李建臣

（92538部队 辽宁省大连市 116041）

1 引言

网络隔离技术是一种特殊的网络安全技术，分为双向和单向两种，适用于可信网络与不可信网络（或者两个不同安全等级的安全域）之间进行数据交换和传输。网闸等双向传输技术通常基于双向通信的数据传输协议，可以利用隐匿、嗅探和伪造等手段建立隐藏通道，存在被入侵和破坏的风险。而基于物理硬件的单向传输技术，从本质上改变了通信的概念，不再是双方交互通信，变成了单向广播。广播者有主控权，接收者完全是被动的。单向传输技术有效地解决了安全隔离与数据传输的问题，通过软硬件的配合可以很好的抵御公共网络的攻击继而保证内网的安全，本文重点讨论这种安全等级更高的单向传输技术。

单向传输技术的基本思想是从本质上将传统计算机网络双向通信的硬件和通信协议设计为单向发送和接收。由于单向传输中没有反向通道，攻击者无法在线获取攻击必需的相关信息，即使向高安全级别网络中“盲”注入了病毒或者木马，由于底层硬件并没有从高安全级别网络中反向传输数据到低安全级别网络的能力，就没有泄密的风险，绝大部分的网络安全攻击行为也将失去意义。该技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据安全传输，其技术要点主要包括：单向传输的设计思路；内外隔离的硬件结构；无连接的私有传输协议；容错纠错的控制技术。

2 单向传输的设计思路

很多学者对单向传输技术进行了研究，提出了一系列跨不同安全网域间数据传输交换的方案。这些方案普遍采用以下两种设计思路，从设计原理上保证了数据传输的单向性。

2.1 数据泵技术(Data Pump)

数据泵技术是Myong H. Kang等人于1993年提出的一种数据传输模型，全称为“安全存储转发技术”，目的是实现从低级向高级数据库进行可靠的数据迁移。其方法是通过反向的确认来限制由内向外的数据传输，实现从外向内的单向数据流，具有双向控制、单向数据的特点，实现起来相对简单，可以采用计算机网络典型的通信协议。

数据泵技术本质上是通过协议控制数据包的传输。被控制的数据包分为两种：一种是传输数据的信息数据包；一种是传输控制命令的控制数据包。该技术使得信息数据包为单向传输，控制数据包为双向传输。例如，文献引入小反馈技术来保障数据传输的完整性，即通过使用传输速度很慢的单工串口建立一个反向单向传输通道来完成数据接收状态的回传。文献在使用单工串口的基础上，采用安全芯片与中间节点的SM2非对称加密等安全措施对反向传输通道进行安全控制，这种基于中间节点验证的反向通道可用来回传流量控制、差错控制、收到确认等控制信息。总之，由于数据泵技术引入了反向传输通道，从理论上总是存在潜信道的问题，若协议本身的可靠性不足存在漏洞，就有可能在受到攻击时存在数据反向传输的风险，从而带来较大的安全隐患。

2.2 数据二极管技术(Data Diode)

与数据泵技术相比，数据二极管技术取消了反向的控制协议，利用单向传输信道的无反馈特性实现了所有数据的单向流动。发送端只负责发送数据，接收端只负责接收数据，因为没有反向的反馈信道，所以反向既没有数据通道也没有控制通道，无法向发送端反馈任何信息，具有单向控制、单向数据的特点，因此是一种更加安全的单向传输技术。

数据二极管技术的优势在于其纯单向性，能够保证数据信息从低安全级网络向上流动，同时防止高安全级网络的数据流动到低安全级网络中，既保障了单向传输需求，又阻断了黑客的控制方式和获取途径。虽然该技术保证了传输的安全性，但发送端属于“盲发”状态，发送端不知道接收端的接收情况，无法感知接收端收到的数据是否完整、是否正确。这种单向无反馈的机制往往意味着既无法使用通用的传输协议，又需要完备的容错纠错控制机制来保证数据的完整性和正确性，因此，该技术实现的成本较高。

