《黑匣子密路系统需求分析文件.docx》由会员分享,可在线阅读,更多相关《黑匣子密路系统需求分析文件.docx(24页珍藏版)》请在金锄头文库上搜索。
1、黑匣子密路系统需求分析文件项目需求分析文件文件状态: 草稿 正式发布 正在修改文件标识:Project No.XXX-RD-RF No.XXX当前版本:X.Y作者:完成日期:Year-Month-Day关于文件的其他属性还可以根据需要添加诸如需求认可负责人、涉及的产品版本号、关联文档编号等内容。版 本 历 史版本/状态作者参与者起止日期备注第一章 引言1.1 目的黑匣子密路系统通过对通信双方(服务端、客户端)进行IP地址、端口、及一些传输内容的控制,来达到优化数据传输环境,增强数据传输能力,保证数据传输通道的性、健壮性、高效性的目的;并能够实时显示业务主机受到的威胁事件,为优化网络结构(路由器
2、、交换机、防火墙等)提供依据及参考。1.2 背景在互联网产业飞速发展的今天,不断更新网络技术已经让传统的社会生产方式产生翻天覆地的变化。但是Internet在给人们的生产生活带来便利的同时,也带来了极大的隐患。要保护政府机构、企业、事业单位日渐庞大的信息数据,目前通常采用的办法是防火墙、杀毒软件、入侵检测等这些传统的设备。诚然,这些已经被广泛采用的设备可以防御相当一部分常规攻击行为,但同时我们不得不接受一个残酷的现实,不少机构、企业在部署了几乎全部传统产品后,机密的信息数据依然出现了被破坏、丢失等情况。那么是什么原因导致这些情况的发生呢?我们知道所有的攻击来源和攻击目标最终都会归结到承载企事业
3、单位信息数据的终端和服务器上。但是储存数据和承载着业务系统的操作系统的问题却是层出不穷的,一旦最后一道防线被攻破,即使我们有监控证据和管理措施,重要数据丢失造成的影响是我们无法估量的。1.2.1 行业背景随着互联网的飞速发展,互联网面临的各种问题层出不穷,从而带动了网络行业的巨大发展,基于网络保护的产品有交换机、路由器、防火墙、IDS、IPS、流量清洗系统等,基于主机保护的产品有个人防火墙、防病毒木马系统、主机检测及防护系统等,还有一些用于评估及管理的产品,用于数据传输阶段的认证及加密的产品及方案等;除了产品外,很多网络厂商还提供针对各种行业的解决方案、服务等;产品、解决方案、服务为互联网的发
4、展提供了技术支撑和保障;没有互联网,就不会有网络,没有网络,互联网行业就无法发展、壮大。网络厂商提供的产品、服务、解决方案总体上解决了网络问题,但对网络及业务应用等方面的细节保护却不可能做的太细,一方面是厂商没有精力去对各种业务应用及部署进行研究,另一方面是客户也不希望厂商了解牵涉到业务应用方面的内容。这就为熟悉行业特点同时又有一定网络技术能力的服务商提供了一定得发展的空间和机会。罗克佳华通过多年对一些行业的研究和技术方面的积累,对数据传输通道的进行了深入研究,提出了对数据传输通道的保护解决方案,解决了目前个人防火墙、防病毒、主机保护不能跨平台、不同系统事件不能集中监控显示、不同系统业务主机不
5、能统一管理等问题。1.2.2 存在的问题(1)业务主机防护系统还没被广泛接受目前,在网络,基于网络的产品能够普遍被接受,基于个人主机的防火墙、防病毒也普遍被接受,但对于在业务主机上部署主机防护系统会普遍会受到客户或业务单位的抵制,原因在于业务主机万一出现问题后,到底是因为业务系统的问题还是因为主机防护系统的问题很难划分清楚。(2)用户对防护所采用的技术缺乏了解目前,个人主机上应用的主机保护系统(防火墙、防病毒等)技术已经非常成熟,这些软件只是属于应用软件,而不是操作系统级软件,防火墙、防病毒等软件本身即使出现问题,也不会对业务应用本身造成直接影响。类软件都需要国家相关部门的认证(工信部、国家保
6、密局等)才可应用发布,其测试也比一般应用软件更为严格,其可靠、稳定程度远比一般的业务应用健壮的多。(3)制度及机制不健全业务主机系统出现问题后,往往会出现不同软件或硬件供应商间互向指责对方,出现扯皮、责任不清等问题。这就需要有专门的制度、机制、机构或授权单位来处理这些问题,从而更好的保障客户利益,而这方面的建设目前还比较滞后。 1.3 参考资料1、住房信息系统项目(一期)竞争性谈判文件2、住房信息系统操作规程3、住房信息系统业务规范。1.4 术语列出本文档中用到的专门术语的定义。第二章 任务概述2.1 目标本软件产品是一项独立的软件,而且全部内容自含。2.2 系统(或用户)的特点数据传输通道保
7、护系统通过对通信双方(服务端、客户端)进行IP地址、端口、及一些传输内容的控制,来达到优化数据传输环境,增强数据传输能力,保证数据传输通道的性、健壮性、高效性的目的;并能够实时显示业务主机受到的威胁事件,为优化网络结构(路由器、交换机、防火墙等)提供依据及参考第三章 假定和约束1功能明确,易于操作:当前系统力求做到功能简洁明确,便于实施部署、培训操作。2分步实施,急用先行:首先通过实现统一的项目贷款实时结算功能,控制关键节点、规范业务操作,满足当前对住房项目贷款专户资金全程、实时监管的需要。3持续改进,拓展功能:系统在满足当前监管需要的同时,兼顾长远,不断增强和改进系统功能。第四章 产品的功能
