CN100505653C - 一种网络安全隔离装置 - Google Patents

Abstract

本发明公开了一种网络安全隔离装置，包括信号整形电路、继电器驱动电路、继电器；还包括位于信号整形电路与继电器驱动电路之间的单片机；所述单片机用于采集PCI槽上的复位信号、网络模式选择信号，休眠指示灯信号，通过对输入信号的组合控制，完成硬盘的主从模式控制、网络模式指示信号的输出以及对硬盘数据控制信号及网络信号的切换，实现网络的安全隔离。本发明巧妙利用了PCI插槽上的Vaux信号、复位信号、ACPI用的休眠模式下的指示灯信号，可以准确的识别计算机的工作状态。首次实现内网、外网以及内外网拷贝等三种模式，可以方便的实现内外网络所对应硬盘上的数据的共享。

Description

一种网络安全隔离装置

技术领域

本发明涉及计算机网络安全技术，特别是涉及一种基于单片机的能够对互联网有效隔离的网络安全隔离装置。

背景技术

近年来，互联网在我国得到了迅猛发展，已经渗透到了人们生活、工作的各个方面。互联网在给人们带来迅捷获得信息的便利的同时，其对使用者的网络造成的安全威胁也日益成为人们担心的问题。尤其是政府、企事业单位，他们的重要数据一旦泄漏其后果将不堪设想。在我国大力推行信息化建设的过程中，如何保障涉密信息的安全性成为近来信息领域技术研究的一个重要方向。那么如何保证信息传递的安全呢？尤其是如何保护“政府上网”、“安全政务”等国家网络工程的安全？这是各国政府机关、保密部门都十分关注的问题。我国政府非常重视计算机网络的安全，我国国家保密局发布的《计算机信息系统国际联网保密管理规定》中第二章第六条规定“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联接，必须进行物理隔离”。

现有技术方案实现的原理图如图1所示。其具体做法是，在计算机上电初期，利用FPGA芯片采集硬盘的数据信号及网络选择信号，判别是否是上电初期及是否要选择的网络，然后对控制信号进行锁存，进而完成对继电器的控制，达到内外网络隔离的目的。这种方案有很多缺点：

由于利用了数据信号，以及继电器切换的延时，使得继电器的切换是在最初的几个数据交换之后，导致IDE控制器不能完整的获得某块硬盘的信息(具体视内外网络连接的硬盘与系统缺省的硬盘而定)，引起硬盘与主板产生兼容性问题；

该方案必须在计算机带电的情况下才能完成内外网络的切换功能；

在计算机进入S3休眠模式下，由于所用电源被切开，导致指示灯不能正确指示计算机所使用的网络；在S3休眠模式下切换，由于相关信息保存在内存里，会导致整个系统崩溃。

由于双网系统频繁的断电、上电，影响计算机的使用效率，并且会缩短硬盘的使用寿命。

发明内容

本发明要解决的技术问题是提出一种网络安全隔离装置，通过对网络模式指示信号的输出、硬盘的主从模式控制以及网络信号和硬盘相关的控制信号的切换，达到网络安全隔离的目的。

本发明所述的网络安全隔离装置，包括信号整形电路、继电器驱动电路、继电器；还包括位于信号整形电路与继电器驱动电路之间的单片机；所述单片机用于采集PCI槽上的复位信号，在复位信号有效的情况下，分别根据网络选择信号的状态采集指示灯信号；接着判断是否为S3休眠模式，如果是S3休眠模式，将不进行网络选择的操作，返回到采集PCI的复位信号的状态；如果不是S3休眠模式，则进行指示灯驱动、继电器驱动，完成硬盘的主从模式控制、网络模式指示信号的输出以及对硬盘数据控制信号及网络信号的切换，实现内网、外网以及内外网拷贝工作模式，达到网络的安全隔离；

所述的继电器驱动电路，采用集电极开路非门电路；

所述单片机发出硬盘控制信号，通过集电极开路非门电路的反向，输出控制信号控制继电器工作，当控制信号为高电平时，使外网硬盘工作在从盘模式；反之若控制信号为低电平，则外网硬盘工作在主盘模式。

如上所述的网络安全隔离装置，所述的集电极开路非门电路的输入端接单片机输出的网络切换控制信号，经过反向后输出，再同时输入给集电极开路非门电路的其他输入端，经过再次反向后，得到一组放大的驱动信号，用于控制继电器的触电切换，实现网络切换控制。

如上所述的网络安全隔离装置，还包括用于指示网络工作模式的网络模式指示灯驱动电路，所述网络模式指示灯驱动电路包括：三极管，三极管的集电极通过电阻接有直流偏置电源，三极管的发射极接发光二极管的正极，其负极接地，单片机的网络工作模式信号作为输入信号送入三极管的基极，控制二极管的导通。

