基于物理隔离技术的安全信息交换系统

摘要

近些年，互联网的飞速发展和大规模应用已经成为当今世界的又一次信息革命，随着我国信息化建设程度的提高，互联网已经越来越多的成为人们工作、学习、生活中不可或缺的重要组成部分，尤其是电子商务、电子政务的发展与普及，带来了巨大的便利和财富。另一方面，互联网带来的安全威胁也日益增多，各种新型攻击手段不断涌现，使得安全防护变得异常困难，而对于党政军、银行、电力等特殊行业与部门，一旦被不法分子入侵导致安全问题，甚至会造成国家安全的威胁和人民财产的损失。因此，很多单位为了安全而将内部网络与互联网完全断开，但内外网仍有数据交换的需求。如何在保护其内部网络安全的同时还能与外部网络之间能进行一定程度的信息交换，满足业务方面的需要，是一项很具有重要意义和挑战性的工作。
　　本文实现了以物理隔离技术为基础的安全信息交换系统，主要工作如下：
　　1.根据物理隔离技术的基本原理，设计出系统的整体架构和工作方案，设计了具有物理隔离功能的硬件板卡的结构和通信机制，系统由三部分组成：外网处理单元，内网处理单元，网络隔离单元。外网处理单元与安全性较低的互联网相连，处理从互联网获取的数据包并转发内网向互联网发出的数据包；内网处理单元与内部高安全性业务网络相连，处理内网发出的请求并向内网转发过滤后的外网数据包；网络隔离单元起到物理隔离作用，通过固化在硬件上的调度控制电路实现逻辑开关，保持内网与外网在任意时刻不互相连通。在此基础上选择了相应的芯片和器件，在Linux下编写了运行在内核空间的硬件设备驱动程序。
　　2.从外网捕获数据包，通过包过滤防火墙对这些数据包进行过滤，转送至用户空间处理，系统从OSI模型的全部七层对网络进行断开，利用协议剥离和重组的方法去除数据包各层首部，对数据包进行协议剥离，只保留用户数据和必要的恢复信息，通过对存储介质的写入和读出进行信息的交换，消除应用层协议以及TCP/IP协议簇在传输过程起到的作用，阻断了基于通信协议的攻击，更好的保障网络安全。
　　3.搭建系统运行所需的软硬件环境，并在运行时对系统进行多方面的测试，通过网络攻击测试对系统的安全性进行测试，保证系统可以抵抗常见网络攻击；通过对比数据包内容确认系统所交换信息的完整性，保证不出现数据不一致的情况；通过连续运行和收发数据测试系统的稳定性，保证系统的可用性。综上实现安全、准确、高效、稳定的基于物理隔离的信息交换。

目录

封面

声明

中文摘要

英文摘要

插图索引

表格索引

符号对照表

缩略语对照表

目录

第一章 绪论

1.1 研究背景及意义

1.2 国内外发展及现状

1.3 物理隔离的应用环境

1.4 物理隔离产品的发展趋势与前景

1.5 本文研究内容和主要工作

1.6 本章小结

第二章 相关概念与原理

2.1 网络参考模型

2.2 对计算机网络安全的威胁

2.3 当前主要的安全技术

2.4 物理隔离技术

2.5 本章小结

第三章 系统需求与框架设计

3.1 系统需求分析

3.2 系统的整体框架

3.3 系统的工作原理

3.4 系统硬件设备元器件选取

3.5 系统中开发平台的选取

3.6 本章小结

第四章 系统的具体设计与实现

4.1 隔离硬件的具体设计与部署

4.2驱动程序的设计与实现

4.3 缓存读写模块的设计

4.4 防火墙模块的设计与实现

4.5 网络数据包获取模块的设计

4.6 协议剥离和恢复模块的设计

4.7 本章小结

第五章 系统功能测试

5.1 缓存读写程序的运行测试

5.2 Libpcap数据包捕获演示

5.3 数据传输功能整体测试

5.4 系统抗攻击性测试

5.5 本章小结

第六章 总结与展望

6.1 本文工作总结

6.2 研究前景展望

参考文献

致谢

作者简介