专利名称:网络中单向协议隔离方法及其装置的制作方法
技术领域:
本发明涉及一种网络中单向协议隔离方法,对网络中传输的数据进行单向协议隔 离,以及相应的单向协议隔离装置。
技术背景Internet发展到今天取得了巨大的成功。电子商务和电子政务等网络应用的发展 和普及不仅给人们的生活带来了很大的方便,而且正在创造着巨大的财富。但与此同 时,Internet也给人们带来了诸如黑客、病毒、特洛伊木马等很多可怕的东西,数据 被篡改和窃取、文件被破坏,人们在享受因特网带来的欢乐的同时也在遭受着各种各 样的安全隐患威胁,47. 1X的用户声称在一年内遭遇过计算机被入侵的情况[CNNIC《中 国互联网络发展状况统计报告》]。越来越多的企业和政府部门开始采用安全防护工具 保护自己的网络安全。网络安全技术的发展伴随着Internet的普及和广泛应用也有了长足的进步,防火 墙、入侵检测、VPN、加密解密工具等安全产品逐渐产生、发展和成熟。但是到今天为 止,Internet上的安全问题不但依然存在,并且似乎更加严重其中不乏采用了防火墙、 入侵检测产品的客户。但是,尽管防火墙(Firewall)在安全防御中作为一种核心的访问控制手段,起 到了不可替代的作用,但以防火墙为核心的防御体系已经不能满足网络安全的真正需 求,因为防火墙始终保持了可信网络与不可信网络之间的TCP/IP连接。这样就不可能 真正解决内外网络之间信息交互的安全问题。 一旦防火墙因攻击或故障失效,或不能 正确实现其职能时,始终存在的TCP/IP连接就成为攻击者攻击受保护网络的罪恶之 手。因此,设计一种TCP/IP连接断开同时逻辑连接的安全设备是意义重大的。正是基 于以上的想法,产生了新的协议隔离技术(GAP)。协议隔离的指导思想与防火墙有很大的不同(1)防火墙的思路是在保障互联互 通的前提下,尽可能安全,而(2)协议隔离的思路是在保证必须安全的前提下,尽可 能互联互通。通过协议隔离设备可以解决目前防火墙(Firewall)存在的根本问题1、 防止TCP/IP的协议漏洞其中一段不用TCP/IP,使用独立的GAP协议;2、 屏蔽防火墙中内网、外网和DMZ同时直接TCP/IP连接采用双主机结构;3、 防护应用协议的漏洞,因为应用协议的命令和指令可能是非法的进行应用层级别的协议内容检查。 发明内容本发明所要解决的技术问题是提出一种简便易行、能进行隔离的网络中单向协议 隔离方法,以及单向协议隔离装置。
本发明所提供的技术方案是 一种网络中单向协议隔离方法,包括有以下步骤-
a、 网络数据为TCP/IP数据,通过不可信端网络接口层传递TCP/IP协议栈;
b、 TCP/IP协议栈根据对网络数据依据全局安全策略库中的规则进行访问控制;
c、 TCP/IP数据在由TCP/IP协议栈传递给协议分析模块,协议分析模块根据应用 协议不同采用不同应用协议状态机处理,其中,协议分析模块中输入的是TCP/IP的应 用协议数据,输出的是GAP协议数据包;
d、 GAP协议数据包由协议分析模块传递给会话模块,会话模块启动具体的隔离程
序,把合理的数据摆渡给对方的会话模块中;
e、 当数据传输到对端时,对端会话模块依据数据的会话ID,把GAP数据连同控 制信息交到特定的协议重构模块,协议重构模块依据全局安全策略库的设置,完成应 用数据协议重组,并交给TCP/IP协议栈处理;其中,协议重构模块中输入的是GAP 协议数据包,输出的TCP/IP的应用协议数据;
f、 通过网络,TCP/IP协议栈构造合法数据包,通过可信端网络进行传输处理。 所述GAP协议数据包是基于Linux系统下的格式。
其中,所述步骤b中的全局安全策略库中的简单访问控制规则为时间、数据源 IP、源端口、目的IP和目的端口。
