內(nèi)外網(wǎng)安全接入模式的制作方法
【專利摘要】本發(fā)明提供一種內(nèi)外網(wǎng)安全接入模式,內(nèi)外網(wǎng)安全設(shè)備的輸入端接口單元通過二選一開關(guān)單元分別與第一、二控制單元相連;處理單元在移動(dòng)計(jì)算機(jī)設(shè)備選擇外網(wǎng)模式時(shí),控制二選一開關(guān)單元選通第二控制單元,控制第二電源控制開關(guān)關(guān)閉,進(jìn)入外網(wǎng)系統(tǒng),且此時(shí)控制所述第一電源控制開關(guān)斷開,切斷與內(nèi)網(wǎng)系統(tǒng)連接;在移動(dòng)計(jì)算機(jī)設(shè)備選擇內(nèi)網(wǎng)模式時(shí),控制二選一開關(guān)單元選通第一控制單元,控制所述第一電源控制開關(guān)關(guān)閉,進(jìn)入內(nèi)網(wǎng)系統(tǒng),且此時(shí)控制第二電源控制開關(guān)斷開,此時(shí)切斷與外網(wǎng)系統(tǒng)連接。本發(fā)明提供一種內(nèi)外網(wǎng)安全接入模式,用于實(shí)現(xiàn)內(nèi)網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng)的隔離和安全防護(hù),可以有效地保護(hù)內(nèi)網(wǎng)系統(tǒng)的信息安全。
【專利說明】內(nèi)外網(wǎng)安全接入模式
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種互聯(lián)網(wǎng)領(lǐng)域,特別涉及一種內(nèi)外網(wǎng)安全接入模式。
【背景技術(shù)】
[0002]隨著因特網(wǎng)(Internet)的迅速發(fā)展,各機(jī)關(guān)和企事業(yè)單位利用互聯(lián)網(wǎng)開展工作已成為不可逆轉(zhuǎn)的趨勢。近年來,“企業(yè)上網(wǎng)”和“政府上網(wǎng)”工程的開展,特別是“電子政務(wù)”系統(tǒng)的建設(shè),各單位及各部門已有大量的計(jì)算機(jī)通過各種方式連入因特網(wǎng)。但是,由于因特網(wǎng)是一個(gè)開放的網(wǎng)絡(luò)系統(tǒng),任何一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)都可能遭到黑客的襲擊,該計(jì)算機(jī)中存儲(chǔ)的信息都有被盜或被篡改的可能。另外因特網(wǎng)也是計(jì)算機(jī)病毒傳播的主要途徑。目前,普通的安全防范技術(shù),如軟件加密、防火墻等,其核心技術(shù)均掌握在外國公司手中,不能達(dá)到國家有關(guān)的保密規(guī)定。因此,國家保密局對國家機(jī)要部門使用互聯(lián)網(wǎng)規(guī)定如下:“涉及國家秘密的計(jì)算機(jī)信息系統(tǒng),不得直接或間接的與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接,必須實(shí)行“物理隔離”。所謂“物理隔離”是指企業(yè)內(nèi)部局域網(wǎng)如果在任何時(shí)間都不存在與互聯(lián)網(wǎng)直接的物理連接,則企業(yè)的網(wǎng)絡(luò)安全才得到真正保護(hù)。
[0003]現(xiàn)有雖然保證安全的方法很多,如:防火墻多層過濾、通道控制、侵襲報(bào)警等等,但是由于這些技術(shù)都是基于軟件的一種控制方法,存在被操縱控制的可能,不能保證絕對的安全,因此,需要通過“物理隔離”來保證軍隊(duì)、政府、金融、媒體等機(jī)要部門的真正安全。
[0004]在政府部門的信息化建設(shè)中,‘國家提出了建設(shè)“三網(wǎng)一庫”的概念。其中“三網(wǎng)”指內(nèi)網(wǎng)(內(nèi)部辦公網(wǎng))、外網(wǎng)(同因特網(wǎng)相連接的網(wǎng)絡(luò))和專網(wǎng)(用于上下級單位聯(lián)網(wǎng)等特定用途的計(jì)算機(jī)網(wǎng)絡(luò))。在內(nèi)、外網(wǎng)之間要求進(jìn)行行物理隔離,以保證涉密信息的絕對安全。
[0005]面對國家機(jī)要部門對網(wǎng)絡(luò)安全的這種特殊需求,目前一些廠家紛紛推出物理隔離終端電腦和物理隔離卡等產(chǎn)品。
[0006]1.兩臺(tái)物理隔離終端電腦分別接入內(nèi)外網(wǎng)作為最直接的內(nèi)外網(wǎng)隔離實(shí)現(xiàn)形式,安全性是最強(qiáng)的,但是其需要兩臺(tái)終端電腦,這無疑增加了硬件成本的投入,同時(shí)終端電腦的維護(hù)及配置費(fèi)用也成本增加,兩臺(tái)終端電腦占用空間大更是縮緊了用戶的辦公空間,用戶在使用時(shí)每次都需要人為的區(qū)分內(nèi)外網(wǎng)終端電腦,使用不方便。
