網(wǎng)絡(luò)安全新技術(shù)

張 玨，田建學(xué)

（1.榆林學(xué)院 信息學(xué)院，陜西 榆林 719200；2.延安大學(xué)西安創(chuàng)新學(xué)院 實驗教學(xué)中心，陜西 西安 719000）

近年來，我國信息化建設(shè)迅猛發(fā)展，在外網(wǎng)、內(nèi)網(wǎng)、專網(wǎng)之間交換信息是基本要求。如何在保證內(nèi)網(wǎng)和專網(wǎng)資源安全的前提下，實現(xiàn)網(wǎng)絡(luò)暢通、資源共享是電子政務(wù)系統(tǒng)建設(shè)中必須要解決的問題。而傳統(tǒng)的物理安全隔離卡技術(shù)雖然確保了網(wǎng)絡(luò)的安全性，卻因缺乏信息交換機制等局限性，對網(wǎng)絡(luò)連通性的支持率較低，往往會形成流通不暢的“孤島”，而限制了應(yīng)用的發(fā)展。因此，隔離網(wǎng)閘技術(shù)成為物理隔離技術(shù)的發(fā)展趨勢。

安全隔離網(wǎng)閘是一種帶有多種控制的專用硬件，在電路上切斷網(wǎng)絡(luò)之間的鏈路及協(xié)議連接，并能夠在網(wǎng)絡(luò)間進行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。由于物理隔離卡技術(shù)的切換開發(fā)頻率一般通過外設(shè)時鐘設(shè)定，網(wǎng)絡(luò)開關(guān)速度低，網(wǎng)絡(luò)傳輸性能受到制約，即使開關(guān)切換速率高，隔離卡也受到主機性能的影響。而安全隔離網(wǎng)閘采用CPU時鐘作為開關(guān)，將開關(guān)功能在系統(tǒng)內(nèi)核中實現(xiàn)，從而成功地達到物理隔離的最佳性能。

該技術(shù)是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)來連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于在安全隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在一句協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對中間固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令，所以，安全隔離網(wǎng)閘從物理上阻斷了具有潛在攻擊可能的一切連接，實現(xiàn)了真正的安全保護。

1 網(wǎng)絡(luò)隔離器的技術(shù)實現(xiàn)原理

目前網(wǎng)絡(luò)隔離器的實時開關(guān)實現(xiàn)方式主要有基于SCSI的開關(guān)技術(shù)和基于總線的開關(guān)技術(shù)兩種[1]?；诳偩€的實時開關(guān)技術(shù)的網(wǎng)絡(luò)隔離器采用雙端口靜態(tài)存儲器 （Dual Port SRAM）配合基于獨立的FPGA控制電路，雙端口各自通過開關(guān)與獨立的計算機主機連接。如圖1所示，F(xiàn)PGA作為獨立的控制電路保證雙端口靜態(tài)存儲器的每一端口上存在一個開關(guān)，且兩個開關(guān)不能同時閉合即K1×K2=0?；赟CSI開關(guān)技術(shù)的網(wǎng)絡(luò)隔離器和圖1相似，只是數(shù)據(jù)通道換為SCSI硬盤接口，而存儲介質(zhì)使用的是SCSI硬盤，控制單元使用專門設(shè)計的硬件電路板實現(xiàn)。

圖1 基于總線實時開關(guān)技術(shù)的網(wǎng)絡(luò)隔離圖Fig.1 Network isolated diagram based on the bus real-time technology

網(wǎng)絡(luò)隔離的技術(shù)架構(gòu)重點在隔離上，實現(xiàn)隔離是關(guān)鍵。

圖1的外網(wǎng)是安全性不高的互聯(lián)網(wǎng)，內(nèi)網(wǎng)是安全性很高的內(nèi)部網(wǎng)絡(luò)。正常情況下，隔離設(shè)備的外部主機和外網(wǎng)相連，隔離設(shè)備的內(nèi)部主機和內(nèi)網(wǎng)相連，網(wǎng)絡(luò)和內(nèi)網(wǎng)是完全斷開的。隔離設(shè)備是一個獨立的固態(tài)存儲介質(zhì)和一個單純的調(diào)度控制電路。

