高性能可信区域边界防护体系结构及关键技术

摘要

区域边界安全是信息系统安全保障框架的重要组成部分，传统的区域边界安全防护机制存在着缺乏体系化的结构设计和防护性能无法适应网络技术及应用高速发展两个方面的主要问题。针对上述问题，首先对区域边界防护体系结构展开研究，归纳总结了现有区域边界安全防护机制的技术特点，指出其存在的局限性；借鉴可信计算领域的研究成果，提出一种以可信网络连接为基础的区域边界防护体系结构，其有机整合了边界安全网关、终端计算环境安全机制和安全管理中心等安全组件，通过对信息流进行分类实现了边界安全防护的层次化和体系化，通过三元对等鉴别实现了边界安全防护机制自身完整性的度量和验证，通过区域边界强制访问控制模型的设计与应用实现了细粒度的边界访问控制。由于边界安全网关在区域边界防护体系结构中是安全策略的重要执行组件，同时其处理性能会成为影响边界可用性的瓶颈，因此给出了可信边界安全网关的功能结构设计和基于多核处理器并行处理的性能优化模型，并对性能优化模型中的三个关键技术问题展开重点研究。1)通过建立开放式安全网关架构的网络报文转发模型，分析了其性能瓶颈所在；然后给出一种基于多队列的报文缓冲区回收重用算法，以及一种基于报文队列的处理器亲和机制：实验结果表明，这两种优化方法提高了转发处理过程的处理器CACHE局部性，减少了同步互斥机制的使用次数，从而大幅提升了边界安全网关数据平面的报文转发性能。2)通过分析指出基于数据流分解与调度的处理模型适合目前安全引擎并行处理的需求；然后给出一种基于状态反馈的动态流调度机制--MFD流调度机制，其包括动态流空间划分算法和大流重映射算法两个部分；通过模拟器对满负载的10Gbps真实网络数据流样本进行模拟调度实验，实验结果表明与几种典型的流调度算法对比，MFD在保证并行执行的各个安全引擎负载均衡的前提下，实现了最小流破坏度，适合安全引擎的处理特点。3)采用生产者/消费者模型描述边界安全网关流水线结构中的共享报文队列操作，给出一种适合链表存储结构的无锁队列操作算法，证明了该算法满足并发执行程序的线性化归约和非阻塞特性；在实验环境中与几种主流的生产者/消费者队列操作算法进行了对比测试，实验结果表明该算法在各种应用环境中都能够具有较好的性能指标。