朱 琪

(阜陽幼兒師范高等?？茖W校 科學與健康系 ，安徽 阜陽 236015)

目前，許多企業(yè)和政府機構都建立了自己的內部網絡作為整個部門的信息系統(tǒng)骨干。全球信息和網絡安全問題日益突出，大多數(shù)網絡安全機制，包括防火墻、入侵檢測、漏洞掃描、CA、VPN、反病毒等都不能有效地解決網絡安全問題[1]。由于缺乏有效的解決方案，大多數(shù)用戶都采用將內部網絡與外部公共網絡斷開以保護私有信息。然而，這種方法也為信息交換帶來了不便，不利于發(fā)揮互聯(lián)網信息共享的功能。物理隔離技術是為了確保私有網絡的安全性，并實現(xiàn)私有網絡和公共網絡之間的信息交換[2]。內部網絡和外部網絡之間的物理隔離能夠真正保證內部網絡信息的安全。此外，物理隔離為內部網絡劃定了清晰安全的邊界，增強了網絡的可控性，便于內部管理。鑒于目前嚴峻的網絡安全形勢以及物理隔離技術的優(yōu)勢，國家保密部門發(fā)布《國家計算機信息系統(tǒng)網絡保密規(guī)定》，明確表示：涉及國家秘密的計算機信息系統(tǒng)不應直接或間接地連接到互聯(lián)網或其他公共信息網絡[3]。根據(jù)這一規(guī)定，政府和一些企業(yè)必須在私有網絡和公共網絡之間實現(xiàn)物理隔離。目前，物理隔離技術已經成為電子政務、電子商務和國家重要網絡中必須采用的一項技術。因此，設計高性能、高可靠性物理隔離技術的網絡隔離器對于改善網絡安全狀況和保護網絡信息安全具有重要意義。

1 系統(tǒng)框架

在物理隔離系統(tǒng)中，內部網絡不應該直接或間接地連接到外部公共網絡(一般是指互聯(lián)網)。為了實現(xiàn)不同安全級別網絡之間的數(shù)據(jù)交換，隔離系統(tǒng)需要中斷內部網絡與外部網絡的連接，取消對TCP/IP協(xié)議的支持，不依賴于操作系統(tǒng)，并采取訪問控制、認證、內容過濾等安全檢查機制?；陔p網物理隔離的需求，本文設計了物理網絡隔離系統(tǒng)的框架，以確保內部網絡信息的安全。雙網物理隔離系統(tǒng)的框架如圖1所示。

圖1 雙網物理隔離系統(tǒng)框架設計

隔離器需要實現(xiàn)物理隔離功能，因此要將網絡通信協(xié)議的每一層斷開。TCP/IP參考模型是目前廣泛使用的網絡通信協(xié)議族，由四個協(xié)議層組成：數(shù)據(jù)鏈路層、網絡層、傳輸層和應用層。在實現(xiàn)協(xié)議層的斷開之前，需要將物理鏈路斷開。

實現(xiàn)物理鏈路的斷開：當內部網絡需要傳輸數(shù)據(jù)時，外部網絡與雙網物理隔離系統(tǒng)的物理鏈路就會斷開，而內部網絡則會保持與隔離系統(tǒng)的連接，內部網絡將數(shù)據(jù)傳輸?shù)礁綦x系統(tǒng)進行處理，然后內部網絡與隔離系統(tǒng)的物理鏈路就會斷開，而外部網絡與隔離系統(tǒng)進行連接，此時隔離系統(tǒng)將內部網絡的數(shù)據(jù)傳輸?shù)酵獠烤W絡。

實現(xiàn)TCP/IP協(xié)議棧的斷開：TCP/IP協(xié)議棧的數(shù)據(jù)鏈路層、網絡層、傳輸層以及應用層斷開實質上就是數(shù)據(jù)包封裝的逆過程。一個包含數(shù)據(jù)鏈路層、網絡層、傳輸層和應用層頭部的數(shù)據(jù)包格式如圖2所示。

以太網頭部IP頭部TCP頭部應用層頭部原始數(shù)據(jù)以太網尾部

圖2數(shù)據(jù)包格式

當數(shù)據(jù)包從內部(或外部)網絡進入雙網物理隔離系統(tǒng)時，隔離系統(tǒng)會先對數(shù)據(jù)包進行TCP/IP協(xié)議棧的斷開，即將圖2數(shù)據(jù)包中以太網頭部尾部、IP頭部、TCP頭部以及應用層頭部剝離。剩下的原始數(shù)據(jù)經過隔離器處理后，又會被重新封裝并轉發(fā)到外部(或內部)網絡。這樣的操作可以預防針對協(xié)議層的網絡攻擊，從而保護了信息的安全。

