网络信息安全单向传输系统的设计与实现 丁慧丽,陈麟 (成都信息工程学院计算机系统与网络安全研究所,l ̄I J Jl成都610225) 摘要:由于病毒和黑客日益猖獗,泄密事件逐渐增多,设计了一款基于单纤单向多模光纤的网络信息安全单向传输系统。在 硬件设计中,单向传输系统采用光发送器和光接收器实现了基于单纤单向多模光纤的单向传输卡。在软件设计中,提出了“推” 和“拉”两种数据传输方式,实现了无反馈的稳定传输技术。该单向传输系统既能实现从低密级网络获取信息又能防止高密级 网络信息泄露,提高了网络之间信息交换的安全性。 关键词:网络安全膈离;单向传输卡;数据二极管 Design and ImpIementation of Network Information Security One—way Transmission DING Hui一『j.CHEN Lin (SecuM ̄y/nst/ ̄ute of Computer and Networ ̄,Chengdu Universi[y of InformeC/on Technology,Chengdu 61oee5) Abstract:Due to viruses and hackers are becoming increasingly rampant leaks gradually increased,the paper designed a network information security and one-way transmission system which based on single-fiber one-way multi-mode fiber.In hardware design,one--way transmission system based on single-fiber one--way multi-mode fiber and using optical transmitter and optical receiver to achieve one--way transfer card. In software design.proposed a”push’ and”pull’。two Kinds of data transmission to achieve the stability of no feedback--free transmission technology.The one-way transmission system that is possible to obtain information from low-Security Level Network can prevent high Security Level network information disclosure,improve the exchange of information between the network securities. Key words:network security isolation;one--way transmission card;data diode 一’’ 端IC(集成电路板integrated circuit,缩写:IC)”、“输 出端I C”和“单向电路”三个部分组成,低密级网络的 时,也带来了信息安全问题。近年来,因病毒和黑客1 …… 琥…一…同3益 数据可以流向高密级网络,高密级网络的数据不能向低密 猖獗而导致的泄密事件有逐渐增多的趋势,对党政机关、 级网络流动。其中: 等单位的信息安全构成极大威胁,引起有关部门的高 (I)输入端IC:输入端IC与外端机之间采用PCIX 度重视。目前,在一些涉密部门,为了防止通过计算机网 接口,传输带宽可达千兆。该I C驱动程序提供一个名为 络泄密,采用了“网闸”技术,网闸技术一度被认为是物 Send的API函数,用于将数据文件传输到内网端。Send 理隔离技术,用于涉密网与非涉密网的隔离,但近几年的 函数由外端机的监视程序调用。 研究表明:“网闸”不能防止泄密,原因在于“网闸”允 (2)输出端IC:该设备与内端机采用PCIX接口,传 许信息双向流动,而只要存在信息传输,就存在创建隐蔽 输带宽可达千兆。该设备提供Write函数,用于将收到的 通道的可能性 ’ 。 数据写入文件系统的待处理文件区。 如何解决既能通过网络将低密级网络中的数据传输到 (3)单向电路:单向电路如图1所示。 高密级网络,又能防止高密级网络中的数据通过网络泄露 到低密级网络的问题,是目前国际上信息安全领域的研究 ¨¨一 , 纤.1、接收电路 。厂] 热点之一,还没有比较成熟的技术和产品。笔者设计了一 L-¨一—_』 ===卜皇 、光发菇器 ■ ]— 光接收蕾 { lj 种基于“单向传输卡”的网络信息安全单向传输系统(以 图1单向电路图 下简称“单向传输系统”),为解决该问题提供了一种方法。 