一种网络设备及网络系统的制作方法

本实用新型涉及通信网络技术领域，尤其涉及一种网络设备及网络系统。

背景技术：

社会单位自建监控系统包含公共区域视频资源及内部管理区域视频资源，社会单位视频资源接入平台只接入社会单位涉及公共区域的视频资源，为保障社会单位内部资源的安全性及隐私性，应采用安全隔离方式对公共区域视频资源进行接入。

现有的技术方案，网络硬盘录像机(Network Video Recorder，NVR)采用单芯片单系统方案，从软件层面上实现的双网卡安全隔离，由于都是采用的标准的网络协议传输数据，理论上存在安全漏洞。如图1所示的场景中，NVR101中，包括处理器1011，分别与处理器1011连接的第一网卡1012和第二网卡1013。其中，NVR1的第一网卡接入第一私网前端102A，第二网卡接入公共网络(即公网)；NVR2的第一网卡接入第二私网前端102B，第二网卡B接入公网。一旦恶意攻击从第二网卡1013攻入NVR，便有机会控制处理器，通过NVR的第一网卡攻入私网，窃取监控视频数据以及私网内其它设备的数据。因此，现有的方案中，网络硬盘录像机在软件层面上实现私网的数据与公网的数据的隔离的安全风险较高。

技术实现要素：

本实用新型实施例的目的是提供一种网络设备及网络系统，用于解决网络硬盘录像机在软件层面上实现私网的数据与公网的数据的隔离的安全风险较高的问题。

本实用新型实施例的目的是通过以下技术方案实现的：

一种网络设备，包括：第一处理器，第二处理器，用于与私网连接的第一网卡，用于与公网连接的第二网卡，双端口存储器；

所述第一处理器的第一端与所述第一网卡连接，第二端与所述双端口存储器的第一端口连接；所述第二处理器的第一端与所述第二网卡连接，第二端与所述双端口存储器的第二端口连接；

其中，所述第一处理器用于：将通过所述第一网卡获取的私网的数据从第一端口写入所述双端口存储器；

所述第二处理器用于：从所述双端口存储器的第二端口读取私网的数据。

较佳地，所述第一处理器的第三端通过第一传输线与所述第二处理器的第三端连接；所述第一传输线用于通过第一私有协议将所述第一处理器在所述双端口存储器中的数据存储信息传输至所述第二处理器，以便所述第二处理器根据所述数据存储信息从所述双端口存储器中读取数据；以及用于通过第二私有协议将所述第二处理器对私网中的设备的配置信息传输至所述第一处理器，以便所述第一处理器根据所述配置信息对私网中的设备进行配置。

较佳地，所述第一处理器的第三端通过第一传输线与所述第二处理器的第三端连接；所述第一传输线用于通过第一私有协议将所述第一处理器在所述双端口存储器中的数据存储信息传输至所述第二处理器，以便所述第二处理器根据所述数据存储信息从所述双端口存储器中读取数据；

所述第一处理器的第四端通过第二传输线与所述第二处理器的第四端连接；所述第二传输线用于通过第二私有协议将所述第二处理器对私网中的设备的配置信息传输至所述第一处理器，以便所述第一处理器根据所述配置信息对私网中的设备进行配置。

较佳地，所述双端口存储器为双口随机存储器RAM，或者串行总线小型计算机系统接口SAS硬盘。

较佳地，还包括：与所述第二处理器连接的硬盘存储器。

较佳地，所述网络设备为网络硬盘录像机。

一种网络系统，包括以上任一项所述的网络设备。

本实用新型实施例的有益效果如下：

本实用新型实施例提供的网络设备及网络系统中，第一网卡和第二网卡分别连接的是不同的处理器，第一处理器和第二处理器分别与双端口存储器的两个端口连接，第一处理器可以将通过第一网卡获取的私网的数据写入双端口存储器，第二处理器只能从双端口存储器读取私网的数据，也就是说，第一处理器向双端口存储器中写入了哪些私网的数据，第二处理器只能读取到哪些私网的数据，这样，私网的数据按照第一网卡、第一处理器、双端口存储器、第二处理器的路径进行传输，又由于双端口存储器只是一个存储设备，不会主动将控制指令传输至第一处理器，也就是说，不能按照反向路径将控制指令传输，来自公网的恶意攻击即使控制第二处理器，也不能将控制指令传送到第一处理器进而入侵到私网，从而保证了私网其它数据的安全，同样，双端口存储器也不会主动将第一处理器的控制指令传送到第二处理器，恶意攻击也就无法以本网络设备为桥梁从私网侵入公网，从物理上实现了公网的数据与私网的数据的安全隔离。

附图说明

图1为现有技术中的一种网络硬盘录像机的结构及其所在的网络系统的示意图；

图2为本实用新型实施例提供的一种网络设备的结构示意图之一；

图3为本实用新型实施例提供的一种网络设备的结构示意图之二；

图4为本实用新型实施例提供的一种网络系统的示意图。

具体实施方式

下面结合附图和实施例对本实用新型提供的一种网络设备及网络系统进行更详细地说明。

本实用新型实施例提供一种网络设备，如图2所示，包括：第一处理器201，第二处理器202，第一网卡203，第二网卡204，双端口存储器205；

第一处理器201的第一端与第一网卡203连接，第二端与双端口存储器205的第一端口P1连接；第二处理器202的第一端与第二网卡204连接，第二端与双端口存储器205的第二端口P2连接。

其中，第一处理器201用于：将通过第一网卡获取的私网的数据从第一端口P1写入双端口存储器205；

第二处理器202用于：从双端口存储器205的第二端口P2读取私网的数据。

本实用新型实施例提供的网络设备中，第一网卡和第二网卡分别连接的是不同的处理器，第一处理器和第二处理器分别与双端口存储器的两个端口连接，第一处理器可以将通过第一网卡获取的私网的数据写入双端口存储器，第二处理器只能从双端口存储器读取私网的数据，也就是说，第一处理器向双端口存储器中写入了哪些私网的数据，第二处理器只能读取到哪些私网的数据，这样，私网的数据按照第一网卡、第一处理器、双端口存储器、第二处理器的路径进行传输，又由于双端口存储器只是一个存储设备，不会主动将控制指令传输至第一处理器，也就是说，不能按照反向路径将控制指令传输，来自公网的恶意攻击即使控制第二处理器，也不能将控制指令传送到第一处理器进而入侵到私网，从而保证了私网其它数据的安全，同样，双端口存储器也不会主动将第一处理器的控制指令传送到第二处理器，恶意攻击也就无法以本网络设备为桥梁从私网侵入公网，从物理上实现了公网的数据与私网的数据的安全隔离。

较佳地，如图3所示，本实施例提供的网络设备还包括：与第二处理器连接的硬盘存储器206，硬盘存储器206用于存储第二处理器从双端口存储器读取的私网的数据，以及用于存储第二处理器通过第二网卡获取的公网的数据。本实施例中，将私网的数据存储到硬盘存储器中，需要将私网的数据上传至公网时，从硬盘存储器中获取即可。

较佳地，第一网卡与私网连接时，可以连接社会单位的设备，例如可以连接前端监控设备(Internet Protocol Camera，IPC)，服务器等等。

考虑到如果双端口存储器中的数据量较多，第二处理器需要从大量的数据中查找需要读取的数据，会降低效率和准确率，因而可以通过私有协议将第一处理器当前存放的数据的格式，长度，位置以及数据通道等必要的数据存储信息通过私有协议告知第二处理器，方便第二处理器从双端口存储器读取数据；进一步的，考虑到在一种可能的应用场景中，私网中的远程设备需要更改配置等等，但是距离较远，配置不便，为了解决这一问题，可以在公网侧通过私有协议进行配置，以保证安全性。对此，下面列举两种实现方案：

一种实现方案中，较佳地，第一处理器201的第三端通过第一传输线与第二处理器202的第三端连接；第一传输线用于通过第一私有协议将第一处理器在双端口存储器中的数据存储信息传输至第二处理器，以便第二处理器根据数据存储信息从双端口存储器中读取数据；以及用于通过第二私有协议将第二处理器对私网中的设备的配置信息传输至第一处理器，以便第一处理器根据配置信息对私网中的设备进行配置。

另一种实现方案中，较佳地，第一处理器201的第三端通过第一传输线与第二处理器202的第三端连接；第一传输线用于通过第一私有协议将第一处理器在双端口存储器中的数据存储信息传输至第二处理器，以便第二处理器根据数据存储信息从双端口存储器中读取数据；

第一处理器201的第四端通过第二传输线与第二处理器202的第四端连接；第二传输线用于通过第二私有协议将第二处理器对私网中的设备的配置信息传输至第一处理器，以便第一处理器根据配置信息对私网中的设备进行配置。

其中，第一处理器和第二处理器之间的第一私有协议和第二私有协议是仅在二者之间使用的通信协议，例如，必须是按照二者约定的格式，或者携带二者约定的信息才能进行正常传输并响应。

本实施例中，第二处理器与第一处理器之间是通过私有协议通信的，外部网络无法获取二者之间的通信协议，因而无法从第二处理器入侵到第一处理器，也无法从第一处理器入侵到第二处理器，进一步保证了网络安全。

基于以上任意实施例，双端口存储器的种类有多种，较佳地，双端口存储器为双口随机存储器(Ramdom Access Memory，RAM)，或者串行总线小型计算机系统接口(Serial Attached Small Computer System Interface Small Computer System Interface，SAS)硬盘。

本实用新型的方案所适用的网络设备有多种，例如，网络设备为NVR。

基于同样的构思，本实用新型实施例还提供一种网络系统，包括以上任意实施例所述的网络设备。

下面以NVR为例，对本实用新型实施例提供的网络设备及网络系统进行更加详细地描述。

如图4所示的网络系统中，私网A的设备3通过NVR1接入公网4，私网B的设备5通过NVR2接入公网4。本实施例中，NVR1与NVR2的工作原理相同，下面以NVR1为例，进行具体说明：

在NVR1中，包括第一处理器201、第二处理器202、第一网卡203、第二网卡204、双端口存储器205和硬盘存储器206。

其中，第一网卡203与私网A的设备5连接，例如与某医院的IPC连接。

其中，第一处理器201的第一端与第一网卡203连接，第二端与双端口存储器205的第一端口P1连接，第三端通过第一传输线与第二处理器202的第三端连接，第四端通过第二传输线与第二处理器202的第四端连接。

其中，第二处理器202的第一端与第二网卡204连接，第二端与双端口存储器205的第二端口P2连接，第五端与硬盘存储器206连接。其中，该硬盘存储器为读写存储器。

本实施例中，第一处理器201通过第一网卡203从私网A获取特定格式的视频码流，并存放于双端口存储器205中，即进行写操作，并且通过第一私有协议将视频码流当前存放的数据的格式，长度，位置以及数据通道等数据存储信息传输至第二处理器202。第二处理器202根据数据存储信息从双端口存储器205对应的位置读出第一处理器201当前存放的视频码流，即进行读操作，将读出的数据写入硬盘存储器206中存储。第二处理器202还可以从硬盘存储器206中读取数据，解码显示，在需要时，还可以通过与公网连接的第二网卡204进行视频码流的上传。

如果有需要通过公网去配置前端(如IPC)的基本配置，则第二处理器202可以通过第二私有协议向第一处理器201下发携带配置信息的私有指令去配置前端。

本实施例的场景中，在私网A中，我们可以认为是一个“大型交换机”，除了如IPC这样的设备会接入，还有其他涉及个人档案，财务报表等大数据服务器会接入“大型交换机”；来自公网或者其它接入公网设备的攻击，不会通过我们的NVR1设备，侵入到NVR1设备所在的私网A，保证私网A中其它数据的安全，并且恶意攻击也无法从NVR2侵入公网，进而从公网入侵私网A，进一步保证了私网A的其它数据的安全，也就是说，本实施例中的NVR无法成为恶意攻击的桥梁。

显然，本领域的技术人员可以对本实用新型进行各种改动和变型而不脱离本实用新型的精神和范围。这样，倘若本实用新型的这些修改和变型属于本实用新型权利要求及其等同技术的范围之内，则本实用新型也意图包含这些改动和变型在内。