楊 揚(yáng) 樊 龍 花 亮 周 路

（1.武警江蘇省公安消防總隊(duì) 江蘇 210036 2.解放軍78046部隊(duì) 四川 610011 3.武警常州市公安消防支隊(duì) 江蘇 213003 4.武警南京市公安消防支隊(duì) 江蘇 210036）

1 前言

網(wǎng)閘（GAP）全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠按照既定的安全策略，在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。[2]它是在兩個(gè)不同安全域之間，通過(guò)協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^(guò)。其信息流一般為通用應(yīng)用服務(wù)。本文介紹一種基于USB3.0的網(wǎng)閘數(shù)據(jù)交換系統(tǒng)的設(shè)計(jì)，實(shí)現(xiàn)了安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、訪問(wèn)控制、安全審計(jì)、身份認(rèn)證等功能，能夠?qū)θ粘５倪\(yùn)維活動(dòng)實(shí)行完整監(jiān)控。

2 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

2.1 網(wǎng)閘數(shù)據(jù)交換系統(tǒng)框架

通過(guò)只允許原始應(yīng)用數(shù)據(jù)進(jìn)入的技術(shù)手段，網(wǎng)閘能夠保證內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的安全隔離，解決不同安全等級(jí)網(wǎng)絡(luò)間的數(shù)據(jù)交換問(wèn)題，防止內(nèi)網(wǎng)的資源被隔離對(duì)象以外的人員訪問(wèn)，并保證交換數(shù)據(jù)的完整性、實(shí)時(shí)性。根據(jù)網(wǎng)閘的實(shí)現(xiàn)原理，在硬件上采用存儲(chǔ)介質(zhì)和控制邏輯單元來(lái)保證數(shù)據(jù)在內(nèi)外網(wǎng)處理單元之間的交換，保證兩者在同一時(shí)間不同時(shí)連通并進(jìn)行數(shù)據(jù)交換。而根據(jù) TCP/IP 連接斷開(kāi)原理，在軟件架構(gòu)上，將一個(gè)網(wǎng)絡(luò)連接斷開(kāi)為兩個(gè)網(wǎng)絡(luò)連接，分別為：內(nèi)網(wǎng)處理單元和內(nèi)網(wǎng)用戶的連接；外網(wǎng)處理單元和外網(wǎng)服務(wù)器之間的連接[4]。這兩個(gè)獨(dú)立的應(yīng)用連接共同完成整個(gè)網(wǎng)閘系統(tǒng)的應(yīng)用代理功能。同時(shí)，設(shè)計(jì)專門的設(shè)備驅(qū)動(dòng)程序?yàn)樯蠈犹峁┰L問(wèn)隔離傳輸硬件的接口。系統(tǒng)總體框架如下圖所示：

圖1 網(wǎng)閘數(shù)據(jù)交換系統(tǒng)框架圖

2.2 隔離傳輸硬件

隔離傳輸硬件連接內(nèi)網(wǎng)處理單元與外網(wǎng)處理單元，是內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元之間唯一且安全的數(shù)據(jù)交換通道，負(fù)責(zé)在保證內(nèi)、外網(wǎng)隔離的前提下交換數(shù)據(jù)。隔離傳輸硬件實(shí)現(xiàn)在內(nèi)、外網(wǎng)之間來(lái)回切換，保證兩個(gè)網(wǎng)絡(luò)在鏈路斷開(kāi)的前提下實(shí)現(xiàn)數(shù)據(jù)安全傳輸。其在同一時(shí)間只能與內(nèi)網(wǎng)處理單元連通或者只能與外網(wǎng)處理單元連通，不能同時(shí)與內(nèi)、外網(wǎng)處理單元連通。而存儲(chǔ)介質(zhì)起到緩存的作用，例如：當(dāng)內(nèi)網(wǎng)處理單元與隔離傳輸硬件之間交換數(shù)據(jù)，內(nèi)網(wǎng)數(shù)據(jù)傳入隔離傳輸硬件，之后通知外網(wǎng)處理單元取走數(shù)據(jù)。外網(wǎng)處理單元與隔離傳輸硬件連通，并取走數(shù)據(jù)。這個(gè)過(guò)程中，內(nèi)網(wǎng)處理單元和隔離傳輸硬件之間不連通。在本設(shè)計(jì)中，采用兩片雙端口 RAM 來(lái)作為存儲(chǔ)介質(zhì)，并利用 FPGA 技術(shù)來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)處理單元與隔離傳輸硬件之間的控制邏輯。

