一种基于FPGA的网闸隔离交换系统及方法技术方案

本发明专利技术涉及一种基于FPGA的网闸隔离交换系统及方法，属于网络安全技术领域，包括外网主机、内网主机和FPGA网闸隔离交换模块，外网主机和内网主机分别通过外网PCIE接口和内网PCIE接口连接到FPGA网闸隔离交换模块，FPGA网闸隔离交换模块包括外网处理单元、内网处理单元和数据摆渡单元，本发明专利技术通过硬件编程在FPGA内部实现分时切换网闸开关以及数据摆渡单元，进而通过网闸开关实现数据通道的有序通断控制，保证网闸能够进行安全隔离和双向数据摆渡，进而使得处于不同网络、不同安全域的系统之间能够高效且安全可控地进行数据交换。之间能够高效且安全可控地进行数据交换。之间能够高效且安全可控地进行数据交换。

【技术实现步骤摘要】
一种基于FPGA的网闸隔离交换系统及方法


[0001]本专利技术属于网络安全
，具体涉及一种基于FPGA的网闸隔离交换系统及方法。

技术介绍

[0002]随着信息技术和互联网技术的更迭发展，网络环境日趋复杂，信息安全问题也日益受到关注。如何使处于不同网络、不同安全域的系统之间安全可控地共享信息，已经成为信息化建设的重要研究方向，而在不同安全等级的网络及系统之间实施网络隔离是一个行之有效的解决措施。
[0003]网络隔离分为逻辑隔离和物理隔离两种方式，逻辑隔离是在各个网络安全域之间有链路连接，通过在协议上、路由上进行逻辑阻断，让两者从逻辑上不能相通，例如防火墙。物理隔离是采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段，例如网闸。现有网闸大多数缺少用于数据缓存的数据摆渡模块，即使存在数据摆渡模块也是基于专用CPU或特定的ASIC芯片去实现，通用性较低，且并不具备双向数据摆渡功能，此为现有技术的不足之处。
[0004]有鉴于此，本专利技术提供一种基于FPGA的网闸隔离交换系统及方法；以解决现有技术中存在的上述缺陷，是非常有必要的。

