一種物理隔離網(wǎng)閘的制作方法
【專利摘要】本實用新型公開了一種物理隔離網(wǎng)閘,該物理隔離網(wǎng)閘包括內(nèi)網(wǎng)處理單元�、外網(wǎng)處理單元、數(shù)據(jù)擺渡單元和雙路冗余電源單元��;內(nèi)網(wǎng)處理單元與外網(wǎng)處理單元均采用SOC設計;內(nèi)網(wǎng)處理單元與外網(wǎng)處理單元均包括嵌入式實時操作系統(tǒng)���;嵌入式實時操作系統(tǒng)中的接收中斷服務程序直接處理以太網(wǎng)報文數(shù)據(jù)���;雙路冗余電源可提高系統(tǒng)的可用性。本實用新型具有結(jié)構(gòu)簡單��、可用性好�����、傳輸性能優(yōu)��、安全性高的特點�����,在保證傳統(tǒng)隔離網(wǎng)閘物理隔離通信的前提下��,同時滿足高傳輸帶寬�����、低傳輸延時的信息互通需求���。
【專利說明】一種物理隔離網(wǎng)閘
【技術(shù)領域】
[0001]本實用新型屬于網(wǎng)絡安全領域�,具體涉及一種實現(xiàn)在安全側(cè)網(wǎng)絡與非安全側(cè)網(wǎng)絡之間物理隔離通信的網(wǎng)閘。
【背景技術(shù)】
[0002]隔離網(wǎng)閘作為隔離安全側(cè)網(wǎng)絡(內(nèi)網(wǎng))和非安全側(cè)網(wǎng)絡(外網(wǎng))的裝置�����,在工業(yè)控制領域越來越多的用于生產(chǎn)控制網(wǎng)絡(內(nèi)網(wǎng))到管理信息網(wǎng)絡(外網(wǎng))之間的數(shù)據(jù)傳輸���。
[0003]近年來��,隨著廠級信息化程度的不斷提高�,MES (制造執(zhí)行系統(tǒng))等先進管理系統(tǒng)的不斷引入����,越來越多的需要從生產(chǎn)控制網(wǎng)絡實時獲取相關(guān)數(shù)據(jù),這對處在生產(chǎn)控制網(wǎng)絡數(shù)據(jù)唯一出口處的隔離網(wǎng)閘裝置在有效傳輸帶寬�����、傳輸延時等方面的性能提出了更高的要求����。
[0004]傳統(tǒng)的隔離網(wǎng)閘��,硬件一般采用X86或PowerPC架構(gòu)的微處理器設計,軟件則普遍使用經(jīng)裁剪的Windows或Linux系統(tǒng)���,系統(tǒng)的組成與普通的桌面計算機系統(tǒng)并無太大差異���,總的來說存在如下兩方面明顯的不足:
[0005](I)基于X86或PowerPC架構(gòu)的微處理器需要擴展內(nèi)存、電子硬盤等外部設備����,系統(tǒng)組成比較復雜且成本較高。
[0006](2)由于Windows和Linux為非實時操作系統(tǒng)���,當硬件網(wǎng)絡接口接收到網(wǎng)絡報文后��,需要經(jīng)過硬件中斷響應�����、中斷服務程序處理�、驅(qū)動程序處理����、TCP/IP協(xié)議棧任務、報文過濾����、數(shù)據(jù)擺渡等眾多的軟件執(zhí)行過程�,需要花費較多的報文處理時間����,這就直接影響了隔離網(wǎng)閘傳輸帶寬與傳輸延時性能。
【發(fā)明內(nèi)容】
[0007]為了解決現(xiàn)有技術(shù)中系統(tǒng)組成比較復雜����、傳輸帶寬與傳輸延時性能不理想的缺陷,本實用新型的目的是提供一種物理隔離網(wǎng)閘�����,該物理隔離網(wǎng)閘組成簡單��,可用性好��,傳輸性能優(yōu)��,安全性能高�����,在保證傳統(tǒng)隔離網(wǎng)閘物理隔離通信的前提下���,同時滿足高傳輸帶寬��、低傳輸延時的信息互通需求���。
[0008]本實用新型的目的通過以下技術(shù)方案實現(xiàn):
[0009]一種物理隔離網(wǎng)閘,其特征在于:該物理隔離網(wǎng)閘包括內(nèi)網(wǎng)處理單元���、外網(wǎng)處理單元�����、數(shù)據(jù)擺渡單元和雙路冗余電源�����;與內(nèi)網(wǎng)連接的內(nèi)網(wǎng)處理單元和與外網(wǎng)連接的外網(wǎng)處理單元均通過外部總線接口與數(shù)據(jù)擺渡單元連接�;內(nèi)網(wǎng)處理單元��、外網(wǎng)處理單元�����、數(shù)據(jù)擺渡單元均與雙路冗余電源連接��。
