专利名称:一种安全传输设备的制作方法
技术领域:
本发明涉及一种面向内外网信息交换的安全传输设备。
背景技术:
随着网络技术的发展,计算机网络也正面临着日益剧增的安全威胁。据有关方面透露,国内有63. 6%的企业用户处于“高度风险”级别,我国每年因网络泄密导致的经济损失高达上百亿。在政府、企业等机构的网络应用中,往往需要在互联网和这些组织的内部网之间进行数据传输。由于保密的需要,外网系统不能访问内网的设备。但在一些应用中,内网系统需要从外网传入大量数据,按照严格的保密规定,这些系统之间目前只能用只读光盘来进行数据的交换,而在实际操作中,这是很不方便的。备注外网非涉密网,一股指互联网,也指不被信任的局域网。内网涉密网,内部有保密信息不希望或不允许来自外部网络的访问。现有安全传输设备物理隔离网闸,采用双主机+物理隔离开关的硬件结构,结合高强度的网络协议分析和控制的软件系统,共同构建一个在网络边界处隔离网络已知和未知攻击行为的高端网络安全设备。其主要特征是在网络边界处中断协议的连接,通过安全设备构建一个没有协议,不依赖操作系统,没有命令控制,没有应用直接连通的,只有“无协议的数据包”的转发的安全环境。通过高层高粒度、高强度的协议分析,将应用可控的安全反射到内网。目前的实现技术,并无法从硬件上保证传输的完全单向性,具备回传信息特质,在私有协议上存在控制信号回传的问题,无法从物理上杜绝数据由内网发向外网,而且需改造内外网应用系统,成本高。
发明内容
本发明的目的就是为了从硬件层面上杜绝单向传输系统中的回传,做到严格单向。提出一种安全传输设备,能使外网数据传输到内网,而内网数据不能传输至外网。为实现上述目的,本发明提出一种安全传输设备,包括发送端PC接口协议转换单元、发送端控制单元、FIFO单向存储器、接收端控制单元和接收端PC接口协议转换单元,所述发送端PC接口协议转换单元接收发送端PC机的数据,发送端控制单元按一定的时序从发送端PC接口协议转换单元读取数据并写入FIFO单向存储器中,接收端控制单元从FIFO 单向存储器中读取数据,并输送至接收端PC接口协议转换单元,该接收端PC接口协议转换单元向接收端PC机发送数据。所述发送端或接收端的PC接口可为USB接口、RS232串口或RJ45网络接口。本发明还提出另一种安全传输设备,包括发送端传输设备和接收端传输设备,所述发送端传输设备包括发送端PC接口协议转换单元、发送端控制单元、发送端FIFO单向存储器、发送端处理器和发送端传输介质接口,所述接收端传输设备包括接收端传输介质接口、接收端处理器、接收端FIFO单向存储器、接收端控制单元和接收端PC接口协议转换单元,所述发送端PC接口协议转换单元接收发送端PC机的数据,发送端控制单元按一定的时序从发送端PC接口协议转换单元读取数据并写入发送端FIFO单向存储器中,发送端处理器读取发送端FIFO单向存储器的数据,并传输至发送端传输介质接口,接收端处理器从接收端传输介质接口读取数据,写入接收端FIFO单向存储器,接收端控制单元从接收端FIFO 单向存储器中读取数据,并输送至接收端PC接口协议转换单元,该接收端PC接口协议转换单元向接收端PC机发送数据。所述发送端或接收端的PC接口可为USB接口、RS232串口或RJ45网络接口。所述发送端和接收端传输介质接口可为网络接口或光纤接口。本发明由于使用FIFO先进先出单向存储器,从硬件上保证数据传输的单向性。本发明设计方案实现两台电脑之间的单向传输,两台电脑之间通过常用PC接口连接,如USB 接口、网络接口、串口,本发明有明确的发送端和接收端,不可以反接使用,反接后无法传输数据。实际应用中,发送端PC机为外网PC机,接收端PC机为内网PC机。本发明具备如下优点1、严格单向传输产品从硬件上保证了传输的单向性,它不受两端电脑任何软件、外部信号和指令控制,数据只能从发送端传输到接收端,实现了完全基于硬件层面的单向安全传输。2、部署方便体积小,适合办公室桌面环境使用;无需改造内外网系统,连接简单。
