李建臣

（92538部隊(duì) 遼寧省大連市 116041）

1 引言

網(wǎng)絡(luò)隔離技術(shù)是一種特殊的網(wǎng)絡(luò)安全技術(shù)，分為雙向和單向兩種，適用于可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)（或者兩個(gè)不同安全等級的安全域）之間進(jìn)行數(shù)據(jù)交換和傳輸。網(wǎng)閘等雙向傳輸技術(shù)通?；陔p向通信的數(shù)據(jù)傳輸協(xié)議，可以利用隱匿、嗅探和偽造等手段建立隱藏通道，存在被入侵和破壞的風(fēng)險(xiǎn)。而基于物理硬件的單向傳輸技術(shù)，從本質(zhì)上改變了通信的概念，不再是雙方交互通信，變成了單向廣播。廣播者有主控權(quán)，接收者完全是被動(dòng)的。單向傳輸技術(shù)有效地解決了安全隔離與數(shù)據(jù)傳輸?shù)膯栴}，通過軟硬件的配合可以很好的抵御公共網(wǎng)絡(luò)的攻擊繼而保證內(nèi)網(wǎng)的安全，本文重點(diǎn)討論這種安全等級更高的單向傳輸技術(shù)。

單向傳輸技術(shù)的基本思想是從本質(zhì)上將傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)雙向通信的硬件和通信協(xié)議設(shè)計(jì)為單向發(fā)送和接收。由于單向傳輸中沒有反向通道，攻擊者無法在線獲取攻擊必需的相關(guān)信息，即使向高安全級別網(wǎng)絡(luò)中“盲”注入了病毒或者木馬，由于底層硬件并沒有從高安全級別網(wǎng)絡(luò)中反向傳輸數(shù)據(jù)到低安全級別網(wǎng)絡(luò)的能力，就沒有泄密的風(fēng)險(xiǎn)，絕大部分的網(wǎng)絡(luò)安全攻擊行為也將失去意義。該技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機(jī)制，來實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)安全傳輸，其技術(shù)要點(diǎn)主要包括：單向傳輸?shù)脑O(shè)計(jì)思路；內(nèi)外隔離的硬件結(jié)構(gòu)；無連接的私有傳輸協(xié)議；容錯(cuò)糾錯(cuò)的控制技術(shù)。

2 單向傳輸?shù)脑O(shè)計(jì)思路

很多學(xué)者對單向傳輸技術(shù)進(jìn)行了研究，提出了一系列跨不同安全網(wǎng)域間數(shù)據(jù)傳輸交換的方案。這些方案普遍采用以下兩種設(shè)計(jì)思路，從設(shè)計(jì)原理上保證了數(shù)據(jù)傳輸?shù)膯蜗蛐浴?/p>

2.1 數(shù)據(jù)泵技術(shù)(Data Pump)

數(shù)據(jù)泵技術(shù)是Myong H. Kang等人于1993年提出的一種數(shù)據(jù)傳輸模型，全稱為“安全存儲(chǔ)轉(zhuǎn)發(fā)技術(shù)”，目的是實(shí)現(xiàn)從低級向高級數(shù)據(jù)庫進(jìn)行可靠的數(shù)據(jù)遷移。其方法是通過反向的確認(rèn)來限制由內(nèi)向外的數(shù)據(jù)傳輸，實(shí)現(xiàn)從外向內(nèi)的單向數(shù)據(jù)流，具有雙向控制、單向數(shù)據(jù)的特點(diǎn)，實(shí)現(xiàn)起來相對簡單，可以采用計(jì)算機(jī)網(wǎng)絡(luò)典型的通信協(xié)議。

