黨增江，宋永立，高 玫，尹麗云

(中國航天科工集團(tuán)第二研究院 七〇六所，北京 100854)

0 引 言

為解決企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)聯(lián)通帶來的信息安全問題，抓住市場機(jī)遇，近幾年來，各大信息安全廠商都推出了自己的安全解決方案，其中最核心的就是單向數(shù)據(jù)傳輸設(shè)備[1-4]。單向數(shù)據(jù)傳輸設(shè)備是新型的網(wǎng)絡(luò)安全隔離產(chǎn)品，其基本思想是從本質(zhì)上將傳統(tǒng)計算機(jī)網(wǎng)絡(luò)雙向通信的硬件和通信協(xié)議設(shè)計為單向發(fā)送和單向接收，數(shù)據(jù)只能從低安全等級的網(wǎng)絡(luò)單向傳輸?shù)礁甙踩燃壍木W(wǎng)絡(luò)中，能夠有效防止高等級網(wǎng)絡(luò)中的敏感信息泄露[5,6]。由于單向傳輸中沒有反向通道，攻擊者無法在線獲取攻擊必需的相關(guān)信息，即使向高安全等級網(wǎng)絡(luò)中“盲”注入了病毒或者木馬，由于底層硬件并沒有從高安全等級網(wǎng)絡(luò)中反向傳輸數(shù)據(jù)到低安全等級網(wǎng)絡(luò)的能力，在一定程度上，絕大部分的網(wǎng)絡(luò)安全攻擊行為也將失去意義[5]。

目前，大部分的單向數(shù)據(jù)傳輸設(shè)備硬件上使用的還是X86平臺芯片，單向傳輸使用單向光卡實現(xiàn)[4,5,7]，軟件協(xié)議上仍然使用IP協(xié)議進(jìn)行數(shù)據(jù)通信[5,7,8]，IP協(xié)議是公開的標(biāo)準(zhǔn)以太網(wǎng)通信協(xié)議，其通信數(shù)據(jù)容易被惡意攻擊者嗅探和破解，存在信息安全隱患。本文提出一種用于單向數(shù)據(jù)通信的私有協(xié)議，該私有協(xié)議運(yùn)行于網(wǎng)絡(luò)層，是非IP協(xié)議，能夠有效避免惡意攻擊者的嗅探和破解，基于該私有協(xié)議設(shè)計了一款國產(chǎn)化申威平臺上的單向數(shù)據(jù)傳輸設(shè)備，搭建了測試驗證環(huán)境，并通過數(shù)據(jù)包捕獲和分析驗證了私有協(xié)議的封裝結(jié)構(gòu)和傳輸性能。

1 私有協(xié)議設(shè)計

在計算機(jī)學(xué)科概念中，協(xié)議即網(wǎng)絡(luò)協(xié)議，是通信計算機(jī)雙方必須共同遵從的一組約定，如怎么建立連接、如何相互識別等，只有遵守這個約定，計算機(jī)之間才能相互通信交流，協(xié)議的三要素是語法、語義和時序。TCP/IP協(xié)議是以太網(wǎng)中最重要的協(xié)議體系，是所有計算機(jī)網(wǎng)絡(luò)的標(biāo)準(zhǔn)。

私有協(xié)議是企業(yè)或團(tuán)體內(nèi)部制定并執(zhí)行的某種規(guī)范約定，對外不公開規(guī)范細(xì)節(jié)。本文中所提出的私有協(xié)議是專門為單向數(shù)據(jù)安全傳輸系統(tǒng)中數(shù)據(jù)單向發(fā)送和接收而制定的，在一定程度上解決了通信安全問題，同時由于減少了TCP/IP協(xié)議的開銷，在一定程度上也提高了網(wǎng)絡(luò)傳輸性能。

1.1 協(xié)議設(shè)計

本文設(shè)計了一套單向代理傳輸協(xié)議OPTP，該協(xié)議主要用于單向數(shù)據(jù)傳輸設(shè)備外端機(jī)與內(nèi)端機(jī)之間的單向通信，OPTP協(xié)議報文格式結(jié)構(gòu)如圖1所示。

圖1 OPTP協(xié)議報文結(jié)構(gòu)

