基於pci總線的網絡隔離裝置及其方法

2023-08-04 01:41:41 2

專利名稱：基於pci總線的網絡隔離裝置及其方法
技術領域：
本發明涉及一種網絡信息安全領域的物理隔離裝置及其隔離方法，特別是一種基於計算機PCI總線的網絡隔離裝置及其方法。
背景技術：
隨著計算機技術的飛速發展，計算機網絡規模的不斷擴大，我們的日常工作、生活與計算機網絡的關係也越來越密切；但是，當我們將計算機接入公共網絡(網際網路)時，網絡安全和信息安全就成為一個不容忽視的問題。特別是在機關、政府、銀行等企事業單位，其內部信息或涉及保密、機密的數據是不希望被外部網的用戶所竊取，一旦發生重要數據的洩漏，將會使本單位或本公司的利益遭到重大損失，甚至對國家安全和利益造成重大影響。
目前解決網絡信息安全的措施主要有以下三種方法(1)採用雙網絡系統。即，配置兩套獨立的網絡系統，其中一套為內部網，連接公司內部的計算機，實現內部數據、信息共享等服務；另一套為外部網，可連接網際網路。同時，在用戶終端配置兩臺電腦分別接入不同的網絡。這種方法的缺陷在於建網成本較高，而且用戶需要分別操作兩臺電腦，既佔用空間又不方便。
(2)採用防火牆或代理伺服器等技術。該方法的優點是使用方便，佔用空間小。但是，該方法只能實現伺服器端的邏輯隔離，一旦防火牆或代理伺服器遭到外部攻擊而癱瘓，外網用戶即可輕易獲取內部計算機上的重要數據及信息；而且該方法的核心技術尚由國外引進，因此其防範能力仍不夠可靠。
(3)採用專用計算機網絡物理隔離裝置。即，在用戶計算機上安裝專門的網絡隔離裝置，通過該網絡隔離裝置實現內、外網的物理隔離，該方法的優點是安全性較高，數據防範可靠。通常有兩種方式一是「高端物理隔離」方式，即採用一個硬碟、兩個網絡(內部網和外部網)，並由網絡隔離裝置進行網絡切換。這種方法雖然可以實現內部網和外部網及其伺服器的物理隔離、切換，保證內部網的信息安全，但是在用戶終端其兩個網絡對應同一數據硬碟，可能發生外網用戶竊取終端硬碟上的數據或信息，但不可能直接竊取內網伺服器硬碟上的數據或信息。二是「全物理隔離」方式，即採用兩個硬碟、兩個網絡(內部網和外部網)，每個網絡對應一個數據硬碟，並由網絡隔離裝置進行網絡或硬碟的切換。這種方式可以嚴格物理隔離內部網和外部網，以及內外網的數據，既可以實現網絡安全，又可以實現內外網的信息安全，也是目前網絡信息安全的主要發展趨勢。
在上述可實現「物理隔離」的裝置中，目前主要採用外接控制開關和計算機軟體控制兩種方式，其中，外接控制開關方式的缺陷在於操作不方便，切換過程所需時間較長；而計算機軟體控制方式主要採用計算機串行口或PCI總線作為控制信號的輸入端，現有的網絡隔離卡基本上都是採用計算機串行口控制方式，但串行口已被逐漸淘汰。而PCI總線接口專用晶片(例如PCI總線接口晶片CH365、PCI9050等)雖可以快速、方便的讀取PCI總線上的控制信號，但是，由於PCI總線上的數據傳輸速率非常之快(支持64位傳送，其數據傳輸率為.133MB/s，總線運行速率達66MHz)，因專用晶片的成本很高，必然提高相關產品的成本，而且，專用晶片的結構複雜，必然導致研發費用的升高，又無法完全利用晶片的內部資源，造成不必要的資源浪費等。

發明內容
為了解決現有技術的不足，本發明提供一種基於計算機PCI總線的網絡隔離裝置及其隔離方法，該裝置採用通用陣列邏輯晶片作為PCI總線接口晶片，編程為特徵碼數字濾波器，單片機控制器對通過濾波器的信號進行時序上識別，信息有效才進行相應的網絡切換操作，實現低成本達到物理隔離控制切換目的。
本發明所採用的技術方案一種基於PCI總線的網絡隔離裝置，包括PCI總線接口、單片機控制器、網絡切換單元和硬碟切換單元，單片機控制器分別與網絡切換單元、硬碟切換單元連接，其特徵在於，還包括一濾波器，該濾波器的輸入端與PCI總線接口連接，輸出端與單片機控制器連接。
上述網絡切換單元包括內網接口、外網接口、計算機網絡接口和切換開關；切換開關的輸入端與單片機控制器連接，輸出端分別與內網接口、外網接口、計算機網絡接口連接。
上述內網接口、外網接口和計算機網絡接口均採用RJ45接口。
上述網絡切換單元還包括控制開關接口。
上述硬碟切換單元由數據線切換單元或電源切換單元單獨組合而成；或由數據線切換單元和電源切換單元二者綜合而成。
上述硬碟數據線切換單元包括內網硬碟數據線接口、外網硬碟數據線接口、計算機數據線接口和數據線總線開關；內網硬碟數據線接口與計算機數據線接口之間、外網硬碟數據線接口和計算機數據線接口之間通過數據線總線開關連接，且數據線總線開關的使能端與單片機控制器連接。
上述硬碟電源切換單元包括內網硬碟電源接口、外網硬碟電源接口、計算機電源接口和切換開關；切換開關的輸入端與單片機控制器連接，輸出端分別與內網硬碟電源接口、外網硬碟電源接口、計算機電源接口連接。
上述濾波器由通用可編程陣列邏輯晶片(GAL)和輸出鎖存器(D觸發器)組成，可編程陣列邏輯晶片晶片的輸入端與PCI總線接口連接，輸出端經鎖存器與單片機控制器連接。
一種基於PCI總線的網絡隔離方法，其特徵在於，包括以下步驟(a).用戶發送切換指令；(b).濾波器從PCI數據總線接口提取特徵碼，並鎖存；(c).單片機控制器讀取特徵碼，並進行有效識別處理；(d).單片機控制器執行特徵碼所定義的切換操作。
上述切換指令是由外接控制開關或計算機軟體發出的數位訊號。
本發明的有益效果(1)成本低，該網絡隔離裝置採用通用的可編程陣列邏輯晶片(GAL)代替專用晶片讀取PCI總線上的控制信號，不僅可以降低成本，而且晶片資源利用率高，控制簡單。計算機用戶只需在一臺計算機中增加一個卡式隔離裝置和一個硬碟存儲設備，即可實現兩套網絡的物理隔離，以及相互切換；對使用者而言，其成本較低，無需配置兩臺計算機，而且可以節省另外放置多一臺計算機的空間。(2)網絡安全性高，該網絡隔離裝置可以實現內、外網之間的「高端物理隔離」(或稱「終端邏輯隔離」)，在同一時間內，用戶只能連接其中一套網絡，因此，在不同網絡之間無法互訪，且不可能跨網訪問對方的伺服器，即伺服器端實行物理隔離，用戶終端實行邏輯隔離，有效地避免網絡之間攻擊帶來的危害，確保內、外網的網絡安全。(3)該網絡隔離裝置還可以實現內、外網之間的「全物理隔離」(或叫「真正的物理隔離」)，在同一時間內，用戶只能連接其中一套網絡，而且不同的網絡對應著不同的硬碟存儲設備，因此，在不同網絡之間不僅無法互訪，而且沒有共用的存儲設備，確保內、外網之間的信息安全。(4)網絡切換操作簡單，該網絡隔離裝置配有專用的切換軟體，用戶只需通過滑鼠或鍵盤操作即可完成切換，同時也兼有手動開關的切換。


圖1是本發明所述隔離裝置的結構示意圖；圖2是本發明所述隔離裝置第一實施例的結構示意圖；圖3是本發明所述隔離裝置第二實施例的結構示意圖；圖4是本發明所述隔離裝置第一實施例的電路原理圖之一；圖5是本發明所述隔離裝置第一實施例的電路原理圖之二；圖6是本發明所述隔離裝置第二實施例的電路原理圖；圖7是本發明所述隔離裝置第三實施例的結構示意圖；圖8是本發明的信號流程圖；圖9是本發明的控制流程圖；圖10是本發明的網絡連接結構示意圖。
具體實施例方式
如圖1所示，一種基於PCI總線的網絡隔離裝置，包括PCI總線接口1、單片機控制器2、網絡切換單元3、硬碟切換單元4和濾波器5；單片機控制器2的輸出端分別連接網絡切換單元3和硬碟切換單元4，濾波器5的輸入端與PCI總線接口1連接，輸出端與單片機控制器2連接。其中，所述硬碟切換單元4可以由數據線切換單元41或電源切換單元42單獨組合而成；也可以由數據線切換單元41和電源切換單元42二者綜合而成。
以下將通過具體實施例介紹本發明的工作原理及其結構實施例一如圖2所示，一種基於PCI總線的網絡隔離裝置，包括PCI總線接口1、單片機控制器2、網絡切換單元3、數據線切換單元41和濾波器5，單片機控制器2分別與網絡切換單元3、數據線切換單元41連接，濾波器5接於PCI總線接口1和單片機控制器2之間。其中，網絡切換單元3包括內網接口311、外網接口312、計算機網絡接口313、控制開關接口32和切換開關33，切換開關33的輸出端分別與內網接口311、外網接口312、計算機網絡接口313連接，切換開關33的輸入端與單片機控制器2連接。數據線切換單元41包括內網硬碟數據線接口411、外網硬碟數據線接口412、計算機數據線接口413和數據線總線開關410，內網硬碟數據線接口411與計算機數據線接口413之間、外網硬碟數據線接口412和計算機數據線接口413之間通過數據線總線開關410連接，且數據線總線開關410的使能端與單片機控制器2連接。濾波器5由可編程陣列邏輯晶片(GAL)51和輸出鎖存器(D觸發器)52組成，可編程陣列邏輯晶片51的輸入端與PCI總線連接，輸出端經鎖存器52與單片機控制器2連接。
如圖4、5所示為本實施例的電路原理圖，PCI總線接口U1的地址/數據總線AD
～AD[11]、控制總線C/BE
～C/BE[3]、時鐘信號CLK、傳輸控制信號FRAME與可編程陣列邏輯晶片U5的輸入端連接，復位信號RET與單片機控制器U2的中斷口INT0連接。可編程陣列邏輯晶片U5的輸出信號IO4～IO6經鎖存器U51、U52、U53與單片機控制器U2的輸入埠P3.3～P3.5連接。單片機控制器U2的輸出控制端P1.3經三極體放大器T1與繼電器開關U31、U32連接，繼電器開關U31、U32的開關觸點A、B連接計算機網絡接口NC，觸點ANO、BNO連接外網接口NB，觸點ANC、BNC連接內網接口NA；單片機控制器U2的另一組輸出控制端P1.6、P1.7與數據線總線開關晶片U41A、U41B、U42A、U42B、U43A、U43B、U44A、U44B的使能端OE連接；單片機控制器U2的另一輸出端P1.2與鎖存器U51的復位端CD連接；單片機控制器U2的另一輸入端P3.0、P3.1與外接開關SW1、SW2連接。在圖5中，計算機數據線接口IDE-C經數據線總線開關U41A、U41B、U42A、U42B與內網硬碟數據線接口IDE-A連接，計算機數據線接口IDE-C經數據線總線開關U43A、U43B、U44A、U44B與外網硬碟數據線接口IDE-B連接；當使能信號ENA有效時，內網硬碟被接通；當使能信號ENB有效時，外網硬碟被接通。
實施例二如圖3所示為本實用新型另一實施例的結構示意圖，與實施例一不同的是，本實施例中，採用電源切換單元42代替了實施例一中的數據線切換單元41。其中，電源切換單元42包括內網硬碟電源接口421、外網硬碟電源接口422、計算機電源接口423和切換開關420，切換開關420的輸出端分別與內網硬碟電源接口421、外網硬碟電源接口422、計算機電源接口423連接，切換開關420的輸入端與單片機控制器2連接。其它連接關係與實施例一相同，不再類述。
如圖6所示，本實施例的電路原理圖與實施例一基本相同，所不同的是，單片機控制器U2的輸出控制端P1.6、P1.7經三極體放大器T3、T2，與繼電器開關U41、U42連接，繼電器開關U41、U42的開關觸點A、B分別連接計算機電源接口PC，繼電器開關U41的觸點ANO、BNO連接外網硬碟電源接口PB，繼電器開關U42的觸點ANO、BNO連接內網硬碟電源接口PA。
實施例三如圖7所示，本實施例集合了實施例一、二的結構，該網絡隔離裝置包括PCI總線接口1、單片機控制器2、網絡切換單元3、硬碟切換單元4和濾波器5，單片機控制器2分別與網絡切換單元3、硬碟切換單元4連接，濾波器5接於PCI總線接口1和單片機控制器2之間；其中，硬碟切換單元4由數據線切換單元41和電源切換單元42綜合而成，且數據線切換單元41和電源切換單元42均由單片機控制器2控制。本實施例的電路原理圖可以由上述實施例一、二的電路圖結合得出，在此不再類述。
以上所述為本發明的三種具體實施例，以及該網絡隔離裝置的具體結構示意圖和電路原理圖，以下將進一步說明其工作原理如圖8所示，本發明通過計算機內部的PCI總線傳輸控制信號，選用了地址/數據總線AD
～AD[11]、控制總線C/BE
～C/BE[3]、時鐘信號CLK和傳輸控制信號FRAME，當數字濾波器(由通用可編程陣列邏輯晶片和輸出鎖存器組成)收到上述信號時，按照其預先設定的濾波方式，從中提取特徵碼(預先設定的特殊字符串)，也就是用戶發送來的切換信號等，並由輸出端鎖存，等待單片機控制器讀取；當單片機控制器全部收齊上述特徵碼(特徵碼長度根據實際情況設定)後，即可進行比較識別。如果特徵碼符合要求，則根據該特徵碼的定義執行相關操作當用戶需要切換至內部網，單片機控制器即接通內網接口，同時打開內網硬碟，使計算機與內部網連接；當用戶需要切換至外部網，單片機控制器即接通外網接口，同時打開外網硬碟，使計算機與外部網、(網際網路)連接。單片機控制器還可以根據跳線開關的狀態選擇其工作方式。
如圖9所示，一種基於PCI總線的網絡隔離方法，通過以下步驟完成a.用戶發送切換命令；b.濾波器從PCI數據口提取特徵碼，並鎖存；c.單片機控制器讀取特徵碼，並進行識別處理；d.單片機控制器執行特徵碼所定義的切換操作。
本發明所述網絡隔離裝置可以實現以下兩種切換操作(1)邏輯隔離當用戶選擇邏輯隔離操作時，上述單片機控制器只進行網絡切換操作，而不切換數據存儲所使用的硬碟。也就是說，採用該切換方式，計算機無需重新啟動，即可完成內、外網的切換操作，並且，切換前後，內部網和外部網使用同一個硬碟。
(2)物理隔離當用戶選擇物理隔離操作時，上述單片機控制器不但進行網絡切換操作，而且同時切換數據存儲所使用的硬碟。也就是說，採用該切換方式，計算機必須重新啟動，完成內外網及其對應的硬碟切換操作，切換前後，內部網和外部網使用不同的硬碟。
如圖10所示是本發明實際應用中的網絡連接示意圖，隔離卡(即，網絡隔離裝置)安裝在個人計算機的PCI插槽內，其計算機網絡接口通過網線與網卡連接，內網接口與內網交換機連接，外網接口與外網交換機連接，內網交換機和外網交換機分別連接內網和外網(即，網際網路)。按上述方式連接，即可實現內網與外網之間的物理隔離，但是在用戶終端，可以通過網絡隔離卡實現在內網和外網之間的切換，同一時間內，用戶只能與其中一個網絡連接，有效實現了網絡隔離的效果，特別適用於機關、政府、銀行等企事業單位的網絡系統。
權利要求
1.一種基於PCI總線的網絡隔離裝置，包括PCI總線接口(1)、單片機控制器(2)、網絡切換單元(3)和硬碟切換單元(4)，單片機控制器(2)分別與網絡切換單元(3)、硬碟切換單元(4)連接，其特徵在於，還包括一濾波器(5)，該濾波器(5)的輸入端與PCI總線接口(1)連接，輸出端與單片機控制器(2)連接。
2.根據權利要求1所述的基於PCI總線的網絡隔離裝置，其特徵在於，所述網絡切換單元(3)包括內網接口(311)、外網接口(312)、計算機網絡接口(313)和切換開關(33)；切換開關(33)的輸入端與單片機控制器(2)連接，輸出端分別與內網接口(311)、外網接口(312)、計算機網絡接口(313)連接。
3.根據權利要求2所述的基於PCI總線的網絡隔離裝置，其特徵在於，所述內網接口(311)、外網接口(312)和計算機網絡接口(313)均採用RJ45接口。
4.根據權利要求1或2所述的基於PCI總線的網絡隔離裝置，其特徵在於，所述網絡切換單元(3)還包括控制開關接口(32)。
5.根據權利要求1所述的基於PCI總線的網絡隔離裝置，其特徵在於，所述硬碟切換單元(4)由數據線切換單元(41)或電源切換單元(42)單獨組合而成；或由數據線切換單元(41)和電源切換單元(42)二者綜合而成。
6.根據權利要求5所述的基於PCI總線的網絡隔離裝置，其特徵在於，所述硬碟數據線切換單元(41)包括內網硬碟數據線接口(411)、外網硬碟數據線接口(412)、計算機數據線接口(413)和數據線總線開關(410)；內網硬碟數據線接口(411)與計算機數據線接口(413)之間、外網硬碟數據線接口(412)和計算機數據線接口(413)之間通過數據線總線開關(410)連接，且數據線總線開關(410)的使能端與單片機控制器(2)連接。
7.根據權利要求5所述的基於PCI總線的網絡隔離裝置，其特徵在於，所述硬碟電源切換單元(42)包括內網硬碟電源接口(421)、外網硬碟電源接口(422)、計算機電源接口(423)和切換開關(420)；切換開關(420)的輸入端與單片機控制器(2)連接，輸出端分別與內網硬碟電源接口(421)、外網硬碟電源接口(422)、計算機電源接口(423)連接。
8.根據權利要求1所述的基於PCI總線的網絡隔離裝置，其特徵在於，所述濾波器(5)由可編程陣列邏輯晶片(51)和輸出鎖存器(52)組成，可編程陣列邏輯晶片(51)的輸入端與PCI總線接口(1)連接，輸出端經鎖存器(52)與單片機控制器(2)連接。
9.一種基於PCI總線的網絡隔離方法，其特徵在於，包括以下步驟(a).用戶發送切換指令；(b).濾波器(5)從PCI數據總線接口(1)提取特徵碼，並鎖存；(c).單片機控制器(2)讀取特徵碼，並進行有效識別處理；(d).單片機控制器(2)執行特徵碼所定義的切換操作。
10.據權利要求9所述的基於PCI總線的網絡隔離方法，其特徵在於，所述切換指令是由外接控制開關或計算機軟體發出的數位訊號。
全文摘要
本發明公開了一種基於PCI總線的網絡隔離裝置及其方法，所述網絡隔離裝置包括PCI總線接口、單片機控制器、網絡切換單元和硬碟切換單元，單片機控制器分別與網絡切換單元、硬碟切換單元連接，其特徵在於，還包括一濾波器，該濾波器的輸入端與PCI總線接口連接，輸出端與單片機控制器連接。所述網絡隔離方法，包括以下步驟(a).用戶發送切換指令；(b).濾波器從PCI數據總線接口提取特徵碼，並鎖存；(c).單片機控制器讀取特徵碼，並進行有效識別處理；(d).單片機控制器執行特徵碼所定義的切換操作。本發明可以實現不同網絡之間的物理隔離，具有成本低、網絡安全性高、網絡切換操作簡單等優點，特別適用於機關、政府、銀行等企事業單位的網絡系統。
文檔編號H04L12/24GK1688129SQ200510034178
公開日2005年10月26日 申請日期2005年4月18日 優先權日2005年4月18日
發明者梁雁文 申請人:梁雁文