CN112887267A - 一种具有报文认证功能的网络隔离系统及其方法 - Google Patents

Abstract

本发明涉及一种具有报文认证功能的网络隔离系统及其方法，其技术特点是：包括内网主机、内网安全通道、网络隔离模块、外网主机和外网安全通道，所述内网主机通过内网安全通道与网络隔离模块连接，外网主机通过外网安全通道与网络隔离模块连接。本发明采用三主机架构，能够分别实现内外网模块和网络隔离模块的数据交换，采用高速数据通道实现内外网之间数据隔离，在保证系统安全性的基础上，利用FPGA并行性的特点，提高了数据处理和传输的性能，认证算法支持动态升级。增加专用协议封装和数据过滤模块，保证外网的病毒和攻击无法进入内部专用网络，另一方面保证内网的业务数据不会流向外网，实现了数据隔离。

Description

一种具有报文认证功能的网络隔离系统及其方法

技术领域

本发明属于网络通信技术领域，尤其是一种具有报文认证功能的网络隔离系统及其方法。

背景技术

信息化的发展在给人们生活、工作带来极大便利的同时也带来了诸多安全隐患：如病毒、网络攻击、数据窃取，甚至系统内部的泄密者等网络安全威胁。在此种形势下，提升信息安全防护能力，形成涵盖系统安全、网络安全、数据安全、用户安全等各层次的信息安全解决方案显得尤其重要。网络隔离技术作为一种基于安全防护理念的网络安全技术，是通过物理隔离的方式，确保把有害的攻击隔离，在网络数据交换和保证网络内部信息不外泄的前提下，完成网间数据安全交换。

传统网络隔离设备如隔离网闸等采用逻辑隔离方式实现，安全性和技术水平较低，由于TCP/IP协议的脆弱性不能有效阻断各类攻击。

发明内容

本发明的目的在于克服现有技术的不足，提出一种具有报文认证功能的网络隔离系统及其方法，通过采用高速数据通道实现内外网之间数据隔离，同时通过专用协议封装和数据过滤模块，保证外网的病毒和攻击无法进入内部专用网络。

本发明解决其技术问题是采取以下技术方案实现的：

一种具有报文认证功能的网络隔离系统，包括内网主机、内网安全通道、网络隔离模块、外网主机和外网安全通道，所述内网主机通过内网安全通道与网络隔离模块连接，外网主机通过外网安全通道与网络隔离模块连接；内网主机从网络隔离模块接收数据包或向网络隔离模块发送数据包；网络隔离模块对于内网主机和外网主机的数据进行交换；外网主机从网络接口接收数据包或发送数据包。

而且，所述内网主机和外网主机为通用计算机，所述外网安全通道和内网安全通道为专用安全通道PCIE；所述网络隔离模块包括SDRAM、算法FPGA、Flash、DSP、ARM、网络PHY、外网通道FPGA、内网通道FPGA、EMIFA总线，所述SDRAM、算法FPGA和Flash分别与EMIFA总线双向连接，外网通道FPGA、内网通道FPGA和DSP与EMIFA总线双向连接，ARM通过双口RAM与EMIFA总线双向连接，ARM通过MAC与网络PHY连接；所述内网通道FPGA通过PCIE和内网主机相连，外网通道FPGA1通过PCIE和外网主机相连。

一种具有报文认证功能的网络隔离系统的网络隔离方法，包括以下步骤：

步骤1、判断为外部网络数据输入还是内部网络数据输出，若为外部网络数据输入，则进行步骤2，否则进行步骤10；

步骤2、外部网络数据输入至网络信道进行处理；

步骤3、对网络信道处理的数据进行命令解析，若命令解析为是，则进行步骤4，否则进行步骤9；

步骤4、协议适配模块对命令解析的数据进行协议适配；

步骤5、状态包检测过滤模块对协议适配数据进行检查过滤，过滤通过，则进行步骤6，否则进行步骤9；

步骤6、对检查过滤的数据进行隔离交换，同时在日志统计中进行记录；

步骤7、对隔离交换的数据进行报文认证，若报文认证通过，则进行步骤8，否则进行步骤9；

步骤8、将报文认证的数据发送至另一侧主机，同时在日志统计中进行记录，结束本次数据输入；

步骤9、将数据丢弃，同时在日志统计中进行记录，结束本次数据输入；

步骤10、内部网络数据输入至网络信道进行处理，并进行步骤3。

而且，所述步骤2的具体实现方法为：网络信道通过TCP/IP协议栈和套接字Socket接口，在内网主机和外网主机操作系统建立监听进程，监听常见网络服务端口，并不断地检查是否有新的数据包到来，当检测到新的数据包之后，在套接层上异步接收数据，并生成报文数据。

