一种基于sdi总线进行数据传输的隔离方法及装置制造方法
【专利摘要】本发明提供一种基于SDI总线进行数据传输的隔离方法,包括以下步骤:接收以太网格式数据并解析;将所述以太网格式数据转换成SDI私有协议格式数据并加密;将所述SDI私有协议格式数据发送至目标网络;接收所述SDI私有协议格式数据并解密;将所述SDI私有协议格式数据还原成以太网格式数据并在所述目标网络内传输。该隔离方法有效地防止了通用协议所带来的安全隐患,使数据自由、方便、受控地传送,同时还提高了传输效率。本发明还提供一种基于SDI总线进行数据传输的隔离装置。
【专利说明】一种基于SDI总线进行数据传输的隔离方法及装置
【技术领域】
[0001]本发明属于网络安全【技术领域】,具体涉及一种基于SDI总线进行数据传输的隔离方法及装置。
【背景技术】
[0002]在广电行业等领域,为了保证系统的安全性,制作网(内网)与互联网、办公网(外网)之间进行物理隔绝,制作网和外网之间不能相互访问,这给内外网之间的文件交换带来许多不变。
[0003]目前常用的内外网文件交换方式有两种:其一,采用两套以上的杀毒软件(如卡巴斯基和瑞星等杀毒软件)先对U盘进行杀毒,再将杀过毒的U盘与制作网内的固定机器对接,然后将数据拷入制作网络。其二,通过USB摆渡的方式将外网的数据拷入制作网内。USB摆渡方式是在制作网的内部和外部各设有一专门用于文件传送的电脑,两台电脑通过USB接口和专用USB对联线相连,并且均装有文件同步软件,以及采用USB传输协议。这两种文件交换方式的实现原理基本相同,均是借助USB端口来隔离网络协议,以防止网络攻击。然而,一方面,这些做法虽然隔离了网络协议的攻击,但USB传输协议并不是私有协议,而是公开的通用协议;另一方面,杀毒软件具有滞后性,针对USB传输协议开发的恶意文件总能通过USB端口传入到制作网中。这两方面的缺陷给制作网络的安全带来重大隐患。
[0004]基于以上考虑,急需一种高效、安全的文件传送机制,既实现文件内外网自由、方便、受控的传送功能,又能全方面保障制作网络与外网文件传输系统的安全性。
【发明内容】
[0005]为解决上述技术问题,本发明提供一种基于SDI总线进行数据传输的隔离方法及装置,其不仅能够实现数据在内外网自由、方便、受控的传送功能,而且能够全面保障网络的安全性。
[0006]解决上述技术问题的所采用的技术方案是提供一种基于SDI总线进行数据传输的隔离方法,包括以下步骤:
[0007]接收以太网格式数据并解析;
[0008]将所述以太网格式数据转换成SDI私有协议格式数据并加密;
[0009]将所述SDI私有协议格式数据发送至目标网络;
[0010]接收所述SDI私有协议格式数据并解密;
[0011]将所述SDI私有协议格式数据还原成以太网格式数据并在所述目标网络内传输。
[0012]其中,在将所述以太网格式数据转换成私有协议格式数据后,先检测数据是否符合私有协议,再进行加密。
[0013]本发明还提供一种基于SDI总线进行数据传输的隔离装置,用于确保内网和外网之间文件传输的安全性,包括:
[0014]外部处理单元,设于所述外网,用于将数据在以太网格式和SDI私有协议格式之间相互转换,以及对所述数据进行加密或解密;
[0015]内部处理单元,设于所述内网,用于将数据在以太网格式和SDI私有协议格式之间相互转换,以及对所述数据进行加密或解密;
[0016]SDI传输单元,用于实现所述外部处理单元和所述内部处理单元之间数据的传输。
[0017]其中,所述外部处理单元和所述外部处理单元分别包括网口、刀片式服务器、PCIE接口以及现场可编程门阵列;其中,
[0018]所述网口用于所述刀片式服务器与所在网络进行数据传输;
[0019]所述刀片服务器用于将以太网格式的数据解析出来并封装成SDI私有协议格式以及将数据还原成以太网格式;
[0020]所述PCIE接口用于按照SDI私有协议传输所述数据;
[0021]所述现场可编程门阵列用于检测数据是否符合SDI私有协议,以及对数据加密或解密。
[0022]其中,所述外部处理单元和所述内部处理单元分别包括访问控制模块,用于控制。
[0023]其中,所述SDI传输单元包括分别设于所述外网和所述内网的至少一对SDI接口,所述外部处理单元和所述内部处理单元借助所述成对SDI接口进行数据的传输。
[0024]其中,所述网口包括管理网口和数据通路网口,所述管理网口用于控制整个系统,所述数据通路网口用于数据传输。
