专利名称:基于pci总线的网络隔离装置的制作方法
技术领域:
本实用新型涉及一种网络信息安全领域的物理隔离装置,特别是一种基于计算机PCI总线的网络隔离装置。
背景技术:
随着计算机技术的飞速发展,计算机网络规模的不断扩大,我们的日常工作、生活与计算机网络的关系也越来越密切;但是,当我们将计算机接入公共网络(互联网)时,网络安全和信息安全就成为一个不容忽视的问题。特别是在机关、政府、银行等企事业单位,其内部信息或涉及保密、机密的数据是不希望被外部网的用户所窃取,一旦发生重要数据的泄漏,将会使本单位或本公司的利益遭到重大损失,甚至对国家安全和利益造成重大影响。
目前解决网络信息安全的措施主要有以下三种方法(1)采用双网络系统。即,配置两套独立的网络系统,其中一套为内部网,连接公司内部的计算机,实现内部数据、信息共享等服务;另一套为外部网,可连接互联网。同时,在用户终端配置两台电脑分别接入不同的网络。这种方法的缺陷在于建网成本较高,而且用户需要分别操作两台电脑,既占用空间又不方便。
(2)采用防火墙或代理服务器等技术。该方法的优点是使用方便,占用空间小。但是,该方法只能实现服务器端的逻辑隔离,一旦防火墙或代理服务器遭到外部攻击而瘫痪,外网用户即可轻易获取内部计算机上的重要数据及信息;而且该方法的核心技术尚由国外引进,因此其防范能力仍不够可靠。
(3)采用专用计算机网络物理隔离装置。即,在用户计算机上安装专门的网络隔离装置,通过该网络隔离装置实现内、外网的物理隔离,该方法的优点是安全性较高,数据防范可靠。通常有两种方式一是“高端物理隔离”方式,即采用一个硬盘、两个网络(内部网和外部网),并由网络隔离装置进行网络切换。这种方法虽然可以实现内部网和外部网及其服务器的物理隔离、切换,保证内部网的信息安全,但是在用户终端其两个网络对应同一数据硬盘,可能发生外网用户窃取终端硬盘上的数据或信息,但不可能直接窃取内网服务器硬盘上的数据或信息。二是“全物理隔离”方式,即采用两个硬盘、两个网络(内部网和外部网),每个网络对应一个数据硬盘,并由网络隔离装置进行网络或硬盘的切换。这种方式可以严格物理隔离内部网和外部网,以及内外网的数据,既可以实现网络安全,又可以实现内外网的信息安全,也是目前网络信息安全的主要发展趋势。
在上述可实现“物理隔离”的装置中,目前主要采用外接控制开关和计算机软件控制两种方式,其中,外接控制开关方式的缺陷在于操作不方便,切换过程所需时间较长;而计算机软件控制方式主要采用计算机串行口或PCI总线作为控制信号的输入端,现有的网络隔离卡基本上都是采用计算机串行口控制方式,但串行口已被逐渐淘汰。而PCI总线接口专用芯片(例如PCI总线接口芯片CH365、PCI9050等)虽可以快速、方便的读取PCI总线上的控制信号,但是,由于PCI总线上的数据传输速率非常之快(支持64位传送,其数据传输率为133MB/s,总线运行速率达66MHz),因专用芯片的成本很高,必然提高相关产品的成本,而且,专用芯片的结构复杂,必然导致研发费用的升高,又无法完全利用芯片的内部资源,造成不必要的资源浪费等。
发明内容
为了解决现有技术的不足,本实用新型提供一种基于计算机PCI总线的网络隔离装置,该装置采用通用阵列逻辑芯片作为PCI总线接口芯片,编程为特征码数字滤波器,单片机控制器对通过滤波器的信号进行时序上识别,信息有效才进行相应的网络切换操作,实现低成本达到物理隔离控制切换目的。
本实用新型所采用的技术方案一种基于PCI总线的网络隔离装置,包括PCI总线接口、单片机控制器、网络切换单元和硬盘切换单元,单片机控制器分别与网络切换单元、硬盘切换单元连接,其特征在于,还包括一滤波器,该滤波器的输入端与PCI总线接口连接,输出端与单片机控制器连接。
上述网络切换单元包括内网接口、外网接口、计算机网络接口和切换开关;切换开关的输入端与单片机控制器连接,输出端分别与内网接口、外网接口、计算机网络接口连接。
上述内网接口、外网接口和计算机网络接口均采用RJ45接口。
上述网络切换单元还包括控制开关接口。
上述硬盘切换单元由数据线切换单元或电源切换单元单独组合而成;或由数据线切换单元和电源切换单元二者综合而成。
