CN2684479Y - 单向连接网络安全隔离装置 - Google Patents
单向连接网络安全隔离装置 Download PDFInfo
- Publication number
- CN2684479Y CN2684479Y CN 200420025888 CN200420025888U CN2684479Y CN 2684479 Y CN2684479 Y CN 2684479Y CN 200420025888 CN200420025888 CN 200420025888 CN 200420025888 U CN200420025888 U CN 200420025888U CN 2684479 Y CN2684479 Y CN 2684479Y
- Authority
- CN
- China
- Prior art keywords
- network
- fifo
- data
- motherboard
- fifo chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型涉及一种网络安全隔离装置,属于计算机网络安全隔离技术领域。该装置包括连接内网的第一网络接口,连接外网的第二网络接口,两块主机板,还包括连接在两块主机板之间的第一和第二两片高速FIFO芯片,第一FIFO芯片用以控制由内网向外网的数据通讯,第二FIFO芯片用以控制由外网向内网的数据通讯,并设置为所需字节深度,用以控制反向数据包的字节数。本实用新型传输速度高,稳定性好,适用于政府机构、金融保险、军队警察、电力电讯及企业网络等需要更高安全级别的网络。
Description
技术领域
本实用新型涉及一种网络安全隔离装置,可以用在任何需要保障内部网络信息安全、免受外部黑客攻击的网络出口连接处,属于计算机网络安全隔离技术领域。
背景技术
随着我国信息化技术的飞速发展,特别是电子商务、电子政务、金融电子化的不断普及,信息安全作为“海、陆、空”之外的“第四国防”,已经被我国政府提高到国家战略发展的层次上,同时也得到社会各界的广泛关注。国家保密部门以及其他有关主管部门规定,涉密网及国家重大基础设施网络必须与公网物理隔离,以确保这些重要网络的安全,免受黑客攻击。但是,有些内网又必须与公网实时地交换信息和数据,为了解决这一矛盾,需要研究开发专用的物理隔离产品。
据申请人了解,目前实现内外网隔离的主要技术方案有:
1、基于主机的隔离产品:基于主机的物理隔离产品符合国家对内、外网物理隔离的要求,其不同网络之间的信息交换将完全依赖手工操作的方式,以磁盘等为中间介质进行。这种信息交换方式实时性差、效率很低,往往会造成信息传递的阻塞。同时,这种方式对所传递的数据的合法性、安全性没有可靠的技术措施保障,人为因素造成失误的可能性极大,仍然存在网络安全隐患。
2、基于软件策略的协议隔离:这类产品主要通过串口、并口、USB、1394甚至标准网卡等方式实现“软隔离“,这些方式通常通过软件编码在原有通用协议上作了分析检测和重组转化。这种信息交换方式在安全性方面缺乏物理层面的保障,一些链路层协议如PPP和SLIP协议等有可能穿过隔离,软件编码也存在漏洞被利用攻击的可能性。
3、基于防火墙的逻辑隔离:目前网络安全市场上,比较常用的安全架构是以防火墙为核心的安全体系架构,通过防火墙来实现内外网络的安全隔离。防火墙要保证服务,必须开放相应的端口。对开放的端口进行攻击,防火墙无法禁止;利用开放服务流入的数据来攻击,防火墙无法防止;利用开放服务的数据隐蔽隧道进行攻击,防火墙无法防止。
检索发现,申请号为02282484、申请日为2002年11月04日的中国专利公开了一种网络安全物理隔离设备,该设备包括一用以连接内网服务器的第一网络接口A、一用以连接外网服务器的第二网络接口B及两块单片机主板Ma、Mb和一块可控连接的双口内存R;单片机主板Ma控制第一网络接口A和双口内存R之间的数据通信,单片机主板Mb控制第二网络接口B和双口内存R之间的数据通信。通过设置连接不可信CPU的双口内存为可读状态,设置连接可信CPU的双口内存为可写状态,即使强行攻击了网络安全物理隔离设备,由于连接不可信CPU的双口内存只能读取数据而不能写入数据,保证了内外网络之间的物理隔离状态,攻击无法进入内网;有效防止针对网络层和操作系统层的攻击;同时提供网络间安全实时的数据交换。
发明内容
本实用新型的要解决的技术问题是:针对以上现有技术,提出一种传输速度更快、稳定性更好的单向连接网络安全隔离装置。
为了解决以上技术问题,本实用新型的单向连接网络安全隔离装置包括连接内网的第一网络接口(ia),连接外网的第二网络接口(ib),两块主机板(ma、mb),还包括连接在两块主机板(ma、mb)之间的第一和第二两片高速FIFO芯片(fa、fb)。所述第一FIFO芯片(fa)用以控制由内网向外网的数据通讯,所述第二FIFO芯片(fb)用以控制由外网向内网的数据通讯,所述第二FIFO芯片(fb)设置为所需字节深度,用以控制反向数据包的字节数。
