述数据保护设备进行固件升级。
4.根据权利要求3所述的数据保护设备,其特征在于,所述隔离区模块,还用于根据所述版本更新数据,对所述数据保护设备进行固件升级之前,确定所述版本更新数据完整性校验通过。
5.根据权利要求3或4所述的数据保护设备,其特征在于,所述隔离区模块,具体用于若确定所述版本更新数据对应所述定制传输模块,则通过预先配置的硬件GPIO接口,根据所述版本更新数据,对所述定制传输模块进行升级。
6.根据权利要求1所述的数据保护设备,其特征在于,所述数据保护设备还包括外设切换模块;
所述外设切换模块分别与所述隔离区模块以及所述联网模块连接,用于控制外设与所述隔离区模块,或所述联网模块之间的连接,以使所述数据保护设备连接的外设在同一时间内只允许连接所述隔离区模块、或所述联网模块,所述隔离区模块和联网模块所连接的外设不进行软件逻辑交叉使用。
7.根据权利要求1所述的数据保护设备,其特征在于,所述数据保护设备还包括电源管理模块;
所述电源管理模块分别与所述隔离区模块以及所述联网模块连接,用于控制所述数据保护设备内一个或多个模块的被供电状态;其中,所述模块包括所述隔离区模块以及所述联网模块。
8.一种数据保护系统,其特征在于,所述系统包括:至少一个隔离区设备、至少一个联网设备、以及定制传输设备;其中,所述定制传输设备为专用硬件;
所述至少一个隔离区设备,用于获取待发送至外网设备的第一保护数据;基于所述第一保护数据以及预先配置的专用传输规范,生成第一内部定制数据并发送至所述定制传输设备;以及,接收所述定制传输设备发送的第二内部定制数据,并基于所述专用传输规范,从所述第二内部定制数据获取第二保护数据;若确定所述第二保护数据为加密后的数据,则对所述第二保护数据进行解密;其中,所述专用传输规范包括数据链路层、网络层、传输层以及应用层;所述数据链路层中携带有以下一种或多种数据:通信标识、协议版本号、报文的链路类型以及消息发起的源头的标识;其中,所述通信标识用于对对端设备的身份进行鉴权,所述消息发起的源头包括所述至少一个隔离区设备、定制传输模块以及所述至少一个联网设备;所述报文的链路类型包括以下一种或多种:握手消息、切换消息、事件消息;
所述握手消息用于表示所述至少一个隔离区设备、所述定制传输模块以及所述至少一个联网设备之间进行握手,以使所述至少一个隔离区设备、所述定制传输模块以及所述至少一个联网设备之间互相确认,所述握手消息在所述专用传输规范的网络层中携带有以下一种或多种信息:通信标识以及时间戳、握手消息类型、整个传输层长度;所述时间戳用于标识所述通信标识的时效性;所述切换消息用于表示外设与所述至少一个隔离区设备连接,还是与所述至少一个联网设备连接;所述事件消息用于所述至少一个隔离区设备中的业务与所述至少一个联网设备中的业务代理之间的事件;
所述定制传输设备,用于将所述内部定制数据在所述隔离区设备和所述联网设备之间传输;其中,所述内部定制数据包括所述第一内部定制数据以及所述第二内部定制数据;
所述至少一个联网设备,用于接收所述外网设备发送的第二保护数据;基于所述第二保护数据以及预先配置的专用传输规范,生成所述第二内部定制数据并发送至所述定制传输设备;以及,接收所述定制传输设备发送的第一内部定制数据,并基于所述专用传输规范,从所述第一内部定制数据获取所述第一保护数据;将所述第一保护数据发送至所述外网设备。
9.根据权利要求8所述的系统,其特征在于,所述保护数据包括以下一种或多种:业务数据、用户数据、密钥数据、业务信令数据。
10.根据权利要求8所述的系统,其特征在于,所述至少一个隔离区设备,还用于获取版本更新数据,并根据所述版本更新数据,对所述至少一个隔离区设备和/或所述定制传输设备进行固件升级。
11.根据权利要求10所述的系统,其特征在于,所述至少一个隔离区设备,还用于根据所述版本更新数据,对所述至少一个隔离区设备和/或所述定制传输设备进行固件升级之前,确定所述版本更新数据完整性校验通过。
12.根据权利要求10或11所述的系统,其特征在于,所述至少一个隔离区设备,具体用于若确定所述版本更新数据对应所述定制传输设备,则通过预先配置的硬件GPIO接口,根据所述版本更新数据,对所述定制传输设备进行升级。
13.根据权利要求8所述的系统,其特征在于,所述系统还包括外设切换设备;
所述外设切换设备分别与所述至少一个隔离区设备,以及所述至少一个联网设备连接,用于控制外设与所述至少一个隔离区设备,或所述至少一个联网设备之间的连接,以使 数据保护设备连接的外设在同一时间内只允许连接所述隔离区模块、或所述联网模块,所述隔离区模块和联网模块所连接的外设不进行软件逻辑交叉使用。
14.根据权利要求8所述的系统,其特征在于,所述系统还包括电源管理设备;
所述电源管理设备分别与所述至少一个隔离区设备,以及所述至少一个联网设备连接,用于控制所述数据保护系统内一个或多个设备的被供电状态;其中,所述设备包括所述至少一个隔离区设备,以及所述至少一个联网设备。
说明书 :
一种数据保护设备及系统
技术领域
[0001] 本申请涉及信息安全技术领域,尤其涉及一种数据保护设备及系统。
背景技术
[0002] 随着计算机网络应用不断普及,随之而来的计算机病毒和信息窃取程序对电子设备内存储的数据的破坏性也越来越受到重视。因此,如何保护数据的安全是近几年来人们日益关注的问题。
[0003] 相关技术中,可以将用于处理重要数据的设备与网络完全隔离。对于该种方法,由于该设备不接入网络,处于一个封闭环境,如果需要与外界进行数据交互,需要借助人工和特殊设备(如堡垒机)去完成。而通过人工拷贝的方式再使用堡垒机进行数据传输,会使得整个数据传输过程又慢又复杂,降低数据传输效率,且该方法过于依赖人力,需要耗费大量的人力资源。此外,该方法只能保护被网络隔离的设备内存储的数据的安全性,其无法排除后续接收到的数据是否存在安全问题,使得将接收到的数据转移到被隔离的设备中后,该被隔离的设备中的数据仍可能被污染。