技术实现思路

[0005]本专利技术的目的在于，针对现有技术中存在网闸无法双向数据摆渡的缺陷，提供设计一种基于FPGA的网闸隔离交换系统及方法，以解决现有技术中存在的问题。
[0006]为实现上述目的，本专利技术给出以下技术方案：第一方面，本专利技术提供一种基于FPGA的网闸隔离交换系统，包括：外网主机、内网主机和FPGA网闸隔离交换模块，所述外网主机通过外网PCIE接口连接到FPGA网闸隔离交换模块，所述内网主机通过内网PCIE接口连接到FPGA网闸隔离交换模块；所述FPGA网闸隔离交换模块包括外网处理单元、内网处理单元和数据摆渡单元，所述外网处理单元和内网处理单元之间经数据摆渡单元设置有外向内数据通道和内向外数据通道，所述外向内数据通道包括第一数据通道和第二数据通道，内向外数据通道包括第三数据通道和第四数据通道，任一时刻，所述第一数据通道和第二数据通道至少有一个不导通，第三数据通道和第四数据通道至少有一个不导通。
[0007]作为优选，所述数据摆渡单元包括第一FIFO、第二FIFO、第三FIFO和第四FIFO，所述第一FIFO和第二FIFO之间通过第一光纤连接，所述第三FIFO和第四FIFO之间通过第二光纤连接。
[0008]作为优选，所述外网处理单元包括外网发送端和外网接收端，内网处理单元包括内网发送端和内网接收端。
[0009]作为优选，所述外网发送端和第一FIFO之间设有第一网闸开关，所述内网接收端
和第二FIFO之间设有第二网闸开关，所述内网发送端和第三FIFO之间设有第三网闸开关，所述外网接收端和第四FIFO之间设有第四网闸开关。
[0010]作为优选，所述FPGA网闸隔离交换模块通过第一网闸开关控制第一数据通道的通断，所述FPGA网闸隔离交换模块通过第二网闸开关控制第二数据通道的通断，所述FPGA网闸隔离交换模块通过第三网闸开关控制第三数据通道的通断，所述FPGA网闸隔离交换模块通过第四网闸开关控制第四数据通道的通断。
[0011]作为优选，任一时刻，第一网闸开关和第二网闸开关中至少有一个处于断开状态，第三网闸开关和第四网闸开关中至少有一个处于断开状态。
[0012]作为优选，所述外向内通道和内向外通道上均设置有GTP模块，GTP模块分别通过光模块连接到第一光纤和第二光纤。
[0013]第二方面，本专利技术还提供一种基于FPGA的网闸隔离交换方法，包括：S1、初始状态：第一网闸开关和第三网闸开关处于闭合状态，第二网闸开关和第四网闸开关处于断开状态；S2、判断外网发送端和/或内网发送端是否存在待传输数据，若存在，则转到步骤S3，反之，则返回步骤1；S3、当外网发送端存在待传输数据，外网发送端将待传输数据通过第一网闸开关传输到第一FIFO，转到步骤S4；当内网发送端存在待传输数据，内网发送端将待传输数据通过第三网闸开关传输到第三FIFO，转到步骤S5；S4、当第一FIFO接收到待传输数据后，断开第一网闸开关，第一FIFO将接收到的待传输数据通过第一光纤传输到第二FIFO，转到步骤S6；S5、当第三FIFO接收到待传输数据后，断开第三网闸开关，第三FIFO将接收到的待传输数据通过第二光纤传输到第四FIFO，转到步骤S7；S6、当第二FIFO接收到待传输数据后，闭合第二网闸开关，第二FIFO将待传输数据通过第二网闸开关传输到内网接收端，转到步骤S8；S7、当第四FIFO接收到待传输数据后，闭合第四网闸开关，第四FIFO将待传输数据通过第四网闸开关传输到外网接收端，转到步骤S9；S8、当内网接收端在接收到待传输数据后，断开第二网闸开关，闭合第一网闸开关，返回步骤S1；S9、当外网接收端在接收到待传输数据后，断开第四网闸开关，闭合第三网闸开关，返回步骤S1。
[0014]本专利技术的有益效果在于，本专利技术提供了一种基于FPGA的网闸隔离交换系统和方法，通过硬件编程在FPGA内部实现了分时切换网闸开关以及数据摆渡单元，进而通过网闸开关实现数据通道的有序通断控制，保证网闸能够进行安全隔离和双向数据摆渡，进而使得处于不同网络、不同安全域的系统之间能够高效且安全可控地进行数据交换。
[0015]此外，本专利技术设计原理可靠，结构简单，具有非常广泛的应用前景。
[0016]由此可见，本专利技术与现有技术相比，具有突出的实质性特点和显著地进步，其实施的有益效果也是显而易见的。
附图说明
[0017]图1为网闸隔离交换系统的关系示意图。
[0018]图2为网闸隔离交换方法的流程示意图。
[0019]TX1为外网发送端，RX1为外网接收端，TX2为内网发送端，RX2为内网接收端，K1为第一网闸开关，K2为第二网闸开关，K3为第三网闸开关，K4为第四网闸开关。
具体实施方式
[0020]下面结合附图并通过具体实施例对本专利技术进行详细阐述，以下实施例是对本专利技术的解释，而本专利技术并不局限于以下实施方式。
[0021]如图1所示，本专利技术提供一种基于FPGA的网闸隔离交换系统，该系统包括：外网主机、内网主机和FPGA网闸隔离交换模块，该FPGA网闸隔离交换模块设置在FPGA（Field
‑
Programmable Gate Array，现场可编程门阵列）芯片上，进而通过FPGA编程实现通信、逻辑控制和网络隔离等功能。其中，外网主机通过外网PCIE接口连接到FPGA网闸隔离交换模块，内网主机通过内网PCIE接口连接到FPGA网闸隔离交换模块。
[0022]具体地，FPGA网闸隔离交换模块包括外网处理单元、内网处理单元和数据摆渡单元，所述外网处理单元和内网处理单元之间经数据摆渡单元设置有外向内数据通道和内向外数据通道，其中，外向内数据通道用于将外网主机内的待传输数据传输至内网主机，而内向外数据通道用于将内网主机中的待传输数据传输至外网主机，即内网主机和外网主机之本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于FPGA的网闸隔离交换系统，其特征在于，包括：外网主机、内网主机和FPGA网闸隔离交换模块，所述外网主机通过外网PCIE接口连接到FPGA网闸隔离交换模块，所述内网主机通过内网PCIE接口连接到FPGA网闸隔离交换模块；所述FPGA网闸隔离交换模块包括外网处理单元、内网处理单元和数据摆渡单元，所述外网处理单元和内网处理单元之间经数据摆渡单元设置有外向内数据通道和内向外数据通道，所述外向内数据通道包括第一数据通道和第二数据通道，内向外数据通道包括第三数据通道和第四数据通道，任一时刻，所述第一数据通道和第二数据通道至少有一个不导通，第三数据通道和第四数据通道至少有一个不导通。2.根据权利要求1所述的一种基于FPGA的网闸隔离交换系统，其特征在于，所述数据摆渡单元包括第一FIFO、第二FIFO、第三FIFO和第四FIFO，所述第一FIFO和第二FIFO之间通过第一光纤连接，所述第三FIFO和第四FIFO之间通过第二光纤连接。3.根据权利要求2所述的一种基于FPGA的网闸隔离交换系统，其特征在于，所述外网处理单元包括外网发送端和外网接收端，内网处理单元包括内网发送端和内网接收端。4.根据权利要求3所述的一种基于FPGA的网闸隔离交换系统，其特征在于，所述外网发送端和第一FIFO之间设有第一网闸开关，所述内网接收端和第二FIFO之间设有第二网闸开关，所述内网发送端和第三FIFO之间设有第三网闸开关，所述外网接收端和第四FIFO之间设有第四网闸开关。5.根据权利要求4所述的一种基于FPGA的网闸隔离交换系统，其特征在于，所述FPGA网闸隔离交换模块通过第一网闸开关控制第一数据通道的通断，所述FPGA网闸隔离交换模块通过第二网闸开关控制第二数据通道的通断，所述FPGA网闸隔离交换模块通过第三网闸开关控制第三数据通道的通断，所述FPGA网闸隔离交换模块通过第四网...

【专利技术属性】
技术研发人员：王磊，米德闯，管彦亮，刘勇，孙翠丽，孙颖，刘欢玉，
申请(专利权)人：中孚信息股份有限公司，
类型：发明
国别省市：