APP下载

某PC机网络隔离器初步设计

2018-10-21江岚

科技传播 2018年19期
关键词:传输

江岚

摘 要 文章提出了一种具有双通道实时网络安全隔离器的初步设计,在PC主机在需要对网络数据隔离验证环境下,安全传输数据到用户桌面,该设计使得PC主机网络隔离有更好的安全提升。通过该网络隔离器能满足实时数据的传输。同时对PC主机来说,能在硬件防火墙和软件防火墙间起到了第三道防线作用

关键词 网络隔离;ARM;传输

中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2018)220-0078-02

1 PC主机网络隔离技术的应用

现阶段,网络通信安全的问题日益突出,对于安全需求较高的组织和部门,更加需要独立的主机网络隔产品需要主动解决面临网络空间安全问题。目前业界现有网络隔离技术应用较多的网络安全隔离措施是使用防火墙硬件或软件,但是防火墙类软硬件与软件本身存在一定局限:一是防火墙隔离待通过数据包。过滤主要原理还是屏蔽IP原地址或者传输层端口来实现,TCP/IP协议应用时间久,协议结构自诞生至今尚无明显改变,致使协议本身存在诸多的漏洞;二是防火墙是由各类操作系统端控制,OS系统和防火墙硬件、软件在识别和验证方面有一定差异,因此并不能有效主动发现PC机所面对网络信息安全问题。

网络防护隔离是指内部网络接外部网络即互联网,能够在发现异常时候屏蔽主机对话。网络隔离技术通过隔离内部网络与外部网络的通信来保证PC主机安全,在不基于网络层协议运行、不依赖于操作系控制的基础上,能在一定程度上解决PC主机在使用网络过程中出现攻击征兆时,及时主动防御,保护主机。防御由网络漏洞所带来的各种安全问题,如恶意代码、病毒、网络入侵、木马、DDos攻击等威胁。网络安全等级要求较高的主机,在安全性、机密性、完整性、可用性、可控性和可审查性的安全需求,同时又能保证享有高效、稳定、共享的网络资源。

2 PC网络隔离器技术设想

目前,主机网络物理隔离防护的技术有:单机隔离防护技术和双物理防护隔离技术。单机隔离防护技术是采用主机物理防护隔离卡。这项技术主要是将PC主机的内部与外部划分为公共和安全两个区域。在现实使用过程中,PC主机能工作在受保护私有状态和对外公共状态等不同的网络环境下。满足不同安全与互联需求。这种技术缺陷是:一旦隔离,通常靠物理上认为断开路由器或者交换机的端口实现,或者只能基于防火墙的C/S模式进行内部与外网通信。而双物理端口防护隔离技术则是:两块芯片之间通过一个Double通道端口的缓存处理进行数据的传输,Double缓存端口能够将数据通信划分成两个区域,一个区域是PC主机端向外网单向发送数据的端口。另一个区域则是外部网络端口向内部PC主机传输外部数据的端口。一般情况下PC主机与外网是被隔离的,Double端口单元芯片处于待命状态。当有数据要传输请求发生时,PC外部数据才通过Double端口识别受信任数据与PC主机进行传输。

PC网络防护隔离器的实时开关初步实现方式应该主要基于SCSI( Small Computer System Interface)防护隔离技术的隔离器和基于总线防护控制单元的网络隔离器。应用总线实时防护网络隔离器采用Double端口存储单元芯片,结合独立的控制电路ARM的控制芯片,网络Double端口通过各自的防护隔离开关与PC主机连接。使用独立的控制电路ARM芯片能够保证Double端口存储器的两个端口上都存在一个防护隔离控制电路单元,并且两个电路控制单元不允许其同时打开、同时闭合(K1?K2=0)。而基于SCSI接口单元的PC防护网络隔离器,则能把数据通道转换到基于SCSI数据传输单元的端口模式连接。内部的存储单元则使用的是基于SCSI接口的ARM芯片控制器。而用于控制数据传输单元,则使用独立ARM芯片的来实现,不占用PC主机CPU资源。

通过隔离器的数据传输交换过程:以数据由外网到PC主机内的传递顺序为例,其步骤如下:

1)隔离器对外来数据进行低层协议和高层应用协议的筛选和分析,后将其还原为二进制原始数据。

2)对由外部进入内部方向的数据进行完整性、安全性的信息验证。

3)审查通过后,将被信任的数据传递给PC主机内部,然后对内接口的防护隔离器接口收到这一组数据。

4)对它们进行低层协议和高层应用协议的检查和封装。

5)把数据发送到主机数据接口。反之则将PC机内部数据传输至外部网络。如以PC主机接收外部进入数据件为例,当外网有数据需要传入PC主机端时,对外的防护隔离器端口将立刻会对隔离器所认为的受信的数据进行数据连接,防护隔离器端将对来自外部网络的数据包的相关协议包头进行解析,若被信任的数据包将会转入对内PC主机的接口。

根据与不同特征的匹配和分析,如果发现有风险特征出现,将对数据的真实性、完整性、安全性做进一步进行检查,如若发现具有病毒特征或具有恶意代码特征相匹配的数据时,将对此类数据传输进行隔离阻断。

3 PC网络隔离器实现

数据传输的过程是通过对隔离硬件上的存储单元的读写来实施。存储单元芯片作为内部与外部的数据交换,及中间数据的存储区域,其性能优劣决定了PC网络隔离器的数据交换的效率。因PC主机会有较高的数据传输速率要求。在此基础上,考虑采用带缓冲设计的Double端口,并能实时分析的防护隔离技术。

网络防护隔离器的Double端口存储器将数据交换处理区域划分为两个区域K1和K2。外部通过K1通道只能由外网向PC内部发送数据,而内部发至外部数据则通过K2,从内部向外部传输数据,由此结构数据区域将由双向的(全双工)数据通道变为了两个的独立的、单向的数据通道。

此设计使在原有的PC隔离器内外部处理单元对隔离防护器处理单元上进行读和写操作,以此提高数据通道数据传输的处理能力,PC主机和外部网络之间,在数据传输速率上和传输的稳定性上会有明显提升;PC主机在开启防护隔离模式后,实现了在PC防护隔离器内部特征存储单元和外网防护隔离处理单元之间,能同时实现稳定、安全、可靠、高效、动态实时监控并可操控的数据传输。物理上由运算单元、主机防护处理单元、数据转发单元、PC外部处理单元、PC外部隔离单元、控制电路单元等部分组成的隔离防护器因为独立于PC主机之外,不会占用主机运算和内存资源。

PC网络隔离防护器实现了在物理上的网络防护隔断,能在物理上隔断了PC主机与外部网络,建立了有防护隔离的安全边界。网络防护隔离器被初步设计为基于物理层面上,内部与外部的数据转发由网络隔离器则有控制电路来执行,在某一特定时间节点,网络防护隔离器只接受来自内部处理数据请求,另一时段则会外部数据处理检测转发的请求,防护隔离控制单元主要负责控制PC主机数据区与外部网络防护隔离区的通信请求,同时控制单元对PC主机区中的已检验过的外部数据进行权限开放,准其进入内部。

一般情况下在通过PC网络防护隔离器审核之后,在隔离器在检查数据通行权限并与隔离器处理单元中的特征列表中的特征行为进行进项匹配分析后,通断控制電路单元此时才会开放由外对内的通信权限,打开数据通道,并按其数据由外向内的方向进行数据的传输。

4 结论

在此对PC主机的双接口双通道的网络防护隔离器进行了最初步设想,保留缓冲区的双通道接口实时防护隔离功能,该设计能根据实际需求连接或隔离PC主机和外部网络,将PC主机的双向数据传输设置为两个独立的单元(双半双工)的数据传输,能够明显的提升由外到内、由内到外的数据传输效率;同时隔离单元模式下数据传输的安全能够得到最大限度的保证。因而在外部数据到桌面环节上保证了真正的安全隔离,一定程度提高了信息安全级别。防御了一部分网络安全威胁,对维护公用PC机控制系统信息安全与系统运行安全起到了重要作用。

网络隔离器的设计在考虑安全性同时也考虑到传输速度上的需求,PC网络防护隔离器的隔离单元采用带缓冲单元的Double通道实时关闭-合启与技术,有效的提高了PC主机与外部数据传输效率,在保证PC主机与外部的安全防护隔离的前提下,对公共及企业用途PC机的信息系统安全维护及系统安全运行提供了较为良好的安全保障。

参考资料

[1]胡林峰,须文波.基于ARM的网络隔离器的设计[J].微计算机信息,2006,22(2):132-133.

[2]俞建新,王健,宋健建,等.嵌入式系统基础教程[M].北京:机械工业出版社,2015.

猜你喜欢

传输
混合型随机微分方程的传输不等式
牵引8K超高清传输时代 FIBBR Pure38K
全自动运行车-地传输承载方案讨论
基于同轴传输的网络传输设备及应用
关于无线电力传输的探究
支持长距离4K HDR传输 AudioQuest Pearl、 Forest、 Cinnamon HDMI线