CN108055244B - 一种基于srio接口技术的双处理系统网络安全隔离方法 - Google Patents
一种基于srio接口技术的双处理系统网络安全隔离方法 Download PDFInfo
- Publication number
- CN108055244B CN108055244B CN201711204450.2A CN201711204450A CN108055244B CN 108055244 B CN108055244 B CN 108055244B CN 201711204450 A CN201711204450 A CN 201711204450A CN 108055244 B CN108055244 B CN 108055244B
- Authority
- CN
- China
- Prior art keywords
- network
- data
- srio
- intranet
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明旨在提供一种结构简单、安全可靠、传输效率高、带宽足够且能实现单向或双向安全隔离的基于SRIO接口技术的双处理系统网络安全隔离方法。本发明通过卸载网络协议栈,彻底杜绝了网络协议穿透性链接,实现了不同安全等级网络区域的单向数据安全隔离传输或可控双向数据安全隔离传输,由于SRIO技术支持芯片直接互联方式,其逻辑层支持直接IO/DMA和消息传递,能显著减轻CPU负荷,极大提升网络数据传输的效率,可实现10G带宽的数据安全隔离通信,适用于对带宽流量要求较高的单向或双向安全隔离的网络边界。本发明应用于计算机网络安全隔离技术领域。
Description
技术领域
本发明涉及计算机网络安全隔离技术领域,特别涉及一种基于SRIO接口技术的双处理系统网络安全隔离方法,主要应用在需要保障内网免受外网攻击的网络边界。
背景技术
随着计算机及网络技术的广泛使用,对于一个与外部公网直接相连的企事业或职能部门的内部网络系统来说,其网络安全特性通常要求,在内网与外网实现必要的信息通信的同时,能有效地保护内网不受来自外网的非法侵入攻击。因此,在政府、国防及工业控制等对数据机密性和网络安全性要求极高的重要领域中,通常采用专有硬件在保证安全的前提下实现内外网数据的安全隔离和可靠交换,上述技术称之为安全隔离技术或安全隔离与信息交换系统。
现有网络安全隔离技术主要采用“2+1”(内/外网处理系统加专用隔离硬件)架构实现,内/外网处理系统分别连接着内网和外网,内/外网处理系统无网络连接及内部总线连接,只能通过专用隔离硬件相连并采用非网络协议传递信息,并确保没有任何网络TCP/IP协议(包括UDP和ICMP)穿透专用隔离硬件,只传输应用层(TCP以上)的数据。
当前专用隔离硬件用于内/外网处理系统的连接,主要有DPRAM信号控制、FIFO先进先出、单向光隔离以及1394接口通信等形式。
公开号为CN 105656883 A的中国专利,公开了一种适用于工控网络的单向传输内外网安全隔离网闸,包括外网处理单元、数据摆渡单元、内网处理单元。外网处理单元只能向缓存I中写入数据且只能从缓存2中读取数据。内网处理单元只能向缓存2中写入数据且只能从缓存I中读取数据。两个DPRAM只能同时执行一个动作,或“读”或“写”,实现内网与外网的软件和硬件的同时隔离。公开号为CN 2684479 Y的中国专利,公开了一种网络安全隔离装置,该装置包括连接内网的第一网络接口,连接外网的第二网络接口,两块主机板,还包括连接在两块主板间第一和第二两片高速FIFO芯片,第一FIFO芯片用以控制由内网向外网的数据通讯,第二FIFO芯片用以控制由外网向内网的数据通讯,实现网络的安全隔离。公开号为CN203775214 U的中国专利,公开了一种红外光闸单向数据传输机,单向导入隔离部件包括发送端隔离交换模块和接收端隔离交换模块,通过独有的单向光传输技术实现了物理层无反馈的传输通道,确保数据只能从低密级设备传入高密级设备,切断了跨域传输的潜在隐患,实现了真正的物理隔离。公开号为CN 201307864 Y的中国专利,公开了一种基于1394接口的数据隔离转发系统。该系统包括与外网相接的第一数据转发设备、与内网相接的第二数据转发设备,两数据转发设备之间通过1394接口和串口相接;其中第一数据转发设备上所设的1394接口为只发送数据的单向接口,第二数据转发设备上所设的1394接口为只接受数据的单向接口,实现网络的安全隔离。
然而,上述提及的现有技术均存在带宽不足的问题,同时效率低下、结构复杂,很难满足新出现的高速通信的要求。
发明内容
本发明所要解决的技术问题是克服现有技术的不足,提供一种结构简单、安全可靠、传输效率高、带宽足够且能实现单向或双向安全隔离的基于SRIO接口技术(SRIO是指Serial Rapid I/O,它是面向嵌入式系统的高可靠、高性能、基于包交换的新一代高速互联技术)的双处理系统网络安全隔离方法。
本发明所采用的技术方案是:本发明所述双处理系统包括电源、内网处理系统、内网参数配置接口、内网SRIO接口单元、外网SRIO接口单元、外网参数配置接口、外网处理系统,所述内网处理系统通过所述内网SRIO接口单元与所述外网SRIO接口单元以及所述外网处理系统相连接,
所述内网处理系统包括但先不限于内网链路层数据处理模块、内网网络层/传输层数据处理及安全策略控制模块、内网剥离/转换应用数据模块、内网SRIO数据组包及传输方向控制模块;
所述外网处理系统包括但不限于外网SRIO数据组包及传输方向控制模块、外网剥离/转换应用数据模块、外网网络层/传输层数据处理及安全策略控制模块、外网链路层数据处理模块;
所述内网SRIO接口单元包括有内网SRIO通信模块,所述外网SRIO接口单元包括有外网SRIO通信模块,所述内网SRIO通信模块和所述外网SRIO通信模块均设置有SRIO逻辑层、读功能层、写功能层和DOORBELL包;
