[发明专利]一种基于SRIO接口技术的双处理系统网络安全隔离方法

权利要求书

1.一种基于SRIO接口技术的双处理系统网络安全隔离方法，其特征在于：所述双处理系统包括电源（001）、内网处理系统（002）、内网参数配置接口（003）、内网SRIO接口单元（004）、外网SRIO接口单元（005）、外网参数配置接口（006）、外网处理系统（007），所述内网处理系统（002）通过所述内网SRIO接口单元（004）与所述外网SRIO接口单元（005）以及所述外网处理系统（007）相连接，

所述内网处理系统（002）包括内网链路层数据处理模块（102）、内网网络层/传输层数据处理及安全策略控制模块（103）、内网剥离/转换应用数据模块（104）、内网SRIO数据组包及传输方向控制模块（105）；

所述外网处理系统（007）包括外网SRIO数据组包及传输方向控制模块（107）、外网剥离/转换应用数据模块（108）、外网网络层/传输层数据处理及安全策略控制模块（109）、外网链路层数据处理模块（110）；

所述内网SRIO接口单元（004）包括有内网SRIO通信模块（1061），所述外网SRIO接口单元（005）包括有外网SRIO通信模块（1062），所述内网SRIO通信模块（1061）和所述外网SRIO通信模块（1062）均设置有SRIO逻辑层、读功能层（NREAD）、写功能层（SWRITE）和DOORBELL包；

所述隔离方法包括三种数据传输工作状态，分别为：内网至外网单向安全隔离数据传输工作状态、外网至内网单向安全隔离数据传输工作状态和内网与外网之间的双向安全隔离数据传输工作状态，所述内网处理系统（002）和所述外网处理系统（007）通过所述内网SRIO通信模块（1061）和所述外网SRIO通信模块（1062）进行互联，所述内网SRIO通信模块（1061）的写功能层（SWRITE）、所述外网SRIO通信模块（1062）的读功能层（NREAD）和所述外网处理系统（007）的用于数据传输控制应答的所述DOORBELL包共同组合成为内网到外网的数据单向传输，所述外网SRIO通信模块（1062）的写功能层（SWRITE）、所述内网SRIO通信模块（1061）的读功能层（NREAD）和所述内网处理系统（002）的用于数据传输控制应答的所述DOORBELL包共同组合成为外网到内网的数据单向传输，当所述内网SRIO通信模块（1061）和所述外网SRIO通信模块（1062）的读功能层（NREAD）和写功能层（SWRITE）同时作用时，完成双向独立数据传输，所述内网SRIO通信模块（1061）和所述外网SRIO通信模块（1062）的DOORBELL包用于数据应答以控制返回通道的宽度，阻断网络攻击及网络潜入或网络泄密的途径；

内网至外网单向安全隔离数据传输工作状态的具体步骤为：

a.通过所述内网参数配置接口（003）的参数配置模块（101）生成网络数据的通信规则，包含链路层所限制的MAC地址、协议，网络层所开放的服务端口、目的IP地址、源IP地址、协议，应用层所支持的应用协议策略；

b.所述内网链路层数据处理模块（102）根据MAC地址、协议的策略进行数据过滤后递交所述内网网络层/传输层数据处理及安全策略控制模块（103），其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述内网剥离/转换应用数据模块（104）；

c.所述内网剥离/转换应用数据模块（104）支持对TCP/UDP进行完整数据卸载处理，并根据应用协议格式检查策略对应用数据进行检查，只有通过检查的应用数据才能打包并递交到所述内网SRIO数据组包及传输方向控制模块（105）；

d.所述内网SRIO数据组包及传输方向控制模块（105）根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况，并对所述内网SRIO通信模块（1061）的SRIO逻辑层进行传输方向控制，然后将数据传输到所述外网SRIO数据组包及传输方向控制模块（107）；

e.所述外网SRIO数据组包及传输方向控制模块（107）根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况，并对所述外网SRIO通信模块（1062）的SRIO逻辑层进行传输方向控制，然后将数据传输到所述外网剥离/转换应用数据模块（108）；

f.经所述外网剥离/转换应用数据模块（108）检查之后通过所述外网网络层/传输层数据处理及安全策略控制模块（109），符合通信规则的应用数据在此重新进行网络协议组织，网络报文经所述外网链路层数据处理模块（110）与外网进行通信；

