网间数据单向传输技术研究.docx

网间数据单向传输技术研究聂元铭 1，俞莉 2，马英豪 1 （1. 二炮后勤部，北京 100085 ；2. 总后自动化工作站，北京 100843）摘 要 ：文章以解决网络间数据单向传输和防泄露问题为目标，研究了不同密级网络边界的高性能单向信息导入系统原理模型，描述了研究对象的硬件、软件架构设计及工作原理、关键技术，分析了信息单 向导入功能。文章最后从物理链路层、传输层、网络层等方面论述了防信息泄露技术的特点。关键词 ：网间数据 ；单向传输 ；信息安全中图分类号 ：tp393.08 文献标识码 ：a 文章编号 ：1671-1122（2012）02-0047-04inter network data transmission technology researchnie yuan-ming1, yu li2, ma ying-hao1( 1.erpao logistics department, beijing 100085, china;2.the general logistics department automation workstation, beijing 100843, china )abstract: in this paper, to solve the network data transmission and anti leakage problems as the goal, study the different security network boundaries of the high performance information into the system principle model. description of the research object of the hardware, software design and the working principle, key technology, analyses the information unidirectional import function. the article from the physical link layer, transport layer, network layer and other aspects of the prevention of information leakage technology characteristics.key words: network data; transmission; information security0 引言现有的各种网络安全技术中，防火墙技术可以在一定程度上解决多种网络安全问题。防火墙产品主要包括包过滤防火墙、状态检测包过滤防火墙和应用层代理防火墙。防火墙产品容易遭受包括 i p 欺骗攻击、d o s 拒绝服务攻击、分片攻击、木马攻击 等在内的各种网络攻击，而且对这些攻击的防范能力不够。即使是采用状态检测技术的防火墙产品，也会受到包括协议隧道攻击、 反弹木马攻击等在内的网络攻击，并且黑客还可以利用 ftp-pasv 绕过防火墙的认证，从而实现对防火墙的攻击，而对这些安全 问题，防火墙产品尚没有很好的防范和解决方案。不同密级系统之间的信息共享必须依赖于有效的隔离交换安全设备。传统的网闸是一种双向通信设备，只能用于与互联网 隔离的环境中。为了防止网络边界成为泄密点，需要部署安全性更高的单向网络通信系统。为了满足信息安全技术发展的需求， 研究可靠的单向数据通信技术和设备具有重要的意义和应用价值。1 技术设计为保证高密级别网络中的数据不能流向低密级网络，但低密级网络中的数据可以流向高密级网络（数据机密性要求），彻底解决高密级网络信息泄露的问题，比较可行的方法是采用无反馈的单向传输技术 1。 研究“单向无反馈传输”安全隔离与信息单向导入技术，从物理链路层、传输层保证数据的绝对单向流动。