2.3 內(nèi)網(wǎng)處理單元

網(wǎng)閘將一個(gè)網(wǎng)絡(luò)連接斷開(kāi)成兩個(gè)網(wǎng)絡(luò)連接，而這兩個(gè)連接的發(fā)起方是不同的。對(duì)于系統(tǒng)內(nèi)的作用而言，內(nèi)網(wǎng)處理單元完成接收內(nèi)網(wǎng)客戶端發(fā)來(lái)的應(yīng)用請(qǐng)求，并解析請(qǐng)求數(shù)據(jù)包。并將解析出來(lái)的數(shù)據(jù)通過(guò)隔離傳輸硬件交換到外網(wǎng)處理模塊。所以，內(nèi)網(wǎng)處理單元起到代理服務(wù)器的作用。在軟件模塊構(gòu)成上，內(nèi)網(wǎng)處理單元的數(shù)據(jù)交換由代理應(yīng)用服務(wù)模塊、讀寫(xiě)進(jìn)程、底層驅(qū)動(dòng)程序組成。底層驅(qū)動(dòng)程序完成對(duì)隔離傳輸硬件的讀、寫(xiě)和控制等功能。而代理應(yīng)用服務(wù)模塊則由代理服務(wù)端、協(xié)議解析模塊、協(xié)議還原模塊，以及讀寫(xiě)初始化接口構(gòu)成。代理服務(wù)端負(fù)責(zé)內(nèi)網(wǎng)代理服務(wù)模塊的初始化、監(jiān)聽(tīng)客戶端連接、接受客戶端的連接請(qǐng)求、創(chuàng)建子進(jìn)程來(lái)處理這個(gè)請(qǐng)求；協(xié)議解析模塊將代理服務(wù)端接收到的應(yīng)用服務(wù)協(xié)議數(shù)據(jù)進(jìn)行解析，從中提取出所需要的信息；協(xié)議還原模塊將經(jīng)過(guò)隔離傳輸硬件擺渡回來(lái)的數(shù)據(jù)進(jìn)行應(yīng)用協(xié)議還原并發(fā)回給用戶；讀寫(xiě)初始化接口以動(dòng)態(tài)鏈接庫(kù)形式提供給所有應(yīng)用服務(wù)使用。值得說(shuō)明的是此接口不僅僅為某一個(gè)應(yīng)用代理服務(wù)模塊所調(diào)用，而是給所有網(wǎng)閘系統(tǒng)應(yīng)用代理服務(wù)提供接口，此接口提供了對(duì)讀寫(xiě)共享內(nèi)存的申請(qǐng)、初始化和與之相對(duì)的資源釋放工作。

2.4 外網(wǎng)處理單元

在功能結(jié)構(gòu)上，外網(wǎng)處理單元與內(nèi)網(wǎng)處理單元的組成是相同的。但是由于所處網(wǎng)絡(luò)位置不同，外網(wǎng)處理單元直接與外部網(wǎng)絡(luò)相連，功能是將內(nèi)網(wǎng)處理單元交換過(guò)來(lái)的請(qǐng)求數(shù)據(jù)還原，根據(jù)請(qǐng)求數(shù)據(jù)的要求代理連接相應(yīng)外網(wǎng)服務(wù)器，并取回用戶需要的數(shù)據(jù)。在功能上是代理客戶端，內(nèi)網(wǎng)處理模塊的應(yīng)用代理服務(wù)在功能上則是服務(wù)器端。

2.5 網(wǎng)閘傳輸接口

網(wǎng)閘傳輸接口實(shí)現(xiàn)了 TCP/IP 模型的物理層斷開(kāi)，也消除了數(shù)據(jù)連接鏈路。該技術(shù)采用雙端口靜態(tài)存儲(chǔ)器，配合獨(dú)立的FPGA 控制電路，來(lái)實(shí)現(xiàn)在兩個(gè)端口上的切換邏輯，兩個(gè)端口各自通過(guò)切換邏輯連接到獨(dú)立的計(jì)算機(jī)主機(jī)上。其架構(gòu)如圖2所示：

