网络安全物理隔离技术的研究
姓名:陈睿申请学位级别:硕士专业:控制理论与控制工程
指导教师:田忠和
20050426
摘 要
随着电子政务交换的安全
隔离网闸是一项企业级的物理隔离技术
本文介绍了物理隔离技术在网络环境中的应用
在
此基础上结合对第二代隔离技术的研究提出一种数据交换模型
如何保障涉密网络和非涉密网络之间信息
选用闪存作为系统的固态存储介质外主机间采用并行口
板间通信及内
工业单板机的嵌入式Linux经过裁减并满足对系统对外部接口的支持并通过软件实现系统的控制和切换功能统守护进程
系统维护程序等
本文中提到的桌面级
而新的技术由于带来性
能上
安全性上的提高必然会替代原先的技术
双主机工业单板机的系
本文最后在提出一种设计中的数据交换
模型的基础上讨论比较了几种数据交换方式
该方案基于第一代企业级物理隔离
技术
具有一定的创新
关键词
隔离网闸
Linux操作系统
I
Abstract
With the popularity of electronic government, electronic finance and so on, the problem that how to safeguard the information exchange between trusted and non-trusted networks, how to solve the contradiction between network opening and network security is urgent to be solved . Physical Isolation Gap is an enterprise-class isolation technology which these problems can be solved.
This paper will introduce the application of physical isolation technology in the network environment, introduce the design and implement of the first generation product under the background of the project first generation enterprise-class Air Gap. Then base on the research of second generation isolation technology, a data exchange model is proposed.
The hardware platform is an industry SBC with PC104 model, a switch and control center by single chip circuit (SCM), flash memory cards (CF card) as solid-state memory, SDRAM as system memory, parallel port and network interface as on-board data exchange and network connection between inner/outer hosts.
The function of embedded Linux-based SBC is implemented by software. The control programs on SCM and daemon programs, switch programs and system maintenance programs on SBC and so on are included in software design.
The isolation technology is developing continuously and the desktop-class and enterprise-class physical isolation technologies mentioned in this paper are all widely used. The new isolation technologies will displace the old ones for enhancements of performance, efficiency and security.
The innovation of the system consists in propose a new data-exchange model base on the solution of the first generation enterprise-class physical isolation. It can be consulted and popularized by homogeneous system.
Key word
Isolation Gap
Linux operation system
II
1 绪 论
安全专家认为
计算机犯罪等威胁日益严重力等领域
社会稳定
随着互联网上黑客病毒泛滥
在政府
电
1.1 电子政务特点及其系统安全需求