所述隔离方法包括三种数据传输工作状态,分别为:内网至外网单向安全隔离数据传输工作状态、外网至内网单向安全隔离数据传输工作状态和内网与外网之间的双向安全隔离数据传输工作状态,所述内网处理系统和所述外网处理系统通过所述内网SRIO通信模块和所述外网SRIO通信模块进行互联,所述内网SRIO通信模块的写功能层、所述外网SRIO通信模块的读功能层和所述外网处理系统的用于数据传输控制应答的所述DOORBELL包共同组合成为内网到外网的数据单向传输,所述外网SRIO通信模块的写功能层、所述内网SRIO通信模块的读功能层和所述内网处理系统的用于数据传输控制应答的所述DOORBELL包共同组合成为外网到内网的数据单向传输,当所述内网SRIO通信模块和所述外网SRIO通信模块的读功能层和写功能层同时作用时,完成双向独立数据传输,所述内网SRIO通信模块和所述外网SRIO通信模块的DOORBELL包用于数据应答以控制返回通道的宽度,阻断网络攻击及网络潜入或网络泄密的途径。
进一步地,内网至外网单向安全隔离数据传输工作状态的具体步骤为:
a.通过所述内网参数配置接口的参数配置模块生成网络数据的通信规则,包含但不限于链路层所限制的MAC地址、协议,网络层所开放的服务端口、目的IP地址、源IP地址、协议,应用层所支持的应用协议策略;
b.所述内网链路层数据处理模块根据MAC地址、协议的策略进行数据过滤后递交所述内网网络层/传输层数据处理及安全策略控制模块,其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述内网剥离/转换应用数据模块;
c.所述内网剥离/转换应用数据模块支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述内网SRIO数据组包及传输方向控制模块;
d.所述内网SRIO数据组包及传输方向控制模块根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网SRIO数据组包及传输方向控制模块;
e.所述外网SRIO数据组包及传输方向控制模块根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网剥离/转换应用数据模块;
f.经所述外网剥离/转换应用数据模块检查之后通过所述外网网络层/传输层数据处理及安全策略控制模块,符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述外网链路层数据处理模块与外网进行通信。
再进一步地,外网至内网单向安全隔离数据传输工作状态的具体步骤为:
g.通过所述外网参数配置接口的参数配置模块生成网络数据的通信规则,包含但不限于链路层所限制的MAC地址、协议,网络层所开放的服务端口、目的IP地址、源IP地址、协议,应用层所支持的应用协议策略;
h.所述外网链路层数据处理模块根据MAC地址、协议的策略进行数据过滤后递交所述外网网络层/传输层数据处理及安全策略控制模块,其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述外网剥离/转换应用数据模块;
i.所述外网剥离/转换应用数据模块支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述外网SRIO数据组包及传输方向控制模块;
j.所述外网SRIO数据组包及传输方向控制模块根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网SRIO数据组包及传输方向控制模块;
k.所述内网SRIO数据组包及传输方向控制模块根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网剥离/转换应用数据模块;
l.经所述内网剥离/转换应用数据模块检查之后通过所述内网网络层/传输层数据处理及安全策略控制模块,符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述内网链路层数据处理模块与内网进行通信。
又再进一步地,内网与外网之间的双向安全隔离数据传输工作状态的具体步骤为:
m.通过所述内网参数配置接口和所述外网参数配置接口的参数配置模块生成网络数据的通信规则,包含但不限于链路层所限制的MAC地址、协议,网络层所开放的服务端口、目的IP地址、源IP地址、协议,应用层所支持的应用协议策略;
n.所述内网链路层数据处理模块根据MAC地址、协议的策略进行数据过滤后递交所述内网网络层/传输层数据处理及安全策略控制模块,其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述内网剥离/转换应用数据模块;同时,所述外网链路层数据处理模块根据MAC地址、协议的策略进行数据过滤后递交所述外网网络层/传输层数据处理及安全策略控制模块,其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述外网剥离/转换应用数据模块;
o.所述内网剥离/转换应用数据模块支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述内网SRIO数据组包及传输方向控制模块;同时,所述外网剥离/转换应用数据模块支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述外网SRIO数据组包及传输方向控制模块;
p.所述内网SRIO数据组包及传输方向控制模块根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网SRIO数据组包及传输方向控制模块;同时,所述外网SRIO数据组包及传输方向控制模块根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网SRIO数据组包及传输方向控制模块;
q. 所述外网SRIO数据组包及传输方向控制模块根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网剥离/转换应用数据模块;同时,所述内网SRIO数据组包及传输方向控制模块根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网剥离/转换应用数据模块;
r.经所述外网剥离/转换应用数据模块检查之后通过所述外网网络层/传输层数据处理及安全策略控制模块,符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述外网链路层数据处理模块与外网进行通信;同时,经所述内网剥离/转换应用数据模块检查之后通过所述内网网络层/传输层数据处理及安全策略控制模块,符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述内网链路层数据处理模块与内网进行通信。
