基于單向光的數據安全傳輸控制系統的設計與實現

樊志杰，胡正梁，熊已興，蘆 毅，劉 毅

(上海辰銳信息科技公司 研發中心，上海 200031)

0 引言

當前，出于信息安全防護的需求，全國公安機關的內部網絡(公安信息網)必然需要和互聯網等外部網絡進行物理隔離，這樣必然會造成內外網間數據交換的不便。在當下公安大數據和“互聯網+”戰略的趨勢下，以及一系列惠民便民政策的驅動下，公安機關急需要與其他部委和企事業單位之間進行數據交換，其中與互聯網之間進行數據交換必不可少。另外，公安部門的便民服務大廳通常運行在互聯網上，然而大多數公安核心業務系統在公安信息網內部運行，這樣必然導致辦理各類事項時需要公安信息網與互聯網之間的數據進行安全交互[1-4]。

基于此，研究人員提出了一系列跨不同安全網域間數據傳輸交換的方案，其中公安部規定運用邊界接入平臺作為統一的標準，即通過在公安信息網與各類網絡間構建出一道安全防護通道來保障不同網域間數據的安全、高效傳輸。相對而言，光纖因其在性能上的優勢成為數據安全傳輸領域研究的熱點。相關研究人員提出一種無需建立連接的單向傳輸協議，實現在不同網域間數據的傳輸交換，其基于單模光纖技術來設計單向傳輸設備[5-6]。目前涉及此方面的研究較多，但是大多實現技術仍存在傳輸不完整、傳輸無過濾、傳輸性能不高的問題，同時針對公安網邊界的接入安全和公安業務應用數據交換共享需求，研發跨網絡與跨信任域的數據安全傳輸系統十分必要。實現數據在不同網域、應用系統和數據源之間自動、快速、安全地交換，滿足用戶在各類平臺、數據源及應用系統間的數據共享和聚合需求。

鑒于此，本文提出一種基于單向光的數據安全傳輸控制系統，其作為公安網“統一邊界平臺”的公網安全接入鏈路，為兩個不同安全域之間文件數據、數據庫數據、請求服務數據的安全、高效傳輸和交換發揮著重要作用，并且能夠實現對交換數據的全流程監控和審計。

1 系統結構及原理

本文提出的數據安全傳輸控制系統主要采用了單向傳輸技術和完整性檢驗技術，下面將對其進行概述。

1.1 單向傳輸技術

要做到真正意義上實現單向傳輸，不僅需要在軟件方面做到邏輯上的數據單向傳輸，更重要的是在硬件上實現物理上數據單向傳輸。本系統依據光單向傳輸的特性，以及光纖的傳輸速度、穩定性等方面的綜合考慮，設計了單向物理傳輸信道。該信道使用單向光纖網卡、單模光纖、分光器組成了數據傳輸的基礎硬件結構[7-8]。

1)單向光纖網卡：光纖網卡多用于光纖以太網通信中，為快速以太網網絡上的網絡設備提供可靠的光纖連接，提高網絡設備之間的數據傳輸速度。單向光纖網卡在硬件設計上實現收發不同向的兩個光口，其中一個光口作為發送端只能發送光源，而另一個光口作為接收端則只能接受光源。本系統利用單向光纖網卡的特性，將一塊光纖網卡的發送端與非信任網絡進行連接，只負責發送數據；將另外一塊光纖網卡的接收端和信任網絡進行連接，只負責接收數據。

2)單模光纖：本系統設計的單向物理傳輸信道要求對數據進行高速傳輸，同時滿足吞吐率高、誤碼率低的特征，因此該信道選用單模光纖。單模光纖的帶寬一般可以達到千兆以上，比漸變型多模光纖的帶寬高，而且單模光纖傳輸時信號損失較小。

3)分光器：分光器是一種在光纖通信系統中用來實現將光信號進行分支、耦合、分配的光纖匯接元器件。分光器的輸入端和輸出端在物理上是固定的，將光源正確地從輸入端進入，輸出端才能正確地將數據輸出，而如果錯誤地將光源輸入到輸出端，則其他端口將無法獲得正確數據。在本系統單向物理傳輸信道中引入單向光纖網卡、單模光纖和分光器，利用光傳輸特性，可實現物理通信信道的單向無反饋數據傳輸。

