CN109660565A - 一种隔离网闸设备和实现方法 - Google Patents
一种隔离网闸设备和实现方法 Download PDFInfo
- Publication number
- CN109660565A CN109660565A CN201910123600.XA CN201910123600A CN109660565A CN 109660565 A CN109660565 A CN 109660565A CN 201910123600 A CN201910123600 A CN 201910123600A CN 109660565 A CN109660565 A CN 109660565A
- Authority
- CN
- China
- Prior art keywords
- data
- host
- network
- transmission card
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种隔离网闸设备和实现方法,可解决现有网络之间存在网络攻击、病毒泛滥、非授权访问、信息泄密等不安全的技术问题。包括两台网络主机,主机A和主机B,网络主机设置数据传输卡,即主机A上设置传输卡A,主机B上设置传输卡B;还包括两个网络系统,网络A和网络B;主机A与网络A连接,主机B与网络B连接;数据传输卡通过PCI‑E总线与网络主机交换数据,每个数据传输卡有M个连接器端口,M≥2;传输卡A和传输卡B之间分别设置连接器,所述连接器通过高速电缆连接。本发明的数据加密安全网闸,通过WEB软件进行系统配置,可设置数据交换的策略、应用场景以及相关认证、审计等功能,具有很高的实用性、高效性和安全性。
Description
技术领域
本发明涉及内外网络安全隔离的技术领域,具体涉及一种隔离网闸设备和实现方法。
背景技术
随着网络技术的不断应用和完善,Internet与社会各方面的结合越来越紧密,企业办公、电子商务、政务公开化、各单位信息化建设等一系列网络应用蓬勃发展。人们在享受互联网丰富、便捷的同时,也日益感受到各类安全威胁正在飞速增长,频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题极大地困扰着用户,给信息网络和核心业务造成严重的破坏。为了解决这样的矛盾,人们通过隔离网闸这样的设备对两个网络系统进行隔离。通常情况下,此类隔离网闸安装在两个不同功能的网络之间,将两个网络进行逻辑隔离,即使某个网络出现问题,不会导致灾害蔓延,同时让两个网络之间无法通过标准的TCP/IP协议互相访问,起到保护网络安全的作用。
SMPTE-424M/2081/2082接口协议标准(数字分量串行接口)是一种应用于广播电视领域实时传输HD/UHD音视频信号的国际标准,其中424M/2081/2082分别支持3Gbps,6Gbps,12Gbps的带宽。SMPTE-424M/2081/2082接口协议标准是为建立实时音视频数据传输而设计的,这类标准为单向传输,不像计算机网络那样使用握手协议,本方法通过串行口配合高速数据交换实现双向数据的控制和校验,从而实现高速、恒定和安全的数据隔离交换。
发明内容
本发明提出的一种隔离网闸设备和实现方法,可解决现有网络之间存在网络攻击、病毒泛滥、非授权访问、信息泄密等不安全的技术问题。
为实现上述目的,本发明采用了以下技术方案:
一种隔离网闸设备和实现方法,包括:
由两台网络主机(以下分别简称为主机A,主机B)和两块数据传输卡(以下分别简称为传输卡A,传输卡B)组成,数据传输卡通过PCI-E总线与主机交换数据,每个数据传输卡有多个连接器端口,两块数据传输卡之间的连接器通过高速电缆连接,两台主机通过千兆和万兆网口分别与两个网络系统相连(以下分别称为网络A,网络B)。
数据传输卡的数据端口可通过主机中的软件设置为数据发送或数据接收功能,在系统运行过程中可动态改变数据传输方向,此时需要两个接口成对修改。
网络主机A要传输的数据,通过主机中的软件按照类似YUV格式编码打包,并且特定算法计算出数据包的校验数据,将控制数据、原始数据和校验数据组成完整的数据包,发送到传输卡A,传输卡A中的FPGA将这些数据包用SMPTE-424M/2081/2082标准(选用那种标准由主机的软件根据设备的型号指定)将数据包编码,然后通过转换电路将并行数据转换为串行化数据,通过高速电缆传输到传输卡B,同时通过串口将控制数据和校验数据同步传输到主机B的串行口。传输卡B将接收到的串行数据转化成并行数据通过PCI-E总线传给主机B,主机B将接收到的数据包采用相同算法重新计算校验数据,主机B将传输卡B接收到校验数据,重新计算的校验数据以及串口接收到的校验数据进行比对,若三者相符,该数据包为有效的数据包,若不相符,主机B通过串口发送对应指令通知主机A重新传输上述数据包,从网络B数据传输到网络A原理同上。由于两台网络主机之间有多条数据链路,每条数据链路的传输方向都可通过软件设定,故可实现网络A,网络B之间互相传输数据。
