专利名称:信息桥网络安全隔离装置的制作方法
技术领域:
本发明涉及一种计算机网络安全隔离装置,具体地说,是一种信息桥网络安全隔离装置。
本发明的信息桥网络安全隔离技术方案是在内网和外网之间加入一个信息桥,用于信息的存储转发。当用户需要把内网的数据发布到外网上时,可以把数据发送到信息桥的存储区域,然后通过信息桥对外发送。反之亦然。
综上所述,本发明的信息桥网络安全隔离装置,其包括分别连接内网的内网接口、连接外网的外网接口和连接用户控制端的串口通信接口,特点是在该内外网之间设一用于信息存储转发的信息桥和一连接该信息桥的接口,以及一分别连接上述的内、外网接口、信息桥接口与串口通信接口的信息桥隔离核心模块;所说的内、外网接口和信息桥接口均为标准以太网接口;所说的信息桥隔离模块,其包括一通道选择开关组和一核心微处理器,该核心微处理器分别以控制总线和串行通信线单向联结该通道选择开关组和双向联结该串口通信接口,而该通道选择开关组则分别以数据总线双向联结该三个以太网接口;该核心微处理器设有内嵌式操作模块;所说的用户控制端设有一用户控制模块,其经由该串口通信接口指示该信息桥隔离核心模块使三个以太网接口处于三种组合状态a.内网以太网接口和信息桥以太网接口连通;b.外网以太网接口和信息桥以太网接口连通;和c.三个以太网接口处于断开状态,从而,相应地实现信息桥分别与内、外网连通和它们共处于隔离状态;更具体地,在该核心微处理器和该串口通信接口之间还设有一电平转换模块,以提供电路所需的正负电平;所说的用户控制模块其包括接受用户控制端登录的主控制界面,分别后接该主控界面的手动模式与定时模式,而且,该手动模式直接连接该当前状态,而该定时模式则经定时设定状态库连接该当前状态;该定时设定状态库接受一定时器的控制;而该当前状态则接受另一定时器的控制;该当前状态的输出经指令生成器后由该串口通信接口送该信息桥隔离核心模块;上述的信息桥是一台存储容量至少是1兆字节的PC机或工作站或服务器;上述的用户控制端是一台PC机或工作站或服务器;上述的串口通信接口系采用RS-232通信协议。
本发明的效果是显著的其成功地解决了物理隔断和使用方便性之间的矛盾,使得内网和外网不仅严格地实现了物理隔离,而且还能在需要的时候方便地在内外网之间传递信息。而且当需要从内网向外网发布信息时,不再需要人工拷贝信息并用存储介质手动输入到与外网相连的设备中。同样,从内网提取外网发送的信息时也相当方便。其间的安全性、可靠性也大大增强,把因为用户操作失误或非人为因素而引起秘密泄漏、造成财产损失的可能性降到最低。
图2是本发明的信息桥网络安全隔离装置电路方框图。
图3是本发明中的用户控制模块结构示意图。
请参阅
图1,图中所示的信息桥隔离核心模块104即为实现网络接口通断控制的硬件装置,它包括核心处理1040、内嵌式操作模块(图中未示出)、数据总线1042、选择开关组1041。串口通信接口100为标准串口通信接口,三个接口101、102、103均为标准以太网接口,用户控制端14为运行于用户控制模块140上的操作终端,可为PC(个人电脑)或工作站或服务器,信息桥13是信息中转存储区域,可为拥有较大存储容量(至少为1兆字节)的PC(个人电脑)或工作站或服务器。内网(局域网)11和外网(公众网)12。
信息桥网络安全隔离装置10,其包括信息桥13和信息桥隔离核心模块104、标准串口通信接口100、接信息桥13的以太网接口103、接内网11的以太网接口101和接外网12的以太网接口102。
信息桥隔离核心模块104在用户控制模块140指定的指示下可使以太网接口101、102、103处于如下三种组合状态一,以太网接口101、103连通,实现信息桥13与内网11接通;二,以太网接口102、103连通,实现信息桥13与外网12接通;三,三个以太网接口101、102、103均不连通,信息桥13、内网11、外网12均未接通。
涉密网络必须与公众网(外网)在物理上隔离,这对提高系统的安全性是-十分有效的,但是在使用上却带来十分的不便,本实施例就是要解决物理隔断和使用方便性之间的矛盾,使得内网和外网不仅能严格地实现物理隔离,还能在需要的时候方便的在内外网之间传递信息。
