CN201821379U - 主动仲裁的安全隔离与信息交换系统 - Google Patents

Abstract

本实用新型公开了一种安全隔离与信息交换系统，包括：两端机，其分别包含，一通信端口，一数据处理模块，以及一自定义协议模块；一仲裁机，其包含，一规则下载模块，一策略库，两自定义协议模块，以及一调度模块；所述三机分别包含TPM模块，仲裁机要求两端机的TPM模块对其做可信报告，如果通过验证则生成控制标志。本实用新型自身抗攻击能力极大提高，隐蔽通道带宽极大降低，使得多级网络间数据传输的安全性显著增强。

Description

主动仲裁的安全隔离与信息交换系统

技术领域

本实用新型涉及信息安全领域，尤其涉及一种主动仲裁的安全隔离与信息交换系统。

背景技术

随着计算机技术的飞速发展，多级网络间的数据交换越来越频繁，信息安全也成为人们关注的重要问题。多级网络间存在较高的隐蔽信息传输带宽，攻击者可以利用其渗透用户端机及安全隔离系统。请参阅图1所示，为攻击者构造不受控信息通道的常用方法：首先了解配置在ZZ上的策略(例如，通过社会工程学的方法)，此后，假设攻击者从X和Y开始，分别对设备的XX，YY进行了渗透，当从X到XX发起一个新的连接时，在XX处攻击者会生成新的合法内容C，并把信息隐蔽到合法的信息中，称为载体。(对合法的内容，对其内容的利用未达到满熵的地步，即存在隐蔽信息的可能，从美国1985年的DOD白皮书开始，针对4级以上的系统要求限制隐蔽通道带宽而不是完全消除隐蔽通道)。并经过ZZ发送到YY，这个连接对ZZ来说是合法的(符合策略的)，内容也能够通过检查(本身就生成的合法内容，隐蔽内容仅仅隐藏在富余的熵中)，在YY上用于伪装的内容C会被丢弃，而隐蔽在其他内容中的隐蔽信息被YY提取后重新生成，并建立与Y的会话连接，从而实现了不受控通道。假设存在n个载体，不同的长度为L_i，(不失一般性，按可隐蔽信息的量降序排序)其中前m_i个载体分别可以加载隐蔽信息k_i位，设网络速度为s(单位Mpbs)，则每秒中通过可传输的隐蔽信息即隐蔽信息带宽为

非主动仲裁式的安全隔离系统额外产生的不受控通道如下：

(1)通过会话标识的隐蔽通道。由于TCP/IP层的剥离，XX与YY之间的通讯，必须有会话标识以在并行会话中进行区分，如果此会话标识由两端机生成，由于会话标识仅起并发连接标识作用，因此可以被利用来加载隐蔽信息。若系统设置的会话标识为8位，假设应用层每次传输40位字节。则在100M环境下，每秒中通过会话标识传输的隐蔽信息量为100/(8+40)*3＝6Mbps。

(2)通过数据流长度分段的隐蔽通道。整个应用层数据块为合法数据，但是根据隐蔽数据对每次传输数据的长度进行不同的分段，在MTU＝1500的环境下，(内部交换卡通常非网卡，在此假设MTU为此值)，隐蔽信息的带宽为100/(MTU/2)*1500^1/2＝12Mbps。

(3)通过应用层信息排序的方法。此类隐蔽方法在各种期刊中介绍的非常多。例如HTTP头部信息，邮件头部信息，FTP请求序列等等。此处我们以邮件协议的头部为例，邮件协议头部的常见参数约20个，RFC标准协议中并未规定其排序的顺序，则对于一封2000字节的电子邮件，其可隐蔽的字节数为log₂20！＝61，在百兆中实际的带宽约为3Mbps。

(4)通过应用层信息隐写的方法。此类隐蔽通道的带宽变化范围很广，根据典型的LSB方法，在百兆网中隐蔽信息的带宽约为1/8，即12Mbps。

实用新型内容

本实用新型的目的是通过提供一种主动仲裁的安全隔离与信息交换系统，以解决多级网络之间存在的较高隐蔽信息传输带宽的问题。

为了达到上述目的，本实用新型提供了如下技术方案：

一种安全隔离与信息交换系统，为三机系统，包括：两端机，其分别包含一通信端口，与外端机连接，用于从外端机接收数据；一数据处理模块，与所述通信端口连接，用于处理所述接收的数据；以及一自定义协议模块，与所述数据处理模块连接，用于根据自定义协议与仲裁机建立通信链路；一仲裁机，其包含一规则下载模块，与跨域管理中心连接，用于从所述跨域管理中心下载策略；一策略库，与所述规则下载模块连接，用于存储所述下载的策略；两自定义协议模块，用于根据自定义协议分别与所述两端机建立通信链路；以及一调度模块，与所述策略库连接，用于从策略库调出策略，通过所述两自定义协议模块控制与所述两端机间通信链路的连通与断开；所述三机分别包含TPM模块，仲裁机要求两端机的TPM模块对其做可信报告，如果通过验证则生成会话标志。