更进一步地,所述内网参数配置接口和所述外网参数配置接口与参数配置计算机相连接,输入参数时,参数输入可连接至所述内网参数配置接口或所述外网参数配置接口;或连接至所述内网参数配置接口再由内网处理系统单向传输到外网处理系统。
此外,所述内网SRIO接口单元及所述外网SRIO接口单元可由CPU内置或外置的SRIO芯片提供,也可由FPGA芯片及相关外设通过逻辑实现的方式提供。
再又更进一步地,所述内网处理系统及所述外网处理系统内均设置有CPU、内存、存储元件、数据总线及网络接口,所述内网处理系统内的网络接口为内网网络接口,所述外网处理系统内的网络接口为外网网络接口。
本发明所述方法的有益效果是:本发明采用双处理系统结合SRIO技术对网络输入/输出端的TCP/UDP应用层数据流进行监管,并限制应用数据流的方向与返回通道宽度,从而实现对网络应用数据的安全隔离。它能达到以下效果:
1.实现了不同安全等级网络区域的单向数据传输(由内向外或由外向内),通过卸载网络协议栈,彻底杜绝了网络协议穿透性链接,对反向网络应用层数据支持完全阻断及指定数据长度返回两种方式,在硬件上控制了“反向数据”通路,保证了高安全等级网络区域不受到来自低安全等级网络区域的攻击(由内向外),以及防止了高安全等级网络区域向低安全等级网络区域产生信息泄露(由外向内);
2.现有技术的数据传输速度较低,不能适用大量数据高速传输的需求,SRIO单路可支持高达3.125 Gbps的通信速度,4路组合进行并行传输可实现10G带宽的数据安全隔离传输,与现有100M/1000M的带宽相比有较大提升;
3.现有技术针对可靠性的处理上比较复杂,当内外网络出现重连、超时、阻塞、中断等错误情况时,两套处理系统之间需定义复杂的内部数据交流机制,才能确保数据的可靠传输。而本发明采用SRIO接口已经包含物理层、传输层、逻辑层的3层结构协议,流控机制、纠错重传机制及协议栈均可在硬件上实现,使数据处理更简单、数据传输更可靠;
4.现有技术是由CPU以软件方式实现双处理系统数据通信,对于千兆及上的网络环境,这会占用大量的CPU资源,并导致网络数据传输效率下降。而本发明采用SRIO技术基于芯片互联方式设计,其逻辑层支持直接IO/DMA和消息传递,这种设计能显著减轻CPU负荷,极大提升网络数据传输的效率。
附图说明
图1是本发明方法的简易流程图;
图2是本发明的硬件设备的简易示意图;
图3是本发明软件模块装置的简易示意图;
图4是SRIO通信模块由内网向外网传输方式的简易示意图;
图5是SRIO通信模块由外网向内网传输方式的简易示意图;
图6是SRIO通信模块在内网与外网之间双向传输方式的简易示意图;
图7是本发明实施例的简易示意图。
具体实施方式
如图1至图7所示,本发明所述双系统包括电源001、内网处理系统002、内网参数配置接口003、内网SRIO接口单元004、外网SRIO接口单元005、外网参数配置接口006、外网处理系统007,所述内网处理系统002通过所述内网SRIO接口单元004与所述外网SRIO接口单元005以及所述外网处理系统007相连接。所述内网SRIO接口单元004及所述外网SRIO接口单元005可由CPU内置或外置的SRIO芯片提供,也可由FPGA芯片及相关外设通过逻辑实现的方式提供。所述内网处理系统002包括但先不限于内网链路层数据处理模块102、内网网络层/传输层数据处理及安全策略控制模块103、内网剥离/转换应用数据模块104、内网SRIO数据组包及传输方向控制模块105。所述外网处理系统007包括但不限于外网SRIO数据组包及传输方向控制模块107、外网剥离/转换应用数据模块108、外网网络层/传输层数据处理及安全策略控制模块109、外网链路层数据处理模块110。所述内网SRIO接口单元004包括有内网SRIO通信模块1061,所述外网SRIO接口单元005包括有外网SRIO通信模块1062,所述内网SRIO通信模块1061和所述外网SRIO通信模块1062均设置有SRIO逻辑层、读功能层NREAD、写功能层SWRITE和DOORBELL包。所述内网处理系统002及所述外网处理系统007内均设置有CPU、内存、存储元件、数据总线及网络接口,所述内网处理系统002内的网络接口为内网网络接口,所述外网处理系统007内的网络接口为外网网络接口。所述内网参数配置接口003和所述外网参数配置接口006与参数配置计算机201相连接,输入参数时,参数输入可连接至所述内网参数配置接口003或所述外网参数配置接口006;或连接至所述内网参数配置接口003再由内网处理系统单向传输到外网处理系统。其中的数据环境包括内网网络数据、外网网络数据、内网输入参数、外网输入参数等数据环境。
本发明隔离方法包括三种数据传输工作状态,分别为:内网至外网单向安全隔离数据传输工作状态、外网至内网单向安全隔离数据传输工作状态和内网与外网之间的双向安全隔离数据传输工作状态。
所述内网处理系统002和所述外网处理系统007通过所述内网SRIO通信模块1061和所述外网SRIO通信模块1062进行互联,所述内网SRIO通信模块1061的写功能层SWRITE、所述外网SRIO通信模块1062的读功能层NREAD和所述外网处理系统007的用于数据传输控制应答的所述DOORBELL包共同组合成为内网到外网的数据单向传输。所述外网SRIO通信模块1062的写功能层SWRITE、所述内网SRIO通信模块1061的读功能层NREAD和所述内网处理系统002的用于数据传输控制应答的所述DOORBELL包共同组合成为外网到内网的数据单向传输。当所述内网SRIO通信模块1061和所述外网SRIO通信模块1062的读功能层NREAD和写功能层SWRITE同时作用时,完成双向独立数据传输,所述内网SRIO通信模块1061和所述外网SRIO通信模块1062的DOORBELL包用于数据应答以控制返回通道的宽度,阻断网络攻击及网络潜入或网络泄密的途径。
下面以更加具体的实施方式作更进一步的说明。
内网至外网单向安全隔离数据传输工作状态的具体步骤为:
a.通过所述内网参数配置接口003的参数配置模块101生成网络数据的通信规则,包含但不限于链路层所限制的MAC地址、协议,网络层所开放的服务端口、目的IP地址、源IP地址、协议,应用层所支持的应用协议策略。