[0007]2.物理隔離卡是在一臺(tái)電腦上增加一個(gè)硬盤,通過控制硬盤及切換網(wǎng)線,在內(nèi)外網(wǎng)的環(huán)境中使一個(gè)硬盤僅對應(yīng)一個(gè)網(wǎng)絡(luò)有效,其網(wǎng)絡(luò)物理連線上是完全分離的且不存在公用存儲(chǔ)信息,從而實(shí)現(xiàn)單機(jī)在兩個(gè)網(wǎng)絡(luò)之間真正的物理隔離。物理隔離卡是物理隔離的低級實(shí)現(xiàn)形式,一個(gè)物理隔離卡只能管一臺(tái)個(gè)人計(jì)算機(jī),需要對每臺(tái)計(jì)算機(jī)進(jìn)行配置,每次切換都需要開關(guān)機(jī)一次,使用起來極為不便。雙硬盤的硬件平臺(tái)管理很繁瑣,也會(huì)使得整個(gè)網(wǎng)絡(luò)的架設(shè)和維護(hù)費(fèi)用顯著升高。此外,用隔離卡設(shè)計(jì)的網(wǎng)絡(luò)要有兩套完全一樣的網(wǎng)絡(luò)(雙倍的連線,雙倍的網(wǎng)絡(luò)設(shè)備),每臺(tái)機(jī)器上要雙網(wǎng)卡,雙硬盤。不僅僅安裝維護(hù)極不方便,維護(hù)費(fèi)用也高,升級和擴(kuò)展的費(fèi)用多成倍增加。
[0008]不管是兩臺(tái)終端電腦實(shí)現(xiàn)物理隔離,還是使用物理隔離卡,這類產(chǎn)品方案有如下缺點(diǎn):
[0009]電腦具有單主板,兩個(gè)獨(dú)立硬盤,在兩個(gè)插槽上提供的連接內(nèi)外網(wǎng)的兩個(gè)獨(dú)立的網(wǎng)絡(luò)端口,通過Bios中內(nèi)置的內(nèi)外網(wǎng)啟動(dòng)后即時(shí)切換功能,提供兩種不同的工作狀態(tài),能夠分別連接內(nèi)部辦公網(wǎng)和外部互聯(lián)網(wǎng)。
[0010]將企業(yè)所有需上網(wǎng)的桌面電腦更換或升級為“物理隔離”電腦,電腦成本每臺(tái)增加20%左右。
[0011]企業(yè)內(nèi)部綜合布線要建立內(nèi)外雙網(wǎng)物理架構(gòu),交換設(shè)備也要提供內(nèi)外雙份,內(nèi)網(wǎng)數(shù)據(jù)存儲(chǔ)在本地磁盤,數(shù)據(jù)不安全。
[0012]網(wǎng)絡(luò)安全得以實(shí)現(xiàn),但實(shí)施過程中工程費(fèi)用、設(shè)備費(fèi)用投入較高,技術(shù)服務(wù)量較大,系統(tǒng)維護(hù)繁瑣。
【發(fā)明內(nèi)容】
[0013]本發(fā)明提供一種內(nèi)外網(wǎng)安全接入模式,用于實(shí)現(xiàn)內(nèi)網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng)的隔離和安全防護(hù),可以有效地保護(hù)內(nèi)網(wǎng)系統(tǒng)的信息安全。
[0014]為解決上述問題,本發(fā)明提供一種內(nèi)外網(wǎng)安全接入模式,所述內(nèi)外網(wǎng)安全接入模式包括:內(nèi)外網(wǎng)安全接入終端和移動(dòng)計(jì)算機(jī)設(shè)備;
[0015]所述內(nèi)外網(wǎng)安全接入終端包括:內(nèi)外網(wǎng)安全設(shè)備和處理單元;
[0016]所述內(nèi)外網(wǎng)安全設(shè)備包括輸入端接口單元,二選一開關(guān)單元,第一電源控制開關(guān),第二電源控制開關(guān),內(nèi)網(wǎng)接口單元和外網(wǎng)接口單元,第一控制單元,第二控制單元;
[0017]所述輸入端接口單元直接或間接與所述移動(dòng)計(jì)算機(jī)設(shè)備相連,通過所述二選一開關(guān)單元分別與所述第一控制單元、第二控制單元相連;所述第一控制單元與所述內(nèi)網(wǎng)接口單元相連,所述第二控制單元與所述外網(wǎng)接口單元相連;所述內(nèi)網(wǎng)接口單元與所述第一電源控制開關(guān)相連,所述外網(wǎng)接口單元與所述第二電源控制開關(guān)相連;
[0018]所述處理單元,與所述第一、第二電源控制開關(guān),以及所述二選一開關(guān)單元相連,用于在移動(dòng)計(jì)算機(jī)設(shè)備選擇外網(wǎng)模式時(shí),控制所述二選一開關(guān)單元選通第二控制單元,控制所述第二電源控制開關(guān)關(guān)閉,為所述第二控制單元供電,進(jìn)入外網(wǎng)系統(tǒng),且此時(shí)控制所述第一電源控制開關(guān)斷開,切斷與內(nèi)網(wǎng)系統(tǒng)連接;在移動(dòng)計(jì)算機(jī)設(shè)備選擇內(nèi)網(wǎng)模式時(shí),控制所述二選一開關(guān)單元選通第一控制單元,控制所述第一電源控制開關(guān)關(guān)閉,為所述第一控制單元供電,進(jìn)入內(nèi)網(wǎng)系統(tǒng),且此時(shí)控制所述第二電源控制開關(guān)斷開,此時(shí)切斷與外網(wǎng)系統(tǒng)連接。
[0019]優(yōu)選地,所述內(nèi)外網(wǎng)安全接入終端進(jìn)一步包括I轉(zhuǎn)多路的接口單元;
[0020]所述I轉(zhuǎn)多路的接口單元包括一個(gè)與所述移動(dòng)計(jì)算機(jī)設(shè)備連接的上游接口,以及多個(gè)下游接口,所述內(nèi)外網(wǎng)安全設(shè)備的輸入端接口單元與所述下游接口相連。
