专利名称:京泰安全隔离与信息交换网闸的制作方法
技术领域:
京泰安全隔离与信息交换网闸是一种为了在两个互为隔离的网络间安全、高效、可控的进行应用层数据交换的产品。属于网络安全领域。
背景技术:
计算机网络信息系统的发展,给人们的学习、生活、工作带来了很大的便利。但是同时,由于计算机网络信息系统本身的脆弱性,也给人们带来了巨大的安全威胁。信息安全和网络安全日益受到政府和社会的广泛关注,同时也受到计算机和网络技术专家的高度重视。
为了保护计算机网络信息系统,许多单位目前通常采用加密、病毒检测、防火墙、入侵检测等安全措施。这些措施都从一个或者多个方面保护了单位的计算机网络信息系统资源。
但是,每种安全技术不可避免均存在自身的局限性,都不可能完全解决安全问题。例如防火墙位于网络的信息出入口,它采取包过滤、网络地址转换、应用层代理等措施对网络进行保护。在很大程度上,防火墙能够使得单位内部网络达到相当高的安全级别,例如,可以限制源IP、目的IP、服务等。但是,防火墙本身也有着一定的局限性,例如,不能防范不通过它的连接、不能防止由于应用程序(例如CGI程序)的安全隐患而带来的安全问题等。同时,防火墙产品与所有的计算机软硬件产品一样,不可避免地存在着自身的安全性问题。由于防火墙程序正确性的不可证明性,很难保证防火墙不存在安全漏洞。当防火墙存在的漏洞被发现并被恶意利用时,防火墙就有可能被入侵者接管,从而防火墙规则将遭其篡改,而导致整个网络被攻破,造成数据泄密等严重后果,这对于重要的国家单位、部门是尤其不可接受的。
防病毒和入侵检测也各自有着各自的安全功能,但是,同样也存在着各自技术上的不足。目前的防病毒软件与入侵检测系统采用了类似的技术,及通过“特征库”的方式来匹配是否病毒或入侵行为,因而,如果该“特征库”中没有这种“特征”的话,这些攻击就不会被检测到。对于成指数发展的计算机网络领域而言,每天都有新的漏洞、新的病毒、新的攻击方法出现,这也就意味着“缓慢”的特征库更新无法赶上“飞速”的攻击发展,因而单纯使用这些技术来进行安全防护,对于安全防护体系而言,是远远不够的。
许多单位人员也已认识到了这些安全技术的不足,因此,在许多重要单位、或者不同的部门之间,采用建设两个完全物理隔离的计算机网络来保障关键应用。中办和国办在中办发 17号文件中明确提出“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。”这种保护措施对于重要数据的保护是非常有效的。
但是,随着电子政务和电子商务活动的展开,为了向外发布或收集信息,要求在政府/企业的内部网络与互联网之间,或者政府/企业内部的不同网络之间进行信息交流。由于多个网络之间是完全物理隔离的,在目前,要实现不同网络之间的信息交流只能采用最原始的方式,即通过人为干预的方式来实现,定期将需要转移的数据拷贝到软盘等存储介质上,然后再将其复制到目标网络中。
随着电子政务、电子商务的开展,在不同网络之间交换数据的数量和频率呈几何级上升。在网络之间的文件传输给管理人员带来了巨大的工作量,同时也带来了网络间信息流的迟滞,信息不能实现在网络间及时的共享。这种原始的解决方案已经越来越无法满足用户的需求。
发明内容
本实用新型发明的目的在于克服现有技术的不足,发明一种京泰安全隔离与信息交换网闸,目标是在两个互为隔离的网络间安全、高效、可控的进行应用层数据交换。
为实现本实用新型发明目的,京泰安全隔离与信息交换网闸采取的技术方案是这样的
1、京泰安全隔离与信息交换网闸的硬件体系结构京泰安全隔离与信息交换网闸在硬件上由三部分组成即内网主机模块、外网主机模块和开关交换模块。其中,内网主机模块和外网主机模块的硬件为IBM PC兼容机,开关交换模块由开关子系统和交换子系统两部分组成,该模块自动周期地控制开关子系统,使交换子系统某一时刻只与内网或外网主机模块在物理上连通,而与另外的主机模块在物理上断开。