b.所述内网链路层数据处理模块102根据MAC地址、协议的策略进行数据过滤后递交所述内网网络层/传输层数据处理及安全策略控制模块103,其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述内网剥离/转换应用数据模块104。
c.所述内网剥离/转换应用数据模块104支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述内网SRIO数据组包及传输方向控制模块105。
d.所述内网SRIO数据组包及传输方向控制模块105根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块1061的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网SRIO数据组包及传输方向控制模块107。
e.所述外网SRIO数据组包及传输方向控制模块107根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块1062的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网剥离/转换应用数据模块108。
f.经所述外网剥离/转换应用数据模块108检查之后通过所述外网网络层/传输层数据处理及安全策略控制模块109,符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述外网链路层数据处理模块110与外网进行通信。
外网至内网单向安全隔离数据传输工作状态的具体步骤为:
g.通过所述外网参数配置接口006的参数配置模块101生成网络数据的通信规则,包含但不限于链路层所限制的MAC地址、协议,网络层所开放的服务端口、目的IP地址、源IP地址、协议,应用层所支持的应用协议策略。
h.所述外网链路层数据处理模块110根据MAC地址、协议的策略进行数据过滤后递交所述外网网络层/传输层数据处理及安全策略控制模块109,其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述外网剥离/转换应用数据模块108。
i.所述外网剥离/转换应用数据模块108支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述外网SRIO数据组包及传输方向控制模块107。
j.所述外网SRIO数据组包及传输方向控制模块107根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块1062的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网SRIO数据组包及传输方向控制模块105。
k.所述内网SRIO数据组包及传输方向控制模块105根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块1061的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网剥离/转换应用数据模块104。
l.经所述内网剥离/转换应用数据模块104检查之后通过所述内网网络层/传输层数据处理及安全策略控制模块103,符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述内网链路层数据处理模块102与内网进行通信。
内网与外网之间的双向安全隔离数据传输的工作状态则是上述两种状态的结合,具体步骤为:
m.通过所述内网参数配置接口003和所述外网参数配置接口006的参数配置模块101生成网络数据的通信规则,包含但不限于链路层所限制的MAC地址、协议,网络层所开放的服务端口、目的IP地址、源IP地址、协议,应用层所支持的应用协议策略。
n.所述内网链路层数据处理模块102根据MAC地址、协议的策略进行数据过滤后递交所述内网网络层/传输层数据处理及安全策略控制模块103,其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述内网剥离/转换应用数据模块104;同时,所述外网链路层数据处理模块110根据MAC地址、协议的策略进行数据过滤后递交所述外网网络层/传输层数据处理及安全策略控制模块109,其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述外网剥离/转换应用数据模块108。
o.所述内网剥离/转换应用数据模块104支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述内网SRIO数据组包及传输方向控制模块105;同时,所述外网剥离/转换应用数据模块108支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述外网SRIO数据组包及传输方向控制模块107。
p.所述内网SRIO数据组包及传输方向控制模块105根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块1061的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网SRIO数据组包及传输方向控制模块107;同时,所述外网SRIO数据组包及传输方向控制模块107根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块1062的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网SRIO数据组包及传输方向控制模块105。
q. 所述外网SRIO数据组包及传输方向控制模块107根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块1062的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网剥离/转换应用数据模块108;同时,所述内网SRIO数据组包及传输方向控制模块105根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块1061的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网剥离/转换应用数据模块104。