[0004] 由此可知,上述保护信息安全的方法无法全面地保护信息安全,在信息保护方面依然都还有很大的风险漏洞。
发明内容
[0005] 本申请提供了一种数据保护设备及系统,用以提高数据的安全性。
[0006] 第一方面,本申请提供了一种数据保护设备,所述数据保护设备包括:隔离区模块、联网模块以及定制传输模块;
[0007] 所述隔离区模块与所述定制传输模块连接,用于获取待发送至外网设备的第一保护数据,并基于所述第一保护数据以及预先配置的专用传输规范,生成第一内部定制数据并发送至所述定制传输模块;以及,接收所述定制传输模块发送的第二内部定制数据,并根据所述专用传输规范,获取所述第二内部定制数据对应的第二保护数据;
[0008] 所述定制传输模块与所述联网模块连接,用于将内部定制数据在所述隔离区模块和所述联网模块之间传输;其中,所述内部定制数据包括所述第一内部定制数据以及所述第二内部定制数据;
[0009] 所述联网模块,用于接收所述定制传输模块发送的所述第一内部定制数据,并根据所述专用传输规范,获取所述第一内部定制数据对应的第一保护数据;将所述第一保护数据发送至所述外网设备;接收所述外网设备发送的所述第二保护数据,并基于所述专用传输规范,生成所述第二保护数据对应的第二内部定制数据;将所述第二内部定制数据发送至所述定制传输模块。
[0010] 在某些可能的实施方式中,所述隔离区模块,还用于若确定所述第二保护数据为加密后的数据,则对所述第二保护数据进行解密。
[0011] 在某些可能的实施方式中,保护数据包括以下一种或多种:业务数据、用户数据、密钥数据、业务信令数据;其中,所述保护数据包括第一保护数据以及第二保护数据。
[0012] 在某些可能的实施方式中,所述隔离区模块,还用于获取版本更新数据,并根据所述版本更新数据,对所述数据保护设备进行固件升级。
[0013] 在某些可能的实施方式中,所述隔离区模块,还用于根据所述版本更新数据,对所述数据保护设备进行固件升级之前,确定所述版本更新数据完整性校验通过。
[0014] 在某些可能的实施方式中,所述隔离区模块,具体用于若确定所述版本更新数据对应所述定制传输模块,则通过预先配置的专用升级接口,根据所述版本更新数据,对所述定制传输模块进行升级。
[0015] 在某些可能的实施方式中,所述数据保护设备还包括外设切换模块;
[0016] 所述外设切换模块分别与所述隔离区模块以及所述联网模块连接,用于控制外设与隔离区模块,或联网模块之间的连接。
[0017] 第二方面,本申请还提供了一种数据保护系统,所述系统包括:至少一个隔离区设备、至少一个联网设备、以及定制传输设备;
[0018] 所述至少一个隔离区设备,用于获取待发送至外网设备的第一保护数据;基于所述第一保护数据以及预先配置的专用传输规范,生成第一内部定制数据并发送至所述定制传输设备;以及,接收所述定制传输设备发送的第二内部定制数据,并基于所述专用传输规范,从所述第二内部定制数据获取第二保护数据;
[0019] 所述定制传输设备,用于将所述内部定制数据在所述隔离区设备和所述联网设备之间传输;其中,所述内部定制数据包括所述第一内部定制数据以及所述第二内部定制数据;
[0020] 所述至少一个联网设备,用于接收所述外网设备发送的第二保护数据;基于所述第二保护数据以及预先配置的专用传输规范,生成所述第二内部定制数据并发送至所述定制传输设备;以及,接收所述定制传输设备发送的第一内部定制数据,并基于所述专用传输规范,从所述第一内部定制数据获取所述第一保护数据;将所述第一保护数据发送至所述外网设备。
[0021] 在某些可能的实施方式中,所述至少一个隔离区设备,还用于基于所述第一保护数据以及预先配置的专用传输规范,生成第一内部定制数据并发送至所述定制传输设备之前,对所述第一保护数据进行加密。
[0022] 在某些可能的实施方式中,所述至少一个隔离区设备,还用于若确定所述第二保护数据为加密后的数据,则对所述第二保护数据进行解密。
[0023] 所述保护数据包括以下一种或多种:业务数据、用户数据、密钥数据、业务信令数据。
[0024] 在某些可能的实施方式中,所述至少一个隔离区设备,还用于获取版本更新数据,并根据所述版本更新数据,对所述至少一个隔离区设备和/或所述定制传输设备进行固件升级。
[0025] 在某些可能的实施方式中,所述至少一个隔离区设备,还用于根据所述版本更新数据,对所述至少一个隔离区设备和/或所述定制传输设备进行固件升级之前,确定所述版本更新数据完整性校验通过。
[0026] 在某些可能的实施方式中,所述至少一个隔离区设备,具体用于若确定所述版本更新数据对应所述定制传输设备,则通过预先配置的专用升级接口,根据所述版本更新数据,对所述定制传输设备进行升级。
[0027] 在某些可能的实施方式中,所述系统还包括外设切换设备;
[0028] 所述外设切换设备分别与所述至少一个隔离区设备,以及所述至少一个联网设备连接,用于控制外设与所述至少一个隔离区设备,或所述至少一个联网设备之间的连接。
[0029] 本申请的有益效果如下:
[0030] 1、通过该数据保护设备中包含的定制传输模块、隔离区模块、以及联网模块,实现隔离区模块的数据的收发。对于该数据保护设备的隔离区模块向外网发送的数据,需要隔离区模块重新装载,再通过定制传输模块传递,才能从该数据保护设备的隔离区模块传输到联网模块;对于从外网传入到隔离区模块的数据,也需要联网模块重新装卸,再通过定制传输模块传递,才能从该数据保护设备的联网模块传输到隔离区模块,即剔除了接收到的外网数据中所包含的杂质数据,即使是应用层的业务通信信息都不能进入隔离区模块,实现了该数据保护设备所包含的隔离区模块不参与任何网络通信。
[0031] 2、由于隔离区模块收发的外网数据都需要定制传输模块进行传递,使得该隔离区模块所收发的所有数据都是规范且合规的,从而实现主动防御异常数据,大大提高了隔离区模块所收发的数据的安全性。