報文中各協(xié)議字段詳細(xì)描述如下：

協(xié)議頭：4個字節(jié)，表示使用OPTP協(xié)議頭封裝數(shù)據(jù)，固定為0xFF-0x55-0xFF-0x55；

通道號：4個字節(jié)，數(shù)據(jù)傳輸使用的邏輯通道標(biāo)識，為實現(xiàn)多通道傳輸而設(shè)計，發(fā)送端和接收端通道一一對應(yīng)；

會話號：8個字節(jié)，通道中數(shù)據(jù)傳輸會話標(biāo)識，為一個通道實現(xiàn)多路會話而設(shè)計；

源系統(tǒng)標(biāo)識：4個字節(jié)，發(fā)送數(shù)據(jù)的業(yè)務(wù)系統(tǒng)標(biāo)識；

目的系統(tǒng)標(biāo)識：4個字節(jié)，接收數(shù)據(jù)的業(yè)務(wù)系統(tǒng)標(biāo)識；

數(shù)據(jù)包序列號：8個字節(jié)，數(shù)據(jù)包的編號，默認(rèn)從0開始循環(huán)使用；

數(shù)據(jù)安全標(biāo)識：4個字節(jié)，發(fā)送數(shù)據(jù)的安全等級；

數(shù)據(jù)包總幀數(shù)：4個字節(jié)，應(yīng)用數(shù)據(jù)需要的總數(shù)據(jù)幀數(shù)，如果應(yīng)用數(shù)據(jù)為文件數(shù)據(jù)，表示文件內(nèi)容需要的總幀數(shù)；

數(shù)據(jù)包總長度：8個字節(jié)，應(yīng)用數(shù)據(jù)的總大小，單位字節(jié)；

幀序號：4個字節(jié)，當(dāng)前數(shù)據(jù)幀的序號，從0開始；

幀長度：4個字節(jié)，當(dāng)前數(shù)據(jù)幀中有效數(shù)據(jù)長度；

數(shù)據(jù)包類型：2個字節(jié)，業(yè)務(wù)數(shù)據(jù)類型，1-文件數(shù)據(jù)，2-TCP報文，3-UDP數(shù)據(jù)，4-反饋確認(rèn)信息(僅在雙單向傳輸模式下可用)；

反饋標(biāo)識：2個字節(jié)，表示接收端收到業(yè)務(wù)數(shù)據(jù)后是否需要從反向的單向通路進(jìn)行反饋確認(rèn)，僅在雙單向傳輸模式下有效，0-不需要反饋確認(rèn)，1-需要反饋確認(rèn)；

反饋端口：4個字節(jié)，僅在雙單向傳輸模式下有效，業(yè)務(wù)系統(tǒng)發(fā)送的數(shù)據(jù)需要反饋確認(rèn)時，用于接收確認(rèn)信息的端口號；

數(shù)據(jù)區(qū)：應(yīng)用數(shù)據(jù)，在以太網(wǎng)MTU為9000時，最大長度可達(dá)8192字節(jié)，可根據(jù)不同業(yè)務(wù)場景進(jìn)行調(diào)整，有效長度由幀長度字節(jié)確定。

OPTP協(xié)議報文數(shù)據(jù)結(jié)構(gòu)如下：

#defineMAX_DATA_LEN8192

typedefstruct_OPTP_pkt_

{

unsignedcharhead[4];

unsignedintchannel_id;

unsignedlonglongsession_id;

unsignedcharsrc_sys[4];

unsignedchardst_sys[4];

unsignedlonglongseq_number;

unsignedchardata_level[4];

unsignedinttotal_frame;

unsignedlonglongtotal_len;

unsignedintframe_number;

unsignedintframe_len;

unsignedshortpkt_type;

unsignedshortpkt_flag;

unsignedintack_port;

chardata[MAX_DATA_LEN];

}OPTP_PKT, *OPTP_PKT_PTR;

1.2 協(xié)議封裝

OPTP協(xié)議運(yùn)行在計算機(jī)網(wǎng)絡(luò)體系中的網(wǎng)絡(luò)層，是一種非IP私有協(xié)議，協(xié)議的網(wǎng)絡(luò)模型如圖2所示，由原來的五層協(xié)議模型變成了四層協(xié)議模型，最上層是應(yīng)用層，應(yīng)用數(shù)據(jù)直接封裝成OPTP協(xié)議數(shù)據(jù)包，下層直接使用以太網(wǎng)數(shù)據(jù)幀封裝，而后在物理層上進(jìn)行傳輸。

