專利名稱:信息橋網(wǎng)絡安全隔離裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計算機網(wǎng)絡安全隔離裝置,具體地說��,是一種信息橋網(wǎng)絡安全隔離裝置���。
本發(fā)明的信息橋網(wǎng)絡安全隔離技術(shù)方案是在內(nèi)網(wǎng)和外網(wǎng)之間加入一個信息橋�,用于信息的存儲轉(zhuǎn)發(fā)�。當用戶需要把內(nèi)網(wǎng)的數(shù)據(jù)發(fā)布到外網(wǎng)上時�,可以把數(shù)據(jù)發(fā)送到信息橋的存儲區(qū)域,然后通過信息橋?qū)ν獍l(fā)送�����。反之亦然����。
綜上所述,本發(fā)明的信息橋網(wǎng)絡安全隔離裝置,其包括分別連接內(nèi)網(wǎng)的內(nèi)網(wǎng)接口���、連接外網(wǎng)的外網(wǎng)接口和連接用戶控制端的串口通信接口�,特點是在該內(nèi)外網(wǎng)之間設(shè)一用于信息存儲轉(zhuǎn)發(fā)的信息橋和一連接該信息橋的接口���,以及一分別連接上述的內(nèi)�����、外網(wǎng)接口��、信息橋接口與串口通信接口的信息橋隔離核心模塊���;所說的內(nèi)、外網(wǎng)接口和信息橋接口均為標準以太網(wǎng)接口��;所說的信息橋隔離模塊����,其包括一通道選擇開關(guān)組和一核心微處理器,該核心微處理器分別以控制總線和串行通信線單向聯(lián)結(jié)該通道選擇開關(guān)組和雙向聯(lián)結(jié)該串口通信接口�,而該通道選擇開關(guān)組則分別以數(shù)據(jù)總線雙向聯(lián)結(jié)該三個以太網(wǎng)接口;該核心微處理器設(shè)有內(nèi)嵌式操作模塊��;所說的用戶控制端設(shè)有一用戶控制模塊,其經(jīng)由該串口通信接口指示該信息橋隔離核心模塊使三個以太網(wǎng)接口處于三種組合狀態(tài)a.內(nèi)網(wǎng)以太網(wǎng)接口和信息橋以太網(wǎng)接口連通��;b.外網(wǎng)以太網(wǎng)接口和信息橋以太網(wǎng)接口連通����;和c.三個以太網(wǎng)接口處于斷開狀態(tài),從而�����,相應地實現(xiàn)信息橋分別與內(nèi)�����、外網(wǎng)連通和它們共處于隔離狀態(tài)���;更具體地�,在該核心微處理器和該串口通信接口之間還設(shè)有一電平轉(zhuǎn)換模塊�,以提供電路所需的正負電平�;所說的用戶控制模塊其包括接受用戶控制端登錄的主控制界面,分別后接該主控界面的手動模式與定時模式�����,而且,該手動模式直接連接該當前狀態(tài)�����,而該定時模式則經(jīng)定時設(shè)定狀態(tài)庫連接該當前狀態(tài)���;該定時設(shè)定狀態(tài)庫接受一定時器的控制�;而該當前狀態(tài)則接受另一定時器的控制�����;該當前狀態(tài)的輸出經(jīng)指令生成器后由該串口通信接口送該信息橋隔離核心模塊����;上述的信息橋是一臺存儲容量至少是1兆字節(jié)的PC機或工作站或服務器;上述的用戶控制端是一臺PC機或工作站或服務器�;上述的串口通信接口系采用RS-232通信協(xié)議。
本發(fā)明的效果是顯著的其成功地解決了物理隔斷和使用方便性之間的矛盾���,使得內(nèi)網(wǎng)和外網(wǎng)不僅嚴格地實現(xiàn)了物理隔離����,而且還能在需要的時候方便地在內(nèi)外網(wǎng)之間傳遞信息�����。而且當需要從內(nèi)網(wǎng)向外網(wǎng)發(fā)布信息時,不再需要人工拷貝信息并用存儲介質(zhì)手動輸入到與外網(wǎng)相連的設(shè)備中�。同樣,從內(nèi)網(wǎng)提取外網(wǎng)發(fā)送的信息時也相當方便�。其間的安全性、可靠性也大大增強����,把因為用戶操作失誤或非人為因素而引起秘密泄漏、造成財產(chǎn)損失的可能性降到最低��。
圖2是本發(fā)明的信息橋網(wǎng)絡安全隔離裝置電路方框圖�。
圖3是本發(fā)明中的用戶控制模塊結(jié)構(gòu)示意圖。
請參閱
