一种基于单向通道的网络安全隔离与信息交换方法及系统的制作方法
【专利摘要】本发明提供了一种基于单向通道的网络安全隔离与信息交换方法及系统,属于计算机网络安全领域。网络安全隔离与信息交换系统包括数据采集模块、协议还原模块、数据审计模块、信息卸载和封装模块以及数据发送模块。各模块的实现可以采用硬件或/与软件实现。网络安全隔离与信息交换方法包括数据采集、协议还原、数据审计、信息卸载和封装以及数据发送等步骤。本发明采用单向通道传输数据,通过专用的数据包处理方法,对传输的数据进行审计和卸载,当出现故障时,会形成物理隔离。本发明的网络安全隔离与信息交换方法及系统可以显著提高数据吞吐率,有效保护不同网络间的数据安全,防止非法用户的入侵和控制,并降低了系统的成本。
【专利说明】
一种基于单向通道的网络安全隔离与信息交换方法及系统
【技术领域】
[0001]本发明涉及计算机网络安全领域,更确切的讲,本发明涉及一种网络安全隔离与信息交换方法及其系统。
【背景技术】
[0002]信息化是世界科学技术和社会发展的主流趋势,国民经济和社会对于信息和信息系统的依赖性越来越大,信息通信技术的应用已经渗透到人们生产、生活的方方面面,网络间通信设备已经成为不同机构之间、个人之间交流的基本工具。我们在享受网络带来便利的同时也遭受到恶意代码攻击、黑客入侵、信息泄漏等问题的困扰。不同网络之间的信息交互一方面要满足不同的网络之间进行信息共享的要求,解决信息孤岛的问题。另一方面,也要在信息系统开放的同时防止核心涉密网络遭受外部攻击,防止信息外泄。从网络安全的角度来看,网络安全隔离与信息交换技术是一种能在保证重要网络与其他网络安全隔离的同时,实现高效、受控的安全数据交互的技术。在这样的背景下,网络安全隔离与信息交换具有重大的应用价值。传统的实现方式如下:
[0003](I) “2+1”的系统架构。包括“内端机”+ “交换隔离矩阵”+ “外端机”,隔离部件采用双工双通道物理隔离安全板设计,安全板采用ASIC芯片为核心。整个架构完全模拟实现了人工拷盘(Sneaker-net安全架构)的安全数据传输过程。内端机和外端机具有独立的存储和运算单元,并具有独立总线。内端机和外端机分别是内网和外网网络协议的终点。所有过往的应用层数据都从内网和外网的TCP/IP协议中剥离,被剥离的数据再通过数据迁移控制单元在内外端机之间进行传输。由于安全性由物理隔离安全板来保证,不仅减缓了数据访问的效率,而且对大多数的网络应用协议支持较差。
[0004](2)三机三系统架构。包括“内端机”+ “仲裁机”+ “外端机”,内端机和外端机分别是内网和外网网络协议的终点。所有过往的应用层信息都从内网和外网的网络协议中剥离,被还原为应用层信息。这些信息再通过专用硬件和专用通信协议发送给仲裁系统。仲裁机对收到的应用层信息进行过滤检查,控制网络间传播的信息内容,同时能查杀恶意代码,如病毒等。仲裁系统对信息内容进行审查处理之后,再将确认为安全的数据发给内/外端机的另一方,最终还原为通用的网络协议包格式。在某种意义上来说,对于合法用户的合理信息交换请求,三机三系统是“透明的”,在提供安全保障的同时,为用户提供流畅的服务。但是三机三系统的架构整体成本较高,吞吐量也由于架构的复杂性而受影响。
【发明内容】
[0005]本发明针对传统网络安全隔离与信息交换技术存在的数据访问效率低、架构成本高等问题,提出了一种基于单向通道的网络安全隔离与信息交换方法及系统。
[0006]本发明公开了一种基于单向通道的网络安全隔离与信息交换方法,数据由A网发送到B网,具体步骤包括:
[0007]步骤1:数据采集:从指定的网络接口采集A网数据报文,并对数据报文进行如下处理,具体包括:
[0008]步骤1.1:如果数据报文是ARP广播帧,且询问的是本网卡的MAC地址,则将该ARP广播帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP广播帧;
[0009]步骤1.2:如果数据报文是ARP应答帧,且回答本网卡MAC地址的询问,则将该ARP应答帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP应答帧;
[0010]步骤1.3:如果数据报文是IP协议的以太网帧,则通过单向通道发送到步骤2。
