专利名称:Usb单向物理隔离网闸的制作方法
技术领域:
本发明涉及一种数据隔离切换单向传送方法,具体是一种基于USB总线的单向物理隔离网闸,将低密级网络数据单向传送给高密级网络,用于信息安全技术领域。
背景技术:
如何实现低密级网络和高密级网络的安全可靠信息传送一直是信息安全领域的重要问题。在要求最为严格的环境中,数据只能从低密级网络向高密级网络单向传送,不能有任何逆向传送的可能性。为达到这种目的,通常采取的办法是物理隔离,使用人工从低密级网络读取数据到移动介质,再将移动介质上的数据读取到高密级网络中。这种办法一方面效率低下;另一方面,如果移动介质被植入轮渡程序,或者人为失误,将可能导致机密数据的泄漏。而基于网络协议的网闸设备普遍存在程序设计复杂,安全性可靠性验证困难的问题。
发明内容
本发明针对现有技术的上述不足和缺陷,提供一种基于USB总线的单向物理隔离网闸,使其充分利用USB总线,在方便和可靠的条件下达到良好的单向数据传送性能。本发明通过在USB总线、USB存储器写保护控制线上设置开关,使用USB存储器及主机系统中对应的切换控制软件的配合处理等技术,能够在低密级和高密级网络间提供一条透明的、无差错的、单向的、有序的并拥有较高数据传送速率的数据通路,解决了目前物理隔离网闸设计复杂,不容易验证的问题。
本发明是通过以下技术方案实现的,本发明采用隔离切换硬件系统实现对连接低密级和高密级系统的USB总线进行轮流的切换,隔离切换硬件系统包括切换控制开关和USB存储器,只有当切换控制开关连通存储器和主机时才能由主机进行数据访问,任意时刻只能有一台主机系统对USB存储器进行数据访问;通过主机系统中的切换控制软件来检测开关通断情况,确保只有当USB存储器连在系统上时才对其进行数据访问,并且通过对USB存储器中数据存储进行组织和管理,以及设定低密级主机可读写USB存储器权限,高密级主机只能读取USB存储器权限的方式,实现网络数据从低密级网络向高密级网络单向可靠传输的网闸机制。
以下对本发明作进一步的说明,具体内容如下1)切换控制开关切换控制开关通过两个USB接口用USB总线分别连接两个主机系统,两个接口均连接在一个电子切换控制开关上,它另一端连接着一个USB接口的存储器。在任意时刻,电子切换控制开关控制只有一个主机系统与存储器相连接。根据USB协议,主机上的USB HUB通过监视端口上数据线的电压高低来判断设备是否插入。因此切换控制开关被设置在USB总线的数据线上。通过连接上USB存储器的主机发送停止USB命令来通知USB存储器作设备停止操作,当USB存储器设备被停止之后,其工作状态指示电平改变,利用这种电平的改变来控制切换控制开关,使其切换到另一台主机。与此同时,当切换控制开关连通USB存储器与低密级网络时,将USB存储器的写保护功能置为可写入状态,当切换控制开关连通USB存储器与高密级网络时,将USB存储器的写保护功能置为只读状态。
2)切换控制软件检测开关通断情况主机中的切换控制软件在准备对USB存储器进行数据访问时,必须了解当前切换控制开关的通断情况,因此程序内部要维护一个数据结构标识USB存储器的连接状态。若USB存储器当前连接着,则数据访问操作正常执行;若完成数据访问操作,则向USB存储器发送停止命令,释放对USB存储器的控制权,使USB存储器自动通过切换控制开关切换到与另一台主机相连。若USB存储器没有连接,则通过软件循环检测,直到USB存储器再次插入,进行数据访问。
本发明的主要优点有采用基于USB总线的单向物理隔离网闸比基于网络处理芯片的网闸系统设计上更为简单可靠,硬件上不存在可编程器件,不必担心硬件受到任何非法的程序攻击和改写,廉价、高效。该方法通过隔离切换硬件系统和切换控制软件的配合可构成一个通用的低密级网络向高密级网络单向数据传输平台,可以实现数据的实时、单向、有序、无差错的传输,基于该平台可以开发各种安全隔离和信息交换系统。
图1本发明方法实施系统的功能框2本发明状态转换图具体实施方式
以下结合附图对本发明技术方案作进一步的描述。
如图1所示,本发明方法实施系统的功能框图,包括具有USB接口的低密级主机和高密级主机系统,切换控制开关,具有USB接口的USB存储器。两主机系统通过USB总线与切换控制开关相连接,切换控制开关与USB存储器也通过USB总线连接。切换控制开关通过电子开关的控制切换USB存储器轮流与两主机系统连接,使得任意时刻只有一台主机系统可以对存储器进行数据访问。根据切换控制开关实现的USB存储器与主机连接的状态,对应的写保护控制也调整为相应的权限。连接USB存储器的主机完成对于USB存储器的数据访问之后,通过向USB存储器发送停止设备命令来达到释放USB设备的效果;当USB设备收到设备停止命令并正常停止工作时,向切换控制开关发送停止状态指示;当切换控制开关收到USB存储器发送来的停止状态指示之后,随即断开USB存储器与当前主机的连接,切换到另外一台主机。