1.1.1 电子政务特点
电子政务是一国的各级政府机关或者是有关机构借助电子信息技术而进行的政务活动
以适应数字化社会的需求
部门之间通过计算机网络而进行的信息共享和实时通信
由于电子政务依赖于计算机和网络技术而存在就不可避免的与INTERNET打交道
涉及维护公共秩序和行政监管的准确实施电子政务是党委
必然会遇到各种敌对势力
人大
管理
捣乱分子的破坏和攻击包括政务内网
互联网的安全先天不足全隐患很多来很大的难度
的电子政务应用面临着严峻的挑战
包括网上黑客入侵和犯罪
息间谍的潜入和窃密
转变政府传统的集中管理
政府
电子政务的应用
而
自身缺少设防和安
大量的跨国网络犯罪给执法带
使基于互联网开展
信
内部人员的违规和违法操作
1
网络系统的脆弱和瘫痪对这种挑战
应引起足够警惕应
网络安全设计以各域的工
作特点为依据进行设计
是政府信息的集中存储与处理的域信息必须通过中间处理层才能获得是政府内部的电子办公环境
l 信息交换层(友邻
专网域进行交换
不与外网域有任何信息交换
政府部门公共信息的发布场所
该域与内网和专网物理隔离
一部分需要各部门交换的信息可以通过
它
在电子政务系统信息畅通的基础上
具体到技术层面
1. 内外网间安全的数据交换 电子政务应用中势必存在内网与专网数据保密性的考虑是设置安全岛
从而在内外网间实现安全的数据交换殊的过渡网络
专网和外网相交的边界位置
外网的一个特然而基于内网
解决该问题的有效方式
防火墙等安全措施以外
2
物理隔离断开防止外网中黑客利用漏洞等攻击手段进入内网
在其安全策略的控制下安全地进行内外网间的数据交换
它如同一个高速开关在内外网
间来回切换
在中转过程中
测
在进行这些检查时网络实际上处于断开状态
即使黑客强行攻击了隔离网闸黑客也无法进入内网
网
以隔离网闸技术为核心
加密
就可构成一个在物理隔离基础上实现安全数据交换的信息安全岛内网不会受到网络层的攻击
由于隔离网闸仅抽取数据交换进内处于物理隔离状态
隔离内容检
由于隔离网闸采用了独特的开关切换机制
网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网
只有经过认证的设备可以访问网络
这对于电子政务的网络安全而言同样十分重要
它本身不具备这种控制能力
可以采用基于802.1x带网络接入认证功能
的交换机来实现
从而控制网络的设备访问如Radius
802.1x协议使得电子政务网络处于中心可管理的状态
3. 标准可信时间源的获取
时间在电子政务安全应用上具有其特定的重要意义
政务信息传递过程中的时间标记又是防止网络欺诈行
为的重要指标键因素
上附加数字签名的方法来获得
时间也是政府各部门协同办公的参照物电子政务系电视台等)
统需要建立全系统可信这是保证电子政务系统不致出现混乱的关
3
4. 信息传递过程中的加密
电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面
电子政务系统涉及到部门与部门之间
文流转
信息传递过程中正被广泛采用
地区与地区间的公
应予以严格保密
在
基于IPsec的加密方式
IPSEC对应用系统透明且具有极强的安全性
就显得极有好处了IPsec有多种应用方式
它同时也易于部署和维护
因为所有的政务应用和安全措施
(包括防火墙
入侵检测等)都依赖操作系统提供底层支持
更危险的是
在操作系统安全方面
采用具有自主知识产权且源代码对政府公开的产品
及时发现问题
一是
硬件故障因此
并且最好是异地备份
计算机信息系统国际联网保密管理规定
不得直接或间接地与国际互联
网或其它公共信息网络相连接
也有基于不同层面的隔离防护技术
4
一主要病毒隔离成相对
内容等隔离[1]的反病毒和内容过滤技术
浏览器
局域网等成为最
防病毒和内容过滤软件可以将主机或网络
的安全区域
基于网络层隔离的防火墙技术[2]
随着网络的迅猛发展和普及
防火墙被称为网络安全防线中的第一道闸门
防火墙包括包过滤
TCP会话状态
漏洞扫描
管理等功能使安全防护作用最有效化基于物理链路层的物理隔离技术 物理隔离的思路源于逆向思维再尽力满足用户的应用盘拷贝实现网络间隔离
隔离服务器实现网络间文件交换拷贝等
仅局限于少量文件交换的小规模网络中被采用
但不能有效地阻止依靠磁盘拷贝传播的病毒
此外
1.2.2 物理隔离技术
传统物理隔离卡技术虽确保了网络的安全性往往会形成流通不畅的“孤岛”
以物理隔离为基础
换的困难
GAP源于英文的“Air Gap”
ʵÏÖ°²È«Êý¾Ý´«ÊäºÍ×ÊÔ´¹²ÏíµÄ¼¼Êõ
Ëü²ÉÓöÀÌصÄÓ²¼þÉè¼Æ
根据用户不同的需求
应用代理等基本结构
还可以跟踪
隔离
而是通过旁路监测侦听
如物理链路双机双网通过人工磁
½üÆÚ
解决了网络之间信息交
硬盘隔离卡
5
隔离集线器等能满足一般的对物理隔离的需求
又可以访问非涉密网络
单向和双向物理
隔离网闸既能够保障涉密网络和非涉密网络之间数据交换的安全又可以很方便的实现单向/双向的数据交换
物理隔离网闸应用在下面的5种场合环境中1
局域网与互联网之间
特别是政府办公网络
在物理上断开
办公网与业务网之间
例如
为了提高工作效率
为解决业务网络的安全
实现两类网络的物理隔离
4
有时需要与互联网
孤岛
在电子政务系统建设中要求政府内网与外网之间用逻辑隔离
现常用的方法是用物理隔离网闸来实现
5
电子商务网络一边连接着业务网络服务器为了保障业务网络服务器的安全