3 内外隔离的硬件结构

单向传输系统/设备的硬件通常由发送端设备、单向传输信道和接收端设备等三部分组成，在物理层采用内外隔离的硬件结构。

3.1 两端设备

由于物理层设备可以被攻击，因此单向传输系统必须在物理层进行断开。发送端设备与接收端设备的硬件形态多种多样，不论外在形态如何变化，发送端设备与接收端设备之间必须保持硬件独立，唯一的连接通路是它们之间的单向传输信道。文献使用的硬件设备是插在内外网服务器中的两块光纤网卡，外网服务器中光纤网卡只将发送光口与光纤相连，内网服务器中光纤网卡只将接收光口与光纤相连，运用了光纤网卡两个光口物理上功能完全区分的特性。文献设计了独立的单向光闸发送端和接收端主机，内装CentOS操作系统，同样使用光纤网卡和分光器组成硬件基础，两台独立主机与内外网服务器之间通过千兆以太网进行通信。文献将发送端和接收端设计成了两个独立的计算机主板，并将这两个主板集成于一个单向传输设备中，内外网服务器通过该单向传输设备进行单向通信。

3.2 单向传输信道

目前，单向传输信道上传输的信号载体主要以光信号为主，即使用光纤做传输介质。但在不同的应用领域，也使用电信号等其他传输介质。

3.2.1 光纤传输介质

使用光纤作为单向传输介质有着先天优势，利用光传输的单向性可以确保数据传输的单向性。在光信号通过光纤传输给光接收模块的过程中，光发送模块只能发送不能接收，光接收模块只能接收不能发送，可以实现数据在单向传输的过程中无任何反馈信号。同时，光纤的传输效率极高，延迟极低，以光纤为信道的传输速度可达到万兆，光纤因其在性能上的优势已成为单向传输领域研究的热点，很多研究人员提出基于光纤技术来设计单向传输设备，光闸（FGAP）就是利用该技术实现无反馈单向传输的软硬件组合，是基于光传输单向技术的安全产品。目前涉及光闸的研究较多，主要针对光纤传输的特点，集中在设计专用软硬件、探索容错纠错机制、支持更多数据格式等问题上。

3.2.2 其他传输信道

除了普遍采用的光纤介质，在特定的应用场合中，相关学者使用其他传输介质或传输方式来构建单向传输信道。文献将自定义的USB总线用作单向传输信道，提供了“一发一收”和“多发多收”两种灵活的数据传输方式。文献将无物理连接的激光通信应用到单向传输信道，发挥了激光方向性好、发散角小、安全性高的优点。文献均采用摄像的方式，通过摄像机对屏幕上的条码图像或监控信息进行连续的图像采集、图像识别和数据分析，确保数据传输绝对单向，安全性高，但这种影像摆渡的方式数据传输速率较低。本小节设计使用的几种传输信道通用性一般，可应用在铁路运输、设备监控等特定应用领域。

4 无连接的私有传输协议

通信传输协议是通信双方对数据传输控制的一种约定，是传输系统中的终端之间传播信息的系统标准，通常包括对数据格式、同步方式、传送速度、传送步骤、检纠错方式以及控制字符定义等问题的统一规定。当业务数据在单向无反馈的信道条件下传输时，物理链路的断开阻挡了所有反向控制信号，这导致通用的传输协议将不能很好的与底层硬件兼容，因此需要根据硬件环境和安全需求，设计适用于单向传输系统的私有传输协议。发送端使用私有协议对数据内容进行封装、传输，接收端使用该私有协议对接收到的信息进行解析、重组，恢复数据内容。单向传输系统通过私有协议对传输过程进行管控，只传输符合该协议的数据，不符合的数据直接丢弃。私有协议只负责文件数据的传输，不转发任何网络数据包，从而屏蔽了基于传统协议的网络攻击。

私有传输协议需要设计数据包的分片和重组功能，发送端将长度大于MTU的数据包拆分成分片，然后通过光纤等传输信道发送，在接收端将数据包分片重组为完整的数据包。同时，为了保证收到数据的正确性，私有传输协议还需要设计对数据包的校验，以解决数据传输时产生的错误问题，发送端计算数据包的校验和，连同数据包一起发送，接收端对收到的数据包进行校验运算，出现校验错误时丢弃数据包。通常采用分层设计私有协议来实现对数据包的分片、重组和完整性校验等功能。