當外網(wǎng)需要有數(shù)據(jù)送達內(nèi)網(wǎng)的時候，以電子郵件為例，外部主機先接收數(shù)據(jù)，并發(fā)起對固態(tài)存儲介質(zhì)的非TCP/IP協(xié)議的數(shù)據(jù)連接，外部主機將所有的協(xié)議剝離，將原始的數(shù)據(jù)寫入固態(tài)存儲介質(zhì)，如圖2所示。根據(jù)不同的應(yīng)用，可能有必要對數(shù)據(jù)進行完整性檢查和安全性檢查，如病毒和惡意代碼等。

圖2 帶緩沖區(qū)的雙通道技術(shù)圖Fig.2 Diagram of dual channel technology with buffer

一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與外部處理單元的連接。轉(zhuǎn)而發(fā)起對內(nèi)部處理單元的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)傳送至內(nèi)部處理單元。內(nèi)部處理單元收到數(shù)據(jù)后，立即對TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。這樣，內(nèi)網(wǎng)電子郵件系統(tǒng)就收到了外網(wǎng)電子郵件系統(tǒng)通過隔離設(shè)備轉(zhuǎn)發(fā)的電子郵件[2]。

在控制臺收到完整的交換信號之后，隔離設(shè)備立即切斷與內(nèi)部處理單元的直接連接。

如果這時內(nèi)網(wǎng)有電子郵件要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請求之后，建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。內(nèi)部處理單元剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，并將數(shù)據(jù)寫入到隔離設(shè)備的存儲介質(zhì)；如有必要，對其進行身份認證、消息驗證等操作，以防內(nèi)網(wǎng)的機密信息泄露出去；然后中斷與內(nèi)網(wǎng)的直接連接。

一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與內(nèi)部處理單元的連接。轉(zhuǎn)而發(fā)起對外部處理單元的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向外部處理單元。外部處理單元收到數(shù)據(jù)后，立即進行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給系統(tǒng)?？刂婆_收到信息處理完后，立即中斷隔離設(shè)備與外部處理單元的連接，恢復(fù)到完全隔離狀態(tài)。

每一次數(shù)據(jù)交換，隔離設(shè)備經(jīng)歷了數(shù)據(jù)的接手、存儲和轉(zhuǎn)發(fā)3個過程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核中完成的，因此速度上得到保證，可以達到100%的總線處理能力[3]。

2 基于總線的雙通道循環(huán)緩沖區(qū)

在圖1原有的設(shè)計中，在進行數(shù)據(jù)交換時，內(nèi)部和外部處理單元在任何時刻只有一方與隔離硬件相連。如果數(shù)據(jù)通道的速度為A bps，那么內(nèi)部處理單元間的數(shù)據(jù)交換速度最高只能達到A/2 bps，未能充分利用發(fā)揮數(shù)據(jù)通道的能力。為此提出如圖2的設(shè)計。

將 DPRAM 存儲區(qū)域分為 A（a1，a2，….，an）和 B（b1，b2，….bn）兩塊（ai、bi為 n 個相等的小塊存儲區(qū)），K1 和 K2 的約束為 K1ai×K2ai=0 且 K1bi×K2bi=0（K1ai表示 K1 與 ai相連，K2ai、K1bi、K2bi與此相同）。如此以來就將原來設(shè)計中的一個雙向數(shù)據(jù)通道變?yōu)榱藘蓚€單向的數(shù)據(jù)通道，當內(nèi)外部主機中的一方對ai或bi進行訪問時，另一方依然可以對aj或bj（i不等于j）進行訪問，同時實現(xiàn)了傳輸數(shù)據(jù)的隔離[4]。

對ai、bi區(qū)域的訪問控制進行設(shè)計，使其分別組成兩個循環(huán)緩沖區(qū)，這將進一步減少內(nèi)外部處理單元對隔離硬件訪問讀寫沖突的發(fā)生，同時也提高了交換數(shù)據(jù)的實時性。通過這樣的設(shè)計能使系統(tǒng)總線數(shù)據(jù)通道工作于“全雙工”提高了數(shù)據(jù)交換的速度和實時性，提升了系統(tǒng)的整體性能，滿足了更高的應(yīng)用需求。

3 使用數(shù)據(jù)加密標準（DES）加密數(shù)據(jù)

