一种隔离网闸设备和实现方法与流程

本发明涉及内外网络安全隔离的技术领域，具体涉及一种隔离网闸设备和实现方法。

背景技术：

随着网络技术的不断应用和完善，internet与社会各方面的结合越来越紧密，企业办公、电子商务、政务公开化、各单位信息化建设等一系列网络应用蓬勃发展。人们在享受互联网丰富、便捷的同时，也日益感受到各类安全威胁正在飞速增长，频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题极大地困扰着用户，给信息网络和核心业务造成严重的破坏。为了解决这样的矛盾，人们通过隔离网闸这样的设备对两个网络系统进行隔离。通常情况下，此类隔离网闸安装在两个不同功能的网络之间，将两个网络进行逻辑隔离，即使某个网络出现问题，不会导致灾害蔓延，同时让两个网络之间无法通过标准的tcp/ip协议互相访问，起到保护网络安全的作用。

smpte-424m/2081/2082接口协议标准(数字分量串行接口)是一种应用于广播电视领域实时传输hd/uhd音视频信号的国际标准，其中424m/2081/2082分别支持3gbps，6gbps，12gbps的带宽。smpte-424m/2081/2082接口协议标准是为建立实时音视频数据传输而设计的，这类标准为单向传输，不像计算机网络那样使用握手协议，本方法通过串行口配合高速数据交换实现双向数据的控制和校验，从而实现高速、恒定和安全的数据隔离交换。

技术实现要素：

本发明提出的一种隔离网闸设备和实现方法，可解决现有网络之间存在网络攻击、病毒泛滥、非授权访问、信息泄密等不安全的技术问题。

为实现上述目的，本发明采用了以下技术方案：

一种隔离网闸设备和实现方法，包括：

由两台网络主机(以下分别简称为主机a,主机b)和两块数据传输卡(以下分别简称为传输卡a,传输卡b)组成，数据传输卡通过pci-e总线与主机交换数据，每个数据传输卡有多个连接器端口，两块数据传输卡之间的连接器通过高速电缆连接，两台主机通过千兆和万兆网口分别与两个网络系统相连(以下分别称为网络a，网络b)。

数据传输卡的数据端口可通过主机中的软件设置为数据发送或数据接收功能，在系统运行过程中可动态改变数据传输方向，此时需要两个接口成对修改。

网络主机a要传输的数据，通过主机中的软件按照类似yuv格式编码打包，并且特定算法计算出数据包的校验数据，将控制数据、原始数据和校验数据组成完整的数据包，发送到传输卡a，传输卡a中的fpga将这些数据包用smpte-424m/2081/2082标准(选用那种标准由主机的软件根据设备的型号指定)将数据包编码，然后通过转换电路将并行数据转换为串行化数据，通过高速电缆传输到传输卡b，同时通过串口将控制数据和校验数据同步传输到主机b的串行口。传输卡b将接收到的串行数据转化成并行数据通过pci-e总线传给主机b，主机b将接收到的数据包采用相同算法重新计算校验数据，主机b将传输卡b接收到校验数据，重新计算的校验数据以及串口接收到的校验数据进行比对，若三者相符，该数据包为有效的数据包，若不相符，主机b通过串口发送对应指令通知主机a重新传输上述数据包，从网络b数据传输到网络a原理同上。由于两台网络主机之间有多条数据链路，每条数据链路的传输方向都可通过软件设定，故可实现网络a,网络b之间互相传输数据。

由于隔离网闸的两台主机有多个数据链路，每个链路的传输方向都是可改变的，故该隔离网闸可根据网络a和网络b之间数据交换的任务负载动态调整传输带宽。

本发明的数据加密安全网闸，通过web软件进行系统配置，可设置数据交换的策略、应用场景以及相关认证、审计等功能。

由上述技术方案可知，本发明在数据链路层断开内、外网，实现内、外网隔离，利用访问列表进行访问控制，只允许指定的源、目的地址和端口号的基于tcp协议或udp协议的数据包按照指定的方向进行数据传输。本发明数据加密安全网闸的软件采用模块化设计，具有可选的数据加密模块，通过定制硬件，可选择明文、私有加密算法、国家密码局认定的国产密码算法的不同数据加密方式，适应不同数据加密强度与系统开销需求，具有良好的适用性和可扩展性。同时本发明具有很高的实用性、高效性和安全性。

附图说明

图1是本发明的结构示意图；

图2是本发明的功能流程图；

图3是本发明实施例步骤s1传输数据的编码格式示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

如图1所示，本实施例所述的隔离网闸设备和实现方法，所述隔离网闸设备基于smpte-424m/2081/2082接口协议标准，包括：

隔离网闸分为两部分：网络a处理机(以下简称主机a)和网络b处理机(以下简称主机b)，每台机器上有光纤网口/以太网口若干个、基于pci-e总线的fpga数据编码和转换电路、com收发端口(主机a上为coma和主机b上为comb)；

上述的pci-e总线电路包含fpga数据编码电路、转换电路和pci-e接口，主机a中的pci-e控制电路我们简称传输卡a，主机b中的pci-e控制电路我们简称传输卡b；

主要实现步骤如下：

s1、主机a将要传输的数据，按照类似yuv格式编码打包，并且计算出数据包的校验数据；

其中，本实施例编码格式如图3所示；本实施例计算出数据包的校验数据采用算法md5(message-digestalgorithm)实现。

s2、将s1中编码打包好的原始数据、控制数据以及计算出的校验数据通过pci-e总线发送到传输卡a中；

s3、传输卡a中的fpga电路将这些数据包用smpte-424m/2081/2082标准将数据编码打包，通过转换电路将并行数据转换为串行数据，通过高速电缆传输到传输卡b；

同时地，coma把控制数据和校验数据传输到comb口(称此时comb口收到的校验数据为“校验数据2”)；

s4、传输卡b把收到的串行数据通过转换电路转化成并行数据，fpga将编码数据还原成原始数据，通过pci-e总线传输给主机b；

s5、主机b根据和步骤s2中同样的算法计算出校验数据(称此时的校验数据为“校验数据1”)；

s6、对比上述步骤中的“校验数据1”和“校验数据2”；

若上述两个校验数据一致，则认为该数据包有效；

若不一致，则主机b通过串口发送对应指令通知主机a重新传输上述数据包；

从网络b传输数据到网络a的步骤同上；

由于smpte协会不定期更新协议的最新版本，因此本发明所保护的应该含有smpte-424m/2081/2082协议的升级版本。

综上可知，由于本发明实施例的隔离网闸安装在两个计算机网络之间，可以实现硬件对链路层的隔断，安全管理模块和人工审计管理模块的设置，可以使各应用模块在两个计算机系统上运行着身份认证、访问控制、内容检查、入侵检测以及硬件隔离与数据传输驱动软件，实现对用户和信息的认证、控制、检查，使安全隔离网闸所连接的两个信息网络之间能够进行安全、适度的信息交换，从一个网络向另一个网络发送的敏感信息和有害信息可以得到有效的控制。其人工审计管理模块的设置，可以进行人为的信息确认、保密检查等工作，充分保证了信息传递的准确性和可靠性，这种在断开链路层的基础上进行的网络之间的信息交换方式，可以广泛应用于数据库交换、文件交换、特定信息交换等领域，适合于广播电视、教育机构及证券等对安全性要求很强，对数据交换带宽要求高的行业和部门。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。