为了保证单向性,输入端IC只设计输出管脚(Output)、 驱动电路的入口管脚是输入管脚(Input)。驱动电路采用 2单向传输卡 广电转换器设计,并只具有发光源,没有光接收器。接收 所谓“单向传输卡”是指物理上只存在一个方向的信 电路则只有光接收器,没有发光源。光发送器和光接收器 息传输通道,另一个方向没有任何反馈信号,可有效地控 之间采用光纤连接。光接收器的数据出口只配备输出管脚, 制不同密级网络之间的信息传输 。单向传输卡由“输入 输出IC的入口只配备输入管脚。如此,可以从物理上保 证信号只能由输入IC向输出IC单向传输。 3单向传输系统结构 如图2所示,单向传输系统由“采集服务器平台”、 “发布服务器平台”和单向传输卡组成,采集服务器平台 与低密级网络相连,用于采集高密级网络所需要的信息; 发布服务器平台与高密级网络相连,单向传输卡连接采集 服务器平台和发布服务器平台,使两者不能直接通信。 一兽 一 采簋艟务器平台 发布服务器平叁 图2单向传输系统体系结构 采集服务器平台数据通过单向传输卡传入发布服务器 平台,由于没有隐蔽通道的存在,确保了高密级网络信息 的安全性”’ 。 4单向传输系统实现 4.1硬件体系结构 单向传输系统传输装置采用两台服务器和单向传输卡 相结合,体系结构如图3所示。 一~一1 自 r [ 臼 :J’、 、—0>[ }一一 单向传输卡 图5单向传输系统硬件体系结构 图3所示单向传输系统硬件体系结构分成了左右两部 分,其中左半部分与低密级网络相连接,称为“采集服务 器”,右半部分与高密级网络相连接,称为“发布服务器”。 “采集服务器”和“发布服务器”靠单向传输卡相连接, 单向传输卡包括置于采集服务器内的光发送器、置于发布 服务器内的光接收器和单向光纤,为了保证单向性,光发 送器和光接收器之间采用光纤连接,从物理上保证信号只 能单向传输 ’ 。 4。2软件体系结构 单向传输系统主程序分为发送程序和接收程序,体系 l【=O_iI C Ⅲ 川一C 结构如图4所示。 文忭 _ 兰 』 。 }} 文件接收一— ’f 1 日{ }i l ,-…~…一 联 .-一 ◆ 壁1序 邮件接 一 ~一 { 一 0 ll些 ____ l l ;L— 一幡{ 桂一…收肇 ~日镇块 堕墨 曼鱼 主————鲎堡旦 曼L~一一 壁 控斜管理握序 控科譬 程踔 [ 图4单向传输系统软件体系结构图 图4所示的软件体系结构中,左端是发送程序,右端 为接收程序。发送程序包括“发送控制管理程序”、“发 送策略模块”、“文件、数据库、邮件发送”、“内容过滤”、 “病毒扫描”和“日志模块”,用户通过“发送控制管理程 序”修改“发送策略模块”控制“主程序”,“主程序”决 定了“文件、数据库、邮件发送”的周期和速度,其中 “文件发送”过程可选择“内容过滤”来提高安全性,“内 容过滤”包括内容白名单过滤、内容黑名单过滤、文件名 过滤和文件属性过滤,用户可针对需要进行设置。发送信 息通过“病毒扫描”后通过单向传输卡导出,所有操作都 在“日志模块”留有记录,给管理员提供管理依据。 接收程序包括“接收控制管理程序”、“接收策略模块”、 “文件、数据库、邮件接收”和“日志模块”,用户通过 “接收控制管理程序”修改“接收策略模块”控制“主程 序”,“主程序”决定了“文件、数据库、邮件接收”的周 期和速度,所有操作都在“日志模块”留有记录,给管理 员提供管理依据。“邮件发送”和“邮件接收”模块负责 将中的邮件及时转给内网的邮件服务器,用户利用内 网接收邮件,不必再到。 5基于BLP模型的安全性分析 5.1 BLP模型描述 Bell-LaPadula模型(简称BLP模型)是D.Elliott Bell和Leonard J。LaPadula于1973年刨立的一种模拟 军事安全策略的计算机操作模型。 BLP模型定义了如下的集合: S={S ,s 一,s. }主体的集合,主体:用户或代表用 户的进程,能使信息流动的实体。 O={O ,O 一,O }客体的集合,客体:文件、程序、 存贮器段等。(主体也看作客体SO) C={C ,C 一,C }主体或客体的密级(元素之间呈全 序关系),C ≤C,≤…≤c K={k ,k∥一,k }部门或类别的集合 A={r,w,e,a,c}访问属性集,其中,r:只读;w: 读写;e:执行;a:添加(只写);c:控制。 在BLP模型中,将主体对客体的访问分为r,w,a, e以及c等几种访问模式,其中c是指该主体用来授予或 撤销另一主体对某一客体的访问权限的能力。BLP安全 模型中结合了自主安全策略(Discretionary Policy)和 强制安全策略(Mandatory Policy)。自主安全策略使用 一个访问矩阵来表示,访问矩阵的第i行第j列元素Mij 表示主体S 对客体O 的所有允许的访问模式,主体只能 按照在访问矩阵中被授予的对客体的访问权限对客体进 行相应的访问。