基于嵌入式设备的网络安全机制的研究与实现

摘要

传统的网关设备，作为网络中的一个节点，主要用于连接两个使用不同通信协议的网络。然而，如今随着网络安全问题的增多，使用网关设备为其所在的内部网络提供安全网络安全防护也变得更加重要。安全隔离与信息交换技术把内部和外部网络隔离开，使其不能直接进行通信，是网关设备提供安全防护最为适用的技术。目前的隔离交换技术基本都是基于网络层的，这对于使用TCP进行传输的应用层协议而言，由于无法对完整的数据流进行还原，单纯的IP包过滤无法对可能存在于 TCP数据流中的安全威胁进行有效检测以及应对更深层次的网络攻击。深度的安全过滤必须要对应用协议交互的会话状态进行跟踪，提供会话层的安全保护。
　　针对现有隔离交换技术的以上问题，本文设计并实现了一种基于传输层隔离与交换并结合流过滤机制的安全隔离网关设备，主要的研究内容以及创新点如下：
　　（1）针对传统的基于网络层的隔离与交换技术无法对使用TCP的应用协议安全提供保护的缺陷，分析了分割TCP连接技术在隔离网关中实现的可能性，提出了一种基于传输层的安全隔离与交换技术，使得隔离网关作为中间介质隔离了通信双方在传输层以上的直接交互，并可直接获取到连接双方经过重组的TCP数据流，进而实现对应用层的深度安全过滤。
　　（2）基于目前分割TCP连接技术中所存在的缓冲管理困难以及隔离网关中存在大量TCP连接条件下如何实现高效I/O控制的问题，给出了在分割连接条件下的I/O控制算法。实验结果显示，分割连接所带来的负载对于网关的网络传输性能影响在链路延迟较低情况下只有大约20％。
　　（3）针对本文提出的安全过滤的负载可能对网关原始通信功能产生影响的问题，设计了一种分布式的安全负载架构，并对可能存在的拒绝服务攻击提出了一种网络协议栈的优化算法，该算法通过预淘汰机制对可能存在恶意的SYN进行过滤，直到三次握手完成之后才为该连接分配资源。
　　本文最后搭建了系统的测试环境，经过实验分析表明，隔离网关实现了对内部网络的安全防护，并降低了隔离交换负载对于网关传输性能的影响。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究意义及背景

1.2 研究现状

1.3 本人论文的主要工作

1.4 论文的组织结构

第二章 网络安全相关技术研究

2.1 网络安全与隔离技术

2.2 安全过滤技术

2.3 嵌入式技术和网络安全

2.4 本章小结

第三章 基于传输层隔离的安全网关的研究与设计

3.1 安全隔离网关的整体结构设计

3.2 传输层隔离交换关键算法的设计

3.3 基于流过滤的深度安全防护机制的设计

3.4 分布式安全架构与网络协议栈的优化设计

3.5 本章小结

第四章 安全隔离网关的软件实现

4.1 系统的软件模块划分及嵌入式平台的构建

4.2 传输层安全隔离与数据交换的实现

4.3 流过滤深度安全防护的实现

4.4 控制中心模块的实现

4.5 本章小结

第五章 系统测试及结果分析

5.1 搭建测试环境

5.2 测试内容及过程

5.3 测试结果与分析

第六章 总结与展望

6.1 总结

6.2 工作展望

致谢

参考文献

攻硕期间取得的研究成果