所述仲裁机还可以包含一缓存模块，分别与所述仲裁机的调度模块和两自定义协议模块，用于在过滤应用层数据时缓存数据。

所述调度模块还可以包含一签名认证子模块，用于根据用户的需求对经过的数据块进行签名认证。

所述仲裁机分别与所述两端机间还可以包含一隔离部件，用于对单包采用后退式时间推进方式，保证两端机无法攻击仲裁机。

与现有技术相比，本发明的有益效果在于：安全隔离与信息交换系统自身抗攻击能力极大提高，隐蔽通道带宽极大降低，多级网络间数据传输的安全性显著增强。

附图说明：

图1为攻击者构造不受控信息通道常用方法的原理示意图；

图2为本实用新型安全数据交换的原理示意图；

图3为本实用新型仲裁系统的状态机流程图；

图4为本实用新型三机系统总体框架图。

具体实施方式

下面结合附图和具体实施例对本实用新型进行进一步阐述。

本实用新型旨在采用主动仲裁的三机系统，通过仲裁机生成会话标志来避免隔离设备额外生成隐蔽通道，在仲裁机提供缓存以避免长度隐蔽通道，对文件进行签名认证来避免应用层的隐蔽通道，三机采用TPM模块，利用TPM的可信报告功能提高仲裁机的可靠性。

请参阅图2，所示为本实用新型安全数据交换原理示意图。鉴别合法的数据的方法分为两个大类，一是数据来源是可信的，二是数据本身是可信的。本实用新型不涉及外部的可信验证。针对设备内部，仲裁机通过两端机TPM的可信度量和可信报告，来验证两端机交换程序的可信性(此方法同时提高仲裁机的自身安全，将在图4中详述)。针对数据本身的可信，若安全数据交换要求不能在应用层存在隐蔽信息，则隔离设备规定经过的数据必须是数据块(文件)，并且该文件必须经过签名。若用户对安全数据交换的需求是应用层隐蔽信息小于一定带宽，则隔离设备根据配置的策略对经过的数据进行过滤，除了均匀编码之外，大部分现有应用层信息都无法达到满熵，因此必然存在隐蔽通道(又称为隐写)。

针对任何经过的数据，可分为数据块和数据流两个层次。数据块与数据块之间没有关系，而数据流与数据流之前存在前后关系。一个数据块可称为一个文件，一个数据块由一段数据流构成。针对经过设备的每一个数据块，其根据不同的应用协议，可包含多个数据块。针对每个数据块，其是合法数据还是非法数据，可采用安全策略进行判定。假设安全策略库S＝{S₁，...，S_i，...，S_n}由n个子策略集构成，全部交换的数据L＝{L₁，...，L_i，...，L_m}由m个数据块构成，并存在n个判断函数f(s_i，l_i)，其中(s_i∈S，l_i∈L)。则总的判定函数是子判定函数的连接，总的判定值满足

请参阅图3所示，为本实用新型仲裁系统的状态机流程图，可以用一个二带图灵机来描述仲裁系统，其状态机包括四个状态{1，2，3，4}，和四个控制输入req(x)，err(x)，oka(x)，end(x)和一个数据输入dat(x)每个信号分为x＝0和x＝1，表示来自哪个方向的一端机。一次典型的数据通讯过程如下，开始时状态机的状态是1，当收到来自一端机的访问请求req(x)时(该请求应包含请求来源，请求的身份，请求的目标)，若请求参数均满足判定f，(则创建会话序列号，并把请求的目标和Sn发送到另一端，)并进入状态2，同时调用f(S_n)分配会话参数，根据来自跨域管理中心的配置，转换请求的身份，转换请求的目标，向另一端发出指令(包括该S_n会话参数)，去连接该真实目标；如果参数不满足则保持停留在状态1。在状态2，如果收到另一端机的响应，并且得到其正确连接真实目标的答复oka(x)，则进入状态3，并产生数据通路(称为受控通路)，否则释放会话参数，回到状态1。

在状态3，对于任何来自两端机的数据包，均会打上在前述状态中分配的会话标识，以在并发会话的时候区别会话归属。针对收到的任何数据包，根据管理中心的配置可缓存到本地，并调用相应的应用层过滤策略进行筛查，若发现有问题则阻断连接，直接进入状态4；针对收到的控制数据，如果是结束包，则正常进入状态4，并向另一端发送结束控制信息。状态4释放会话标识等资源后回到状态1，等待下一次连接，每个连接创建一个自动机(包括控制通道和数据通道)，并由一个总的调度进程管理。

