網(wǎng)絡(luò)安全隔離GAP技術(shù)探析

鄭挺

（杭州師范大學(xué)錢(qián)江學(xué)院電氣與機(jī)械工程系，浙江 杭州 310012）

1 GAP技術(shù)的概念及原理

1.1 GAP概念的提出

GAP技術(shù)是在1997年左右，最早由以色列的Whale,Spearhead等公司研制開(kāi)發(fā)。2000年1月，為滿足國(guó)內(nèi)信息化建設(shè)及電子政務(wù)的需求，國(guó)內(nèi)專(zhuān)業(yè)從事網(wǎng)絡(luò)與信息安全研究開(kāi)發(fā)、技術(shù)支持、產(chǎn)品銷(xiāo)售和安全服務(wù)的北京天行網(wǎng)安信息技術(shù)有限責(zé)任公司率先提出從物理隔離技術(shù)發(fā)展出GAP概念，并且與公安部信息通信局聯(lián)合研制完成國(guó)內(nèi)第一款GAP產(chǎn)品一一天行安全隔離與信息交換系統(tǒng)，與此同時(shí)獲得了國(guó)內(nèi)網(wǎng)閘行業(yè)第一個(gè)銷(xiāo)售許可證，標(biāo)志著完全由我國(guó)自主研發(fā)的國(guó)內(nèi)第一臺(tái)網(wǎng)閘誕生。

1.2 GAP技術(shù)的原理

GAP技術(shù)的基本原理是在內(nèi)網(wǎng)和外網(wǎng)的系統(tǒng)之間架構(gòu)“安全隔離網(wǎng)閘”，保證內(nèi)網(wǎng)連通時(shí)，斷開(kāi)與外網(wǎng)的連接;外網(wǎng)連通時(shí)，斷開(kāi)與內(nèi)網(wǎng)的連接，分時(shí)地使用內(nèi)外網(wǎng)中的數(shù)據(jù)通路進(jìn)行數(shù)據(jù)交換，以達(dá)到隔離與交換的目的。也就是單個(gè)用戶在同一時(shí)間、同一空間不能同時(shí)使用內(nèi)網(wǎng)和外網(wǎng)兩個(gè)系統(tǒng)。只要使兩個(gè)系統(tǒng)在空間上物理隔離，在不同的時(shí)間運(yùn)行，就可以得到兩個(gè)完全物理隔離的系統(tǒng)。在數(shù)據(jù)交換過(guò)程中要進(jìn)行防病毒、防惡意代碼等信息過(guò)濾，以保證信息的安全。切斷網(wǎng)絡(luò)之間的通用協(xié)議連接;將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù);對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等;確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元;內(nèi)部用戶通過(guò)嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。

2 OSI七層模型簡(jiǎn)介

2.1 物理層

物理層是OSI的第一層，它雖然處于最底層，卻是整個(gè)開(kāi)放系統(tǒng)的基礎(chǔ)。物理層為設(shè)備之間的數(shù)據(jù)通信提供傳輸媒體及互連設(shè)備，為數(shù)據(jù)傳輸提供可靠的環(huán)境。

2.2 數(shù)據(jù)鏈路層

鏈路層是為網(wǎng)絡(luò)層提供數(shù)據(jù)傳送服務(wù)的，這種服務(wù)要依靠本層具備的功能來(lái)實(shí)現(xiàn)。實(shí)際的物理鏈路是不可靠的，總會(huì)出現(xiàn)錯(cuò)誤，數(shù)據(jù)鏈路層的作用就是通過(guò)一定的手段 (將數(shù)據(jù)分成幀，以數(shù)據(jù)幀為單位進(jìn)行傳輸)將有差錯(cuò)的物理鏈路轉(zhuǎn)化成對(duì)上層來(lái)說(shuō)沒(méi)有錯(cuò)誤的數(shù)據(jù)鏈路。

2.3 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層將數(shù)據(jù)分成一定長(zhǎng)度的分組，并在分組頭中標(biāo)識(shí)源和目的節(jié)點(diǎn)的邏輯地址，這些地址就象街區(qū)、門(mén)牌號(hào)一樣，成為每個(gè)節(jié)點(diǎn)的標(biāo)識(shí);網(wǎng)絡(luò)層的核心功能便是根據(jù)這些地址來(lái)獲得從源到目的的路徑，當(dāng)有多條路徑存在的情況下，還要負(fù)責(zé)進(jìn)行路由選擇。

2.4 傳輸層

傳輸層是兩臺(tái)計(jì)算機(jī)經(jīng)過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通信時(shí)，第一個(gè)端到端的層次，具有緩沖作用。

2.5 會(huì)話層

會(huì)話層提供的服務(wù)可使應(yīng)用建立和維持會(huì)話，并能使會(huì)話獲得同步。會(huì)話層使用校驗(yàn)點(diǎn)可使通信會(huì)話在通信失效時(shí)從校驗(yàn)點(diǎn)繼續(xù)恢復(fù)通信。

2.6 表示層

表示層的作用之一是為異種機(jī)通信提供一種公共語(yǔ)言，以便能進(jìn)行互操作。這種類(lèi)型的服務(wù)之所以需要，是因?yàn)椴煌挠?jì)算機(jī)體系結(jié)構(gòu)使用的數(shù)據(jù)表示法不同。

