单向传输光闸设计与工作原理.doc

此文档收集于网络，如有侵权，请联系网站删除单向传输光闸设计与工作原理 目 录1产品研制背景32产品介绍42.1概述42.2体系结构4文件管理62.3目录管理62.4用户管理62.5WEB页面文件单向传输功能62.6端系统文件同步功能72.7数据库同步功能72.8安全控制功能72.8.1身份认证72.8.2病毒检测（YH-FTMS TR系列支持）72.8.3内容检查（YH-FTMS TR系列支持）82.8.4文件类型检查（YH-FTMS TR系列支持）82.9系统监控与审计功能92.9.1系统监控92.9.2日志审计93技术特点93.1纯单向数据通道93.2数据封装及传输103.3数据容错处理114产品使用方式124.1部署方式124.2管理方式121 产品研制背景目前，很多政府机构、军队单位、公司都将重要业务系统和办公环境构建在涉密网络中，有的单位还具有多个密级不同的涉密网络。对于涉密网络的保护，一般采用将不同密级的网络物理完全断开的方法。虽然物理断开在较大程度上保障了涉密网络的安全保密性（事实上也未能保证物理断开网络的绝对安全），但却严重影响了业务信息系统的运行和用户的使用：首先，由于涉密网络（高密级网络）的业务系统需要的支撑数据常常来自外部业务网络（低密级网络），物理断开造成了应用与数据的脱节，数据同步与维护的开销很大，极大地影响了相应部门的执行能力和工作效率；其次，由于低密级网络通常拥有更加丰富的资源，例如，互联网上的资源极其丰富，连接在高密级网络中的用户经常需要从低密级网络中获得各种数据和信息，人为地将网络断开使得用户的工作效率大大降低；最后，当前从低密级网络向高密级网络传输数据一般通过刻录光盘的方式，除使用上的不便外，还造成了刻录光盘的大量浪费，并且本身存在安全隐患（光盘本身并不能保证数据只能从低密级系统往高密级系统单向流动，有可能成为泄密的载体）。因此，越来越多的信息化建设主管部门都充分地认识到，完全断开网络不是目的，保护涉密网络的安全才是目的。现在之所以要断开，是因为还没有一种值得信赖的技术可以实现安全的互联。如何实现涉密网络与非涉密网络之间的连接和数据交换问题，成为我国信息化建设中一个亟需解决的重要问题。事实上，保障不同密级网络的安全性已经有一套完整的、可操作的理论模型。根据保密要求的信息流与偏序理论，若信息流仅从低级流向高级，则可以保证无合法权限的用户无法查阅敏感信息。1976年，Bell和Lapadula提出了“Bell-LaPadula模型”，证明了满足“不可向上读”、“不可向下写”这两条原则的系统可以保证无泄密行为。此原则目前成为了美国军方和政府机构广泛采用的原则。也就是说，只要能够保证数据只从低密级网络向高密级网络单向传输，就能够保证信息系统不会因此发生泄密。因此，能够保证数据传输的各种“单向”系统逐渐浮出水面，用以解决非涉密网络之间的数据交换问题。例如，美国的Owl公司一直在从事一种称为“数据二极管”（Data Diode）的技术研究，2006年初澳大利亚特尼克斯数据公司研制的“数据二极管”设备已经通过美国国家信息安全保障合作组织(NIAP)的最高安全认证，并首次通过EAL 7(评估担保等级)的认证。文件是信息的最主要载体，很多应用都构建于文件的基础之上，只要实现了文件从低密级网络向高密级网络纯单向传输，就可以实现大多数应用软件的信息单向导入问题，例如低密级网络向高密级网络的数据库同步、邮件转发、软件更新、病毒库升级、系统补丁下载等。因此，实现文件安全、可靠、快速地从低密级网络向高密级网络单向传输，是解决不同密级网络连接和数据传输的关键。