專利名稱：千兆單向型網(wǎng)絡(luò)隔離裝置的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)隔離技術(shù)領(lǐng)域，更具體地明涉及一種單向無返回光纖單向傳輸數(shù) 據(jù)的物理隔離設(shè)備，設(shè)備采用是一種高速的保密性、完整性和高可用性的信息安全手段。
背景技術(shù)：
在全國電力二次系統(tǒng)安全防護(hù)項目中物理隔離裝置在安全區(qū)I、II與安全區(qū)III、 IV邊界防護(hù)起著重要安全防護(hù)作用；隨著電力系統(tǒng)飛速發(fā)展、網(wǎng)絡(luò)傳輸量要求越來越大、安 全性要求也越來越高；物理網(wǎng)絡(luò)隔離裝置從4字節(jié)返回到1比特返回再到完全單向的逐步 發(fā)展體現(xiàn)調(diào)度數(shù)據(jù)網(wǎng)的安全性需要得到進(jìn)一步的加強(qiáng)。千兆單向型網(wǎng)絡(luò)隔離裝置發(fā)明及時 滿足電力行業(yè)發(fā)展要求。目前，全國電力系統(tǒng)在進(jìn)行如火如荼的安全防護(hù)建設(shè)，相關(guān)的技術(shù) 也日益成熟，同時單向隔離技術(shù)在電子政務(wù)的安全防護(hù)中也越來越有更大的需求。因此，在 這種背景前提下進(jìn)行，千兆單向型網(wǎng)絡(luò)隔離裝置的相關(guān)研究工作，以期待在我國電子政務(wù) 的安全防護(hù)中作出更大的貢獻(xiàn)！

發(fā)明內(nèi)容
本發(fā)明的目的就是針對現(xiàn)有技術(shù)之不足，而提供一種千兆單向型網(wǎng)絡(luò)隔離裝置， 裝置采用單向光纖互聯(lián)，安全島傳輸采用非網(wǎng)絡(luò)連接。內(nèi)網(wǎng)分區(qū)與內(nèi)網(wǎng)如監(jiān)控系統(tǒng)相連，外 網(wǎng)分區(qū)與外網(wǎng)如其它信息系統(tǒng)相連，內(nèi)外分區(qū)各有一塊單獨的CPU板，它們之間沒有網(wǎng)絡(luò) 連接，以確保網(wǎng)絡(luò)層面的隔離，為電網(wǎng)調(diào)度自動化實時數(shù)據(jù)的傳輸提供安全可靠的傳輸通 道。千兆單向型網(wǎng)絡(luò)隔離裝置，包括內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)兩套獨立主機(jī)，內(nèi)網(wǎng)主機(jī)通 過千兆網(wǎng)口與內(nèi)網(wǎng)網(wǎng)絡(luò)相連，外網(wǎng)主機(jī)通過千兆網(wǎng)口與外網(wǎng)網(wǎng)絡(luò)相連，內(nèi)網(wǎng)主機(jī)通過單向 光口與外網(wǎng)主機(jī)相連；內(nèi)網(wǎng)主機(jī)用于發(fā)送內(nèi)網(wǎng)端數(shù)據(jù)安全數(shù)據(jù)，對接收到內(nèi)網(wǎng)端數(shù)據(jù)通過數(shù)字證書技術(shù) 對文件進(jìn)行數(shù)字簽名并發(fā)送外網(wǎng)；外網(wǎng)主機(jī)用于接收外網(wǎng)數(shù)據(jù)，并驗證數(shù)字簽名，確認(rèn)文件內(nèi)容沒有丟失，沒被篡 改，保證數(shù)據(jù)的完整性。所述內(nèi)網(wǎng)主機(jī)的內(nèi)網(wǎng)主機(jī)光纖接口與外網(wǎng)主機(jī)的外網(wǎng)主機(jī)光纖接口通過單向光 纖相連。本發(fā)明的有益效果在于(1)、實現(xiàn)純單向的高速數(shù)據(jù)交換，內(nèi)外網(wǎng)持續(xù)通信速度 不低于300Mb/s，傳輸速率比百兆安全隔離裝置提高了 5倍，大大緩解內(nèi)外網(wǎng)絡(luò)單向傳輸 的瓶頸；千兆單向型網(wǎng)絡(luò)隔離裝置還采用收方及時向“上層”匯報、發(fā)送方增加冗余校驗、 經(jīng)常檢測系統(tǒng)的準(zhǔn)確性可控制策略解決了數(shù)據(jù)二極管技術(shù)單向盲發(fā)技術(shù)，沒有交互的控制 協(xié)議，數(shù)據(jù)的容錯控制問題。(2)、內(nèi)網(wǎng)主機(jī)光纖接口與外網(wǎng)主機(jī)光纖接口通過單向光纖相 連。從而實現(xiàn)低內(nèi)外兩個網(wǎng)絡(luò)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的單向數(shù)據(jù)傳輸，并且保證 安全隔離裝置內(nèi)外兩個處理系統(tǒng)無電氣物理連通；禁止兩個應(yīng)用網(wǎng)關(guān)之間直接建立TCP聯(lián)接，將內(nèi)外兩個應(yīng)用網(wǎng)關(guān)之間的TCP聯(lián)接分解成內(nèi)外兩個應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外 兩個網(wǎng)卡的兩個TCP虛擬聯(lián)接。隔離裝置內(nèi)外兩個網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接，且只允 許數(shù)據(jù)單向傳輸。(3)、千兆單向型網(wǎng)絡(luò)隔離裝置包含以下技術(shù):A、非網(wǎng)通訊技術(shù)用于實 現(xiàn)兩個安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換，并且保證安全物理隔離裝置內(nèi)外兩個 處理系統(tǒng)不同時聯(lián)通；B、物理隔離及數(shù)據(jù)剝離技術(shù)用于在安全島硬件上保證從低安全區(qū) 到高安全區(qū)的TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)，防止病毒和黑客非法訪問；C、單向傳輸技術(shù)支 持表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸，即從低密安全區(qū)到高密安全區(qū)的TCP應(yīng)答禁止攜帶 應(yīng)用數(shù)據(jù)的工作模式；多種工作模式技術(shù)支持多種工作模式用于無IP地址透明工作方 式(虛擬主機(jī)IP地址、隱藏MAC地址)、支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、混雜工作模式，保證標(biāo)準(zhǔn) 應(yīng)用的透明接入；D、安全訪問控制技術(shù)基于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的 綜合報文過濾與訪問控制，基于防火墻方式的安全訪問控制，只是其在內(nèi)網(wǎng)和外網(wǎng)分別進(jìn) 行一次控制實現(xiàn)雙重保護(hù)；E、防止穿透性TCP連接技術(shù)用于防止穿透性TCP連接禁止內(nèi) 網(wǎng)、外網(wǎng)兩個應(yīng)用網(wǎng)關(guān)之間直接建立TCP連接，將內(nèi)外兩個應(yīng)用網(wǎng)關(guān)之間的TCP連接分解成 內(nèi)外兩個應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外兩個網(wǎng)卡的兩個TCP虛擬連接。隔離裝置內(nèi)外兩個 網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接，且只允許數(shù)據(jù)單向傳輸；F、日志審計技術(shù)用于提供完備 的日志審計功能，如時間、IP、MAC、P0RT等日志信息。對通過裝置進(jìn)入內(nèi)網(wǎng)的應(yīng)用數(shù)據(jù)及未 通過裝置而被丟失的應(yīng)用數(shù)據(jù)進(jìn)行完整的記錄，以便事后審計；此外，也應(yīng)具有對隔離設(shè)備 的操作維護(hù)日志信息。G、系統(tǒng)告警技術(shù)用于支持系統(tǒng)告警，支持完備的安全事件告警機(jī) 制，當(dāng)發(fā)生非法入侵、裝置異常、通信中斷或丟失應(yīng)用數(shù)據(jù)時，可通過隔離裝置專用的告警 串口或網(wǎng)絡(luò)輸出報警信息，日志格式遵循Syslog標(biāo)準(zhǔn)，方便用戶管理；


下面結(jié)合附圖對本發(fā)明做進(jìn)一步的說明圖1為本發(fā)明的結(jié)構(gòu)示意圖；圖2是軟件模塊的工作原理框具體實施例方式以下所述僅為體現(xiàn)本發(fā)明原理的較佳實施例，并不因此而限定本發(fā)明的保護(hù)范圍。實施例見圖1至2所示，千兆單向型網(wǎng)絡(luò)隔離裝置，包括內(nèi)網(wǎng)(高密網(wǎng))主機(jī)1 和外網(wǎng)(底密網(wǎng))主機(jī)2 ；內(nèi)網(wǎng)主機(jī)包括龍芯CPU 3、內(nèi)存條5、FLASE存儲卡7、4個千兆網(wǎng) 口 11、光纖接口 13、電源電路15、配置網(wǎng)口 17、計算機(jī)主板、配置與管理模塊20、數(shù)據(jù)通信模 塊21、日志管理模塊22 ；外網(wǎng)主機(jī)包括龍芯CPU 4、內(nèi)存條6、FLASE存儲卡8、4個千兆網(wǎng)口 12、光纖接口 14、電源電路16、配置網(wǎng)口 17、計算機(jī)主板、配置與管理模塊20、數(shù)據(jù)通信模塊 21、日志管理模塊22。所述龍芯CPU 3、內(nèi)存條5、FLASE存儲卡7、4個千兆網(wǎng)口 11、光纖接 口 13、電源電路15、配置網(wǎng)口 17與計算機(jī)主板相連組成內(nèi)網(wǎng)主機(jī)1 ；所述龍芯CPU 4、內(nèi)存 條6、FLASE存儲卡8、4個千兆網(wǎng)口 12、光纖接口 14、電源電路16、配置網(wǎng)口 17與計算機(jī)主 板相連組成外網(wǎng)主機(jī)2 ；所述配置網(wǎng)口 17、管理與配置模塊20和外接終端配置計算機(jī)相連 用于管理配置設(shè)備；所述電源接口 15與外接電口相連；所述電源接口 16與外接電口相連；所述數(shù)據(jù)通信模塊21和內(nèi)網(wǎng)主機(jī)1相連；所述數(shù)據(jù)通信模塊21和外網(wǎng)主機(jī)2相連；所述 日志管理模塊22與外接日志管理服務(wù)器相連；所述內(nèi)網(wǎng)主機(jī)1通過千兆網(wǎng)口與內(nèi)網(wǎng)網(wǎng)絡(luò) 9相連，用于發(fā)送內(nèi)網(wǎng)端數(shù)據(jù)安全數(shù)據(jù)，對接收到內(nèi)網(wǎng)端數(shù)據(jù)通過數(shù)字證書技術(shù)對文件進(jìn)行 數(shù)字加密簽名并發(fā)送外網(wǎng)主機(jī)2 ；所述外網(wǎng)主機(jī)2通過單向光纖與內(nèi)網(wǎng)主機(jī)1光纖接口相 連用于接收內(nèi)網(wǎng)主機(jī)1數(shù)據(jù)，并驗證、解密數(shù)字簽名，確認(rèn)文件內(nèi)容沒有丟失，沒被篡改，保 證數(shù)據(jù)的完整性；所述內(nèi)網(wǎng)主機(jī)1的內(nèi)網(wǎng)主機(jī)光纖接口 13與外網(wǎng)主機(jī)2的外網(wǎng)主機(jī)光纖接 口 14通過單向光纖19相連。從而構(gòu)成實際的運行技術(shù)環(huán)境；管理與配置模塊20 用于配置所述電力系統(tǒng)專用物理隔離裝置，設(shè)置通信鏈路規(guī) 則、通信協(xié)議、裝置地址。數(shù)據(jù)通信模塊21 用于將獲取網(wǎng)絡(luò)數(shù)據(jù)及分析結(jié)果遞交到主計算機(jī)進(jìn)行后臺處理。日志管理模塊22 用于記錄通過裝置進(jìn)入的應(yīng)用數(shù)據(jù)及未通過裝置而被丟失的 應(yīng)用數(shù)據(jù)進(jìn)行完整的記錄，發(fā)送到指定日志服務(wù)器，以便事后審計。
權(quán)利要求
千兆單向型網(wǎng)絡(luò)隔離裝置，包括內(nèi)網(wǎng)主機(jī)(1)和外網(wǎng)主機(jī)(2)；內(nèi)網(wǎng)主機(jī)包括龍芯CPU(3)、內(nèi)存條(5)、FLASE存儲卡(7)、4個千兆網(wǎng)口(11)、光纖接口(13)、電源電路(15)、配置網(wǎng)口(17)、計算機(jī)主板；外網(wǎng)主機(jī)包括龍芯CPU(4)、內(nèi)存條(6)、FLASE存儲卡(8)、4個千兆網(wǎng)口(12)、光纖接口(14)、電源電路(16)、配置網(wǎng)口(17)、計算機(jī)主板。其特征在于它內(nèi)網(wǎng)主機(jī)(1)高密端網(wǎng)和外網(wǎng)主機(jī)(2)底密端網(wǎng)還包括有管理與配置模塊(20)用于配置所述電力系統(tǒng)專用物理隔離裝置，設(shè)置通信鏈路規(guī)則、通信協(xié)議、裝置地址。數(shù)據(jù)通信模塊(21)用于將獲取網(wǎng)絡(luò)數(shù)據(jù)及分析結(jié)果遞交到主計算機(jī)進(jìn)行后臺處理。日志管理模塊(22)用于記錄通過裝置進(jìn)入的應(yīng)用數(shù)據(jù)及未通過裝置而被丟失的應(yīng)用數(shù)據(jù)進(jìn)行完整的記錄，發(fā)送到指定日志服務(wù)器，以便事后審計。
2.根據(jù)權(quán)利要求1所述的千兆單向型網(wǎng)絡(luò)隔離裝置，其特征在于所述龍芯CPU(3)、內(nèi) 存條(5)、FLASE存儲卡(7)、4個千兆網(wǎng)口(11)、光纖接口(13)、電源電路(15)、配置網(wǎng)口 (17)與計算機(jī)主板相連組成內(nèi)網(wǎng)主機(jī)(1)；
3.根據(jù)權(quán)利要求1所述的千兆單向型網(wǎng)絡(luò)隔離裝置，其特征在于所述龍芯CPU(4)、內(nèi) 存條(6)、FLASE存儲卡(8)、4個千兆網(wǎng)口(12)、光纖接口(14)、電源電路(16)、配置網(wǎng)口 (17)、與計算機(jī)主板相連組成外網(wǎng)主機(jī)(2)；
4.根據(jù)權(quán)利要求1、2所述的千兆單向型網(wǎng)絡(luò)隔離裝置，其特征在于內(nèi)網(wǎng)主機(jī)(1)通 過千兆網(wǎng)口與內(nèi)網(wǎng)網(wǎng)絡(luò)(9)相連，用于發(fā)送內(nèi)網(wǎng)端數(shù)據(jù)安全數(shù)據(jù)，對接收到內(nèi)網(wǎng)端數(shù)據(jù)通 過數(shù)字證書技術(shù)對文件進(jìn)行數(shù)字加密簽名并發(fā)送到外網(wǎng)主機(jī)(2)；
5.根據(jù)權(quán)利要求1、2所述的千兆單向型網(wǎng)絡(luò)隔離裝置，其特征在于外網(wǎng)主機(jī)(2)通 過單向光纖與內(nèi)網(wǎng)主機(jī)(1)相連用于接收內(nèi)網(wǎng)主機(jī)(1)數(shù)據(jù)，并驗證、解密數(shù)字簽名，確認(rèn) 文件內(nèi)容沒有丟失，沒被篡改，保證數(shù)據(jù)的完整性。
6.根據(jù)權(quán)利要求1、2、3所述的千兆單向型網(wǎng)絡(luò)隔離裝置，其特征在于內(nèi)網(wǎng)主機(jī)(1) 的內(nèi)網(wǎng)主機(jī)光纖接口(13)與外網(wǎng)主機(jī)(2)的外網(wǎng)主機(jī)光纖接口(14)通過單向光纖(19) 相連。
全文摘要
千兆單向型網(wǎng)絡(luò)隔離裝置，包括外網(wǎng)主機(jī)和內(nèi)網(wǎng)主機(jī)兩套獨立的主機(jī)，每套主機(jī)包括4個千兆網(wǎng)口、1個配置網(wǎng)口、龍芯CPU、計算機(jī)主板、FLASE存儲卡、內(nèi)存條、光纖接口、電源電路與數(shù)據(jù)通信模塊、配置與管理模塊、日志管理模塊組成；本發(fā)明配備高速的保密性、完整性和高可用性的單向光接口高速傳遞技術(shù)，確保高密級網(wǎng)絡(luò)向低密級網(wǎng)數(shù)據(jù)傳輸時無反向數(shù)據(jù)傳輸；本發(fā)明安全保密策略采用單向光纖網(wǎng)絡(luò)隔離技術(shù)對高密級網(wǎng)絡(luò)和低密級網(wǎng)絡(luò)進(jìn)行強(qiáng)隔離；保證涉密數(shù)據(jù)不從高密級網(wǎng)絡(luò)流向低密級網(wǎng)絡(luò)。數(shù)據(jù)傳輸在線、實時和連續(xù)，確保低安全性的網(wǎng)絡(luò)連接到高安全性的網(wǎng)絡(luò)，沒有任何風(fēng)險的數(shù)據(jù)丟失或入侵的高安全性網(wǎng)絡(luò)。從而實現(xiàn)兩個安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換，并且保證安全物理隔離裝置內(nèi)外兩個處理系統(tǒng)不同時聯(lián)通。
文檔編號H04L29/06GK101986638SQ20101028560
公開日2011年3月16日 申請日期2010年9月16日 優(yōu)先權(quán)日2010年9月16日
發(fā)明者劉智勇, 陳良漢 申請人:珠海市鴻瑞軟件技術(shù)有限公司