外网至内网单向安全隔离数据传输工作状态的具体步骤为：

g.通过所述外网参数配置接口（006）的参数配置模块（101）生成网络数据的通信规则，包含链路层所限制的MAC地址、协议，网络层所开放的服务端口、目的IP地址、源IP地址、协议，应用层所支持的应用协议策略；

h.所述外网链路层数据处理模块（110）根据MAC地址、协议的策略进行数据过滤后递交所述外网网络层/传输层数据处理及安全策略控制模块（109），其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述外网剥离/转换应用数据模块（108）；

i.所述外网剥离/转换应用数据模块（108）支持对TCP/UDP进行完整数据卸载处理，并根据应用协议格式检查策略对应用数据进行检查，只有通过检查的应用数据才能打包并递交到所述外网SRIO数据组包及传输方向控制模块（107）；

j.所述外网SRIO数据组包及传输方向控制模块（107）根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况，并对所述外网SRIO通信模块（1062）的SRIO逻辑层进行传输方向控制，然后将数据传输到所述内网SRIO数据组包及传输方向控制模块（105）；

k.所述内网SRIO数据组包及传输方向控制模块（105）根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况，并对所述内网SRIO通信模块（1061）的SRIO逻辑层进行传输方向控制，然后将数据传输到所述内网剥离/转换应用数据模块（104）；

l.经所述内网剥离/转换应用数据模块（104）检查之后通过所述内网网络层/传输层数据处理及安全策略控制模块（103），符合通信规则的应用数据在此重新进行网络协议组织，网络报文经所述内网链路层数据处理模块（102）与内网进行通信；

内网与外网之间的双向安全隔离数据传输工作状态的具体步骤为：

m.通过所述内网参数配置接口（003）和所述外网参数配置接口（006）的参数配置模块（101）生成网络数据的通信规则，包含链路层所限制的MAC地址、协议，网络层所开放的服务端口、目的IP地址、源IP地址、协议，应用层所支持的应用协议策略；

n.所述内网链路层数据处理模块（102）根据MAC地址、协议的策略进行数据过滤后递交所述内网网络层/传输层数据处理及安全策略控制模块（103），其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述内网剥离/转换应用数据模块（104）；同时，所述外网链路层数据处理模块（110）根据MAC地址、协议的策略进行数据过滤后递交所述外网网络层/传输层数据处理及安全策略控制模块（109），其根据服务端口、目的IP地址、源IP地址、协议过滤后递交所述外网剥离/转换应用数据模块（108）；

o.所述内网剥离/转换应用数据模块（104）支持对TCP/UDP进行完整数据卸载处理，并根据应用协议格式检查策略对应用数据进行检查，只有通过检查的应用数据才能打包并递交到所述内网SRIO数据组包及传输方向控制模块（105）；同时，所述外网剥离/转换应用数据模块（108）支持对TCP/UDP进行完整数据卸载处理，并根据应用协议格式检查策略对应用数据进行检查，只有通过检查的应用数据才能打包并递交到所述外网SRIO数据组包及传输方向控制模块（107）；

p.所述内网SRIO数据组包及传输方向控制模块（105）根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况，并对所述内网SRIO通信模块（1061）的SRIO逻辑层进行传输方向控制，然后将数据传输到所述外网SRIO数据组包及传输方向控制模块（107）；同时，所述外网SRIO数据组包及传输方向控制模块（107）根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况，并对所述外网SRIO通信模块（1062）的SRIO逻辑层进行传输方向控制，然后将数据传输到所述内网SRIO数据组包及传输方向控制模块（105）；

q. 所述外网SRIO数据组包及传输方向控制模块（107）根据参数策略设置决定是处于内网至外网单向安全隔离、外网至内网单向安全隔离或内网与外网之间的双向安全隔离的工作状况，并对所述外网SRIO通信模块（1062）的SRIO逻辑层进行传输方向控制，然后将数据传输到所述外网剥离/转换应用数据模块（108）；同时，所述内网SRIO数据组包及传输方向控制模块（105）根据参数策略设置决定是处于外网至内网单向安全隔离、内网至外网单向安全隔离或外网与内网之间的双向安全隔离的工作状况，并对所述内网SRIO通信模块（1061）的SRIO逻辑层进行传输方向控制，然后将数据传输到所述内网剥离/转换应用数据模块（104）；

r.经所述外网剥离/转换应用数据模块（108）检查之后通过所述外网网络层/传输层数据处理及安全策略控制模块（109），符合通信规则的应用数据在此重新进行网络协议组织，网络报文经所述外网链路层数据处理模块（110）与外网进行通信；同时，经所述内网剥离/转换应用数据模块（104）检查之后通过所述内网网络层/传输层数据处理及安全策略控制模块（103），符合通信规则的应用数据在此重新进行网络协议组织，网络报文经所述内网链路层数据处理模块（102）与内网进行通信。