物理隔离网闸系统设计浅析
2014-11-12赵小刚王创科
赵小刚 王创科
摘 要:简单分析、介绍了网闸,并简单设计了物理隔离网闸(MPIS)系统结构;介绍了物理隔离网闸BIOS中的基本输入、输出模块,并给出了解决问题的措施。基于MIPS网闸系统的高水平的计算机系统可以引导各种应用程序开发、相关软件系统的研究和移植,这对提升计算机应用研究水平,提升我国产品的性能和竞争能力有很重要的现实意义。
关键词:网闸;BIOS系统设计;SCSI技术;计算机
中图分类号:TP393.08 文献标识码:A 文章编号:2095-6835(2014)18-0133-02
互联网已经成为了人们交流和探索知识的重要工具之一,同时,它也是进行电子商务的全球性网络。网络的广泛应用在很大程度上可以提高使用者的工作效率,但是,网络安全问题却日益严重。随着越来越多的个人和单位加入互联网络,日益恶化的网络安全问题成为了人们关注的焦点。要想解决网络安全问题,就需要开发一个采用物理隔离网闸的专用系统平台。该平台使用国产CPU,并且要求电路高度集成、性能优异,这样才可以提升整个系统的安全性,避免后门隐患出现,同时,还能为大力推广我国的国产CPU,为供应商采用国产系统平台,研发、搭配国产软件起到应有的作用。
1 网闸的相关内容
1.1 网闸的概念
网闸又被称为物理隔离网闸或安全隔离网闸。它是具有多种控制功能的网络安全专用设备,能在电路中实现切断网络之间通讯数据链路层的连接,还能在网络上进行较为安全的应用数据交换。
网闸可以实现内网与外网在网络OSI七层模型中的物理隔离,它是针对TCP/IP协议等应用协议的进一步剥离和重建,使得内、外部主机可以在任意时间都能彻底断开。网闸一般具备身份认证、访问控制、安全隔离、内核防护、安全审计、协议转换和病毒查杀等安全功能模块,是由软件和硬件一起构成的整体系统。它的硬件设备体系主要是由三大部分构成,即内部处理单元、隔离硬件和外部处理单元。
网闸安全交换过程的实现是通过提取网络通讯数据包中的应用数据,经过网闸安全审查后才可以继续完成数据交换的过程。网闸的使用原理是采取单刀双掷开关的方式,让内、外网的数据处理单元分开存取双方共享在存储设备上的数据信息,从而达到交换数据的目的,以此完成在物理上完全隔离情况下的数据交换任务。
网闸是对通讯数据包进行基于访问控制、审查安全策略、通讯协议的剥离等审查,只有经过严格审查的通讯数据才可以流出外网或进入内网,这样就可以有效制止泄露信息和入侵网络的问题发生。它的安全原理是采用对应用层数据提取并进行安全审查,从而达到增强OSI模型应用层的安全性和避免基于OSI模型协议层遭受攻击的目的。
1.2 网闸实现的技术原理
现在的网闸实现实时开关的模式基本有两类,即基于总线技术的开关模式和基于SCSI技术的开关模式。
基于SCSI技术的开关模式应用的网闸,它采用的交换数据通道为SCSI模式的硬盘接口,存储数据的介质也采用的是SCSI硬盘,整个过程是通过数据的剥离、还原、审查、封装来实现的,而控制单元采用的是专制的电路硬件。网闸采用总线技术的开关模式时,一般使用双端口的静态存储设备,再配合使用基于独立的EPGA或CPLD模式控制电路。
2个端口通过各自独立的开关连接1台物理独立的计算机。FPGA或CPLA作为独立的控制电路系统,需要保证在2个端口上,对应的静态存储器要保证每个端口上都有1个开关,而且2个开关是不允许出现同时闭合情况的。
1.3 网闸的安全性分析
使用内、外网的物理隔离方式能够有效阻挡借用计算机操
作系统的漏洞和网络通讯协议的漏洞进行的网络攻击,还能够有力地控制内部与外界网络间的数据传送。采用灵活、高效的可扩展安全机制,不仅可以提高系统的安全性,同时,系统还具有快速恢复的功能。
1.4 网闸系统与防火墙系统的功能对比
防火墙系统是在网络处理IP数据包转发时对IP包采取的特殊处置模式,以此实现对TCP会话的有效管理,但是,防火墙系统对应用数据的内容是不做任何检查的。这样的工作模式无法防止泄密情况发生,它不能确定许可通过的网络数据流是否安全,也不能阻止黑客程序和网络病毒的攻击,所以,防火墙存在先天性设计缺陷。但是,物理隔离网闸可以避免这些问题。因为不论是从实现原理,还是从它的功能上来说,防火墙系统和安全隔离网闸系统是完全不一样的,防火墙系统是属于保证在OSI网络层安全的边界安全工具,而安全隔离网闸系统重点在于保护内部网络的使用安全。