[0021]優(yōu)選地,所述內(nèi)外網(wǎng)安全接入終端進(jìn)一步包括與所述下游接口相連的鑒權(quán)單元,用于將加密的命令代碼發(fā)送至客戶端,客戶端解密命令代碼后,將終端認(rèn)證和/或用戶認(rèn)證的控制開關(guān)打開,為內(nèi)網(wǎng)網(wǎng)卡芯片供電,進(jìn)行終端授權(quán)與否的驗(yàn)證。
[0022]優(yōu)選地,在所述下游接口和所述鑒杈單元之間還包括限流控制單元。
[0023]優(yōu)選地,所述內(nèi)外網(wǎng)安全接入終端進(jìn)一步包括與所述下游接口相連的系統(tǒng)啟動(dòng)存儲(chǔ)單元。[0024]優(yōu)選地,所述內(nèi)外網(wǎng)安全接入終端進(jìn)一步包括與所述處理單元相連的網(wǎng)絡(luò)監(jiān)聽單元,用于監(jiān)聽外網(wǎng)系統(tǒng)網(wǎng)絡(luò)的非法訪問內(nèi)網(wǎng)服務(wù)器行為。
[0025]優(yōu)選地,所述內(nèi)外網(wǎng)安全接入終端進(jìn)一步包括與所述處理單元相連的報(bào)警單元,用于在所述網(wǎng)絡(luò)監(jiān)聽單元監(jiān)聽外網(wǎng)系統(tǒng)網(wǎng)絡(luò)的非法訪問內(nèi)網(wǎng)服務(wù)器行為時(shí),所述處理單元控制報(bào)警。
[0026]優(yōu)選地,所述輸入端接口單元為USB接口,通過USB總線直接或間接與計(jì)算機(jī)設(shè)備相連。
[0027]優(yōu)選地,所述二選一開關(guān)單元為電磁繼電器機(jī)械開關(guān)。
[0028]優(yōu)選地,內(nèi)外網(wǎng)安全接入終端的供電方式為總線供電和/或自供電方式。
[0029]優(yōu)選地,所述移動(dòng)計(jì)算機(jī)設(shè)備為具有輸入功能和顯示功能的便攜式設(shè)備。
[0030]與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)施例所述內(nèi)外網(wǎng)安全接入模式,在移動(dòng)計(jì)算機(jī)設(shè)備選擇外網(wǎng)模式時(shí),控制所述二選一開關(guān)單元選通第二控制單元,控制所述第二電源控制開關(guān)關(guān)閉,為所述第二控制單元供電,進(jìn)入外網(wǎng)系統(tǒng),且此時(shí)控制所述第一電源控制開關(guān)斷開,切斷與內(nèi)網(wǎng)系統(tǒng)連接;在移動(dòng)計(jì)算機(jī)設(shè)備選擇內(nèi)網(wǎng)模式時(shí),控制所述二選一開關(guān)單元選通第一控制單元,控制所述第一電源控制開關(guān)關(guān)閉,為所述第一控制單元供電,進(jìn)入內(nèi)網(wǎng)系統(tǒng),且此時(shí)控制所述第二電源控制開關(guān)斷開,此時(shí)切斷與外網(wǎng)系統(tǒng)連接。這樣就可以實(shí)現(xiàn)內(nèi)網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng)的隔離和安全防護(hù),可以有效地保護(hù)內(nèi)網(wǎng)系統(tǒng)的信息安全。
【專利附圖】
【附圖說明】
[0031]圖1是本發(fā)明具體所述內(nèi)外網(wǎng)安全接入模式第一實(shí)施例結(jié)構(gòu)框圖;
[0032]圖2是本發(fā)明具體所述內(nèi)外網(wǎng)安全接入模式第二實(shí)施例結(jié)構(gòu)框圖;
[0033]圖3是本發(fā)明具體所述內(nèi)外網(wǎng)安全接入模式應(yīng)用示意圖。
【具體實(shí)施方式】
[0034]本發(fā)明提供一種內(nèi)外網(wǎng)安全接入模式,用于實(shí)現(xiàn)內(nèi)網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng)的隔離和安全防護(hù),可以有效地保護(hù)內(nèi)網(wǎng)系統(tǒng)的信息安全。
[0035]請參考圖1和圖3,圖1為本發(fā)明具體所述內(nèi)外網(wǎng)安全接入模式第一實(shí)施例結(jié)構(gòu)框圖,圖3是本發(fā)明具體所述內(nèi)外網(wǎng)安全接入模式應(yīng)用示意圖。
[0036]本發(fā)明第一實(shí)施例所述內(nèi)外網(wǎng)安全接入模式包括:內(nèi)外網(wǎng)安全接入終端100和移動(dòng)計(jì)算機(jī)設(shè)備200。
[0037]所述內(nèi)外網(wǎng)安全接入終端100,包括:內(nèi)外網(wǎng)安全設(shè)備I和處理單元2。
[0038]所述內(nèi)外網(wǎng)安全設(shè)備I包括輸入端接口單元11,二選一開關(guān)單元12,第一電源控制開關(guān)13,第二電源控制開關(guān)14,內(nèi)網(wǎng)接口單元15和外網(wǎng)接口單元16,第一控制單元17,第二控制單元18。
