一种面向云环境的跨安全域数据交换装置的制作方法

本实用新型涉及一种数据交换装置，具体涉及一种面向云环境的跨安全域数据交换装置。
背景技术：
：安全域是一组具有相同安全级别和安全需求的计算机系统集合，比如办公域，由一组办公终端(pc)构成；服务域，由一组服务器构成；管理域，由一组管理终端构成。不同安全域之间为了降低相互干扰采用隔离机制相互隔离，如逻辑隔离机制，逻辑隔离机制为不同安全域内实体(如主机)间的网络层及以上的通信过程实施管控的机制，该机制的典型实现技术包括：acl,vlan,网络防火墙，代理等。又如物理隔离机制，物理隔离机制为不同安全域内实体(如主机)间的物理层及以上的通信过程实施管控机制，该机制的典型实现技术包括：独立网络，双向网闸，单向网闸等。目前，支持物理隔离的网络隔离与数据交换系统(网闸)没有考虑交换数据本身的安全策略一致性问题，支持逻辑隔离的防火墙系统不支持数据交换功能。参见下表，源安全域(安全域1)和目的安全域(安全域2)之间的一次数据交换情况存在的风险包括：安全域客体访问主体数据安全策略1文件m用户a用户a可以读文件m2文件m用户b用户b可以读文件ma)文件m为明文，用户b为安全域1的非授权用户，属于非法访问。b)文件m为密文，用户b为安全域1的授权用户，但无法解密文件m；上述风险存在是因为安全域1和安全域2没有进行数据安全策略一致性处理，导致数据被非法用户访问或合法用户不可访问。综上，亟需一种用于云环境下的虚拟实体组成的安全域间的数据交换技术方案。技术实现要素：为此，本实用新型提供一种面向云环境的跨安全域数据交换装置，以解决安全域隔离和数据交换技术缺乏数据安全策略一致性管控问题，可以用于云环境下的虚拟实体组成的安全域间的数据交换。为了实现上述目的，本实用新型提供如下技术方案：一种面向云环境的跨安全域数据交换装置，包括交换设备主板，所述交换设备主板集成有交换管控板卡和网络协议处理板卡；所述交换管控板卡用于安全域间数据交换的安全检查和数据格式转换，交换管控板卡集成有数据转换控制芯片、数据同步控制芯片和第一存储器；所述数据转换控制芯片用于实现待交换数据安全策略一致性检查、数据自身格式和数据安全策略转换；所述数据同步控制芯片用于控制安全域间数据交换节奏；所述第一存储器用于存储待格式转换的数据和已格式转换的数据；所述网络协议处理板卡用于安全域间网络数据包协议封装或解封装；网络协议处理板卡集成有网络协议处理芯片和第二存储器，所述网络协议处理芯片用于处理网络数据包协议封装或解封装，所述第二存储器用于存储接收的原始网络通信数据包和待发送的网络数据包。作为面向云环境的跨安全域数据交换装置的优选方案，还包括设备电源，所述设备电源与所述交换设备主板电连接，设备电源用于对交换设备主板的交换管控板卡和网络协议处理板卡进行供电。作为面向云环境的跨安全域数据交换装置的优选方案，还包括管理网络lan接口，所述管理网络lan接口与所述交换设备主板连接，管理网络lan接口用于面向云环境的跨安全域数据交换装置的网络方式管理。作为面向云环境的跨安全域数据交换装置的优选方案，还包括通信网络lan接口，所述通信网络lan接口与所述交换设备主板连接，通信网络lan接口用于面向云环境的跨安全域数据交换装置的网络通信。作为面向云环境的跨安全域数据交换装置的优选方案，所述数据转换控制芯片、数据同步控制芯片和网络协议处理芯片均采用现场可编程门阵列fpga。作为面向云环境的跨安全域数据交换装置的优选方案，所述第一存储器和第二存储器均采用随机存取存储器ram。本实用新型设有交换设备主板，交换设备主板集成有交换管控板卡和网络协议处理板卡；交换管控板卡用于安全域间数据交换的安全检查和数据格式转换，交换管控板卡集成有数据转换控制芯片、数据同步控制芯片和第一存储器；数据转换控制芯片用于实现待交换数据安全策略一致性检查、数据自身格式和数据安全策略转换；数据同步控制芯片用于控制安全域间数据交换节奏；第一存储器用于存储待格式转换的数据和已格式转换的数据；网络协议处理板卡用于安全域间网络数据包协议封装或解封装；网络协议处理板卡集成有网络协议处理芯片和第二存储器，网络协议处理芯片用于处理网络数据包协议封装或解封装，第二存储器用于存储接收的原始网络通信数据包和待发送的网络数据包。本技术方案采用板卡方式设计，设备扩容简单；通过增加网络协议处理板卡的方式支持更多安全域接入，本技术方案解决安全域隔离和数据交换技术缺乏数据安全策略一致性管控问题，可以用于云环境下的虚拟实体组成的安全域间的数据交换，只需要选用的网络处理协议板卡支持虚拟安全域标签vxlanid既可。附图说明为了更清楚地说明本实用新型的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。图1为本实用新型实施例中提供的一种面向云环境的跨安全域数据交换装置的架构示意图。