本实用新型的优点是:
1.隔离设备的操作系统采用专用的安全操作系统,除了对内核进行安全加固和最小化服务外,取消TCP/IP协议栈,设备没有IP地址,隐藏MAC地址,有效防止针对隔离设备的攻击;
2.采用高速数据传输芯片,在保证内外网隔离的前提下,高速实时的进行数据交换;
3.单向数据传输,外网数据采用硬件编程控制隔离装置传输字节数,防止外网恶意攻击;
4.支持透明接入,无需改变现有的网络拓扑结构,可以直接连接内外网交换机、路由器、集线器或者直接和服务器连接;
5.支持双电源,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间;
6.支持双机热备和负载均衡,提高传输的工作效率和可靠性。
本实用新型适用于政府机构、金融保险、军队警察、电力电讯及企业网络等需要更高安全级别的网络。
附图说明
下面结合附图对本实用新型作进一步的说明。
图1为本实用新型一个实施例的原理方框图。
图2为图1实施例的数据摆渡原理框图。
图3为图1实施例的控制数据单向传输的工作原理框图。
图4为图1实施例的控制反向传输数据字节数工作原理框图。
图5为图1实施例的高速传输芯片Fifo具体电路原理图。
图6为图1实施例的处理器芯片具体电路原理图。
具体实施方式
实施例一
如图1所示,本实施例单向型网络安全隔离设备包括用以连接内网的第一网络接口ia,用以连接外网的第二网络接口ib,以及两块Risc体系结构的嵌入式主机板ma、mb,两片高速FIFO传输芯片。
两块Risc体系结构主机板均使用摩托罗拉公司MPC 8241处理器芯片,有D0-D31 32位数据线,有A0-A31 32位地址线,该处理器芯片有5个外部中断源,有4个BANK的外部片选,用来扩展外设(参见图6)。
高速FIFO芯片采用FQV273-10,芯片负责数据的发送和接收。D0-D15是数据线,连接左、右侧主板的CPU相对应的数据管脚。FIFO的访问只需一个口地址,其只有一个片选CS,它没有地址线,不需要直接与CPU地址线相连。FIFO的片选由CPU的片选CS3及一些相对应的地址线在CPLD(Complex Programmable Logic Dvice)中组合成FIFO的CS片选。FIFO片选CS在CPLD中形成,可以方便地改动其口地址(参见图5)。右侧主板与左侧一致。通过对高速FIFO芯片片选管脚高低电平信号的控制,来控制对FIFO芯片的读写操作。
数据摆渡是通过硬件对FIFO的读写信号进行控制来实现的。在写端,FIFO的写使能端通过一个三态门,当该三态门的使能端有效时(低电平),写使能信号可以无阻碍地通过,当该三态门使能端无效时,写使能信号不能通过,三态门的输出处于高阻状态,因此,该三态门相当于一个开关;同样,在FIFO的读端,存在同样的一个三态门开关对FIFO的读使能信号进行控制,如图2所示。
在初始状态下,FIFO处于空状态,此时,写使能开关处于常通状态,而读使能开关处于断状态。此时,数据可以写入FIFO,当FIFO内的数据达到一个数据包,即2K时,产生一个2K数据中断,该中断被送到写使能开关的控制端,译码后使得写使能开关的使能端处于高电平,开关输出高阻态,写开关断开,不能再写入数据;同时,该中断还会送到读使能开关,译码后使读使能开关的控制端为0,读使能开关闭合,此时,CPU2可以读出FIFO内的数据。
当数据被读空时,FIFO会产生一个空中断,该中断被送到写使能开关的控制端,译码后使得写使能开关的使能端处于低电平,写开关闭合,可以再次写入数据;同时,该中断还会送到读使能开关,译码后使读使能开关的控制端为1,读使能开关断开,此时,CPU2不可以读出FIFO内的数据。因此,这种设计可以使得FIFO不能同时进行读、写两种操作,达到数据摆渡的功能。
单向数据传输工作原理如附图3所示,从内网向外网传输的数据由FIFO芯片fa控制。数据的写操作主要受控于写信号线/WCLK,在/WCLK的上升沿FIFO把数据总线DB上的数据锁存于FIFO。而FIFO的/WCLK输入是由CPU的写信号、FIFO的口地址一起译码产生。为了实现单向传输出功能,把这个写信号经一个三态门U1传给FIFO。当开关SW断开时,U1的受控端为低电平,因此,/WR信号可以直通到FIFO的/WCLK端,当SW闭合时,三态门的受控端为高电平,此时,三态门输出高阻态,/WR与FIFO的/WCLK端断开,此时,CPU的数据不能够送入到FIFO中,因此,这个方向的FIFO传输是断开的。