圖2 OPTP協(xié)議網(wǎng)絡(luò)模型

(1)以太網(wǎng)數(shù)據(jù)幀封裝

為充分提高單向傳輸通道的網(wǎng)絡(luò)效率，可以將單向網(wǎng)卡的MTU設(shè)置為9000，即以太網(wǎng)數(shù)據(jù)幀的最大載荷可達(dá)到9000字節(jié)，封裝OPTP協(xié)議數(shù)據(jù)包的以太網(wǎng)幀結(jié)構(gòu)如圖3所示，前同步碼7個字節(jié)，幀定界符1個字節(jié)，以太網(wǎng)協(xié)議頭14個字節(jié)，幀末尾有4個字節(jié)的CRC校驗碼。

圖3 以太網(wǎng)數(shù)據(jù)幀封裝

前同步碼：實現(xiàn)物理層輸入/輸出同步，7個字節(jié)，0和1交替，即0x55-0x55-0x55-0x55-0x55-0x55-0x55；

SFD：以太網(wǎng)幀定界符，標(biāo)識幀的開始，1個字節(jié)，固定為10101011；

通過清除淤泥、修砌塘埂等，可有效擴(kuò)大魚塘容量，增強(qiáng)抗旱保水能力。高產(chǎn)魚塘至少3年清一次淤泥，雖然清淤費用較高，但可降低餌料系數(shù)與魚病防治費用以及暴發(fā)性疾病發(fā)生的概率，故利大于弊。一般老池塘每年都要清除池底淤泥，只保留底泥10～15cm即可。也有養(yǎng)殖戶將魚塘水排干后，保持有10cm厚淤泥，再種上黑麥草、蠶豆、油菜及蔬菜等，實行種養(yǎng)有機(jī)結(jié)合，用農(nóng)作物根系來通氣，吸收和轉(zhuǎn)化土壤中的各種營養(yǎng)物質(zhì)，起到改良土壤、破壞水生病菌生活環(huán)境的效果，能顯著減少魚病的發(fā)生，這種種養(yǎng)結(jié)合的輪作方式，可互惠互利，共同促進(jìn)，并且十分符合現(xiàn)代綠色健康養(yǎng)殖要求。

目的MAC地址：接收端網(wǎng)卡的MAC地址，6個字節(jié)；

源MAC地址：發(fā)送端網(wǎng)卡的MAC地址，6個字節(jié)；

類型：以太網(wǎng)幀封裝的協(xié)議類型，2個字節(jié)，取值0x0800的幀代表是IP協(xié)議幀，取值為0x0806的幀代表是ARP協(xié)議幀。OPTP協(xié)議是私有定制協(xié)議，使用保留數(shù)值0x08 d5；

OPTP數(shù)據(jù)包：以太網(wǎng)幀的有效數(shù)據(jù)，最大8256字節(jié)，OPTP首部64字節(jié)，數(shù)據(jù)區(qū)最大8192字節(jié)；

幀校驗序列FCS：循環(huán)冗余校驗CRC值，4個字節(jié)，用于驗證該以太網(wǎng)幀是否被損壞。

(2)應(yīng)用數(shù)據(jù)封裝過程

應(yīng)用數(shù)據(jù)從上到下經(jīng)過OPTP協(xié)議和以太網(wǎng)幀兩層封裝后，在實際的物理鏈路上進(jìn)行數(shù)據(jù)傳輸，封裝過程如圖4所示。

圖4 應(yīng)用數(shù)據(jù)封裝過程

2 單向數(shù)據(jù)傳輸設(shè)備設(shè)計

本文提出的單向數(shù)據(jù)傳輸設(shè)備是基于國產(chǎn)化申威平臺設(shè)計的，采用“2+1”雙主機(jī)架構(gòu)，設(shè)備部署在不同等級的網(wǎng)絡(luò)之間，通過構(gòu)建單向傳輸通道[9]，實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)之間的業(yè)務(wù)邏輯互聯(lián)和數(shù)據(jù)單向傳輸，設(shè)備內(nèi)部的單向傳輸使用上文提出的OPTP協(xié)議，而非使用IP協(xié)議實現(xiàn)。

