網絡中單向協議隔離方法及其裝置的製作方法

2023-06-10 01:03:06

專利名稱：網絡中單向協議隔離方法及其裝置的製作方法
技術領域：
本發明涉及一種網絡中單向協議隔離方法，對網絡中傳輸的數據進行單向協議隔 離，以及相應的單向協議隔離裝置。
技術背景Internet發展到今天取得了巨大的成功。電子商務和電子政務等網絡應用的發展 和普及不僅給人們的生活帶來了很大的方便，而且正在創造著巨大的財富。但與此同 時，Internet也給人們帶來了諸如黑客、病毒、特洛伊木馬等很多可怕的東西，數據 被篡改和竊取、文件被破壞，人們在享受網際網路帶來的歡樂的同時也在遭受著各種各 樣的安全隱患威脅，47. 1X的用戶聲稱在一年內遭遇過計算機被入侵的情況[CNNIC《中 國網際網路發展狀況統計報告》]。越來越多的企業和政府部門開始採用安全防護工具 保護自己的網絡安全。網絡安全技術的發展伴隨著Internet的普及和廣泛應用也有了長足的進步，防火 牆、入侵檢測、VPN、加密解密工具等安全產品逐漸產生、發展和成熟。但是到今天為 止，Internet上的安全問題不但依然存在，並且似乎更加嚴重其中不乏採用了防火牆、 入侵檢測產品的客戶。但是，儘管防火牆(Firewall)在安全防禦中作為一種核心的訪問控制手段，起 到了不可替代的作用，但以防火牆為核心的防禦體系已經不能滿足網絡安全的真正需 求，因為防火牆始終保持了可信網絡與不可信網絡之間的TCP/IP連接。這樣就不可能 真正解決內外網絡之間信息交互的安全問題。 一旦防火牆因攻擊或故障失效，或不能 正確實現其職能時，始終存在的TCP/IP連接就成為攻擊者攻擊受保護網絡的罪惡之 手。因此，設計一種TCP/IP連接斷開同時邏輯連接的安全設備是意義重大的。正是基 於以上的想法，產生了新的協議隔離技術(GAP)。協議隔離的指導思想與防火牆有很大的不同(1)防火牆的思路是在保障互聯互 通的前提下，儘可能安全，而(2)協議隔離的思路是在保證必須安全的前提下，盡可 能互聯互通。通過協議隔離設備可以解決目前防火牆(Firewall)存在的根本問題1、 防止TCP/IP的協議漏洞其中一段不用TCP/IP，使用獨立的GAP協議；2、 屏蔽防火牆中內網、外網和DMZ同時直接TCP/IP連接採用雙主機結構；3、 防護應用協議的漏洞，因為應用協議的命令和指令可能是非法的進行應用層級別的協議內容檢查。 發明內容本發明所要解決的技術問題是提出一種簡便易行、能進行隔離的網絡中單向協議 隔離方法，以及單向協議隔離裝置。
本發明所提供的技術方案是 一種網絡中單向協議隔離方法，包括有以下步驟-
a、 網絡數據為TCP/IP數據，通過不可信端網絡接口層傳遞TCP/IP協議棧；
b、 TCP/IP協議棧根據對網絡數據依據全局安全策略庫中的規則進行訪問控制；
c、 TCP/IP數據在由TCP/IP協議棧傳遞給協議分析模塊，協議分析模塊根據應用 協議不同採用不同應用協議狀態機處理，其中，協議分析模塊中輸入的是TCP/IP的應 用協議數據，輸出的是GAP協議數據包；
d、 GAP協議數據包由協議分析模塊傳遞給會話模塊，會話模塊啟動具體的隔離程
序，把合理的數據擺渡給對方的會話模塊中；
e、 當數據傳輸到對端時，對端會話模塊依據數據的會話ID，把GAP數據連同控 制信息交到特定的協議重構模塊，協議重構模塊依據全局安全策略庫的設置，完成應 用數據協議重組，並交給TCP/IP協議棧處理；其中，協議重構模塊中輸入的是GAP 協議數據包，輸出的TCP/IP的應用協議數據；
f、 通過網絡，TCP/IP協議棧構造合法數據包，通過可信端網絡進行傳輸處理。 所述GAP協議數據包是基於Linux系統下的格式。