[0011]步骤2:协议还原:将以太网帧中的IP数据包进行上层协议的还原,解析出TCP或UDP的上层应用协议。具体包括:
[0012]步骤2.1:如果IP数据包的协议为TCP时,将TCP数据包进行协议还原,当识别出上层应用协议时,将还原的TCP数据包单向转发到步骤3 ;
[0013]步骤2.2:如果IP数据包的协议为UDP时,将UDP数据包进行协议还原,当识别出上层应用协议时,将还原的UDP数据包单向转发到步骤3 ;
[0014]步骤2.3:如果IP数据包为其它协议字段时,协议不是TCP或UDP时,丢弃该数据包。
[0015]步骤3:数据审计:对进入该步骤中的数据包根据审计配置规则进行过滤和审查,将符合审计配置规则的数据包转发到步骤4 ;对不符合审计配置规则的数据包丢弃。
[0016]步骤4:信息卸载和封装:在该步骤中将数据包中的载荷部分提取出来,根据封装配置规则,重新组装成新的数据包,具体包括:
[0017]步骤4.1:如果数据包中存在载荷信息,则截断数据包的单向传送,提取载荷信息,根据封装配置规则中的映射地址和端口,重新在载荷信息上封装形成新的数据包,将新的数据包单向转发给步骤5;
[0018]步骤4.2:如果数据包中不存在载荷信息,则根据封装配置规则中的映射地址和端口,直接将数据包单向转发给步骤5或者修改数据包中的特定字段后转发给步骤5。所述的特定字段包括但不限于源IP和源端口。
[0019]步骤5:数据发送:对于从A网到B网的单向数据传送,单向发送到B网的数据流向为正向,单向发送到A网的数据流向为反向;设X为A或B ;数据发送模块对接收到的ARP广播帧、ARP应答帧以及IP数据包分别进行如下处理:
[0020]步骤5.1:如果是ARP广播帧,则根据地址配置规则表中的IP和MAC地址构造ARP应答帧发送到X网;
[0021 ] 步骤5.2:如果是ARP应答巾贞,则将ARP应答帧中的〈IP, MAO地址对添加到ARP映射表中;
[0022]步骤5.3:如果是步骤4发送来的IP数据包,则查看地址转发表(AddressForwarding Table, AFT)是否有目的IP的MAC地址,如果有则构造数据帧直接发送到X网,否则转到步骤5.4 ;
[0023]步骤5.4:在路由表中查找相应的路由表项,如果未找到相应的路由表项,则配置路由后再进行查找;如果找到相应的路由表项,获取下一跳路由器的IP地址,根据路由器的IP地址在ARP映射表中查找对应的MAC地址,如果未找到则构造ARP广播帧询问路由器的MAC地址,并暂时缓存该IP数据包,等待反向的数据采集转发回来的ARP应答帧以获取路由器的MAC地址;当获得路由器的MAC地址后,构造数据帧发送到X网,同时更新地址转发表。
[0024]步骤6:重复上述步骤I?5直到数据发送完成。
[0025]本发明相应地也公开了一种基于单向通道的网络安全隔离与信息交换系统,包括数据采集模块、协议还原模块、数据审计模块、信息卸载和封装模块、以及数据发送模块。所述的网络安全隔离与信息交换系统将数据从A网单向传输到B网,或者相反。下面是基于数据从A网单向传输到B网的情况进行说明。
[0026]数据采集模块从指定的网络接口采集A网数据报文,对数据报文进行分类处理:(I)如果数据报文是ARP广播巾贞,且该ARP广播帧询问本网卡的MAC地址,则将该ARP广播帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP广播帧;所述的反向的数据发送模块是将数据向A网发送;(2)如果数据报文是ARP应答帧,且回答本网卡MAC地址的询问,则将该ARP应答帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP应答帧;(3)如果数据报文是IP协议的以太网帧,则将以太网帧通过单向通道发送到协议还原模块;(4)如果数据报文不是ARP广播帧、ARP应答帧和IP协议的以太网帧中的任意一种,丢弃该数据报文。
[0027]协议还原模块将以太网帧中的IP数据包进行上层协议的还原,解析出TCP或UDP的上层应用协议,将还原的TCP或UDP数据包单向转发到数据审计模块。如果IP数据包的协议为TCP时,将TCP数据包进行协议还原,当识别出上层应用协议时,将还原的数据流单向转发到数据审计模块;如果IP数据包的协议为UDP时,将UDP数据包进行协议还原,当识别出上层应用协议时,将还原的数据流单向转发到数据审计模块。如果IP数据包的协议不是TCP与UDP,为其它协议字段时,丢弃该数据包。
