一種網絡隔離卡的製作方法

2023-11-12 07:24:07 2

專利名稱：一種網絡隔離卡的製作方法
技術領域：
本發明涉及計算機網絡，特別是基於網絡隔離數據安全交換的技術應用領域。
通過軟體網絡防火牆的網絡安全措施有數據包過濾型防火牆、應用級網關型防火牆、代理服務型防火牆、複合型防火牆等等，採用這種方法是可以達到一定網絡安全，但是我們知道軟體是一個邏輯實體，網絡並沒有真正的和外部網絡斷開，只要知道其對應的邏輯實體關係，外部網絡同樣可以訪問內部網絡，網絡的安全性能得不到保障。
通過各種網絡隔離卡的網絡安全措施有各種網絡電子開關，各種網絡硬碟隔離卡等等，這些設備的共同特點是在一臺工作站或者伺服器上安裝了兩套的作業系統或者在物理連接上安裝一個電子開關，不同的作業系統控制連接不同的網絡，當需要訪問外部網絡時，啟動連接外部網絡的系統，需要訪問內部網絡的時候，啟動連接內部的系統，通過不斷的切換系統和網絡來進行不同網絡之間數據交換，顯然這樣的方式其數據傳輸速率是十分低的，如果要進行的大數據數據量的數據傳輸的時候，數據交換制約著系統的應用。
從網絡的連接上來說，任何時候，總有一個網絡連接到系統，網絡之間的通訊協議採用的是標準的通訊協議，其內部並沒有任何的保護機制，在連接一個網絡的時候，其系統的存儲資源對於外部網絡是開放的，外部網絡可以對系統的存儲介質進行訪問，這必然存在這網絡安全隱患。
本發明解決上述技術問題所採用的技術方案是它包括用於與計算機內部進行數據交換的接口；用於與計算機外部進行數據交換的接口；
用於接收計算機內部和外部數據，並處理和發送數據的數據處理單元；用於接收和存儲數據處理單元發送的數據，並向計算機內部發送數據的數據接收單元；用於接收和存儲數據處理單元發送的數據，並向計算機外部發送數據的數據發送單元；用於為電路提供統一的時鐘源的系統時鐘、復位單元。
本發明網絡隔離卡的使用方法為在兩個網絡之間設置兩臺分別連接兩個網絡的伺服器，兩臺伺服器上各安裝一塊本發明網絡隔離卡，用一專用電纜，將兩塊網絡隔離卡上的、用於與計算機外部進行數據交換的接口連接起來。
本發明網絡隔離卡中的數據處理單元(FPGA)是整個硬體電路的控制單元，其控制時序可採用硬體程式語言進行編程，它負責完成整個電路之間的時序調配；它還對數據幀進行封裝，定義數據傳輸協議，數據幀包括幀頭、幀長度、幀數據、糾錯碼、幀尾，採用自定義的協議封裝可以任意的定義幀頭、幀尾標記，數據幀的大小可以採用固定或者可變長度，採用哪種糾錯碼、數據的加密方法可以根據具體的差錯恢復和數據安全等級來選擇方法，發送數據時，依次發送幀頭、幀長度、幀數據、糾錯碼、幀尾；接收數據時，依次接收幀頭、幀長度、幀數據、糾錯碼、幀尾，數據傳輸基於自定義的數據傳輸協議，網絡之間的數據包不可以直接通過該協議進行傳輸，從而在網絡之間建立了一條專用安全數據傳輸通道，用來實現雙方的數據傳輸，該通道對於網絡之間是不可見的，可以有效的防止網絡之間的入侵，保證數據交換的網絡安全。
本發明網絡隔離卡中的數據發送、接收單元用來存儲需要發送和接收的數據，在數據處理單元的控制下進行數據的發送、接收；系統時鐘、復位單元為硬體電路電路提供統一的時鐘源，時鐘源對系統的操作提供同步信號。
本發明網絡隔離卡的硬體設備在物理上對網絡之間進行硬體隔離，數據傳輸應用自定義傳輸協議與傳輸方法，在不改變原來網絡擴撲結構的基礎上，只是在雙方網絡的任意工作站或者伺服器上安裝一塊本發明網絡隔離卡，通過專用的數據連接線連接，就可以實現兩個網絡之間的數據安全傳輸、數據共享，靈活的實現網絡之間安全數據交換，在物理層上實現網絡之間的隔離，解決了軟體網絡防火牆直接連接到外部網絡、網絡隔離卡設備存儲共享等安全隱患問題。
圖6為數據發送單元控制流程7為數據處理單元控制流程8為數據傳輸軟體控制流程9為使用本發明後，網絡之間消息傳輸示意10、11為本發明實施例電路原理圖如圖2、3所示本發明使用狀態示意圖，圖中網絡A為網際網路，網絡B為內部公共網絡；網絡A上的工作站與網絡B上的工作站上，都裝有本發明網絡隔離卡，兩隔離卡之間用專線連接。
本發明網絡隔離卡實施例系統復位、初始化後，各部分硬體程式語言實現的控制流程1、PCI橋接電路當數據處理單元檢測到接收使能信號有效時，判斷數據發送單元中FIFO的狀態，當FIFO(先進先出存儲器)沒有滿時，允許接收數據，置位接收使能信號有效，依次接收計算機數據接口上的數據暫存FIFO中，FIFO滿時，不響應數據接收，等待FIFO狀態不滿；檢測數據接收單元中FIFO的狀態，如果其中有數據，置位總線請求信號，等待系統仲裁使能數據發送信號有效，取FIFO數據發送計算機數據接口，從而完成計算機數據接口到數據處理單元之間的接口時序配合，FIFO的存儲容量可以根據具體的要求來選擇其大小以及位數，其接口單元可以直接和數據處理單元連接或者通過專用的數據橋接晶片來實現，其控制流程參看圖4。
2、數據接收單元檢測埠狀態信息，當檢測到數據請求接收信號有效時，啟動數據接收使能信號，接收數據幀，對數據進行解密，把數據存儲到數據接收FIFO，FIFO的大小可以根據具體要求來選擇不同的產品，其控制流程參看圖5。
3、數據發送單元取數據發送單元FIFO數據，對數據進行加密，置位數據請求接收信號有效，當對方的接收使能信號有效時候，發送數據幀，FIFO的大小可以根據具體要求來選擇不同的產品，其控制流程參看圖6。
4、數據處理單元除了完成以上三項接口單元的時序以外，還對數據幀進行封裝，定義數據傳輸協議，數據幀包括幀頭、幀長度、幀數據、糾錯碼、幀尾，採用自定義的協議封裝可以任意的定義幀頭、幀尾標記，數據幀的大小可以採用固定或者可變長度，採用那種糾錯碼、數據的加密方法可以根據具體的差錯恢復和數據安全等級來選擇方法，發送數據時，依次發送幀頭、幀長度、幀數據、糾錯碼、幀尾；接收數據時，依次接收幀頭、幀長度、幀數據、糾錯碼、幀尾，數據傳輸基於自定義的數據傳輸協議，網絡之間的數據包不可以直接通過該協議進行傳輸，從而在網絡之間建立了一條專用安全數據傳輸通道，用來實現雙方的數據傳輸，該通道對於網絡之間是不可見的，可以有效的防止網絡之間的入侵，保證數據交換的網絡安全，該部分採用現場可編程邏輯器件(FPGA)，通過硬體程式語言可以時序其以上的功能，其控制流程參看圖7。
5、輸入隔離、輸出隔離驅動單元對信號進行驅動、隔離，通過數據處理單元來控制其使能信號電平的高、低來控制數據傳輸的通和斷，實現了網絡數據的隔離，在需要發送、接收數據時，使能信號有效，網絡隔離卡之間可以傳輸數據，沒有數據傳輸請求時，使能信號無效，兩隔離卡之間斷開連接，雙方不可以進行數據傳輸。
如

圖10、11所示，本發明網絡隔離卡實施例中，數據處理單元採用Altera公司的現場可編程邏輯6000系列6016，FIFO採用IDT公司的IDT7202LA，數據隔離驅動採用16245，數據採用8位並行數據傳輸，時鐘晶片採用65M的時鐘。
本發明網絡隔離卡實施例的軟體系統包括1、連接網絡隔離卡的工作站或者伺服器上運行的網絡隔離卡驅動程序軟體，該軟體至少包含對卡的初始狀態的配置、工作模式配置、類型配置；該系統實現與作業系統的內部連接，提供數據埠的系統控制。
2、連接網絡隔離卡的工作站或者伺服器上運行的網絡安全管理軟體，該軟體實現應用層的數據的操作，向用戶提供可操作的用戶平臺，提供專用的API操作函數接口，實現安全數據上層的協議封裝和數據傳輸方法，該軟體至少包括以下功能(2-1)監聽網絡數據功能，通過該功能收集需要發送的網絡數據；(2-2)傳輸協議轉換功能，對數據進行協議的封裝，把要傳輸的數據轉換上層數據傳輸協議；(2-3)數據發送控制功能，通過網絡隔離卡發送數據包；(2-4)數據接收控制功能，接收網絡隔離卡數據；(2-5)網絡消息發送功能，發送接收到的網絡隔離卡數據到網絡；(2-6)網絡隔離卡數據收、發數據緩衝功能，處理收、發數據。
如圖8所示，本發明網絡隔離卡實施例數據傳輸軟體控制步驟為(1).檢測隔離卡狀態；(2).判斷隔離卡狀態如果忙測回到狀態(1)，不忙執行步驟(3).；(3).判斷是否發送數據需要發送數據，執行步驟(4)，否則執行步驟(6)；(4).發送數據，執行下一步驟(5)；(5).數據發送完否數據發送完執行步驟(1)，否則執行步驟(4)；(6).數據接收否數據接收執行步驟(7)，否則執行步驟(1)；(7).數據接收完否數據接收完執行步驟(1)，否則執行步驟(6)。
本發明網絡隔離卡使用後，網絡之間消息傳輸方向參見圖9，其中，虛線表示A-B的消息流，實線表示B-A的消息流，系統在應用層通過消息進行數據安全交換、網絡的安全隔離。
實例說明如某政府單位為了實現其內部網絡數據的外部網絡共享，該單位網絡又不可以直接連接到外部網絡，同時該單位又不想改變其網絡結構，希望有一種簡單、經濟的解決方案，同時又要滿足一定量的數據流量的數據交換，其網絡之間的數據訪問用戶數量估計為平均1000人/秒，每位用戶的數據流量為80K位/秒，故我們可以計算出其數據流量位1000×80＝80000K位/秒＝80M位/秒。採用本發明以後，數據流量根據其器件實現可以達到不同的要求，網絡之間的連接，只要分別在兩個網絡的任意一臺工作站或者伺服器上分別安裝一塊網絡隔離卡，連接專用的數據線，安裝相應驅動程序，用戶通過相應的編程工具調用提供專用的API函數，可以實現對物理層硬體的控制，從而實現網絡之間數據安全的共享、訪問。通過本發明的應用，使網絡之間的隔離可操作性簡單，同時又可以達到網絡之間安全隔離的目的。
本發明網絡隔離卡的數據接口還可為USB接口或並行接口或串行接口。
權利要求
1.一種網絡隔離卡，它包括用於與計算機內部進行數據交換的接口；用於與計算機外部進行數據交換的接口；其特徵在於它還包括用於接收計算機內部和外部數據，並處理和發送數據的數據處理單元；用於接收和存儲數據處理單元發送的數據，並向計算機內部發送數據的數據接收單元；用於接收和存儲數據處理單元發送的數據，並向計算機外部發送數據的數據發送單元；用於為電路提供統一的時鐘源的系統時鐘、復位單元。
2.如權利要求1所述網絡隔離卡，其特徵在於它還包括用於接收計算機外部數據，並向數據處理單元發送數據的並行隔離輸入單元。
3.如權利要求1或2所述網絡隔離卡，其特徵在於它還包括用於接收數據發送單元發送的數據，並向計算機外部發送數據的隔離、驅動並行輸出單元。
4.如權利要求1或2或3所述網絡隔離卡，其特徵在於用於與計算機內部進行數據交換的接口包括數據接口；用於向數據處理單元發送數據、並接收數據接收單元發送的數據的數據橋接電路組成。
5.如權利要求4所述網絡隔離卡，其特徵在於數據接口為PCI接口或USB接口或並行接口或串行接口。
6.如權利要求1或2或3所述網絡隔離卡，其特徵在於它還包括為電路供電的電源穩壓單元。
7.如權利要求1或2或3所述網絡隔離卡，其特徵在於數據處理單元為現場可編程邏輯器件。
全文摘要
本發明涉及一種網絡隔離卡，它包括用於與計算機內部進行數據交換的接口、用於與計算機外部進行數據交換的接口、數據處理單元、數據接收單元、數據發送單元、系統時鐘、復位單元。本發明網絡隔離卡的硬體設備在物理上對網絡之間進行硬體隔離，數據傳輸應用自定義傳輸協議與傳輸方法，在不改變原來網絡擴撲結構的基礎上，只是在雙方網絡的任意工作站或者伺服器上安裝一塊本發明網絡隔離卡，通過專用的數據連接線連接，就可以實現兩個網絡之間的數據安全傳輸、數據共享，靈活的實現網絡之間安全數據交換，在物理層上實現網絡之間的隔離，解決了軟體網絡防火牆直接連接到外部網絡、網絡隔離卡設備存儲共享等安全隱患問題。
文檔編號H04L9/00GK1430373SQ0214779
公開日2003年7月16日 申請日期2002年12月9日 優先權日2002年12月9日
發明者萬守傑 申請人:武漢柯創高新技術開發中心