數(shù)據(jù)泵技術(shù)本質(zhì)上是通過協(xié)議控制數(shù)據(jù)包的傳輸。被控制的數(shù)據(jù)包分為兩種：一種是傳輸數(shù)據(jù)的信息數(shù)據(jù)包；一種是傳輸控制命令的控制數(shù)據(jù)包。該技術(shù)使得信息數(shù)據(jù)包為單向傳輸，控制數(shù)據(jù)包為雙向傳輸。例如，文獻(xiàn)引入小反饋技術(shù)來保障數(shù)據(jù)傳輸?shù)耐暾裕赐ㄟ^使用傳輸速度很慢的單工串口建立一個(gè)反向單向傳輸通道來完成數(shù)據(jù)接收狀態(tài)的回傳。文獻(xiàn)在使用單工串口的基礎(chǔ)上，采用安全芯片與中間節(jié)點(diǎn)的SM2非對稱加密等安全措施對反向傳輸通道進(jìn)行安全控制，這種基于中間節(jié)點(diǎn)驗(yàn)證的反向通道可用來回傳流量控制、差錯(cuò)控制、收到確認(rèn)等控制信息?？傊?，由于數(shù)據(jù)泵技術(shù)引入了反向傳輸通道，從理論上總是存在潛信道的問題，若協(xié)議本身的可靠性不足存在漏洞，就有可能在受到攻擊時(shí)存在數(shù)據(jù)反向傳輸?shù)娘L(fēng)險(xiǎn)，從而帶來較大的安全隱患。

2.2 數(shù)據(jù)二極管技術(shù)(Data Diode)

與數(shù)據(jù)泵技術(shù)相比，數(shù)據(jù)二極管技術(shù)取消了反向的控制協(xié)議，利用單向傳輸信道的無反饋特性實(shí)現(xiàn)了所有數(shù)據(jù)的單向流動(dòng)。發(fā)送端只負(fù)責(zé)發(fā)送數(shù)據(jù)，接收端只負(fù)責(zé)接收數(shù)據(jù)，因?yàn)闆]有反向的反饋信道，所以反向既沒有數(shù)據(jù)通道也沒有控制通道，無法向發(fā)送端反饋任何信息，具有單向控制、單向數(shù)據(jù)的特點(diǎn)，因此是一種更加安全的單向傳輸技術(shù)。

數(shù)據(jù)二極管技術(shù)的優(yōu)勢在于其純單向性，能夠保證數(shù)據(jù)信息從低安全級網(wǎng)絡(luò)向上流動(dòng)，同時(shí)防止高安全級網(wǎng)絡(luò)的數(shù)據(jù)流動(dòng)到低安全級網(wǎng)絡(luò)中，既保障了單向傳輸需求，又阻斷了黑客的控制方式和獲取途徑。雖然該技術(shù)保證了傳輸?shù)陌踩?，但發(fā)送端屬于“盲發(fā)”狀態(tài)，發(fā)送端不知道接收端的接收情況，無法感知接收端收到的數(shù)據(jù)是否完整、是否正確。這種單向無反饋的機(jī)制往往意味著既無法使用通用的傳輸協(xié)議，又需要完備的容錯(cuò)糾錯(cuò)控制機(jī)制來保證數(shù)據(jù)的完整性和正確性，因此，該技術(shù)實(shí)現(xiàn)的成本較高。

3 內(nèi)外隔離的硬件結(jié)構(gòu)

單向傳輸系統(tǒng)/設(shè)備的硬件通常由發(fā)送端設(shè)備、單向傳輸信道和接收端設(shè)備等三部分組成，在物理層采用內(nèi)外隔離的硬件結(jié)構(gòu)。

