最新更新
·保护网络安全用USB端口实现内外网隔离
·瑞星称只有云安全才能应对病毒互联网
·资深网管教你如何彻底防范U盘病毒
·江民11月18日病毒播报:阅读器漏洞
·病毒利用微软最大漏洞肆虐 安全卫士
·化解无线网络的安全威胁 享受便利快捷
·拒绝病毒 让闪存从此“百毒不侵”
·江民11.17病毒播报:强盗和网游窃贼变
·利用微软漏洞入侵的危险病毒将爆发
·网络威胁无处不在 隔离安全解决方案风
点击排行
·包头市计算机公共网络安全协会会员单
·包头市计算机公共网络安全协会理事单
·包头市计算机公共网络安全协会领导
·光华反病毒研究中心最新病毒预警
·包头市计算机公共网络安全协会组织机
·包头市公安局领导在计算机公共网络安
·包头市计算机公共网络安全协会简介
·信息安全等级保护管理办法(试行)
·QQ流传玫瑰花图片文件病毒将摧毁个人
·瑞星升级报告:18.36.12新增28个可查
 ★您目前所在的位置:首页 > 网站首页 > 行业动态 > 正文
 
保护网络安全用USB端口实现内外网隔离
发布日期:2008-11-19 9:03:16  来源:  编辑:  浏览:

  保护网络安全用USB端口实现内外网隔离

  网络蠕虫、网页挂马、恶意软件是目前针对互联网的新型犯罪的三种主要手段。黑客利用技术手段在用户无法发现的情况下,在个人电脑上植入特殊的病毒,并将其互相连通,集群管理,从中获得巨大的利益。由于每个被感染或者入侵的个体受到的损失可能非常小,因此其隐蔽性非常高,在没有特殊工具的帮助之下难以被发现。但是,由于其数量巨大,通过聚沙效应,往往可以积少成多,成为网络犯罪分子牟利的非常有效的工具。在个人电脑上网进行浏览网页时,利用敏感或者热门的关键字吸引用户进入,同时植入蠕虫、木马、恶意软件,已经成了上述恶意攻击的主要手段。

  基于USB2.0隔离方法的提出

  近年来,信息技术高速发展,电子政务的应用越来越广泛,在这些需要依靠信息系统处理日常事务的机构(如工商、税务、银行以及军队等)中,工作人员一方面要接入到互联网中,另一方面要连接到内网中,并在这两个网络中实现信息的交换。由于这些机构的内网中存在许多涉及国家、个人的机密信息,所以,必须在保证信息交换的前提下实现两个网络连接的安全。

  如何选择隔离手段将内网与外网进行隔离的同时进行必要的通信,这是目前应对新形势下网络犯罪最亟待解决的问题。本文提供了一种通过USB实现基于Http代理通信的同时实现内外网数据安全隔离的方案。

  安全隔离和信息交换系统的架构由两个拥有操作系统(可以是异构操作系统)的独立主机系统(内网机和外网机)和一个连接硬件组成,连接硬件通常是与以太网异构的介质组成,如某些隔离卡或交换矩阵等。这些连接硬件通过主机上的程序或硬件上独立的芯片来对两个网络中需要交换的信息数据进行封包、摆渡、解包,从而实现内外网之间数据的交换。

  本文提到的这种新的解决方案也是基于这种架构,不过其连接硬件采取了专用的USB 2.0的方式。内外网主机使用专用的程序把需要交换的数据信息通过USB 2.0端口进行传输,从而达到数据交换的目的。用这种技术可以抛弃较为脆弱的基于TCP/IP协议的内外网安全隔离机制,从真正意义上达到内外网连接时的安全隔离。USB 2.0的理论传输速度可以达到480Mbps,这样的速度可以满足目前几乎所有用户的需求。并且USB支持双通道进出同步传输,这样就很容易解决传输过程中的双向问题。最后,这种USB 2.0隔离机制和开发相应程序的成本很低廉,从而在很大程度上降低了安全隔离和信息交换的成本。所以这种新型的安全隔离和信息交换系统在当前的市场上具有较大的潜力。

  利用USB OTG技术实现

  本方案采用的基础是USB OTG技术。USB(Universal Serial Bus)即通用串行总线,是一种连接外部串行设备的技术标准。

  USB-OTG是USB On-The-Go的缩写,实际上它是USB Implementers Forum组织对于传统USB接口的一个追加协议,主要应用于各种不同的设备或移动设备间的连接和数据交换。传统的USB技术,虽然使得PC和周边设备的数据交换变得简单和方便,但它一旦离开了PC设备,就无法实现数据交换,因为没有一台设备能够充当PC一样的主机。有了 USB-OTG,就可以完全脱离开PC。最新版本的USB-OTG便是直接建立在USB 2.0基础之上的。它修改了USB接口的针脚定义和接口外形,使厂商可以根据需要将各种数码设备定义为“主机端”、“设备端”或具有双重身份的角色,这样网络及数码设备便可适时地变换身份,实现彼此之间的直接连接。

  本文提出的方案,可利用USB-OTG设备规范中的“多角色”特性,将与两台PC主机直连的USB通信设备同时作为host角色和slave角色,实现两台主机间直接通过USB端口相互通信。

  技术的原理及应用

  这种方案在实际应用中是及其方便的,因为传输的介质——USB连线在市场中已经很成熟,这样就只需要根据客户的需求来开发相应的程序就可以了。图1是简单的由两台PC组成的一个系统。

  当使用USB线连接PC1和PC2设备后,通过基于标准USB规范的程序就可以在其中任意一台设备上与另外一台设备进行通信,通过这种方式可以在这两台设备上任意进行OTG传输。

  这种方式完全抛弃了传统的TCP/IP协议,实现了安全隔离的作用。对于目前的网闸而言,连接内外网两端在逻辑上是同一台主机,虽然在隔离设备上采用了自己的私有协议,但是仍然是基于TCP/IP协议的。这样,在隔离策略设置不当,或者没有及时更新策略时,完全可能产生内网主机被入侵者逐步蚕食的情况。而USB通信协议是完全基于数据分块和方向制定的,可以确保外来数据能够在完全不到达内网主机的情况下,通过数据的定向同步映射到内网。这样,即使入侵者能够成功控制外网的代理机,在理论上,依靠目前的TCP/IP是无法构造能够同时兼容两层完全不同的传输介质和传输协议的数据通信,因此无法将恶意软件通过USB传送到内网的主机中。

  这种方法的基本原理是: 利用Http协议“落地”的方式,转换为对单个网页内容的请求,然后通过USB协议对处于外网的代理机发出请求,下载完成后,“落地”为内网文件,提供给内网用户,其实现还是采用了Http请求重定向技术。

本文共2页,当前在第1页  1  2  
 
上一篇:化解无线网络的安全威胁 享受便利快捷
下一篇:没有了
联系我们
电话:(0472)5118809
地址:包头市昆区民族东路
63号丽都酒店503室
邮编:014010
包头热线 中国互联网协会 | 信息产业部 | 中国电信 | 中国数据通信局 | 吉通网络通信 | 中国信息产业网 | 人民网 | 铁通网络 | 文化部信息中心 | 瑞星 | 中望 | 长城宽带 | 中国卫星 | 国家民政部 | 合力金桥 | 亨达海天网络
包头网吧分会
中国网络信息安全公安部第三研究所中国计算机学会计算机安全专业委员会公安部信息系统安全标准化技术委员会公安部安全防范报警系统产品质量监督检验测试中心公安部计算机信息系统安全产品质量监督检验中心计算机信息系统安全等级保护