一种网络安全隔离的控制方法，包括以下步骤：

采集PCI槽上的复位信号；

在复位信号有效的情况下，分别根据网络选择信号的状态采集指示灯信号；

接着判断是否为S3休眠模式，如果是S3休眠模式，将不进行网络选择的操作，返回到采集PCI的复位信号的状态；如果不是S3休眠模式，则在单片机控制下进行指示灯驱动、继电器驱动，完成硬盘的主从模式控制、网络模式指示信号的输出以及对硬盘数据控制信号及网络信号的切换，并经过延时后将相关寄存器置位。

本发明巧妙利用了PCI插槽上的Vaux信号、RESET信号、ACPI用的休眠模式下的指示灯信号，可以准确的识别计算机的工作状态。首次实现内网、外网以及内外网拷贝等三种模式，可以方便的实现内外网络所对应硬盘上的数据的共享。因为不需要驱动程序，仅在PCI插槽上接电源，所以只要PCI插槽符合PCI2.2及以上规范，就能够保证该型隔离卡与操作系统及硬盘良好的兼容性。因为该新型网络安全隔离卡在需要进行网络切换时不需要关闭计算机，而只要对计算机进行重新启动前，用开关进行网络选择即可，这种技术方案最大限度的保护了硬盘，节约了用户的时间，方便了使用者的计算机管理。

附图说明

图1是现有技术中的系统实现原理框图；

图2是本发明基于MSP430单片机的网络安全隔离装置实现原理图；

图3是图2中单片机核心电路原理图；

图4是本发明网络安全隔离控制流程图；

图5是外网硬盘从模式控制电路；

图6是网络模式指示灯驱动电路原理图；

图7是网络信号切换实现原理图；

图8是继电器驱动电路原理图。

具体实施方式

本发明提出的网络安全隔离装置的实现原理图如图2所示。其实现的核心是MSP430超低功耗单片机，单片机采集PCI槽上的Reset复位信号、网络模式选择信号，休眠指示灯信号，通过对输入信号的组合，根据实际控制需求，完成硬盘的主从模式控制(见图5)、网络模式指示信号的输出(见图6)以及对硬盘数据控制信号及网络信号的切换(见图7)，达到网络安全隔离的目的。本发明所述网络安全隔离装置的工作模式有内网、外网及拷贝三种模式。

图3中所使用的单片机是美国TI公司出品的MSP430F133超低功耗单片机。MSP430系列单片机是德州仪器公司生产的一组具有超低功耗的、具有16位RISC结构，16位CPU寄存器和常数寄存器的微控制器。而MSP430F133是这个系列中的一款带有8KB Flash Memory、256B RAM；它的供电电压允许在1.8V至3.6V之间，超低功耗(仅微安级工作电流)，很好地满足了在PCI系统中，ACPI电源管理模式对器件功率的要求(Vaux＝3.3V)。较低的外接振荡器频率，不会对计算机系统中的其它系统产生影响。2个定时器，48路I/O端口，能够满足资源需求。单片机的采用对于更加可靠安全的实现网络隔离，增加了灵活性。而且单片机从上电到系统初始化完成只需要64us，可以满足系统快速响应的需要。

本发明网络安全隔离方法的控制流程图如图4所示。能否实现方便、可靠的网络隔离功能，关键就是看其控制策略。本发明充分利用PCI规范，从而实现方便、快速、可靠的隔离效果。

在计算机上电、重启时由PCI插槽上的RESET信号触发隔离卡的单片机开始进入控制流程，为了避免使用者在计算机的S3休眠模式下，误操作计算机，网络安全隔离装置的控制器通过对计算机ACPI相关的指示灯信号的采集，判断计算机所处状态，若在S3模式，将不进行网络选择的操作，以保证计算机系统的安全。程序采集网络选择开关信号(图5中的S1，S2，S3，三路单选开关)，在确定计算机选择某种网络模式(内网S1＝1，S2＝0，S3＝0；外网S1＝0，S2＝1，S3＝0；拷贝S1＝0，S2＝0，S3＝1三种中的一种)后，输出指示灯控制信号、继电器控制信号，完成计算机对于内网、外网及拷贝模式的选择。在正常情况下，计算机PCI插槽上的RESET信号持续2.2ms，通过延时，可以保证计算机在第一次采集到PCIRST#信号进行快速切换。

硬盘主从模式控制电路如图5所示。设置此项功能的目的是，满足用户内外网数据相互传送的需要。此项功能可以在单片机的控制程序内禁止。

其实现的原理是，希捷(Seagate)、迈拓(Matror)、三星(Samsung)等著名硬盘厂家的硬盘主从模式的设定方式均是通过跳线方式实现的，在硬盘的工作模式设置端，把用来短路的跳线用两个导线替代，分别接到图5中JP6的HARD与HARD1端，在拷贝模式下，单片机发出CTRHARD信号，通过7406集电极开路非门电路增强信号的驱动能力，变换成CTR5信号，来控制继电器，当CTR5为高时，HARD1与HARD连通，使外网硬盘工作在从盘模式；反之若CTR5为低电平，则外网硬盘工作在主盘模式，此时为非拷贝模式。这样就实现原用来控制硬盘主从工作模式的跳线的短路及断路控制，完成硬盘主从工作模式的设定。