[0039]所述輸入端接口單元11直接或間接與移動(dòng)計(jì)算機(jī)設(shè)備200相連,通過所述二選一開關(guān)單元12分別與所述第一控制單元17、第二控制單元18相連;所述第一控制單元17與所述內(nèi)網(wǎng)接口單元15相連,所述第二控制單元18與所述外網(wǎng)接口單元16相連;所述內(nèi)網(wǎng)接口單元15與所述第一電源控制開關(guān)13相連,所述外網(wǎng)接口單元16與所述第二電源控制開關(guān)14相連。[0040]所述移動(dòng)計(jì)算機(jī)設(shè)備為筆記本電腦或者平板電腦或者移動(dòng)通訊設(shè)備等具有輸入功能和顯示功能的便攜式設(shè)備。
[0041]所述輸入端接口單元11可以為USB等各種接口形式,當(dāng)所述輸入端接口單元11為USB接口時(shí),可以通過USB總線直接或間接與移動(dòng)計(jì)算機(jī)設(shè)備相連。
[0042]為了保證內(nèi)網(wǎng)絡(luò)的物理隔離,所述二選一開關(guān)單元12優(yōu)選選擇電磁繼電器機(jī)械開關(guān)。
[0043]所述處理單元2,與所述第一、第二電源控制開關(guān)13、14,以及所述二選一開關(guān)單元12相連,用于在移動(dòng)計(jì)算機(jī)設(shè)備200選擇外網(wǎng)模式時(shí),控制所述二選一開關(guān)單元12選通第二控制單元18,控制所述第二電源控制開關(guān)14關(guān)閉,為所述第二控制單元18供電,進(jìn)入外網(wǎng)系統(tǒng),且此時(shí)控制所述第一電源控制開關(guān)13斷開,切斷與內(nèi)網(wǎng)系統(tǒng)連接;在移動(dòng)計(jì)算機(jī)設(shè)備200選擇內(nèi)網(wǎng)模式時(shí),控制所述二選一開關(guān)單元12選通第一控制單元17,控制所述第一電源控制開關(guān)13關(guān)閉,為所述第一控制單元17供電,進(jìn)入內(nèi)網(wǎng)系統(tǒng),且此時(shí)控制所述第二電源控制開關(guān)14斷開,此時(shí)切斷與外網(wǎng)系統(tǒng)連接。
[0044]處理單元2可以采用CPU實(shí)現(xiàn)。
[0045]內(nèi)外網(wǎng)安全設(shè)備I可以包括一個(gè)一入二出的接口形式的內(nèi)外網(wǎng)安全設(shè)備,“一入”即安全終端輸入端口可以為USB接口,“二出”即安全終端的輸出端口可以為兩個(gè)RJ45 ( 一個(gè)內(nèi)網(wǎng)接口,一個(gè)外網(wǎng)接口),內(nèi)外網(wǎng)安全設(shè)備I的輸入端口可以通過USB線連接于客戶端即終端電腦,內(nèi)外網(wǎng)安全設(shè)備I的輸出端分別接內(nèi)網(wǎng)和外網(wǎng)網(wǎng)線,這樣內(nèi)外網(wǎng)安全設(shè)備就可以不需要外接電源,采用低功耗供電,斷電或者從PC端拔掉后數(shù)據(jù)就丟失,極大的防止了竊取存儲(chǔ)。而且安裝過程操作簡單而易行,只需在內(nèi)外網(wǎng)安全設(shè)備上接插I根數(shù)據(jù)線及2根網(wǎng)絡(luò)線。
[0046]內(nèi)外網(wǎng)安全設(shè)備I的USB轉(zhuǎn)Eth網(wǎng)卡功耗比較大,需要考慮低功耗設(shè)計(jì),所述第一控制單元17、第二控制單元18具體可以采用低功耗USB2.0TolO/lOOFast EthernetController芯片,第一電源控制開關(guān)13,第二電源控制開關(guān)14采用電源開關(guān)MIC2406-1BM來控制兩路網(wǎng)卡芯片供電,同一時(shí)刻只給一路網(wǎng)卡芯片供電,從而實(shí)現(xiàn)低功耗。
[0047]內(nèi)外網(wǎng)安全接入終端100具體可以根據(jù)USB復(fù)合設(shè)備(compund)模型來設(shè)計(jì),內(nèi)外網(wǎng)安全接入終端可以采用總線供電方式,或者自供電兩種方式,也可以采用總線供電和自供電方式。
[0048]內(nèi)外網(wǎng)安全接入終端100在總線供電方式下,USB主機(jī)最大提供5V_500mA電流消耗,為方便用戶使用,簡化內(nèi)外網(wǎng)安全接入終端的安裝過程,不需要接插外部供電電源。這樣整個(gè)系統(tǒng)設(shè)計(jì)都需要考慮低功耗問題,器件選型及電路設(shè)計(jì)都要基于低功耗來考慮,防止負(fù)載過流。
[0049]參見圖2,該圖是本發(fā)明具體所述內(nèi)外網(wǎng)安全接入模式第二實(shí)施例結(jié)構(gòu)框圖。
[0050]本發(fā)明第二實(shí)施例所述的內(nèi)外網(wǎng)安全接入終端200,可以進(jìn)一步包括I轉(zhuǎn)多路的接口單元3。
[0051]所述I轉(zhuǎn)多路的接口單元3包括一個(gè)與移動(dòng)計(jì)算機(jī)設(shè)備200連接的上游接口 31,以及多個(gè)下游接口,所述內(nèi)外網(wǎng)安全設(shè)備I的輸入端接口單元11與所述下游接口相連。
