基于網絡隔離技術的信息資源共享方案研究

敖麟欽+陳卓

摘要：為有效避免各類網絡攻擊導致企業內部數據泄露，目前最有效的方法是將企業內部網絡與外部網絡進行物理鏈路隔離。使用網閘實現內外網數據雙向擺渡，容易造成內網數據大量泄露，無法應用于安全保護等級較高的企業網；同時現有網絡隔離技術對傳輸數據的協議剝離，容易導致信息泄露，形成新的安全漏洞。為此，提出一種新的信息資源共享方案，利用網絡安全邊界平臺將外網信息單向導入內網，在內網通過可信任第三方短信平臺將信息反饋至外網終端，有效控制內網數據輸出，最終完成企業內部數據資源共享；運用改進的DES/RSA混合加密算法對傳輸數據文件進行加密和身份認證，避免網閘協議剝離導致的信息泄露。設計并實現了一款SMS信息查詢系統，實例分析證明該方案在安全和效率等方面能夠滿足預定要求。

關鍵詞：網絡隔離；網絡安全邊界；DES算法；RSA算法；SMS

DOIDOI：10.11907/rjdk.162896

中圖分類號：TP391

文獻標識碼：A 文章編號：1672-7800（2017）006-0163-05

0 引言

隨著移動互聯網技術的迅猛發展，政府、安全、金融等保密要求較高的單位對移動信息化解決方案的需求日益迫切。當前，普遍采用的方式是添置網絡隔離設備來保護內部網絡安全，從物理鏈路上斷開內網與外網不可信任的直接網絡連接，在外網終端通過數字證書、安全USIM卡等方式進行安全加固，保持在安全可控的條件下進行適度的數據交換[1-2]。但是，此方法使用的外網終端仍采用傳統路由協議（物理鏈路采用專用VPN）實現與安全邊界的數據交換，為了保證數據安全，在外網終端與內網進行數據交互時必須切斷互聯網的網絡物理連接，導致外網終端僅成為內網終端的一種變向“移動”擴展，使用極為不便。同時可通過在外網終端植入惡意程序，當終端接入內網時自動下載數據并存儲在本地硬盤，然后可通過互聯網或移動介質導出數據，由此可導致大量內網數據泄露；另一方面，各類硬件加密及認證設備的配置耗資巨大，專用數字證書及USIM卡屬于移動涉密部件，易被其它非法用戶竊用；同時，使用雙向網閘進行數據包協議剝離極易造成數據泄密，復雜性、安全性和高成本導致此方案無法大規模深入推廣和應用。

1 方案介紹

本文提出一種成本低、安全性高、可大規模推廣應用的內外網信息資源共享方案，數據導入、輸出分別通過完全獨立的網絡鏈路。外網終端傳送數據采用改進的DES/RSA混合加密算法進行應用層數據加密和身份認證，避免在網絡協議剝離過程中造成數據泄露，此算法兼顧DES算法的高效性和RSA算法的高安全性，加密數據可通過互聯網傳送至網絡安全邊界，由光閘進行數據協議剝離和數據擺渡至內網[3]，經內網程序解密和業務處理，結果經加密后，通過可信任第三方短信平臺單向輸出至外網終端，由外網終端解密獲取信息，最終完成業務數據交互。

本方案主要分為三部分：①外網數據采集及加密；②網絡安全隔離區對數據的單向傳輸；③數據在內網的解密、應用和信息反饋（見圖1）。整個方案中，網絡安全隔離區中的單向光閘確保數據“只進不出”，第三方短信平臺的應用可以有效控制數據輸出，避免信息的大量泄露；DES/RSA混合加密算法的應用是確保數據內容僅能被數據擁有者或授權使用者使用，避免非法第三方竊取信息，可適用于涉密信息的傳送。

1.1 外網數據采集及加密

在外網設置應用服務器，用戶可通過PC電腦和移動互聯網終端（手機、平板等）發送信息，信息載體可以是TCP/IP或SMS數據包，應用服務器在接收數據文件后進行數據校驗，并使用DES加密算法進行加密并形成DES數據包，DES加密完成后采用RSA算法對產生的DES密鑰進行加密和數字簽名，形成RSA加密數據包和認證數據包，最后將所有數據包合并發送至網絡安全隔離區。

1.2 網絡安全隔離區

網絡安全隔離區主要由IPS（入侵防御系統）、FW（防火墻）、安全審計、鑒別評估、身份認證等網絡安全和網絡隔離等設備組成（見圖2）。其中，網絡隔離設備為核心部件，其主要功能是進行數據包的網絡協議剝離及轉換、數據擺渡，確保數據單向導入內網。

