专利名称:一种用于计算机网络的物理开关隔离设备的制作方法
技术领域:
本发明属于互联网的数据传输安全技术领域。
背景技术:
随着计算机互联网的日益普及,内部网与外部网之间数据传输的网络安全成为关注的问题。对于一些安全性比较高的场合,内部网与外部网之间设有数据交换主机,一般内部网与外部网不直接互联,而是通过数据交换主机进行数据交换,这时就需要内部网与外部网之间有物理开关隔离设备当外部网与数据交换交换主机之间的物理开关隔离设备打开的时候,数据交换主机和外部网之间从网络物理层彻底断开,数据交换主机同内部网相联;当内部网与数据交换交换主机之间的物理开关隔离设备打开的时候,则数据交换主机和内部网从网络物理层彻底断开,数据交换主机同外部网相联。
目前一般的物理开关隔离设备采用“摆渡”原理,即利用高速网络开关,做到当设备同内部网互联时,从微观上与外部网物理隔离同外部网互联时,从微观上与内部网隔离。由于这种网络物理开关隔离设备使用了昂贵的高速网络开关器件,从而使价格非常昂贵。业界目前采用的另外一种实现方案是在数据交换主机两端各架设一台交换机,通过交换机的开关操作来实现网络物理开关隔离设备的功能,但这种方案并不是严格意义上的网络物理层上的隔离,并且价格也比较昂贵。我们在这样的背景需求下,开发了一种用于计算机网络的物理开关隔离设备。
发明内容
本发明的目的在于提供一种既安全又灵活,而且性价比也高的计算机网络用物理开关隔离设备。
本发明的特征在于该设备是一种同时把内部网与数据交换主机之间的开关以及该数据交换主机与外部网之间的开关都构筑在同一个电路卡中的单刀双掷网络开关,该设备含有RS232控制信号接收单元、控制单元以及模拟开关单元,其中RS232控制信号接收单元该单元的控制信号输入端与所述数据交换主机的RS232串口相连,接收由数据交换主机传送的控制信号;控制单元,该单元是一块8051芯片,其Uart端与所述RS232控制信号接收单元的驱动信号输出端相连;模拟开关单元,它是一个模拟开关产生电路,含有相同的两个芯片MAX4751,该两个芯片还各有两个信号输入端,所述两个输入端分别与所述控制单元的相应输出端相连,该两个芯片还各有两个信号输出端,每个芯片的其中一个输出端与数据交换主机网络接口互联,另外一个输出端分别与内部网或外部网的网络接口互联。
使用证明本发明有以下优点1.安全性模拟开关的通断是在网络物理层上进行的,最大程度的保护数据交换主机的安全。
2.灵活性由于该设备属于网络物理层上的设备,它可以适用不同协议的计算机内部局域网与外部网的互联要求。安装简单方便。
3.高性价比目前一般采用“摆渡”原理的物理开关隔离设备,价格以万元人民币为单位,我们设计的这种物理开关隔离设备,价格仅为其十分之一左右。
图1、计算机内部网与外部网互联模型;图2、单刀双掷网络开关原理图;图3、本发明电路原理框图。
具体实施例方式
一般计算机内部网与外部网互联模型如图1所示,一般情况下,开关1闭合,开关2断开,此时数据交换主机连上内部网;当内部网需要同外部网进行数据交换时,开关1打开,开关2闭合,此时数据交换主机同外部网连上,同内部网断开。这种设计保证内部网上的计算机在任何时候都从网络物理层上与外部网隔离。
在本设计方案中,将开关1和开关2设计到同一个板卡中,称为单刀双掷网络开关。图2是单刀双掷网络开关工作时的逻辑结构示意图。单刀双掷网络开关实际上是一块具有1个控制端口、4个网络端口的电路卡。控制线通过串口连接到数据交换主机,以串行端口RS232控制单刀双掷网络开关。当单刀双掷网络开关AB端口连通,数据交换主机与内部网连通,并可以通过外部广域网线路访问外网主机。当单刀双掷网络开关A’C端口连通时,AB端口自然断开,这样数据交换主机就连上内部网,同时与外部广域网断开。从图2上可以看到,内网主机从物理层上任何时候都不会直接连通外部局域网,单刀双掷网络开关保障了内网主机的数据安全。