而且，所述步骤4包括以下步骤：

步骤4.1、协议适配模块中的协议解析通过读取报文数据的报文长度和标志识别报文数据类型，若报文数据类型满足要求，则将报文数据发送至协议适配模块中的类型适配，否则对类型适配失败的非法数据进行丢弃；

步骤4.2、协议适配模块中的类型适配用协议解析出来的数据适配系统内认可的指定协议类型，若是系统内认可的指定协议类型，则将报文数据发送至协议适配模块中的数据封装，否则对类型适配失败的非法数据进行丢弃。

步骤4.3、协议适配模块中的数据封装使用专用通道协议封装报文数据。

而且，所述步骤5中检查过滤包括以下步骤：

步骤5.1、状态包检测过滤模块的数据校验机制对报文数据的报文长度、标志符和数据校验码等特征数据进行验证对比，若校验合格则进行将报文数据发送至检查过滤的专用协议封装，否则丢弃检验机制之外的非法数据。

步骤5.2、状态包检测过滤模块的专用协议封装将报文数据的送入隔离模块进行报文的密码学认证。

而且，所述步骤7的具体实现方法为：

步骤7.1、发送方将报文m经过HASH算法运算得出固定长度256位的报文摘要H(m)；

步骤7.2、发送方对报文摘要H(m)加密生成密文E_k(H(m))，并附加在消息m之后传输；

步骤7.3、在接收方收到报文m和报文摘要密文E_k(H(m))之后，将报文摘要密文E_k(H(m))解密还原成报文摘要H(m)；

步骤7.4、同时接收方将收到的消息m经过HASH算法运算得出的消息摘要H(m′)与对方发送的报文摘要H(m)比较是否相同，若两者相同，说明接收到的报文是合法的经过认证的报文，转发到另一侧主机；若两者不相同，则断定收到的消息不是发送方发送的信息或者消息被人篡改了，将该报文丢弃，并标识认证不通过。

而且，所述网络隔离方法能够进行动态升级；所述动态升级的包括以下步骤：

⑴、待升级软件经过测试验证后，将程序映像.bin文件压缩为ZIP文件，入到配置管理库，上传到文件服务器中，升级时，由管理主机从文件服务器中读取配置项文件进行升级操作；

⑵、用户选择要升级的软件映像和被烧写的DSP，启动软件在线更新；

⑶、升级管理软件从文件服务器中获取要更新的软件ZIP文件，对配置项文件压缩包进行解压缩处理，根据可执行文件名、程序校验码对程序进行校验，校验成功后，启动程序映像的Flash烧写程序，并向升级管理软件回传“程序烧写成功应答报文”，通知程序烧写成功，升级管理软件根据应答报文判断程序更新是否成功，并反馈给用户。

本发明的优点和积极效果是：

1、本发明采用三主机架构，能够分别实现内外网模块和网络隔离模块数据交换，采用高速数据通道实现内外网之间数据隔离，在保证系统安全性的基础上，利用FPGA并行性的特点，提高了数据处理和传输的性能，认证算法支持动态升级。

2、本发明使用自定义专用网络通信协议对数据进行格式封装，阻断内外网间通过网络协议的连接，对内外网间的交换数据进行严格控制；设计包过滤和身份认证模块，对经过的数据进行过滤和认证，实现抵御病毒的恶意攻击并且加强网络隔离设备的防护等级的效果。