[0032] 3、通过隔离区模块和联网模块,可以实现将数据保护设备中所保存的数据进行划分,有利于将安全性等级要求较高的数据保存在隔离区模块,将安全性等级较低的数据保存在联网模块,降低隔离区模块和联网模块管理数据和存储数据的压力,以及对该数据保护设备的硬件要求。
[0033] 隔离区模块进行数据收发时,无需人工参与,减少了人力资源的浪费,且整个数据传输过程通过该数据保护设备的各个模块之间的协作即可完成,极大地简化了数据传输过程,提高了数据传输效率。
附图说明
[0034] 图1为本申请实施例提供的一种数据保护设备的结构示意图;
[0035] 图2为本申请实施例提供的一种一体机的结构示意图;
[0036] 图3为本申请实施例提供的一体机发送数据的一种流程示意图;
[0037] 图4为本申请实施例提供的一体机接收数据的一种流程示意图;
[0038] 图5为本申请实施例提供的一种外设切换模块的结构示意图;
[0039] 图6为本申请实施例提供的一种固化数据模块的结构示意图;
[0040] 图7为本申请实施例提供的一种固件升级模块的结构示意图;
[0041] 图8为本申请实施例提供的一种电源控制模块的结构示意图;
[0042] 图9为本申请实施例提供的一种数据保护系统的结构示意图。
具体实施方式
[0043] 实施例1:
[0044] 图1为本申请实施例提供的一种数据保护设备的结构示意图,该数据保护设备包括:隔离区模块、联网模块12、以及定制传输模块13;
[0045] 所述隔离区模块11与所述定制传输模块13连接,用于获取待发送至外网设备的第一保护数据,并基于所述第一保护数据以及预先配置的专用传输规范,生成第一内部定制数据并发送至所述定制传输模块13;以及,接收所述定制传输模块13发送的第二内部定制数据,并根据所述专用传输规范,获取所述第二内部定制数据对应的第二保护数据;
[0046] 所述定制传输模块13与所述联网模块12连接,用于将内部定制数据在所述隔离区模块11和所述联网模块12之间传输;其中,所述内部定制数据包括所述第一内部定制数据以及所述第二内部定制数据;
[0047] 所述联网模块12,用于接收所述定制传输模块13发送的所述第一内部定制数据,并根据所述专用传输规范,获取所述第一内部定制数据对应的第一保护数据;将所述第一保护数据发送至所述外网设备;接收所述外网设备发送的所述第二保护数据,并基于所述专用传输规范,生成所述第二保护数据对应的第二内部定制数据;将所述第二内部定制数据发送至所述定制传输模块13。
[0048] 在本申请中,该数据保护设备包括有隔离区模块11、联网模块12、以及定制传输模块13。其中,该隔离区模块11与定制传输模块13连接,联网模块12与定制传输模块13连接。
[0049] 需要说明的是,该数据保护设备可以是智能设备,比如,一体机、电脑、移动终端等,也可以是服务器,比如,应用服务器、业务服务器等。
[0050] 该隔离区模块11用于获取待发送至外网设备的保护数据(记为第一保护数据)。示例性的,当确定当前时间满足数据发送条件时,比如,当前时间是用户操作数据保护设备的时间,当前时间与上一次发送数据的时间之间的时间差满足预设时长,当前时间为接收到应答消息(比如,会话建立成功消息等)的时间等,该隔离区模块11可以基于当前待发送至外网的数据,确定第一保护数据。
[0051] 其中,该第一保护数据可以包括以下一种或多种:业务数据、用户数据、密钥数据、业务信令数据。可以理解的是,该业务数据为应用层数据,比如,隔离区模块11与联网模块12之间的应用层数据等;该用户数据为业务应用根据用户操作产生的数据,比如,音视频数据、聊天内容数据以及文件体的用户数据等;该密钥数据为对第一保护数据进行加密所需的密钥数据;该业务信令数据为控制业务建立和处理的数据,比如,隔离区模块11控制联网模块12进行会话建立、监听、退出等信令数据等。
[0052] 在一种示例中,所述隔离区模块11,还用于获取待发送至外网设备的第一保护数据之后,基于所述第一保护数据以及预先配置的专用传输规范之前,对所述第一保护数据进行加密。
[0053] 为了进一步提高第一保护数据的安全性,避免其它外网设备获取到该第一保护数据,该隔离区模块11还具有数据加密的功能,即该隔离区模块11可以对待发送至外网设备的第一保护数据进行加密,然后对该加密后的第一保护数据进行后续的处理。
[0054] 其中,可以通过对称密码算法(如数据加密标准(Data Encryption Standard,DES)、高级加密标准(Advanced Encryption Standard,AES)、国密SM4等)和非对称密码算法(如RSA非对称加密算法、椭圆加密算法(Elliptic Curves Cryptography,ECC)等)。例如,该隔离区模块11获取对第一保护数据进行加密的密钥。根据该密钥,对该第一保护数据进行加密。
[0055] 在一种示例中,可以根据该隔离区模块11所具有的功能,将该隔离区模块11拆分成多个功能模块。示例性的,该隔离区模块11中可以包括加解密模块,通过该加解密模块,对待送至外网设备的第一保护数据进行加密。