[0010]對本實用新型的進一步改進在于:內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元硬件采用集成以太網(wǎng)接口的SOC設計����,SOC優(yōu)選飛思卡爾Cortex-M4芯片,無需擴展內(nèi)存����、電子硬盤等外部部件;內(nèi)網(wǎng)處理單元�、外網(wǎng)處理單元均包括嵌入式實時操作系統(tǒng),非主流的Linux或Windows ����;該嵌入式實時操作系統(tǒng)包括的接收中斷服務程序單元處理傳輸?shù)臄?shù)據(jù)形式為以太網(wǎng)報文數(shù)據(jù),不需要TCP/IP協(xié)議棧任務及應用層服務����。
[0011]數(shù)據(jù)擺渡單元由雙端口 RAM和兩個電子開關(guān)組成,電子開關(guān)優(yōu)選帶三態(tài)輸出的總線收發(fā)器��,雙端口 RAM通過二個電子開關(guān)分別與內(nèi)網(wǎng)處理單元����、外網(wǎng)處理單元的外部總線接口連接;外部總線接口包含32位數(shù)據(jù)總線、16位地址總線���、控制總線和總線時鐘;物理隔離網(wǎng)閘外部設置有配置鎖���,與內(nèi)網(wǎng)處理單元輸入引腳連接�����,通過配置鎖控制隔離網(wǎng)閘通訊配置規(guī)則是否允許改變�����。
[0012]本實用新型相比現(xiàn)有技術(shù)具有以下優(yōu)點:
[0013](I)系統(tǒng)組成簡單�����,可用性好����。內(nèi)網(wǎng)處理單元��、外網(wǎng)處理單元采用集成以太網(wǎng)接口的SOC設計����,內(nèi)存�、FLASH均集成在SOC芯片內(nèi)部���;雙冗余電源在一路電源故障時仍能保持系統(tǒng)正常工作����。
[0014](2)傳輸性能優(yōu)�����。由于內(nèi)網(wǎng)處理單元���、外網(wǎng)處理單元采用嵌入式實時操作系統(tǒng)�,且取消TCP/IP協(xié)議棧及所有應用層服務�����,當硬件網(wǎng)絡接口接收到網(wǎng)絡報文后��,中斷服務程序直接處理以太網(wǎng)報文數(shù)據(jù)����,報文處理時間短,故傳輸帶寬、傳輸延時等性能優(yōu)異�。
[0015](3)安全性能高。由于內(nèi)外網(wǎng)之間僅通過數(shù)據(jù)交換單元進行數(shù)據(jù)擺渡�,為物理方式隔離;操作系統(tǒng)為非Windows�、非Linux的嵌入式實時操作系統(tǒng),軟件簡單����,可攻擊漏洞少�;并且通過配置鎖控制隔離網(wǎng)閘通訊配置規(guī)則是否允許改變,該配置鎖與內(nèi)網(wǎng)處理單元輸入引腳連接����,即使在外網(wǎng)處理單元遭受攻擊時也無法篡改網(wǎng)閘通信規(guī)則,確保內(nèi)網(wǎng)信息安全�。
[0016]本實用新型順應了廠級信息化的發(fā)展趨勢,在保證傳統(tǒng)隔離網(wǎng)閘物理隔離通信的前提下����,同時滿足高傳輸帶寬、低傳輸延時的信息互通需求�。
【專利附圖】
【附圖說明】
[0017]圖1為本實用新型物理隔離網(wǎng)閘的結(jié)構(gòu)框圖。
[0018]圖2為本實用新型中數(shù)據(jù)擺渡單元的結(jié)構(gòu)框圖�。
[0019]圖3為內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元報文的處理流程。
【具體實施方式】
[0020]下面結(jié)合附圖對本實用新型物理隔離網(wǎng)閘進行詳細說明�����。