2.1 架構(gòu)設(shè)計

圖5 單向數(shù)據(jù)傳輸設(shè)備總體架構(gòu)

硬件層包括內(nèi)端機(jī)、外端機(jī)和單向隔離交換模塊，內(nèi)端機(jī)和外端機(jī)由主板、硬盤和電源組成，均采用申威421國產(chǎn)化處理器，通過網(wǎng)絡(luò)接口與用戶的內(nèi)外網(wǎng)絡(luò)進(jìn)行通信，完成數(shù)據(jù)傳輸和配置管理審計，串口用于進(jìn)行單向數(shù)據(jù)傳輸設(shè)備相關(guān)參數(shù)策略的配置功能。單向隔離交換模塊有單向發(fā)送卡和單向接收卡組成，中間使用單向光纖連接，與內(nèi)端機(jī)和外端機(jī)之間使用PCIE接口連接，單向發(fā)送卡與單向接收卡之間使用OPTP協(xié)議進(jìn)行數(shù)據(jù)通信。

基礎(chǔ)軟件層包括操作系統(tǒng)、數(shù)據(jù)庫、設(shè)備驅(qū)動、WEB服務(wù)和中間件等，為單向數(shù)據(jù)傳輸設(shè)備的應(yīng)用軟件運(yùn)行提供基礎(chǔ)支撐環(huán)境，操作系統(tǒng)使用國產(chǎn)深度操作系統(tǒng)Deepin 15.2，數(shù)據(jù)庫使用MySQL 5.6，WEB服務(wù)使用Tomcat 7.0，中間件使用JDK 1.8。

應(yīng)用軟件層包括配置管理審計系統(tǒng)、殺毒引擎、內(nèi)端機(jī)主程序和外端機(jī)主程序等。其中，內(nèi)端機(jī)主程序和外端機(jī)主程序相互配合，完成數(shù)據(jù)安全交換這一核心業(yè)務(wù)邏輯；配置管理審計系統(tǒng)實現(xiàn)對單向數(shù)據(jù)傳輸設(shè)備的參數(shù)設(shè)置、安全策略配置、日志審計、狀態(tài)監(jiān)控和系統(tǒng)維護(hù)等操作；殺毒引擎，用于對傳輸?shù)奈募?shù)據(jù)進(jìn)行病毒查殺。

單向數(shù)據(jù)傳輸設(shè)備的軟硬件配置詳細(xì)信息見表1。

表1 單向數(shù)據(jù)傳輸設(shè)備配置

2.2 業(yè)務(wù)場景

單向數(shù)據(jù)傳輸設(shè)備部署在不同安全等級的網(wǎng)絡(luò)之間[2]，提供數(shù)據(jù)的單向傳輸，具備數(shù)據(jù)交換管控功能，提供對傳輸信息的安全檢查，包括文件類型檢測、數(shù)據(jù)安全標(biāo)識檢查、關(guān)鍵詞過濾、病毒查殺等，將檢查合法的信息從外網(wǎng)單向發(fā)送到內(nèi)網(wǎng)，及時阻止非法數(shù)據(jù)的傳輸[5,7]。主要的業(yè)務(wù)場景包括文件單向傳輸、TCP報文轉(zhuǎn)發(fā)和UDP數(shù)據(jù)轉(zhuǎn)發(fā)。

(1)文件單向傳輸

單向數(shù)據(jù)傳輸設(shè)備文件單向傳輸業(yè)務(wù)流程如圖6所示。當(dāng)外網(wǎng)用戶需要將文件導(dǎo)入內(nèi)網(wǎng)時，首先在外網(wǎng)用戶終端1上生產(chǎn)待導(dǎo)入的文件，然后用戶終端1登錄專用的文件擺渡工具，創(chuàng)建并提交文件單向?qū)肴蝿?wù)；然后發(fā)起文件傳輸，在單向數(shù)據(jù)傳輸設(shè)備完成用戶終端1的授權(quán)認(rèn)證后，文件擺渡工具將文件傳輸至外端機(jī)，外端機(jī)按照設(shè)備配置的安全管控策略對文件進(jìn)行安全審查，包括文件類型檢查、文件內(nèi)容關(guān)鍵詞檢查等，確認(rèn)傳輸數(shù)據(jù)合法后，將文件內(nèi)容通過OPTP協(xié)議封裝后傳輸至內(nèi)端機(jī)；內(nèi)端機(jī)接收到數(shù)據(jù)后，從OPTP協(xié)議中解析出文件內(nèi)容。根據(jù)傳輸通道上的路由信息創(chuàng)建下載任務(wù)，內(nèi)網(wǎng)相應(yīng)的用戶登錄專用的文件擺渡工具后，將文件下載到本地使用。管理員可以在文件擺渡工具中將文件單向傳輸設(shè)置成自動模式，實現(xiàn)外網(wǎng)到內(nèi)網(wǎng)的文件目錄單向同步，支持實時同步和定時同步。

