[发明专利]网络中单向协议隔离方法及其装置

说明书

技术领域

本发明涉及一种网络中单向协议隔离方法，对网络中传输的数据进行单向协议隔离，以及相应的单向协议隔离装置。

背景技术

Internet发展到今天取得了巨大的成功。电子商务和电子政务等网络应用的发展和普及不仅给人们的生活带来了很大的方便，而且正在创造着巨大的财富。但与此同时，Internet也给人们带来了诸如黑客、病毒、特洛伊木马等很多可怕的东西，数据被篡改和窃取、文件被破坏，人们在享受因特网带来的欢乐的同时也在遭受着各种各样的安全隐患威胁，47.1％的用户声称在一年内遭遇过计算机被入侵的情况[CNNIC《中国互联网络发展状况统计报告》]。越来越多的企业和政府部门开始采用安全防护工具保护自己的网络安全。

网络安全技术的发展伴随着Internet的普及和广泛应用也有了长足的进步，防火墙、入侵检测、VPN、加密解密工具等安全产品逐渐产生、发展和成熟。但是到今天为止，Internet上的安全问题不但依然存在，并且似乎更加严重其中不乏采用了防火墙、入侵检测产品的客户。

但是，尽管防火墙(Firewall)在安全防御中作为一种核心的访问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求，因为防火墙始终保持了可信网络与不可信网络之间的TCP/IP连接。这样就不可能真正解决内外网络之间信息交互的安全问题。一旦防火墙因攻击或故障失效，或不能正确实现其职能时，始终存在的TCP/IP连接就成为攻击者攻击受保护网络的罪恶之手。因此，设计一种TCP/IP连接断开同时逻辑连接的安全设备是意义重大的。正是基于以上的想法，产生了新的协议隔离技术(GAP)。

协议隔离的指导思想与防火墙有很大的不同：(1)防火墙的思路是在保障互联互通的前提下，尽可能安全，而(2)协议隔离的思路是在保证必须安全的前提下，尽可能互联互通。通过协议隔离设备可以解决目前防火墙(Firewall)存在的根本问题：

1、防止TCP/IP的协议漏洞：其中一段不用TCP/IP，使用独立的GAP协议；

2、屏蔽防火墙中内网、外网和DMZ同时直接TCP/IP连接：采用双主机结构；

3、防护应用协议的漏洞，因为应用协议的命令和指令可能是非法的：进行应用层级别的协议内容检查。

发明内容

本发明所要解决的技术问题是提出一种简便易行、能进行隔离的网络中单向协议隔离方法，以及单向协议隔离装置。

本发明所提供的技术方案是：一种网络中单向协议隔离方法，包括有以下步骤：

a、网络数据为TCP/IP数据，通过不可信端网络接口层传递TCP/IP协议栈；

b、TCP/IP协议栈根据对网络数据依据全局安全策略库中的规则进行访问控制；

c、TCP/IP数据在由TCP/IP协议栈传递给协议分析模块，协议分析模块根据应用协议不同采用不同应用协议状态机处理，其中，协议分析模块中输入的是TCP/IP的应用协议数据，输出的是GAP协议数据包；

d、GAP协议数据包由协议分析模块传递给会话模块，会话模块启动具体的隔离程序，把合理的数据摆渡给对方的会话模块中；

e、当数据传输到对端时，对端会话模块依据数据的会话ID，把GAP数据连同控制信息交到特定的协议重构模块，协议重构模块依据全局安全策略库的设置，完成应用数据协议重组，并交给TCP/IP协议栈处理；其中，协议重构模块中输入的是GAP协议数据包，输出的TCP/IP的应用协议数据；

f、通过网络，TCP/IP协议栈构造合法数据包，通过可信端网络进行传输处理。

所述GAP协议数据包是基于Linux系统下的格式。

其中，所述步骤b中的全局安全策略库中的简单访问控制规则为：时间、数据源IP、源端口、目的IP和目的端口。

所述步骤c中的协议状态机包括：HTTP协议状态机、FTP协议状态机、SMTP协议状态机和POP3协议状态机，每个协议状态机提供自己对应的协议分析单元；每个经TCP/IP协议栈传过来的数据会传递到相应的协议分析单元去作协议分析。

所述步骤e中的全局安全策略库的设置为：对数据进行关键词搜索、病毒查杀、关键数据的比特位。

实施上述隔离方法的单向协议隔离装置，包括有PCI总线接口、不可信端隔离卡、可信端隔离卡和LVDS总线，所述PCI总线接口设有两个，分别与不可信端隔离卡、可信端隔离卡连接，而不可信端隔离卡通过LVDS总线与可信端隔离卡连接。