[0025]其中,所述外部处理单元和所述内部处理单元还分别包括:
[0026]电源,用于提供电能;
[0027]内存,用于缓存数据;
[0028]时钟电路,用于提供时钟;
[0029]FLASH,用于存储第一现场可编程门阵列的程序;
[0030]可编程接口,用于外扩网口和/或SDI接口,或对接子板;
[0031 ] 均衡器,用于提高信号质量。
[0032]本发明具有以下有益效果:
[0033]本发明提供的基于SDI总线进行数据传输的隔离方法先将以太网格式数据转换成SDI私有协议格式数据并加密,然后传输至目标网络,进入目标网络后先解密并转换成以太网格式数据,然后在目标网络内传输,即两个网络之间通过SDI私有协议进行隔离传输,从而实现外网应用只能访问到外部处理单元,内网应用只能访问到内部处理单元,对应用裸数据(通过数据剥离对应用数据深层次的剥离,直至层层剥离至最终的裸数据)在内部处理单元、外部处理单元之间通过SDI私有协议进行隔离传递,有效地防止了通用协议所带来的安全隐患,使数据自由、方便、受控地传送,同时还提高了传输效率。
[0034]本发明提供的基于SDI总线进行数据传输的隔离装置借助外部处理单元/内部处理单元先将以太网格式数据转换成SDI私有协议格式数据并加密,然后通过SDI传输单元将数据传输至目标网络,进入目标网络后,再借助内部处理单元/外部处理单元解密并转换成以太网格式数据,然后在目标网络内传输,即利用内部处理单元和外部处理单元将数据转换成SDI隔离私有协议,通过SDI传输单元进行传递,从而实现外网应用只能访问到外部处理单元,内网应用只能访问到内部处理单元,对应用裸数据(通过数据剥离对应用数据深层次的剥离,直至层层剥离至最终的裸数据)在内部处理单元、外部处理单元之间通过SDI隔离私有协议进行传递,有效地防止通用协议所带来的安全隐患,又能使数据自由、方便、受控地传送,同时还提高了传输效率。
【专利附图】
【附图说明】
[0035]图1为本发明实施例基于SDI总线进行数据传输的隔离装置的原理图;
[0036]图2为本发明实施例基于SDI总线进行数据传输的隔离装置的原理框图;
[0037]图3为本发明实施例基于SDI总线进行数据传输的隔离方法的流程图;
[0038]图4为本发明实施例利用基于SDI总线进行数据传输的隔离方法从外网向内网传输文件的流程图。
【具体实施方式】
[0039]为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的基于SDI总线进行数据传输的隔离方法和装置进行详细描述。
[0040]本实施例提供的基于SDI总线进行数据传输的隔离装置是用于外网(如互联网或办公网)和内网(如广电行业的制作网)之间文件传输的安全性。如图1所示,基于SDI总线进行数据传输的隔离装置包括外部处理单元1、内部处理单元2和SDI传输单元3。其中,外部处理单元I设于外网,其用于将数据在以太网格式和SDI私有协议格式之间相互转换,以及对数据进行加密或解密。外部处理单元I设于内网,其用于将数据在以太网格式和SDI私有协议格式之间相互转换,以及对数据进行加密或解密。SDI传输单元3用于实现外部处理单元和内部处理单元之间数据的传输。
[0041]如图2所示,外部处理单元I包括刀片式服务器11、现场可编程门阵列(Field-Programmable Gate Array,简称 FPGA)12 和数据串行(Serial DigitalInterface,简称SDI)接口 13,刀片式服务器11通过网口 14与外网进行数据传输,刀片式服务器11通过PCIE接口 16与现场可编程门阵列12进行数据传输,现场可编程门阵列12通过数据串行接口 13与内部处理单元进行数据传输。
[0042]网口 14包括通路网口 14a和管理网口 14b,数据通路网口 14a用于数据传输,管理网口 14b可用于控制包含外部处理单元和内部处理单元的整个系统。刀片式服务器11将由数据通路网口 14进来的数据缓冲下来,并将以太网格式数据解析出来,依次进行xml过滤和访问控制,然后封装成SDI私有协议,最后通过PCIE接口 16将数据按照SDI私有协议发送给现场可编程门阵列12。
