（机械电子工程专业论文）物理隔离技术在网络化制造信息安全中的应用研究.pdf

华中科技大学硕士学位论文 摘要 信息技术和网络技术的巨大发展对制造业产生了巨大的影响，在制造领域出现了 一种新的生产模式网络化制造。而随着网络化制造的蓬勃发展，其中的信息安全 问题也日益被人们所重视。物理隔离技术是信息安全领域出现的一种新技术，本学位 论文尝试把物理隔离技术应用到网络化制造信息安全领域，为解决网络化制造中的信 息安全问题提供了一种新的全面可靠的解决方案。 在对网络化制造的特点和网络化制造系统存在的安全隐患及其对信息安全的需求 进行分析的基础上，提出了网络化制造的信息安全体系结构。在将相关信息安全技术 应用于网络化制造中的基础上，提出应用物理隔离技术到网络化制造信息安全领域中， 试图最大限度地消除网络化制造系统存在的安全隐患。 通过对物理隔离技术的相关理论进行研究，阐明国内还不是很明晰的物理隔离技 术产生的历史技术背景、有关概念，分析物理隔离技术的作用、技术原理、分类方法 和发展趋势等，并澄清一些在业界存在的对物理隔离技术的理解误区。 重点介绍本课题开发成功的s e c l n f o 物理隔离系统，包括系统需求分析、主要功 能和体系结构设计等，详细分析系统硬件与软件的设计与实现原理，其中包括硬件隔 离控制卡、系统主要功能模块和隔离控制卡驱动程序的设计与实现方法等。两款隔离 控制卡中g a p c a r d v 2 0 卡的设计具有独创性，已经申报国家发明专利( 国家知识产权 局专利申请受理号：2 0 0 4 1 0 0 1 2 7 6 7 2 ，见附录i j ) ； 本文为网络化制造企业和其他类似涉密单位设计实现了一套较为完善的物理隔离 解决方案，该系统设计与实现中涉及到的一些关键技术的实现方法对相关课题研究有 一定的借鉴意义。 关键词：网络化制造信息安全物理隔离外围部件互连总线 设备驱动程序 华中科技大学硕士学位论文 a b s t r a c t t h ed e v e l o p m e n to ft h ei n f o r m a t i o na n dn e t w o r kt e c h n o l o g i e si m p a c t st h ep r o g r e s so f m a n u f a c t u r i n gg r e a t l y a n e wk i n do f m a n u f a c t u r i n gm o d e l ，n a m e l y n e t w o r k e d m a n u f a c t u r i n g ，h a sb e e nb r o t i g h tf o r w a r d i nr e c e n ty e a r s h o w e v e r , t h ei n f o r m a t i o ns e c u r i t y p r o b l e mi n t h en e t w o r k e dm a n u f a c t u r i n ge n v i r o n m e n th a sb e c o m eh o tp o i n t g a pi sa b r a n dn e wt e c h n o l o g yi ni n f o r m a t i o ns e c u r i t yf i e l d ，w h i c hi s a p p l i e di n t h en e t w o r k e d m a n u f a c t u r i n g e n v i r o n m e n tt oe n s u r ei t si n f o r m a t i o ns e c u r i t y a l s oa g l o b a la n d l i a b l eg a p s o l u t i o ni sd e s i g n e di nt h e p a p e r f i r s t l y , t h ei n f o r m a t i o ns e c u r i t ys t r u c t u r ei nn e t w o r k e dm a n u f a c t u r i n ge n v i r o n m e n ti s p r o p o s e db a s e do na n a l y z i n gt h e l a t e n ti n f o r m a t i o ns e c u r i t yp r o b l e ma n ds t u d y i n gt h e c h a r a c t e r i s t i co ft h en e t w o r k e dm a n u f a c t u r i n ga n dt h er e q u i r e m e n to fi n f o r m a t i o ns e c u r i t y i nt h en e t w o r k e dm a n u f a c t u r i n ge n v i r o n m e n t o nt h eb a s i so fa p p l i c a t i o