专利名称:一种自动网络切换方法及其系统的制作方法
技术领域:
本发明涉及计算机网络安全技术领域,尤其涉及一种自动网络切 换方法及其系统》
背景技术:
物理隔离是用来解决网络安全问题的。尤其是在那些需要绝对保 证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来 自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、 防抵赖和高可用性,几乎全部要求采用物理隔离技术。
学术界一般认为,最早提出物理隔离技术的,应该是以色列和美 国的军方。但是到目前为止,并没有完整的关于物理隔离技术的定义 和标准。从不同时期的用词也可以看出,物理隔离技术一直在演变和
发展。较早的用词为Physical Disconnection, Disconnection有使断开, 切断,不连接的意思,直译为物理断开 这种情况是完全可以理解, 保密网与互联网连接后,出现很多问题,在没有解决安全问题或没有 解决问题的技术手段之前,先断开再说。后来有Physical Separation, Separation有分开,分离,间隔和距离的意思,直译为物理分开。后 期发现完全断开也不是办法,互联网总还是要用的,采取的策略多为 该连的连,不该连的不连。这样的该连的部分与不该连的部分要分开。 也有PhysicalIsolation, Isolation有孤立,隔离,封闭,绝缘的意思, 直译为物理封闭。事实上,没有与互联网相连的系统不多,互联网的 用途还是很大,因此,希望能将一部分高安全性的网络隔离封闭起来。 再后来多使用PhysicalG邻,Gap有豁口,裂口,缺口和差异的意思, 直译为物理隔离,意为通过制造物理的豁口,来达到隔离的目的。到 这个时侯,Physical这个词显得非常僵硬,于是有人用AirGap来代替PhysicalG^)。 AirGap意为空气豁口,很明显在物理上是隔开的。 但有人不同意,理由是空气豁口就"物理隔离"了吗?没有,电磁辐 射,无线网络,卫星等都是空气豁口,却没有物理隔离,甚至连逻辑 上都没有隔离。于是,E"G邵,Netg邵,I-Gap等都出来了。现在, 一般称G^)Tedmology,意为物理隔离,成为互联网上一个专用名词。 对物理隔离的理解表现为以下几个方面
1、 阻断网络的直接连接,即没有两个网络同时连在隔离设备上;
2、 阻断网络的互联网逻辑连接,即TCP/IP的协议必需被剥离, 将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递;
3、 隔离设备的传输机制具有不可编程的特性,因此不具有感染 的特性;
4、 隔离设备传输的原始数据,不具有攻击或对网络安全有害的 特性。就像txt文本不会有病毒一样,也不会执行命令等。
目前巿面上的物理隔离网闸一般采用协议转换、数据摆渡、数据 过滤等技术。但对于在安全性要求不很高的情况下,这些设备的成本 太高,而且对用户使用限制比较多,维护成本比较高。现有的网络切 换器有些采用机械切换的原理,会存在寿命短无法采用计算机控制。 有些网络切换器的核心部件采用继电器来实现电路的切换,存在着有 使用寿命的限制,而且在切换过程中存在瞬间电接触干扰,对计算机 网络有一定的干扰,减少网络的稳定性。
发明内容
本发明正是为了解决上述问题而提出的。本方案就是基于物理隔 离标准,通过软硬件结合,实现数据在不同网络间的交换。
本发明的目的是提供一种自动网络切换方法,包括如下步骤 Sl:网络切换装置根据来自交换服务器的控制信息将交换服务器
与内网网络断开并将交换服务器与外网网络相连;
S2:交换服务器检测到与外网网络连接后,获取外网网络数据;S3:网络切换装置根据来自交换服务器的控制信息将交换服务器 与外网网络断开并将交换服务器与内网网络相连;
S4:交换服务器检测到与内网网络连接后,将获取的外网数据转 发到内网网络;
S5:交换服务器获取内网网络要交换的数据并暂存在交换服务 器中;
S6:交换服务器控制网络切换装置断开内网网络,连接外网网 络,并将从内网网络获取的数据转发到外网网络,完成一次数据交换。
本发明提供的自动网络切换系统,包括外网网络、内网网络、交 换服务器和网络切换装置,其中所述外网网络和内网网络分别负责 外、内网数据的组织,并供交换服务器取、放数据;交换服务器用于 控制网络切换装置的切换并实现外网网络和内网网络之间的数据交 换,网络切换装置,用于切换交换服务器连接的网络。
优选的,所述网络切换装置具有三个端口,分别与外网网络、内 网网络和交换服务器相连。该网络切换装置包括信号检测、识别装 置,用于检测来自于交换服务器的信号,并识别出要求连接的是内网
