本发明专利技术公开了一种基于嵌入式系统构建的物理隔离系统及隔离方法,包括处理器A和处理器B,处理器A和处理器B相互独立,处理器B通过网络接口连接外部公开网络,处理器A通过网络接口连接内部信任网络,处理器A和处理器B之间采用非以太网方式的物理传输信道连接;处理器B的系统为从片系统,处理器A的系统为主片系统,处理器B的系统启动加载由处理器A控制,本系统采用单设备系统部署,以嵌入式系统为开发核心,采用端口物理隔离方案,并能保证满足协议的安全内容无障碍通信,对非法数据信息严格阻断,并采用单系统引导保证系统的安全可靠,最大限度的保证了客户的便利性和系统的安全性,成本较低推广价值较高。
【技术实现步骤摘要】
本专利技术涉及计算机网络安全领域,尤其涉及。
技术介绍
随着我国信息化建设步伐的加快、互联网+的产品推广,计算机网络的进一步普及和发展,我们的生活和工作越来越依赖于网络。网络安全问题越来越受到安全厂商甚至普通用户的关注,为满足用户日益增长的网络安全需求,安全厂商不断发布新产品和研发新技术,但无论网络安全技术如何发展,网络及网络上的信息资源依然存在着相当的安全风险,目前的安全产品如防火墙、网闸等由于不能彻底解决内外部协议连接的问题,安全性受到质疑,网闸系统在经过恶意攻击后会导致系统崩溃、认证失效从而导致安全网络设备暴露在外网,导致文件和系统泄密。为此,很多高度重视内部信息安全的企事业单位,会采用完全物理隔离的两个网络工作,即采用两套系统,分别用于连接内部网络、连接外部网络,这样保证了系统的绝对隔离,但同时带来了信息交换的障碍,不利于系统维护;再比如特定的应用场景中只需要网络之间传输明确指令的内容,如特定系统维护工作、控制、数据调取定明文协议,使用现有的产品基本无法同时保证隔离系统的稳定性和便携性,所以需要一种简单、便捷、低成本、高可靠的网络安全系统解决网络交互问题; 为和本专利技术的系统方案对比,选取两种典型网络安全系统即网闸和光闸; 1、传统网闸系统采用两台独立的主机和网闸设备组成一个系统,基本原理在于是切断网络之间的通用协议连接,将数据包打成静态数据,对静态数据进行安全审查,包括网络协议检查和文件扫描等;确认后的安全数据流入内部单元;网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。它连接的两个独立的主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。由此可见,系统由两台主机系统、一台网闸系统组成,设备复杂;由于采用数据的“摆渡”技术整个产品读写速率收到很到的限制,目前相关产品网口吞吐量较低;2、光闸系统采用分光技术实现,以光的特性保证了数据传输的完全单向,基于光闸的单向传输系统只进行数据单向推移,完全防止各种可能的泄密。同传统的网闸技术相比,具有传输带宽高,数据传输的实时性等特点;同时系统的实现简单便于维护与管理,特别适合于内部数据有高安全要求的网络的文件由外网到内网的自动安全传输问题。分流设备有三个连接口,分别为入口、出口和镜像口 ;分流设备的入口连接外网发送端,出口连接外网接收端,镜像口连接内网解码端;外网发送端将要传输的文件发送到外网接收端,在外网上产生数据流。系统采用两台主机系统通过光分路器连接,整个系统安全性较高,同时可构建双向大容量传输系统,同样才在系统构建复杂,成本较高的问题,实际推广中阻力较大。
技术实现思路
针对上述技术缺陷,本专利技术提出。为了解决上述技术问题,本专利技术的技术方案如下: 一种基于嵌入式系统构建的物理隔离系统,包括处理器A和处理器B,所述处理器A和处理器B相互独立,所述处理器B通过网络接口连接外部公开网络,所述处理器A通过网络接口连接内部信任网络,所述处理器A和处理器B之间采用非以太网方式的物理传输信道连接;所述处理器B的系统为从片系统,所述处理器A的系统为主片系统,处理器B的系统启动加载由处理器A控制。进一步的,处理器A由系统复位,处理器B由处理器A进行系统复位和加载,处理器A通过固化在flash中的程序进行引导启动,处理器A进入系统后在本地文件系统根目录下创建对应的目录,将预先制作好的处理器B的启动镜像文件加载存放到该目录中。