圖6 文件單向傳輸業(yè)務(wù)

(2)TCP報文轉(zhuǎn)發(fā)業(yè)務(wù)

單向數(shù)據(jù)傳輸設(shè)備TCP報文轉(zhuǎn)發(fā)業(yè)務(wù)流程如圖7所示。當(dāng)外網(wǎng)的業(yè)務(wù)系統(tǒng)需要向內(nèi)網(wǎng)發(fā)送TCP數(shù)據(jù)時，首先向單向數(shù)據(jù)傳輸設(shè)備發(fā)起連接請求，設(shè)備認(rèn)證完成后建立連接，業(yè)務(wù)系統(tǒng)通過TCP協(xié)議將數(shù)據(jù)發(fā)送到設(shè)備，外端機(jī)接收到TCP數(shù)據(jù)后，從TCP報文中剝離出應(yīng)用數(shù)據(jù)，按照安全管控策略對報文進(jìn)行安全檢查，確認(rèn)數(shù)據(jù)合法后，將報文通過OPTP協(xié)議封裝后傳輸至內(nèi)端機(jī)；內(nèi)端機(jī)收到報文后，從OPTP協(xié)議中解析出原始的應(yīng)用數(shù)據(jù)，根據(jù)傳輸通道上的路由信息將應(yīng)用數(shù)據(jù)通過TCP協(xié)議封裝后轉(zhuǎn)發(fā)到指定的內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)中。

圖7 TCP報文轉(zhuǎn)發(fā)業(yè)務(wù)

(3)UDP數(shù)據(jù)轉(zhuǎn)發(fā)業(yè)務(wù)

單向數(shù)據(jù)傳輸設(shè)備UDP數(shù)據(jù)轉(zhuǎn)發(fā)業(yè)務(wù)流程如圖8所示。當(dāng)外網(wǎng)的業(yè)務(wù)系統(tǒng)需要向內(nèi)網(wǎng)發(fā)送UDP數(shù)據(jù)時，首先通過UDP協(xié)議將數(shù)據(jù)發(fā)送到單向數(shù)據(jù)傳輸設(shè)備，外端機(jī)接收到UDP數(shù)據(jù)后，對數(shù)據(jù)來源進(jìn)行驗證，驗證通過后從UDP數(shù)據(jù)報中剝離出應(yīng)用數(shù)據(jù)，按照安全管控策略對報文進(jìn)行安全檢查，確認(rèn)數(shù)據(jù)合法后，將報文通過OPTP協(xié)議封裝后傳輸至內(nèi)端機(jī)；內(nèi)端機(jī)收到報文后，從OPTP協(xié)議中解析出原始的應(yīng)用數(shù)據(jù)，根據(jù)傳輸通道上的路由信息將應(yīng)用數(shù)據(jù)通過UDP協(xié)議封裝后轉(zhuǎn)發(fā)到指定的內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)中。

圖8 UDP數(shù)據(jù)轉(zhuǎn)發(fā)業(yè)務(wù)

3 設(shè)備性能測試

本節(jié)主要對基于OPTP私有協(xié)議通信的國產(chǎn)化單向數(shù)據(jù)傳輸設(shè)備進(jìn)行性能測試，包括文件傳輸帶寬測試、文件丟失率測、TCP報文傳輸時延測試和UDP數(shù)據(jù)傳輸時延測試，用于驗證OPTP協(xié)議的網(wǎng)絡(luò)傳輸性能。

