单向中继装置的制造方法
【技术领域】
[0001 ] 本发明涉及一种在一个方向上进行数据中继的单向中继装置。
【背景技术】
[0002]作为现有技术,例如在专利文献I中以“获得一种仅在一个方向上进行数据传输,并且能够防止反向侵入的单向通信装置”(参照摘要)为课题,并且公开了用于解决该课题的结构:“该单向通信装置具有:第一构件,该第一构件构造成仅在一个方向进行数据通信,以非同步协议发送从数据发送方接收到的数据;以及第二构件,该第二构件构造成仅在一个方向进行数据通信,将以非同步协议从该第一构件接收到的数据发送给数据发送方,所述第一构件由接收单元和非同步发送单元构成,该接收单元经由第一网络接收通过IP通信从数据发送方发送来的数据,该非同步发送单元以非同步协议将由所述接收单元接收到的所述数据发送给所述第二构件”(参照权利要求1)。
[0003]此外,在专利文献2中以“能够提供一种相对于对计算机的攻击具有更高安全性的数据通信方法”为课题,并且公开了用于解决该课题的结构:“具有:第一计算机1,所述第一计算机I具有数据发送处理部分10 ;第二计算机2,所述第二计算机2具有数据接收处理部分20 ;以及通信线3,所述通信线3连接第一计算机I和第二计算机2,通信线3通过排除用于从第二计算机2向第一计算机I发送数据的信号线来实现单向通信。由此,能够防止外部对第一计算机I的攻击(参照摘要)。
[0004]在先技术文献
[0005]专利文献
[0006]专利文献I日本国专利特开2004-185483号公报
[0007]专利文献2日本国专利特开2010-199943号公报
【发明内容】
[0008]在上述专利文献I中采用逻辑方式的防止机构来防止来自反向的入侵。具体来说是,通过将滤波器程序写入R0M,利用相对于难以进行设定变更的特定的IP地址和MAC地址等位于上位的滤波器程序,使得只能在一个方向上进行数据传输,以此来防止来自反向的攻击。
[0009]在上述专利文献I所公开的技术中,虽然能够以逻辑方式来实现从内部系统向外部系统的单向通信,但实际上仍然处于通信线能够以物理方式进行双向通信的状态,所以能够通过对滤波器程序的篡改等来进行双向通信,从结果来看存在经由网络进行不法入侵等的攻击的可能性。
[0010]另一方面,在专利文献2中采用了物理方式的防止机构。具体来说是,通过排除用于从外部系统向内部系统发送数据的信号线来实现单向通信,以此来防止外部对内部系统的攻击。
[0011]但是,在上述专利文献2所公开的技术中,由于不存在从外部系统通往内部系统的物理方式的通信路径,所以虽然能够排除通过篡改滤波器程序等对内部系统进行不法入侵等的攻击,但由于在通信线中排除了用于向内部系统发送数据的信号线,所以无法在自动规则论证(Auto Negotiat1n)等的通信线中确立双向的链路。
[0012]为了解决上述问题,本发明的目的在于不仅能够防止来自外部系统的不法入侵,而且能够将内部系统的数据安全地提供给外部系统。
[0013]解决方案
[0014]为了解决上述课题,本发明的单向中继装置的特征在于具有:第一端口,所述第一端口从一方的网络接收通信数据;第一物理层电路,所述第一物理层电路经由第一信号线与所述第一端口连接,并且进行物理层的协议处理;第一 MAC层电路,所述第一 MAC层电路经由第二信号线与所述第一物理层电路连接,并且进行MAC层的协议处理;第二 MAC层电路,所述第二 MAC层电路经由第三信号线与所述第一 MAC层电路连接,并且进行MAC层的协议处理;第二物理层电路,所述第二物理层电路经由第四信号线与所述第二 MAC层电路连接,并且进行物理层的协议处理;以及第二端口,所述第二端口经由第五信号线与所述第二物理层电路连接,向另一方网络发送通信数据,所述第三信号线是在一个方向上将数据从所述第一 MAC层电路发送到所述第二 MAC层电路的信号线,用于将数据从所述第二 MAC层电路发送到所述第一 MAC层电路的信号线断开或者与接地线连接。
[0015]发明效果
[0016]根据本发明,不仅能够防止来自外部系统的不法入侵,而且能够将内部系统的数据安全地提供给外部系统。
【附图说明】
[0017]图1是本发明的结构图。
[0018]图2是表示用于实现单向中继的GMII的方块图。
[0019]图3是表示向外部的帧中继的控制的方块图。
[0020]图4是表示防止向内部进行帧中继的方块图。
[0021]图5是表示用于降低负荷的单播的通信方式的方块图。
【具体实施方式】
[0022]以下参照附图对实施例进行说明。