[0056] 在本申请中,该隔离区模块11是通过联网模块12间接与互联网进行数据的收发的,即该隔离区模块11是不与互联网直接进行通信的,从而保证该隔离区模块11存储的数据的安全性。为避免违规数据通过该联网模块12侵入到隔离区模块11,该数据保护设备中还设置有定制传输模块13,该定制传输模块13只能够传输满足预先配置的专用传输规范的数据(记为内部定制数据),使得隔离区模块11收发的所有数据,都必须通过该定制传输模块13进行处理并传输的,从而保证隔离区模块11收发的所有数据都是该定制传输模块13确定的合法合规的数据。其中,具体在配置该专用传输规范时,可以根据实际需求进行灵活设置,在此不做具体限定。较佳的,该专用传输规范与现有的网络通信协议不同,以增加违规数据获取到该专用传输规范的难度等。例如,该专用传输规范可以包括数据链路层、网络层、传输层以及应用层。在数据链路层中携带有以下一种或多种数据:通信标识(比如通信身份标识CID)、协议版本号(version)、报文的链路类型(type)以及消息发起的源头的标识。其中,数据保护设备可以根据该通信标识,对对端设备的身份进行鉴权,从而保证数据保护设备与对端设备之间通信的可靠性。消息发起的源头可以包括隔离区模块、定制传输模块、以及联网模块等。报文的链路类型可以包括以下一种或多种:握手消息、切换消息、事件消息等。其中,握手消息是联网模块以及定制传输模块之间均参与处理的消息,该握手消息用于表示隔离区模块、联网模块以及定制传输模块之间进行握手,以使任意两方之间可以互相确认。示例性的,该握手消息可以在专用传输规范的网络层中携带有以下一种或多种信息:通信标识以及时间戳、握手消息类型、整个传输层长度等。其中,时间戳用于标识该通信标识的时效性,该握手消息类型可以包括握手请求和握手响应等。切换消息用于表示外接设备与该数据保护设备的隔离区模块连接,还是与该数据保护设备的联网模块连接。事件消息用于隔离区模块中的业务与联网模块中的业务代理之间的事件,比如启动等。
[0057] 示例性的,当隔离区模块11需要向外网设备发送第一保护数据时,该隔离区模块11可以根据预先配置的专用传输规范以及第一保护数据,生成内部定制数据(记为第一内部定制数据),并将该第一内部定制数据发送至定制传输模块13,以通过该定制传输模块13将该第一内部定制数据发送至联网模块12,进而通过该联网模块12将该第一内部定制数据发送到外网设备。
[0058] 在一种示例中,可以根据该隔离区模块11所具有的功能,将该隔离区模块11拆分成多个功能模块。示例性的,该隔离区模块11中可以包括隔离区传输代理模块,该隔离区传输代理模块可以根据预先配置的专用传输规范以及第一保护数据,生成第一内部定制数据,并将该第一内部定制数据发送至定制传输模块13。
[0059] 定制传输模块13接收到隔离区模块11发送的第一内部定制数据后,可以进行第一内部定制数据的传输,将该第一内部定制数据传输到该数据保护设备的联网模块12。
[0060] 在本申请中,该数据保护设备包括联网模块12,该联网模块12是该数据保护设备中可以与外网进行网络通信的模块,该联网模块12可以将接收到的隔离区模块11通过定制传输模块13发送的第一保护数据,并将该第一保护数据发送至外网设备,从而实现隔离区模块11向外网发送数据。例如,该联网模块12接收到定制传输模块13发送的第一内部定制数据后,根据预先配置的专用传输规范,获取该第一内部定制数据对应的第一保护数据。确定该第一保护数据对应的业务结点,并根据该业务结点、预先配置的网络协议以及该第一保护数据,对该第一保护数据进行封装,生成待发送数据,比如,业务会话消息等,以使封装后的第一保护数据可以在以太网中传输。
[0061] 在一种可能的实施方式中,可以根据该联网模块12所实现的功能,将该联网模块12划分为多个功能模块。例如,该联网模块12可以包括联网传输代理模块、业务代理模块以及通信模块。其中,该联网传输代理模块与业务代理模块连接,该业务代理模块与该通信模块连接。该联网传输代理模块接收到定制传输模块13发送的第一内部定制数据后,根据预先配置的专用传输规范,获取该第一内部定制数据对应的第一保护数据并发送至业务代理模块。该业务代理模块接收到联网传输代理模块发送的第一保护数据后,确定该第一保护数据对应的业务结点,并根据该业务结点以及该第一保护数据,生成待发送数据,比如,业务会话消息,然后通过通信模块将该待发送数据发送。
[0062] 需要说明的是,该待接收数据包括从外网接收到的数据,该待发送数据包括通过外网发送的数据。
[0063] 在本申请中,该联网模块12还可以接收外网设备发送的第二保护数据,并对该第二保护数据进行相应的处理,从而实现将该第二保护数据发送至隔离区模块11。例如,该联网模块12接收到外网设备发送的待接收数据后,确定该待接收数据所归属的业务,根据该业务的交互粒度,装卸该待接收数据中包含的网络通信协议,并剥离该待接收数据中包含的应用协议,以获取该待接收数据中包含的第二保护数据,然后对该第二保护数据进行后续的处理。
[0064] 由于该数据保护设备中联网模块12与隔离区模块11之间需要通过定制传输模块13才能进行数据通信。因此,在本申请中,该联网模块12在获取到第二保护数据后,可以根据预先配置的专用专属规范,生成该第二保护数据对应的内部定制数据(记为第二内部定制数据),并将该第二内部定制数据发送至定制传输模块13,以通过该定制传输模块13将该第二内部传输数据传输到隔离区模块11。例如,该数据保护设备通过通信模块获取到外网设备发送的待接收数据后,确定该待接收数据所归属的业务,根据该业务的交互粒度,卸载该待接收数据中包含的网络通信协议,并剥离该待接收数据中包含的应用协议,以获取该待接收数据中包含的第二保护数据。根据预先配置的专用专属规范,生成该第二保护数据对应的第二内部定制数据。然后将该第二内部定制数据发送至定制传输模块13。
[0065] 在一种可能的实施方式中,可以根据该联网模块12所实现的功能,将该联网模块12划分为多个功能模块。例如,该联网模块12可以包括联网传输代理模块。该联网传输代理模块可以根据预先配置的专用专属规范,生成该第二保护数据对应的第二内部定制数据。
然后将该第二内部定制数据发送至定制传输模块13。
然后将该第二内部定制数据发送至定制传输模块13。
[0066] 定制传输模块13接收到联网模块12发送的第二内部定制数据后,对该第二内部定制数据进行传输,以将该第二内部定制数据传输到隔离区模块11。