学者们根据实际应用场景，设计出各具特色的私有传输协议。文献提出了一种无连接传输层协议——OSDP光闸数据包协议，该协议采用CRC校验和SHA-1报文摘要，对奇数差错和突发错误有很高的校验错误能力，通过结合双机冗余数据传输方案能大幅度提高数据传输的可靠性。文献设计了一种高可靠的私有协议——OWDP单向数据包协议，同样采用无连接协议方式，发送数据前不需要建立连接，直接发送数据，并采用CRC校验提高了系统的校验错能力。文献制定了一套自定义的私有协议，该协议包含ID标记、MD5值和CRC校验值等信息，各子平台、子系统之间均采用私有协议进行连接认证，通过后才能进行数据传输。文献[提出了一种私有单向代理传输协议OPTP，该协议是一种非IP私有协议，运行在计算机网络体系中的网络层，可以从TCP、UDP报文中剥离出应用数据并重新封装传输。

5 容错纠错的控制技术

不论采用何种传输介质，数据在传输过程中都难免出现误码或丢包的情况。在无反馈的单向传输系统中，更需要科学合理的设计容错纠错控制技术来降低误码率与丢包率，提高数据传输的正确性和时效性。

5.1 误码问题的解决

由于单向传输系统的发送端接收不到反馈信息，传输过程中若数据包出错，发送端将无从知晓，因此必须在接收端进行误码检测。为解决误码的情况，一般在发送端对数据包进行校验编码，将计算出的校验值与数据一起发送，之后在接收端进行校验。若错误的数据包在接收端无法成功纠错，则接收端将丢弃错误包，等待发送端重传。

5.1.1 CRC循环冗余校验(Cyclic Redundancy Check)

CRC循环冗余校验码具有检错能力强、开销小、易于用编码器及检测电路实现等特点，常用于对数据包进行完整性校验。其工作原理是：在原始数据序列之后添加冗余信息作为校验码，构成最终的发送数据序列；校验码与数据包内容之间的特定关系会因数据流受到干扰而被破坏。循环冗余校验正是利用了这种原理，对传输数据的正确性进行检验，但该技术只能用来校验误码，并不能自动纠错，仅仅使用循环冗余校验并不能保证可靠传输。

5.1.2 FEC前向纠错编码(Forward Error Correction)

FEC编码技术因其具有纠错能力而被广泛应用在光通信系统中。数据包经信道送达接收端后，如果出现误码且误码在可纠正的范围内，通过解码就可进行纠正。因此FEC编码技术可在一定程度上抵抗信道带来的干扰，从而保障单向传输系统传输的可靠性。在光纤信道中，可以用较小的代价进行FEC编解码处理，纠正传输中产生的误码，有效降低传输误码率。文献采用了此项编码技术，保证了光纤无反馈传输链路极低的误码率。

5.1.3 RS编码(Reed-Solomon codes)

RS编码是一类纠错能力很强的纠删编码，它利用范德蒙行列式的初等变化得到生成矩阵来对信息进行编码与解码，已经具备了很完善的理论体系。基于RS算法的前向纠错机制可通过RS编码和RS译码实现数据传输时的纠错，发送端将数据进行RS编码，在接收端使用RS解码，不但能够发现错误码元，而且能够完成错误纠正。文献均采用了此项编码技术，实验结果表明该编码技术不仅可靠性高，而且传输速率快。

5.1.4 CRS编码(Cauchy Reed-Solomon)

CRS编码是基于RS编码进行改进的纠删码，其计算过程及原理与RS编码相类似，它们的不同在于CRS用柯西矩阵替代了范德蒙行列式来获取生成矩阵，运算过程同样是在伽罗华域内进行。CRS编码的算法复杂度要优于RS编码，其编码效率与解码效率都有比较显著的提高。使用CRS编码不但可以提高单向传输系统的容错性，还可以提高编码与解码性能，降低系统使用纠删码的代价。实验证明，通过CRS编码能在很大程度上提高传输系统的传输可靠性。但CRS编码通过冗余传输会产生大量的冗余数据，占用大量带宽和系统资源，影响系统效率。

