张 珏，田建学

（1.榆林学院 信息学院，陕西 榆林 719200；2.延安大学西安创新学院 实验教学中心，陕西 西安 719000）

近年来，我国信息化建设迅猛发展，在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下，实现网络畅通、资源共享是电子政务系统建设中必须要解决的问题。而传统的物理安全隔离卡技术虽然确保了网络的安全性，却因缺乏信息交换机制等局限性，对网络连通性的支持率较低，往往会形成流通不畅的“孤岛”，而限制了应用的发展。因此，隔离网闸技术成为物理隔离技术的发展趋势。

安全隔离网闸是一种带有多种控制的专用硬件，在电路上切断网络之间的链路及协议连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。由于物理隔离卡技术的切换开发频率一般通过外设时钟设定，网络开关速度低，网络传输性能受到制约，即使开关切换速率高，隔离卡也受到主机性能的影响。而安全隔离网闸采用CPU时钟作为开关，将开关功能在系统内核中实现，从而成功地达到物理隔离的最佳性能。

该技术是使用带有多种控制功能的固态开关读写介质来连接两个独立主机系统的信息安全设备。由于在安全隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在一句协议的信息包转发，只有数据文件的无协议“摆渡”，且对中间固态存储介质只有“读”和“写”两个命令，所以，安全隔离网闸从物理上阻断了具有潜在攻击可能的一切连接，实现了真正的安全保护。

1 网络隔离器的技术实现原理

目前网络隔离器的实时开关实现方式主要有基于SCSI的开关技术和基于总线的开关技术两种[1]。基于总线的实时开关技术的网络隔离器采用双端口静态存储器 （Dual Port SRAM）配合基于独立的FPGA控制电路，双端口各自通过开关与独立的计算机主机连接。如图1所示，FPGA作为独立的控制电路保证双端口静态存储器的每一端口上存在一个开关，且两个开关不能同时闭合即K1×K2=0。基于SCSI开关技术的网络隔离器和图1相似，只是数据通道换为SCSI硬盘接口，而存储介质使用的是SCSI硬盘，控制单元使用专门设计的硬件电路板实现。

图1 基于总线实时开关技术的网络隔离图Fig.1 Network isolated diagram based on the bus real-time technology

网络隔离的技术架构重点在隔离上，实现隔离是关键。

图1的外网是安全性不高的互联网，内网是安全性很高的内部网络。正常情况下，隔离设备的外部主机和外网相连，隔离设备的内部主机和内网相连，网络和内网是完全断开的。隔离设备是一个独立的固态存储介质和一个单纯的调度控制电路。

当外网需要有数据送达内网的时候，以电子邮件为例，外部主机先接收数据，并发起对固态存储介质的非TCP/IP协议的数据连接，外部主机将所有的协议剥离，将原始的数据写入固态存储介质，如图2所示。根据不同的应用，可能有必要对数据进行完整性检查和安全性检查，如病毒和恶意代码等。

图2 带缓冲区的双通道技术图Fig.2 Diagram of dual channel technology with buffer

一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外部处理单元的连接。转而发起对内部处理单元的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据传送至内部处理单元。内部处理单元收到数据后，立即对TCP/IP的封装和应用协议的封装，并交给应用系统。这样，内网电子邮件系统就收到了外网电子邮件系统通过隔离设备转发的电子邮件[2]。

在控制台收到完整的交换信号之后，隔离设备立即切断与内部处理单元的直接连接。

如果这时内网有电子邮件要发出，隔离设备收到内网建立连接的请求之后，建立与内网之间的非TCP/IP协议的数据连接。内部处理单元剥离所有的TCP/IP协议和应用协议，得到原始的数据，并将数据写入到隔离设备的存储介质；如有必要，对其进行身份认证、消息验证等操作，以防内网的机密信息泄露出去；然后中断与内网的直接连接。

一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与内部处理单元的连接。转而发起对外部处理单元的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外部处理单元。外部处理单元收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给系统。控制台收到信息处理完后，立即中断隔离设备与外部处理单元的连接，恢复到完全隔离状态。

