当前位置:   article > 正文

HDUSec-安全隔离网闸项目总结

开源网闸

比赛结束了,得给我们的项目做一个总结。

作品简介

我们作品的名称是HDUSec-安全隔离网闸,HDUSec是代表我们协会。作品主要是仿造工业网闸进行创新,实现的主要功能是基

于可重构的Xilinx FPGA,过滤外网到内网的文件,通过协议转化来安全单项传输文件,同时还集成了报警,智能控制等模块,下面是系统的实现。

系统实现

系统分成三个单元:文件缓存单元,系统控制单元,文件转发引擎。系统主要采用了分布式的架构,这里的分布式是广义的,

主要是一个系统分布在两块开发板上,两块都是Xilinx的,一块是Atlys,另一块是Nexys3。


首先是Nexys3板卡,Nexy3板卡较Atlys,资源相对少了些,处理性能也低些,我们在Nexys3上采用了MicroBlaze架构,通过对DDR

内存控制器,PMode等控制模块的利化,通过PLB总线和板子的外部单物理层网络芯片MicroRAM通信。在Microblaze架构上移植了

Xilkernel,Xilkernel是Xilinx公司研发的轻型嵌入式系统,Xilkernel采用的LWIP协议栈,LWIP是很轻型的协议栈,有它自己一套标准

的 LWIP Socket API。我们裁剪了基本的应用层协议,在LWIP只搭建了一个回显服务器和tftp服务器。整个Nexys3就够成了系统的文

件缓存单元,文件从外网到内网传送,文件会先存储到文件缓存单元的DDR上,等待系统控制单元的请求。


然后再说Atlys板卡,Atlys板卡是Sparnt-6系列的,系统控制单元和文件转发引擎在Atlys板卡上。我们在Atlys板卡上采用的是

OpenRISC架构,OpenRISC是OpenCORES下开源的项目,正是OpenRISC的开源,可以根据开发者根据自己的需求实现对系统硬

件的裁剪,OpenRISC的开源降低了项目的开发成本,也大大缩短了项目开发的周期。在OpenRISC架构中我们采用的核心处理器是

or3200,or3200是OpenRISC家族中系能最好的。在OpenRISC上面移植了Linux 3.4.2的内核,当然因为移植了内核,就降低了Atlys

的性能。接下来就基本上是linux上面的开发了,在应用层我们搭建了一套web服务器,支持POST和GET请求,设计不足就是Web服

务器没有开线程池,当时主要是想到板子的并不是用于商用,反正是自己玩玩的。Web服务器调用后台的cgi程序,后台的cgi接口是

我定的,至于js,html,ajax则是囧哥和何少帮我完成的。后台cgi调用的程序基本上我都以C为主,不过有些时候为了方便,就写了

好多脚本,脚本里面主要是awk,sed和grep等工具,就是C和Shell脚本混编构成了服务器的后台。其实我们在应用层做的工作挺多

的,我们设计了管理员和普通用户,都采用了身份验证机制。管理员登入之后,可以对系统进行全局设置,主要是文件类型库,敏

感词库,用户帐号等进行基本的管理,还有就是短信发送号码设置,最后就是用户下载文件的日志记录和查看。下面主要是文件转

发引擎的工作,对于普通用户,经过身份验证之后,登入普通用户界面,这时候web服务器会去向Nexys3板卡上的文件缓存单元请

求DDR中的文件目录,目录的数据包会从Nexys3传输到Atlys,然后由Atlys返回给客户端浏览器。用户看到在Nexy3的DDR中的文件

目录,并且下载。用户点击下载,通过POST包发送给Web服务器命令,Web服务器去Nexys3上下载指定的文件,文件到达Atlys,

然后开始检测文件类型是否与系统控制单元中预设文件类型符合,然后是检测文件内容,不合法的文件都移除到系统的隔离区,等

待管理员查看。在此过程中通过外接的GSM模块进行报警,以短信的形式发送给管理员。在web服务器还设计了一套基于手机的管

理界面,管理员可以通过手机访问系统,进行基本的系统管理。如果报警信息,管理员通过手机登入,关闭系统网卡,并且可以通

过发送短信打开系统工作状态。文件转发引擎只会转发文件类型和内容都OK的文件,这里为了保证内网的安全,采用了协议转换的

方式,由传统的TCP/IP协议转换成了串口协议,传输到内网,从外保证就是系统被Hacker攻破了,也绝对不会影响到内网。为了保

证文件传送的可靠性,我们采用了基于连接的ZMODEM协议,ZMODEM是一种类似TCP一样存在错误校验的通信协议,以牺牲效率

来保证可靠性。


系统创新和特色

1.系统是采用了分布式架构,系统分布在了两个不同的开发板上,为了保证系统的安全性,在两块不同的开发板上根据资源的限制分

别移植了Microblaze和OpenRISC架构,并在各自软核上移植不同的内核。


2.系统的硬件支持是基于可重构的Xilinx FPGA的,可以根据开发者需求裁剪


3.文件传送过程中采用了协议转化的形式,内网和外网不存在物理上的直接连接,仅仅是一个逻辑上的虚拟连接,更有效的保证了内

网的安全。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/155897
推荐阅读
相关标签
  

闽ICP备14008679号