上述硬盘数据线切换单元包括内网硬盘数据线接口、外网硬盘数据线接口、计算机数据线接口和数据线总线开关;内网硬盘数据线接口与计算机数据线接口之间、外网硬盘数据线接口和计算机数据线接口之间通过数据线总线开关连接,且数据线总线开关的使能端与单片机控制器连接。
上述硬盘电源切换单元包括内网硬盘电源接口、外网硬盘电源接口、计算机电源接口和切换开关;切换开关的输入端与单片机控制器连接,输出端分别与内网硬盘电源接口、外网硬盘电源接口、计算机电源接口连接。
上述滤波器由通用可编程阵列逻辑芯片(GAL)和输出锁存器(D触发器)组成,可编程阵列逻辑芯片芯片的输入端与PCI总线接口连接,输出端经锁存器与单片机控制器连接。
本实用新型的有益效果(1)成本低,该网络隔离装置采用通用的可编程阵列逻辑芯片(GAL)代替专用芯片读取PCI总线上的控制信号,不仅可以降低成本,而且芯片资源利用率高,控制简单。计算机用户只需在一台计算机中增加一个卡式隔离装置和一个硬盘存储设备,即可实现两套网络的物理隔离,以及相互切换;对使用者而言,其成本较低,无需配置两台计算机,而且可以节省另外放置多一台计算机的空间。(2)网络安全性高,该网络隔离装置可以实现内、外网之间的“高端物理隔离”(或称“终端逻辑隔离”),在同一时间内,用户只能连接其中一套网络,因此,在不同网络之间无法互访,且不可能跨网访问对方的服务器,即服务器端实行物理隔离,用户终端实行逻辑隔离,有效地避免网络之间攻击带来的危害,确保内、外网的网络安全。(3)该网络隔离装置还可以实现内、外网之间的“全物理隔离”(或叫“真正的物理隔离”),在同一时间内,用户只能连接其中一套网络,而且不同的网络对应着不同的硬盘存储设备,因此,在不同网络之间不仅无法互访,而且没有共用的存储设备,确保内、外网之间的信息安全。(4)网络切换操作简单,该网络隔离装置配有专用的切换软件,用户只需通过鼠标或键盘操作即可完成切换,同时也兼有手动开关的切换。
图1是本实用新型所述隔离装置的结构示意图;图2是本实用新型所述隔离装置第一实施例的结构示意图;图3是本实用新型所述隔离装置第二实施例的结构示意图;图4是本实用新型所述隔离装置第一实施例的电路原理图之一;图5是本实用新型所述隔离装置第一实施例的电路原理图之二;图6是本实用新型所述隔离装置第二实施例的电路原理图;图7是本实用新型所述隔离装置第三实施例的结构示意图;图8是本实用新型的信号流程图;图9是本实用新型的控制流程图;图10是本实用新型的网络连接结构示意图。
具体实施方式
如图1所示,一种基于PCI总线的网络隔离装置,包括PCI总线接口1、单片机控制器2、网络切换单元3、硬盘切换单元4和滤波器5;单片机控制器2的输出端分别连接网络切换单元3和硬盘切换单元4,滤波器5的输入端与PCI总线接口1连接,输出端与单片机控制器2连接。其中,所述硬盘切换单元4可以由数据线切换单元41或电源切换单元42单独组合而成;也可以由数据线切换单元41和电源切换单元42二者综合而成。
以下将通过具体实施例介绍本实用新型的工作原理及其结构实施例一如图2所示,一种基于PCI总线的网络隔离装置,包括PCI总线接口1、单片机控制器2、网络切换单元3、数据线切换单元41和滤波器5,单片机控制器2分别与网络切换单元3、数据线切换单元41连接,滤波器5接于PCI总线接口1和单片机控制器2之间。其中,网络切换单元3包括内网接口311、外网接口312、计算机网络接口313、控制开关接口32和切换开关33,切换开关33的输出端分别与内网接口311、外网接口312、计算机网络接口313连接,切换开关33的输入端与单片机控制器2连接。数据线切换单元41包括内网硬盘数据线接口411、外网硬盘数据线接口412、计算机数据线接口413和数据线总线开关410,内网硬盘数据线接口411与计算机数据线接口413之间、外网硬盘数据线接口412和计算机数据线接口413之间通过数据线总线开关410连接,且数据线总线开关410的使能端与单片机控制器2连接。滤波器5由可编程阵列逻辑芯片(GAL)51和输出锁存器(D触发器)52组成,可编程阵列逻辑芯片51的输入端与PCI总线连接,输出端经锁存器52与单片机控制器2连接。
