导航菜单

具有隔离与信息交换的网络信息安全系统

摘要隨着互联网+时代的发展,网络化的社会不仅给人们日常生活带来诸多便利,但是也危及个人或企业的信息安全,甚至对国家安全和国际关系也产生了深刻的影响。

【关键词】隔离信息交换网络信息安全

1前言

目前网络通讯安全通常采用的技术方案是:设置多种访问权限,每一位访问者根据不同的访问权限来对相应的内容进行访问,但是一旦某一位访问者的密码被破解,相应的网络安全防线也被破解,尤其是当administrator的密码被破解,所有安全防线将全部报废。

还有的企业将企业内部网络定义为内网,对应的外部网络为外网,他们为每一位有访问外网需求的员工配置两台工作电脑,一台工作电脑仅能访问内网,一台工作电脑仅能访问外网,同时对内网的所有电脑进行监控,这样有效地提高了内部网络的安全,可以有效防范设置访问权项产生的安全漏洞,但是同时也会导致工作上的不便,例如,工作中需要到外网下载一个参考资料,需要先访问外网将资料下载在外网工作电脑中,然后通过U盘等外部设备进行拷贝,将资料再传输到内网工作电脑上,十分耗费精力,导致工作效率降低。

因此,如何提供一种有效的、方便的网络安全管理系统及方法是业界亟待解决的技术问题。

2工作原理

本文为了解决上述现有技术的问题,提出一种网络安全管理系统,包括连接外网网域的外网网口,连接内网网域的内网网口,还包括:

中间网口,所述中间网口包括第一中间网口至第N中间网口,所述第N中间网口可与内网网口进行通讯,N为自然数;

切换电路,设有两种状态,在第一种状态下根据外网网口、第一中间网口至第N中间网口、内网网口的顺序对网口进行两两分组,允许同一组内的两个网口之间进行通讯;在第二种状态下根据第一中间网口至第N中间网口、内网网口的顺序对网口进行两两分组,允许同一组内的两个网口之间进行通讯;

切换模块,与外网网口相连接,通过切换电路与中间网口及内网网口相连接,根据切换电路的不同状态,控制相应的网口之间连通;

控制模块,对切换电路及切换模块进行控制,使切换电路不停地进行状态转换,直至外网网口/内网网口的命令或数据传递至内网网口/外网网口为止。

数据处理模块,通过上述模块以及网口与外网进行间接通讯,既隔离了内网和外网,又可以使内、外网之间的数据可以被间接传递。

数据处理模块可以采用至少一种加密策略,对通讯的数据/命令进行加密,从而进一步提高系统的安全性。控制模块和数据处理模块还分别具有用于存储数据或算法的存储器。

本技术方案中,切换模块具有切换芯片,根据切换芯片端口的顺序来顺次与外网网口、第一中间网口至第N中间网口、内网网口直接连接或间接连接,当相邻两个端口对应的网口需要通讯时,切换模块将所述两个端口对应的VLAN寄存器的值置为1。

控制模块具有控制芯片,所述数据处理模块具有数据处理芯片,所述控制芯片和数据处理芯片的型号均为AM335X,所述切换芯片的型号为88E6172,所述切换芯片与控制芯片之间、控制芯片与数据处理芯片之间均通过RGMII接口连接。

外网网口通过网桥芯片与切换芯片相连接,中间网口及内网网口分别通过不同的网桥芯片与切换电路相连接,内网网口与控制芯片的eth0处于同一网段。

3体系结构

结构示意图如图1所示。

本系统所述系统包括:网络数据收发端和数据处理端,其中,网络数据收发端的AM335x通过RGMII总线连接88E6172,88E6172的五个口上挂了五块gst5009lf,其中四路经过切换电路与4个RJ45连接,而剩下的一路直接挂RJ45。网络数据收发端的AM335x通过SPI总线与flash连接,来读写FLASH。网络数据收发端的AM335x通过EMIF接口挂了DDR3。网络数据收发端的AM335x通过RGMII总线与数据处理端AM335x通信。数据处理端的AM335x通过EMIF接口挂了DDR3。数据处理端AM335x对数据进行处理后,把重要的数据通过SPI总线存储到FLASH上。这就出现了一个问题:如何更好管理五个RJ45口下的不同网域的通信。于是,本发明提出了对88E6172软设置及对切换电路的操作,实现某些网域可以访问数据处理端,而这几个不同网域又能通信,以达到网络安全管理的目的。

4软件流程

系统开机后,先读取GPIO2_25的值,然后询问是否启动切换电路。如果是,则启动切换电路,然后进入while1循环;如果否则直接进入while1循环。执行while1循环,系统询问lan1与lan2、lan3与lan4是否要数据通信,如果是,则执行判断是否启动切换电路,然后进行数据通信;如果否则直接执行数据通信。数据通信完毕,进入判断lan1与lan2、lan3与lan4是否要数据通信,如果是,则进入判断是否启动切换电路,如果是,则关闭切换电路,进入数据通信。如果判断是否启动切换电路为否,则直接进入数据通信。数据通信完毕,再询问lan5与数据处理端是否要数据通信,如果是,则进入判断是否启动切换电路。判断是否启动切换电路如果为是,则关闭切换电路,如果为否,则数据通信,然后再进入while1循环。

5结语

本文提出了对88E6172软设置及对切换电路的操作,实现某些网域可以访问数据处理端,而这几个不同网域又能通信,以达到网络安全管理的目的。

作者简介:林青(1985-),男,硕士学位。软件工程师。研究方向为嵌入式高性能计算。

下载文本