為了保證雙網物理隔離系統(tǒng)的數(shù)據(jù)傳輸?shù)乃俣?，本系統(tǒng)使用PCIe(Peripheral Component Interconnect Express)總線[4]來連接系統(tǒng)的各個部分。PCIe是一種高速串行計算機擴展總線標準，是舊標準PCI總線的擴展版本。與舊標準相比，PCIe具有較高的最大系統(tǒng)總線吞吐量、較小的管腳數(shù)、更好的總線設備擴展性能、更詳細的錯誤檢測和報告機制(Advanced Error Reporting，AER[5])，并支持本地熱插拔功能。本雙網物理隔離系統(tǒng)采用Linux操作系統(tǒng)，其原因在于Linux系統(tǒng)具有以下的優(yōu)勢：Linux內核實現(xiàn)了完備且詳細的網絡協(xié)議棧；開源的特性為Linux提供了大量的軟件資源；Linux的驅動程序易于編寫和修改；Linux運行效率高，對計算機的要求低；支持多任務、多用戶。

2 雙網物理隔離系統(tǒng)的硬件設計

硬件架構為雙網物理隔離系統(tǒng)提供了數(shù)據(jù)傳輸?shù)臈l件，也是保證信息安全、高效的基礎。硬件系統(tǒng)需要設置有較大的緩存來，而且需要支持高速的數(shù)據(jù)傳輸，以確保網絡隔離系統(tǒng)的性能?；诟綦x系統(tǒng)的需求，本系統(tǒng)選擇以下的硬件構成主要的硬件系統(tǒng)：

● 邏輯控制芯片：采用FPGA芯片，型號為Intel Cyclone 10系列10CL016YU484C8G；

● 緩存芯片：采用由Integrated Device Technology公司生產的SRAM，型號是IDT71V416S/L；

● 橋接芯片：采用由PLX公司生產的PCIe芯片，型號是PEX 8696。

雙網物理隔離系統(tǒng)的硬件架構如圖3所示。

圖3系統(tǒng)硬件架構

3 雙網物理隔離系統(tǒng)的軟件設計

3.1 驅動程序設計

在Linux環(huán)境下編寫驅動程序的其中一種方法是：將驅動程序作為內核模塊來實現(xiàn)。這種方法不需要重新編譯內核來添加新的驅動程序。下面將給出動程序模塊的主要實現(xiàn)過程。

3.1.1 加載/卸載驅動程序模塊 加載模塊的主要代碼如下所示：

static int my_driver_init(void)

{ return 0;}

module_init(my_driver_init);

卸載模塊的主要代碼如下所示：

static void my_driver_exit(void)

{ return;}

module_exit(my_driver _exit);

3.1.2 注冊設備 Linux的設備文件通常保存在/dev文件夾，可以通過將參數(shù)寫入設備文件將參數(shù)傳遞給相應的模塊。設備文件有兩種：字符文件和塊文件。字符文件是非緩沖的，而塊文件是緩沖的。字符文件允許逐字讀寫數(shù)據(jù)，而塊文件只允許寫入整個數(shù)據(jù)塊。Linux系統(tǒng)有一種方法可以通過主設備號來識別設備文件，主設備號用于識別服務于設備文件或一組設備的模塊，以及用于識別主設備號指定的一組設備中的特定設備的次設備號。在驅動程序代碼中，可以將這些數(shù)字定義為常量，也可以動態(tài)分配。實現(xiàn)注冊字符設備的函數(shù)如下：

int register_chrdev (unsigned int major,

const char *name,

const struct fops);

file_operations *

3.1.3 指定設備名稱 注冊設備需要指定設備的名稱和主要編號，然后將file_operations結構與設備關聯(lián)。本系統(tǒng)所使用的Linux內核版本是2.6.32，其file_operations的結構定義如下：

struct file_operations {

struct module *owner;

loff_t (*llseek) (struct file *, loff_t, int);

ssize_t (*read) (struct file *, char *, size_t, loff_t *);

...... };

3.2 數(shù)據(jù)包協(xié)議層剝離程序設計

3.2.1 抓包程序設計 本系統(tǒng)使用數(shù)據(jù)包捕獲函數(shù)庫libpcap進行抓包程序的設計，該函數(shù)庫也可以用于數(shù)據(jù)包過濾、協(xié)議分析等場景。抓包程序的主要步驟如下所示：

● 綁定網絡設備：抓包的第一步是指定相關的硬件設備，即綁定網卡，可以使用libpcap函數(shù)庫中的函數(shù)pcap_lookupdev()實現(xiàn)；