[0067] 在本申请中,隔离区模块11还可以接收到定制传输模块13发送的第二内部定制数据,以及,根据预先配置的专用传输规范,获取该第二内部定制数据对应的第二保护数据,并对该第二保护数据进行后续的处理。
[0068] 在一种示例中,可以根据该隔离区模块11所具有的功能,将该隔离区模块11拆分成多个功能模块。示例性的,该隔离区模块11中可以包括隔离区传输代理模块,该隔离区传输代理模块获取到第二内部定制数据后,可以根据预先配置的专用传输规范,获取该第二内部定制数据对应的第二保护数据。
[0069] 其中,该第二保护数据可以包括以下一种或多种:业务数据、用户数据、密钥数据、业务74令数据。
[0070] 在一种示例中,为保证第二保护数据的安全传输,该第二保护数据可能是加密后的数据。因此,在本申请中,该隔离区模块11还用于若确定所述第二保护数据为加密后的数据,则对所述第二保护数据进行解密。示例性的,该隔离区模块11中包括加解密模块,通过该加解密模块,对第二保护数据进行解密。
[0071] 例如,该加解密模块可以根据预先约定的解密算法,对该第二保护数据进行解密。
[0072] 再例如,该加解密模块获取该第二保护数据对应的密钥,根据该密钥,对该第二保护数据进行解密。
[0073] 在一种示例中,隔离区模块11获取到第二保护数据后,可以根据该第二保护数据的类型,对该第二保护数据进行后续的处理。下面针对第二保护数据的两种类型进行说明:
[0074] 类型1、非文件体的用户数据。
[0075] 所述隔离区模块11,还用于若确定所述第二保护数据为非文件体的用户数据,则对所述第二保护数据进行业务处理。示例性的,该隔离区模块11还包括业务处理模块,通过该业务处理模块,对该第二保护数据进行业务处理。
[0076] 例如,该隔离区模块11包括业务处理模块和加解密模块,该加解密模块获取到第二保护数据后,若确定该第二保护数据为加密后的数据,则对该第二保护数据进行解密。加解密模块若确定解密后的第二保护数据为非文件体的用户数据,则将该第二保护数据发送至业务处理模块,以通过该业务处理模块对该第二保护数据进行业务处理。
[0077] 再例如,该隔离区模块11包括业务处理模块和加解密模块,该加解密模块获取到第二保护数据后,若确定该第二保护数据为加密后的数据,则对该第二保护数据进行解密,并将解密后的第二保护数据发送至业务处理模块。业务处理模块若确定解密后的第二保护数据为非文件体的用户数据,则直接对该第二保护数据进行业务处理。
[0078] 类型2、文件体的用户数据。
[0079] 在本申请中,所述隔离区模块11,还用于若确定所述第二保护数据为文件体的用户数据,则保存所述文件体的用户数据。
[0080] 例如,该隔离区模块11包括加解密模块,该加解密模块获取到第二保护数据后,若确定该第二保护数据为加密后的数据,则对该第二保护数据进行解密。加解密模块若确定解密后的第二保护数据为文件体的用户数据,则保存该第二保护数据。
[0081] 再例如,该隔离区模块11包括业务处理模块和加解密模块,该加解密模块获取到第二保护数据后,若确定该第二保护数据为加密后的数据,则对该第二保护数据进行解密,并将解密后的第二保护数据发送至业务处理模块。业务处理模块若确定解密后的第二保护数据为文件体的用户数据,则保存该第二保护数据。
[0082] 需要说明的是,该第二保护数据的类型包括但不限于上述的两种类型,该第二保护数据还可以是软件程序数据、信令等,在此不做具体限定。
[0083] 可以理解的是,在本申请中,该数据保护设备的隔离模块位于该数据保护设备的密区,该数据保护设备的联网模块位于该数据保护设备的非密区。通过该定制传输模块可以实现密区和非密区之间的物理隔离,以实现对密区进行网络隔离。
[0084] 本申请的有益效果如下:
[0085] 1、通过该数据保护设备中包含的定制传输模块13、隔离区模块11、以及联网模块12,实现隔离区模块11的数据的收发。对于该数据保护设备的隔离区模块11向外网发送的数据,需要隔离区模块11重新装载,再通过定制传输模块13传递,才能从该数据保护设备的隔离区模块11传输到联网模块12;对于从外网传入到隔离区模块11的数据,也需要联网模块12重新装卸,再通过定制传输模块13传递,才能从该数据保护设备的联网模块12传输到隔离区模块11,即剔除了接收到的外网数据中所包含的杂质数据,即使是应用层的业务通信信息都不能进入隔离区模块11,实现了该数据保护设备所包含的隔离区模块11不参与任何网络通信。
[0086] 2、由于隔离区模块11收发的外网数据都需要定制传输模块13进行传递,使得该隔离区模块11所收发的所有数据都是规范且合规的,从而实现主动防御异常数据,大大提高了隔离区模块11所收发的数据的安全性。
[0087] 3、通过隔离区模块11和联网模块12,可以实现将数据保护设备中所保存的数据进行划分,有利于将安全性等级要求较高的数据保存在隔离区模块11,将安全性等级较低的数据保存在联网模块12,降低隔离区模块11和联网模块12管理数据和存储数据的压力,以及对该数据保护设备的硬件要求。
[0088] 4、隔离区模块11进行数据收发时,无需人工参与,减少了人力资源的浪费,且整个数据传输过程通过该数据保护设备的各个模块之间的协作即可完成,极大地简化了数据传输过程,提高了数据传输效率。
[0089] 实施例2:
[0090] 下面通过具体的实施例对本申请提供的数据保护设备的工作流程进行说明,以数据保护设备为一体机为例,图2为本申请实施例提供的一种一体机的结构示意图,该一体机包括隔离区模块、联网模块以及定制传输模块24,其中,隔离区模块包括加解密模块22、业务处理模块21以及隔离区传输代理模块23等模块,联网模块包括业务代理模块26、通信模块27以及联网传输代理模块25等模块。下面以该一体机的两个应用场景进行介绍:
[0091] 一、一体机发送数据。