3、本发明具有较高的网络安全性和数据交换性能，实际性能在使用环境中已经得到验证，在包长为8192字节时，数据传输速率为960Mbps。

附图说明

图1本发明三主机架构硬件结构图；

图2是本发明网络隔离软件总体逻辑框架图；

图3是本发明隔离模块逻辑框图；

图4是本发明通道FPGA逻辑框图；

图5是本发明网络隔离装置数据发送或接收流程图；

图6是本发明网络信道处理流程图；

图7是本发明协议适配流程图；

图8是本发明状态包检测过滤处理流程图；

图9是本发明网络隔离模块报文认证流程图。

具体实施方式

以下结合附图对本发明做进一步详述。

一种具有报文认证功能的网络隔离系统，如图1所示，采用三主机架构，包括内网主机、内网安全通道、网络隔离模块、外网主机和外网安全通道，所述内网主机通过内网安全通道与网络隔离模块连接，外网主机通过外网安全通道与网络隔离模块连接；内网主机从网络隔离模块接收数据包或向网络隔离模块发送数据包；网络隔离模块对于内网主机和外网主机的数据进行交换；外网主机从网络接口接收数据包或发送数据包。

内外网主机主要完成两个功能，一是从网络接口接收数据包，向网络隔离模块发送数据包审核请求，并通过专用通道将数据写入网络隔离模块的缓存通道中；二是接收网络隔离模块的发送数据包命令，并通过专用通道从网络隔离模块的缓存通道读取数据包，通过网络接口发送。

网络隔离模块由DSP、两片FPGA芯片分别作为与内外网通信安全通道和隔离数据交换的逻辑控制、认证算法运行于DSP内，可通过内网主机动态升级，保证单向性和独立性。

如图3所示，内网主机和外网主机为通用计算机，所述外网安全通道和内网安全通道为专用安全通道PCIE；所述网络隔离模块包括SDRAM、算法FPGA、Flash、DSP、ARM、网络PHY、外网通道FPGA、内网通道FPGA、EMIFA总线，所述SDRAM、算法FPGA和Flash分别与EMIFA总线双向连接，外网通道FPGA、内网通道FPGA和DSP与EMIFA总线双向连接，ARM通过双口RAM与EMIFA总线双向连接，ARM通过MAC与网络PHY连接；所述内网通道FPGA通过PCIE和内网主机相连，外网通道FPGA1通过PCIE和外网主机相连。

如图4所示，所述外网通道FPGA和内网通道FPGA实现从DSP6455的局部总线空间扩展噪声采集、时钟及数据线的译码功能及通道扰乱功能。此外，外网通道FPGA和内网通道FPGA实现了两路噪声的硬件采集逻辑，其采样频率由外部时钟实现，外网通道FPGA和内网通道FPGA通过串转并模块将采集到的数据写入FIFO逻辑中，当采集到的噪声数据满足数量要求时，由DSP程序通过EMIF局部总线将噪声数据读取到DSP 6455的RAM中。

网络隔离装置中数据处理性能和数据摆渡的性能直接决定了整个系统的性能。为了提高数据传输速率，设计了专用的高速隔离交换缓存，针对网络隔离系统中报文数据计算和传输模式，定制设计了地址映射和高速硬件逻辑开关技术，构建了报文数据在多个处理期间高速安全隔离交换架构。支持多处理器同时访问的隔离交换缓存结构，有效减少了数据传递次数，提高了数据处理速度，同时设计了缓存分块和缓存区访问权限控制技术，实现隔离交换缓存的安全访问功能。此外，利用FPGA并行性的特点，采用流水线的方式处理数据包，进一步提高数据传输速率。

如图2所示，软件包括内外网主机软件、网络隔离模块软件两部分。网络隔离设备内网处理单元软件和外网处理单元软件主要实现内外网报文的收发、解析、与网络隔离模块的数据交互以及对网络隔离模块的配置管理功能；隔离模块软件主要实现内外网之间数据的加解扰处理以及网络数据包的安全认证功能。

其中，网络隔离设备软件包括主控模块、通信信道、日志审计、配置管理、状态检测包过滤模块和报文认证。

主控模块为网络隔离设备内外网软件的控制中心，实现对数据传输进行控制管理，保证数据可靠传输，并设置应用系统的操作环境、相关软件的环境变量以及硬件设备的初始化。

通信信道负责与内部/外部网络的接口通信，接受来自内部/外部网络的报文数据，并将外网/内网处理的报文数据发送给内部/外部网络。此外，针对外网处理单元，网络通信功能还包括与另一台网络隔离设备的外网单元进行心跳检测，实现双机备份功能。

日志审计对内网/外网处理单元、网络隔离模块的数据记录日志，并提供检索、查看和删除等操作。

配置管理对主控模块进行配置管理操作，包括对传输协议、传输方式、数据分包大小、传输节点等参数进行配置，对传输数据包状态进行查询。

状态检测包过滤模块对经过命令解析，并重新进行数据封装的报文，进行过滤。具体功能为针对经过内网/外网的数据进行检查过滤，加入校验机制，剔除掉非法数据，允许合法的数据包通过，进行下一步的隔离交换。

报文认证基于密码学，采用数据摘要算法对来自内外网处理单元的数据进行认证，也可称报文鉴别，验证所收到的报文数据真伪，禁止未通过认证的数据进行交换，直接在隔离模块内予以丢弃，达到数据安全隔离的目的。本发明使用HASH算法作为报文的认证算法，通过对报文数据进行HASH算法运算产生的消息摘要进行加密而产生的密文作为认证码实现发送方和接收方的数据认证过程，从而保证数据在内外网之间传输的绝对安全。

HASH算法是一种将任意长度的报文经过基于初始值分组迭代后，生成为固定长度摘要值的算法。报文摘要H(m)一般在128比特到512比特之间，一般使用256比特摘要值，即32字节摘要值。Hash函数可用于数据完整性认证、数字签名方案等领域有广泛的应用。

HASH算法的模型是：h＝H(m)

其中，m是待处理的消息，H是HASH运算函数，h是生成的报文摘要。报文摘要具有固定长度，并且和m的长度无关。H是一种单向函数，它具有下列一些性质：

⑴、对任意长度的明文m，HASH算法都能产生固定长度的报文摘要；

⑵、给定H和m，很容易计算出h；

⑶、给定H和h，很难计算，甚至得不到m的任何消息；

⑷、给定H，要找到不同的消息m1和m2，使得H(m1)＝H(m2)，在计算上是不能的。

HASH算法的这种不可逆性和唯一性使得相同的报文数据，只能产生唯一的报文摘要，如果数据在传输过程中，无论因为何故发生了任何形式的改变，包括人为恶意修改或者传输过程中的数据错误等，计算的摘要值对比结果肯定不同，则无法通过隔离模块的认证。

一种具有报文认证功能的网络隔离系统的隔离方法，如图5所示，包括以下步骤：

步骤1、判断为外部网络数据输入还是内部网络数据输出，若为外部网络数据输入，则进行步骤2，否则进行步骤10；

步骤2、外部网络数据输入至网络信道进行处理；

步骤3、对网络信道处理的数据进行命令解析，若命令解析为是，则进行步骤4，否则进行步骤9；

步骤4、协议适配模块对命令解析的数据进行协议适配；

步骤5、状态包检测过滤模块对协议适配数据进行检查过滤，过滤通过，则进行步骤6，否则进行步骤9；

步骤6、对检查过滤的数据进行隔离交换，同时在日志统计中进行记录；

步骤7、对隔离交换的数据进行报文认证，若报文认证通过，则进行步骤8，否则进行步骤9；

步骤8、将报文认证的数据发送至另一侧主机，同时在日志统计中进行记录，结束本次数据输入；

步骤9、将数据丢弃，同时在日志统计中进行记录，结束本次数据输入；

步骤10、内部网络数据输入至网络信道进行处理，并进行步骤3。

如图6所示，步骤2的具体实现方法为：网络信道通过TCP/IP协议栈和套接字Socket接口，接收数据时，通过在内网主机和外网主机操作系统建立监听进程，监听常见网络服务端口，并不断地检查是否有新的数据包到来，当检测到新的数据包之后，在套接层上异步接收数据，并生成报文数据。发送数据时，首先需要读取网络隔离模块处理后的数据，通过套接字层接口，将数据发送到内外网环境指定设备。

如图7所示，步骤4包括以下步骤：

步骤4.1、协议适配模块中的协议解析通过读取报文数据的报文长度和标志识别报文数据类型，若报文数据类型满足要求，则将报文数据发送至协议适配模块中的类型适配，否则对类型适配失败的非法数据进行丢弃；

步骤4.2、协议适配模块中的类型适配用协议解析出来的数据适配系统内认可的指定协议类型，若是系统内认可的指定协议类型，则将报文数据发送至协议适配模块中的数据封装，否则对类型适配失败的非法数据进行丢弃。

