湖北省荊門市公安局　馬宇宙

自制單向數(shù)據(jù)傳輸系統(tǒng)研究

湖北省荊門市公安局馬宇宙

隨著網(wǎng)絡(luò)安全意識的提升，很多企事業(yè)單位都在加強網(wǎng)絡(luò)安全技術(shù)措施。一些企事業(yè)單位在保護自己的私有數(shù)據(jù)資源時，都采取了內(nèi)外網(wǎng)安全隔離措施。這里就涉及到了一個從低密到高密級別單向數(shù)據(jù)傳輸問題。很多單位花費重金，購買所謂的單向光閘，來保證內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的安全性。然而，對于中小企事業(yè)單位來說，這方面的投入就顯得過于奢侈。那如何以更少的資金解決數(shù)據(jù)單項傳輸保障內(nèi)網(wǎng)數(shù)據(jù)安全呢？這是值得我們思考的話題。

網(wǎng)絡(luò)；自制；單向；內(nèi)外網(wǎng)傳輸；研究

網(wǎng)絡(luò)信息安全已經(jīng)成為當今世界熱門課題之一，已經(jīng)引起社會廣泛關(guān)注。當前網(wǎng)絡(luò)信息安全形勢日趨嚴峻，長期以來在數(shù)據(jù)跨網(wǎng)交換中存在著嚴重的安全隱患。因此，建立安全高效的內(nèi)外網(wǎng)單向數(shù)據(jù)傳輸系統(tǒng)很有必要。目前商用的單向光閘成為了眾多互聯(lián)網(wǎng)企業(yè)的首選，其投入費用較高。如果我們采用現(xiàn)有軟硬件技術(shù)及設(shè)備進行拼裝，實現(xiàn)安全的內(nèi)外網(wǎng)數(shù)據(jù)單向傳輸，將是一項有意義的研究。

1　商用網(wǎng)絡(luò)單向傳輸設(shè)備單向光閘原理

商用單向光閘，它解決了內(nèi)網(wǎng)和外網(wǎng)之間安全隔離、可控的數(shù)據(jù)交換需求，采用單向光閘隔離涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)，保證涉密數(shù)據(jù)不從高密級網(wǎng)絡(luò)流向低密級網(wǎng)絡(luò)。

1.1商用單向光閘系統(tǒng)組成

單向隔離光閘由三部分組成：內(nèi)網(wǎng)單元、外網(wǎng)單元、分光單向傳輸單元。其中內(nèi)網(wǎng)單元和內(nèi)網(wǎng)相連，外網(wǎng)單元與外網(wǎng)相連，分光單向傳輸單元是內(nèi)外網(wǎng)之間唯一且安全的數(shù)據(jù)傳輸通道。

1.2商用單向光閘工作原理

外網(wǎng)單元有數(shù)據(jù)傳輸請求時，將激活分光單向傳輸單元，向其發(fā)送數(shù)據(jù)，分光單向傳輸單元采用單向光信號向內(nèi)網(wǎng)單元傳遞，內(nèi)網(wǎng)單元接到傳輸?shù)臄?shù)據(jù)光信號后，對數(shù)據(jù)進行采集、保存、處理。

2　自制單向數(shù)據(jù)傳輸系統(tǒng)設(shè)計的關(guān)鍵問題

參照單向光閘系統(tǒng)工作原理，我們要自制一套完備的內(nèi)外網(wǎng)單向數(shù)據(jù)傳輸系統(tǒng)，也同樣需要考慮以下幾方面的問題：

2.1嚴格的內(nèi)外網(wǎng)物理隔離

內(nèi)外網(wǎng)交換安全，如果從物理上保證了單向的數(shù)據(jù)傳輸，那就是可靠的的物理隔離，目前，光閘提供了很好的參考，我們也可以采用光信號的單向，穩(wěn)定，傳輸快優(yōu)點，對兩網(wǎng)進行物理隔離。

2.2傳輸數(shù)據(jù)的相對完整性

數(shù)據(jù)傳輸重要的是檢測出無效數(shù)據(jù)和有效數(shù)據(jù)，拋棄無效數(shù)據(jù)。在傳輸過程中，我們可以借用現(xiàn)有的網(wǎng)絡(luò)傳輸協(xié)議來實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?。甚至可以在傳輸?shù)臄?shù)據(jù)包內(nèi)進行二次的數(shù)據(jù)完整性校驗，防止無效的數(shù)據(jù)被還原存儲。

2.3命令與數(shù)據(jù)的并行傳輸

在傳輸中，我們不僅可傳數(shù)據(jù)，同時可以并行傳輸相關(guān)命令，實現(xiàn)數(shù)據(jù)、命令的同步傳輸。對于僅為文件應(yīng)用的傳輸可不用考慮此點。