反向控制数据字节数的工作原理如附图4所示,选用的FIFO芯片有两个重要的中断线:空中断(FIFO中无数据时)、几乎空中断(AF,FIFO中有一定量的数据时),其中AF的深度是可编程的,其编程方法采用上电时组合几个引脚步的状态。在这里,设定编程其为16个字节深度。当一次写入的数据到达16个字节时,会产生一个AF中断,这个中断被送到一个D触发器,此时触发器的输出为高电平,FIFO的写操作会暂时禁止,如果此时写的是大于16个字节的数据,则其16字节后的数据溢出,被硬件丢弃;只有当FIFO的另一端把FIFO中的数据读出后,FIFO会产生一个空中断,这个中断把D触发器清除,也即三态门再次打开,因此,下一个16字节的数据包可以再次被写入。一个大于16字节的数据被写入时,只有前16个字节可以被写入到FIFO中,其余的字节被丢弃,因而该数据是不完整的,隔离装置的底层硬件驱动程序里面有数据性完整分析功能,也就是说,传进来的前16个字节数节最后也被驱动程序所丢弃。
本实施例单向连接网络安全隔离设备采用硬件控制数据流的传输方向,采用软件的方式实现数据的综合过滤,保证内外网安全实时的数据交换。
本实施例单向型网络安全隔离设备采用的软件流程如下:
①首先通过图形化的配置界面设定安全策略(即容许什么样的数据包通过物理隔离设备),隔离设备默认拒绝所有数据包通过;
②将配置策略导入到隔离装置的安全存储区并加密;
③隔离设备内网网络接口收到一个数据,对数据报文中的源IP地址、目的IP地址、源服务器硬件地址、目的端口进行检查,判断是否匹配安全策略,如果匹配,剥离数据报文中的TCP/IP头,将内网的纯数据通过单向数据通道FIFO发送到隔离设备的外网端,外网端执行数据内容有效性检查,然后再进行一次数据包的重新组合,发送到外网中去;
④隔离设备的外网网络接口收到一个数据,首先对数据进行检查,判断报文大小是否满足高速传输芯片硬件设定的大小,如果满足再进行综合报文过滤(原理同3)和数据包重组,然后将数据发送到内网。
⑤如果对数据包的检查不符合任何一条安全策略或从外网的数据包大小不满足芯片硬件设定的大小,将直接丢弃这个数据包。
总之,本实施例的单向型网络安全隔离设备以下特点:由两个高性能嵌入式微机及辅助装置形成安全隔离系统,嵌入式微处理器采用RISC体系结构,减少受攻击的概率;实现两个安全区之间的非网络方式的数据交换,并且采用硬件安全算法保证安全隔离装置内外两个处理系统不同时连通;物理上控制反向fifo芯片的深度为16个字节,保证丛外网到内网的TCP应答禁止携带应用数据,大大增强了内网系统的安全性,在物理上实现了数据流的纯单向传输,数据只能从内网流向外网;安全隔离装置采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将内网的纯数据通过单向数据通道FIFO发送到外网,同时只允许外网应用层不带任何数据的TCP包的控制信息传输到内网;采用综合过滤技术,在链路层截获数据包,根据用户的安全策略决定如何处理该数据包;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明、安全、高效的隔离装置。主板上有一个串口可以用来连接配置终端,方便系统管理人员对网络安全隔离设备的配置。
Claims (3)
1.一种单向连接网络安全隔离装置,包括连接内网的第一网络接口(ia),连接外网的第二网络接口(ib),分别与第一和第二网络接口连接的第一主机板(ma)和第二主机板(mb),其特征在于:还包括连接在两块主机板(ma、mb)之间的第一和第二两片高速FIFO芯片(fa、fb),所述第一FIFO芯片(fa)用以控制由内网向外网的数据通讯,所述第二FIFO芯片(fb)用以控制由外网向内网的数据通讯,所述第二FIFO芯片(fb)设置为所需字节深度,用以控制反向数据包的字节数。
2.根据权利要求1所述单向连接网络安全隔离装置,其特征在于:所述FIFO芯片的两侧CS片选管脚分别与所述第一主机板和第二主机板上的CPU片选CS3及相对应的地址线在CPLD中组合连接。
3.根据权利要求2所述单向连接网络安全隔离装置,其特征在于:所述两FIFO芯片的写使能端和读使能端分别通过一个三态门器件与所述第一主机板和第二主机板上的CPU连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200420025888 CN2684479Y (zh) | 2004-03-31 | 2004-03-31 | 单向连接网络安全隔离装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200420025888 CN2684479Y (zh) | 2004-03-31 | 2004-03-31 | 单向连接网络安全隔离装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN2684479Y true CN2684479Y (zh) | 2005-03-09 |