no ft r a d i t i o n a l i n f o r m a t i o ns e c u r i t yt e c h n o l o g y ，g a ps o l u t i o ni sd e s i g n e da n dr e a l i z e di no r d e rt om a k ea c l e a ns w e e po ft h el a t e n ti n f o r m a t i o ns e c u r i t yp r o b l e mi nt h en e t w o r k e dm a n u f a c t u r i n g e n v i r o n m e n ti nt h e p a p e r s e c o n d l y ，r e l a t i v et h e o r i e so ft h eg a pt e c h n o l o g y ，m a i n l yi t sh i s t o r i c a la n dt e c h n i c a l b a c k g r o u n d ，s o m ec o n c e p t i o n s ，a n di t sa p p l i c a t i o na r ea n a l y z e da n ds t u d i e d ，a n ds o m e m i s u n d e r s t a n d i n g s o fg a pa r e c l a r i f i e d a f t e r w a r d s ，t h e t e c h n o l o g yp r i n c i p l e ，t h e c l a s s i f i c a t i o n ，a n dt h ed e v e l o p m e n tt r e n da r ee x p a t i a t e d f i n a l l y ，t h ei n t r o d u c t i o no fs e c l n f o ，ag a ps y s t e mt h a ti ss u c c e s s f u l l yd e v e l o p e db y o u rt e a mi s p r o v i d e d ，m a i n l yi n c l u d i n gt h ea n a l y s i so ft h es y s t e mr e q u i r e m e n t ，t h em a i n f u n c t i o na n dt h e s y s t e ms t r u c t u r e t h ed e s i g n i n ga n dr e a l i z i n gp r i n c i p l e o ft h eh a r d w a r ea n d s o f t w a r eo ft h es y s t e m ，i n c l u d i n gt h ec i r c u i t ，t h em a i nf u n c t i o nm o d u l e sa n dt h ed r i v e ro f t h eg a pc a r d si s a n a l y z e di nd e t a i l g a p c a r d v 2 0i s o n eo ft h et w og a pc a r d st h a th a v e b e e nd e v e l o p e d s u c c e s s f u l l yb y o u rt e a m b e c a u s ed e s i g n i n go f g a p c a r d v 2 0h a so r i g i n a l c r e a t i o n ，w eh a v ea p p l i e df o rap a t e n tf o ri t ( p a t e n tn o 2 0 0 4 1 0 0 1 2 7 6 7 2 ) a p e r f e c tg a p s o l u t i o nf o rn e t w o r k e dm a n u f a c t u r i n ge n t e r p r i s e sa n do t h e r st h a tn e e d t oe n s u r ei n f o r m a t i o ns e c u r i t yi sp r o v i d e di nt h ep a p e r n l er e a l i z e dm e t h o do fs o m e k e y t e c h n o l o g i e si n v o l v e d i nt h ed e s i g n i n ga n dr e a l i z i n go ft h es y s t e mh a sk e yv a l u e sf o r r e l a t i v er e s e a r c h k e yw o r d s ：n e t w o r k e dm a n