3　自制單向數(shù)據(jù)傳輸系統(tǒng)的實現(xiàn)

3.1自制單向數(shù)據(jù)傳輸系統(tǒng)的架構(gòu)

自制單向數(shù)據(jù)傳輸系統(tǒng)我們同樣可設(shè)計成三部分，內(nèi)網(wǎng)單元、外網(wǎng)單元、分光單向傳輸單元。我們設(shè)計的外網(wǎng)單元可理解為：在外網(wǎng)上，網(wǎng)絡(luò)客戶端向服務(wù)端發(fā)送網(wǎng)絡(luò)數(shù)據(jù)，數(shù)據(jù)在網(wǎng)絡(luò)中采用光纖傳輸，我們對光纖數(shù)據(jù)進行分光，分光后，把數(shù)據(jù)導(dǎo)向內(nèi)網(wǎng)，在內(nèi)網(wǎng)單元里對網(wǎng)絡(luò)傳輸?shù)墓庑盘枖?shù)據(jù)進行采集組裝還原。作者的一個經(jīng)典配備案例為：一臺裝有雙網(wǎng)卡計算機作為外網(wǎng)單元（設(shè)置真機一個網(wǎng)卡，VM虛擬機一個網(wǎng)卡，兩網(wǎng)卡可通過TCP/IP協(xié)議通信），一臺單網(wǎng)卡計算機作為內(nèi)網(wǎng)單元，如果外網(wǎng)單元網(wǎng)卡是電口，必須加裝一套光纖收發(fā)器（雙纖，一收一發(fā)）將電信號轉(zhuǎn)化為光信號。通過分光器將其中一根發(fā)送數(shù)據(jù)的纖進行分光，將分光后的信號直接接入內(nèi)網(wǎng)單元光口（內(nèi)網(wǎng)單元網(wǎng)口為光口）或者加裝光纖收發(fā)器轉(zhuǎn)換成電信號后接入內(nèi)網(wǎng)單元電口（內(nèi)網(wǎng)單元網(wǎng)口為電口），再在內(nèi)網(wǎng)單元中啟動監(jiān)聽采集還原程序，將網(wǎng)口上接收的數(shù)據(jù)包進行采集重組還原。

3.2單向數(shù)據(jù)傳輸系統(tǒng)的數(shù)據(jù)完整性設(shè)計

TCP傳輸協(xié)議是目前網(wǎng)絡(luò)數(shù)據(jù)傳輸公認的比較安全的協(xié)議，它擁有七層網(wǎng)絡(luò)模型傳輸層以下很多安全措施（保證其傳輸數(shù)據(jù)的完整性），我們可以充分依賴這些協(xié)議機制，保證外網(wǎng)到內(nèi)網(wǎng)數(shù)據(jù)傳輸?shù)南鄬ν暾?。以此滿足我們自制單向數(shù)據(jù)傳輸系統(tǒng)數(shù)據(jù)校驗功能。當然，我們可以對數(shù)據(jù)進行二層校驗，即在傳輸?shù)臄?shù)據(jù)包中增加數(shù)據(jù)內(nèi)容，附帶傳輸數(shù)據(jù)的hash值。內(nèi)網(wǎng)單元組裝還原數(shù)據(jù)后，可進行更為嚴格的hash值數(shù)據(jù)校驗，保證數(shù)據(jù)完整可靠。作者實現(xiàn)中采用了一個偷懶的做法：對所傳數(shù)據(jù)用winrar壓縮成一個文件，然后采用SMTP傳輸協(xié)議（下層為TCP協(xié)議），內(nèi)網(wǎng)單元組裝還原后，是一封帶一壓縮文件附件的郵件，壓縮文件本身就具有完整性校驗?zāi)芰?，能校驗成功表示外網(wǎng)到內(nèi)網(wǎng)數(shù)據(jù)完整。