Family
ID=34607112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200420025888 Expired - Fee Related CN2684479Y (zh) | 2004-03-31 | 2004-03-31 | 单向连接网络安全隔离装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN2684479Y (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101325565B (zh) * | 2008-07-30 | 2010-12-01 | 北京华电天仁电力控制技术有限公司 | 一种具有协议转换功能的单向隔离网闸 |
CN102195984A (zh) * | 2011-05-18 | 2011-09-21 | 广州市飞元信息科技有限公司 | 一种安全传输设备 |
CN101945087B (zh) * | 2009-12-30 | 2013-03-13 | 国电南瑞科技股份有限公司 | 基于电力系统隔离装置实现多协议交换及负载均衡的方法 |
CN104010227A (zh) * | 2014-06-16 | 2014-08-27 | 成都卓元科技有限公司 | 一种用于ip数字电视延时播出及安全保障的方法 |
CN105282172A (zh) * | 2015-11-09 | 2016-01-27 | 珠海市鸿瑞软件技术有限公司 | 基于硬件数据变换技术的单处理系统及网络安全隔离方法 |
CN108055244A (zh) * | 2017-11-27 | 2018-05-18 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于srio接口技术的双处理系统网络安全隔离方法 |
CN109565502A (zh) * | 2016-07-19 | 2019-04-02 | 西门子移动有限责任公司 | 用于传输数据的存储设备、数据传输设备和方法 |
CN110445780A (zh) * | 2019-08-05 | 2019-11-12 | 安徽云中联讯科技有限公司 | 一种低成本单向网络传输的装置及方法 |
CN113194085A (zh) * | 2021-04-27 | 2021-07-30 | 云南电网有限责任公司信息中心 | 数据自主安全传输设备 |
CN113918999A (zh) * | 2021-12-15 | 2022-01-11 | 天津联想协同科技有限公司 | 安全摆渡通道的建立方法、装置、网盘及存储介质 |
CN114915459A (zh) * | 2015-12-17 | 2022-08-16 | 郭爱波 | 以太网单向传输环 |
-
2004
- 2004-03-31 CN CN 200420025888 patent/CN2684479Y/zh not_active Expired - Fee Related
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101325565B (zh) * | 2008-07-30 | 2010-12-01 | 北京华电天仁电力控制技术有限公司 | 一种具有协议转换功能的单向隔离网闸 |
CN101945087B (zh) * | 2009-12-30 | 2013-03-13 | 国电南瑞科技股份有限公司 | 基于电力系统隔离装置实现多协议交换及负载均衡的方法 |
CN102195984A (zh) * | 2011-05-18 | 2011-09-21 | 广州市飞元信息科技有限公司 | 一种安全传输设备 |
CN104010227A (zh) * | 2014-06-16 | 2014-08-27 | 成都卓元科技有限公司 | 一种用于ip数字电视延时播出及安全保障的方法 |
CN105282172A (zh) * | 2015-11-09 | 2016-01-27 | 珠海市鸿瑞软件技术有限公司 | 基于硬件数据变换技术的单处理系统及网络安全隔离方法 |
CN105282172B (zh) * | 2015-11-09 | 2018-04-20 | 珠海市鸿瑞软件技术有限公司 | 基于硬件数据变换技术的单处理系统及网络安全隔离方法 |