2、开关交换模块的硬件控制逻辑开关交换模块有两部分组成即开关子系统和交换子系统。其中,开关子系统实现使交换子系统自动周期地只与内网或外网主机模块物理连通,而与另一个主机模块物理断开,同时还控制前面板开关状态指示灯“亮”和“灭”;交换子系统负责将缓存在内存的数据发送给与其连接的主机模块,以及从与其连接的主机模块中接收需要传输的数据,并放入内存。
3、开关控制电路逻辑众所周知,在10/100Mbps的网络中,只使用到了双绞线8根中的4根,即第1(TX+)、2(TX-)、3(RX+)和6(RX-)根。若交换子系统中网卡的第1、2、3和6根与某主机模块网卡的第3、6、1和2根双绞线相连接时,则交换子系统就与该主机模块物理连接在一起;若交换子系统中网卡的第1、2、3和6根不与某主机模块网卡的第3、6、1和2根双绞线相连接时,则交换子系统就与该主机模块物理断开。京泰安全隔离与信息交换网闸就是立足于以上原理。
本实用新型优点在于(1)将京泰安全隔离与信息交换网闸连接在两个物理隔离的网络之间,这两个网络在物理层依然是隔离的。
(2)京泰安全隔离与信息交换网闸具有高速的信息交换能力,在两个网络之间的信息交换速度达到35Mbps。
(3)京泰安全隔离与信息交换网闸提供单向或双向的数据交换功能,用户可以根据应用情况自行设定。
(4)京泰安全隔离与信息交换网闸能对所交换的内容进行关键字过滤。
(5)京泰安全隔离与信息交换网闸能对所交换的内容进行查杀毒。
(6)京泰安全隔离与信息交换网闸对所交换的内容进行了详细的记录,便于用户进行日志审计。
图1为京泰安全隔离与信息交换网闸整体结构组成图。
图2为京泰安全隔离与信息交换网闸硬件体系结构图。
图3为本实用新型开关交换模块硬件逻辑图。
图4为本实用新型开关控制电路逻辑图。
图5为本实用新型内部结构图。
具体实施方式
以下结合附图,详细说明本实用新型具体实施方式
。
1、京泰安全隔离与信息交换网闸硬件组成如图1所示,京泰安全隔离与信息交换网闸在硬件上由三部分组成,即内网主机模块、外网主机模块和开关交换模块。它们的连接关系如下 隔离开关卡插在开关交换模块主板的PCI槽中,与插在开关交换模块主板IDE插槽的电子盘、开关交换模块主板、内存、CPU一起组成开关交换模块。
内网主机模块的内部网卡接口与隔离开关卡的RJ45接口A相连接。
外网主机模块的内部网卡接口与隔离开关卡的RJ45接口B相连接。
前面板开关状态指示灯与隔离开关卡相连接。
电源分别与开关交换模块主板、内网主机模块主板和外网主机模块主板的电源插座相连,以及分别与内网主机模块硬盘和外网主机模块硬盘的电源插座相连接。
内网主机模块硬盘通过数据线与内网主机模块主板的IDE插槽相连。
外网主机模块硬盘通过数据线与外网主机模块主板的IDE插槽相连。
如图3所示,开关交换模块有两部分组成,即开关子系统和交换子系统。其连接方式如下 交换子系统与开关子系统之间通过信号线TX±/RX±相连。
8139c通过控制线MD0连接控制开关控制电路。
开关控制电路通过信号线TX±/RX±与开关卡RJ45接口A相连。
开关控制电路通过信号线TX±/RX±与开关卡RJ45接口B相连。
开关控制电路通过控制线CTRL与开关状态指示灯相连,控制开关状态指示灯的“亮”和“灭”。
其具体工作方式如下①CPU通过给网卡芯片8139c的寄存器发送0x00,使网卡芯片8139c发送“低”电平控制信号给开关控制电路,这时网卡电路与外网主机模块物理连接,而与内网主机模块物理断开。同时,前面板开关状态指示灯“亮”。
②交换子系统与外网主机模块交换数据,即将交换子系统内存中的数据传输给外网主机模块,并从外网主机模块中接收需要传输到内网的数据放入内存中缓存。
③CPU通过给网卡芯片8139c的寄存器发送0x01,使网卡芯片8139c发送“高”电平控制信号给开关控制电路,这时网卡电路与内网主机模块物理连接,而与外网主机模块物理断开。同时,前面板开关状态指示灯“灭”。