在非拷贝模式下，内外网硬盘均设置为主模式。从安全性考虑，在拷贝模式下，内网硬盘设定为主模式(Master)，外网硬盘设定为从模式(Slave)。

在硬盘拷贝模式下，需要注意的是，主从硬盘(内外网硬盘)的数据线是连通的，其实现原理与图5相同。

内外网指示灯驱动电路原理图如图6所示。DRRED、DRGREEN信号分别由图3中的单片机驱动，RED与GREEN分别接红色与绿色发光二极管的阳极，二极管的阴极接地。在单片机采集了隔离卡的工作模式选择开关的信息之后，输出DRRED、DRGREEN信号，当DRRED、DRGREEN为高电平时，三极管Q1与Q3则导通，电流流经发光二极管；当DRRED、DRGREEN为低电平时，由于无电流流过，发光二极管不发光，这样根据一定的控制策略，可实现内网(绿灯亮)、外网(红灯亮)、内网休眠(绿灯闪烁)、外网休眠(红灯闪烁)等几种指示模式。

网络信号切换实现原理图如图7所示。可以实现10M/100M/1000M网络的切换。图8的集电极开路的非门7406的变换作用，使CTR_NET的驱动能力大大增强，可以满足继电器对输入的控制继电器的信号的需要。具体原理是，当系统工作于内网时(或拷贝模式，视隔离卡工作模式选择开关状态而定)，单片机使CTR_NET信号为低电平，此时，图7中的WKx的3与8脚分别与WKx的2脚与9脚联通即WIx与WI1x联通；当系统工作于外网时，单片机使CTR_NET信号为高电平，此时图7中的WKx的3与8脚分别与WKx的4脚与7脚联通即WIx与WI2x联通。

用来控制硬盘进行正常工作的控制信号(指数据线中的用来控制继电器以外的控制信号)的切换原理与此相同。

最后所应说明的是：以上实施例仅用以说明而非限制本发明的技术方案，尽管参照上述实施例对本发明进行了详细说明，本领域的普通技术人员应当理解：依然可以对本发明进行修改或者等同替换，而不脱离本发明的精神和范围的任何修改或局部替换，其均应涵盖在本发明的权利要求范围当中。

Claims (5)

1、一种网络安全隔离装置，包括信号整形电路、继电器驱动电路、继电器；其特征在于：还包括位于信号整形电路与继电器驱动电路之间的单片机；所述单片机用于采集PCI槽上的复位信号，在复位信号有效的情况下，分别根据网络选择信号的状态采集指示灯信号；接着判断是否为S3休眠模式，如果是S3休眠模式，将不进行网络选择的操作，返回到采集PCI的复位信号的状态；如果不是S3休眠模式，则进行指示灯驱动、继电器驱动，完成硬盘的主从模式控制、网络模式指示信号的输出以及对硬盘数据控制信号及网络信号的切换，实现内网、外网以及内外网拷贝工作模式，达到网络的安全隔离；

所述的继电器驱动电路，采用集电极开路非门电路；

所述单片机发出硬盘控制信号，通过集电极开路非门电路的反向，输出控制信号控制继电器工作，当控制信号为高电平时，使外网硬盘工作在从盘模式；反之若控制信号为低电平，则外网硬盘工作在主盘模式。

2、根据权利要求1所述的网络安全隔离装置，其特征在于，所述的集电极开路非门电路的输入端接单片机输出的网络切换控制信号，经过反向后输出，再同时输入给集电极开路非门电路的其他输入端，经过再次反向后，得到一组放大的驱动信号，用于控制继电器的触电切换，实现网络切换控制。

3、根据权利要求1所述的网络安全隔离装置，其特征在于，还包括用于指示网络工作模式的网络模式指示灯驱动电路，所述网络模式指示灯驱动电路包括：三极管，三极管的集电极通过电阻接有直流偏置电源，三极管的发射极接发光二极管的正极，其负极接地，单片机的网络工作模式信号作为输入信号送入三极管的基极，控制二极管的导通。

4、一种网络安全隔离的控制方法，其特征在于，包括以下步骤：

采集PCI槽上的复位信号；

在复位信号有效的情况下，分别根据网络选择信号的状态采集指示灯信号；

接着判断是否为S3休眠模式，如果是S3休眠模式，将不进行网络选择的操作，返回到采集PCI的复位信号的状态；如果不是S3休眠模式，则在单片机控制下进行指示灯驱动、继电器驱动，完成硬盘的主从模式控制、网络模式指示信号的输出以及对硬盘数据控制信号及网络信号的切换，并经过延时后将相关寄存器置位。

5、根据权利要求4所述的网络安全隔离的控制方法，其特征在于，所述延时时间为2.5秒。

Images