CN114915459A (zh) * | 2015-12-17 | 2022-08-16 | 郭爱波 | 以太网单向传输环 |
CN114915459B (zh) * | 2015-12-17 | 2024-05-24 | 郭爱波 | 一种环形传输装置 |
CN109565502A (zh) * | 2016-07-19 | 2019-04-02 | 西门子移动有限责任公司 | 用于传输数据的存储设备、数据传输设备和方法 |
CN108055244A (zh) * | 2017-11-27 | 2018-05-18 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于srio接口技术的双处理系统网络安全隔离方法 |
CN108055244B (zh) * | 2017-11-27 | 2020-09-08 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于srio接口技术的双处理系统网络安全隔离方法 |
CN110445780A (zh) * | 2019-08-05 | 2019-11-12 | 安徽云中联讯科技有限公司 | 一种低成本单向网络传输的装置及方法 |
CN113194085A (zh) * | 2021-04-27 | 2021-07-30 | 云南电网有限责任公司信息中心 | 数据自主安全传输设备 |
CN113918999A (zh) * | 2021-12-15 | 2022-01-11 | 天津联想协同科技有限公司 | 安全摆渡通道的建立方法、装置、网盘及存储介质 |
CN113918999B (zh) * | 2021-12-15 | 2022-02-22 | 天津联想协同科技有限公司 | 安全摆渡通道的建立方法、装置、网盘及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104769570B (zh) | 控制多时隙链路层微片中的消息收发 | |
CN2684479Y (zh) | 单向连接网络安全隔离装置 | |
US6768992B1 (en) | Term addressable memory of an accelerator system and method | |
US6717943B1 (en) | System and method for routing and processing data packets | |
CN102724035B (zh) | 一种加密卡的加解密方法 | |
CN101986638A (zh) | 千兆单向型网络隔离装置 | |
CN101630270A (zh) | 数据处理系统和方法 | |
CN107493292B (zh) | 异构多通道安全隔离的信息传输系统及方法 | |
CN102185833A (zh) | 一种基于fpga的fc i/o并行处理方法 | |
CN101286830A (zh) | 用于卡件的基于双核控制器的双冗余高速io网络系统 | |
CN204089849U (zh) | 一种基于工业控制协议的网络隔离装置 | |
CN105373891A (zh) | 智能电网数据管理和传输系统 | |
CN109862039A (zh) | 基于射频技术的跨网隔离单向导入系统及数据导入方法 | |
CN107145311A (zh) | 一种io数据处理方法及系统 | |
CN113067800A (zh) | 一种单向隔离光闸装置 | |
CN104506548A (zh) | 一种数据包重定向装置、虚拟机安全保护方法及系统 | |
CN101420299B (zh) | 提高智能密钥设备稳定性的方法和智能密钥设备 | |
CN104767828A (zh) | 一种片间高速互联的链路层设计方法和系统 | |
CN101042424A (zh) | 一种检测专用集成电路的方法及装置 | |
CN106302061A (zh) | 一种基于FlexRay总线的通信方法、装置及系统 | |
CN113612762A (zh) | 一种面向工业互联网的安全单向数据传输装置 | |
CN216819851U (zh) | 一种变电站内安全接入装置 | |
CN111131280A (zh) | 一种内外网隔离系统 | |
CN202231742U (zh) | 网络隔离装置 | |
CN102662873A (zh) | 一种实现隔离保护存储载体数据的装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20050309 Termination date: 20110331 |