丁 霞 江 飛

（1.海軍指揮學(xué)院信息戰(zhàn)研究系 南京 211800）（2.國(guó)防信息學(xué)院信息化建設(shè)系 武漢 430010）

基于移動(dòng)Agent技術(shù)的隔離網(wǎng)閘內(nèi)容檢查機(jī)制研究＊

丁 霞1江 飛2

（1.海軍指揮學(xué)院信息戰(zhàn)研究系 南京 211800）（2.國(guó)防信息學(xué)院信息化建設(shè)系 武漢 430010）

隔離網(wǎng)閘為不同信任域網(wǎng)絡(luò)之間的安全隔離與信息交換提供了技術(shù)支持，而處于內(nèi)、外網(wǎng)處理單元中的內(nèi)容檢查機(jī)制顯得尤為重要。論文在對(duì)移動(dòng)Agent技術(shù)研究的基礎(chǔ)上，將其應(yīng)用于隔離網(wǎng)閘當(dāng)中，提高了內(nèi)容檢查模塊的過(guò)濾效率。

隔離網(wǎng)閘；內(nèi)容檢查；移動(dòng)代理

Class NumberTP391

1 引言

隔離網(wǎng)閘為不同信任域網(wǎng)絡(luò)之間的安全隔離與信息交換提供了技術(shù)支持，滿足了許多對(duì)安全性要求較高的政府部門(mén)、企業(yè)和軍事單位的安全需求。隔離網(wǎng)閘技術(shù)能實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的物理斷開(kāi)，以保證內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的安全，但同時(shí)又能與外部網(wǎng)絡(luò)適度地交換數(shù)據(jù)。隨著用戶對(duì)安全性要求的不斷增加，隔離網(wǎng)閘內(nèi)容檢查模塊的設(shè)計(jì)也在不斷發(fā)展、更新，引入了一些新的技術(shù)來(lái)進(jìn)一步完善其過(guò)濾功能。本文引入了移動(dòng)Agent技術(shù)，利用它的移動(dòng)性、自主性來(lái)增強(qiáng)內(nèi)容檢查模塊的工作性能，提高過(guò)濾效率。

2 隔離網(wǎng)閘內(nèi)容檢查機(jī)制

隔離網(wǎng)閘系統(tǒng)是由兩套各自獨(dú)立的內(nèi)、外網(wǎng)處理單元，分別連接著內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)，兩套處理單元之間是一個(gè)類(lèi)似“網(wǎng)閘”的裝置，分時(shí)地使用兩套系統(tǒng)中的數(shù)據(jù)通路進(jìn)行數(shù)據(jù)交換，達(dá)到隔離與交換的目的。為了保障數(shù)據(jù)交換的安全性，需要在內(nèi)、外網(wǎng)處理單元中添加內(nèi)容檢查模塊實(shí)現(xiàn)數(shù)據(jù)的內(nèi)容檢查。如圖1所示。

對(duì)于在內(nèi)部網(wǎng)絡(luò)處理單元中所添加的內(nèi)容檢查模塊來(lái)說(shuō)，其過(guò)濾規(guī)則的設(shè)置是為了防止內(nèi)部網(wǎng)絡(luò)中的涉密信息或敏感數(shù)據(jù)的泄露；而對(duì)于外網(wǎng)處理單元中所添加的內(nèi)容檢查模塊來(lái)說(shuō)，其過(guò)濾規(guī)則的設(shè)置則是為了阻止外部網(wǎng)絡(luò)中的非法信息、惡意代碼侵入到內(nèi)部網(wǎng)絡(luò)，對(duì)內(nèi)部網(wǎng)絡(luò)造成嚴(yán)重的破壞或者產(chǎn)生不良的影響［1～2］。

圖1 隔離網(wǎng)閘的體系結(jié)構(gòu)

3 移動(dòng)Agent結(jié)構(gòu)研究

3.1 移動(dòng)Agent的基本概念

移動(dòng)Agent［2～3］是一種代替人或者其它程序執(zhí)行某種任務(wù)的程序，它可以自主地在異構(gòu)的網(wǎng)絡(luò)上按照一定的規(guī)程移動(dòng)，尋找合適的計(jì)算資源、信息資源或軟件資源，利用與這些資源處于同一主機(jī)或網(wǎng)絡(luò)的優(yōu)勢(shì)，就近處理或使用這些資源，代表用戶完成特定的任務(wù)。

