基于嵌入式设备的网络安全机制的研究与实现

发布时间：2017-06-24 22:18

  本文关键词：基于嵌入式设备的网络安全机制的研究与实现，由笔耕文化传播整理发布。

【摘要】：传统的网关设备,作为网络中的一个节点,主要用于连接两个使用不同通信协议的网络。然而,如今随着网络安全问题的增多,使用网关设备为其所在的内部网络提供安全网络安全防护也变得更加重要。安全隔离与信息交换技术把内部和外部网络隔离开,使其不能直接进行通信,是网关设备提供安全防护最为适用的技术。目前的隔离交换技术基本都是基于网络层的,这对于使用TCP进行传输的应用层协议而言,由于无法对完整的数据流进行还原,单纯的IP包过滤无法对可能存在于TCP数据流中的安全威胁进行有效检测以及应对更深层次的网络攻击。深度的安全过滤必须要对应用协议交互的会话状态进行跟踪,提供会话层的安全保护。针对现有隔离交换技术的以上问题,本文设计并实现了一种基于传输层隔离与交换并结合流过滤机制的安全隔离网关设备,主要的研究内容以及创新点如下:(1)针对传统的基于网络层的隔离与交换技术无法对使用TCP的应用协议安全提供保护的缺陷,分析了分割TCP连接技术在隔离网关中实现的可能性,提出了一种基于传输层的安全隔离与交换技术,使得隔离网关作为中间介质隔离了通信双方在传输层以上的直接交互,并可直接获取到连接双方经过重组的TCP数据流,进而实现对应用层的深度安全过滤。(2)基于目前分割TCP连接技术中所存在的缓冲管理困难以及隔离网关中存在大量TCP连接条件下如何实现高效I/O控制的问题,给出了在分割连接条件下的I/O控制算法。实验结果显示,分割连接所带来的负载对于网关的网络传输性能影响在链路延迟较低情况下只有大约20%。(3)针对本文提出的安全过滤的负载可能对网关原始通信功能产生影响的问题,设计了一种分布式的安全负载架构,并对可能存在的拒绝服务攻击提出了一种网络协议栈的优化算法,该算法通过预淘汰机制对可能存在恶意的SYN进行过滤,直到三次握手完成之后才为该连接分配资源。本文最后搭建了系统的测试环境,经过实验分析表明,隔离网关实现了对内部网络的安全防护,并降低了隔离交换负载对于网关传输性能的影响。
【关键词】：安全隔离与信息交换 流过滤 TCP报文重组 协议栈优化
【学位授予单位】：电子科技大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.08
【目录】：

• 摘要5-6
• ABSTRACT6-10
• 第一章 绪论10-17
• 1.1 研究意义及背景10-13
• 1.1.1 研究意义与目的10-11
• 1.1.2 应用背景11-13
• 1.2 研究现状13-14
• 1.3 本人论文的主要工作14-15
• 1.4 本文章节的结构与布局15-17
• 第二章 网络安全相关技术研究17-28
• 2.1 网络安全与隔离技术17-20
• 2.1.1 安全隔离与信息交换技术17-18
• 2.1.2 传输层的安全隔离技术18-20
• 2.1.3 隔离交换技术的存在的问题20
• 2.2 安全过滤技术20-25
• 2.2.1 包过滤与NF_QUEUE技术20-22
• 2.2.2 流过滤技术22
• 2.2.3 流过滤技术实现方案研究与分析22-25
• 2.3 嵌入式技术和网络安全25-27
• 2.3.1 嵌入式设备概述25-26
• 2.3.2 嵌入式Linux相关技术26
• 2.3.3 嵌入式在网络安全中的应用26-27
• 2.4 本章小结27-28
• 第三章 基于传输层隔离的安全网关的研究与设计28-52
• 3.1 安全隔离网关的整体结构设计28-29
• 3.2 传输层隔离交换关键算法的设计29-38
• 3.2.1 分割连接方案的设计29-32
• 3.2.2 分割连接状态的划分32-34
• 3.2.3 数据I/O控制算法设计34-38
• 3.3 基于流过滤的深度安全防护机制的设计38-45
• 3.3.1 TCP数据流重组与缓存设计39-41
• 3.3.2 应用层会话安全的深度防护41-44
• 3.3.3 基于特征绑定的自定义安全防护机制44-45
• 3.4 分布式安全架构与网络协议栈的优化设计45-51
• 3.4.1 分布式负载的架构设计45-47
• 3.4.2 嵌入式网络栈的优化设计47-51
• 3.5 本章小结51-52
• 第四章 安全隔离网关的软件实现52-70
• 4.1 系统的软件模块划分及嵌入式平台的构建52-55
• 4.1.1 安全隔离网关的软件模块组成52
• 4.1.2 嵌入式平台的构建52-55
• 4.2 传输层安全隔离与数据交换的实现55-63
• 4.2.1 连接分割的预处理实现55-58
• 4.2.2 连接分割的处理实现58-59
• 4.2.3 I/O控制算法的实现59-63
• 4.2.4 僵尸连接的清理63
• 4.3 流过滤深度安全防护的实现63-67
• 4.3.1 TCP数据流重组的实现63-65
• 4.3.2 流过滤功能的实现65-66
• 4.3.3 安全模块插件化的实现66-67
• 4.4 控制中心模块的实现67-69
• 4.5 本章小结69-70
• 第五章 系统测试及结果分析70-78
• 5.1 搭建测试环境70-72
• 5.2 测试内容及过程72-74
• 5.2.1 测试目的72
• 5.2.2 测过过程72-74
• 5.3 测试结果与分析74-78
• 第六章 总结与展望78-80
• 6.1 总结78-79
• 6.2 工作展望79-80
• 致谢80-81
• 参考文献81-84
• 攻硕期间取得的研究成果84-85

【相似文献】

中国期刊全文数据库 前10条

1 李庆东,张文娟;网络安全问题研究[J];情报科学;2000年08期

2 ;计算机网络安全导论[J];工业控制计算机;2000年04期

3 牛丹梅,洪毅,王军;浅议网络安全技术及管理[J];黑龙江水利科技;2000年02期

4 ;网络安全技术[J];农业信息探索;2000年02期

5 辛欣;认识网络安全──与3Com电子商务发展经理的对话[J];市场与电脑;2000年08期

6 ;网络安全,路在脚下[J];市场与电脑;2000年08期

7 陈永;上海加强网络安全──“互联网络安全问题与对策”研讨会举行[J];上海微型计算机;2000年12期

8 徐晨;网络安全 商机无限[J];上海微型计算机;2000年34期

9 屠政;正有网络公司开启网络安全之门[J];中国信息导报;2000年09期

10 冯婷婷;网络安全警句[J];软件工程师;2000年08期

中国重要会议论文全文数据库 前10条

1 李正男;吴亚非;丁志新;;计算机网络安全概述[A];第六次全国计算机安全技术交流会论文集[C];1991年

2 刘小跃;马建峰;;高等师范院校网络安全课程教改新思路[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

3 刘胜利;刘楠;肖达;刘龙;;网络安全专业本科生创新能力培养研究与探索[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 陈红松;;网络安全课程中学生兴趣的激发与培养[A];着力提高高等教育质量，，努力增强高校创新与服务能力——北京市高等教育学会2007年学术年会论文集（上册）[C];2008年

5 张军;;网络安全的形势与对策[A];四川省通信学会2006年学术年会论文集（二）[C];2006年

6 ;积极推进全球网络安全[A];四川省通信学会2006年学术年会论文集（二）[C];2006年

7 洪婷;陈永定;;浅谈图书馆网络安全与对策[A];福建省图书馆学会2006年学术年会论文集[C];2006年

8 陈雯;;浅谈图书馆网络安全[A];福建省图书馆学会2007年学术年会论文集[C];2007年

9 李颖;;浅谈网络安全应对策略[A];天津市电视技术研究会2012年年会论文集[C];2012年

10 陈其丰;;客户网络安全探讨[A];海南省通信学会学术年会论文集（2008）[C];2008年

中国重要报纸全文数据库 前10条

1 肖健;六大趋势“惹火”2005网络安全[N];中国计算机报;2005年

2 鲍捷;中外联手维护网络安全[N];人民日报;2004年

3 记者 史芳;“先发制人”成为网络安全新主张[N];中国经济导报;2006年

4 国际电联电信标准化局局长 本报高级顾问 赵厚麟;推进全球网络安全：多方协作的重大工程[N];人民邮电;2006年

5 赛迪顾问通信产业研究中心咨询师 李煜;网络安全市场面临洗牌[N];通信产业报;2007年

6 ;二季度网络安全市场销售额达11亿美元[N];网络世界;2006年

7 Tony;强劲需求拉动网络安全市场快速增长[N];中国计算机报;2007年

8 黄粤宝 本报记者 丛晓明;公安机关检查网络安全工作[N];丹东日报;2008年

9 记者 方祥生;欧安组织网络安全会议开幕[N];光明日报;2009年

10 傅晓辉;网络安全商机开盘[N];通信产业报;2004年

中国博士学位论文全文数据库 前10条

1 薄澄宇;网络安全与中美关系[D];中共中央党校;2015年

2 张武军;机器类型通信中的网络安全问题研究[D];西安电子科技大学;2014年

3 罗建;复杂攻击系统建模及其在网络安全中的应用[D];清华大学;2015年

4 胡冠宇;基于置信规则库的网络安全态势感知技术研究[D];哈尔滨理工大学;2016年

5 李伟明;网络安全语言关键技术的研究[D];华中科技大学;2006年

6 张建锋;网络安全态势评估若干关键技术研究[D];国防科学技术大学;2013年

7 司加全;网络安全态势感知技术研究[D];哈尔滨工程大学;2009年

8 田大新;网络安全中若干问题的研究[D];吉林大学;2007年

9 Kittichote Rojanakul（开心）;E-GOVERNMENT NETWORK SECURITY E-GOVERNMENT的网络安全的研究[D];吉林大学;2011年

10 甘亮;面向网络安全监控的流数据处理技术研究[D];国防科学技术大学;2011年

中国硕士学位论文全文数据库 前10条

1 张卫清;网络安全与网络安全文化[D];南华大学;2006年

2 吴磊;网络安全企业服务营销问题研究[D];华北电力大学（北京）;2006年

3 陈雷;网络安全态势评估与预测关键技术研究[D];解放军信息工程大学;2015年

4 刘梦;从斯诺登事件看21世纪欧美安全关系的调整[D];外交学院;2016年

5 闫一铭;网络安全关键策略及教学模拟攻防系统设计[D];中国海洋大学;2014年

6 郑东东;网络安全与国家主权：互联网自由的国际法规制[D];西南政法大学;2014年

7 姚望;外空活动中网络安全的管理机制研究[D];北京理工大学;2016年

8 黄亮亮;网络安全态势评估与预测方法的研究[D];兰州大学;2016年

9 张楠;某部门网络安全管理方案的设计与实施[D];长春工业大学;2016年

10 杨建萍;基于维基百科的《网络安全》课程本体构建及应用研究[D];新疆师范大学;2016年

  本文关键词：基于嵌入式设备的网络安全机制的研究与实现，由笔耕文化传播整理发布。

本文编号：479747