基于ARM的网络隔离器的设计..docVIP

基于ARM的网络隔离器的设计 摘要：简单介绍了物理隔离及物理隔离技术。构建了一个基于ARM的网络隔离器设计方案。本方案使用双端口RAM通过双通道实时开关技术连接内网和外网，将内外网的双向数据传输转换为两个单向数据传输，从硬件和软件上保证了内外网的安全隔离。 关键词：ARM 物理隔离 双端口RAM 网络隔离器 Linux 1 引言 Internet的迅猛发展是信息共享的程度进一步提高，因而信息安全的问题也日益突出，这是唯一的解决方法只能是主动解决信息安全和网络安全问题[1]。目前国内外采用最多的、最普遍的网络安全措施是使用防火墙类软件。但是防火墙类软件本身存在两大先天缺陷：其一是防火墙隔离的网络还是基于TCP/IP协议来进行信息交换的，而TCP/IP 协议存在漏洞，它无法防止协议本身的漏洞；其二是防火墙的运行离不开操作系统，操作系统和防火墙软件都存在漏洞，因而不能阻止由这些漏洞而引起的网络安全问题[2]。因此，开发相应的应用系统是必要的。本文在对已有的防火墙技术及物理隔离技术进行分析的基础上，提出了一个基于ARM的双主板物理隔离技术设计方案，既能满足实时数据的传输，又有很好的安全性能。 2 物理隔离技术原理 2.1 简介 物理隔离是指内部网络不得直接或间接地连接外部网络即互联网[3]。物理隔离技术通过中断内部网络与外部网络的连接，不支持TCP/IP 协议，不依赖于操作系统，解决了目前网络安全存在的根本性问题，即由于操作系统漏洞和TCP/IP 协议漏洞所带来的安全问题，有效地防止了恶意代码、病毒以及网络入侵的发生，满足了网络安全的机密性、完整性、可用性、可控性和可审查性要求。 2.2 物理隔离技术 目前，国内外普遍采用的物理隔离技术有: 单硬盘物理隔离卡和双主板物理隔离技术[4]。 2.2.1 单硬盘物理隔离卡 这种技术是将计算机的单个硬盘从物理层上分割为公共和安全两个分区，每个分区各自安装一套操作系统。在操作中，用户工作在安全状态和公共状态两个互相排斥的操作系统环境下，从而实现内外网的安全隔离。这种技术的缺点是不能传输实时数据。 2.2.2 双主板物理隔离技术 两块主板之间通过非网络方式的一个双端口RAM 进行数据的传输，双端口RAM 分为两个区，第一个区是内网客户端向外网服务器单向传输数据的通道。第二个区是外网客户端向内网服务器单向传输数据时的通道。在平时内外网是断开的，双端口RAM处于断开状态。当有数据要传输时，内外网才通过双端口RAM 进行数据传输。 3 基于ARM的网络隔离器的设计方案 3.1 系统硬件结构设计 存储介质使用双端口RAM，主要用作内网和外网数据的存储与转发。每台隔离装置有两块主板，每块主板有一个网卡，分别连接内外网，每块主板有一个串行口，双端口RAM是连接两块主板的唯一通道。网络隔离装置结构示意图如图1 所示。 图1 隔离器结构示意图 3.2 系统工作原理 隔离装置的两块主板分别构成两台主机（A 机和B 机），A 机作为外网的节点，B 机作为内网的节点。它们将内外两个网络节点之间的TCP 连接分解成内外两个网络节点分别到隔离装置内外两个网卡的两个TCP 虚拟连接。内外两个网卡都工作在杂收模式，利用虚拟IP 和MAC 地址分别与内外网通信。 以数据由外网到内网的传递为例，首先A机将由外网接收到的数据进行TCP/IP 协议和应用协议的剥离，将其还原为原始数据，同时对数据进行完整性和安全性的审查；审查通过后，将安全的数据传递给双端口RAM第一区，双端口RAM第一区收到数据后向B机发送中断请求，B机响应中断接收这批数据，并对它们进行TCP/IP协议和应用协议的封装后，把它们发送到内网。反之亦然。 3.3 隔离硬件的设计 网络隔离器中实现数据交换的过程是通过对隔离硬件（此处时双端口RAM卡）的存储芯片的读写来完成的。存储芯片作为为内网与外网的数据交换存储区，其设计方案决定了网络隔离器的数据交换速度。为了满足数据交换速度的要求，采用了双通道实时开关技术。 图2为双通道实时开关技术原理图： 外部主机通过K1 向A 中写入数据和从B 中读出数据，而内部主机通过K2 从A 中读出数据和向B 中写入数据。K1 和K2 的约束条件为：K1a×K2c=0 且K1b×K2d=0 。如此就将一个双向数据通道改造成了两 个单向的数据通道，这使得在原有设计中内部和外部处理单元其中一方对隔离硬件进行读写操作，而另一方就无法访问隔离硬件的情况有所改善，它允许双方同时进入读读或写写的状态。 3.4 系统软件设计 3.4.1 BIOS的设计 BIOS（Basic Input Output System，基本输入输出系统）是计算机硬件与操作系统之间联系的平台，其主要工作是对底层硬件的基本管理，为操作系统提供可用的资源与服务。 BIOS代码