④交换子系统与内网主机模块交换数据,即将交换子系统内存中的数据传输给内网主机模块,并从内网主机模块中接收需要传输到外网的数据放入内存中缓存。
⑤转①开关交换模块循环执行以上5步,使内网主机模块和外网主机模块之间不处于物理连接的状态下,通过开关交换模块安全的交换数据。
如图4所示,开关控制电路逻辑其连接关系如下 控制信号CTRL分别与六个开关器件U1、U2、U3、U4、U5和U6的控制引脚相连接。
开关卡RJ45接口B的第6根线与开关器件U1的引脚J11相连接。
交换子系统中的第6根线与开关器件U1的引脚J12相连接。
开关卡RJ45接口B的第2根线与开关器件U1的引脚J13相连接。
开关卡RJ45接口B的第3根线与开关器件U2的引脚J21相连接。
交换子系统中的第3根线与开关器件U2的引脚J22相连接。
开关卡RJ45接口B的第1根线与开关器件U2的引脚J23相连接。
交换子系统中的第1根线与开关器件U3的引脚J31相连接。
开关卡RJ45接口B的第1根线与开关器件U3的引脚J32相连接。
开关卡RJ45接口A的第1根线与开关器件U3的引脚J33相连接。
交换子系统中的第2根线与开关器件U4的引脚J41相连接。
开关卡RJ45接口B的第2根线与开关器件U4的引脚J42相连接。
开关卡RJ45接口A的第2根线与开关器件U4的引脚J43相连接。
开关卡RJ45接口A的第3根线与开关器件U5的引脚J51相连接。
开关卡RJ45接口A的第1根线与开关器件U5的引脚J52相连接。
交换子系统中的第3根线与开关器件U5的引脚J53相连接。
开关卡RJ45接口A的第6根线与开关器件U6的引脚J61相连接。
开关卡RJ45接口A的第2根线与开关器件U6的引脚J62相连接。
交换子系统中的第6根线与开关器件U6的引脚J63相连接。
当控制信号为“低”电平时,开关芯片的状态为图4中实线状态,从图中可知,外网主机模块直接与交换子系统的网卡相连,外网主机模块直接与交换子系统物理连接,可以互相通信,同时,与内网主机模块网卡相连接的网线自身构成一个闭环,即自身的1与3连接,2与6连接,与交换子系统物理断开;同理,当控制信号为“高”电平时,开关芯片的状态为图4中虚线状态,这时,与外网主机模块网卡相连接的网线自身构成一个闭环,而内网主机模块直接与交换子系统的网卡物理连接,可以和交换子系统通信。当信号周期地发送“高”、“低”电平时,交换子系统就随着“高”、“低”电平的变化在内网主机模块和外网主机模块之间来回切换。
2、数据传输的形式本隔离网闸是在上述硬件基础之上,配合我公司自行开发的软件系统——京泰安全隔离与信息交换系统(注原名为京泰安全信息交流系统,该软件的计算机软件著作权登记号2002SR2452)后,实现的主要功能是在两个物理层隔离的网络之间安全的交换数据,其交换的数据是基于文件形式的,即必须把需要交换的任何数据转换成磁盘文件,京泰安全隔离与信息交换网闸会将该文件自动地从一个网络传输到另一个网络。也就是说,通过京泰安全隔离与信息交换网闸传输的不是TCP/IP协议,而是应用层数据。从而实现协议阻断,保证数据传输过程中的物理层到传输层的安全。同时,由于数据传输是基于文件形式的,所以便于病毒扫描和内容过滤的处理。从而保证应用层数据的安全。
其具体工作方式如下①用户将需要交换的数据以文件形式存放,并移动或复制到隔离网闸周期轮询的目录中即可。
②隔离网闸在发现周期轮询的目录中有文件后,会自动对该文件进行病毒扫描和内容检查,若文件含有非法数据,则删除该文件,并记录日志,然后结束处理。
③开关交换模块会自动通过隔离网闸的主机模块获取该文件。然后,将该文件推送至隔离网闸的另一个主机模块中。
④隔离网闸的另一个主机模块会自动对该文件进行病毒扫描和内容检查,文件合法后将该文件放在某固定目录下,否则,删除该文件,并记录日志。