對接收或發(fā)送的數(shù)據(jù)進行加解密處理，如圖3所示。

圖3 系統(tǒng)基本構(gòu)成圖Fig.3 Basic structure diagram of system

以數(shù)據(jù)從外網(wǎng)向內(nèi)網(wǎng)傳輸來說，首先“數(shù)據(jù)接收模塊”從外網(wǎng)接收數(shù)據(jù)報，然后將數(shù)據(jù)傳送至“數(shù)據(jù)分析模塊”，數(shù)據(jù)分析模塊對數(shù)據(jù)進行分析，并對數(shù)據(jù)進行DES加密，把加密后的密文通過硬件傳送至安全模塊?！鞍踩K”對數(shù)據(jù)進行審查，審查通過后將數(shù)據(jù)傳送至“數(shù)據(jù)分析模塊”，“數(shù)據(jù)分析模塊”對接收的數(shù)據(jù)進行解密，最后把數(shù)據(jù)送至內(nèi)網(wǎng)，這樣，就完成了數(shù)據(jù)在網(wǎng)絡(luò)隔離器中的一次傳輸。對內(nèi)網(wǎng)傳出去的數(shù)據(jù)，處理過程類似于外網(wǎng)向內(nèi)網(wǎng)的數(shù)據(jù)傳輸過程。這樣就實現(xiàn)了數(shù)據(jù)快速，安全的傳輸。

4 結(jié)束語

正處于第5代網(wǎng)絡(luò)隔離設(shè)備的研發(fā)階段。網(wǎng)絡(luò)隔壁技術(shù)正向易用性、應(yīng)用融合化等方向發(fā)展，網(wǎng)絡(luò)隔離技術(shù)在負載均衡、冗余備份、硬件密碼加速、易集成管理等方面還需要進一步的改進，同時更好地集成入侵防御和加密通道、數(shù)字證書等技術(shù)，將成為新一代網(wǎng)絡(luò)隔離產(chǎn)品發(fā)展的趨勢[5]。為了更好地滿足我國提出的內(nèi)網(wǎng)、外網(wǎng)和公網(wǎng)的網(wǎng)絡(luò)體系結(jié)構(gòu)，從成本和易管理方面出發(fā)，三網(wǎng)或多網(wǎng)的網(wǎng)絡(luò)隔離設(shè)備也將成為網(wǎng)絡(luò)隔離技術(shù)的一個發(fā)展方向[6]。

[1]胡林峰.網(wǎng)絡(luò)隔離器的設(shè)計與實現(xiàn)[D].無錫：江南大學(xué)，2006：12-40.

[2]鄭煒，須文波.物理隔離網(wǎng)閘的設(shè)計與實現(xiàn)[J].微計算機信息，2005（12）：131-132.ZHENG Wei，XU Wen-bo.Design and realization of netgap based on physical isolation[J].Microcomputer Information，2005（12）：131-132.

[3]陳強，付強，張勇.淺談網(wǎng)絡(luò)隔離技術(shù)[J].北方交通，2010（4）：195-197.CHEN Qiang，F(xiàn)U Qiang，ZHANG Yong.Brief discussion on network isolation technology[J].Northern Communications，2010（4）：195-197.

[4]張繼永.網(wǎng)絡(luò)隔離技術(shù)與信息安全[J].中國信息界，2010（9）：25-26.ZHANG Ji-yong.Network isolation and information security[J].China Information，2010（9）：25-26.

[5]陳群.選擇無線局域網(wǎng)的安全策略[J].計算機安全，2008（10）：52-54.CHEN Qun.Choosing a strategy for WLAN[J].Net-work＆Computer Security，2008（10）：52-54.

[6]劉峰，楊陽，王瑞恒.無線局域網(wǎng)的安全技術(shù)分析及比較[J].電子設(shè)計工程，2010（12）：8-10.LIU Feng，YANG Yang，WANG Rui-heng.Analysis and comparison ofWLAN security technology[J].Electronic Design Engineering，2010（12）：8-10.

[7]馬建峰，朱建明.無線局域網(wǎng)安全—方法與技術(shù)[M].北京：機械工業(yè)出版社，2005：162-165.

[8]萬平國.網(wǎng)絡(luò)隔離與網(wǎng)閘[M].北京：機械工業(yè)出版社，2004.