[0043]其中,xml过滤是对解析出的XML文件进行格式比对,通过对文件的格式判断是否是合法的XML文件。访问控制可采用双重控制手段,第一种是通过刀片服务器的CPU软件实现访问控制,如IP、MAC以及深度的协议分析。第二种是通过FPGA芯片进行访问控制,但功能较为单一进能对IP、MAC、端口号进行管控。具体的访问控制方式可根据用户的需求自行定义。
[0044]现场可编程门阵列12检测数据是否符合SDI私有协议并作相关处理,然后将数据加密封装,最后由数据串行接口 13发送出去。现场可编程门阵列12所作的相关处理包括数据处理。具体地,若应用层想要把数据包传送给现场可编程门阵列12,首先需要通过驱动在每个数据包上加上特定数据,现场可编程门阵列12拿到数据包后,将没有特定数据的那些数据包扔掉,也就是说,现场可编程门阵列12对从刀片式服务器11接收过来的数据进行选择,以防止数据错误。
[0045]现场可编程门阵列12还用于将从接收到的数据解密拆封,然后按照SDI私有协议发送给刀片式服务器11。刀片式服务器11将数据还原成以太网格式,然后通过网口 14发送至外网。也就是说,刀片式服务器11用于将以太网格式的数据解析出来并封装成SDI私有协议以及将数据还原成以太网格式,即,刀片式服务器11用于将数据在以太网格式和SDI私有协议格式之间相互转换。
[0046]内部处理单元2包括刀片式服务器21、现场可编程门阵列(Field-ProgrammableGate Array,简称 FPGA) 22 和数据串行(Serial Digital Interface,简称 SDI)接口 23,刀片式服务器21通过网口 24与内网进行数据传输,刀片式服务器21通过PCIE接口 26与现场可编程门阵列22进行数据传输,现场可编程门阵列22通过数据串行接口 23与外部处理单元进行数据传输。
[0047]网口 24包括通路网口 24a和管理网口 24b,数据通路网口 24a用于数据传输,管理网口 24b用于控制整个系统。刀片式服务器21将由数据通路网口 24进来的数据缓冲下来,并将以太网格式数据解析出来,xml过滤,访问控制,并封装成SDI私有协议,然后通过PCIE接口 26将数据按照SDI私有协议发送给现场可编程门阵列22。现场可编程门阵列22检测下数据是否符合SDI私有协议并作相关处理,然后将数据加密封装,最后由数据串行接口 23发送出去。
[0048]现场可编程门阵列22检测数据是否符合SDI私有协议并作相关处理,然后将数据加密封装,最后由数据串行接口 23发送出去。现场可编程门阵列22还可用于将把数据串行接口 23接收到的数据解密拆封,然后按照SDI私有协议发送给刀片式服务器21。刀片式服务器21将数据还原成以太网格式,然后通过网口 24发送至内网。也就是说,刀片式服务器21用于将以太网格式的数据解析出来并封装成SDI私有协议以及将数据还原成以太网格式,即,刀片式服务器21用于将数据在以太网格式和SDI私有协议格式之间相互转换。在本实施例中,现场可编程门阵列12和现场可编程门阵列22是在PAL、GAL、CPLD等可编程器件的基础上进一步发展的产物。它是作为专用集成电路(ASIC)领域中的一种半定制电路而出现的,既解决了定制电路的不足,又克服了原有可编程器件门电路数量有限的缺点。现场可编程门阵列12和现场可编程门阵列22可采用XILINX的A系列FPGA,在xappll71框架基础上面实现的。FPGA程序主要负责把PC端的数据从PCIE接口 16、26接收过来,然后从SDI接口发送出去。FPGA还可以对数据做访问控制等操作。
[0049]在本实施例中,数据串行接口 13和23是单向的。外部处理单元I和内部处理单元2分别设有四路数据串行接口 13,其中,两路用于自现场可编程门阵列12向现场可编程门阵列22的数据传输,另外两路用于数据自现场可编程门阵列22向现场可编程门阵列12的数据传输。
[0050]顶层模块例化了 PCIE接口的bd模块,SDI接口模块,访问控制模块。
[0051]module black_diamond_gatekeeper (
[0052]//全局时钟,复位
[0053]//PCIE 接口
[0054]//SDI 接口);
[0055]//PCIE block design
[0056]designl PCIE (
[0057]//PCIE 接口
[0058]//本地接口 I);
[0059]//访问控制
[0060]datactl datactl (
[0061]//本地接口 I
[0062]// 本地接口 2);
[0063]//SDI