2 物理隔离(MPIS)网闸系统的设计要求
基于国内网闸研究、开发的现状可以确定,MPIS网闸支持可用于批量生产的商业用芯片组,比如南桥、北桥、网卡等,具体的使用型号则是由MPIS网闸项目组根据实际情况决定的。系统要安装在微型机箱中,使用双端口的RAM用作内、外部网络的交换通道,同时,它还可以提供标准的PS2键盘、鼠标接口,并使用标准的ATX2.0版本为系统供电。整个系统要有能够扩展的兼容性,在不更改电路板的原则下更换部分兼容芯片能够实现系统的扩展要求。该系统要求采用DDR3 SDRAM支持标准,提供了1个以上的PCI标准扩展槽,拥有2个以上的SATA接口,拥有足够大容量的FlashROM的BIOS,能够满足必要软件的升级要求。另外,内网与外网数据交换的速度可以实现千兆速率。
整个MPIS网闸系统必须由2块构造相同的电路板N,W和2个端口的静态存储卡组成。电路板N,W由被称为MPIS主板,分别对应MPIS网闸系统的内部处理单元和外部处理单元。连接2个MPIS主板的双端口静态存储卡是作为MPIS网闸的隔离硬件存在的。
3 MPIS网闸的BIOS规划
BIOS是计算机操作系统与硬件平台之间联系的枢纽,它的主要作用是对设备底层硬件进行基本的管理,并为操作系统供给可用的服务和资源等。BIOS的基本功能包括基本输入输出部分、开机加电系统自检部分、系统启动自动运行的程序部分和系统设置中的信息程序等,其核心为支持上层的操作系统。BIOS的工作任务主要有五方面:①当系统启动时,它处理CPU内部寄存器的初始和中断向量;②板级相关的初始化,包括对北桥、南桥和I/O功能的初始化;③配置系统PCI总线;④完成对外围硬件设备的检测;⑤载入操作系统内核,将系统控制权交给操作系统。因此,MPIS网闸硬件电路的设计指标可以采用龙芯CPU开发时所应用的BIOS解决方案里面的PMON架构,依据MPIS网闸的实际状态进行移植和开发。PMON的核心在于保证程序所需基础环境的运行,如图1所示。PMON调用BIOS的系统启动自运行、硬件初始化、运行开机自检程序、记录系统设置值,但是,PMON却没能为系统提供基本的输入、输出保证,这对调试是非常不便的。
BIOS的特点和功能是:拥有类似于LINUX的使用环境;具有TCP/IP协议栈,可以将环境变量保存在EEPROM中,并支持网络或串口下载应用程序;拥有功能强大的汇编调试程序;能够进行硬件初始化任务,包括南桥、北桥、存储器、处理器、PCI设备等;拥有丰富的调试和检测模块,可以检查和设置内存、寄存器、反汇编内存中的内容,并在内存中查找和复制指定的内容;能够对程序进行单步执行或特殊断点设置。
图1 PMON运行的基础环境
因为采用PMON中的BIOS解决设计中存在的问题,所以,就需要在设计硬件平台时设计支持PMON运行的硬件,而在软件设计上则需要针对硬件初始化进行相应的修改和完善,例如加入所需的基本输入、输出系统和设备驱动支持的修改。PMON的工作流程则为:①进行硬件检测、寄存器初始化,包括CPU内部寄存器的初始化和中断向量的处理;②对栈进行初始化,对南北桥芯片组、内存的初始化,待初始化完毕后进行代码段复制——段初始化、加载异常处理程序、缓存初始化、外围设备初始化、检查客户程序运行环境;③进入Shell状态。
4 结束语
本文叙述了MPIS网闸系统需要达到的基本性能和指标要求,并进一步阐述了根据这些性能、指标设计的MPIS网闸系统结构,规划了MPIS网闸硬件平台的系统功能,描述了MPIS网闸的BIOS解决方案。研发基于MPIS架构的计算机平台,不但可以带动相关操作系统的研发,还可以带动各种各样应用程序的研发,这对于提高国产计算机的研究应用水平,提高国产产品性能和竞争力具有很重要的现实意义。
参考文献
[1]王勇强.基于PCI总线的网闸数据交换系统的设计与实现[D].西安:西安电子科技大学,2012.
[2]顾斌杰,叶宾,潘丰,等.基于MIPS核的物理隔离网闸引导设计[J].微计算机信息,2009(06).
[3]王珺,李立新,李福林.物理隔离和网闸的技术原理浅析[J].微计算机信息,2012(24).
[4]Steinberg,Joseph.Introducing Air Gap Technology[M].USA:Price water house Coopers Cryptographic Centre of Excellence,2002.