[0028]数据审计模块根据审计配置规则对数据包进行过滤和审查,将符合审计配置规则的数据包转发到信息卸载和封装模块;将不符合审计配置规则的数据包丢弃。审计配置规则包括但不限于白名单、五元组的任意组合、机器学习获得的协议特征串等。
[0029]信息卸载和封装模块对接收到的数据包进行处理,具体是:如果数据包中存在载荷信息,则截断数据包的单向传送,提取载荷信息,根据封装配置规则,在载荷信息上重新封装形成新的数据包,将新的数据包单向转发给数据发送模块;如果数据包中不存在载荷信息,则根据封装配置规则,直接将数据包单向转发给数据发送模块,或者修改数据包中的特定字段后再转发给数据发送模块。所定义的特定字段包括但不限于源IP和源端口。所述的封装配置规则,记录地址和端口的映射关系,将源IP地址和源端口变换成不同的地址和端口,使得A网发送到B网的数据包隐藏A网拓扑结构。
[0030]对于从A网到B网的单向数据传送,正向的数据发送模块将数据单向发送到B网,反向的数据发送模块将数据单向发送到A网;设X为A或B。数据发送模块对接收到的ARP广播帧、ARP应答帧以及IP数据包分别进行如下处理:(I)对于ARP广播帧,根据地址配置规则表中的IP和MAC地址构造ARP应答帧发送到X网;所述的地址配置规则表中记录数据采集模块的IP和MAC地址。(2)对于ARP应答巾贞,将ARP应答帧中的〈IP, MAO地址对添加到ARP映射表中。(3)对于IP数据包,查看地址转发表是否有目的IP的MAC地址,如果有则构造数据帧直接发送到X网,否则在路由表中查找相应的路由表项,获取下一跳路由器的IP地址,根据路由器的IP地址在ARP映射表中查找对应的MAC地址,如果未找到则构造ARP广播帧询问路由器的MAC地址,并暂时缓存该IP数据包,等待转发回来的ARP应答帧以获取路由器的MAC地址,在获得路由器的MAC地址后,构造数据帧发送到X网,同时更新地址转发表。所述的地址转发表为IP与MAC地址的映射表。
[0031]本发明公开了一种基于单向通道的网络安全隔离与信息交换方法及系统,与已公开的方法相比,具有如下优点:
[0032](I)高性能:网络安全隔离与信息交换系统各模块采用单向通道传输数据,与传统的“2+1的系统架构”和“三机三系统”相比,可以显著提高数据吞吐率。
[0033](2)安全性:网络安全隔离与信息交换系统各模块通过单向通道相连,采用专用的数据包处理方法,对传输的数据进行审计和卸载,当出现故障时,会形成物理隔离,有效保护不同网络间的数据安全,防止非法用户的入侵和控制。
[0034](3)成本低:网络安全隔离与信息交换系统可采用通用硬件平台和安全内核的操作系统。有效地降低了系统的成本。
【专利附图】
【附图说明】
[0035]图1是本发明的网络安全隔离与信息交换方法的步骤流程图;
[0036]图2是本发明的网络安全隔离与信息交换系统的部署图;
[0037]图3是本发明的网络安全隔离与信息交换系统的结构示意图。
【具体实施方式】
[0038]下面将结合附图和实施例对本发明作进一步的详细说明。
[0039]图1给出了本发明基于单向通道的网络安全隔离与信息交换方法步骤流程。数据由A网发送到B网,在系统初始化并读取相关取配置信息后,具体实施步骤如下:
[0040]步骤1:数据采集:从指定的网络接口采集A网数据报文,根据数据报文类型进行处理,具体包括:
[0041]步骤1.1:如果数据报文是ARP广播帧,且询问本网卡的MAC地址,则将该ARP广播帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP广播帧;此处反向的数据发送模块将构建对应的ARP应答帧发送给A网。对于从A网到B网的单向数据传送,单向发送到B网的数据流向为正向,单向发送到A网的数据流向为反向。
[0042]步骤1.2:如果数据报文是ARP应答帧,且回答本网卡MAC地址的询问,则该ARP应答帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP应答帧。
[0043]步骤1.3:如果数据报文是IP协议的以太网帧,则通过单向通道发送到协议还原步骤2。