u f a c t u r i n g i n f o r m a t i o n s e c u r i t yg a pt e c h n o l o g y p c ib u sd e v i c ed r i v e r i i 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除文中已经标明引用的内容外， 本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对 本文的研究做出贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：刍鼠怎吾气 e t 期 z 帕斗年月z z e l 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 即：学校有权保留并向国家有关部门或机构送交论文的复印件和电子 舨，允许论文被查阅和借阅。本人授权华中科技大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印 或扫描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论文属于 不保密回。 ( 请在以上方框内打“巾) 学位论文作者签名：都恕未指导教师签渤 e t 期：狮 年v 月z 乙日 e t 期：如争年午月17 日 华中科技大学硕士学位论文 1 1 课题概述 1 1 1 课题来源 1 绪论 在中国新加坡“中新联合研究计划”项目“基于网络的产品快速开发平 台”、航天科技创新基金项目“网络安全智能管理系统”( 2 0 0 0 0 8 5 5 ) 、国家教育部 网上合作研究中心重点建设项目“现代设计与制造网上合作研究中，i i ”和武汉力 龙数码有限公司的共同支持下，本学位论文围绕物理隔离技术应用于网络化制造信息 安全领域的若干理论和技术开展研究。 1 1 2 课题的提出 在美国国防部、能源部、国家标准和技术研究所以及自然科学基金会的共同资助 下，1 9 9 5 年由麻省理工学院的“敏捷性论坛( a g i l i t yf o r u m ) ”和“制造先驱( l e a d e r s f o r m a n u f a c t u r i n g ) ”两个部门，以及“实施敏捷制造技术( t e a m ) ”项目共同发起主 持了下一代制造( n e x t g e n e r a t i o nm a n u f a c t u r i n 【蓟项目。1 9 9 7 年，该项目公布了长 达7 0 5 页的下一代制造行动框架研究报告i ”。报告指出，全球制造企业应通 过相互联系的信息、知识和资源，协同生产产品，协同提供服务，建立异地协同设计 与制造系统，把有关的“自动化孤岛”紧密地联系在一起，并行地、及时地进行产品 的开发、设计和制造。该报告提出了一种新的制造模式，即目的于信息、知识和资源 共享的网络化制造模式。 所谓网络化制造( h 1 n e t w o r k e dm a n u f a c t u r i n g ) 1 2 州，指的是基于计算机网络、虚 拟现实和分布式通信等支撑技术，重组各种生产与制造资源，实现产品异地设计和功 能仿真，进而快速生产出满足用户要求的产品的整个制造过程。具体来说，就是面对 市场机遇，针对某一特定产品，利用以i n t e r n e t 为标志的信息高速公路，灵活而迅速地 组织社会制造资源，把分散在不同地区的现有生产设备资源、智力资源和各种核心能 力，迅速地组合成一种没有围墙的、超越空间约束的、靠电子手段联系的、统一指挥 的经营实体，以便快速推出商质量、低成本的新产品。 网络化制造是新的生产模式，按照这种新的制造哲理运作的经济实体称为网络联 盟企业( e x t e n d e d e n t e r p r i s e ) i s - e 1 。按照传统定义，企业或者公司是指具有经营和管理 权、所有权和业务范围明确的赢利实体，它具备法人资格，承担社会和法律责任，并 控制自己的行为。网络联盟企业则是指通过互联网连接的、多个机构组成的一个组织， 华中科技大学硕士学位论文 具有协作和联盟关系。能共享知识和资源，并能协同提供一种产品或服务。这种协作 和联盟可最大限度地发挥各自的优势，通过向顾客提供综合解决方案，在更好满足顾 客全面需求的同时，去实现每个联盟伙伴自己的目标。分散网络化制造将改变企业的 组织结构形式和工作方式，提高企业的工作效率，增强新产品的歹_ l ：发能力，缩短上市 周期，扩大市场销售空间，从而提高企业的市场竞争力1 7 4 】。 概括起来，建立网络联盟企业的主要目的有四个方面1 1 0 】：( 1 ) 发挥现有制造资源 和生产能力的潜力；( 2 ) 让企业优势互补，联合起来开发新产品和新过程；( 3 ) 用虚 拟手段进行产业结构调整和资产重组；( 4 ) 企业之间通过合作，提高市场的快速响应 能力。网络联盟企业除必须具有完善的通信基础设施外，它与传统企业在组织管理、 生产要素、员工素质上都有很大区别。网络联盟企业的五个特征、四个目标和三大效 果如图1 1 所示【1 1 - ”l 。 