[0092] 图3为本申请实施例提供的一体机发送数据的一种流程示意图,该流程包括:
[0093] S301:隔离区模块的加解密模块22获取待发送外网的第一保护数据。
[0094] S302:该加解密模块22对该第一保护数据进行加密,并发送至隔离区传输代理模块23。
[0095] S303:隔离区传输代理模块23基于接收到的第一保护数据以及预先配置的专用传输规范,生成第一内部定制数据并发送至定制传输模块24。
[0096] 其中,该专用传输规范与现有的网络通信协议不同,使得外网的以太报文无法仿造渗入,该生成的第一内部定制数据破坏了以太网和IP的通信规范。
[0097] S304:定制传输模块24将第一内部定制数据发送至联网传输代理模块25。
[0098] S305:联网传输代理模块25根据预先配置的专用传输规范,从第一内部定制数据中获取第一保护数据并发送至业务代理模块26。
[0099] S306:业务代理模块26确定该第一保护数据对应的业务结点,并根据该业务结点以及该第一保护数据,生成待发送数据并发送至通信模块27,比如,业务会话消息。
[0100] S307:通信模块27发送待发送数据。
[0101] 二、一体机接收数据。
[0102] 图4为本申请实施例提供的一体机接收数据的一种流程示意图,该流程包括:
[0103] S401:联网模块中的通信模块27接收待发送数据,并发送至业务代理模块26。
[0104] S402:业务代理模块26确定该待接收数据所归属的业务,根据该业务的交互粒度,装卸该待接收数据中包含的网络通信协议,并删除该待接收数据中包含的应用协议,以获取该待接收数据中包含的第二保护数据,并将该第二保护数据发送至联网传输代理模块25。
[0105] S403:联网传输代理模块24根据预先配置的专用传输规范,生成该第二保护数据对应的第二内部定制数据,并发送至定制传输模块24。
[0106] S404:定制传输模块24将第二内部定制数据发送至隔离区传输代理模块23。
[0107] S405:隔离区传输代理模块23根据预先配置的专用传输规范,从第二内部定制数据中获取第二保护数据并发送至加解密模块22。
[0108] S406:加解密模块22若确定该第二保护数据为加密后的数据,则对该第二保护数据进行解密。
[0109] S407:若加解密模块22确定该解密后的第二保护数据为非文件体的用户数据,则将该解密后的第二保护数据发送至业务处理模块21进行业务处理;若加解密模块22确定该解密后的第二保护数据为文件体的用户数据,则保存该解密后的第二保护数据。
[0110] 实施例3:
[0111] 在一种可能的实施方式中,该数据保护设备还可以连接外接设备(为了方便描述,记为外设),比如,显示器、键盘、鼠标、摄像头等,以方便用户操作该数据保护设备,提高用户体验。
[0112] 由于该数据保护设备包括隔离区模块11和联网模块12,而这两个模块用户都可以作为个人业务处理使用,用户可以根据处理信息的机密性选择在密区还是非密区处理,当用户需要从一个模块切换到另一模块时,可以通过该外设切换模块进行切换。其中,该切换方式有很多,具体实施过程中可以根据实际需求进行灵活设置,比如,该数据保护设备支持设备物理按键切换,比如,开关按钮等,也支持通过桌面按键事件软件切换,即用户只需要通过鼠标点击桌面切换按钮,就可以发生隔离区模块11和联网模块12之间的切换。当然,该数据保护设备还可以支持语音指令的方式进行切换,即用户只需要输入预先配置的切换口令,比如,“切换到密区”等,就可以发生隔离区模块11和联网模块12之间的切换。对于上述的切换方式,都是将信号发给该外设切换模块对应的专用切换硬件,进而通过数据保护设备的专用切换硬件执行外设所连接的模块的切换,从而可实现高速无感知的切换外设,在硬件上进行电路切换。在该切换过程中,该隔离区模块11和该联网模块12之间不会有任何的信号和数据的交互,使隔离区模块11和联网模块12所连接的外设不进行软件逻辑交叉使用。
[0113] 通过该外设切换模块,不仅实现了硬件外设的公用,还保证了该数据保护设备连接的外设在同一时间内只允许连接隔离区模块11、或联网模块12,即外设在任意时刻都无法同时连接隔离区模块11和联网模块12,实现对数据保护设备内隔离区模块11所存储的数据的硬件隔离,即在外设上也保证了数据保护设备内隔离区模块11所存储的数据的安全性[0114] 示例性的,图5为本申请实施例提供的一种外设切换模块的结构示意图。如图5所示,该数据保护设备可以连接显示器、键盘、鼠标、摄像头、摄像头、音频设备,并为每种外设提供有连接接口,以使每种外设可以通过分别对应的连接接口连接到该数据保护设备的外设切换模块上。该外设切换模块分别与联网模块12以及隔离区模块11之间线路连接,可以通过控制线路的通断,实现隔离区模块11和联网模块12之间的切换。其中,该线路包括每种外设分别对应的线路,如,鼠标对应的鼠标线路、键盘对应的键盘线路、显示器对应的显示线路、音频设备对应的音频线路、摄像头对应的视频线路等。当用户操作数据保护设备进行外设切换,比如,操作该数据保护设备的设备物理按键,以将外设连接到该数据保护设备的联网模块12,则该外设切换模块可以接收到切换信号(记为第一切换信号),并响应该第一切换信号,断开隔离区模块11与外设切换模块之间的线路连接,打开联网模块12与外设切换模块之间的线路连接。当用户操作数据保护设备进行外设切换,比如,操作该数据保护设备连接的显示器上所显示的桌面按键,以将外设连接到该数据保护设备的隔离区模块11,则该外设切换模块可以接收到切换信号(记为第二切换信号),并响应该第二切换信号,打开隔离区模块11与外设切换模块之间的线路连接,断开联网模块12与外设切换模块之间的线路连接。
