網絡安全新技術

張 玨，田建學

（1.榆林學院 信息學院，陜西 榆林 719200；2.延安大學西安創新學院 實驗教學中心，陜西 西安 719000）

近年來，我國信息化建設迅猛發展，在外網、內網、專網之間交換信息是基本要求。如何在保證內網和專網資源安全的前提下，實現網絡暢通、資源共享是電子政務系統建設中必須要解決的問題。而傳統的物理安全隔離卡技術雖然確保了網絡的安全性，卻因缺乏信息交換機制等局限性，對網絡連通性的支持率較低，往往會形成流通不暢的“孤島”，而限制了應用的發展。因此，隔離網閘技術成為物理隔離技術的發展趨勢。

安全隔離網閘是一種帶有多種控制的專用硬件，在電路上切斷網絡之間的鏈路及協議連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。由于物理隔離卡技術的切換開發頻率一般通過外設時鐘設定，網絡開關速度低，網絡傳輸性能受到制約，即使開關切換速率高，隔離卡也受到主機性能的影響。而安全隔離網閘采用CPU時鐘作為開關，將開關功能在系統內核中實現，從而成功地達到物理隔離的最佳性能。

該技術是使用帶有多種控制功能的固態開關讀寫介質來連接兩個獨立主機系統的信息安全設備。由于在安全隔離網閘所連接的兩個獨立主機系統之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在一句協議的信息包轉發，只有數據文件的無協議“擺渡”，且對中間固態存儲介質只有“讀”和“寫”兩個命令，所以，安全隔離網閘從物理上阻斷了具有潛在攻擊可能的一切連接，實現了真正的安全保護。

1 網絡隔離器的技術實現原理

目前網絡隔離器的實時開關實現方式主要有基于SCSI的開關技術和基于總線的開關技術兩種[1]。基于總線的實時開關技術的網絡隔離器采用雙端口靜態存儲器 （Dual Port SRAM）配合基于獨立的FPGA控制電路，雙端口各自通過開關與獨立的計算機主機連接。如圖1所示，FPGA作為獨立的控制電路保證雙端口靜態存儲器的每一端口上存在一個開關，且兩個開關不能同時閉合即K1×K2=0。基于SCSI開關技術的網絡隔離器和圖1相似，只是數據通道換為SCSI硬盤接口，而存儲介質使用的是SCSI硬盤，控制單元使用專門設計的硬件電路板實現。

圖1 基于總線實時開關技術的網絡隔離圖Fig.1 Network isolated diagram based on the bus real-time technology

網絡隔離的技術架構重點在隔離上，實現隔離是關鍵。

圖1的外網是安全性不高的互聯網，內網是安全性很高的內部網絡。正常情況下，隔離設備的外部主機和外網相連，隔離設備的內部主機和內網相連，網絡和內網是完全斷開的。隔離設備是一個獨立的固態存儲介質和一個單純的調度控制電路。

當外網需要有數據送達內網的時候，以電子郵件為例，外部主機先接收數據，并發起對固態存儲介質的非TCP/IP協議的數據連接，外部主機將所有的協議剝離，將原始的數據寫入固態存儲介質，如圖2所示。根據不同的應用，可能有必要對數據進行完整性檢查和安全性檢查，如病毒和惡意代碼等。

圖2 帶緩沖區的雙通道技術圖Fig.2 Diagram of dual channel technology with buffer

一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與外部處理單元的連接。轉而發起對內部處理單元的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據傳送至內部處理單元。內部處理單元收到數據后，立即對TCP/IP的封裝和應用協議的封裝，并交給應用系統。這樣，內網電子郵件系統就收到了外網電子郵件系統通過隔離設備轉發的電子郵件[2]。

在控制臺收到完整的交換信號之后，隔離設備立即切斷與內部處理單元的直接連接。

如果這時內網有電子郵件要發出，隔離設備收到內網建立連接的請求之后，建立與內網之間的非TCP/IP協議的數據連接。內部處理單元剝離所有的TCP/IP協議和應用協議，得到原始的數據，并將數據寫入到隔離設備的存儲介質；如有必要，對其進行身份認證、消息驗證等操作，以防內網的機密信息泄露出去；然后中斷與內網的直接連接。

一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與內部處理單元的連接。轉而發起對外部處理單元的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據推向外部處理單元。外部處理單元收到數據后，立即進行TCP/IP的封裝和應用協議的封裝，并交給系統。控制臺收到信息處理完后，立即中斷隔離設備與外部處理單元的連接，恢復到完全隔離狀態。

