CN1738253A - 计算机网络连接实时通断控制系统 - Google Patents
计算机网络连接实时通断控制系统 Download PDFInfo
- Publication number
- CN1738253A CN1738253A CNA2005100295028A CN200510029502A CN1738253A CN 1738253 A CN1738253 A CN 1738253A CN A2005100295028 A CNA2005100295028 A CN A2005100295028A CN 200510029502 A CN200510029502 A CN 200510029502A CN 1738253 A CN1738253 A CN 1738253A
- Authority
- CN
- China
- Prior art keywords
- control
- main frame
- circuit
- interface
- control signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Power Sources (AREA)
Abstract
一种信息安全技术领域的计算机网络连接实时通断控制系统,在主机上安装指令解释软件模块作为安全控制中间件,主机通过外围设备接口来控制通断控制单元,通断控制单元包括用于提取控制信号和完成信号电平转换的控制信号提取电路部分、用于给通断控制单元其它部分供电的供电电路部分、用于连接主机或外网并进行电平隔离的两个网络接口电路部分以及作为网络通断控制核心的数字开关电路部分,指令解释软件模块对主机的安全应用程序模块发出的指令进行解释后,在外围设备接口发出控制信号,通断控制单元获得该控制信号后判断是否要接通或断开主机和网络之间的连接。本发明能为联网环境的计算机操作提供一定安全保障。
Description
技术领域
本发明涉及的是一种信息技术领域的系统,具体是一种计算机网络连接实时通断控制系统。
背景技术
随着科技的发展,信息与网络安全问题日益突出。越来越多的用户希望在联网通信的同时能保障计算机系统的安全。尤其是在电子政务等有高强度安全隔离要求的应用环境中,对计算机用户的网络连接控制非常严格。用户不仅希望在计算机受到黑客攻击时能实现自动彻底切断网络连接来保护主机的安全,而在攻击警报解除时又能快速恢复到正常联网状态;还希望在进行安全操作时,如打开机密文件夹时,能彻底断开网络连接防止计算机被入侵的可能性,而在进行一般操作时又能恢复网络的正常连接。当前计算机主机对网络连接的控制方法主要有三种:插拔网线、操作系统暂停网络服务、个人软件防火墙。插拔网线方式主要依靠用户手工操作来进行网络通断的控制,虽然可以在物理层上控制网络的通断,但主要缺点有:反复插拔网线容易使网卡接口接触不良,造成不能正常上网通信;手工插拔网线操作繁琐,不能在电子政务等需要频繁进行网络通断切换的环境中应用。
暂停网络服务方式主要是通过操作系统提供的停止网络服务的命令(如Windows的“断开网络连接”)来实现断开TCP连接,停止TCP/IP协议栈的功能。其主要缺点有:通断控制处于网络层及以上各层,对于链路层及以下各层的监测和攻击没有防范功能;许多木马和病毒自身附带了对操作系统提供的网络通断服务进行攻击的功能,使得主机受到黑客攻击时或进行特定安全操作时,网络仍处于假切断状态。个人防火墙主要是指安装于单台主机上的防火墙软件,包括如当前Windows操作系统自带的防火墙和另行安装的各种软件防火墙等。个人防火墙的目的是控制主机的网络连接,切断不符合安全策略的网络连接,因此与本技术方案的控制目的最为接近。
经对现有技术的文献检索发现,根据《计算机安全》2005年第5期王永彪,徐凯生的论文“用包过滤技术实现个人防火墙”中的描述,该文“通过介绍如何运用包过滤技术实现个人防火墙,深入地剖析了个人防火墙中所用到的各种技术,并重点介绍了通过微软的NDIS中间驱动程序实现网络封装包,以及驱动程序与应用程序之间的通讯方法。”这种在驱动程序中根据TCP/IP头部信息过滤数据包来实现对网络连接通断控制的方法主要缺点有:1)只能对进出主机的TCP/IP网络逻辑连接进行控制,不能满足电子政务等环境中主机进行特定安全操作时主动彻底断开网络的要求。2)只能对TCP/IP协议栈的连接进行控制,对其他网络协议通过网络接口传输缺乏控制。3)网络连接切断在网络协议栈的高层进行,不能在物理层彻底断开网络进行安全防护。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种在物理层上对计算机的网络连接进行实时通断控制系统,使得用户能够在计算机软件操作中调用安全中间件,进而通过一个在计算机网络接口附加的控制设备实现对网络连接的通断控制。本发明可为联网环境的计算机操作提供一定安全保障。