网络还是外网网络;网络开关,用于控制交换服务器和内、外网网络 的连接或者断开;以及网络开关切换装置,用于将网络开关切换到内 网网络或者外网网络"
通过本发明,可以在物理隔离的要求之下,方便的实现不同网络 间的数据交换。本发明能够提供经济安全的内外网物理隔离功能,通 过物理开关进行内外网的切换,在物理上交换服务器只与其中一个网 络连通,所以黑客即使侵入其中一个网络也无法越过物理屏障侵入另 一个网络。并且,本发明的网络切换装置釆用专用的网络芯片,没有 机器切换或者继电器切换的寿命限制,不会对现有网络产生干扰,而 且成本低,使用简单方面。
图l为网络物理隔离的实现示意图; 图2为本发明所述系统的网络结构图; 图3为本发明的网络数据交换流程图; 图4为本发明所述系统中的网络切换装置的具体电路图。
具体实施例方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明提供的自动网络切换方法和系统基于物理隔离的技术,实 现两个网络之间的数据交换。首先以图l为例说明物理隔离是如何实 现的。外网是安全性不高的互联网,内网是安全性很高的内部专用网 络 如图l所示,正常情况下,隔离设备和外网,隔离设备和内网, 外网和内网是完全断开的。保证网络之间是完全断开的。隔离设备可 以理解为纯粹的存储介质,和一个单纯的调度和控制电路。本发明的 目的就是要提供一个能够在网络之间实现物理隔离和数据交换的方 法和硬件隔离设备,实现数据的在隔离状态下的安全交换。
图2为本发明的网络结构图,如图2所示,自动网络切换系统主要 包括交换服务器、外网服务器、内网服务器和网络切换装置。
其中,交换服务器负责从外网服务器中取数据,并将数据转发到 内网服务器,同时交换服务器还负责控制网络切换装置的切换。外网 服务器负责外网数据的组织,并供交换服务器取数据和放数据。内网 服务器负责内网数据的组织,并供交换服务器取数据和放数据。网络 切换装置负责切换交换服务器连接的网络。
交换服务器又包括交换程序控制器、交换数据缓存和交换记录存 储器 其中,交换程序控制器,用于控制网络切换装置与内、外网网 络的断开或者连接;交换数据缓存,用于暂时存储内、外网网络之间 交换的数据;交换记录存储器,用于数据交换记录的存储以及内、外 网的交换数据状态的更新。网络切换装置包括信号检測识别装置、网络开关和网络开关切换 装置,其中信号检测、识别装置,用于检测来自于交换服务器的信号,
并识别出要求连接的是内网网络还是外网网络;网络开关,用于控制 交换服务器和内、外网网络的连接或者断开;网络开关切换装置,用 于将网络开关切换到内网网络或者外网网络。
图3为本发明的网络数据交换流程图,如图3所示,数据交换过程
如下
1、 初始状态下,交换服务器的交换程序的控制模块,通过串口 控制交换器先与内网断开后将交换服务器与外网连接。
2、 当交换程序检测到已经与外网连接时,交换程序通过专用通
道获取外网数据,暂时存于内存中。
3、 获取外网数据完毕后,控制模块控制交换器先与外网断开, 然后连接到内网,通过专用通道把数据转发到内网服务器,在交换过 程中,交换程序将记录成功交换过的数据的状态,以便于更新数据的 状态。
4、 内网数据转发成功以后,交换程序将内网要交换的数据获取 并暂存在转发服务器的内存里。
5、 获取内网数据成功后,控制模块控制交换器断开内网,连接 外网,并将数据交换到外网,这就完成一次数据的交换。同时在交换 的成功后,外网交换过的数据状态根据记录的成功交换的数据状态, 外网相应的数据状态发生变化。
经过以上5个步骤就完成一次数据的交换。
在本发明的一个优选实施例中,网络切换装置是一种两路开关切 换设备。图4为网络切换装置的具体电路图。如图4所示,网络切换装 置釆用标准的RJ45接口,其中一个端口与外网交换机或集线器相连, 另一个端口与内网交换机或集线器相连,还一个端口与交换服务器相连。网络切换装置检测有交换服务器串口发出的信号,识别出要求连 接内网还是外网,网络切换装置内部的网络开关相应的切换到内外 网,内网和外网在同一时刻只有一个能够和交换服务器相连接。
网络开关采用美国德州仪器(Texas Instruments)公司的通信专 用芯片TS3L100。 TS3L100为四路单刀双掷(SPDT)LAN高频开关,可 满足支持10Base-T与100Base"T以太网信令的必需要求。
此前实施以太网媒体接入控制器(MAC)与以太网物理层 (PHY)设备,外围器件比较多,增加了总体系统成本和不稳定性。 TS3L100减少冗余电路,而不会影响信号质量。