從軟件Agent的角度來(lái)看，移動(dòng)Agent是軟件Agent家族中的一員。根據(jù)是否具有移動(dòng)屬性，軟件Agent可以被分為兩類(lèi)：移動(dòng)Agent和靜態(tài)Agent。靜態(tài)Agent一直駐留在其開(kāi)始執(zhí)行的位置，通過(guò)通信機(jī)制與外界交換信息、交互協(xié)作，而移動(dòng)Agent在其生命周期內(nèi)，可以在不同的網(wǎng)絡(luò)節(jié)點(diǎn)之間移動(dòng)。在執(zhí)行過(guò)程中，移動(dòng)Agent可以從一個(gè)執(zhí)行環(huán)境遷移，掛起執(zhí)行線程，把自己的程序代碼和執(zhí)行狀態(tài)傳送到另一個(gè)執(zhí)行環(huán)境，并在其中恢復(fù)執(zhí)行。因此，在具備軟件Agent特性的基礎(chǔ)上，移動(dòng)Agent有兩個(gè)最重要的特性：

1）移動(dòng)性（mobility）：將自己連同自己的狀態(tài)數(shù)據(jù)一起移動(dòng)到另一網(wǎng)絡(luò)結(jié)點(diǎn)，并繼續(xù)執(zhí)行的特性。這是它和一般Agent的根本區(qū)別所在。

2）自主性（autonomy）：在沒(méi)有外界直接干涉和指導(dǎo)下持續(xù)運(yùn)行，并能控制其內(nèi)部狀態(tài)和動(dòng)作的特性。Agent的移動(dòng)一般是自主決定的。

3.2 移動(dòng)Agent系統(tǒng)結(jié)構(gòu)

移動(dòng)Agent系統(tǒng)［3～5］由移動(dòng)Agent和移動(dòng)A－gent服務(wù)設(shè)施（或稱(chēng)移動(dòng)Agent服務(wù)器）兩部分組成。移動(dòng)Agent服務(wù)設(shè)施基于Agent傳輸協(xié)議（Agent Transfer Protocol，ATP）實(shí)現(xiàn)Agent在主機(jī)間的遷移，并為其分配執(zhí)行環(huán)境和服務(wù)接口。它還要實(shí)現(xiàn)容錯(cuò)策略、安全控制策略、通信機(jī)制、基本服務(wù)設(shè)施等功能。Agent在服務(wù)設(shè)施中執(zhí)行，通過(guò)Agent通信語(yǔ)言（Agent Communication Language，ACL）相互通信并接受服務(wù)設(shè)施提供的服務(wù)。

如圖2所示，移動(dòng)Agent的結(jié)構(gòu)包含以下相互關(guān)聯(lián)的模塊：安全代理、環(huán)境交互、任務(wù)求解、知識(shí)庫(kù)、內(nèi)部狀態(tài)集、約束條件和路由策略。

圖2 移動(dòng)Agent的系統(tǒng)結(jié)構(gòu)

移動(dòng)Agent結(jié)構(gòu)的最外層是安全代理，作為Agent與外界環(huán)境通信的中介，執(zhí)行Agent的安全策略，阻止外界環(huán)境對(duì)Agent的非法訪問(wèn)。Agent通過(guò)環(huán)境交互模塊感知外部環(huán)境并作用于外部環(huán)境。環(huán)境交互模塊實(shí)現(xiàn)ACL的語(yǔ)義，保證使用相同ACL的Agent和服務(wù)設(shè)施之間的正確通信，而通信內(nèi)容的語(yǔ)義與ACL無(wú)關(guān)。Agent的任務(wù)求解模塊包括Agent的運(yùn)行模塊，以及與Agent任務(wù)相關(guān)的推理方法和規(guī)則。知識(shí)庫(kù)是Agent所感知的世界和自身模型，并保存在移動(dòng)過(guò)程中獲取的知識(shí)和任務(wù)求解結(jié)構(gòu)。內(nèi)部狀態(tài)集是Agent執(zhí)行過(guò)程中的當(dāng)前狀態(tài)，能夠影響Agent的任務(wù)求解過(guò)程，同時(shí)Agent的任務(wù)求解又作用于內(nèi)部狀態(tài)。約束條件是Agent創(chuàng)建者為保證Agent的行為和性能而作出的約束，如返回時(shí)間、站點(diǎn)停留時(shí)間及任務(wù)完成度等，一般只有創(chuàng)建者擁有對(duì)約束條件的修改權(quán)限。路由策略決定Agent的移動(dòng)路徑，路由策略可能是靜態(tài)的服務(wù)設(shè)施列表，或者是基于規(guī)則的動(dòng)態(tài)路由，前者適用于簡(jiǎn)單、明確的任務(wù)求解過(guò)程，后者能夠滿足復(fù)雜和非確定性任務(wù)的求解。