由于隔离网闸的两台主机有多个数据链路,每个链路的传输方向都是可改变的,故该隔离网闸可根据网络A和网络B之间数据交换的任务负载动态调整传输带宽。
本发明的数据加密安全网闸,通过WEB软件进行系统配置,可设置数据交换的策略、应用场景以及相关认证、审计等功能。
由上述技术方案可知,本发明在数据链路层断开内、外网,实现内、外网隔离,利用访问列表进行访问控制,只允许指定的源、目的地址和端口号的基于TCP协议或UDP协议的数据包按照指定的方向进行数据传输。本发明数据加密安全网闸的软件采用模块化设计,具有可选的数据加密模块,通过定制硬件,可选择明文、私有加密算法、国家密码局认定的国产密码算法的不同数据加密方式,适应不同数据加密强度与系统开销需求,具有良好的适用性和可扩展性。同时本发明具有很高的实用性、高效性和安全性。
附图说明
图1是本发明的结构示意图;
图2是本发明的功能流程图;
图3是本发明实施例步骤S1传输数据的编码格式示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
如图1所示,本实施例所述的隔离网闸设备和实现方法,所述隔离网闸设备基于SMPTE-424M/2081/2082接口协议标准,包括:
隔离网闸分为两部分:网络A处理机(以下简称主机A)和网络B处理机(以下简称主机B),每台机器上有光纤网口/以太网口若干个、基于PCI-E总线的FPGA数据编码和转换电路、COM收发端口(主机A上为COM A和主机B上为COM B);
上述的PCI-E总线电路包含FPGA数据编码电路、转换电路和PCI-E接口,主机A中的PCI-E控制电路我们简称传输卡A,主机B中的PCI-E控制电路我们简称传输卡B;
主要实现步骤如下:
S1、主机A将要传输的数据,按照类似YUV格式编码打包,并且计算出数据包的校验数据;
其中,本实施例编码格式如图3所示;本实施例计算出数据包的校验数据采用算法MD5(Message-Digest Algorithm)实现。
S2、将S1中编码打包好的原始数据、控制数据以及计算出的校验数据通过PCI-E总线发送到传输卡A中;
S3、传输卡A中的FPGA电路将这些数据包用SMPTE-424M/2081/2082标准将数据编码打包,通过转换电路将并行数据转换为串行数据,通过高速电缆传输到传输卡B;
同时地,COM A把控制数据和校验数据传输到COM B口(称此时COMB口收到的校验数据为“校验数据2”);
S4、传输卡B把收到的串行数据通过转换电路转化成并行数据,FPGA将编码数据还原成原始数据,通过PCI-E总线传输给主机B;
S5、主机B根据和步骤S2中同样的算法计算出校验数据(称此时的校验数据为“校验数据1”);
S6、对比上述步骤中的“校验数据1”和“校验数据2”;
若上述两个校验数据一致,则认为该数据包有效;
若不一致,则主机B通过串口发送对应指令通知主机A重新传输上述数据包;
从网络B传输数据到网络A的步骤同上;
由于SMPTE协会不定期更新协议的最新版本,因此本发明所保护的应该含有SMPTE-424M/2081/2082协议的升级版本。
综上可知,由于本发明实施例的隔离网闸安装在两个计算机网络之间,可以实现硬件对链路层的隔断,安全管理模块和人工审计管理模块的设置,可以使各应用模块在两个计算机系统上运行着身份认证、访问控制、内容检查、入侵检测以及硬件隔离与数据传输驱动软件,实现对用户和信息的认证、控制、检查,使安全隔离网闸所连接的两个信息网络之间能够进行安全、适度的信息交换,从一个网络向另一个网络发送的敏感信息和有害信息可以得到有效的控制。其人工审计管理模块的设置,可以进行人为的信息确认、保密检查等工作,充分保证了信息传递的准确性和可靠性,这种在断开链路层的基础上进行的网络之间的信息交换方式,可以广泛应用于数据库交换、文件交换、特定信息交换等领域,适合于广播电视、教育机构及证券等对安全性要求很强,对数据交换带宽要求高的行业和部门。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (4)
1.一种隔离网闸设备,其特征在于:包括两台网络主机,主机A和主机B,网络主机设置数据传输卡,即主机A上设置传输卡A,主机B上设置传输卡B;
还包括两个网络系统,网络A和网络B;主机A与网络A连接,主机B与网络B连接;
其中,所述数据传输卡通过PCI-E总线与网络主机交换数据,每个数据传输卡有M个连接器端口,M≥2;
所述传输卡A和传输卡B之间分别设置连接器,所述连接器通过高速电缆连接。
2.根据权利要求1所述隔离网闸设备,其特征在于:网络主机分别通过千兆或万兆网口与网络系统相连接。
3.根据权利要求2所述的隔离网闸设备,其特征在于:所述PCI-E总线包含FPGA数据编码电路、转换电路和PCI-E接口。
4.根据权利要求1-3任意一项所述的隔离网闸设备的实现方法,其特征在于:包括以下步骤:
S100、主机A将要传输的数据,按照指定格式编码打包,并且计算出数据包的校验数据;