1.2 完整性檢驗技術

為了減少在數據傳輸中出錯的概率，本文研究的數據安全傳輸系統采用了多種技術進行糾正及檢測[9-12]，主要包括：

1)數據完整性校驗：系統使用zip格式打包文件進行傳輸，當系統接收到zip文件后，對zip文件進行解壓測試，凡是解壓不成功的文件不會被傳輸。使用zip格式的原因是zip文件得到廣泛支持，而且使用zip文件可以壓縮文件的大小，節約網絡的帶寬，提高傳輸的效率。

2)數據加解密：系統能夠對進行傳輸的文件數據進行加密、解密。

3)數據重發機制：在應用層我們將傳輸的每一個文件進行簽名和驗簽，系統處于運行狀態中時會對掃描到的文件不斷進行傳輸，直至傳輸成功。

2 系統硬件設計

本文提出的數據安全傳輸控制系統由導入前置機、單向傳輸設備、導入服務器構成，導入前置機與導入服務器中存在硬件主板、操作系統平臺及應用代理模塊等。導入前置機與導入服務器之間通過光閘口與單向傳輸設備相連，組成數據單向導入通道。下面分別簡述3個模塊的原理：

1)導入前置機需要采集前端應用的數據，并對前端設備進行合規性檢驗，同時需要對前端采集的數據進行安全檢查和格式過濾，最后將采集到的數據通過單向光技術傳入到導入服務器中。另外，本系統設計時需要確保傳輸過程的全程審計。

2)單向傳輸設備利用光的不可逆性實現不同網絡之間單向通訊，保證兩個不同網絡間的數據安全。同時，單向傳輸設備只負責導入前置機和導入服務器之間數據的安全傳輸。

3)導入服務器向公安信息網提供服務。公安信息網中的用戶與導入服務器之間經過雙向認證后，即可進行數據的請求和導入。

3 系統軟件設計

本文提出的數據安全傳輸控制系統，軟件層面主要包括通道任務管理、單向數據安全傳輸和通道資源上報3個模塊。其中，通道任務管理模塊用于創建數據交換任務；單向數據安全傳輸模塊用于不同網域間數據的安全交換；通道資源上報模塊用于對本系統運行狀態進行監管。

3.1 通道任務管理

通道任務管理作為一個獨立的模塊，對外提供服務。供外、內服務區的資源調度模塊調用，實現通道任務的創建、修改、刪除、啟停。其流程如圖1所示。

圖1 通道任務管理流程圖

具體流程說明如下：

1)外、內資源調度模塊調用通道任務管理模塊對外提供的任務配置接口。

2)通道任務管理模塊收到任務數據信息后，封裝任務配置消息報文發送到主任務管理模塊。

3)主任務管理模塊根據業務類型分發任務配置消息報文到各傳輸模塊。

4)各傳輸模塊根據任務配置報文類型更新數據庫，執行相應動作。同時發送任務配置到對端。

5)通道任務管理模塊返回資源調度模塊調用信息。

3.2 單向數據安全傳輸

本系統單向數據安全傳輸模塊間通訊結構如圖2所示。

圖2 單向數據安全傳輸模塊間通訊結構圖

單向數據安全傳輸模塊中任務管理具體實現任務的創建、修改、刪除、啟停。任務管理模塊可以管理的任務類型有文件傳輸任務、數據庫傳輸任務、MQ消息傳輸任務等。任務管理模塊從源服務器的指定位置讀取數據后，直接通過單向光閘設備的代理、分發模塊發往對端，對端任務管理模塊再將數據轉發至目標端服務器的指定位置，支持的數據類型有文件數據、數據庫數據、MQ消息數據。其流程如圖3所示。