服務(wù)設(shè)施為移動(dòng)Agent提供基本服務(wù)（包括創(chuàng)建、傳輸、執(zhí)行等），移動(dòng)Agent的移動(dòng)和任務(wù)求解能力很大程度上決定于服務(wù)設(shè)施所提供的服務(wù)。一般來(lái)講，服務(wù)設(shè)施應(yīng)包括以下基本服務(wù)。

·生命周期服務(wù)：實(shí)現(xiàn)Agent的創(chuàng)建、移動(dòng)、持久化存儲(chǔ)和執(zhí)行環(huán)境分配。

·事件服務(wù)：包括Agent傳輸協(xié)議和Agent通信協(xié)議，實(shí)現(xiàn)Agent間的事件傳遞。

·目錄服務(wù)：提供定位Agent的信息，形成路由選擇。

·安全服務(wù)：提供安全的Agent執(zhí)行環(huán)境。

·應(yīng)用服務(wù)：是任務(wù)相關(guān)的服務(wù)，在生命周期服務(wù)的基礎(chǔ)上提供面向特定任務(wù)的服務(wù)接口。

4 基于移動(dòng)Agent的內(nèi)容檢查工作模型

本文提出的基于移動(dòng)Agent的內(nèi)容檢查模型系統(tǒng)不僅可以防止內(nèi)部網(wǎng)絡(luò)涉密信息的外泄，同時(shí)也可以對(duì)非法入侵的外部網(wǎng)絡(luò)信息進(jìn)行過(guò)濾，防止其對(duì)內(nèi)部網(wǎng)絡(luò)造成破壞［6，9～10］?；谝苿?dòng)Agent的內(nèi)容檢查工作模型如圖3所示。

圖3 基于移動(dòng)Agent的內(nèi)容檢查工作模型

基于移動(dòng)Agent的內(nèi)容檢查模塊只要系統(tǒng)在運(yùn)行狀態(tài)，它就會(huì)處在不斷地挖掘過(guò)程中，譬如對(duì)“法輪功”、“大法”等關(guān)鍵詞進(jìn)行挖掘。一旦系統(tǒng)運(yùn)行，挖掘模塊將會(huì)對(duì)所有的網(wǎng)址進(jìn)行不斷的挖掘，如果在網(wǎng)頁(yè)的內(nèi)容中發(fā)現(xiàn)有這方面的內(nèi)容，那么就會(huì)使系統(tǒng)返回該網(wǎng)頁(yè)的網(wǎng)址，然后系統(tǒng)就會(huì)以文檔的形式把這些網(wǎng)址放入數(shù)據(jù)庫(kù)中，以便于在監(jiān)控用戶使用的時(shí)候進(jìn)行比較。

內(nèi)容檢查系統(tǒng)的數(shù)據(jù)庫(kù)由關(guān)鍵詞庫(kù)、URL庫(kù)、文檔庫(kù)等組成，是一個(gè)分布式的數(shù)據(jù)庫(kù)，分為本地?cái)?shù)據(jù)庫(kù)和全局?jǐn)?shù)據(jù)庫(kù)。平時(shí)挖掘模塊把挖掘下來(lái)的信息保存在本地?cái)?shù)據(jù)庫(kù)中，本地?cái)?shù)據(jù)庫(kù)定期地把數(shù)據(jù)傳到全局?jǐn)?shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)庫(kù)的更新。數(shù)據(jù)庫(kù)部分主要是實(shí)現(xiàn)對(duì)各種關(guān)鍵詞和URL的管理、傳遞、監(jiān)控，對(duì)有關(guān)挖掘、過(guò)濾過(guò)程中所需要的，以及產(chǎn)生的各類(lèi)數(shù)據(jù)進(jìn)行存取、增刪、查詢(xún)、修改、更新。數(shù)據(jù)庫(kù)是系統(tǒng)集成的重要信息資源，是整個(gè)系統(tǒng)設(shè)計(jì)的基礎(chǔ)部分。

一般情況下，當(dāng)內(nèi)部的用戶通過(guò)關(guān)鍵詞搜索網(wǎng)絡(luò)時(shí)，內(nèi)容檢查模塊就會(huì)根據(jù)它要搜索的關(guān)鍵詞內(nèi)容，與數(shù)據(jù)庫(kù)（保存了大量的關(guān)鍵詞的庫(kù)）進(jìn)行比較，看關(guān)鍵詞是否被禁止，如果發(fā)現(xiàn)要搜索的關(guān)鍵詞被禁止搜索，那么系統(tǒng)將切斷用戶對(duì)該關(guān)鍵詞進(jìn)行查詢(xún)，返回不能查詢(xún)的結(jié)果。反之，如果沒(méi)有對(duì)該關(guān)鍵詞禁止，那么內(nèi)容檢查模塊將不對(duì)該次搜索進(jìn)行干預(yù)，直接把搜索的結(jié)果返回給用戶。同理，用戶對(duì)URL進(jìn)行訪問(wèn)的時(shí)候。檢查模塊也會(huì)把該URL和數(shù)據(jù)庫(kù)中預(yù)先保存的URL庫(kù)進(jìn)行比較，看是否允許用戶對(duì)該URL進(jìn)行訪問(wèn)。如果允許則不對(duì)用戶進(jìn)行任何的限制。反之，就告訴用戶不能對(duì)該網(wǎng)址進(jìn)行訪問(wèn)。

網(wǎng)絡(luò)管理員不定期對(duì)內(nèi)部用戶的訪問(wèn)信息進(jìn)行統(tǒng)計(jì)查看，如果發(fā)現(xiàn)用戶對(duì)某些原來(lái)不能訪問(wèn)的關(guān)鍵詞進(jìn)行搜索，或者對(duì)某些不合法、不健康的網(wǎng)址進(jìn)行了瀏覽，但是在數(shù)據(jù)庫(kù)中沒(méi)有對(duì)這方面的關(guān)鍵詞或者網(wǎng)址加以限制，那么管理員就會(huì)把這方面的關(guān)鍵詞添加到相應(yīng)的數(shù)據(jù)庫(kù)中，這樣當(dāng)內(nèi)部用戶下一次對(duì)相同的內(nèi)容進(jìn)行訪問(wèn)的時(shí)候，內(nèi)容檢查模塊就會(huì)對(duì)這些關(guān)鍵詞或者網(wǎng)址進(jìn)行相應(yīng)的處理。使之不能進(jìn)行訪問(wèn)或查詢(xún)。

5 隔離網(wǎng)閘中內(nèi)容檢查模塊的實(shí)現(xiàn)

5.1 隔離網(wǎng)閘中NetFilter框架分析

Linux內(nèi)核［7～8］版本升級(jí)到2.4的時(shí)候，Rusty Russell提出了NetFilter框架機(jī)制，它提供了一個(gè)抽象、通用化的框架，和內(nèi)核緊密結(jié)合在一起，具有以往版本框架都沒(méi)有的強(qiáng)大功能。NetFilter框架定義的一個(gè)子功能的實(shí)現(xiàn)就是數(shù)據(jù)包過(guò)濾子系統(tǒng)，但是并不能實(shí)現(xiàn)內(nèi)容檢查功能。因此需要利用NetFilter框架良好的可擴(kuò)充性，將內(nèi)容檢查模塊添加進(jìn)去，實(shí)現(xiàn)對(duì)數(shù)據(jù)流的高效過(guò)濾。

當(dāng)數(shù)據(jù)報(bào)流過(guò)協(xié)議框架中五個(gè)檢查點(diǎn)的時(shí)候嵌入鉤子函數(shù)是NetFilter框架的重要組成部分，它保證了調(diào)用用戶函數(shù)對(duì)數(shù)據(jù)報(bào)進(jìn)行處理，從而實(shí)現(xiàn)包過(guò)濾功能。圖4顯示了這幾個(gè)檢查點(diǎn)和它們相應(yīng)地在函數(shù)中的位置，以及該函數(shù)所在文件名稱(chēng)。

