保护网络安全用USB端口实现内外网隔离
来源:黑客防线 更新时间:2008-11-19

 

  网络蠕虫、网页挂马、恶意软件是目前针对互联网的新型犯罪的三种主要手段。黑客利用技术手段在用户无法发现的情况下,在个人电脑上植入特殊的病毒,并将其互相连通,集群管理,从中获得巨大的利益。由于每个被感染或者入侵的个体受到的损失可能非常小,因此其隐蔽性非常高,在没有特殊工具的帮助之下难以被发现。但是,由于其数量巨大,通过聚沙效应,往往可以积少成多,成为网络犯罪分子牟利的非常有效的工具。在个人电脑上网进行浏览网页时,利用敏感或者热门的关键字吸引用户进入,同时植入蠕虫、木马、恶意软件,已经成了上述恶意攻击的主要手段。

  基于USB2.0隔离方法的提出

  近年来,信息技术高速发展,电子政务的应用越来越广泛,在这些需要依靠信息系统处理日常事务的机构(如工商、税务、银行以及军队等)中,工作人员一方面要接入到互联网中,另一方面要连接到内网中,并在这两个网络中实现信息的交换。由于这些机构的内网中存在许多涉及国家、个人的机密信息,所以,必须在保证信息交换的前提下实现两个网络连接的安全。

  如何选择隔离手段将内网与外网进行隔离的同时进行必要的通信,这是目前应对新形势下网络犯罪最亟待解决的问题。本文提供了一种通过USB实现基于Http代理通信的同时实现内外网数据安全隔离的方案。

  安全隔离和信息交换系统的架构由两个拥有操作系统(可以是异构操作系统)的独立主机系统(内网机和外网机)和一个连接硬件组成,连接硬件通常是与以太网异构的介质组成,如某些隔离卡或交换矩阵等。这些连接硬件通过主机上的程序或硬件上独立的芯片来对两个网络中需要交换的信息数据进行封包、摆渡、解包,从而实现内外网之间数据的交换。

  本文提到的这种新的解决方案也是基于这种架构,不过其连接硬件采取了专用的USB 2.0的方式。内外网主机使用专用的程序把需要交换的数据信息通过USB 2.0端口进行传输,从而达到数据交换的目的。用这种技术可以抛弃较为脆弱的基于TCP/IP协议的内外网安全隔离机制,从真正意义上达到内外网连接时的安全隔离。USB 2.0的理论传输速度可以达到480Mbps,这样的速度可以满足目前几乎所有用户的需求。并且USB支持双通道进出同步传输,这样就很容易解决传输过程中的双向问题。最后,这种USB 2.0隔离机制和开发相应程序的成本很低廉,从而在很大程度上降低了安全隔离和信息交换的成本。所以这种新型的安全隔离和信息交换系统在当前的市场上具有较大的潜力。

  利用USB OTG技术实现

  本方案采用的基础是USB OTG技术。USB(Universal Serial Bus)即通用串行总线,是一种连接外部串行设备的技术标准。

  USB-OTG是USB On-The-Go的缩写,实际上它是USB Implementers Forum组织对于传统USB接口的一个追加协议,主要应用于各种不同的设备或移动设备间的连接和数据交换。传统的USB技术,虽然使得PC和周边设备的数据交换变得简单和方便,但它一旦离开了PC设备,就无法实现数据交换,因为没有一台设备能够充当PC一样的主机。有了 USB-OTG,就可以完全脱离开PC。最新版本的USB-OTG便是直接建立在USB 2.0基础之上的。它修改了USB接口的针脚定义和接口外形,使厂商可以根据需要将各种数码设备定义为“主机端”、“设备端”或具有双重身份的角色,这样网络及数码设备便可适时地变换身份,实现彼此之间的直接连接。

  本文提出的方案,可利用USB-OTG设备规范中的“多角色”特性,将与两台PC主机直连的USB通信设备同时作为host角色和slave角色,实现两台主机间直接通过USB端口相互通信。

  技术的原理及应用

  这种方案在实际应用中是及其方便的,因为传输的介质——USB连线在市场中已经很成熟,这样就只需要根据客户的需求来开发相应的程序就可以了。图1是简单的由两台PC组成的一个系统。

  当使用USB线连接PC1和PC2设备后,通过基于标准USB规范的程序就可以在其中任意一台设备上与另外一台设备进行通信,通过这种方式可以在这两台设备上任意进行OTG传输。

  这种方式完全抛弃了传统的TCP/IP协议,实现了安全隔离的作用。对于目前的网闸而言,连接内外网两端在逻辑上是同一台主机,虽然在隔离设备上采用了自己的私有协议,但是仍然是基于TCP/IP协议的。这样,在隔离策略设置不当,或者没有及时更新策略时,完全可能产生内网主机被入侵者逐步蚕食的情况。而USB通信协议是完全基于数据分块和方向制定的,可以确保外来数据能够在完全不到达内网主机的情况下,通过数据的定向同步映射到内网。这样,即使入侵者能够成功控制外网的代理机,在理论上,依靠目前的TCP/IP是无法构造能够同时兼容两层完全不同的传输介质和传输协议的数据通信,因此无法将恶意软件通过USB传送到内网的主机中。

  这种方法的基本原理是: 利用Http协议“落地”的方式,转换为对单个网页内容的请求,然后通过USB协议对处于外网的代理机发出请求,下载完成后,“落地”为内网文件,提供给内网用户,其实现还是采用了Http请求重定向技术。

  由于USB同步协议为私有协议而不是公开的协议,而且传输介质为USB通信端口,入侵者在没有专用的硬件设备的前提下绝对无法对传输协议进行分析,因此即使能够控制客户端,也无法建立正常的传输将数据传入代理主机中。

  以上的工作流程可以建立一个较为安全的内外网交互体系,既可满足内网与外部的数据沟通,同时又大大减少了内网数据因为TCP/IP协议的弱点而使数据外泄的可能性。由于USB接口的带宽一般较大,可以同时支持多路数据同时传输,因此其应用上较为灵活和简便。