专利名称:主动仲裁的安全隔离与信息交换系统的制作方法
技术领域:
本实用新型涉及信息安全领域,尤其涉及一种主动仲裁的安全隔离与信息交换系 统。
背景技术:
随着计算机技术的飞速发展,多级网络间的数据交换越来越频繁,信息安全也成 为人们关注的重要问题。多级网络间存在较高的隐蔽信息传输带宽,攻击者可以利用其渗 透用户端机及安全隔离系统。请参阅图1所示,为攻击者构造不受控信息通道的常用方法 首先了解配置在ZZ上的策略(例如,通过社会工程学的方法),此后,假设攻击者从X和Y 开始,分别对设备的XX,YY进行了渗透,当从X到XX发起一个新的连接时,在XX处攻击者 会生成新的合法内容C,并把信息隐蔽到合法的信息中,称为载体。(对合法的内容,对其内 容的利用未达到满熵的地步,即存在隐蔽信息的可能,从美国1985年的DOD白皮书开始,针 对4级以上的系统要求限制隐蔽通道带宽而不是完全消除隐蔽通道)。并经过ZZ发送到 YY,这个连接对U来说是合法的(符合策略的),内容也能够通过检查(本身就生成的合法 内容,隐蔽内容仅仅隐藏在富余的熵中),在YY上用于伪装的内容C会被丢弃,而隐蔽在其 他内容中的隐蔽信息被YY提取后重新生成,并建立与Y的会话连接,从而实现了不受控通 道。假设存在η个载体,不同的长度为Li,(不失一般性,按可隐蔽信息的量降序排序)其 中前Hli个载体分别可以加载隐蔽信息Ici位,设网络速度为s (单位Mpbs),则每秒中通过可
传输的隐蔽信息即隐蔽信息带宽为" =。
Z=I7=17=17 = 1非主动仲裁式的安全隔离系统额外产生的不受控通道如下(1)通过会话标识的隐蔽通道。由于TCP/IP层的剥离,XX与YY之间的通讯,必须 有会话标识以在并行会话中进行区分,如果此会话标识由两端机生成,由于会话标识仅起 并发连接标识作用,因此可以被利用来加载隐蔽信息。若系统设置的会话标识为8位,假设 应用层每次传输40位字节。则在100M环境下,每秒中通过会话标识传输的隐蔽信息量为 100/(8+40)= 6Mbps ο( 通过数据流长度分段的隐蔽通道。整个应用层数据块为合法数据,但是根据隐 蔽数据对每次传输数据的长度进行不同的分段,在MTU = 1500的环境下,(内部交换卡通 常非网卡,在此假设MTU为此值),隐蔽信息的带宽为ΙΟΟΛΜΤυ/^Φ δΟ Γ Λ = 12Mbps。(3)通过应用层信息排序的方法。此类隐蔽方法在各种期刊中介绍的非常多。例 如HTTP头部信息,邮件头部信息,FTP请求序列等等。此处我们以邮件协议的头部为例,邮 件协议头部的常见参数约20个,RFC标准协议中并未规定其排序的顺序,则对于一封2000 字节的电子邮件,其可隐蔽的字节数为1ο&20 ! =61,在百兆中实际的带宽约为3Mbps。(4)通过应用层信息隐写的方法。此类隐蔽通道的带宽变化范围很广,根据典型的 LSB方法,在百兆网中隐蔽信息的带宽约为1/8,即12Mbps。
实用新型内容本实用新型的目的是通过提供一种主动仲裁的安全隔离与信息交换系统,以解决 多级网络之间存在的较高隐蔽信息传输带宽的问题。为了达到上述目的,本实用新型提供了如下技术方案一种安全隔离与信息交换系统,为三机系统,包括两端机,其分别包含一通信端 口,与外端机连接,用于从外端机接收数据;一数据处理模块,与所述通信端口连接,用于处 理所述接收的数据;以及一自定义协议模块,与所述数据处理模块连接,用于根据自定义协 议与仲裁机建立通信链路;一仲裁机,其包含一规则下载模块,与跨域管理中心连接,用于 从所述跨域管理中心下载策略;一策略库,与所述规则下载模块连接,用于存储所述下载的 策略;两自定义协议模块,用于根据自定义协议分别与所述两端机建立通信链路;以及一 调度模块,与所述策略库连接,用于从策略库调出策略,通过所述两自定义协议模块控制与 所述两端机间通信链路的连通与断开;所述三机分别包含TPM模块,仲裁机要求两端机的 TPM模块对其做可信报告,如果通过验证则生成会话标志。