资源利用社会化 i 提高竞争力 经营优势互补 资产虚拟重组 二：= = 爿：萎套塞霎襄襄率 快速响应市场 图1 1 网络联盟企业的特征、目标与效果 网络化制造的核心是利用计算机网络，将各种资源进行集成，来快速响应市场的 变化需求。因此，计算机网络特别是i n t e r a c t ，是实现网络化制造的关键组成因素。众 所周知，作为全球使用范围最大的信息网，i n t e r a c t 自身范围的广泛性和协议的开放性 极大地方便了各种计算机联网，拓宽了共享资源，也为制造的网络化提供了一个广泛 的、开放的平台，为网络化制造信息集成提供了良好的条件。但是，正是由于i n t e r n e t 的广泛性和开放性却为网络化制造系统带来很多安全隐患，给网络化制造的实施提出 了很多信息安全要求。包括如何建立一个安全、可信的网络环境，确保制造企业内以 及制造企业间各种制造信息和数据的安全交换和在i n t c r n e t 上安全可靠的传输，确保 产品信息远程通讯的保密性和完整性，确保各制造企业的技术、知识和专利不被非法 窃取，已成为人们关注的重要研究课题。 在网络化制造中，企业一方面要与外部网交换各种制造信息和数据，另一方面也 2 、，0，l、 一一一一一 华中科技大学硕士学位论文 要与外部网交换各种公共信息，如浏览外部丰富的信息资源，接收来自外部的电子邮 件、下载丰富的软件资源，向外界发布信息，宣传企业形象，或者通过邮件服务器向 外界发送电子邮件等。这样的结果是，要求企业内部网络能够与外部网络必须存在有 效的连接，从而使信息的传递变得高效和实用。就目前的网络技术而言，要实现内部 网与外部网的连接是完全可行的。问题在于，以现有的通用技术进行连接，将对内部 网络的信息安全构成极大的威胁，存在很严重安全隐患。这些安全隐患，主要是由于 i n t e r n e t 的广泛性和开放性引起的。它们包括1 1 4 6 1 ：( 1 ) 出现网络故障系统的稳定 性遭到破坏；( 2 ) 信息被窃取系统的枧密性遭到破坏 ( 3 ) 信息被篡改系统 的完整性遭到破坏；( 4 ) 伪造虚假的信息系统的真实性遭到破坏；( 5 ) 对传输的 信息进行抵赖。由上述网络化制造系统存在的安全隐患，决定了网络化制造系统对信 息安全的需求，它们包括1 1 7 1 8 】：( 1 ) 网络化制造系统应该具有稳定性，不能出现网络 断线、病毒侵袭等网络故障。以有效抵抗黑客攻击；( 2 ) 网络化制造系统应该具有机 密性、完整性、真实性和抗抵赖性，保证数据信息的传输安全；( 3 ) 网络化制造的信 息传输和共享需要具有访问可控制性，只有具有相应权限的人才能访问相应的资源； ( 4 ) 网络化制造的信息安全需要满足网络化制造自身的特点，数据加密、传输的速度 必须满足网络化制造的要求，并且是实时的、动态的。很明显，建立一个稳定的、值 得信任的网络环境，保证网络化制造系统的稳定性、机密性、完整性、真实性和抗抵 赖等，保证网络化制造信息资源的访问可控制性，保证网络化制造系统信息交换的安 全，是实现可靠的网络化制造的重要保障。 由于参与网络化制造的各企业都具有各自独立的内部网系统，因此，我们可以将 防火墙技术、漏 1 日扫描技术和入侵检测技术等应用到各制造企业的内部网系统中1 1 9 - 2 5 1 。 应用防火墙可以将企业内部网和i n t e r n e t 进行隔离；安装漏洞扫描软件来实现对企业 内联网、主机、数据库和应用系统的安全漏洞进行扫描；使用入侵检测设备或软件来 对外部入侵和攻击进行检测和防范。这样，制造企业的内部网基本上可以防止外界的 攻击，能够比较及时地发现网络和系统的安全弱点，检测和监听非法入侵，基本保证 网络化制造系统的稳定性，为网络化制造提供一个比较安全、可信的网络环境。 然而，采用上述技术保障网络化制造企业内部网的信息安全虽然有一定的效果， 但是，随着网络技术的飞速发展和黑客技术的不断提高，运用上述普通常规技术已经 根本无法满足重要网络和数据的安全需要。这种现象早已引起国家主管部门的重视， 国家保密局2 0 0 0 年1 月1 日起颁布实施的计算机信息系统国际联网保密管理规定 第二章保密制度第六条的规定：“涉及国家秘密的计算机信息系统，不得直接或间接地 与国际互联网或其它公共信息网络相连接，必须实行物理隔离”【2 6 1 。 本学位论文正是在对网络化制造系统对信息安全的需求进行分析的基础上，根据 华中科技大学硕士学位论文 网络化制造企业的特点，在企业内部网已经采用防火墙技术、漏洞扫描技术以及入侵 检测技术等常规安全技术来保证安全的基础上，进一步提出将物理隔离技术应用到网 络化制造信息安全中，从而实现网络化制造企业内部网和外部网的物理隔离，企图基 本杜绝网络化制造企业泄密的可能性，并设计并实现一套解决方案。 1 1 3 课题的目的和意义 本课题研究的目的在于： ( 1 ) 分析网络化制造企业存在的安全隐患，侧重研究保证企业内部网络安全问题， 比较相关安全技术，分析研究各种安全技术的优缺点，在已经采用相关常规安全技术 来保证企业内部网络安全的基础上，提出把物理隔离技术应用到网络化制造信息安全 领域中。 ( 2 ) 对物理隔离技术进行阐述研究，并对其应用到网络化制造信息安全中所带来 的问题进行分析研究，从而提出适合于保证网络化制造企业内部网安全的基于物理隔 离技术的完整的信息安全技术体系，并在此基础上设计并实现一种适用于网络化制造 企业的物理隔离解决方案。 ( 3 ) 对适用于网络化制造企业的物理隔离解决方案实现中的若干关键理论和技术 进行研究，为相关课题研究提供参考。 本课题研究的意义在于： ( 1 ) 通过对物理隔离技术应用到网络化制造信息安全中的相关理论和技术进行研 究r 为实现网络化制造企业内部网络的安全提出了一种全新的解决方案，促进网络化 制造系统信息安全问题的研究。 ( 2 ) 通过对物理隔离技术的相关理论进行阐述和研究，澄清有关概念，促进物理 隔离技术在我国的进一步发展和应用。 ( 3 ) 分析比较现有的物理隔离产品，设计并实现一种成本较低、简单有效、操作 方便的物理隔离解决方案，为物理隔离技术在我国的有效实施提供新的解决方案。 ( 4 ) 通过本课题的研究，可以促进网络化制造信息安全、物理隔离技术等方面的 研究，加快相关技术的应用和相互融合，对促进网络化制造在我国的进一步发展具有 定意义。 1 2 国内外相关研究概况 1 2 1 网络化制造对信息安全的需求 由于i n t e r n e t 网是一个开放的网络，任何个人和任何组织都可以加入，这是i l l t e m e t d 华中科技大学硕士学位论文 网的优点。然而正是这一特点，使得通信双方的信息安全受到严重的威胁。由于通信 双方是在开放网络的两个端点上，它们之间的沟通完全通过开放网络，从而无法保证 信息在传送的途中是否被拦截、偷听或篡改，无法保证信息来源的可靠性。因此，要 想保证网络化制造的安全就必须解决网络化制造系统中如下几个方面的安全问题 2 7 - 3 0 1 ： ( 1 ) 机密性。研究网络化制造安全的机密性就是研究一种方法，通过这种方法使 得发送方的各种信息在传送的途中不易被截获或即使被截获也无法知道信息的真实内 容，它是网络化制造最基本的要求。 ( 2 ) 完整性。完整性，顾名思义就是要保证信息在传送的过程中是完整的，没有 被修改，任何人都不可能用另外一条错误的信息代替这条信息。数据的完整性是网络 化制造成败的关键。 ( 3 ) 认证和授权。企业信息是多种多样的，其安全等级各不相同，因此，必须确 定访问者的权限。 ( 4 ) 抗抵赖性。它是指发送方事后不能虚假地否认他发送的消息。 ( 5 ) 分布式入侵检测。为了保护网络化制造系统的信息安全，需要建立安全检测 机制以发现未授权入侵和破坏，这个研究领域就是入侵检测，为此目的两设计的系统 称为入侵检测系统( i d s ) 。 ( 6 ) 物理隔离。目前，虽然可以利用防火墙、代理服务器、入侵检测等技术手段 来抵御来自互联网的非法入侵，但这些技术手段都还存在许多漏洞，还不能彻底地保 证网络化制造系统中信息的绝对安全。只有使内部网和公共网“物理隔离”，才能真正 保证制造企业内部的绝密信息免受来自互联网的黑客攻击而泄密。 为实现对网络安全性的定性评价，美国国防部所属的国家计算机安全中一t j , ( n c s c ) 1 9 8 5 年出版的网络安全性标准( d o d 5 2 0 0 2 8 ，即可信任计算机标准评估准则_std) ( t r u s t e dc o m p u t e rs t a n d a r d se v a l u a t i o nc r i t e r i a ) ，也叫橘皮书( o r a n g eb o o k ) ；1 9 8 7 年出版的可信任计算机系统评估准则的可信网络注释( t n i ) ，又叫红皮书，是建立、 评估和审计计算机系统和网络系统安全准则的标准。他们认为为使网络系统免受攻击， 对应不同的安全级剐，硬件、软件和存储的信息应实施不同的安全保护。安全级别对 不同类型的物理安全、用户身份验证、操作系统软件可信任性和用户应用程序等进行 了安全描述 3 l j 。 网络安全性标准将网络安全性划分为a 、b 、c 、d 等四个安全等级，其中a 类安 全等级最高，d 类安全等级最低。各层还可以进一步划分，不同的级别是根据对具体 安全特性的需求不同划分的。在网络化制造中，对制造企业内部的计算机网络系统而 言，要求达到c 1 级别。c 1 级称为自选安全保护( d i s c r e t i o n a r ys e c u r i t yp r o t e c t i o n ) 系 5 华中科技大学硕士学位论文 统，描述了一个典型的u n i x 系统上可用的安全级，对硬件存在某种程度的保护，不再 容易受到损害。用户必须使用用户注册名和口令，通过他们的组合可确定每个用户对 程序和信息拥有什么样的访问权限。对外部信息网络而言，要求至少达到b 1 级别。 b 1 级称为标志安全保护( l a b e l e ds e c u d t yp r o t e c t i o n ) ，是支持多级安全( 比如秘密和 绝密) 的一个级别，这一级别说明一个处于强制性访问控制之下的对象，不允许文件 的拥有者改变其许可权限。对于网络化制造中的为军事、航空航天和政府等机密部门 设计和研究设备或产品的制造企业而言，要求十分严格的数据安全，同时又期望接入 互联网，这些制造企业的一些绝密信息比如设计方案和设计参数等，需要达到b 3 或 a 1 级别安全性这时一定要采取物理隔离技术来确保信息安全。 