r.经所述外网剥离/转换应用数据模块108检查之后通过所述外网网络层/传输层数据处理及安全策略控制模块109,符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述外网链路层数据处理模块110与外网进行通信;同时,经所述内网剥离/转换应用数据模块104检查之后通过所述内网网络层/传输层数据处理及安全策略控制模块103,符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述内网链路层数据处理模块102与内网进行通信。
本发明通过卸载网络协议栈,彻底杜绝了网络协议穿透性链接,实现了不同安全等级网络区域的单向数据安全隔离传输或可控双向数据安全隔离传输,与现有技术相比的共同特点在于双处理系统进行网络安全隔离;而与现有技术相比的创新点在于在内网/外网两个处理系统之间采用SRIO接口进行高速数据传输,并由SRIO使用SWRITE、NREAD和DOORBELL的数据传输方式,由于SRIO技术支持芯片直接互联方式,其逻辑层支持直接IO/DMA和消息传递,能显著减轻CPU负荷,极大提升网络数据传输的效率,并由SRIO实现硬件流控及控制返回通道宽度,因而运行更可靠,并能极大的提高效率,可实现10G带宽的数据安全隔离通信,适用于对带宽流量要求较高的单向或双向安全隔离的网络边界。
本发明应用于计算机网络安全隔离技术领域。
Claims (4)
1.一种基于SRIO接口技术的双处理系统网络安全隔离方法,其特征在于:所述双处理系统包括电源(001)、内网处理系统(002)、内网参数配置接口(003)、内网SRIO接口单元(004)、外网SRIO接口单元(005)、外网参数配置接口(006)、外网处理系统(007),所述内网处理系统(002)通过所述内网SRIO接口单元(004)与所述外网SRIO接口单元(005)以及所述外网处理系统(007)相连接,
所述内网处理系统(002)包括内网链路层数据处理模块(102)、内网网络层/传输层数据处理及安全策略控制模块(103)、内网剥离/转换应用数据模块(104)、内网SRIO数据组包及传输方向控制模块(105);
所述外网处理系统(007)包括外网SRIO数据组包及传输方向控制模块(107)、外网剥离/转换应用数据模块(108)、外网网络层/传输层数据处理及安全策略控制模块(109)、外网链路层数据处理模块(110);
所述内网SRIO接口单元(004)包括有内网SRIO通信模块(1061),所述外网SRIO接口单元(005)包括有外网SRIO通信模块(1062),所述内网SRIO通信模块(1061)和所述外网SRIO通信模块(1062)均设置有SRIO逻辑层、读功能层(NREAD)、写功能层(SWRITE)和DOORBELL包;
所述隔离方法包括三种数据传输工作状态,分别为:内网至外网单向安全隔离数据传输工作状态、外网至内网单向安全隔离数据传输工作状态和内网与外网之间的双向安全隔离数据传输工作状态,所述内网处理系统(002)和所述外网处理系统(007)通过所述内网SRIO通信模块(1061)和所述外网SRIO通信模块(1062)进行互联,所述内网SRIO通信模块(1061)的写功能层(SWRITE)、所述外网SRIO通信模块(1062)的读功能层(NREAD)和所述外网处理系统(007)的用于数据传输控制应答的所述DOORBELL包共同组合成为内网到外网的数据单向传输,所述外网SRIO通信模块(1062)的写功能层(SWRITE)、所述内网SRIO通信模块(1061)的读功能层(NREAD)和所述内网处理系统(002)的用于数据传输控制应答的所述DOORBELL包共同组合成为外网到内网的数据单向传输,当所述内网SRIO通信模块(1061)和所述外网SRIO通信模块(1062)的读功能层(NREAD)和写功能层(SWRITE)同时作用时,完成双向独立数据传输,所述内网SRIO通信模块(1061)和所述外网SRIO通信模块(1062)的DOORBELL包用于数据应答以控制返回通道的宽度,阻断网络攻击及网络潜入或网络泄密的途径;
内网至外网单向安全隔离数据传输工作状态的具体步骤为:
a.通过所述内网参数配置接口(003)的参数配置模块(101)生成网络数据的通信规则,包含链路层所限制的MAC地址、协议,网络层所开放的服务端口、目的IP地址、源IP地址、协议,应用层所支持的应用协议策略;
b.所述内网链路层数据处理模块(102)根据MAC地址、协议的策略进行数据过滤后递交所述内网网络层/传输层数据处理及安全策略控制模块(103),其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述内网剥离/转换应用数据模块(104);
c.所述内网剥离/转换应用数据模块(104)支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述内网SRIO数据组包及传输方向控制模块(105);
d.所述内网SRIO数据组包及传输方向控制模块(105)根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块(1061)的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网SRIO数据组包及传输方向控制模块(107);
e.所述外网SRIO数据组包及传输方向控制模块(107)根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块(1062)的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网剥离/转换应用数据模块(108);
f.经所述外网剥离/转换应用数据模块(108)检查之后通过所述外网网络层/传输层数据处理及安全策略控制模块(109),符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述外网链路层数据处理模块(110)与外网进行通信;
外网至内网单向安全隔离数据传输工作状态的具体步骤为:
g.通过所述外网参数配置接口(006)的参数配置模块(101)生成网络数据的通信规则,包含链路层所限制的MAC地址、协议,网络层所开放的服务端口、目的IP地址、源IP地址、协议,应用层所支持的应用协议策略;
h.所述外网链路层数据处理模块(110)根据MAC地址、协议的策略进行数据过滤后递交所述外网网络层/传输层数据处理及安全策略控制模块(109),其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述外网剥离/转换应用数据模块(108);
i.所述外网剥离/转换应用数据模块(108)支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述外网SRIO数据组包及传输方向控制模块(107);
j.所述外网SRIO数据组包及传输方向控制模块(107)根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块(1062)的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网SRIO数据组包及传输方向控制模块(105);
k.所述内网SRIO数据组包及传输方向控制模块(105)根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块(1061)的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网剥离/转换应用数据模块(104);
l.经所述内网剥离/转换应用数据模块(104)检查之后通过所述内网网络层/传输层数据处理及安全策略控制模块(103),符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述内网链路层数据处理模块(102)与内网进行通信;
内网与外网之间的双向安全隔离数据传输工作状态的具体步骤为:
m.通过所述内网参数配置接口(003)和所述外网参数配置接口(006)的参数配置模块(101)生成网络数据的通信规则,包含链路层所限制的MAC地址、协议,网络层所开放的服务端口、目的IP地址、源IP地址、协议,应用层所支持的应用协议策略;
n.所述内网链路层数据处理模块(102)根据MAC地址、协议的策略进行数据过滤后递交所述内网网络层/传输层数据处理及安全策略控制模块(103),其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述内网剥离/转换应用数据模块(104);同时,所述外网链路层数据处理模块(110)根据MAC地址、协议的策略进行数据过滤后递交所述外网网络层/传输层数据处理及安全策略控制模块(109),其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述外网剥离/转换应用数据模块(108);
o.所述内网剥离/转换应用数据模块(104)支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述内网SRIO数据组包及传输方向控制模块(105);同时,所述外网剥离/转换应用数据模块(108)支持对TCP/UDP进行完整数据卸载处理,并根据应用协议格式检查策略对应用数据进行检查,只有通过检查的应用数据才能打包并递交到所述外网SRIO数据组包及传输方向控制模块(107);
p.所述内网SRIO数据组包及传输方向控制模块(105)根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块(1061)的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网SRIO数据组包及传输方向控制模块(107);同时,所述外网SRIO数据组包及传输方向控制模块(107)根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块(1062)的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网SRIO数据组包及传输方向控制模块(105);
q. 所述外网SRIO数据组包及传输方向控制模块(107)根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况,并对所述外网SRIO通信模块(1062)的SRIO逻辑层进行传输方向控制,然后将数据传输到所述外网剥离/转换应用数据模块(108);同时,所述内网SRIO数据组包及传输方向控制模块(105)根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况,并对所述内网SRIO通信模块(1061)的SRIO逻辑层进行传输方向控制,然后将数据传输到所述内网剥离/转换应用数据模块(104);
r.经所述外网剥离/转换应用数据模块(108)检查之后通过所述外网网络层/传输层数据处理及安全策略控制模块(109),符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述外网链路层数据处理模块(110)与外网进行通信;同时,经所述内网剥离/转换应用数据模块(104)检查之后通过所述内网网络层/传输层数据处理及安全策略控制模块(103),符合通信规则的应用数据在此重新进行网络协议组织,网络报文经所述内网链路层数据处理模块(102)与内网进行通信。
2.根据权利要求1所述的一种基于SRIO接口技术的双处理系统网络安全隔离方法,其特征在于:所述内网参数配置接口(003)和所述外网参数配置接口(006)与参数配置计算机(201)相连接,输入参数时,参数输入可连接至所述内网参数配置接口(003)或所述外网参数配置接口(006);或连接至所述内网参数配置接口(003)再由内网处理系统单向传输到外网处理系统。
3.根据权利要求2所述的一种基于SRIO接口技术的双处理系统网络安全隔离方法,其特征在于:所述内网SRIO接口单元(004)及所述外网SRIO接口单元(005)可由CPU内置或外置的SRIO芯片提供,也可由FPGA芯片及相关外设通过逻辑实现的方式提供。