所述步骤c中的协议状态机包括HTTP协议状态机、FTP协议状态机、SMTP协议 状态机和P0P3协议状态机,每个协议状态机提供自己对应的协议分析单元;每个经 TCP/IP协议栈传过来的数据会传递到相应的协议分析单元去作协议分析。
所述步骤e中的全局安全策略库的设置为对数据进行关键词搜索、病毒査杀、 关键数据的比特位。
实施上述隔离方法的单向协议隔离装置,包括有PCI总线接口、不可信端隔离卡、 可信端隔离卡和LVDS总线,所述PCI总线接口设有两个,分别与不可信端隔离卡、可 信端隔离卡连接,而不可信端隔离卡通过LVDS总线与可信端隔离卡连接。
所述不可信端隔离卡上设置有依次相连的TCP/IP协议栈、协议分析模块和会话模 块,不可信端网络PCI总线接口与TCP/IP协议栈相连;所述可信端隔离卡上设置有依 次相连的会话模块、协议重构模块和TCP/IP协议桟,可信端网络PCI总线接口与 TCP/IP协议栈相连;LVDS总线的两端分别与不可信端隔离卡和可信端隔离卡上的会话 模块相连。
本发明有如下优点真正实现内外网络之间的单向协议隔离,保证内部网络安全, 黑客不能与内部网络建立直接的会话;具有病毒防范、访问控制、安全审计的功能; 数据只能单向传输,即由安全级别低的网络向安全级别高的网络传输;反之当数据包 从可信端向不可信端发送时,是无硬件线路支持,不可能有数据流通,从而保证内部 高级别网络数据不可能泄漏到低级别网络中,进一步提高系统的安全性。
下面结合附图以及实施例来详细说明本发明。 图l为本发明的流程图2为本发明中的隔离装置的结构框图3 — 1至图3—4为本发明的隔离装置电路图。
具体实施例方式
隔离是在为了保护高安全度网路环境情況,实施的安全技术手段,但是由于隔离
的语义不同,产生不同隔离技术,原来的可以总结如下
1、 完全隔离(Disconnection)技术此方法要求内外网络各自独立运行,彼此 之间彻底地切断连接,也就是我们称为双机双网系统,它是达到内外网络彼此成为不 可能交互信息孤岛,从而达到或接近绝对安全境界;缺点是信息交流十分不便,成本 高,维护和使用不便利,是一个缺点和优点都十分突出地方法。这也是第一代隔离技 术这种方式的最大缺点就是对资源的严重浪费;
2、 物理封闭(Isolation)技术,(即隔离=电子开关)硬盘隔离卡技术、隔离 交换机、隔离集线器,基于电子开关的隔离产品等技术是物理封闭的代表,通过电子 开关技术达到数据在不同的两个物理封闭网络之间交换的技术,它的原理利用电子开 关控制客户端或数据连通到内部还是外部网络,这是由用户控制按照不同时间、地点, 连接内外网络的安全策略。这些技术上比第一代有了很大的改进与提高,方便了客户, 降低了成本,但还有很多问题没有得到妥善的解决,如内外网的信息高速交换问题等。
而协议隔离方法通过专用硬件设备(基于LVDS总线或SCSI总线的隔离卡等)和 专用安全通信协议(非TCP/IP协议)等安全机制,时刻保证内外网络有条件地(相当 困难条件,即数据必须通过一段私有协议和私有的电子通路)连接,来实现内外网络 隔离和数据交换,Gap技术解决内外网络隔离开来,而且同时实现内外数据的安全交 换,我们称之为协议隔离技术。其实现基本原理数据通过外网主机^隔离板(不可 信端安全隔离卡+LVDS +可信端安全隔离卡)O内网主机这一过程;协议的数据经过 即TCP/IP协议GGAP协议"TCP/IP协议的数据交换方式,其中GAP协议彻底地隔离 内外网络之间的TCP/IP协议之间互相连接(与防火墙相比,防火墙中内外网络数据交 换全部采用TCP/IP协议),起到TCP/IP协议的隔离作用,使得数据在内外网络交换 时,必须经过一段非TCP/IP私有协议——GAP协议的传输与交换,称GAP协议是TCP/IP 协议的隔离协议,这种隔离实现方法称为协议隔离。