2.7 應(yīng)用層

應(yīng)用層向應(yīng)用程序提供服務(wù)，這些服務(wù)按其向應(yīng)用程序提供的特性分成組并稱(chēng)為服務(wù)元素。有些可為多種應(yīng)用程序共同使用，有些則為較少的一類(lèi)應(yīng)用程序使用。應(yīng)用層是開(kāi)放系統(tǒng)的最高層，是直接為應(yīng)用進(jìn)程提供服務(wù)的。

3 系統(tǒng)體系結(jié)構(gòu)介紹

3.1 隔離硬件

隔離模塊，起到一個(gè)數(shù)據(jù)中轉(zhuǎn)站和控制器的作用。隔離硬件通過(guò)USB總線與內(nèi)部處理單元和外部處理單元相連，USB總線的數(shù)據(jù)線寬度為16位。數(shù)據(jù)從內(nèi)部處理單元或者外部處理單元的USB端口發(fā)送至隔離硬件的數(shù)據(jù)緩沖區(qū)(雙端口儲(chǔ)存器)中，然后斷開(kāi)該端同隔離硬件的連接，建立與另一端的連接，將數(shù)據(jù)從數(shù)據(jù)緩沖區(qū)(雙端口儲(chǔ)存器)發(fā)送至外部處理單元或者內(nèi)部處理單元。

3.2 處理單元外部

外部處理單元需完成的主要功能如下:（1）TCP/IP協(xié)議分解及專(zhuān)用協(xié)議封裝:對(duì)TCP/IP協(xié)議類(lèi)型的數(shù)據(jù)包進(jìn)行分解將TCP/IP包頭剝?nèi)ィ褟陌^中提取出有用的信息和原數(shù)據(jù)包的數(shù)據(jù)部分利用專(zhuān)用協(xié)議進(jìn)行封裝。（2）附加消息認(rèn)證印戳:通過(guò)MD 5算法計(jì)算出原始數(shù)據(jù)部分的消息摘要，然后對(duì)消息摘要進(jìn)行加密獲得密文，該密文作為消息認(rèn)證印戳附加在專(zhuān)用協(xié)議包頭中，供消息認(rèn)證使用。

4 GAP技術(shù)相關(guān)軟件模塊實(shí)現(xiàn)

4.1 用戶管理模塊

用戶管理子模塊主要完成對(duì)內(nèi)網(wǎng)用戶訪問(wèn)外網(wǎng)進(jìn)行管理的任務(wù)。主要包括:（1）用戶管理:對(duì)用戶名，密碼，用戶的信息進(jìn)行管理，對(duì)用戶的身份進(jìn)行認(rèn)證。（2）訪問(wèn)控制:設(shè)定用戶能訪問(wèn)什么網(wǎng)站或不能訪問(wèn)什么網(wǎng)站，用戶可使用的端口:80(HTTP)，21(FTP)等。（3）用戶訪問(wèn)歷史記錄管理:查詢、刪除、打印用戶訪問(wèn)歷史記錄。

4.2 數(shù)據(jù)接受模塊

數(shù)據(jù)接收模塊包括下而的組件

4.2.1 監(jiān)聽(tīng)進(jìn)程:監(jiān)聽(tīng)常見(jiàn)網(wǎng)絡(luò)服務(wù)端口，不斷地檢查是否有新的數(shù)據(jù)包到來(lái)，當(dāng)檢測(cè)到新的數(shù)據(jù)包之后，接收新的TCP/IP連接。

4.2.2 工作進(jìn)程:負(fù)責(zé)在套接層上異步發(fā)送和接收數(shù)據(jù)。首先需要讀取待處理數(shù)據(jù)的包頭內(nèi)容。

數(shù)據(jù)接收模塊實(shí)現(xiàn)主要函數(shù)為:建立Socket:SockRaw=socket(AF-NET,SOCK-AW,0)

綁定本機(jī)IP地址。首先獲得本地主機(jī)名，再根據(jù)本地主機(jī)名獲得本地的IP地址，最后將Socket與本機(jī)端口綁定。

捕獲數(shù)據(jù)包:循環(huán)調(diào)用recv()函數(shù)捕獲數(shù)據(jù)包，每捕獲一個(gè)數(shù)據(jù)包就將其存儲(chǔ)在緩沖區(qū)Buf中。

數(shù)據(jù)接收模塊其實(shí)現(xiàn)流程如下圖所示：

5 總結(jié)

作為目前安全級(jí)別最高的一種安全解決方案，網(wǎng)絡(luò)隔離概念也越來(lái)越多的被應(yīng)用在安全產(chǎn)品中，然而目前我們這一技術(shù)并不成熟，產(chǎn)品也各式各樣。作者是在這種大環(huán)境下對(duì)網(wǎng)絡(luò)隔離技術(shù)做的一些綜合性探索性的研究活動(dòng)，鑒于目前網(wǎng)絡(luò)隔離產(chǎn)品硬件壽命周期短、支持應(yīng)用少的缺點(diǎn)，提出一種改進(jìn)的網(wǎng)閘實(shí)現(xiàn)方案，采用軟件方式實(shí)現(xiàn)開(kāi)關(guān)功能，并采用模塊化的設(shè)計(jì)思想可以通過(guò)增加協(xié)議分析模塊從而同時(shí)支持多種應(yīng)用協(xié)議，實(shí)現(xiàn)系統(tǒng)的高可擴(kuò)展性。

[1]鄭海峰，淺淡網(wǎng)絡(luò)防火墻技術(shù)，硅谷，2008年

[2]方煒煒，網(wǎng)絡(luò)安全與網(wǎng)絡(luò)隔離GAP技術(shù)的研究，微型電腦應(yīng)用，2008年