[0023]第一实施例
[0024]图1是表示本发明的实施例的第一实施例的方块图。其图示了将计算机1(100)所保持的数据通过单向中继装置单向地发送给计算机2(300)的场合的结构。通过通信线(601)连接计算机1(100)和单向中继装置(200),并且通过通信线(602)连接单向中继装置(200)和计算机2(300)。此外,单向中继装置(200)由SwitchPort2_l (210)、PHY2-1 (220)、MAC2-1 (230)、MAC2-2 (240)、PHY2-2 (250)、SwitchPort2-2 (260)构成。
[0025]MAC是用于处理介质存取控制(Media Access Control, MAC)层的协议的IC,PHY是用于处理物理层的协议的1C,开关端口(Switch Port)是与类别5,5e的UTP线缆连接的端口。
[0026]SwitchPort2-l(210)和 PHY2_1 (220)通过信号线(711),(712)连接,PHY2-1 (220)和MAC2-1 (230)通过信号线(721),(722)连接,发送侧MAC2-1 (230)与接收侧MAC2-2 (240)通过并行接口 GMII (千兆介质独立接口,Gigabit Media Independent Interface)的单向通信用信号线组(730)连接,MAC2-2(240)和PHY2-2 (250)通过信号线(741),(742)连接,PHY2-2 (250)和 SwitchPort2-2(260)通过信号线(751),(752)连接。
[0027]图2是表示图1所示的单向中继装置的内部(尤其是MAC层)的详细情况的方块图。MAC2-1 (230)通过接收部分(231)、发送部分(232)与PHY2-1 (220)进行通信,MAC2-2 (240)通过接收部分(241)、发送部分(242)与PHY2-2 (250)进行通信,MAC2-1 (230)和MAC2-2(240)通过并行接口 GMII的信号线组(730)进行连接。
[0028]在本发明中,图2所示的并行接口 GMII的信号线组(730)采用在物理层面上只能够进行单向通信的结构。采用一般的IEEE802.3Z规格的并行接口的信号组(730)通过设置发送系统信号组和接收系统信号组这两个组来实现双向通信。
[0029]信号组(730)构造成连接包括发送帧的8根数据线TXD < 7:0 > (731)和发送用的时间信号GTX_CLK(732)的发送系统信号组,并且切断包括接收帧的8根数据线RXD< 7:0 > (733),(735)和接收用的时间信号RX_CLK(734),(736)的接收系统信号组。
[0030]以下说明用于实现单向中继的连接结构。将发送侧的MAC2-1 (230)中的接收帧的8根数据线RXD < 7:0 > (733)和接收用的时间信号(734)下拉(Pull Down),也就是将其与接地线(GND)连接。通过下拉,能够保持数字电路的电压,从而能够防止误动作。
[0031]此外,断开接收侧的MAC2-2(240)中的接收帧的8根数据线RXD < 7:0 > (735)和接收用的时间信号RX_CLK(736)(内部下拉)。由此,由于不存在从MAC2-2(240)通往MAC2-1 (230)的通信路径,所以在物理层面上处于不能发送数据的状态。
[0032]在控制部分1 (233)中对接收部分(231)经由PHY2-1 (220)从SwitchPort2-l (210)接收到的数据进行判断以决定是对该数据进行中继还是丢弃该数据。中继数据由GMII发送部分(234)经由发送帧的8根数据线TXD < 7:0 > (731)中继到GMII接收部分(244)。GMII接收部分(244)从GMII发送部分(234)接收125MHz的时钟的供应。数据通过控制部分2 (243)以及发送部分(242)被发送到PHY2-2 (250)后被进一步发送到SwitchPort2-2(260)。相反,由接收部分(241)从 SwitchPort2_2 (260)和 PHY2-2 (250)接收到的数据通过控制部分2(243)被发送到GMII发送部分(245),但由于数据线RXD < 7:0> (735)和时间信号RX_CLK(736)处于断开状态,所以该数据不会发送到GMII接收部分(235) ο
[0033]通过采用上述结构,只能够进行从计算机I (100)