其中，所述步驟b中的全局安全策略庫中的簡單訪問控制規則為時間、數據源 IP、源埠、目的IP和目的埠。
所述步驟c中的協議狀態機包括HTTP協議狀態機、FTP協議狀態機、SMTP協議 狀態機和P0P3協議狀態機，每個協議狀態機提供自己對應的協議分析單元；每個經 TCP/IP協議棧傳過來的數據會傳遞到相應的協議分析單元去作協議分析。
所述步驟e中的全局安全策略庫的設置為對數據進行關鍵詞搜索、病毒査殺、 關鍵數據的比特位。
實施上述隔離方法的單向協議隔離裝置，包括有PCI總線接口、不可信端隔離卡、 可信端隔離卡和LVDS總線，所述PCI總線接口設有兩個，分別與不可信端隔離卡、可 信端隔離卡連接，而不可信端隔離卡通過LVDS總線與可信端隔離卡連接。
所述不可信端隔離卡上設置有依次相連的TCP/IP協議棧、協議分析模塊和會話模 塊，不可信端網絡PCI總線接口與TCP/IP協議棧相連；所述可信端隔離卡上設置有依 次相連的會話模塊、協議重構模塊和TCP/IP協議桟，可信端網絡PCI總線接口與 TCP/IP協議棧相連；LVDS總線的兩端分別與不可信端隔離卡和可信端隔離卡上的會話 模塊相連。
本發明有如下優點真正實現內外網絡之間的單向協議隔離，保證內部網絡安全， 黑客不能與內部網絡建立直接的會話；具有病毒防範、訪問控制、安全審計的功能； 數據只能單向傳輸，即由安全級別低的網絡向安全級別高的網絡傳輸；反之當數據包 從可信端向不可信端發送時，是無硬體線路支持，不可能有數據流通，從而保證內部 高級別網絡數據不可能洩漏到低級別網絡中，進一步提高系統的安全性。


下面結合附圖以及實施例來詳細說明本發明。 圖l為本發明的流程圖2為本發明中的隔離裝置的結構框圖3 — 1至圖3—4為本發明的隔離裝置電路圖。
具體實施例方式
隔離是在為了保護高安全度網路環境情況，實施的安全技術手段，但是由於隔離
的語義不同，產生不同隔離技術，原來的可以總結如下
1、 完全隔離(Disconnection)技術此方法要求內外網絡各自獨立運行，彼此 之間徹底地切斷連接，也就是我們稱為雙機雙網系統，它是達到內外網絡彼此成為不 可能交互信息孤島，從而達到或接近絕對安全境界；缺點是信息交流十分不便，成本 高，維護和使用不便利，是一個缺點和優點都十分突出地方法。這也是第一代隔離技 術這種方式的最大缺點就是對資源的嚴重浪費；
2、 物理封閉(Isolation)技術，(即隔離=電子開關)硬碟隔離卡技術、隔離 交換機、隔離集線器，基於電子開關的隔離產品等技術是物理封閉的代表，通過電子 開關技術達到數據在不同的兩個物理封閉網絡之間交換的技術，它的原理利用電子開 關控制客戶端或數據連通到內部還是外部網絡，這是由用戶控制按照不同時間、地點， 連接內外網絡的安全策略。這些技術上比第一代有了很大的改進與提高，方便了客戶， 降低了成本，但還有很多問題沒有得到妥善的解決，如內外網的信息高速交換問題等。
而協議隔離方法通過專用硬體設備(基於LVDS總線或SCSI總線的隔離卡等)和 專用安全通信協議(非TCP/IP協議)等安全機制，時刻保證內外網絡有條件地(相當 困難條件，即數據必須通過一段私有協議和私有的電子通路)連接，來實現內外網絡 隔離和數據交換，Gap技術解決內外網絡隔離開來，而且同時實現內外數據的安全交 換，我們稱之為協議隔離技術。其實現基本原理數據通過外網主機^隔離板(不可 信端安全隔離卡+LVDS +可信端安全隔離卡)O內網主機這一過程；協議的數據經過 即TCP/IP協議GGAP協議"TCP/IP協議的數據交換方式，其中GAP協議徹底地隔離 內外網絡之間的TCP/IP協議之間互相連接(與防火牆相比，防火牆中內外網絡數據交 換全部採用TCP/IP協議)，起到TCP/IP協議的隔離作用，使得數據在內外網絡交換 時，必須經過一段非TCP/IP私有協議——GAP協議的傳輸與交換，稱GAP協議是TCP/IP 協議的隔離協議，這種隔離實現方法稱為協議隔離。