1.3 桌面级物理隔离技术
1.3.1 硬盘隔离卡
物理安全隔离卡
是物理隔离的低级实现形式
甚至只能在Windows环境下工作
物理安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑
既可在安全状态
两个状态是完全隔离的
6
使一台工作站可在完全安全状态下联结内PC中最低的物理层上
外网的连接均须通过网络安全隔离卡IDE总线物理层上
物理安全隔离卡实际是被设置在
另一边连接IDE硬盘
在
在任何时候
图1.1 网络安全隔离卡
在安全状态时
联接是断开的
可以与外部网联结
区也是被封闭的
而此时外部网在公共状态时
且硬盘安全
如图1.2
¿¨ÅäºÏʹÓÃ
HUB
ËüÓëÍøÂ簲ȫ¸ôÀë
Èë¿ÚÓëÍøÂ簲ȫ¸ôÀ뿨ÏàÁ¬
Ëü¼ì²âÍøÂ簲ȫ¸ôÀ뿨·¢³öµÄÌØÊâÐźÅ
×Ô¶¯½«ÆäÍøÂçÏßÇл»ÖÁÏàÓ¦µÄÍøÂçHUB上
进一步提高了系统的安全性
可以让连接两个网络的安全计算机只通过一条网络线即可
与多网切换连接
7
图1.2 物理隔离集线器
1.4 企业级物理隔离技术
物理隔离网闸
是使用带有多种控制功能的固态开关读写介质连接两
个独立主机系统的信息安全设备
不存在通信的物理连接据协议的信息包转发和“写”两个命令
物理隔离网闸从物理上隔离
无法破坏
物理隔
信息传输命令
不存在依
且对固态存储介质只有“读”
使“黑客”无法入侵
离网闸中断了两个网络之间的直接连接
网闸从网络层的第七层将数据还原为原始数据
没有包IP over USB
这同透明桥
Óб¾ÖʵÄÇø±ð
图1.3 物理隔离网闸
1.4.1 单/双向物理隔离
物理隔离网闸可以提供双向的数据交换
文件服务甚至电子邮件和FTP连接
8
数据库数据
单向的物理隔离网络只允许数据的单向流动
这种方式在某些对安全性有更高要求的部门有需求
目前常见的数据交换方式主
要有两类[5][6][7]
µÚÒ»´úÎïÀí¸ôÀë¼¼Êõ
µÚ¶þ´úÎïÀí¸ôÀë¼¼Êõ°Ú¶É
ÎïÀí¸ôÀëÐèÇóÈÎ
¼«¿ìµÄ½»»»ËÙ¶È
ÄÜÂú×ã»ù±¾µÄ
ijЩʵʱÐÔÒªÇó½Ï¸ßµÄÓ¦ÓþͲ»ÄÜʤ
ÒÔרÓõĴ«ÊäÐ-ÒéºÍ×ÜÏß´ïµ½
1
²ÎÓëÑÐÖƵĵ¥Î»²»¶à
²úÆ·µÄÐÔÄÜÖ¸±ê
¼¼Êõˮƽ´¦ÓÚµÚÒ»´ú
ͨ¹ýÁ˹«°²²¿¼ÆËã»úÐÅϢϵͳ°²È«²úÆ·ÖÊÁ¿¼ìÑéÖÐÐļì²â
其中
由于物理隔离网闸处于涉密网与非涉密网的网关的特殊位置安全的最后一道防线
有些有外资背景公司的产品销售不能不受影响
住脚的产品是极为有限的几种
2
Spearhead公司的NetGAP等
又是网络
在市场上能站
航天
9
表1.1 公安部发放销售许可证的物理隔离网闸产品情况表 单位
北京京泰网络科技有限公司 北京盖特佳信息安全技术有限公司 北京大唐永创科技发展有限公司 北京天行网安信息技术有限公司 北京天行网安信息技术有限公司 联想控股有限公司
证书号码
有效期
产品名称
XKC30146 20030704 京泰网络物理隔离系统
BHLNET 1.0
XKC30242 20040611 网闸动态实时网络隔离系
统V1.0 XKC30253 20040715 网络隔离系统SafeDoor 1000
XKC30268 20040826 安全隔离网闸 M-1000型 XKC30269 20040826 安全隔离网WD-1000型 XKC30361 20050307 联想网御安全隔离网闸
网御SIS-3000
¸Ã²úƷͨ¹ý¸ôÀë·þÎñÆ÷
¸ôÀ뿪¹Ø
Ëü¼¯³ÉÁ˼ÓÃܼ¼Êõ
PKI
¹æÔò¹ýÂË空气隔离
Spearhead公司的NetGAP直接连接两个网络
每一个安全电路板包含一对双开关结
构
内网需要经历会话终止
确保内网的安全性
NetGAP还提供了入侵监测
编码
数据包从外网传至传输恢复
10
2 系统规划
2.1 系统总体概况
为适应政府办公中对网络安全越来越高的要求而开发的
管理平台
以闪存介质为固态存储介质
在工业单板机上采用自行裁减的Linux作为工业单板机的操作系统
运行在以工业单板机为硬件平台的内网处理机上
本系统的主要特点有
产品
物理隔离网闸管理系统
任务配置
l 在暂存区切换上设计了双硬盘的
方案
状态切换
l 工业单板机采用闪存介质CF卡作为存放操作系统和系统应用程序的固态存
储
能最简到刚好满足系统的安全
闪存介质和IDE设备的的管理
便于系统的扩张
同时增大了机箱内的空间
l 系统安全性既由空气隔离技术的支持也由安全加固的操作系统中内嵌的
LIDS
·À»ðǽµÈ×ۺϷÀ»¤
ϵͳµÄÎȶ¨ÐÔÓÉ¿ØÖÆ°å¿´ÃŹ·¼à¿Ø
l 系统提供了SQL Server和Oracle数据库模块和文件交换模块
11
图2.1是本系统在某政府的人口管理系统中的网闸实施图
块
一
l 二
一次切换的最大数据容量
双摆渡
提供数据库
>300次/s
<90s
邮件模
12
l 系统复位状态恢复 三
任意一个时刻
某个暂存区只挂接在内/外处理机中的一方同时与内外处理机同时挂接
不由与外网相连的外处理机所控制
软件及固件的安全性
l 具有电源故障保护和自动重新启动的功能
l 有自检能力
某时刻某暂存区
l 系统中任何地方单个元件的故障都不会造成系统的误动作