强制安全策略包括简单安全性和 一特性, 系统对所有的主体与客体都分配一个访问类属性,包括主 体和客体的密级和范畴,系统通过比较主体与客体的访问 类属性控制主体对客体的访问 。 “拉”。所谓“推”即发送端采集到数据后主动的单向传输 至接收端;所谓“拉”即由接收端程序控制,输入相应指 令从发送端采集数据。 5.2基于BLP模型的网络信息安全单向传输系统 由于BLP模型描述的是军事安全策略,受到美国国 (3)针对“高密级网络的信息大多是由低密级网络的 信息通过组装而成的,要解决推理控制的问题”的情况, 本系统没有找到合适的方法,但本系统正在不断完善,相 信不久能设计出更安全更合理的网络信息安全单向传输系 统。 防部的特别推崇,在很长一段时期,人们将多级安全策略 等同于强制访问控制策略。 优点: (1)是一个最早地对多级安全策略进行描述的模型; (2)是一个严格形式化的模型,并给出了形式化的证 明; (3)是一个很安全的模型,既有自主访问控制,又有 强制访问控制; (4)控制信息只能由低向高流动,能满足军事部门等 一类对数据保密性要求特别高的机构的需求。 但是BLP模型也存在“过于安全”和“不安全”的 地方。“过于安全”包括:(1)上级对下级发文受到; (2)部门之间信息的横向流动被禁止;(3)缺乏灵活、安全 的授权机制。“不安全”包括:(1)低密级网络的信息向高 密级网络流动,可能破坏高密级网络客体中数据完整性, 被病毒和黑客利用;(2)只要信息由低密级网络流向高密 级网络流动即合法,不管工作是否有需求,这不符合最小 特权原则;(3)高密级网络的信息大多是由低密级网络的 信息通过组装而成的,要解决推理控制的问题。 一型中 曩雯 受到”的问题,在本系统中反而成为一种安全可靠性 的保障,因为本系统使用于高密级网络与低密级网络之间, 严格禁止高密级网络向低密级网络流动。(2)针对“部门 之间信息的横向流动被禁止”的问题,本系统采用了不同 部门划分安全等级的方式,不同安全等级的部门之间通信 要求严格控制,只允许低安全等级的信息流向高安全等级, 反向信息流动被禁止;而对于同安全等级的部门之间则不 采取信息流动的控制。(3)针对“缺乏灵活、安全的授权 机制”,本系统设计了“控制管理程序”模块,可针对不 同的情况随时进行相应的修改。 而对于BLP模型中的“不安全”的地方,本文设计 的网络信息安全单向传输系统也提出了一些解决方案: (1)针对“低密级网络的信息向高密级网络流动,可 能破坏高密级网络客体中数据完整性,被病毒和黑客利 用”的问题,本系统在设计时,发送模块添加了“病毒扫 描”功能,能有效控制病毒导入和黑客侵入。 (2)针对“只要信息由低密级网络流向高密级网络流 动即合法,不管工作是否有需求,这不符合最小特权原 则”的问题,可用“推”和“拉”来解决。采集服务器 与发布服务器进行单向数据传输时有两种方式:“推”和 6结论 本文设计了一款基于单纤单向光纤的网络安全隔离与 信息单向传输系统的设计。在硬件设计中,单向传输系统 采用光发送器和光接收器实现了基于单纤单向光纤的单向 传输卡。在软件设计中,提出了“推”和“拉”两种数据 传输方式,实现了无反馈的稳定传输技术。本系统基于 BLP模型并对此进行了改进,更加适应了现今高密级网 络与低密级网络之间的信息通信。该单向传输系统可以应 用于密级不同的网络之间,也可以应用于同一密级网络的 不同安全域之间,即能实时获取低密级网络信息又防止了 涉密计算机的信息泄露,提高了网络之间的安全性 。固 参考文献: [1】孔斌,杜虹,马朝斌.安全隔离与信息交换技术发展及 应用[J].计算机安全,2003,7:59—42. [2】蔡林.浅谈网络安全隔离与信息交换系统[J】.计算机时 代,2004(8):1 7 1 8. [5]陈麟,林宏刚,胡勇.移动存储设备数据安全导入系统 [J】.四川大学学报(工程科学版),2009,41(2):21 6-220. [4】张少波.涉密网络安全隔离解决方案[J】.信息安全与通 信保密,2005.2:48-51. [5]蔡东蛟.安全隔离与信息交换系统实现机理与应用[J】. 信息技术,2007(I 2):30-32. [6】杜荣建,向望华.光纤单向语音传输系统的实验研究[J】_ 天津理工学院学报,2003(1):1-4. [7]刘德有.实用的单纤双向传输模数信号混传系统[J】.广 西通信技术,2O05(I):I 1—1 3. [8]刘克龙,卿斯汉,冯登国.一种基于BLP模型的安全 Web服务器系统[J】.计算机学报,2005(1 0):1 280—1287. [9】国家保密局.计算机信息系统国际联网保密管理规定 [z】.200O-01—01. 作者简 丁慧丽(1 983一),女,硕士,研究方向为网络安全 陈麟(1 975一),男,博士,副教授,硕士生导师,研究方 向为网络安全。 收稿日期:2009 1 2-07