本发明是通过以下技术方案实现的,本发明包括:指令解释软件模块和通断控制单元。指令解释软件模块安装在主机上,作为安全控制中间件。主机网络接口通过通断控制单元来连接网络。主机通过标准的外围设备接口,如串口和USB接口,来控制通断控制单元。通断控制单元包括控制信号提取电路、供电电路、两个网络接口电路以及数字开关电路。指令解释软件模块对主机的安全应用程序发出的指令进行解释后,在外围设备接口发出控制信号,通断控制单元获得该控制信号后判断是否要接通或断开主机和网络之间的连接,其中供电电路部分负责从主机上取电,并将其供给通断控制单元中的控制信号提取电路、数字开关电路和两个网络接口电路,电平转换电路从主机的外围设备接口提取控制信号,完成电平转换后提供给数字开关,网络接口电路将通断控制单元与主机或外部网络相连,并提供信号的电平隔离,数字开关电路用电平转换电路送来的控制信号来控制两个网络接口电路之间的导通和断开。
所述的指令解释软件模块,是安全应用程序控制通断控制单元所调用的安全控制中间件。用户的各种安全应用程序通过指令解释软件模块提供的接口调用函数发出对网络通断的控制指令,指令解释软件模块解析各条指令的含意,并相对应地在主机的外围设备接口上发出不同的控制信号。
所述的控制信号提取电路,从主机的外围设备接口的众多信号中抽取出可以由主机上的安全应用程序模块直接控制电平幅度的一个可控信号,并将其转换成标准的5V CMOS信号。在采用串口作为主机的外围设备接口时,控制信号提取电路直接提取串口的RTS信号作为控制信号,对电平进行调整后,控制数字开关的导通和断开;采用USB口作为主机的外围设备接口时,控制信号提取电路首先将USB信号转换成串口信号,然后提取其中的RTS信号作为控制信号,对电平进行调整后,进一步控制数字开关的导通和断开。
所述的供电电路,采用主机直接供电方式,采用串口作为主机的外围设备接口时,将DTR端口作为供电端口,在软件上保证该端口保持高电平;采用USB作为主机的外围设备接口时,直接采用USB接口所提供的5V电源供电。
所述的网络接口电路,对外提供RJ45接口供网线接入,对内连接数字开关电路,并通过采用接口变压器连接方式隔离网线上传输数据的信号电平和通断控制单元中的信号电平,保证通断控制单元中的基准电压不会串扰到网络线路中影响通信。
所述的数字开关电路,根据提取出来的并经由电平转换后的控制信号的电压值,来判断是否允许将两个网络接口电路部分导通。数字开关电路选取反应速度微秒级、接入阻抗极小的数字开关芯片,并采用级联方式对传统网线上的8路连线进行通断控制。
本发明的主要优点有:基于物理层电气控制的计算机网络连接通断控制方法可以和不同的安全应用程序相结合,用户以安全中间件的方式方便地调用通断控制指令,实现对主机网络连接通断的自动控制,可以保证网络隔离的彻底性,既满足安全应用高速便利地进行网络通断控制的需求,又能达到阻断时高速、彻底,导通时透明、畅通的效果。
附图说明
图1本发明系统结构框图
图2本发明通断控制单元工作原理图
具体实施方式
如图1所示,本发明包括:主机的安全应用程序模块、指令解释软件模块、外围设备接口、网口、通断控制单元和外网。指令解释软件模块对主机的安全应用程序模块发出的指令进行解释后,在外围设备接口发出控制信号,通断控制单元获得该控制信号后判断是否要接通或断开主机和网络之间的连接。
如图2所示,本发明通断控制单元的工作原理图。其中的供电电路部分负责从主机上取电,并将其供给通断控制单元中的其他模块。电平转换电路从主机的外围设备接口提取控制信号,完成电平转换后提供给数字开关。网络接口电路将通断控制单元与主机或外网相连,并提供信号的电平隔离。数字开关电路用电平转换电路送来的控制信号来控制两个网络接口电路之间的导通和断开。
本发明在计算机主机上安装指令解释软件模块来作为安全控制中间件;主机通过其常用外围设备接口,如串口或者USB接口,来连接通断控制单元。通断控制单元由数字电路完成,通断控制单元包括通断控制单元包括用于提取控制信号和完成信号电平转换的控制信号提取电路部分、用于给通断控制单元其它部分供电的供电电路部分、用于连接主机或外网并进行电平隔离的两个网络接口电路部分以及作为网络通断控制核心的数字开关电路部分。主机和外网分别用网线接入通断控制单元中的不同网络接口。主机根据安全应用的要求,如在受到黑客攻击或是要进行特定安全操作时,将通过调用安全控制中间件发出网络连接断开指令,指令解释软件模块将根据指令改变主机外围设备接口上的信号电平作为控制信号。该控制信号经由通断控制单元的控制信号提取电路,转变成5V CMOS信号来驱动数字开关电路,数字开关立即切换至断开状态,保证两个网络接口之间物理连接的完全断开;同样,主机根据其安全应用要求,如在攻击警报解除时或是在进行一般性业务操作时,调用安全控制中间件发出网络连接导通信号,经由指令解释软件模块、通断控制单元上的控制信号提取电路和数字开关电路使网络连接切换至导通状态,保证两个网络接口之间的正常通信。
