本发明专利技术提供一种单向中继装置,其不仅能够防止来自外部系统的不法入侵,而且能够将内部系统的数据安全地提供给外部系统。本发明专利技术的单向中继装置的特征在于具有:第一端口,该第一端口从一方的网络接收通信数据;第一物理层电路,该第一物理层电路进行物理层的协议处理;第一MAC层电路,该第一MAC层电路进行MAC层的协议处理;第二MAC层电路,该第二MAC层电路经由信号线与所述第一MAC层电路连接,并且进行MAC层的协议处理;第二物理层电路,该第二物理层电路进行物理层的协议处理;以及第二端口,该第二端口向另一方网络发送通信数据,所述信号线是在一个方向上将数据从所述第一MAC层电路发送到所述第二MAC层电路的信号线,用于将数据从所述第二MAC层电路发送到所述第一MAC层电路的信号线断开或者与接地线连接。
【技术实现步骤摘要】
本专利技术涉及一种在一个方向上进行数据中继的单向中继装置。
技术介绍
作为现有技术,例如在专利文献1中以“获得一种仅在一个方向上进行数据传输,并且能够防止反向侵入的单向通信装置”(参照摘要)为课题,并且公开了用于解决该课题的结构:“该单向通信装置具有:第一构件,该第一构件构造成仅在一个方向进行数据通信,以非同步协议发送从数据发送方接收到的数据;以及第二构件,该第二构件构造成仅在一个方向进行数据通信,将以非同步协议从该第一构件接收到的数据发送给数据发送方,所述第一构件由接收单元和非同步发送单元构成,该接收单元经由第一网络接收通过IP通信从数据发送方发送来的数据,该非同步发送单元以非同步协议将由所述接收单元接收到的所述数据发送给所述第二构件”(参照权利要求1)。此外,在专利文献2中以“能够提供一种相对于对计算机的攻击具有更高安全性的数据通信方法”为课题,并且公开了用于解决该课题的结构:“具有:第一计算机1,所述第一计算机1具有数据发送处理部分10;第二计算机2,所述第二计算机2具有数据接收处理部分20;以及通信线3,所述通信线3连接第一计算机1和第二计算机2,通信线3通过排除用于从第二计算机2向第一计算机1发送数据的信号线来实现单向通信。由此,能够防止外部对第一计算机1的攻击(参照摘要)。在先技术文献专利文献专利文献1日本国专利特开2004-185483号公报专利文献2日本国专利特开2010-199943号公报
技术实现思路
在上述专利文献1中采用逻辑方式的防止机构来防止来自反向的入侵。具体来说是,通过将滤波器程序写入ROM,利用相对于难以进行设定变更的特定的IP地址和MAC地址等位于上位的滤波器程序,使得只能在一个方向上进行数据传输,以此来防止来自反向的攻击。在上述专利文献1所公开的技术中,虽然能够以逻辑方式来实现从内部系统向外部系统的单向通信,但实际上仍然处于通信线能够以物理方式进行双向通信的状态,所以能够通过对滤波器程序的篡改等来进行双向通信,从结果来看存在经由网络进行不法入侵等的攻击的可能性。另一方面,在专利文献2中采用了物理方式的防止机构。具体来说是,通过排除用于从外部系统向内部系统发送数据的信号线来实现单向通信,以此来防止外部对内部系统的攻击。但是,在上述专利文献2所公开的技术中,由于不存在从外部系统通往内部系统的物理方式的通信路径,所以虽然能够排除通过篡改滤波器程序等对内部系统进行不法入侵等的攻击,但由于在通信线中排除了用于向内部系统发送数据的信号线,所以无法在自动规则论证(AutoNegotiation)等的通信线中确立双向的链路。为了解决上述问题,本专利技术的目的在于不仅能够防止来自外部系统的不法入侵,而且能够将内部系统的数据安全地提供给外部系统。解决方案为了解决上述课题,本专利技术的单向中继装置的特征在于具有:第一端口,所述第一端口从一方的网络接收通信数据;第一物理层电路,所述第一物理层电路经由第一信号线与所述第一端口连接,并且进行物理层的协议处理;第一MAC层电路,所述第一MAC层电路经由第二信号线与所述第一物理层电路连接,并且进行MAC层的协议处理;第二MAC层电路,所述第二MAC层电路经由第三信号线与所述第一MAC层电路连接,并且进行MAC层的协议处理;第二物理层电路,所述第二物理层电路经由第四信号线与所述第二MAC层电路连接,并且进行物理层的协议处理;以及第二端口,所述第二端口经由第五信号线与所述第二物理层电路连接,向另一方网络发送通信数据,所述第三信号线是在一个方向上将数据从所述第一MAC层电路发送到所述第二MAC层电路的信号线,用于将数据从所述第二MAC层电路发送到所述第一MAC层电路的信号线断开或者与接地线连接。专利技术效果根据本专利技术,不仅能够防止来自外部系统的不法入侵,而且能够将内部系统的数据安全地提供给外部系统。附图说明图1是本专利技术的结构图。图2是表示用于实现单向中继的GMII的方块图。图3是表示向外部的帧中继的控制的方块图。