圖3 任務管理流程圖

任務管理具體流程說明如下：

1)主任務管理模塊根據任務配置報文類型，判斷將其轉發給任務管理模塊中的文件傳輸任務、數據庫傳輸任務、MQ消息傳輸任務。

2)如果是任務create/modify/delete,則轉發給該端任務管理模塊更新數據庫即可。

3)如果是start/stop,則先啟動/停止數據源端的任務。

4)任務啟動后，源端任務管理模塊連接源端服務器獲取等待傳輸的數據，傳輸至對端后，目標端任務管理模塊將數據發送至目標端服務器。

本系統單向數據安全傳輸模塊具備對傳輸數據的完整性校驗、格式檢查、病毒掃描、內容過濾等安全控制功能。

3.3 通道資源上報

3.3.1 設備信息注冊

設備信息采用被動點擊的方式進行注冊。注冊流程如下：

具體流程說明如下：

1)“系統”WEB管理界面配置交換鏈路的唯一標識devUID。

2)“系統”WEB管理界面配置資源調度平臺的IP。

3)點擊設備信息注冊按鈕。

4)后臺通道資源上報模塊收到設備信息注冊消息，采集設備注冊信息。

5)調用外、內服務區的資源調度模塊對外提供的設備注冊接口。

6)返回消息。

圖4 設備信息注冊流程圖

3.3.2 設備狀態上報

圖5 設備狀態上報流程圖

如圖5所示，設備狀態信息采用主動定時循環的方式進行上報：

具體流程說明如下：

1)通道資源上報模塊采集設備狀態信息。

2)調用外、內服務區的資源調度模塊對外提供的設備狀態上報接口。

3)返回消息。

4)時間間隔t后再次上報。

4 系統主要功能

本系統的主要功能模塊包括：文件數據單向傳輸、數據庫單向傳輸、MQ消息單向傳輸、安全控制、系統監控與審計等功能。

4.1 文件數據單向傳輸功能

Ftp是文件傳輸協議，用于internet上控制文件雙向傳輸；nfs 即網絡文件系統，是FreeBSD支持的文件系統中的一種，它允許網絡中計算機通過TCP/IP網絡共享資源。

4.2 數據庫單向傳輸功能

4.2.1 同構數據庫同步

1)支持同構Oracle 8i、9i、10G、11G、12C數據庫全量、增量數據同步。

2)支持同構SQLServer2000、2005、2008數據庫全量、增量數據同步。

3)支持同構MySQL5.6及以下版本數據庫全量、增量數據同步。

4)支持同步的字段類型主要以整型、字符串類型、日期類型、大字段類型等常用字段類型數據同步。

4.2.2 異構數據庫同步

本系統同樣支持oracle、sqlserer、mysql等異構數據庫間的同步。

4.3 MQ消息單向傳輸功能

MQ消息隊列中間件是分布式系統中的重要組件，在業務應用系統中解決應用解耦、異步消息時得到廣泛的使用。本系統支持不同網域之間的MQ服務器上隊列的中的數據同步功能。

4.4 安全控制功能

為了保障傳輸數據的安全性，本系統建立了安全防護體系，具體的安全控制功能包括[13-15]：

4.4.1 身份認證

數據安全傳輸控制系統的身份認證功能主要是指在管理員訪問內置管理器時的身份認證。

4.4.2 設備認證

導入前置機負責對前端傳輸數據的設備進行身份認證，并通過相應的安全控制策略收集并傳輸前端的數據。導入服務器對各目標應用服務器進行設備認證，通過安全的協議，將文件傳輸到各目標應用服務器。

4.4.3 三權分立

支持安全管理員、系統管理員、系統審計員三級權限。

4.4.4 訪問控制

本數據安全傳輸系統實現了從網絡接口層到應用層的訪問控制功能。

4.4.5 數據打包與校驗

為了校驗文件在傳輸過程中是否出錯，系統使用zip格式打包文件進行傳輸。當系統接收到zip文件后，也會實現完整性檢驗，即對zip文件進行解壓測試，凡是解壓不成功的文件不會被傳輸。