3.1 軟硬件環(huán)境

設(shè)備性能測試所需要的軟硬件見表2，包括管理主機(jī)、業(yè)務(wù)主機(jī)、專用的文件擺渡工具以及其它輔助測試工具軟件。

表2 軟硬件測試環(huán)境

3.2 性能測試

(1)文件傳輸性能測試

使用外網(wǎng)管理主機(jī)和內(nèi)網(wǎng)管理主機(jī)在單向數(shù)據(jù)傳輸設(shè)備上配置一條文件傳輸通道，外網(wǎng)業(yè)務(wù)主機(jī)運(yùn)行文件擺渡工具的發(fā)送端，與單向網(wǎng)閘外網(wǎng)主機(jī)單元使用可靠的TCP通信，內(nèi)網(wǎng)業(yè)務(wù)主機(jī)運(yùn)行文件擺渡工具的接收端，與單向網(wǎng)閘內(nèi)網(wǎng)主機(jī)單元使用可靠的TCP通信，單向數(shù)據(jù)傳輸設(shè)備的外端機(jī)和內(nèi)端機(jī)之間使用私有的OPTP協(xié)議通信，并在設(shè)備內(nèi)部使用Tcpdump工具捕獲網(wǎng)絡(luò)報文，驗證OPTP協(xié)議的文件傳輸能力，測試網(wǎng)絡(luò)環(huán)境如圖9所示。

圖9 文件傳輸測試網(wǎng)絡(luò)拓?fù)?/p>

為避免頻繁進(jìn)行磁盤IO對文件傳輸性能的影響，在外網(wǎng)業(yè)務(wù)主機(jī)和內(nèi)網(wǎng)業(yè)務(wù)主機(jī)上使用vsuite.ramdisk軟件創(chuàng)建一個16 GB的虛擬硬盤，將待發(fā)送的文件先放置在虛擬硬盤中再進(jìn)行發(fā)送操作，在內(nèi)網(wǎng)業(yè)務(wù)主機(jī)接收的文件直接保存在虛擬磁盤中。

文件傳輸帶寬測試：測試前，先對外網(wǎng)業(yè)務(wù)主機(jī)和內(nèi)網(wǎng)業(yè)務(wù)主機(jī)進(jìn)行時間同步，OPTP協(xié)議的數(shù)據(jù)區(qū)最大長度設(shè)置為8192，使用文件擺渡工具進(jìn)行文件發(fā)送和接收，將發(fā)送主機(jī)和接收主機(jī)的收發(fā)目錄設(shè)置為虛擬磁盤，通過配置的通道傳輸4 GB的文件數(shù)據(jù)，連續(xù)測試3次，計算3次傳輸帶寬的平均值，具體測試數(shù)據(jù)見表3。

表3 文件傳輸帶寬測試數(shù)據(jù)

從表3中的測試數(shù)據(jù)可以看出，單向數(shù)據(jù)傳輸設(shè)備在進(jìn)行文件傳輸時帶寬可達(dá)到815 Mbps，與市面上主流的單向傳輸設(shè)備性能相當(dāng)，能夠滿足大部分的文件傳輸業(yè)務(wù)性能需求。

文件丟失率測試：使用文件擺渡工具同時傳輸10 000個1 MB文件，統(tǒng)計文件丟失數(shù)，并通過MD5的方式驗證已接收文件的完整性，執(zhí)行10次測試，均完整接收所有文件，1 MB文件傳輸丟失率≤0.01%，在一定程度上能夠保證文件的可靠傳輸。

(2)TCP報文傳輸時延

使用外網(wǎng)管理主機(jī)和內(nèi)網(wǎng)管理主機(jī)在單向網(wǎng)閘上配置一條TCP報文傳輸通道，OPTP協(xié)議的數(shù)據(jù)區(qū)最大長度設(shè)置為1024。為方便計算傳輸時延，報文發(fā)送和接收共用一臺業(yè)務(wù)主機(jī)，在業(yè)務(wù)主機(jī)上運(yùn)行兩個TCP&UDP測試工具軟件，用于報文的發(fā)送和接收，且業(yè)務(wù)主機(jī)具備兩個網(wǎng)卡，分別連接到單向數(shù)據(jù)傳輸設(shè)備的外網(wǎng)業(yè)務(wù)口和內(nèi)網(wǎng)業(yè)務(wù)口，并在設(shè)備內(nèi)部使用Tcpdump工具捕獲網(wǎng)絡(luò)報文[10,11]，驗證OPTP協(xié)議的TCP報文傳輸能力，測試網(wǎng)絡(luò)環(huán)境如圖10所示。