3.3自制單向數(shù)據(jù)傳輸系統(tǒng)關(guān)鍵環(huán)節(jié)研究

自制單向數(shù)據(jù)傳輸系統(tǒng)中，外網(wǎng)單元的部分很好實現(xiàn)，只需要在外網(wǎng)絡(luò)產(chǎn)生一條傳輸數(shù)據(jù)的網(wǎng)絡(luò)光通道，且能分光到內(nèi)網(wǎng)即可。該系統(tǒng)最關(guān)鍵環(huán)節(jié)就在TCP協(xié)議數(shù)據(jù)還原部分。目前協(xié)議數(shù)據(jù)監(jiān)聽還原，很多人在研究，算法都不一樣，本人經(jīng)過多次的研究發(fā)現(xiàn)，一套懶辦法可以讓數(shù)據(jù)還原做得很好。以往，我們的算法就是：監(jiān)聽數(shù)據(jù)包，來一個處理一個，寫一個，遇到重傳或者累傳，拼接數(shù)據(jù)就顯得很麻煩，雖然，這類算法對節(jié)約內(nèi)存比較有用，但算法卻顯得散亂、復(fù)雜。而現(xiàn)今內(nèi)存大小已經(jīng)不再是一個大問題，8G、16G內(nèi)存已經(jīng)很常見，我們不需要為節(jié)約內(nèi)存而對數(shù)據(jù)包來一個處理一個，我們只需要把一個四元組（源IP、目的IP、源端口、目的端口）從連接成功（TCP標志位SYN同步）到數(shù)據(jù)傳輸結(jié)束（TCP標志位FIN）的所有數(shù)據(jù)包（含重傳、累傳）都逐一存放到一個鏈表結(jié)構(gòu)里，我們要做的工作就是：從FIN包開始回溯，每次減去包長就是我們向前回溯的那個TCP包序列號。通過此法，只要一個一個向前找，找到SYN同步包為止，不管數(shù)據(jù)因傳輸問題出現(xiàn)多少次重傳、累傳，只要分光信號完整，我們總能找出鏈表結(jié)構(gòu)中那一條完整的數(shù)據(jù)包鏈，最終完全還原整個四元組TCP協(xié)議數(shù)據(jù)。

3.4自制單向數(shù)據(jù)傳輸系統(tǒng)吞吐量研究

自制單向數(shù)據(jù)傳輸系統(tǒng)的吞吐量主要涉及以下幾個關(guān)鍵速度：一是網(wǎng)絡(luò)傳輸速度，二是計算機還原數(shù)據(jù)包速度，三是內(nèi)網(wǎng)存儲速度。網(wǎng)絡(luò)傳輸速度跟網(wǎng)卡有關(guān)，內(nèi)外網(wǎng)單元的三個網(wǎng)口選購千兆網(wǎng)口基本能滿足不同的需求。計算機還原速度跟計算機硬件配置有關(guān)，配備高性能的計算機，或者復(fù)用一些工作量不大的高性能服務(wù)器均可。內(nèi)網(wǎng)存儲速度跟內(nèi)網(wǎng)存儲的類型接口有關(guān)，選寫入速度快的存儲可以提高吞吐量。當然，如果網(wǎng)絡(luò)速度遠遠高過存儲速度，可以采用多線程，標志位的方式將要傳輸?shù)臄?shù)據(jù)每次分為四份，在分光時，采取一分四的分光器分光，導(dǎo)入到4臺內(nèi)網(wǎng)機并行處理，一臺內(nèi)網(wǎng)機只存其中的網(wǎng)絡(luò)傳輸中的四分之一數(shù)據(jù)，這樣對于網(wǎng)速快但內(nèi)網(wǎng)是多臺老式機器的應(yīng)用場景可明顯提高傳輸?shù)耐掏铝俊?/p>

4　結(jié)語

自制單向數(shù)據(jù)傳輸系統(tǒng)作為小企事業(yè)單位來說，既節(jié)約了投資成本，又有力保障了私有網(wǎng)絡(luò)數(shù)據(jù)的安全。從節(jié)約的角度出發(fā)，實現(xiàn)自制單向數(shù)據(jù)傳輸是一個很好的研究課題，如果考慮1分多的并行分光，將有很大的速度拓展空間。

［1］TCP/IP詳解 卷1：協(xié)議（美）Gary R.Wright，W.Richard Stevens.

［2］蔡東蛟.安全隔離與信息交換系統(tǒng)實現(xiàn)機理與應(yīng)用［J］.信息技術(shù)，2007（12）.

［3］孔斌，杜虹，馬朝斌.安全隔離與信息交換技術(shù)發(fā)展及應(yīng)用［J］.計算機安全，2003.

［4］張仕斌，譚三，蔣毅.網(wǎng)絡(luò)安全技術(shù)［M］.清華大學(xué)出版社，2004，8.

［5］蒼志剛，潘愛民.WINDOWS平臺下的網(wǎng)絡(luò)監(jiān)聽技術(shù)［J］.計算機工程與設(shè)計，2004（2）：248-251.

［6］黃超.WINDOWS網(wǎng)絡(luò)編程［M］.人民郵電出版社，2003.

［7］Kenneth D.Reed.TCP/IP基礎(chǔ)［M］.北京.電子工業(yè)出版社，2003.

［8］張海藩.軟件工程論［M］.北京：清華大學(xué)出版社，2008.