本学位论文要实现的是一种适用于网络化制造行业的具有融合安全性的物理隔离 解决方案，在研究网络化制造中有通用性安全模型的基础上，设计实现一种基于物理 隔离技术的网络化制造系统信息安全交换策略。 1 。2 2 网络化制造信息安全体系结构 在网络化制造中，信息安全体系需要满足如下指标：( 1 ) 信息安全规定。明确划 分信息安全类别与级别，合理规定信息流向和隔离界限；( 2 ) 责任检查能力。赋予信 息处理平台与通信平台以适当权限，以识别不同用户的身份，从而具有对有损安全事 件的责任检查能力；( 3 ) 安全保证实旌。用户端系统与传递系统应具有可独立评价的 密码算法和安全建制，能自动执行信息安全规定与责任检查，对各类各级信息进行适 当保护，以保证信息无缝流通，并防止篡改和破坏；( 4 ) 一定的防护能力。用户端系 图1 2 信息安全防护的过程示意图 6 华中科技大学硕士学位论文 统与传递系统应具有一定的抗入侵、抗病毒、抗毁损、系统完整、安全审计、检测告 警、紧急反应处置和恢复能力等。 网络安全所保护的对象是关键信息的传输和保密。为确保完成基本使命，在信息 安全的防护过程中，必须把识别关键信息的职能、信息保密、信息服务及其依赖的信 息基础设施放在首位，信息安全防护的过程如图1 ，2 所示。 网络化制造系统信息安全技术体系结构如图l _ 3 所示。 闱户接口安全服务、数据管理服务、数据交换安全服务、网络安全服务、操作系统安全安全 l服务、分布式计算安全服务服务 操作系统数据序安全网络安全应用支撵安全中阅件安全 安全服务 防火墙 u n 增安全表安全 强改造 商用d b m s 安 按子层嵌入 + 安全f r p+ 通用安全服务 软件 c o s 全改造 数字隧道 + 安全视频会议 a p l d m 2 安全设计+ 安全e - m a i l安全中问件 安全设计 鉴别服务器 授权服务器 操作系统内核安全( 同件)分离式安全核心硬件模块l c 卡及p c m c i a 安全卡安安全 全a s i c 芯片 硬件 爱全 保密性、完整性、鉴别、抵抗性和可用性 机制 网络安全策略环境 图i 3 阿络化制造系统信息安全技术体系结构 1 2 3 网络化制造中的物理隔离技术 目前，为保障包括网络化制造企业在内的涉密单位安全，世界各国均投入大量人 力和物力开展网络信息安全技术的研究，并已取得了很大的进展。这种研究可以分为 两个层面：第一个层面，网络建设层面。如防火墙技术、路由器技术、网关技术等等： 第二个层面，应用层面。如密码技术，身份认证技术、访问控制技术，等等【3 2 - 3 7 1 。 国外在第一层面的研究，已经形成比较完善的技术，并开发出比较稳定的产品。 目前，c h e c k p o i n t 、d e c 、i b m 、c i s c o 、n s c 、t i s 和b n t 等公司都推出了自己的防 火墙产品。其中，排名第一的c h e c k p o i n t 公司的防火墙产品f i r e w a l l i 因采用了革新体 系结构，具有安全性好、图形化界面易于使用、运用命令化规划来定义全球安全策略 等特点，在最大限度上减少了防火墙对系统资源的负冲击，所以不仅可作为公共防护 系统，而且还可作为专用防护系统，至今仍然是防火墙领域的主流产品。除了f i r e w a l l i 7 华中科技大学硕士学位论文 以外，t i s 公司的应用型网关防火墙g a u n t l e t ，b n t 公司的b o m e rw a l l 也具有极强的竞 争力。 网络信息安全技术第二个层面的研究，现在已经成为世界各国信息安全研究工作 的热点，相关技术正趋于成熬，并针对相关技术的应用开发出了相应的产品一对密码 理论和技术的研究，产生了三种不同的密码体制：对称式密钥密码系统、公开密钥密 码系统和不可逆密钥密码系统，并研究提出了多种不同的密码算法。其中，在对称式 密钥密码系统中，比较完善的、著名的算法有d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 、r c 4 、 r c 5 、i d e a 等等。对称密钥密码算法已经得到了广泛的应用，如采用d e s 的一个著名 的网络安全系统是k e r b e r o s ，它是网络通信中身份认证的事实标准。公开密钥密码系 统的概念于1 9 7 6 年由d i f f i e 及h e l l m a n 在i e e e 期刊中提出，这个概念为密码学的研究开 辟了一个新的方向，经过3 0 多年的研究，目前已经形成了一些稳定的算法，其中比较 著名的有：r s a 、d s a 、d i f ：f i e h e l l m a n 、e l o a m a l 公钥密码算法和椭圆曲线公钥密码 算法等。这些算法在解决网络安全问题方面得到了广泛的应用，使用最广的是1 9 7 8 年 推出的r s a 。另外，在密码技术的实用方面，人们最为关注的是p k i ( p u b l i ck e y i n f r a s t r u c t u r e ，公钥基础设旋) 技术。与此同时，对相应的安全技术标准的研究与制订 也取得了很大发展。