(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111424308.5 (22)申请日 2021.11.26 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 冀博　周建伟　穆帅　樊志甲　 叶晓虎　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 潘雪 (51)Int.Cl. H04L 9/40(2022.01) H04L 51/212(2022.01) H04L 51/42(2022.01)G06Q 10/10(2012.01) H04B 10/116(2013.01) (54)发明名称 一种基于可见光系统的安全访问邮件的方 法、 系统和装置 (57)摘要 本发明提供一种基于可见光系统的安全访 问邮件的方法、 系统和装置， 用于解决现有技术 中无法在绝对物理单向隔离的网络环境下实现 跨密级网络 邮件高安全访问的技术问题。 包括： 网络单元， 设置于密级网络与隔离交换单元之 间， 用于对接收到的请求报文进行加密或解密处 理， 并将处理后的请求报文发送到目标位置； 其 中目标位置包括专有隔离交换单元、 邮件服务器 或外网客户端， 邮件服务器和外网客户端分别处 于被专有隔离交换单元物理隔离的不同密级的 网络中； 所述专有隔离交换单元， 设置在两个所 述网络单元之间， 用于通过不同的单向可见光系 统， 在两个网络单元间传输处理后的请求报文； 其中两个网络单 元分别连接不同密级的网络 。 权利要求书2页 说明书9页 附图5页 CN 114124549 A 2022.03.01 CN 114124549 A 1.一种邮件传输系统， 其特 征在于， 包括： 网络单元， 设置于密级网络与专有隔离交换单元之间， 用于对接收到的请求报文进行 加密或解密处理， 并将处理后的请求报文发送到目标位置； 其中， 所述目标位置包括专有隔 离交换单元， 或外网客户端； 所述专有隔离交换单元， 设置在两个所述网络单元之间， 用于通过两个不同数据传输 方向的单向可 见光系统在两个所述网络单 元之间传输所述处 理后的请求报文。 2.如权利要求1所述的邮件传输系统， 其特 征在于， 所述网络单 元还用于： 接收所述请求报文， 根据所述请求报文的来源信息， 验证所述请求报文是否具有访 问 权限； 其中， 所述网络单 元中预设有具有访问权限的请求报文的来源信息； 若所述请求报文具有访 问权限， 则对所述请求报文进行加密， 并将加密后的请求报文 发送给所述专有隔离交换 单元； 若所述请求报文不具有访问权限， 则放弃 所述请求报文。 3.如权利要求2所述的邮件传输系统， 其特 征在于， 所述网络单 元还用于： 使用私有协议， 对所述请求报文进行加密或解密； 其中所述私有协议包含用于加密邮 件报文的预设加密算法和预设共享密钥。 4.如权利要求2或3所述的邮件传输系统， 其特征在于， 当所述网络单元的类型为外网 单元时， 所述密级网络为低密级网络， 所述低密级网络设置在所述外网客户端与所述网络 单元之间， 所述网络单 元还用于： 当所述请求报文具有访 问权限时， 根据所述请求报文的相关信息， 判断所述请求报文 是否为邮件报文； 其中所述相关信息包括所述请求报文的传输协议类型和目标服 务端口； 当所述请求报文是邮件报文时， 对所述请求报文 进行病毒查杀； 当所述请求报文不是邮件报文时， 放弃 所述请求报文。 5.如权利要求4所述的邮件传输系统， 其特征在于， 当所述网络单元的类型为内网单元 时， 所述密 级网络为高密 级网络， 所述高密 级网络中设置有邮件服务器， 所述网络单元还用 于： 检测所述请求报文中包含的请求报文的来源信 息， 根据所述来源信 息判断发送所述请 求报文的邮件服 务器是否具有发送权限； 若发送所述请求报文的邮件服务器具有发送权限， 则 检测并替换所述请求报文中的敏 感字； 若发送所述请求报文的邮件服 务器不具有发送权限， 则放弃 所述请求报文。 6.如权利要求5所述的邮件传输系统， 其特 征在于， 所述单向可 见光系统包括： 发送单元， 设置于所述单向可见光系统的发送侧， 用于通过编码模块对所述处理后的 请求报文进行编码， 并将编码后的请求报文， 通过LED以可见光的形式发送给接收单元； 其 中， 所述发送单 元和所述接收单 元在同一 直线上， 且保持物理隔离状态； 所述接收单元， 设置于所述单向可见光系统 的接收侧， 用于接收所述发送单元的LED发 送的所述编码后的请求报文， 并使用解码模块解码所述编码后的请求报文， 获得解码后的 请求报文。 7.如权利要求6所述的邮件传输系统， 其特 征在于， 所述接收单 元还用于： 通过哈希检验模块验证所述解码后的请求报文是否完整， 当所述解码后的请求报文不 完整时， 使用数据恢复模块恢复所述解码后的请求报文； 其中， 所述数据恢复模块使用所述权　利　要　求　书 1/2 页 2 CN 114124549 A 2请求报文在编码时加入的冗余数据恢复所述编码后的请求报文中丢失的部分编码。 8.一种基于可 见光系统的安全访问邮件的方法， 其特 征在于， 包括： 对接收到的请求报文进行加密或解密处理， 并将处理后的请求报文发送到目标位置； 其中所述 目标位置包括专有隔离交换单元、 邮件服务器或外网客户端， 所述邮件服务器和 所述外网客户端分别处于被所述专有隔离交换 单元物理隔离的不同密级的网络中； 通过不同的单向可见光系统， 在两个所述网络单元间传输所述处理后的请求报文； 其 中所述两个网络单 元分别连接不同密级的网络 。 9.一种基于可 见光系统的安全访问邮件的系统， 其特 征在于， 包括： 外网客户端， 设置于低密级网络 中， 用于向邮件传输系统发送请求报文， 并接收对应的 回复； 邮件服务器， 设置于高密级网络中， 用于接收所述 邮件传输系统发送的请求报文并回 复所述请求报文； 所述邮件传输系统， 设置于所述低密级网络和高密级网络之间， 用于执行如权利要求 1‑7中任一项 所述的用途， 以保证在隔离所述低密 级网络和高密 级网络的同时， 在所述外网 客户端和邮件服 务器件之间传输请求报文。 10.一种基于可 见光系统的安全访问邮件的装置， 其特 征在于， 包括： 至少一个处 理器， 以及 与所述至少一个处 理器连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述至少一个处理器 通过执行所述存储器存储的指令具有如权利要求1 ‑7中任一项所述的用途。权　利　要　求　书 2/2 页 3 CN 114124549 A 3