专利名称:一种实现安全隔离与信息交换系统双机热备的方法
技术领域:
本发明涉及一种实现安全隔离与信息交换系统双机热备的方法,具体方法 是在盖特佳网杰安全隔离与信息交换单系统上增加通讯部件,将两套安全隔离 与信息交换单系统通过通讯部件互连,实现系统双机热备。正常状态下一套系
统处于工作状态,另外一套处于备份状态;如果处于工作状态的系统发生故障, 则另一套处于备份状态的系统自动切换到工作状态,从而保证安全隔离和信息 交换的正常、稳定运行。
本系统属于信息安全技术领域。
背景技术:
二十世纪九十年代以来,随着计算机技术的高速发展,网络技术也得到了 前所未有的发展,网络逐渐成为政府、企业和个人事物处理中不可或缺的一部 分。
在网络技术的发展过程中,特别是互联网技术的发展,使得世界范围内的 信息资源可以充分交流和共享,为人们的生活和工作带来了极大的便利。
随之而来的网络安全问题也逐渐成为人们关注的热点,特别是防范来自外 部网络的攻击和内部网络的有意或者无意的泄密,已成政府、企业和个人适用 网络资源过程中所关注的一大焦点。对于政府而言,这个问题尤为重要。在政 府的信息网络中,许多信息都涉及到国家的机密信息,如果造成失窃或泄漏, 将直接危及到整个国家的安全。为此,各国政府都制定了相应的政策和技术方 案来确保网络信息的安全。
我国政府最早在1999年由国家保密局发布了《计算机信息系统国际联网保密管理规定》,其中规定了涉密信息系统的联网要求"涉及国家秘密的计算机 信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须 实行物理隔离"(第二章第六条)。
2002年,随着我国电子政务如火如荼的发展,《国家信息化领导小组关于我 国电子政务建设指导意见》[中办发(2002〕 17号]由中共中央办公厅和国务院 办公厅联合发布。本意见中,对于电子政务中的网络隔离问题做了明确的规定 "电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与 互联网之间逻辑隔离。"
2007年,国家保密局、国务院信息化工作办公室联合颁布了《电子政务保 密管理指南》[国保发(2007) 5号]文件,文件重点规定了电子政务网络的互联 问题,规范了隔离产品的使用方式和技术要求。
安全隔离与信息交换系统正是在这样的产业背景之下,发展起来的新一代信 息安全产品,其主要在保证不同安全级别的网络安全隔离的前提下提供安全可 控的适度信息交换。
随着电子政务和电子商务的进一步发展,基于内外网信息交换的业务应用不 断拓展,对网络安全隔离和交换产品的依赖程度也越来越高,因此对各个网络 之间的隔离交换设备的稳定性和可靠性都提出了更高的要求。本方法正是为了 提高系统容错能力而采用的机制,通过将两台设备互联,增加双机热备功能, 在单台设备出现故障或遭受攻击切断后,另一台设备仍能为网络系统提供服务, 保证了用户7*24小时工作的需求。
发明内容
本发明的目的是为了提高盖特佳网杰安全隔离与信息交换系统的可靠性和 强壮性,保证安全隔离和信息交换的正常、稳定的运行。通过串口线连接两台系统从而形成备份通道,当一台系统出现故障时,另一台系统自动启动并提供 安全隔离与信息交换服务,原故障系统修复后可直接作为备份系统。
盖特佳网杰安全隔离与信息交换系统是一套三主机系统,包括内端堡垒主
机(ira)、中间隔离主机(MIH)和外端堡垒主机(EFH)。内端堡垒主机IFH位于 整个系统的内侧,通过对外提供的网络接口连接内部网络;中间隔离主机MIH 位于系统的中部,是连接内端堡垒主机和外端堡垒主机的中间主机;外端堡垒 主机EFH位于整个系统的外侧,通过对外提供的网络接口连接外部网络。
IFH和EFH各自提供一个专用指令通道接口卡(PCCIC)和一个专用数据通道 接口卡(PDCIC) , MIH提供两个专用指令通道接口卡(PCCIC)和两个专用数据通道 接口卡(PDCIC), IFH和Era上的通道接口卡分别与MIH上对应接口卡相连,构 成专用指令控制通道和专用数据交换通道。
ira、 MiH和EFH各有一个串口,该串口分别和另一台网杰系统上的ira、
MIH和Era上的串口分别进行连接,构成备份通道。 本方法实现的技术步骤包括
在盖特佳网杰安全隔离信息交换系统内部,连接内部网络的内端堡垒主机、 中间隔离主机以及和外部网络相连的外端堡垒主机之间物理上各采用两套专用 的连接控制设备进行连接,以便为各隔离主机之间的通信建立两条专用通道。
