论文部分内容阅读
摘 要: 对政府、企业网络文档传送需求进行深入分析,介绍NP技术,设计了基于NP架构信息流控制系统,该架构具有操作设计灵活方便的特性,达到了控制內外网信息传输的目标,为重要信息流通控制提供有力的安全保障。
关键词: NP架构;信息流通;控制系统
0 引言
当前网络发展已经进入4G时代,随着业务需求量的增加和数据流量的快速增长,网络处理器必须满足这种变化的需求。为了达到对数据有效控制,企事业单位必须在内网与外网数据交换的节点上,串联设置信息控制系统,对传输的各种文档信息进行甄别,才能有效的控制信息的流通,保证信息安全。因此选择一种比较合理完善的架构方式,对该系统的稳定运行和可持续性发展是设计的关键。本文采用NP架构建立“重要信息流通控制系统”。系统集成在硬件设备上,串联在内部网络和互联网接口,通过总体控制、数据捕获、数据处理、规则控制、用户页面管理五大模块实现系统功能,并对该系统的功能和性能进行简单测试。
1 关键技术
NP是Network Processor的缩写,意为网络处理器。根据“国际网络处理器会议”的定义:网络处理器是一种可编程器件,它特定地应用于通信领域的各种任务,比如包处理、协议分析、路由查找、防火墙、QoS等。由于本文所研究的系统是针对用户较大型的网络进行设计的,网络数据流量较大,如果采用普通的snnifer方式或其它数据包处理机制将极大的影响用户的网络速度,而且对于NP结构的编程可使用微码,所以效率与速度都会上升一个台阶,当然如果真正实施的话,成本费用将会相应增加。
本文针对Intel推出的IXP2000系列芯片进行微码开发,由于在性能上有了长足的提高,如IXP2400理论上最多可支持2.5Gbps的应用,IXP2800则支持10Gbps以上的应用。其SDK开发包一般功能十分齐全,模块化很好,便于开发人员控制。不足的是,IXP2400每个微引擎仅能存储4k*32位的指令,比较适合开发路由器和交换机这类产品;IXP2800每个微引擎能存储8k*32位的指令,基本可以满足企业信息外流系统控制功能开发的需要。
2 系统总体结构
系统的总体结构如下图1所示。
图1 信息控制系统总体结构图
系统采用定制的硬件板卡(Intel IXP1200)+ linux2.4
内核+软件网桥包+应用软件系统(Mysql4.10+Tomcat5+JDK1.5)
的技术架构。软件桥包的功能:两个网卡口,接收上行。下行的数据,通过软件桥报进行数据捕获,包的重组。安装linux2.4操作系统,采用Jdk1.5 JAVA开发和管理设计环境,串联式接入用户网络,一般需接入网关或主交换机前面的网络中。
3 系统控制模块设计
系统由五个模块组成:总体控制模块、数据捕获分析、数据处理、规则控制、用户管理。
1)总体控制模块:模块启动(启动注册服务器,监听端口、其他各个模块、总控定时器);系统状态监测(由定时器触发,对系统当前各模块状态进行监测,对系统状态运行是否正常、规则是否有效);模块管理(监测指定模块的运行状态,开关指定模块);规则管理(填减规则);冗余信息管理(与逻辑无关的冗余信息管理,由规则格式而产生的报警文件)。防克隆(第一次记录系统信息,以后每次启动进行比较,不一致不启动);接收报警(接收模块的报警信息,并按预设进行进一步处理)。
2)数据捕获控制模块:数据捕获控制模块的基本功能是实现以太网帧信息的转发,即从网桥接口收到来自核心卡的信元流后,根据封装协议(如RFC1483桥接协议)转换成以太网帧,然后建立相应的MAC地址与IP的对应关系,并通过以太网上联口送往操作系统。设计中,以太网卡需要实现以太网接收处理、CRC计算产生、发送处理、数据包重组、数据拦截、以太网发送等五个主要任务,而由于IXP1200刚好拥有六个微引擎,因此,将这六个单独的任务分配在每个微引擎上,并在处理上将其搭建成多流水线结构的程序架构,可以取得很好的处理效果。
