CN103491072A

CN103491072A - 一种基于双单向隔离网闸的边界访问控制方法

Info

Publication number: CN103491072A
Application number: CN201310403023.2A
Authority: CN
Inventors: 张文涛; 艾伟; 赵斌; 杨海
Original assignee: Beijing Information Is Controlled Research Institute
Current assignee: China Academy of Aerospace Systems Science and Engineering
Priority date: 2013-09-06
Filing date: 2013-09-06
Publication date: 2014-01-01
Anticipated expiration: 2033-09-06
Also published as: CN103491072B

Abstract

本发明公开了一种基于双单向隔离网闸的边界访问控制方法，本发明采用了基于双单向隔离网闸的边界访问控制模式来实现信息的双向交换，通过保证两条单向传输通道的独立、隔离来控制高密级信息不会由高等级安全域流向低等级安全域，并有效屏蔽了基于双向网络协议的恶意攻击，提高了安全域边界的防护能力；通过加入信息源的身份可信认证和数据加密技术，引入了信息发送源的身份认证信息，并通过身份信息对传输的应用数据进行加密，只有判断信息的来源可信后，才能对应用数据进行还原处理，如果信息源的身份可信认证未通过，则不会解密相关数据，在应用层面加入可信认证、内容检测等安全机制提高了安全域间信息传输的可信性和保密性，提高了系统的抗风险能力。

Description

一种基于双单向隔离网闸的边界访问控制方法

技术领域

本发明涉及一种基于双单向隔离网闸的边界访问控制方法，属于光单向隔离技术和信息源的身份可信验证技术领域，光单向隔离技术主要用于不同等级安全域之间的边界隔离防护和信息单向传输，而在光单向隔离技术中引入信息源的身份可信验证技术主要用于安全域间数据的可信交换。

背景技术

面对信息化的迅速发展和日益猖獗的网络攻击发展态势，如何解决网络的安全隔离与数据的安全交换，已成为普遍关心的问题。为满足日益增长的网络安全需求，安全厂商不断发布新产品和研发新技术，先后诞生了防火墙、双向隔离网闸和光单向隔离网闸等网络边界防护产品。

光单向隔离网闸采用了光单向性的传输技术，提供了无数据信息反馈信号的单向数据通道，光单向隔离网闸能够保证信息的单向传输。由于涉密信息系统的保密要求中，要求高密级网络中的高密级数据不能流向低密级网络，但低密级网络的低密级数据可以流向高密级网络，对数据单向流动提出要求。对于此类场景，光单向隔离网闸能够完全满足要求，但是在现实生活中，许多可信网络与不可信网络之间均存在着信息双向交互的应用需求，如何在保证信息保密性的前提下，满足信息的双向可信交换？目前对于不同安全域之间隔离防护措施主要有采用防火墙和采用双向隔离网闸方式。就协议而言，防火墙采用通用的TCP/IP协议，能增强内部网络的安全性，通过双向最小授权原则可加强网络边界的安全防护，但防火墙安全策略配置有误或防火墙设备本身存在漏洞，将可能导致内部网络边界从外部被突破，整个内部网络将受到威胁；再者，防火墙是基于软件的逻辑隔离，对于黑客和内部用户而言是可能被操纵的，无法满足政府、军工企业等重要部门和敏感单位对数据安全的要求。而双向隔离网闸采用私有协议进行数据传输，能够抵御基于协议的攻击，提高了网络的安全性，双向隔离网闸的重点是完全割断内外网之间网络协议的直接连通，采用裸数据转发机制，保护内部网络和主机的安全，但是双向隔离网闸只有一条信息传输通道，且允许信息的双向流动，只要存在信息传输，就存在创建隐蔽通道的可能性。

发明内容

本发明解决问题的是：克服现有技术的不足，提供了一种基于双单向隔离网闸的边界访问控制方法，克服了现有边界控制模式下不同等级安全域之间互联产生的安全问题，本发明能够屏蔽基于双向协议的网络攻击行为，并建立了不同安全域之间信息传输的互信机制，保障了安全域之间信息交换的安全可靠性。