以下对本发明的各个部件作详细的说明:
1)指令解释软件模块
为了方便不同的安全应用程序使用本系统,整个计算机网络连接通断控制系统的控制软件部分被设计成一个安全控制中间件形式供各种安全应用程序调用,它称为指令解释软件模块。根据选用的外围设备接口的不同,如串口或USB口,指令解释软件模块是该接口的一个驱动程序,它可以驱动外围设备接口根据需要产生不同的信号电平。指令解释软件模块提供开放的接口调用函数供安全应用程序调用,因此从安全应用程序的角度来看指令解释软件模块为一个安全中间件。指令解释软件模块提供给安全应用程序的接口调用函数为简单的切断或接通网络连接指令。安全应用程序调用该指令后,指令解释软件模块将相对应地在主机外围设备接口上发出不同控制信号驱动通断控制单元。
2)控制信号提取电路
主机外围设备接口的信号并非适合驱动数字电路的5V CMOS信号。控制信号提取电路的主要功能就是从外围设备接口的众多信号中抽取出可以直接控制电平幅度的一个可控信号,并将其转换成标准的5V CMOS信号。根据主机所采用的常用外围设备接口的不同,控制信号提取电路也有所区别:采用串口作为主机的外围设备接口时,控制信号提取电路直接提取了串口的RTS信号作为控制信号,对电平进行调整后控制数字开关的导通和断开;采用USB口作为主机的外围设备接口时,控制信号提取电路首先将USB信号转换成串口信号,然后提取了其中的RTS信号作为控制信号,对电平进行调整后,进一步控制数字开关的导通和断开。
3)供电电路
为了进一步减少通断控制单元的体积和重量,它不采用独立供电的模式,而是采用由主机供电的方式。这也有助于保持主机和通断控制单元之间具有相同的基准电平。供电部分主要要解决从主机的外围设备接口取电的问题。对于不同的外围设备接口,取电方式也有所区别:采用串口作为主机的外围设备接口时,将DTR端口作为供电端口,在软件上保证该端口保持高电平;采用USB作为主机的外围设备接口时,直接采用USB接口所提供的5V电源供电。
4)网络接口电路
网络接口电路负责连接主机网络接口和外部网络,其对外提供RJ45接口供网线接入,对内连接数字开关电路,由数字开关来判决是否将两个网络接口部分相连。同时,网络接口部分采用接口变压器连接方式,保证网线上传输的信号电平和通断控制单元中的信号电平的隔离,避免通断控制单元中的基准电压串扰到网络线路中影响通信。
5)数字开关电路
数字开关电路连接控制信号提取电路部分和两个网络接口电路部分。它根据电平转换后的控制信号的电压值,来判断是否允许将两个网络接口对应电路部分导通。它是通断控制单元的核心部分,由反应速度微秒级、接入阻抗极小的数字开关芯片构成,采用级联方式对传统网线上的8路连线进行通断控制。不仅阻抗干扰小,而且相对于继电器等模拟开关,具有反应速度快,寿命更长,实时高速等优点。
本发明经过串口控制系统和USB口控制系统两个系统原型的具体实施,被证明是可行、稳定的。它既能保证网络阻断时在物理层上进行彻底隔离,又能保证在网络导通时数据传输畅通无误,对传输速率没有任何影响。网络连接断开和接通切换非常迅速,能够很好地满足实时通断的要求。根据主机所采用的外围设备接口的不同,可以有很多不同的应用。实物模型不需要增加供电设备,小巧轻便。该方法在主机上使用非常方便,可以和不同的安全应用程序相结合,能够根据不同安全需求达到自动控制网络连接通断的效果。该方法不仅可以作为单个主机的防护手段,还可以安装在一个局域网的网关上,根据安全策略控制整个内部局域网与外部网络的连接,达到网络整体防护的要求。
Claims (9)
1、一种计算机网络连接实时通断控制系统,包括:通断控制单元,其特征在于,还包括:指令解释软件模块,指令解释软件模块安装在主机上,作为安全控制中间件,主机通过外围设备接口来控制通断控制单元,通断控制单元包括控制信号提取电路、供电电路、两个网络接口电路以及数字开关电路,指令解释软件模块对主机的安全应用程序发出的指令进行解释后,在外围设备接口发出控制信号,通断控制单元获得该控制信号后判断是否要接通或断开主机和网络之间的连接,其中供电电路部分负责从主机上取电,并将其供给通断控制单元中的控制信号提取电路、数字开关电路和两个网络接口电路,电平转换电路从主机的外围设备接口提取控制信号,完成电平转换后提供给数字开关,网络接口电路将通断控制单元与主机或外网相连,并提供信号的电平隔离,数字开关电路用电平转换电路送来的控制信号来控制两个网络接口电路之间的导通和断开。