所述仲裁机还可以包含一缓存模块,分别与所述仲裁机的调度模块和两自定义协 议模块,用于在过滤应用层数据时缓存数据。所述调度模块还可以包含一签名认证子模块,用于根据用户的需求对经过的数据 块进行签名认证。所述仲裁机分别与所述两端机间还可以包含一隔离部件,用于对单包采用后退式 时间推进方式,保证两端机无法攻击仲裁机。与现有技术相比,本发明的有益效果在于安全隔离与信息交换系统自身抗攻击 能力极大提高,隐蔽通道带宽极大降低,多级网络间数据传输的安全性显著增强。
图1为攻击者构造不受控信息通道常用方法的原理示意图;图2为本实用新型安全数据交换的原理示意图;图3为本实用新型仲裁系统的状态机流程图;图4为本实用新型三机系统总体框架图。
具体实施方式
以下结合附图和具体实施例对本实用新型进行进一步阐述。本实用新型旨在采用主动仲裁的三机系统,通过仲裁机生成会话标志来避免隔离 设备额外生成隐蔽通道,在仲裁机提供缓存以避免长度隐蔽通道,对文件进行签名认证来 避免应用层的隐蔽通道,三机采用TPM模块,利用TPM的可信报告功能提高仲裁机的可靠 性。请参阅图2,所示为本实用新型安全数据交换原理示意图。鉴别合法的数据的方法 分为两个大类,一是数据来源是可信的,二是数据本身是可信的。本实用新型不涉及外部的 可信验证。针对设备内部,仲裁机通过两端机TPM的可信度量和可信报告,来验证两端机交 换程序的可信性(此方法同时提高仲裁机的自身安全,将在图4中详述)。针对数据本身的 可信,若安全数据交换要求不能在应用层存在隐蔽信息,则隔离设备规定经过的数据必须是数据块(文件),并且该文件必须经过签名。若用户对安全数据交换的需求是应用层隐蔽 信息小于一定带宽,则隔离设备根据配置的策略对经过的数据进行过滤,除了均勻编码之 外,大部分现有应用层信息都无法达到满熵,因此必然存在隐蔽通道(又称为隐写)。针对任何经过的数据,可分为数据块和数据流两个层次。数据块与数据块之间没 有关系,而数据流与数据流之前存在前后关系。一个数据块可称为一个文件,一个数据块由 一段数据流构成。针对经过设备的每一个数据块,其根据不同的应用协议,可包含多个数据 块。针对每个数据块,其是合法数据还是非法数据,可采用安全策略进行判定。假设安全策 略库S= (S1,... ,Si,... ,SJ由η个子策略集构成,全部交换的数据L = (L1,... ,Li,..., LJ由m个数据块构成,并存在η个判断函数f(Si,li),其中(Si e S5Ii e L)。则总的判定
η函数是子判定函数的连接,总的判定值满足=YlMSlA)。请参阅图3所示,为本实用新型仲裁系统的状态机流程图,可以用一个二带图灵 机来描述仲裁系统,其状态机包括四个状态{1,2,3,4},和四个控制输入1^(100,err (χ), oka (χ), end (χ)和一个数据输入dat (χ)每个信号分为x = 0和χ = 1,表示来自哪个方向 的一端机。一次典型的数据通讯过程如下,开始时状态机的状态是1,当收到来自一端机的 访问请求req(x)时(该请求应包含请求来源,请求的身份,请求的目标),若请求参数均满 足判定f,(则创建会话序列号,并把请求的目标和Sn发送到另一端,)并进入状态2,同时 调用f(Sn)分配会话参数,根据来自跨域管理中心的配置,转换请求的身份,转换请求的目 标,向另一端发出指令(包括该&会话参数),去连接该真实目标;如果参数不满足则保持 停留在状态1。