TS3L100的工作电压则为3.0V至3.6V,实现了极低的差动串音干 扰(XTALK^55dB典型)。最低350MHz的高带宽配以低功耗(Icc-3 n A 最大)与低导通阻抗(TS3L: Ron-5Q典型),非常适用于高频率LAN应 用。
TS3L100采用节省空间的小外型16引脚QFN (RGY)封装, 以及SSOP(DBQ)与TSSOP(PW)封装。
由于在100Base"T或10Base-T以太网中,只使用了RJ"45插槽的第 1、 2、 3、 6四个引脚(1、 2发送数据,3、 6接收数据),所以在实际 应用中Intemet插槽和网卡插槽的l、 2、 3、 6引脚分别连接TS3L100的 Y端口和I1端口, IO端口悬空。
虽然本发明是结合一个具体实施方式
表述的,但本领域技术人员 可以对其中的某些特征加以适当改变或者将其应用到其它领域以解 决上述问题,因此本领域技术人员在本实施例的基础上进行的所有相 关的扩展和应用都应落入本申请的保护范围。
权利要求
1、一种自动网络切换方法,其特征在于该方法包括如下步骤S1网络切换装置根据来自交换服务器的控制信息将交换服务器与内网网络断开并将交换服务器与外网网络相连;S2交换服务器检测到与外网网络连接后,获取外网网络数据;S3网络切换装置根据来自交换服务器的控制信息将交换服务器与外网网络断开并将交换服务器与内网网络相连;S4交换服务器检测到与内网网络连接后,将获取的外网数据转发到内网网络;S5交换服务器获取内网网络要交换的数据并暂存在交换服务器中;S6交换服务器控制网络切换装置断开内网网络,连接外网网络,并将从内网网络获取的数据转发到外网网络,完成一次数据交换。
2、 如权利要求l所述的自动网络切换方法,其特征在于在步骤S4 和S6中,数据成功转发之后,交换服务器将记录成功交换过的数据的 状态,并相应更新内网网络或者外网网络的数据状态。
3、 如权利要求l所述的自动网络切换方法,其特征在于所述网络 切换装置采用两路开关切换来使内网网络和外网网络在同一时刻只 有一个能够和交换服务器相连接。
4、 如权利要求l所述的自动网络切换方法,其特征在于所述交 换服务器包括交换程序控制器,用于控制网络切换装置与内、外网网络的断开 或者连接;交换数据缓存,用于暂时存储内、外网网络之间交换的数据;和 交换记录存储器,用于数据交换记录的存储以及内、外网的交换 数据状态的更新。
5、 一种自动网络切换系统,包括外网网络、内网网络和交换服务器,其中所述外网网络和内网网络分别负责外、内网数据的组织,并供交换服务器取、放数据;交换服务器用于实现外网网络和内网网络之间的数据交换,其特征在于该系统还包括网络切换装置,用于切换交换服务器连接的网络; 所述交换服务器还用于控制网络切换装置的切换-
6、 如权利要求5所述的自动网络切换系统,其特征在于所述网 络切换装置具有三个端口,分别与外网网络、内网网络和交换服务器 相连。
7、 如权利要求5所述的自动网络切换系统,其特征在于所述内 网网络和外网网络在同一时刻只有一个能够和交换服务器相连接。
8、 如权利要求5所述的自动网络切换系统,其特征在于所述网 络切换装置包括信号检溯、识别装置,用于检測来自于交换服务器的信号,并识 别出要求连接的是内网网络还是外网网络;网络开关,用于控制交换服务器和内、外网网络的连接或者断开;以及网络开关切换装置,用于将网络开关切换到内网网络或者外网网络。
9、 如权利要求8所述的自动网络切换系统,其特征在于所述网 络开关釆用TS3L100通信专用芯片.
10、 如权利要求5所述的自动网络切换系统,其特征在于所述交 换服务器包括交换程序控制器,用于控制网络切换装置与内、外网网络的断开 或者连接;交换数据缓存,用于暂时存储内、外网网络之间交换的数据;和 交换记录存储器,用于数据交换记录的存储以及内、外网的交换 数据状态的更新。
全文摘要
本发明涉及计算机网络安全技术领域,提供一种自动网络切换方法和系统,基于物理隔离的技术,实现两个网络之间的数据交换。自动网络切换系统包括外网网络、内网网络、交换服务器和网络切换装置,其中外网网络和内网网络分别负责外、内网数据的组织,并供交换服务器取、放数据;交换服务器用于控制网络切换装置的切换并实现外网网络和内网网络之间的数据交换,网络切换装置,用于切换交换服务器连接的网络。通过本发明,可以在物理隔离的要求之下,方便的实现不同网络间的数据交换,并且不会对现有网络产生干扰,成本低,使用简单方便。
文档编号H04L29/06GK101645876SQ200810134850
公开日2010年2月10日 申请日期2008年8月4日 优先权日2008年8月4日
发明者仇阿根 刘纪平 张继贤 李玉祥 陶坤旺 徐志峰 张福浩 申请人:中国测绘科学研究院