圖4 NetFilter框架

當(dāng)一個(gè)數(shù)據(jù)報(bào)在通過(guò)NetFilter框架的時(shí)候，它將經(jīng)過(guò)上圖所示的流程，從上圖可以看到，Net－Filter框架共有五個(gè)鉤子函數(shù)，分別是：

［1］ NF＿IP＿PRE＿ROUTING

［2］ NF＿IP＿LOCAL＿IN

［3］ NF＿IP＿FORWARD

［4］ NF＿IP＿POST＿ROUTING

［5］ NF＿IP＿LOCAL＿OUT

5.2 隔離網(wǎng)閘中內(nèi)容檢查模塊的實(shí)現(xiàn)

利用NetFilter框架對(duì)網(wǎng)絡(luò)中的信息內(nèi)容進(jìn)行過(guò)濾，需要從網(wǎng)絡(luò)數(shù)據(jù)包中還原出原始數(shù)據(jù)，再通過(guò)內(nèi)容檢查算法對(duì)原始數(shù)據(jù)進(jìn)行判斷。系統(tǒng)利用NetFilter框架捕獲數(shù)據(jù)包，并直接在內(nèi)核態(tài)下對(duì)數(shù)據(jù)包進(jìn)行重組，還原出原始數(shù)據(jù)，再將原始數(shù)據(jù)送給內(nèi)容檢查模塊。根據(jù)已有的過(guò)濾規(guī)則，通過(guò)內(nèi)容檢查模塊就可以直接對(duì)原始數(shù)據(jù)進(jìn)行分析處理。

為了進(jìn)一步提高不同信任域網(wǎng)絡(luò)之間的安全性，在NetFilter框架中加入內(nèi)容檢查模塊，對(duì)IP數(shù)據(jù)包的數(shù)據(jù)內(nèi)容進(jìn)行檢查。圖5就是添加了內(nèi)容檢查模塊的NetFilter框架結(jié)構(gòu)。

圖5 添加內(nèi)容檢查模塊NetFilter模型

如圖5所示，在NetFilter框架的原有模型中添加了內(nèi)容檢查模塊、修正特征庫(kù)、輸入驅(qū)動(dòng)A和輸出驅(qū)動(dòng)B。圖中顯示了三種不同數(shù)據(jù)流的流向。

1）在圖中的［2］、［3］、［5］三個(gè)檢查點(diǎn)分別添加內(nèi)容檢查模塊提供內(nèi)容過(guò)濾功能。

2）修正特征庫(kù)子系統(tǒng)提供關(guān)鍵詞詞頻數(shù)組，關(guān)鍵詞詞頻數(shù)組是內(nèi)容檢查模塊進(jìn)行過(guò)濾的依據(jù)。

3）輸入驅(qū)動(dòng)A輸入關(guān)鍵詞詞頻數(shù)組，而輸出驅(qū)動(dòng)B輸出內(nèi)容過(guò)濾的結(jié)果。

NetFilter框架處于Linux內(nèi)核中，而修正特征庫(kù)子系統(tǒng)處于Linux用戶空間，輸入驅(qū)動(dòng)A和輸出驅(qū)動(dòng)B為處于用戶空間的修正特征庫(kù)和處于內(nèi)核的內(nèi)容檢查模塊之間提供了特征詞詞頻數(shù)組交換的接口。輸入驅(qū)動(dòng)A負(fù)責(zé)關(guān)鍵詞詞頻數(shù)組的輸入，輸出驅(qū)動(dòng)B負(fù)責(zé)網(wǎng)絡(luò)內(nèi)容過(guò)濾結(jié)果的輸出。

內(nèi)容檢查模塊在NetFilter框架的鉤入點(diǎn)和包過(guò)濾模塊鉤入點(diǎn)是一樣的，分別是［2］、［3］、和［5］三個(gè)檢查點(diǎn)，三個(gè)過(guò)濾模塊剛好覆蓋所有的待過(guò)濾數(shù)據(jù)包，而且不會(huì)有重復(fù)過(guò)濾的現(xiàn)象出現(xiàn)，這樣的設(shè)置方式是基于下面兩點(diǎn)考慮：

1）效率：先進(jìn)行包過(guò)濾，如果數(shù)據(jù)包沒(méi)有能通過(guò)包過(guò)濾則不必進(jìn)行內(nèi)容過(guò)濾，提高了過(guò)濾的效率。從NetFilter框架可以看出一個(gè)數(shù)據(jù)包只能而且必須經(jīng)過(guò)這三個(gè)過(guò)濾點(diǎn)中的一個(gè)，所以所有的數(shù)據(jù)包，正好被過(guò)濾一次，避免重復(fù)過(guò)濾，也提高了過(guò)濾的效率。