系统外部建立三条物理连接通道,从逻辑上被命名为备份通道;主机之间的 两条物理连接通道,从逻辑上来说分别被命名为指令传输通道和数据传输通道, 分别用于交换系统控制命令的传输和内外网交换数据的传输。
网杰安全隔离与信息交换系统启动后,将启动双机热备控制程序与对端系统 建立连接。当一台系统出现故障时,通过两条通路关闭故障系统后再启用备份系统,系统切换过程中采用状态控制保证切换的顺利进行。
工作系统和备份系统的确立将基于协商机制,自动选择一台系统作为工作系 统,另一台作为备份系统,当工作系统发生故障时备份系统成为工作系统,原 工作系统在修复后自动成为备份系统。
附图1安全隔离与信息交换系统双机热备物理连接示意图
附图2双机热备架构逻辑示意图
附图3系统切换过程(串口通道)
附图4系统切换过程(专用通道)
附图5热备状态转换图(备份系统MIH)
附图6热备状态转换图(IFH、 Era和工作系统MIH)
具体实施例方式
盖特佳网杰安全隔离与信息交换系统是一套叁主机系统,包括内端堡垒主 机(ira)、中间隔离主机(MIH)和外端堡垒主机EFH)。内端堡垒主机IFH位于整 个系统的内侧,通过对外提供的网络接口连接内部网络;中间隔离主机MIH位 于系统的中部,是连接内端堡垒主机和外端堡垒主机的中间主机;外端堡垒主 机Era位于整个系统的外侧,通过对外提供的网络接口连接外部网络。
ifh和Era各自提供一个专用指令通道接口卡(pccic)和一个专用数据通道 接口卡(PDCIC) , MIH提供两个专用指令通道接口卡(PCCIC)和两个专用数据通道 接口卡(PDCIC), ira和EFH上的通道接口卡分别与MIH上对应接口卡相连,构 成专用指令控制通道和专用数据交换通道。IFH、 MIH和EFH各有一个串口,该串口分别和另一台网杰系统上的IFH、 MIH和EFH上的串口进行连接,构成备用通道。
双机热备控制程序(HACP,简称热备程序)由热备管理中心(HMC)和通信管 理代理(CMA)两部分组成,其中HMC位于MIH上,CMA位于ira和EFH上。HMC 主要完系统切换过程的控制,CMA主要进行通道状况监测及信息传送。由于主机 之间采用专有通道连接,HMC和CMA的通信必须依赖于主机上的服务程序,它们 分别是内部管理代理(IMA)、外部管理代理(EMA)和安全控制中心(SMC)。其 中IMA位于IFH上,EMA位于EFH上,SMC则位于MIH上。
当系统出现故障时,安全控制中心会收到相应的报警信息,如果该问题无 法被解决则会将控制权交给热备管理中心,热备管理中心分析信息后就进入系 统切换流程。系统切换即关闭当前提供服务的系统,启用备份系统。为了便于 描述,下文将当前提供服务的系统称为工作系统。
在网络环境中,出现两台相同设置的设备就会引起冲突,因此要启用备份 系统就必须首先关闭工作系统。为保证工作系统的正常关闭,本方法可通过两 条通道(串口通道和专有通道)来关闭工作系统,使用这两个通道进行系统切 换的过程是不同的,下面分别进行描述。
当MIH之间的通信中断或者使用专有通道关闭工作系统失败时,热备程序 就会使用串口通道进行系统切换,其过程如图3所示,共有六个步骤。在需要 进行切换时
1、 位于备份系统MIH上的HMC告知SMC使用串口通道进行切换,SMC将该 消息分发到ira和EFH上的IMA和EMA;
2、 IMA和EMA把接收到的消息转发给CMA, CMA通过串口线发送指令到工作 系统IFH和EFH上的CMA;3、 位于工作系统IFH和Era上的CMA接收到指令后进行相应的动作,然后 将执行结果通过串口线传回给位于备份系统IFH和EF^H上的CMA;
4、 备份系统ira和EFH上的CMA通过IMA和EMA将结果传送到MIH上的SMC, SMC对结果进行分析后通知HMC成功与否;
5、 HMC在收到成功消息后通知SMC现在可以启用备份系统,于是SMC发送 启动指令到IMA和EMA;
6、 IMA和EMA将执行结果再传回给SMC, SMC对结果进行分析后通知HMC成 功与否。
至此,使用串口通道进行系统切换的过程结束。
当工作系统和备份系统的IFH或EFH之间的通信中断或者服务出现异常时, 热备程序就会使用专有通道进行系统切换,其过程如图4所示,共有六个步骤。 在需要进行切换时
1、 位于备份系统MIH上的HMC通过串口将指令发送到位于工作系统MIH上 的HMC;
2、 工作系统MIH上的HMC通知SMC关闭服务,SMC将消息发送至IMA和EMA;
3、 IMA和EMA进行相应动作后将执行结果传回给SMC;