S200、将步骤S100中打包好的原始数据、控制数据以及计算出的校验数据通过PCI-E总线发送到传输卡A中;
S300、所述传输卡A中的FPGA电路将上述数据包用SMPTE-424M/2081/2082标准将数据编码再打包,通过转换电路将并行数据转换为串行数据,通过高速电缆传输到传输卡B中;
同时,主机A上的COM收发端口COM A把控制数据和校验数据传输到主机B上的COM收发端口COM B口,此时COM B口收到的校验数据为校验数据二;
S400、传输卡B把收到的串行数据通过转换电路转化成并行数据,FPGA数据编码电路将编码数据还原成原始数据,通过PCI-E总线传输给主机B;
S500、主机B计算出校验数据,此时的校验数据为校验数据一;
S600、对比校验数据一和校验数据二;
若上述两个校验数据一致,则认为该数据包有效;
若上述两个校验数据不一致,则主机B通过串口发送对应指令通知主机A重新传输上述数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910123600.XA CN109660565A (zh) | 2019-02-18 | 2019-02-18 | 一种隔离网闸设备和实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910123600.XA CN109660565A (zh) | 2019-02-18 | 2019-02-18 | 一种隔离网闸设备和实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109660565A true CN109660565A (zh) | 2019-04-19 |
Family
ID=66123178
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910123600.XA Pending CN109660565A (zh) | 2019-02-18 | 2019-02-18 | 一种隔离网闸设备和实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109660565A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111726344A (zh) * | 2020-06-12 | 2020-09-29 | 安徽云中联讯科技有限公司 | 一种多串口安全网闸调度算法 |
CN111935112A (zh) * | 2020-07-29 | 2020-11-13 | 深圳市安车检测股份有限公司 | 一种基于串行的跨网数据安全摆渡设备和方法 |
CN112422550A (zh) * | 2020-11-16 | 2021-02-26 | 成都卓元科技有限公司 | 一种基于视频传输板卡的网络安全传输系统 |
CN112787974A (zh) * | 2019-11-05 | 2021-05-11 | 杭州海康威视数字技术股份有限公司 | 一种网关、数据传输方法及电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN2588677Y (zh) * | 2002-12-10 | 2003-11-26 | 北京天行网安信息技术有限责任公司 | 安全隔离网闸 |
CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
CN107920091A (zh) * | 2017-12-29 | 2018-04-17 | 智德益康医疗科技(深圳)有限公司 | 双主机系统内外物理隔离系统 |
-
2019
- 2019-02-18 CN CN201910123600.XA patent/CN109660565A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN2588677Y (zh) * | 2002-12-10 | 2003-11-26 | 北京天行网安信息技术有限责任公司 | 安全隔离网闸 |
CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
CN107920091A (zh) * | 2017-12-29 | 2018-04-17 | 智德益康医疗科技(深圳)有限公司 | 双主机系统内外物理隔离系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112787974A (zh) * | 2019-11-05 | 2021-05-11 | 杭州海康威视数字技术股份有限公司 | 一种网关、数据传输方法及电子设备 |
CN112787974B (zh) * | 2019-11-05 | 2024-01-02 | 杭州海康威视数字技术股份有限公司 | 一种网关、数据传输方法及电子设备 |