每一次数据交换，隔离设备经历了数据的接手、存储和转发3个过程。由于这些规则都是在内存和内核中完成的，因此速度上得到保证，可以达到100%的总线处理能力[3]。

2 基于总线的双通道循环缓冲区

在图1原有的设计中，在进行数据交换时，内部和外部处理单元在任何时刻只有一方与隔离硬件相连。如果数据通道的速度为A bps，那么内部处理单元间的数据交换速度最高只能达到A/2 bps，未能充分利用发挥数据通道的能力。为此提出如图2的设计。

将 DPRAM 存储区域分为 A（a1，a2，….，an）和 B（b1，b2，….bn）两块（ai、bi为 n 个相等的小块存储区），K1 和 K2 的约束为 K1ai×K2ai=0 且 K1bi×K2bi=0（K1ai表示 K1 与 ai相连，K2ai、K1bi、K2bi与此相同）。如此以来就将原来设计中的一个双向数据通道变为了两个单向的数据通道，当内外部主机中的一方对ai或bi进行访问时，另一方依然可以对aj或bj（i不等于j）进行访问，同时实现了传输数据的隔离[4]。

对ai、bi区域的访问控制进行设计，使其分别组成两个循环缓冲区，这将进一步减少内外部处理单元对隔离硬件访问读写冲突的发生，同时也提高了交换数据的实时性。通过这样的设计能使系统总线数据通道工作于“全双工”提高了数据交换的速度和实时性，提升了系统的整体性能，满足了更高的应用需求。

3 使用数据加密标准（DES）加密数据

对接收或发送的数据进行加解密处理，如图3所示。

图3 系统基本构成图Fig.3 Basic structure diagram of system

以数据从外网向内网传输来说，首先“数据接收模块”从外网接收数据报，然后将数据传送至“数据分析模块”，数据分析模块对数据进行分析，并对数据进行DES加密，把加密后的密文通过硬件传送至安全模块。“安全模块”对数据进行审查，审查通过后将数据传送至“数据分析模块”，“数据分析模块”对接收的数据进行解密，最后把数据送至内网，这样，就完成了数据在网络隔离器中的一次传输。对内网传出去的数据，处理过程类似于外网向内网的数据传输过程。这样就实现了数据快速，安全的传输。

4 结束语

正处于第5代网络隔离设备的研发阶段。网络隔壁技术正向易用性、应用融合化等方向发展，网络隔离技术在负载均衡、冗余备份、硬件密码加速、易集成管理等方面还需要进一步的改进，同时更好地集成入侵防御和加密通道、数字证书等技术，将成为新一代网络隔离产品发展的趋势[5]。为了更好地满足我国提出的内网、外网和公网的网络体系结构，从成本和易管理方面出发，三网或多网的网络隔离设备也将成为网络隔离技术的一个发展方向[6]。

[1]胡林峰.网络隔离器的设计与实现[D].无锡：江南大学，2006：12-40.

[2]郑炜，须文波.物理隔离网闸的设计与实现[J].微计算机信息，2005（12）：131-132.ZHENG Wei，XU Wen-bo.Design and realization of netgap based on physical isolation[J].Microcomputer Information，2005（12）：131-132.

[3]陈强，付强，张勇.浅谈网络隔离技术[J].北方交通，2010（4）：195-197.CHEN Qiang，FU Qiang，ZHANG Yong.Brief discussion on network isolation technology[J].Northern Communications，2010（4）：195-197.

[4]张继永.网络隔离技术与信息安全[J].中国信息界，2010（9）：25-26.ZHANG Ji-yong.Network isolation and information security[J].China Information，2010（9）：25-26.

[5]陈群.选择无线局域网的安全策略[J].计算机安全，2008（10）：52-54.CHEN Qun.Choosing a strategy for WLAN[J].Net-work＆Computer Security，2008（10）：52-54.

[6]刘峰，杨阳，王瑞恒.无线局域网的安全技术分析及比较[J].电子设计工程，2010（12）：8-10.LIU Feng，YANG Yang，WANG Rui-heng.Analysis and comparison ofWLAN security technology[J].Electronic Design Engineering，2010（12）：8-10.

[7]马建峰，朱建明.无线局域网安全—方法与技术[M].北京：机械工业出版社，2005：162-165.

[8]万平国.网络隔离与网闸[M].北京：机械工业出版社，2004.