专利名称:网络中双向协议隔离方法及其装置的制作方法
技术领域:
本发明涉及一种网络中双向协议隔离方法,对网络中传输的数据能进行双向协议 隔离,以及相应的双向协议隔离装置。
技术背景信息化是发展我国经济的必由之路,可以说,在当今世界上,谁的信息化程度愈 高,谁就占据着经济发展的主动。电子政务作为国家信息化建设的重点工程,对于提高政府办公效率、增加政府办 公透明度有重要作用。但是,电子政务建设的发展也给我们提出了新的问题,比如, 计算机病毒等有害信息的传播,严重影响正常的网络活动;网络违法犯罪行为日益突 出,攻击政务网站、散布谣言等种种违法活动,严重干扰了电子政务的有序运行,甚 至危及社会的稳定。信息网络上的安全问题己引起党和国家的高度重视,中央领导明 确提出了 "趋利避害"、"兴利除弊"的方针,要求在信息化建设过程中,必须抓好 信息系统的安全的建设。目前我国信息系统的安全技术与产品主要是加密与VPN技术、漏洞扫描技术、防病毒技术、内容审计技术、防电磁泄漏技术、强认证网关、防火墙 技术(Firewall)等。其中边界保护技术传统的采用是以防火墙(Firewall)为核心 的防御体系,通过纵深防御、系统联动达到协同保护网络安全的目的。但是,尽管防火墙(Firewall)在安全防御中作为一种核心的访问控制手段,起 到了不可替代的作用,但以防火墙为核心的防御体系已经不能满足网络安全的真正需 求,因为防火墙始终保持了可信网络与不可信网络之间的TCP/IP连接。这样就不可能 真正解决内外网络之间信息交互的安全问题。 一旦防火墙因攻击或故障失效,或不能 正确实现其职能时,始终存在的TCP/IP连接就成为攻击者攻击受保护网络的罪恶之 手。因此,设计一种TCP/IP连接断开同时逻辑连接的安全设备是意义重大的。正是基 于以上的想法,产生了新的协议隔离技术(GAP)。协议隔离的指导思想与防火墙有很大的不同(1)防火墙的思路是在保障互联互 通的前提下,尽可能安全,而(2)协议隔离的思路是在保证必须安全的前提下,尽可 能互联互通。通过协议隔离设备可以解决目前防火墙(Firewall)存在的根本问题1) 防止TCP/IP的协议漏洞其中一段不用TCP/IP,使用独立的GAP协议;2) 屏蔽防火墙中内网、外网和DMZ同时直接TCP/IP连接采用双主机结构;3) 防护应用协议的漏洞,因为应用协议的命令和指令可能是非法的进行应用层级别的协议内容检查。在国内,目前许多公司开展了隔离技术研究,并推出了自己产品,但性能不如国 外。最初第一代隔离技术提出的是双网的概念、即每个用户拥有两台独立的计算机, 这种方式的最大缺点就是对资源的严重浪费,随着硬件和软件产品的飞速发展第二代 第三代隔离产品相继问世。这些新产品在技术上比较第一代有了很大的改进与提高, 方便了客户,降低了成本,但还是有很多问题没有得到妥善的解决,如内外网络物理 隔离问题、内外网的信息高速交换问题等。国内现有的网络隔离产品,有的只是实现 了隔离功能,但是内、外网络之间不能进行信息交换;有的产品虽然有内、外网信息 交换功能,但是速度很慢,不能满足当今网络数据进行高速交换的需求。总之,目前 国内的隔离技术存在如下问题1) 有的是单纯基于开关方式隔离,不能在内外网络之间方便地进行数据交换;2) 即使是有基于开关方式数据交换功能的隔离技术,也是速度很慢,最高不过 丽bit/s;3) 没有高级的应用层检査功能、也没有病毒检测功能;4) 支持的用户数目少,只能针对很小的网络等诸多问题。 发明内容本发明所要解决的技术问题是提出一种简便易行、能进行双向隔离的网络中双向 协议隔离方法。