8、性需求4.1 Windows网络包过滤引擎模块引擎通过拦截传输层报文,根据策略配置来判断报文是否合法,对不合法的报文进行阻断,同时生成事件交给通信模块;对合法报文不做任何处理,这样引擎通过对数据传输层的控制,既能限制外界非法IP及端口对本机的访问,也能限制本机对外网IP及端口或局域网内其它IP及端口的访问,还可以通过定制来限制一些非法内容的传播,以达到保护本机系统,净化本机数据传输环境、提高效率、增强稳定性、性的目的。引擎采用成熟的SPI技术来实现保护主机通信环境,阻断非法访问。SPI(Stateful Packet Inspection) 全状态数据包检测,是指通过对每个连接信息(包括套接字
9、对(socket pairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的性。 引擎在默认情况下拒绝所有来自外网的请求,并且对通过引擎的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过引擎进入内网。这种方案不仅可使网络用户访问Internet 资源,同时又能防止Internet 上的黑客访问内部网络资源。引擎模块保护原理图:4.2 Linux网络包
10、过滤引擎模块引擎采用成熟的netfilter技术来实现保护主机业务通信环境,阻断非法访问;netfilter架构就是在整个网络通信流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT等,甚至可以是用户自定义的功能)。通过检测点处理函数对通信的源地址、源端口、目的地址、目的端口、协议类型进行检测从而判断是否过滤数据报。Netfilter是linux下一种非常成熟的网络包过滤技术架构,linux自身防火墙就是基于这种技术架构实现的,因此引擎采用该架构可以降低开发风险,确保主机系统的稳定、可靠,从而更好实现净化本机业务数据传输环境、提高效率、增强稳
11、定性、性等目标。4.3 通信模块Tcp通信是应用最广泛的面向连接的通信机制,要简单实现通信双方的数据传输比较容易。但要想实现在互联网上高效、稳定、并且支持多并发、断开自动重连的通信组件并非易事,需要开发者对tcp协议、套接字状态、发送窗口、三次握手等内容有详细了解。4.3.1通信过程描述服务器端:(1)执行SOCKET,创建一个新的套接字通信端点并为其分配表空间。(2)执行BIND为套接字分配一个本地地址和名字。(3)执行LISTEN表示服务器进程愿意接受连接请求,并指定连接等待队列的最大长度。(4)执行ACCEPT,阻塞或轮询服务器进程,等待客户的连接请求。一旦客户的连接请求到达,传输实体即
12、为其创建一个新的具有相同属性的套接字,并产生一个进程或线程在新套接字上处理该连接。然后服务器进程回到原来的套接字上继续监听连接请求。客户端:(1)执行SOCKET,创建一个新的套接字通信端点。(2)执行CONNECT,阻塞连接请求者并主动开始建立连接的进程。当服务器的应答到来后,客户进程被唤醒,连接即告建立。通信连接建立后,双方都可使用SEND和RECEIVE在已有的连接上发送和接收数据;连接的释放是对称的,当双方都执行了CLOSE后,连接即被释放。4.3.2 Tcp套接字通信示意图:4.3.3 三次握手TCP通信连接建立过程如下:客户请求连接TCP段:SYN=1,ACK=0,seq=x服务器
13、响应连接TCP段:SYN=1,ACK=1,seq=y,ack=x+1客户响应连接TCP段: ACK=1,seq=x+1,ack=y+1初始连接序号的选择采用基于时钟的方案,每隔4微妙初始连接序号加14.3.4 通信状态描述互联网的网络环境是极其复杂的,运行于局域网上的性能稳定的通信软件到了互联网上会出现很多问题,也许软件根本就没法正常使用,这一方面是因为互联网复杂造成的,另一方面是因为软件存在较多缺陷,健壮性不够造成的。编写能过长期运行于互联网上的软件就必须考虑互联网上的各种通信状态,发生状态变化时应采取怎样的处理机制,只有对这些做深入了解才有可能写出稳定、健壮、能长期运行于互联网的通信软件。
14、TCP通信状态变化见下图:4.4 加密认证模块4.4.1 身份认证功能通信双方(甲和乙)通过公钥加密和私钥解密可实现彼此的身份认证。甲方用乙公钥加密一标识,发送给乙;乙方用乙私钥解密密文,得到标识,然后乙用甲公钥加密该标识,发送给甲;甲用甲私钥解密密文,解密后的标识与甲用乙公钥加密前的标识对照,从而实现甲对乙的认证。同理,用上述方法也可实现乙对甲的身份认证。如下图:认证功能由认证子模块提供,主要完成通信双方彼此间身份的确认和数据加密密钥的交换,以便进行数据的传输;认证采用1024位RSA非对称加密算法,该算法加密强度高;数据加密采用128位AES对称加密算法,加密强度和效率均能较好满足数据加密
15、需求;认证流程如下:4.4.2 数据加密功能数据传输是在身份认证的基础上建立起来的,认证过程为数据通信过程提供AES对称密钥,通信双方的命令、事件、策略、日志、原始报文等信息发送前用该密钥进行加密,接收后用该密钥解密。流程如下:4.5 数据库接口模块通信模块客户端接受来之数据传输通道保护引擎上报来的事件,并把事件转发给数据可接口模块和实时显示模块,数据库接口模块把接收到的数据记录到数据库中,供分析查询模块适用;数据库接口模块提供数据库配置接口,供其他模块调用;在系统中,数据库接口模块除了事件入库外,还为策略配置模块提供接口,以便策略配置信息的入库和提取。数据接口模块与其它模块关系如下图:4.6 策略配置模块策略配置模块对数据传输通道保护引擎进行策略配置,以便使数据传输通道保护引擎对需要阻止的数据包进行阻断操作,根据策略配置需要阻止的源IP、源端口、目的IP、目的端口、协议等内容,也可配置事件的报