同时采用先进的纠错编码技术、a sic 并行处理技术和 m r p（多重冗余技术）保证系统的高可靠性、高容错性、高安全性和高稳定性，以满足非 涉密网络到涉密网络的数据传输和低密级网络（安全域）向高密级网络（安全域）的数据传输安全要求。收稿时间 ：2012-01-05作者简介 ：聂元铭（1957-），男，河北，高级工程师，主要研究方向 ：信息物理安全 ；俞莉（1972-），女，浙江，工程师，硕士，主要研究方向 ： 信息技术 ；马英豪（1982-），男，工程师，主要研究方向 ：后勤信息技术。47图1 安全隔离与信息单向传输系统硬件架构图2 安全隔离与信息单向传输系统架构图图3 单向多级编码方案2012年第02期1.1 硬件架构设计安全隔离与信息单向导入系统采用“2+1”模型架构设计，即内网主机、外网主机加单向导入隔离部件。 单向导入隔离部件由两个通用的光传输模块组成，模块之间采用单根光纤连接组成。光传输模块通过两根光纤完成通信， 一根用于接收数据，一根用于发送数据。从物理上，即无法通 过单根光纤实现既接收数据又发送数据。所以，这种设计方案 保证了数据的绝对单向无反馈传输。硬件架构如图 1 所示。所有需要“握手”确认的通信协议在信息单向导入系统中都会失去意义。 由于没有“握手”确认信息，如何保证在接收端完整准确的重构源端数据是单向导入系统的关键技术。安全隔离与信 息单向导入系统针对这种单向无反馈的环境，采用前向纠错编 码技术，同时采用多种速率和流量控制方法，使得模块化的 底层通信接口能灵活、可靠地处理不同业务的需求 2。通过 这些关键技术保证了数据传输的完整性、可靠性和机密性。在前向纠错传输系统中，要想获得低误码率，就必须采 用具 有较强纠错能力的编码系统。单向网络通信的多级前向 纠错编码、解码方案，如图 3 所示。1.2 软件系统设计安全隔离与信息单向导入系统的软件系统可以抽象成三个子系统 ：单向传输容错控制接口、应用服务模块（单向文件 传输、单向数据库同步、单向邮件传输、单向传输 api 接口）、 系统管理平台，整个软件系统建立在 通用安全 开发平台 vs p 基础上。软件系统架构如图 2 所示。此方案中采用两次附加纠错码的多级前向纠错（f e c）编码技 术，r s 编码属于第一 个 f e c，188 字 节后附 加 16 字 节 r s 码，构成（204，188）r s 码，这也可以称为外编码。第二 个附加纠错码的 fec 采用先进的数字喷泉编码，称为内编码， 外编码和内编码结合一起，称之为级联编码。外编码解决内 编码未能纠错的数 据，增强了数 据 传 输 端到端的重 构能力， 提高了单向无反馈环境数据传输的可靠性。采用单向多级前向纠错编码、解码方案，有力地保障了数 据在单向无反馈环境中数据的可靠传输，实现了安全隔离与 信息单向导入系统的可靠传输。安全隔离与信息单向导入系统工作流程是 ：系统从非涉 密网络抓取事先定义的要传输数据，外网主机系统经过协议 还原、格式检查、内容过滤等动作，将安全数据重新封装成 私有格式，传输至 外网主机系统，为了控制数据能够正确发 送至外网主机，采用“纠错自适应编码”技术和流控技术来保证发送数据的可靠性，外网主机系统接收到数据包后进行校 验还原，最后根据预定义将可靠的数据发送至涉密网络的目 标系统，流程如图 4 所示。单向传输容错控制接口保证在单向无反馈通信环境中数据传输的完整性和可靠性。应用服务模块提供了基于单向传输的业务应用，共有四 个 子模块 ：单向文件 传输、单向数据库同步、单向邮件 传输 和单向传输 api 接口。系统管理平台是系统配置和管理的接口，使用户能够通 过该平台配置管理主机系统和业务应用系统，并提供启动或 关闭病毒检测引擎接口。操作系统固化于内外网主机系统的 硬件中，不能被随意修改，保证系统平台的安全可靠。1.3 工作原理与关键技术信息单向导入技术的工作原理类似于“二极管”单向导电的特性，采用硬件 架构设计使数据仅能从 外网主机（非信任 端）传输至内网主机（信任端），中间没有任何形式的反馈信号，2 信息单向导入功能2.1 单向文件传输安全隔离与信息单向导入系统的文件单向传输功能是整个系统的基本功能，该系统只需指定需要传输文件的源文件 夹以及目的文件夹，系统就会实时同步增量文件。安全隔离与 信息单向导入系统，文件单向传输主要功能包含支持大量小文 件及大文件的传输，支持重名策略，支持多级目录嵌套，支持48技术研究图5 单向文件传输部署拓扑图6 单向数据库同步部署拓扑图7 涉密网络接收邮件部署拓扑2012年第02期应用的需求，另外，单向邮件传输模块会对每封邮件的相关信息进行记录，最大限度地保证了单向邮件导入功能的可靠性。 邮件过滤功能提供了包括邮件地址过滤、邮件域名过滤、邮件 内容过滤、邮件附件过滤和 i p 地址端口过滤在内的多种功能。 全方位的邮件过滤功能可以最大限度保证有害信息和敏感信息 无法导入内部应用系统。在单向邮件传输功能设计之初就考虑 到产品部署的易用性，当用户部署单向邮件导入系统时只需将 本系统部署于原外部邮件服务器和内部邮件服务器之间，并指 定好相关服务器的邮件网关即可，无需大规模迁移用户数据。2.4 单向数据库同步单向数据库同步应用在非信任网络并实时传输数据库数据，而且信任网络不能有任 何形式的数 据 通 过 此 连 接泄 露， 典型部署如图 6 所示。不依赖于文件扩展名的文件格式检查以及病毒查杀功能。为提高文件传输的可靠性，单向文件传输系统提供一套精确定 位文件是否正确传输到目的端功能，并且能帮助用户方便快捷 确定丢失的文件以及重传丢失的文件。安全隔离与信息单向导入系统单向文件 传输应用适合对 各种静态文件进行传输，在用户配置完成源和目的端后，系统会实时监控文件发送源，主动抓取增量文件，并按照传输策 略将文件 传输至文件 接收目的端，对用户的业务应用系统无 任何影响，具体部署方式如图 5 所示。在单向数据库同步应用中，系统 通过实时监控系统，监测用户源表的增、删、改等操作，主动抓取用户变化的数据， 通过安全隔离与信息单向导入系统将变化同步至目的库。此 应用适合非信任网络向信任网络、非涉密网络向涉密网络 数 据库传输数据。2.5 涉密网络邮件接收为了涉密网络的信息安全，通常采用将涉密网与其他网络进行物理隔离的办法，在这种方式下涉密网络实时接收外部邮 件是一个问题。安全隔离与信息单向导入系统的单向邮件传输 功能就很好地解决了该问题，在保证涉密网络不泄露任何形式 信息的前提下，提供邮件接收功能，具体部署如图 7 所示。如图 5 所示，文件只能由外网的文件发送源传输至内网的文件接收目的端，反之则不能。2.2 单向数据库同步安全隔 离 与 信 息 单 向 导入系 统单 向 数 据 库 同 步 提 供oracle、sybase、db2、ms sqlserver 等常见数据库的 单向同步。支持同种数据库或异种数据库之间的同步，支持 粒度到字段级同步以及特殊的条件同步。由于安全隔离与信息单向导入系统无任何信息反馈，所以 为提高单向数据库同步的可靠性，单向数据库同步设计了一套 精确定位数据是否正确导入目的端的功能，并能帮助用户方便 快 捷进行确定是否丢失数据以及重传丢失数据，确保用户数 据的完整性。单向数据库同步 部署便于与系统、客户数据库之间达到 无缝结合 , 即用户无需修改数据库的任何环境 , 就能达到单向 同步的效果。单向数据库同步在性能上基本能达到实时同步， 以满足客户需求。2.3 单向邮件传输邮件单向导入功能提供邮件从外部网络到内部网络的邮件单向传输功能。高效的邮件传输能够支撑大部分应用环境日常如图所示，安全隔离与信息单向导入系统就像一 个邮件中继设备，将外网邮件服务器发 送的邮件实时地传输至内网 邮件服务器，实现内网用户实时接收邮件的需求。3 技术特点安全隔离与信息单向导入系统从物理链路层和传输层两49技术研究2012年第02期方面保证了数据绝对的单向无反馈传输，防止任何形式的信息从信任网络泄露。物理链路层 ：单向无反馈传输电路设计。