如图2所示,本发明的状态转换图。设备开始状态为A1。当切换控制开关将USB存储器与低密级网络主机连接后,同时将USB存储器的写保护状态置为可写入状态。低密级网络主机的切换控制软件检测到USB设备的插入,随即进行资源分配,以及数据的写入和校验工作,完成之后,切换控制软件向USB存储器发送设备停止命令,USB存储器收到设备停止命令之后,向硬件切换控制开关发送设备已停止的指示信号,切换控制开关收到之后随即将USB存储器与低密级网络主机的USB总线断开,将USB存储器与高密级网络主机连通,同时将USB存储器置为只读状态。当切换控制开关将USB存储器与高密级网络主机连接后,同时将USB存储器的写保护状态置为只读状态。高密级网络主机的切换控制软件检测到USB设备的插入,随即进行资源分配,以及数据的读出和校验工作,完成之后,切换控制软件向USB存储器发送设备停止命令,USB存储器收到设备停止命令之后,向硬件切换控制开关发送设备已停止的指示信号,切换控制开关收到之后随即将USB存储器与高密级网络主机的USB总线断开,将USB存储器与低密级网络主机连通,同时将USB存储器置为可写状态,再次进入开始状态。整个系统在八个状态中循环转换。
权利要求
1.一种基于USB总线的单向物理隔离网闸,其特征在于,采用隔离切换硬件系统实现对连接低密级、高密级两个网络的双机系统的USB总线进行轮流切换,隔离切换硬件系统包括切换控制开关、USB存储器,只有当切换控制开关连通USB存储器和主机时才由主机对USB存储器进行数据操作,任意时刻只有一台主机系统对存储器进行访问;通过主机系统中的切换控制软件来检测开关通断情况,确保只有当存储器连在系统上时才对其进行数据操作,以及控制USB开关切换到另一台主机。USB存储器连接不同密级的主机的写保护开关状态时互斥的,连接低密级网络的主机可以对USB存储器进行读写删除文件以及设备停止操作,而连接高密级网络的主机则只能对USB存储器进行文件读取及设备停止操作。从而实现数据从低密级网络单向传送到高密级网络,数据不可能反向传送,确保高密级网络的安全。
2.根据权利要求1所述的基于USB总线的单向物理隔离网闸,其特征是,所述的切换控制开关,具体如下切换控制开关通过两个USB接口用USB总线分别连接低密级网络、以及高密级网络的主机系统,两个接口均连接在一个电子切换控制开关上,开关的另一端连接着一个USB接口的存储器,在任意时刻,电子开关控制只有一个主机系统与存储器相连接,切换控制开关被设置在USB总线的数据线上,电子开关对USB数据线的通断等效于USB设备的插入和拔出。在任意时刻,电子开关控制USB存储器写保护开关,USB存储器与低密级主机连接时,USB存储器置为可写状态,USB存储器与高密级主机连接时,USB存储器置为只读状态。
3.根据权利要求1所述的基于USB总线的单向物理隔离网闸,其特征是,读写流程,开始状态时切换开关将USB存储器与低密级网络主机连接,具体如下开始状态,当切换控制开关将USB存储器与低密级网络主机连接后,同时将USB存储器的写保护状态置为可写入状态。低密级网络主机的切换控制软件检测到USB设备的插入,随即进行资源分配,以及数据的写入和校验工作,完成之后,切换控制软件向USB存储器发送设备停止命令,USB存储器收到设备停止命令之后,向硬件切换控制开关发送设备已停止的指示信号,切换控制开关收到之后随即将USB存储器与低密级网络主机的USB总线断开,将USB存储器与高密级网络主机连通,同时将USB存储器置为只读状态。当切换控制开关将USB存储器与高密级网络主机连接后,同时将USB存储器的写保护状态置为只读状态。高密级网络主机的切换控制软件检测到USB设备的插入,随即进行资源分配,以及数据的读出和校验工作,完成之后,切换控制软件向USB存储器发送设备停止命令,USB存储器收到设备停止命令之后,向硬件切换控制开关发送设备已停止的指示信号,切换控制开关收到之后随即将USB存储器与高密级网络主机的USB总线断开,将USB存储器与低密级网络主机连通,同时将USB存储器置为可写状态,再次进入开始状态。整个系统在八个状态中循环转换。
全文摘要
一种基于USB接口的单向物理隔离网闸,用于网络数据交换,信息安全技术领域。本发明采用软硬件结合的方式实现对连接高低不同密级网络的双机系统的USB总线进行轮流的切换,隔离切换硬件系统包括切换控制开关、写保护开关和USB存储器。只有当切换控制开关连通USB存储器和主机时才由主机对USB存储器进行访问。当USB存储器连接数据低密级网络主机时,USB写保护开关设置为可写入状态,实现数据的写入删除;当USB存储器连接高密级网络主机时,USB写保护开关设置为只读状态,实现数据的读取。从而在满足安全网络数据的保密要求的同时,实现单向数据的实时可靠传输。开关的切换通过计算机的软件实现。本系统的安全性由USB存储器硬件的写保护机制确定。
文档编号H04L12/12GK1878172SQ200610021310
公开日2006年12月13日 申请日期2006年7月4日 优先权日2006年7月4日
发明者胡德勇 申请人:胡德勇