本实施例中,主要是在内网11和外网12之间加入一个信息桥13,用于信息的存储转发。当用户需要把内网11的数据发布到外网12上时,可以把数据发送到信息桥13的存储区域,然后通过信息桥13对外网发送。反之亦然。
使用者在用户控制模块140上发布网络状态切换指令;指令通过串口通信接口100传递到信息桥隔离核心模块104;信息桥隔离核心模块依据指令更新三个标准网络接口101、102、103的通断模式,实现网络状态的切换。
信息桥隔离核心模块104即实现网络接口101、102、103通断控制的硬件装置。请参阅图2,它是信息桥网络安全隔离装置电路框图,图中通道选择开关组1041用于选路,实现通断切换;核心微处理器1040接受来自用户控制端14的命令,并转化成相应指令控制通道选择开关组1041的状态;电平转换模块1045提供电路所需的正负电压;信息桥接口103连接中转存储区域,即信息桥13;内网接口101连接内网11;外网接口102连接外网12;串口通信接口100(9针)来自用户控制端14的命令通过串行通信接口100传递给信息桥隔离核心模块104。
其中,信息桥隔离核心模块104包括选择开关组1041、核心微处理器1040以及串行通信线1044、数据总线1042和控制总线1043。核心微处理器1040分别以串行通信线1044和控制总线1043双向联结串口通信接口100和单向连接选择开关组1041;该选择开关组1041分别以数据总线1042双向连接三个接口101、102、103。还有一电平转换模块1045,其位于该核心微处理器1040与串口通信接口100之间,用来转换所需的正负电平,其系采用常用技术,在此不再赘述。
信息桥网络安全隔离装置10具有三个以太网接口101、102、103,分别为内网接口101,外网接口102,服务控制(信息桥)接口103。
☆服务控制接口103在任意时刻仅能与内网11或外网12中的其中一个通信。
☆设备符合国际通用标准。(主要参考ISO-OSI,CCITT-ITU,TCP/IP)信息桥网络安全隔离装置10具有一个串口通信接口100,符合RS-232标准。
请参阅图3,它是用户控制模块结构图,用户控制模块140为用户提供良好的图形界面(GUI)来进行隔离器的控制。主要提供用户登录配置界面;实现对内、外网11、12及信息桥13的接口控制;提供定时状态切换设置,实现对隔离器的自动控制。
1.通信模块使用串口对隔离器进行控制,采用标准的RS-232协议进行通信,以完成内网接口101、外网接口102和信息桥13控制接口103的连通控制。
2.用户界面为用户提供了良好的图形界面(GUI)来进行隔离器的控制。主要提供了用户登录配置界面的身份验证(保证安全性);实现对内、外网11、12及信息桥13的相应接口101、102、103的控制;提供定时状态切换设置,实现对隔离器的自动控制。
本实施例运用自动控制技术实时对隔离器状态进行查询,并将其与用户的设定相比较,严格执行预设状态,实现网络安全隔离器状态的定时切换。在无人监控的环境下执行预先设定的切换网络状态的命令,自动调整信息桥与内外网的通断关系。该技术对需要严格按时转换网络状态的场合尤为适用,它无需专人时时监管,且可避免人为因素造成的状态切换错误。
信息桥网络安全隔离装置10的用户控制模块140运行于windows操作系统上,所需硬件平台为可运行windows操作系统的PC(个人电脑)或工作站或服务器,并需要串口通信接口。
图3中,当用户根据有效密码和用户名成功登录了网络安全隔离器10之后,即进入主控制界面141,之后,进行模式选择手动模式142在主控制界面里,用户可以选择手动模式142对网络状态进行配置,并刷新当前状态145;或定时模式143在主控制界面141里,用户可以选择定时模式143,使网络定时切换网络状态定时设定状态库144用户配置并启动定时模式143后,定时设定状态库144会记录下定时模式143设定的网络状态参数。当前状态145当前状态145存储的是当前时刻网络应该处于的状态参数。定时器146定时器146定时从定时设定状态库144中取出目前时刻所对应的网络状态参数,并存入当前状态145中。