步骤4.3、协议适配模块中的数据封装使用专用通道协议封装报文数据。

如图8所示，步骤5中检查过滤包括以下步骤：

步骤5.1、状态包检测过滤模块的数据校验机制对报文数据的报文长度、标志符和数据校验码等特征数据进行验证对比，若校验合格则进行将报文数据发送至检查过滤的专用协议封装，否则丢弃检验机制之外的非法数据。

步骤5.2、状态包检测过滤模块的专用协议封装针对专用业务通信的专有通信协议进行数据格式封装，满足专用安全通道的通信数据格式要求，将合法的数据包送入隔离模块进行报文的密码学认证。

而且，步骤7的具体实现方法为：

步骤7.1、发送方将报文m经过HASH算法运算得出固定长度256位的报文摘要H(m)；

步骤7.2、发送方对报文摘要H(m)加密生成密文E_k(H(m))，并附加在消息m之后传输；

步骤7.3、在接收方收到报文m和报文摘要密文E_k(H(m))之后，将报文摘要密文E_k(H(m))解密还原成报文摘要H(m)

步骤7.4、同时接收方将收到的消息m经过HASH算法运算得出的消息摘要H(m′)与对方发送的报文摘要H(m)比较是否相同，若两者相同，说明接收到的报文是合法的经过认证的报文，转发到另一侧主机；若两者不相同，则断定收到的消息不是发送方发送的信息或者消息被人篡改了，将该报文丢弃，并标识认证不通过。

本发明的网络隔离方法能够进行动态升级；所述动态升级的包括以下步骤：

⑴、待升级软件经过测试验证后，将程序映像.bin文件压缩为ZIP文件，入到配置管理库，上传到文件服务器中，升级时，由管理主机从文件服务器中读取配置项文件进行升级操作；

⑵、用户选择要升级的软件映像和被烧写的DSP，启动软件在线更新；

⑶、升级管理软件从文件服务器中获取要更新的软件ZIP文件，对配置项文件压缩包进行解压缩处理，根据可执行文件名、程序校验码对程序进行校验，校验成功后，启动程序映像的Flash烧写程序，并向升级管理软件回传“程序烧写成功应答报文”，通知程序烧写成功，升级管理软件根据应答报文判断程序更新是否成功，并反馈给用户。

需要强调的是，本发明所述的实施例是说明性的，而不是限定性的，因此本发明包括并不限于具体实施方式中所述的实施例，凡是由本领域技术人员根据本发明的技术方案得出的其他实施方式，同样属于本发明保护的范围。

Claims (8)

1.一种具有报文认证功能的网络隔离系统，其特征在于：包括内网主机、内网安全通道、网络隔离模块、外网主机和外网安全通道，所述内网主机通过内网安全通道与网络隔离模块连接，外网主机通过外网安全通道与网络隔离模块连接；内网主机从网络隔离模块接收数据包或向网络隔离模块发送数据包；网络隔离模块对于内网主机和外网主机的数据进行交换；外网主机从网络接口接收数据包或发送数据包。

2.根据权利要求1所述的一种具有报文认证功能的网络隔离系统，其特征在于：所述内网主机和外网主机为通用计算机，所述外网安全通道和内网安全通道为专用安全通道PCIE；所述网络隔离模块包括SDRAM、算法FPGA、Flash、DSP、ARM、网络PHY、外网通道FPGA、内网通道FPGA、EMIFA总线，所述SDRAM、算法FPGA和Flash分别与EMIFA总线双向连接，外网通道FPGA、内网通道FPGA和DSP与EMIFA总线双向连接，ARM通过双口RAM与EMIFA总线双向连接，ARM通过MAC与网络PHY连接；所述内网通道FPGA通过PCIE和内网主机相连，外网通道FPGA1通过PCIE和外网主机相连。