图1为本发明的发送端和接收端集中在一块电路板上的电路方框示意图;图2为实施例一的电路方框示意图;图3为实施例二的电路方框示意图;图4为实施例三的电路方框示意图;图5为本发明的发送端和接收端分离的使用拓扑图;图6为本发明的发送端和接收端分离的电路方框示意图;图7为实施例四的电路方框示意图;图8为实施例四发送端ARM9处理器的控制流程图;图9为实施例四接收端ARM9处理器的控制流程图;图10为实施例五的电路方框示意图。
具体实施例方式下面结合附图对本发明的实施例进行详细描述。如图1所示,为本发明的发送端和接收端集中在一块电路板上的电路方框示意图,包括发送端PC接口协议转换单元、发送端控制单元、FIFO单向存储器、接收端控制单元和接收端PC接口协议转换单元,PC接口协议转换单元主要完成和PC机的数据通信。当发送端PC接口协议转换单元接收到数据时,发送端控制单元按一定的时序从PC接口协议转换单元读取数据并写入FIFO单向存储器中,接收端控制单元从FIFO单向存储器中读取数据,并通过接收端PC接口协议转换单元发送给接收端的PC机。FIFO单向存储器确保数据的完全单向性。
实施例一如图2所示,发送端和接收端两端PC机使用USB连接,发送端和接收端在一块电路板上,发送端和接收端的PC接口协议转换单元、控制单元使用CYPRESS公司的USB控制器CY7C68013实现。USB控制器CY7C68013包括USB协议转换单元和GPIF通用可编程接口,无需外加芯片即可完成高速USB传输。USB控制器CY7C68013的GPIF通用可编程接口完成和FIFO先进先出单向存储器的无缝连接,实现了控制数据写入FIFO单向存储器或从 FIFO单向存储器读取数据的控制单元的功能。发送端和接收端的PC接口协议转换单元、控制单元也可以使用控制器 AT91SAM9261, AT91SAM9261 包含有 USB device 接口,可以和 PC 机进行 USB 连接,完成 USB 协议的转换,其对外的总线接口可以完成对FIFO单向存储器的读写操作;还可以选择其他包含 USBdevice 接口 的控制器,如 ARM9 控制器 S3C2410、S3C2440、S3C6410、AT91SAM9260, EP7212.0MAP3530 等。FIFO单向存储器选用AMD公司的一款先进先出双口存储器,型号是IDT7202。它的存入数据的时间是15ns,即存入频率高达66MHz,完全可以满足数据传输的速度要求。 IDT7202有10M字节的存储深度,低功耗,CMOS工艺,有3种状态标志(空、半满、满)。 也可以用其他的FIFO单向存储器代替IDT7202,如cypress公司的CY7C4231、CY7C4241、 CY7C4225等。FIFO单向存储器在电路上固定了传输方向,不可以通过软件设置。本实施方式成本低,满足一股的完全单向传输要求。实施例二本实施方式,是在实施例一的基础上,更换PC端的连接方式为串口方式,以支持没有USB接口、对速度要求不高的场合,实现方框图如图3所示。发送端和接收端的PC接口协议转换单元使用RS232协议转换单元,选用美信 MAX232芯片,它是美信公司专门为电脑的RS232标准串口设计的单电源电平转换芯片, 具有稳定性高,使用方便等特点。当然,也可以选用其他家的串口电平转换芯片替代,如 stmicroelectronics 公司的 ST232,sipex 公司的 sp3223,Analog Devices 公司的 AMD232寸。发送端和接收端的控制单元选用最常用的AT89S51。