如图4、5所示为本实施例的电路原理图,PCI总线接口U1的地址/数据总线AD[00]~AD[11]、控制总线C/BE[0]~C/BE[3]、时钟信号CLK、传输控制信号FRAME与可编程阵列逻辑芯片U5的输入端连接,复位信号RET与单片机控制器U2的中断口INT0连接。可编程阵列逻辑芯片U5的输出信号IO4~IO6经锁存器U51、U52、U53与单片机控制器U2的输入端口P3.3~P3.5连接。单片机控制器U2的输出控制端P1.3经三极管放大器T1与继电器开关U31、U32连接,继电器开关U31、U32的开关触点A、B连接计算机网络接口NC,触点ANO、BNO连接外网接口NB,触点ANC、BNC连接内网接口NA;单片机控制器U2的另一组输出控制端P1.6、P1.7与数据线总线开关芯片U41A、U41B、U42A、U42B、U43A、U43B、U44A、U44B的使能端OE连接;单片机控制器U2的另一输出端P1.2与锁存器U51的复位端CD连接;单片机控制器U2的另一输入端P3.0、P3.1与外接开关SW1、SW2连接。在图5中,计算机数据线接口IDE-C经数据线总线开关U41A、U41B、U42A、U42B与内网硬盘数据线接口IDE-A连接,计算机数据线接口IDE-C经数据线总线开关U43A、U43B、U44A、U44B与外网硬盘数据线接口IDE-B连接;当使能信号ENA有效时,内网硬盘被接通;当使能信号ENB有效时,外网硬盘被接通。
实施例二如图3所示为本实用新型另一实施例的结构示意图,与实施例一不同的是,本实施例中,采用电源切换单元42代替了实施例一中的数据线切换单元41。其中,电源切换单元42包括内网硬盘电源接口421、外网硬盘电源接口422、计算机电源接口423和切换开关420,切换开关420的输出端分别与内网硬盘电源接口421、外网硬盘电源接口422、计算机电源接口423连接,切换开关420的输入端与单片机控制器2连接。其它连接关系与实施例一相同,不再类述。
如图6所示,本实施例的电路原理图与实施例一基本相同,所不同的是,单片机控制器U2的输出控制端P1.6、P1.7经三极管放大器T3、T2,与继电器开关U41、U42连接,继电器开关U41、U42的开关触点A、B分别连接计算机电源接口PC,继电器开关U41的触点ANO、BNO连接外网硬盘电源接口PB,继电器开关U42的触点ANO、BNO连接内网硬盘电源接口PA。
实施例三如图7所示,本实施例集合了实施例一、二的结构,该网络隔离装置包括PCI总线接口1、单片机控制器2、网络切换单元3、硬盘切换单元4和滤波器5,单片机控制器2分别与网络切换单元3、硬盘切换单元4连接,滤波器5接于PCI总线接口1和单片机控制器2之间;其中,硬盘切换单元4由数据线切换单元41和电源切换单元42综合而成,且数据线切换单元41和电源切换单元42均由单片机控制器2控制。本实施例的电路原理图可以由上述实施例一、二的电路图结合得出,在此不再类述。
以上所述为本实用新型的三种具体实施例,以及该网络隔离装置的具体结构示意图和电路原理图,以下将进一步说明其工作原理如图8所示,本实用新型通过计算机内部的PCI总线传输控制信号,选用了地址/数据总线AD[00]~AD[11]、控制总线C/BE[0]~C/BE[3]、时钟信号CLK和传输控制信号FRAME,当数字滤波器(由通用可编程阵列逻辑芯片和输出锁存器组成)收到上述信号时,按照其预先设定的滤波方式,从中提取特征码(预先设定的特殊字符串),也就是用户发送来的切换信号等,并由输出端锁存,等待单片机控制器读取;当单片机控制器全部收齐上述特征码(特征码长度根据实际情况设定)后,即可进行比较识别。如果特征码符合要求,则根据该特征码的定义执行相关操作当用户需要切换至内部网,单片机控制器即接通内网接口,同时打开内网硬盘,使计算机与内部网连接;当用户需要切换至外部网,单片机控制器即接通外网接口,同时打开外网硬盘,使计算机与外部网(互联网)连接。单片机控制器还可以根据跳线开关的状态选择其工作方式。
如图9所示为本实用新型基于PCI总线的网络隔离方法,通过以下步骤完成
a.用户发送切换命令;b.滤波器从PCI数据口提取特征码,并锁存;c.单片机控制器读取特征码,并进行识别处理;d.单片机控制器执行特征码所定义的切换操作。