本发明的技术解决方案是：一种基于双单向隔离网闸的边界访问控制方法，步骤如下：

（A）建立由应用服务器A、同步服务器B、认证服务器S1、票据授权服务器T1、应用服务器B、同步服务器A、认证服务器S2、票据授权服务器T2和两个单向隔离网闸组成的边界访问控制系统，其中应用服务器A、同步服务器B、认证服务器S1和票据授权服务器T1组成不可信安全域，应用服务器B、同步服务器A、认证服务器S2和票据授权服务器T2组成可信安全域，不可信安全域与可信安全域之间通过两个单向隔离网闸相连接；

（B）当外到内单向隔离网闸的外端机检测到不可信安全域有数据发送请求时，具体的控制方法为：

（1）外到内单向隔离网闸的外端机接收应用服务器A中的应用数据和身份信息；

（2）外端机向认证服务器S1发送应用服务器A身份信息的认证请求；

（3）认证服务器S1对身份信息的认证请求进行答复并向外端机返回会话密钥和信任凭证构成的认证信息；

（4）外端机根据会话密钥和应用服务器A的身份信息生成应用服务器A的身份认证符，并利用应用服务器A的身份认证符和信任凭证对应用数据加密，外端机将应用服务器A的身份认证符、信任凭证和加密后的应用数据发送至内端机；

（5）内端机将应用服务器A的身份认证符和信任凭证发送至票据授权服务器T2；

（6）票据授权服务器T2先后解密信任凭证和应用服务器A的身份认证符，分别获得应用服务器A的身份信息，然后对从信任凭证和身份认证符中解密得到的身份信息进行比对验证，验证通过后，票据授权服务器T2向内端机反馈验证通过信息，如果验证未通过，内端机终止对应用数据的同步；

（7）内端机利用应用服务器A的身份认证符和信任凭证对应用数据进行解密，内端机将解密后的应用数据发送至同步服务器A。

（C）当内到外单向隔离网闸的外端机检测到可信安全域有数据发送请求时，具体的控制方法为：

（8）内到外单向隔离网闸的外端机接收应用服务器B中的应用数据和身份信息；

（9）外端机向认证服务器S2发送应用服务器B身份信息的认证请求；

（10）认证服务器S2对身份信息的认证请求进行答复并向外端机返回会话密钥和信任凭证构成的认证信息；

（11）外端机根据会话密钥和应用服务器B的身份信息生成应用服务器B的身份认证符，并利用应用服务器B的身份认证符和信任凭证对应用数据加密，外端机将应用服务器B的身份认证符、信任凭证和加密后的应用数据发送至内端机；

（12）内端机将应用服务器B的身份认证符和信任凭证发送至票据授权服务器T1；

（13）票据授权服务器T1先后解密信任凭证和应用服务器B的身份认证符，分别获得应用服务器B的身份信息，然后对从信任凭证和身份认证符中得到的身份信息进行比对验证，验证通过后，票据授权服务器T1向内端机反馈验证通过信息，如果验证未通过，内端机终止对应用数据的同步；

（14）内端机利用应用服务器B的身份认证符和信任凭证对应用数据进行解密，内端机将解密后的应用数据发送至同步服务器B。

所述外到内单向隔离网闸或内到外单向隔离网闸的工作过程如下：

（1）当不可信安全域与可信安全域之间需要进行数据同步时，外到内单向隔离网闸或内到外单向隔离网闸外端机中的同步模块接收应用服务器的身份信息以及应用数据；

（2）同步模块接收完应用数据和应用服务器的身份信息后，外端机的内容审查模块对应用数据进行安全检查，如果安全检查未通过，则终止信息交换，否则进入步骤（3）；

（3）外端机的信任请求模块向认证服务器发送认证请求对应用服务器的身份信息进行认证，认证服务器针对应用服务器身份信息的认证请求进行答复并向信任请求模块返回会话密钥和信任凭证构成的认证信息；

（4）信任请求模块向发送模块发送会话密钥和信任凭证，发送模块根据会话密钥和应用服务器的身份信息生成应用服务器的身份认证符，发送模块再利用应用服务器的身份认证符和信任凭证对应用数据进行加密；

（5）发送模块将应用服务器的身份认证符、信任凭证和加密后的应用数据采用私有协议封装成静态文件同步至内端机；

（6）内端机的接收模块将静态文件中应用服务器的身份认证符和信任凭证解析出来发送给内端机的验证模块；

（7）内端机的验证模块将应用服务器的身份认证符和信任凭证发送给票据授权服务器，票据授权服务器先后解密信任凭证和应用服务器的身份认证符，分别获得应用服务器的身份信息，票据授权服务器对从信任凭证和身份认证符中解密得到的身份信息进行比对验证，若未通过验证，则终止信息交换，否则票据授权服务器向内端机的验证模块返回验证通过信息，然后进入步骤（8）；

（8）内端机的数据处理模块根据应用服务器的身份认证符和信任凭证将应用数据进行解密；

（9）内端机的同步模块将解密后的应用数据发送至同步服务器。

本发明与现有技术相比的有益效果为：目前基于单向隔离网闸的信息传输方式缺少对发送方身份的可信认证，无法有效的对数据来源的可信程度进行甄别。本发明采用了基于双单向隔离网闸的边界访问控制模式来实现信息的双向交换，通过保证两条单向传输通道的独立、隔离来控制高密级信息不会由高等级安全域流向低等级安全域，并有效屏蔽了基于双向网络协议的恶意攻击，提高了安全域边界的防护能力；通过加入信息源的身份可信认证和数据加密技术，引入了信息发送源的身份认证信息，并通过身份信息对传输的应用数据进行加密，只有判断信息的来源可信后，才能对应用数据进行还原处理，如果信息源的身份可信认证未通过，则不会解密相关数据，在应用层面加入可信认证、内容检测等安全机制提高了安全域间信息传输的可信性和保密性，提高了系统的抗风险能力。

由于纯单向信息交换模式、双单向信息交换模式数据同步原理的一致性，本发明完全可以应用于这两种信息交换模式。相比防火墙和双向隔离网闸，单向隔离网闸能更加有效地提高安全域边界防护能力。采用双单向边界控制模式，既能满足安全域间双边信息交换的可行性，又能极大的提高的风险防御能力。对于数控网络、测控网络、物联网网络等不可信安全域与涉密信息系统互联的应用场景，本发明安全可以应用。

附图说明

图1为本发明边界访问控制流程图；

图2为本发明单向隔离网闸的工作流程图；

图3为本发明实施例单向访问控制流程图。

具体实施方式

本发明通过在两个安全域之间部署两台单向隔离设备，完成不同安全域之间的安全隔离与信息交换，同时使基于TCP/IP协议的攻击工具无法正常工作；在单向隔离网闸的应用层加入控制机制，引入信息源的身份可信认证模块，建立安全域之间的信息可信传输。单向隔离网闸实现了网络层、应用层的访问控制功能。基于双单向隔离网闸的边界访问控制模型，既实现了可信安全域与不可信安全域之间的安全隔离，又实现了可信安全域与不可信安全域之间的信息交换。具体内容如下：