每一次數據交換，隔離設備經歷了數據的接手、存儲和轉發3個過程。由于這些規則都是在內存和內核中完成的，因此速度上得到保證，可以達到100%的總線處理能力[3]。

2 基于總線的雙通道循環緩沖區

在圖1原有的設計中，在進行數據交換時，內部和外部處理單元在任何時刻只有一方與隔離硬件相連。如果數據通道的速度為A bps，那么內部處理單元間的數據交換速度最高只能達到A/2 bps，未能充分利用發揮數據通道的能力。為此提出如圖2的設計。

將 DPRAM 存儲區域分為 A（a1，a2，….，an）和 B（b1，b2，….bn）兩塊（ai、bi為 n 個相等的小塊存儲區），K1 和 K2 的約束為 K1ai×K2ai=0 且 K1bi×K2bi=0（K1ai表示 K1 與 ai相連，K2ai、K1bi、K2bi與此相同）。如此以來就將原來設計中的一個雙向數據通道變為了兩個單向的數據通道，當內外部主機中的一方對ai或bi進行訪問時，另一方依然可以對aj或bj（i不等于j）進行訪問，同時實現了傳輸數據的隔離[4]。

對ai、bi區域的訪問控制進行設計，使其分別組成兩個循環緩沖區，這將進一步減少內外部處理單元對隔離硬件訪問讀寫沖突的發生，同時也提高了交換數據的實時性。通過這樣的設計能使系統總線數據通道工作于“全雙工”提高了數據交換的速度和實時性，提升了系統的整體性能，滿足了更高的應用需求。

3 使用數據加密標準（DES）加密數據

對接收或發送的數據進行加解密處理，如圖3所示。

圖3 系統基本構成圖Fig.3 Basic structure diagram of system

以數據從外網向內網傳輸來說，首先“數據接收模塊”從外網接收數據報，然后將數據傳送至“數據分析模塊”，數據分析模塊對數據進行分析，并對數據進行DES加密，把加密后的密文通過硬件傳送至安全模塊。“安全模塊”對數據進行審查，審查通過后將數據傳送至“數據分析模塊”，“數據分析模塊”對接收的數據進行解密，最后把數據送至內網，這樣，就完成了數據在網絡隔離器中的一次傳輸。對內網傳出去的數據，處理過程類似于外網向內網的數據傳輸過程。這樣就實現了數據快速，安全的傳輸。

4 結束語

正處于第5代網絡隔離設備的研發階段。網絡隔壁技術正向易用性、應用融合化等方向發展，網絡隔離技術在負載均衡、冗余備份、硬件密碼加速、易集成管理等方面還需要進一步的改進，同時更好地集成入侵防御和加密通道、數字證書等技術，將成為新一代網絡隔離產品發展的趨勢[5]。為了更好地滿足我國提出的內網、外網和公網的網絡體系結構，從成本和易管理方面出發，三網或多網的網絡隔離設備也將成為網絡隔離技術的一個發展方向[6]。

[1]胡林峰.網絡隔離器的設計與實現[D].無錫：江南大學，2006：12-40.

[2]鄭煒，須文波.物理隔離網閘的設計與實現[J].微計算機信息，2005（12）：131-132.ZHENG Wei，XU Wen-bo.Design and realization of netgap based on physical isolation[J].Microcomputer Information，2005（12）：131-132.

[3]陳強，付強，張勇.淺談網絡隔離技術[J].北方交通，2010（4）：195-197.CHEN Qiang，FU Qiang，ZHANG Yong.Brief discussion on network isolation technology[J].Northern Communications，2010（4）：195-197.

[4]張繼永.網絡隔離技術與信息安全[J].中國信息界，2010（9）：25-26.ZHANG Ji-yong.Network isolation and information security[J].China Information，2010（9）：25-26.

[5]陳群.選擇無線局域網的安全策略[J].計算機安全，2008（10）：52-54.CHEN Qun.Choosing a strategy for WLAN[J].Net-work＆Computer Security，2008（10）：52-54.

[6]劉峰，楊陽，王瑞恒.無線局域網的安全技術分析及比較[J].電子設計工程，2010（12）：8-10.LIU Feng，YANG Yang，WANG Rui-heng.Analysis and comparison ofWLAN security technology[J].Electronic Design Engineering，2010（12）：8-10.

[7]馬建峰，朱建明.無線局域網安全—方法與技術[M].北京：機械工業出版社，2005：162-165.

[8]萬平國.網絡隔離與網閘[M].北京：機械工業出版社，2004.