在状态2,如果收到另一端机的响应,并且得到其正确连接真实目标的答复 oka (χ),则进入状态3,并产生数据通路(称为受控通路),否则释放会话参数,回到状态1。在状态3,对于任何来自两端机的数据包,均会打上在前述状态中分配的会话标 识,以在并发会话的时候区别会话归属。针对收到的任何数据包,根据管理中心的配置可缓 存到本地,并调用相应的应用层过滤策略进行筛查,若发现有问题则阻断连接,直接进入状 态4 ;针对收到的控制数据,如果是结束包,则正常进入状态4,并向另一端发送结束控制信 息。状态4释放会话标识等资源后回到状态1,等待下一次连接,每个连接创建一个自动机 (包括控制通道和数据通道),并由一个总的调度进程管理。请参阅图4所示,为主动仲裁的三机系统100总体框架图。包括两端机110、130, 其分别包含,一通信端口 112、132,与外端机连接,用于从外端机接收数据;一数据处理模 块114、134,与所述通信端口连接,用于处理所述接收的数据;以及一自定义协议模块113、 133,与所述数据处理模块连接,用于根据自定义协议与仲裁机120建立通信链路;一仲裁 机120,其包含,一规则下载模块126,与跨域管理中心140连接,用于从所述跨域管理中心 下载策略;一策略库125,与所述规则下载模块连接,用于存储所述下载的策略;两自定义 协议模块121、123,用于根据自定义协议分别与所述两端机建立通信链路;以及一调度模 块124,与所述策略库连接,用于从策略库调出策略,通过所述两自定义协议模块控制与所 述两端机间通信链路的连通与断开;所述三机分别包含TPM模块111、121、131,仲裁机要求 两端机的TPM模块对其做可信报告,如果通过验证则生成会话标志。所述仲裁机还包含一 缓存模块122,分别与所述仲裁机的调度模块和两自定义协议模块连接,用于在过滤应用层 数据时缓存数据。所述调度模数据进行签名认证。所述仲裁机分别与所述两端机间包含一隔离部件150、160,用于对单包 采用后退式时间推进方式,保证两端机无法攻击仲裁机。系统启动时,首先仲裁机120通过规则下载模块1 从跨域管理中心140下载策 略存入策略库125,然后调度模块IM根据策略库125中的策略,主动通过自定义协议模块 121、123连接两端机110、130,要求两端机110、130的TPM模块111、131做可信报告,验证 通过后,生成会话标志,创建自动机,开启数据交换功能,并等待;当外端机数据连接之后, 三机之间的通讯如下(其中A代表端机110,B代表仲裁机120,C代表端机130) :A发送 A —B的控制信息req(0)TnIPA,B收到请求后,在策略库中检索出转换关系对(IPA,II\),仓Ij 建会话参数&,保存(Tn,Sn)对,发送B —C的控制信息req(l)&IPB,C收到信息后,连接真 实的服务器IPb后,发送C — B的控制信息oka(l) Sn, B收到消息后,发送B — A的控制信 息oka (O)TnSn,删除保存的(Tn, Sn)对。链路建立完成。此后A发送A —B的数据块dat(O) Sn(可能多个);B组合后调用策略库内容,根据过滤函数f进行过滤,此后发送给B — C的 数据块dat(l)&(多个,注意这里dat(O)和dat(l)并不是一一应对的);数据传输结束后, 由C发送C — B的控制信息end (1) Sn,由B发送B — A的控制信息end (1) Sn,整个数据交换 过程结束。