IPS/FW即由入侵防御系統和防火墻組成的網絡安全系統，主要用于阻斷外網用戶非法進入企業內網，而入侵防御系統是對防火墻功能的補充，它能夠監視網絡或網絡設備的網絡資料傳輸行為，有效阻斷惡意代碼攻擊和非法連接。

身份認證系統實現移動終端和安全隔離區接入設備之間的雙向身份認證，保證持有合法身份證書的移動終端才能接入安全隔離區。

安全隔離區配置了安全審計、鑒別評估等邊界安全防護措施，它們的主要功能是實現對網絡數據包、用戶操作過程的跟蹤記錄，并根據一定規則識別可疑用戶，在外網終端接入內網之前進行安全防護；網絡隔離設備從物理鏈路上斷開內網與外網之間不可信任的直接網絡連接，安全隔離區充分解決了外網接入內網的安全問題。

1.3 內網數據應用及反饋

內網應用服務器從網絡隔離設備中讀取傳入數據文件，根據約定協議對文件的DES和RSA加密部分進行分離，首先用自己的私鑰和傳送對端的公鑰對接收數據文件進行身份認證并獲取DES密鑰，利用獲取的DES密鑰解密文件數據部分，最終獲取有效信息。

根據獲取的信息，經數據庫查詢獲取結果，由內網的敏感信息審核模塊進行反饋結果審核，審核通過后由內網應用服務器使用RSA算法對反饋信息進行應用層加密，通過調用可信任第三方短信平臺將數據以SMS（Short Message Service）形式反饋外網終端，外網終端獲取SMS數據包后使用自己私鑰解密獲取信息，最終完成整個業務流程。由于SMS負載的信息傳輸效率較低，每條SMS在PDU模式下最多能傳送140Byte數據，同時反饋程序采用限制用戶反饋次數的策略，可以有效防止大量信息泄露。

2 網絡安全隔離區

網絡安全隔離的基本原理是[3]：切斷網絡之間的通用協議連接（TCP/IP），將外網數據包分解重組為靜態數據；對靜態數據進行安全審查，包括網絡協議檢查和代碼掃描等；再將確認后的安全數據導入內網，內網用戶通過嚴格的身份認證機制獲取所需數據。為了保證內部數據的絕對安全，在實現互聯網與等級保護評定較高的網絡以及涉密網絡進行數據交換時，必須采用單向導入傳輸設備進行安全隔離保護。單向網絡隔離主要采用數據二極管技術和分光技術，分光技術由于采用光作為傳輸介質，在傳輸速率、穩定性等各方面具有較大優勢，代表了網絡隔離設備未來發展方向。

2.1 單向光閘

單向光閘是一種基于分光技術的數據還原裝置，它由兩臺計算機、一個分光器等部分組成。它采用分光鏡像的原理，通過分光器將源主機上的數據鏡像到目標主機上，最終實現數據的單向傳輸（見圖3）。分光器是組建光通道網絡的一個組件，是一個連接光纜終端設備和光接收節點的無源設備，其功能是分發下行數據，分光器帶有一個上行光接口和若干個下行光接口，上行光接口接受光信號，下行光接口傳輸被分配到的光信號。分光器的主要功能是實現光閘物理信號的擺渡。

2.2 數據擺渡與協議轉換

實現數據層面擺渡是網絡隔離設備的核心功能，一方面，協議轉換進一步增強了設備的擺渡功能，允許內外網數據交換雙方使用不同的網絡協議進行數據交換；另一方面，為了消除應用協議（OSI的第三層至第七層）的漏洞，首先必須剝離應用協議，剝離應用協議后的原始數據，在經過光閘之后，代理重建應用協議。協議剝離后，安全模塊可對應用層數據進行安全分析，防止數據中嵌套木馬、病毒等惡意程序，進一步增強了數據安全。但是，對于涉密數據而言，在光閘進行協議轉換時極易發生數據泄密，本方案引入了DES/RSA混合加密算法可解決涉密數據的安全性問題。

2.3 認證接入安全

由于采用數據單向導入隔離技術，本方案中數據的保密性主要依賴DES/RSA混合加密算法。DES算法發明于20世紀70年代，以目前計算機硬件的運算能力可以在一定時間內進行暴力破解[6]。本方案DES密鑰采用隨機生成密鑰加密數據文件的方式，加密密鑰頻繁更替，即使破解原有密鑰也無法獲得更多有價值的信息。為了防止外網終端因感染病毒或被植入惡意木馬導致私鑰泄露，加密程序將終端RSA私鑰寫入動態鏈接庫文件中，可防止反編譯等非法方式獲取RSA私鑰，同時定期更新RSA算法私鑰，有效防范密鑰泄露。