如图l所示的一种在网络中进行单向隔离的隔离方法,包括有以下步骤
a、 网络数据为TCP/IP数据,通过不可信端网络接口层传递TCP/IP协议栈;
b、 TCP/IP协议栈根据对网络数据依据全局安全策略库中的规则进行访问控制 时间、数据源IP、源端口、目的IP和目的端口;
c、 TCP/IP数据在由TCP/IP协议栈传递给协议分析模块,协议分析模块根据应用 协议不同采用不同应用协议状态机处理,其中,协议分析模块中输入的是TCP/IP的应
用协议数据,输出的是GAP协议数据包;d、 GAP协议数据包由协议分析模块传递给会话模块,会话模块启动具体的隔离程 序,把合理的数据摆渡给对方的会话模块中;e、 当数据传输到对端时,对端会话模块依据数据的会话ID,把GAP数据连同控 制信息交到特定的协议重构模块,协议重构模块依据全局安全策略库的设置,完成应 用数据协议重组,并交给TCP/IP协议栈处理;其中,协议重构模块中输入的是GAP 协议数据包,输出的TCP/IP的应用协议数据;f、 通过网络,TCP/IP协议栈构造合法数据包,通过可信端网络进行传输处理。 其中GAP协议主要用于在内外主机之间的安全板之间执行数据交换,GAP协议的协议栈是基于Linux系统下编写的内核驱动,GAP的协议驱动程序支持通过安全板内的单 向可控通信路径。这个协议驱动程序给出一般的Linux系统下I/0例程井且隐藏硬件芯 片的特性,协议驱动程序将被发送的数据包变成一个GAP的数据封装协议的数据包,并 且把数据包内容缓冲队列,DMA控制器具体传输每个缓冲区到安全板上。当DMA控制器 到达链的末端时,发送就停止。然后外网端安全板将传输数据到内网端安全板一边, 当最后的一个字(word)传输到内网端一边,内网端安全板产生一个中断来启动GAP 的协议驱动程序,通过GAP的协议驱动程序剥离相关的数据,并且按照GAP的数据封装 协议的数据包中协议格式把具体数据交付给内网端相关的应用程序处理;完成后安全 板就可以准备处理一个新的GAP协议的传输。TCP/IP协议栈是个通用的TCP/IP网络协议栈模块,处理系统中所有的TCP/UDP 进程,并且它是一个不依赖于操作系统的TCP/IP堆栈;该协议栈不会支持其他的附加 的IP层协议,比如DHCP和ICMP,因此,GAP不支持Ping命令穿过它。TCP/IP模块分别从对应的协议重构模块和内(或外)网络获取输入数据,并传递 给协议分析模块。或者接受协议重构模块的输入数据,组成合法的安全TCP数据包,通 过网络传输到目的地。协议分析模块对协议数据消息进行分析。它提供语法检査并用专用压縮表达方 式重新构建相同消息。重构的消息被传送到会话管理模块。协议分析模块分为HTTP、 FTP、 P0P3等协议状态机,每个协议状态机提供自己对应 的协议分析单元。每个经TCP模块传过来的数据会传递到相应的协议分析单元去作协议 分析。会话管理模块负责调用基于Linux的GAP协议驱动,利用GAP协议在两个安全板之 间建立一个GAP专用通道,并将GAP专用通道的ID与特定的Socket ID、网络接口地址表 绑定起来。会话管理模块还利用GAP协议将这些绑定信息与对端的会话管理模块进行同步,以 便接收数据的回传。协议重构模块分析处理过的消息,并按照标准协议格式重构这些消息为特定应用数据包。这些消息与TCP模块生成的原消息类似,但不相同,如包的源地址可能已经被修改。协议重构模块会把再生成的消息传递到最后一个流程模块,即TCP/IP模块。