本发明所提供的技术方案是 一种在网络中双向协议隔离方法,包括有以下步骤-a、 网络数据为TCP/IP数据,通过不可信端网络接口层传递TCP/IP协议栈;b、 TCP/IP协议栈根据对网络数据依据全局安全策略库中的规则进行访问控制;c、 TCP/IP数据在由TCP/IP协议栈传递给协议分析模块,协议分析模块根据应用 协议不同采用不同应用协议状态机处理,其中,协议分析模块中输入的是TCP/IP应用 协议数据,输出的GAP协议数据包;d、 GAP协议数据包由协议分析模块传递给会话模块,会话模块启动具体的隔离程 序,把合理的数据摆渡给对方的会话模块中;e、 当数据传输到对端时,对端会话模块依据数据的会话ID,把GAP数据连同控 制信息交到特定的协议重构模块,协议重构模块依据全局安全策略库的设置,完成应 用数据协议重组,并交给TCP/IP协议栈处理;其中,协议重构模块中输入的是GAP 协议数据包,输出的TCP/IP应用协议数据;f、 通过网络,TCP/IP协议栈构造合法数据包,通过可信端网络进行传输处理;g、 在需将内部网络中的TCP/IP数据传输到外部网络时,通过可信端网络接口层 传递TCP/IP协议栈;h、 重复上述步骤b;i、 重复上述步骤C; j、重复上述步骤山k、重复上述步骤e;1、通过网络,TCP/IP协议栈构造合法数据包,通过不可信端网络进行传输处理。 所述GAP协议数据包是基于Limix系统下的格式。
上述步骤b和h中的全局安全策略库中的访问控制规则为时间、数据源IP、源 端口、目的IP和目的端口。
上述步骤c和i中的协议状态机包括HTTP协议状态机、FTP协议状态机、SMTP 协议状态机和P0P3协议状态机,每个协议状态机提供自己对应的协议分析单元;每个 经TCP/IP协议栈传过来的数据会传递到相应的协议分析单元去作协议分析。
上述步骤e和k中的全局安全策略库的设置为对数据进行关键词搜索、病毒査 杀、关键数据的比特位。
实施上述隔离方法的双向协议隔离装置,该隔离装置包括有PCI总线接口、不可 信端隔离卡、可信端隔离卡和LVDS总线,所述PCI总线接口设有两个,分别与不可信 端隔离卡、可信端隔离卡连接,而不可信端隔离卡通过LVDS总线与可信端隔离卡连接; 所述不可信端隔离卡上设置有TCP/IP协议栈、协议分析模块、协议重构模块和会话模 块;所述可信端隔离卡上设置有会话模块、协议重构模块、协议分析模块和TCP/IP 协议栈。
本发明有如下优点真正实现内外网络之间的协议隔离,保证内部网络安全,黑 客不能与内部网络建立直接TCP/IP的会话,其中核心的隔离卡的功能不可编程的;提 供内容审査,DNS保护,能抵抗恶意攻击行为;数据可以双向传输,即提供用户很好
的安全性,也方便用户的数据访问。
下面结合附图和实施例来详细说明本发明。
图l为本发明的流程图2为本发明的装置结构框图3 — 1至图3 — 6为本发明装置的电路图。
其中 1: LVDS总线
具体实施例方式
隔离是在为了保护高安全度网路环境情況,实施的安全技术手段,但是由于隔离
的语义不同,产生不同隔离技术,可以总结如下
1、 完全隔离(Disconnection)技术此方法要求内外网络各自独立运行,彼此 之间彻底地切断连接,也就是我们称为双机双网系统,它是达到内外网络彼此成为不 可能交互信息孤岛,从而达到或接近绝对安全境界;缺点是信息交流十分不便,成本 高,维护和使用不便利,是一个缺点和优点都十分突出地方法。这也是第一代隔离技 术这种方式的最大缺点就是对资源的严重浪费;
2、 物理封闭(Isolation)技术,(即隔离=电子开关)硬盘隔离卡技术、隔离 交换机、隔离集线器,基于电子开关的隔离产品等技术是物理封闭的代表,通过电子 开关技术达到数据在不同的两个物理封闭网络之间交换的技术,它的原理利用电子开