3 DES/RSA混合加密算法

3.1 算法原型

文獻[5]中提出了一種基于RSA算法和改進型DES算法的混合加密算法，用于異構網絡數據傳送。對稱加密算法DES的優點是運算開銷少、速度快，但通信過程中密鑰交換困難，可能發生密鑰泄露；非對稱加密算法RSA密鑰管理方便，加密安全性高，但加密算法復雜，加密效率低。結合兩種算法的優點形成一種新的混合加密算法，既可增強數據加密安全性，提高加密效率，還能滿足業務分離的要求。

文獻[5]給出的加密算法過程如下：①在發送方A處產生隨機數發生器，生成DES加密密鑰D-Key，采用DES加密算法對明文Q進行加密，得到加密密文P1，并保存D-Key；②A從密鑰管理中心獲取收方B的公鑰，對A產生的D-Key進行RSA加密，產生輔助密文P2；③將P1和P2組合，進行傳輸，完成混合加密。

解密過程與加密過程相對應，介紹如下：①收方B獲取密文P1和P2后進行拆分，識別P1、P2；②B用向密鑰管理中心注冊過的RSA私鑰對P2進行解密，恢復A的DES密鑰D-Key；③B利用D-Key對P1進行解密，恢復初始明文Q。

3.2 改進算法

以上算法存在問題如下：若攻擊者C明晰A與B之間應用層的數據格式，獲取了B的公鑰，并采用同種算法進行數據傳送，B接受C發送的數據，但無法判定C的真實身份，誤認為是A發送的數據，按照數據文件中的反饋地址將信息發送給C，由此可構成欺騙攻擊。

改進方法：①在原加密過程第二步中，A從密鑰管理中心申請RSA私鑰，對產生的輔助密文P2進行數字簽名P3，將P1、P2、P3組合傳輸；②在原解密過程②中，B首先利用A的RSA公鑰對P3進行數字簽名驗證，P3解密后與P2進行比對，結果相同即表示數據包來源可信，否則認為數據包是攻擊者C發送的，丟棄此數據包。改進后的算法步驟如圖4所示。

4 系統實現

4.1 SMS信息查詢系統

SMS信息查詢系統是根據本方案實現的一款跨網信息查詢系統。開發環境如下：SIM900A通訊模塊、CP2102串口模塊；CPU Intel Core2 Q9400/主頻2.66GHz、內存4G；操作系統Windows Server 2003 R2；數據庫Oracle 11g Enterprise Edition 11.2.0.4.0；開發平臺Visual Studio 2010。系統主要功能是通過手機終端發送短信指令，經安全加密及認證，由網絡安全邊界單向導入內網，在內網中進行信息查詢，將查詢結果過濾后進行RSA加密，通過可信任第三方短信平臺反饋至外網應用服務器，由外網應用服務器解密并反饋至外網終端，此系統已應用于企業實際運營業務中。具體業務流程如圖5所示。

4.2 安全性分析

目前，針對DES算法的攻擊有差分密碼分析法[7]和線性密碼分析法，前者需要知道DES的大量配對（明文、密文），后者則是已知明文攻擊法。由于本系統設計的DES加密密鑰隨機變換，每次發送數據文件均采用不同的密鑰加密，攻擊者獲取密鑰代價較大，且獲取的信息極為有限，因此可以有效應對以上兩種攻擊方式。

RSA算法的復雜度較高，攻擊者無法通過暴力破解的方法獲取DES加密密鑰，進而無法獲取明文信息。本文改進了原算法，在信息發送和接受過程中加入了認證機制，實現通信雙方的相互鑒權功能，可有效避免欺騙攻擊，進一步提升信息傳輸的安全性；并且，混合加密在傳輸中對密文進行了組合，使得暴力破解的復雜度近似于RSA算法復雜度與DES算法的復雜度之積，安全性得到了極大增強。

4.3 性能分析

RSA算法的密鑰較長，加密算法實現復雜，對硬件資源消耗大、復雜度高、加密時間長；DES密鑰較短、加密速度快，適用于硬件實現，如表1所示。

本文使用DES、RSA、DES/RSA混合、改進DES/RSA混合加密4種算法，分別對1KB、100KB、0.97MB、9.78MB、29.3MB、48.9MB的數據文件進行加解密運算實驗，如表2所示。由于工作時段業務繁忙程度對互聯網網速和網絡隔離設備處理效率影響較大，不能準確客觀地反映各加密算法運算時間，此次實驗采用脫網運行方式。運行環境如下：CPU Intel i7 2620M/主頻2.7GHz、內存4G、操作系統64位 Windows10、開發平臺Visual Studio 2010。

本文使用System.Security.Cryptography中的DESCryptoServiceProvider類開發DES加密程序，使用RSACryptoServiceProvider類和SHA1Crypto Service Provider類開發RSA加密及數字簽名程序。利用RSA公鑰進行數據加密時，必須對明文進行拆分加密，每個拆分數據長度必須小于117（公鑰長度/8-11），將密文發送至對端后必須能進行拆分解密，然后將解密數據重新組裝形成明文，拆包過程進一步導致RSA加密算法在加解密大數據文件時效率下降。