作者简介:赵小刚,陕西兴平人,主要从事计算机教学和校园网方面的工作。王创科,陕西杨凌人,主要从事无线电和网络安全方面的工作。
〔编辑:白洁〕
BIOS的特点和功能是:拥有类似于LINUX的使用环境;具有TCP/IP协议栈,可以将环境变量保存在EEPROM中,并支持网络或串口下载应用程序;拥有功能强大的汇编调试程序;能够进行硬件初始化任务,包括南桥、北桥、存储器、处理器、PCI设备等;拥有丰富的调试和检测模块,可以检查和设置内存、寄存器、反汇编内存中的内容,并在内存中查找和复制指定的内容;能够对程序进行单步执行或特殊断点设置。
图1 PMON运行的基础环境
因为采用PMON中的BIOS解决设计中存在的问题,所以,就需要在设计硬件平台时设计支持PMON运行的硬件,而在软件设计上则需要针对硬件初始化进行相应的修改和完善,例如加入所需的基本输入、输出系统和设备驱动支持的修改。PMON的工作流程则为:①进行硬件检测、寄存器初始化,包括CPU内部寄存器的初始化和中断向量的处理;②对栈进行初始化,对南北桥芯片组、内存的初始化,待初始化完毕后进行代码段复制——段初始化、加载异常处理程序、缓存初始化、外围设备初始化、检查客户程序运行环境;③进入Shell状态。
4 结束语
本文叙述了MPIS网闸系统需要达到的基本性能和指标要求,并进一步阐述了根据这些性能、指标设计的MPIS网闸系统结构,规划了MPIS网闸硬件平台的系统功能,描述了MPIS网闸的BIOS解决方案。研发基于MPIS架构的计算机平台,不但可以带动相关操作系统的研发,还可以带动各种各样应用程序的研发,这对于提高国产计算机的研究应用水平,提高国产产品性能和竞争力具有很重要的现实意义。
参考文献
[1]王勇强.基于PCI总线的网闸数据交换系统的设计与实现[D].西安:西安电子科技大学,2012.
[2]顾斌杰,叶宾,潘丰,等.基于MIPS核的物理隔离网闸引导设计[J].微计算机信息,2009(06).
[3]王珺,李立新,李福林.物理隔离和网闸的技术原理浅析[J].微计算机信息,2012(24).
[4]Steinberg,Joseph.Introducing Air Gap Technology[M].USA:Price water house Coopers Cryptographic Centre of Excellence,2002.
作者简介:赵小刚,陕西兴平人,主要从事计算机教学和校园网方面的工作。王创科,陕西杨凌人,主要从事无线电和网络安全方面的工作。
〔编辑:白洁〕
BIOS的特点和功能是:拥有类似于LINUX的使用环境;具有TCP/IP协议栈,可以将环境变量保存在EEPROM中,并支持网络或串口下载应用程序;拥有功能强大的汇编调试程序;能够进行硬件初始化任务,包括南桥、北桥、存储器、处理器、PCI设备等;拥有丰富的调试和检测模块,可以检查和设置内存、寄存器、反汇编内存中的内容,并在内存中查找和复制指定的内容;能够对程序进行单步执行或特殊断点设置。
图1 PMON运行的基础环境
因为采用PMON中的BIOS解决设计中存在的问题,所以,就需要在设计硬件平台时设计支持PMON运行的硬件,而在软件设计上则需要针对硬件初始化进行相应的修改和完善,例如加入所需的基本输入、输出系统和设备驱动支持的修改。PMON的工作流程则为:①进行硬件检测、寄存器初始化,包括CPU内部寄存器的初始化和中断向量的处理;②对栈进行初始化,对南北桥芯片组、内存的初始化,待初始化完毕后进行代码段复制——段初始化、加载异常处理程序、缓存初始化、外围设备初始化、检查客户程序运行环境;③进入Shell状态。
4 结束语
本文叙述了MPIS网闸系统需要达到的基本性能和指标要求,并进一步阐述了根据这些性能、指标设计的MPIS网闸系统结构,规划了MPIS网闸硬件平台的系统功能,描述了MPIS网闸的BIOS解决方案。研发基于MPIS架构的计算机平台,不但可以带动相关操作系统的研发,还可以带动各种各样应用程序的研发,这对于提高国产计算机的研究应用水平,提高国产产品性能和竞争力具有很重要的现实意义。
参考文献
[1]王勇强.基于PCI总线的网闸数据交换系统的设计与实现[D].西安:西安电子科技大学,2012.
[2]顾斌杰,叶宾,潘丰,等.基于MIPS核的物理隔离网闸引导设计[J].微计算机信息,2009(06).
[3]王珺,李立新,李福林.物理隔离和网闸的技术原理浅析[J].微计算机信息,2012(24).
[4]Steinberg,Joseph.Introducing Air Gap Technology[M].USA:Price water house Coopers Cryptographic Centre of Excellence,2002.
作者简介:赵小刚,陕西兴平人,主要从事计算机教学和校园网方面的工作。王创科,陕西杨凌人,主要从事无线电和网络安全方面的工作。
〔编辑:白洁〕