4.根据权利要求1所述的一种基于SRIO接口技术的双处理系统网络安全隔离方法,其特征在于:所述内网处理系统(002)及所述外网处理系统(007)内均设置有CPU、内存、存储元件、数据总线及网络接口,所述内网处理系统(002)内的网络接口为内网网络接口,所述外网处理系统(007)内的网络接口为外网网络接口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711204450.2A CN108055244B (zh) | 2017-11-27 | 2017-11-27 | 一种基于srio接口技术的双处理系统网络安全隔离方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711204450.2A CN108055244B (zh) | 2017-11-27 | 2017-11-27 | 一种基于srio接口技术的双处理系统网络安全隔离方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108055244A CN108055244A (zh) | 2018-05-18 |
CN108055244B true CN108055244B (zh) | 2020-09-08 |
Family
ID=62120603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711204450.2A Active CN108055244B (zh) | 2017-11-27 | 2017-11-27 | 一种基于srio接口技术的双处理系统网络安全隔离方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108055244B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109189716A (zh) * | 2018-08-08 | 2019-01-11 | 西安思丹德信息技术有限公司 | 一种基于fpga的数据传输系统及传输方法 |
CN110730170A (zh) * | 2019-10-10 | 2020-01-24 | 山东超越数控电子股份有限公司 | 一种内外网隔离方法及系统 |
CN112367310B (zh) * | 2020-10-28 | 2022-11-18 | 北京计算机技术及应用研究所 | 一种基于fpga的srio总线加密传输装置 |
CN112822209A (zh) * | 2021-02-02 | 2021-05-18 | 武汉卓尔信息科技有限公司 | 一种单向数据传输的工业网络系统 |
CN113329002B (zh) * | 2021-05-20 | 2022-06-21 | 普天通信有限责任公司 | 一种物联网数据汇聚系统 |
CN115776415B (zh) * | 2023-02-13 | 2023-04-25 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工业协议的网闸设备智能管理系统及方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN2684479Y (zh) * | 2004-03-31 | 2005-03-09 | 南京南瑞集团公司信息系统分公司 | 单向连接网络安全隔离装置 |
CN201226527Y (zh) * | 2008-04-02 | 2009-04-22 | 王浩 | 一种双向usb接口的数据安全网关系统 |
CN202979014U (zh) * | 2012-12-23 | 2013-06-05 | 珠海市鸿瑞软件技术有限公司 | 网络隔离装置 |
US8532100B2 (en) * | 2010-10-19 | 2013-09-10 | Cisco Technology, Inc. | System and method for data exchange in a heterogeneous multiprocessor system |
CN103986736A (zh) * | 2014-06-09 | 2014-08-13 | 中国商用飞机有限责任公司 | 用于网络安保的通信接口及通信方法 |
CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
CN104639898A (zh) * | 2015-01-27 | 2015-05-20 | 上海电控研究所 | 一种基于Rapidio交换网络的多功能业务传输装置 |
CN105045763A (zh) * | 2015-07-14 | 2015-11-11 | 北京航空航天大学 | 一种基于fpga+多核dsp的pd雷达信号处理系统及其并行实现方法 |
CN105282172A (zh) * | 2015-11-09 | 2016-01-27 | 珠海市鸿瑞软件技术有限公司 | 基于硬件数据变换技术的单处理系统及网络安全隔离方法 |
CN106062725A (zh) * | 2014-01-07 | 2016-10-26 | 希拉纳集团有限公司 | 串行通信中的电隔离 |
CN107094137A (zh) * | 2017-04-07 | 2017-08-25 | 山东超越数控电子有限公司 | 一种vpn安全网关 |
-
2017
- 2017-11-27 CN CN201711204450.2A patent/CN108055244B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN2684479Y (zh) * | 2004-03-31 | 2005-03-09 | 南京南瑞集团公司信息系统分公司 | 单向连接网络安全隔离装置 |
CN201226527Y (zh) * | 2008-04-02 | 2009-04-22 | 王浩 | 一种双向usb接口的数据安全网关系统 |
US8532100B2 (en) * | 2010-10-19 | 2013-09-10 | Cisco Technology, Inc. | System and method for data exchange in a heterogeneous multiprocessor system |
