基于嵌入式系統的隔離硬件設計

　　Internet的迅猛發展使信息共享的程度進一步提高，因而信息安全的問題也日益突出，這時唯一的解決方法只能是主動解決信息安全和網絡安全問題。目前國內外采用最多的、最普遍的網絡安全措施是使用防火墻類軟件，但是防火墻類軟件本身存在兩大先天缺陷：其一是防火墻隔離的網絡還是基于TCP/IP協議來進行信息交換的，而TCP/IP 協議存在漏洞，它無法防止協議本身的漏洞；其二是防火墻的運行離不開操作系統，操作系統和防火墻軟件都存在漏洞，因而不能阻止由這些漏洞而引起的網絡安全問題[1]。因此，開發相應的應用系統是必要的。本文在對已有的防火墻技術及物理隔離技術進行分析的基礎上，提出了帶緩沖區的雙通道實時開關技術，通過該技術所設計出的網絡隔離器能滿足實時數據的傳輸，同時本文提出了一種物理隔離環境下數據安全轉發的技術構思，該方案使得網絡隔離器有很好的安全性能。

　　2 物理隔離技術原理

　　2.1  簡介

　　物理隔離是指內部網絡不得直接或間接地連接外部網絡即互聯網[2]。物理隔離技術通過中斷內部網絡與外部網絡的連接，不支持TCP/IP 協議，不依賴于操作系 統，解決了目前網絡安全存在的根本性問題，即由于操作系統漏洞和TCP/IP 協議漏洞所帶來的安全問題，有效地防止了惡意代碼、病毒以及網絡入侵的發生，滿足了網絡安全的機密性、完整性、可用性、可控性和可審查性要求。

　　2.2  物理隔離技術

　　目前，國內外普遍采用的物理隔離技術有: 單硬盤物理隔離卡和雙主板物理隔離技術。

　　2.2.1  單硬盤物理隔離卡

　　這種技術是將計算機的單個硬盤從物理層上分割為公共和安全兩個分區，每個分區各自安裝一套操作系統。在操作中，用戶工作在安全狀態和公共狀態兩個互相排斥的操作系統環境下，從而實現內外網的安全隔離。這種技術的缺點是不能傳輸實時數據。

　　2.2.2  雙主板物理隔離技術

　　兩塊主板之間通過非網絡方式的一個雙端口RAM 進行數據的傳輸，雙端口RAM 分為兩個區，第一個區是內網客戶端向外網服務器單向傳輸數據的通道。第二個區是外網客戶端向內網服務器單向傳輸數據時的通道。在平時內外網是斷開的，雙端口RAM處于斷開狀態。當有數據要傳輸時，內外網才通過雙端口RAM 進行數據傳輸[3]。

　　3  網絡隔離器技術原理

　　目前網絡隔離器的實時開關實現方式主要有基于SCSI 的開關技術和基于總線的開關技術兩種。

　　基于總線的實時開關技術的網絡隔離器采用雙端口靜態存儲器（Dual Port SRAM）配合基于獨立的ARM的控制電路，雙端口各自通過開關與獨立的計算機主機連接,如圖1所示。ARM作為獨立的控制電路保證雙端口靜態存儲器的每一端口上存在一個開關，且兩個開關不能同時閉合即K1