⑤另外一端网络的用户可以在该固定目录下获取该文件,从而完成了一次安全的信息交流。
从以上的工作方式中,我们可知,通过隔离网闸交流的不是任何传输协议,而是文件,从而实现协议阻断。
在本隔离网闸中,我们还实现了在两个物理层隔离的网络之间安全转发TCP/IP协议的功能,以下以从内网转发TCP/IP协议到外网为例说明其实现过程①内网主机模块接收到来自内网的TCP连接,将TCP数据体写入文件。
②京泰安全隔离与信息交换网闸通过底层模块将该文件从内网主机模块传输至外网主机模块。
③外网主机模块接收到该文件之后,然后将该文件恢复成TCP协议,并发送给外网相应隔离网闸。
经过以上三步,京泰安全隔离与信息交换网闸就将TCP协议在内/外网物理层隔离的情况下,从内网安全转发到外网,保证了数据传输的安全性。同理,也可将外网的TCP协议安全地转发至内网。
3、本隔离网闸各部分规格 电源PS-300ATX 外网主机模块CPU 赛扬1GHz主板型号ACS-6568VE4
内存 Kingmax 128MB硬盘 40GB 7200转 内网主机模块同外网主机模块 网闸开关模块CPU 赛扬1GHz主板型号ACS-6568VE内存Kingmax 128MB电 子 盘WINWORD 32MB Flash开关状态指示灯LED隔离开关卡由本单位京泰网络科技有限公司制作
权利要求1.一种京泰安全隔离与信息交换网闸,其特征在于它由内网主机模块、外网主机模块和开关交换模块三部分组成;开关交换模块中的隔离开关卡的RJ45接口A与内网主机模块的内部网卡接口相连接,隔离开关卡的RJ45接口B与外网主机模块的内部网卡接口相连接。
2.根据权利要求1所述的京泰安全隔离与信息交换网闸,其特征在于开关交换模块由开关子系统和交换子系统两部分组成;交换子系统与开关子系统之间通过信号线TX±/RX±相连,CPU通过网卡芯片8139c由控制线MD0连接控制开关控制电路,开关控制电路通过信号线TX±/RX±分别与开关卡RJ45接口A和接口B相连并通过控制线CTRL与开关状态指示灯相连。
3.根据权利要求2所述的京泰安全隔离与信息交换网闸,其特征在于当控制信号为“低”(或“高”)电平时,它的交换子系统中网卡的第1、2、3和6根与外网(或内网)主机模块网卡的第3、6、1和2根双绞线相连接时,则交换子系统就与外网(或内网)主机模块物理连接在一起;同时与内网(或外网)主机模块网卡相连接的网线自身构成一个闭环,即自身的1与3连接,2与6连接,与交换子系统物理断开。
4.根据权利要求1所述的京泰安全隔离与信息交换网闸,其特征在于它配合京泰安全隔离与信息交换系统软件使其传输的是应用层数据,数据传输是基于文件形式的。
5.根据权利要求1所述的京泰安全隔离与信息交换网闸,其特征在于它的协议转换是将TCP协议转换成文件传输,完成传输后,再将文件恢复成TCP协议。
专利摘要一种京泰安全隔离与信息交换网闸,其特征在于它由内网主机模块、外网主机模块和开关交换模块三部分组成。开关交换模块由开关子系统和交换子系统两部分组成。当控制信号为“低”(或“高”)电平时,它的交换子系统中网卡的第1、2、3和6根与外网(或内网)主机模块网卡的第3、6、1和2根双绞线相连接时,则交换子系统就与外网(或内网)主机模块物理连接在一起;同时与内网(或外网)主机模块网卡相连接的网线自身构成一个闭环,即自身的1与3连接,2与6连接,与交换子系统物理断开。它配合京泰安全隔离与信息交换系统软件在两个互为隔离的网络间安全、高效、可控的进行应用层数据交换。属于网络安全领域。
文档编号H04L9/10GK2638341SQ0327680
公开日2004年9月1日 申请日期2003年7月14日 优先权日2003年7月14日
发明者杨立志, 杨明, 郭俊波, 童兆丰 申请人:北京京泰网络科技有限公司