单向传输安全隔 离模块由两个通用的光传输模块组成，模块之间采用单根光 纤连接，实现基于硬件的安全隔离，使得两个网络之间没有任 何的网络物理连接，没有任何的网络协议可以直接穿透，从而 建立了一个安全可靠的安全隔离硬件体系。由于从物理上，光 传输模块无法通过单根光纤实现既接收数据又发送数据，所 以为数据的绝对单向无反馈传输提供了可靠的保障。传输层 ：在传输控制层采用了先 进的容错控制技术，如 单向多级前向纠错 编码、解码技 术，多级流量 调控 技 术等， 保障数据的可靠传输。安全隔离与信息单向导入系统为适应 单向无反馈的传输环境，设计单向无反馈传输 协议 3，对经 过安全检查的纯数据进行重新封装，在容错控制技术的支撑 下进行可靠的数据传输。网络层 ：为保证数据的高可靠传输，安全隔离与信息单向 导入系统在网络层采用通道检测技术，自动检查单向数据传输 通道的连通性。通过网络层过滤功能，系统实现基本的网络安 全访问。支持包过滤检测技术，支持通过源地址、目的地址、 端口、协议等多种元素设定过滤规则。通过对过滤规则的设定，使得系统直接在网络层就能拒绝部分非法连接的访问。应用层 ：系统对每种应用模块采取数据备份、重传方案和 数据中途丢失自动检测技术，以及严格的数据传输审计方案， 实现数据传输可控、可查以及数据中途丢失可恢复等高可靠的 数据传输要求，保证了用户业务系统的高可用性和高可靠性。4 结束语网络 间的 单 向传 输 技 术是 军 队 和 涉 密单位 经常使 用的一种 通信 技 术， 本 文 详 细阐 述了其 技 术 路 线， 分析了这项 技术特 有的 单向导入功 能 和 技术特点， 对于 解 决文件 传 输 过程中的 安全保 密 问 题 有一定 现 实 意 义。 然而， 随 着 现 有 网络环 境 趋向复 杂 和网络 新技 术 的出现， 网络 间的 单 向传 输技术也会面 临 新的 安 全风 险， 这 将成为 我们 下一步 的 研究重点。 （责编 杨晨）参考文献：1 慕建君，焦晓鹏，曹训志 . 数字喷泉码及其应用的研究进展与展 望 j. 电子学报，2009，（07）：1571-1577.2 郭 春 梅，毕学尧 . 纠删码的分析与研究 j. 信息安全与技术，2010，（07）：9.3 王新梅，肖国镇 . 纠错码原理与方法 ( 修订版 )m. 西安 ：西 安电子科技大学出版社，2001.57.上接第 36 页从图 4 可以看出，随着网络规模的增长，pa- c loud 中用户节点需要处理的消息数随之增长，而纯云结构则基本上没 有变化。这是因为在 pa- c loud 中，用户节点需要分担云端服 务器的负载，而随着网络中用户数不断增加，文件被查询和 更新的次数也在不断增长，从而造成用户需要分担的负载也 不断增长。由于这些负载 是分摊到所有用户的节点上，而网 络中的用户数是在不断增加的，所以即使网络规模的增幅达 到 10 倍，每个用户节点负载的增幅也仅为 29.75%。综上所述，和纯云结构网络相比，pa- c loud 可以有效降 低云端服务器的负载，从而降低服务提供商的成本，且具 有 良好的可扩展性，即使网络规模扩张 10 倍，pa-cloud 用户节 点的负载增长速度仍远低于网络扩张的速度。这种双层结构，pa-cloud 实现了负载从云端到用户端的迁移，并提高了系统本身的可用性和可靠性。我们对 pa-cloud 进行 了仿真实验，实验结果显示 ：pa- c loud 可以有效降低云端的 成本，并具有良好的可扩展性。 （责编 张岩）参考文献：1 gnutella eb/ol. /, 2011-02-19/2011-12-27.2 freenet eb/ol. /, 2011-02-19/ 2011-12-27.3 vaquero l m, rodero-merino l, caceres j, et al. a break in the clouds: towards a cloud definition j. acm sigcomm computer communication review archive, 2009, 39(1): 50-55.4 g