5.1.5 MD5信息摘要算法(MD5 Message-Digest Algorithm)

MD5信息摘要算法是一种密码散列函数，它产生出唯一的一串MD5值，用来检验原始数据是否完整，确保信息传输的完整一致。MD5校验是通过对接收的传输数据执行散列运算来检查数据的正确性，它提供了对信息的完整性保护。一旦传输中出现数据丢失或被篡改，接收端能够迅速的检测出来，这项技术主要是对接收到的错误数据起到报警作用，便于重传。

5.2 丢包问题的解决

在单向传输过程中造成数据丢包的因素有很多，丢包问题可分为随机丢包和拥塞丢包两种情况。随机丢包主要由传输信道的误码率引起，丢包现象之间并无相关性，呈现出离散的特点，客观上无法避免；拥塞丢包则是由于发送端发出的数据包数量过大，超出了接收端的处理能力，即使数据包进入缓存区也没有得到有效的处理，从而导致缓存区溢出继而产生丢包现象，此时发生连续丢包的概率较大。通常采取以下3类方法来解决丢包问题：

5.2.1 单通道冗余

无论数据包是否出现丢失的情况，均由发送端在每次发送数据后进行主动重传。重传分单包重传和多包重传，即每发送一个数据包或连续发送一批数据包后，进行重传。经验证，多包重传的平均效率要高于单包重传。文献设计了基于滑动窗口的多包冗余传输方式，发送端可以灵活的改变滑动窗口的大小，接收端根据数据包的编号计算出滑动窗口大小的变动，可解决连续丢包的问题。

5.2.2 多通道冗余

基于单通道进行单向传输，即使采用了提高可靠性的方法，也仍然存在着单通道失效的可能性。为进一步提高单向传输系统的容错性，可选用更可靠的多通道冗余传输方式。文献采用双光闸系统同时进行数据传输，在接收端进行数据的比对和校验。文献设计的单向传输板卡采用4路光纤进行数据传输，其中3路为主，1路为辅，同样在接收端进行分析处理，采纳相似度最多的数据作为最终的数据，提高了数据传输的可靠性。

5.2.3 流量控制

目前常用流量控制的方法来解决拥塞丢包问题，该方法可以控制一定时间段内传输的数据量，以达到按较大速率发送数据流量的目的。实现这种控制的方法很多，通常是利用延迟发包来实现，一般应用在发送端以控制进入信道的流量。其采用的策略是每间隔一定时间，就对该时间段内传送数据包的数量进行统计，计算出单位时间内的流量值，之后与预定的流量控制阈值进行比对。若流量过大则延迟发包，若小于阈值则继续发包，将流量控制在阈值范围内，有效保证数据传输效率。

6 展望

单向传输技术的应用不能仅限于文件摆渡、格式化数据传输、邮件单向转发、数据库单向同步等场景，该技术的发展应满足跨网系、跨安全域传递信息的现实需求。单向传输技术的应用除了要面向未来，还可用于改进当前的工作方式，不同安全等级网络之间，原本通过人工拷盘、光盘摆渡的业务应用都可引入单向传输技术，这些传统领域同样蕴含着广阔的市场空间。另外，单向传输技术本身仍有很大的进步空间，网络隔离产品的通用性、易用性还有待提高，单向传输设备的实际隔离效果需要专业的测评和认证，私有传输协议的标准化和规范性需进一步提升，高速传输条件下的差错控制技术还有进步空间。可见，传输介质材料的发展、传输协议的标准化、纠错机制的改进、加解密技术的引入、数据包捕获能力的提升等不少问题需要更深一步的研究，未来的网络隔离不仅仅是单纯的物理隔离，新兴技术的应用必将会推动网络隔离技术的迅速发展。