[0064]sdi sdi (
[0065]// 本地接口 2
[0066]//SDI 接口);
[0067]Endmodule
[0068]数据串行接口 13和数据串行接口 13是将数字音频信号插入到视频信号的行、场同步脉冲(行、场消隐)期间并数字分量视频信号同时传输。
[0069]在本实施例中,PCIE接口 16、26采用SG DMA, PCIE接口是设计在xappll71的基础上面实现的,xappll71提供了一个user_m_axi的接口,在这个接口上连接一个axi的FIFO,提供给用户,即能满足需求。
[0070]在本实施例中,外部处理单元I和内部处理单元2还可分别包括:
[0071]电源51,用于提供电源,如给板卡供电。电源可借助刀片式服务器的电源,各种转换供给板卡使用。
[0072]DDR52,作为内存使用,用于缓冲数据、SDI数据。
[0073]时钟电路53,用于时钟,如为FPGA、SDI接口、PCIE接口提供时钟。
[0074]FLASH54,用于存储 FPGA 程序。
[0075]EEPR0M55,作为小容量存储器,用于存储某些序列号,版本号等信息。
[0076]SDCARD56,作为 SD 卡备用。
[0077]GP1057,作为可编程接口,可用于外扩网口、SDI接口等,可以对接一个子板。
[0078]均衡器,用于提高SDI信号质量强度。
[0079]上述基于SDI总线进行数据传输的隔离装置具有以下优点:
[0080]安全性:基于SDI信道的私有通讯协议,所有通过系统的应用层信息都从TCP/IP协议中剥离,被还原为静态数据,再通过专有的安全隔离硬件和私有通讯协议发送至接收端,从接收端发往目的地址时将会把数据还原至标准的TCP/IP包格式,从而达到协议隔离作用。
[0081]扩展性:基于刀片式架构,将X86+FPGA集成到独立的刀片服务器中,每两组刀片组成一套完整的交换系统,灵活部署。
[0082]合规性:配备独立的安全防护系统(独立的刀片板卡),对交换的数据进行基于媒体文件格式和内容的检查,也可以针对XML进行合规性检查。
[0083]传输速率高:FPGA加速技术使得最高传输速率可达到3Gbp/s。
[0084]本发明提供的基于SDI总线进行数据传输的隔离装置先将以太网格式数据转换成SDI私有协议格式数据并加密,然后传输至目标网络,进入目标网络后先解密并转换成以太网格式数据,然后在目标网络内传输,即两个网络之间通过SDI隔离私有协议进行传递,从而有效地防止通用协议所带来的安全隐患,又能使视频、音频、文本、图片等文件在两个网络之间自由、方便、受控地传输,同时FPGA还提高了传输效率。因此,该基于SDI总线进行数据传输的隔离装置既保证了网络的安全性又提高了传输效率,达到文件受控、防病毒的技术效果。
[0085]本发明还提供了一种基于SDI总线进行数据传输的隔离方法,如图3所示,基于SDI总线进行数据传输的隔离方法包括以下步骤:
[0086]步骤S31,接收以太网格式数据并解析;
[0087]步骤S32,将以太网格式数据转换成SDI私有协议格式数据并加密;
[0088]步骤S33,将SDI私有协议格式数据发送至目标网络;
[0089]步骤S34,接收SDI私有协议格式数据并解密;
[0090]步骤S35,将SDI私有协议格式数据还原成以太网格式数据并在所述目标网络内传输。
[0091]在优选实施例中,在将以太网格式数据转换成私有协议格式数据后,先检测数据是否符合私有协议,再进行加密,从而提高了数据传输的安全性。
[0092]下面以从外网向内网传输文件为例,对本实施例基于SDI总线进行数据传输的隔离方法进行详细描述。
[0093]结合图2和如图4所示,基于SDI总线进行数据传输的隔离方法从外网向内网传输文件的流程图,其包括以下步骤:
[0094]步骤S41,刀片式服务器11通过网口 14接收外网的数据,并将数据缓冲下来。
[0095]刀片式服务器11接收的来自外网的数据是以太网格式。
[0096]步骤S42,刀片式服务器11将以太网格式数据解析出来,xml过滤,访问控制,并封装成SDI私有协议。
[0097]步骤S43,将数据按照SDI私有协议通过PCIE接口 16发送给现场可编程门阵列12。
[0098]步骤S44,现场可编程门阵列12检测数据是否符合SDI私有协议并做相关处理,然后将数据加密封装,再经由SDI接口 13发出。
