基于双端口SRAM的网闸设计

1、Computer Knowledge and Technology 电脑知识 与技术 第 6卷第 12期 (2010年 4月 基于双端口 SRAM 的网闸设计李洪波 , 应一凡 , 朱献(温州医学院 网络与信息中心 , 浙江 温州 325000摘要 :物理隔离网闸是一种应用级的安全隔离系统 , 主要用来解决网络安全所带来的问题 。 基于双端口 SRAM 的物理网闸隔离系统 采用双端口 SRAM 作为数据交换区 , 内外网处理单元通过设备驱动接口实现交换区数据的同步访问 。 该系统具备数据交换快 , 安全 性能高等特点 。关键词 :物理网闸 ; 双端口 SRAM ; linux ; 设备驱动中图

2、分类号 :TP393文献标识码 :A 文章编号 :1009-3044(201012-2835-02Design of Dual-Port SRAM-based GAPLI Hong-bo, YING Yi-fan, ZHU Xian(WenzhouMedical College Network and Information Center, Wenzhou 325000, ChinaAbstract:As an application-level security isolation system, GAP is mainly used to solve the problems arisin

3、g from network security. Using Dual-Port SRAM as its data exchange area, the system provides device driver interface for outside and inside network processing units to read and write data synchronously in the data exchange area. The system will be of faster data exchange and higher security.Key word

4、s:GAP; Dual-Port SRAM; Linux; device driver近年来 , 随着我国信息化建设步伐的加快 , 特别是在我国电子政务系统建设中 , 外部网络连接着广大民众 , 内部网络连接着政 府公务员桌面办公系统 , 专网连接着各级政府的信息系统 , 在外网 、 内网 、 专网之间交换信息是基本要求 。 如何在保证内网和专网资 源安全的前提下 , 实现从民众到政府的网络畅通 、 资源共享 、 方便快捷是电子政务系统建设中必须解决的技术问题 。 一般采取的方 法是在内网与外网之间实行防火墙的逻辑隔离 , 在内网与专网之间实行物理隔离 。 物理隔离网闸成为电子政务信息系统必须

5、配置 的设备 , 由此开始 , 物理隔离网闸产品与技术在我国快速兴起 , 成为我国信息安全产业发展的一个新的增长点 。1物理网闸物理隔离网闸最早出现在某些西方发达国家的军方 , 用以解决涉密网络与公共网络连接时的安全 。 物理隔离网闸是使用带有 多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备 。 由于物理隔离网闸所连接的两个独立主机系统之间 , 不存在通信的物理连接 、 逻辑连接 、 信息传输命令 、 信息传输协议 , 不存在依据协议的信息包转发 , 只有数据文件的无协议 “ 摆渡 ”, 且对固态存储介质只有 “ 读 ” 和 “ 写 ” 两个命令 。 所以 , 物理隔离网闸从

6、物理上隔离 、 阻断了具有潜在攻击可能的一切连接 , 使 “ 黑客 ” 无法入侵 、 无法攻击 、 无法破坏 , 实现了真正的安全 。 物理隔离网闸中断了两个网络之间的直接连接 , 所有的数据交换必须通过物理 隔离网闸 , 网闸从网络层的第七层将数据还原为原始数据 (文件 , 然后以 “ 摆渡文件 ” 的形式来传递数据 。 没有包 , 命令和 TCP/IP协 议可以穿透物理隔离网闸 。 这同透明桥 , 混杂模式 , IP over USB , 以及通过开关方式来转发包 , 有本质的区别 , 真正实现了物理隔离 。 2数据交换原理及驱动网闸是实现两个相互业务隔离的网络之间的数据交换 , 网闸模型

7、设计一般分三个基本部分 :内网处理单元 、 外网处理单元 、 隔 离与交换控制控制单元 。 内网处理单元 :包括内网接口单元与内网数据缓冲区 。 接口部分负责与内网的连接 , 并终止内网用户的网 络连 接 , 对数据进行病毒检测 、 防火墙 、 入侵防护等安全检测后剥离出 “ 纯数据 ”, 作好交换的准备 , 也完成来自内网对用户身份的确 认 , 确保数据的安全通道 ; 数据缓冲区是存放并调度剥离后的数据 , 负责与隔离交换单元的数据交换 。外网处理单元 :与内网处理单元功能相同 , 但处理的是外网连接 。隔离与交换控制单元 :是网闸隔离控制的摆渡控制 , 控制交换通道的开启与关闭 。 控制单

8、元中包含一个数据交换区 , 就是数据 交换中的摆渡船 。 对交换通道的控制 的方式目前有两种技术 , 摆渡开关与通道控制 。 摆渡开关是电子倒换开关 , 让数据交换区与内 外网在任意时刻的不同时连接 , 形成空间间隔 GAP , 实现物理隔离 。 通道方式是在内外网之间改变通讯模式 , 中断了内外网的直 接连接 , 采用私密的通讯手段形成内外网的物理隔离 。 该单元中有一个数据交换区 , 作为交换数据的中转 。在内外网处理单元中 , 接口处理与数据缓冲之间的通道 , 称内部通道 1, 缓冲区与交换区之间的通道 , 称内部通道 2。 对内部通 道的开关控 制 , 就可以形成内外网的隔离 。 模型

9、中的用中间的数据交换区摆渡数据 , 称为三区模型 ; 摆渡时 , 交换区的总线分别与 内 、 外网缓冲区连接 , 也就是内部通道 2的控 制 , 完成数据交换 。收稿日期 :2010-02-21作者简介 :李洪波 (1974-, 男 , 山东曹县人 , 助工 , 硕士 , 研究方向为计算机网络应用技术 。1009-3044Knowledge and Technology电脑知识 与技术 April 2010, pp.2835-2836Tel:+86-551-569096356909642835:闻翔军 Computer Knowledge and Technology 电脑知识 与技术 第 6

10、卷第 12期 (2010年 4月 网闸硬件采用两块装有独立 CPU 的工业级控制板 , 装有开源操作系统 linux , 在两块控制板之间的数据交换区选择双端口的静态存储器 (Dual Port SRAM , 这样两块 CPU 可以同时访问数据交换区并且只要在存储器的两个端口上控制就可以了 , 但两个开关不能同时闭合 。 如图 1所示 。采用 linux 作为网闸的操作系统可以更加方便的安装和管理 , 需要更加低的硬件配置降低设备硬件成本 , 更加快速的支持新的 IP 协议和其他协议 , 核心 Linux 操作系统本身的微内核体系结构相当简单 。 驱动程序和其它部件可在运行时作为可加载模块编译

11、到或者是添加到内核 。 这为构造定制的可嵌入系统提供了高度模块化的构件方法 。 而在典型情况下该系统需结合定制的驱动程序和应用程序以提供附加功能 。 双端口 SRAM 的设备驱动程序提供读 、 写接口方便应用程序快速的访问 信息交换区 。 随着操作系统的启动 SRAM 驱动程序根据端口属于内网处理单元还是外网处理单元完成基地址 、 数据读写头地址偏 移量 、 数据读写尾地址偏移 、 读写控制标志位等的初始化 。 例如 :dpramDev.rxHeadOffset =dpramDev.pDataBase;dpramDev.rxTailOffset =dpramDev.pDataBase +1;d

12、pramDev.rxEmptyWait =dpramDev.pDataBase +2;dpramDev.rxFullWait =dpramDev.pDataBase +3;dpramDev.rxBase =(char*(dpramDev.pDataBase+4;dpramDev.txHeadOffset =dpramDev.pDataBase +DPRAM_SIZE/8;dpramDev.txTailOffset =dpramDev.pDataBase +DPRAM_SIZE/8+1;dpramDev.txEmptyWait =dpramDev.pDataBase +DPRAM_SIZE/8+

13、2;dpramDev.txFullWait =dpramDev.pDataBase +DPRAM_SIZE/8+3;dpramDev.txBase =(char*(dpramDev.pDataBase+DPRAM_SIZE/8+4;*dpramDev.rxHeadOffset=0;*dpramDev.rxTailOffset=0;*dpramDev.rxEmptyWait=0;*dpramDev.rxFullWait=0;*dpramDev.txHeadOffset=0;*dpramDev.txTailOffset=0;*dpramDev.txEmptyWait=0;*dpramDev.txF

14、ullWait=0;dpramDev.txMaxLength =DPRAM_SIZE/2-0x20;dpramDev.rxMaxLength =DPRAM_SIZE/2-0x10;dpramDev.txMailBox =dpramDev.pDataBase +DPRAM_SIZE/4-1;dpramDev.rxMailBox =dpramDev.pDataBase +DPRAM_SIZE/4-2;在内外网处理单元中应用程序通过调用驱动程序的读写接口完成数据在数据交换区的 “ 摆渡 ”。3小结采用双端口 SRAM 作为数据交换区的物理隔离技术在提供很高安全强度的同时 , 又能快速的实现内外网的数据交换 。 该系统 提供的安全强度很高 , 但是如果与现有的防火墙 、 IDS 、 VPN 等主流安全技术相互结合 , 才能构建出安全强度更高 、 安全隐患和漏洞 更少 、 安全风险更低的安全网络 , 才有可能使用户将关键数据业务安全地拓展到不信任网络上 , 或在互不信任的网络之间安全地进 行数据交换 。参考文献 :1邹思轶 . 嵌入式 Linux 设计与应用 M.北京 :清华大学出版社 ,2002.2William Stallings.Cryptograph