目前有i s o t c 9 7 制订的i s 0 7 4 9 8 2 网络安全体系结构确立的五种基 本安全服务和八种安全机制，另外，在网络安全协议方面的研究也取得了很大发展， 研究提出了多种网络安全协议规范，如s n m p 规范、h t r p s ，s s l ( s e c u r e s o c k e t l a y e r ， 即安全套接层协议) 和i p s e c 等。 如上所述的不管是第一个层面的还是第二个层面的信息安全技术都具有一定的复 杂性，且保证安全的能力有限，这些在线分析技术无法满足网络化制造高度数据安全 的要求。而且这些基于软件的保护是一种逻辑机制。这对于逻辑实体而言是极易被操 纵的。此处的逻辑实体指的是黑客、内部用户等。实施物理隔离的目的就是让使用者 在确保安全的前提下，充分享受互联网所带来的一切优点。在物理隔离系统中会包含 对外部网络内容进行采集转播的部分，这样可以使安全的信息迅捷地在内外网之问流 转，完全实现互联网互联互通的宗旨。 因此，在网络化制造中，涉密网不能把机密数据的安全完全寄托在用概率作判断 的逻辑防护上，必须有一道绝对安全的大门来保证涉密网的信息不被泄漏和破坏，这 也正是要在涉密网上实行物理隔离的原因。 1 3 本文的主要研究工作 本学位论文着眼于物理隔离技术应用于网络化制造信息安全领域中的若干理论与 8 华中科技大学硕士学位论文 技术开展研究，并设计和实现了一套适用于网络化制造环境的物理隔离解决方案，主 要工作集中在如下几个方面： ( 1 ) 研究物理隔离技术应用于网络化制造信息安全中的相关理论与技术，分析 网络化制造技术、模式的发展方向，探索物理隔离技术在网络化制造信息安全中的完 全融合性运用。 ( 2 ) 设计并实现一套基于物理隔离技术的网络化制造信息安全解决方案，该解决 方案应具有安全可靠、成本较低和使用方便的特点。 ( 3 ) 针对物理隔离实现方案中的若干关键理论与技术进行研究，重点是系统体系 结构、主要功能模块的实现以及隔离控制卡的设计及相应软件开发等方面。 本学位论文第一章是对课题目的、意义以及相关研究发展概况的综述，提出了本 课题研究的主要内容。第二章重点对物理隔离技术的相关理论进行分析和研究。第三 章详细介绍本课题已开发成功的物理隔离解决方案s e c i n f 0 物理隔离系统的系统 设计与硬件实现原理，包括系统体系结构、重要功能模块的实现原理以及硬件隔离控 制卡的工作与设计原理等。第四章主要分析与阐述s e c l n f o 物理隔离系统软件设计中 的若干关键技术，包括系统用于数据交换的三个功能模块的工作与实现原理和隔离控 制卡的驱动程序设计问题等。第五章主要是s e c l n f o 物理隔离系统的应用实例介绍， 包括系统技术指标和特征、系统典型应用环境和系统已有的一个运行实例介绍等。第 六章是全文的总结和对后续工作的展望。 华中科技大学硕士学位论文 2 1 引言 2 物理隔离技术相关理论 在目前的网络安全技术中，物理隔离技术已引起人们广泛的关注。它满足了许多 高度机密单位对于机密信息的安全需求。物理隔离技术能实现内外网络的物理断开， 以保证内部网络数据的安全，但同时又能与外部网络适度地交换数据。随着物理隔离 技术的目趋完善，它正逐渐成为网络化制造中保证信息安全必不可少的一个环节。在 网络化制造中，涉密网不能把机密数据的安全寄托在基于概率判断的防护上，必须有 一道绝对安全的大门，来保证涉密网的信息不被泄漏和破坏，这就是在涉密网上实现 物理隔离所起到的作用。物理隔离技术的基本思想是：如果不存在与网络的物理连接， 网络安全威胁便可大大降低。 目前，我国有些单位( 包括政府、证券、部队和银行等部门) 为确保网络安全， 或者限制连入i n t e r n e t 网，或者使用两个完全独立的网络，但事实上，政府、证券、 部队和银行不仅要上网作业，而且要充分利用i n t e r n e t 网的资源。安装两个独立网络 不仅价格昂贵，而且不实用。当涉密网络和非涉密网络之间通过软盘或移动磁盘进行 数据传输时也并不安全。因此，针对这些单位而言，也需要研究物理上断开而逻辑上 连接的物理隔离技术1 3 。 本章首先分析了物理隔离技术产生的历史和技术背景，然后给出了物理隔离技术 的定义，以及物理隔离体系应该满足的基本要求，对物理隔离技术的相关理论进行研 究。 2 2 物理隔离技术产生 物理隔离技术是用来解决网络安全问题的。尤其是在那些需要绝对保证安全的保 密网、专网和特种网络与互联网进行连接时，为了防止来自互联网的攻击和保证这些 高安全性网络的保密性、安全性、完整性、防抵赖和高可用性，几乎全部要求采用物 理隔离技术。学术界一般认为，最早提出物理隔离技术的，应该是以色列或美国的军 方。但是到目前为止，并没有完整的关于物理隔离技术的定义和标准。从不同时期的 用词也可以看出，物理隔离技术一直在演变和发展。较早的用词是p h y s i c a l d i s c o n n e c t i o n ，d i s c o n n e c t i o n 有使断开、切断、不连接的意思，直译为物理断开。后 来又有人命名为p h y s i c a ls e p a r a t i o n ，s e p a r a t i o n 有分开、分离、问隔和距离的意思， 直译为物理分开，后来又出现p h y s i c a li s o l a t i o n ，i s o l a t i o n 有孤立、隔离、封闭、绝缘 1 0 华中科技大学硕士学位论文 的意思，直译为物理封闭。