4.4.6 MD5文件完整性校驗

支持對傳輸通過的文件做MD5文件完整性校驗。

4.4.7 檢查備份

支持JPG和XML格式檢查，不滿足檢查條件的進行文件備份。

4.4.8 內容過濾

本數據安全傳輸系統的數據是無協議格式的上層應用數據，實現了對文本格式文件及數據庫格式數據的內容審查。

4.4.9 流量控制

控制數據傳輸流量,保證數據平穩高效傳輸。

4.4.10 病毒掃描

對于包含有病毒數據的應用數據，單向安全傳輸系統阻止文件傳輸的同時對其進行日志記錄，供安全管理員使用。

4.4.11 數據加解密

系統能夠對進行傳輸的文件數據進行加密、解密，保證數據安全。

4.4.12 上報監管

本數據安全傳輸系統定時生成系統運行狀態信息，日志更新日志文件，并支持日志上報監管系統功能。

4.5 系統監控與審計功能

為了檢測數據傳輸的運行狀態，本系統設計了系統監控與審計功能，主要包括：

4.5.1 系統監控

導入前置機、導入服務器系統提供對系統運行狀態的實時監控功能。

4.5.2 流量監控

導入前置機上的流量監控進程間隔一定時間采集數據流量，并進行統計。

4.5.3 日志審計

本數據安全傳輸控制系統提供了強大的日志查詢、日志存儲和日志審計功能。

5 系統應用實施方案

本數據安全傳輸控制系統導入前置機、導入服務器與單向傳輸設備配套使用，對即將導入公安信息網的應用數據進行業務處理，實現數據在不同密級網絡之間的單向無反饋安全傳輸，支持文件、MQ消息、數據庫同步，根據不同的應用要求，配置不同類型的數據傳輸任務。下面以典型的文件傳輸應用場景為例，描述本系統應用實施方案。

5.1 文件同步應用模式A

當外網沒有專門的文件服務器時，可以在導入前置機上建立FTP文件服務器，用戶將文件上傳到導入前置機的文件服務器，導入服務器通過單向傳輸設備接收到導入前置機傳輸來的文件后，將其上傳到導入服務器網絡的特定文件服務器上。

文件同步應用模式A的部署場景如圖6所示。

圖6 文件同步應用模式A部署圖

通過配置導入前置機啟用導入前置機的FTP Server服務。用戶在外網中部署FTP客戶端自動監控文件將其上傳至導入前置機，在內網中部署FTP服務器來接收導入服務器主動上傳來的文件。

5.2 文件同步應用模式B

當內外網中均沒有專門的文件服務器時，在導入前置機、導入服務器中分別建立FTP文件服務器，用戶在將文件上傳至導入前置機后，通過單向傳輸設備將其單向同步到導入服務器中，導入服務器接收到文件后向內網中的應用程序服務器發送文件到達通知，內網中的應用程序服務器接收到文件到達通知后主動連接單導入服務器并下載文件，完成文件的單向同步。

文件同步應用模式B部署場景如圖7所示。

圖7 文件同步應用模式B部署圖

通過配置單向安全傳輸系統分別啟用導入前置機和導入服務器的FTP Server服務。用戶在外網中部署FTP客戶端自動監控文件將其上傳至導入前置機，在內網中部署應用系統來接收文件到達通知并下載文件。

如果用戶在外網沒有專門的文件服務器，就可以文件同步應用模式A的方式進行文件傳輸。文件同步應用模式A也稱外端推方式，是使用者將需要傳輸的文件從源端上傳到導入前置機，然后由導入前置機上的處理程序，將文件封裝并傳輸到導入服務器，由導入服務器處理程序接收并合并文件后，通過文件傳輸協議上傳到目的端網絡的特定文件服務器上。

如果外網有專門的文件服務器，就可以采用文件同步應用模式B進行文件傳輸。文件同步應用模式B也稱外端拉方式，是指在導入前置機上的處理程序定期去源端文件服務器上獲取需要傳輸的文件，然后再通過單向安全傳輸系統傳輸到導入服務器，導入服務器接收到數據報文合并成文件后，再上傳。

綜上所述，本系統上述兩種文件同步模式都支持，用戶根據具體應用場景來決定采用哪種文件同步運行模式。

6 結束語

本數據安全傳輸控制系統硬件上設計了基于單向光纖網卡、單模光纖、分光器為基礎結構的單向物理傳輸信道；軟件上設計了對傳輸數據的完整性校驗、格式檢查、病毒掃描、內容過濾等安全控制功能的單向數據安全傳輸模塊，實現了數據在不同網域間的無反饋傳輸。無論是UDP協議，還是TCP協議的攻擊要穿過本系統均是不現實的。

在當前公安大數據和“互聯網+”戰略趨勢以及一系列惠民便民政策的驅動下，公安機關與其他部委和企事業單位之間的數據交換需求日益增長，數據安全傳輸控制系統通過軟硬件相結合，采用一系列安全技術，在公安信息網與各類網絡間構建了一道安全防護通道，保障不同網域間數據的安全、高效傳輸，為各類公安業務的安全、高效開展提供了技術保障。光單向傳輸的特點一方面保證了數據的單向安全傳輸，另一方面也造成收端無法有效地向發端反饋各種確認和控制信息，如何有效地實現丟包重傳、擁塞控制等功能都是需要繼續完善和解決的技術問題。