CN202979014U (zh) * | 2012-12-23 | 2013-06-05 | 珠海市鸿瑞软件技术有限公司 | 网络隔离装置 |
CN106062725A (zh) * | 2014-01-07 | 2016-10-26 | 希拉纳集团有限公司 | 串行通信中的电隔离 |
CN103986736A (zh) * | 2014-06-09 | 2014-08-13 | 中国商用飞机有限责任公司 | 用于网络安保的通信接口及通信方法 |
CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
CN104639898A (zh) * | 2015-01-27 | 2015-05-20 | 上海电控研究所 | 一种基于Rapidio交换网络的多功能业务传输装置 |
CN105045763A (zh) * | 2015-07-14 | 2015-11-11 | 北京航空航天大学 | 一种基于fpga+多核dsp的pd雷达信号处理系统及其并行实现方法 |
CN105282172A (zh) * | 2015-11-09 | 2016-01-27 | 珠海市鸿瑞软件技术有限公司 | 基于硬件数据变换技术的单处理系统及网络安全隔离方法 |
CN107094137A (zh) * | 2017-04-07 | 2017-08-25 | 山东超越数控电子有限公司 | 一种vpn安全网关 |
Also Published As
Publication number | Publication date |
---|---|
CN108055244A (zh) | 2018-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108055244B (zh) | 一种基于srio接口技术的双处理系统网络安全隔离方法 | |
US11269316B2 (en) | Intelligent controller and sensor network bus, system and method including smart compliant actuator module | |
US10841230B1 (en) | Intelligent controller and sensor network bus, system and method | |
CN106302199B (zh) | 一种基于三层交换机设备的用户态协议栈实现方法及系统 | |
CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
CA3073642C (en) | Hardware-enforced one-way information flow control device | |
US20080310432A1 (en) | Autonegotiation over an interface for which no autonegotiation standard exists | |
US11089140B2 (en) | Intelligent controller and sensor network bus, system and method including generic encapsulation mode | |
US8891546B1 (en) | Protocol splitter | |
CN101277269A (zh) | 实现可靠通信的终端、终端切换方法及系统和适用该系统的方法 | |
CN105847087B (zh) | 非注入式网络侦听装置 | |
WO2004023722A1 (en) | Stacking a plurality of data switches | |
CN117879942A (zh) | 一种跨网数据交换装置及方法 | |
CN105591867B (zh) | Ict融合设备和ict融合方法 | |
US11956160B2 (en) | End-to-end flow control with intermediate media access control security devices | |
CN211183974U (zh) | 基于tcp/ip卸载引擎的量子密钥分发片上系统 | |
WO2021076333A1 (en) | Intelligent controller and sensor network bus, system and method including smart compliant actuator module | |
US7822026B2 (en) | Transit devices and system including a slow protocol filter and methods of transmitting information within a transit device or system using a slow protocol filter | |
WO2021055205A1 (en) | Intelligent controller and sensor network bus, system and method including generic encapsulation mode | |
CN211321352U (zh) | 网闸隔离装置 | |
CN220985682U (zh) | 具有高速数据同步功能的智能网闸 | |
CN115001737B (zh) | 一种基于ZYNQUltrascale+的多速率网络安全防护设备 | |
Shao et al. | S-PFC: Enabling Semi-Lossless RDMA Network with Selective Response to PFC | |
US10523402B1 (en) | Multi-media full duplex packet data splitter | |
KR102010572B1 (ko) | 독립적인 방향전환이 가능한 일방향 자료전달 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |