（电路与系统专业论文）基于GAP技术的安全隔离网闸硬件平台的设计[电路与系统专业优秀论文].pdf

西北工业大学硕士论文基于g a p技术的安全隔离网闸硬件平台的设计 摘要 g a p技术即隔离网闸技术; 隔离网闸 技术是近儿年来新兴的一 种网络安全技 术，它可以 作为可信任网络和不可信任网 络之间的一个强大的安全屏障; 所采用 的技术包含了数据分片重组，协议转化，密码学，入侵检测，病毒及关键字过滤， 身份验证及审计等多个范畴。隔离网闸是一个软硬件结合的系统， 本论文是隔离 网闸硬件平台的一个详细解决方案。 隔离网闸的硬件平台 主要由 两块 p c i 设备组 成， 通过p c i 总线分别与内 外网的 服务器进行通信， f p g a是该p c i 设备的 灵魂和 核心，由 它来实 现数据处理和控制功能， 因 此， 本论文主要讨论网闸 硬件的f p g a 实现。 本论文首先简要介绍了网络安全以及网络安全产品的现状，并对隔离网闸与 其他网络安 全产品进行了比较;接着对硬件平台的总体设计方案进行了 介绍，并 划分了设计模块;本论文以较大篇幅重点介绍了 如下三个设计模块:数字 签名验 证模块;数据编码模块; p c i 接口 模块。 对网闸硬件在x 8 6 平台 和 p p c 平台下的 测试结果作了分析。 关键词:网络安全隔离网闸f p g a p c i 西北工业大学硕士论文基于g a p技术的安全隔离网闸硬件平台的设计 ab s t r a c t wi t h t h e g e n e r a l i z a t i o n a n d d e v e l o p m e n t o f n e t w o r k t e c h n o l o g y， t h e p r o b l e m o f n e t w o r k s e c u r i t y a r e m o r e a n d m o r e c o n c e rn e d b y p e o p l e， m a n y k i n d s o f n e t w o r k s e c u r i t y p r o d u c t a r e o c c u r r e d b y t i m e s u c h a s f i r e w a l l t e c h n o l o g y a n d i d s t e c h n o l o g y a r e wid e l y u s e d t o s o l v e t h i s p r o b l e m . i s o l a t e d g a p t e c h n o l o g y i s a k i n d o f n e w n e t w o r k s e c u r it y p r o d u c t w h i c h i s d e v e l o p e d r e c e n t y e a r s , i t c a n p r o v i d e a h u g e f i s s u r e b e t w e e n t h e u n t r u s t w o rt h y n e t w o r k a n d t r u s t e d n e t w o r k， i t c a n r e s i s t m a n y k i n d s o f a t t a c k i n g me t h o d s，t h e t e c h n o l o g y u s e d i n g a p a r e i n c l u d e d a s f o l l o w s : t h e r e c o v e ry o f t h e p a c k e t d a t a， p r o t o c o l t r a n s f o r m i n g ,c i p h e r t e c h n o l o g y， i d s , f i l t e r o f v i r u s a n d k e y w o r d ， i d e n t i f i c a t i o n a n d a u t h e n t i c a t i o n ， a n d s o o n . g a p i s a s y s t e m c o m b i n e d w i t h h a r d w a r e a n d s o ft w a r e ， t h e a r t i c l e p r o v i d e t h e m e t h o d o f h a r d w a r e i n d e t a i l . t h e c o re o f t h e h a r d w a r e p l a t f o r m a r e t w o p i e c e s o f p c i d e v i c e ， t h e y c o mm u n i c a t e w i t h o u t s i d e s e r v e r a n d i n s i d e s e r v e r r e s p e c t i v e l y ， a p i e c e o f f p g a i s t h e c o r e a n d s o u l o f t h e p c i d e v ic e， w e d e p e n d i t t o r e a l i z e t h e d a t e p r o c e s s a n d c o n t r o l ,t h u s , t h e a r t i c l e ma in l y i n t r o d u c e t h e i m p l e m e n t a t i o n o f f p g a i n g a p t e c h n o l o g y . f i r s t o f a l l ,t h e a r t i c l e i n t r o d u c e s t h e p r e s e n t a t i o n o f n e t w o r k s e c u r i t y a n d i t s r e l e v a n t p r o d u c t s ， t h e n g i v e t h e d i s t i n g u i s h i n g b e t we e n t h e g a p a n d o t h e r p r o d u c t s o f ne t w o r k s e c u r i t y .s e c o n d l y，t h e o u t l i n e o f t h e h a r d w a r e p l a t f o r m o f g a p i s i n t r o d u c e d . t h i r d l y， t h e a r t i c l e p a y s p a rt i c u l a r a tt e n t i o n t o t h e f o l l o w i n g t h r e e p a r t s : d a t a s i g n a t u r e mo d u l e， d a t a e n c r y p t i n g m o d u l e , a n d p c i i n t e r f a c e mo d u l e ; f i n a l l y， t h e r e s u l t s o f t h e t e s t i n g d o n e t o t h e d e v i c e u n d e r t h e e n v i r o n m e n t o f x8 6 a n d p p c i s a n a l y z e d r e s p e c t i v e l y . ke y w o r d:n e t w o r k s e c u r i t y g a p f p g a p c i 西北工业大学硕 l 论文基于g a p 技术的安全隔离网闸硬件平台的设计 第一章 绪 论 引言 i n t e rn e t近几年在 国内和世界范围内都得到了突飞猛进的发展。它采用的 t c p / i p协议成功地解决了不同 硬件平台、 软件平台和不同 系统之间的兼 容问题; i n t e r n e t 提 供的电 子邮 件( e - m a i l ) 、 远程登陆( t e l e n t ) 、文件传输( f t p ) . ww w 等服务， 极大地方便了 人们的信息交换和信息共享， i n t e m e t 逐渐成为 人们日 常生 活中必不可少的工具。 同时计算机和互联网的 迅猛发展以 及应用领域的不断扩展， 电 子商务、公共网站、金融电子化等新兴产业的不断出现使得人 类社会对信息网 络的依赖程度越来越大。 但是随 着计算机信息技术与网络技术的迅猛发展， i n t e r n e t 所具有的开放性、 国 际性和自由 性在增加应用自由 度的同时，开放式网 络体系的安 全隐患日益明显 的 开始暴露出来，各种计算 机安全事件不断发生。 我国的信息化进程虽然刚刚起步， 但是发展迅速，计算机网络在我国已 经迅 速普及;网络也己经渗透到国民 经济的 各个领域，渗 透到我们工作生活的方方面 面。 在短短的 几年中，发生了多起针对、利用计算机网络进行犯罪的案件，给国 家、企业和个人造成了重大的经济损失 和危害， 特别是具有行业特性的 犯罪，例 如金融部门等，更是令人触目 惊心。 随着网络向宽带、无线方向发展，其安全问题的矛盾也进一步突出并激化。 比 如在宽带网络中， 永久域名地址使黑客攻击更加容易:由 于网络传输速度大大 提高，黑客可以更迅速地扫描 i p地址，尝试密码直到进入系统，从而盗窃或捣毁 文件。而在无线移动通信领域，由于 目 前无线网络缺乏严密的安全措施，开放式 w a p的无线设备在软件更新或进行其他简单操作时极有可能遭受攻击。 严峻的现实让人们清醒的意识到计算机和网络的发展离不开信息安全技术的 保障，从而使得信息安全成为研究的一个热门课题。 2网络安全的 现状 1 . 2 . 1 网 络安全面临的威胁特点 1 6 1 恶意代码及黑客攻击手段有三个特点:传播速度快、受害面广和穿透深度深。 ( 1 ) 传播速度: “ 大型推土机” 技术( ma s s r o o t e r ) 是新一代规模性恶意代 码所具备 的显著功能。 这些代码不仅能实 现自 我复制，还能自 动攻击内 外网上的其它主机， 并以 这些受害主机为攻击源继续攻击其它网络和主机。用这些代码设计的多线程 繁殖速度极快， 一个新蠕虫 在一夜之间就可以 传播到互联网的各个角落。 ( 2 )受害面: 目前，各国能源、交通、金融、化工、军事、科技和政府部门等 关键领域的信息化程度都有所提高， 这些领域用户的计算机网络，都直接或间接 地与i n t e r n e t 有所联系。 各种病毒、 蠕虫等恶意代码和各种黑客攻击， 通过i n t e rn e t 为主线，对全球各行业的计算机网络用户都造成了严重的影响。 西北工业大学硕 l 论文基于g a p 技术的安全隔离网闸硬件平台的设计 第一章 绪 论 引言 i n t e rn e t近几年在 国内和世界范围内都得到了突飞猛进的发展。它采用的 t c p / i p协议成功地解决了不同 硬件平台、 软件平台和不同 系统之间的兼 容问题; i n t e r n e t 提 供的电 子邮 件( e - m a i l ) 、 远程登陆( t e l e n t ) 、文件传输( f t p ) . ww w 等服务， 极大地方便了 人们的信息交换和信息共享， i n t e m e t 逐渐成为 人们日 常生 活中必不可少的工具。 同时计算机和互联网的 迅猛发展以 及应用领域的不断扩展， 电 子商务、公共网站、金融电子化等新兴产业的不断出现使得人 类社会对信息网 络的依赖程度越来越大。 但是随 着计算机信息技术与网络技术的迅猛发展， i n t e r n e t 所具有的开放性、 国 际性和自由 性在增加应用自由 度的同时，开放式网 络体系的安 全隐患日益明显 的 开始暴露出来，各种计算 机安全事件不断发生。 我国的信息化进程虽然刚刚起步， 但是发展迅速，计算机网络在我国已 经迅 速普及;网络也己经渗透到国民 经济的 各个领域，渗 透到我们工作生活的方方面 面。 在短短的 几年中，发生了多起针对、利用计算机网络进行犯罪的案件，给国 家、企业和个人造成了重大的经济损失 和危害， 特别是具有行业特性的 犯罪，例 如金融部门等，更是令人触目 惊心。 随着网络向宽带、无线方向发展，其安全问题的矛盾也进一步突出并激化。 比 如在宽带网络中， 永久域名地址使黑客攻击更加容易:由 于网络传输速度大大 提高，黑客可以更迅速地扫描 i p地址，尝试密码直到进入系统，从而盗窃或捣毁 文件。而在无线移动通信领域，由于 目 前无线网络缺乏严密的安全措施，开放式 w a p的无线设备在软件更新或进行其他简单操作时极有可能遭受攻击。 严峻的现实让人们清醒的意识到计算机和网络的发展离不开信息安全技术的 保障，从而使得信息安全成为研究的一个热门课题。 2网络安全的 现状 1 . 2 . 1 网 络安全面临的威胁特点 1 6 1 恶意代码及黑客攻击手段有三个特点:传播速度快、受害面广和穿透深度深。 ( 1 ) 传播速度: “ 大型推土机” 技术( ma s s r o o t e r ) 是新一代规模性恶意代 码所具备 的显著功能。 这些代码不仅能实 现自 我复制，还能自 动攻击内 外网上的其它主机， 并以 这些受害主机为攻击源继续攻击其它网络和主机。用这些代码设计的多线程 繁殖速度极快， 一个新蠕虫 在一夜之间就可以 传播到互联网的各个角落。 ( 2 )受害面: 目前，各国能源、交通、金融、化工、军事、科技和政府部门等 关键领域的信息化程度都有所提高， 这些领域用户的计算机网络，都直接或间接 地与i n t e r n e t 有所联系。 各种病毒、 蠕虫等恶意代码和各种黑客攻击， 通过i n t e rn e t 为主线，对全球各行业的计算机网络用户都造成了严重的影响。 西北工业大学硕士论文基于g a p技术的安全隔离网闸硬件平台的设计 ( 3 )穿透深度: 蠕虫和黑客越来越不满足于只攻击在线的网站，各种致力于突 破边界防线的 攻击方式层出不穷。一个新的 攻击手段，第一批受害 对象是那些 2 4 小时在线的网 站主 机和各种网络的边界主机; 第二 批受害对象是与i n t e rn e t 联网的， 经常收发邮件的个人用户;第三批受害对象就是其它二线内网 的工作站;终极的 受害对象很可能 会波及到生产网络和关键资产主机。 1 . 2 . 2 网络安全现存的 攻击种类 23 1 几种典型的攻击方式: ( 1 )欺骗( s p o o f i n g ) 一种发起主动 攻击的手段， 主要目 的是掩盖攻击者的真实 身份， 使攻击者看起来像正常 用户或者嫁祸于其他用户。 在没有安全 机制的t c p / i p 网络中，自 下而上的地址标识即 ma c地址、i p地址、t c p端口号都是通过明文 传输，而且，对于这些地址标识的修改又出人意外的简单。因此在统一网段上任 何用户所采用的监听和仿冒都是隐藏的危险。 ( 2 )嗅探( s n i f f i n g ) 一种被动的 攻击 方式。 通过对计算机的网 络接口截取网上 传输的 数据报文， 从中获得有价值的信息。 在嗅探过程中，将网卡设置成混杂模 式就可以接收信道中 所有的广播信息、用户口 令、信用卡号、电子邮件等机密信 息。 攻击者只需要接入以 太网 上的任一节点进行监听， 就可以捕获这个以 太网上 的所有数据包， 通过对这些数据包进行解码、 重组分析， 就能 窃取关键信息，从 而会给用户和系统带来极大的损失。 ( 3 )缓冲区 溢出最为常见的一种安全漏洞形 式， 针对此漏洞的 攻击占了 远程网 络攻击的 绝大多数。 这种攻击可使一个匿名的i n t e rn e t 用户有机会获得一台 主机的 部分或全部的控制权。通过往程序的缓冲区 写超出其长度的内容，造成缓冲区溢 出，从而破坏程序的堆栈，使程序转而执行其他的指令。如果这些指令被放在系 统权限的内存中，那么一旦这些指令得到了运行，攻击者就以系统权限控制了系 统，达到了入侵的目的。 ( 4 )流量分析因为网络信息系统的所有结点都能访问全网， 所以通过对网上信 息流的 观察 和分析 就可以 推断出 网络上数据的 信息，如 有无传输、 方向 、频率等。 ( 5 ) 拒绝服务( d o s ) 利用合理的服务请求来占 用过多的服务资 源。 只要 服务超载， 服务资源就无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容 量， 开放的进程数等。这种攻击会导致资源的僵乏，无论计算机的 处理速度多么 快，内 存容量多么 大，互联网的速度多 么快都 无法避免这种攻击带来的 后果。 ( 6 )特洛依木马 是一 个秘密安装到目 标系统上的具有特殊功能的 程序。 木马的 实质就是一个网 络客户机 / 服务器程序， 被控制端( 即目 标系统) 成为一台 服务器， 控制端就是客户机。当目标计算机启动时，木马程序随着启动，然后在某一特定 的 端口 监听。 通过监听端口 收到命令后， 木马程序就根据命令在目 标计算机上执 行一些操作，如传 送或 删除文件、窃取口 令、重新启动计算机等。 ( 7 ) 蠕虫 在2 0 0 2 年流行的病毒中蠕虫病毒仍然占据了 很大一 部分。 通过e - m a i l 或者网页，甚至在局域网内通过共享文件夹等方式进行传播的蠕虫，感染速度非 常快，借助于互联网可以在短短几天传播到世界各地。蠕虫发展手段的高明性 ， 以及破坏的危害性都使得计算机网络安全受到的威胁激增。 西北工业大学硕士论文基于g a p技术的安全隔离网闸硬件平台的设计 ( 3 )穿透深度: 蠕虫和黑客越来越不满足于只攻击在线的网站，各种致力于突 破边界防线的 攻击方式层出不穷。一个新的 攻击手段，第一批受害 对象是那些 2 4 小时在线的网 站主 机和各种网络的边界主机; 第二 批受害对象是与i n t e rn e t 联网的， 经常收发邮件的个人用户;第三批受害对象就是其它二线内网 的工作站;终极的 受害对象很可能 会波及到生产网络和关键资产主机。 1 . 2 . 2 网络安全现存的 攻击种类 23 1 几种典型的攻击方式: ( 1 )欺骗( s p o o f i n g ) 一种发起主动 攻击的手段， 主要目 的是掩盖攻击者的真实 身份， 使攻击者看起来像正常 用户或者嫁祸于其他用户。 在没有安全 机制的t c p / i p 网络中，自 下而上的地址标识即 ma c地址、i p地址、t c p端口号都是通过明文 传输，而且，对于这些地址标识的修改又出人意外的简单。因此在统一网段上任 何用户所采用的监听和仿冒都是隐藏的危险。 ( 2 )嗅探( s n i f f i n g ) 一种被动的 攻击 方式。 通过对计算机的网 络接口截取网上 传输的 数据报文， 从中获得有价值的信息。 在嗅探过程中，将网卡设置成混杂模 式就可以接收信道中 所有的广播信息、用户口 令、信用卡号、电子邮件等机密信 息。 攻击者只需要接入以 太网 上的任一节点进行监听， 就可以捕获这个以 太网上 的所有数据包， 通过对这些数据包进行解码、 重组分析， 就能 窃取关键信息，从 而会给用户和系统带来极大的损失。 ( 3 )缓冲区 溢出最为常见的一种安全漏洞形 式， 针对此漏洞的 攻击占了 远程网 络攻击的 绝大多数。 这种攻击可使一个匿名的i n t e rn e t 用户有机会获得一台 主机的 部分或全部的控制权。通过往程序的缓冲区 写超出其长度的内容，造成缓冲区溢 出，从而破坏程序的堆栈，使程序转而执行其他的指令。如果这些指令被放在系 统权限的内存中，那么一旦这些指令得到了运行，攻击者就以系统权限控制了系 统，达到了入侵的目的。 ( 4 )流量分析因为网络信息系统的所有结点都能访问全网， 所以通过对网上信 息流的 观察 和分析 就可以 推断出 网络上数据的 信息，如 有无传输、 方向 、频率等。 ( 5 ) 拒绝服务( d o s ) 利用合理的服务请求来占 用过多的服务资 源。 只要 服务超载， 服务资源就无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容 量， 开放的进程数等。这种攻击会导致资源的僵乏，无论计算机的 处理速度多么 快，内 存容量多么 大，互联网的速度多 么快都 无法避免这种攻击带来的 后果。 ( 6 )特洛依木马 是一 个秘密安装到目 标系统上的具有特殊功能的 程序。 木马的 实质就是一个网 络客户机 / 服务器程序， 被控制端( 即目 标系统) 成为一台 服务器， 控制端就是客户机。当目标计算机启动时，木马程序随着启动，然后在某一特定 的 端口 监听。 通过监听端口 收到命令后， 木马程序就根据命令在目 标计算机上执 行一些操作，如传 送或 删除文件、窃取口 令、重新启动计算机等。 ( 7 ) 蠕虫 在2 0 0 2 年流行的病毒中蠕虫病毒仍然占据了 很大一 部分。 通过e - m a i l 或者网页，甚至在局域网内通过共享文件夹等方式进行传播的蠕虫，感染速度非 常快，借助于互联网可以在短短几天传播到世界各地。蠕虫发展手段的高明性 ， 以及破坏的危害性都使得计算机网络安全受到的威胁激增。 西北工业大学硕 l 论文基于g a p 技术的安全隔离网闸硬件平台的设计 ( 8 )利用程序自 动更新存在的缺陷 一些主流软件供应商 允许用户通过 i n t e r n e t 自 动 更新 他 们 的 软 件。 通过自 动 下 载 最 薪发 布 的 修复 程序 和 补 丁， 减 少 配置 安 全 补丁所耽误的时间。 但是 攻击者能 够通过威 胁厂商 w e b 站点的安全性， 迫使用 户 的请求被定向 到攻击者自 己构建的机器上。当用户尝 试连接到厂商站点下载更 新 程序时，真正下载的 程序却是攻击者的 恶意程序。 按照这种方式，攻击者就能 利 用软件厂商的自 动更新 we b 站点传播 自己的恶意代码和蠕虫病毒。 由 此看出， 要想建立一个绝对安全的 系统是不可能的，安全是相对的，我 们 只能通过一些技术措施来提高系统的安全性。 1 . 2 . 3网络安全的对策和相关技术 2 3 1 网络安全的 对策包括管理对策和技术对策。管理对策需要形成一套完整的、 适 应于网 络环境的安全管理制度，并且要求管理员 认真实施。 这些制度包括人员 管 理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、 病毒定期 清理制度等;而技术对策则包括基于密码体制的安全措施和非密码体制的安全措 施，前者包括:身份鉴别技术、数据加密技术等。后者则有防火墙技术、路由选 择、入侵检测技术等。 ( 1 )身份认证技术身份认证是任何一个安全的计算机所必需的组成部分，它是 指用户向系统出示自己身份证明的过程。身份认证必须做到准确无误地将对方辨 认出来，同时还应提供双向认证，即 互相证明自己的身份。 身份认证是判明和验 证 通信双方真实身份的 重要 环境。 用户认证机制主要有传统口 令机制，s h a d o w口 令 机制， 采用挑战、 应答机制的强用户认证机制和数字签名等。身份认证技术是 互联网上信息安全的第一道屏障。 ( 2 )访问控制 技术 访问控制阻止非授权用户进入网 络，同时防止任何对计算机 资源和通信资源的非授权访问。它根据用户的身份赋予其相应的权限，也就是说 按事先确定的规则决定何种主体对何种客体具有何种操作能力。访问控制主要通 过注册口令， 用户分组控制，文件权限控制三个层次来实现。 它一般与身份认证 一起使用，以实现不同安全级别的信息分级管理。 ( 3 )数据加密 技术 数据加密技术是一 种最基本的安 全技术，目 的是保护数据、 文 件、口 令以及其它信息在网上安全传输。 按照收发双方密钥是否相同， 可把常 用的加密算法分为对称加密 ( 秘密密钥)和 ( 公开密钥)两种。对称加密算法中， 收 发双方使用相同的 密钥， 例如美国的 d e s 、欧洲的 i d e a等。 对称加密算法有 保密强度高、加密速度快等优点，但其密钥必须通过安全的途径传送，因此密钥 的分发是一个比较复杂的问题 。在非对称加密算法中，收发双方使用的密钥互不 相同，而 且几乎不可能由 加密密钥推导出解密密钥。比 较著名的公开密钥算法有: r s a. e c c、背包密码等，其中以 r s a算法应用最为广泛。加密技术最终将被集 成到系统和网络中，如在 下 一代 i p v 6协议中就内置了加密支持。 ( 4 )防火墙技术防火墙是最成熟和基本的一种网络安全防范技术，是一种计算 机硬件和软件相结合的技术，是一个或一组网 络设备。它在受保护网与外部网之 间构造一个保护层，强制所有出入内外网的数据流必须通过。通过监测、限制或 更改跨越防火 墙的数据流，尽可能地对外部网 络屏蔽有关受保护网络的信息和结 构，从而实现对网络的安全保护。 西北工业大学硕 l 论文基于g a p 技术的安全隔离网闸硬件平台的设计 ( 8 )利用程序自 动更新存在的缺陷 一些主流软件供应商 允许用户通过 i n t e r n e t 自 动 更新 他 们 的 软 件。 通过自 动 下 载 最 薪发 布 的 修复 程序 和 补 丁， 减 少 配置 安 全 补丁所耽误的时间。 但是 攻击者能 够通过威 胁厂商 w e b 站点的安全性， 迫使用 户 的请求被定向 到攻击者自 己构建的机器上。当用户尝 试连接到厂商站点下载更 新 程序时，真正下载的 程序却是攻击者的 恶意程序。 按照这种方式，攻击者就能 利 用软件厂商的自 动更新 we b 站点传播 自己的恶意代码和蠕虫病毒。 由 此看出， 要想建立一个绝对安全的 系统是不可能的，安全是相对的，我 们 只能通过一些技术措施来提高系统的安全性。 1 . 2 . 3网络安全的对策和相关技术 2 3 1 网络安全的 对策包括管理对策和技术对策。管理对策需要形成一套完整的、 适 应于网 络环境的安全管理制度，并且要求管理员 认真实施。 这些制度包括人员 管 理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、 病毒定期 清理制度等;而技术对策则包括基于密码体制的安全措施和非密码体制的安全措 施，前者包括:身份鉴别技术、数据加密技术等。后者则有防火墙技术、路由选 择、入侵检测技术等。 ( 1 )身份认证技术身份认证是任何一个安全的计算机所必需的组成部分，它是 指用户向系统出示自己身份证明的过程。身份认证必须做到准确无误地将对方辨 认出来，同时还应提供双向认证，即 互相证明自己的身份。 身份认证是判明和验 证 通信双方真实身份的 重要 环境。 用户认证机制主要有传统口 令机制，s h a d o w口 令 机制， 采用挑战、 应答机制的强用户认证机制和数字签名等。身份认证技术是 互联网上信息安全的第一道屏障。 ( 2 )访问控制 技术 访问控制阻止非授权用户进入网 络，同时防止任何对计算机 资源和通信资源的非授权访问。它根据用户的身份赋予其相应的权限，也就是说 按事先确定的规则决定何种主体对何种客体具有何种操作能力。访问控制主要通 过注册口令， 用户分组控制，文件权限控制三个层次来实现。 它一般与身份认证 一起使用，以实现不同安全级别的信息分级管理。 ( 3 )数据加密 技术 数据加密技术是一 种最基本的安 全技术，目 的是保护数据、 文 件、口 令以及其它信息在网上安全传输。 按照收发双方密钥是否相同， 可把常 用的加密算法分为对称加密 ( 秘密密钥)和 ( 公开密钥)两种。对称加密算法中， 收 发双方使用相同的 密钥， 例如美国的 d e s 、欧洲的 i d e a等。 对称加密算法有 保密强度高、加密速度快等优点，但其密钥必须通过安全的途径传送，因此密钥 的分发是一个比较复杂的问题 。在非对称加密算法中，收发双方使用的密钥互不 相同，而 且几乎不可能由 加密密钥推导出解密密钥。比 较著名的公开密钥算法有: r s a. e c c、背包密码等，其中以 r s a算法应用最为广泛。加密技术最终将被集 成到系统和网络中，如在 下 一代 i p v 6协议中就内置了加密支持。 ( 4 )防火墙技术防火墙是最成熟和基本的一种网络安全防范技术，是一种计算 机硬件和软件相结合的技术，是一个或一组网 络设备。它在受保护网与外部网之 间构造一个保护层，强制所有出入内外网的数据流必须通过。通过监测、限制或 更改跨越防火 墙的数据流，尽可能地对外部网 络屏蔽有关受保护网络的信息和结 构，从而实现对网络的安全保护。 西北工业大学硕士论文4于g a p技术的安全隔离网im i 硬件平台的设计 防 火 墙 有 很 多 类型 ， 大 致 可以 分为 两 类: 一 类是 基 于 包过 滤型( p a c k e t f ilt e r ) , 另一类是基于代理 服务 ( p r o x y s e r v i c e ) 。 现在防火 墙技术领域广泛采用应用层的代 理技术为主、网络层包过滤技术为辅的方式构建防火墙系统。 ( 5 )网络扫描网 络扫描是一种主动的 安全 技术，它主要是对端口 扫描和对漏洞 扫描。 前者用于探测对方系统所开放的网络服务类型;后者则是通过对系统当前 的状况进行扫描、分析来发现系统、网络中的安全隐患， 找出 其中容易被黑客利 用的弱点， 并报告给管理员。 ( 6 )入侵检测对计算机网络或计算机系统中的若干关键点收集信息并对其 进行 分析，发现网络或系统中 是否 有违反安全策略的行为或被攻击的迹象。常 见的 入侵检测系统可分为主机型和网 络型。主机型入侵检测系统往往以系统日 志、 应 用程序日 志等作为 数据源， 保护的一 般是所在的 系统。网络型入侵检测系统的数 据源则是网络上的数据包，担负着保护整个网段的任务。 3一种新型的网络安全技术一ga p技术 1 . 3 . 1 g a p 技术简介 g a p技术，即隔离网闸技术;隔离网闸是带有多种控制功能的处于内外网之 间的 信息安全设备，近年来在信息安 全领域得到了 越来越广泛的 应用。网闸 是一 个系统设备，由 外网主机， 硬件通道，内网 主机等三部 分组成， 其整体结构如图1 所示( 虚线内的部分为网闸) 。 网闸 可以阻断内外网络之间的 基于通用网 络协议( 例 如t c p / i p 协议)的数 据通信， 在网闸一侧的主机上使用专用协议对数据重新 打包 并通过p c i 卡将其传递到 另一 侧的主机上进行检测， “ 安全” 的 数据将被恢复为通 用网络协议的格式并传送到 目 标主机，有效地遏制了基于通用网络协议的攻击行 为 。 外 网 外 网 主 彩 l p cip ci p c i 卡p c i 卡 内 网 主 机 内网 图1 . 1网闸的整体结构图 隔离网闸可以 在网络不连通的 情况下， 实现安全数据传输和资源共享。 通过 强大的 协议检查、内容审查、 用户审计等手段来确保内 外网资 源、信息和数据的 安全交换。它能够通过硬件将连接的两个网 络在物理线路上断开，但又能 够让其 中一个网 络的数据高速的通过网 闸设备传送到另一个网络。 硬件通道是内网与外网之间唯一的安全数据传输通道，对 所支持的应用协议 的通信内容进行检查和控制， 并对所传输的 文件进行病毒查杀，负责在保证内、 外网 安全隔离的 前提下，对要交换的信息进行安全保密检查，只有符合安全保密 策略的信息才能被交换。内、外网主机分别是由独立的 c p u ,操作系统和存储设 备等组成的，能够独立地完成终止网络协议、代理网络请求、病毒查杀、日志审 计等功能的处理器。内、外网主机具备协议解析和应用代理功能，接收和响应用 户的网络访问请求，解析、提取出应用层数据，以数据文件的方式进行交换。 西北工业大学硕士论文4于g a p技术的安全隔离网im i 硬件平台的设计 防 火 墙 有 很 多 类型 ， 大 致 可以 分为 两 类: 一 类是 基 于 包过 滤型( p a c k e t f ilt e r ) , 另一类是基于代理 服务 ( p r o x y s e r v i c e ) 。 现在防火 墙技术领域广泛采用应用层的代 理技术为主、网络层包过滤技术为辅的方式构建防火墙系统。 ( 5 )网络扫描网 络扫描是一种主动的 安全 技术，它主要是对端口 扫描和对漏洞 扫描。 前者用于探测对方系统所开放的网络服务类型;后者则是通过对系统当前 的状况进行扫描、分析来发现系统、网络中的安全隐患， 找出 其中容易被黑客利 用的弱点， 并报告给管理员。 ( 6 )入侵检测对计算机网络或计算机系统中的若干关键点收集信息并对其 进行 分析，发现网络或系统中 是否 有违反安全策略的行为或被攻击的迹象。常 见的 入侵检测系统可分为主机型和网 络型。主机型入侵检测系统往往以系统日 志、 应 用程序日 志等作为 数据源， 保护的一 般是所在的 系统。网络型入侵检测系统的数 据源则是网络上的数据包，担负着保护整个网段的任务。 3一种新型的网络安全技术一ga p技术 1 . 3 . 1 g a p 技术简介 g a p技术，即隔离网闸技术;隔离网闸是带有多种控制功能的处于内外网之 间的 信息安全设备，近年来在信息安 全领域得到了 越来越广泛的 应用。网闸 是一 个系统设备，由 外网主机， 硬件通道，内网 主机等三部 分组成， 其整体结构如图1 所示( 虚线内的部分为网闸) 。 网闸 可以阻断内外网络之间的 基于通用网 络协议( 例 如t c p / i p 协议)的数 据通信， 在网闸一侧的主机上使用专用协议对数据重新 打包 并通过p c i 卡将其传递到 另一 侧的主机上进行检测， “ 安全” 的 数据将被恢复为通 用网络协议的格式并传送到 目 标主机，有效地遏制了基于通用网络协议的攻击行 为 。 外 网 外 网 主 彩 l p cip ci p c i 卡p c i 卡 内 网 主 机 内网 图1 . 1网闸的整体结构图 隔离网闸可以 在网络不连通的 情况下， 实现安全数据传输和资源共享。 通过 强大的 协议检查、内容审查、 用户审计等手段来确保内 外网资 源、信息和数据的 安全交换。它能够通过硬件将连接的两个网 络在物理线路上断开，但又能 够让其 中一个网 络的数据高速的通过网 闸设备传送到另一个网络。 硬件通道是内网与外网之间唯一的安全数据传输通道，对 所支持的应用协议 的通信内容进行检查和控制， 并对所传输的 文件进行病毒查杀，负责在保证内、 外网 安全隔离的 前提下，对要交换的信息进行安全保密检查，只有符合安全保密 策略的信息才能被交换。内、外网主机分别是由独立的 c p u ,操作系统和存储设 备等组成的，能够独立地完成终止网络协议、代理网络请求、病毒查杀、日志审 计等功能的处理器。内、外网主机具备协议解析和应用代理功能，接收和响应用 户的网络访问请求，解析、提取出应用层数据，以数据文件的方式进行交换。 西北工业大学硕士论文4于g a p技术的安全隔离网im i 硬件平台的设计 防 火 墙 有 很 多 类型 ， 大 致 可以 分为 两 类: 一 类是 基 于 包过 滤型( p a c k e t f ilt e r ) , 另一类是基于代理 服务 ( p r o x y s e r v i c e ) 。 现在防火 墙技术领域广泛采用应用层的代 理技术为主、网络层包过滤技术为辅的方式构建防火墙系统。 ( 5 )网络扫描网 络扫描是一种主动的 安全 技术，它主要是对端口 扫描和对漏洞 扫描。 前者用于探测对方系统所开放的网络服务类型;后者则是通过对系统当前 的状况进行扫描、分析来发现系统、网络中的安全隐患， 找出 其中容易被黑客利 用的弱点， 并报告给管理员。 ( 6 )入侵检测对计算机网络或计算机系统中的若干关键点收集信息并对其 进行 分析，发现网络或系统中 是否 有违反安全策略的行为或被攻击的迹象。常 见的 入侵检测系统可分为主机型和网 络型。主机型入侵检测系统往往以系统日 志、 应 用程序日 志等作为 数据源， 保护的一 般是所在的 系统。网络型入侵检测系统的数 据源则是网络上的数据包，担负着保护整个网段的任务。 3一种新型的网络安全技术一ga p技术 1 . 3 . 1 g a p 技术简介 g a p技术，即隔离网闸技术;隔离网闸是带有多种控制功能的处于内外网之 间的 信息安全设备，近年来在信息安 全领域得到了 越来越广泛的 应用。网闸 是一 个系统设备，由 外网主机， 硬件通道，内网 主机等三部 分组成， 其整体结构如图1 所示( 虚线内的部分为网闸) 。 网闸 可以阻断内外网络之间的 基于通用网 络协议( 例 如t c p / i p 协议)的数 据通信， 在网闸一侧的主机上使用专用协议对数据重新 打包 并通过p c i 卡将其传递到 另一 侧的主机上进行检测， “ 安全” 的 数据将被恢复为通 用网络协议的格式并传送到 目 标主机，有效地遏制了基于通用网络协议的攻击行 为 。 外 网 外 网 主 彩 l p cip ci p c i 卡p c i 卡 内 网 主 机 内网 图1 . 1网闸的整体结构图 隔离网闸可以 在网络不连通的 情况下， 实现安全数据传输和资源共享。 通过 强大的 协议检查、内容审查、 用户审计等手段来确保内 外网资 源、信息和数据的 安全交换。它能够通过硬件将连接的两个网 络在物理线路上断开，但又能 够让其 中一个网 络的数据高速的通过网 闸设备传送到另一个网络。 硬件通道是内网与外网之间唯一的安全数据传输通道，对 所支持的应用协议 的通信内容进行检查和控制， 并对所传输的 文件进行病毒查杀，负责在保证内、 外网 安全隔离的 前提下，对要交换的信息进行安全保密检查，只有符合安全保密 策略的信息才能被交换。内、外网主机分别是由独立的 c p u ,操作系统和存储设 备等组成的，能够独立地完成终止网络协议、代理网络请求、病毒查杀、日志审 计等功能的处理器。内、外网主机具备协议解析和应用代理功能，接收和响应用 户的网络访问请求，解析、提取出应用层数据，以数据文件的方式进行交换。 西北t业大学硕士论文基于g a p 技术的安全隔离网闸硬件平台的设计 简而言之，隔离网闸 技术的基本原理是: 切断网 络之间的通用协议连接; 将 数据包进行分解或重组为 专用协议的 静态数据;并 对静态数据进行安全审查，包 括网络协议检查和代码扫描等;确认后的安全数据流入 内部单元;内部单元通过 严格的数字签名机制校验获取的静态数据， 确认后传送到可信端网 络。 在其它的网 络安全解决方案中， 可信网络与不可信网 络之间有直接的物理通 信连接; 然而网闸技术的应用却能 从物理上隔离、阻断了 具有潜在攻击可能的基 于通用网 络协议的连接，使黑客无法入 侵、 无法攻击、无法破坏， 有效防止这种 危害发生，保证在可信网络安全的前途下，网 络间安 全的交换数据。 隔离网闸是一个系统，由硬件和软件两部分组成，其硬件平台的构建正是本 论文将要研究的内容。 1 . 3 . 2 g a p 技术与其他技术的区 别 令 与物理隔离卡的区别 网闸能够实现网络间的信息交换，不是简单的文件摆渡服务器，而物理隔离 卡不提供这样的功能。 . 与防火墙的区别 防火墙是保证网 络层安全的 边界安全工具，而隔离网闸系统重点是保护内 部 网络的 安全。防火墙是对t c p 会话的控制， 它并不切断网 络的 链路层连接。 这种 工作方式无法防止泄密， 也无法防止病毒和黑客程序的攻击。防火墙的思路是在 保障互联的前提下， 尽可能安全， 而网络隔离的 思路是在保证必须安全的前 提下， 尽可能支持应用，如果不能保证安全则完全断开。 用防火 墙实现逻辑隔离存在以 下弱点:首先防火墙无法抵御数据驱动式攻击，即大量合法的数据包导致网 络阻 塞而使正常通信瘫痪;其次，防火墙很难阻止由通用协议本身漏洞发起的 入侵; 再次，防火墙系统本身的 缺陷也是影响内部网络安全的重要问 题;另外， 只有正 确、合理配置防火墙才能起到本身的安全作用，而配置的复杂度为网管人员 带来 烦琐工作量的同时，也增加了配置不当带来的隐患。而网闸用专用硬件保证两个 网络在物理链路层断开的前提下实现数据安全传输和资源共享，使得黑客基于通 用网络协议的 攻击无效， 这样不但消除了通用协议漏洞给涉密内网带来的 威胁， 同时也使内部的系统与软件后门与漏洞不会被外部利用。 . 与路由器、交换机的区别 网闸 在网路间 进行的安全适度的信息交换是在网 络之间不存在链路层连接的 情况下进行的， 直接处理网 络间的应用层数据， 利用存储转发的 方法进行应用数 据的交换，在交换的同时， 对应用数据进行的各种安全检查。 路由器、 交换机则 保持链路层畅通，在链路层之上进行 i p 包等网 络层数据的直接转发， 没有考 虑网 络安全和数据安全的问 题。 . 与应用代理的区别 应用代理是防火墙中 安全性最高的 一种技术， 可以实现协议的剥离和协议的 重建恢复。 对应用代理的 一个典型的安全威胁是操作系统的 漏洞，可能直接导致 对应用代理服务器的入侵，入侵之后就可 以跳过应用代理，或关闭应用代理，或 破坏应用代理的安全机制。网闸不存在这个问 题， 它假设外部处理单元可以 被入 侵，但还是被隔离断开，无法对内部网络进行入侵。 令 与 i d s的区别 i d s一般是对己知攻击行为进行检测， 与防火墙结合可以很好的保护用户的网 络，但是从安全原理上来讲，无法对内部网络做更深入的安全防护 。网闸重点是 西北t业大学硕士论文基于g a p 技术的安全隔离网闸硬件平台的设计 简而言之，隔离网闸 技术的基本原理是: 切断网 络之间的通用协议连接; 将 数据包进行分解或重组为 专用协议的 静态数据;并 对静态数据进行安全审查，包 括网络协议检查和代码扫描等;确认后的安全数据流入 内部单元;内部单元通过 严格的数字签名机制校验获取的静态数据， 确认后传送到可信端网 络。 在其它的网 络安全解决方案中， 可信网络与不可信网 络之间有直接的物理通 信连接; 然而网闸技术的应用却能 从物理上隔离、阻断了 具有潜在攻击可能的基 于通用网 络协议的连接，使黑客无法入 侵、 无法攻击、无法破坏， 有效防止这种