单刀双掷网络开关的电路框图参见图3,由三部分组成1.RS232控制信号接收单元,该单元由MAX232芯片构成,主要功能是接收由RS232串行接口传送的控制信号并转换成控制信号,发送到8051单片机;该单元还接收8051单片机反馈的控制信号,并回传到RS232串行接口。
2.控制单元,该单元由一枚8051单片机芯片构成,受RS232串口信号驱动,直接控制模拟开关产生电路的闭合。
3.模拟开关单元,由两个MAX4751芯片组成联动电路,负责产生电路的闭合动作。
在单刀双掷网络开关的设计中,主要考虑的因素有以下几条1、导通电阻Ron,即相关电路连通后电阻必须足够小,保证网络信号能够顺利传输。
2、3dB带宽,任何传输线路都有一定的带宽,比如同轴电缆适合传输闭路电视线路信号,双绞线适合传输局域网信号,这是因为传输线路有一定的带宽,只能传输满足其带宽的信号。设计单刀双掷网络开关时,必须重视3dB带宽,保证百兆局域网的传输带宽3、谐波失真,这一项要求实际上是保证信号传输的质量,不使信号产生畸变失真。
4、开关的时间,保证开关延时在毫秒以下。
根据以上的设计,我们已经开发出能够实际应用的单刀双掷网络开关,获得良好的性能价格比。在性能测试中,由于采用了模拟开关单元,使得数据交换主机分别与内部网与外部网连通时网络信号失真小于0.01%,适用于目前各种百兆接入计算机互联网。
权利要求
1.一种用于计算机网络的物理开关隔离设备,其特征在于该设备是一种同时把内部网与数据交换主机之间的开关以及该数据交换主机与外部网之间的开关都构筑在同一个电路卡中的单刀双掷网络开关,该设备含有RS232控制信号接收单元、控制单元以及模拟开关单元,其中RS232控制信号接收单元该单元的控制信号输入端与所述数据交换主机的RS232串口相连,接收由数据交换主机传送的控制信号;控制单元,该单元是一块8051芯片,其Uart端与所述RS232控制信号接收单元的驱动信号输出端相连;模拟开关单元,它是一个模拟开关产生电路,含有相同的两个芯片MAX4751,该两个芯片还各有两个信号输入端,所述两个输入端分别与所述控制单元的相应输出端相连,该两个芯片还各有两个信号输出端,每个芯片的其中一个输出端与数据交换主机网络接口互联,另外一个输出端分别与内部网或外部网的网络接口互联。
全文摘要
本发明属于互联网数据安全传输技术领域,其特征在于该设备是一种同时把内部网与数据交换主机间的开关以及数据交换主机与外部网间的开关构筑在同一个电路卡中的单刀双掷网络开关,它含有RS232控制信号接收单元,该单元与所述数据交换主机的RS232串口相连,接收控制信号;控制单元,该单元从所述RS232控制信号接收单元接收控制信号;两个相同的模拟开关,各自设有一个控制信号输入端,所述两个输入端分别与所述控制单元的相应输出端相连,该两个芯片还各有两个信号输出端,每个芯片的其中一个输出端与数据交换主机网络接口互联,另外一个输出端分别与内部网或外部网的网络接口互联。本发明安全灵活,性价比高,网络信号失真小。
文档编号H04L12/24GK1731739SQ20051008634
公开日2006年2月8日 申请日期2005年9月2日 优先权日2005年9月2日
发明者武海平, 周德铭, 郑纬民, 鞠大鹏 申请人:清华大学