3)数据处理模块:它是整个系统中的核心模块,在此模块中应默认本机IP在任何情况下都不在封锁IP之内,即使规则中存在本机IP。
4)规则控制:规则的体系结构(规则基本信息:指定了规则处理级别、数据结果的处理方式以及规则类型和规则标识信息;规则头信息:规则对数据筛选方法的初步定义,包含协议类型、IP、端口等基本信息。命令级别规则:包含对进行还原的网络数据边界限定及分析处理办法。内容级别规则:包含对应用特定信息(如传送文件中的关键字及文件特征等)设定及分析处理办法。
5)用户页面管理模块是用户直接与系统进行交互的桥梁。为方便管理,管理模块采用B/S模式进行设计。采用MVC模式、Struts框架进行实现。前台管理平台采用JAVA语言进行编写,所以可以很好的运行在不限的操作系统下。
4 系统实现
通过EMAIL向外界发送文件:
5 结束语
基于NP架构的信息控制系统预置“信息流通规则”,可以很好对传输的各种文档信息进行甄别,并根据甄别结果实施内部信息的“可以发送、限制发送、禁止发送”等一系列措施,“可疑”的信息传送行为将被强行制止,但对于主动伪装进行传输的行为缺乏有效的防范机制,另外,此类产品的成本过高的话也会影响其使用和推广。
参考文献:
[1]张钢钢、白英杰、徐媛,网络处理器Intel IXP1200应用[J].电子产品世界,2001(14).
[2]唐言,防火墙与入侵检测联动技术研究[J].中国新技术新产品,2010(01).
[3]吴秒秒,浅析防火墙新技术深度检测[J].内江科技,2009(04).
[4]陈峰,信息安全的研究现状及发展[J].中国人民公安大学学报(自然科学版),2009(02).
作者简介:
侯毅(1971-),男,汉族,辽宁沈阳人,大学讲师,软件工程硕士,沈阳广播电视大学,研究方向:信息安全技术。
关键词: NP架构;信息流通;控制系统
0 引言
当前网络发展已经进入4G时代,随着业务需求量的增加和数据流量的快速增长,网络处理器必须满足这种变化的需求。为了达到对数据有效控制,企事业单位必须在内网与外网数据交换的节点上,串联设置信息控制系统,对传输的各种文档信息进行甄别,才能有效的控制信息的流通,保证信息安全。因此选择一种比较合理完善的架构方式,对该系统的稳定运行和可持续性发展是设计的关键。本文采用NP架构建立“重要信息流通控制系统”。系统集成在硬件设备上,串联在内部网络和互联网接口,通过总体控制、数据捕获、数据处理、规则控制、用户页面管理五大模块实现系统功能,并对该系统的功能和性能进行简单测试。
1 关键技术
NP是Network Processor的缩写,意为网络处理器。根据“国际网络处理器会议”的定义:网络处理器是一种可编程器件,它特定地应用于通信领域的各种任务,比如包处理、协议分析、路由查找、防火墙、QoS等。由于本文所研究的系统是针对用户较大型的网络进行设计的,网络数据流量较大,如果采用普通的snnifer方式或其它数据包处理机制将极大的影响用户的网络速度,而且对于NP结构的编程可使用微码,所以效率与速度都会上升一个台阶,当然如果真正实施的话,成本费用将会相应增加。
本文针对Intel推出的IXP2000系列芯片进行微码开发,由于在性能上有了长足的提高,如IXP2400理论上最多可支持2.5Gbps的应用,IXP2800则支持10Gbps以上的应用。其SDK开发包一般功能十分齐全,模块化很好,便于开发人员控制。不足的是,IXP2400每个微引擎仅能存储4k*32位的指令,比较适合开发路由器和交换机这类产品;IXP2800每个微引擎能存储8k*32位的指令,基本可以满足企业信息外流系统控制功能开发的需要。
