1 引言
Internet的迅猛發展使信息共享的程度進一步提高,因而信息安全的問題也日益突出,這時唯一的解決方法只能是主動解決信息安全和網絡安全問題。目前國內外采用最多的、最普遍的網絡安全措施是使用防火墻類軟件,但是防火墻類軟件本身存在兩大先天缺陷:其一是防火墻隔離的網絡還是基于TCP/IP協議來進行信息交換的,而TCP/IP 協議存在漏洞,它無法防止協議本身的漏洞;其二是防火墻的運行離不開操作系統,操作系統和防火墻軟件都存在漏洞,因而不能阻止由這些漏洞而引起的網絡安全問題[1]。因此,開發相應的應用系統是必要的。本文在對已有的防火墻技術及物理隔離技術進行分析的基礎上,提出了帶緩沖區的雙通道實時開關技術,通過該技術所設計出的網絡隔離器能滿足實時數據的傳輸,同時本文提出了一種物理隔離環境下數據安全轉發的技術構思,該方案使得網絡隔離器有很好的安全性能。
2 物理隔離技術原理
2.1 簡介
物理隔離是指內部網絡不得直接或間接地連接外部網絡即互聯網[2]。物理隔離技術通過中斷內部網絡與外部網絡的連接,不支持TCP/IP 協議,不依賴于操作系
統,解決了目前網絡安全存在的根本性問題,即由于操作系統漏洞和TCP/IP 協議漏洞所帶來的安全問題,有效地防止了惡意代碼、病毒以及網絡入侵的發生,滿足了網絡安全的機密性、完整性、可用性、可控性和可審查性要求。
2.2 物理隔離技術
目前,國內外普遍采用的物理隔離技術有: 單硬盤物理隔離卡和雙主板物理隔離技術。
2.2.1 單硬盤物理隔離卡
這種技術是將計算機的單個硬盤從物理層上分割為公共和安全兩個分區,每個分區各自安裝一套操作系統。在操作中,用戶工作在安全狀態和公共狀態兩個互相排斥的操作系統環境下,從而實現內外網的安全隔離。這種技術的缺點是不能傳輸實時數據。
2.2.2 雙主板物理隔離技術
兩塊主板之間通過非網絡方式的一個雙端口RAM進行數據的傳輸,雙端口RAM 分為兩個區,第一個區是內網客戶端向外網服務器單向傳輸數據的通道。第二個區是外網客戶端向內網服務器單向傳輸數據時的通道。在平時內外網是斷開的,雙端口RAM處于斷開狀態。當有數據要傳輸時,內外網才通過雙端口RAM 進行數據傳輸[3]。
3 網絡隔離器技術原理
目前網絡隔離器的實時開關實現方式主要有基于SCSI 的開關技術和基于總線的開關技術兩種。
基于總線的實時開關技術的網絡隔離器采用雙端口靜態存儲器(Dual Port SRAM)配合基于獨立的ARM的控制電路,雙端口各自通過開關與獨立的計算機主機連接,如圖1所示。ARM作為獨立的控制電路保證雙端口靜態存儲器的每一端口上存在一個開關,且兩個開關不能同時閉合即K1×K2=0。
基于SCSI 開關技術的網絡隔離器和圖1相似,只是數據通道換為SCSI 硬盤接口,而存儲介質使用的是SCSI 硬盤,控制單元使用專門設計的硬件電路板實現。
該系統的數據交換原理如下:以數據由外部網到內部網的傳遞為例,首先外部主機將由外部網接收到的數據進行TCP/IP 協議和應用協議的剝離,將其還原為原始數據,同時對數據進行完整性和安全性的審查;審查通過后,將安全的數據傳遞給交換設備,然后內部主機接收到這批數據,在對它們進行TCP/IP協議和應用協議的封裝后,把它們發送到內部網。反之亦然。
以內網接收電子郵件為例,當外網需要有數據到曙海嵌入式學院網的時候,外部的服務器立即發起對隔離設備的非TCP/IP 協議的數據連接,隔離設備將所有的協議剝離,將原始的數據寫入存儲介質。根據不同的應用,可能有必要對數據進行完整性和安全性檢查,如防病毒和惡意代碼等。
一旦數據完全寫入隔離設備的存儲介質,隔離設備立即中斷與外網的連接。轉而發起對內網的非TCP/IP 協議的數據連接。隔離設備將存儲介質內的數據推向內網。內網收到數據后,立即進行TCP/IP 的封裝和應用協議的封裝,并交給應用系統。
這個時候內網電子郵件系統就收到了外網的電子郵件系統通過隔離設備轉發的電子郵件。在控制臺收到完整的交換信號之后,隔離設備立即切斷隔離設備于內網的直接連接。
如果這時,內網有電子郵件要發出,隔離設備收到內網建立連接的請求之后,建立與內網之間的非TCP/IP 協議的數據連接。隔離設備剝離所有的TCP/IP 協議和應用協議,得到原始的數據,將數據寫入隔離設備的存儲介質。必要的話,對其進行防病毒處理和防惡意代碼檢查。然后中斷與內網的直接連接。控制臺收到信息處理完畢后,立即中斷隔離設備與外網的連接,恢復到完全隔離狀態。