3.1 兩端設(shè)備

由于物理層設(shè)備可以被攻擊，因此單向傳輸系統(tǒng)必須在物理層進(jìn)行斷開。發(fā)送端設(shè)備與接收端設(shè)備的硬件形態(tài)多種多樣，不論外在形態(tài)如何變化，發(fā)送端設(shè)備與接收端設(shè)備之間必須保持硬件獨(dú)立，唯一的連接通路是它們之間的單向傳輸信道。文獻(xiàn)使用的硬件設(shè)備是插在內(nèi)外網(wǎng)服務(wù)器中的兩塊光纖網(wǎng)卡，外網(wǎng)服務(wù)器中光纖網(wǎng)卡只將發(fā)送光口與光纖相連，內(nèi)網(wǎng)服務(wù)器中光纖網(wǎng)卡只將接收光口與光纖相連，運(yùn)用了光纖網(wǎng)卡兩個(gè)光口物理上功能完全區(qū)分的特性。文獻(xiàn)設(shè)計(jì)了獨(dú)立的單向光閘發(fā)送端和接收端主機(jī)，內(nèi)裝CentOS操作系統(tǒng)，同樣使用光纖網(wǎng)卡和分光器組成硬件基礎(chǔ)，兩臺(tái)獨(dú)立主機(jī)與內(nèi)外網(wǎng)服務(wù)器之間通過千兆以太網(wǎng)進(jìn)行通信。文獻(xiàn)將發(fā)送端和接收端設(shè)計(jì)成了兩個(gè)獨(dú)立的計(jì)算機(jī)主板，并將這兩個(gè)主板集成于一個(gè)單向傳輸設(shè)備中，內(nèi)外網(wǎng)服務(wù)器通過該單向傳輸設(shè)備進(jìn)行單向通信。

3.2 單向傳輸信道

目前，單向傳輸信道上傳輸?shù)男盘栞d體主要以光信號為主，即使用光纖做傳輸介質(zhì)。但在不同的應(yīng)用領(lǐng)域，也使用電信號等其他傳輸介質(zhì)。

3.2.1 光纖傳輸介質(zhì)

使用光纖作為單向傳輸介質(zhì)有著先天優(yōu)勢，利用光傳輸?shù)膯蜗蛐钥梢源_保數(shù)據(jù)傳輸?shù)膯蜗蛐?。在光信號通過光纖傳輸給光接收模塊的過程中，光發(fā)送模塊只能發(fā)送不能接收，光接收模塊只能接收不能發(fā)送，可以實(shí)現(xiàn)數(shù)據(jù)在單向傳輸?shù)倪^程中無任何反饋信號。同時(shí)，光纖的傳輸效率極高，延遲極低，以光纖為信道的傳輸速度可達(dá)到萬兆，光纖因其在性能上的優(yōu)勢已成為單向傳輸領(lǐng)域研究的熱點(diǎn)，很多研究人員提出基于光纖技術(shù)來設(shè)計(jì)單向傳輸設(shè)備，光閘（FGAP）就是利用該技術(shù)實(shí)現(xiàn)無反饋單向傳輸?shù)能浻布M合，是基于光傳輸單向技術(shù)的安全產(chǎn)品。目前涉及光閘的研究較多，主要針對光纖傳輸?shù)奶攸c(diǎn)，集中在設(shè)計(jì)專用軟硬件、探索容錯(cuò)糾錯(cuò)機(jī)制、支持更多數(shù)據(jù)格式等問題上。

3.2.2 其他傳輸信道

除了普遍采用的光纖介質(zhì)，在特定的應(yīng)用場合中，相關(guān)學(xué)者使用其他傳輸介質(zhì)或傳輸方式來構(gòu)建單向傳輸信道。文獻(xiàn)將自定義的USB總線用作單向傳輸信道，提供了“一發(fā)一收”和“多發(fā)多收”兩種靈活的數(shù)據(jù)傳輸方式。文獻(xiàn)將無物理連接的激光通信應(yīng)用到單向傳輸信道，發(fā)揮了激光方向性好、發(fā)散角小、安全性高的優(yōu)點(diǎn)。文獻(xiàn)均采用攝像的方式，通過攝像機(jī)對屏幕上的條碼圖像或監(jiān)控信息進(jìn)行連續(xù)的圖像采集、圖像識別和數(shù)據(jù)分析，確保數(shù)據(jù)傳輸絕對單向，安全性高，但這種影像擺渡的方式數(shù)據(jù)傳輸速率較低。本小節(jié)設(shè)計(jì)使用的幾種傳輸信道通用性一般，可應(yīng)用在鐵路運(yùn)輸、設(shè)備監(jiān)控等特定應(yīng)用領(lǐng)域。