CN111726344A (zh) * | 2020-06-12 | 2020-09-29 | 安徽云中联讯科技有限公司 | 一种多串口安全网闸调度算法 |
CN111935112A (zh) * | 2020-07-29 | 2020-11-13 | 深圳市安车检测股份有限公司 | 一种基于串行的跨网数据安全摆渡设备和方法 |
CN111935112B (zh) * | 2020-07-29 | 2024-02-23 | 深圳市安车检测股份有限公司 | 一种基于串行的跨网数据安全摆渡设备和方法 |
CN112422550A (zh) * | 2020-11-16 | 2021-02-26 | 成都卓元科技有限公司 | 一种基于视频传输板卡的网络安全传输系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109660565A (zh) | 一种隔离网闸设备和实现方法 | |
AU2015270231B2 (en) | Secured network bridge | |
CN106789015B (zh) | 一种智能配电网通信安全系统 | |
CN110233868A (zh) | 一种基于Fabric的边缘计算数据安全与隐私保护方法 | |
Usmonov et al. | The cybersecurity in development of IoT embedded technologies | |
CN101911639A (zh) | 保护双向通信信道的方法及实现该方法的装置 | |
US11637702B2 (en) | Verifiable computation for cross-domain information sharing | |
Mishra et al. | Software defined internet of things security: properties, state of the art, and future research | |
US10998975B2 (en) | Hardware-enforced one-way information flow control device | |
CN110198297A (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
CN110417739A (zh) | 一种基于区块链技术的安全的网络带内测量方法 | |
KR20220125251A (ko) | 네트워크 인프라구조들을 위한 프로그래밍가능 스위칭 디바이스 | |
US20130166677A1 (en) | Role-based access control method and apparatus in distribution system | |
CN209419652U (zh) | 一种隔离网闸设备 | |
Zhang et al. | Short Paper:'A peer to peer security protocol for the internet of things': Secure communication for the sensiblethings platform | |
US11595410B2 (en) | Fragmented cross-domain solution | |
Cheng et al. | Cooperative Detection Method for DDoS Attacks Based on Blockchain. | |
CN100364305C (zh) | 工业控制网络的信息安全方法及安全功能块 | |
CN212463237U (zh) | 一种基于区块链进行物联网访问控制的网关 | |
Kent | Protocol design considerations for network security | |
Rahman et al. | Man in the Middle Attack Prevention for edg-fog, mutual authentication scheme | |
US20240056824A1 (en) | Method in a telecommunication network, and computer system | |
CN117411649A (zh) | 基于区块链的数据检测方法、装置、设备、介质及程序 | |
Hirschler et al. | Secure Deterministic L2/L3 Ethernet Networking for Integrated Architectures | |
Freeman | Immutable Secure Data Exchange and Storage for UAM Environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |