專利名稱：一種用于網(wǎng)絡(luò)安全的物理隔離卡的制作方法
技術(shù)領(lǐng)域：
本發(fā)明屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，具體而言，是一種集成了10M/100M自適應(yīng)網(wǎng)卡功能的網(wǎng)絡(luò)安全物理隔離卡。本發(fā)明可應(yīng)用于政府機(jī)關(guān)、金融證券、軍事部門、大中型企業(yè)、科研機(jī)構(gòu)和學(xué)校等各個領(lǐng)域的網(wǎng)絡(luò)信息安全工程之中。它將網(wǎng)絡(luò)分為內(nèi)部網(wǎng)和外部網(wǎng)兩個部分，實現(xiàn)安全環(huán)境和非安全環(huán)境的絕對物理隔離，做到既開放又安全，既保護(hù)機(jī)密數(shù)據(jù)又方便用戶與國際互聯(lián)網(wǎng)的連接。
背景技術(shù)：
在網(wǎng)絡(luò)犯罪手段與網(wǎng)絡(luò)安全技術(shù)相互斗法，競爭不斷升級的形勢下，網(wǎng)絡(luò)攻擊者和防御者都失去了技術(shù)方面的屏障，網(wǎng)絡(luò)安全技術(shù)經(jīng)常會變得不是那么有效。因此，機(jī)密數(shù)據(jù)的安全不能完全依賴于各種安全技術(shù)的保護(hù)，物理隔離可以說是網(wǎng)絡(luò)信息安全的最后一道防線。
目前，已經(jīng)廣泛應(yīng)用的各種物理隔離技術(shù)有如下幾種(1)計算機(jī)采用兩個獨(dú)立硬盤分別對應(yīng)于內(nèi)部網(wǎng)和公共網(wǎng)，這兩個硬盤分別擁有各自的操作系統(tǒng)并通過各自的專用接口與網(wǎng)絡(luò)連接；同時依靠繼電器來控制分區(qū)間的轉(zhuǎn)換和網(wǎng)絡(luò)連接，以保證內(nèi)網(wǎng)與外網(wǎng)的隔離。
(2)使用PC網(wǎng)絡(luò)安全隔離卡，當(dāng)計算機(jī)處于內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)中的一個網(wǎng)絡(luò)環(huán)境時，物理隔離部件保證被隔離的硬盤或硬盤分區(qū)以及相應(yīng)網(wǎng)絡(luò)彼此不連通。在計算機(jī)與內(nèi)網(wǎng)相連時，可以選用物理隔離部件，禁止用戶使用軟驅(qū)和光驅(qū)；計算機(jī)在內(nèi)網(wǎng)與外網(wǎng)之間轉(zhuǎn)換時，必須重新啟動，這樣即使內(nèi)存也都不能被重用，因此不會發(fā)生殘留信息泄密的問題。
(3)把安全隔離開關(guān)安裝在內(nèi)外網(wǎng)之間，通過軟件控制，智能切換實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的隔離。當(dāng)該軟件進(jìn)行信息采集時，應(yīng)與外網(wǎng)連接，與內(nèi)網(wǎng)斷開；當(dāng)進(jìn)行信息傳遞時與內(nèi)網(wǎng)連接，與外網(wǎng)斷開。
可以看出，傳統(tǒng)的物理隔離辦法存在以下缺陷(1)采用兩套系統(tǒng)，包括兩套布線、兩套網(wǎng)絡(luò)設(shè)備以及兩套終端，布線還要加一些屏蔽手段來防范電磁輻射，進(jìn)而造成了網(wǎng)絡(luò)建設(shè)的巨大浪費(fèi)。