4 無連接的私有傳輸協(xié)議

通信傳輸協(xié)議是通信雙方對數(shù)據(jù)傳輸控制的一種約定，是傳輸系統(tǒng)中的終端之間傳播信息的系統(tǒng)標(biāo)準(zhǔn)，通常包括對數(shù)據(jù)格式、同步方式、傳送速度、傳送步驟、檢糾錯(cuò)方式以及控制字符定義等問題的統(tǒng)一規(guī)定。當(dāng)業(yè)務(wù)數(shù)據(jù)在單向無反饋的信道條件下傳輸時(shí)，物理鏈路的斷開阻擋了所有反向控制信號，這導(dǎo)致通用的傳輸協(xié)議將不能很好的與底層硬件兼容，因此需要根據(jù)硬件環(huán)境和安全需求，設(shè)計(jì)適用于單向傳輸系統(tǒng)的私有傳輸協(xié)議。發(fā)送端使用私有協(xié)議對數(shù)據(jù)內(nèi)容進(jìn)行封裝、傳輸，接收端使用該私有協(xié)議對接收到的信息進(jìn)行解析、重組，恢復(fù)數(shù)據(jù)內(nèi)容。單向傳輸系統(tǒng)通過私有協(xié)議對傳輸過程進(jìn)行管控，只傳輸符合該協(xié)議的數(shù)據(jù)，不符合的數(shù)據(jù)直接丟棄。私有協(xié)議只負(fù)責(zé)文件數(shù)據(jù)的傳輸，不轉(zhuǎn)發(fā)任何網(wǎng)絡(luò)數(shù)據(jù)包，從而屏蔽了基于傳統(tǒng)協(xié)議的網(wǎng)絡(luò)攻擊。

私有傳輸協(xié)議需要設(shè)計(jì)數(shù)據(jù)包的分片和重組功能，發(fā)送端將長度大于MTU的數(shù)據(jù)包拆分成分片，然后通過光纖等傳輸信道發(fā)送，在接收端將數(shù)據(jù)包分片重組為完整的數(shù)據(jù)包。同時(shí)，為了保證收到數(shù)據(jù)的正確性，私有傳輸協(xié)議還需要設(shè)計(jì)對數(shù)據(jù)包的校驗(yàn)，以解決數(shù)據(jù)傳輸時(shí)產(chǎn)生的錯(cuò)誤問題，發(fā)送端計(jì)算數(shù)據(jù)包的校驗(yàn)和，連同數(shù)據(jù)包一起發(fā)送，接收端對收到的數(shù)據(jù)包進(jìn)行校驗(yàn)運(yùn)算，出現(xiàn)校驗(yàn)錯(cuò)誤時(shí)丟棄數(shù)據(jù)包。通常采用分層設(shè)計(jì)私有協(xié)議來實(shí)現(xiàn)對數(shù)據(jù)包的分片、重組和完整性校驗(yàn)等功能。

學(xué)者們根據(jù)實(shí)際應(yīng)用場景，設(shè)計(jì)出各具特色的私有傳輸協(xié)議。文獻(xiàn)提出了一種無連接傳輸層協(xié)議——OSDP光閘數(shù)據(jù)包協(xié)議，該協(xié)議采用CRC校驗(yàn)和SHA-1報(bào)文摘要，對奇數(shù)差錯(cuò)和突發(fā)錯(cuò)誤有很高的校驗(yàn)錯(cuò)誤能力，通過結(jié)合雙機(jī)冗余數(shù)據(jù)傳輸方案能大幅度提高數(shù)據(jù)傳輸?shù)目煽啃?。文獻(xiàn)設(shè)計(jì)了一種高可靠的私有協(xié)議——OWDP單向數(shù)據(jù)包協(xié)議，同樣采用無連接協(xié)議方式，發(fā)送數(shù)據(jù)前不需要建立連接，直接發(fā)送數(shù)據(jù)，并采用CRC校驗(yàn)提高了系統(tǒng)的校驗(yàn)錯(cuò)能力。文獻(xiàn)制定了一套自定義的私有協(xié)議，該協(xié)議包含ID標(biāo)記、MD5值和CRC校驗(yàn)值等信息，各子平臺(tái)、子系統(tǒng)之間均采用私有協(xié)議進(jìn)行連接認(rèn)證，通過后才能進(jìn)行數(shù)據(jù)傳輸。文獻(xiàn)[提出了一種私有單向代理傳輸協(xié)議OPTP，該協(xié)議是一種非IP私有協(xié)議，運(yùn)行在計(jì)算機(jī)網(wǎng)絡(luò)體系中的網(wǎng)絡(luò)層，可以從TCP、UDP報(bào)文中剝離出應(yīng)用數(shù)據(jù)并重新封裝傳輸。