如圖l所示的一種在網絡中進行單向隔離的隔離方法，包括有以下步驟
a、 網絡數據為TCP/IP數據，通過不可信端網絡接口層傳遞TCP/IP協議棧；
b、 TCP/IP協議棧根據對網絡數據依據全局安全策略庫中的規則進行訪問控制 時間、數據源IP、源埠、目的IP和目的埠；
c、 TCP/IP數據在由TCP/IP協議棧傳遞給協議分析模塊，協議分析模塊根據應用 協議不同採用不同應用協議狀態機處理，其中，協議分析模塊中輸入的是TCP/IP的應
用協議數據，輸出的是GAP協議數據包；d、 GAP協議數據包由協議分析模塊傳遞給會話模塊，會話模塊啟動具體的隔離程 序，把合理的數據擺渡給對方的會話模塊中；e、 當數據傳輸到對端時，對端會話模塊依據數據的會話ID，把GAP數據連同控 制信息交到特定的協議重構模塊，協議重構模塊依據全局安全策略庫的設置，完成應 用數據協議重組，並交給TCP/IP協議棧處理；其中，協議重構模塊中輸入的是GAP 協議數據包，輸出的TCP/IP的應用協議數據；f、 通過網絡，TCP/IP協議棧構造合法數據包，通過可信端網絡進行傳輸處理。 其中GAP協議主要用於在內外主機之間的安全板之間執行數據交換，GAP協議的協議棧是基於Linux系統下編寫的內核驅動，GAP的協議驅動程序支持通過安全板內的單 向可控通信路徑。這個協議驅動程序給出一般的Linux系統下I/0例程井且隱藏硬體芯 片的特性，協議驅動程序將被發送的數據包變成一個GAP的數據封裝協議的數據包，並 且把數據包內容緩衝隊列，DMA控制器具體傳輸每個緩衝區到安全板上。當DMA控制器 到達鏈的末端時，發送就停止。然後外網端安全板將傳輸數據到內網端安全板一邊， 當最後的一個字(word)傳輸到內網端一邊，內網端安全板產生一個中斷來啟動GAP 的協議驅動程序，通過GAP的協議驅動程序剝離相關的數據，並且按照GAP的數據封裝 協議的數據包中協議格式把具體數據交付給內網端相關的應用程式處理；完成後安全 板就可以準備處理一個新的GAP協議的傳輸。TCP/IP協議棧是個通用的TCP/IP網絡協議棧模塊，處理系統中所有的TCP/UDP 進程，並且它是一個不依賴於作業系統的TCP/IP堆棧；該協議棧不會支持其他的附加 的IP層協議，比如DHCP和ICMP，因此，GAP不支持Ping命令穿過它。TCP/IP模塊分別從對應的協議重構模塊和內(或外)網絡獲取輸入數據，並傳遞 給協議分析模塊。或者接受協議重構模塊的輸入數據，組成合法的安全TCP數據包，通 過網絡傳輸到目的地。協議分析模塊對協議數據消息進行分析。它提供語法檢査並用專用壓縮表達方 式重新構建相同消息。重構的消息被傳送到會話管理模塊。協議分析模塊分為HTTP、 FTP、 P0P3等協議狀態機，每個協議狀態機提供自己對應 的協議分析單元。每個經TCP模塊傳過來的數據會傳遞到相應的協議分析單元去作協議 分析。會話管理模塊負責調用基於Linux的GAP協議驅動，利用GAP協議在兩個安全板之 間建立一個GAP專用通道，並將GAP專用通道的ID與特定的Socket ID、網絡接口地址表 綁定起來。會話管理模塊還利用GAP協議將這些綁定信息與對端的會話管理模塊進行同步，以 便接收數據的回傳。協議重構模塊分析處理過的消息，並按照標準協議格式重構這些消息為特定應用數據包。這些消息與TCP模塊生成的原消息類似，但不相同，如包的源地址可能已經被修改。協議重構模塊會把再生成的消息傳遞到最後一個流程模塊，即TCP/IP模塊。