目前市面上的大部分处理器都可以满足要求,例如目前常用的51系列:AT89S52, AT89S53等;ARM系列S3C2410、 S3C2440、AT91SAM拟60、LM3S1601、LM3S1751 等;也可以选择 FPGA,常用的有 Altera 公司的 EP2C5、EP2C8、EP3C5、EP3C20 等;Xi Iinx 公司的 XA3S200、XA3S400、XQR4VLX200 等。本实施方式实现了基于串口的数据传输,对无USB接口、网络接口,但是对数据传输速度要求不高的场合提供了另外一种接口选择。实施例三本实施方式,是在实施例一的基础上,更换PC端的连接方式为RJ45接口方式,实现方框图如图4所示。发送端和接收端的PC接口协议转换单元使用网络协议转换单元,选用芯片 DM9000。也可以选用其他的网络协议转换芯片,如CS8900、RTL8019AS、DM9008等。发送端和接收端的控制单元使用ATMEL公司的ARM9控制器AT91SAM^61。也可以选用其他的控制器,如ARM9控制器S3C2410、S3C2440 ;高速51系列单片机C8051F350 ;FPGA控制器EP2AGX45等。当然这里强调高速控制器,一股的低速控制器也是可以的,但是对数据传输速度有比较大的影响。 本实施方式实现了基于网口的数据传输,可以支持没有USB接口,但是对速度要求较高的场合。如图5所示,为本发明的发送端和接收端分离的使用拓扑图;如图6所示,为本发明的发送端和接收端分离的电路方框示意图。包括发送端传输设备和接收端传输设备,所述发送端传输设备包括发送端PC接口协议转换单元、发送端控制单元、发送端FIFO单向存储器、发送端处理器和发送端传输介质接口,所述接收端传输设备包括接收端传输介质接口、接收端处理器、接收端FIFO单向存储器、接收端控制单元和接收端PC接口协议转换单元,所述发送端PC接口协议转换单元接收发送端PC机的数据,发送端控制单元按一定的时序从发送端PC接口协议转换单元读取数据并写入发送端FIFO单向存储器中,发送端处理器读取发送端FIFO单向存储器的数据,通过发送端传输介质接口传输到传输介质上,接收端处理器从接收端传输介质接口读取数据,写入接收端FIFO单向存储器,接收端控制单元从接收端FIFO单向存储器中读取数据,并输送至接收端PC接口协议转换单元,该接收端PC 接口协议转换单元向接收端PC机发送数据。实施例四如图7所示,发送端和接收端两端PC机使用USB连接,发送端和接收端分离,使用网线连接发送端传输设备和接收端传输设备。PC接口协议转换单元和控制单元使用CYPRESS公司的USB控制器CY7C68013实现。也可以和实施例二相同,发送端和接收端的PC接口使用RS232串口,或者,和实施例三相同,发送端和接收端的PC接口使用RJ45网络接口。FIFO单向存储器选用AMD公司的IDT7202。处理器使用ATMEL公司的ARM9控制器AT9ISAM拟61,其运行在180MHz的时候具有200MIPS(单字长定点指令平均执行速度)的处理能力。也可以选用其他的处理器代替 AT91SAM汜61,如 ARM 处理器 S3C2410、S3C2440 ;快速 51 系列 C8051F;35 ;FPGA 控制器 EP2AGX45 等。传输介质接口为网络接口,选用网卡DM9000。发送端ARM9处理器读取发送端FIFO单向存储器上的数据,并按照一定的格式发送到发送端网卡上,接收端的ARM9处理器接收到接收端网卡上的数据,解释数据包的格式,并把数据写到接收端的FIFO单向存储器上。如图8,图9所示,处理器主要完成数据的校验和重传,这里的校验和重传主要是针对网络层,发送端处理器在发送数据时,会对数据包进行编号,并会打开网卡的硬件校验。接收端在接收到数据以后,网卡会对接收的数据进行硬件校验,只有校验正确的数据才会传输给处理器,处理器接收到数据后,会对数据包的编号顺序做一个检查。当数据包编号为期望值时,回复一个接收正确的包到发送端,否则回复接收失败,具体的失败情况也会作为一个错误码传输回去。接收端接收到正确回应时,会继续发送下一个数据包,如果接收到出错的事件包,会根据出错的情况重传一个数据包或者多个数据包。如图7所示,接收端和发送端有对称的结构,主要是FIFO先进先出单向存储器的方向不一样。
