[发明专利]一种适用于工控网络的单向传输内外网安全隔离网闸

权利要求书

1.一种适用于工控网络的单向传输内外网安全隔离网闸，其特征在于，包括外 网处理单元、数据摆渡单元、内网处理单元。所述外网处理单元、数据摆渡单元、 内网处理单元的单路完全独立，且三个单元之间采用自协议进行通讯；外网处理单 元与摆渡单元之间、内网处理单元与摆渡单元之间采用对应的通讯协议；外网处理 单元与摆渡单元之间、内网处理单元与摆渡单元之间的数据传递过程包括协议剥离、 校验、加密、解密、封装过程；

所述外网处理单元与外网连接，采集外网数据，通过身份认证后，还原成原始 数据，并重新封装成内部自由协议，通过构建内部自由协议通道传输给数据摆渡单 元；数据摆渡单元内部连接外网处理单元与内部处理单元，并通过逻辑电路和摆渡 单元CPU共同实现内外网隔离。

2.根据权利要求1所述的适用于工控网络的单向传输内外网安全隔离网闸，其 特征在于，所述外网处理单元包括身份可信认证模块、协议解封模块、数据校验模 块、自协议封包模块、数据包加密模块、数据包传输模块；外网处理单元接收数据 包后通过身份可信认证模块认后，被协议解封模块解封，经过数据校验模块的校验 后，被自协议封包模块按自有协议加封，并被数据包加密模块加密，最后通过数据 包传输模块传输给数据摆渡单元。

3.根据权利要求2所述的适用于工控网络的单向传输内外网安全隔离网闸，其 特征在于，所述身份可信认证模块包括IP认证、端口认证，只有经过所述身份可信 认证模块认证后的数据包才可以发送到所述协议解封模块进行数据包解封；所述数 据校验模块对工业协议数据进行解封并校验，剥离出原始数据后通过所述数据加密 模块进行加密；所述自协议封包模块将加密后的原始数据按自定义协议格式进行封 装，并通过所述数据包传输模块发往数据摆渡单元。

4.根据权利要求1所述的适用于工控网络的单向传输内外网安全隔离网闸，其 特征在于，所述数据摆渡单元包括身份认证模块、自协议解封模块、解密模块、数 据校验模块、自协议封包模块、加密模块、数据包传输模块；数据摆渡单元接收数 据包后通过身份可信认证模块认后，被协议解封模块解封，经过解密模块解密、数 据校验模块的校验后，被自协议封包模块按自有协议加封，并被数据包加密模块加 密，最后通过数据包传输模块传输给数据摆渡单元；

数据摆渡单元存在一个CPU、两个FIFO缓存和一个逻辑电路；CPU负责数据包 的认证、解密、解封、加密、封装、物理链路校准；从外网处理单元接收到数据包 以后，CPU首先对数据包进行身份认证，认证通过后对数据包按照自议格式进行解封， 解封后对解封出的数据进行解密，得到原始数据，写入FIFO缓存；逻辑电路负责切 断外网处理单元与摆渡单元CPU的连接，并与内网处理单元进行连接；此时摆渡单 元CPU读取FIFO缓存中的数据，进行加密、自协议封装，并通过自协议通道发送给 内网处理单元；内网处理单元接收到数据包后，进行身份认证，通过后对数据包进 行解封、加密、重新封装成标准协议格式数据包，通过网口发送给客户端。

5.根据权利要求4所述的适用于工控网络的单向传输内外网安全隔离网闸，其 特征在于，所述身份认证模块包括IP认证、端口认证，只有经过所述身份可信认证 模块认证后数据包才可以发送到所述自协议解封模块进行解封；所述解密模块将解 封后的数据进行解密得到原始数据；所述数据校验模块，将原始数据进行校验；所 述自协议封包模块将原始按自定义协议格式进行封装；所述加密将封装后的数据包 进行加密；所述数据包传输模块将加密后的数据包发往内网处理单元。

6.根据权利要求1所述的适用于工控网络的单向传输内外网安全隔离网闸，其 特征在于，所述内网处理模块包括身份认证模块、解密模块、自协议解封模块、数 据校验模块、TCP封包模块、数据包传输模块；内网处理单元接收数据包后通过身份 可信认证模块认后，被解密模块解密、协议解封模块解封，经过数据校验模块的校 验后，被TCP封包模块按TCP协议加封，最后通过数据包传输模块传输给数据摆渡 单元。

7.根据权利要求6所述的适用于工控网络的单向传输内外网安全隔离网闸，其 特征在于，所述身份认证模块包括IP认证、端口认证，只有经过所述身份可信认证 模块认证后数据包才可以发送到所述解密模块进行解密；所述自协议解封模块将解 密后的数据包解封，得到原始数据；所述数据校验模块将原始数据进行校验；所述 TCP封包模块将通过校验的数据进行封包，并通过所述数据包传输模块发出。