根據表2中的數據，本文從加密文件大?。ㄒ妶D6）、加密效率（見圖7）和解密效率（見圖8）等方面進行了比較。對圖6、圖7、圖8分析可知，在軟硬件運行環境相同的情況下，使用RSA加密算法生成的加密文件占用存儲空間最小，其余3種加密算法生成的加密文件大小幾乎相同；加密效率方面，DES算法的效率最高，DES/RSA算法和改進DES/RSA算法的加密效率十分接近，由于改進DES/RSA算法引入了數字簽名和身份認證，相比DES/RSA算法而言效率偏低，RSA算法加密效率最差；解密效率方面，DES算法最高，DES/RSA算法和改進DES/RSA算法幾乎相同，但前者偏高，RSA解密效率最低。

綜上，在加密文件大小和加解密效率方面，改進后的DES/RSA算法在各項性能方面與原算法比較均十分接近，但在安全性方面解決了原算法易受到欺騙攻擊的問題，使原算法安全性得到了一定提升。

5 結語

針對目前網絡隔離方案存在內網數據大量泄露的風險，提出一種新的基于網絡隔離技術的信息資源共享方案，該方案中使用一種改進的DES/RSA混合加密算法，能有效避免涉密數據在跨網傳輸過程中的泄密。由于本方案采用SMS作為載體進行數據單項導出，雖然技術成本較低、容易實現，但此方法效率太低，并且SMS信息發送增加了系統的運行成本。如何使用一種更安全、成本更低的信息輸出方式，在能確保內網數據絕對安全的情況下，實現高效的信息導出，成為下一步研究的重點。

參考文獻：

[1]孫慶和，劉道群.網絡隔離技術在3G移動辦公中的應用探討[J].計算機科學，2013，40（6A）：381-383.

[2]劉道群，孫慶和.信息敏感行業3G移動辦公安全解決方案[J].電信科學，2011（10A）：146-149.

[3]陳征，陳銀慧，于玉龍，等.網絡隔離環境下多節點接入控制技術研究[J].小型微型計算機系統，2014，35（7）：1528-1532.

[4]王珺，李立新，李福林.物理隔離和網閘的技術原理淺析[J].微計算機信息，2007，8（3）：53-55.

[5]陳瑩瑩，張賡，翟明樂，等.基于統一通信技術的異構網絡穿越安全算法研究[J].電信科學，2013（12）：50-54.

[6]劉晶晶，馬世偉，陳光化，等.基面向NFC應用的DES/3DES算法研究與仿真實現[J].微電子學，2013，43（1）：134-138.

[7]陳杰，張躍宇，胡予濮.一種新的6輪AES不可能差分密碼分析方法[J].西安電子科技大學學報：自然科學版，2006，33（4）：598-601.

[8]吳筱，郭培源，何多多.DES和SM4算法的可重構研究與實現[J].計算機應用研究，2014，31（3）：853-856.

[9]李佩之，嚴迎建，段二朋.DES密碼芯片模板攻擊技術研究[J].計算機應用與軟件，2013，30（3）：310-312.

[10]石井，吳哲，譚璐，等.RSA數據加密算法的分析與改進[J].濟南大學學報：自然科學版，2013，27（3）：283-286.

[11]賈歡歡.通用短信平臺中協議轉換功能的設計與實現[D].北京：北京郵電大學，2010.

[12]“網絡隔離”安全技術發展方向概述[EB/OL].http：//www.huacolor.com/article/737.html.

（責任編輯：孫 娟）

英文摘要Abstract：In order to avoid network attacks lead to enterprise internal data leakage，the most effective way was isolating physical link between the enterprise internal network and internet.Its easy to leakage the enterprise internal data，when you use the traditional gap to interactive data between internal network and internet.Furthermore，the old Way of exchanging data can not be applied to protect the high security level enterprise network； On the other hand，the existing network isolation technology for network protocol is easy to peel，resulting in information disclosure，and cause the new security vulnerabilities.Therefore，this thesis proposes a new information resource sharing scheme，transport internet data through Network Security Boundary Platform by using one-way import network，and using a trusted third party SMS platform for information feedback to the internet terminal.Restrict control the network data output，the final completion of data sharing within Enterprise； The use of improved DES/RSA hybrid encryption algorithm to encrypt the data file encryption and identity authentication，to avoid the information leakage caused by the peeling the network protocol.Design and implementation of a SMS information system，the case analysis proves that this scheme can meet the requirements in security and efficiency.

英文關鍵詞Key Words：Network Isolation Technology； Network Security Boundary； DES Algorithm； RSA Algorithm； SMS