[0021]如圖1所示��,一種物理隔離網(wǎng)閘���,包括內(nèi)網(wǎng)處理單元�����、外網(wǎng)處理單元��、數(shù)據(jù)擺渡單元和雙路冗余電源單元�。內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)連接�����,外網(wǎng)處理單元與外網(wǎng)連接�����。內(nèi)網(wǎng)處理單元���、外網(wǎng)處理單元均采用集成以太網(wǎng)接口的SOC設計�,內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元通過外部總線接口與數(shù)據(jù)擺渡單元連接�,其中外部總線接口包含32位數(shù)據(jù)總線、16位地址總線����、控制總線和總線時鐘。配置鎖與內(nèi)網(wǎng)處理單元輸入引腳連接���,配置鎖設置在物理隔離網(wǎng)閘外部,只有當配置鎖打開時內(nèi)網(wǎng)處理單元才允許進行網(wǎng)閘通信規(guī)則修改����。內(nèi)網(wǎng)處理單元、夕卜網(wǎng)處理單元�、數(shù)據(jù)擺渡單元均與雙路冗余電源(電源I和電源2)連接。
[0022]如圖2所示�,數(shù)據(jù)擺渡單元由兩個電子開關(guān)(電子開關(guān)I和電子開關(guān)2)和雙端口RAM組成,通過電子開關(guān)切換�,內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元不能同時與雙端口 RAM連接���,內(nèi)外網(wǎng)之間物理上為斷開狀態(tài)����,僅通過數(shù)據(jù)擺渡單元進行數(shù)據(jù)擺渡,滿足物理隔離的要求���。
[0023]如圖3所示�����,當內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元以太網(wǎng)接口接收到報文后觸發(fā)網(wǎng)絡接收中斷�����,進入嵌入式實時操作系統(tǒng)的接收中斷服務程序單元��,在中斷服務程序中完成報文過濾�����,將符合隔離網(wǎng)閘通信規(guī)則的報文傳輸至數(shù)據(jù)擺渡單元完成報文擺渡���,不符合通信規(guī)則的報文則直接被過濾清除,報文處理過程簡單�����,無需TCP/IP協(xié)議棧任務和應用層服務支持。特別的����,本實用新型選用SOC所集成的以太網(wǎng)控制器支持“零拷貝”,上述報文處理過程中不需要進行報文數(shù)據(jù)拷貝���,更縮短了報文處理時間�����。
【權(quán)利要求】
1.一種物理隔離網(wǎng)閘���,其特征在于:該物理隔離網(wǎng)閘包括內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元�����、數(shù)據(jù)擺渡單元和雙路冗余電源�����;與內(nèi)網(wǎng)連接的內(nèi)網(wǎng)處理單元和與外網(wǎng)連接的外網(wǎng)處理單元均通過外部總線接口與數(shù)據(jù)擺渡單元連接���;內(nèi)網(wǎng)處理單元��、外網(wǎng)處理單元�����、數(shù)據(jù)擺渡單元均與雙路冗余電源連接�����;所述的數(shù)據(jù)擺渡單元包括雙端口 RAM和兩個電子開關(guān)�,雙端口RAM通過兩個電子開關(guān)分別與內(nèi)網(wǎng)處理單元�、外網(wǎng)處理單元的外部總線接口連接。
2.根據(jù)權(quán)利要求1所述的物理隔離網(wǎng)閘�����,其特征在于:所述內(nèi)網(wǎng)處理單元���、外網(wǎng)處理單元硬件均采用集成以太網(wǎng)接口的SOC設計����。
3.根據(jù)權(quán)利要求1所述的物理隔離網(wǎng)閘��,其特征在于:所述外部總線接口包含32位數(shù)據(jù)總線�����、16位地址總線、控制總線和總線時鐘�����。
4.根據(jù)權(quán)利要求1所述的物理隔離網(wǎng)閘�����,其特征在于:該物理隔離網(wǎng)閘還包括配置鎖��,配置鎖與內(nèi)網(wǎng)處理單元輸入引腳連接�����。
【文檔編號】H04L29/06GK204231409SQ201420750427
【公開日】2015年3月25日 申請日期:2014年12月3日 優(yōu)先權(quán)日:2014年12月3日
【發(fā)明者】胡歙眉, 芮正新, 祖利輝, 施海慶, 杭哲 申請人:南京科遠自動化集團股份有限公司