[0115] 基于逻辑电路开发的外设切换模块,针对显示器、鼠标、键盘、摄像头、音频公用外设的毫秒级切换,可以在密区和非密区之间快速切换外设,为隔离区模块11和联网模块12提供安全可靠的公用设备外设,减少成本,提高操作舒适感;支持硬按键、软指令等多种切换方式,用户在使用过程中可以随时方便地发起切换而不影响隔离区模块11和联网模块12的工作,保证了硬件外设的公用,隔离区模块11和联网模块12分别对应的工作区域的分开,硬件外设虽然是隔离区模块11和联网模块12均可以使用,但由逻辑电路保证硬件外设在同一时间只会被一个模块使用,在外设使用上也保障了数据全域的安全性。
[0116] 在一种可能的实施方式中,该数据保护设备的隔离区模块11还包括固化数据模块,该固化数据模块,用于存储该数据保护设备的初始化配置数据。
[0117] 其中,该初始化配置参数包括但不限于以下一种或多种:设备标识、设备校验码等。
[0118] 固化数据模块是用于存储该数据保护设备的初始化配置数据而设置的模块,该固化数据模块也位于该数据保护设备的密区。为实现该存储功能,该固化数据模块可包括至少一片存储芯片。在该数据保护设备出厂时,工作人员便将一些初始化配置数据设置到掉电不丢失数据的存储芯片中,该存储芯片只支持一次写入。后续该数据保护设备一旦出厂,该存储芯片里存储的初始化配置数据只能被用户读取,而不能被用户再进行写入,从而实现由该存储芯片的硬件特性保证出厂后无法再进行写入、擦除、更改。
[0119] 图6为本申请实施例提供的一种固化数据模块的结构示意图。如图6所示,数据保护设备在出厂后的使用过程中,获取存储芯片(ROM)中的初始化配置数据只能由专用逻辑硬件提供的数据口,间接被密区包含的模块的参数接口获取。非密区所包含模块自始至终不能获取该存储芯片中存储的初始化配置数据,这样实现了用户不能修改,非密区所包含的模块不能访问,保证了设备出厂的安全性。
[0120] 在一种可能的实施方式中,该数据保护设备还可以进行固件升级。具体的,所述隔离区模块11,还用于获取版本更新数据,并根据该版本更新数据,对所述数据保护设备进行固件升级。
[0121] 其中,该数据保护设备可以通过上述实施例中的方法获取到外网发送的版本更新数据,也可以通过连接外设的方法获取到版本更新数据。具体实施过程中,可以根据实际需求进行设置,在此不做具体限定。
[0122] 示例性的,该隔离区模块11中可以包括固件升级模块,该固件升级模块用于获取版本更新数据,根据该版本更新数据,对该数据保护设备进行固件升级,保障数据保护设备的固件安全升级。
[0123] 在某些可能的实施方式中,所述隔离区模块,还用于根据所述版本更新数据,对所述数据保护设备进行固件升级之前,确定所述版本更新数据完整性校验通过。
[0124] 例如,隔离区模块11包括的加解密模块通过上述实施例中的方法获取到用于固件升级的第二关键数据,该第二关键数据携带有版本更新数据。然后通过该加解密模块对该第二关键数据进行解密和完整性校验。若确定该解密后获取到的版本更新数据校验通过,则可以将该版本更新数据发送至固件升级模块。固件升级模块通过硬件GPIO接口将接收到的版本更新数据分发到对应的专用硬件,以使接收到该版本更新数据的专用硬件可以根据该版本更新数据进行升级或者改造。
[0125] 在本申请中,通过专用的固件升级模块,可以实现该数据保护设备的固件升级。由于该固件升级模块位于密区,该固件升级模块的初始化配置参数保存在该隔离区模块11中的存储器件中,保证了固件升级过程的安全性。
[0126] 在某些可能的实施方式中,所述隔离区模块,具体用于若确定所述版本更新数据对应所述定制传输模块,则通过预先配置的专用升级接口,根据所述版本更新数据,对所述定制传输模块进行升级。
[0127] 对于定制传输模块13的固件升级,该固件升级模块可以通过预先配置的专用升级接口,对定制传输模块13进行升级,不占用定制传输模块13的数据传输通道,从而方便对数据保护设备进行固件升级,又保证整个固件升级过程的安全稳定。
[0128] 图7为本申请实施例提供的一种固件升级模块的结构示意图。如图7所示,数据保护设备可以通过互联网获取到固件升级服务器发送的版本更新数据,并根据该版本更新数据进行固件升级。具体的,该数据保护设备的通信模块通过网口接收待接收数据。通过上述的实施例中待接收数据从联网模块12传输到隔离区模块11的过程,该待接收数据中携带的第二关键数据被传输到隔离区模块11包括的加解密模块中。通过该加解密模块对该第二关键数据进行解密和完整性校验。若确定该解密后获取到的版本更新数据校验通过,则可以将该版本更新数据发送至固件升级模块。固件升级模块通过预先配置的升级接口以及升级口,将接收到的版本更新数据分发到对应的专用硬件,以使接收到该版本更新数据的专用硬件可以根据该版本更新数据进行升级或者改造。
[0129] 通过隔离区模块11包括的固件升级模块可以实现对该数据保护设备的固件升级,且用于固件升级的版本更新数据是通过加解密模块的解密和校验的,保证了该版本更新数据的安全性。其次隔离区模块11对接收到的版本更新数据进行校验通过后,可对该数据保护设备进行固件升级。对于定制传输模块13的升级,该固件升级模块可以通过预先配置的专用升级接口,对定制传输模块13进行升级,从而不占用定制传输模块13的数据传输通道。
[0130] 该数据保护设备还包括电源管理模块。该电源管理模块分别与隔离区模块11和联网模块12连接,用于控制数据保护设备内至少一个模块的被供电状态。
[0131] 其中,该被供电状态包括但不限于以下的一种或多种:启动、关机、重启和节能模式。
[0132] 该电源管理模块可以是硬件开关,用户通过控制数据保护设备上的硬件开关,实现对该数据保护设备内至少一个模块的被供电状态,也可以是逻辑开关,用户通过数据保护设备连接的外设显示器所显示的用户界面,操作该用户界面上的逻辑开关,实现对该数据保护设备内至少一个模块的被供电状态。例如,用户根据自身需求,通过操作该数据保护设备连接的外设显示器所显示的用户界面上的逻辑开关,将不需要工作的模块(如隔离区模块11、联网模块12)暂停工作,或将暂停工作的模块唤醒,从而实现节省能源。
