以太网单向传输环的制作方法

以太网单向传输环
1.本申请为分案申请，原申请信息如下：
2.申请日：2015年12月17日
3.申请号：201510938893.9
4.发明创造名称：以太网单向传输环
一、技术领域
5.本发明属计算机以太网(ethernet)中的数据传输(transmission)技术领域，特别涉及计算机网络与信息安全领域以及网络安全设备自身安全领域。
二、

背景技术：

6.以太网中，通信双方a和b之间的数据链路(link)由物理上的双工(duplex)通道组成，双工通道既可为全双工(full duplex)通道(如现在大量使用的两对双绞线和两芯光缆)，也可为半双工(half duplex)通道(如曾经大量使用的同轴电缆和单芯光缆)，一端发送另一端接收或反过来一端接收另一端发送，通信双方a和b之间具有双向通信(bidirectional communication)能力。
三、

技术实现要素：

7.如果将以太网的双工通道变为单工(simplex)通道，通信双方便不再具有双向通信能力，而只能具有从a到b或从b到a的单向通信能力。单向通信是一把双刃剑，一方面，单向通信具有极好的保密性，比如，它可使a(低密级计算机)中的信息传送到b(高密级计算机)中，但b(高密级计算机)中的信息无论如何都不会泄漏到a(低密级计算机)中；另一方面，其传输的单向性导致不可能存在反馈，因而在可靠性上不可避免地存在致命缺陷。现代以太网技术均是建立在双工通道上的，其上层通信也都是双向的，在此基础上人为形成的一些所谓“单向”通信或隔离均是逻辑的，而并非物理的。因此，当某些“宣称”进行单向通信或网络安全隔离的网络设备被攻破后，其传输的“单向”性或隔离的安全性就很难得到真正的保证。
8.如何实现绝对可信的单向传输及网络的安全隔离是本发明要解决的技术问题。绝对可信的单向通信或网络的安全隔离不能以上述逻辑的方式来实现。本发明以太网单向传输环是一种基于以太网单工通道组成的环形传输装置(以下简称传输环)，系将以太网中两个相反方向的单工通道(如电传输中的双绞线、光传输中的光缆或其光电转换环节中的pecl信号线)分开，在原有两个节点的基础上，增加n-2(n＞2)个节点，按照通道的传输方向，顺向相连，如附图1-4中虚线内的箭头方向所示，形成节点数为n、在节点处具有开口的环形结构。这样，在每个节点处，对内都是一个伪双工通道，对外又都是一个网络接口：节点的一侧为发送通道，发送的数据包来自环外，但数据包在环内能传到何处，取决于其它节点的状态；另一侧为接收通道，接收的数据包能从环中何处来，也取决于其它节点的状态，接收的数据包传向环外；这个接口对内不与环上另外任何一个接口形成明确的对端关系。选
取环上任意不相邻两节点a和b(如附图2、4)，若将其它节点处的开口环回，则在a、b之间就是一个通常意义下的全双工通道；若其它节点的环回是受控的，则在a、b之间就构成一个受控的“全双工”通道。在这种情况下，连接在传输环接口上的网络设备具有受控的通信能力，可用于制造网闸等网络安全设备。具体地说，连接于传输环的任何相邻两节点a和b的设备在环上其它节点没有环回的情况下，只具有单向通信能力(如附图1)；连接于传输环的任何不相邻两节点a和b的设备在环上其它节点没有环回的情况下，不具有通信能力(如附图2)。若将a、b分别划分为两侧，则处于一侧上的网络设备，在没有环上其它节点“配合”的情况下，不可能从另一侧被攻破。通过传输环相互连接形成的网络和通常意义下的网络具有完全不同的特性，既可实现网络的物理隔离(权利要求2、附图2：4节点，其中c、d节点悬空)，也可实现数据包的绝对可信单向传输(权利要求1、附图1：3节点，其中c节点悬空)，还可实现数据包的单向过滤和控制(权利要求3、附图3：3节点)，以及数据包的双向过滤和控制(权利要求3、附图4：4节点)。随着节点数增加，安全性也增加，控制也更加灵活。
四、附图说明
9.节点数为3和4的传输环及其衍生产品的典型应用图分别如附图1-4所示。其中，标有字母的实线小圆圈代表环上的节点及节点对外连接的接口，像附图1中c处那样不外接任何其它设备便自然形成一个物理开口，这样的物理开口能确保从b发来的数据包无法到达a，实现了a到b的绝对可信单向传输；由虚线包围形成的大圆环表示传输环本身，灰色矩形部分代表由传输环所构成的绝对可信单向传输装置、网络安全隔离装置，以及具有单向或双向过滤功能的网络安全设备，它们均对外提供、也只提供a、b两个接口。
10.图5是针对3节点开发出的实际产品照片，除面板上有两个标准的以太网口，分别对应节点a和b外，机箱内还有一个完全一样的网口对应节点c(悬空：为权利要求1；接过滤装置f：为权利要求3)；产品前面摆放的是产品内部用于形成本发明3节点传输环的印制电路板。
11.本说明书和附图均以3节点和4节点为例，但本发明申请实际包括更多节点的情形。
五、具体实施方式
12.具体实施方式见附图1-4，以这种方式连接所形成的交换方式和通常意义下的网络交换具有完全不同的特性，举例来说，以3光收发器组成的传输环可实现数据包的绝对单向传输及单向过滤和控制；以4光收发器组成的传输环可实现网络隔离和数据包的双向过滤和控制。
13.在3节点模式下，a接口接外部网络，可连接因特网；b接口接内部网络或直接接内部计算机；c接口接过滤装置f(图3)或悬空(图1)。当内部网络的计算机通过接口b向外部发送数据包时，所有的包都将被送到节点c，连接到接口c的过滤装置f将收到这些数据包，如果允许其通过，就采用向本节点发送同样的数据包来转发这些数据包，转发出去的数据包将到达外部节点a；c接口若悬空，则当内部网络的计算机通过接口b向外部发送数据包时，该数据包不会到达节点a，可确保内部网络不泄密。
14.在4节点模式下，a、b、c三接口的接法与3节点模式的接法相同，d接口接另一过滤
装置f2(图4)或悬空(图2)。在图4的场景下，除了可以对从内部网络到外部网络的数据包进行过滤外，还可对从外部网络到内部网络的数据包进行过滤。在图2的场景下，则实现了两个网络真正的、也是最安全的物理隔离。