可扩展性
l 工业单板机采用内存作为数据交换的快速临时存储介质
相应的硬盘上的切换分区容量也可扩大
有效利用了机箱内空间扩展系统硬件电路
系统内核经过重新编译后可支持新的文件系统或硬件
可从内网安全地访问网闸
管理页面维护系统的运行开发平台移植到运行平台
可很方便的在
支持MS SQL Server和Oracle数据库
两者的数据库类型可以相同也
可以不同l 提供文件交换模块
13
或Unix主机进行文件交换
操作系统内置防火墙
l 内网的管理员通过身份验证可以在内网中通过浏览器访问网闸管理页面
维护系统运行
日志维护等操作
摆渡
14
3 第一代空气隔离系统
3.1 系统概述
3.1.1 系统模型
第一代网闸[9][10][11]的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的
安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和
增强应用层安全的效果
控制电路和数据暂存区组成
104模块的工业单板机也可以是一个具有
共同工业底板的两块CPU卡等等加固的嵌入式操作系统
内/外处理机只允许其中的一方可以访问暂存区正是控制这个切换流程
摆渡双主机
分别具有独立的安全使得在同一个时刻
而控制电路
而内/外处理机对暂存区进行
的纯数据的读写正是有别于安全隔离设备的具有协议的数据传输
控制电路外网服务器外处理机 内处理机物理隔离设备
图3.1 物理隔离网闸结构示意图
15
3.1.2 同类产品
国内是近三年开始研究物理隔离技术
主要有
网闸
天行安全隔离
l 联想网御SIS-3000系列安全隔离网闸
联想网御SIS-3000系列安全隔离网闸作为网络链路层物理隔离设备
联想网御SIS-3000具有高速电子开关和专有协议通过领先的信息摆渡机制
多种安全技术
自主的嵌入式安全操作系统
包括文件交换
l 天行安全隔离网闸
使用高速安全隔离电子开关
支持采用
Topwalk-GAP能够实现隔离网络间异构数据库交换
是其他应用模块的安全平台
文件交换模块提供网络间
的基于文件形式的可控方向的安全文件传输
为彼此隔离的网络上层程序提供快速可靠的消息传送
X-Gap
离断开和数据交换的难题
能够较好的解决隔
通信连接
在保证两个网络完全断开和协议中止的情况下没有任何包
¸ß´ø¿í
技术, 背板速率高达5G³ý´ËÖ®ÍâÀí
在用户要求进行物理隔离
包括UDP和ICMP
¸ß¿ÉÓÃÐÔµÄÓŵã
ÓÉÓÚ²ÉÓÃÁËSCSI
³¹µ×½â¾öÁËËÙ¶ÈÂý
Ðγɼòµ¥µÄ¿ª¹ØÔ-
解决物理隔离和信息
16
交流的问题时
证不会有相互入侵的安全问题
又保
控制电路
其中内外处理机为了减小系统尺寸
控制电路为了能自发地控制内外处理机的切换动作采用使用单片机的电路板
暂存区考虑到
切换速度和使用寿命采用固态存储介质3.2.1 工业单板机
如图3.2所示是选用的基于PC104模块的工业单板机[12][13]
图3.2 104-1541CLDN工业单板机
l 集成度高
在一块主板上集成了LAN等接口
l 体积小
尺寸只有90mm
AUDIOUSBCOM
17
l 功耗低
采用了低功耗的CPUl 宽温工作
在环境为-20~+70C的温度下 l 采用工业级芯片
大大减低故障率和元器件失效率 l 抗震性好 采用板贴CPU技术了CompactFlash等电子盘的抗震性和可靠性
l CPU
支持最大256M
l 并口
Realtek 8139C 10/100Mb
l IDE
以上配置刚好可以满足系统需要成
结构
系统采用PC104模块[14]的单板机可以便于系统升级扩展
如图3.3所示
1个支持Master/Slave模式的IDE接口
构如采用
也在很大程度上提高了系统
¿ÉÎÞ·çÉȹ¤×÷
18
3.2.2 存储设备
内外处理机采用的单板机可以使用CF卡
l 抗震性好
读写数据非机械硬盘的磁头转动
作为硬盘
可反复擦写1000000次以上
l 体积小l 能耗小l 廉价
由于选用的这款单板机只有两个IDE通道
可以挂接普通机械硬盘
另一个
可以减小系统尺寸
比起传统机械硬盘能耗可以忽略不计
内外处理机就必须采用CF卡作为其硬盘
根据系统软件平台的要求64MB
系统的暂存区部分是内外处理机之间数据交换的暂存设备CF虽然具有上述众多优点
所以系统还是采用了普通的机械硬盘
双摆渡
有两个
外处理机
同时在工作
并且要求有相同的硬件参数和机械参数
图3.4 CF卡
3.2.3 单片机
系统的控制中心是一块单片机系统
选择此款单片机基
19
于以下原因
用于切换内外处理机与相应的暂
存区的数据交换等
l 32 Programmable I/O Lines
有足够的I/O线可以设计来与内外处理机进行控制信号的并口通信 l Three 16-bit Timer/Counters 有足够的定时器触发控制内部中断等 l Watchdog Timer 用于系统异常复位
图3.5是此款单片机的管脚图l P0.0
P2.3 控制中心与外处理机的控制信号的并口通信
l P1.0
SPP
数据由计算机单向输出
数据输入只能利用状态线
模式即标准并口模式
要做
所以每个字节要分两次输入
20
拼装为一个完整的字节
如打印机
对硬件的要求不高
如图3.6所示是并口引脚图
即只能由单片机给单板机
发送信号
则并口只有状态寄存器可以接收控制信号
