基于光闸的单向传输特性的系统可靠性研究
2022-07-26付懿姝席晟哲
程 鑫,付懿姝,王 鑫,席晟哲
(国网河南省电力公司安阳供电公司,河南安阳 455000)
在OSI 开放式连接模式中,应用层协议定义了在多个终端上运行的应用软件之间的消息交换,并定义了通信双方进行信息传递和解读:通过特定的协议,传送方将特定的信息按照特定的协议进行打包,最后以位流的方式在整个网络中传播;接收端在接收到数据包后,根据网络协议的要求对其进行处理,然后将其转化为文件或者向其他的网络发送。通信协议包含三大部分:①语法。数据的格式、编码和结构;②语义。信息的构成、区分控制体系、通信内容;③时间。通信的时间,通信内容的顺序。由于通信数据需要在没有反馈的情况下进行,因此,传统的网络协议堆叠无法与本系统的底层硬件架构相适应。确保资料的安全性;文章重点讨论了传输的可靠性问题,包括单路光闸专用传输协议的设计,采用正向误差校正技术保证了光闸光传输的可靠性,并采用MD5技术对文件进行完整性验证。
1 安全需求分析及目标
1.1 安全需求分析
在单向光闸的传输控制系统的设计时,要充分考虑通信的基本要求和应用环境。既要考虑传输技术及相关协议的共性要求,又要兼顾不同网络环境下的实际应用需求。基于信息安全视角,对传输系统中的每个环节的潜在隐患进行多重分析。具体应完成以下几个方面的基本内容。
1.1.1 单向性
为了有效保证涉密网络从非涉密网络传输信息和数据的基本安全,既要确保逻辑层面对数据的单向无反馈传输,又要确保物理层传输的单向隔离机制。
1.1.2 涉密环境的信息安全
涉密涉密网络在与非涉密的外网进行数据通信时,容易受到未经授权的用户或实体的攻击,从而造成信息的泄露,危及涉密信息主体的根本利益。为此,要采取一系列的软件和硬件手段确保机密信息的绝对安全。同时,为了避免目标文件传输中,恶意攻击者单向将病毒文件传送到涉密环境中,单向控制系统必须指定相应授权的用户,并配备相关病毒过滤之类的安全模块。
1.1.3 业务数据的稳定传输
单向光闸传输控制系统设计需要充分确保单向无反馈的传输,这将对数据传输的可靠性产生一定的影响。所以,在设计单向光闸过程要通过软、硬件两个方面进行,以确保数据传输的安全性和可靠性。
1.2 安全目标
凡接入私有传输协议的信息系统,均应秉持“上网不涉密”的基本安全目标。为有效保障涉密信息的基本安全,既保证涉密环境中常态化接入又能确保外网相关的信息数据传输安全。这就要求进行单向光闸传输控制系统进行设计时,要满足机密性、完整性和高效性的信息安全目标任务。
2 私有传输协议设计
2.1 私有协议
所谓的协议(在这里中特指的是网络协议),是一种由通信各方共同遵守的协议。如以何种形式传送,怎样彼此辨认等。IP 协议是以太网中最为关键的一种协议,它已经成为各计算机网络的基本规范。私有协议是一种企业制定内部规范,它在公司外部不公开规范细节,文章将私有协议定义为一系列仅适用于为实现本系统安全性要求,并依据其设计出相应的网络协议。采用私有协议可以从某种意义上解决网络通信的基本安全问题,从而达到通信安全控制的目的。文章所描述的单向光闸是专为涉密环境中文件单向传输需求而定制。为保证通信过程的可控性,提高对信道的利用率,文章设计的私有传输协议,在提高了传输效率的同时可以有效阻止非法数据的传输,从而保证了只有符合该协议的数据才能通过单向光闸。
文章所述的单向光闸是专门针对在机密环境下进行单程传输的要求而设计的。为了确保通信过程的可控性和提高信道利用率,提出了一种私有的传输协议,它既能有效地防止非法的数据的传输,又能有效保证符合协议数据要求而通过单向光闸。
2.2 光阐路有传输协议设计
结合TCP 和UDP 的特点,充分考虑用户环境的安全性要求,结合单向光闸的软、硬件特性,设计了一套用于单程光闸的私有DMTP 传输协议。
DMTP 协议的主要作用是,将从通信代理处发出的PDU 制成一种能够被单向光闸传送系统识别的数据包,然后通过单光纤通道传送到接收机,再由接收机进行处理。
单向光纤传输通道的传输特性确保了在链路层上的所有以太网数据通道均为单向传输。基于单向光闸传输系统的应用背景和安全性要求,将单向光闸传送系统置于多个密级网络中,涉密网络仅负责接收和接收,而无涉密网仅负责传送数据,并与发射机相连。由于数据包的数量很大,所以在数据流的传输中,采用了多路传输技术,并针对数据流的特点,提出了一组专用的数据传输协议,从物理和逻辑两个方面实现了数据的双向不反馈。因为多路传输技术在协议中的应用,所以将其称为DMTP(DMTP)。图1 显示了DMTP 协议的网络模型。
图1 DMTP协议网络模型图