2）模塊自身的安全：進(jìn)入的數(shù)據(jù)包通過(guò)包過(guò)濾之后，才可以進(jìn)行內(nèi)容過(guò)濾，包過(guò)濾對(duì)內(nèi)容檢查模塊起到了保護(hù)的作用。

6 結(jié)語(yǔ)

隔離網(wǎng)閘為不同信任域網(wǎng)絡(luò)之間的安全隔離與信息交換提供了技術(shù)支持，而內(nèi)容檢查機(jī)制在內(nèi)外網(wǎng)主機(jī)之間的安全機(jī)制中所處的地位是至關(guān)重要的。因此本文通過(guò)對(duì)移動(dòng)Agent技術(shù)的分析研究，并將之引入到隔離網(wǎng)閘中，利用它的移動(dòng)性和自主性，可以很好地完成對(duì)內(nèi)、外網(wǎng)之間交換數(shù)據(jù)信息檢查的工作。移動(dòng)Agent技術(shù)的引入，不僅滿足了信息過(guò)濾準(zhǔn)確性的要求，同時(shí)也保證了信息過(guò)濾的實(shí)時(shí)性。

［1］萬(wàn)平國(guó).網(wǎng)絡(luò)隔離與網(wǎng)閘（國(guó)家信息化安全教育認(rèn)證（ISEC）系列教材）［M］.北京：機(jī)械工業(yè)出版社，2004：1－20.

［2］張妹璞，周安民，吳少華.一種改進(jìn)的安全隔離網(wǎng)閘實(shí)現(xiàn)研究［J］.微計(jì)算機(jī)信息，2008，24（1－3）：45－47.

［3］黃慧敏.基于移動(dòng)Agent的數(shù)據(jù)挖掘技術(shù)研究［D］.重慶：重慶交通大學(xué)碩士學(xué)位論文，2011：19－26.

［4］孫超，陳鋼.基于agent技術(shù)的統(tǒng)一身份認(rèn)證系統(tǒng)［J］.計(jì)算機(jī)應(yīng)用研究，2005，22（3）：138－140.

［5］李鈺.多Agent系統(tǒng)結(jié)構(gòu)及Agent間交互的研究［D］.成都：電子科技大學(xué)碩士學(xué)位論文，2003：12－43.

［6］任曉明，楊大鑒.移動(dòng)代理的體系結(jié)構(gòu)分析［J］.計(jì)算機(jī)工程與應(yīng)用，2001，27（1）：62－64.

［7］岳紅梅，石冬雪，徐詠梅，等.基于嵌入式LINUX的網(wǎng)絡(luò)隔離系統(tǒng)研究與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與應(yīng)用，2005，（5）：141－143.

［8］周永明.網(wǎng)絡(luò)隔離與安全交換原型研究［D］.上海：同濟(jì)大學(xué)碩士學(xué)位論文，2006：13－49.

［9］WANG Hai－yan，WANG Ru－chuan.Two－step mobile agent based authentication architecture：towards effective grid authencation［J］.Trans of Nanjing University of Aeronautics and Astronautics，2008，25（1）：61－66.

［10］YANG Li.Application research of digital gas fields production management information system based on mobile agent［J］.Application Research of Computers，2006，23（7）：172－175.

Mechanism of Content Checkingof the Gap Based on Mobile Agent Technology

DING Xia1JIANG Fei2
（1.Department of Information Warfare Studies，Naval Command College，Nanjing 211800）（2.Department of Informationized Construction，Academy of National Defense Information，Wuhan 430010）

The gap provides technical sustain for secure isolation and information exchange between the non－trusted network and trusted network，and the mechanism of content checking is very important among the mechanisms of inner and outer network host computer.This paper applies the study of mobile agent technology in gap，and highly improves filter－efficiency of the module of content checking.

gap，content checking，mobile agent

TP391DOI：10.3969／j.issn.1672－9730.2015.11.027

2015年5月4日，

2015年6月25日

丁霞，男，碩士，講師，研究方向：信息安全。江飛，男，碩士，講師，研究方向：網(wǎng)絡(luò)與信息安全。