而内处理机和控制中心单片机之间是双向通信数据寄存器发送控制信号
l 控制信号通过若干条与并口相连的信号线可以组合成若干种控制指令
而不用串行地读取后再解析
l 并口的某些位
是只读的
即外处理机只可以接受来自控制中心的控制信号
而不能向控制中心发送控制信号
1
°Ú¶É
ÄÚÍâ´¦Àí»úûÓÐÈκÎÖ±½ÓÁªÏµ
ÄÚÍâÁ½¿éµ¥°å»úͨ¹ý²¢¿Ú¼àÌý¿ØÖÆ°å·¢³öµÄ¿ØÖÆ
ÐźÅÀ´´¦ÀíÔÝ´æÇøµÄ¹Ò½Ó
Êý¾ÝµÄ´«ÊäµÈ
Ë«°Ú¶É
Çл»Ð§ÂʵÍÀí»úÏÐÖÃ
´«Í³µÄµ¥ÐÎʽ
¶øͬʱÁíÒ»¸ö´¦
Ϊ½â¾öÕâ¸öÎÊÌâÎÒÃÇÉè¼ÆÁËÒ»ÖÖË«Ó²ÅÌ
21
电路的的方式
图3.7是的原理图
l 标准IDE接口的某些IO和地址线通过CD4016模拟电子开关控制断合
两个暂存区共4个IDE接口
下方两个IDE接口分别属于两个暂存区硬盘
由电子开关
控制
而且在某个暂存区硬盘同边的线路被接通后
由非门控制并列的电子开关切断相邻的线路
控制信号由单片机发出
这样的
结构可以使得系统全部利用起来在下一个流程两个暂存区切换
图3.7
LAN切换
Ô-Àíͼ
为保障系统安全
需要在控制中心在适当的时候切断内外处理机与内外网的
22
网络连接采用74HC244数字电子开关可以很好地实现
普通的Linux[15][16][17]过于庞大
嵌入式操作系统又不能很方便地兼容从宿
主机平台移植[18][19][20]过来的应用程序Linux的体积使之刚好可以满足系统的要求
内核环境[21][22][23]
本系统裁减选用的内核是Kernel 2.4.20
我们需要裁减普通的
ÕâÑùϵͳ½«ÔÚÄÚºËÌṩÈëÇÖ¼ì²âÄ£
¿éÖ§³Ö
ÎļþϵͳÍø¿Ú
ǽºÍһЩÍøÂç¹¥»÷µÄ±£»¤
Íê³ÉÕâЩÅäÖúó
ÒÔ¼°ÄÚºËÄÚÖõķÀ»ð
软件运行环境[24][25][26] a. busybox的用户管理等
使用busybox可以实现一些用户管理和安装最基本的系统命令
23
需要修改了busybox的配置后统的命令
获得能满足系统需求的最小的系
编译安装后提供操作系统日志管理
因此都需要C函数包
因此内网处理机还需要安装Java运行环境
而JDK需要裁减
3.3.2 系统安全平台
系统安全平台[28][29][30]是上述的操作系统平台建立之后它包括以下方面
还需导入LIDS[31]必须的几个函数库
对系统最小授权b. 防火墙和病毒防护 系统内核提供防火墙支持
采用最小授权原则
在系统数据交换过程中需要病毒防护程
序的病毒查杀
本系统提供两种模块
邮件交换模块等可以通过
将来增加到系统
系统体系结构实现的模块可以
其上采用裁减的Linux
24
程序运行环境文件交换模块以及守护进程
控制中心是采用AT89S52的单片机系统
本系统软件开发环境主要有
集成开发环境
后移植到单板机上调试
开发机也采用Linux
l 开发单片机程序C程序的集成开发环境Keil
然
¿ÉÒÔÔÚÓ뱾ϵͳÏàÁ¬µÄÄÚÍâÍø·þ
ÎñÆ÷µÄÊý¾Ý¿âÖ®¼ä½øÐÐÊý¾Ý½»»»
l Oracle
l Microsoft Sql Server
能外网服务器上的数据库之间能够进行数据交换必须满足以下条件
需要交换的字段的字段名
l 需要内网管理员通过系统维护程序定义数据交换的任务 l 内外网服务器的数据库类型是目前支持的类型 该模块采用Java开发是由于开发人员的要求还有相较于C
»¹ÓбãÓÚ´ÓËÞÖ÷»úÏòÔËÐл·¾³ÒÆÖ²µÄÔ-Òò
l ConnectOut.java 根据配置文件里的配置来连接外网数据库
l PartportReader.java 读并口状态
l Data_R.java 主程序l Data_W.java 主程序
要一致
25
l Update_1_0.java 将数据库里的为1的控制字段update成0 数据库交换模块的配置是相对比较复杂的
系统可以定义多条数据库交换任务
也可以是同一种类型3.4.2 文件交换模块
文件交换模块是可以在内外网服务器之间交换文件
内外网处理机主动发起 SAMBA客户端请求
摆渡
所有操作都由网闸发起
它控制着系统启动至系统停止间所有系统
程序的调用和负责与控制中心的控制信号通信
本系统守护进程在开发机Linux环境下用C开发l 系统初始化
l 监听来自控制中心的控制信号
还可以向控制中心发出控制信号l 参与系统运行
信号动作2
以下是控制信号的定义清理暂存区
内处理机
随时根据接收到的
26
#define SIG_R_0000 #define SIG_R_0011 #define SIG_R_0101 #define SIG_R_0110 #define SIG_R_1001 #define SIG_R_1010 #define SIG_R_1100
0x00 0x18 0x28 0x30 0x48
//NULL command //do init command //sync Rule request //o2i command //i2o command
//shutdown system command //may NOT write command
o2i
外处理
Listen守护进程
0x50 0x60
由于本系统是可以双向数据交换指从外网向内网的数据交换
