本文關鍵詞：基于嵌入式設備的網絡安全機制的研究與實現，由筆耕文化傳播整理發(fā)布。

【摘要】：傳統(tǒng)的網關設備,作為網絡中的一個節(jié)點,主要用于連接兩個使用不同通信協議的網絡。然而,如今隨著網絡安全問題的增多,使用網關設備為其所在的內部網絡提供安全網絡安全防護也變得更加重要。安全隔離與信息交換技術把內部和外部網絡隔離開,使其不能直接進行通信,是網關設備提供安全防護最為適用的技術。目前的隔離交換技術基本都是基于網絡層的,這對于使用TCP進行傳輸的應用層協議而言,由于無法對完整的數據流進行還原,單純的IP包過濾無法對可能存在于TCP數據流中的安全威脅進行有效檢測以及應對更深層次的網絡攻擊。深度的安全過濾必須要對應用協議交互的會話狀態(tài)進行跟蹤,提供會話層的安全保護。針對現有隔離交換技術的以上問題,本文設計并實現了一種基于傳輸層隔離與交換并結合流過濾機制的安全隔離網關設備,主要的研究內容以及創(chuàng)新點如下:(1)針對傳統(tǒng)的基于網絡層的隔離與交換技術無法對使用TCP的應用協議安全提供保護的缺陷,分析了分割TCP連接技術在隔離網關中實現的可能性,提出了一種基于傳輸層的安全隔離與交換技術,使得隔離網關作為中間介質隔離了通信雙方在傳輸層以上的直接交互,并可直接獲取到連接雙方經過重組的TCP數據流,進而實現對應用層的深度安全過濾。(2)基于目前分割TCP連接技術中所存在的緩沖管理困難以及隔離網關中存在大量TCP連接條件下如何實現高效I/O控制的問題,給出了在分割連接條件下的I/O控制算法。實驗結果顯示,分割連接所帶來的負載對于網關的網絡傳輸性能影響在鏈路延遲較低情況下只有大約20%。(3)針對本文提出的安全過濾的負載可能對網關原始通信功能產生影響的問題,設計了一種分布式的安全負載架構,并對可能存在的拒絕服務攻擊提出了一種網絡協議棧的優(yōu)化算法,該算法通過預淘汰機制對可能存在惡意的SYN進行過濾,直到三次握手完成之后才為該連接分配資源。本文最后搭建了系統(tǒng)的測試環(huán)境,經過實驗分析表明,隔離網關實現了對內部網絡的安全防護,并降低了隔離交換負載對于網關傳輸性能的影響。
【關鍵詞】：安全隔離與信息交換 流過濾 TCP報文重組 協議棧優(yōu)化
【學位授予單位】：電子科技大學
【學位級別】：碩士
【學位授予年份】：2016
【分類號】：TP393.08
【目錄】：