本实施方式使发送端和接收端可以进行一定距离的数据传输,一股USB线的传输距离在5米以内,使用质量良好的网线可以达到100米以上的传输距离。实施例五如图10所示,本实施例是在实施例四的基础上,将网络接口改成光纤接口,发送端传输设备和接收端传输设备之间的连接方式改为光纤连接,以满足一些特殊的场合发送端和接收端的电气隔离要求。光纤接口使用以太网交换控制芯片RTL8305,RTL8305高度集成,使用简单,只要很少的外围元器件就能够构成一个完整的光纤转发电路,简单配置后就能够实现以太网到光纤的转换。也可以使用其他的光电转换芯片代替RTL8305,如九阳电子的IP113,IP210寸。本实施方式实现了发送端和接收端的电气隔离,同时使发送端和接收端可以进行长距离传输,例如发送端连接到办公室的一台PC机上,接收端可以连接到几公里以外的另一个办公室的PC机上。
权利要求
1.一种安全传输设备,其特征在于包括发送端PC接口协议转换单元、发送端控制单元、FIFO单向存储器、接收端控制单元和接收端PC接口协议转换单元,所述发送端控制单元按一定的时序从发送端PC接口协议转换单元读取数据并写入FIFO单向存储器中,接收端控制单元从FIFO单向存储器中读取数据,并输送至接收端PC接口协议转换单元。
2.根据权利要求1所述的安全传输设备,其特征在于所述发送端或接收端的PC接口为USB接口、RS232串口或RJ45网络接口。
3.一种安全传输设备,其特征在于包括发送端传输设备和接收端传输设备,所述发送端传输设备包括发送端PC接口协议转换单元、发送端控制单元、发送端FIFO单向存储器、发送端处理器和发送端传输介质接口,所述接收端传输设备包括接收端传输介质接口、 接收端处理器、接收端FIFO单向存储器、接收端控制单元和接收端PC接口协议转换单元, 所述发送端控制单元按一定的时序从发送端PC接口协议转换单元读取数据并写入发送端 FIFO单向存储器中,发送端处理器读取发送端FIFO单向存储器的数据,并传输至发送端传输介质接口,接收端处理器从接收端传输介质接口读取数据,写入接收端FIFO单向存储器,接收端控制单元从接收端FIFO单向存储器中读取数据,并输送至接收端PC接口协议转换单元。
4.根据权利要求3所述的安全传输设备,其特征在于所述发送端或接收端的PC接口为USB接口、RS232串口或RJ45网络接口。
5.根据权利要求3或4所述的安全传输设备,其特征在于所述发送端和接收端的传输介质接口为网络接口或光纤接口。
全文摘要
本发明提出一种安全传输设备,包括发送端PC接口协议转换单元、发送端控制单元、FIFO单向存储器、接收端控制单元和接收端PC接口协议转换单元,发送端控制单元按一定的时序从发送端PC接口协议转换单元读取数据并写入FIFO单向存储器中,接收端控制单元从FIFO单向存储器中读取数据,并输送至接收端PC接口协议转换单元。本发明还提出另一种安全传输设备,包括发送端传输设备和接收端传输设备。本发明由于使用FIFO先进先出单向存储器,从硬件上保证数据传输的单向性,故能使外网数据传输到内网,而内网数据不能传输至外网。
文档编号H04L29/06GK102195984SQ20111012883
公开日2011年9月21日 申请日期2011年5月18日 优先权日2011年5月18日
发明者奚建清, 黄昱钊 申请人:广州市飞元信息科技有限公司