5 容錯(cuò)糾錯(cuò)的控制技術(shù)

不論采用何種傳輸介質(zhì)，數(shù)據(jù)在傳輸過程中都難免出現(xiàn)誤碼或丟包的情況。在無反饋的單向傳輸系統(tǒng)中，更需要科學(xué)合理的設(shè)計(jì)容錯(cuò)糾錯(cuò)控制技術(shù)來降低誤碼率與丟包率，提高數(shù)據(jù)傳輸?shù)恼_性和時(shí)效性。

5.1 誤碼問題的解決

由于單向傳輸系統(tǒng)的發(fā)送端接收不到反饋信息，傳輸過程中若數(shù)據(jù)包出錯(cuò)，發(fā)送端將無從知曉，因此必須在接收端進(jìn)行誤碼檢測。為解決誤碼的情況，一般在發(fā)送端對數(shù)據(jù)包進(jìn)行校驗(yàn)編碼，將計(jì)算出的校驗(yàn)值與數(shù)據(jù)一起發(fā)送，之后在接收端進(jìn)行校驗(yàn)。若錯(cuò)誤的數(shù)據(jù)包在接收端無法成功糾錯(cuò)，則接收端將丟棄錯(cuò)誤包，等待發(fā)送端重傳。

5.1.1 CRC循環(huán)冗余校驗(yàn)(Cyclic Redundancy Check)

CRC循環(huán)冗余校驗(yàn)碼具有檢錯(cuò)能力強(qiáng)、開銷小、易于用編碼器及檢測電路實(shí)現(xiàn)等特點(diǎn)，常用于對數(shù)據(jù)包進(jìn)行完整性校驗(yàn)。其工作原理是：在原始數(shù)據(jù)序列之后添加冗余信息作為校驗(yàn)碼，構(gòu)成最終的發(fā)送數(shù)據(jù)序列；校驗(yàn)碼與數(shù)據(jù)包內(nèi)容之間的特定關(guān)系會(huì)因數(shù)據(jù)流受到干擾而被破壞。循環(huán)冗余校驗(yàn)正是利用了這種原理，對傳輸數(shù)據(jù)的正確性進(jìn)行檢驗(yàn)，但該技術(shù)只能用來校驗(yàn)誤碼，并不能自動(dòng)糾錯(cuò)，僅僅使用循環(huán)冗余校驗(yàn)并不能保證可靠傳輸。

5.1.2 FEC前向糾錯(cuò)編碼(Forward Error Correction)

FEC編碼技術(shù)因其具有糾錯(cuò)能力而被廣泛應(yīng)用在光通信系統(tǒng)中。數(shù)據(jù)包經(jīng)信道送達(dá)接收端后，如果出現(xiàn)誤碼且誤碼在可糾正的范圍內(nèi)，通過解碼就可進(jìn)行糾正。因此FEC編碼技術(shù)可在一定程度上抵抗信道帶來的干擾，從而保障單向傳輸系統(tǒng)傳輸?shù)目煽啃?。在光纖信道中，可以用較小的代價(jià)進(jìn)行FEC編解碼處理，糾正傳輸中產(chǎn)生的誤碼，有效降低傳輸誤碼率。文獻(xiàn)采用了此項(xiàng)編碼技術(shù)，保證了光纖無反饋傳輸鏈路極低的誤碼率。

