探讨主机系统存在安全问题.docVIP

探讨主机系统存在安全问题 　　摘要:网络的开放性、共享性,使计算机主机十分容易遭受到网络的攻击和破坏,主机中的内部数据极不安全,本文提出了一种独立主机的安全系统结构,该结构将主机和网卡设计成两个较为独立的数据处理模块,分别处理内部数据和外部数据,实验结果表明,该方案能确保主机的安全,同时运行效率大大提高。 　　关键词:主机系统安全结构网络 　　 　　 近几年来,虽然网络安全技术有了很大的发展但主机以及内部网络的数据安全仍然得不到保障,计算机被攻击和被破坏并没有得到有效的防止;的确,对于入侵访问控制技术的不断完善网络数据的安全性有了较大的改观,但这都不能从根本上保证主机的安全,因此,如何在保证计算机内部数据和外部数据安全的同时,提高数据处理效率,是一个十分有意义的研究课题。 　　 1、主机安全结构及原理 　　 主机运算器、控制器和内部存储器统称为主机。目???机主机中的带CPU的智能网卡以及带CPU的显卡等带CPU器件都称为目标机。内部数据主机内的数据和写保护了的硬盘上的数据。外部数据辅存中除写保护了的硬盘上的所有数据和网络上的数据,即计算机中内部数据以外的数据。主机系统安全结构图如图1所示,为了保持通用性,在现行结构的基础之上,只对网卡进行了改进,同时选用DSP多处理器以实现安全结构的开发,从而实现接收的网络数据,在网卡控制器(简称NCPU)控制下,存储到网卡存储器(简称NDRAM)内,还可通过设置的相关参数,在NCPU控制下,确定网络上数据的传输到主机DRAM(简称MDRAM)、显示器、还是硬磁盘等设备,但一般只允许网络上数据传输到显卡、硬磁盘等外设;而主机CPU(简称MCPU)实施内部数据传送,即控制内部数据经网卡向网络传输;MCPU和NCPU由网卡中的中央控制模块进行协调。由于主机根本不直接涉及外部数据,所以不可能受到外部的攻击和破坏,主机十分安全。另外,安全主机系统的结构中将数据分成内部数据和外部数据处理,极大提高了数据处理的效率。 　　图1安全主机的结构图 　　 2、主机系统安全结构的组成与实现 　　 2.1硬件构成 　　 独立主机安全系统的硬件由安全智能网卡、MCPU、NCPU、MDRAM以及硬磁盘等器件组成,其结构图如图1所示。 　　由于在Eclipse框架下采用的是现行多处理器通用结构,如图2所示。多处理器实时开发环境分为三层框架体系结构,目标层为目标程序运行的多型号、多处理器硬件平台及其软件结构,通信层为主机开发环境与目标机程序通信的结构,主机开发环境层为实时开发环境的软件结构。为了满足需求中对多型号、多处理器的支持,以及良好扩展性的支持,实时开发环境设计为开放式的框架结构。系统总体结构如图2所示: 　　图2多处理器系统结构图 　　对于不同型号、多处理器硬件平台运行的目标程序可能不同,实时操作系统、处理器算法程序应一一对应于不同型号、多处理器硬件平台。通信层负责主机开发环境与目标机程序之间的通信,对于不同型号、多处理器平台提供不同的主机-目标机驱动程序,并在驱动程序之上封装一层主机-目标机通信抽象层,达到主机与目标机通信协议的统一,这样建立在通信抽象层的主机开发环境不针对于某型号多处理器硬件平台,具有良好的适用性。主机开发环境为开发人员提供基于Eclipse框架下统一的开发环境,开发人员在多处理器拓扑图及其源代码框架上进行开发,而无需过多关心多型号、多处理器硬件平台及其配置。 　　 综上所述,只需改进现行网卡结构,增加一些驱动程序,便可构建独立主机的安全系统结构,因此,硬件主要涉及安全智能网卡的设计。 　　 2.2软件构成 　　 软件部分有:1.设备驱动程序的编写,如微端口驱动程序、中间层驱动程序、协议驱动程序;2.用户应用程序的编写,如对数据安全级别的判断和各安全级别数据的处理,提供用户二次开发的接口、用户可以利用中心管理软件对主机进行管理,实现总体安全策略的策划、管理、网络隔离设备、硬盘保护与恢复。 　　 2.3安全智能网卡在数据传输中的作用 　　 数据由主机到网卡或网卡到主机的传输可由MCPU直接控制也可由MCPU和NCPU协调后,再由NCPU控制,或直接由NCPU控制。在MCPU控制下,先判定数据是否需进行安全处理,数据如要进行安全处理,处理后数据再经网卡向网络传输;需MCPU和NCPU协调的情况,此时,应进行控制策略的智能判定选择,然后确定数据的流向,这多数是需判定经网卡是否流入主机的这类数据;网卡的数据流向显卡,硬磁盘等外围设备时,均由NCPU控制。主机、显卡或硬磁盘以程序方式与DDR SDRAM交换数据。安全智能网卡的中央控制模块对传递的信息进行逻辑判断,如果传送中的数据需要进行安全处理,则由它把数据送往网卡DDR SDRAM中,完成数据的安全处理后,把数据