3.一种如权利要求1或2所述具有报文认证功能的网络隔离系统的网络隔离方法，其特征在于包括以下步骤：

步骤1、判断为外部网络数据输入还是内部网络数据输出，若为外部网络数据输入，则进行步骤2，否则进行步骤10；

步骤2、外部网络数据输入至网络信道进行处理；

步骤3、对网络信道处理的数据进行命令解析，若命令解析为是，则进行步骤4，否则进行步骤9；

步骤4、协议适配模块对命令解析的数据进行协议适配；

步骤5、状态包检测过滤模块对协议适配数据进行检查过滤，过滤通过，则进行步骤6，否则进行步骤9；

步骤6、对检查过滤的数据进行隔离交换，同时在日志统计中进行记录；

步骤7、对隔离交换的数据进行报文认证，若报文认证通过，则进行步骤8，否则进行步骤9；

步骤8、将报文认证的数据发送至另一侧主机，同时在日志统计中进行记录，结束本次数据输入；

步骤9、将数据丢弃，同时在日志统计中进行记录，结束本次数据输入；

步骤10、内部网络数据输入至网络信道进行处理，并进行步骤3。

4.根据权利要求3所述的一种具有报文认证功能的网络隔离系统的方法，其特征在于：所述步骤2的具体实现方法为：网络信道通过TCP/IP协议栈和套接字Socket接口，在内网主机和外网主机操作系统建立监听进程，监听常见网络服务端口，并不断地检查是否有新的数据包到来，当检测到新的数据包之后，在套接层上异步接收数据，并生成报文数据。

5.根据权利要求3所述的一种具有报文认证功能的网络隔离系统的方法，其特征在于：所述步骤4包括以下步骤：

步骤4.1、协议适配模块中的协议解析通过读取报文数据的报文长度和标志识别报文数据类型，若报文数据类型满足要求，则将报文数据发送至协议适配模块中的类型适配，否则对类型适配失败的非法数据进行丢弃；

步骤4.2、协议适配模块中的类型适配用协议解析出来的数据适配系统内认可的指定协议类型，若是系统内认可的指定协议类型，则将报文数据发送至协议适配模块中的数据封装，否则对类型适配失败的非法数据进行丢弃。

步骤4.3、协议适配模块中的数据封装使用专用通道协议封装报文数据。

6.根据权利要求3所述的一种具有报文认证功能的网络隔离系统的方法，其特征在于：所述步骤5中检查过滤包括以下步骤：

步骤5.1、状态包检测过滤模块的数据校验机制对报文数据的报文长度、标志符和数据校验码等特征数据进行验证对比，若校验合格则进行将报文数据发送至检查过滤的专用协议封装，否则丢弃检验机制之外的非法数据。

步骤5.2、状态包检测过滤模块的专用协议封装将报文数据的送入隔离模块进行报文的密码学认证。

7.根据权利要求3所述的一种具有报文认证功能的网络隔离系统的方法，其特征在于：所述步骤7的具体实现方法为：

步骤7.1、发送方将报文m经过HASH算法运算得出固定长度256位的报文摘要H(m)；

步骤7.2、发送方对报文摘要H(m)加密生成密文E_k(H(m))，并附加在消息m之后传输；

步骤7.3、在接收方收到报文m和报文摘要密文E_k(H(m))之后，将报文摘要密文E_k(H(m))解密还原成报文摘要H(m)；

步骤7.4、同时接收方将收到的消息m经过HASH算法运算得出的消息摘要H(m′)与对方发送的报文摘要H(m)比较是否相同，若两者相同，说明接收到的报文是合法的经过认证的报文，转发到另一侧主机；若两者不相同，则断定收到的消息不是发送方发送的信息或者消息被人篡改了，将该报文丢弃，并标识认证不通过。

8.根据权利要求3所述的一种具有报文认证功能的网络隔离系统的方法，其特征在于：所述网络隔离方法能够进行动态升级；所述动态升级的包括以下步骤：

⑴、待升级软件经过测试验证后，将程序映像.bin文件压缩为ZIP文件，入到配置管理库，上传到文件服务器中，升级时，由管理主机从文件服务器中读取配置项文件进行升级操作；

⑵、用户选择要升级的软件映像和被烧写的DSP，启动软件在线更新；

⑶、升级管理软件从文件服务器中获取要更新的软件ZIP文件，对配置项文件压缩包进行解压缩处理，根据可执行文件名、程序校验码对程序进行校验，校验成功后，启动程序映像的Flash烧写程序，并向升级管理软件回传“程序烧写成功应答报文”，通知程序烧写成功，升级管理软件根据应答报文判断程序更新是否成功，并反馈给用户。

Images