[0052]I轉(zhuǎn)多路的接口單元3具體可以為I轉(zhuǎn)多路USB Hub,上游接口 31即上游USB端口(主機(jī)與USB Hub的接口)為一個(gè),與終端電腦USB端口相連,基于USB設(shè)備即插即用的特點(diǎn),內(nèi)外網(wǎng)安全接入終端100有效地避免了物理隔離卡安裝步驟繁雜的弊端,充分發(fā)揮了操作步驟簡單易用的特點(diǎn)。I轉(zhuǎn)多路USB Hub下游USB端口(設(shè)備與USB Hub的接口)為多個(gè),可以連接各類USB設(shè)備。
[0053]I轉(zhuǎn)多路的接口單元3可以根據(jù)USB外設(shè)功能來選擇,至少需要5路USB設(shè)備同時(shí)接入主機(jī),I轉(zhuǎn)多路的接口單元3具體可以采用I轉(zhuǎn)7USB Hub。為了考慮低功耗設(shè)計(jì),可以采用具有低功耗特性和OEM配置的芯片。OEM配置采用SMBUS總線來設(shè)置,SMBUS總線連接于處理單元(CPU),上電后,CPU通過SMBUS總線完成對USB配置過程。
[0054]參見圖2所示,本發(fā)明實(shí)施例所述內(nèi)外網(wǎng)安全接入終端100還可以進(jìn)一步包括與所述I轉(zhuǎn)多路的接口單元3的下游接口相連的鑒權(quán)單元4,用于將加密的命令代碼發(fā)送至客戶端,客戶端解密命令代碼后,將終端認(rèn)證和/或用戶認(rèn)證的控制開關(guān)打開,為內(nèi)網(wǎng)網(wǎng)卡芯片供電,進(jìn)行終端授權(quán)與否的驗(yàn)證。
[0055]本發(fā)明實(shí)施例所述鑒權(quán)單元4的用戶認(rèn)證USB-Key的USB接口是對用戶開放的,需要使用者插入U(xiǎn)SB-Key后在云服務(wù)器端做鑒權(quán)。
[0056]為防止用戶插入設(shè)備功耗過大,在所述下游接口和所述鑒權(quán)單元4之間還包括限流控制單元41,用于對用戶設(shè)備做限制。限流控制單元41可以采用200mA的限流開關(guān),根據(jù)系統(tǒng)需求也可以選擇250mA的限流開關(guān)。
[0057]所述鑒權(quán)單元4為終端認(rèn)證USB-Key時(shí),可以通過鑒權(quán)單元4的控制開關(guān)連接于USB Hub下游USB端口,鑒權(quán)單元4的控制開關(guān)的關(guān)閉開啟功能通過處理單元2 (CPU)控制。
[0058]本發(fā)明實(shí)施例所述內(nèi)外網(wǎng)安全接入終端還可以進(jìn)一步包括與所述下游接口相連的系統(tǒng)啟動(dòng)存儲(chǔ)單兀5。
[0059]系統(tǒng)啟動(dòng)存儲(chǔ)單元5具體可以系統(tǒng)啟動(dòng)存儲(chǔ)USB (Mass Storage Flash, U盤)直接連接于所述I轉(zhuǎn)多路的接口單元3的下游接口即USB Hub下游USB端口,系統(tǒng)啟動(dòng)及內(nèi)網(wǎng)操作系統(tǒng)程序均可以存儲(chǔ)在系統(tǒng)啟動(dòng)存儲(chǔ)USB中。
[0060]本發(fā)明實(shí)施例所述內(nèi)外網(wǎng)安全接入終端100還可以進(jìn)一步包括與所述處理單元2相連的網(wǎng)絡(luò)監(jiān)聽單元6,用于監(jiān)聽外網(wǎng)系統(tǒng)網(wǎng)絡(luò)的非法訪問內(nèi)網(wǎng)服務(wù)器行為。
[0061 ] 本發(fā)明實(shí)施例所述內(nèi)外網(wǎng)安全接入終端100進(jìn)一步包括與所述處理單元2相連的報(bào)警單元8,用于在所述網(wǎng)絡(luò)監(jiān)聽單元6監(jiān)聽外網(wǎng)系統(tǒng)網(wǎng)絡(luò)的非法訪問內(nèi)網(wǎng)服務(wù)器行為時(shí),所述處理單元2控制報(bào)警。
[0062]如前文所述,USB轉(zhuǎn)Eth網(wǎng)卡功耗比較大,需要考慮低功耗設(shè)計(jì),采用低功耗USB2.0 To 10/100Fast Ethernet Controller芯片,通過電源開關(guān)來控制兩路網(wǎng)卡芯片供電,同一時(shí)刻只給一路網(wǎng)卡供電,達(dá)到低功耗設(shè)計(jì)。該芯片還有Reverse-RMII接口,支持直接的MAC-to-MAC通信,這樣通過RMII接口連接外部網(wǎng)絡(luò)PHY芯片,同時(shí)RMII接口連接到具有MAC的CPU上做監(jiān)聽,來監(jiān)控整個(gè)網(wǎng)絡(luò)的安全,當(dāng)發(fā)生不合法的網(wǎng)絡(luò)訪問時(shí),通過CPU直接關(guān)斷網(wǎng)絡(luò),具體可以通過蜂鳴器等方式的報(bào)警單元報(bào)警提示用戶非法操作,這樣極大地保證了整個(gè)網(wǎng)絡(luò)的安全。
[0063]用戶通過串口終端,對本發(fā)明實(shí)施例所述內(nèi)外網(wǎng)安全接入終端100進(jìn)行網(wǎng)絡(luò)配置,CPU在只有一路USB Slave接口的狀況下采用內(nèi)外網(wǎng)安全接入終端可以為USB組合設(shè)備(Composite Device)來設(shè)計(jì),在不增加硬件配置的基礎(chǔ)上,通過多個(gè)接口實(shí)現(xiàn)不同USB設(shè)備的組合,這樣CPU的USB功能需要開發(fā)HID和Virtual COM的組合設(shè)備,用戶在VirtualCOM下除配置網(wǎng)絡(luò)外,還可以更新內(nèi)外網(wǎng)安全接入終端系統(tǒng)固件,進(jìn)行IAP系統(tǒng)升級。