文件单向传输管理系统研制的主要目的是为解决不同密级网络间文件的单向传输问题，并为用户提供界面友好、简单好用、安全可靠的文件网络化存储和管理功能。2 产品介绍2.1 概述文件单向传输管理系统YH-FTMS(YinHe YuHen File Transmission Manage System）是由国防科技大学计算机学院自主研发的数据单向传输安全产品。该产品在物理上保证信号绝对单向的情况下实现可靠的文件单向传输。该产品的主要功能包括：1）可为低密级网络（外网）和高密级网络（内网）分别提供一套基于文件的网络化存储和管理系统；2）合法用户可通过该系统将文件从低密级网络导入到高密级网络。2.2 体系结构文件单向传输管理系统是一套软件与硬件结合的系统，主要由文件管理Web服务软件、单向传输软件和硬件系统组成，总体结构如下：图21YH-FTMS系统体系结构如图所示，文件单向传输管理系统在物理划分上主要由外端机、内端机、单向传输通道构成。其中外端机与内端机分别是一台独立的主机，外端机与内端机中同样由CPU、内存、主板、光通信模块等硬件模块构成。外端机与内端机之间存在唯一的连接接口和通道，即单向光纤。外端机的光通信模块只有数据发送功能，内端机的光通信模块只有数据接收功能，因此可确保数据只能从外端机流向内端机。外端机和内端机从下至上分别由硬件层、单向传输层和Web服务层组成。硬件层包括组成系统的各类硬件模块以及光纤通信模块。单向传输层包括数据传输控制模块和文件单向传输模块。数据传输控制模块的作用是保证信息在无反馈的情况下被完整高效地传输，具有数据分片与封装、实现自定义文件单向传输协议、数据校验与纠错等功能。WEB服务层以WEB页面的形式为用户提供文件管理、单向传输控制等功能，方便用户将外网中的文件在外端机中保存和管理，并方便地单向传输到内端机中。文件管理文件单向传输管理系统以界面良好的WEB页面的方式为注册用户分别在外网和内网中提供文件的上传、下载、重命名、文件在用户所属目录中移动等功能。1.注册用户可以将在外网中下载的各类文件保存在YH-FTMS文件单向传输管理系统中，2.需要时可将这些文件传输到内网中的内端机，3.最后可登陆内端机的文件管理系统将这些文件下载到位于内网的本地主机。单向传输管理系统中每个注册用户具有一定大小的私有磁盘空间，用户上传总文件大小不能超过该空间大小。系统可以实时显示用户当前已使用的磁盘空间。2.3 目录管理为方便文件的存储和管理，银河玉衡文件单向传输管理系统为注册用户提供多层次的目录结构。并提供了新建目录、删除目录等功能。2.4 用户管理YH-FTMS系统提供完善的用户管理功能，包括：（1） 用户注册：要使用本系统，用户需要在系统的外端机和内端机上使用相同的用户名注册账号。注册方式包括管理员手工添加用户账号和（默认）口令；或者用户通过WEB页面提交注册申请，管理员审核后注册成功；（2） 用户删除：由管理员手工删除某个注册用户，以及该用户的私有磁盘空间；（3） 用户的密码保护：用户的密码以加密的方式存储。为保护用户的隐私，管理员也不能查看用户的密码；（4） 用户个人信息修改：包含用户密码修改和其它个人注册信息的修改。2.5 WEB页面文件单向传输功能文件单向传输功能是银河玉衡文件单向传输管理系统的核心功能，可以将外网注册用户上传的文件单向传输到用户内网中所对应的私有磁盘空间。用户使用银河玉衡文件单向传输管理系统从外网导入文件至内网的详细步骤如下：（1）用户在系统的外端机和内端机上使用相同的用户名注册账号，注册方式包括管理员手工添加账号，或者用户通过WEB页面提交注册申请，管理员审核后注册成功；（2）用户在外网上的本地主机登录YH-FTMS系统外端机，上传文件；（3）用户在系统外端机WEB页面上选中相应文件，点击“单向传输至内网”，文件将被单向传输至YH-FTMS系统内端机中该用户的相同目录中；（4）用户在内网上的本地主机登陆YH-FTMS系统内端机，下载从外网单向传输而来的文件。2.6 端系统文件同步功能用户需要在终端安装文件同步发送客户端软件和接收客户端软件。通过操作相应的软件界面，用户可实现文件的手动发送、接收、单向传输以及文件夹的自动同步功能。2.7 数据库同步功能用户需要在终端安装数据库同步发送客户端软件和接收客户端软件。通过操作相应的软件界面，用户可实现内网数据库与外网数据库数据的手动和自动同步功能。在单向数据库同步应用中，系统通过实时监控系统，监测用户源表的增、删、改等操作，主动抓取用户变化的数据，通过银河玉衡文件单向传输系统将变化同步至位于内网的目的数据库。此应用适合非信任网络向信任网络、非涉密网络向涉密网络数据库信息的单向传输。2.8 安全控制功能2.8.1 身份认证用户在使用银河玉衡文件单向传输管理系统首先需进行身份认证。目前YH-FTMS系统使用基于用户名/口令的方式实现身份认证。为保护身份认证过程中密码不被窃取，身份认证过程中采用SSL方式加密。2.8.2 病毒检测（YH-FTMS TR系列支持）为防范病毒、木马等恶意代码隐藏于传输文件中夹带传播，在银河玉衡文件单向传输管理系统中配置了一个病毒检测模块，实时对传输数据进行扫描，对可疑文件进行报警并隔离或查杀。病毒检测模块支持在线更新，功能强大，体积小巧。截止至2013年10月24日，系统所携带病毒库一共可查杀1282072种不同的病毒。扫描杀毒模块的主要功能如下：（1）支持快速扫描、文件访问扫描。（2）支持UPX，FSG，和Petite压缩的PE可执行文件；（3）支持数字签名的先进数据库更新器和基于数据库版本查询的DNS；（4）可以扫描多种格式的压缩文件；（5）可以检测多种病毒，包括蠕虫、特洛伊木马、Microsoft Office和MacOffice宏病毒等；（6）可以扫描间谍软件和其他形式的恶意软件；（7）具有强大的邮件扫描器，对于电子邮件的部份可以直接扫描Mbox、Maildir 和信件附件。病毒检测的基本过程如下：首先识别经过的数据是否为经过打包压缩，如rar、zip类型的文件，将对其进行解包再作检测。接着模块对文件类型进行分类处理，对于MSEXE类型的可执行文件，模块将特别首先进行多态变形病毒检测，然后进行程序是否被加壳的判断，如果被加壳，将首先进行脱壳处理再重新进行文件类型的识别。对于其他类型的文件，如SIS、SRCE、ELF等，模块将直接进行BM和AC算法匹配特征码来进行检测，对检测到的病毒文件进行删除或隔离的处理。2.8.3 内容检查（YH-FTMS TR系列支持）银河玉衡文件单向传输管理系统在传输文件时，实现了三方面的数据内容审查：（1）关键词过滤：对含有黑名单中出现的关键词的应用数据进行基于策略的安全处理，包括拒绝发送、日志审计等处理方式。（2）模糊查询：对于应用数据中包含经过处理、伪装的敏感词语进行控制和处理，比如识别类似“法*轮*功”这样的敏感词汇。控制处理的方式包括：拒绝发送和日志审计。YH-FTMS的数据内容审查功能在外端机基于计算机CPU实现。2.8.4 文件类型检查（YH-FTMS TR系列支持）管理员可能需要对通过YH-FTMS系统传输的文件类型进行控制，比如，不允许外部的EXE可执行文件传输到内网。但是，攻击者可以将文件的后缀修改为txt等被允许的后缀并传输，以逃避安全规则的检查。为此YH-FTMS实现了文件的一致性检查，即一个声称的EXE文件是否是真正的EXE文件。这种功能即为YH-FTMS系统的深度检查功能。目前YH-FTMS系统支持近10种常见文件类型的一致性检查功能。