4、 SMC对结果进行分析后通知HMC成功与否,HMC将消息通过串口线传回 给位于备份系统MIH上的HMC;
5、 位于备份系统MIH上的HMC在收到成功消息后通知SMC现在可以启用备 份系统,于是SMC发送启动指令到IMA和EMA;
6、 IMA和EMA将执行结果再传回给SMC, SMC对结果进行分析后通知HMC成 功与否。至此,使用专有通道进行系统切换的过程结束。
在真实运行环境中, 一个故障的出现会产生多个报警,比如在IFH宕机时, 备份系统IFH上的CMA会产生通信中断警报,同时工作系统MIH上的SMC会产 生服务异常警报,为避免处理报警所引起的重复指令传送和冲突,本方法引入 了七个状态,这些状态如下-
1、 初始化;
2、 正常运行;
3、 由专有通道进行系统切换;
4、 由串口通道进行系统切换;
5、 启用备份系统;
6、 成功;
7、 失败。
在不同状态下,热备程序对外部信息的反应和执行的指令是不同的,状态 之间会产生变迁,根据功能不同分为两类, 一类是位于备份系统上的HMC状态 变迁,这类变迁主要用于热备过程控制;另一类是CMA和位于运行系统上的HMC 状态变迁,这类变迁主要用于辅助。
位于备份系统上的HMC状态变迁如图5所示。
1、 在热备程序启动初期,HMC处于"初始化"状态,在该状态下,热备系 统尝试和对端主机进行连接并进行工作系统和备份系统的协商,完成后就进入
"正常运行"状态;
2、 在"正常运行"状态中,当出现错误信息时,HMC会对信息进行分析, 若HMC认为需要进行系统切换则会根据错误信息的不同而转入不同的状态如果是通信中断,则转入"由串口通道进行系统切换"状态,如果是其他错误信 息,则转入"由专有通道进行系统切换"状态;
3、 在"由专有通道进行系统切换"状态中,当HMC接收到切换失败信息时 就会转入"由串口通道进行系统切换"状态,接收到成功信息时就会转入"启 用备份系统"状态;
4、 在"由串口通道进行系统切换"状态中,当HMC接收到切换失败信息时 就会转入"失败"状态,接收到成功信息时就会转入"启用备份系统"状态;
5、 在"启用从设备"状态中,如果HMC接收到成功信息则转入"成功"状 态,否则转入"失败"状态;
6、 在"成功"状态中,如果原工作系统被修复并与原备份系统成功连接 后,就转入"正常"状态;
7、 在"失败"状态中,如果原工作系统被修复并与原备份系统成功连接 后,就转入"正常"状态。
CMA和位于运行系统上的HMC状态变迁如图6所示。
1、 在热备程序启动初期,HMC处于"初始化"状态,在该状态下,热备系 统尝试和对端主机进行连接并协商,完成后就进入"正常运行"状态;
2、 在"正常运行"状态中,当出现通信中断时则进入"失败"状态;
3、 在"失败"状态中,如果原运行系统被修复并与原备份系统成功连接 后,就转入"正常"状态。
在上述两类状态变迁中,无论系统处于"成功"还是"失败"状态时,只 要故障系统能正常启动,都能够装入"正常运行"状态,这表示当运行系统出 现故障时,备份系统替代了运行系统提供安全隔离和信息交换服务,这时,备份系统就成为了运行系统。当故障系统上的问题被修复并成功启动后,该系统 就自动成为备份系统,从而形式了一种可循环重用的备份机制,保证了安全隔 离和信息交换的正常、稳定的运行。
权利要求
1、一种实现安全隔离与信息交换系统双机热备的方法,其特征在于系统外部之间采用三套专用的备份通道进行连接,提供双机热备功能;
2、 根据权利要求1所述的双机热备方法,其特征在于当一台系统发生故 障时,通过两条通路保证故障系统的关闭,在关闭故障系统后启用备份系统, 该故障系统修复后可直接作为备份系统;
3、 根据权利要求2所述的信息交换方法,其特征在于所述方法用于实现 盖特佳网杰安全隔离与信息交换系统的双机热备功能。
全文摘要
本发明涉及一种实现安全隔离与信息交换系统双机热备的方法,具体方法是在盖特佳网杰安全隔离与信息交换单系统上增加通讯部件,将两套安全隔离与信息交换单系统通过通讯部件互连,实现系统双机热备。正常状态下一套系统处于工作状态,另外一套处于备份状态;如果处于工作状态的系统发生故障,则另一套处于备份状态的系统自动切换到工作状态,从而保证安全隔离和信息交换的正常、稳定运行。
文档编号H04L12/24GK101567801SQ20081010483
公开日2009年10月28日 申请日期2008年4月24日 优先权日2008年4月24日
发明者辉 宋, 张建荣 申请人:北京盖特佳信息安全技术股份有限公司