[0133] 电源管理模块的主要目的是控制数据保护设备不同模块的开关机功能,以方便在只有一个总开关的前提下,还可以对该数据保护设备内至少一个模块进行灵活的开关机,其次是节能减排的目的,当用户仅使用一个模块时,可以将不需要工作的模块掉电节能。此外,该电源管理模块还可以与其它工作的模块进行联动,例如,该电源管理模块可以检测到当用户在将某一个模块关闭后,该数据保护设备的操作系统可以自动切入到其他工作的模块,让用户有流畅的使用感受。
[0134] 图8为本申请实施例提供的一种电源控制模块的结构示意图。如图8所示,该数据保护设备的电源开关分别与该电源控制模块以及主电源连接。该数据保护设备的辅助电源用于检测电源开关的状态,当检测到用户打开该电源开关后,该数据保护设备的辅助电源控制该主电源上电,以使该主电源为该电源控制模块供电。若用户通过操作该数据保护设备连接的外设显示器所显示的用户界面上的逻辑开关,对该数据保护设备内的至少一个模块的被供电状态进行控制。电源控制模块接收到该操作后,控制该数据保护设备内的至少一个模块分别对应的主电源(包括隔离区模块11的主电源、联网模块12的主电源等)的工作状态,从而实现对该数据保护设备内的至少一个模块的被供电状态进行控制。
[0135] 实施例4:
[0136] 本申请实施例还提供了一种数据保护系统,图9为本申请一些实施例提供的一种数据保护系统的结构示意图,该系统包括:
[0137] 至少一个隔离区设备51、至少一个联网设备53、以及定制传输设备52;
[0138] 所述至少一个隔离区设备51,用于获取待发送至外网设备的第一保护数据;基于所述第一保护数据以及预先配置的专用传输规范,生成第一内部定制数据并发送至所述定制传输设备52;以及,接收所述定制传输设备52发送的第二内部定制数据,并基于所述专用传输规范,从所述第二内部定制数据获取第二保护数据;
[0139] 所述定制传输设备52,用于将所述内部定制数据在所述隔离区设备51和所述联网设备53之间传输;其中,所述内部定制数据包括所述第一内部定制数据以及所述第二内部定制数据;
[0140] 所述至少一个联网设备53,用于接收所述外网设备发送的第二保护数据;基于所述第二保护数据以及预先配置的专用传输规范,生成所述第二内部定制数据并发送至所述定制传输设备;以及,接收所述定制传输设备发送的第一内部定制数据,并基于所述专用传输规范,从所述第一内部定制数据获取所述第一保护数据;将所述第一保护数据发送至所述外网设备。
[0141] 在本申请中,该数据保护系统所包含的设备(包括至少一个隔离区设备51、至少一个联网设备53以及定制传输设备52)可以是智能设备,比如,一体机、电脑、移动终端等,也可以是服务器,比如,应用服务器、业务服务器等。该至少一个隔离区设备51之间可以是相同类型的设备,也可以是不相同类型的设备,比如,该至少一个隔离区设备51包括三个电脑,或,该至少一个隔离区设备51包括三个电脑和两个一体机。同样的,该至少一个联网设备53之间可以是相同类型的设备,也可以是不相同类型的设备。
[0142] 需要说明的是,该数据保护系统中包含的设备所实现的功能、以及解决技术问题的原理分别与上述实施例中数据保护设备所包含的各个功能模块所实现的功能、以及解决技术问题的原理类似,重复之处不做赘述。
[0143] 在某些可能的实施方式中,所述至少一个隔离区设备51,还用于基于所述第一保护数据以及预先配置的专用传输规范,生成第一内部定制数据并发送至所述定制传输设备52之前,对所述第一保护数据进行加密。
[0144] 在某些可能的实施方式中,所述至少一个隔离区设备51,还用于若确定所述第二保护数据为加密后的数据,则对所述第二保护数据进行解密。
[0145] 所述保护数据包括以下一种或多种:业务数据、用户数据、密钥数据、业务信令数据。
[0146] 在某些可能的实施方式中,所述至少一个隔离区设备,还用于获取版本更新数据,并根据所述版本更新数据,对所述至少一个隔离区设备和/或所述定制传输设备进行固件升级。
[0147] 在某些可能的实施方式中,所述至少一个隔离区设备,还用于根据所述版本更新数据,对所述至少一个隔离区设备和/或所述定制传输设备进行固件升级之前,确定所述版本更新数据完整性校验通过。
[0148] 在某些可能的实施方式中,所述至少一个隔离区设备,具体用于若确定所述版本更新数据对应所述定制传输设备,则通过预先配置的专用升级接口,根据所述版本更新数据,对所述定制传输设备进行升级。
[0149] 在某些可能的实施方式中,所述系统还包括外设切换设备;
[0150] 所述外设切换设备分别与所述至少一个隔离区设备51,以及所述至少一个联网设备53连接,用于控制外设与所述至少一个隔离区设备51,或所述至少一个联网设备53之间的连接。
[0151] 在本申请中,该数据保护系统所包含的至少一个隔离区设备51向外网传输的数据,需要该至少一个隔离区设备51对该数据进行重新装载,然后通过定制传输设备52进行传递,该数据才能被发送到该数据保护系统中的至少一个联网设备53,通过该至少一个联网设备53将该数据发送到外网,从而割裂了该至少一个隔离区设备51与外网之间的网络通信。对于从外网传入到至少一个隔离区设备51的数据,也需要该数据保护系统中的至少一个联网设备53进行重新装载,然后通过定制传输设备52进行传递,该数据才能被发送到该数据保护系统中的至少一个隔离区设备51,从而剔除了至少一个隔离区设备51所接收到的外网数据中所包含的杂质数据,从而实现即使是应用层的业务通信信息都不能进入该至少一个隔离区设备51,即该至少一个隔离区设备51不参与任何网络通信,该至少一个隔离区设备51所接收的外网数据都是来源于定制传输设备52所传输的规范且合规的数据,大大提高了该至少一个隔离区设备51所收发的信息。