图中：1、交换设备主板；2、交换管控板卡；3、网络协议处理板卡；4、数据转换控制芯片；5、数据同步控制芯片；6、第一存储器；7、网络协议处理芯片；8、第二存储器；9、设备电源；10、管理网络lan接口；11、通信网络lan接口。具体实施方式以下由特定的具体实施例说明本实用新型的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本实用新型的其他优点及功效，显然，所描述的实施例是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。参见图1，提供一种面向云环境的跨安全域数据交换装置，包括交换设备主板1，所述交换设备主板1集成有交换管控板卡2和网络协议处理板卡3；所述交换管控板卡2用于安全域间数据交换的安全检查和数据格式转换，交换管控板卡2集成有数据转换控制芯片4、数据同步控制芯片5和第一存储器6；所述数据转换控制芯片4用于实现待交换数据安全策略一致性检查、数据自身格式和数据安全策略转换；所述数据同步控制芯片5用于控制安全域间数据交换节奏；所述第一存储器6用于存储待格式转换的数据和已格式转换的数据；所述网络协议处理板卡3用于安全域间网络数据包协议封装或解封装；网络协议处理板卡3集成有网络协议处理芯片7和第二存储器8，所述网络协议处理芯片7用于处理网络数据包协议封装或解封装，所述第二存储器8用于存储接收的原始网络通信数据包和待发送的网络数据包。具体的，所述数据转换控制芯片4、数据同步控制芯片5和网络协议处理芯片7均采用现场可编程门阵列fpga。所述第一存储器6和第二存储器8均采用随机存取存储器ram。可编程门阵列fpga属于专用集成电路中的一种半定制电路，是可编程的逻辑列阵，基本结构包括可编程输入输出单元，可配置逻辑块，数字时钟管理模块，嵌入式块ram，布线资源，内嵌专用硬核，底层内嵌功能单元。可编程门阵列fpga具有布线资源丰富，可重复编程和集成度高，投资较低的特点，可以应用于面向云环境的跨安全域数据交换。本技术方案可编程门阵列fpga可以采用titans系列pgt180，pgt180属于高端型fpga,采用40nmram工艺，集成170kluts4(等效)，内嵌9mbitram，支持双口ram，ddr3，高速serdes等资源。随机存取存储器ram作为安全域交换数据的内部存储器，可以随时读写(刷新时除外)，而且速度很快，可以随时从任何一个指定的地址写入(存入)或读出(取出)信息。具体的，还包括设备电源9，所述设备电源9与所述交换设备主板1电连接，设备电源9用于对交换设备主板1的交换管控板卡2和网络协议处理板卡3进行供电。设备电源9可以采用wd600k，交流输入100-240v，5-10a，50/60hz，具有过压保护、欠压保护、过载保护、电流保护、温度保护和短路保护。具体的，还包括管理网络lan接口10，所述管理网络lan接口10与所述交换设备主板1连接，管理网络lan接口10用于面向云环境的跨安全域数据交换装置的网络方式管理。一个设备主板可以由一个管理网络lan接口10进行管理。此外，还包括通信网络lan接口11，所述通信网络lan接口11与所述交换设备主板1连接，通信网络lan接口11用于面向云环境的跨安全域数据交换装置的网络通信。当配置多个网络协议处理板卡3时，每个网络协议处理板卡3对应一个通信网络lan接口11。本实用新型设有交换设备主板1，交换设备主板1集成有交换管控板卡2和网络协议处理板卡3；交换管控板卡2用于安全域间数据交换的安全检查和数据格式转换，交换管控板卡2集成有数据转换控制芯片4、数据同步控制芯片5和第一存储器6；数据转换控制芯片4用于实现待交换数据安全策略一致性检查、数据自身格式和数据安全策略转换；数据同步控制芯片5用于控制安全域间数据交换节奏；第一存储器6用于存储待格式转换的数据和已格式转换的数据；网络协议处理板卡3用于安全域间网络数据包协议封装或解封装；网络协议处理板卡3集成有网络协议处理芯片7和第二存储器8，网络协议处理芯片7用于处理网络数据包协议封装或解封装，第二存储器8用于存储接收的原始网络通信数据包和待发送的网络数据包。本技术方案采用板卡方式设计，设备扩容简单；通过增加网络协议处理板卡3的方式支持更多安全域接入，本技术方案解决安全域隔离和数据交换技术缺乏数据安全策略一致性管控问题，可以用于云环境下的虚拟实体组成的安全域间的数据交换，云环境中虚拟实体组成的安全域可以对应于特定的网络标识，如vxlanid，只需要选用的网络处理协议板卡支持虚拟安全域标签vxlanid既可。虽然，上文中已经用一般性说明及具体实施例对本实用新型作了详尽的描述，但在本实用新型基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本实用新型精神的基础上所做的这些修改或改进，均属于本实用新型要求保护的范围。当前第1页12