• 摘要5-6
• ABSTRACT6-10
• 第一章 緒論10-17
• 1.1 研究意義及背景10-13
• 1.1.1 研究意義與目的10-11
• 1.1.2 應用背景11-13
• 1.2 研究現狀13-14
• 1.3 本人論文的主要工作14-15
• 1.4 本文章節(jié)的結構與布局15-17
• 第二章 網絡安全相關技術研究17-28
• 2.1 網絡安全與隔離技術17-20
• 2.1.1 安全隔離與信息交換技術17-18
• 2.1.2 傳輸層的安全隔離技術18-20
• 2.1.3 隔離交換技術的存在的問題20
• 2.2 安全過濾技術20-25
• 2.2.1 包過濾與NF_QUEUE技術20-22
• 2.2.2 流過濾技術22
• 2.2.3 流過濾技術實現方案研究與分析22-25
• 2.3 嵌入式技術和網絡安全25-27
• 2.3.1 嵌入式設備概述25-26
• 2.3.2 嵌入式Linux相關技術26
• 2.3.3 嵌入式在網絡安全中的應用26-27
• 2.4 本章小結27-28
• 第三章 基于傳輸層隔離的安全網關的研究與設計28-52
• 3.1 安全隔離網關的整體結構設計28-29
• 3.2 傳輸層隔離交換關鍵算法的設計29-38
• 3.2.1 分割連接方案的設計29-32
• 3.2.2 分割連接狀態(tài)的劃分32-34
• 3.2.3 數據I/O控制算法設計34-38
• 3.3 基于流過濾的深度安全防護機制的設計38-45
• 3.3.1 TCP數據流重組與緩存設計39-41
• 3.3.2 應用層會話安全的深度防護41-44
• 3.3.3 基于特征綁定的自定義安全防護機制44-45
• 3.4 分布式安全架構與網絡協議棧的優(yōu)化設計45-51
• 3.4.1 分布式負載的架構設計45-47
• 3.4.2 嵌入式網絡棧的優(yōu)化設計47-51
• 3.5 本章小結51-52
• 第四章 安全隔離網關的軟件實現52-70
• 4.1 系統(tǒng)的軟件模塊劃分及嵌入式平臺的構建52-55
• 4.1.1 安全隔離網關的軟件模塊組成52
• 4.1.2 嵌入式平臺的構建52-55
• 4.2 傳輸層安全隔離與數據交換的實現55-63
• 4.2.1 連接分割的預處理實現55-58
• 4.2.2 連接分割的處理實現58-59
• 4.2.3 I/O控制算法的實現59-63
• 4.2.4 僵尸連接的清理63
• 4.3 流過濾深度安全防護的實現63-67
• 4.3.1 TCP數據流重組的實現63-65
• 4.3.2 流過濾功能的實現65-66
• 4.3.3 安全模塊插件化的實現66-67
• 4.4 控制中心模塊的實現67-69
• 4.5 本章小結69-70
• 第五章 系統(tǒng)測試及結果分析70-78
• 5.1 搭建測試環(huán)境70-72
• 5.2 測試內容及過程72-74
• 5.2.1 測試目的72
• 5.2.2 測過過程72-74
• 5.3 測試結果與分析74-78
• 第六章 總結與展望78-80
• 6.1 總結78-79
• 6.2 工作展望79-80
• 致謝80-81
• 參考文獻81-84
• 攻碩期間取得的研究成果84-85

【相似文獻】

中國期刊全文數據庫 前10條

1 李慶東,張文娟;網絡安全問題研究[J];情報科學;2000年08期

2 ;計算機網絡安全導論[J];工業(yè)控制計算機;2000年04期

3 牛丹梅,洪毅,王軍;淺議網絡安全技術及管理[J];黑龍江水利科技;2000年02期

4 ;網絡安全技術[J];農業(yè)信息探索;2000年02期

5 辛欣;認識網絡安全──與3Com電子商務發(fā)展經理的對話[J];市場與電腦;2000年08期

6 ;網絡安全,路在腳下[J];市場與電腦;2000年08期

7 陳永;上海加強網絡安全──“互聯網絡安全問題與對策”研討會舉行[J];上海微型計算機;2000年12期

8 徐晨;網絡安全 商機無限[J];上海微型計算機;2000年34期

9 屠政;正有網絡公司開啟網絡安全之門[J];中國信息導報;2000年09期

10 馮婷婷;網絡安全警句[J];軟件工程師;2000年08期

中國重要會議論文全文數據庫 前10條

1 李正男;吳亞非;丁志新;;計算機網絡安全概述[A];第六次全國計算機安全技術交流會論文集[C];1991年

2 劉小躍;馬建峰;;高等師范院校網絡安全課程教改新思路[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

3 劉勝利;劉楠;肖達;劉龍;;網絡安全專業(yè)本科生創(chuàng)新能力培養(yǎng)研究與探索[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 陳紅松;;網絡安全課程中學生興趣的激發(fā)與培養(yǎng)[A];著力提高高等教育質量，，努力增強高校創(chuàng)新與服務能力——北京市高等教育學會2007年學術年會論文集（上冊）[C];2008年

