一种物理隔离网闸的制作方法
【专利摘要】本实用新型公开了一种物理隔离网闸,该物理隔离网闸包括内网处理单元、外网处理单元、数据摆渡单元和双路冗余电源单元;内网处理单元与外网处理单元均采用SOC设计;内网处理单元与外网处理单元均包括嵌入式实时操作系统;嵌入式实时操作系统中的接收中断服务程序直接处理以太网报文数据;双路冗余电源可提高系统的可用性。本实用新型具有结构简单、可用性好、传输性能优、安全性高的特点,在保证传统隔离网闸物理隔离通信的前提下,同时满足高传输带宽、低传输延时的信息互通需求。
【专利说明】一种物理隔离网闸
【技术领域】
[0001]本实用新型属于网络安全领域,具体涉及一种实现在安全侧网络与非安全侧网络之间物理隔离通信的网闸。
【背景技术】
[0002]隔离网闸作为隔离安全侧网络(内网)和非安全侧网络(外网)的装置,在工业控制领域越来越多的用于生产控制网络(内网)到管理信息网络(外网)之间的数据传输。
[0003]近年来,随着厂级信息化程度的不断提高,MES (制造执行系统)等先进管理系统的不断引入,越来越多的需要从生产控制网络实时获取相关数据,这对处在生产控制网络数据唯一出口处的隔离网闸装置在有效传输带宽、传输延时等方面的性能提出了更高的要求。
[0004]传统的隔离网闸,硬件一般采用X86或PowerPC架构的微处理器设计,软件则普遍使用经裁剪的Windows或Linux系统,系统的组成与普通的桌面计算机系统并无太大差异,总的来说存在如下两方面明显的不足:
[0005](I)基于X86或PowerPC架构的微处理器需要扩展内存、电子硬盘等外部设备,系统组成比较复杂且成本较高。
[0006](2)由于Windows和Linux为非实时操作系统,当硬件网络接口接收到网络报文后,需要经过硬件中断响应、中断服务程序处理、驱动程序处理、TCP/IP协议栈任务、报文过滤、数据摆渡等众多的软件执行过程,需要花费较多的报文处理时间,这就直接影响了隔离网闸传输带宽与传输延时性能。
【发明内容】
[0007]为了解决现有技术中系统组成比较复杂、传输带宽与传输延时性能不理想的缺陷,本实用新型的目的是提供一种物理隔离网闸,该物理隔离网闸组成简单,可用性好,传输性能优,安全性能高,在保证传统隔离网闸物理隔离通信的前提下,同时满足高传输带宽、低传输延时的信息互通需求。
[0008]本实用新型的目的通过以下技术方案实现:
[0009]一种物理隔离网闸,其特征在于:该物理隔离网闸包括内网处理单元、外网处理单元、数据摆渡单元和双路冗余电源;与内网连接的内网处理单元和与外网连接的外网处理单元均通过外部总线接口与数据摆渡单元连接;内网处理单元、外网处理单元、数据摆渡单元均与双路冗余电源连接。
[0010]对本实用新型的进一步改进在于:内网处理单元、外网处理单元硬件采用集成以太网接口的SOC设计,SOC优选飞思卡尔Cortex-M4芯片,无需扩展内存、电子硬盘等外部部件;内网处理单元、外网处理单元均包括嵌入式实时操作系统,非主流的Linux或Windows ;该嵌入式实时操作系统包括的接收中断服务程序单元处理传输的数据形式为以太网报文数据,不需要TCP/IP协议栈任务及应用层服务。
[0011]数据摆渡单元由双端口 RAM和两个电子开关组成,电子开关优选带三态输出的总线收发器,双端口 RAM通过二个电子开关分别与内网处理单元、外网处理单元的外部总线接口连接;外部总线接口包含32位数据总线、16位地址总线、控制总线和总线时钟;物理隔离网闸外部设置有配置锁,与内网处理单元输入引脚连接,通过配置锁控制隔离网闸通讯配置规则是否允许改变。
[0012]本实用新型相比现有技术具有以下优点:
[0013](I)系统组成简单,可用性好。内网处理单元、外网处理单元采用集成以太网接口的SOC设计,内存、FLASH均集成在SOC芯片内部;双冗余电源在一路电源故障时仍能保持系统正常工作。
[0014](2)传输性能优。由于内网处理单元、外网处理单元采用嵌入式实时操作系统,且取消TCP/IP协议栈及所有应用层服务,当硬件网络接口接收到网络报文后,中断服务程序直接处理以太网报文数据,报文处理时间短,故传输带宽、传输延时等性能优异。
[0015](3)安全性能高。由于内外网之间仅通过数据交换单元进行数据摆渡,为物理方式隔离;操作系统为非Windows、非Linux的嵌入式实时操作系统,软件简单,可攻击漏洞少;并且通过配置锁控制隔离网闸通讯配置规则是否允许改变,该配置锁与内网处理单元输入引脚连接,即使在外网处理单元遭受攻击时也无法篡改网闸通信规则,确保内网信息安全。
[0016]本实用新型顺应了厂级信息化的发展趋势,在保证传统隔离网闸物理隔离通信的前提下,同时满足高传输带宽、低传输延时的信息互通需求。
【专利附图】
【附图说明】
[0017]图1为本实用新型物理隔离网闸的结构框图。
[0018]图2为本实用新型中数据摆渡单元的结构框图。
[0019]图3为内网处理单元、外网处理单元报文的处理流程。
【具体实施方式】
[0020]下面结合附图对本实用新型物理隔离网闸进行详细说明。
[0021]如图1所示,一种物理隔离网闸,包括内网处理单元、外网处理单元、数据摆渡单元和双路冗余电源单元。内网处理单元与内网连接,外网处理单元与外网连接。内网处理单元、外网处理单元均采用集成以太网接口的SOC设计,内网处理单元、外网处理单元通过外部总线接口与数据摆渡单元连接,其中外部总线接口包含32位数据总线、16位地址总线、控制总线和总线时钟。配置锁与内网处理单元输入引脚连接,配置锁设置在物理隔离网闸外部,只有当配置锁打开时内网处理单元才允许进行网闸通信规则修改。内网处理单元、夕卜网处理单元、数据摆渡单元均与双路冗余电源(电源I和电源2)连接。
[0022]如图2所示,数据摆渡单元由两个电子开关(电子开关I和电子开关2)和双端口RAM组成,通过电子开关切换,内网处理单元、外网处理单元不能同时与双端口 RAM连接,内外网之间物理上为断开状态,仅通过数据摆渡单元进行数据摆渡,满足物理隔离的要求。
[0023]如图3所示,当内网处理单元或外网处理单元以太网接口接收到报文后触发网络接收中断,进入嵌入式实时操作系统的接收中断服务程序单元,在中断服务程序中完成报文过滤,将符合隔离网闸通信规则的报文传输至数据摆渡单元完成报文摆渡,不符合通信规则的报文则直接被过滤清除,报文处理过程简单,无需TCP/IP协议栈任务和应用层服务支持。特别的,本实用新型选用SOC所集成的以太网控制器支持“零拷贝”,上述报文处理过程中不需要进行报文数据拷贝,更缩短了报文处理时间。
【权利要求】
1.一种物理隔离网闸,其特征在于:该物理隔离网闸包括内网处理单元、外网处理单元、数据摆渡单元和双路冗余电源;与内网连接的内网处理单元和与外网连接的外网处理单元均通过外部总线接口与数据摆渡单元连接;内网处理单元、外网处理单元、数据摆渡单元均与双路冗余电源连接;所述的数据摆渡单元包括双端口 RAM和两个电子开关,双端口RAM通过两个电子开关分别与内网处理单元、外网处理单元的外部总线接口连接。
2.根据权利要求1所述的物理隔离网闸,其特征在于:所述内网处理单元、外网处理单元硬件均采用集成以太网接口的SOC设计。
3.根据权利要求1所述的物理隔离网闸,其特征在于:所述外部总线接口包含32位数据总线、16位地址总线、控制总线和总线时钟。
4.根据权利要求1所述的物理隔离网闸,其特征在于:该物理隔离网闸还包括配置锁,配置锁与内网处理单元输入引脚连接。
【文档编号】H04L29/06GK204231409SQ201420750427
【公开日】2015年3月25日 申请日期:2014年12月3日 优先权日:2014年12月3日
【发明者】胡歙眉, 芮正新, 祖利辉, 施海庆, 杭哲 申请人:南京科远自动化集团股份有限公司