定时器147定时器147定时将当前网络实际状态和当前状态145相比较,以保证网络状态严格按照用户设定的情况运行。指令生成器148按照当前状态145生成相应指令,控制信息桥网络安全隔离装置10的状态。
权利要求
1.一种信息桥网络安全隔离装置,包括分别连接内外网(11,12)的接口(101,102)和连接用户控制端(14)的串口通信接口(100),其特征在于,在该内外网(11,12)之间设一用于信息存储转发的信息桥(13)和一连接该信息桥(13)的接口(103),以及一分别连接接口(101,102,103)与串口通信接口(100)的信息桥隔离核心模块(104)。
2.根据权利要求1所述的信息桥网络安全隔离装置,其特征在于,所说的接口(101,102,103)均为标准以太网接口。
3.根据权利要求1所述的信息桥网络安全隔离装置,其特征在于,所说的信息桥隔离核心模块(104),其包括一通道选择开关组(1041)和一核心微处理器(1040);该核心微处理器(1040)分别以控制总线(1043)和串行通信线(1044)单向联结该通道选择开关组(1041)和双向联结该串口通信接口(100);该通道选择开关组(1041)分别以数据总线(1042)双向联结该三个以太网接口(101,102,103)该核心微处理器(1040)设有内嵌式操作模块。
4.根据权利要求1或2或3所述的信息桥网络安全隔离装置,其特征在于,该用户控制端(14)设有一用户控制模块(140),其经由该串行通信接口(100)指示该信息桥隔离核心模块(104)使三个以太网接口(101,102,103)处于三种组合状态a.二个以太网接口(101,103)连通;b.二个以太网接口(102,103)连通;和c.三个以太网接口(101,102,103)处于断开状态。
5.根据权利要求3所述的信息桥网络安全隔离装置,其特征在于,在该核心微处理器(1040)和串口通信接口(100)之间设有一电平转换模块(1045)。
6.根据权利要求4所述的信息桥网络安全隔离装置,其特征在于,所说的用户控制模块(140),其包括接受用户控制端(14)登录的主控制界面(141),分别后接该主控制界面(141)的手动模式(142)、定时模式(143),而且该手动模式(142)直接连接该当前状态(145),而该定时模式(143)则经定时设定状态库(144)连接该当前状态(145);该定时设定状态库(144)接受定时器(146)的控制;而该当前状态(145)则接受另一定时器(147)的控制;该当前状态(145)的输出经指令生成器(148)后由该串行通信接口(100)送该信息桥隔离核心模块(104)。
7.根据权利要求1所述的信息桥网络安全隔离装置,其特征在于,所说的信息桥(13)是一台存储容量至少是1兆字节的PC机或工作站或服务器。
8.根据权利要求1所述的信息桥网络安全隔离装置,其特征在于,所说的用户控制端(14)是一台PC机或工作站或服务器。
9.根据权利要求1所述的信息桥网络安全隔离装置,其特征在于,所说的串口通信接口(100)是采用RS-232通信协议的接口。
全文摘要
一种信息桥网络安全隔离装置,用于公众网与局域网间的物理隔离与安全信息传递。其包括分别连接内外网的内网接口和外网接口,及连接用户端的串口通信接口,特点是:在内外网之间设一用于信息存储转发的信息桥及其接口,并有一经由该串口通信接口接受用户端指令而控制该内外网接口与信息桥接口连通状态的信息桥隔离核心模块。故此,本发明既具有内外网之间的严格物理隔离,又具有在内外网间传递信息的便利性的优点。
文档编号G06F13/00GK1350242SQ01132400
公开日2002年5月22日 申请日期2001年12月3日 优先权日2001年12月3日
发明者钱松荣, 谢晖, 邵谦明, 周耀华, 胡方农, 韩苹苹, 余华, 王东 申请人:复旦大学