圖10 TCP報文傳輸測試網(wǎng)絡(luò)拓?fù)?/p>

使用TCP&UDP測試工具發(fā)送50次1 KB大小的TCP報文，根據(jù)捕獲報文內(nèi)的時間戳信息(自1970-01-01經(jīng)過的秒數(shù)，精確到微秒)，計算出50次報文傳輸?shù)钠骄鶗r延，重復(fù)3輪測試操作，計算出最終報文傳輸時延，具體測試數(shù)據(jù)見表4。

表4 TCP報文傳輸時延測試數(shù)據(jù)

從表4中的測試數(shù)據(jù)可以看出，1 KB大小的TCP報文傳輸時延在2.6 ms左右，能夠滿足毫秒級時延要求的業(yè)務(wù)系統(tǒng)TCP報文傳輸需求。

(3)UDP數(shù)據(jù)傳輸時延

使用外網(wǎng)管理主機(jī)和內(nèi)網(wǎng)管理主機(jī)在單向網(wǎng)閘上配置一條UDP數(shù)據(jù)傳輸通道，OPTP協(xié)議的數(shù)據(jù)區(qū)最大長度設(shè)置為1024。為方便計算傳輸時延，報文發(fā)送和接收共用一臺業(yè)務(wù)主機(jī)，在業(yè)務(wù)主機(jī)上運(yùn)行兩個TCP&UDP 測試工具軟件，用于UDP數(shù)據(jù)的發(fā)送和接收，且業(yè)務(wù)主機(jī)具備兩個網(wǎng)卡，分別連接到單向數(shù)據(jù)傳輸設(shè)備的外網(wǎng)業(yè)務(wù)口和內(nèi)網(wǎng)業(yè)務(wù)口，并在設(shè)備內(nèi)部使用Tcpdump工具捕獲網(wǎng)絡(luò)報文，驗證OPTP協(xié)議的UDP數(shù)據(jù)傳輸能力[10,11]，測試網(wǎng)絡(luò)環(huán)境如圖11所示。

圖11 UDP數(shù)據(jù)傳輸測試網(wǎng)絡(luò)拓?fù)?/p>

使用TCP&UDP測試工具發(fā)送100條0.5 KB大小的UDP數(shù)據(jù)，根據(jù)捕獲報文內(nèi)的時間戳信息(自1970-01-01經(jīng)過的秒數(shù)，精確到微秒)，計算出100次數(shù)據(jù)傳輸?shù)钠骄鶗r延，重復(fù)3輪測試操作，計算出最終UDP數(shù)據(jù)傳輸時延，具體測試數(shù)據(jù)見表5。

表5 UDP數(shù)據(jù)傳輸時延測試

從表5中的測試數(shù)據(jù)可以看出，0.5 KB大小的UDP數(shù)據(jù)傳輸時延在1.5 ms左右，能夠滿足毫秒級時延要求的業(yè)務(wù)系統(tǒng)UDP數(shù)據(jù)代理轉(zhuǎn)發(fā)需求。

4 結(jié)束語

本文針對不同安全等級網(wǎng)絡(luò)之間數(shù)據(jù)單向傳輸需求，提出了一種私有的單向代理傳輸協(xié)議OPTP，介紹了協(xié)議的報文格式和封裝過程?；谠撍接袇f(xié)議在國產(chǎn)化申威平臺上設(shè)計了一款單向數(shù)據(jù)傳輸設(shè)備，并在不同的業(yè)務(wù)場景下進(jìn)行了設(shè)備的性能測試，從獲得的測試數(shù)據(jù)可以看出，基于OPTP協(xié)議的國產(chǎn)化單向數(shù)據(jù)傳輸設(shè)備能夠滿足不同業(yè)務(wù)傳輸?shù)男阅芤?。未來，可以針對不同的業(yè)務(wù)場景，對單向數(shù)據(jù)傳輸設(shè)備做進(jìn)一步的優(yōu)化設(shè)計。