[0064]移動(dòng)計(jì)算機(jī)設(shè)備200與內(nèi)外網(wǎng)安全接入終端100之間可以通過預(yù)定協(xié)議實(shí)現(xiàn)通訊,該協(xié)議主要完成客戶端和內(nèi)外網(wǎng)安全接入終端的安全控制,防止惡意獲得內(nèi)網(wǎng)數(shù)據(jù)。該協(xié)議可以是基于H I D協(xié)議。
[0065]主要的通訊細(xì)節(jié)可以采用如下設(shè)計(jì)方式:
[0066]該協(xié)議的報(bào)告描述符輸入輸出可以都設(shè)置為8個(gè)字節(jié)。內(nèi)容可以根據(jù)需要自定義。
[0067]數(shù)據(jù)的格式:第O至第3字節(jié)可以為秒數(shù)(隨機(jī)數(shù)),4至7字節(jié)可以為具體的控制指令。
[0068]其中第4至第7字節(jié)的控制指令,定義如下:
[0069]先使用第4字節(jié)的最低位,“O”表示關(guān)閉內(nèi)網(wǎng)系統(tǒng),打開外網(wǎng)系統(tǒng);“I”表示關(guān)閉外網(wǎng)系統(tǒng),打開內(nèi)網(wǎng)系統(tǒng)。
[0070]其他位保留。
[0071]整個(gè)8字節(jié)數(shù)可以使用D E S進(jìn)行加密處理。
[0072]各路USB設(shè)備的控制開關(guān)的選通端都連接于CPU,CPU可以集成了 USB Slave外設(shè),通過USB Slave模擬成HID設(shè)備,HID設(shè)備的USB端連接于USB Hub,CPU通過HID設(shè)備接收網(wǎng)絡(luò)切換命令,CPU解析命令后,用來控制USB設(shè)備何時(shí)接入U(xiǎn)SB Hub。
[0073]內(nèi)網(wǎng)系統(tǒng)模式下可以采用終端身份和用戶身份的雙重認(rèn)證,斷網(wǎng)即需重新認(rèn)證的鑒權(quán)的機(jī)制,極大的保證了內(nèi)網(wǎng)系統(tǒng)網(wǎng)絡(luò)狀態(tài)的安全。
[0074]移動(dòng)計(jì)算機(jī)設(shè)備200進(jìn)入內(nèi)網(wǎng)模式后的操作優(yōu)選情況下均在云端的計(jì)算中心完成,為了保證數(shù)據(jù)安全,所述預(yù)定操作系統(tǒng)會(huì)阻止所述計(jì)算中心完成的結(jié)果下載到客戶端。
[0075]當(dāng)用戶選擇了內(nèi)網(wǎng)系統(tǒng),這樣,移動(dòng)計(jì)算機(jī)設(shè)備200開始引導(dǎo)內(nèi)網(wǎng)操作系統(tǒng),具體可以將內(nèi)網(wǎng)uClinux栗作系統(tǒng)代碼拷貝到客戶端(例如筆記本)內(nèi)存后,開始啟動(dòng)操作系統(tǒng)。當(dāng)需要進(jìn)行鑒權(quán)時(shí),操作系統(tǒng)可以通過HID USB接口,將加密的命令代碼發(fā)送給CPU,CPU解密命令后將終端認(rèn)證和/或用戶認(rèn)證USB-KEY的控制開關(guān)打開,具體可以通過二選一開關(guān)單元12切換USB網(wǎng)絡(luò)為內(nèi)網(wǎng)同時(shí)將內(nèi)網(wǎng)網(wǎng)卡芯片供電,進(jìn)行終端授權(quán)與否的驗(yàn)證,當(dāng)終端鑒權(quán)正確后,可以選擇用戶名和密碼,也可以選擇USER-KEY ID號和密碼進(jìn)行鑒權(quán)登陸,如果在內(nèi)網(wǎng)模式下發(fā)生了網(wǎng)線斷開,或者用戶USB-KEY斷開現(xiàn)象,均可以設(shè)置需要重新進(jìn)行鑒權(quán)的步驟。
[0076]為了便于本領(lǐng)域技術(shù)人員的理解,下面具體說明本發(fā)明實(shí)施例所述內(nèi)外網(wǎng)安全接入模式的內(nèi)外網(wǎng)安全接入流程。
[0077]本發(fā)明實(shí)施例所述內(nèi)外網(wǎng)安全接入模式的內(nèi)外網(wǎng)安全接入流程具體包括:
[0078]S100、進(jìn)入內(nèi)外網(wǎng)選擇界面;
[0079]所述步驟SlOO具體可以為:當(dāng)移動(dòng)計(jì)算機(jī)設(shè)備200系統(tǒng)上電后,直接進(jìn)入結(jié)合云應(yīng)用的虛擬桌面的內(nèi)外網(wǎng)選擇界面。
[0080]在移動(dòng)計(jì)算機(jī)設(shè)備200例如筆記本的顯示器上顯示選擇操作系統(tǒng)界面,用戶可以通過鍵盤選擇啟動(dòng)內(nèi)網(wǎng)專用系統(tǒng)或者本地硬盤的系統(tǒng)。
[0081]所述步驟SlOO后還可以包括:
[0082]當(dāng)進(jìn)入內(nèi)外網(wǎng)選擇界面時(shí),開始計(jì)時(shí);當(dāng)用戶在預(yù)定時(shí)間內(nèi)未做出選擇進(jìn)入內(nèi)網(wǎng)或外網(wǎng)模式時(shí),直接進(jìn)入外網(wǎng)模式,且此時(shí)切斷與內(nèi)網(wǎng)系統(tǒng)連接。