单向光闸私有传送协议是在传送层工作的,DMTP 主要负责整个数据的传送与控制,将特定的通信细节隐藏给上层的使用者,如同在不同的传送实体之间建立一条可靠的虚拟通道。DMTP 私有传送协议的分组结构见图2:
图2 DMTP数据包结构图
2.3 光阐传输中的文件完整性
保证传输数据的完整性是本系统的主要研究方向,而完整性检验技术则能够通过对信息摘要的计算来判定文档的完整性。在传送和传送时,为了保证文档的传送完整性,将文档标题中的MD5标记和MD5的数值设计为:在发送文件前对文档进行概要运算,并将概要信息存储在文档信息头部,接收方收到数据后分析文档标题,获取MD5的数值,再进行与MD5的比较。如果两者相同,则表示在发送时没有丢失,否则表明文档完整性有问题,在发送时数据包丢失。
2.4 光阐中的前向纠错技术
FEC 是为了提高数据通信的可靠性而设计的一种差错控制技术。在单程光纤中,如果发生了传输差错,接收方将不能再次发送数据。发送方将监督符号添加到所需传送的数据信息。在接收端检测到错误信号时,能及时修正错误。在发射初期,信号源生成k 位信息,并将其传送到编码器。在此数据序列之后,编码器添加(n-k)比特冗余奇偶校验码,最后编码器输出n位数据。随着数据的冗余度的增加,数据包中的纯数据所占的比重将会降低。但是,在数据的冗余程度足够大的情况下,接收方所接收到的信息的精确度就会得到保障。编码后的码字经过调制器的处理,变成一个可以传送到频道的信号。信号经通道传输至接收机,接收机在接收端接收到编码字后,将其解调成数字信号。最后,通过与原始码的特殊关系,译码器能够检测出错误并获得相应的码字。最后把这个数字的资料传送到寄宿者那里。FEC 将为每个Ethernet 提供FEC的代码。起始标签和终止标签通过10位编码来完成,在顿尾加入冗余奇偶校验字节,FEC 将对以太网贴的全部内容进行编码,其中包含前导码、以太网包头以及FCS 校验位。仅不对空闲字符进行编码。在FEC编码之后帧结构见图3。
图3 具备FEC功能的帧结构图
3 数据包捕获方法
Libpcap 是一个非常成熟的数据包捕捉框架,它采用BPF 包过滤机制,为用户的应用程序提供一个包捕捉的接口。但是Libpcap 必须要对内存进行多次复制,PF_RING 可以捕捉并存储在一个环形缓冲器中,这样就可以通过Libpcap 把数据包mmap 传送到一个应用程序中,从而大幅降低存储的复制次数,同时利用PF_RING 和Libpcap 可以有效地获取数据包。
3.1 数据包捕获机制
在以太网中,数据是以帧为单位进行的,而帧则是以广播的方式传送到各个主机,主机收到ARP 广播后,就会判断出是否向自己发出了请求,并决定是否接受,这样就可以捕捉到数据包。包捕捉机制主要有包捕捉机制、核心级分组筛选机制以及数据端口接收端。该方法通过在数据链路层上设置一个旁路过程,从网络卡的缓存队列中提取和处理,最终由应用程序的数据包捕捉机制传输到应用。封包捕捉机制不会对操作系统的网络协议找出产生任何影响,但是因为它不能解析出特定的传输协议,所以内核的网络协议会将其丢弃。这样不仅不会影响系统的性能,而且还可以自动分析所获取的数据包。
3.2 Libpcap数据包捕获技术
Libpcap 采用BPF 的分组过滤机制,BPF 的过滤主要是基于内核,它能设计出对应的策略,在捕捉到数据包的同时,对不必要的分组进行筛选。Libpcap是一个在应用程序层面上运行的包捕捉程序。
3.3 PF_RING技术
PF_RING 是Luca Deri 开发的一种基于“零拷贝”技术的快速数据包捕捉库,可以很好地解决传统的数据包捕捉技术所遇到的困难。PF_RING 与常规方法不同,它将从网卡缓冲中收到的数据包储存在一个由两个接口组成的环状缓冲器中,一个用于存储网卡的写入,一个用于为用户程序提供一个接口,而PF_RING 则利用mmap 来完成对数据包的读取。
4 结束语
本研究主要包括两方面的内容:光闸专用协议的实现以及光纤单室内的正向误差校正。在光闸网专用协议中,首先介绍了光闽专用协议的概念,然后针对其特性进行了详细的设计。文章介绍了在传输过程中,文档的报头结构,接收方通过对报文报头的分解,得到报文报头,得到与报文有关的信息,然后再对报文进行处理,从而形成一个文件。在文档信息标头中使用MD5,可以对文档进行完整性检查。前向误差校正技术部分,对FEC正向误差校正的机理进行了说明,并给出了RS 码的基本理论,并给出了RS 纠错编解码的具体实现方法。文章对数据包捕获技术进行了深入的探讨,探讨了Libpcap 包捕捉的基本理论,并探讨了PF_RING 技术的特性,并将PF_RING 技术与Libpcap 包捕捉机制进行结合,从而实现对数据包的捕获和信息处理。