2.9 系统监控与审计功能2.9.1 系统监控YH-FTMS系统提供对系统运行状态的实时监控功能，包括CPU利用率监视、内存使用率监视、磁盘空间监视等功能。2.9.2 日志审计YH-FTMS系统提供了强大的日志查询、日志存储和日志审计功能。系统重要的行为均有日志记录，包括用户注册和注销、用户上传下载文件、用户单向传输文件等。通常状况下日志记录保存时间在30天以上。3 技术特点YH-FTMS拥有许多独有的关键技术，这些关键技术保证了YH-FTMS产品在功能、性能和安全性上是业界领先的。3.1 纯单向数据通道银河玉衡文件单向传输管理系统使用两块高效的安全数据传输卡实现应用数据的单向传输，两块安全数据传输卡通过单根单向光纤连接，中间传输的是转换后的光信号，通过芯片的独特设计及光传输的特点，即达到了单向要求，又满足数据的高性能传输要求。单向传输系统的单向数据通道技术结构如下图所示：图 31单向传输通道结构从图 31中可以看出，单向传输系统采用两块安全数据传输卡，两块卡之间通过一根单向光纤信道传送信息。在外端机上的安全数据传输卡也称为光发送适配器，能在物理上保证只能发送信息而不能接收信号。光发送适配器只有发送信号的光纤接口能够工作，接收信号的光纤接口在物理上已经被屏蔽。此外，光发送适配器的驱动可以进一步保障安全性：首先，该驱动只为光发送适配器向上提供报文发送功能，不具有报文接收功能；其次，该驱动只接收来自数据传输控制软件发送端的文件传输专有网络协议报文。因此，可保证光发送适配器只能用于文件单向传输应用，任何基于其它协议的攻击要穿过单向传输系统都不可能。在内端机上的安全数据传输卡也称为光接收终结器，它能在物理上保证只能接收信息而不能发送信息。光接收终结器只有接收信号的光纤接口能够工作，发送信号的光纤接口在物理上已经被屏蔽。光接收终结器驱动通过下列措施进一步保障安全性：首先，驱动只为光接收终结器向上提供报文接收功能，不提供报文发送功能；其次，驱动只处理来文件传输专有网络协议报文并交给数据传输控制软件接收端。因此，可以保证光接收终结器只能用于文件单向传输应用，有效抵御基于常见协议的网络攻击。3.2 数据封装及传输单向传输系统为了保证数据完整、有序、高效的从外端传输到内端，开发了专业的数据封装及传输模块。数据封装及传输模块分为两部分，一是应用层数据封装及传输；二是芯片级的数据封装及传输。应用层数据封装及传输模块将需要传送的数据进行分片处理，每次仅传输安全板可接受的数据大小（并通过流量监视自动调整分片大小）。分片数据再使用高效压缩算法进行压缩，提高传输吞吐量。压缩数据再进行签名，保证传输数据完整性。签名数据最后加上传头信息，保证内端机接收到到数据后能成功的将分片信息重组为应用数据。整个协议可以用下图表示：图 32 应用层数据传输结构YH-FTMS系统包含自主研发的面向文件高速传送的专用数据传输协议，该协议协议基于IP协议。外端机的光发送适配器驱动可以保证除此协议外的任何协议报文，包括任何TCP或UDP协议报文都不能发出，内端机的光接收终结器的驱动可以保证除此协议外的任何协议报文都不能接收。因此，可以杜绝通过单向传输设备从外网向内网发动各种网络攻击的可能。YH-FTMS系统的接收端处理过程为发送端处理过程的逆过程，主要过程为：1、分片接收；2、分片校验；3、分片解压缩；4、分片重组，还原文件；5、文件完整性校验。3.3 数据容错处理由于单向传输系统从硬件上屏蔽了任何信号的反馈，这样就没有握手机制来保证传输数据是否完整、可靠。为了减少在数据单向传输中的出错的概率，单向传输系统采用了多种技术进行纠正及检测，这主要包含以下方面：（1）基于RS算法的前向纠错机制。安全板通过将数据进行RS编