[0083]所述預(yù)定時(shí)間可以根據(jù)用戶的需要進(jìn)行設(shè)定,具體可以為10秒、20秒或者30秒
坐寸ο
[0084]當(dāng)用戶按下移動(dòng)計(jì)算機(jī)設(shè)備200電源鍵時(shí),此時(shí)電腦CPU完成整個(gè)系統(tǒng)的初始化。
[0085]在移動(dòng)計(jì)算機(jī)設(shè)備200的BIOS中設(shè)置系統(tǒng)第一啟動(dòng)項(xiàng)為內(nèi)外網(wǎng)選擇界面啟動(dòng),移動(dòng)計(jì)算機(jī)設(shè)備200就可以引導(dǎo)系統(tǒng)啟動(dòng)內(nèi)外網(wǎng)選擇界面GRUB程序,移動(dòng)計(jì)算機(jī)設(shè)備200顯示屏呈現(xiàn)內(nèi)外網(wǎng)選擇界面,同時(shí)默認(rèn)外網(wǎng)系統(tǒng)啟動(dòng)預(yù)定時(shí)間(例如20秒)倒計(jì)時(shí)開始。
[0086]S200、當(dāng)移動(dòng)計(jì)算機(jī)設(shè)備200選擇外網(wǎng)模式時(shí),進(jìn)入外網(wǎng)系統(tǒng),且此時(shí)切斷與內(nèi)網(wǎng)系統(tǒng)連接;當(dāng)移動(dòng)計(jì)算機(jī)設(shè)備200選擇內(nèi)網(wǎng)模式時(shí),進(jìn)入內(nèi)網(wǎng)模式,且此時(shí)切斷與外網(wǎng)系統(tǒng)連接。
[0087]所述步驟S200中所述移動(dòng)計(jì)算機(jī)設(shè)備200進(jìn)入內(nèi)網(wǎng)模式時(shí),引導(dǎo)預(yù)定操作系統(tǒng)到本地主機(jī)內(nèi)存,在所述內(nèi)存中運(yùn)行所述預(yù)定操作系統(tǒng),且斷電或斷網(wǎng)時(shí)內(nèi)網(wǎng)數(shù)據(jù)直接丟失。
[0088]所述預(yù)定操作系統(tǒng)可以是基于Iinux系統(tǒng),針對系統(tǒng)安全性要求對內(nèi)核進(jìn)行了設(shè)制。
[0089]預(yù)定操作系統(tǒng)主要是禁止客戶端(本地)網(wǎng)絡(luò)設(shè)備(如以太網(wǎng)、無線網(wǎng)卡、藍(lán)牙等),禁止客戶端(本地)存儲(chǔ)設(shè)備(硬盤、光盤等)。
[0090]所述移動(dòng)計(jì)算機(jī)設(shè)備200進(jìn)入內(nèi)網(wǎng)模式后的操作優(yōu)選情況下均在云端的計(jì)算中心完成,為了保證數(shù)據(jù)安全,所述預(yù)定操作系統(tǒng)會(huì)阻止所述計(jì)算中心完成的結(jié)果下載到客戶端。
[0091]本發(fā)明實(shí)施例所述內(nèi)外網(wǎng)安全接入模式,當(dāng)移動(dòng)計(jì)算機(jī)設(shè)備200選擇外網(wǎng)模式時(shí),進(jìn)入外網(wǎng)系統(tǒng),且此時(shí)切斷與內(nèi)網(wǎng)系統(tǒng)連接;當(dāng)移動(dòng)計(jì)算機(jī)設(shè)備200選擇內(nèi)網(wǎng)模式時(shí),進(jìn)入內(nèi)網(wǎng)模式,且此時(shí)切斷與外網(wǎng)系統(tǒng)連接。這樣就可以實(shí)現(xiàn)內(nèi)網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng)的隔離和安全防護(hù),可以有效地保護(hù)內(nèi)網(wǎng)系統(tǒng)的信息安全。
[0092]本發(fā)明實(shí)施例所述的內(nèi)外網(wǎng)安全接入模式,為了保證安全性,所述步驟S200中所述客戶端選擇內(nèi)網(wǎng)模式時(shí),還可以包括鑒權(quán)的步驟;
[0093]所述鑒權(quán)的步驟具體包括:
[0094]所述預(yù)定操作系統(tǒng)將加密的命令代碼發(fā)送至移動(dòng)計(jì)算機(jī)設(shè)備200,V解密命令代碼后,將終端認(rèn)證和/或用戶認(rèn)證的控制開關(guān)打開,為內(nèi)網(wǎng)網(wǎng)卡芯片供電,進(jìn)行終端授權(quán)與否的驗(yàn)證,當(dāng)終端鑒權(quán)正確后進(jìn)行鑒權(quán)登陸,進(jìn)入內(nèi)網(wǎng)模式。
[0095]因此,本發(fā)明的實(shí)施例僅是用來說明本發(fā)明而非限制本發(fā)明,任何熟悉本領(lǐng)域的技術(shù)人員在不脫離本發(fā)明的保護(hù)范圍內(nèi)所作出的更改,都應(yīng)涵蓋在本發(fā)明的權(quán)利要求限定的范圍之內(nèi)。
【權(quán)利要求】
1.一種內(nèi)外網(wǎng)安全接入模式,其特征在于,所述內(nèi)外網(wǎng)安全接入模式包括:內(nèi)外網(wǎng)安全接入終端和移動(dòng)計(jì)算機(jī)設(shè)備; 所述內(nèi)外網(wǎng)安全接入終端包括:內(nèi)外網(wǎng)安全設(shè)備和處理單元; 所述內(nèi)外網(wǎng)安全設(shè)備包括輸入端接口單元,二選一開關(guān)單元,第一電源控制開關(guān),第二電源控制開關(guān),內(nèi)網(wǎng)接口單元和外網(wǎng)接口單元,第一控制單元,第二控制單元; 所述輸入端接口單元直接或間接與所述移動(dòng)計(jì)算機(jī)設(shè)備相連,通過所述二選一開關(guān)單元分別與所述第一控制單元、第二控制單元相連;所述第一控制單元與所述內(nèi)網(wǎng)接口單元相連,所述第二控制單元與所述外網(wǎng)接口單元相連;所述內(nèi)網(wǎng)接口單元與所述第一電源控制開關(guān)相連,所述外網(wǎng)接口單元與所述第二電源控制開關(guān)相連; 所述處理單元,與所述第一、第二電源控制開關(guān),以及所述二選一開關(guān)單元相連,用于在移動(dòng)計(jì)算機(jī)設(shè)備選擇外網(wǎng)模式時(shí),控制所述二選一開關(guān)單元選通第二控制單元,控制所述第二電源控制開關(guān)關(guān)閉,為所述第二控制單元供電,進(jìn)入外網(wǎng)系統(tǒng),且此時(shí)控制所述第一電源控制開關(guān)斷開,切斷與內(nèi)網(wǎng)系統(tǒng)連接;在移動(dòng)計(jì)算機(jī)設(shè)備選擇內(nèi)網(wǎng)模式時(shí),控制所述二選一開關(guān)單元選通第一控制單元,控制所述第一電源控制開關(guān)關(guān)閉,為所述第一控制單元供電,進(jìn)入內(nèi)網(wǎng)系統(tǒng),且此時(shí)控制所述第二電源控制開關(guān)斷開,此時(shí)切斷與外網(wǎng)系統(tǒng)連接。
2.根據(jù)權(quán)利要求1所述的內(nèi)外網(wǎng)安全接入模式,其特征在于,所述內(nèi)外網(wǎng)安全接入終端進(jìn)一步包括I轉(zhuǎn)多路的接口單元; 所述I轉(zhuǎn)多路的接口單元包括一個(gè)與所述移動(dòng)計(jì)算機(jī)設(shè)備連接的上游接口,以及多個(gè)下游接口,所述內(nèi)外網(wǎng)安全設(shè)備的輸入端接口單元與所述下游接口相連。
3 .根據(jù)權(quán)利要求2所述的內(nèi)外網(wǎng)安全接入模式,其特征在于,所述內(nèi)外網(wǎng)安全接入終端進(jìn)一步包括與所述下游接口相連的鑒權(quán)單元,用于將加密的命令代碼發(fā)送至客戶端,客戶端解密命令代碼后,將終端認(rèn)證和/或用戶認(rèn)證的控制開關(guān)打開,為內(nèi)網(wǎng)網(wǎng)卡芯片供電,進(jìn)行終端授權(quán)與否的驗(yàn)證。
4.根據(jù)權(quán)利要求3所述的內(nèi)外網(wǎng)安全接入模式,其特征在于,在所述下游接口和所述鑒權(quán)單元之間還包括限流控制單元。
5.根據(jù)權(quán)利要求2所述的內(nèi)外網(wǎng)安全接入模式,其特征在于,所述內(nèi)外網(wǎng)安全接入終端進(jìn)一步包括與所述下游接口相連的系統(tǒng)啟動(dòng)存儲(chǔ)單元。
6.根據(jù)權(quán)利要求2所述的內(nèi)外網(wǎng)安全接入模式,其特征在于,所述內(nèi)外網(wǎng)安全接入終端進(jìn)一步包括與所述處理單元相連的網(wǎng)絡(luò)監(jiān)聽單元,用于監(jiān)聽外網(wǎng)系統(tǒng)網(wǎng)絡(luò)的非法訪問內(nèi)網(wǎng)服務(wù)器行為。
7.根據(jù)權(quán)利要求6所述的內(nèi)外網(wǎng)安全接入模式,其特征在于,所述內(nèi)外網(wǎng)安全接入終端進(jìn)一步包括與所述處理單元相連的報(bào)警單元,用于在所述網(wǎng)絡(luò)監(jiān)聽單元監(jiān)聽外網(wǎng)系統(tǒng)網(wǎng)絡(luò)的非法訪問內(nèi)網(wǎng)服務(wù)器行為時(shí),所述處理單元控制報(bào)警。
8.根據(jù)權(quán)利要求1所述的內(nèi)外網(wǎng)安全接入模式,其特征在于,所述輸入端接口單元為USB接口,通過USB總線直接或間接與計(jì)算機(jī)設(shè)備相連。
9.根據(jù)權(quán)利要求1所述的內(nèi)外網(wǎng)安全接入模式,其特征在于,所述二選一開關(guān)單元為電磁繼電器機(jī)械開關(guān)。
10.根據(jù)權(quán)利要求1所述的內(nèi)外網(wǎng)安全接入模式,其特征在于,內(nèi)外網(wǎng)安全接入終端的供電方式為總線供電和/或自供電方式。
11.根據(jù)權(quán)利要求1所述的內(nèi)外網(wǎng)安全接入模式,其特征在于,所述移動(dòng)計(jì)算機(jī)設(shè)備為具有輸入功能和顯示功能的便·攜式設(shè)備。
【文檔編號】H04L29/06GK103532978SQ201310521945
【公開日】2014年1月22日 申請日期:2013年10月30日 優(yōu)先權(quán)日:2013年10月30日
【發(fā)明者】王子鵬, 王玉佺, 董振培, 王昂哲, 田凱, 邢曉莎 申請人:北京艾斯蒙科技有限公司