2、根据权利要求1所述的计算机网络连接实时通断控制系统,其特征是,所述的指令解释软件模块,是安全应用程序控制通断控制单元所调用的安全控制中间件,用户的各种安全应用程序通过指令解释软件模块提供的接口调用函数发出对网络通断的控制指令,指令解释软件模块解析各条指令的含意,并相对应地在主机的外围设备接口上发出不同的控制信号。
3、根据权利要求1所述的计算机网络连接实时通断控制系统,其特征是,所述的控制信号提取电路,从主机的外围设备接口的众多信号中抽取出能由主机上的安全应用程序模块直接控制电平幅度的一个可控信号,并将其转换成标准的5V CMOS信号。
4、根据权利要求1或者3所述的计算机网络连接实时通断控制系统,其特征是,所述的控制信号提取电路,在采用串口作为主机的外围设备接口时,控制信号提取电路直接提取串口的RTS信号作为控制信号,对电平进行调整后,控制数字开关的导通和断开。
5、根据权利要求1或者3所述的计算机网络连接实时通断控制系统,其特征是,所述的控制信号提取电路,采用USB口作为主机的外围设备接口时,控制信号提取电路首先将USB信号转换成串口信号,然后提取其中的RTS信号作为控制信号,对电平进行调整后,进一步控制数字开关的导通和断开。
6、根据权利要求1所述的计算机网络连接实时通断控制系统,其特征是,所述的供电电路,采用主机直接供电方式,当采用串口作为主机的外围设备接口时,将DTR端口作为供电端口,在软件上保证该端口保持高电平。
7、根据权利要求1或者6所述的计算机网络连接实时通断控制系统,其特征是,所述的供电电路,采用主机直接供电方式,当采用USB作为主机的外围设备接口时,直接采用USB接口所提供的5V电源供电。
8、根据权利要求1所述的计算机网络连接实时通断控制系统,其特征是,所述的网络接口电路,对外提供RJ45接口供网线接入,对内连接数字开关电路,并通过采用接口变压器连接方式隔离网线上传输数据的信号电平和通断控制单元中的信号电平,避免通断控制单元中的基准电压串扰到网络线路中影响通信。
9、根据权利要求1所述的计算机网络连接实时通断控制系统,其特征是,所述的数字开关电路,根据提取出来的并经由电平转换后的控制信号的电压值来判断是否允许将两个网络接口电路部分导通,数字开关电路选取反应速度微秒级、接入阻抗极小的数字开关芯片,并采用级联方式对传统网线上的8路连线进行通断控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2005100295028A CN1738253A (zh) | 2005-09-08 | 2005-09-08 | 计算机网络连接实时通断控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2005100295028A CN1738253A (zh) | 2005-09-08 | 2005-09-08 | 计算机网络连接实时通断控制系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1738253A true CN1738253A (zh) | 2006-02-22 |
Family
ID=36080920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005100295028A Pending CN1738253A (zh) | 2005-09-08 | 2005-09-08 | 计算机网络连接实时通断控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1738253A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299760B (zh) * | 2008-05-28 | 2011-07-20 | 北京星网锐捷网络技术有限公司 | 信息安全处理方法与信息安全处理系统、通信设备 |
| CN102917390A (zh) * | 2012-09-21 | 2013-02-06 | 北京创毅讯联科技股份有限公司 | 一种控制lte数据卡的连接状态的方法和系统 |
| CN104954143A (zh) * | 2015-06-29 | 2015-09-30 | 江苏龙芯梦兰信息安全技术有限公司 | 一种新型低成本的网络物理通断控制电路拓扑 |
| CN105847296A (zh) * | 2016-05-19 | 2016-08-10 | 拖洪华 | 一种网络安全隔离装置 |
| CN110378155A (zh) * | 2019-06-25 | 2019-10-25 | 苏州浪潮智能科技有限公司 | 一种服务器串行口禁用保护电路、方法 |
| CN112291233A (zh) * | 2020-10-27 | 2021-01-29 | 中国核动力研究设计院 | 一种用于控制系统信息安全的通信控制装置 |
