一种适用于电网信息安全的网络隔离设备的制作方法

本实用新型涉及信息安全领域，具体涉及一种适用于电网信息安全的网络隔离设备。

背景技术：

网络隔离(Network Isolation)技术是一种网络安全技术，主要是指把两个或两个以上可路由的网络(如：TCP/IP)通过不可路由协议或其他私有协议进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议所以通常也叫协议隔离(Protocol Isolation)。1997年，信息安全专家Mark Joseph Edwards在他编写的《Understanding Network Security》一书中，就对协议隔离进行了归类，并明确指出了协议隔离和防火墙不属于同类产品。

目前，网络隔离产品多采用单向访问协议或私有的不可路由协议达到协议隔离目的，可有效阻止基于通用网络协议对内部网络的攻击，从而确保把有害的攻击隔离在可信网络之外并保证可信网络内部信息不外泄的前提下，完成不同安全要求网络之间数据的安全交换，更好地提高网络安全运行情况。

目前的传统网络隔离设备因为传输速度等各方面不符合电压信息采集网络边界的要求，导致电网信息采集网络边界的电网信息不安全，因此急需提供适用于电网信息安全的网络隔离设备。

技术实现要素：

为了解决现有技术中所存在的因领域的特殊性缺少保证信息安全的网络隔离设备问题，本实用新型提供一种适用于电网信息安全的网络隔离设备，对信息采集协议进行的协议隔离，保证性能的基础上确保了非私有协议无法通过、对私有协议可以进行解析达到组织恶意攻击的目的。

本实用新型提供的技术方案是：一种适用于电网信息安全的网络隔离设备，设置于用电信息采集主站和客户端之间，包括：

设置在同一个印刷线路板PCB上的隔离前置机、隔离卡和隔离后置机；

所述隔离前置机的采集端口与所述客户端的通信前端服务器连接，用于接收通信前端服务器发送的数据；

所述隔离前置机的发送端口与所述隔离卡的接收接口连接，所述隔离卡的输出接口与所述隔离后置机的输入端口连接；

所述隔离后置机的输出端口与所述用电信息采集主站的采集前端服务器连接，用于将数据发送给所述采集前端服务器，实现用电信息采集主站和客户端之间的信息隔离。

优选的，所述隔离前置机包括：协议解析模块，用于将通信前端服务器发送的数据根据电网协议进行解析。

优选的，所述协议解析模块采用FPGA芯片。

优选的，所述隔离后置机包括：密码处理模块，用于对接收到的数据进行协议加密和路由转发。

优选的，所述密码处理模块采用ASIC集成芯片。

优选的，所述隔离卡采用PEX8748Switch芯片。

优选的，所述隔离前置机、隔离卡和隔离后置机之间通过高速串行计算机扩展总线PCIE进行通信。

优选的，所述高速串行计算机扩展总线PCIE采用一主多从或多主多从的PCIE桥芯片；

所述PCIE桥芯片采用PEX8748。

优选的，所述隔离卡的输出接口为PCIE上游端口；

所述隔离前置机的发送端口为PCIE下游端口。

优选的，所述隔离前置机的采集端口和隔离后置机的输出端口为万兆光口/千兆电口。

与现有技术相比，本实用新型的有益效果为：

本实用新型提供的网络隔离设备，包括设置在同一个印刷线路板PCB上的隔离前置机、隔离卡和隔离后置机；所述隔离前置机的采集端口与所述客户端的通信前端服务器连接，用于接收通信前端服务器发送的数据；所述隔离前置机的发送端口与所述隔离卡的接收接口连接，所述隔离卡的输出接口与所述隔离后置机的输入端口连接；所述隔离后置机的输出端口与所述用电信息采集主站的采集前端服务器连接，用于将数据发送给所述采集前端服务器，实现用电信息采集主站和客户端之间的信息隔离，适用于电网信息采集网络边界，达到了电网信息安全的要求，确保了用电信息的安全。

附图说明

图1为本实用新型一种网络隔离设备的结构示意图；

图2为本实用新型中隔离卡的结构示意图；

图3为本实用新型中隔离背板框的结构示意图；

图4为本实用新型中隔离前置或隔离后置机的结构示意图。

具体实施方式

为了更好地理解本实用新型，下面结合说明书附图和实例对本实用新型的内容做进一步的说明。

以电网公司为例，针对电网公司用电信息采集网络边界的专用私有协议，传统的隔离装置产品无法进行有效的协议分析，按照各方面的有关要求，电力物联网通信应基于商密算法，同时业务上需要实现1Gbps以上的低延迟通信。本发明针对各国家电网公司的用电信息采集协议进行的协议隔离，保证性能的基础上确保了非私有协议无法通过、对私有协议可以进行解析达到组织恶意攻击的目的。

本实施例重点研究高性能信息安全网络隔离装置的研发与应用，从各国家电网公司的用电信息采集网络边界防护入手，依据2+1隔离框架构建电力系统隔离接入安全防护方案，通过部署信息安全网络隔离装置解决采集接入区与内网隔离的问题，可以支持电力专用协议报文穿透。从整体上提高用采边界对网络的防护能力。

1、隔离前置机及隔离后置机

前置机及后置机在硬件设计上为同一PCB(Printed Circuit Board，印制电路板)，在整个设备上面安装两块CPU板，分别用作隔离前置机及隔离后置机，CPU(Central Processing Unit，中央处理器)板通过PCIE(Peripheral Component Interconnect Express，高速串行计算机扩展总线)插座固定到隔离卡上，并通过PCIE插座分别与隔离卡通信，由隔离卡将前置与后置进行物理隔离。隔离卡共可转出10路PCIE X4接口，其中2路PCIE口用来与前置机和后置机通信，另外8路PCIE口用来对接插入加密卡，实现加密卡与隔离前置机、隔离后置机的通信，隔离前置机与隔离后置机也是通过隔离卡实现物理上的隔离。

如图1所示，通信过程如下：通信前端服务器传来的数据通过隔离前置机上面的万兆光口/千兆电口传输到前置机，前置机的协议解析模块芯片，按照用电信息采集私有协议格式进行解析，再经PCIE下游端口(Downstream Port)传输到隔离卡上，经隔离卡的内部的FIFO(First Input First Output，先进先出)接口将数据重新整合后转出，经隔离卡的PCIE上游端口(Upstream Port)传输给隔离后置机，后置机主要进行协议加密和路由转发，后置机经处理后，通过万兆光口/千兆电口传输给采集前端服务器。

隔离前置机包括：通信模块、协议解析模块、电源模块和存储器件；

隔离后置机包括：通信模块、密码处理模块、电源模块和存储器件；

其中，协议解析模块采用FPGA芯片，因为FPGA芯片采用Xilinx的Virtex系列芯片，PCIE对接插入。

密码处理模块采用ASIC集成芯片，因为ASIC集成芯片采用SSX30系列高性能标准分组密码算法芯片，PCIE对接插入。

本实施例中提供了网络隔离设备中各设备型号的选择依据：

1)选型依据：满足营销业务接入的高性能要求

a)隔离前置机和隔离后置机CPU芯片选择：根据目前隔离设备的性能、体积、功耗要求，经过综合考虑选择使用T2080作为主芯片；

b)隔离前置机和隔离后置机光模块(Small Form-factor Pluggable,SFP)芯片选择：需要配备双路SFP+光口，BCM84324在性能、PCB布线、占用面积上面都能满足要求；

c)隔离前置机和隔离后置机网络芯片选择：设备需要配备4个网口，而VSC8664单芯片即可支持4路网口，性能满足要求的同时，相比占用空间更小，功耗小。

2)硬件参数

a)CPU：采用PowerPC平台CPU，此款CPU是采用28nm工艺的QorIQ通信处理器，配备8个虚拟内核，1.8GHz双线程e6500内核，并具备更低的功耗和价格，

b)NOR FLASH：16bit,128MB；

c)NAND FLASH：8bit,16GB；

d)eMMC：8G；

e)DDR3L：1.87GT/s，4GB；

f)TF卡座：X 1；

g)Mini PCIe插座：X 1；

h)SFP+接口：10G，X 2；

i)RJ45接口：1G，X 4；

j)USB接口：2.0，X 1；

k)CONSOLE口：X 1；

l)PCIe X8接口：2.0，X 1，与背板连接。

3)主要硬件型号

a)CPU芯片：T2080；

b)SFP+芯片：BCM84324；

c)网络芯片：VSC8664；

2、隔离卡

如图2所示为隔离卡采用PEX8748Switch芯片，共有48个Lane，最多可以转出12路PCIE X4 2.0接口，当前隔离卡共可转出10路PCIE X4接口，其中2路PCIE口用来与前置隔离机和后置隔离机通信，另外8路PCIE口用来对接插入加密卡，实现加密卡与隔离前置机、隔离后置机的通信，隔离前置机与隔离后置机也是通过隔离卡的这个Switch芯片实现物理上的隔离。

3、桥芯片

1)选型依据：

为满足隔离设备插多种卡、同时又要满足隔离前置机与隔离后置机真正意义上的物理隔离，因此选择此桥芯片，可以分出多路PCIE接口，又简化了外围电路设计。

2)硬件参数

a)PCIE桥芯片：PEX8748，48-Lane，最多可以支持12-port PCIE 3.0接口，Integrate 8.0GT/s SerDes；

b)PCIE X4插座：X 10；

3)主要硬件型号

a)PCIE桥芯片：PEX8748；

本实施例中提供的技术方案具有以下优点：

PCIE桥片选用了PEX8748，该芯片带有48个PCIE lane，最多支持12路PCIEx4，支持PCIE 3.0，并兼容PCIE1.0/1.1和PCIE2.0。

优点：高性能，支持PCIE 3.0并能向下兼容，能够扩展足够多的PCIE接口，背板上隔离前置机和隔离后置机是通过物理连线接到隔离卡上的，不经过PCIE桥，因为PCIE桥一般一主多从，或者是多主多从，而PCIE接口为一主一从，PCIE桥可以用来连接加密卡，网卡或是其它以PCIE为接口的设备。

选用一款高性能FPGA作为内外网之间的隔离卡。设备采用赛灵思xilinx的Virtex-7系列28nm技术的新款FPGA。FPGA接出两组PCIE x4总线分别与前置机和后置机相连，数据通过高速PCIE接口完成传输。

FPGA上电通过NorFlash进行配置，采用并行配置模式，以实现FPGA上电后能快速启动。

PCIE 2.0x4理论上能够支持双向20Gbps的数据传输速度，除去他8B/10B编码的损耗，能够支持的最大传输速度是16Gbps。双向传输数据时候，单方向最大能够达到8Gbps的传输速度；单向传输数据时候，单方向最大能够达到16Gbps的传输速度，因为FPGA是通过硬件实现数据的重组和传输，所以传输过程是高效和低延时的。在内部逻辑上是采用多个直接内存存取(Direct Memory Access，DMA)通道进行传输，实际测试一个DMA通道就已经可以达到3Gbps(1024位的包)的传输速度。

图3为隔离背板的示意图。

本实用新型提供了一种电力系统高性能信息安全网络隔离装置设备，包括隔离前置机、隔离后置机以及隔离卡硬件设备，在一个设备上实现了用电信息采集终端的安全隔离和接入。隔离前置机主要实现私有协议的解析，隔离卡主要实现数据库的摆渡，隔离后置机主要实现加解密处理和数据转发。

如图4为隔离前置机或隔离后置机的结构示意图，其中隔离前置机和后隔离置机包括主芯片(T2080)、双路SFP芯片(BCM84324)、网路芯片(VSC8664)、128MB NOR FLASH、2GB NAND FLASH、4G eMMC、1.87GT/s，8GB DDR3、PCIe X4接口、Mini PCIe插座以及SFP、RJ45、USB接口、CONSOLE口。

其中隔离卡包括PCIE桥芯片(PEX8748)和PCIE X4插座。

工作原理：

1、接通电源后，外部电源进入电源模块后转成12V供给PCB底板，底板会对底板上的桥芯片和逻辑控制芯片进行供电。

2、PCB底板上的逻辑控制芯片带电后会判断是否有外部设备插入到底板上，外部设备包括有隔离前置机，隔离后置机，隔离卡等。

3、PCB底板上的监测到设备并且设备电源正确的情况下会给设备供电。

4、隔离前置机和隔离后置机以及隔离卡会启动配置过程，隔离卡是FPGA的硬件逻辑，隔离前置机和隔离后置机启动后会扫描外部设备，在业务上主要是为了识别PCIE连接的隔离卡。

5、隔离卡会有两个ID号，通过识别隔离卡的ID，隔离前置机和隔离后置机会启动对应的服务程序，从而完成整体隔离软硬件的配置过程。

6、设备使用中，即可进行用电信息采集中断的接入和隔离，用采终端的报文到达后，经过隔离前置机的协议解析之后，通过隔离卡发送到隔离后置机中进行加解密处理和路由转发到用电信息采集主站中接收。

显然，所描述的实施例是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本实用新型保护的范围。

以上仅为本实用新型的实施例而已，并不用于限制本实用新型，凡在本实用新型的精神和原则之内，所做的任何修改、等同替换、改进等，均包含在申请待批的本实用新型的权利要求范围之内。