圖1�����,圖中所示的信息橋隔離核心模塊104即為實現(xiàn)網(wǎng)絡接口通斷控制的硬件裝置����,它包括核心處理1040、內(nèi)嵌式操作模塊(圖中未示出)�、數(shù)據(jù)總線1042����、選擇開關(guān)組1041����。串口通信接口100為標準串口通信接口����,三個接口101、102�����、103均為標準以太網(wǎng)接口��,用戶控制端14為運行于用戶控制模塊140上的操作終端��,可為PC(個人電腦)或工作站或服務器����,信息橋13是信息中轉(zhuǎn)存儲區(qū)域,可為擁有較大存儲容量(至少為1兆字節(jié))的PC(個人電腦)或工作站或服務器����。內(nèi)網(wǎng)(局域網(wǎng))11和外網(wǎng)(公眾網(wǎng))12。
信息橋網(wǎng)絡安全隔離裝置10���,其包括信息橋13和信息橋隔離核心模塊104�����、標準串口通信接口100�、接信息橋13的以太網(wǎng)接口103、接內(nèi)網(wǎng)11的以太網(wǎng)接口101和接外網(wǎng)12的以太網(wǎng)接口102�����。
信息橋隔離核心模塊104在用戶控制模塊140指定的指示下可使以太網(wǎng)接口101�����、102����、103處于如下三種組合狀態(tài)一,以太網(wǎng)接口101��、103連通�����,實現(xiàn)信息橋13與內(nèi)網(wǎng)11接通;二�����,以太網(wǎng)接口102�����、103連通�,實現(xiàn)信息橋13與外網(wǎng)12接通��;三�,三個以太網(wǎng)接口101、102���、103均不連通���,信息橋13、內(nèi)網(wǎng)11�����、外網(wǎng)12均未接通����。
涉密網(wǎng)絡必須與公眾網(wǎng)(外網(wǎng))在物理上隔離�����,這對提高系統(tǒng)的安全性是-十分有效的���,但是在使用上卻帶來十分的不便,本實施例就是要解決物理隔斷和使用方便性之間的矛盾����,使得內(nèi)網(wǎng)和外網(wǎng)不僅能嚴格地實現(xiàn)物理隔離,還能在需要的時候方便的在內(nèi)外網(wǎng)之間傳遞信息���。
本實施例中�����,主要是在內(nèi)網(wǎng)11和外網(wǎng)12之間加入一個信息橋13����,用于信息的存儲轉(zhuǎn)發(fā)����。當用戶需要把內(nèi)網(wǎng)11的數(shù)據(jù)發(fā)布到外網(wǎng)12上時,可以把數(shù)據(jù)發(fā)送到信息橋13的存儲區(qū)域,然后通過信息橋13對外網(wǎng)發(fā)送��。反之亦然����。
使用者在用戶控制模塊140上發(fā)布網(wǎng)絡狀態(tài)切換指令;指令通過串口通信接口100傳遞到信息橋隔離核心模塊104���;信息橋隔離核心模塊依據(jù)指令更新三個標準網(wǎng)絡接口101、102���、103的通斷模式�,實現(xiàn)網(wǎng)絡狀態(tài)的切換��。
信息橋隔離核心模塊104即實現(xiàn)網(wǎng)絡接口101�����、102���、103通斷控制的硬件裝置���。請參閱圖2,它是信息橋網(wǎng)絡安全隔離裝置電路框圖,圖中通道選擇開關(guān)組1041用于選路���,實現(xiàn)通斷切換��;核心微處理器1040接受來自用戶控制端14的命令����,并轉(zhuǎn)化成相應指令控制通道選擇開關(guān)組1041的狀態(tài)�����;電平轉(zhuǎn)換模塊1045提供電路所需的正負電壓��;信息橋接口103連接中轉(zhuǎn)存儲區(qū)域����,即信息橋13;內(nèi)網(wǎng)接口101連接內(nèi)網(wǎng)11���;外網(wǎng)接口102連接外網(wǎng)12���;串口通信接口100(9針)來自用戶控制端14的命令通過串行通信接口100傳遞給信息橋隔離核心模塊104。
其中�,信息橋隔離核心模塊104包括選擇開關(guān)組1041�、核心微處理器1040以及串行通信線1044����、數(shù)據(jù)總線1042和控制總線1043。核心微處理器1040分別以串行通信線1044和控制總線1043雙向聯(lián)結(jié)串口通信接口100和單向連接選擇開關(guān)組1041����;該選擇開關(guān)組1041分別以數(shù)據(jù)總線1042雙向連接三個接口101、102�����、103����。還有一電平轉(zhuǎn)換模塊1045�,其位于該核心微處理器1040與串口通信接口100之間,用來轉(zhuǎn)換所需的正負電平�,其系采用常用技術(shù),在此不再贅述����。
信息橋網(wǎng)絡安全隔離裝置10具有三個以太網(wǎng)接口101、102�、103����,分別為內(nèi)網(wǎng)接口101�����,外網(wǎng)接口102�,服務控制(信息橋)接口103。
☆服務控制接口103在任意時刻僅能與內(nèi)網(wǎng)11或外網(wǎng)12中的其中一個通信��。
☆設(shè)備符合國際通用標準���。(主要參考ISO-OSI��,CCITT-ITU��,TCP/IP)信息橋網(wǎng)絡安全隔離裝置10具有一個串口通信接口100�����,符合RS-232標準�����。
請參閱圖3�,它是用戶控制模塊結(jié)構(gòu)圖,用戶控制模塊140為用戶提供良好的圖形界面(GUI)來進行隔離器的控制�����。主要提供用戶登錄配置界面�����;實現(xiàn)對內(nèi)���、外網(wǎng)11��、12及信息橋13的接口控制��;提供定時狀態(tài)切換設(shè)置��,實現(xiàn)對隔離器的自動控制。
1.通信模塊使用串口對隔離器進行控制���,采用標準的RS-232協(xié)議進行通信����,以完成內(nèi)網(wǎng)接口101��、外網(wǎng)接口102和信息橋13控制接口103的連通控制。
2.用戶界面為用戶提供了良好的圖形界面(GUI)來進行隔離器的控制�。主要提供了用戶登錄配置界面的身份驗證(保證安全性);實現(xiàn)對內(nèi)��、外網(wǎng)11�����、12及信息橋13的相應接口101����、102、103的控制�;提供定時狀態(tài)切換設(shè)置,實現(xiàn)對隔離器的自動控制���。
本實施例運用自動控制技術(shù)實時對隔離器狀態(tài)進行查詢�����,并將其與用戶的設(shè)定相比較�����,嚴格執(zhí)行預設(shè)狀態(tài)�����,實現(xiàn)網(wǎng)絡安全隔離器狀態(tài)的定時切換�����。在無人監(jiān)控的環(huán)境下執(zhí)行預先設(shè)定的切換網(wǎng)絡狀態(tài)的命令��,自動調(diào)整信息橋與內(nèi)外網(wǎng)的通斷關(guān)系�����。該技術(shù)對需要嚴格按時轉(zhuǎn)換網(wǎng)絡狀態(tài)的場合尤為適用�,它無需專人時時監(jiān)管,且可避免人為因素造成的狀態(tài)切換錯誤����。
信息橋網(wǎng)絡安全隔離裝置10的用戶控制模塊140運行于windows操作系統(tǒng)上,所需硬件平臺為可運行windows操作系統(tǒng)的PC(個人電腦)或工作站或服務器����,并需要串口通信接口�����。
圖3中,當用戶根據(jù)有效密碼和用戶名成功登錄了網(wǎng)絡安全隔離器10之后��,即進入主控制界面141��,之后����,進行模式選擇手動模式142在主控制界面里,用戶可以選擇手動模式142對網(wǎng)絡狀態(tài)進行配置����,并刷新當前狀態(tài)145;或定時模式143在主控制界面141里�����,用戶可以選擇定時模式143��,使網(wǎng)絡定時切換網(wǎng)絡狀態(tài)定時設(shè)定狀態(tài)庫144用戶配置并啟動定時模式143后��,定時設(shè)定狀態(tài)庫144會記錄下定時模式143設(shè)定的網(wǎng)絡狀態(tài)參數(shù)����。當前狀態(tài)145當前狀態(tài)145存儲的是當前時刻網(wǎng)絡應該處于的狀態(tài)參數(shù)。定時器146定時器146定時從定時設(shè)定狀態(tài)庫144中取出目前時刻所對應的網(wǎng)絡狀態(tài)參數(shù),并存入當前狀態(tài)145中�����。
定時器147定時器147定時將當前網(wǎng)絡實際狀態(tài)和當前狀態(tài)145相比較���,以保證網(wǎng)絡狀態(tài)嚴格按照用戶設(shè)定的情況運行���。指令生成器148按照當前狀態(tài)145生成相應指令,控制信息橋網(wǎng)絡安全隔離裝置10的狀態(tài)�����。
權(quán)利要求
1.一種信息橋網(wǎng)絡安全隔離裝置�,包括分別連接內(nèi)外網(wǎng)(11,12)的接口(101��,102)和連接用戶控制端(14)的串口通信接口(100)�,其特征在于,在該內(nèi)外網(wǎng)(11���,12)之間設(shè)一用于信息存儲轉(zhuǎn)發(fā)的信息橋(13)和一連接該信息橋(13)的接口(103)�����,以及一分別連接接口(101����,102�����,103)與串口通信接口(100)的信息橋隔離核心模塊(104)�。
2.根據(jù)權(quán)利要求1所述的信息橋網(wǎng)絡安全隔離裝置,其特征在于�����,所說的接口(101�����,102���,103)均為標準以太網(wǎng)接口�。
3.根據(jù)權(quán)利要求1所述的信息橋網(wǎng)絡安全隔離裝置����,其特征在于,所說的信息橋隔離核心模塊(104),其包括一通道選擇開關(guān)組(1041)和一核心微處理器(1040)��;該核心微處理器(1040)分別以控制總線(1043)和串行通信線(1044)單向聯(lián)結(jié)該通道選擇開關(guān)組(1041)和雙向聯(lián)結(jié)該串口通信接口(100)��;該通道選擇開關(guān)組(1041)分別以數(shù)據(jù)總線(1042)雙向聯(lián)結(jié)該三個以太網(wǎng)接口(101�����,102��,103)該核心微處理器(1040)設(shè)有內(nèi)嵌式操作模塊���。
4.根據(jù)權(quán)利要求1或2或3所述的信息橋網(wǎng)絡安全隔離裝置�,其特征在于��,該用戶控制端(14)設(shè)有一用戶控制模塊(140)����,其經(jīng)由該串行通信接口(100)指示該信息橋隔離核心模塊(104)使三個以太網(wǎng)接口(101,102�,103)處于三種組合狀態(tài)a.二個以太網(wǎng)接口(101,103)連通�����;b.二個以太網(wǎng)接口(102,103)連通��;和c.三個以太網(wǎng)接口(101��,102�,103)處于斷開狀態(tài)�。
5.根據(jù)權(quán)利要求3所述的信息橋網(wǎng)絡安全隔離裝置,其特征在于��,在該核心微處理器(1040)和串口通信接口(100)之間設(shè)有一電平轉(zhuǎn)換模塊(1045)����。
6.根據(jù)權(quán)利要求4所述的信息橋網(wǎng)絡安全隔離裝置,其特征在于�����,所說的用戶控制模塊(140)����,其包括接受用戶控制端(14)登錄的主控制界面(141),分別后接該主控制界面(141)的手動模式(142)�、定時模式(143),而且該手動模式(142)直接連接該當前狀態(tài)(145)��,而該定時模式(143)則經(jīng)定時設(shè)定狀態(tài)庫(144)連接該當前狀態(tài)(145);該定時設(shè)定狀態(tài)庫(144)接受定時器(146)的控制���;而該當前狀態(tài)(145)則接受另一定時器(147)的控制��;該當前狀態(tài)(145)的輸出經(jīng)指令生成器(148)后由該串行通信接口(100)送該信息橋隔離核心模塊(104)�����。
7.根據(jù)權(quán)利要求1所述的信息橋網(wǎng)絡安全隔離裝置����,其特征在于�,所說的信息橋(13)是一臺存儲容量至少是1兆字節(jié)的PC機或工作站或服務器。
8.根據(jù)權(quán)利要求1所述的信息橋網(wǎng)絡安全隔離裝置����,其特征在于,所說的用戶控制端(14)是一臺PC機或工作站或服務器���。
9.根據(jù)權(quán)利要求1所述的信息橋網(wǎng)絡安全隔離裝置���,其特征在于,所說的串口通信接口(100)是采用RS-232通信協(xié)議的接口�。
全文摘要
一種信息橋網(wǎng)絡安全隔離裝置,用于公眾網(wǎng)與局域網(wǎng)間的物理隔離與安全信息傳遞�。其包括分別連接內(nèi)外網(wǎng)的內(nèi)網(wǎng)接口和外網(wǎng)接口,及連接用戶端的串口通信接口,特點是:在內(nèi)外網(wǎng)之間設(shè)一用于信息存儲轉(zhuǎn)發(fā)的信息橋及其接口,并有一經(jīng)由該串口通信接口接受用戶端指令而控制該內(nèi)外網(wǎng)接口與信息橋接口連通狀態(tài)的信息橋隔離核心模塊��。故此,本發(fā)明既具有內(nèi)外網(wǎng)之間的嚴格物理隔離,又具有在內(nèi)外網(wǎng)間傳遞信息的便利性的優(yōu)點����。
文檔編號G06F13/00GK1350242SQ01132400
公開日2002年5月22日 申請日期2001年12月3日 優(yōu)先權(quán)日2001年12月3日
發(fā)明者錢松榮, 謝暉, 邵謙明, 周耀華, 胡方農(nóng), 韓蘋蘋, 余華, 王東 申請人:復旦大學