5 張軍;;網絡安全的形勢與對策[A];四川省通信學會2006年學術年會論文集（二）[C];2006年

6 ;積極推進全球網絡安全[A];四川省通信學會2006年學術年會論文集（二）[C];2006年

7 洪婷;陳永定;;淺談圖書館網絡安全與對策[A];福建省圖書館學會2006年學術年會論文集[C];2006年

8 陳雯;;淺談圖書館網絡安全[A];福建省圖書館學會2007年學術年會論文集[C];2007年

9 李穎;;淺談網絡安全應對策略[A];天津市電視技術研究會2012年年會論文集[C];2012年

10 陳其豐;;客戶網絡安全探討[A];海南省通信學會學術年會論文集（2008）[C];2008年

中國重要報紙全文數據庫 前10條

1 肖健;六大趨勢“惹火”2005網絡安全[N];中國計算機報;2005年

2 鮑捷;中外聯手維護網絡安全[N];人民日報;2004年

3 記者 史芳;“先發(fā)制人”成為網絡安全新主張[N];中國經濟導報;2006年

4 國際電聯電信標準化局局長 本報高級顧問 趙厚麟;推進全球網絡安全：多方協作的重大工程[N];人民郵電;2006年

5 賽迪顧問通信產業(yè)研究中心咨詢師 李煜;網絡安全市場面臨洗牌[N];通信產業(yè)報;2007年

6 ;二季度網絡安全市場銷售額達11億美元[N];網絡世界;2006年

7 Tony;強勁需求拉動網絡安全市場快速增長[N];中國計算機報;2007年

8 黃粵寶 本報記者 叢曉明;公安機關檢查網絡安全工作[N];丹東日報;2008年

9 記者 方祥生;歐安組織網絡安全會議開幕[N];光明日報;2009年

10 傅曉輝;網絡安全商機開盤[N];通信產業(yè)報;2004年

中國博士學位論文全文數據庫 前10條

1 薄澄宇;網絡安全與中美關系[D];中共中央黨校;2015年

2 張武軍;機器類型通信中的網絡安全問題研究[D];西安電子科技大學;2014年

3 羅建;復雜攻擊系統(tǒng)建模及其在網絡安全中的應用[D];清華大學;2015年

4 胡冠宇;基于置信規(guī)則庫的網絡安全態(tài)勢感知技術研究[D];哈爾濱理工大學;2016年

5 李偉明;網絡安全語言關鍵技術的研究[D];華中科技大學;2006年

6 張建鋒;網絡安全態(tài)勢評估若干關鍵技術研究[D];國防科學技術大學;2013年

7 司加全;網絡安全態(tài)勢感知技術研究[D];哈爾濱工程大學;2009年

8 田大新;網絡安全中若干問題的研究[D];吉林大學;2007年

9 Kittichote Rojanakul（開心）;E-GOVERNMENT NETWORK SECURITY E-GOVERNMENT的網絡安全的研究[D];吉林大學;2011年

10 甘亮;面向網絡安全監(jiān)控的流數據處理技術研究[D];國防科學技術大學;2011年

中國碩士學位論文全文數據庫 前10條

1 張衛(wèi)清;網絡安全與網絡安全文化[D];南華大學;2006年

2 吳磊;網絡安全企業(yè)服務營銷問題研究[D];華北電力大學（北京）;2006年

3 陳雷;網絡安全態(tài)勢評估與預測關鍵技術研究[D];解放軍信息工程大學;2015年

4 劉夢;從斯諾登事件看21世紀歐美安全關系的調整[D];外交學院;2016年

5 閆一銘;網絡安全關鍵策略及教學模擬攻防系統(tǒng)設計[D];中國海洋大學;2014年

6 鄭東東;網絡安全與國家主權：互聯網自由的國際法規(guī)制[D];西南政法大學;2014年

7 姚望;外空活動中網絡安全的管理機制研究[D];北京理工大學;2016年

8 黃亮亮;網絡安全態(tài)勢評估與預測方法的研究[D];蘭州大學;2016年

9 張楠;某部門網絡安全管理方案的設計與實施[D];長春工業(yè)大學;2016年

10 楊建萍;基于維基百科的《網絡安全》課程本體構建及應用研究[D];新疆師范大學;2016年

  本文關鍵詞：基于嵌入式設備的網絡安全機制的研究與實現，由筆耕文化傳播整理發(fā)布。

本文編號：479747