一种基于单向光闸的主备数据校验双机热备方法

本发明属于单向光闸信息传输，具体涉及一种基于单向光闸的主备数据校验双机热备方法。

背景技术：

1、光闸，英文简称fgap，是一种由安全隔离网闸（gap）基础上发展而成、基于光的单向性的单向隔离软硬件系统。单向光闸在信息安全领域起着非常重要的方面，特别是在网路安全和数据保护方面的。

2、目前，对于重要数据备份在单向光闸中使用有双机热备，使用两台服务器，互相备份，共同执行统一任务。当一台服务器出现故障时，可以由另一台服务器承担服务任务，不需要人工干预情况下，自动保证系统能够保证业务仍然持续进行。但现有单向光闸中使用双机热备存在传输效率低、数据纠错检错不及时、数据传输完整性和可靠性不足，以及在主备数据同步过程中，无法有效确保数据一致性的问题。

3、因此，亟需设计一种结合双机热备的相互校验数据传输方法，能够确保数据传输的一致性、完整性和准确性。

技术实现思路

1、本发明的目的是：解决现有技术中存在的问题，提供一种基于单向光闸的主备数据校验双机热备方法，分别通过双机热备技术缩短故障切换时间、提高传输效率，通过非安全域主备数据纠错检错实现实时纠错检错，通过安全域主备数据流同步诊断与容错方法确保数据传输的完整性和可靠性，及通过安全域主备文件异步诊断与容错方法确保数据传输的效率和一致性。

2、为实现上述目的，本发明采用了以下技术方案：一种基于单向光闸的主备数据校验双机热备方法，包括以下步骤：

3、s1、构建单向光闸的双机热备结构：

4、在非安全域的外网域用户和安全域的内网域用户之间分别设置光闸设备主机和光闸设备备机，光闸设备主机和光闸设备备机均由光闸外机通过光闸单向传输连接光闸内机组成；

5、s2、非安全域侧的数据传输：

6、非安全域的外网域用户同时向光闸设备主机和备机的光闸外机发送数据，光闸设备主机的光闸外机对接收到的数据进行初步处理，初步处理包括数据合法性校验、病毒扫描和数据类型过滤，处理后的数据通过单向光闸传输至光闸内机；光闸设备备机的光闸外机实时监控并同步光闸设备主机的数据，同步数据同样通过单向光闸传输至光闸内机；

7、s3、非安全域主备数据纠错检错机制：

8、在非安全域侧的数据传输中，光闸主机和备机之间通过tcp协议进行实时数据传输，实时传输中包含数据纠错与检错机制，通过采用校验和冗余校验技术，及时发现和纠正数据传输中的错误；

9、s4、安全域侧的数据传输：

10、光闸设备主机的光闸内机接收光闸外机的数据后，进一步进行数据验证、解析和业务逻辑处理，处理完成的数据通过内部网络传输至安全域的内网域用户；光闸设备备机的光闸内机接收数据后，进行与光闸设备主机的光闸内机相同的处理步骤，并将数据传输至安全域的内网域用户，并通过一致性校验机制确保与光闸设备主机的光闸内机之间数据传输的一致性；

11、s5、安全域主备数据流同步诊断与容错及安全域主备文件异步诊断与容错：

12、安全域的内网域用户判断接收到的数据传输类型，判断为数据流类型或文件类型；

13、若传输为数据流类型则使用数据流同步诊断与容错方法，安全域侧光闸设备主机的光闸内机和光闸设备的光闸内机直接对数据的类型进行哈希值计算：若校验到数据错误，将数据传输到交互数据模块，对数据使用前向纠错码，使用交互数据模块已缓存的数据，还原成正确的原始数据，还原后的数据通过数据同步交互传输到安全域侧光闸设备主机和备机；若校验到数据正确，则将数据传输到后续模块进行处理；

14、若传输为文件类型则使用文件异步诊断与容错方法，大文件类型在光闸内机和外机之间传续需要进行切分并分块传输，安全域侧光闸设备主机先对分块文件进行数据包接收融合，在形成文件后在安全域侧光闸设备备机对文件进行比对校验：若校验到数据错误，将文件数据传输到交互数据模块，对数据使用前向纠错码，通过交互数据已缓存的数据，还原成正确的文件原始数据，将还原后的数据通过数据同步交互传输到安全域侧光闸设备主机和备机；若数据正确，则将数据传输到后续模块进行处理。

15、进一步地，所述步骤s2中，初步处理包括数据合法性校验、病毒扫描和数据类型过滤，数据合法性校验主要对数据包头部信息进行检查，查看源地址、目标地址、端口号是否与设置信息相符，并验证协议类型是否为tcp和udp协议；病毒扫描为使用杀毒软件对传输数据包进行扫描，防止病毒传播；数据类型过滤是对传输数据格式检查，若数据格式为白名单格式则进行后续操作，反之则对数据进行删除。

16、进一步地，所述步骤s2中，在光闸主机和备机之间建立定时心跳检测机制，双方定期发送心跳包以确认对方的运行状态，心跳包包括系统状态和运行情况的基本信息，心跳检测频率每1秒一次；光闸备机持续监听来自光闸主机的心跳包，如果连续3次检测未响应，光闸备机将判定光闸主机发生故障，并触发故障处理机制，准备接管光闸主机的任务。

17、进一步地，光闸备机在检测到心跳信号中断后，立即启动故障切换流程，接管安全域和非安全域光闸主机的所有数据传输任务，包括更改光闸备机ip地址、强制关闭光闸主机、外网请求切换至光闸备机、切换光闸备机处理数据并传输至安全域的内网域用户、将光闸备机设定为光闸主机。

18、进一步地，所述步骤s3中，实时传输中包含数据纠错与检错机制，具体为：光闸主机和备机之间采用tcp协议进行实时数据传输，在传输过程中，发送端对数据块计算crc32校验和，并将校验和附加到数据块后发送；

19、接收端收到数据后，对接收到的数据块进行相同的校验和计算，并将计算结果与附加的校验和进行比对；如果比对结果一致，则认为数据传输无误；否则，检测到传输错误；

20、在传输过程中并采用冗余校验技术hamming码来纠正可能发生的错误，通过在数据中加入冗余信息，使得接收端检测并纠正一定数量的错误。

21、进一步地，所述步骤s4中，进行数据验证、解析和业务逻辑处理，具体为：数据验证包括使用crc32以确认数据在传输过程中未被篡改或损坏，确保数据包的结构完整；

22、数据解析将接收到的数据包解析成可识别的指令和参数；

23、业务逻辑处理根据解析出的指令和参数执行相应的操作，进行数据存储和转发，确保数据能够准确、安全地传输到安全域目标用户；同时，光闸备机的光闸内机重复相同的处理步骤。

24、进一步地，所述步骤s4中，一致性校验机制具体为：在主机和备机分别处理数据后，双方通过交换数据哈希值md5来验证处理结果的一致性；如果哈希值md5一致，则认为数据处理和传输均无误；如果不一致，则触发异常处理流程，重新进行传输数据并发出警报，确保主备机间的数据处理结果一致。

25、本发明的有益效果是：本发明方法中分别通过双机热备技术缩短故障切换时间、提高传输效率，通过非安全域主备数据纠错检错实现实时纠错检错，通过安全域主备数据流同步诊断与容错方法确保数据传输的完整性和可靠性，及通过安全域主备文件异步诊断与容错方法确保数据传输的效率和一致性。