进一步的,所述处理器A加载内核启动模块,以支持处理器B的启动控制、消息通信功能;处理器A还包括加载级联启动的驱动模块以及处理器A运行启动处理器B的应用程序,启动处理器B的应用程序开始初始化处理器B系统需要用到的所有DDR,然后将处理器A的系统目录下的启动镜像文件搬运到处理器B的内存地址,最后开始引导启动。进一步的,所述处理器A连接启动复位电路。进一步的,所述处理器A连接报警输出电路。进一步的,所述处理器A以及处理器B系统均通过tcp/ip协议接收或发送数据一种基于嵌入式系统构建的物理隔离方法,包括系统启动步骤和数据处理流程步骤: 所述系统启动步骤包括: 71)处理器A由系统复位,处理器B由处理器A进行系统复位和加载,处理器A通过固化在flash中的程序进行引导启动,处理器A进入系统后在本地文件系统根目录下创建对应的目录,将预先制作好的处理器B的启动镜像文件加载存放到该目录中; 72)所述处理器A加载内核启动模块,以支持处理器B的启动控制、消息通信功能;处理器A还包括加载级联启动的驱动模块以及处理器A运行启动处理器B的应用程序,启动处理器B的应用程序开始初始化处理器B系统需要用到的所有DDR,然后将处理器A的系统目录下的启动镜像文件搬运到处理器B的内存地址,最后开始引导启动; 所述数据处理流程步骤包括: 73)内部信任网络发送消息之前通过用户以及密码的方式登录到处理器A系统,经认证通过后在处理器A系统端产生一个sess1n,内部信任网络发送的消息只有通过该sess1n才能被接收处理; 74)内部信任网络发送的消息通过处理器A系统进行报文的分析,当报文结构和内容符合协议规定时,报文会被送到处理器A系统的数据处理模块进行处理;所述数据处理模块分析消息的类型,并根据具体的报文内容直接本地处理或通过隔离通道转发至处理器B。进一步的,所述处理器A与处理器B之间的隔离通道可进行双向数据传输,该隔离通道包括消息传输通道和数据传输通道;消息传输通道用于数据规模和吞吐量都低的数据;数据传输通道用于传输连续大块的数据。进一步的,步骤74)中的报文内容在隔离通道的应用层进行协议格式校检,符合规定协议格式的报文内容才被允许通过隔离通道进行传输;所述隔离通道上传输的协议格式采用非公开的私有协议。进一步的,处理器B系统运行时,定时发送心跳报文由隔离通道给处理器A系统,当在一定时间内处理器A系统没有接收到心跳消息,对内部信任网络预警,并获取处理器B的运行指令,进行报警,并可同时对处理器B进行系统初始化,使系统自恢复到正常状态。本专利技术的有益效果在于:本系统采用单设备系统部署,以嵌入式系统为开发核心,采用端口物理隔离方案,并能保证满足协议的安全内容无障碍通信,对非法数据信息严格阻断,并采用单系统引导保证系统的安全可靠,最大限度的保证了客户的便利性和系统的安全性,成本较低推广价值较高。【附图说明】图1为嵌入式物理隔离系统硬件框图; 图2为嵌入式物理隔离系统启动加载框图; 图3为嵌入式物理隔离系统工作流程图。【具体实施方式】下面将结合附图和具体实施例对本专利技术做进一步的说明。本专利技术公开了一种网络隔离产品的硬件系统方案和在该硬件系统方案上利用软件实现架构,需要注意的是,本领域技术人员应知,采用传统的一些方法也可以在该硬件系统上实现。硬件系统采用两颗嵌入式处理器,对数据包协议进行解析,通过内部数据通道连接进行数据交互、处理,完成网络接入、用户管理、信任验证、协议分析等操作,构建高吞吐量的安全隔呙设备; 1、本专利技术的系统核心硬件框图 如图1所示,该设备采用两颗嵌入式处理器,分别用作公开网络和内部可信本文档来自技高网...
【技术保护点】
一种基于嵌入式系统构建的物理隔离系统,其特征在于,包括处理器A和处理器B,所述处理器A和处理器B相互独立,所述处理器B通过网络接口连接外部公开网络,所述处理器A通过网络接口连接内部信任网络,所述处理器A和处理器B之间采用非以太网方式的物理传输信道连接;所述处理器B的系统为从片系统,所述处理器A的系统为主片系统,处理器B的系统启动加载由处理器A控制。
【技术特征摘要】
【专利技术属性】
技术研发人员:石旭刚,史故臣,徐信,计乾,雷周骏,卢展阳,
申请(专利权)人:杭州中威电子股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。