系统启动后自动运行Daemon进程机调用Daemon_O守护进程
l Daemon_I 执行系统初始化
监听到关机信号后向Daemon_I/Daemon_O发送
关机指令
守护进程流程框图
图3.8 do init过程
图3.9 o2i过程
27
图3.10 i2o过程
图3.11 sync RULE过程
图3.8~3.11是系统启动后由内网发起的初始化过程
<外>指外处理机
内网处理机根据由管理界面设置的参数进行任务的选择
每一个过程都是一条任务在图中表示为态打开网口
字的方框
每次任务结束
空状则首先
系统初始化完成后将由
o2i过程
然后关闭外网网口
其上的核心部分就是AT89S52单片机
l 监听按键中断
如开启/停止系统
等待暂存区切换等指令
28
l 看门狗保护控制中心稳定运行 程序主要有如下部分构成1
包含89S52芯片的关键信息
l AT89X52.h
Æ÷¼þµÄÏêϸÐÅÏ¢
里面是整个项目中所有不同的端口访问特性
2
l Main.c:主流程
Õâ¸öÎļþÊÇÓɱàÒëÆ÷³§ÉÌÌṩµÄ
SFR
»¹ÓÐÖîÈç´ËÀàµÄÆäËûƬÉÏ
l Switch_Wait.c:读开关输入3.4.5 系统维护程序
内处理机上提供了可供内网管理员管理维护系统运行的系统维护程序
图3.12是内网管理员登陆后的主界面
包括内外网数据库的一些设置
还有目前定义的几条数据库交换任务
l 数据库配置
设置系统运行时的一些参数
l 任务配置
查看或改变系统运行状态
29
图3.12 系统维护程序主界面
l 用户管理
查看系统当前的日志
规则表的设置等
3.5 改进方案
以上是项目物理隔离网闸的介绍键和特色在于
模型和非常影响系统整体性能
结构
在进一步系统的关
研究了反射内存等快速的数据交换技术后我设计了一种数据交换部分采用常见的SDRAM[35][36][37]的方案
30
介质的简便易实施的特点
据的交换就更需要我们采用一种廉价的存储介质
从技术角度上讲
如内/外网数据库数
利用一个单一的系统时钟
同步所有的地址数据和控制信号计
PC104基本上是一个ISA总线的变型小90mm击性能好应用产品
这种结构紧凑的工业单板机可以降低功耗
通过我们设计的控制电路
模块对原有系统进行扩展时刷新
约定也采用PC104由刷新电路对其定
多个模块通过针与孔结构堆叠而成
模块尺寸很
抗冲还能简化设
由于SDRAM需要时钟进行定时刷新[38][39][40]
PC104特别适合于客户自行开发特殊
结构图的核心部分是切换电路
正因为这里内/外处理机分别持有一个SDRAM
这样内/外处理机的任何一方在向
SDRAM读写数据时不需要等待
双摆渡
SDRAM中的数据的组织形式可以以文件系统的形式也可以以纯粹的地址的形式被访问之上
一次数据的
可以容纳很大的容量如32M
ÐÅÈκͷÇÐÅÈÎÍøÂç
通过相应的设备驱动可以将其挂载到操作系统
´ËÍâÄÚ/外处理机和SDRAM之间的数据传输可以达到很高的总线
速度
方案在需要高速切换的应用
但这并不是物理隔离设备的主要应用
31
外处理机PC104总线内处理机PC104总线CTRLADDRDATACTRLADDR刷新电路DATA刷新电路切换电路CTRLDATAADDRCTRLADDRDATALEFT SDRAMRIGHT SDRAM 图3.13 方案结构图
3.6 小结
无论上面详细讲述的项目物理隔离网闸还是改进方案中对数据交换部分的新的设计归根到底都属于
技术
这种方案简单
但仍然在
硬盘或者SDRAM
效率上不能有很好的提高术能一定程度上解决这些问题上面提到的这些问题
后面将要提到的专用交换通道技
新的技术一定能解决
32
4 第二代专用交换通道系统
4.1 系统概述
4.1.1 通道控制技术
所谓通道控制技术是指用硬件的手段将进数据通道和出数据通道分开
通道控制做到了进出信息的分开处理可以做到信息检查的完备性
因此安全性和保密性也比传统安全手段高出许多
传统网闸技术
影响用户使用
造成隐信息传送的可能国家认可的涉密内容检查机
制
网的信息交互
统采用特有的通道模式
能在瞬时内完成内外而且安全隔离交换系
从根本上杜绝泄密的可能
尤其是国保金泰安全隔离与信息交换系统上也集成了国家认可
的涉密内容检查机制
仅通过硬件进行内外网间的安全隔离是不够的所以在交换数据的过程中如何做到信息检查
传统的安全防护手段
就无法做到信息内容检查和内容审计
特别是国保金泰公司的安全隔离产品
使安全隔离产品具有更好的实用性和保密性
创造性地利用全新理念的
专用交换通道PET
技术
有效地克服了第一代网闸的弊端
33
安全数据交换过程是通过专用硬件通信卡
虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的
专用高速硬件通信卡
并且由于其采用的是
达到第一代网闸的几十倍之多
完整性
和可信性
4.1.2 系统模型
第二代专用交换通道系统与第一代空气隔离系统最大的区别在于采用了专用的高速通道和专有的传输协议取代了空气隔离系统中的
结构
提供更好的处理性能
图4.1 专用交换通道系统模型
系统有以下部分组成
类似于空气隔离系统的
l 通道访问硬件
将数据放到通道上
可以细分为专用数据通道和指令通道
结构
可以无干预地
34
输协议和专用指令传输协议
也可以合二为一采用一个通道和一种专用协议
建立在通道中间