关控制客户端或数据连通到内部还是外部网络,这是由用户控制按照不同时间、地点, 连接内外网络的安全策略。这些技术上比第一代有了很大的改进与提高,方便了客户, 降低了成本,但还有很多问题没有得到妥善的解决,如内外网的信息高速交换问题等。
而协议隔离方法通过专用硬件设备(基于LVDS总线或SCSI总线的隔离卡等)和 专用安全通信协议(非TCP/IP协议)等安全机制,时刻保证内外网络有条件地(相当 困难条件,即数据必须通过一段私有协议和私有的电子通路)连接,来实现内外网络 隔离和数据交换,Gap技术解决内外网络隔离开来,而且同时实现内外数据的安全交 换,我们称之为协议隔离技术。其实现基本原理数据通过外网主机O隔离板(不可 信端安全隔离卡+LVDS+可信端安全隔离卡)O内网主机这一过程;协议的数据经过 即TCP/IP协议《GAP协议GTCP/IP协议的数据交换方式,其中GAP协议彻底地隔离 内外网络之间的TCP/IP协议之间互相连接(与防火墙相比,防火墙中内外网络数据交 换全部采用TCP/IP协议),起到TCP/IP协议的隔离作用,使得数据在内外网络交换 时,必须经过一段非TCP/IP私有协议——GAP协议的传输与交换,称GAP协议是TCP/IP 协议的隔离协议,这种隔离实现方法称为协议隔离。
如图l所示的一种网络中双向协议隔离方法,包括有以下步骤
a、 网络数据为TCP/IP数据,通过不可信端网络接口层传递TCP/IP协议栈;
b、 TCP/IP协议栈根据对网络数据依据全局安全策略库中的规则进行访问控制;
c、 TCP/IP数据在由TCP/IP协议栈传递给协议分析模块,协议分析模块根据应用 协议不同采用不同应用协议状态机处理,其中,协议分析模块中输入的是TCP/IP应用 协议数据,输出的GAP协议数据包;
d、 GAP协议数据包由协议分析模块传递给会话模块,会话模块启动具体的隔离程 序,把合理的数据摆渡给对方的会话模块中;
e、 当数据传输到对端时,对端会话模块依据数据的会话ID,把GAP数据连同控 制信息交到特定的协议重构模块,协议重构模块依据全局安全策略库的设置,完成应 用数据协议重组,并交给TCP/IP协议栈处理;其中,协议重构模块中输入的是GAP 协议数据包,输出的TCP/IP应用协议数据;
f、 通过网络,TCP/IP协议栈构造合法数据包,通过可信端网络进行传输处理;
g、 在需将内部网络中的TCP/IP数据传输到外部网络时,通过可信端网络接口层 传递TCP/IP协议栈;
h、 重复上述步骤b;
i、 重复上述步骤C; j、重复上述步骤d; k、重复上述步骤e;
1、通过网络,TCP/IP协议栈构造合法数据包,通过不可信端网络进行传输处理。 其中GAP协议主要用于在内外主机之间的安全板之间执行数据交换,GAP协议的协议栈是基于Linux系统下编写的内核驱动,GAP的协议驱动程序支持通过安全板内
的双向可控通信路径。这个协议驱动程序给出一般的Linux系统下1/0例程并且隐藏 硬件芯片的特性,协议驱动程序将被发送的数据包变成一个GAP的数据封装协议的数 据包,并且把数据包内容缓冲队列,DMA控制器具体传输每个缓冲区到安全板上。当 DMA控制器到达链的末端时,发送就停止。然后安全板将传输数据到另一个安全板一 边,当最后的一个字(word)传输到另外一边,在另外一边的安全板产生一个中断来 启动GAP的协议驱动程序,通过GAP的协议驱动程序剥离相关的数据,并且按照GAP 的数据封装协议的数据包中协议格式把具体数据交付给相关的应用程序处理;完成后 安全板就可以准备处理一个新的GAP协议的传输。