在内网端的协议重构模块,数据将依据全局安全策略库的规定,进行细粒度的应 用数据安全处理。在外网端的协议分析模块,其应用数据安全、访问控制的粒度则较粗。全局安全规则库包含安全管理员定义的所有安全策略集。这些安全策略包括基 于TCP/IP协议头内容进行的访问控制规则;基于数据内容的安全规则,如病毒查杀策略、应该搜索的关键词、关键的数据比特位等。全局安全规则库是通过安全管理模块完成配置的。安全管理模块把全局安全规则 库通过内网端进行加载到隔离系统,而其中属于外网端的安全规则加载到外端协议分析模块、协议重构模块是通过GAP协议完成的。这使得内外网络之间的通信始终通过了 GAP来完成,从而保证内外网络总是协议断开的。当数据包从可信端向不可信端发送时,是无硬件线路支持,不可能有数据流通, 从而保证内部高级别网络数据不可能泄漏到低级别网络中,提高隔离的安全性。单向协议隔离系统工作在低安全级别网络和高安全级别网络之间,这两个网络可 以是Internet和专网,也可以是内部的不同权限的两个网络。即保证了对正常数据的 传输、传递要求,又有效保护了内部生产网络的高度安全。对已经采用其他网络安全 设备如防火墙的客户,隔离系统可以很好地和这些设备紧密结合以保证整体的安全性。通过采用单向的安全协议隔离系统,很好地满足了安全和应用的需求。(l)在安 全性方面,通过在内部网络和外部网络之间架构单向安全隔离系统进行协议隔离,用 户的数据只能从生产网络中传递到办公网络,有效地保证了网络的安全隔离,保证了 内部网络的安全性;(2)很好满足了客户的即要求快速的数据交换,又要实现隔离的 需求,采用协议隔离系统之后,内部用户可以方便地在隔离情况下进行安全的信息传 递;(3)采用该系统为整个网络提供了高度的扩展性,为将来客户开展其他业务提供 了基础条件,比如数据库、异步消息等信息交换。如图2所示是实施上述单向隔离方法的一种隔离装置,包括有PCI总线接口、不 可信端隔离卡、可信端隔离卡和LVDS总线,PCI总线接口设有两个,分别与不可信端 隔离卡、可信端隔离卡连接,而不可信端隔离卡通过LVDS总线与可信端隔离卡连接。 不可信端隔离卡上设置有依次相连的TCP/IP协议栈、协议分析模块和会话模块,不可 信端网络PCI总线接口与TCP/IP协议栈相连;可信端隔离卡上设置有依次相连的会话 模块、协议重构模块和TCP/IP协议栈,可信端网络PCI总线接口与TCP/IP协议栈相 连;LVDS总线的两端分别与不可信端隔离卡和可信端隔离卡上的会话模块相连。通过两个PCI总线接口分别与两台计算机相连,而两台计算机分别与外部网络、 内部网络连接。LVDS总线用于在两个隔离卡之间传输数据,其交换速率可以达到 1G/bps。不可信端隔离卡和可信端隔离卡的功能是不同的,它们的功能主要表现在将
不可信端计算机传输的专用格式的应用数据包,并通过电子设备传送到对端。可信主 机进行源鉴别、缓存、中继等处理,并接收数据。隔离设备的传输单向性为安全板的核心。如图3 — 1至图3—4所示的电路图,D1型号为PCI9054—C芯片,为PLX公司开发 的PCI总线接口芯片,主要功能为实现安全板和计算机之间的PCI连接和数据传输。D2型号为XC2S100PQ208,为XILINX公司开发的FPGA芯片,主要功能为实现安全 板高速数据交换,以及完成安全板内部接口控制功能。D3和D4型号为IDT72V3670,为IDT公司开发的大容量同步FIFO芯片,主要功能 为实现数据的发送和接收,在进行LVDS信号转化发送之前起到缓存数据的作用。D5型号为XCF01S,为XILINX公司开发的串行PR0M,存储的XC2S100PQ208的执 行逻辑,用于XC2S100PQ208的在线配置。D9和D10的型号分别为SN65LVDS96和SN65LVDS95芯片,为TI公司开发的多通 道高速LVDS串行总线的串行调制器和解调器,其中,SN65LVDS95为串行发送芯片, SN65LVDS96为串行解调器接收芯片。主要功能为实现安全板间高速数据连接。