基于高速、穩(wěn)定網(wǎng)絡(luò)的考慮，故挑選 usb3.0總線來(lái)實(shí)現(xiàn)“2+1”模塊之間的數(shù)據(jù)交換。USB3.0（也被認(rèn)為是SuperSpeedUSB）為那些與PC或音頻/高頻設(shè)備相連接的各種設(shè)備提供了一個(gè)標(biāo)準(zhǔn)接口。只是個(gè)硬件設(shè)備，計(jì)算機(jī)內(nèi)只有安裝USB3.0相關(guān)的硬件設(shè)備后才可以使用USB3.0相關(guān)的功能。從鍵盤(pán)到高吞吐量磁盤(pán)驅(qū)動(dòng)器，各種器件都能夠采用這種低成本接口進(jìn)行平穩(wěn)運(yùn)行的即插即用連接。新的USB 3.0在保持與USB 2.0的兼容性的同時(shí)，還提供了下面的幾項(xiàng)增強(qiáng)功能：

圖2 基于USB3.0的網(wǎng)閘技術(shù)原理

（1）極大提高了帶寬——高達(dá)5Gbps全雙工[3]（USB2.0則為480Mbps半雙工）

（2）實(shí)現(xiàn)了更好的電源管理

（3）能夠使主機(jī)為器件提供更多的功率，從而實(shí)現(xiàn)USB—充電電池、LED照明等應(yīng)用。

（4）能夠使主機(jī)更快地識(shí)別器件

（5）新的協(xié)議使得數(shù)據(jù)處理的效率更高

USB3.0采用一種新的物理層，用兩個(gè)信道把數(shù)據(jù)傳輸和確認(rèn)過(guò)程分離，因而達(dá)到較高的速度。為了取代目前 USB 所采用的輪流檢測(cè)（polling）和廣播（broadcast）機(jī)制，新的規(guī)格將采用一種封包路由（packet-routing）技術(shù)，并且僅容許終端設(shè)備有數(shù)據(jù)要發(fā)送時(shí)才進(jìn)行傳輸。新的鏈接標(biāo)準(zhǔn)還將讓每一個(gè)組件支持多種數(shù)據(jù)流，并且每一個(gè)數(shù)據(jù)流都能夠維持獨(dú)立的優(yōu)先級(jí)（separate priority levels）；該功能可在視頻傳輸過(guò)程中用來(lái)終止造成抖動(dòng)的干擾。數(shù)據(jù)流的傳輸機(jī)制也使固有的指令隊(duì)列（nativecommand queuing）成為可能，因而能使硬盤(pán)的數(shù)據(jù)傳輸優(yōu)化。最終數(shù)據(jù)的上傳和下載使用不同通道，即使同時(shí)并行也不會(huì)相互阻礙[3]。

2.6 網(wǎng)閘數(shù)據(jù)交換流程

為確保網(wǎng)絡(luò)傳輸?shù)陌踩?，網(wǎng)閘隔離傳輸硬件的一次數(shù)據(jù)交換流程包含以下兩個(gè)過(guò)程：一方主機(jī)將數(shù)據(jù)寫(xiě)入隔離傳輸硬件的雙端口RAM 中之后主機(jī)放棄傳輸，斷開(kāi)與隔離傳輸硬件的連接等待另一方主機(jī)將緩存中的數(shù)據(jù)取走。另一方主機(jī)在收到請(qǐng)求后，將雙端口 RAM 中的數(shù)據(jù)取走。在進(jìn)行數(shù)據(jù)擺渡的時(shí)候隔離傳輸硬件不能在某一時(shí)刻與外網(wǎng)主機(jī)和內(nèi)網(wǎng)主機(jī)同時(shí)相連進(jìn)行數(shù)據(jù)交換。

3 結(jié)論

本文根據(jù)網(wǎng)閘系統(tǒng)的“2+1”架構(gòu)，討論了基于USB3.0的網(wǎng)閘數(shù)據(jù)交換系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)原理，具體分析了內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和隔離傳輸硬件實(shí)現(xiàn)方式，實(shí)現(xiàn)了不同網(wǎng)絡(luò)之間的安全可靠數(shù)據(jù)交換和調(diào)用。

[1] 藍(lán)科,楊家均.網(wǎng)閘數(shù)據(jù)交換程序的實(shí)踐與分析[J]無(wú)線互聯(lián)科技, 2013

[2]萬(wàn)國(guó)平.安全隔離與網(wǎng)閘.北京:機(jī)械工業(yè)出版，2005

[3] 薛園園,趙建領(lǐng).USB應(yīng)用開(kāi)發(fā)寶典[M]人民郵電出版社, 2011

[4]陳睿,田忠和.物理隔離網(wǎng)閘數(shù)據(jù)交換技術(shù)的研究[J]計(jì)算機(jī)與數(shù)字工程, 2005