其中TCP/IP协议栈是个通用的TCP/IP网络协议栈模块,处理系统中所有的 TCP/UDP进程,并且它是一个不依赖于操作系统的TCP/IP堆栈;该协议栈不会支持其 他的附加的IP层协议,比如DHCP和ICMP,因此,GAP不支持Ping命令穿过它。
TCP/IP模块分别从对应的协议重构模块和内(或外)网络获取或输入数据,并传 递给协议分析模块,或者接受协议重构模块的输入数据,组成合法的安全TCP/IP数据 包,通过网络传输到目的地。
协议分析模块对协议数据消息进行分析,它提供语法检査并用专用压縮表达方式 重新构建相同消息,重构的消息被传送到会话管理模块。
协议分析模块分为HTTP、 FTP、 P0P3和SMTP等协议状态机,每个协议状态机提供 自己对应的协议分析单元。每个经TCP/IP模块传过来的数据会传递到相应的协议分析 单元去作协议分析。
协议重构模块分析处理过的消息,并按照标准协议格式重构这些消息为特定应用 数据包。这些消息与TCP模块生成的原消息类似,但不相同,如包的源地址可能已经 被修改。协议重构模块会把再生成的消息传递到最后一个流程模块,即TCP/IP模块。
在内网端的协议重构模块,数据将依据全局安全策略库的规定,进行细粒度的应 用数据安全处理。在外网端的协议重构模块,其应用数据安全、访问控制的粒度则较 粗。
会话管理模块负责调用基于Linux的GAP协议驱动,利用GAP协议在两个安全板 之间建立一个GAP专用通道,并将GAP专用通道的ID与特定的Socket ID、网络接口 地址表绑定起来。
会话管理模块还利用GAP协议将这些绑定信息与对端的会话管理模块进行同步, 以便接收数据的回传。
全局安全规则库包含安全管理员定义的所有安全策略集,这些安全策略包括基于 TCP/IP协议头内容进行的访问控制规则时间、数据源IP、源端口、目的IP和目的 端口;基于数据内容的安全规则,如病毒查杀策略、应该搜索的关键词、关键的数据 比特位等。
全局安全规则库是通过安全管理模块完成配置的。安全管理模块把全局安全规则 库通过内网端进行加载到隔离系统,而其中属于外网端的安全规则加载到外端协议分 析模块、协议重构模块是通过GAP协议完成的。这使得内外网络之间的通信始终通过 了 GAP来完成,从而保证内外网络总是协议断开的。
如图2所示是实施上述双向隔离方法的一种隔离装置,包括有PCI总线接口、不 可信端隔离卡、可信端隔离卡和LVDS总线,PCI总线接口设有两个,分别与不可信端 隔离卡、可信端隔离卡连接,而不可信端隔离卡通过LVDS总线与可信端隔离卡连接; 所述不可信端隔离卡上设置有TCP/IP协议栈、协议分析模块、协议重构模块和会话模 块;所述可信端隔离卡上设置有会话模块、协议重构模块、协议分析模块和TCP/IP 协议栈。
通过两个PCI总线接口分别与两台计算机相连,而两台计算机分别与外部网络、 内部网络连接。LVDS总线用于在两个隔离卡之间传输数据,其交换速率可以达到 1G/bps。不可信端隔离卡和可信端隔离卡的功能是对称的,它们的功能主要表现在将 可信/不可信端计算机传输的专用格式的应用数据包进行源鉴别、缓存、中继等处理, 并通过程序隔离开关传送到对端。
如图3—1至图3—6所示的电路图,D1型号为PCI9054—C芯片,为PLX公司开发 的PCI总线接口芯片,主要功能为实现安全板和计算机之间的PCI连接和数据传输;
D2型号为XC2S100PQ208芯片,为XILINX公司开发的FPGA芯片,主要功能为实 现安全板高速数据传输,以及完成安全板内部接口控制功能;
D3和D4型号为IDT72V3670芯片,为IDT公司开发的大容量同步FIFO芯片,主 要功能为实现数据的发送和接收,在进行LVDS信号转化发送之前起到缓存数据的作 用;