在內網端的協議重構模塊，數據將依據全局安全策略庫的規定，進行細粒度的應 用數據安全處理。在外網端的協議分析模塊，其應用數據安全、訪問控制的粒度則較粗。全局安全規則庫包含安全管理員定義的所有安全策略集。這些安全策略包括基 於TCP/IP協議頭內容進行的訪問控制規則；基於數據內容的安全規則，如病毒查殺策略、應該搜索的關鍵詞、關鍵的數據比特位等。全局安全規則庫是通過安全管理模塊完成配置的。安全管理模塊把全局安全規則 庫通過內網端進行加載到隔離系統，而其中屬於外網端的安全規則加載到外端協議分析模塊、協議重構模塊是通過GAP協議完成的。這使得內外網絡之間的通信始終通過了 GAP來完成，從而保證內外網絡總是協議斷開的。當數據包從可信端向不可信端發送時，是無硬體線路支持，不可能有數據流通， 從而保證內部高級別網絡數據不可能洩漏到低級別網絡中，提高隔離的安全性。單向協議隔離系統工作在低安全級別網絡和高安全級別網絡之間，這兩個網絡可 以是Internet和專網，也可以是內部的不同權限的兩個網絡。即保證了對正常數據的 傳輸、傳遞要求，又有效保護了內部生產網絡的高度安全。對已經採用其他網絡安全 設備如防火牆的客戶，隔離系統可以很好地和這些設備緊密結合以保證整體的安全性。通過採用單向的安全協議隔離系統，很好地滿足了安全和應用的需求。(l)在安 全性方面，通過在內部網絡和外部網絡之間架構單向安全隔離系統進行協議隔離，用 戶的數據只能從生產網絡中傳遞到辦公網絡，有效地保證了網絡的安全隔離，保證了 內部網絡的安全性；(2)很好滿足了客戶的即要求快速的數據交換，又要實現隔離的 需求，採用協議隔離系統之後，內部用戶可以方便地在隔離情況下進行安全的信息傳 遞；(3)採用該系統為整個網絡提供了高度的擴展性，為將來客戶開展其他業務提供 了基礎條件，比如資料庫、異步消息等信息交換。如圖2所示是實施上述單向隔離方法的一種隔離裝置，包括有PCI總線接口、不 可信端隔離卡、可信端隔離卡和LVDS總線，PCI總線接口設有兩個，分別與不可信端 隔離卡、可信端隔離卡連接，而不可信端隔離卡通過LVDS總線與可信端隔離卡連接。 不可信端隔離卡上設置有依次相連的TCP/IP協議棧、協議分析模塊和會話模塊，不可 信端網絡PCI總線接口與TCP/IP協議棧相連；可信端隔離卡上設置有依次相連的會話 模塊、協議重構模塊和TCP/IP協議棧，可信端網絡PCI總線接口與TCP/IP協議棧相 連；LVDS總線的兩端分別與不可信端隔離卡和可信端隔離卡上的會話模塊相連。通過兩個PCI總線接口分別與兩臺計算機相連，而兩臺計算機分別與外部網絡、 內部網絡連接。LVDS總線用於在兩個隔離卡之間傳輸數據，其交換速率可以達到 1G/bps。不可信端隔離卡和可信端隔離卡的功能是不同的，它們的功能主要表現在將
不可信端計算機傳輸的專用格式的應用數據包，並通過電子設備傳送到對端。可信主 機進行源鑑別、緩存、中繼等處理，並接收數據。隔離設備的傳輸單向性為安全板的核心。如圖3 — 1至圖3—4所示的電路圖，D1型號為PCI9054—C晶片，為PLX公司開發 的PCI總線接口晶片，主要功能為實現安全板和計算機之間的PCI連接和數據傳輸。D2型號為XC2S100PQ208,為XILINX公司開發的FPGA晶片，主要功能為實現安全 板高速數據交換，以及完成安全板內部接口控制功能。D3和D4型號為IDT72V3670，為IDT公司開發的大容量同步FIFO晶片，主要功能 為實現數據的發送和接收，在進行LVDS信號轉化發送之前起到緩存數據的作用。D5型號為XCF01S，為XILINX公司開發的串行PR0M，存儲的XC2S100PQ208的執 行邏輯，用於XC2S100PQ208的在線配置。D9和D10的型號分別為SN65LVDS96和SN65LVDS95晶片，為TI公司開發的多通 道高速LVDS串行總線的串行調製器和解調器，其中，SN65LVDS95為串行發送晶片， SN65LVDS96為串行解調器接收晶片。主要功能為實現安全板間高速數據連接。