权利要求
1、一种网络中单向协议隔离方法,包括有以下步骤a、网络数据为TCP/IP数据,通过不可信端网络接口层传递TCP/IP协议栈;b、TCP/IP协议栈根据对网络数据依据全局安全策略库中的规则进行访问控制;c、TCP/IP数据在由TCP/IP协议栈传递给协议分析模块,协议分析模块根据应用协议不同采用不同应用协议状态机处理,其中,协议分析模块中输入的是TCP/IP的应用协议数据,输出的是GAP协议数据包;d、GAP协议数据包由协议分析模块传递给会话模块,会话模块启动具体的隔离程序,把合理的数据摆渡给对方的会话模块中;e、当数据传输到对端时,对端会话模块依据数据的会话ID,把GAP数据连同控制信息交到特定的协议重构模块,协议重构模块依据全局安全策略库的设置,完成应用数据协议重组,并交给TCP/IP协议栈处理;其中,协议重构模块中输入的是GAP协议数据包,输出的TCP/IP的应用协议数据;f、通过网络,TCP/IP协议栈构造合法数据包,通过可信端网络进行传输处理。
2、 根据权利要求1所述的隔离方法,其特征在于所述GAP协议数据包是基于 Linux系统下的格式。
3、 根据权利要求1所述的隔离方法,其特征在于所述步骤b中的全局安全策略 库中的访问控制规则为时间、数据源IP、源端口、目的IP和目的端口。
4、 根据权利要求1所述的隔离方法,其特征在于所述步骤C中的协议状态机包 括HTTP协议状态机、FTP协议状态机、SMTP协议状态机和P0P3协议状态机,每个 协议状态机提供自己对应的协议分析单元;每个经TCP/IP协议栈传过来的数据会传递 到相应的协议分析单元去作协议分析。
5、 根据权利要求1所述的隔离方法,其特征在于所述步骤e中的全局安全策略 库的设置为对数据进行关键词搜索、病毒査杀、关键的数据比特位。
6、 一种使用如权利要求l、 2、 3或4所述隔离方法的单向协议隔离装置,其特征 在于该隔离装置包括有PCI总线接口、不可信端隔离卡、可信端隔离卡和LVDS总线, 所述PCI总线接口设有两个,分别与不可信端隔离卡、可信端隔离卡连接,而不可信 端隔离卡通过LVDS总线与可信端隔离卡连接。
7、 根据权利要求6所述的单向协议隔离装置,其特征在于所述不可信端隔离卡 上设置有依次相连的TCP/IP协议栈、协议分析模块和会话模块,不可信端网络PCI 总线接口与TCP/IP协议栈相连;所述可信端隔离卡上设置有依次相连的会话模块、协 议重构模块和TCP/IP协议栈,可信端网络PCI总线接口与TCP/IP协议栈相连;LVDS 总线的两端分别与不可信端隔离卡和可信端隔离卡上的会话模块相连。
全文摘要
本发明公开了一种网络中单向协议隔离方法及其专用设备。本发明真正实现内外网络之间的单向协议隔离,保证内部网络安全,黑客不能与内部网络建立直接的会话;具有病毒防范、访问控制、安全审计的功能;数据只能单向传输,即由安全级别低的网络向安全级别高的网络传输;反之当数据包从可信端向不可信端发送时,是无硬件线路支持,不可能有数据流通,从而保证内部高级别网络数据不可能泄漏到低级别网络中,进一步提高系统的安全性。
文档编号H04L12/24GK101127761SQ20061010967
公开日2008年2月20日 申请日期2006年8月16日 优先权日2006年8月16日
发明者史乃彪, 张乃靖, 郭乐深 申请人:北京城市学院