D5型号为XCF01S芯片,为XILINX公司开发的串行PR0M,存储的XC2S100PQ208 的执行逻辑,用于XC2S100PQ208的在线配置;
D9和D10的型号分别为SN65LVDS96和SN65LVDS95芯片,为TI公司开发的多通 道高速LVDS串行总线的串行调制器和解调器,其中,SN65LVDS95为串行发送芯片, SN65LVDS96为串行解调器接收芯片,主要功能为实现安全板间高速数据连接。
权利要求
1、一种网络中双向协议隔离方法,包括有以下步骤a、网络数据为TCP/IP数据,通过不可信端网络接口层传递TCP/IP协议栈;b、TCP/IP协议栈根据对网络数据依据全局安全策略库中的规则进行访问控制;c、TCP/IP数据在由TCP/IP协议栈传递给协议分析模块,协议分析模块根据应用协议不同采用不同应用协议状态机处理,其中,协议分析模块中输入的是TCP/IP应用协议数据,输出的是GAP协议数据包;d、GAP协议数据包由协议分析模块传递给会话模块,会话模块启动具体的隔离程序,把合理的数据摆渡给对方的会话模块中;e、当数据传输到对端时,对端会话模块依据数据的会话ID,把GAP数据连同控制信息交到特定的协议重构模块,协议重构模块依据全局安全策略库的设置,完成应用数据协议重组,并交给TCP/IP协议栈处理;其中,协议重构模块中输入的是GAP协议数据包,输出的TCP/IP应用协议数据;f、通过网络,TCP/IP协议栈构造合法数据包,通过可信端网络进行传输处理;g、在需将内部网络中的TCP/IP数据传输到外部网络时,通过可信端网络接口层传递TCP/IP协议栈;h、重复上述步骤b;i、重复上述步骤c;j、重复上述步骤d;k、重复上述步骤e;l、通过网络,TCP/IP协议栈构造合法数据包,通过不可信端网络进行传输处理。
2、 根据权利要求1所述的隔离方法,其特征在于所述GAP协议数据包是基于 Linux系统下的格式。
3、 根据权利要求1所述的隔离方法,其特征在于所述步骤b和h中的全局安全策略库中的访问控制规则为时间、数据源IP、源端口、目的IP和目的端口。
4、 根据权利要求1所述的隔离方法,其特征在于所述步骤C和i中的协议状态机包括HTTP协议状态机、FTP协议状态机、SMTP协议状态机和P0P3协议状态机, 每个协议状态机提供自己对应的协议分析单元;每个经TCP/IP协议栈传过来的数据会 传递到相应的协议分析单元去作协议分析。
5、 根据权利要求1所述的隔离方法,其特征在于所述步骤e和k中的全局安全 策略库的设置为对数据进行关键词搜索、病毒査杀、关键的数据比特位。
6、 一种使用如权利要求l、 2、 3或4所述隔离方法的双向协议隔离装置,其特征 在于该隔离装置包括有PCI总线接口、不可信端隔离卡、可信端隔离卡和LVDS总线, 所述PCI总线接口设有两个,分别与不可信端隔离卡、可信端隔离卡连接,而不可信 端隔离卡通过LVDS总线与可信端隔离卡连接;所述不可信端隔离卡上设置有TCP/IP 协议栈、协议分析模块、协议重构模块和会话模块;所述可信端隔离卡上设置有会话 模块、协议重构模块、协议分析模块和TCP/IP协议栈。
全文摘要
本发明公开了一种网络中双向协议隔离方法及其专用设备。本发明真正实现内外网络之间的协议隔离,保证内部网络安全,黑客不能与内部网络建立直接的会话,其中核心的隔离卡的功能不可编程的;提供内容审查,DNS保护,能抵抗恶意攻击行为;数据可以双向传输,既提供用户很好的安全性,也方便用户的数据访问。
文档编号H04L29/06GK101127760SQ20061010967
公开日2008年2月20日 申请日期2006年8月16日 优先权日2006年8月16日
发明者史乃彪, 张乃靖, 郭乐深 申请人:北京城市学院