● 打開網絡設備：綁定設備后，需要打開網絡設備，創(chuàng)建一個嗅探會話，使用函數(shù)pcap_open_live()實現(xiàn)；

由于缺少科學的激勵考核機制，忽視人的核心利益和心理需要，嚴重影響員工的工作積極性，忽視人的潛能釋放和長遠發(fā)展［2］。在用人方面缺乏科學的績效評價機制，提升往往取決于上司的個人好惡，使客觀、公平、公正的選人原則難以體現(xiàn)，缺乏與績效考核掛鉤的收入分配機制。長此以往，員工工作情緒低落，滿足感缺失，最終導致大量的人才流失。

● 設置過濾器：當嗅探會話建立后，先使用函數(shù)pcap_compile()編譯過濾器，然后使用pcap_setfilter()設置過濾器；

● 捕獲數(shù)據(jù)包：本系統(tǒng)選擇函數(shù)pcap_loop()進行抓包。

3.2.2 數(shù)據(jù)包剝離和封裝程序設計 捕獲數(shù)據(jù)包后就可以對數(shù)據(jù)包進行協(xié)議層頭部的剝離操作，首先需要先定義協(xié)議層頭部的數(shù)據(jù)結構，然后才能對它們進行類型轉換。數(shù)據(jù)鏈路層采用以太網協(xié)議，其頭部結構包含了協(xié)議類型、源MAC地址和目的MAC地址；網絡層采用IP協(xié)議，主要結構包括了版本號、源IP地址、目的IP地址等；傳輸層采用傳輸控制協(xié)議(TCP)，主要的結構有源端口號、目的端口號、序列號、檢驗碼等等。實現(xiàn)類型轉換的主要代碼如下所示：

const struct ethernet_header *ether_header;

const struct ip_header *ip_header;

const struct tcp_header *tcp_header;

const char *payload;

ether_header = (struct ethernet_header*)(packet);

ip_header = (struct ip_header *)(packet + 14);

ipsize = IP_HL(ip)*4;

printf(“error ”);

return;}

tcp_header = (struct tcp_header *)(packet + 14 + ipsize);

tcpsize = TH_OFF(tcp)*4;

if (tcpsize < 20) {

printf(“error ”);

return;}

payload = (u_char *)(packet + 14 + size_ip + tcpsize);

以數(shù)據(jù)包從外部網絡進入內部網絡為例，數(shù)據(jù)包協(xié)議層的剝離和重新封裝過程如圖4所示。

圖4 數(shù)據(jù)包協(xié)議層剝離和封裝過程

4 雙網物理隔離系統(tǒng)性能評估

a．發(fā)送前測試文本 b. 接收到的文本

圖6對比實驗拓撲圖7數(shù)據(jù)傳輸效率對比結果

安全性和高效性是雙網物理隔離系統(tǒng)主要的兩個性能需求。由于篇幅有限，本小節(jié)僅對高效性的評估結果進行闡述。首先，當數(shù)據(jù)包從外部網絡(或內部網絡)經過物理隔離系統(tǒng)到達內部網絡(或外部網絡)時，需要對數(shù)據(jù)包的協(xié)議層頭部進行剝離和封裝(如圖4)，這一操作可能會破壞數(shù)據(jù)包中原始數(shù)據(jù)的完整性。對此，我們在內部網絡隨機生成一個測試文本文件，并將該測試文件通過隔離系統(tǒng)發(fā)送到外部網絡，評估結果如圖5所示。圖5a是發(fā)送前的文本，圖5b則是接收到的文本，對比結果圖可知，本文的隔離系統(tǒng)能夠保證數(shù)據(jù)包的完整性。

接下來利用對比實驗對隔離系統(tǒng)的數(shù)據(jù)傳輸效率進行評估，比較內、外網絡直接相連接(如圖6a所示)以及內、外網絡通過本隔離系統(tǒng)進行連接(如圖6b所示)的平均時延，實驗進行50秒，時延的采樣周期是1秒，評估結果如圖7所示。從圖7可以看出，在內外網之間引入本隔離系統(tǒng)會帶來額外的平均時延。但是由于平均時延的單位是毫秒，而且引入的時延并不多，因此本隔離系統(tǒng)并不會對數(shù)據(jù)傳輸帶來明顯的影響。

5 總結

本文設計了基于信息安全的雙網物理隔離系統(tǒng)，實現(xiàn)內部網絡與外部網絡的物理隔離，保護了內部網絡的信息安全。但是，本文僅僅完成了物理隔離系統(tǒng)的框架設計，未來的研究工作主要對以下幾個方面進行完善：增加常用協(xié)議的剝離和封裝功能，加入病毒、惡意軟件的檢測和防御模塊等等。