在整个过程中可能出现几个分支,(1)在步骤中,如果B无法在策略库中找到 (IPa, IPb)则直接发送拒绝链接并直接返回状态1 ; (2)在步骤中,如果C无法链接真实的服 务器则发送C — B的控制信息err (1) Sn,是B回到状态1 ; (3) B在过滤函数f返回失败后直 接向两端发送两个控制信息err (0) 和err (1) &,并且保留的全部dat被直接丢弃。(4) 断开链接时可能是A或者C先发结束信息,B的处理有略微不同;(5)其他不典型的分支不 再详述。此外,两端机的TPM模块做为可信根,极大的降低了两端机被渗透的可能性;其可 信度量和可信报告的作用,极大的降低了两端机被渗透之后,通过自定义协议渗透仲裁机 的可能性。以上对本实用新型实施例提供的技术方案进行了详细的介绍,本文中应用了具体 实施例对本实用新型所实施的原理及实施方式进行了阐述,以上实施例的说明只是用于帮 助理解明本实用新型实施的原理;同时,对于本领域的一般技术人员,本实用新型实施例, 在具体实施方式
以及应用范围上均有改变之处,综上所述,本说明书内容不应理解为对本 实用新型的限制。
权利要求1.一种安全隔离与信息交换系统,为三机系统,其特征在于,包括 两端机(110,130),其分别包含,一通信端口(112,132),与外端机连接,用于从外端机接收数据; 一数据处理模块(114,134),与所述通信端口连接,用于处理所述接收的数据;以及 一自定义协议模块(113,133),与所述数据处理模块连接,用于根据自定义协议与仲裁 机(120)建立通信链路; 一仲裁机(120),其包含,一规则下载模块(1 ),与跨域管理中心(140)连接,用于从所述跨域管理中心下载策略;一策略库(125),与所述规则下载模块连接,用于存储所述下载的策略;两自定义协议模块(121,123),用于根据自定义协议分别与所述两端机建立通信链路;以及一调度模块(1 ),与所述策略库连接,用于从策略库调出策略,通过所述两自定义协 议模块控制与所述两端机间通信链路的连通与断开;所述三机分别包含TPM模块(111,121,131),仲裁机要求两端机的TPM模块对其做可信 报告,如果通过验证则生成会话标志。
2.根据权利要求1所述的安全隔离与信息交换系统,其特征在于,所述仲裁机还包含 一缓存模块(12 ,分别与所述仲裁机的调度模块和两自定义协议模块连接,用于在过滤应 用层数据时缓存数据。
3.根据权利要求1或2所述的安全隔离与信息交换系统,其特征在于,所述调度模块还 包含一签名认证子模块,用于根据用户的需求对经过的数据进行签名认证。
4.根据权利要求1或2所述的安全隔离与信息交换系统,其特征在于,所述仲裁机分别 与所述两端机间包含一隔离部件(150,160),用于对单包采用后退式时间推进方式,保证两 端机无法攻击仲裁机。
专利摘要本实用新型公开了一种安全隔离与信息交换系统,包括两端机,其分别包含,一通信端口,一数据处理模块,以及一自定义协议模块;一仲裁机,其包含,一规则下载模块,一策略库,两自定义协议模块,以及一调度模块;所述三机分别包含TPM模块,仲裁机要求两端机的TPM模块对其做可信报告,如果通过验证则生成控制标志。本实用新型自身抗攻击能力极大提高,隐蔽通道带宽极大降低,使得多级网络间数据传输的安全性显著增强。
文档编号H04L29/06GK201821379SQ20102023082
公开日2011年5月4日 申请日期2010年6月11日 优先权日2010年6月11日
发明者吴益清, 沈民, 蔡智勇 申请人:上海金电网安科技有限公司