5.1.3 RS編碼(Reed-Solomon codes)

RS編碼是一類糾錯(cuò)能力很強(qiáng)的糾刪編碼，它利用范德蒙行列式的初等變化得到生成矩陣來對信息進(jìn)行編碼與解碼，已經(jīng)具備了很完善的理論體系?；赗S算法的前向糾錯(cuò)機(jī)制可通過RS編碼和RS譯碼實(shí)現(xiàn)數(shù)據(jù)傳輸時(shí)的糾錯(cuò)，發(fā)送端將數(shù)據(jù)進(jìn)行RS編碼，在接收端使用RS解碼，不但能夠發(fā)現(xiàn)錯(cuò)誤碼元，而且能夠完成錯(cuò)誤糾正。文獻(xiàn)均采用了此項(xiàng)編碼技術(shù)，實(shí)驗(yàn)結(jié)果表明該編碼技術(shù)不僅可靠性高，而且傳輸速率快。

5.1.4 CRS編碼(Cauchy Reed-Solomon)

CRS編碼是基于RS編碼進(jìn)行改進(jìn)的糾刪碼，其計(jì)算過程及原理與RS編碼相類似，它們的不同在于CRS用柯西矩陣替代了范德蒙行列式來獲取生成矩陣，運(yùn)算過程同樣是在伽羅華域內(nèi)進(jìn)行。CRS編碼的算法復(fù)雜度要優(yōu)于RS編碼，其編碼效率與解碼效率都有比較顯著的提高。使用CRS編碼不但可以提高單向傳輸系統(tǒng)的容錯(cuò)性，還可以提高編碼與解碼性能，降低系統(tǒng)使用糾刪碼的代價(jià)。實(shí)驗(yàn)證明，通過CRS編碼能在很大程度上提高傳輸系統(tǒng)的傳輸可靠性。但CRS編碼通過冗余傳輸會(huì)產(chǎn)生大量的冗余數(shù)據(jù)，占用大量帶寬和系統(tǒng)資源，影響系統(tǒng)效率。

5.1.5 MD5信息摘要算法(MD5 Message-Digest Algorithm)

MD5信息摘要算法是一種密碼散列函數(shù)，它產(chǎn)生出唯一的一串MD5值，用來檢驗(yàn)原始數(shù)據(jù)是否完整，確保信息傳輸?shù)耐暾恢?。MD5校驗(yàn)是通過對接收的傳輸數(shù)據(jù)執(zhí)行散列運(yùn)算來檢查數(shù)據(jù)的正確性，它提供了對信息的完整性保護(hù)。一旦傳輸中出現(xiàn)數(shù)據(jù)丟失或被篡改，接收端能夠迅速的檢測出來，這項(xiàng)技術(shù)主要是對接收到的錯(cuò)誤數(shù)據(jù)起到報(bào)警作用，便于重傳。

5.2 丟包問題的解決

在單向傳輸過程中造成數(shù)據(jù)丟包的因素有很多，丟包問題可分為隨機(jī)丟包和擁塞丟包兩種情況。隨機(jī)丟包主要由傳輸信道的誤碼率引起，丟包現(xiàn)象之間并無相關(guān)性，呈現(xiàn)出離散的特點(diǎn)，客觀上無法避免；擁塞丟包則是由于發(fā)送端發(fā)出的數(shù)據(jù)包數(shù)量過大，超出了接收端的處理能力，即使數(shù)據(jù)包進(jìn)入緩存區(qū)也沒有得到有效的處理，從而導(dǎo)致緩存區(qū)溢出繼而產(chǎn)生丟包現(xiàn)象，此時(shí)發(fā)生連續(xù)丟包的概率較大。通常采取以下3類方法來解決丟包問題：

5.2.1 單通道冗余

無論數(shù)據(jù)包是否出現(xiàn)丟失的情況，均由發(fā)送端在每次發(fā)送數(shù)據(jù)后進(jìn)行主動(dòng)重傳。重傳分單包重傳和多包重傳，即每發(fā)送一個(gè)數(shù)據(jù)包或連續(xù)發(fā)送一批數(shù)據(jù)包后，進(jìn)行重傳。經(jīng)驗(yàn)證，多包重傳的平均效率要高于單包重傳。文獻(xiàn)設(shè)計(jì)了基于滑動(dòng)窗口的多包冗余傳輸方式，發(fā)送端可以靈活的改變滑動(dòng)窗口的大小，接收端根據(jù)數(shù)據(jù)包的編號計(jì)算出滑動(dòng)窗口大小的變動(dòng)，可解決連續(xù)丟包的問題。