技术特征：
1.一种基于以太网单工通道组成的环形传输装置，其特征是对外具有、也只具有两个接口a和b，a和b在传输装置内部位于一个节点数为n的以太网传输环的相邻节点上，包括a、b在内的每个节点都有用于向环发送和从环接收以太网数据的(对外)接口；除a、b两节点外接网络设备外，其它n-2个节点悬空，形成物理的而非逻辑的开口，物理地阻止数据包被环回；外接于a、b两侧的网络设备之间只具有单向通信能力，如附图1。2.一种基于以太网单工通道组成的环形传输装置，其特征是对外具有、也只具有两个接口a和b，a和b在传输装置内部位于一个节点数为n的以太网传输环的不相邻节点上，包括a、b在内的每个节点都有用于向环发送和从环接收以太网数据的(对外)接口；除a、b两节点外接网络设备外，其它n-2个节点悬空，形成物理的而非逻辑的开口，物理地阻止数据包被环回；外接于a、b两侧的网络设备之间不具有通信能力，如附图2。3.如权利要求1、权利要求2所述的传输装置，在传输装置内部将除a、b两节点之外的其它n-2个节点外接如附图3、4所示的过滤设备f、f1、f2等，对接收到的数据包作丢弃、转发、修改以及独立接收和发送等，形成具有单向或双向过滤功能的网络安全设备。

技术总结
本发明“以太网单向传输环”，是基于以太网单工通道构成的，属计算机网络安全技术领域。本发明采用以太网单工通道形成具有开口的环，构成伪双工通道，可组成受控的传输装置。连接于本发明的任何相邻两节点的设备在没有其它节点的配合下，只具有单向通信能力；连接于本发明的任何不相邻两节点的设备在没有其它节点的配合下，不具有通信能力。将此两节点分别划分为两侧，则处于一侧上的网络设备，在没有其它节点的配合下，不可能从另一侧被攻破。用本发明连接形成的网络和通常意义下的网络具有完全不同的特性，既可实现网络之间的安全隔离，也可实现数据包的绝对可信单向传输，还可实现数据包的单向过滤和控制以及数据包的双向过滤和控制。向过滤和控制。向过滤和控制。


技术研发人员：郭爱波
受保护的技术使用者：郭爱波
技术研发日：2015.12.17
技术公布日：2022/8/16