每一次數據交換,隔離設備經歷了數據的接受,存儲和轉發三個過程。由于這些規則都是在內存和內核里完成的,因此速度上有保證,可以達到100%的總線處理能力[4]。
4 隔離硬件的設計
網絡隔離器中實現數據交換的過程是通過對隔離硬件上的存儲芯片的讀寫來完成的。存儲芯片作為內外網的數據交換存儲區,其訪問設計方案決定了網絡隔離器的數據交換速度。為了滿足數據交換速度的要求,采用了帶緩沖區的雙通道實時開關技術。
雙端口靜態存儲器劃分為兩個存儲區域A、B。
外部主機通過K1只能向A中寫入數據或從B中讀出數據,而內部主機通過K2 只能從A 中讀出數據或向B 中寫入數據,K1 和K2 的約束為K1a×K2c=0 且K1b×K2d=0。如此一來就將雙向數據通道變為了兩個單向的數據通道。這樣的設計使得在原有設計中內外部處理單元一方對隔離硬件進行讀寫操作,而另一方就無法訪問隔離硬件的情況有所改善,它允許雙方同時進入讀讀或寫寫的狀態。但是在這種結構中,存在著這樣的讀寫沖突問題,例如當外部主機通過K1 向A 寫入數據時,內部主機無法從A 中讀出數據,或者當內部主機從A 中讀出數據時,外部主機不能向A 寫入數據,對B 的操作也存在類似的情況。因此提出了帶緩沖區的雙通道實時開關技術。
圖2為帶緩沖區的雙通道實時開關技術原理圖
將A、B 存儲區域劃分為N 個相等的小塊存儲區ai、bi(1≤i≤N),K1 和K2 的約束為K1ai×K2ai=0且K1bi×K2bi=0。
這樣的改進使得當內外部主機中的一方對ai 或bi 進行訪問時,另一方仍可以對aj或bj(i≠j)進行訪問,減少了發生讀寫沖突的幾率,提高了數據通道的效率,從而實現了提高內部網絡和外部網絡間數據的交換速度的目的。
5 物理隔離環境下數據安全轉發方案的設計
物理隔離環境下數據安全轉發方案的設計目標是要在內外網隔離的前提下實現安全、動態、實時的數據交換。
數據存儲轉發的構架由外網處理單元、數據轉發區、內網處理單元、物理隔離模塊、通斷控制電路等功能部分組成。其中:
(1) 外網處理單元負責對外網數據的確定、采集工作,由內網用戶需求而定,例如指定訪問目標的網站等。
(2) 數據轉發區負責內外網數據的暫存、轉發工作。在數據交換的過程中,內網處理單元把數據導出到內網轉發區或者外網處理單元把數據導入到外網轉發區,而內網轉發區與外網轉發區是否有數據交換由隔離硬件根據用戶的轉發權限決定。用戶沒有數據轉發的權限時,外網轉發區與內網轉發區是完全隔斷的。
(3) 內網處理單元按照預先設定的安全策略對數據進行掃描分析、篩選過濾、病毒檢測等處理。來自于外網數據或發往外網的數據,如果違反既定安全規則就被阻止進出。
(4) 物理隔離硬件實現在物理傳導上使內外網絡隔斷,在物理上隔斷內部網與外部網。物理隔離硬件被設置在最低的物理層上,內外網的數據轉發由物理隔離硬件操縱通斷控制電路來執行,在同一時段內,物理隔離硬件只能接受來自內網處理單元或者外網處理單元轉發數據的請求,不能同時接收來自內網處理單元和外網處理單元轉發數據的請求,使內網轉發區和外網轉發區雙向進行數據轉發操作。而且它的失效只會影響內外網數據交換的性能,而不會影響內網的安全性。
(5) 通斷控制電路負責控制內網轉發區與外網轉發區的線路連接,同時控制對數據轉發區中的數據進行轉發或清除。通常,只有授予數據轉發權限的用戶和角色,在通過物理隔離硬件檢查后認定數據轉發權限與對象列表中的權限相符的情況下,通斷控制電路才會連通內外轉發區,并按其數據流向實施數據的轉發工作。
6 結束語
本文對雙通道實時開關技術進行了改進,提出了帶緩沖區的雙通道實時開關技術,通過該技術連接內網和外網,將內外網的雙向數據傳輸轉換為兩個單向數據傳輸,這極大的提高了內外網的數據傳輸速度;并且提出了物理隔離環境下數據傳輸的安全方案。因而從硬件和軟件上保證了內外網的安全隔離,提高了黑客等不法分子對網絡攻擊、泄密的防御水平,消除了大部分網絡安全隱患,對維護工業控制系統信息安全及系統安全運行起到了重要作用。
本文作者創新點:介紹了基于ARM的網絡隔離器的設計,該網絡隔離器的隔離硬件采用帶緩沖區的雙通道實時開關技術,極大地提高了內外網數據傳輸速度, 從硬件和軟件上保證了內外網的安全隔離, 對維護系統信息安全及系統安全運行起到了重要作用。
加好友 
發短信
Post By:2010-11-19 9:39:38