2 系统总体结构
系统的总体结构如下图1所示。
图1 信息控制系统总体结构图
系统采用定制的硬件板卡(Intel IXP1200)+ linux2.4
内核+软件网桥包+应用软件系统(Mysql4.10+Tomcat5+JDK1.5)
的技术架构。软件桥包的功能:两个网卡口,接收上行。下行的数据,通过软件桥报进行数据捕获,包的重组。安装linux2.4操作系统,采用Jdk1.5 JAVA开发和管理设计环境,串联式接入用户网络,一般需接入网关或主交换机前面的网络中。
3 系统控制模块设计
系统由五个模块组成:总体控制模块、数据捕获分析、数据处理、规则控制、用户管理。
1)总体控制模块:模块启动(启动注册服务器,监听端口、其他各个模块、总控定时器);系统状态监测(由定时器触发,对系统当前各模块状态进行监测,对系统状态运行是否正常、规则是否有效);模块管理(监测指定模块的运行状态,开关指定模块);规则管理(填减规则);冗余信息管理(与逻辑无关的冗余信息管理,由规则格式而产生的报警文件)。防克隆(第一次记录系统信息,以后每次启动进行比较,不一致不启动);接收报警(接收模块的报警信息,并按预设进行进一步处理)。
2)数据捕获控制模块:数据捕获控制模块的基本功能是实现以太网帧信息的转发,即从网桥接口收到来自核心卡的信元流后,根据封装协议(如RFC1483桥接协议)转换成以太网帧,然后建立相应的MAC地址与IP的对应关系,并通过以太网上联口送往操作系统。设计中,以太网卡需要实现以太网接收处理、CRC计算产生、发送处理、数据包重组、数据拦截、以太网发送等五个主要任务,而由于IXP1200刚好拥有六个微引擎,因此,将这六个单独的任务分配在每个微引擎上,并在处理上将其搭建成多流水线结构的程序架构,可以取得很好的处理效果。
3)数据处理模块:它是整个系统中的核心模块,在此模块中应默认本机IP在任何情况下都不在封锁IP之内,即使规则中存在本机IP。
4)规则控制:规则的体系结构(规则基本信息:指定了规则处理级别、数据结果的处理方式以及规则类型和规则标识信息;规则头信息:规则对数据筛选方法的初步定义,包含协议类型、IP、端口等基本信息。命令级别规则:包含对进行还原的网络数据边界限定及分析处理办法。内容级别规则:包含对应用特定信息(如传送文件中的关键字及文件特征等)设定及分析处理办法。
5)用户页面管理模块是用户直接与系统进行交互的桥梁。为方便管理,管理模块采用B/S模式进行设计。采用MVC模式、Struts框架进行实现。前台管理平台采用JAVA语言进行编写,所以可以很好的运行在不限的操作系统下。
4 系统实现
通过EMAIL向外界发送文件:
5 结束语
基于NP架构的信息控制系统预置“信息流通规则”,可以很好对传输的各种文档信息进行甄别,并根据甄别结果实施内部信息的“可以发送、限制发送、禁止发送”等一系列措施,“可疑”的信息传送行为将被强行制止,但对于主动伪装进行传输的行为缺乏有效的防范机制,另外,此类产品的成本过高的话也会影响其使用和推广。
参考文献:
[1]张钢钢、白英杰、徐媛,网络处理器Intel IXP1200应用[J].电子产品世界,2001(14).
[2]唐言,防火墙与入侵检测联动技术研究[J].中国新技术新产品,2010(01).
[3]吴秒秒,浅析防火墙新技术深度检测[J].内江科技,2009(04).
[4]陈峰,信息安全的研究现状及发展[J].中国人民公安大学学报(自然科学版),2009(02).
作者简介:
侯毅(1971-),男,汉族,辽宁沈阳人,大学讲师,软件工程硕士,沈阳广播电视大学,研究方向:信息安全技术。