再后来多使用p h y s i c a l g a p ，g a p 有豁口、裂口、缺口和差 异的意思，直译为物理隔离，意为通过制造物理的豁口，来达到隔离的目的。最后 e g a p 、n e t g a p 、i - g a p 等都相继出现。现在，一般称为g a pt e c h n o l o g y ，即物理隔离， 已经成为互联网上一个专用名词1 4 2 l 。 在网络安全的发展过程中，如何得到安全与通信性能的最佳结合点一直是人们关 注的基本目标。在各种网络安全技术中，防火墙技术始终占据着主导地位。考察防火 墙技术的进化过程，可以反映出人们追求安全性能与通信性能合理结合的历程，并可 以借此理解物理隔离技术产生的根源。 在长期的研究中，人们基本上已经形成一种共识：防火墙工作层次愈高，其安全 性能就愈高，但对网络通信处理性能的影响也愈大1 4 3 。“”。 防火墙的最初形式为静态分组过滤防火墙。这种防火墙工作在o s i 协议栈的第三 层( 相当于t c p i p 协议的i p 层) 。防火墙通过匹配安全策略规则，依据i p 头、t c p 头信息，对任意进出防火墙的分组进行过滤。这种防火墙因为工作的层次较低，因此 具有很好的响应性能。目前，静态分组过滤防火墙已经成为许多操作系统的基本构成 组件，但静态分组过滤防火墙的不足之处是明显的：( 1 ) 容易受到i p 地址欺骗等攻击； ( 2 ) 容易形成隐通道攻击；( 3 ) 因为没有考虑连接的关联信息，分组过滤性能未达到 最佳。 人们在应用中已经发现静态防火墙具有以上不足，由此对静态防火墙的工作方式 作出了改进。其中一个改进就是使静态防火墙能基于连接的上下文对进出分组进行有 选择的规则匹配，这种改进后的防火墙称为基于状态的防火墙。基于状态的防火墙仍 然工作在o s i 协议栈的第三层，并能区分一个分组是属于一个新建的连接还是一个已 经建立的连接。只有当分组属于一个新建的连接时，防火墙才将这个分组与安全规则 相匹配，并将对分组的处理规则存放到内存中的一个高速访问表当中。当属于同一个 连接的分组到来时，查询这个表就可以知道对分组的处理方式，因此简化了规则匹配， 改善了通信响应性能。 可以说，从静态分组过滤到基于状态的防火墙的改进提高了防火墙对通信处理的 性能，同时没有损失防火墙的安全性能。但是，基于状态的防火墙几乎保留了静态防 火墙的所有不足之处，特别是攻击者仍然能轻易地通过i p 地址欺骗，在不暴露攻击者 身份的同时，成功欺骗防火墙的规则控制。 人们自然想到，能否在不过多损失防火墙通信性能的同时，提高防火墙的安全性 能。这种想法促使了线路级网关的产生。线路级网关工作在o s i 参考模型的第五层， 即会话层。它除了检查分组的i p 源地址、i p 目的地址、传输协议、通信端口而外，还 对t c p 连接建立的过程和逻辑完整性进行检查。这种检测在一定程度上加大了i p 地 华中科技大学硕士学位论文 址欺骗攻击的难度。 应该说，线路级网关对防火墙结构并没有实际意义的改进，仍不能从本质上解决 l p 欺骗等问题。其本质原因在于它的工作层次低，所能检查的信息有限。如果能更进 一步提升防火墙处理分组的协议层次，则安全性能将得到很大的改善。应用网关的出 现正是基于这种想法。 应用网关工作在应用层。他能对某个特定的应用，将拦截到的分组重组形成应用 数据，从而对应用中的命令、数据内容进行细粒度的安全检查。同时，应用网关也能 在o s i 参考模型的网络层、传输层以及会话层对分组、连接的合法性进行检测。因此， 应用网关将防火墙原有的安全强度大大地提升了。 因为应用网关将所有的进出通信提升到应用层，并需要进行繁复的安全检查，因 此，应用网关处理通信的性能一般比静态防火墙、基于状态的防火墙等工作层次较低 的防火墙差。而且，即使将防火墙的工作层次提升到应用层，关于应用级网关的漏洞、 缺陷等的声明仍层出不穷。究其原因在于防火墙始终允许存活的t c p 连接直接穿过防 火墙。绝大多数的攻击都是通过存活的连接达到目的。防火墙原有的工作模式使得攻 击者具有开发利用基于t c p d p 协议漏洞的可能。一种自然的想法是让防火墙断开通过 的所有t c p i p 连接，将a 到b 的连接变为a 到防火墙的连接和b 到防火墙的连接的 组合。这种思想的实现就是后来的应用代理。 应用代理打破了原有的客户，月艮务器模式；就客户端而言，应用代理模拟了特定应 用的服务器端；对于真正的应用服务器端，应用代理模拟了应用豹客户端。应用代理 在断开连接的同时，实现了应用网关的基本功能，即从网络层到应用层实现对通信数 据的安全性检查。因此，应用代理不但能针对具体应用实现应用数据合法性检查、命 令合法性检查，还能断开通过防火墙的连接，不允许任何存活的连接直接通过防火墙， 从而进一步提高了防火墙的安全性能。但应用代理在处理通信的性能上的不足是显而 易见的。应用代理工作在应用层，并且要重构t c p 擅p 连接、重构t c p d p 协议分组， 因此应用代理为了得到更高的安全性能，损失了其对通信的处理性能。 尽管应用代理作为一种防火墙，其安全粒度已经相当细，强度已经相当高，但仍 然有以下的不足：( 1 ) 安全决策模块直接面对不