的URL和内容的关键字过滤Java Applet等脚本和小程序的过滤
其中最关键的在于专用高速交换通道l 反射内存 l Direct I/O 4.1.3 同类产品
采用第二代专用交换通道技术[41][42][43]的物理隔离产品目前相对较少
l 伟思物理隔离网闸copgap200
伟思网闸CopGap是两个嵌入式单板计算机和安全电路板组成
通过安全电路板把两个嵌入式单板计
算机连接在一起含独有高速LVDS总线
它包
超过了1G位/秒具有极高的安全性使得可信和不可
信网络在CopGap上物理链路隔断和协议隔离过先进的GAP反射系统路
保证内外网络可控
可以打乱原裸数据的格式
执行
通
利用独立的硬件逻辑电
安全的数据交换
使恶意代码在传输过程中无法
安全决策体系位于内部可信安全服务器端
可以保证安全决策体系的完整性和安全决策体系决策过
程的完整性
它采用协议终止技术
抵御基于操作系统漏洞的攻击
如支持HTTPVBScript
35
击行内容审查
拒绝服务攻击
具有审计功能
身份认证和访问控制功能
DDOS 对数据进
CA双重
代理功能
l 盖特佳网杰安全隔离与信息交换系统
盖特佳网杰安全隔离与信息交换系统通过专用物理通道
彻底阻断了网络间的直接TCP/IP 连接
内容过滤
据交换的安全可控
盖特佳物理隔离网闸采用全透明工作模式操作系统的已知及未知漏洞攻击层数据提取技术优化的安全操作系统址
管理控制台完全独立于内外部网络
细的安全访问控制功能
支持HTTP
MAIL等标准网络协议
审计和报警支持主机
内容从而保证了网间数
防范针对使用应用
它采用内外处理单元均采用内外部网卡均没有网络地 网卡仅监听数据
精
支持HTTP的URL和内容的关键字过滤
内置高性能安全过滤引擎
出攻击
缓冲区溢
4.2 专用交换通道技术
4.2.1 反射内存
反射内存[44][45]允许联网的计算机系统能够共享数据
内外处理机可以通过扩展专用的PCI适
配器实现反射内存
该总线是一个内
36
存至内存的计算机系统互连
由任何一个CPU执行的
一个节点的写入操作作为本地写
入操作的直接负作用\"反射\"到其它节点
LVDS
纪90年代才出现的一种数据传输和接口技术的核心是采用极低的电压摆幅高速差动传输数据
具有低功耗
也可以是平衡电缆
高的系统中得到了越来越广泛的应用
低串扰和低辐射等特点
低抖动及共模特性要求较
流行的LVDS技术规范有两个标准
ÊÇ20世这种技术
37
l Direct I/O 可以为16位及32位程序提供访问I/O端口以及内存I/O映射 l I/O访问非常迅速
38
5 总结
5.1 应用前景及展望
企业级物理隔离技术的应用前景十分广阔
公安
业用户
证券等对信息安全强度要求非常高的行对更高等级的信息安全技术有着强烈的需求企事业单位和社会公众的
该系统通过机关内部处理流程模拟
议来实现政务安全性有很高的要求的高度安全性隔离技术以前
和时效性都不能得到保证
只需对数
据交换系统进行简单配置便可使用下三点
电子政务能够做到以
提供政府与社会的信息沟通渠道保障信息安全
保障业务信息的有序共享和互不干扰应运而生
信任和非信任端
许多物理隔离的应用邮件和网络包的交换等
投诉和建
电子政务的各个环节都对既需要保证审批数据库
在采用企业级物理
安全性
文中的方案都可以不作硬件上的改动而只需在软件模块和单片机
上做相应的调整
但是并不能取代现有的防火墙
VPN等主流安全技术能构建出安全强度更高
安全风险更低的安全网络
或在互不信任的网络之间安
才
39
全地进行数据交换
5.2 本文的贡献和创新之处
1. 本文对物理隔离技术进行了综述
有利于读者从深度上和广度上认识物理隔离应用
分析了
物理隔离技术如何在电子政务中应用的应用模型
3. 本文基于实际的项目背景
出的方案经过了大量的实验能满足项目的需求
以及在项目完成后的进一步研究后提出了改进方案对今后同类项目的
研究会有一定的启示
文中提
在理论上可以提高系统整
体的性能
2. 目前项目中的系统控制电路以固定的切换周期控制系统运行
是否将来可以考虑以某种内外处理机的固定的硬件特性来决定切换时序
这里还有很多问题需要研究
摆渡
需要在内外处
理机上分别增加LVDS的通信部件并需要内外处理机及控制中心提供相应的控制逻辑
4. 本系统目前只提供了数据库模块和文件模块
都需要进一步对系统扩充
则系统初步具有了第二代专用交换通道的特性
40
结 束 语
本文是作者在硕士研究生阶段参与的物理隔离网闸的课题项目的设计方案和具体实现的总结
在物理隔离网闸系统开发的初期阶段
网络安全
的当前发展状况
准确了解了物理隔离技术
然后对当前的物理
隔离技术分类比较
线器和企业级物理隔离技术中的单向
第二部分根据本项目的具体的要求
并阐述了本方案的技术指标
第三部分根据项目的方案的设计
软件设计以及改进方案
介绍了具有更高性能
二代专用交换通道系统的物理隔离技术
加之作者理论和实际水平有限
还请各位老师和专家批评和指正
安全性的第
物理隔离集
41
致 谢
本文是在我的导师田忠和教授悉心的指导下完成的在学习和生活上一直受到田老师无微不至的关怀责任心
让我受益匪浅在过去的三年中ÕÔÑà
²»¿ª´ó¼ÒµÄ½ôÃÜÐ-×÷ºÍÏ໥֧³Ö
ÎÒÉîÉîµØ¸Ð¼¤ÉúÎÒÑøÎÒ
ÕýÊÇÓÐËûÃǵÄ×»×»½Ì»åºÍÎÞ˽µÄ°®
ÎÒ½÷ÒÔ´ËÎÄÖÔÐĵØÏ׸øËûÃÇ
本人谨向田老师表示衷心的感谢和崇高的敬意!