请参阅图4所示，为主动仲裁的三机系统100总体框架图。包括：两端机110、130，其分别包含，一通信端口112、132，与外端机连接，用于从外端机接收数据；一数据处理模块114、134，与所述通信端口连接，用于处理所述接收的数据；以及一自定义协议模块113、133，与所述数据处理模块连接，用于根据自定义协议与仲裁机120建立通信链路；一仲裁机120，其包含，一规则下载模块126，与跨域管理中心140连接，用于从所述跨域管理中心下载策略；一策略库125，与所述规则下载模块连接，用于存储所述下载的策略；两自定义协议模块121、123，用于根据自定义协议分别与所述两端机建立通信链路；以及一调度模块124，与所述策略库连接，用于从策略库调出策略，通过所述两自定义协议模块控制与所述两端机间通信链路的连通与断开；所述三机分别包含TPM模块111、121、131，仲裁机要求两端机的TPM模块对其做可信报告，如果通过验证则生成会话标志。所述仲裁机还包含一缓存模块122，分别与所述仲裁机的调度模块和两自定义协议模块连接，用于在过滤应用层数据时缓存数据。所述调度模块还包含一签名认证子模块，用于根据用户的需求对经过的数据进行签名认证。所述仲裁机分别与所述两端机间包含一隔离部件150、160，用于对单包采用后退式时间推进方式，保证两端机无法攻击仲裁机。

系统启动时，首先仲裁机120通过规则下载模块126从跨域管理中心140下载策略存入策略库125，然后调度模块124根据策略库125中的策略，主动通过自定义协议模块121、123连接两端机110、130，要求两端机110、130的TPM模块111、131做可信报告，验证通过后，生成会话标志，创建自动机，开启数据交换功能，并等待；当外端机数据连接之后，三机之间的通讯如下(其中A代表端机110，B代表仲裁机120，C代表端机130)：A发送A→B的控制信息req(0)T_nIP_A，B收到请求后，在策略库中检索出转换关系对(IP_A，IP_B)，创建会话参数S_n，保存(T_n，S_n)对，发送B→C的控制信息req(1)S_nIP_B，C收到信息后，连接真实的服务器IP_B后，发送C→B的控制信息oka(1)S_n，B收到消息后，发送B→A的控制信息oka(0)T_nS_n，删除保存的(T_n，S_n)对。链路建立完成。此后A发送A→B的数据块dat(0)S_n(可能多个)；B组合后调用策略库内容，根据过滤函数f进行过滤，此后发送给B→C的数据块dat(1)S_n(多个，注意这里dat(0)和dat(1)并不是一一应对的)；数据传输结束后，由C发送C→B的控制信息end(1)S_n，由B发送B→A的控制信息end(1)S_n，整个数据交换过程结束。

在整个过程中可能出现几个分支，(1)在步骤中，如果B无法在策略库中找到(IP_A，IP_B)则直接发送拒绝链接并直接返回状态1；(2)在步骤中，如果C无法链接真实的服务器则发送C→B的控制信息err(1)S_n，是B回到状态1；(3)B在过滤函数f返回失败后直接向两端发送两个控制信息err(0)S_n和err(1)S_n，并且保留的全部dat被直接丢弃。(4)断开链接时可能是A或者C先发结束信息，B的处理有略微不同；(5)其他不典型的分支不再详述。

此外，两端机的TPM模块做为可信根，极大的降低了两端机被渗透的可能性；其可信度量和可信报告的作用，极大的降低了两端机被渗透之后，通过自定义协议渗透仲裁机的可能性。

以上对本实用新型实施例提供的技术方案进行了详细的介绍，本文中应用了具体实施例对本实用新型所实施的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解明本实用新型实施的原理；同时，对于本领域的一般技术人员，本实用新型实施例，在具体实施方式以及应用范围上均有改变之处，综上所述，本说明书内容不应理解为对本实用新型的限制。

Claims (4)

1.一种安全隔离与信息交换系统，为三机系统，其特征在于，包括：

两端机(110，130)，其分别包含，

一通信端口(112，132)，与外端机连接，用于从外端机接收数据；

一数据处理模块(114，134)，与所述通信端口连接，用于处理所述接收的数据；以及

一自定义协议模块(113，133)，与所述数据处理模块连接，用于根据自定义协议与仲裁机(120)建立通信链路；

一仲裁机(120)，其包含，

一规则下载模块(126)，与跨域管理中心(140)连接，用于从所述跨域管理中心下载策略；

一策略库(125)，与所述规则下载模块连接，用于存储所述下载的策略；

两自定义协议模块(121，123)，用于根据自定义协议分别与所述两端机建立通信链路；以及

一调度模块(124)，与所述策略库连接，用于从策略库调出策略，通过所述两自定义协议模块控制与所述两端机间通信链路的连通与断开；

所述三机分别包含TPM模块(111，121，131)，仲裁机要求两端机的TPM模块对其做可信报告，如果通过验证则生成会话标志。

2.根据权利要求1所述的安全隔离与信息交换系统，其特征在于，所述仲裁机还包含一缓存模块(122)，分别与所述仲裁机的调度模块和两自定义协议模块连接，用于在过滤应用层数据时缓存数据。

3.根据权利要求1或2所述的安全隔离与信息交换系统，其特征在于，所述调度模块还包含一签名认证子模块，用于根据用户的需求对经过的数据进行签名认证。

4.根据权利要求1或2所述的安全隔离与信息交换系统，其特征在于，所述仲裁机分别与所述两端机间包含一隔离部件(150，160)，用于对单包采用后退式时间推进方式，保证两端机无法攻击仲裁机。

Images