自制单向数据传输系统研究

2016-03-14湖北省荆门市公安局马宇宙

电子世界 2016年16期

湖北省荆门市公安局　马宇宙

自制单向数据传输系统研究

湖北省荆门市公安局马宇宙

随着网络安全意识的提升，很多企事业单位都在加强网络安全技术措施。一些企事业单位在保护自己的私有数据资源时，都采取了内外网安全隔离措施。这里就涉及到了一个从低密到高密级别单向数据传输问题。很多单位花费重金，购买所谓的单向光闸，来保证内部网络数据的安全性。然而，对于中小企事业单位来说，这方面的投入就显得过于奢侈。那如何以更少的资金解决数据单项传输保障内网数据安全呢？这是值得我们思考的话题。

网络；自制；单向；内外网传输；研究

网络信息安全已经成为当今世界热门课题之一，已经引起社会广泛关注。当前网络信息安全形势日趋严峻，长期以来在数据跨网交换中存在着严重的安全隐患。因此，建立安全高效的内外网单向数据传输系统很有必要。目前商用的单向光闸成为了众多互联网企业的首选，其投入费用较高。如果我们采用现有软硬件技术及设备进行拼装，实现安全的内外网数据单向传输，将是一项有意义的研究。

1　商用网络单向传输设备单向光闸原理

商用单向光闸，它解决了内网和外网之间安全隔离、可控的数据交换需求，采用单向光闸隔离涉密网络与非涉密网络，保证涉密数据不从高密级网络流向低密级网络。

1.1商用单向光闸系统组成

单向隔离光闸由三部分组成：内网单元、外网单元、分光单向传输单元。其中内网单元和内网相连，外网单元与外网相连，分光单向传输单元是内外网之间唯一且安全的数据传输通道。

1.2商用单向光闸工作原理

外网单元有数据传输请求时，将激活分光单向传输单元，向其发送数据，分光单向传输单元采用单向光信号向内网单元传递，内网单元接到传输的数据光信号后，对数据进行采集、保存、处理。

2　自制单向数据传输系统设计的关键问题

参照单向光闸系统工作原理，我们要自制一套完备的内外网单向数据传输系统，也同样需要考虑以下几方面的问题：

2.1严格的内外网物理隔离

内外网交换安全，如果从物理上保证了单向的数据传输，那就是可靠的的物理隔离，目前，光闸提供了很好的参考，我们也可以采用光信号的单向，稳定，传输快优点，对两网进行物理隔离。

2.2传输数据的相对完整性

数据传输重要的是检测出无效数据和有效数据，抛弃无效数据。在传输过程中，我们可以借用现有的网络传输协议来实现内外网数据传输的安全性。甚至可以在传输的数据包内进行二次的数据完整性校验，防止无效的数据被还原存储。

2.3命令与数据的并行传输

在传输中，我们不仅可传数据，同时可以并行传输相关命令，实现数据、命令的同步传输。对于仅为文件应用的传输可不用考虑此点。

3　自制单向数据传输系统的实现

3.1自制单向数据传输系统的架构

自制单向数据传输系统我们同样可设计成三部分，内网单元、外网单元、分光单向传输单元。我们设计的外网单元可理解为：在外网上，网络客户端向服务端发送网络数据，数据在网络中采用光纤传输，我们对光纤数据进行分光，分光后，把数据导向内网，在内网单元里对网络传输的光信号数据进行采集组装还原。作者的一个经典配备案例为：一台装有双网卡计算机作为外网单元（设置真机一个网卡，VM虚拟机一个网卡，两网卡可通过TCP/IP协议通信），一台单网卡计算机作为内网单元，如果外网单元网卡是电口，必须加装一套光纤收发器（双纤，一收一发）将电信号转化为光信号。通过分光器将其中一根发送数据的纤进行分光，将分光后的信号直接接入内网单元光口（内网单元网口为光口）或者加装光纤收发器转换成电信号后接入内网单元电口（内网单元网口为电口），再在内网单元中启动监听采集还原程序，将网口上接收的数据包进行采集重组还原。

3.2单向数据传输系统的数据完整性设计

TCP传输协议是目前网络数据传输公认的比较安全的协议，它拥有七层网络模型传输层以下很多安全措施（保证其传输数据的完整性），我们可以充分依赖这些协议机制，保证外网到内网数据传输的相对完整性。以此满足我们自制单向数据传输系统数据校验功能。当然，我们可以对数据进行二层校验，即在传输的数据包中增加数据内容，附带传输数据的hash值。内网单元组装还原数据后，可进行更为严格的hash值数据校验，保证数据完整可靠。作者实现中采用了一个偷懒的做法：对所传数据用winrar压缩成一个文件，然后采用SMTP传输协议（下层为TCP协议），内网单元组装还原后，是一封带一压缩文件附件的邮件，压缩文件本身就具有完整性校验能力，能校验成功表示外网到内网数据完整。

3.3自制单向数据传输系统关键环节研究

自制单向数据传输系统中，外网单元的部分很好实现，只需要在外网络产生一条传输数据的网络光通道，且能分光到内网即可。该系统最关键环节就在TCP协议数据还原部分。目前协议数据监听还原，很多人在研究，算法都不一样，本人经过多次的研究发现，一套懒办法可以让数据还原做得很好。以往，我们的算法就是：监听数据包，来一个处理一个，写一个，遇到重传或者累传，拼接数据就显得很麻烦，虽然，这类算法对节约内存比较有用，但算法却显得散乱、复杂。而现今内存大小已经不再是一个大问题，8G、16G内存已经很常见，我们不需要为节约内存而对数据包来一个处理一个，我们只需要把一个四元组（源IP、目的IP、源端口、目的端口）从连接成功（TCP标志位SYN同步）到数据传输结束（TCP标志位FIN）的所有数据包（含重传、累传）都逐一存放到一个链表结构里，我们要做的工作就是：从FIN包开始回溯，每次减去包长就是我们向前回溯的那个TCP包序列号。通过此法，只要一个一个向前找，找到SYN同步包为止，不管数据因传输问题出现多少次重传、累传，只要分光信号完整，我们总能找出链表结构中那一条完整的数据包链，最终完全还原整个四元组TCP协议数据。

3.4自制单向数据传输系统吞吐量研究

自制单向数据传输系统的吞吐量主要涉及以下几个关键速度：一是网络传输速度，二是计算机还原数据包速度，三是内网存储速度。网络传输速度跟网卡有关，内外网单元的三个网口选购千兆网口基本能满足不同的需求。计算机还原速度跟计算机硬件配置有关，配备高性能的计算机，或者复用一些工作量不大的高性能服务器均可。内网存储速度跟内网存储的类型接口有关，选写入速度快的存储可以提高吞吐量。当然，如果网络速度远远高过存储速度，可以采用多线程，标志位的方式将要传输的数据每次分为四份，在分光时，采取一分四的分光器分光，导入到4台内网机并行处理，一台内网机只存其中的网络传输中的四分之一数据，这样对于网速快但内网是多台老式机器的应用场景可明显提高传输的吞吐量。