图4是表示防止向内部进行帧中继的方块图。图5是表示用于降低负荷的单播的通信方式的方块图。具体实施方式以下参照附图对实施例进行说明。第一实施例图1是表示本专利技术的实施例的第一实施例的方块图。其图示了将计算机1(100)所保持的数据通过单向中继装置单向地发送给计算机2(300)的场合的结构。通过通信线(601)连接计算机1(100)和单向中继装置(200),并且通过通信线(602)连接单向中继装置(200)和计算机2(300)。此外,单向中继装置(200)由SwitchPort2-1(210)、PHY2-1(220)、MAC2-1(230)、MAC2-2(240)、PHY2-2(250)、SwitchPort2-2(260)构成。MAC是用于处理介质存取控制(MediaAccessControl,MAC)层的协议的IC,PHY是用于处理物理层的协议的IC,开关端口(SwitchPort)是与类别5,5e的UTP线缆连接的端口。SwitchPort2-1(210)和PHY2-1(220)通过信号线(711),(712)连接,PHY2-1(220)和MAC2-1(230)通过信号线(721),(722)连接,发送侧MAC2-1(230)与接收侧MAC2-2(240)通过并行接口GMII(千兆介质独立接口,GigabitMediaIndependentInterface)的单向通信用信号线组(730)连接,MAC2-2(240)和PHY2-2(250)通过信号线(741),(742)连接,PHY2-2(250)和SwitchPort2-2(260)通过信号线(751),(752)连接。图2是表示图1所示的单向中继装置的内部(尤其是MAC层)的详细情况的方块图。MAC2-1(230)通过接收部分(231)、发送部分(232)与PHY2-1(220)进行通信,MAC2-2(240)通过接收部分(241)、发送部分(242)与PHY2-2(250)进行通信,MAC2-1(230)和MAC2-2(240)通过并行接口GMII的信号线组(730)进行连接。在本专利技术中,图2所示的并行接口GMII的信号线组(730)采用在物理层面上只能够进行单向通信的结构。采用一般的IEEE802.3z规格的并行接口的信号组(730)通过设置发送系统信号组和接收系统信号本文档来自技高网...
【技术保护点】
一种单向中继装置,所述单向中继装置的特征在于具有:第一端口,所述第一端口从一方的网络接收通信数据;第一物理层电路,所述第一物理层电路经由第一信号线与所述第一端口连接,并且进行物理层的协议处理;第一MAC层电路,所述第一MAC层电路经由第二信号线与所述第一物理层电路连接,并且进行MAC层的协议处理;第二MAC层电路,所述第二MAC层电路经由第三信号线与所述第一MAC层电路连接,并且进行MAC层的协议处理;第二物理层电路,所述第二物理层电路经由第四信号线与所述第二MAC层电路连接,并且进行物理层的协议处理;以及第二端口,所述第二端口经由第五信号线与所述第二物理层电路连接,向另一方网络发送通信数据,所述第三信号线是在一个方向上将数据从所述第一MAC层电路发送到所述第二MAC层电路的信号线,用于将数据从所述第二MAC层电路发送到所述第一MAC层电路的信号线断开或者与接地线连接。
【技术特征摘要】
2014.09.29 JP 2014-1977551.一种单向中继装置,所述单向中继装置的特征在于具有:
第一端口,所述第一端口从一方的网络接收通信数据;
第一物理层电路,所述第一物理层电路经由第一信号线与所述第一端口连
接,并且进行物理层的协议处理;
第一MAC层电路,所述第一MAC层电路经由第二信号线与所述第一物
理层电路连接,并且进行MAC层的协议处理;
第二MAC层电路,所述第二MAC层电路经由第三信号线与所述第一
MAC层电路连接,并且进行MAC层的协议处理;
第二物理层电路,所述第二物理层电路经由第四信号线与所述第二MAC
层电路连接,并且进行物理层的协议处理;以及
第二端口,所述第二端口经由第五信号线与所述第二物理层电路连接,向
另一方网络发送通信数据,
所述第三信号线是在一个方向上将数据从所述第一MAC层电路发送到所
述第二MAC层电路的信号线,用于将数据从所述第二MAC层电路发送到所
述第一MAC层电路的信号线断开或者与接地线连接。
2.如权利要求1所述的单向中继装置,其特征在于,
在有其它通信装置与所述第一...
【专利技术属性】
技术研发人员:陈玉特,中野义弘,西村卓真,仲井英刚,江口正佑,布施裕一,圆谷龙也,花田晋一,冈崎修一,
申请(专利权)人:株式会社日立制作所,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。