基于AT24C02和W27C512存储器实现网络卫士隔离卡的设计

引言

由于网络终端设备的大部分数据都存储在硬盘上，因此，数据安全的核心是硬盘数据的安全，其保护手段之一是物理隔离技术。本文设计的双硬盘网络卫士隔离卡用于将普通计算机分为安全环境（内网）和开放环境（外网），内网和外网使用不同的硬盘，并且连接到不同的网络，从而能够避免硬盘中的重要数据通过网络等方式泄露。一般的双网卡方案、多重引导卡或者多用户管理卡只是在逻辑层提供硬盘数据隔离，而网络卫士隔离卡的特点主要是在物理层提供硬盘数据隔离，确保更高的数据安全性。网络卫士隔离卡基于PCI总线，采用了先进的物理隔离技术，不仅能保证网络终端设备的信息安全，而且使用方便、可靠、高效。

总体设计方案

网络卫士隔离卡的工作原理是：利用PCI总线的扩展ROM机制，在隔离卡上嵌入扩展程序，开机后，扩展程序先取得控制权，出现选择内外网的图形界面。当扩展ROM接收到用户的选择后，通过I／O读取当前的网络状态，如果与选择的不匹配，则通过I／O端口向物理隔离模块发出切换选择，由继电器实现硬盘以及内外网的切换。如果匹配，则将控制权交给选中的硬盘引导程序，启动操作系统，进入相应的网络环境。

网络卫士隔离卡由三个模块组成，分别是PCI接口模块、物理隔离模块和网络连接控制模块，如图1所示。PCI接口模块由CH365和为其提供初始化配置信息的串行E2PROM以及存储器组成。作为PCI总线与本地总线之间的桥，该模块连接PCI卡的本地端逻辑到PCI总线上，并将PCI命令（例如读写某个寄存器、存储器、I／O端口）翻译到本地端。物理隔离模块主要由物理隔离电路（用高速CPLD实现）和分别连接计算机主板和硬盘的两个IDE接口组成。网络连接控制模块控制计算机网卡与Internet网线的连接状态，配合物理隔离模块对硬盘实施隔离。

硬件组成

PCI接口模块

在本设计中，PCI接口模块由南京沁恒公司的CH365和Atmel公司的E2PROM AT24C02以及华邦公司的W27C512存储器构成。CH365是一个连接：PCI总线的通用接口芯片，支持I／O端口映射、存储器映射、扩展ROM以及中断，可将基于32位PCI总线的从设备接口转换为主动并行接口：8位数据、16位地址、I／O读写、存储器读写。支持低电平有效的本地中断请求，支持中断共享。支持长度达240字节的I／O端口。支持本地硬件定址功能，自由选择I／O地址，并在指定地址实现I／O端口。不论在设计难度、开发周期、ISA移植，还是在价格上都有其自身优越性。通过CH1365在标准的PCI总线上获得扩展ROM发出的切换指令以及当前所处的网络环境，实现内外网络环境的判断和切换，达到两块硬盘的绝对隔离。实际电路中用到的引脚如图2所示。

电路中的W27C512是E2PROM芯片，用于存放扩展ROM程序。由于内外网络切换和锁定指令只需要两条I／O指令，加上启动选择界面等部分后，扩展ROM程序仍然很小，通常为8KB～64KB，所以可以使用27C5 12、27C256、27C128甚至27C64等ROM芯片。如果需要支持在线程序升级等附加功能，也可以使用闪存29C512、29C010或者29F010等。电路中的24C02芯片用于记忆用户的使用习惯，保存进入内网时的安全密码、扩展ROM。的启动模式、工作模式等，同时还保存了该设备的PIN码和用户可以修改的加解密信息。

物理隔离模块

物理隔离模块由物理隔离电路和3个IDE插槽组成。3个IDE插槽通过IDE数据线分别连接主板IDE插槽（简称IDE0）和两块硬盘的IDE接口（简称IDE 1和IDE2），隔离电路采用xilinx公司的CPLD芯片XC95 144，通过一个同步信号同时切换IDE接口的信号线，大大削弱了信号之间的干扰，性能更稳定。

网络连接控制模块

网络连接控制模块由继电器组（两个双刀双掷继电器）和三个以太网口构成。三个以太网口中的两个分别连接内网和外网，另一个通过网线连接网卡。虽然在100Base-T或10Base-T以太网中，只使用了以太网口的第1、2、3、6引脚（1、2发送数据，3、6接收数据），但是，本文采用通过4个继电器使以太网口的8条线全切的方式，既可用于低速网络，也能在千兆以太网中一展身手。网络连接如图3所示。由开关选择信号S的高低决定网卡与内网还是外网连通。

结语

物理隔离是一种理想的安全保护手段，可满足许多高保密单位对于机密信息的安全需求，诸如政府机关、军事机构、电信、金融、大型企业及科研院校等。本文设计实现的安全隔离卡采用物理隔离的设计思路，通过安装隔离卡和第二硬盘，把一台计算机虚拟为两台计算机，从而实现内、外网络间的绝对物理隔离，大大增强了计算机用户信息的安全性。

责任编辑：gt