[发明专利]集成安全管理交换机

说明书

技术领域

本发明涉及交换机技术领域，尤其涉及一种集成安全管理交换机。

背景技术

建设安全可信的信息网络，是“十三五”计划中的一项重要工作。现有网络的安全可控设计方案，主要从存储、服务器、业务链、移动设备等业务节点处(应用供应商-业务平台之间，业务平台-用户之间)实施安全可信的布控。

业务节点的可信布控是为了满足业务数据的完整性与秘密性，前提是各业务节点接收或发送的数据本身未遭受窃取或破坏。这就要求在网络传输交换层对类似数据泄密事件做到可防范和可杜绝。而时下通行的网络建设方案对网路传输交换层面的安全管理并没有引起足够的重视。

从“斯诺登棱镜门”和“心血漏洞”等国内外重大安全事件中，我们就可得知，基于网络传输交换设备的后门固件导致数据泄露早已成为他方收集研究或篡改破坏我方机要信息、影响我方正常业务执行的重要途径之一。

发明内容

本发明的目的是针对现有技术的缺陷，提供一种集成安全管理交换机，采用加装安全单元的自主可控设备的方式，对交换机进行物理隔绝，以杜绝恶意代码攻击整个网络，使得底层数据传输交换的设备层面安全加固，从而保障全网业务稳定安全。本发明实施例提供的集成安全管理交换机为全网业务提供了技术支撑，弱化了上游设备厂商在网络管理层面的参与力度，降低了管理难度与风险。

为实现上述目的，本发明提供了一种集成安全管理交换机，包括：

交换管理单元，用于为交换管理单元的外部节点与指定端口之间提供电信号通路；交换管理单元包括：

接口单元，用于连接外部节点和指定端口；

接口单元根据指定端口发出的请求信号获取指定端口的端口地址，并从外部节点获取原始数据；

交换单元，与接口单元相连接，将原始数据转换为第一交换数据传输给存储单元，并且生成激活信号发送给管理单元；

存储单元，与交换单元相连接，接收并存储第一交换数据；

管理单元与存储单元和交换单元相分别连接，根据激活信号，查询第一交换数据，确定第一交换数据是否为安全数据；当确定第一交换数据为安全数据时，生成检查信号，并向安全单元发送第一交换数据；

安全单元与管理单元相连，接收第一交换数据，并根据检查信号，对第一交换数据进行安全检查计算得到计算结果数据，并向管理单元返回计算结果数据；

管理单元根据计算结果数据和第一交换数据生成第二交换数据，并生成调用信号发送给交换单元；

交换单元根据调用信号获取第二交换数据，发送给接口单元，通过接口单元获取的指定端口地址将第二交换数据转发至指定端口；

电源单元，与接口单元、交换单元、存储单元、管理单元和安全单元分别电连接，为接口单元、交换单元、存储单元、管理单元和安全单元供电。

优选的，接口单元包括接口端和转换器；

接口端连接外部节点和指定端口，用以同外部节点和指定端口间传输数据；

转换器将外部节点的外部信号转换为原始数据。

优选的，安全单元包括：处理器、输入输出接口和存储器；

输入输出接口与管理单元相连，用以接收检查信号和第一交换数据，并输出计算结果数据；

存储器与输入输出接口相连，用以存储第一交换数据；

处理器与存储器相连，根据第一交换数据，计算得到计算结果数据。

进一步优选的，处理器根据第一交换数据，计算得到计算结果数据具体为：处理器根据应用层预设的安全规则对第一交换数据进行安全检查计算，生成计算结果数据。

优选的，管理单元根据计算结果数据和第一交换数据生成第二交换数据具体为：管理单元根据计算结果数据和第一交换数据生成第二交换数据，并将计算结果数据和第二交换数据发送给存储单元。

优选的，管理单元生成调用信号发送给交换单元，交换单元根据调用信号获取第二交换数据具体为：管理单元生成调用信号，并将第二交换数据发送至存储单元；交换单元根据调用信号从存储单元获取第二交换数据。

优选的，集成安全管理交换机还包括信号灯；

信号灯包括信号灯接口；

信号灯接口与接口单元相连接，根据请求信号驱动信号灯闪烁。

本发明实施例提供的集成安全管理交换机中的安全单元可以独立于管理单元独立完成处理，因此恶意固件无法获取、破解安全单元中的算法逻辑。另外，本发明实施例提供的集成安全管理交换机采用整机集成的方式实现，方便本集成安全管理交换机的大批量生产和统一管理维护。

附图说明