我要感谢陈虎(博士)
Ф÷高度的
ÎҵĿÆÑпÎÌâºÍÂÛÎĵÄ˳ÀûÍê³ÉÀë
42
参考文献
[1]
张蒲生.物理隔离环境下数据安全转发的技术构思.计算机应用研究,2002,(1):28
ϵͳ³ÌÐòÉè¼Æƪ.北京: 电子工业出版社,2001.80~123
43
[19] Uresh Vahalia.UNIX高级教程系统技术内幕.北京: 清华大学出版
社,1999.220~276
[20] W.Richard Stevens.UNIX网络编程.北京: 清华大学出版社,2000.231~280 [21] W.Richard Stevens.UNIX环境高级编程.北京: 机械工业出版社,2000.441~487 [22] 王学龙.嵌入式Linux系统设计与应用.北京: 清华大学出版社, 2001.20~120 [23] 邹思铁.嵌入式Linux设计与应用.北京: 清华大学出版社, 2002.74~144
[24] 刘森,慕春棣,沈卓立.嵌入式系统开发平台的构建和实现.电子产品世
界,2002,(11):63
4
[29] San-Pil Moon,Joo-Won Kim,Kuk-Ho Bae.Embedded Linux implementation on a
commercial digital TV system.Consumer Electronics, Nov. 2003 [30] Lennon, A.Embedding Linux.IEEE Review,Volume 47,May 2001. [31] LIDS Project - Secure Linux System. http://www.lids.org/
[32] Veiga,A.A hardware/software environment for real time data acquisition and
control.Real Time Conference, 1999.33~37
[33] Bruce Eckel.Think in java,Second Edition.Prentice Hall,2000.105~220 [34] CF+ and CompactFlash Specification Revision 2.0,May 2003.15~17
[35] 柳永胜,黄祥伟,赵武智.多端口存储器在多机系统中的应用.单片机及嵌入式系统
应用,2001(7):8~12
[36] 赵丕凤,徐元欣,赵 亮等.多路读写的SDRAM接口设计.电子技术应
用,2002(9):11~13
[37] Yuan Xin,Li Wei,Li Qing.High speed SDRAM interface circuit.ASIC, 1996.29~31 [38] Vollrath, J.Testing and characterization of SDRAMs.Design & Test of
Computers,Volume 20,Jan-Feb,2003.91~93
[39] Yoo, C.High-speed DRAM interface.Potentials,Volume 20,Dec,2001-Jan,
44
2002.81~85
[40] Wha-Joon Lee.Testing issues on high speed synchronous DRAMs.Test Conference,
1994.14~17
[41] 张健,吴晓冰. LVDS技术原理和设计简介.电子技术应用,2000(05):69~70,72 [42] 刘祥远,陈书明. LVDS高速I/O接口单元的设计研究.计算机工程与科
学,2001( 4):33~35
[43] Jaeseo Lee,Jae-Won Lim,Sung-Jun Song,et al.Design and implementation of CMOS
LVDS 2.5 Gb/s transmitter and 1.3 Gb/s receiver for optical interconnections. Circuits and Systems, 2001. 41~44
[44] Gabara, T.LVDS I/O buffers with a controlled reference circuit.ASIC Conference
and Exhibit, 1997.45~48
[45] Benedetto,J.High-speed data transmission for spaceborne applications.Radiation
Effects Data Workshop, 2001.73~78
45
附录 攻读学位期间发表的论文以及参加的课题
1. 发表的论文 [1] 陈睿
2. 参加的课题
[1] 温州市暂住人口管理系统 [2] 物理隔离网闸
[3] 浙江省社会采集系统(平台)
46
2005,2
网络安全物理隔离技术的研究
作者:
学位授予单位:
陈睿
华中科技大学
本文链接:http://d.g.wanfangdata.com.cn/Thesis_D010186.aspx
因篇幅问题不能全部显示,请点此查看更多更全内容