（1）构造双单向传输通道，实现双向信息的可控交换。单向隔离网闸是利用光单向性传输的特点，以单根光纤作为传输介质，保证一端只能发送数据，一端只能接收数据，从而实现文件数据跨网间的单向传输。在可信安全域与不可信安全域之间部署两个单向隔离网闸满足两个方向的信息交换需求。当不可信安全域有数据发送请求时，单向隔离网闸（外到内）的外端机采用私有协议将数据转发，处于可信安全域的单向隔离网闸（外到内）的内端机将传来的数据解析并转发；当可信安全域有数据发送请求时，单向隔离网闸（内到外）的外端机采用私有协议将数据转发，处于可信安全域的单向隔离网闸（内到外）的内端机将传来的数据解析并转发。通过构造双单向传输通道，在满足双单向信息交换的同时，通过单向网闸的安全控制机制，有效的降低了基于网络协议的恶意攻击。在网络层，单向隔离网闸在访问控制方面具有包括过滤防火墙所有的安全功能，能实现对源/目的IP地址、通信端口、访问时间等属性的全面控制。在应用层，单向隔离网闸能对应用数据的来源进行可信验证，对应用数据的内容进行深度审查、过滤，使得只有符合安全策略的数据才被传输。通过贯穿整个协议栈的访问控制，单向隔离网闸能够有效过滤非法连接、数据的非法传输。

（2）单向隔离网闸实现了网络层、应用层的访问控制功能。当不可信安全域有数据发送请求时，在单向隔离网闸（外到内）上实施的访问控制策略生效；当可信安全域有数据发送请求时，在单向隔离网闸（内到外）上实施的访问控制策略生效。通过可信安全域与不可信安全域之间实施双重边界访问控制策略，有效的保障了安全域间的隔离防护。单向隔离网闸只能实现信息的单向传输，因此对于两个安全域之间互相有信息交换的需求场景，本发明采用部署两台单向隔离设备的方式，在基于安全域之间隔离的基础上，分别实现可信安全域到不可信安全域的信息传输、不可信安全域到可信安全域的信息传输功能。

下面结合图1、图2和图3对本发明做进一步说明。

如图1所示，本发明的实现步骤如下：

如图2所示，外到内单向隔离网闸或内到外单向隔离网闸的工作过程如下：

单向访问控制的具体实例如图3所示：

（1）当单向隔离网闸外端机的数据同步模块检测到有数据需要同步时，外端机先采集完应用服务器的身份信息，采集的身份信息如下：

{a,tgs,timestamp,addr}

采集信息的内容包括应用服务器的名称（a）、票据授权服务器的名称（tgs）、应用服务器的IP地址（addr）以及时间戳（timestamp）。时间戳用于向身份认证服务器（AS）表示这一身份请求是新的。

采集完应用服务器的相关信息后，开始接收TCP/IP包，并验证所传输的TCP/IP包是否符合单向隔离网闸设置的访问控制策略。若不符合相关访问控制策略，则终止数据接收，并产生告警日志，否则进入步骤（2）；

（2）接收完所有的TCP/IP包后，外端机的内容审查模块对数据的内容、格式等进行安全检查，确保只有通过安全检查的数据才能进行交换。如果没有通过安全检查，外端机会立即删除接收的数据，然后产生告警日志，否则进入步骤（3）；

（3）安全检查结束后，外端机的信任请求模块与认证服务器AS进行信息交互，具体过程如下：

外端机的信任请求模块将应用服务器的相关信息发送给认证服务器AS，用于向认证服务器AS发出应用服务器访问票据授权服务器TGS的请求，请求以报文形式发送。报文内容如下：

a,tgs,timestamp,addr

请求报文包括应用服务器（a）、票据授权服务器的名称（tgs）、应用服务器的IP地址（addr）以及时间戳（timestamp）。

当AS收到请求报文后，在其数据库中查找外端机的加密密钥K_w，并产生随机会话密钥K_a,tgs和T_a,tgs（TGS的票据TGT）作为应答报文。会话密钥K_a,tgs用于应用服务器与TGS进行加密通信，用K_w加密。T_a,tgs的内容包括:TGS的名称（tgs）、应用服务器的名称（a）、应用服务器的IP地址（addr）、时间戳（timestamp）、有效生存期限（lifetime）以及会话密钥K_a,tgs，这些数据使用TGS的密钥K_tgs进行加密，以保证只有TGS才能解密。这一部分的应答报文为：{K_a,tgs,T_a,tgs}K_w，其中T_a,tgs={tgs,a,addr,timestamp,lifetime,K_a,tgs}K_tgs。

AS向外端机发出应答，应答内容用外端机的密钥K_w加密，使得只有外端机才能解密该报文的内容。

外端机收到AS返回的应答报文后，通过K_w对报文进行解密，就得到K_a,tgs和T_a,tgs。外端机后续就可以把T_a,tgs发送给TGS来证明应用服务器具有访问TGS的合法身份。外端机同时从AS处得到了应用服务器与TGS的会话密钥K_a,tgs，应用服务器用它来与TGS进行加密通信。

（4）外端机的数据发送模块首先利用返回的会话密钥（K_a,tgs）生成应用服务器的身份认证符A_a,tgs，认证符A_a,tgs的内容如下：

A_a,tgs={a,addr,timestamp}K_a,tgs

认证符的内容包括应用服务器的名字（a）、应用服务器的IP地址（addr）以及时间戳（timestamp），认证符A_a,tgs的内容用应用服务器和TGS的会话密钥K_a,tgs进行加密。

外端机的数据发送模块然后根据身份认证符（A_a,tgs）和信任凭证票据（T_a,tgs）将需同步的应用数据进行加密处理。

（5）外端机采用私有协议将身份认证符（A_a,tgs）、信任凭证票据（T_a,tgs）以及加密后的数据封装成静态文件，然后静态文件通过单向传输通道同步至至单向隔离网闸的内端机。

（6）内端机接收到外端机发送的静态文件后，内端机的数据接收模块首先根据私有协议将静态文件进行解析，获得A_a,tgs和T_a,tgs的信息。

（7）内端机的信任验证模块与票据授权服务器TGS进行信息交互，具体过程如下：

内端机的信任验证模块向票据授权服务器TGS发送应用数据同步的请求报文，报文内容包括T_a,tgs（TGS的票据TGT）以及认证符A_a,tgs。T_a,tgs的内容是用TGS的密钥K_tgs加密的（见步骤（3）），只有TGS才能解开，认证符A_a,tgs的内容用应用服务器和TGS的会话密钥K_a,tgs进行加密（见步骤（4）），以保证只有TGS才能解开。T_a,tgs并不能证明任何人的身份，可以重复使用而且有效期较长，而认证符A_a,tgs则用来证明应用服务器的身份，只能使用一次而且有效期很短。

TGS收到内端机发来的请求报文后，用自己的密钥K_tgs对T_a,tgs进行解密处理，得知外端机已经从AS处得到了应用服务器与自己的会话密钥K_a,tgs。TGS然后用K_a,tgs解密认证符A_a,tgs，并将认证符A_a,tgs中的身份信息与T_a,tgs中的身份信息（a,addr,timestamp等）进行比较。如果校验失败，内端机会立即删除内端机接收的数据，终止数据同步流程并产生告警日志，否则进入步骤（8）；

（8）内端机传递的验证信息通过TGS信任校验后，TGS可以相信T_a,tgs的发送者（应用服务器）就是T_a,tgs的实际持有者，于是给内端机返回一条确认信息，然后内端机的数据处理模块会将加密后的应用数据进行解密处理；

（9）最后内端机的数据同步模块建立与同步服务器的连接，并完成应用数据的同步传输。

从身份校验的过程可以看出，通过严格的身份验证，保证了在信息交换时信息来源的可信，能够有效地阻断不可信安全域中恶意攻击者的网络试探、网络攻击行为，提高了系统的安全防护能力。

本发明未详细描述内容为本领域技术人员公知技术。

Claims

1.一种基于双单向隔离网闸的边界访问控制方法，其特征在于步骤如下：

2.根据权利要求1所述的一种基于双单向隔离网闸的边界访问控制方法，其特征在于：所述外到内单向隔离网闸或内到外单向隔离网闸的工作过程如下：