權利要求
1、一種網絡中單向協議隔離方法，包括有以下步驟a、網絡數據為TCP/IP數據，通過不可信端網絡接口層傳遞TCP/IP協議棧；b、TCP/IP協議棧根據對網絡數據依據全局安全策略庫中的規則進行訪問控制；c、TCP/IP數據在由TCP/IP協議棧傳遞給協議分析模塊，協議分析模塊根據應用協議不同採用不同應用協議狀態機處理，其中，協議分析模塊中輸入的是TCP/IP的應用協議數據，輸出的是GAP協議數據包；d、GAP協議數據包由協議分析模塊傳遞給會話模塊，會話模塊啟動具體的隔離程序，把合理的數據擺渡給對方的會話模塊中；e、當數據傳輸到對端時，對端會話模塊依據數據的會話ID，把GAP數據連同控制信息交到特定的協議重構模塊，協議重構模塊依據全局安全策略庫的設置，完成應用數據協議重組，並交給TCP/IP協議棧處理；其中，協議重構模塊中輸入的是GAP協議數據包，輸出的TCP/IP的應用協議數據；f、通過網絡，TCP/IP協議棧構造合法數據包，通過可信端網絡進行傳輸處理。
2、 根據權利要求1所述的隔離方法，其特徵在於所述GAP協議數據包是基於 Linux系統下的格式。
3、 根據權利要求1所述的隔離方法，其特徵在於所述步驟b中的全局安全策略 庫中的訪問控制規則為時間、數據源IP、源埠、目的IP和目的埠。
4、 根據權利要求1所述的隔離方法，其特徵在於所述步驟C中的協議狀態機包 括HTTP協議狀態機、FTP協議狀態機、SMTP協議狀態機和P0P3協議狀態機，每個 協議狀態機提供自己對應的協議分析單元；每個經TCP/IP協議棧傳過來的數據會傳遞 到相應的協議分析單元去作協議分析。
5、 根據權利要求1所述的隔離方法，其特徵在於所述步驟e中的全局安全策略 庫的設置為對數據進行關鍵詞搜索、病毒査殺、關鍵的數據比特位。
6、 一種使用如權利要求l、 2、 3或4所述隔離方法的單向協議隔離裝置，其特徵 在於該隔離裝置包括有PCI總線接口、不可信端隔離卡、可信端隔離卡和LVDS總線， 所述PCI總線接口設有兩個，分別與不可信端隔離卡、可信端隔離卡連接，而不可信 端隔離卡通過LVDS總線與可信端隔離卡連接。
7、 根據權利要求6所述的單向協議隔離裝置，其特徵在於所述不可信端隔離卡 上設置有依次相連的TCP/IP協議棧、協議分析模塊和會話模塊，不可信端網絡PCI 總線接口與TCP/IP協議棧相連；所述可信端隔離卡上設置有依次相連的會話模塊、協 議重構模塊和TCP/IP協議棧，可信端網絡PCI總線接口與TCP/IP協議棧相連；LVDS 總線的兩端分別與不可信端隔離卡和可信端隔離卡上的會話模塊相連。
全文摘要
本發明公開了一種網絡中單向協議隔離方法及其專用設備。本發明真正實現內外網絡之間的單向協議隔離，保證內部網絡安全，黑客不能與內部網絡建立直接的會話；具有病毒防範、訪問控制、安全審計的功能；數據只能單向傳輸，即由安全級別低的網絡向安全級別高的網絡傳輸；反之當數據包從可信端向不可信端發送時，是無硬體線路支持，不可能有數據流通，從而保證內部高級別網絡數據不可能洩漏到低級別網絡中，進一步提高系統的安全性。
文檔編號H04L12/24GK101127761SQ20061010967
公開日2008年2月20日 申請日期2006年8月16日 優先權日2006年8月16日
發明者史乃彪, 張乃靖, 郭樂深 申請人:北京城市學院