5.2.2 多通道冗余

基于單通道進(jìn)行單向傳輸，即使采用了提高可靠性的方法，也仍然存在著單通道失效的可能性。為進(jìn)一步提高單向傳輸系統(tǒng)的容錯(cuò)性，可選用更可靠的多通道冗余傳輸方式。文獻(xiàn)采用雙光閘系統(tǒng)同時(shí)進(jìn)行數(shù)據(jù)傳輸，在接收端進(jìn)行數(shù)據(jù)的比對和校驗(yàn)。文獻(xiàn)設(shè)計(jì)的單向傳輸板卡采用4路光纖進(jìn)行數(shù)據(jù)傳輸，其中3路為主，1路為輔，同樣在接收端進(jìn)行分析處理，采納相似度最多的數(shù)據(jù)作為最終的數(shù)據(jù)，提高了數(shù)據(jù)傳輸?shù)目煽啃浴?/p>

5.2.3 流量控制

目前常用流量控制的方法來解決擁塞丟包問題，該方法可以控制一定時(shí)間段內(nèi)傳輸?shù)臄?shù)據(jù)量，以達(dá)到按較大速率發(fā)送數(shù)據(jù)流量的目的。實(shí)現(xiàn)這種控制的方法很多，通常是利用延遲發(fā)包來實(shí)現(xiàn)，一般應(yīng)用在發(fā)送端以控制進(jìn)入信道的流量。其采用的策略是每間隔一定時(shí)間，就對該時(shí)間段內(nèi)傳送數(shù)據(jù)包的數(shù)量進(jìn)行統(tǒng)計(jì)，計(jì)算出單位時(shí)間內(nèi)的流量值，之后與預(yù)定的流量控制閾值進(jìn)行比對。若流量過大則延遲發(fā)包，若小于閾值則繼續(xù)發(fā)包，將流量控制在閾值范圍內(nèi)，有效保證數(shù)據(jù)傳輸效率。

6 展望

單向傳輸技術(shù)的應(yīng)用不能僅限于文件擺渡、格式化數(shù)據(jù)傳輸、郵件單向轉(zhuǎn)發(fā)、數(shù)據(jù)庫單向同步等場景，該技術(shù)的發(fā)展應(yīng)滿足跨網(wǎng)系、跨安全域傳遞信息的現(xiàn)實(shí)需求。單向傳輸技術(shù)的應(yīng)用除了要面向未來，還可用于改進(jìn)當(dāng)前的工作方式，不同安全等級網(wǎng)絡(luò)之間，原本通過人工拷盤、光盤擺渡的業(yè)務(wù)應(yīng)用都可引入單向傳輸技術(shù)，這些傳統(tǒng)領(lǐng)域同樣蘊(yùn)含著廣闊的市場空間。另外，單向傳輸技術(shù)本身仍有很大的進(jìn)步空間，網(wǎng)絡(luò)隔離產(chǎn)品的通用性、易用性還有待提高，單向傳輸設(shè)備的實(shí)際隔離效果需要專業(yè)的測評和認(rèn)證，私有傳輸協(xié)議的標(biāo)準(zhǔn)化和規(guī)范性需進(jìn)一步提升，高速傳輸條件下的差錯(cuò)控制技術(shù)還有進(jìn)步空間?？梢姡瑐鬏斀橘|(zhì)材料的發(fā)展、傳輸協(xié)議的標(biāo)準(zhǔn)化、糾錯(cuò)機(jī)制的改進(jìn)、加解密技術(shù)的引入、數(shù)據(jù)包捕獲能力的提升等不少問題需要更深一步的研究，未來的網(wǎng)絡(luò)隔離不僅僅是單純的物理隔離，新興技術(shù)的應(yīng)用必將會(huì)推動(dòng)網(wǎng)絡(luò)隔離技術(shù)的迅速發(fā)展。