本实用新型所述网络隔离装置可以实现以下两种切换操作(1)逻辑隔离当用户选择逻辑隔离操作时,上述单片机控制器只进行网络切换操作,而不切换数据存储所使用的硬盘。也就是说,采用该切换方式,计算机无需重新启动,即可完成内、外网的切换操作,并且,切换前后,内部网和外部网使用同一个硬盘。
(2)物理隔离当用户选择物理隔离操作时,上述单片机控制器不但进行网络切换操作,而且同时切换数据存储所使用的硬盘。也就是说,采用该切换方式,计算机必须重新启动,完成内外网及其对应的硬盘切换操作,切换前后,内部网和外部网使用不同的硬盘。
如图10所示是本实用新型实际应用中的网络连接示意图,隔离卡(即,网络隔离装置)安装在个人计算机的PCI插槽内,其计算机网络接口通过网线与网卡连接,内网接口与内网交换机连接,外网接口与外网交换机连接,内网交换机和外网交换机分别连接内网和外网(即,互联网)。按上述方式连接,即可实现内网与外网之间的物理隔离,但是在用户终端,可以通过网络隔离卡实现在内网和外网之间的切换,同一时间内,用户只能与其中一个网络连接,有效实现了网络隔离的效果,特别适用于机关、政府、银行等企事业单位的网络系统。
权利要求1.一种基于PCI总线的网络隔离装置,包括PCI总线接口(1)、单片机控制器(2)、网络切换单元(3)和硬盘切换单元(4),单片机控制器(2)分别与网络切换单元(3)、硬盘切换单元(4)连接,其特征在于,还包括一滤波器(5),该滤波器(5)的输入端与PCI总线接口(1)连接,输出端与单片机控制器(2)连接。
2.根据权利要求1所述的基于PCI总线的网络隔离装置,其特征在于,所述网络切换单元(3)包括内网接口(311)、外网接口(312)、计算机网络接口(313)和切换开关(33);切换开关(33)的输入端与单片机控制器(2)连接,输出端分别与内网接口(311)、外网接口(312)、计算机网络接口(313)连接。
3.根据权利要求2所述的基于PCI总线的网络隔离装置,其特征在于,所述内网接口(311)、外网接口(312)和计算机网络接口(313)均采用RJ45接口。
4.根据权利要求1或2所述的基于PCI总线的网络隔离装置,其特征在于,所述网络切换单元(3)还包括控制开关接口(32)。
5.根据权利要求1所述的基于PCI总线的网络隔离装置,其特征在于,所述硬盘切换单元(4)由数据线切换单元(41)或电源切换单元(42)单独组合而成;或由数据线切换单元(41)和电源切换单元(42)二者综合而成。
6.根据权利要求5所述的基于PCI总线的网络隔离装置,其特征在于,所述硬盘数据线切换单元(41)包括内网硬盘数据线接口(411)、外网硬盘数据线接口(412)、计算机数据线接口(413)和数据线总线开关(410);内网硬盘数据线接口(411)与计算机数据线接口(413)之间、外网硬盘数据线接口(412)和计算机数据线接口(413)之间通过数据线总线开关(410)连接,且数据线总线开关(410)的使能端与单片机控制器(2)连接。
7.根据权利要求5所述的基于PCI总线的网络隔离装置,其特征在于,所述硬盘电源切换单元(42)包括内网硬盘电源接口(421)、外网硬盘电源接口(422)、计算机电源接口(423)和切换开关(420);切换开关(420)的输入端与单片机控制器(2)连接,输出端分别与内网硬盘电源接口(421)、外网硬盘电源接口(422)、计算机电源接口(423)连接。
8.根据权利要求1所述的基于PCI总线的网络隔离装置,其特征在于,所述滤波器(5)由可编程阵列逻辑芯片(51)和输出锁存器(52)组成,可编程阵列逻辑芯片(51)的输入端与PCI总线接口(1)连接,输出端经锁存器(52)与单片机控制器(2)连接。
专利摘要本实用新型公开了一种基于PCI总线的网络隔离装置,包括PCI总线接口、单片机控制器、网络切换单元和硬盘切换单元,单片机控制器分别与网络切换单元、硬盘切换单元连接,其特征在于,还包括一滤波器,该滤波器的输入端与PCI总线接口连接,输出端与单片机控制器连接。本实用新型可以实现不同网络之间的物理隔离,具有成本低、网络安全性高、网络切换操作简单等优点,特别适用于机关、政府、银行等企事业单位的网络系统。
文档编号H04L12/24GK2790051SQ20052005715
公开日2006年6月21日 申请日期2005年4月18日 优先权日2005年4月18日
发明者梁雁文 申请人:梁雁文