[发明专利]一种隔离交换装置及方法

说明书

技术领域

本发明涉及隔离交换领域，尤其涉及一种隔离交换装置及方法。

背景技术

物理隔离是我国目前解决涉密网信息安全保密的唯一有效办法，但也带来了信息交换的困难。近几年，为解决这一难题，国内一些有识企业开展了网络安全隔离与信息交换技术的研究，在国外称为AirGap技术或Gap技术。该技术试图在物理隔离的网络间建立“逻辑连接”，在完成信息交换的同时，实现网络的“安全隔离”。

“网络安全隔离与信息交换系统”基本上是用计算机模拟“人工拷盘”的方式实现数据交换的。它主要由内网处理单元、外网处理单元、安全隔离与信息交换处理单元三部分组成。

外网处理单元与外网(如国际互联网)相连，内网处理单元与内网(如内部办公网)相连；安全隔离与信息交换处理单元通过专用硬件断开内、外网的物理连接，并在任何时刻只与其中一个网络连接，读取等待发送的数据，然后“推送”到另一个网络上。在切换速度非常快的情况下，可以实现信息的实时交换。具体过程为：

当外网数据要传送到内网时，外网处理单元会完整地接收所有的TCP/IP数据包，并按照相关RFC标准将其组装成磁盘文件。经过安全检查(如入侵检测、查杀病毒等)后，由安全隔离与交换处理单元将数据文件“摆渡”到内网处理单元，此后，安全隔离与信息交换处理单元与内网处理单元断开，由内网处理单元以TCP/IP数据包的方式将数据传递给内网的主机。

当内网数据要传送到外网时，内网处理单元会完整地接收所有的TCP/IP数据包，并按照相关RFC标准将其组装成磁盘文件。经过保密检查(如内容审查等)后，由安全隔离与交换处理单元将数据文件“摆渡”到外网处理单元，此后，安全隔离与信息交换处理单元与外网处理单元断开，由外网处理单元以TCP/IP数据包的方式将数据传递给外网的主机。

然而，目前，用于安全隔离与交换处理的隔离交换装置存在数据传输速率慢、设计复杂，成本高和数据传输量小等的问题。

因此，需要一种数据传输速率快、设计简单的隔离交换装置以及基于隔离交换装置实现的隔离交换方法。

发明内容

根据本发明的一个方面，提供一种隔离交换装置，包括：

第一PCIE(peripheral component interconnect express，是一种高速串行计算机扩展总线标准)接口模块，用于接收第一处理单元通过PIO(PIO模式是一种通过CPU执行I/O端口指令来进行数据的读写的数据交换模式)写操作写入的传输数据个数，将传输数据个数和准备好无效标志写入BAR(Base Address Register基址寄存器)空间存储器中，用于接收准备好有效标志，向第一DMA读写控制器发送启动信号，还用于接收第一处理单元通过DMA(Direct Memory Access，直接内存存取)写操作写入的待传输数据，并将待传输数据发送至所述第一DMA读写控制器；

BAR空间存储器，用于存储准备好无效标志和传输数据个数，用于接收准备好有效标志，将准备好有效标志写入第一PCIE接口模块；

第二PCIE接口模块，用于从BAR空间存储器中读取传输数据个数，向第二DMA读写控制器发送启动信号，将准备好无效标志置为准备好有效标志，将准备好有效标志写入BAR空间存储器，用于接收待传输数据，并将待传输数据发送至第二处理单元；

第二DMA读写控制器，用于接收启动信号，还用于从缓冲空间存储器读取待传输数据，将待传输数据发送至第二PCIE接口模块；

缓冲空间存储器，用于存储待传输数据；

第一DMA读写控制器，用于接收启动信号，与第一PCIE接口模块连通，用于接收待传输数据，还用于将待传输数据写入缓冲空间存储器。

第一PCIE接口模块、第二PCIE接口模块、BAR空间存储器、第一DMA读写控制器、第二DMA读写控制器、缓冲空间存储器集成在一片FPGA上。FPGA可以为XLINX XC6VLX240T FPGA。

第一PCIE接口模块、第二PCIE接口模块均采用金手指的形式。

PCIE接口模块包括PCIE配置空间。BAR空间存储器采用双口RAM(Random Access Memory，随机存取存储器)的方式同时映射到两个PCIE配置空间实现BAR空间存储器共享，两边的PCIE端口均能读写两个PCIE配置空间部分空间。

本发明的RAM具有14976Kb。

本发明的PCIE接口模块支持存储器读写、I/O读写和配置空间读写。

本发明的缓冲空间存储器具有128K×32b。