-
2005
- 2005-09-08 CN CNA2005100295028A patent/CN1738253A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299760B (zh) * | 2008-05-28 | 2011-07-20 | 北京星网锐捷网络技术有限公司 | 信息安全处理方法与信息安全处理系统、通信设备 |
| CN102917390A (zh) * | 2012-09-21 | 2013-02-06 | 北京创毅讯联科技股份有限公司 | 一种控制lte数据卡的连接状态的方法和系统 |
| CN104954143A (zh) * | 2015-06-29 | 2015-09-30 | 江苏龙芯梦兰信息安全技术有限公司 | 一种新型低成本的网络物理通断控制电路拓扑 |
| CN104954143B (zh) * | 2015-06-29 | 2018-10-09 | 江苏龙芯梦兰信息安全技术有限公司 | 一种新型低成本的网络物理通断控制电路拓扑 |
| CN105847296A (zh) * | 2016-05-19 | 2016-08-10 | 拖洪华 | 一种网络安全隔离装置 |
| CN110378155A (zh) * | 2019-06-25 | 2019-10-25 | 苏州浪潮智能科技有限公司 | 一种服务器串行口禁用保护电路、方法 |
| CN110378155B (zh) * | 2019-06-25 | 2021-06-29 | 苏州浪潮智能科技有限公司 | 一种服务器串行口禁用保护电路、方法 |
| CN112291233A (zh) * | 2020-10-27 | 2021-01-29 | 中国核动力研究设计院 | 一种用于控制系统信息安全的通信控制装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1738253A (zh) | 计算机网络连接实时通断控制系统 | |
| CN101645876B (zh) | 一种自动网络切换方法及其系统 | |
| CN1305271C (zh) | 基于代理映射的网络安全隔离与信息交换系统及方法 | |
| CN204089858U (zh) | 一种安全隔离应用层网关 | |
| CN102025483A (zh) | 无线路由器及利用该无线路由器预防恶意扫描的方法 | |
| CN101751368A (zh) | 单板通信方法、系统和装置 | |
| CN103236976B (zh) | 一种pos机wifi与以太网共存的多路由方法 | |
| CN101599889B (zh) | 一种以太网交换设备中防止mac地址欺骗的方法 | |
| CN101252523A (zh) | 报文重定向方法、还原重定向报文特征信息的方法及装置 | |
| RU2002133413A (ru) | Структура драйверов сетевых фильтров и средства оперативного управления ими | |
| JP3689682B2 (ja) | ネットワークから遮断できるインターフェース装置 | |
| CN108600170A (zh) | 一种控制多网段环境下网络设备上网行为的方法及系统 | |
| JP2003152806A (ja) | 通信路のスイッチ接続制御システム | |
| CN1967642A (zh) | Led显示屏及其供电系统 | |
| CN2785015Y (zh) | 基于nc系统的网络安全系统 | |
| CN201752118U (zh) | 一种多线路自动切换路由器 | |
| CN101340315B (zh) | 一种端到端以太网保护方法及采用该方法的通信装置 | |
| CN101414951A (zh) | 一种t-mpls隧道下行处理的改进方法 | |
| KR101349939B1 (ko) | 변전소 자동화 시스템용 프로토콜 변환장치 | |
| CN106972953A (zh) | 通信处理方法及装置 | |
| CN2790053Y (zh) | 混合型网络隔离系统 | |
| CN1324867C (zh) | 集成防火墙的路由交换机 | |
| CN1312882C (zh) | 以太网接口设备中用于双工链路的装置和方法 | |
| CN1855838A (zh) | 一种接口倒换方法 | |
| CN101420373B (zh) | 一种实现两种网络分组切换的方法及网络装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |