一種物理隔離網(wǎng)閘的制作方法
【專利摘要】本實(shí)用新型公開(kāi)了一種物理隔離網(wǎng)閘，該物理隔離網(wǎng)閘包括內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、數(shù)據(jù)擺渡單元和雙路冗余電源單元；內(nèi)網(wǎng)處理單元與外網(wǎng)處理單元均采用SOC設(shè)計(jì)；內(nèi)網(wǎng)處理單元與外網(wǎng)處理單元均包括嵌入式實(shí)時(shí)操作系統(tǒng)；嵌入式實(shí)時(shí)操作系統(tǒng)中的接收中斷服務(wù)程序直接處理以太網(wǎng)報(bào)文數(shù)據(jù)；雙路冗余電源可提高系統(tǒng)的可用性。本實(shí)用新型具有結(jié)構(gòu)簡(jiǎn)單、可用性好、傳輸性能優(yōu)、安全性高的特點(diǎn)，在保證傳統(tǒng)隔離網(wǎng)閘物理隔離通信的前提下，同時(shí)滿足高傳輸帶寬、低傳輸延時(shí)的信息互通需求。
【專利說(shuō)明】一種物理隔離網(wǎng)閘

【技術(shù)領(lǐng)域】
[0001]本實(shí)用新型屬于網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種實(shí)現(xiàn)在安全側(cè)網(wǎng)絡(luò)與非安全側(cè)網(wǎng)絡(luò)之間物理隔離通信的網(wǎng)閘。

【背景技術(shù)】
[0002]隔離網(wǎng)閘作為隔離安全側(cè)網(wǎng)絡(luò)(內(nèi)網(wǎng))和非安全側(cè)網(wǎng)絡(luò)(外網(wǎng))的裝置，在工業(yè)控制領(lǐng)域越來(lái)越多的用于生產(chǎn)控制網(wǎng)絡(luò)(內(nèi)網(wǎng))到管理信息網(wǎng)絡(luò)(外網(wǎng))之間的數(shù)據(jù)傳輸。
[0003]近年來(lái)，隨著廠級(jí)信息化程度的不斷提高，MES (制造執(zhí)行系統(tǒng))等先進(jìn)管理系統(tǒng)的不斷引入，越來(lái)越多的需要從生產(chǎn)控制網(wǎng)絡(luò)實(shí)時(shí)獲取相關(guān)數(shù)據(jù)，這對(duì)處在生產(chǎn)控制網(wǎng)絡(luò)數(shù)據(jù)唯一出口處的隔離網(wǎng)閘裝置在有效傳輸帶寬、傳輸延時(shí)等方面的性能提出了更高的要求。
[0004]傳統(tǒng)的隔離網(wǎng)閘，硬件一般采用X86或PowerPC架構(gòu)的微處理器設(shè)計(jì)，軟件則普遍使用經(jīng)裁剪的Windows或Linux系統(tǒng)，系統(tǒng)的組成與普通的桌面計(jì)算機(jī)系統(tǒng)并無(wú)太大差異，總的來(lái)說(shuō)存在如下兩方面明顯的不足:
[0005](I)基于X86或PowerPC架構(gòu)的微處理器需要擴(kuò)展內(nèi)存、電子硬盤(pán)等外部設(shè)備，系統(tǒng)組成比較復(fù)雜且成本較高。
[0006](2)由于Windows和Linux為非實(shí)時(shí)操作系統(tǒng)，當(dāng)硬件網(wǎng)絡(luò)接口接收到網(wǎng)絡(luò)報(bào)文后，需要經(jīng)過(guò)硬件中斷響應(yīng)、中斷服務(wù)程序處理、驅(qū)動(dòng)程序處理、TCP/IP協(xié)議棧任務(wù)、報(bào)文過(guò)濾、數(shù)據(jù)擺渡等眾多的軟件執(zhí)行過(guò)程，需要花費(fèi)較多的報(bào)文處理時(shí)間，這就直接影響了隔離網(wǎng)閘傳輸帶寬與傳輸延時(shí)性能。


【發(fā)明內(nèi)容】

[0007]為了解決現(xiàn)有技術(shù)中系統(tǒng)組成比較復(fù)雜、傳輸帶寬與傳輸延時(shí)性能不理想的缺陷，本實(shí)用新型的目的是提供一種物理隔離網(wǎng)閘，該物理隔離網(wǎng)閘組成簡(jiǎn)單，可用性好，傳輸性能優(yōu)，安全性能高，在保證傳統(tǒng)隔離網(wǎng)閘物理隔離通信的前提下，同時(shí)滿足高傳輸帶寬、低傳輸延時(shí)的信息互通需求。
[0008]本實(shí)用新型的目的通過(guò)以下技術(shù)方案實(shí)現(xiàn):
[0009]一種物理隔離網(wǎng)閘，其特征在于:該物理隔離網(wǎng)閘包括內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、數(shù)據(jù)擺渡單元和雙路冗余電源；與內(nèi)網(wǎng)連接的內(nèi)網(wǎng)處理單元和與外網(wǎng)連接的外網(wǎng)處理單元均通過(guò)外部總線接口與數(shù)據(jù)擺渡單元連接；內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、數(shù)據(jù)擺渡單元均與雙路冗余電源連接。
[0010]對(duì)本實(shí)用新型的進(jìn)一步改進(jìn)在于:內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元硬件采用集成以太網(wǎng)接口的SOC設(shè)計(jì)，SOC優(yōu)選飛思卡爾Cortex-M4芯片，無(wú)需擴(kuò)展內(nèi)存、電子硬盤(pán)等外部部件；內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元均包括嵌入式實(shí)時(shí)操作系統(tǒng)，非主流的Linux或Windows ；該嵌入式實(shí)時(shí)操作系統(tǒng)包括的接收中斷服務(wù)程序單元處理傳輸?shù)臄?shù)據(jù)形式為以太網(wǎng)報(bào)文數(shù)據(jù)，不需要TCP/IP協(xié)議棧任務(wù)及應(yīng)用層服務(wù)。
[0011]數(shù)據(jù)擺渡單元由雙端口 RAM和兩個(gè)電子開(kāi)關(guān)組成，電子開(kāi)關(guān)優(yōu)選帶三態(tài)輸出的總線收發(fā)器，雙端口 RAM通過(guò)二個(gè)電子開(kāi)關(guān)分別與內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元的外部總線接口連接；外部總線接口包含32位數(shù)據(jù)總線、16位地址總線、控制總線和總線時(shí)鐘；物理隔離網(wǎng)閘外部設(shè)置有配置鎖，與內(nèi)網(wǎng)處理單元輸入引腳連接，通過(guò)配置鎖控制隔離網(wǎng)閘通訊配置規(guī)則是否允許改變。
[0012]本實(shí)用新型相比現(xiàn)有技術(shù)具有以下優(yōu)點(diǎn):
[0013](I)系統(tǒng)組成簡(jiǎn)單，可用性好。內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元采用集成以太網(wǎng)接口的SOC設(shè)計(jì)，內(nèi)存、FLASH均集成在SOC芯片內(nèi)部；雙冗余電源在一路電源故障時(shí)仍能保持系統(tǒng)正常工作。
[0014](2)傳輸性能優(yōu)。由于內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元采用嵌入式實(shí)時(shí)操作系統(tǒng)，且取消TCP/IP協(xié)議棧及所有應(yīng)用層服務(wù)，當(dāng)硬件網(wǎng)絡(luò)接口接收到網(wǎng)絡(luò)報(bào)文后，中斷服務(wù)程序直接處理以太網(wǎng)報(bào)文數(shù)據(jù)，報(bào)文處理時(shí)間短，故傳輸帶寬、傳輸延時(shí)等性能優(yōu)異。
[0015](3)安全性能高。由于內(nèi)外網(wǎng)之間僅通過(guò)數(shù)據(jù)交換單元進(jìn)行數(shù)據(jù)擺渡，為物理方式隔離；操作系統(tǒng)為非Windows、非Linux的嵌入式實(shí)時(shí)操作系統(tǒng)，軟件簡(jiǎn)單，可攻擊漏洞少；并且通過(guò)配置鎖控制隔離網(wǎng)閘通訊配置規(guī)則是否允許改變，該配置鎖與內(nèi)網(wǎng)處理單元輸入引腳連接，即使在外網(wǎng)處理單元遭受攻擊時(shí)也無(wú)法篡改網(wǎng)閘通信規(guī)則，確保內(nèi)網(wǎng)信息安全。
[0016]本實(shí)用新型順應(yīng)了廠級(jí)信息化的發(fā)展趨勢(shì)，在保證傳統(tǒng)隔離網(wǎng)閘物理隔離通信的前提下，同時(shí)滿足高傳輸帶寬、低傳輸延時(shí)的信息互通需求。

【專利附圖】

【附圖說(shuō)明】
[0017]圖1為本實(shí)用新型物理隔離網(wǎng)閘的結(jié)構(gòu)框圖。
[0018]圖2為本實(shí)用新型中數(shù)據(jù)擺渡單元的結(jié)構(gòu)框圖。
[0019]圖3為內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元報(bào)文的處理流程。

【具體實(shí)施方式】
[0020]下面結(jié)合附圖對(duì)本實(shí)用新型物理隔離網(wǎng)閘進(jìn)行詳細(xì)說(shuō)明。
[0021]如圖1所示，一種物理隔離網(wǎng)閘，包括內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、數(shù)據(jù)擺渡單元和雙路冗余電源單元。內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)連接，外網(wǎng)處理單元與外網(wǎng)連接。內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元均采用集成以太網(wǎng)接口的SOC設(shè)計(jì)，內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元通過(guò)外部總線接口與數(shù)據(jù)擺渡單元連接，其中外部總線接口包含32位數(shù)據(jù)總線、16位地址總線、控制總線和總線時(shí)鐘。配置鎖與內(nèi)網(wǎng)處理單元輸入引腳連接，配置鎖設(shè)置在物理隔離網(wǎng)閘外部，只有當(dāng)配置鎖打開(kāi)時(shí)內(nèi)網(wǎng)處理單元才允許進(jìn)行網(wǎng)閘通信規(guī)則修改。內(nèi)網(wǎng)處理單元、夕卜網(wǎng)處理單元、數(shù)據(jù)擺渡單元均與雙路冗余電源(電源I和電源2)連接。
[0022]如圖2所示，數(shù)據(jù)擺渡單元由兩個(gè)電子開(kāi)關(guān)(電子開(kāi)關(guān)I和電子開(kāi)關(guān)2)和雙端口RAM組成，通過(guò)電子開(kāi)關(guān)切換，內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元不能同時(shí)與雙端口 RAM連接，內(nèi)外網(wǎng)之間物理上為斷開(kāi)狀態(tài)，僅通過(guò)數(shù)據(jù)擺渡單元進(jìn)行數(shù)據(jù)擺渡，滿足物理隔離的要求。
[0023]如圖3所示，當(dāng)內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元以太網(wǎng)接口接收到報(bào)文后觸發(fā)網(wǎng)絡(luò)接收中斷，進(jìn)入嵌入式實(shí)時(shí)操作系統(tǒng)的接收中斷服務(wù)程序單元，在中斷服務(wù)程序中完成報(bào)文過(guò)濾，將符合隔離網(wǎng)閘通信規(guī)則的報(bào)文傳輸至數(shù)據(jù)擺渡單元完成報(bào)文擺渡，不符合通信規(guī)則的報(bào)文則直接被過(guò)濾清除，報(bào)文處理過(guò)程簡(jiǎn)單，無(wú)需TCP/IP協(xié)議棧任務(wù)和應(yīng)用層服務(wù)支持。特別的，本實(shí)用新型選用SOC所集成的以太網(wǎng)控制器支持“零拷貝”，上述報(bào)文處理過(guò)程中不需要進(jìn)行報(bào)文數(shù)據(jù)拷貝，更縮短了報(bào)文處理時(shí)間。
【權(quán)利要求】
1.一種物理隔離網(wǎng)閘，其特征在于:該物理隔離網(wǎng)閘包括內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、數(shù)據(jù)擺渡單元和雙路冗余電源；與內(nèi)網(wǎng)連接的內(nèi)網(wǎng)處理單元和與外網(wǎng)連接的外網(wǎng)處理單元均通過(guò)外部總線接口與數(shù)據(jù)擺渡單元連接；內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、數(shù)據(jù)擺渡單元均與雙路冗余電源連接；所述的數(shù)據(jù)擺渡單元包括雙端口 RAM和兩個(gè)電子開(kāi)關(guān)，雙端口RAM通過(guò)兩個(gè)電子開(kāi)關(guān)分別與內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元的外部總線接口連接。
2.根據(jù)權(quán)利要求1所述的物理隔離網(wǎng)閘，其特征在于:所述內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元硬件均采用集成以太網(wǎng)接口的SOC設(shè)計(jì)。
3.根據(jù)權(quán)利要求1所述的物理隔離網(wǎng)閘，其特征在于:所述外部總線接口包含32位數(shù)據(jù)總線、16位地址總線、控制總線和總線時(shí)鐘。
4.根據(jù)權(quán)利要求1所述的物理隔離網(wǎng)閘，其特征在于:該物理隔離網(wǎng)閘還包括配置鎖，配置鎖與內(nèi)網(wǎng)處理單元輸入引腳連接。
【文檔編號(hào)】H04L29/06GK204231409SQ201420750427
【公開(kāi)日】2015年3月25日 申請(qǐng)日期:2014年12月3日 優(yōu)先權(quán)日:2014年12月3日
【發(fā)明者】胡歙眉, 芮正新, 祖利輝, 施海慶, 杭哲 申請(qǐng)人:南京科遠(yuǎn)自動(dòng)化集團(tuán)股份有限公司