[0099]步骤S45,现场可编程门阵列22通过SDI接口 23接收SDI接口 13发出的数据,解密拆封,然后通过PCIE接口 26发送至刀片式服务器21。
[0100]步骤S46,刀片式服务器21将数据还原为以太网格式,然后发送至内网。
[0101]不难理解,当从内网向外网发送文件时,内部处理单元和外部处理单元的角色互换,即内部处理单元将以太网格式数据转换为SDI私有协议的数据并加密,外部处理单元解密并将SDI私有协议数据转换为以太网格式数据。也就是说,内部处理单元和外部处理单元根据数据传输的方向做相应的操作。
[0102]本发明提供的基于SDI总线进行数据传输的隔离方法先将以太网格式数据转换成SDI私有协议格式数据并加密,然后传输至目标网络,进入目标网络后先解密并转换成以太网格式数据,然后在目标网络内传输,即两个网络之间通过SDI隔离私有协议进行传输,从而实现外网应用只能访问到外部处理单元,内网应用只能访问到内部处理单元,对应用裸数据(通过数据剥离对应用数据深层次的剥离,直至层层剥离至最终的裸数据)在内部处理单元、外部处理单元之间通过SDI隔离私有协议进行传递,有效地防止了通用协议所带来的安全隐患,使数据自由、方便、受控地传送,同时还提高了传输效率。
[0103] 可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
【权利要求】
1.一种基于SDI总线进行数据传输的隔离方法,其特征在于,包括以下步骤: 接收以太网格式数据并解析; 将所述以太网格式数据转换成SDI私有协议格式数据并加密; 将所述SDI私有协议格式数据发送至目标网络; 接收所述SDI私有协议格式数据并解密; 将所述SDI私有协议格式数据还原成以太网格式数据并在所述目标网络内传输。
2.根据权利要求1所述的基于SDI总线进行数据传输的隔离方法,其特征在于,在将所述以太网格式数据转换成私有协议格式数据后,先检测数据是否符合私有协议,再进行加LU O
3.一种基于SDI总线进行数据传输的隔离装置,用于确保内网和外网之间文件传输的安全性,其特征在于,包括: 外部处理单元,设于所述外网,用于将数据在以太网格式和SDI私有协议格式之间相互转换,以及对所述数据进行加密或解密; 内部处理单元,设于所述内网,用于将数据在以太网格式和SDI私有协议格式之间相互转换,以及对所述数据进行加密或解密; SDI传输单元,用于实现所述外部处理单元和所述内部处理单元之间数据的传输。
4.根据权利要求3所述的基于SDI总线进行数据传输的隔离装置,其特征在于,所述外部处理单元和所述外部处理单元分别包括网口、刀片式服务器、PCIE接口以及现场可编程门阵列;其中, 所述网口用于所述刀片式服务器与所在网络进行数据传输; 所述刀片服务器用于将以太网格式的数据解析出来并封装成SDI私有协议格式以及将数据还原成以太网格式; 所述PCIE接口用于按照SDI私有协议传输所述数据; 所述现场可编程门阵列用于检测数据是否符合SDI私有协议,以及对数据加密或解LU O
5.根据权利要求4所述的基于SDI总线进行数据传输的隔离装置,其特征在于,所述外部处理单元和所述内部处理单元分别包括访问控制模块,用于控制。
6.根据权利要求4所述的基于SDI总线进行数据传输的隔离装置,其特征在于,所述SDI传输单元包括分别设于所述外网和所述内网的至少一对SDI接口,所述外部处理单元和所述内部处理单元借助所述成对SDI接口进行数据的传输。
7.根据权利要求6所述的基于SDI总线进行数据传输的隔离装置,其特征在于,所述网口包括管理网口和数据通路网口,所述管理网口用于控制整个系统,所述数据通路网口用于数据传输。
8.根据权利要求6所述的基于SDI总线进行数据传输的隔离装置,其特征在于,所述外部处理单元和所述内部处理单元还分别包括: 电源,用于提供电能; 内存,用于缓存数据; 时钟电路,用于提供时钟; FLASH,用于存储第一现场可编程门阵列的程序;可编程接口,用于外扩网口和/或SDI接口,或对接子板;均衡器,用于提高信号质量。
【文档编号】H04L29/06GK104333546SQ201410578698
【公开日】2015年2月4日 申请日期:2014年10月24日 优先权日:2014年10月24日
【发明者】韩钢, 沈传宝, 林晓东, 李岩, 白兴伟, 侯晓雄, 孙敏刚, 毕国奇, 王鸣皓, 石毅 申请人:北京捷成世纪科技股份有限公司