(2)采用雙盤型和或單盤雙驅(qū)(操作系統(tǒng))型等雙網(wǎng)機(jī)隔離方式，造成了投資的浪費(fèi)。此外，操作復(fù)雜，需采用兩個硬盤或在單硬盤上進(jìn)行硬盤分區(qū)，切換時要重新啟動系統(tǒng)，使用繁瑣不便。
(3)采用兩塊網(wǎng)卡，分別接到內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，占用了計算機(jī)較多插槽資源。

發(fā)明內(nèi)容
本發(fā)明的目的在于克服上述不足之處，提供一種網(wǎng)絡(luò)安全物理隔離卡；該卡在使用時只采用一種操作系統(tǒng)和一塊硬盤，不需要在硬盤上進(jìn)行數(shù)據(jù)分區(qū)。
本發(fā)明提供的一種網(wǎng)絡(luò)安全物理隔離卡，其特征在于該物理隔離卡包括依次相連的周邊元件擴(kuò)展接口電路、網(wǎng)絡(luò)接口芯片、切換邏輯控制電路和二個網(wǎng)線座，配置存儲器與網(wǎng)絡(luò)接口芯片相連；其中周邊元件擴(kuò)展接口電路提供物理隔離卡與PC機(jī)主板的周邊元件擴(kuò)展接口通信協(xié)議；網(wǎng)絡(luò)接口芯片提供網(wǎng)絡(luò)接口，使物理隔離卡具備上網(wǎng)功能；配置存儲器是具有串行輸入功能的EEPORM，用來存儲物理隔離卡的啟動配置參數(shù)；切換邏輯控制電路用于使物理隔離卡在內(nèi)網(wǎng)和外網(wǎng)之間進(jìn)行切換；網(wǎng)線座用于使物理隔離卡與標(biāo)準(zhǔn)的雙絞線連接。
本發(fā)明具有以下功能特點(1)本發(fā)明將計算機(jī)網(wǎng)絡(luò)分為內(nèi)部網(wǎng)和外部網(wǎng)兩部分，并對內(nèi)外網(wǎng)進(jìn)行物理隔離，同時又能根據(jù)需要保證業(yè)務(wù)數(shù)據(jù)的交換。
(2)本發(fā)明運(yùn)行于同時與內(nèi)外網(wǎng)有物理聯(lián)接的一臺協(xié)作服務(wù)器之上。在工作過程中，該卡根據(jù)上層管理程序發(fā)出的指令切換內(nèi)外網(wǎng)狀態(tài)。在任意時刻，該服務(wù)器只允許與內(nèi)網(wǎng)或外網(wǎng)中的一個進(jìn)行連通。
(3)本發(fā)明集成了10M/100M自適應(yīng)網(wǎng)卡功能，代替了一塊常規(guī)物理隔離卡和兩塊網(wǎng)卡，用一塊卡實現(xiàn)了三塊卡的功能。本發(fā)明具備自動協(xié)商功能，能自動識別所連接交換機(jī)、集線器等網(wǎng)絡(luò)設(shè)備的速率和工作方式，并自動將網(wǎng)卡的速率、工作方式調(diào)整到正確的模式以與之相適應(yīng)(10M/100M、全/半雙工)。
(4)本發(fā)明采用一種網(wǎng)絡(luò)芯片實現(xiàn)上網(wǎng)功能，方便功能擴(kuò)展。
(5)本發(fā)明采用切斷所有網(wǎng)線的物理隔離方式，不使用高速網(wǎng)閘和專用的網(wǎng)絡(luò)操作系統(tǒng)，經(jīng)濟(jì)可靠地實現(xiàn)內(nèi)部網(wǎng)和外部網(wǎng)的安全隔離。
(6)本發(fā)明的驅(qū)動程序采用WDM(Windows Driver Model)實現(xiàn)，能工作在Windows 98/2000/NT操作系統(tǒng)中。
(7)本發(fā)明改變了傳統(tǒng)的雙硬盤、雙操作系統(tǒng)或不同網(wǎng)絡(luò)配置的方法，使用單一硬盤和單一操作系統(tǒng)，在內(nèi)外網(wǎng)切換時不需要重新啟動計算機(jī)。
(8)本發(fā)明在工作過程中，可人工選擇其在外網(wǎng)和內(nèi)網(wǎng)之間的任意工作狀態(tài)，也可利用上層管理軟件自動進(jìn)行狀態(tài)切換，并可動態(tài)設(shè)置內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的IP地址和子網(wǎng)掩碼，此外不需要在硬盤上設(shè)置數(shù)據(jù)交換區(qū)。


圖1為網(wǎng)絡(luò)安全物理隔離卡的一種具體實施方式
的結(jié)構(gòu)示意圖；圖2為網(wǎng)絡(luò)安全物理隔離卡的工作流程圖；圖3為上層管理軟件和物理隔離卡的接口。
具體實現(xiàn)方式下面結(jié)合附圖和實例對本發(fā)明做進(jìn)一步的詳細(xì)說明。
如圖1所示，物理隔離卡由周邊元件擴(kuò)展接口電路(即PCI接口電路)4、網(wǎng)絡(luò)接口芯片5、配置存儲器6、切換邏輯控制電路7和二個網(wǎng)線座8、9等構(gòu)成。其中PCI接口電路4提供物理隔離卡與PC機(jī)主板的PCI通信協(xié)議；網(wǎng)絡(luò)接口芯片5提供網(wǎng)絡(luò)接口，使物理隔離卡具備上網(wǎng)功能；配置存儲器6是具有串行輸入功能的電可擦除只讀存儲器(即EEPORM)，用來存儲物理隔離卡的啟動配置參數(shù)。切換邏輯控制電路7用于使物理隔離卡在內(nèi)網(wǎng)和外網(wǎng)之間進(jìn)行切換。網(wǎng)線座8、9用于使物理隔離卡與標(biāo)準(zhǔn)的雙絞線連接。
下面以實例說明本發(fā)明的使用過程。將物理隔離卡1插在計算機(jī)的PCI總線插槽2中，而內(nèi)網(wǎng)與外網(wǎng)入口3分別連接到本發(fā)明的RJ8-45網(wǎng)線插座中。在正常情況下，物理隔離卡1相當(dāng)于一塊普通網(wǎng)卡，用戶可通過物理隔離卡連接內(nèi)網(wǎng)或外網(wǎng)。物理隔離卡在進(jìn)行內(nèi)外網(wǎng)切換工作時，系統(tǒng)首先發(fā)出控制指令，通過主板上的PCI總線插槽2，然后再經(jīng)過物理隔離卡的PCI接口電路4和RTL8139網(wǎng)絡(luò)接口芯片5，到達(dá)切換邏輯控制電路7，該電路采用繼電器，以實現(xiàn)該卡的內(nèi)外網(wǎng)工作狀態(tài)的切換。
圖2是物理隔離卡的工作流程。裝有物理隔離卡的計算機(jī)初始化后，本發(fā)明的默認(rèn)狀態(tài)處于內(nèi)網(wǎng)，此時該計算機(jī)與外網(wǎng)處于隔離狀態(tài)。當(dāng)需要切換到外網(wǎng)時，上層管理軟件發(fā)出一個切換到外網(wǎng)的指令，此時系統(tǒng)會檢測計算機(jī)當(dāng)前是否處于內(nèi)網(wǎng)數(shù)據(jù)交換狀態(tài)，如果是，則系統(tǒng)會等到內(nèi)網(wǎng)數(shù)據(jù)交換完成后，才斷開內(nèi)網(wǎng)，切換到外網(wǎng)狀態(tài)；如果不是，就會立即斷開內(nèi)網(wǎng)，切換到外網(wǎng)。當(dāng)計算機(jī)處于外網(wǎng)狀態(tài)時，如果需要切換到內(nèi)網(wǎng)狀態(tài)，上層管理軟件發(fā)出一個切換到內(nèi)網(wǎng)的指令，此時系統(tǒng)檢測計算機(jī)當(dāng)前是否處于數(shù)據(jù)交換階段，如果是，則系統(tǒng)會等到外網(wǎng)數(shù)據(jù)交換完成后，才斷開外網(wǎng)，切換到內(nèi)網(wǎng)狀態(tài)；如果不是，就會立即斷開外網(wǎng)，切換到內(nèi)網(wǎng)。
圖3是物理隔離卡的軟件流程圖。物理隔離卡在內(nèi)外網(wǎng)工作時，上層管理軟件發(fā)出切換內(nèi)外網(wǎng)狀態(tài)的指令，調(diào)用自定義函數(shù)，通過Windows操作系統(tǒng)調(diào)用Win32函數(shù)，按照網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范，然后調(diào)用驅(qū)動程序，進(jìn)行內(nèi)外網(wǎng)的切換。每進(jìn)行一次狀態(tài)切換，網(wǎng)絡(luò)物理隔離卡小端口驅(qū)動程序?qū)⒎祷貓?zhí)行的狀態(tài)值，通過Windows操作系統(tǒng)，發(fā)送給上層管理軟件。
權(quán)利要求
1.一種用于網(wǎng)絡(luò)安全的物理隔離卡，其特征在于該物理隔離卡包括依次相連的周邊元件擴(kuò)展接口電路(4)、網(wǎng)絡(luò)接口芯片(5)、切換邏輯控制電路(7)和二個網(wǎng)線座(8、9)，配置存儲器(6)與網(wǎng)絡(luò)接口芯片(5)相連；其中周邊元件擴(kuò)展接口電路(4)提供物理隔離卡與PC機(jī)主板的周邊元件擴(kuò)展通信協(xié)議；網(wǎng)絡(luò)接口芯片(5)提供網(wǎng)絡(luò)接口，使物理隔離卡具備上網(wǎng)功能；配置存儲器(6)是具有串行輸入功能的電可擦除只讀存儲器，用來存儲物理隔離卡的啟動配置參數(shù)；切換邏輯控制電路(7)用于使物理隔離卡在內(nèi)網(wǎng)和外網(wǎng)之間進(jìn)行切換；網(wǎng)線座(8、9)用于使物理隔離卡與標(biāo)準(zhǔn)的雙絞線連接。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)安全物理隔離卡，包括依次相連的PCI接口電路、網(wǎng)絡(luò)接口芯片、切換邏輯控制電路和二個網(wǎng)線座，配置存儲器與網(wǎng)絡(luò)接口芯片相連；其中PCI接口電路提供物理隔離卡與PC機(jī)主板的PCI通信協(xié)議；網(wǎng)絡(luò)接口芯片提供網(wǎng)絡(luò)接口，使物理隔離卡具備上網(wǎng)功能；配置存儲器是具有串行輸入功能的EEPORM，用來存儲物理隔離卡的啟動配置參數(shù)；切換邏輯控制電路用于使物理隔離卡在內(nèi)網(wǎng)和外網(wǎng)之間進(jìn)行切換；網(wǎng)線座用于使物理隔離卡與標(biāo)準(zhǔn)的雙絞線連接。本發(fā)明集物理隔離功能和上網(wǎng)功能于一體，真正實現(xiàn)了三卡合一。本發(fā)明配以安全軟件，可以集成實時上網(wǎng)、物理隔離、內(nèi)核防護(hù)、內(nèi)核級入侵檢測、身份認(rèn)證、安全審計和病毒查殺等多種安全技術(shù)。
文檔編號H04L12/02GK1561030SQ20041001276
公開日2005年1月5日 申請日期2004年2月24日 優(yōu)先權(quán)日2004年2月24日
發(fā)明者陳幼平, 周祖德, 尹勇, 胡志新, 黃杰, 艾武 申請人:華中科技大學(xué)