[0044]如果数据报文不是ARP广播帧、ARP应答帧和IP协议的以太网帧中的任意一种,丢弃该数据报文,继续采集并按照上面步骤1.1?1.3处理数据报文。
[0045]本发明实施例中安全隔离与信息交换设备,通过专用的数据包处理方法从指定的网络接口采集数据帧。该方法为:在数据链路层判断数据帧是否为ARP协议,并校验其内容是否和本网卡有关,若是则修改ARP数据帧的转发路径,进行反向的数据发送,否则丢弃该帧;如果为以太网的IP数据帧,则直接转发到协议还原步骤,否则丢弃该帧。该专用的数据包处理方法基于现有数据包处理方法进行改进,具有如下特性:a)为了提高处理性能,不进行内核的拷贝山)为了提高安全性,也不走传统的TCP/IP协议栈。
[0046]步骤2:协议还原:将以太网帧中的IP数据包进行上层协议的还原,解析出TCP和UDP的上层应用协议。具体包括:
[0047]步骤2.1:如果IP数据包的协议为TCP时,将TCP数据包进行协议还原,当识别出上层应用协议时,将还原的数据流单向转发到步骤3 ;
[0048]步骤2.2:如果IP数据包的协议为UDP时,将UDP数据包进行协议还原,当识别出上层应用协议时,将还原的数据流单向转发到步骤3 ;
[0049]步骤2.3:如果IP数据包为其它协议字段时,丢弃该数据包。
[0050]该步骤中,解析出上层的应用协议即认为对协议还原完成,不需要缓存整个数据流的包。
[0051]步骤3:数据审计:对进入该步骤中的数据包进行过滤和审查,根据审计配置规贝U,将符合审计配置规则的数据包转发到步骤4 ;对不符合审计配置规则的数据包,丢弃该数据包。
[0052]该步骤中,审计配置规则包括但不限于I)白名单;2)五元组的任意组合;所述的五元组为{源IP,目的IP,源端口,目的端口,协议} ;3)机器学习获得的协议特征串。
[0053]步骤4:信息卸载和封装:在该步骤中将数据包中的载荷部分提取出来,根据封装配置规则,重新组装成新的数据包,具体包括:
[0054]步骤4.1:如果数据包中存在载荷信息,则截断数据包的单向传送,提取载荷信息,根据封装配置规则中的映射地址和端口,重新在载荷信息上封装形成新的数据包,将新的数据包单向转发给步骤5;
[0055]步骤4.2:如果数据包中不存在载荷信息,则根据封装配置规则中的映射地址和端口,直接将数据包单向转发给步骤5或者修改数据包中的特定字段后转发给步骤5。所定义的特定字段包括但不限于源IP和源端口。
[0056]在该步骤中,对数据的提取直接在原始数据包中操作,不进行内存的拷贝操作;其封装配置中的映射规则截断了单向的数据传递。封装配置规则记录了地址和端口的映射关系,将源IP地址和源端口变换成不同的地址和端口,使得A网发送到B网的数据包隐藏A网拓扑结构。
[0057]步骤5:数据发送:数据发送模块对接收到的ARP广播帧、ARP应答帧以及IP数据包分别进行如下处理:
[0058]步骤5.1:如果是ARP广播帧,对于正向的数据发送模块,从反向的数据采集转发来ARP广播帧,根据地址配置规则表中的IP和MAC地址构造ARP应答帧发送到B网;对于步骤1.1正向数据采集获取的ARP广播帧由反向的数据发送模块根据地址配置规则表中的IP和MAC地址构造相应的ARP应答帧发送到A网;
[0059]步骤5.2:如果是ARP应答巾贞,则将ARP应答帧中的〈IP, MAO地址对添加到ARP映射表中;
[0060]步骤5.3:如果是步骤4发送来的IP数据包,则查看地址转发表是否有目的IP的MAC地址,如果有则构造数据帧直接发送到B网,否则转到步骤5.4 ;
[0061]步骤5.4:在路由表中查找相应的路由表项,如果未找到相应的路由表项,则配置路由后再进行查找;如果找到相应的路由表项,获取下一跳路由器的IP地址,根据路由器的IP地址在ARP映射表中查找对应的MAC地址,如果未找到则构造ARP广播帧询问路由器的MAC地址,暂时缓存该IP数据包,等待反向的数据采集转发回来的ARP应答帧,对ARP应答帧转到步骤5.2执行,以获取路由器的MAC地址;如果找到,则构造数据帧发送到B网,同时更新地址转发表。所述的地址转发表包括目的IP地址和目的MAC地址的映射,并且为各映射关系〈IP,MAC〉设置生存周期,对地址转发表内超时的映射关系将删除。地址转发表AFT、路由表、ARP映射表的更新是自适应学习的,数据需要反向的数据采集来提供。
[0062]该步骤中使用的地址转发表AFT、路由表、ARP映射表等信息可以由专用的硬件来实现,也可以由软件来实现。地址转发表AFT包括了目的IP地址和目的MAC地址的映射,并且其〈目的IP,目的MAC〉对的生存周期根据网络环境设置,超时将删除该映射关系。
[0063]步骤6:重复上述步骤I?5直到信息交换完成。
[0064]本发明公开的基于单向通道的网络安全隔离与信息交换系统,具有可靠高速率的网间信息交换能力,主要部署于不能直接互联而存在信息共享需求的两个或多个网络之间。本发明的网络安全隔离与信息交换系统采用独立模块,模块之间彼此独立,每个模块的实现可以采用硬件实现,可以采用软件实现,也可以采用软件与硬件相结合的方式实现。
[0065]接入网络安全隔离与信息交换系统:系统接入位置为网络出口交换机或者路由器,接入点为交换机或路由器的关口模块,系统部署如图2的(a)和(b)所示,接入方式为光纤单向连接。图2的(a)中,网络安全隔离与信息交换系统接入在A网交换机和B网交换机之间;图2的(b)中,网络安全隔离与信息交换系统接入在A网交换机和B网出口路由器之间。
[0066]本发明的网络安全隔离与信息交换系统主要包括如下模块:数据采集模块、协议还原模块、数据审计模块、信息卸载和封装模块、以及数据发送模块。这些模块将数据从A网单向传输到B网,或者将数据从B网单向传输到A网。各个模块沿数据流方向单向连接。如图3所示,为网络安全隔离与信息交换系统的结构示意图。下面结合图3来说明各个模块的功能。
[0067]网络安全隔离与信息交换系统在应用前首先进行系统初始化,系统初始化是指从配置管理文件中读取系统的配置信息。系统的配置信息包括系统的数据采集模块IP地址、审计配置规则、封装配置规则、地址配置规则表、地址转发表AFT、路由表以及ARP映射表。配置信息加载成功后,系统监听网卡等待接收数据。
[0068]地址转发表AFT、路由表、ARP映射表等信息可以由专用的硬件来实现,也可以由软件来实现。地址转发表AFT包括了目的IP地址和目的MAC地址的映射,并且其内映射条目<IP,MAC>的生存周期根据网络环境设置,超时将删除该映射关系。地址转发表AFT的设计提高了数据转发的效率。
[0069]下面基于数据从A网单向传输到B网的情况进行说明。
[0070]数据采集模块:从指定的网络接口采集A网数据报文。对采集的报文进行如下分类处理:(I)如果数据报文是ARP广播巾贞,且询问的本网卡的MAC地址,则将该ARP广播帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP广播帧;所述的反向的数据发送模块是指将数据向A网发送的数据发送模块,与数据从A网向B网单向传输的方向相反,反向的数据发送模块将根据地址配置规则表中的IP和MAC地址构造ARP应答帧发送到A网;⑵如果数据报文是ARP应答巾贞,且回答本网卡MAC地址的询问,则将该ARP应答帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP应答帧;(3)如果数据报文是IP协议的以太网帧,则将该以太网帧通过单向通道发送到协议还原模块;(4)对不属于(I)?(3)中任一所述的数据报文,丢弃该数据报文。
[0071]协议还原模块:将以太网帧中的IP数据包进行上层协议的还原,解析出TCP和UDP的上层应用协议。将还原的TCP或UDP数据包单向转发到数据审计模块。如果IP数据包的协议为TCP时,将TCP数据包进行协议还原,当识别出上层应用协议时,将还原的数据流单向转发到数据审计模块;如果IP数据包的协议为UDP时,将UDP数据包进行协议还原,当识别出上层应用协议时,将还原的数据流单向转发到数据审计模块;如果IP数据包为其它协议字段时,丢弃该数据包。
[0072]数据审计模块:对数据包进行过滤和审查,根据审计配置规则,将符合规则的数据包转发到信息卸载和封装模块;否则,丢弃该数据包。审计配置规则包括但不限于白名单、五元组的任意组合、机器学习获得的协议特征串等。所述的五元组包括源IP、目的IP、源端口、目的端口和协议。
[0073]信息卸载和封装模块将数据包中的载荷部分提取出来,根据封装配置规则,重新组装成新的数据包。封装配置规则记录了地址和端口映射关系,将源IP地址和源端口变换成不同的地址和端口,使本端网络对对端网络透明,使得A网发送到B网的数据包,对B网隐藏A网拓扑结构。封装配置规则所记录的地址和端口映射是一个可以逆向的映射对,通过映射关系来达到对B网隐藏A网拓扑结构的效果,实现了数据包单向传送和隔离。如果数据包中存在载荷信息,则截断数据包的单向传送,提取载荷信息,根据封装配置规则中的映射地址和端口,重新在载荷的信息上封装成新的数据包,单向转发给数据发送模块;如果数据包中不存在载荷信息,则根据封装配置规则中的映射地址和端口,直接单向转发给数据发送模块或者修改数据包中的特定字段后转发给数据发送模块。所定义的特定字段包括但不限于源IP和源端口。
[0074]对于从A网到B网的单向数据传送,正向的数据发送模块将数据单向发送到B网,反向的数据发送模块将数据单向发送到A网。对于从B网到A网的数据传送,正向的数据发送模块将数据单向发送到A网,反向的数据发送模块将数据单向发送到到B网。下面就数据流向为从A网到B网的正向的数据发送模块来说明数据发送模块的功能。
[0075]数据发送模块主要将数据包根据地址转发表(Address Forwarding Table, AFT)构造成数据帧,通过单向通道发送到B网。数据发送模块接收到三种数据:ARP广播帧、ARP应答帧以及IP数据包。如果是ARP广播帧,则根据地址配置规则表中的IP和MAC地址构造ARP应答帧发送到B网。如果是ARP应答帧,则将ARP应答帧中的〈IP, MAO地址对添加到ARP映射表中。如果是信息卸载和封装模块发送来的普通的IP数据包,则查看地址转发表是否有目的IP的MAC地址,如果有则构造数据帧直接发送到B网,否则在路由表中查找相应的路由表项,如果未找到相应的路由表项,则需要配置路由;若找到相应的路由表项,获取下一跳路由器的IP地址,根据路由器的IP地址在ARP映射表中查找路由器的MAC地址,如果未找到则构造ARP广播帧询问路由器IP的MAC地址,暂时缓存所要发送的IP数据包,等待转发回来的ARP应答帧以获取路由器的MAC地址,获得路由器的MAC地址后,构造数据帧发送到B网,同时更新地址转发表。更新地址转发表,就是在该表中添加新找到的目的IP和MAC地址的映射关系。所述的地址配置规则表记载的是上端网卡,也就是数据采集模块的IP地址和MAC地址,用于构造ARP应答包的时候使用,当数据发送模块收到ARP广播帧时,需要根据地址配置规则表中记录的数据采集模块的IP和MAC来构造ARP应答帧,代理上端网卡来应答。通过路由表可获取转发路由器的IP地址,通过ARP映射表获取已知IP地址对应的MAC地址。
[0076]由于网络安全隔离与信息交换系统内部各模块沿数据流方向以单向连接,如图3所示,各模块的连接方法如下:上端控制A网到B网数据流的引擎为I,下端控制B网到A网数据流的引擎为II。引擎I和引擎II分别在A网端和B网端都具有数据收发的端口。弓丨擎I在A网端的数据采集模块I单向连接引擎II在A网端的数据发送模块II,引擎II在B网端的数据采集模块II单向连接引擎I在B网端的数据发送模块I。数据发送模块II就作为A网向B网单向数据传输的反向的数据发送模块,数据发送模块I就作为B网向A网单向数据传输的反向的数据发送模块。每个引擎中都包含一个数据采集模块、一个数据发送模块、一个协议还原模块、一个数据审计模块以及一个信息卸载和封装模块。引擎1:在A网端的输入端口连接数据采集模块I,数据采集模块I的输出单向连接协议还原模块I,协议还原模块I的输出单向连接数据审计模块I,数据审计模块I的输出单向连接信息卸载和封装模块I,信息卸载和封装模块I的输出单向连接数据发送模块I,数据发送模块I的输出单向连接A网端的输出端口。在B网端的输入端口连接数据采集模块II,引擎II中沿B网到A网数据流方向的各模块连接结构与引擎I中沿A网到B网数据流方向的各模块连接结构相同,图中通过给模块名称添加两个引擎的编号I和II以区分。
[0077]通过专用的数据包处理方法从指定的网络接口采集数据帧。该方法为:在数据链路层判断数据帧是否为ARP协议,并校验其内容是否和本网卡有关,若是则修改ARP数据帧的转发路径,将该ARP数据帧发送到反向的数据发送模块,否则丢弃该帧;如果为以太网的IP数据帧,则直接转发到协议还原模块,若也不是以太网的IP数据帧,则丢弃该帧。该专用的数据包处理方法基于现有数据包处理方法进行改进,为了提高处理性能,不进行内核的拷贝;同时为了提高安全性,也不走传统的TCP/IP协议栈。
【权利要求】
1.一种基于单向通道的网络安全隔离与信息交换系统,用于将数据从A网单向传输到B网,其特征在于,所述的网络安全隔离与信息交换系统包括数据采集模块、协议还原模块、数据审计模块、信息卸载和封装模块、以及数据发送模块; 数据采集模块从指定的网络接口采集A网数据报文,对数据报文进行分类处理:(I)如果数据报文是ARP广播帧,且该ARP广播帧询问本网卡的MAC地址,则将该ARP广播帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP广播帧;(2)如果数据报文是ARP应答帧,且该ARP应答帧回答本网卡MAC地址的询问,则将该ARP应答帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP应答帧;(3)如果数据报文是IP协议的以太网帧,则将该以太网帧通过单向通道发送到协议还原模块;(4)如果数据报文不是ARP广播帧、ARP应答帧和IP协议的以太网帧中的任意一种,丢弃该数据报文; 协议还原模块将以太网帧中的IP数据包进行上层协议的还原;当IP数据包中的协议为TCP或UDP时,协议还原模块解析出TCP或UDP的上层应用协议,将还原的TCP或UDP数据包单向转发到数据审计模块;当IP数据包的协议不是TCP或UDP时,丢弃该数据包; 数据审计模块根据审计配置规则对数据包进行过滤和审查,将符合规则的数据包转发到信息卸载和封装模块; 信息卸载和封装模块对接收到的数据包进行处理,具体是:如果数据包中存在载荷信息,提取载荷信息,根据封装配置规则,重新在所提取的载荷信息上封装形成新的数据包,并将新的数据包单向转发给数据发送模块;如果数据包中不存在载荷信息,根据封装配置规则,将数据包直接单向转发给数据发送模块,或者修改数据包中的特定字段后转发给数据发送模块; 对于从A网到B网的单向数据传送,正向的数据发送模块将数据单向发送到B网,反向的数据发送模块将数据单向发送到A网;设X为A或B ; 数据发送模块对接收到的ARP广播帧、ARP应答帧以及IP数据包分别进行如下处理:(I)对于ARP广播巾贞,根据地址配置规则表中的IP和MAC地址构造ARP应答帧发送到X网;所述的地址配置规则表中记录数据采集模块的IP和MAC地址;(2)对于ARP应答帧,将ARP应答帧中的〈IP,MAO地址对添加到ARP映射表中;(3)对于IP数据包,查看地址转发表是否有目的IP的MAC地址,如果有则构造数据帧直接发送到X网,否则在路由表中查找相应的路由表项,获取下一跳路由器的IP地址,根据路由器的IP地址在ARP映射表中查找对应的MAC地址,如果未找到则构造ARP广播帧询问路由器的MAC地址,等待转发回来的ARP应答帧以获取路由器的MAC地址,在获得路由器的MAC地址后,构造数据帧发送到X网,同时更新地址转发表;所述的地址转发表为IP与MAC地址的映射表。
2.根据权利要求1所述的一种基于单向通道的网络安全隔离与信息交换系统,其特征在于,所述的数据审计模块,其使用的审计配置规则包括:1)白名单;2)五元组{源IP,目的IP,源端口,目的端口,协议}中的任意组合;3)机器学习获得的协议特征串。
3.根据权利要求1所述的一种基于单向通道的网络安全隔离与信息交换系统,其特征在于,所述的封装配置规则,记录地址和端口的映射关系,将源IP地址和源端口变换成不同的地址和端口,使得A网发送到B网的数据包隐藏A网拓扑结构。
4.根据权利要求1所述的一种基于单向通道的网络安全隔离与信息交换系统,其特征在于,所述的网络安全隔离与信息交换系统,在A网与B网之间进行数据交互,设上端控制A网到B网数据流的引擎为I,下端控制B网到A网数据流的引擎为II ;引擎I和引擎II分别在A网端和B网端都具有数据收发的端口 ;每个引擎中都包含五个功能模块:一个数据采集模块、一个协议还原模块、一个数据审计模块、一个信息卸载和封装模块以及一个数据发送模块;引擎I在A网端的数据采集模块单向连接引擎II在A网端的数据发送模块,弓丨擎II在B网端的数据采集模块单向连接引擎I在B网端的数据发送模块;各引擎中:对应网端的输入连接数据采集模块,数据采集模块的输出单向连接协议还原模块,协议还原模块的输出单向连接数据审计模块,数据审计模块的输出单向连接信息卸载和封装模块,信息卸载和封装模块的输出单向连接数据发送模块,数据发送模块的输出单向连接对应网端的输出端口。
5.一种基于单向通道的网络安全隔离与信息交换方法,数据由A网单向发送到B网,其特征在于,包括如下步骤: 步骤1:数据采集:从指定的网络接口采集A网数据报文,并对数据报文进行如下处理,具体包括: 步骤1.1:如果数据报文是ARP广播帧,且询问本网卡的MAC地址,则将该ARP广播帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP广播帧; 步骤1.2:如果数据报文是ARP应答巾贞,且回答本网卡MAC地址的询问,则将该ARP应答帧通过单向数据通道转发到反向的数据发送模块,否则丢弃该ARP应答帧; 步骤1.3:如果数据报文是IP协议的以太网帧,则通过单向通道将以太网帧发送到步骤2处理; 步骤2:协议还原:将以太网帧中的IP数据包进行上层协议的还原,解析出TCP或UDP的上层应用协议,具体包括: 步骤2.1:如果IP数据包的协议为TCP时,将TCP数据包进行协议还原,当识别出上层应用协议时,将还原的TCP数据包单向转发到步骤3 ; 步骤2.2:如果IP数据包的协议为UDP时,将UDP数据包进行协议还原,当识别出上层应用协议时,将还原的UDP数据包单向转发到步骤3 ; 步骤2.3:如果IP数据包的协议不是TCP或UDP时,丢弃该数据包; 步骤3:数据审计:对进入该步骤中的数据包根据审计配置规则进行过滤和审查,将符合规则的数据包转发到步骤4 ;对不符合规则的数据包丢弃; 步骤4:信息卸载和封装,具体是: 步骤4.1:如果数据包中存在载荷信息,提取载荷信息,根据封装配置规则中的映射地址和端口,重新在载荷信息上封装形成新的数据包,将新的数据包单向转发给步骤5 ; 步骤4.2:如果数据包中不存在载荷信息,则根据封装配置规则中的映射地址和端口,直接单向转发给步骤5或者修改数据包中的特定字段后转发给步骤5 ; 步骤5:数据发送:对于从A网到B网的单向数据传送,单向发送到B网的数据流向为正向,单向发送到A网的数据流向为反向;设X为A或B ;数据发送模块对接收到的ARP广播帧、ARP应答帧以及IP数据包分别进行如下处理: 步骤5.1:如果是ARP广播帧,则根据地址配置规则表中的IP和MAC地址构造ARP应答帧发送到X网; 步骤5.2:如果是ARP应答帧,则将ARP应答帧中的〈IP, MAO地址对添加到ARP映射表中; 步骤5.3:如果是IP数据包,则查看地址转发表是否有目的IP的MAC地址,如果有则构造数据帧直接发送到X网,否则转到步骤5.4 ; 步骤5.4:在路由表中查找相应的路由表项,如果未找到相应的路由表项,则配置路由后再进行查找;如果找到相应的路由表项,获取下一跳路由器的IP地址,根据路由器的IP地址在ARP映射表中查找对应的MAC地址,如果未找到则构造ARP广播帧询问路由器的MAC地址,并暂时缓存该IP数据包,等待反向的数据采集转发回来的ARP应答帧以获取路由器的MAC地址;当获得路由器的MAC地址后,构造数据帧发送到X网,同时更新地址转发表; 步骤6:重复上述步骤I?5直到数据发送完成。
6.根据权利要求5所述的基于单向通道的网络安全隔离与信息交换方法,其特征在于,步骤3中所述的审计配置规则包括:1)白名单;2)五元组{源IP,目的IP,源端口,目的端口,协议}中的任意组合;3)机器学习获得的协议特征串。
7.根据权利要求5所述的基于单向通道的网络安全隔离与信息交换方法,其特征在于,步骤4中所述的封装配置规则,记录地址和端口的映射关系,将源IP地址和源端口变换成不同的地址和端口,使得A网发送到B网的数据包隐藏A网拓扑结构。
8.根据权利要求5所述的基于单向通道的网络安全隔离与信息交换方法,其特征在于,步骤5中所述的地址转发表包括目的IP地址和目的MAC地址的映射,并且为各映射关系〈IP,MAO设置生存周期,对地址转发表内超时的映射关系删除。
【文档编号】H04L29/06GK104363231SQ201410652474
【公开日】2015年2月18日 申请日期:2014年11月17日 优先权日:2014年11月17日
【发明者】杜飞, 迟悦 申请人:北京锐驰信安技术有限公司